Приложение А (справочное). Риск и полнота безопасности. Общие требования. Национальный стандарт РФ ГОСТ Р МЭК 61511-3-2018 "Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 3. Руководство по определению требуемых уровней полноты безопасности" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 08.08.2018 N 467-ст)

Приложение А
(справочное)

Риск и полнота безопасности. Общие требования

А.1 Общие сведения

В данном разделе приведена информация об основополагающих концепциях риска и связи рисков с полнотой безопасности. Эта информация является общей для всех рассматриваемых ниже методов оценки различных опасностей и рисков.

А.2 Необходимая степень снижения риска

Необходимая степень снижения риска, которая может быть установлена либо качественно (см. примечание 1), либо количественно (см. примечание 2), - это такое снижение риска, которое должно быть обеспечено для достижения уровня риска (например, целевого уровня безопасности процесса), приемлемого в конкретной ситуации. Концепция необходимого снижения риска является фундаментально важной для формулирования спецификации требований безопасности для функций безопасности ПСБ (в частности, требований к полноте безопасности). Цель определения приемлемого риска (например, целевого уровня безопасности процесса) в случае конкретного опасного события состоит в установлении величины "разумного" риска, учитывающего как частоту возникновения опасных событий, так и их специфические последствия. Слои защиты (см. рисунок А.2) разрабатываются так, чтобы уменьшить частоту возникновения опасных ситуаций и/или их последствия.

Важными факторами для оценки величины приемлемого риска являются восприятие и точки зрения тех лиц, которые подвергаются опасности. При определении приемлемого риска для конкретного применения необходимо учитывать:

- указания соответствующих регулирующих органов;

- обсуждения и соглашения между различными сторонами, принимающими участие в данном применении;

- промышленные стандарты и руководства;

- промышленные, экспертные и научные советы;

- законодательные и регулирующие требования, как общие, так и относящиеся к конкретному применению.

Примечания

1 При определении необходимой степени снижения риска следует предварительно установить приемлемый риск. В МЭК 61508-5:2010, приложения D и Е, рассмотрены качественные и полуколичественные методы, хотя в рассмотренных там примерах необходимое снижение риска представлено, скорее, в неявном виде и не установлено точно.

2 Например, опасное событие, приводящее к определенным последствиям, как правило, характеризуется максимальной частотой повторений в год.

А.3 Роль приборных систем безопасности

ПСБ реализует функции безопасности, необходимые для достижения или для поддержания безопасного состояния процесса, и, следовательно, вносит вклад в решение задачи необходимого снижения риска для достижения приемлемого риска. Например, в спецификации требований к функциям безопасности может быть указано, что если температура достигает значение x, то клапан y открывается, обеспечивая поступление воды в емкость.

Необходимое снижение риска может достигаться с помощью одной или комбинации нескольких ПСБ либо с помощью других слоев защиты.

В выполнении функции безопасности может участвовать человек. Например, оператор может получать информацию о состоянии процесса и выполнять основанные на этой информации некоторые действия в системе безопасности. Если человек является частью функции безопасности, то должны быть учтены все человеческие факторы.

ПСБ может действовать по запросу или в непрерывном режиме.

Считается, что полнота безопасности состоит из двух частей:

a) полнота безопасности аппаратных средств - это часть полноты безопасности, связанная со случайными отказами аппаратных средств, причем относящимися к опасным отказам. Факт достижения установленного уровня полноты безопасности аппаратных средств можно оценить с разумным уровнем точности. Поэтому требования могут быть распределены между подсистемами, используя известные правила комбинации вероятностей с учетом отказов по общей причине. Для достижения требуемой полноты безопасности аппаратных средств может оказаться необходимым применение структур с резервированием;

b) систематическая полнота безопасности - эта часть полноты безопасности связана с систематическими отказами, относящимися к опасным отказам. Хотя влияние отдельных систематических отказов на полноту безопасности можно оценить, данные по отказам, вызванным ошибками при проектировании, и отказам по общей причине указывают на то, что влияние этих отказов бывает сложно предсказать. При этом увеличивается неопределенность в расчетах вероятности отказов в конкретной ситуации (например, вероятности отказов ПСБ). Следовательно, необходимо обосновать, какие способы минимизации этой неопределенности окажутся наиболее эффективными. Нужно отметить, что меры, принятые для уменьшения вероятности случайных отказов аппаратных средств, не должны обязательно приводить к снижению вероятности систематических отказов. Такие технические решения, как резервирование в виде организации параллельных каналов с идентичным оборудованием, которые являются весьма эффективными для случайных отказов аппаратных средств, мало полезны для уменьшения систематических отказов.

Общее снижение риска, достигаемое функциями безопасности ПСБ вместе со средствами других слоев защиты, должно быть таким, чтобы обеспечить:

- частоту отказов функций безопасности, достаточно низкую для того, чтобы частота опасных событий не превышала бы значения, соответствующего приемлемому риску, и/или

- возможность того, что функции безопасности так изменяют последствия отказов, чтобы риск не превышал значение приемлемого риска.

Рисунок А.1 иллюстрирует общую концепцию снижения риска. Общая модель предполагает следующее:

- имеется процесс и связанная с ним основная система управления процессом (ОСУП);

- существует связанный с процессом человеческий фактор;

- слои защиты безопасности включают в свой состав:

- механическую систему защиты,

- приборные системы безопасности,

- неприборные системы,

- механическую систему ослабления последствий.

Примечание - На рисунке А.1 представлена обобщенная модель риска, иллюстрирующая общие принципы. Модель риска для конкретного случая должна составляться с учетом конкретных приемов, с помощью которых на базе ПСБ и других слоев защиты фактически достигается необходимое снижение риска. Результирующая модель риска в конкретном случае может отличаться от представленной на рисунке А.1.

На рисунках А.1 и А.2 показаны следующие риски:

- риск процесса. Это риск наличия конкретных опасных событий для процесса. При этом учитывается наличие основной системы управления процессом и человеческого фактора. При определении этого риска не рассматриваются какие бы то ни было специальные средства защиты безопасности;

- приемлемый риск (заданный уровень безопасности процесса). Риск, который считается приемлемым в данном контексте на основе принятой в обществе системы ценностей;

- остаточный риск. В контексте настоящего стандарта это риск возникновения опасных событий при условии применения всей совокупности слоев защиты.

Риск процесса является функцией от риска, связанного с самим процессом, но учитывающего также снижение риска, достигнутое благодаря применению системы управления процессом. Для того чтобы избежать неразумных требований к полноте безопасности ОСУП, настоящий стандарт устанавливает ограничения на возможные требования.

Необходимое снижение риска - это уменьшение уровня риска до такого минимального значения, который необходим для обеспечения приемлемого риска. Оно может достигаться с помощью как одного способа, так и комбинацией способов снижения риска. Процесс необходимого снижения риска, обеспечивающий достижение конкретного приемлемого риска от начального значения риска процесса, показан на рисунке А.1.

Примечание - В некоторых применениях для достижения целевого риска параметры риска (например, частота и вероятность отказа по запросу) не могут быть просто объединены, как представлено в рисунке А.1, без учета факторов, отмеченных в приложении J. Это может произойти из-за влияния отказов по общей причине и общих зависимостей между различными слоями защиты.

А.4 Риск и полнота безопасности

Очень важно полностью осознать разницу между риском и полнотой безопасности. Риск - это мера частоты появления и последствий конкретного опасного события. Его можно оценить для различных ситуаций (риск процесса, приемлемый риск, остаточный риск и т.д., см. рисунок А.1). При определении приемлемого риска учитывают социальные и политические факторы. Полнота безопасности - это мера вероятности того, что функция безопасности ПСБ и другие слои защиты обеспечат установленную безопасность. Только после того как приемлемый риск установлен и получена оценка величины необходимого снижения риска, можно определить требования к полноте безопасности ПСБ.

Примечание - Такая процедура может носить итеративный характер, что позволит осуществить оптимизацию разработки в целях выполнения различных требований. Роль, которую играют функции безопасности при достижении необходимого снижения риска, показаны на рисунках А.1 и А.2.

А.5 Распределение требований к безопасности

На рисунке А.4 показано распределение требований к безопасности (требований как к функциям безопасности, так и к полноте безопасности) по различным ПСБ и другим слоям защиты. Требования к процессу распределения даны в МЭК 61511-1, раздел 9.

Применение тех или иных методов для распределения требований полноты безопасности по ПСБ, другим связанным с безопасностью технологическим системам, а также по внешним средствам снижения риска зависит прежде всего от того, каким образом определена степень необходимого снижения риска - количественно или качественно. Эти подходы называют полуколичественными, полукачественными и качественными соответственно (см. приложения В-F).

Рисунок А.1 - Общая концепция снижения риска

Рисунок А.2 - Концепции риска и полноты безопасности

А.6 Опасное событие, опасная ситуация и вредоносное событие

Термины "опасное событие" и "опасная ситуация" часто используются в последующих приложениях. На рисунке А.3 продемонстрировано различие между терминами и показано развитие от опасного события до опасной ситуации из-за потери управления, приводящее к возникновению вредоносного события.

Рисунок А.3 демонстрирует, как вред наносится людям, но его также можно применить и к нанесению вреда окружающей среде или ущерба имуществу.

Рисунок А.3 - Развитие вредоносного события

Рисунок А.3 показывает, как потеря управления или инициирование любой другой причины приводит к аварийной ситуации и формирует запрос к мерам защиты, таким как предупредительные тревожные сигнализации, ПСБ, предохранительная арматура и т.д. Опасное событие возникает, если выполняется запрос, а соответствующие меры защиты находятся в состоянии отказа и не функционируют, как положено. Опасное событие само по себе не обязательно наносит ущерб, но если человек (люди) находился в зоне (или области) его воздействия, и таким образом подвергался воздействию опасного события, то это приводит к опасной ситуации. Если человек не способен избежать пагубных последствий воздействия, то оно характеризуется как вредоносное воздействие из-за нанесения вреда здоровью.

А.7 Уровни полноты безопасности

В настоящем стандарте определены четыре уровня полноты безопасности, причем уровень полноты безопасности 4 - наивысший, уровень полноты безопасности 1 - низший.

Целевые меры отказов для задания всех четырех уровней полноты безопасности определены в МЭК 61511-1, таблицы 3 и 4. Установлены два таких параметра: один для ПСБ, действующих в режиме низкой интенсивности запросов, и другой для ПСБ, работающих в режиме с непрерывным запросом или в режиме высокой интенсивности запросов.

Примечание - В случае ПСБ, работающей в режиме низкой интенсивности запросов, целевой мерой отказов является средняя вероятность опасного отказа функции безопасности по запросу. В случае если ПСБ работает в режиме с непрерывным запросом или в режиме высокой интенсивности запросов, то целевой мерой отказов является средняя частота опасных отказов функции безопасности (см. МЭК 61511-1, 3.2.83 и таблицу 5).

А.8 Выбор метода для определения требуемого уровня полноты безопасности

Имеются различные пути установления требуемого УПБ для конкретного случая. В приложениях В-I представлена информация о ряде используемых методов. Выбор метода для конкретного применения зависит от многих факторов, в том числе:

- от сложности задачи;

- указаний регулирующих органов;

- природы риска и требуемой величины его снижения;

- опыта и квалификации персонала, выполняющего эту работу;

- доступной информации о параметрах риска (см. рисунок А.4);

- доступной информации о ПСБ, использующейся в настоящее время в конкретных применениях, описанных в отраслевых стандартах и промышленной практике.

В некоторых случаях можно использовать не один, а несколько методов. Так, при определении требуемого УПБ для всех рассматриваемых функций безопасности ПСБ в качестве первого шага можно использовать качественные методы. Те функции, которым с помощью этого метода был присвоен уровень 3 или 4, следует затем проанализировать более детально с использованием количественных методов для получения более точной оценки требуемой их полноты безопасности.

Важно то, что какой бы ни был выбран метод (методы) для конкретного применения, для его оценки должны использоваться определенные критерии риска.

Примечание - Требования к полноте безопасности устанавливаются для каждой функции безопасности ПСБ до распределения [см. МЭК 61511-1 (раздел 9)].

Рисунок А.4 - Распределение требований безопасности по слоям защиты, не относящимся к ПСБ, и другим слоям защиты