Приложение В (справочное). Полуколичественный метод. Анализ дерева событий. Национальный стандарт РФ ГОСТ Р МЭК 61511-3-2018 "Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 3. Руководство по определению требуемых уровней полноты безопасности" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 08.08.2018 N 467-ст)

Приложение В
(справочное)

Полуколичественный метод. Анализ дерева событий

В.1 Общие сведения

В данном приложении рассмотрен вопрос о том, как с помощью полуколичественного подхода можно определять целевые уровни полноты безопасности. Полуколичественный подход использует как качественные, так и количественные методы и наиболее целесообразен в случаях, когда приемлемый риск определяется численно (например, определенные последствия не должны возникать чаще чем один раз в сто лет).

Данное приложение не предназначено для использования в качестве руководства по применению конкретного метода, а имеет своей целью проиллюстрировать его общие принципы. Приложение основано на методе, детально описанном в CCPS/AIChE, Guidelines for Hazard Evaluation Procedures, Third Edition, Wiley-lnterscience, New York (2008).

B.2 Соответствие МЭК 61511-1

Основная цель данного приложения - проследить процедуру выбора необходимых функций безопасности ПСБ и установления их УПБ. Для решения этой задачи необходимо выполнить следующие основные шаги:

a) установить целевую (заданную) безопасность процесса (приемлемый риск);

b) провести анализ опасности и риска, чтобы оценить существующий риск для каждого конкретного опасного события;

c) определить функцию (функции) безопасности, требуемую для каждого конкретного опасного события;

d) распределить функции безопасности по слоям защиты.

Примечание - Предполагается, что слои защиты не зависят один от другого. Процесс распределения может гарантировать, что вероятность отказов по общей причине, отказов общего вида и систематических отказов достаточно мала по сравнению с общими требованиями снижения риска;

e) определить, требуются ли функции безопасности ПСБ;

f) определить УПБ функций безопасности ПСБ.

Шаг а) определяет целевую безопасность процесса. На шаге b) выполняется анализ риска процесса, а шаг с) позволяет на основании анализа риска определить, какие требуются функции безопасности и каким должно быть снижение риска, чтобы была достигнута целевая безопасность. После распределения на шаге d) этих функций безопасности по слоям защиты становится ясным, требуется ли функция (функции) безопасности ПСБ [шаг е)] и каким должен быть ее (их) УПБ [шаг f)].

В данном приложении при оценивании риска для достижения целей стандартов МЭК 61511 предлагается использовать полуколичественные методы. Этот подход продемонстрирован на простом примере.

В.3 Пример

В.3.1 Общее описание

Рассмотрим процесс, включающий емкость под давлением с насосом и двумя выходами (жидкости и газа), содержащую смесь газа и летучей воспламеняющейся жидкости, а также необходимое оборудование (см. рисунок В.1). Управление процессом осуществляется основной системой управления процессом (ОСУП), которая контролирует сигнал датчика расхода и управляет перемещением клапана. Имеются следующие технические системы, реализующие процесс: а) независимый датчик давления, который в случае недопустимого повышения давления выдает предупредительный сигнал, побуждающий оператора к принятию соответствующих мер по прекращению подачи жидкости в емкость, и б) если реакции оператора на аварийный сигнал не последует, то включается дополнительный, неприборный слой защиты, который является регулятором давления, чтобы предотвратить опасности, связанные с высоким давлением в емкости. Сбросы из регулятора давления отводятся по трубам в сепараторную емкость, которая соединена с системой сброса газа. В этом примере принимается, что система сброса газа спроектирована, смонтирована и действует нормально и имеет разрешение на применение. Таким образом, потенциально возможные отказы системы сброса газа в этом примере не рассматриваются.

Примечание - Понятие "технические системы" относится здесь ко всем системам, работающим с процессом. Они включают и иные автоматические средства защиты, а также оператора (операторов).

В.3.2 Целевой уровень безопасности процесса

Фундаментальным условием успешного управления промышленным риском является четкое и ясное определение целевого уровня безопасности процесса (приемлемого риска). Он может быть установлен на базе национальных и международных стандартов и правил, корпоративной политики, а также под влиянием заинтересованных сторон, таких как сообщества и/или местные органы и страховые компании с хорошей технической подготовкой. Целевой уровень безопасности процесса специфичен для конкретного процесса, корпорации или отрасли. Таким образом, обобщения невозможны, за исключением ситуаций, когда существующие правила и стандарты обеспечивают поддержку таким обобщениям. В качестве примера примем, что для целевого уровня безопасности процесса установлено, что средняя частота сброса не должна превышать 10^-4 в год, что объясняется ожидаемыми последствиями сброса для окружающей среды.

Обозначения:

FC - регулятор расхода;

FCV - клапан-регулятор расхода;

РАН - верхняя уставка сигнализации давления;

BV - запорный клапан;

PRV - клапан сброса давления

Рисунок В.1 - Емкость под давлением с существующими системами безопасности

В.3.3 Анализ опасности

Для того чтобы выявить опасности, возможные отклонения процесса и их причины, исходные события и потенциально опасные события (инциденты) в используемых технических системах, следует провести анализ опасностей процесса. Для этого могут быть использованы следующие методы качественного анализа:

- анализ безопасности;

- контрольные листы;

- анализ гипотез ("что произойдет, если");

- метод HAZOP;

- анализ видов и последствий отказов;

- анализ причин и последствий.

Одним из таких методов, получивших широкое применение, является метод анализа опасности и работоспособности (Hazard and Operability, HAZOP). Анализ (или изучение) опасности и работоспособности выявляет и оценивает опасности для технологической установки, а также другие неопасные проблемы, связанные с работоспособностью, которые могут повлиять на возможность достижения проектной производительности установки.

На втором шаге для примера, приведенного на рисунке В.1, проводится анализ HAZOP. Целью применения этого метода анализа является оценка потенциально опасных событий, связанных с выбросами в окружающую среду. Краткий перечень результатов применения метода приведен в таблице В.1.

В результате применения HAZOP установлено, что значительное превышение давления может привести к выбросам горючего материала в окружающую среду. Это является исходным событием, которое может перерасти в опасное событие по сценарию, зависящему от реакции имеющихся технических систем. Если бы метод HAZOP был применен к анализу объекта в полной мере, то в рассмотрении могли бы появиться иные исходные события, приводящие к выбросам, включая утечку из технологического оборудования, полный разрыв трубопровода и такие внешние события, как пожар. В данном иллюстративном примере рассмотрены только условия возникновения высокого давления.

Примечание - В данном примере предполагается, что емкость может оказаться под высоким давлением из-за неспособности оборудования, расположенного ниже по технологической цепочке, обслуживать полный поток газа из емкости, когда поток подачи слишком высок.

Таблица В.1 - Результаты анализа методом HAZOP

Объект	Отклонение	Причина	Последствие	Мера защиты	Действие
Емкость	Интенсивный поток	Отказ контура управления потоком	Интенсивный поток приводит к высокому давлению (см. примечание)
	Высокое давление	1 Отказ контура управления потоком. 2 Внешнее возгорание	Повреждение емкости и выброс в окружающую среду	1) Аварийный сигнал высокого давления. 2) Система пожаротушения (потоком воды). 3) Клапан сброса давления	Оценка проектных условий сброса давления в окружающую среду
	Малый поток/ отсутствие потока	Отказ контура управления потоком	Нет последствий, представляющих интерес
	Обратный поток		Нет последствий, представляющих интерес

В.3.4 Полуколичественный метод анализа риска

Оценку рисков процесса выполняют с помощью полуколичественного метода анализа, который позволяет определить и количественно оценить риски, связанные с возможными ошибками или опасными событиями в технологическом процессе. Результаты анализа могут быть использованы для выбора необходимых функций безопасности и их УПБ, дающих возможность снизить риск процесса до приемлемого уровня. Оценка риска процесса с помощью полуколичественного метода может быть выполнена в виде приведенной ниже последовательности шагов, причем первые четыре шага могут быть реализованы в процессе применения метода HAZOP:

a) определить опасности для процесса;

b) определить исходные события;

c) построить сценарии опасного развития событий применительно к каждому исходному событию;

d) определить состав слоев защиты.

Примечания

1 Чтобы обеспечить процесс защитой, функции безопасности распределены по слоям защиты, которые включают ПСБ и другие средства снижения риска (см. рисунок В.2).

2 Шаг d) применяется к рассматриваемому примеру, так как он связывает существующий процесс с существующими слоями защиты;

e) с помощью архивных данных или используя методы моделирования (анализ дерева событий, анализ видов и последствий отказов, анализ дерева ошибок) уточнить частоту появления исходных событий и надежность существующих систем безопасности;

f) оценить количественно частоту возникновения всех существенно опасных событий;

g) оценить последствия всех существенно опасных событий;

h) просуммировать результаты (последствия и частоту инцидентов) оценки риска, связанного с каждым опасным событием.

Существенные результаты такого анализа, представляющие интерес:

- лучшее и более детальное понимание опасностей и рисков, связанных с процессом;

- знание риска процесса;

- понимание вклада существующей функции безопасности в общее снижение риска;

- определение каждой функции безопасности, требующейся для снижения риска процесса до приемлемого уровня;

- сравнение полученной оценки риска процесса с целевым значением.

Метод полуколичественного анализа требует значительных ресурсов, но имеет достоинства, которые не обеспечивают качественные подходы. При определении опасностей этот метод базируется в большой степени на экспертных оценках команды специалистов, обеспечивает ясный способ управления существующими системами безопасности, основанными на других технологиях, использует средства документирования всех мероприятий, которые привели к полученным результатам, и обеспечивает поддержку жизненного цикла.

Для представленного примера с помощью HAZOP-анализа было идентифицировано одно исходное событие (возникновение избыточного давления), которое повлекло возникновение возможности выброса вещества в окружающую среду. Необходимо отметить, что используемый в данном пункте подход является комбинацией количественной оценки частоты возникновения опасного события и качественной оценки его последствий. Данный подход применяют для иллюстрации систематической процедуры, которой рекомендуется следовать для определения опасных событий и функций безопасности ПСБ.

В.3.5 Анализ рисков существующих процессов

Следующий шаг состоит в установлении факторов, которые могут способствовать возникновению исходного события. На рисунке В.2 показано простое дерево ошибок, на котором представлен ряд причин возникновения чрезвычайно высокого давления в емкости. Событие верхнего уровня - чрезмерное повышение давления в емкости - может быть вызвано отказом основной системы управления процессом (например, контура управления потоком) или внешним фактором - пожаром (см. таблицу В.1).

Дерево ошибок наглядно представляет воздействие отказа ОСУП на процесс, а частоту наружного пожара полагают незначительной. Сама ОСУП не выполняет каких-либо функций защиты. Ее отказ, однако, приводит к росту числа запросов к ПСБ. Таким образом, при наличии надежной ОСУП запросов к ПСБ будет меньше.

Дереву ошибок можно поставить в соответствие количественные оценки. В настоящем примере предполагается, что частота появления условий чрезвычайно высокого давления будет порядка 10^-1 в год. Необходимо учесть, что каждая причина, показанная на рисунке В.2, предполагается независимой (т.е. отсутствуют взаимовлияния) от других причин, с интенсивностью отказов, выраженной как события в год.

Рисунок В.2 - Дерево ошибок при превышении давления в емкости

Примечание - На рисунке В.2 представлено дерево ошибок без учета мер защиты.

После установления частоты появления исходного события, используя средства анализа дерева событий, проводят моделирование реакции систем безопасности (успешная работа или отказ) на аномальные условия. Данные по надежности систем безопасности могут быть взяты из эксплуатационных данных, опубликованных баз данных или получены по результатам прогноза, полученным методом моделирования надежности.

Для рассматриваемого примера использованы реальные данные по надежности, а не данные, взятые из литературы или полученные в результате прогнозирования работы системы. На рисунке В.3 показаны возможные сценарии потенциального выброса, которые могут произойти в условиях повышения давления. В результате моделирования таких случаев были получены: а) частота возникновения каждой из приводящих к аварии последовательностей событий и b) качественная оценка последствий в виде выброса воспламеняющихся материалов.

На рисунке В.3 показаны пять вариантов развития опасных событий, причем для каждого приведены частота появления и последствия возможного выброса. Реализация сценария 1 включает реакцию оператора на аварийную сигнализацию о высоком давлении, что происходит с частотой в год, и эти действия оператора приводят к уменьшению выпуска продукции без выброса. Такая авария соответствует исходным условиям, принятым при проектировании процесса, а оператор обучен и протестирован для выполнения соответствующих действий, обеспечивающих достижение снижения риска.

Более того, условиям проектирования соответствуют также сценарии 2 и 4, при которых происходит выброс воспламеняющихся материалов с общей частотой в год (). Общая частота возникновения аварий для сценариев 3 и 5, для которых характерны повреждение емкости и выброс материала в окружающую среду, равна в год ().

Примечание - Результаты были округлены до первой значащей цифры.

Рисунок В.3 - Опасные события при существующих системах безопасности

Примечание - В некоторых применениях частота и вероятность отказов по запросу не могут быть получены умножением, как показано в рисунке В.3. Это может произойти из-за влияния отказов по общей причине и общих зависимостей между различными слоями защиты (см. Приложение J).

Следует отметить, что при анализе не принималась во внимание возможность отказа по общей причине сигнализатора высокого давления и отказа датчика уровня в составе ОСУП. Такого рода отказы по общей причине могут привести к существенному увеличению частоты аварий по сценарию 3 и, следовательно, к увеличению риска.

Примечание - Предполагается, что события, изображенные на рисунке В.3, независимы. Более того, указанные данные являются приближенными, поэтому сумма частот всех возникающих аварий приближается к частоте исходного события (0,1 в год).

В.3.6 События, не отвечающие целевому уровню безопасности процесса

Как отмечалось ранее, в соответствии с конкретными руководящими указаниями для технологического объекта устанавливается целевой уровень безопасности процесса: выброс материала в окружающую среду должен происходить с частотой, не превышающей раз в год. Общая частота выбросов в окружающую среду составляет (сценарий 3) + (сценарий 5) = в год, что больше, чем целевой уровень безопасности процесса. Учитывая данные о частоте возникновения опасных событий и данные о последствиях, представленные на рисунке В.3, для сценариев выброса 2, 3 и 5 необходимо дополнительное снижение риска, чтобы частота выбросов была ниже целевого уровня безопасности процесса.

В.3.7 Снижение риска путем использования других слоев защиты

Прежде чем установить необходимость функции безопасности ПСБ, следует рассмотреть слои защиты, использующие другие технологии. Система пожаротушения (потоком воды) перечислена в качестве меры защиты в таблице В.1, но она не предотвращает повреждение сосуда или выброс в окружающую среду.

Учитывая, что цель анализа состоит в том, чтобы минимизировать риск, связанный с выбросами материала в окружающую среду, можно заключить, что система пожаротушения (потоком воды) не является приемлемой схемой снижения риска повреждения сосуда или выброса в окружающую среду. Система пожаротушения (потоком воды) действительно снижает риск для персонала и эскалации событий, что в данном примере не оценивается.

В.3.8 Снижение риска путем использования функции безопасности ПСБ

Целевой уровень безопасности процесса не может быть достигнут применением слоев защиты, использующих другие технологии. Для уменьшения общей частоты выбросов в атмосферу требуется новая ПСБ, реализующая функцию безопасности с УПБ 2, чтобы обеспечить достижение целевого уровня безопасности процесса. Такая новая ПСБ показана в рисунке В.4.

Нет необходимости в данном пункте выполнять детальный проект функции безопасности ПСБ. Вполне достаточна общая концепция ее проекта. Цель на данном шаге состоит в том, чтобы определить, обеспечит ли новая ПСБ, реализующая функцию безопасности с УПБ 2, необходимое снижение риска и достижение целевого уровня безопасности процесса. Детальное проектирование функции безопасности ПСБ необходимо выполнять только после того, как для нее будет определен целевой уровень безопасности процесса. Для данного примера новая функция безопасности ПСБ использует сдвоенный специально предназначенный для безопасности датчик давления (на рисунке В.4 не показан), включенный по схеме 1оо2 и связанный с логическим решающим устройством, которое также управляет дополнительным отсечным клапаном и насосом.

Примечание - Обозначение 1оо2 означает "один из двух", т.е. любой из сдвоенных датчиков может послать сигнал, останавливающий процесс.

Новая функция безопасности ПСБ с УПБ 2 предназначена для уменьшения частоты выбросов из сосуда, находящегося под высоким давлением. На рисунке В.4 изображен новый слой защиты и представлены все потенциально опасные сценарии. Как можно видеть на этом рисунке, частота выбросов из такой емкости может быть снижена до значения 10^-4 в год и ниже, и целевой уровень безопасности процесса может быть достигнут при условии, что полученная в результате функция безопасности ПСБ отвечает требованиям УПБ 2.

На рисунке В.4 определены семь возможных сценариев, для каждого из которых даны частота возникновения и качественное описание последствия. Частота сценария 1 совпадает с ранее рассмотренной. Реакция оператора происходит с частотой в год и приводит к уменьшению выпуска продукции.

В этом проекте успешная работа ПСБ приводит к остановке процесса с частотой в год. ПСБ уменьшает интенсивность запроса процесса к клапану сброса давления (PRV). Частота реализации сценария 3, включающая сброс из PRV в систему сброса газа, снижена на два порядка величины по сравнению с предыдущим случаем до в год. В сценарии 4 опасное событие с выбросом материала в окружающую среду происходит с частотой в год.

В сценарии 5 сброс в систему сброса не происходит в результате остановки процесса с помощью ПСБ с частотой в год. Если ПСБ не действует, то PRV обеспечивает следующую функцию безопасности, как показано в сценарии 6, и открывает систему сброса. Открытие PRV происходит с частотой в год. Общая частота сброса в систему сброса, определяется сценариями 3 и 6, которая вычисляется как сумма их полных частот . Сбросы из системы сброса являются приемлемым условием при проектировании процесса. Сценарий 7 связан с отказом всех функций безопасности и реализуется с частотой в год.

Общая частота выбросов в окружающую среду (сумма частот сценариев 4 и 7) снижена до в год, ниже целевого уровня безопасности процесса, равного 10^-4 в год.

Следует отметить, что анализ с использованием дерева событий не учитывает возможность отказа по общей причине и общие зависимости между системой аварийной сигнализации высокого давления и функцией безопасности ПСБ с УПБ 2. Возможны также отказ по общей причине и общие зависимости между функциями безопасности и датчиком уровня в составе ОСУП.

Такие отказы по общей причине приводят к существенному увеличению вероятности отказа функций защиты при наличии запроса и, следовательно, к значительному увеличению общего риска.

Примечание - Результаты были округлены до первой значащей цифры.

Рисунок В.4 - Опасные события для функции безопасности ПСБ с УПБ 2