Приложение F (справочное). Анализ слоев защиты. Национальный стандарт РФ ГОСТ Р МЭК 61511-3-2018 "Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 3. Руководство по определению требуемых уровней полноты безопасности" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 08.08.2018 N 467-ст)

Приложение F
(справочное)

Анализ слоев защиты

F.1 Введение

В данном приложении описан метод, получивший название "Анализ слоев защиты" (АСЗ). Исходными данными для применения этого метода являются результаты анализа, полученные методом HAZOP. Далее учитывают каждую выявленную опасность путем документального оформления всех вызвавших ее причин. Кроме этого учитывают все слои защиты, которые предотвращают либо ослабляют эту опасность. По этим данным определяют общую меру снижения риска и анализируют необходимость дальнейшего его снижения. Если необходимо дальнейшее снижение риска и его предполагается проводить путем введения функции безопасности ПСБ, то метод АСЗ позволяет определить соответствующий этой функции УПБ.

Данное приложение не содержит подробного описания метода, а предназначено для иллюстрации общих принципов его применения. Более подробно метод описан в Guideline for Safe Automation of Chemical Processes, American Institute of Chemical Engineers, CCPS, 345 East 47th Street, New York, NY 10017, 1993, ISBN 0-8169-0554-1.

Пример применения метода АСЗ см. также в МЭК 61511-2, F.11.

Численные значения, представленные в данном приложении, не должны применяться в качестве универсальных и использоваться в конкретном слое защиты при анализе приложений.

Жизненный цикл ПСБ, определенный в МЭК 61511-1, требует определения УПБ при создании функции безопасности ПСБ. Метод АСЗ, описываемый ниже, позволяет группе, состоящей из специалистов разного профиля, определить УПБ для функций безопасности ПСБ на действующем объекте. В состав группы должны входить следующие специалисты:

- оператор, имеющий опыт работы с рассматриваемым процессом;

- инженер - эксперт по данному процессу;

- технолог;

- инженер - специалист в области управления процессами;

- специалист по техническому обслуживанию аппаратуры (в том числе электрической), имеющий опыт эксплуатации данного процесса;

- специалист в области анализа риска.

Один из участников группы должен быть обучен применению метода АСЗ.

Информация, требующаяся для применения метода АСЗ, содержится в данных, собранных и полученных в результате применения анализа опасности и работоспособности (HAZOP). Связь между данными, требующимися для применения АСЗ, и данными, полученными методом HAZOP, показана в таблице F.1. На рисунке F.1 показана типичная форма, которую можно использовать при применении метода АСЗ.

Метод АСЗ анализирует опасности, чтобы определить, требуются ли функции безопасности ПСБ, и если требуются, то он позволяет для каждой из таких функций определить УПБ.

F.2 Влияющее событие

Пользуясь бланком, приведенным на рисунке F.1, описание (последствие) каждого влияющего события, полученное методом HAZOP, заносят в графу 1.

F.3 Уровень тяжести события

Далее согласно таблице F.2 выбираются уровни тяжести влияющего события: малый (М), серьезный (S) или значительный (Е) - и заносятся в графу 2 на рисунке F.1.

Таблица F.1 - Данные, которые HAZOP готовит для АСЗ

Информация, требующаяся для АСЗ	Информация, полученная HAZOP
Влияние события	Последствия
Уровень тяжести события	Тяжесть последствий
Исходная причина	Причина
Вероятность возникновения исходной причины	Частота возникновения причин
Слои защиты	Используемые меры защиты
Требуемое дополнительное ослабление	Рекомендуемые новые меры защиты

F.4 Исходные причины

Все причины, инициирующие появление опасного события, записывают в колонку 3 на рисунке F.1. Влияющие события могут иметь много исходных причин, и важно перечислить их все.

Примечание - Если независимые спои защиты не были должным образом выбраны, то значения частоты и вероятности отказов по запросу не могут быть перемножены, как показано на рисунке F.1. См. приложение J.

N	1	2	3	4	5			6	7	8	9	10	11
					Слой защиты
	Описание влияющего события, F.2, F.13.2	Уровень тяжести, F.3, F.13.2	Исходная причина F.4, F.13.3	Вероятность исходной причины в год, F.5, F.13.4	Общий проект процесса, F.13.5	ОСУП, F.13.6	Сигнализация и т.п., F.13.7	Дополнительное ослабление, ограничение доступа, F.7, F.13.8	Дополнительные НСЗ, ограждения, предохранительные клапаны, F.7, F.13.9	Вероятность промежуточного события, в год F9, F.13.10	УПБ функции безопасности ПСБ, F.10, F.13.11	Вероятность ослабления влияющего события, в год F.11, F.13.11	Примечание
1	Пожар из-за разрушения колонны	S	Отсутствие охлаждающей воды	0,1	0,1	0,1	0,1	0,1	PRV 0,01	10-7	10-2	10-8	Высокое давление вызывает разрушение колонны
2	Пожар из-за разрушения колонны	S	Отказ контура управления паром	0,1	0,1		0,1	0,1	PRV 0,01	10-6	10-2	10-8	То же

Уровни тяжести события: Е - значительный, S - серьезный, М - малый.

Вероятность характеризуется числом событий в год. Другие числовые данные являются средними вероятностями отказов при наличии запроса.

Рисунок F.1 - Отчет по результатам АСЗ

Таблица F.2 - Уровни тяжести влияющего события

Уровень тяжести	Последствие
Малый (м)	Воздействие, первоначально ограниченное локальной зоной появления события с тенденцией к расширению последствий при отсутствии корректирующих действий
Серьезный (S)	Опасное событие может привести к тяжелым травмам или к фатальному исходу как в локальной зоне, так и вне ее
Значительный (Е)	Опасное событие, в пять или более раз более жесткое, чем серьезное событие

F.5 Вероятность появления исходных причин

Численное значение вероятности появления исходных причин, измеряемое числом событий в год, заносят в графу 4 рисунка F.1. Типичные значения вероятности появления таких причин приведены в таблице F.3. Для определения вероятности исходной причины очень важен опыт упоминавшейся группы специалистов.

Значения в таблице F.3 не должны использоваться для конкретных оценок (см. примечание 1).

Таблица F.3 - Вероятность появления исходных причин

Низкая	Отказ или серия отказов с очень низкой вероятностью появления в течение ожидаемого времени жизни объекта, например: - три или более одновременных отказов приборов или ошибок оператора; - самопроизвольный отказ отдельного резервуара или иного оборудования процесса	f < 10-4 в год
Средняя	Отказ или серия отказов с низкой вероятностью появления в течение ожидаемого времени жизни объекта, например: - отказы резервированного прибора или клапана; - комбинация отказов приборов и ошибок оператора; - одиночные отказы небольшой технологической линии или фитинга	10-4 < f < 10-2 в год
Высокая	Отказы, которых следует ожидать в течение времени жизни объекта, например: - утечки в процессе; - одиночные отказы прибора или клапана; - ошибки человека, способные привести к выбросам материала	10-2 < f < 100 в год
Примечания 1 Данная таблица представлена в качестве иллюстрации. Указанные частоты не могут быть взяты в качестве универсальных частот и не могут использоваться в конкретных оценках. 2 f - частота инициирующего события (вероятность инициирующего события).

F.6 Слои защиты

На рисунке 2 показано несколько слоев защиты, которые обычно применяют для промышленных процессов. Каждый слой защиты представляет собой совокупность технических средств и/или административных мер, которые функционируют совместно с другими слоями защиты. Слои защиты, которые выполняют свои функции с высокой степенью надежности, могут считаться независимыми слоями защиты (НСЗ) (см. F.8).

Проектные решения, направленные на уменьшение вероятности появления исходных событий, приведены в колонке 5 на рисунке F.1. Примером может служить использование защитной рубашки для трубопровода или емкости. Такая рубашка должна предотвращать выброс материала в случае нарушения целостности основного трубопровода или емкости.

В следующей графе колонки 5 на рисунке F.1 приведена информация, связанная с ОСУП. Если контур управления, реализуемый ОСУП, предотвращает появление опасного события при возникновении исходных причин, то его влияние характеризуют заявленным для него значением PFD (средней частоты отказов при наличии запроса).

В последней графе колонки 5 на рисунке F.1 указывается влияние аварийной сигнализации, которая привлекает внимание оператора и стимулирует его вмешательство в процесс. Характерные величины ВОНЗ для слоев защиты приведены в таблице F.4.

Значения в таблице F.4 не должны использоваться для конкретных оценок (см. примечание).

Таблица F.4 - Типичные значения ВОНЗ слоев защиты (предотвращение и ослабление)

Слой защиты	ВОНЗ
Контур управления
Работа оператора (опытного и в отсутствие стресса)	до
Работа оператора в условиях стресса	0,5 до 1,0
Реакция оператора на аварийную сигнализацию
Давление внутри сосуда, вызываемое внутренними и внешними причинами, превышает максимально возможное	10-4 или меньше, если сохраняется целостность емкости (т.е. коррозия под контролем, инспекцию и обслуживание проводят согласно расписанию)

Примечание - Числа в таблице F.4 представлены в качестве иллюстрации из диапазона значений, которые могут появиться при оценках. Указанные значения не могут быть взяты в качестве универсальных частот и не могут использоваться в конкретных оценках. Вероятности ошибок человека могут быть соответственно оценены на индивидуальной основе.

F.7 Дополнительное ослабление

Ослабляющие слои относят к одной из трех категорий - механические, структурные и процедурные. Примерами могут служить:

- устройства сброса давления;

- ограждения;

- ограниченный доступ.

Ослабляющие слои могут уменьшить тяжесть нежелательного события, но не предотвращают его появления. Примерами могут служить:

- система пожаротушения при появлении огня или дыма;

- пожарная сигнализация;

- меры по эвакуации персонала.

Группа специалистов, занимающаяся АСЗ, должна определить соответствующие ВОНЗ для всех ослабляющих слоев защиты и перечислить их в графе 6 на рисунке F.1.

F.8 Независимые слои защиты

Слои защиты, удовлетворяющие критериям для независимых слоев защиты (НСЗ), заносят в графу 7 на рисунке F.1.

Для того чтобы слой защиты считался независимым, он должен удовлетворять следующим критериям:

- защита должна обеспечивать значительное (минимум в десять раз) снижение определенного риска;

- функция защиты должна выполняться с высокой степенью готовности (0,9 и более);

- слой защиты должен обладать следующими важными характеристиками:

a) специфика - НСЗ проектируется специально для того, чтобы предотвратить или ослабить последствия одного потенциально опасного события (например, неуправляемая реакция, выброс токсичного материала, разгерметизация аппарата, пожар). Причин возникновения этой опасной ситуации может быть много, и, следовательно, действие НСЗ может происходить по многим сценариям, вызванным многочисленными исходными событиями;

b) независимость - НСЗ не зависит от других слоев защиты, связанных с той же выявленной опасностью;

c) гарантия надежности - можно рассчитывать, что НСЗ будет выполнять предназначенные для него функции. При его проектировании учитывают как случайные, так и систематические отказы;

d) проверяемость - НСЗ должен облегчать проведение регулярного подтверждения соответствия функций защиты. При этом необходимы проверочные испытания и обслуживание системы безопасности.

Только такие слои защиты, которые пройдут испытания на соответствие требованиям эксплуатационной готовности, специфики, независимости, гарантии надежности и проверяемости, могут быть классифицированы как независимые.

F.9 Вероятность промежуточного события

Вероятность промежуточного события подсчитывают умножением вероятности появления исходной причины (графа 4 на рисунке F.1) на значение ВОНЗ для слоев защиты и ослабления (графы 5, 6 и 7 на рисунке F.1). Найденное значение имеет размерность числа событий в год, и его заносят в графу 8 на рисунке F.1.

Если вероятность промежуточного события меньше, чем корпоративный критерий для событий этого уровня тяжести, то дополнительные слои защиты не требуются. Дальнейшее снижение риска следует проводить с учетом экономической целесообразности.

Если вероятность промежуточного события больше, чем корпоративный критерий для событий этого уровня тяжести, то требуется дальнейшее снижение риска. Перед тем как решить вопрос о введении дополнительного слоя защиты в виде ПСБ, следует рассмотреть возможность использования методов и решений, обеспечивающих большую безопасность. Прежде чем применять дополнительные слои защиты на основе ПСБ, необходимо рассмотреть методы и решения, безопасные в своей основе. При этом данные на рисунке F.1 обновляют, производят перерасчет вероятности промежуточного события и сравнение найденного значения с корпоративным критерием.

Если величину вероятности промежуточного события не удается сделать меньшей, чем корпоративный критерий, то требуется применить ПСБ.

F.10 Уровень полноты функции безопасности ПСБ

Если оказывается необходимым ввести новую функцию безопасности ПСБ, то следует подсчитать требуемый уровень ее полноты. Для этого величину корпоративного критерия для заданного уровня тяжести события необходимо разделить на величину вероятности промежуточного события. Значение ВОНЗ для функции безопасности ПСБ, лежащее ниже найденного в результате деления значения, принимают как максимальное для ПСБ и заносят в графу 9 на рисунке F.1.

F.11 Вероятность ослабления влияющего события

Далее подсчитывают значение вероятности ослабления влияющего события. Для этого значения граф 8 и 9 на рисунке F.1 перемножают, и результат заносят в графу 10 на рисунке F.1. Эту процедуру продолжают до тех пор, пока группа специалистов не рассчитает вероятности ослабления событий для всех обнаруженных влияющих событий.

F.12 Полный риск

В качестве заключительного шага следует сложить вероятности ослабления влияющих событий для всех событий с серьезными и высокими уровнями тяжести, вызывающие одну и туже опасность. Например, вероятности ослабления влияющих событий для всех событий с серьезными и высокими уровнями тяжести, вызывающих пожар, сложить и использовать в формуле вида:

риск фатального исхода при пожаре = (общая вероятность ослабления влияющих событий, связанных с выбросом воспламеняющегося материала) х (вероятность возгорания) х (вероятность пребывания людей в опасной зоне) х (вероятность фатального исхода при пожаре).

Далее следует сложить вероятности ослабления влияющих событий для всех событий с серьезными и высокими уровнями тяжести, связанных с выбросом токсичных материалов, и использовать в аналогичной формуле:

риск фатального исхода при выбросе токсичных материалов = (общая вероятность ослабления влияющих событий, связанных с токсичными выбросами) х (вероятность пребывания людей в опасной зоне) х (вероятность фатального исхода вследствие токсичного выброса).

Экспертная оценка специалиста по анализу рисков и знания группы специалистов играют важную роль в уточнении и адаптации перечисленных выше показателей в формулах к условиям и практике работы объекта, а также к обществу, подвергаемому опасности.

Теперь можно определить полный риск для корпорации, связанный с данным процессом. Для этого следует объединить результаты, полученные расчетным путем по приведенным выше формулам.

Если полученное значение соответствует корпоративному критерию для персонала, подвергающегося опасности, или меньше его, то АСЗ можно считать завершенным. Однако поскольку персонал может подвергаться риску также со стороны других установок и проектов, то представляется разумным провести дальнейшее ослабление и снижение риска, если это окажется экономически оправданным.

F.13 Пример

F.13.1 Общие положения

Ниже приведен пример применения методологии АСЗ по отношению к опасному событию, выявленному методом HAZOP.

F.13.2 Влияющее событие и уровень его тяжести

Пусть с помощью метода HAZOP выявлено, что отклонение высокого давления в реакторе полимеризации периодического действия является опасным событием. Реактор из нержавеющей стали соединен последовательно с насадочной колонной из пластмассы, армированной стальной нитью, и конденсатором, выполненным из нержавеющей стали. Трещина в армированной насадочной пластмассовой колонне может привести к выбросу воспламеняющегося газа, что, в свою очередь, может вызвать пожар при наличии источника воспламенения. Группа специалистов, пользуясь таблицей F.2, установила, что событие относится к уровню тяжести S (серьезный), поскольку оно может привести к серьезным травмам и даже фатальному исходу в опасной зоне. Влияющее событие и его тяжесть вносят соответственно в графы 1 и 2 на рисунке F.1.

F.13.3 Исходные причины

Методом HAZOP были зафиксированы две исходные причины повышения давления: прекращение подачи охлаждающей воды в конденсатор и отказ контура управления паром в реакторе. Обе эти причины внесены в графу 3 на рисунке F.1.

F.13.4 Возможность исходных событий

Прекращение подачи охлаждающей воды на данном предприятии происходит, как показывает практика, один раз в 15 лет. Группа исследователей в качестве консервативной оценки приняла, что прекращение подачи охлаждающей воды происходит один раз в 10 лет. В графу 4 на рисунке F.1 вносят значение 0,1 событий в год. Представляется разумным проследить до конца влияние этой причины и лишь затем обратиться к другой причине - к отказу контура управления паром в реакторе.

F.13.5 Проектирование слоев защиты

Производственная зона была спроектирована в соответствии с принятой классификацией применения электрического оборудования во взрывозащищенных зонах, и для нее реализован план управления безопасностью. Одним из элементов этого плана является управление процедурой замены электрического оборудования. По оценке группы АСЗ, риск воспламенения снижается в 10 раз благодаря управлению процедурами замены. Следовательно, влияние этого фактора равно 0,1. Это значение вносят в графу "Общий проект процесса" колонки 5 на рисунке F.1.

F.13.6 ОСУП

Высокое давление в реакторе сопровождается высокой температурой. В ОСУП предусмотрен контур управления, который изменяет подачу пара в рубашку реактора в зависимости от температуры в реакторе. Если температура в реакторе превышает заданное значение, то ОСУП прекратит подачу пара в рубашку реактора. Так как прекращение подачи пара способно предотвратить высокое давление, то ОСУП является слоем защиты. ОСУП является очень надежной цифровой системой управления, и оперативный персонал никогда не наблюдал отказа, в результате которого перестал бы работать контур управления температурой. Группа АСЗ принимает решение, что ВОНЗ составляет 0,1, и вносит значение 0,1 в графу "ОСУП" колонки 5 на рисунке F.1 (0,1 - это минимально допустимое значение для ОСУП).

F.13.7 Аварийная сигнализация

Система имеет в своем составе датчик расхода охлаждающей воды в конденсатор. Этот датчик подключен к разным входам ОСУП и контроллера регулирования температуры. При малом потоке охлаждающей воды в конденсатор срабатывает аварийная сигнализация, требующая от оператора вмешаться в ход процесса и перекрыть подачу пара. Аварийная сигнализация может считаться слоем защиты, так как она размещается в другом по отношению к контуру регулирования температуры контроллере ОСУП. Группа АСЗ принимает решение, что и в этом случае среднюю вероятность отказа при запросе можно принять равной 0,1, так как оператор всегда находится в операторском помещении. В графу "Сигнализация" колонки 5 на рисунке F.1 заносят значение 0,1.

F.13.8 Дополнительное ослабление

Во время работы установки доступ в рабочую зону ограничен. Обслуживание производят только в те периоды, когда оборудование остановлено и отключено. План безопасного ведения процесса требует, чтобы все лица, не относящиеся к оперативному персоналу, отмечались при входе в рабочее помещение и предупреждали о своем приходе оператора. Группа АСЗ полагает, что наличие таких усиленных ограничений доступа приводит к снижению риска для оперативного персонала на порядок. Поэтому в графу 6 "Дополнительное ослабление, ограничение доступа" на рисунке F.1 вводят значение 0,1.

F.13.9 Независимый(е) слой(и) защиты (НСЗ)

Реактор оборудован предохранительным клапаном, рассчитанным таким образом, чтобы пропустить весь объем газа, образовавшегося за период повышения температуры и давления, вызванного отсутствием охлаждающей воды. Далее с учетом запасов и состава материала был оценен вклад предохранительного клапана в снижение риска. Поскольку предохранительный клапан настроен на давление ниже расчетного давления фиберглассовой колонны и ошибка оператора, в результате которой колонна во время работы была бы изолирована от предохранительного клапана, невозможна, то предохранительный клапан рассматривается как слой защиты. Сам предохранительный клапан демонтируют и испытывают каждый год, и ни разу за 15 лет работы не наблюдалось забивания клапана или смежных труб. Так как предохранительный клапан соответствует критерию НСЗ, то на основании рассмотренного выше опыта работы и опубликованных промышленных данных значение ВОНЗ принято равным 0,01 и соответствующее значение занесено в графу 7 на рисунке F.1.

F.13.10 Вероятность промежуточного события

Числа, занесенные в первую строку всех граф, перемножают, и результат заносят в графу 8 "Вероятность промежуточного события" на рисунке F.1. Произведение этих величин в настоящем примере составляет 10^-7.

F.13.11 ПСБ

Ослабление и снижение риска, полученные благодаря слоям защиты, оказываются достаточными, чтобы удовлетворить корпоративному критерию. Можно, однако, получить дальнейшее ослабление, причем при минимальных затратах, поскольку в системе предусмотрены датчик давления в сосуде, а также соответствующая сигнализация в ОСУП. Группа АСЗ принимает решение ввести дополнительную функцию безопасности ПСБ, которая состоит из выключателя и реле, прекращающих подачу питания на соленоидный клапан, связанный с клапаном на линии подачи пара в рубашку реактора. Эта функция безопасности ПСБ разрабатывается для наиболее низкого значения диапазона УПБ 1, и ее ВОНЗ равна 0,01. Значение 0,01 вносят в графу 9 "УПБ функции безопасности ПСБ" на рисунке F.1.

Затем рассчитывают вероятности ослабления влияющего события. Этого достигают путем перемножения чисел в графах 8 и 9. Результат, равный , заносят в графу 10 на рисунке F.1.

F.13.12 Следующая функция безопасности ПСБ

Затем группа АСЗ рассматривает вторую исходную причину (отказ контура управления расходом пара в реакторе). Вероятность отказа управляющего клапана определяют по таблице F.3, и в графу 4 "Вероятность исходной причины" на рисунке F.1 вносят число 0,1.

Слои защиты, предусмотренные при проектировании процесса, аварийная сигнализация, дополнительное ослабление и ПСБ - все это также служит защитой при отказе контура управления паром. Единственный отсутствующий слой защиты - это ОСУП. Группа АСЗ рассчитывает промежуточную вероятность () и вероятность ослабления влияющего события (). Эти величины вносят соответственно в графы 8 и 10 на рисунке F.1.

Группа АСЗ будет продолжать анализ до тех пор, пока не будут рассмотрены все отклонения, обнаруженные методом HAZOP.

Заключительный шаг - сложение вероятностей ослабления влияющих событий для событий с серьезными и высокими уровнями тяжести, которые вызывают ту же опасность.

В настоящем примере, если бы для всего процесса было выявлено только одно влияющее событие, эта величина была бы равной . Так как вероятность воспламенения была рассчитана по данным проекта (0,1), а вероятность пребывания людей в опасной зоне с учетом дополнительного ослабления составляет (0,1), то уравнение для риска фатального исхода, вызванного пожаром, сводится к следующему:

риск фатального исхода от пожара = (общая вероятность ослабления влияющих событий, связанных с выбросом воспламеняющегося материала) х (вероятность получения фатальной травмы при пожаре = 0,5)

или риск фатального исхода от пожара = .

Это число ниже корпоративного критерия для данной опасности, и дальнейшее снижение риска не является экономически оправданным. Таким образом, работу группы АСЗ можно считать завершенной.