Приложение I (справочное). Создание и калибровка графа риска. Национальный стандарт РФ ГОСТ Р МЭК 61511-3-2018 "Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 3. Руководство по определению требуемых уровней полноты безопасности" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 08.08.2018 N 467-ст)

Приложение I
(справочное)

Создание и калибровка графа риска

I.1 Общие положения

Настоящее приложение описывает основные шаги, выполняемые для формирования и калибровки графа риска, который по факторам риска, известным для конкретного обрабатывающего предприятия, позволяет определить уровень полноты безопасности (УПБ) функции безопасности ПСБ.

Граф риска, используемый для оценки необходимых уровней полноты безопасности, для применения на любом обрабатывающем предприятии должен подходить для конкретного применения и быть калиброван, чтобы использовать значения частот допустимых событий, для которых было определено, что они связаны с возможными рисками процессов работы предприятия.

Методы графа риска представлены в МЭК 61511-3 в качестве примера, и пользователь должен удостовериться в том, что они соответствуют применению и гарантируют, чтобы у полученных результатов было правильное значение. Во многих случаях необходимо адаптировать такой метод, чтобы сделать его соответствующим применению, и откалибровать выбранный граф риска, чтобы с помощью него получать правильные значения.

В настоящем приложении не предполагалось описывать исчерпывающее объяснение процесса разработки и калибровки графа риска, оно предназначено для иллюстрации общих принципов. Настоящее приложение основано на методе, описанном более подробно в "Using risk graphs for Safety Integrity Level (SIL) assessment - first edition"; Clive De Salis, C; Institution of Chemical Engineers, 2011.

I.2 Шаги, выполняемые для формирования и калибровки графа риска

Шаги, выполняемые для формирования и калибровки графа риска, могут включать, но не быть ограничены этим, следующее:

- принять решение о том, какие параметры оценки будут включены в граф риска;

- изобразить полную структуру графа риска;

- определить каждый из параметров подробно;

- назначить значения для каждого из параметров, которые соответствуют определениям;

- определить значения частот допустимых событий, которые будут использоваться для каждого определения последствия;

- определить ось калибровки для каждого последствия;

- вычислить все другие значения в графе риска относительно соответствующей оси калибровки;

- преобразовать значения вероятности событий в значения УПБ, используя соответствующую частоту допустимых событий;

- рассмотреть полный граф риска и удалить любые маршруты через граф риска, которые противоречат требованиям.

I.3 Разработка графа риска

В настоящем подразделе кратко описано, как может быть разработан граф риска.

На первых шагах проектирования и калибровки графа риска необходимо определить параметры, для которых должна быть выполнена оценка в процессе формирования полной структуры графа риска, подробного определения каждого параметра и определения диапазона значений, связанного с каждым параметром.

I.4 Параметры графа риска

I.4.1 Выбор параметров

При выборе параметров, использующихся для оценки УПБ для обрабатывающего предприятия, пользователь должен выбрать все надлежащие значения, которые будут оценены. На рисунке 1.1 представлены основные параметры, которые должны быть рассмотрены, но другие также могут оказаться важными и должны быть добавлены.

Рисунок I.1 - Рассматриваемые параметры графа риска

Чтобы показать, как может быть разработан граф риска, имеющий большое число параметров, на рисунке I.2 представлен пример, демонстрирующий объединение методов из приложения D (см. рисунок D.1) и приложения С (см. рисунок С.2).

I.4.2 Число параметров

Определив параметры, которые будут использоваться, далее необходимо принять решение о числе значений каждого параметра, которые будут использоваться. Например, может быть достаточно вероятность того, что человек подвергается риску, представлять просто двумя значениями: F1 и F2.

I.4.3 Значение параметра

Затем необходимо определить каждый параметр и каждое значение для этого параметра. Эти определения должны быть достаточно подробно изложены для членов команды оценки, чтобы понять параметр и повторно выбирать правильное значение.

Во время этого шага может быть необходимо пересмотреть решения, принятые либо на одном, либо на обоих предыдущих шагах.

I.4.4 Определение параметра

При определении включаемых параметров рассматривается вся доступная информация.

Например, может иметься информация о частоте события, происходящего на обрабатывающем предприятии, которое находится под управлением ОСУП, и тогда эти данные могут использоваться для того, чтобы определить частоту события и сбои ОСУП при управлении этим событием как общую величину. С другой стороны, могут быть данные об исходном событии независимо от способности ОСУП управлять этим режимом процесса.

Примечание - Если граф риска разрабатывается, исходя из частоты исходного события, то тогда граф риска может включать все другие параметры, с которыми можно определить интенсивность запросов к функции безопасности. Поэтому, чтобы должным образом оценить интенсивность запросов к функции безопасности, должны быть включены другие независимые средства снижения риска.

I.4.5 Граф риска

Граф риска изображается в виде общей диаграммы.

Примечание - Диаграмма обычно будет симметрична по форме и включать все комбинации возможных маршрутов, включая те маршруты в диаграмме, которые позже могут быть исключены. Например, политика компании может состоять в том, чтобы исключить рассмотрение ответа оператора на сигнал тревоги там, где последствием являются, возможно, многократные смертельные случаи. В этом случае в качестве примера диаграмма будет включать линии ответа оператора на этой стадии проекта, но на заключительном этапе опция выбора ответа оператора будет удалена.

Частота инициирующего события IEF, событий в год:

1 - не более одного раза в год;

2 - не более одного раза в десять лет;

3 - время жизни предприятия.

Обозначения:

0 - слой защиты не требуется;

а - в слое защиты на основе ПСБ, вероятно, нет необходимости;

1 и 2 - необходимые значения ПСБ.

Рисунок I.2 - Иллюстрация графа риска с параметрами из рисунка I.1

I.4.6 Частоты приемлемых событий Tef для каждого последствия

I.4.6.1 Tef-руководство

Руководство по определению частот приемлемых событий.

I.4.6.2 Оценка УПБ частот приемлемых событий

Оценка УПБ частот приемлемых событий отличается для каждого последствия. Назначаемые величины часто связывают с последствием единичного смертельного случая. Если в обосновании безопасности для обрабатывающего предприятия можно использовать линейную прогрессию: единичный смертельный случай = 1, серьезная травма = 0,1 и небольшой ушиб = 0,01, то весь набор этих значений формируется для каждого последствия, определенного в I.4.3 и I.4.4. Но значения прогрессий не всегда линейны. Например, значения могут меняться для многократных смертельных случаев (N), и нет ничего необычного в том, что эти значения различны для N = 10 или N = 50.

I.4.6.3 Граф риска Tef

Необходимо обеспечить, чтобы значения частот приемлемых событий правильно использовались в графе риска. Если частота приемлемого события является числом серьезных травм человека в год, а граф риска предназначен для рассмотрения риска отдельного обрабатывающего предприятия, то эти два условия непосредственно не совместимы. Человек подвергается многократным рискам серьезной травмы в результате его деятельности, и таким образом, проект должен рассмотреть, как преобразовать выражения риска для человека в выражения для рисков единичного события на обрабатывающем предприятии.

I.4.7 Калибровка

I.4.7.1 Общие положения

В данном пункте объясняется значение калибровки при разработке графа риска.

I.4.7.2 Ось калибровки

Ось калибровки для каждого последствия - это путь на графе риска, который строго соответствует этому последствию.

Пример - У графа риска могут быть следующие параметры (см. рисунок I.1):

С3 - единичный смертельный случай;

F2 - вероятность воздействия равняется 1 (т.е. персонал, вероятно, присутствует);

Р2 - опасности трудно избежать;

R0 - никакие другие независимые технологические средства по снижению риска не доступны;

М0 - никакие другие независимые меры по снижению риска не доступны;

1 - частота исходного события равна одному событию в год.

Последовательность пути на графе риска в этом примере означает, что результатом является, возможно, единичный смертельный случай, персонал в опасной зоне присутствует, избежать опасности трудно, отсутствуют как независимые средства по снижению риска, чтобы его предотвратить, так и меры по его смягчению, чтобы изменить результат последствия, а также исходное событие происходит каждый год. И это приводит к тому, что погибает один человек в год. Это - ось калибровки для последствия с единичным смертельным случаем, потому что, если частота приемлемого события, требуемая для него, составляет , то вероятность отказа требуемой функции безопасности, предотвращающей это событие, является FD. Числовое значение каждого параметра в этой последовательности равно 1 и указывает на число присутствующих людей и на вероятность сбоя каждого параметра, который не позволяет предотвратить результат последствия. событие в год = 1 смертельный случай событие в год = 1 смертельный случай в год.

I.4.7.3 Калиброванные события в год

Для каждой оси калибровки конечный результат записывается в событиях в год, представленных этим путем на графе риска.

I.4.7.4 Число событий в год для пути на графе риска

Используя значения, определенные в I.4.3, I.4.4 и I.4.7.3, вычисляется число событий в год, которые произойдут для каждого пути на графе риска, настраивая каждый раз один параметр.

Это можно проиллюстрировать на том же самом примере из I.4.7.2, в котором будет изменено одно значение, например F2 на F1.

В результате граф риска будет иметь следующие параметры:

С3 - единичный смертельный случай;

F1 - вероятность воздействия равняется 0,1 (т.е. вероятность нахождения персонала в опасной зоне менее 10 %);

Р2 - опасности трудно избежать;

R0 - никакие другие независимые технологические средства по снижению риска не доступны;

М0 - никакие другие независимые меры по снижению риска не доступны;

1 - частота исходного события равна одному событию в год.

Последовательность пути на графе риска в этом случае означает, что результатом является, возможно, единичный смертельный случай, персонал в опасной зоне присутствует менее 10 % времени, избежать опасности трудно, отсутствуют как независимые средства по снижению риска, чтобы его предотвратить, так и меры по его смягчению, чтобы изменить результат, а также исходное событие происходит каждый год. И это приводит к тому, что погибает 0,1 человек в год. Числовое значение каждого параметра в этой последовательности равно 1 и указывает на число присутствующих людей и на вероятность сбоя каждого параметра, который не позволяет предотвратить результат последствия, за исключением значения F2, для которого было определено, что персонал в опасной зоне присутствует менее 10 % времени и поэтому он равен 0,1. событие в год = 1 смертельный случай - событие в год = 0,1 смертельный случай в год.

I.4.7.5 Вычисление ВОНЗ_ср

Для каждой из ветвей графа риска вычисляются частоты событий. Далее необходимо разделить значение частоты допустимых событий для рассматриваемого последствия на вычисленную частоту событий для каждой ветви графа риска. Полученные значения заносятся в граф риска и являются требуемыми значениями ВОНЗ_ср.

I.4.7.6 Преобразование ВОНЗ_ср в УПБ

Далее необходимо преобразовать каждое значение ВОНЗ_ср в значение УПБ. При преобразовании для графа риска значений ВОНЗ_ср в значения УПБ они никогда не должны округляться в меньшую сторону, т.е. к менее жесткому значению, а всегда должны округляться в большую сторону.

I.4.8 Завершение создания графа риска

I.4.8.1 Общие положения

В данном пункте рассматриваются вопросы о том, чем завершается создание графа риска.

I.4.8.2 Удаление путей

Пути, которые не должны присутствовать в графе риска, удаляются из него.

Например, политика компании может состоять в том, чтобы исключить рассмотрение реакции оператора на сигналы тревоги, последствием которых могут быть многократные смертельные случаи. В случае рассматриваемого примера путь/пути, связанный(е) с реакцией на возможное предупреждение, должен(ны) быть удален(ы) из графа риска, где возможным результатом являются многократные смертельные случаи.

I.4.8.3 Инструкции по применению графа риска

Должен быть подготовлен подробный набор инструкций, описывающих правильное использование графа риска. Эти инструкции должны включать описания ограничений использования графа риска (т.е. пределы применимости).