Приложение А (справочное). Руководство по МЭК 61511-1

Приложение А
(справочное)

Руководство по МЭК 61511-1

Примечание - Номера разделов и подразделов, представленные в приложении А, идентичны номерам разделов в МЭК 61511-1:2016. Это предназначено облегчить процесс предоставления перекрестных ссылок.

А.1 Область применения

Дополнительные требования не предусмотрены.

А.2 Нормативные ссылки

Дополнительные требования не предусмотрены.

А.3 Термины, определения и сокращения

Дополнительные требования не предусмотрены.

A.3.2.66 функция безопасности (safety function): Функция безопасности должна предотвращать появление конкретного опасного события, например "предотвращать превышение давления в емкости #АВС456, уровня 100 бар". Функция безопасности может быть реализована:

- отдельной ПСБ или

- одной или несколькими ПСБ и/или другими слоями защиты.

Каждая ПСБ или другой слой защиты должны быть способны к выполнению функции безопасности, а полная их комбинация должна обеспечить требуемое снижение риска (заданную безопасность процесса).

А.3.2.67 функция безопасности ПСБ (safety instrumented function): Функции безопасности ПСБ (ФБ ПСБ) формируются из определенной функции безопасности, имеют соответствующий уровень полноты безопасности (УПБ) и выполняются конкретной приборной системой безопасности (ПСБ), например "закрыть клапан #XY123 в течение 5 с, если давление в емкости #АВС456 достигнет 100 бар". Устройства ПСБ могут быть использованы более чем в одной ПСБ.

А.4 Соответствие МЭК 61511-1:2016

Дополнительные требования не предусмотрены.

А.5 Управление функциональной безопасностью

А.5.1 Цель

Дополнительные требования не предусмотрены.

А.5.2 Руководящие указания к "Требованиям"

А.5.2.1 Общие требования

Если организация несет ответственность за выполнение одного или нескольких действий, необходимых для функциональной безопасности, и она выполняет работы в соответствии с процедурами обеспечения качества, то многие действия, описанные в разделе 5 стандарта МЭК 61511-1:2016, уже выполняются в целях достижения качества. В таких случаях, возможно, нет необходимости повторять эти действия в целях обеспечения функциональной безопасности. При этом следует провести критический анализ принятых процедур обеспечения качества, чтобы установить достижение цели функциональной безопасности.

А.5.2.2 Организация и ресурсы

Внутри компании, стройки, завода или проекта следует определить организационную структуру, связанную с ПСБ; следует ясно понимать и знать роли и ответственность каждого человека/подразделения этой структуры. В рамках структуры должны быть определены индивидуальные роли, включая их описание, и цель. Для каждой роли должны быть строго определены ответственность и конкретные обязанности. Кроме того, должно быть установлено, кто и кому представляет индивидуальные отчеты и кто назначает на должность. Целью должно быть обеспечение того, что каждый специалист в организации понимает свою роль и обязанности, связанные с работами по ПСБ.

Следует установить требования к подготовленности и знаниям, необходимым для выполнения всех работ на жизненном цикле ПСБ, связанных с ПСБ; для каждого уровня подготовки следует определить уровни компетентности. Следует оценить имеющиеся и требуемые трудовые ресурсы (численность персонала) по каждому уровню подготовки и компетентности. В случае выявления различий между ними следует разработать календарные планы достижения необходимых уровней компетентности. Лица, ответственные за определенную стадию жизненного цикла, должны быть доступны на всем ее протяжении, чтобы поддерживать передачу квалификации и опыта работы в жизненном цикле. При нехватке подготовленных кадров может быть проведен дополнительный набор опытного персонала.

А.5.2.2.1 Дополнительные требования не предусмотрены.

А.5.2.2.2 Дополнительные требования не предусмотрены.

А.5.2.2.3 Дополнительные требования не предусмотрены.

А.5.2.3 Оценка и управление рисками

Требования, установленные в МЭК 61511-1:2016 (пункт 5.2.3), состоят в том, что должны быть выявлены опасности, оценены риски и определено необходимое снижение риска. Признано, что существует большое число различных методов для выполнения таких оценок. МЭК 61511-1:2016 не предлагает конкретного метода. Дополнительные указания даны в А.8.2.1 настоящего стандарта.

А.5.2.4 Планирование системы безопасности

Цель А.5.2.4 состоит в том, чтобы гарантировать, что в рамках всего проекта адекватное планирование системы безопасности было проведено так, что на каждой стадии жизненного цикла (например, техническое проектирование, эксплуатация) предусмотрены все необходимые действия. Настоящий стандарт не требует, чтобы такие действия по планированию имели какую-то конкретную структуру, но требует, чтобы они периодически дополнялись и критически оценивались.

А.5.2.5 Реализация и мониторинг

А.5.2.5.1 Цель МЭК 61511-1:2016 (пункт 5.2.5.1) - обеспечить, чтобы выполнялись такие эффективные процедуры управления, которые:

- гарантируют удовлетворительные решения по всем рекомендациям, вытекающим из анализа опасностей, из оценки риска, из других действий по оценке и проверке, а также из действий по верификации и подтверждению соответствия;

- позволяют установить, что ПСБ работает в соответствии с ее спецификацией требований к безопасности (СТБ) в течение ее эксплуатационного срока службы.

А.5.2.5.2 Необходимо отметить, что в данном контексте в состав поставщиков могут входить подрядчики, выполняющие проектирование, и подрядчики, обеспечивающие обслуживание, а также поставщики устройств. Аппаратное и программное обеспечение компонентов ПСБ должно изготавливаться под управлением признанной системы управления качеством, например в соответствии с серией стандартов ИСО 9000.

Следует периодически проводить критический анализ характеристик ПСБ, чтобы убедиться в том, что исходные допущения, принятые при составлении СТБ, сохраняются. Например, следует периодически оценивать интенсивность отказов различных устройств ПСБ, чтобы убедиться, что она остается на принятом исходном уровне. Если интенсивности отказов оказались хуже, чем первоначально определенные, то может понадобиться модификация проекта. Аналогично должна быть проанализирована интенсивность запросов на срабатывание ПСБ. Если интенсивность запросов окажется выше первоначально принятой, то может потребоваться уточнение УПБ.

А.5.2.5.3 Дополнительные требования не предусмотрены.

А.5.2.5.4 Дополнительные требования не предусмотрены.

А.5.2.6 Оценка, аудит и проверки

Проведение оценок и аудитов является средством, направленным на выявление и устранение ошибок. Приведенные ниже положения поясняют различие между этими двумя видами действий.

Оценка функциональной безопасности (ОФБ) имеет своей целью установить, являются ли меры предосторожности, принятые на рассматриваемых стадиях жизненного цикла, достаточными для достижения безопасности. Суждение выносят исполнители оценки в отношении решений, принятых лицами, ответственными за реализацию функциональной безопасности. Например, оценка, сделанная перед вводом в эксплуатацию, может быть посвящена вопросу о том, достаточны ли принятые процедуры обслуживания.

Аудиторы функциональной безопасности определяют по проектной или эксплуатационной документации, были ли выполнены необходимые процедуры с установленной частотой и лицами, обладающими необходимой компетентностью. Аудиторы не обязаны делать выводы о достаточности рассматриваемой ими работы. Однако если они осознают, что внесение изменений может принести дополнительные преимущества, то соответствующие сведения следует включать в отчет.

Необходимо отметить, что во многих случаях может быть пересечение между работой исполнителя оценки и аудитора. Например, аудитор может встретиться с необходимостью не только установить, получил ли оператор необходимую подготовку, но и вынести дополнительно суждение о том, привела ли подготовка к требуемому уровню компетентности.

А.5.2.6.1 Оценка функциональной безопасности (ОФБ)

Оценка функциональной безопасности (ОФБ) является основной процедурой, демонстрирующей, что ПСБ выполняет предъявляемые к ней требования, связанные с ее функциями безопасности и значениями УПБ. Основная цель такой оценки состоит в том, чтобы продемонстрировать с помощью независимой оценки процесса разработки системы его соответствие требованиям действующих стандартов и установившейся практике. Оценка ПСБ может быть необходима на различных стадиях жизненного цикла. Чтобы выполнить эффективную оценку, должна быть разработана процедура, которая определяет границы области применения этой оценки, вместе с указаниями по составу группы, выполняющей оценку.

Атрибутами хорошей установившейся практики ОФБ считаются следующие черты:

a) для каждой ОФБ должен быть сгенерирован план, определяющий область применения оценки, исполнителей оценки, их компетентность и информацию, которая должна быть получена в результате их работы;

b) ОФБ должна учитывать требования других стандартов и практического опыта, которые могут содержаться во внешних или внутренних корпоративных стандартах, в руководствах, процедурах или нормах и правилах. План ОФБ должен определять, что именно должно быть оценено в данной конкретной работе, системе или случае применения;

c) частота ОФБ может быть различной для разработок разных систем, но, как минимум, ОФБ всегда должна выполняться перед тем, как потенциальные опасности начнут действовать на систему. Некоторые компании предпочитают проводить ОФБ до выполнения стадии сборки/установки, чтобы предотвратить дорогостоящие переделки на более поздних стадиях жизненного цикла;

d) частоту и строгость проведения ОФБ следует определять с учетом таких факторов, как:

- сложность;

- значимость безопасности;

- предшествующий опыт, связанный с подобными системами;

- стандартизация конструктивных особенностей;

e) перед проведением ОФБ следует обеспечить наличие достаточных данных о результатах проектирования, монтажа, действий по верификации и подтверждению соответствия. Наличие достаточного количества данных само по себе может быть критерием оценки. Должно быть представлено подтверждение текущего или принятого состояния проекта или установки системы:

- следует обеспечить, чтобы исполнители ОФБ были в достаточной мере независимыми;

- исполнители ОФБ должны обладать опытом и знаниями в области соответствующей технологии и применения оцениваемой системы;

- систематический и непротиворечивый подход к ОФБ следует соблюдать на всем жизненном цикле и для всех систем. Само проведение ОФБ является субъективной деятельностью, поэтому для устранения субъективности, насколько это возможно, должно быть создано подробное руководство (возможно, с использованием контрольных листов), являющееся приемлемым для данной организации;

- методы контроля должны показать, что функции прикладного программного обеспечения (ППО) соответствуют требованиям, вытекающим из опасностей процесса;

- функциональные испытания, показывающие, что ППО исполняет требуемые функции и, насколько это возможно, любые дополнительные функции как в ППО, так и во встроенном ПО, не приводят к опасным условиям;

- структурное тестирование (см. А.12.5.3), показывающее, что ППО выполняет требуемые функции за необходимое время, а также идентифицирующее наличие каких-либо не тестируемых областей ППО, которые (из-за того, что не испытывались) могут привести к возникновению опасных условий;

- анализ функциональных отказов и анализ по методу "что если", позволяющие показать, что функции ППО не приводят к опасным условиям;

- процедуры, демонстрирующие обеспечение управления и верификации процесса разработки, а также использование правильных версий ППО и встроенного ПО;

- должны быть установлены процедуры и план аудита.

Документы, создаваемые в ходе ОФБ, должны быть полными, а сделанные в них заключения следует согласовать со всеми лицами, ответственными за руководство работами по функциональной безопасности ПСБ, до перехода к выполнению следующей стадии жизненного цикла.

Чтобы увеличить объективность оценки, к ней необходимо привлечь специалиста, не участвовавшего в проектировании. Имеется потребность в специалисте высокого уровня (например, по опыту, служебному положению), для того чтобы убедиться в том, что все спорные вопросы приняты во внимание и учтены. Также, как предлагается в МЭК 61511-1:2016 (подпункт 5.2.6.1.2, примечание), для некоторых крупных проектов или групп специалистов по оценке может оказаться необходимым иметь более одного старшего специалиста, независимого от группы разработчиков исходного проекта.

В зависимости от структуры компании и службы экспертизы внутри компании требование к независимости специалиста по оценке может быть выполнено путем привлечения внешней организации. Наоборот, другие компании, имеющие внутри себя организации, которые обладают опытом оценки и применения ПСБ, независимы и отделены (по управлению и по другим ресурсам) от лиц, ответственных за проект, могут использовать собственные ресурсы, удовлетворяющие требованиям независимой организации.

Объем работ по оценке зависит от размера и сложности проекта. Может оказаться возможным оценивать результаты различных стадий в одно и то же время. Это, в частности, справедливо в случаях внесения небольших изменений в текущий проект.

В некоторых странах ОФБ выполняют на стадии 3, которую часто называют предпроектным обзором безопасности (ППОБ). См. таблицу F.1, блок 10. Техническое задание для ОФБ должно быть согласовано на стадии планирования системы безопасности.

Группа специалистов, занятая оценкой, должна иметь доступ к любой информации, которую она считает необходимой для проведения оценки. В состав такой информации следует включать сведения, полученные при анализе опасностей и рисков, на стадиях разработки, монтажа, приемки и подтверждения соответствия.

А.5.2.6.1.1 Команда, выполняющая ОФБ, в некоторых случаях может состоять из одного человека, если этот человек обладает требующимися для этой деятельности навыками и опытом.

А.5.2.6.1.2 Число старших компетентных членов команды оценки может варьироваться в зависимости от размера приложения, охватываемых технологий, требований к коммуникациям (например, с пользователем/владельцем, интегратором, изготовителем), а также сроков проектирования.

Старший компетентный сотрудник должен обладать компетентностью в различных технологиях, которые могут быть использованы в приложении, применимых правилах и нормах, а также должен быть способен выполнять свою работу в установленные для проекта сроки.

А.5.2.6.1.3 Дополнительные требования не предусмотрены.

А.5.2.6.1.4 Дополнительные требования не предусмотрены.

А.5.2.6.1.5 Дополнительные требования не предусмотрены.

А.5.2.6.1.6 Инструментальные средства, используемые для проектирования, разработки, эксплуатации и обслуживания ПСБ, могут повлиять на полноту безопасности ПСБ, привнеся сбои в конечную систему. Такие средства могут привести к прямому "встраиванию" части своей функциональности в ПСБ (например, к появлению пользовательских библиотек, интерпретаторов) или же к тому, что они будут использоваться "в автономном режиме" (off-line), т.е. будут использоваться для генерации информации, которая может произвольно проверяться (например, средства вычисления переменных полей, средства для проведения испытаний). Такие средства также можно подсоединить к функционирующей ПСБ - например, в качестве средств обслуживания. Во всех таких случаях важно выявить возможные виды и последствия отказов, а также методы управления ими. Типичные подходы к управлению сбоями в инструментальных средствах включают:

- подтверждение прослеживаемости с национальными и международными стандартами (включая стандарты по калибровке и/или функциональные стандарты, в зависимости от характера средства);

- рассмотрение отчетов, содержащих опыт групп пользователей и накопленные данные предыдущего использования инструментального средства;

- анализ и функциональное тестирование результатов использования инструментального средства;

- использование принципа разнообразия для инструментальных средств разработки и/или испытания: например, использование кода, полученного от разных компиляторов, контроль результатов инструментального средства проектирования с помощью разных типов инструментальных средств проверки;

- инструментальное средство поставляется как составная часть устройства, удовлетворяющего требованиям МЭК 61508-2:2010 и МЭК 61508-3:2010.

В результате выполнения ОФБ будет проверена стратегия, которая должна быть направлена на поддержку целостности результатов инструментальных средств с учетом того, являются ли данные средства "встроенными" или "автономными", а также на получение заключения о том, был ли достигнут необходимый уровень доверия для этих инструментальных средств.

А.5.2.6.1.7 Дополнительные требования не предусмотрены.

А.5.2.6.1.8 Дополнительные требования не предусмотрены.

А.5.2.6.1.9 Дополнительные требования не предусмотрены.

А.5.2.6.1.10 Дополнительные требования не предусмотрены.

А.5.2.6.2 Аудит и проверка функциональной безопасности

a) Виды аудита

Проведение аудита ПСБ обеспечивает полезной информацией руководство предприятия, а также инженеров, занятых обслуживанием и разработкой устройств ПСБ. Это позволяет руководству быть активным участником и осведомленным о степени реализации и эффективности применяемых ПСБ. Существует много различных видов аудита. Реальный тип, масштаб и частота проведения аудита в любом конкретном случае должны отражать возможное влияние таких действий на полноту безопасности.

Видами аудита являются:

- инспекции;

- визиты для оценки безопасности (например, при обходе предприятия и разборе инцидента);

- обследование ПСБ (по анкете).

Следует различать наблюдения и проверки, с одной стороны, и действия по аудиту - с другой. Наблюдение и проверка направлены на оценку выполнения конкретных действий на жизненном цикле (например, контролер проверяет выполнение работы по обслуживанию перед тем, как устройство будет вновь включено в работу). В отличие от них действия по аудиту являются более обширными и концентрируются на полной реализации ПСБ на всех стадиях их жизненного цикла. Аудит должен включать в себя определение того, выполнена ли программа наблюдения и проверки.

Аудиты и инспекции могут быть выполнены силами собственного персонала компании, стройки, завода или проекта (например, внутренний аудит) или независимыми лицами (например, аудиторами компании, отделом обеспечения качества, контрольными органами, покупателями или третьими лицами).

Руководители различного уровня могут пожелать использовать соответствующие типы аудита, чтобы получить дополнительную информацию об эффективности внедрения ПСБ. Результаты аудитов могут быть использованы для определения неправильно выполняемых процедур, что приведет к улучшению их применения.

b) Стратегия аудита

Программы проведения аудита стройки, завода или проекта должны предусматривать повторяющиеся программы независимых и внутренних аудитов и контроля.

Повторяющиеся программы регулярно обновляются для отражения предыдущих характеристик и результатов аудита ПСБ, а также текущих проблем и приоритетов. Они охватывают все связанные со стройкой/заводом/проектом действия и аспекты ПСБ, относящиеся к соответствующим периоду времени и полноте.

Первостепенное основание и дополнительная ценность аудитов состоят в том, что их проведение обеспечивает своевременное получение информации. Действия, выполняемые в процессе аудита, имеют своей целью повысить эффективность ПСБ, например помочь минимизировать риск для работников и населения получить травму или погибнуть, способствовать повышению культуры безопасности, способствовать предотвращению любого возможного выброса вещества в окружающую среду.

В итоге стратегия проведения аудитов может иметь смешанный характер и устанавливаться руководством (заказчиком) так, чтобы играть роль обратной связи, дающей информацию, необходимую руководству для своевременных действий.

с) Процедура и протоколы аудита

Общая цель аудита заключается в достижении определенного уровня соответствия МЭК 61511-1 и извлечении максимума информации в ходе проведения аудита, что может быть достигнуто только при условии, что все стороны (включая аудиторов, кандидатов на участие, руководителей завода, руководителя отдела и т.д.) понимают необходимость каждого аудита и могут на него влиять. Последующее описание проведения процесса и протоколов аудита может помочь гарантировать некоторую последовательность в подходе к достижению этих целей. Эта последовательность состоит из следующих пяти ключевых стадий процесса проведения аудита:

1) стратегия и программа аудита:

- следует ясно определить цель проведения каждого аудита и назначить группы его исполнителей с указанием роли и ответственности каждой из таких групп;

- необходимо иметь стратегию аудита;

- следует составить программу проведения аудитов;

- необходимо регулярно пересматривать процедуры аудита, программы и стратегию его проведения;

2) подготовка и предварительное планирование аудита:

- прежде чем проводить аудит, руководитель высшего звена стройки, завода или проекта и/или соответствующий координатор аудита должны определить контактное лицо;

- аудиторам и контактному лицу следует на самой ранней стадии обсудить, понять и согласовать:

- границы области аудита;

- продолжительность проведения аудита;

- персонал, который следует привлечь;

- основополагающие документы аудита или стандарт для его проведения;

- необходимость дополнительных усилий на подготовительной стадии и привлечения заводского персонала для повышения шансов на успешный аудит;

- рекомендуется следующее распределение времени на каждую стадию проведения аудита:

- подготовка аудита - 30 %;

- проведение аудита - 40 %;

- составление отчета с замечаниями - 20 %;

- завершение аудита - 10 %;

- аудитору следует подготовить к проведению аудита руководящие материалы, процедуры, инструкции и т.п., а также данные и при необходимости контрольные листы;

- аудитор должен придавать особое значение и объяснять, какие изменения в области аудита могут произойти в ходе его проведения, если будут обнаружены серьезные замечания или ошибки;

3) проведение аудита:

- аудитор должен проводить свою работу непрерывно в течение нескольких дней, в пределах установленного для аудита периода времени, учитывая возможные отвлечения от работы персонала стройки, завода или проекта;

- в ходе проведения аудита следует периодически информировать контактное лицо о выявленных замечаниях, тем самым избегая возникновения непредвиденных обстоятельств по окончании работы;

- аудитору следует стараться привлечь заводской персонал к участию в процессе аудита, чтобы передать свои знания и понимание процессов заводскому персоналу и позволить ему принять участие в формировании заключений аудита;

- успех аудита в значительной степени зависит от стиля работы аудитора - он должен стараться быть полезным, конструктивным, вежливым, собранным и объективным;

- как минимум, аудитор должен стараться выполнить согласованные объемы и сроки работ; все необходимые изменения следует обсуждать;

4) составление отчета с замечаниями:

- аудитору следует провести заключительное заседание либо в конце проведения аудита, либо позже, но до выпуска итогового отчета;

- соответствующему руководству должна быть предоставлена возможность прокомментировать проект отчета и замечания, а также при желании обсудить их на заключительном заседании;

- нормальной практикой считается запрос плана действий стройки, завода или проектной организации, чтобы учесть замечания, включенные в отчет;

5) завершение аудита:

- отчеты по аудиту обычно требуют реакции в форме плана действий. Аудитор должен проверить, выполнен ли этот план удовлетворительно к установленной дате или к следующему аудиту в зависимости от обстоятельств;

- для проверки выполнения плана действий могут быть использованы соответствующие следящие системы стройки/завода/проекта;

- замечания каждой группы аудиторов следует периодически рассматривать и широко информировать о результатах этого рассмотрения;

- замечания и/или результаты аудитов могут быть использованы для пересмотра частоты их проведения и применены руководством как входная информация для анализа ПСБ.

А.5.2.6.2.1 Дополнительные требования не предусмотрены.

А.5.2.6.2.2 ОФБ может быть проведена силами собственного персонала компании, стройки, завода или проекта (например, внутренний аудит) или независимыми лицами (например, аудиторами компании, отделом обеспечения качества, контрольными органами, покупателями или третьими лицами). Дополнительные требования см. в МЭК 61508-1:2010 (таблицы 4 и 5).

А.5.2.6.2.3 МЭК 61511-1:2016 (пункты 5.2.6.3, 5.2.6.4 и 5.2.6.5) придает особое значение той роли, которую играет управление изменениями в процессах проведения аудитов. Если первоначальный анализ опасностей предусматривает слои защиты, не связанные с ПСБ, которые должны быть реализованы, например в ОСУП (основная система управления процессом), или процедурами оператора с выдачей аварийных сигналов, то любые изменения этих систем должны контролироваться, чтобы гарантировать, что они не снижают уровень защиты, обеспечиваемый слоями защиты, не связанными с ПСБ. При этом очевидно, что незначительные изменения номеров версий или модификаций систем в ПСБ или интерфейсных систем могут привести к проблемам несовместимости между ППО, встроенным ПО, аппаратными средствами (например, представьте, как сложно восстановить раннюю версию программы ПО). Поэтому очень важно обеспечить управление не только отдельными элементами, но и всей конфигурацией элементов в целом. В частности, версии ППО и ПО должны соответствовать версиям аппаратных средств, а также рабочим процедурам и интерфейсу, для которых оно было спроектировано.

А.5.2.6.2.4 Дополнительные требования не предусмотрены.

А.5.2.7 Управление конфигурацией ПСБ

А.5.2.7.1 Для управления и поддержания прослеживаемости устройств на всех стадиях их жизненного цикла может быть установлен механизм идентификации, управления и учета для моделей или версий каждого устройства.

На возможно ранней стадии жизненного цикла ПСБ каждому устройству следует присвоить уникальный объектный идентификатор. В некоторых случаях более ранние модели или версии устройств могут оставаться в эксплуатации и обслуживании. В качестве первого шага следует составить программу управления конфигурацией, которая может охватывать следующие аспекты:

a) обеспечение процедуры идентификации всех устройств на всех стадиях жизненного цикла;

b) уникальную идентификацию модели или версии и внутреннего статуса каждого изделия (включая встроенное и сервисное ПО и ППО) с указанием поставщика, даты и места применения, а также изменений модели или версии по отношению к исходной модели или версии;

c) идентификацию и отслеживание всех действий и изменений, проведенных по результатам замеченных отказов и выполненных аудитов;

d) управление вводом в эксплуатацию, определяющее статус и модель/версию соответствующих устройств;

e) меры безопасности, которые должны быть предприняты, чтобы обеспечить отсутствие неавторизованных перенастроек или изменений в действующих ПСБ;

f) определение версий каждой части ППО, которые в совокупности определяют законченное ППО;

g) обеспечение координации процесса добавления многочисленных ПСБ на одном или более объектах;

h) документально оформленную авторизацию ввода устройств в эксплуатацию;

i) авторизованный перечень подписей, допускающих ввод в эксплуатацию;

j) стадии или этапы, на которых устройства находятся под управлением конфигурацией;

k) управление соответствующей сопроводительной документацией;

l) определение для каждой модели/версии устройства:

- функциональной спецификации,

- технической спецификации;

m) ссылку на процедуру управления изменениями.

Должны быть определены все подразделения и/или организации, участвующие в руководстве и обслуживании ПСБ, а границы их ответственности заданы и понятны.

По существу, требования к управлению конфигурацией ППО не отличаются от требований к устройствам аппаратных средств системы. Тем не менее ППО чаще заслуживает более строго подхода, чем требуется для отдельного устройства аппаратных средств, так как:

- более "логическая", чем "физическая", сущность ППО такова, что его фактическую конфигурацию трудно "рассматривать" иначе как через сопроводительную документацию;

- его проще модифицировать (практика выпуска нескольких различных версий программы за один день является стандартной для программистов);

- функциональные возможности приложения полностью зависят от корректной работы ППО, что делает его корректность ключевым фактором для корректной работы ПСБ в целом;

- оно может выполняться по-разному в зависимости от различных версий ПЭС (программируемой электронной системы), изменений в интерфейсах для связи с внешним миром, различия в диапазонах ввода и вывода и даже в зависимости от различных версий собственных средств разработки ППО;

- оно может быть предназначено для определенного набора спецификаций, конфигурации сборки, подсистемы ПСБ, окружения и размещения, но при этом его можно отличить только по версии и ревизии в управляемой конфигурации.

В дополнение к стандартным требованиям к управлению конфигурацией для обеспечения идентификации, управления изменениями и версиями, а также для совместимости элементов, типичные аспекты, которые следует использовать для поддержания управления ППО, включают:

- использование встроенных в ППО кодов, обеспечивающих возможность загрузки этого ППО только в предназначенный для него узел (хост) аппаратных средств (это в особенности полезно там, где на различных участках может использоваться множество различных конфигураций);

- использование информации о версии, требующейся для выполнения авторизации известным полномочным органом или органами, перед тем как станет возможно загружать в ПСБ новые версии программы;

- ведение учета о статусе и версии всех элементов, используемых в разработке, испытании и обслуживании ППО, связь которых с имеющими значение спецификациями и результатами верификации, связанными с конфигурацией, можно полностью проследить;

- поддержание резервного копирования для обеспечения возможности возвращения системы в предыдущую конфигурацию;

- использование управляемых циклов модификаций, позволяющих организовывать изменения в определенных версиях. Преимуществом этого является то, что множество различных версий могут находиться в разработке на разных стадиях готовности и не взаимодействовать друг с другом, а также позволяют циклу испытаний обеспечить определенную версию некоторым уровнем стабильности до того, как она будет внедрена на участке.

А.5.2.7.2 Дополнительные требования не предусмотрены.

А.6 Требования к жизненному циклу системы безопасности

А.6.1 Цели

Функциональная безопасность, достигнутая для любого объекта процесса, зависит от удовлетворительного выполнения ряда действий. Цель применения систематической концепции жизненного цикла ПСБ к ПСБ состоит в том, чтобы все действия, необходимые для достижения функциональной безопасности, были выполнены и чтобы можно было показать другим, что они выполнены в правильном порядке. В МЭК 61511-1:2016 типичный жизненный цикл системы безопасности представлен на рисунке 7 и в таблице 2, требования к каждой стадии жизненного цикла приведены в МЭК 61511-1:2016 (разделы 8-18).

Настоящий стандарт признает, что установленные действия могут быть структурированы разными способами, обеспечивающими выполнение всех требований. Подобная реструктуризация может быть предпочтительной, если она позволяет добиться лучшей интеграции работ, связанных с безопасностью, в обычные проектные процедуры. Цель МЭК 61511-1:2016 (раздел 6) состоит в том, чтобы даже при использовании другого жизненного цикла ПСБ были определены входные и выходные данные для каждой стадии жизненного цикла и были включены все существенные требования.

А.6.2 Руководящие указания к "Требованиям"

А.6.2.1 Особое внимание должно быть обращено на то, чтобы заранее определить жизненный цикл ПСБ для той ПСБ, которую будут использовать. Опыт показывает, что здесь часто возникают проблемы, даже если эта работа хорошо и своевременно спланирована и получены согласования со всеми несущими ответственность лицами, подразделениями и организациями. В лучшем случае некоторые работы будут пропущены или потребуют переделки; в худшем случае безопасность может быть поставлена под угрозу.

Должна быть идентифицирована иерархия ответственности каждой стадии жизненного цикла и с ней должны быть ознакомлены все вовлеченные стороны (например, субпоставщики, специалисты по системной интеграции, конечные пользователи). В результате этого все должны быть осведомлены о своей ответственности о том, как их деятельность связана между собой и со стадиями жизненного цикла, а также о том, как каждая сторона вносит свой вклад в выполнение общих требований к функциональной безопасности и к полноте безопасности.

А.6.2.2 Хотя настоящий стандарт этого не требует, обычно полезно на самой ранней стадии сформировать предполагаемый жизненный цикл ПСБ совместно с этапами жизненного цикла проекта, включая перечень блоков, показанных на рисунке 7 МЭК 61511-1:2016, которые применяются в проекте. После того как это будет сделано, чтобы начать работу в рамках жизненного цикла ПСБ, следует рассмотреть определенную информацию вместе с вопросом о том, кто, вероятно, способен эту информацию предоставить, для того чтобы конкретный персонал можно было назначить ответственным за жизненный цикл системы безопасности. В некоторых случаях может оказаться невозможным установить точную информацию по отдельным позициям раньше, чем на поздних этапах разработки. В таких случаях может оказаться необходимым сделать оценки, основанные на предшествующем опыте, и затем подкрепить их более поздними данными. В подобной ситуации важно предусмотреть это в жизненном цикле ПСБ.

А.6.2.3 Другой важной частью планирования жизненного цикла системы безопасности является определение методов, которые будут применяться на каждой стадии. Определение таких методов важно потому, что часто приходится использовать специфические методы, которые требуют привлечения лиц или подразделений, обладающих уникальным умением или опытом. Например, в конкретном случае применения последствия отказа могут зависеть от максимального развиваемого давления; и единственный способ, которым его можно определить, состоит в том, чтобы разработать динамическую модель процесса. Требования к информации, необходимой для динамического моделирования, дадут важный импульс процессу разработки.

А.6.2.4 Поскольку детальное проектирование, верификация, подтверждение соответствия и доказательство о проведении испытания были выполнены на других стадиях жизненного цикла системы безопасности, то важно, чтобы после каждого изменения подтверждалось, что каждая стадия жизненного цикла безопасности системы остается неизменной, никаких новых опасностей не появляется и что приложение по-прежнему работает так, как от него требуется.

А.6.3 Руководящие указания к "Требованиям к жизненному циклу прикладной программы ПСБ"

А.6.3.1 Жизненный цикл ППО для ПСБ начинается на стадии 3 жизненного цикла ПСБ ("СТБ ПСБ") и заканчивается с ОФБ стадии 3.

Если жизненный цикл ППО системы безопасности соответствует требованиям МЭК 61511-1:2016 (таблица 3), то допускается подстраивать глубину, число и размер стадий V-модели (см. рисунок А.1) для учета полноты безопасности и сложности проекта.

Тип используемого языка ППО и близость языка прикладным функциям могут сказываться на области применения стадий V-модели. Если для проектирования, реализации, верификации и подтверждения соответствия ППО используются ЯОИ, такие как язык лестничных диаграмм или язык диаграмм функциональных блоков из МЭК 61131-3:2013, то применимы только два уровня стандартной V-модели ППО:

- "разработка прикладного модуля", которая в V-модели интерпретируется как проектирование и реализация новой функции, и

- "проверка прикладного модуля", которая интерпретируется как верификация и испытание новой функции.

В тех случаях, когда новая функция должна быть записана на ЯПИ и, таким образом, необходим более подробный процесс разработки ППО (т.е. кодирования), разработчику следует выполнить все стадии и процедуры жизненного цикла, установленные в МЭК 61508-3:2010. СТБ ППО может быть частью СТБ ПСБ.

А.6.3.2 Выбор методов и способов должен зависеть от определенных обстоятельств. Факторы, учитываемые в принятии этого решения, вероятно, будут включать:

- размер ППО;

- степень сложности;

- УПБ реализуемых функций безопасности ПСБ (ФБ ПСБ);

- степень стандартизации инструментальных средств проектирования (например, средства конфигурации);

- тип прикладного языка (например, язык функциональных схем из приложения В; причинно-следственная диаграмма на рисунке D.2 и в таблице F.14; линейно-лестничная логика на рисунке F.11).

Примеры методов и мер см. в А.12.6.2.

А.6.3.3 Дополнительные требования не предусмотрены.

А.7 Верификация

А.7.1 Цель

Цель верификации состоит в обеспечении того, что действия, предусмотренные планом верификации на каждой стадии жизненного цикла ПСБ, действительно выполнены и что требуемые выходные результаты стадии, будь это документация, аппаратное средство или ППО, реализованы и соответствуют своим целям как конечным результатам стадий.

А.7.2 Руководящие указания к "Требованиям"

А.7.2.1 МЭК 61511-1:2016 признает, что организации будут иметь свои собственные процедуры верификации, и не требует, чтобы они всегда выполнялись одинаковым способом. Напротив, смысл МЭК 61511-1:2016 (раздел 7) состоит в том, что все действия по верификации планируются заблаговременно, вместе с любыми другими процедурами, мероприятиями и методами, которые должны применяться.

Рисунок А.1 - V-модель прикладной программы

А.7.2.2 Для того чтобы обнаружить и устранить ошибки, уже существующие в программах, рекомендуется проводить верификацию на всем жизненном цикле разработки. Вообще говоря, для того чтобы обеспечить проверяемость, рекомендуется, чтобы спецификации испытаний интеграции ППО были рассмотрены еще в ходе стадий проектирования и разработки. Область применения испытаний должна учитывать испытания, проводившиеся прежде.

Успешное завершение стадии должно подтверждаться с помощью верификации на каждой отделенной стадии цикла разработки ППО (включая, испытание). В общем случае верификацию проводит специальная группа, которая может состоять из одного или более человек (в зависимости от потребностей приложения).

Для снижения числа ошибок путем заранее принятых разумных ориентиров верификация должна проводиться квалифицированным участником, являющимся экспертом, не участвующим в разработке кода приложения, и в случае приложений с УПБ 3, участником, который представляет независимый отчет.

Если инструментальные средства разработки ППО включают некоторые автоматические операции верификации [например, проверку на повторное использование тегов (имен переменных)], то группе верификации следует подтвердить, что такие средства используются должным образом и получаемые результаты правильны.

При любом УПБ рекомендуется, чтобы объем проверок охватывал все функции безопасности ПСБ, реализуемые ППО, и реакции ПСБ на все виды отказов (например, отказ питания, отказ процессора, отказ входного или выходного устройства и отказ коммуникаций). Однако для дальнейшего снижения количества любых ошибок, оставшихся в ППО, рекомендуется для более высоких значений УПБ проводить следующие дополнительные испытания:

- испытания, базирующиеся на особенностях внутренней структуры (например, внутренние алгоритмы, внутренние состояния);

- "стрессовое тестирование" (например, при значениях входных и/или внутренних переменных вне рабочих диапазонов, при неверных комбинациях входных сигналов, при неправильных последовательностях и нагрузках).

При любых УПБ рекомендуется, чтобы документация для выполнения верификации и тестирования отображала то, что верификация и тестирование были выполнены и были успешными. Также рекомендуется:

- чтобы документация позволяла проведение оценки адекватности верификации и тестирования;

- чтобы документация позволяла бы независимому специалисту повторить испытания и оценить их достаточность.

Верификация данных включает подтверждение того, что данные, используемые ППО, правильны и, где необходимо, уникальны (например, что имена индексам присвоены уникально, что данные не используются последующими функциями ошибочно и что константы, устанавливающие значение для аварийной сигнализации, актуальны и правильны).

Верификация защиты от несанкционированного изменения могла бы включать проверку того, что соответствующие механизмы (например, защита паролем с уровнями доступа) предусмотрены и используются адекватно.

Система процесса может иметь одну или несколько встроенных систем, соответствующих разным стандартам (например, МЭК 62061:2005 для машинного оборудования, NFPA 85:2015 для печей). Требуется аккуратная интеграция оборудования, ППО и встроенного ПО. Достигнуть этого можно, например, если для систем, не связанных с промышленным процессом (т.е. для систем, которые должны соответствовать другим стандартам, таким как стандарты по машинному оборудованию, печам и т.п.), выполнять анализ опасностей и рисков как для промышленного оборудования, с целью обеспечения идентификации всех возможных опасностей и предоставления любой дополнительной идентифицированной защиты.

А.7.2.3 Дополнительные требования не предусмотрены.

А.7.2.4 Дополнительные требования не предусмотрены.

А.7.2.5 Когда жизненный цикл ППО достигнет стадий верификации и испытания, то любые изменения или модификации ППО могут искажать любые результаты, полученные на предыдущей стадии. Одним из способов решения этой проблемы является повторение всего жизненного цикла с самого начала, но это дорогостоящий способ, который привносит задержки в программу и почти в каждом случае предполагает большой объем совсем необязательной работы. Вместо этого с помощью анализа влияний следует идентифицировать области, которые могли пострадать, и сосредоточить усилия на обеспечении повторного подтверждения соответствия этих областей.

А.7.2.6 Важно, чтобы результаты верификации были пригодны для того, чтобы можно было показать, что на всех стадиях жизненного цикла ПСБ была проведена эффективная верификация.

А.8 Анализ опасностей и рисков процесса

А.8.1 Цели

Основная цель состоит в том, чтобы установить необходимость применения функций безопасности и соответствующие целевые меры отказов, которые необходимы, чтобы гарантировать безопасность процесса. Функции безопасности распределяются по слоям защиты в соответствии с требованиями раздела 9 МЭК 61511-1:2016. Обычно промышленные технологические процессы обеспечиваются несколькими слоями безопасности так, чтобы отказ одного слоя не вызывал или не допускал опасных последствий на другом слое. Типичные слои защиты представлены на рисунке 9 МЭК 61511-1:2016.

А.8.2 Руководящие указания к "Требованиям"

А.8.2.1 Требования к проведению анализа опасностей и рисков устанавливаются только в терминах результатов. Это означает, что организация может использовать любой метод, который она считает эффективным и обеспечивающим результаты в виде ясного описания функций безопасности и соответствующих целевых мер отказов.

При проведении анализа опасностей и рисков следует устанавливать и рассматривать опасные события, которые могли произойти во всех обоснованных предсказуемых случаях (включая условия появления отказов и обоснованно предсказуемое неправильное применение). Следует рассмотреть прошлые инциденты, включая их причины, системные отказы и то, что было извлечено из уроков предотвращения повторения этих инцидентов.

Предварительный анализ опасностей и рисков в типичном проекте для промышленных процессов следует выполнять на ранней стадии разработки основных проектных решений для процесса. На этой стадии принимается допущение о том, что опасности устранены или снижены до практически разумного предела путем применения принципов внутренней безопасности и хорошей инженерной практики (эти действия по снижению опасности лежат вне области применения МЭК 61511). Для ПСБ такой предварительный анализ опасностей и рисков важен потому, что создание, проектирование и реализация ПСБ являются сложными задачами и могут потребовать длительного времени. Другая причина, требующая более раннего выполнения этой работы, состоит в том, что информация о структуре системы потребуется до того, как будут разработаны блок-схемы базового процесса и его автоматизации.

Если построена технологическая карта процесса и доступны все исходные данные технологического процесса, то для выполнения предварительного анализа опасностей и рисков обычно бывает достаточно этой информации. Необходимо признать, что в проекте могут появиться дополнительные опасные события, так как далее выполняется детальное проектирование. Поэтому после завершения построения технологической карты основного процесса и схемы его автоматизации может потребоваться окончательный анализ опасностей и рисков. Этот окончательный анализ обычно проводится с помощью формальной и полностью документируемой процедуры, такой как исследование опасности и работоспособности (HAZOP - см. МЭК 61882:2003). Она должна подтвердить, что разработанные слои защиты адекватно обеспечивают управление рисками на предприятии. В ходе этого окончательного анализа необходимо рассмотреть, не приводят ли отказы слоев защиты (или успешные активации слоев защиты) к каким-либо новым опасным событиям или запросам, и установить на этой стадии, не появилась ли необходимость введения новых функций безопасности. Другим более вероятным результатом является выявление дополнительных причин, которые приводят к опасным событиям, уже определенным на предварительной стадии. В таких случаях необходимо рассмотреть, нужна ли какая-либо коррекция функций безопасности и требований к целевым мерам отказа, установленным при предварительном анализе.

Подход, применяемый для выявления опасных событий, зависит от рассматриваемого случая применения. Для некоторых простых процессов, по которым имеется большой опыт эксплуатации типовых разработок, таких как простые морские устьевые (нефтегазодобывающие) вышки, может оказаться эффективным использование ранее разработанных промышленных вопросников (например, анкеты анализа безопасности, приведенные в ИСО 10418:2003 и API RP 14С:2001). Если проект более сложен или рассматривается новый процесс, то может оказаться необходимым применение более строгого подхода (например, по ИСО 31000:2009).

Примечание - Дополнительная информация о выборе соответствующих методов приведена в ИСО 17776:2000 "Petroleum and natural gas industries - Offshore production installations - Guidelines on tools and techniques for hazard identification and risk assessment".

При рассмотрении последствий событий, связанных с конкретными опасными событиями, следует проанализировать все возможные результаты события, а также частоту возникновения события с учетом вкладов в каждый результат. Ни один из ожидаемых результатов не должен игнорироваться или исключаться. Воздействие на трубопроводы или емкости давления, превышающего проектное, не всегда будет приводить к катастрофическим потерям содержимого. Во многих случаях оборудование будет подвергаться испытаниям давлением, превышающим проектное, и единственным последствием может быть утечка воспламеняющегося вещества, приводящая к возможности возгорания. При оценке последствий следует проконсультироваться с лицами, ответственными за механическую целостность установки. Им следует учесть не только исходные процедуры испытаний давлением, но и испытания на коррозию, если предусмотрена программа борьбы с ней. Если оценки последствий базируются на таких допущениях, то важно, чтобы это было ясно заявлено, чтобы соответствующие процедуры были включены в систему управления безопасностью.

При дальнейшем рассмотрении последствий следует оценить число лиц, которые могут подвергаться конкретной опасности. Надо быть внимательным при использовании такого статистического подхода, так как он не будет справедлив во всех случаях - в таких, где опасность существует только во время запуска оборудования, когда необходимый штат сотрудников всегда присутствует. Во многих случаях оперативный и обслуживающий персонал будет находиться в опасной зоне только изредка, и это обстоятельство можно принять во внимание при прогнозировании последствий. При использовании подобного статистического подхода необходимо проявлять осторожность, так как он может быть применим не во всех случаях, в таких, например, когда опасное событие существует в период запуска, а персонал часто присутствует. Следует также обратить внимание на возможное увеличение численности людей, находящихся вблизи от опасного события, для исследования влияния симптомов разрастающегося события.

Должны быть оценены предполагаемые режимы работы промышленного процесса, в том числе запуск, постоянная работа, останов, обслуживание, циклы очистки. В ходе каждого из предназначенных режимов работы промышленного процесса следует учитывать обоснованно предсказуемые источники запросов на срабатывание ПСБ, такие как отказы оборудования, системы управления, других слоев защиты, ошибки обслуживания, ручное вмешательство (например, в функцию управления ОСУП в режиме ручного управления) и потеря ресурсов (например, сжатого воздуха, охлаждающей воды, сжатого азота, электроэнергии, пара, отходящего тепла и т.д.).

При рассмотрении частоты запросов в некоторых сложных случаях может потребоваться провести анализ дерева ошибок. Это часто бывает необходимо, когда серьезные последствия являются результатом одновременных (или последовательных скрытых) отказов, вызванных более чем одним событием (например, когда предохранительный коллектор не рассчитан на срабатывание по наихудшему случаю из всех источников). Требуется принять решение о том, следует ли включать ошибки оператора в список причин, способных привести к идентифицированным опасным событиям, и какое значение частоты должно использоваться для таких событий. Необходимо также быть осторожным в тех случаях, когда принимается снижение частоты запросов за счет действий оператора. Такое допущение ограничивается возможностями человека (человеческим фактором) - скоростью выполнения необходимых действий и сложностью решаемых задач. При допущении числа действий оператора более десяти раз в год следует проводить анализ надежности персонала. Если принимается, что снижение риска происходит более чем в 10 раз, то система должна проектироваться в соответствии с МЭК 61511-1:2016. В таком случае система, выполняющая функцию безопасности, будет включать в себя датчик, определяющий появление опасной ситуации, воспроизведение аварийной сигнализации, ответное действие оператора и оборудование, используемое оператором для прекращения любой ненормальной ситуации. Следует отметить, что снижение риска менее чем в 10 раз может быть принято без необходимости соответствия МЭК 61511. Если принимается такое допущение, то следует тщательно рассмотреть возможности человеческого фактора. Любые требования по снижению риска с помощью слоя защиты аварийной сигнализации должны быть подкреплены документально оформленным описанием необходимой реакции на сигнализацию и обоснованием того, что оператор имеет достаточно времени для корректирующего действия, а также уверенностью в том, что оператор подготовлен (изначально и с повторением обучения) к выполнению защитных действий.

Система аварийной сигнализации может быть использована как способ снижения риска путем снижения частоты запросов к ПСБ или в качестве отдельного слоя защиты, снижающего общий риск такого сценария. При проектировании такой системы аварийной сигнализации необходимо учесть следующее:

- датчик, применяемый в системе сигнализации, и исполнительные элементы, воздействующие на процесс, не используются для целей управления, если потеря управления приводит к запросу на срабатывание системы аварийной сигнализации. Это происходит в тех случаях, когда не был проведен анализ, указывающий на допустимость общего уровня риска. Следует рассмотреть проблемы отказов по общей причине и общего вида;

- датчик, применяемый в системе сигнализации, и исполнительные элементы, воздействующие на процесс, не заявляются как снижающая риск часть ПСБ для тех же опасных событий, если во время анализа снижения риска не учитываются отказы по общей причине;

- ограничения на снижение риска, которые можно требовать при проектировании и управлении системой аварийной сигнализации, такие как условия для защиты доступа, управление изменением и контроль, предупредительное обслуживание и испытание.

Примеры способов, которые могут применяться при установлении УПБ для ПСБ, даны в МЭК 61511-3:2016, где содержатся также указания о том, что следует рассмотреть при выборе метода, используемого в конкретном случае применения.

При установлении того, требуется ли снижение риска, необходимо располагать заданными характеристиками безопасности процесса и окружающей среды. Они могут быть установлены для конкретного объекта или эксплуатирующей компании и будут сравниваться с уровнем риска, существующим при отсутствии дополнительных функций безопасности. После установления потребности в сокращении риска следует рассмотреть, какие функции требуется выполнить, чтобы вернуть процесс в безопасное состояние. Теоретически функции могут быть описаны в общем виде без ссылки на конкретную технологию. Например, в случае защиты от превышения давления функция может быть определена как предотвращение того, что давление превзойдет установленное значение. Тогда такая функция может быть выполнена как предохранительным клапаном, так и ПСБ. Если функция описана в общем виде, то выбор используемого способа ее реализации будет проведен на следующем этапе жизненного цикла (распределение функций безопасности ПСБ по слоям защиты). На практике в зависимости от выбранного типа системы функциональные требования будут различными, поэтому данная и следующая стадии в некоторых случаях могут быть объединены.

Подводя итог, можно сказать, что в ходе анализа опасностей и рисков необходимо рассмотреть следующее:

a) каждое определенное опасное событие и последовательность событий, которые их составляют;

b) последствия и возможность появления последовательностей событий, вызванных каждым опасным событием; они могут быть выражены количественно или качественно;

c) дополнительные требования не предусмотрены;

d) необходимость снижения риска для каждого опасного события;

e) меры, предпринимаемые для снижения или устранения опасностей и рисков;

f) допущения, принятые в ходе анализа рисков, включая оценки интенсивностей запросов и отказов оборудования; должно быть подробно раскрыто любое допущение, принятое для эксплуатационных ограничений или вмешательств человека;

g) дополнительные требования не предусмотрены;

h) ссылки на ключевую информацию о связанных с безопасностью системах на каждой стадии жизненного цикла ПСБ (например, в работах по верификации или оценке соответствия).

Используемую информацию и получаемые результаты, составляющие анализ опасностей и рисков, следует оформлять документально.

Может оказаться необходимым повторить проведение анализа опасностей и рисков на различных стадиях полного жизненного цикла ПСБ по мере того, как принимаемые решения и доступная информация становятся более совершенными. Следует периодически повторно подтверждать соответствие с помощью анализа опасностей и рисков и документально оформлять его проведение для обеспечения соответствия предположений реальному опыту эксплуатации [см. МЭК 61511-1:2016 (подпункт 5.2.5.3)] и текущему плану управления безопасностью [см. МЭК 61511-1:2016 (подпункт 5.2.5.1)].

А.8.2.2 ОСУП включает в себя все устройства, необходимые для управления промышленным процессом и соответствующим оборудованием желаемым образом [см. МЭК 61511-1:2016 (пункт 3.2.3)]. Устройства ОСУП, как правило, не квалифицированы в соответствии с МЭК 61511-1:2016 (пункт 11.2.4), что не позволяет допускать интенсивность опасных отказов меньше 10^-5 в час.

Для промышленных процессов важной причиной запросов, которые должны быть рассмотрены при анализе опасностей и рисков, является отказ ОСУП. Необходимо отметить, что отказ ОСУП может быть вызван всем, от чего зависит корректная работа ОСУП: например, датчиком, клапаном, ошибкой оператора или логическим решающим устройством.

МЭК 61511-1:2016 устанавливает ограничение на интенсивность опасных отказов для самой ОСУП как инициирующего источника до 10^-5 в час, если ОСУП не создавалась в соответствии с требованиями настоящего стандарта. Причина данного ограничения состоит в том, что система управления функциональной безопасностью, представленная в МЭК 61511-1:2016, и предписанные в ней меры и способы необходимы для снижения вероятности возникновения систематических отказов до достаточно низкого уровня, чтобы заявленная интенсивность опасных отказов поддерживалась на уровне меньше 10^-5 в час. Такое ограничение обеспечивает, что высокие доверительные уровни не относятся к ОСУП, которые не отвечают требованиям МЭК 61511-1:2016.

А.8.2.3 Дополнительные требования не предусмотрены.

А.8.2.4 Дополнительные требования см. в ISA TR84.00.09:2013.

А.9 Распределение функций безопасности по слоям защиты

А.9.1 Цели

Для того чтобы определить потребность в ФБ ПСБ и соответствующие требования к их УПБ, важно рассмотреть запланированные (или установленные) слои защиты и насколько они снижают риски. Если необходим слой защиты ПСБ, то следует определить значение УПБ для каждой функции (или функций) безопасности ПСБ, распределенной для этой ПСБ.

А.9.2 Руководящие указания к "Требованиям к процессу распределения"

А.9.2.1 Первое требование состоит в том, чтобы идентифицировать используемые слои защиты и распределить снижение риска по функциям безопасности ПСБ. На практике часто функции безопасности распределяются только по ПСБ, в которых существуют проблемы применения разработок с внутренне присущей им безопасностью или систем, использующих другие технологии.

Примерами таких проблем являются ограничения, связанные с воспламеняемостью или защитой от экзотермических реакций. Любое решение по использованию приборных систем вместо традиционных подходов, таких как предохранительные клапаны, требуется подкрепить разумными доводами, которые покажутся вескими для надзорных органов.

Как указывалось выше, действия по анализу опасности и риска и по распределению могут выполняться параллельно либо распределение может при некоторых обстоятельствах выполняться перед анализом опасности и риска. Решения по распределению функций безопасности ПСБ по слоям защиты часто принимаются на основе практического опыта организации-пользователя. Следует также учесть хорошую установившуюся промышленную практику. Решения, принимаемые по ПСБ, должны допускать наличие других слоев защиты. Например, если установлены предохранительные клапаны и они спроектированы и смонтированы в соответствии с промышленными нормами, то может быть решено, что их достаточно для достижения адекватного снижения риска. ПСБ в таких случаях будут только ограничивать давление на уровнях, при которых размер или качество работы предохранительного клапана (клапанов) будут для данного применения недостаточны или будут лишь предотвращать выбросы в атмосферу.

А.9.2.2 Дополнительные требования не предусмотрены.

А.9.2.3 Если для реализации функции безопасности назначена ПБС, то необходимо будет учитывать режим ее реализации - с низкой частотой запросов или с высокой частотой запросов/непрерывный режим. В промышленных процессах функции безопасности часто реализуется режим с низкой частотой запросов, при котором частота запросов, как правило, невелика. Для таких случаев подходит таблица 4, приведенная в МЭК 61511-1:2016. Встречается также растущее число приложений, работающих в режиме с высокой частотой запросов, для которых более подходящим является режим работы с непрерывным запросом, так как опасные события, как правило, случаются, как только происходит отказ функционирования ПСБ. Для таких случаев применим МЭК 61511-1:2016 (таблица 5). Случаи режима работы с непрерывным запросом, в которых отказ привел бы к непосредственной опасности, редки. Функции управления горелкой или скоростью турбины могут относиться к приложениям, функционирующим в режиме с непрерывным запросом, которые должны соответствовать МЭК 61511-1:2016, если требующаяся средняя интенсивность отказов (для достижения указанной интенсивности опасных событий) меньше чем 10^-5 в час.

МЭК 61511-1:2016 (таблица 4) определяет значения УПБ, выраженные в значениях средней вероятности отказа при наличии запроса (ВОНЗ_ср). Заданное значение ВОНЗ_ср определяется требуемым сокращением риска, которое, в свою очередь, может быть найдено путем сравнения риска процесса без ПСБ с величиной допустимого риска. Его можно определить в количественной или качественной форме способами, приведенными в МЭК 61511-3:2016.

МЭК 61511-1:2016 (таблица 5) устанавливает УПБ, выраженный в значениях средней частоты опасных отказов при выполнении функции безопасности ПСБ. Эта частота будет определяться приемлемой интенсивностью отказов ПСБ с учетом последствия отказа в конкретном случае применения. Если для определения требуемого УПБ используется таблица 5 МЭК 61511-1:2016, то его целевое значение базируется на частоте опасных отказов ПСБ. При применении таблицы 5 МЭК 61511-1:2016 некорректно преобразовывать частоту опасных отказов в вероятность их появления при наличии запроса, используя интервал контрольной проверки или интенсивность запросов. Хотя при таком преобразовании единицы измерения могут казаться правильными, оно будет ошибочным и может привести к некорректному преобразованию таблицы 5 МЭК 61511-1:2016 и неполной спецификации требований, предъявляемых к УПБ функций безопасности.

Заданные значения средней вероятности отказов при наличии запроса или частоты опасных отказов применяются к ФБ ПСБ, а не к отдельным компонентам, устройствам или подсистемам ПСБ. Компонента, устройство или подсистема (например, датчик, логическое решающее устройство, исполнительный элемент) не могут иметь УПБ, установленные вне их связи с конкретной ПСБ. Однако компонент может обладать стойкостью к систематическим отказам, которая относится к мерам и способам, применяемым для снижения вероятности возникновения систематических ошибок, приводящих к опасным отказам ПСБ.

Результатом работ по анализу опасности и риска и распределению требований должно быть ясное описание функций, которые будут выполнены защитными слоями. В случае ПСБ подобное описание должно включать в себя режим работы, т.е. непрерывный, с высокой или низкой частотой запросов, а также требования УПБ для всех ФБ ПСБ. Такое описание формирует основу для составления СТБ ПСБ. Описание функций безопасности должно быть ясным настолько, насколько это необходимо для понимания функциональных требований и требований полноты безопасности.

На данной стадии реализации нет необходимости определять структуру для подсистем датчиков и клапанов. Решения по таким структурам достаточно сложны, и определение, требует ли конкретная подсистема датчиков голосующую группу 2оо3, а подсистема клапанов - голосующую группу 1оо2, будет зависеть от многих факторов.

А.9.2.4 Необходимо полностью понимать смысл таблиц 4 и 5, приведенных в МЭК 61511-1:2016. В частности, значения ВОНЗ_ср, которые могут быть приняты для одиночной ФБ ПСБ, ограничены пределом 10⁵, что связано со снижением риска в 10⁵ раз (УПБ 4). Анализ безотказности может показать, что достижение интенсивности случайных отказов технических средств, не превышающей 10^-5, возможно, но в МЭК 61511-1:2016 принимается, что систематические отказы и отказы по общей причине будут ограничивать реально достигаемое сокращение рисков. Настоятельно рекомендуется, чтобы в тех случаях, когда анализ риска показывает необходимость столь значительного снижения риска, была бы принята во внимание трудность достижения УПБ 4 для ФБ ПСБ в секторе промышленных процессов. При этом следует рассмотреть возможность устранения или сокращения опасности у ее источника за счет внедрения не основанных на ПСБ мер снижения вероятности возникновения причин опасных событий или использования нескольких независимых ФБ ПСБ с более низким уровнем полноты безопасности. Для случаев использования нескольких ФБ ПСБ следует учитывать зависимость одних ФБ ПСБ от других, включая влияние синхронной контрольной проверки. Один из методов рассмотрения этого влияния заключается в применении комплексного подхода к моделированию общей системы [см. МЭК 61511-3:2016 (приложение J)].

А.9.2.5 Дополнительные требования не предусмотрены.

А.9.2.6 Чтобы достичь более высоких уровней снижения риска (например, превышающих 10³), можно использовать несколько ФБ ПСБ. При этом важно, чтобы каждая из ФБ ПСБ могла независимо выполнять функцию безопасности и чтобы независимость между ФБ ПСБ была достаточно обоснованной.

Кроме того, при использовании нескольких ФБ ПСБ следует учитывать отказы по общей причине. При этом должны выполняться все остальные требования, установленные в МЭК 61511-1:2016, включая требования к минимальной отказоустойчивости, приведенные в МЭК 61511-1:2016 (таблица 6).

Чтобы проиллюстрировать, как можно совместно использовать несколько ФБ ПСБ для достижения более высоких уровней снижения риска, рассмотрим следующий пример.

Пусть комплект датчиков, соединенных по схеме "2 из 3", группа логических устройств со структурой "2 из 3" и соединение исполнительных устройств "1 из 2" образуют ФБ ПСБ, имеющую ВОНЗ_ср, равную . Такая ФБ ПСБ дает снижение риска, равное приблизительно .

Было бы неправильно предполагать, что совместное использование двух таких систем приведет к сокращению риска, равному (). Факторы, связанные с общими причинами, такие как применение аналогичных принципов действия, разработка обеих систем по той же самой функциональной спецификации, человеческие факторы (например, программирование, монтаж, обслуживание), внешние факторы (например, коррозия, закупоривание, замерзание воздухопроводов, попадание молнии), а также зависимости, вызванные синхронизированной контрольной проверкой, будут ограничивать качество работы системы. Необходимо также принимать во внимание любые компоненты, используемые этими двумя системами совместно.

Более подходящим решением могло бы быть использование второй нерезервированной системы, построенной на устройствах, отличающихся от применяемых в первой системе настолько, насколько это возможно (чтобы свести к минимуму проблемы, связанные с потенциально существующими общими причинами). Тем не менее использование различающихся компонентов, может усложнить процесс обслуживания. Должен быть проведен тщательный анализ для выбора наилучшего решения для конкретного приложения.

Более подробное руководство по оценке зависимости и общих причин между слоями защиты приведено в МЭК 61511-3:2016 (приложение J).

А.9.2.7 Руководство по оценке зависимостей и влияния общих причин между слоями защиты приведено в МЭК 61511-3:2016 (приложение J).

А.9.2.8 Дополнительные требования не предусмотрены.

А.9.2.9 Дополнительные требования не предусмотрены.

А.9.3 Руководящие указания к "Требованиям к основной системе управления процессом как к слою защиты"

А.9.3.1 ОСУП при определенных условиях может считаться слоем защиты.

ФБ ПСБ не могут быть реализованы в ОСУП, если ОСУП не была спроектирована в соответствии с МЭК 61511-1:2016. В МЭК 61511-1:2016 (пункт 11.2.4) установлено: "Если не предполагается квалифицировать ОСУП как удовлетворяющую комплексу стандартов МЭК 61511, то ПСБ должна быть спроектирована так, чтобы ОСУП была отделена и независима до такой степени, чтобы не нарушалась полнота безопасности ПСБ". Для проектирования и управления ОСУП как ПСБ требуется применение требований к ее жизненному циклу, представленных в МЭК 61511-1:2016, включая требования к анализу опасностей и рисков, проектной документации, управлению функциональной безопасностью, подтверждению соответствия изменений и управлению изменениями.

Если не выполнены требования МЭК 61511-1:2016 (пункты 9.3.4 и 9.3.5) и не проведен дополнительный количественный анализ риска в соответствии с МЭК 61511-1:2016, то сокращение риска может быть распределено только на один слой защиты ОСУП. Подобный анализ нетривиален и включает в себя подробную оценку всего проекта ОСУП целиком, включая оборудование, программное обеспечение, коммуникации, источники питания, интерфейсы и т.п. Такой анализ, как минимум, должен учитывать целостность оборудования, разделение слоев защиты для предотвращения отказов по общим причинам, управление систематическими ошибками прикладного программирования, защиту доступа к аппаратному и программному обеспечению, управление изменениями, взаимодействия операторов, управление конфигурацией и периодическое подтверждение соответствия.

Если предполагается использование защитного слоя ОСУП, то следует провести оценку проекта и управления ОСУП для обеспечения такой вероятности возникновения отказов по общей причине, отказов общего типа и систематических отказов между слоем защиты ОСУП и инициирующим источником, а также между защитным слоем ОСУП и другими защитными слоями, которая является достаточно низкой по сравнению с общими требованиями к сокращению риска ОСУП.

А.9.3.2 Снижение риска менее чем в 10 раз может быть поручено защитным слоям ОСУП, без необходимости выполнять ее в соответствии с требованиями МЭК 61511-1:2016. Это позволяет использовать ОСУП для некоторого снижения риска без необходимости обеспечивать соответствие таких слоев защиты требованиям МЭК 61511-1:2016.

Заявленное для защитного слоя ОСУП снижение риска 10 следует обосновать путем анализа возможностей ОСУП по снижению риска (выполненного с помощью анализа безотказности или используя данные о прежнем использовании) и анализа процедур, используемых для конфигурирования, модификации и режимов эксплуатации и обслуживания.

Любой защитный слой ОСУП должен быть документально оформлен в функциональной спецификации, описывающей проектирование, обслуживание, контроль, проверку и работу ОСУП для достижения распределенного снижения риска.

Сбои, связанные с устройствами защитного слоя ОСУП, могут быть выявлены при выполнении процесса, автоматизированной диагностике, во время действий по обеспечению механической работоспособности или при инициации другого опасного события, но не того, где этот слой используется для снижения риска. Обнаружение сбоя должно привести к тому, что защитный слой ОСУП выполнит заданное действие для достижения или поддержания безопасного состояния. Заданное действие (реакция на сбой), требующееся для достижения или поддержания безопасного состояния, может состоять, например, из безопасного прекращения процесса (или той части процесса, которая полагается на неисправную подсистему ПСБ в снижении риска) или из определенной компенсирующей меры, обеспечивающей безопасную работу, пока завершаются ремонтные работы. Реакция на сбой должна быть реализована за время меньшее, чем время безопасности процесса.

Если распределение требований по снижению риска затрагивает защитный слой ОСУП, то важно обеспечить безопасность доступа и управление изменениями. Для управления доступом к защитному слою в ОСУП и его модификацией должно использоваться административное управление. Для обхода защитного слоя ОСУП (например, перевода функции ОСУП в ручной режим) требуется подтверждение, а компенсирующие меры должны быть готовы к использованию до осуществления обхода, чтобы обеспечить поддержание требующегося снижения риска. Должны быть предоставлены средства для подтверждения соответствия функций защитного слоя после того, как в ОСУП были внесены изменения, способные повлиять на работу защитного слоя ОСУП.

А.9.3.3 Дополнительные требования не предусмотрены.

А.9.3.4 Снижение риска, которое может быть возложено на защитный слой ОСУП, также ограничено степенью независимости между защитным слоем ОСУП, другими защитными слоями и источником опасного события.

Подробный анализ всей ОСУП в целом должен продемонстрировать, что устройства управления и защитные устройства в ОСУП достаточно независимы и разделены, причем настолько, что можно было бы сделать вывод, что вероятность того, что отказ ОСУП (как инициирующего источника) приведет к отказу защитного слоя ОСУП, достаточно мала. В таких случаях правильным может быть использование защитного слоя ОСУП, даже если ОСУП может служить инициатором опасного события.

Если проектирование и управление ОСУП не выполняются в соответствии с МЭК 61511-1:2016, то в случаях, когда ОСУП является источником нарушения, ответственность за одно опасное событие может возлагаться не более чем на один защитный слой ОСУП. На рисунке А.2 показана независимость защитного слоя ОСУП и источника нарушения в ОСУП.

Например, рассмотрим случай, в котором контур управления расходом выполняет роль источника, инициирующего нарушения. Этот источник включает в себя датчик расхода, логическое решающее устройство ОСУП и управляющий клапан. Для того чтобы назначить снижение риска сбросу давления в ОСУП, датчик давления следует соединить с независимым логическим решающим устройством ОСУП, приводящим в действие независимый исполнительный элемент (например, выпускной клапан факельной системы). Защитный слой может также быть аварийным сигналом и функцией реакции оператора.

Если заявляется, что ОСУП является источником, инициирующим нарушения, и защитным слоем для одного и того же опасного события, то проектирование и управление всего ОСУП (включая любые ее устройства, показанные на рисунке А.2) должно осуществляться таким образом, чтобы она могла поддерживать требующуюся от нее среднюю интенсивность отказов (например, ). Такое заявление должно быть подтверждено посредством проведения количественного анализа ОСУП, учитывающего вероятность возникновения отказов по общей причине и отказов общего вида между устройствами, образующими ОСУП. Отказы по общей причине, вызванные произвольными систематическими отказами, могут ограничить способность ОСУП в достижении заявленной средней интенсивности отказов.

Если проектирование и управление ОСУП не выполняются в соответствии с МЭК 61511-1:2016, то в случаях, когда инициирующий источник нарушения не связан с ОСУП, ответственность за одно опасное событие может возлагаться не более чем на два защитных слоя ОСУП. На рисунке А.3 показана независимость двух защитных слоев ОСУП, распределенных в ОСУП.

Рисунок А.2 - Независимость слоя защиты ОСУП и источника нарушений в ОСУП

А.9.3.5 Если заявляются два защитных слоя ОСУП для одного и того же опасного события, то проектирование и управление всей ОСУП (включая любые ее устройства, показанные на рисунке А.3) должно осуществляться таким образом, чтобы она могла поддерживать требующуюся от нее среднюю интенсивность отказов (например, ). Условия и замечания в МЭК 61511-1:2016 (пункты 9.4.1 и 9.4.2) применимы к обоим слоям защиты ОСУП. Заявленное снижение риска должно быть подтверждено посредством проведения количественного анализа ОСУП, учитывающего вероятность возникновения отказов по общей причине и отказов общего вида между устройствами, образующими ОСУП. Отказы по общей причине, вызванные произвольными систематическими отказами, могут ограничить способность ОСУП в достижении заявленного сокращения риска.

Рисунок А.3 - Независимость двух слоев защиты, распределенных в ОСУП

А.9.4 Руководящие указания к "Требованиям к предотвращению отказов по общей причине, отказов общего вида и зависимых отказов"

А.9.4.1 Важно рассмотреть на ранней стадии вопрос о том, существует ли какая-либо причина отказов, являющаяся общей между резервными компонентами на каждом уровне (например, между двумя предохранительными клапанами давления одной и той же емкости), между разными слоями защиты или между слоями защиты и ОСУП. Примером может служить ситуация, в которой отказ устройства ОСУП может привести к запросу на срабатывание ПСБ, в составе которой используется устройство с теми же характеристиками. В таких случаях необходимо установить, существует ли правдоподобный вид отказов, способных привести к одновременному отказу обоих устройств. Если такая общая причина отказов установлена, то могут быть предприняты следующие действия:

a) общая причина может быть ослаблена путем внесения изменений в проект ПСБ или ОСУП. Двумя эффективными методами снижения возможности отказов по общей причине являются разнообразие проектов и физическое разделение. Обычно такой подход предпочтителен;

b) при определении достаточности снижения общего риска следует принять во внимание возможность событий, связанных с общей причиной отказов. Может потребоваться построение анализа дерева ошибок, которое отражает как причины запроса, так и отказы системы защиты. В таком дереве ошибок могут быть представлены отказы по общей причине, а их влияние на общий риск может быть оценено количественно с помощью соответствующих методов моделирования.

Следует отметить, что любые датчики или исполнительные механизмы, являющиеся общими для ОСУП и ПСБ, очень часто порождают отказы по общей причине.

А.9.4.2 При проведении оценки возможности появления отказов по общей причине, отказов общего типа и зависимых отказов применимы приведенные ниже положения. Широта, строгость и глубина оценки будет зависеть от значения УПБ предполагаемой функции. При УПБ 3 или УПБ 4 влияние отказов по общей причине, отказов общего типа и зависимых отказов может быть доминирующим. Поэтому следует рассмотреть:

- независимость между слоями защиты. Должен быть выполнен анализ режимов и влияния отказа, чтобы установить, может ли одиночное событие вызвать отказ больше чем одного слоя защиты или отказ ОСУП и слоя защиты. Глубина и строгость анализа будут зависеть от величины риска;

- разнообразие между слоями защиты. Целью является обеспечение разнообразия между слоями защиты и ОСУП, но это не всегда достижимо. Некоторое разнообразие может быть достигнуто путем применения оборудования разных изготовителей, но, если датчики в ПСБ и ОСУП подсоединяются к объекту по одинаковым схемам, такое разнообразие может быть ограниченным;

- физическое разделение между различными слоями защиты. Физическое разделение будет снижать влияние отказов по общей причине благодаря физическим причинам. Подключение измерительных компонент ОСУП и ПСБ должно быть максимально физически разделено и подчинено функциональным потребностям, таким как точность и время отклика.

А.10 Спецификация требований к безопасности ПСБ

А.10.1 Цель

Разработка СТБ ПСБ является одной из самых важных процедур на всем жизненном цикле ПСБ. Именно с помощью такой спецификации пользователь может определить, как он хотел бы запроектировать и реализовать в ПСБ каждую из ФБ ПСБ.

Полное подтверждение соответствия ПСБ выполняется с использованием этой спецификации.

А.10.2 Руководящие указания к "Общим требованиям"

СТБ ПСБ может быть отдельным документом или сборником нескольких документов, включающим процедуры, рисунки или положения стандартов предприятия. Такие требования могут быть разработаны группой, занимающейся анализом опасности и риска, и/или самой группой разработчиков.

А.10.3 Руководящие указания к "Требованиям к безопасности ПСБ"

А.10.3.1 Как указано в МЭК 61511-1:2016, существует ряд требований к проекту, которые следует определить в проекте раньше, чем будут рассмотрены ФБ ПСБ, обеспечивающие желательную защиту.

Некоторые положения, посвященные СТБ, сводятся к следующему:

a) прежде всего следует определить ФБ ПСБ и ее значение УПБ. Примером ФБ ПСБ служит функция "Защитить реактор от превышения давления путем открытия клапанов сброса при высоком давлении". Типичное описание функции будет содержать следующее:

- параметры процесса, необходимые для того, чтобы выявить опасные условия.

Пример - Обнаружение возрастания давления выше определенного значения. Значение параметра, при котором начинаются защитные действия, устанавливается вне его рабочего диапазона, но оно не должно превышать значения, которое приводит к опасной ситуации. Необходимо установить допустимые пределы для показателей быстродействия системы и точности измерения. При выборе этих пределов их необходимо обсудить с лицами, ответственными за разработку и создание ПСБ;

- действия, которые должны быть выполнены для предотвращения условия опасного события, и время, когда они должны быть выполнены. Простым примером может служить снижение расхода пара, подаваемого в теплообменник на определенное время. Следует отметить, что обычно неэффективно предусматривать прекращение подачи пара в теплообменник. Проектировщику нужно будет знать, что именно необходимо для успешной работы. Например, в нагревательных устройствах может оказаться достаточным снизить расход менее чем на 10 % на 1 мин. Другим примером может быть необходимость останова объекта в течение нескольких секунд;

- действия, не требующиеся для предотвращения опасного события, но которые могут быть выгодны по эксплуатационным причинам. Такими действиями могут быть формирование аварийных сигналов, отключение устройств, увеличивающих или уменьшающих поток, для сокращения запросов на другие системы защиты или действия по быстрому запуску, после того как источник опасности будет устранен. Важно отделить подобные, не связанные с безопасностью, действия от действий, необходимых для предотвращения условия опасной ситуации, чтобы минимизировать стоимость и ограничить рабочий диапазон ПСБ тем, что крайне необходимо;

- любые выявленные состояния процесса или последовательности операций ПСБ, которые должны быть предотвращены, так как они могут приводить к опасным ситуациям. После завершения проектирования ПСБ требуется провести дополнительный анализ риска для рассмотрения возможности возникновения новых опасностей или дополнительных причин уже идентифицированных опасностей, вызванных частичными отказами или ложным срабатыванием ПСБ;

b) спецификация требований по безопасности должна устанавливать безопасное состояние процесса для каждой определенной функции, выраженное в терминах конкретных технологических условий: какие потоки должны быть включены или остановлены, какие клапаны процесса должны быть открыты или закрыты, какими должны быть рабочие состояния любого вращающегося оборудования (насосы, компрессоры, перемешивающие устройства). Если для приведения процесса к безопасному состоянию необходимо установление некоторой упорядоченной последовательности состояний, то ее также следует установить. При выборе исполнительных элементов можно рассмотреть преимущества разнообразных решений (например, прекращение подачи продукта и расхода пара для снижения давления);

c) в самом начале можно определить требования к желательному интервалу проведения контрольной проверки с тем, чтобы они могли быть учтены в проекте ПСБ. Например, если контрольная проверка должна выполняться только во время плановых остановов (например, каждые три года), то в проекте может потребоваться предусмотреть большее резервирование, чем в случае проведения ежегодных испытаний.

Следует рассмотреть:

- длительность испытания;

- состояние испытываемого устройства (в автономном режиме/в рабочем режиме);

- состояние процесса во время испытания;

- выявление отказов по общей причине;

- предотвращение ошибок (таких как сохранение изолированности ПСБ после выполнения испытания);

- требования к документации испытаний;

- требования к архивированию;

- необходимость гарантировать осведомленность управляющих о том, что запланировано;

- необходимость обеспечить осведомленность прилегающих и других подверженных влиянию территорий о приближающемся проведении испытания;

- техническую квалификацию и опыт персонала, разрабатывающего процедуры испытания;

- техническую квалификацию и опыт персонала, выполняющего процедуры испытания;

d) максимальное допустимое время реакции ПСБ начинается, когда процесс достигает условий срабатывания и заканчивается в последний момент, когда исполнительные элементы, достигающие своих безопасных состояний, все еще могут предотвратить опасность. Следует установить требования к возможности ручного перевода процесса в безопасное состояние. Например, если существует требование о том, чтобы оператор мог вручную остановить часть оборудования как из помещения для управления, так и на месте, то это следует указать в спецификации. Также следует определить любое требование, связанное с независимостью ключей ручного останова от логического устройства ПСБ;

e) следует установить все требования, предъявляемые к повторному запуску процесса после останова. Например, некоторые пользователи применяют электронные ключи перезапуска, установленные в главном зале управления или на месте, а другие предпочитают применять соленоиды с запорными рычагами. Если к подобным действиям по перезапуску существуют специфические требования, то они должны составлять часть СТБ;

f) если существует заданная частота ложных срабатываний, то ее также следует указать как часть СТБ, так как она будет фактором, влияющим на проект ПСБ;

g) интерфейс между ПСБ и оператором должен быть описан полностью, включая аварийную сигнализацию (предаварийные сигналы о неисправности устройства, сигналы останова, перепуска и диагностики устройства), графики, фиксируемые последовательности событий;

h) может оказаться необходимым предусмотреть обходные каналы (обходы), позволяющие проводить испытания или обслуживание ПСБ на действующем объекте. Если существуют специфические требования к обходу таких устройств, как ключи и пароли, то их также следует привести как часть СТБ;

i) следует установить виды отказов и реакцию ПСБ на обнаружение неисправностей. Например, передающее устройство может быть сконфигурировано таким образом, что при его отказе возникают условия срабатывания либо при его отказе не возникает условий срабатывания. Если при его отказе не возникает условий срабатывания, то важно, чтобы оператор получал сигнал об отказе передающего устройства и был обучен необходимым корректирующим действиям. См. также МЭК 61511-1:2016 (подраздел 11.3), посвященный требованиям по обнаружению неисправностей.

А.10.3.2 Дополнительные требования не предусмотрены.

А.10.3.3 Данный пункт связан с руководящими указаниями к требованиям безопасности прикладного программирования. СТБ ППО идентифицирует минимальные возможности функционала ППО ПЭ, а также ограничивает разработку любого функционала, который может привести к небезопасной ситуации. Требования безопасности ППО, которые уже были указаны в требованиях для ПСБ, не должны повторяться отдельно, как СТБ для ППО.

СТБ ППО, как правило, учитывает системную архитектуру ПСБ. Системная архитектура определяет основные устройства, подсистемы ПСБ, встроенное ПО и ППО, а также то, как они взаимосвязаны и как достигаются требующиеся характеристики, в особенности полнота безопасности. Примеры модулей встроенного ПО включают в себя операционные системы, базы данных и коммуникационные подсистемы ПСБ. Примеры модулей ППО включают прикладные функции, дублируемые по всему предприятию.

Архитектура ППО должна также определяться лежащей в основе архитектурой подсистем(ы) ПСБ, предоставленной поставщиком(ами). Архитектура ППО не должна сводить на нет эффект от избыточности оборудования, например если процессор не избыточен (например, 1 из 1), а есть избыточность датчиков (например, 2 из 3), то соответствующее ППО должно обеспечивать требующееся голосование датчиков (т.е. 2 из 3).

Подробные требования по безопасности, предъявляемые к каждой функции безопасности ПБС, устанавливаются обычно с помощью логических диаграмм или причинно-следственных диаграмм [см. рисунок D.2 (приложение D)]. Во многих случаях для определения требований могут быть использованы языки программирования, предлагаемые поставщиком логического устройства. Обычно используют языки функциональных блок-диаграмм или язык причинно-следственных матриц. Специализированные форматы, такие как универсальный язык моделирования (UML), также являются доступными и полезными, когда предполагается использовать методы проверки моделей. Поставляемый выбранный язык должен подходить для конкретного применения. При определении подробных требований использование языков, предлагаемых поставщиком, может уберечь от ошибок, которые встречаются при переносе требований из других видов документации. Для того чтобы определить функции безопасности и функции, не связанные с безопасностью, а также требования к УПБ всех функций безопасности следует широко использовать комментарии.

Правильным решением может быть реализация дополнительных требований помимо необходимых для функционального поведения базовой отдельной ФБ ПСБ (например, для управления остановом и запуском установки), либо в ОСУП, либо в полностью отдельной от ФБ ПСБ части прикладной программы, с явными адресациями к ПСБ. В дополнение к этому ППО может включать в себя функции для реализации полной архитектуры ПСБ, сквозной диагностики и поведения в аварийных условиях. Например, архитектура датчиков (с правилами голосования: 1 из 2, 2 из 3 и т.д.), связанная с ФБ ПСБ, вместе с принципом безопасности "останов по отключению питания" или "останов по включению питания" определяет, как в ППО должно быть реализовано голосование датчиков. Важно обеспечить, что никакая комбинация дополнительных функций не смогла привести к переопределению основных прикладных функций безопасности.

Если для реализации функций ФБ ПСБ используются несколько ПСБ, то в документации должно быть объяснено, какие функции должны быть реализованы в каждой ПСБ. Если для реализации одной ФБ ПСБ используются несколько ПСБ (например, объединяются две ФБ ПСБ с более низким значением УПБ для достижения более высокого значения УПБ), то следует документально оформить взаимодействие и независимость каждой ФБ ПСБ [(см. приложение F (раздел F.4) и МЭК 61511-3:2016 (приложение J)].

Примечания

1 СТБ ППО идентифицирует минимальные возможности функций ППО ПЭ, а также ограничивает разработку любых функций, которые приведут к небезопасной ситуации.

2 Требования безопасности ППО, которые уже были установлены в требованиях для ПСБ, не должны повторяться.

3 Архитектура системы определяет основные устройства и подсистемы ПСБ встроенного ПО и ППО, а также то, как они взаимосвязаны и как достигаются требующиеся характеристики, в частности полнота безопасности.

4 Архитектура ППО может учитывать лежащую в основе архитектуру подсистем(ы) ПСБ, предоставленную поставщиками(ом). Архитектура ППО не должна сводить на нет эффект от избыточности оборудования - например, если процессор не избыточен (например, 1 из 1), а есть избыточность датчиков (например, 2 из 3), то соответствующее ППО должно обеспечивать требующееся голосование датчиков (т.е. 2 из 3).

5 ПСБ, как правило, состоит из трех архитектурных подсистем ПСБ: датчиков, логического решающего устройства и исполнительных элементов. Кроме того, подсистемы ПСБ могут иметь избыточные устройства для достижения требующегося уровня полноты.

6 Архитектура аппаратных средств ПСБ с избыточными датчиками может накладывать дополнительные требования на логическое решающее устройство ПСБ (например, реализацию логики 1оо2).

По любым привлекшим внимание противоречиям, разногласиям и упущениям в СТБ ПСБ следует обращаться к разработчикам ППО. Например, о влиянии порядка выполнения ФБ ПСБ в ППО. Другим примером может быть вопрос о реакции ППО на прекращение питания.

Примечания

1 Проектировщики ППО могут проверять информацию в спецификации для обеспечения однозначности, согласованности и понятности требований. Любые недостатки в указанных требованиях к безопасности могут быть идентифицированы для проектировщика ПСБ.

2 Так как требования к безопасности ППО и возможная архитектура ППО становятся более точными, то это может повлиять на архитектуру аппаратных средств ПСБ (см. рисунок А.4), и поэтому может быть важным тесное взаимодействие между разработчиком архитектуры ПСБ, поставщиком подсистемы ПСБ и разработчиком ППО.

СТБ ППО должна охватывать все функции, необходимые для всех режимов работы защищаемого процесса, включая разрешения на пуск, работу, остановку и дополнительно периодическое испытание ФБ ПСБ. Обычно это требует определения возможности перехода в режим техобслуживания, чтобы датчики и исполнительные элементы могли проверяться без останова процесса. Факторы, которые следует рассмотреть, включают:

a) функциональные и временные требования, необходимые для выполнения ФБ ПСБ, установленные пользователем;

b) интерфейсы ППО с процессом и персоналом;

c) связь между опасностями процесса и функциями, выполняемыми ППО;

d) ограничения на разрешенное поведение ППО, установленные так, чтобы процесс оставался в пределах безопасной области (например, должен уметь работать при неверных входных значениях);

e) допустимые функции сервисного ПО, выполняемые в логическом решающем устройстве (например, реализация приоритета логики безопасности и коммуникаций ввода/вывода, обработка ошибок и диагностика логического решающего устройства);

f) платформу технических средств и встроенного ПО, на которых реализуется ППО, а также конфигурацию аппаратных средств и встроенного ПО;

g) опасности, которые могут появляться в процессе в результате функционирования системы, частью которой является ПО (например, не удовлетворяющие техническим условиям виды отказов аппаратных средств при отключении питания);

h) ограничения на методы и процедуры, которыми могли бы пользовать разработчики, полученные из инструкции по безопасности при обслуживании логического устройства;

i) проверки целостности и непротиворечивости данных, например сквозные проверки коммуникационных каналов, контроль выхода за указанные границы на входах датчиков, контроль выхода данных за указанные границы для параметров и использование разнообразия при выполнении прикладных функций;

j) критерии обнаружения и реакция на обнаруженные сбои аппаратных средств логического решателя и на отказы проверок целостности и логической непротиворечивости данных.

Чтобы избежать трудностей на более поздних стадиях процесса разработки, важно также рассмотреть стратегию, с помощью которой можно показать, что требования к ППО выполнены.

Рисунок А.4 - Связь системы, аппаратных средств ПСБ и прикладной программы ПСБ

А.10.3.4 В случае ФЯП устройств (например, датчиков с элементами ИИ, интеллектуальных преобразователей, графических панелей ЧМИ) требования для конфигурации устройств могут быть установлены как часть СТБ.

А.10.3.5 Разделы В.1, F.17, F.20 и G.2 содержат дополнительные руководящие указания по реализации требований МЭК 61511-1:2016 (пункт 10.3.3) и примерный вид требований к безопасности ППО. Предоставленные дополнительные руководящие указания будут различаться в зависимости от охвата области применения, языка ППО и прикладного процесса, сложности, что позволяет отразить разнообразие существующих возможностей, которые, как правило, позволяют осуществлять подобную реализацию.

А.10.3.6 Пример структурирования требований безопасности ППО см. приложение В (пункт В.3.3.1) и приложении F (шаг F.3).

А.11 Проектирование и разработка ПСБ

А.11.1 Цель

Цель раздела А.11.1 - предоставить руководящие указания по разработке ПСБ. Каждая ФБ ПСБ имеет свой собственный УПБ. Устройство ПСБ, например логическое решающее устройство, может использоваться несколькими ФБ ПСБ с различными УПБ.

А.11.2 Руководящие указания к "Основным требованиям"

А.11.2.1 Дополнительные требования не предусмотрены.

А.11.2.2 Руководящие указания к ППО см. в приложении А (пункт 12.2.4).

А.11.2.3 Если ППО ПСБ должно реализовывать ФБ ПСБ с различными УПБ, то их следует четко промаркировать. Это позволит сделать ППО каждой ФБ ПСБ прослеживаемым вплоть до каждого резервного датчика и каждого резервного исполнительного элемента. Это даст также возможность выполнять функциональное испытание и подтверждение соответствия функций в соответствии с УПБ. Маркировка должна идентифицировать функции безопасности ПСБ и УПБ.

А.11.2.4 Иногда ОСУП дополнительно использует устройства ПСБ по эксплуатационным причинам. В МЭК 61511-1:2016 (раздел 11) содержится ряд проектных требований к ПСБ. Одно из них касается независимости между ПСБ и ОСУП.

Обычно ПСБ отделяется от ОСУП по следующим причинам:

а) чтобы уменьшить число отказов по общей причине, отказов общего типа и систематических отказов, сводя к минимуму влияние отказа ОСУП на ПСБ.

Примечание - Разделение ПСБ и ОСУП согласуется с концепцией слоев защиты. Отдельная ПСБ является независимым слоем защиты в тех случаях, когда происходит отказ ОСУП;

b) чтобы сохранить гибкость ПСБ к изменениям, обслуживанию, испытаниям и документальному оформлению.

Примечания

1 Обычно к ПСБ предъявляют более жесткие требования, чем к ОСУП, и назначение ОСУП не связано с выполнением таких же жестких требований, как предъявляемые к ПСБ. Однако неуправляемые изменения в ОСУП могут привести к увеличению запросов на срабатывание ПСБ.

2 Разделение ПСБ и ОСУП позволяет осуществлять раздельное обслуживание этих систем, часто различным обслуживающим персоналом.

3 Если ОСУП объединена с ПСБ, то для соблюдения требований к управлению изменениями ПСБ и управлению конфигурацией можно ограничить доступ к программированию или функциям конфигурации ОСУП.

4 Могут быть предоставлены средства для подтверждения соответствия ПСБ после внесения изменений в какие-либо устройства, разделяемые ОСУП и ПСБ;

c) чтобы облегчить идентификацию и управление ПСБ-устройствами, делая подтверждение соответствия и оценку функциональной безопасности ПСБ более простой и понятной;

d) для поддержки защиты доступа и повышения кибербезопасности ПСБ таким образом, чтобы внесение поправок в функции или данные ОСУП не влияло на ПСБ.

Примечания

1 Управление разделяемыми интерфейсами и устройствами может осуществляться как управление компонентами и устройствами ПСБ, если конфигурация аппаратных средств и ПО не обеспечивает функциональное разделение.

2 Следует уделить особое внимание ограничениями на запись, чтобы предотвратить неавторизированную или непреднамеренную запись в ПСБ;

e) чтобы сократить число исследований, которые требуются для того, чтобы обеспечить надлежащие проектирование, верификацию и управление ПСБ и ОСУП.

Примечание - Если отказ общего оборудования может вызвать запрос к ПСБ, то можно провести анализ, чтобы убедиться, что средняя полная интенсивность отказов соответствует ожидаемой. Такой анализ может охватывать все устройства ПСБ и ОСУП, такие как датчики, логические решающие устройства, исполнительные элементы, средства коммуникаций данных, сервисные программы, станции операторов и инженерные рабочие станции.

Если какое-либо устройство ОСУП разделено между ОСУП и ПСБ, то следует провести дополнительный анализ для демонстрации того, что в процессе проектирования и управления этим устройством ОСУП:

- обеспечивает выполнение функциональных требований к функции ОСУП и к ФБ ПСБ.

Примечание - Отказ какого-либо внешнего для ПСБ аппаратного средства или программного обеспечения не может повлиять на корректное функционирование ФБ ПСБ;

- соответствует требованиям к полноте, необходимой для достижения целевой средней интенсивности отказов для объединенных вместе систем.

Примечания

1 Отказ устройства ОСУП не может стать источником, инициирующим опасное событие или опасный отказ (или прекращение/обход) ФБ ПСБ, защищающей от конкретного события, для которого она была создана, если нет резервного устройства, способного запустить ПСБ. Для оценки влияния использования ОСУП и ПСБ общего устройства может быть проведен анализ.

2 Вероятность возникновения отказов по общей причине, отказов общего типа или зависимых отказов, таких как засорение свинцовых линий, обслуживающая деятельность, включая обходы, неправильно управляемые запорные клапаны линии и т.д., может быть оценена и определена как достаточно низкая;

- управление осуществляется в соответствии с МЭК 61511-1:2016, включая проведение контрольной проверки, защиту доступа и управление изменениями.

Разделение между ПСБ и ОСУП может быть реализовано по принципу идентичности или по принципу разнообразия. Применение принципа разделения идентичного означает использование той же самой технологии реализации и для ОСУП, и для ПСБ, тогда как применение принципа разнообразного разделения означает использование для реализации ОСУП и для ПСБ различных технологий от одного или разных изготовителей.

По сравнению с разделением идентичного (идентичное разделение), которое помогает при случайных отказах, разделение с разнообразием дает дополнительный выигрыш в снижении вероятности систематических отказов, влияющих на несколько каналов одновременно, и/или отказов по общей причине и тем самым сокращает отказы, коррелированные для нескольких каналов.

Разделение идентичного между ПСБ и ОСУП может иметь некоторые преимущества при проектировании и техническом обслуживании, так как снижает вероятность ошибок технического обслуживания. Это особенно важно, если должны применяться различные устройства, не использовавшиеся ранее данной эксплуатационной организацией.

Разделение идентичного между ПСБ и ОСУП может быть приемлемым для применений с УПБ 1 и УПБ 2, хотя при этом необходимо рассмотреть источники и последствия отказов по общей причине и уменьшить возможность их появления. Некоторыми примерами отказов по общей причине являются:

- засорение разъемов измерительных цепей и линий импульсных сигналов;

- коррозия и эрозия;

- неисправности аппаратных средств, вызванные окружающей средой;

- ошибки программного обеспечения;

- энергоснабжение и источники электропитания.

Примечание - Средства обеспечения (например, энергоснабжение) могут подвергаться анализу традиционными методами исследования безотказности. Применение коэффициента "бета" не относится к данному случаю;

- ошибки человека.

Существуют четыре зоны, в которых обычно следует обеспечить разделение между ПСБ и ОСУП:

- датчики на объекте;

- исполнительные элементы;

- логическое устройство;

- разводка (меж)соединений.

Физическое разделение между ОСУП и ПСБ может не потребоваться, если поддерживается их независимость, а комплекс оборудования и применяемые процедуры обеспечивают, чтобы ПСБ не подвергалась опасным воздействиям, вызванным:

- отказами ОСУП и

- работами, выполняемыми на ОСУП (например, при ее техническом обслуживании, эксплуатации или модификации).

Если необходимы процедуры, обеспечивающие отсутствие опасных воздействий на ПСБ, то разработчику ПСБ следует установить их.

a) Датчики на объекте

Использование единого датчика для ОСУП и ПСБ требует проведения дополнительного рассмотрения и анализа, так как отказ этого единого датчика может привести к опасному событию.

Примечание - Например, единый датчик уровня, используемый как в ОСУП, так и в качестве источника сигнала о превышении предельного уровня в ПСБ, может сформировать запрос, если датчик выходит из строя и "занижает" уровень (т.е. дает сигнал о том, что уровень ниже значения, заданного для контроллера). В результате контроллер будет подавать сигнал на открытие клапана. Так как тот же датчик используется и для ПСБ, то он не обнаружит превышения уровня.

В случаях, когда для функций как ОСУП, так и ПСБ используется единый датчик, требования МЭК 61511-1:2016 обычно выполняются только в том случае, если диагностика датчика может эффективно снизить интенсивность опасных отказов, а ПСБ способна за установленное время перевести процесс в безопасное состояние.

Общие датчики (например, передающее устройство, анализатор и переключатель) должны питаться от ПСБ. Следует также рассмотреть компенсирующие меры, применяемые в периоды, когда общее (разделяемое) устройство неисправно по причине обнаруженных отказов, обслуживания или проведения испытаний. Чтобы добиться более высокого значения УПБ, обычно необходимо использовать отдельные датчики ПСБ с идентичным или разнообразным резервированием, чтобы удовлетворить требуемой полноте безопасности.

Если в ПСБ используется отдельный одинарный датчик, то может оказаться предпочтительным использовать его и для ввода сигнала в ОСУП через подходящие разделители или другими способами, гарантирующими, что никакой отказ ОСУП не приводит к опасному отказу ПСБ. Такая схема может способствовать улучшению охвата диагностикой, обеспечивая сравнение сигналов датчиков ОСУП и ПСБ.

В тех случаях, когда в ПСБ используются резервные датчики, они могут быть подключены также к ОСУП через подходящие разделители или другими способами, гарантирующими, что никакой отказ ОСУП не приводит к опасному отказу ПСБ. При этом, применяя в ОСУП соответствующие алгоритмы, такие как "среднее из трех", можно повысить безопасность, сокращая интенсивность запросов к ПСБ.

В случае УПБ функций безопасности ПСБ равного УПБ 2, УПБ 3 или УПБ 4, чтобы выполнить требования к отказоустойчивости аппаратных средств и добиться необходимой полноты безопасности в ПСБ обычно необходимо использовать отдельные датчики ПСБ с идентичным или разнообразным резервированием.

b) Исполнительные элементы

Аналогично датчикам использование единого исполнительного элемента как в ОСУП, так и в ПСБ требует проведения дальнейшего рассмотрения и анализа, так как отказ единого исполнительного элемента может привести к опасной ситуации.

Примечание - Например, единый клапан, используемый и для ОСУП, и для ПСБ может привести к запросу в случае, когда происходит отказ открытого клапана, и к опасному отказу ПСБ, если клапан не закрывается, как это определено, в случае поступления запроса.

В случаях, когда как функциями ОСУП, так и функциями ПСБ используется единый исполнительный элемент, требования МЭК 61511-1:2016 обычно выполняются только в том случае, если диагностика исполнительного элемента может значительно снизить интенсивность опасных отказов, а ПСБ способна за установленное время перевести процесс в безопасное состояние.

На практике достичь этого для приложений с УПБ 1 трудно, даже когда проектирование общего исполнительного элемента гарантирует то, что действие ПСБ перекрывает действие ОСУП. Следует также рассмотреть компенсирующие меры, применяемые в периоды, когда разделяемое устройство неисправно по причине обнаруженных отказов, обслуживания или проведения испытаний. В случае значения УПБ функций безопасности ПСБ равного УБП 2, УПБ 3 или УПБ 4, чтобы добиться требующейся полноты безопасности в ПСБ, обычно необходимо использовать отдельные исполнительные элементы ПСБ с идентичным или разнообразным резервированием. Перекрывание действия ОСУП действием ПСБ, например, может быть достигнуто для пневматического клапана при непосредственном соединении ПСБ с соленоидом, приводимым в действие клапаном, который выполняет дренаж воздуха из исполнительного механизма клапана, находящегося, например, между исполнительным механизмом и позиционером клапана. В случае клапанов с электрическим управлением разводка может быть выполнена так, что ПСБ будет помещать клапан управления в безопасное состояние и поддерживать его в нем до переустановки.

Если применяются резервные исполнительные элементы, то исполнительные элементы могут быть соединены как с ПСБ, так и с ОСУП. Даже при наличии избыточных исполнительных элементов следует рассмотреть отказы по общей причине, возникающие между ОСУП и ПСБ. Проведение испытаний избыточных клапанов с временным сдвигом, реализуя соответствующую процедуру, может сократить последствия отказов по общей причине.

Если исполнительным элементом является клапан, то следует дополнительно рассмотреть следующее:

- клапан проектируется таким образом, что отказ ОСУП, способный привести к тому, что ПСБ не может осуществлять действия с общим клапаном, невозможен;

- проект клапана таков, что он функционально совместим как с обслуживанием ПСБ, так и с обслуживанием ОСУП.

Примечание - Этого может быть сложно добиться, так как многие клапаны ОСУП устанавливаются "открытыми для потока", а многие клапаны ПСБ устанавливаются "закрытыми для потока". Требования к питанию исполнительного механизма клапана ПСБ могут отличаться от требований для клапана управления;

- требования к останову.

Примечание - Уровень процесса утечки в клапане управления может считать приемлемым, если он не влияет на способность ФБ ПСБ выполнять установленную для нее функцию и предотвращать опасность;

- проект общего исполнительного элемента должен обеспечить, чтобы действие ПСБ перекрывало действие ОСУП;

- эксплуатационную безотказность клапанов при их применении в аналогичных процессах;

- виды опасных отказов клапанов;

- эксплуатационные условия, обеспечивающие полноту ПСБ.

Примечание - Например, клапаны обхода могут быть зафиксированы в закрытом состоянии и могут находиться под контролем процедур управления и аналогично клапаны, расположенные в обратных трубопроводах (например, гидравлических), могут быть пружинными, зафиксированными в закрытом состоянии;

- требования к контрольной проверке.

Примечание - Можно рассмотреть требования к проведению любых испытаний клапана при неполном ходе или на действующем процессе и то, как они могут влиять на работу.

с) Логическое решающее устройство

Возможности достигнуть разделения и независимости с помощью логических решающих устройств ОСУП или ПСБ различаются в зависимости от технологии, используемой в приложении (т.е. логическое решающее устройство может быть электрическим, электронным и программируемым электронным).

Электрические технологии

Многие промышленные процессы ранее и в настоящее время применяют ОСУП на основе пневматической технологии и ПСБ на основе электрической технологии. Разделение и независимость в таких применениях легко достижимы с помощью этих технологий, так как для их реализации требуются различные конструкции, различное размещение оборудования и отдельные коммуникации.

Электронные технологии

Многие промышленные процессы ранее и в настоящее время применяют ОСУП на основе электронной технологии, не обладающей возможностями реализации на средствах встроенного программирования, а ПСБ - на основе электрической технологии. Разделение и независимость в таких применениях легко достижимы с помощью этих технологий. Использование электронных ПСБ без встроенных программируемых электронных технологий также является целесообразным методом.

Программируемые электронные технологии (ПЭ)

Некоторые приложения для своих ОСУП применяют ПЭ-технологии и электрические технологии для своих ПСБ. Эти конфигурации, по сути, являются разделенными и независимыми, так как коммуникации разводятся отдельно, а универсальность физической реализации не дает преимуществ.

В настоящее время предпочтительный технический план для ОСУП/ПСБ в промышленном процессе заключается в использовании ПЭ-технологии как для ОСУП, так и для ПСБ. Подобная конфигурация предоставляет максимальную гибкость, так как она позволяет удаленно изменять ППО программы ОСУП и ПСБ, а также осуществлять обмен информацией между ОСУП и ПСБ. К сожалению, в случаях поддержания разделения и независимости между ОСУП и ПСБ эти характеристики могут иметь обратный эффект, чего можно избежать проведением анализа на стадиях проектирования жизненного цикла системы безопасности и демонстрацией функциональной безопасности (например, за счет разнообразия технологий).

СТБ [МЭК 61511-1:2016 (раздел 10)] содержит руководящие указания по достижению разделения и независимости ОСУП и ПСБ с такой технологией. Усилия в данной области были подкреплены за счет введения новых средств, обеспечивающих дополнительную защиту для ОСУП и ПСБ. Практические конфигурации систем управления ОСУП/ПСБ и средства обеспечения защиты, предоставляющие различные уровни разделения и независимости между ОСУП и ПСБ, см. в ISA TR84.00.09:2013.

Некоторые поставщики логических решающих устройств ПЭ предоставляют контроллеры, в которых ОСУП и ПСБ размещены в одном физическом корпусе. Перед применением такого подхода следует провести тщательный анализ руководства по безопасности логического решающего устройства и того, как его требования к работе и обслуживанию ОСУП и ПСБ соответствуют критериям управления безопасностью средств процесса и СТБ.

d) Разводка (меж)соединений

Что касается подачи питания для отключения систем и соответствующей разводки соединений к периферийным ("полевым") устройствам, то разводка соединений для ОСУП с соответствующими периферийными устройствами обычно отделена от разводки соединений между ПСБ и связанными с нею периферийными ("полевыми") устройствами на объекте, так как это позволяет избежать возможности случайного отключения функций безопасности без предупреждения об этом. Типовые правила по проектированию таких систем предписывают применение отдельных многоканальных кабелей и соединительных коробок для ПСБ и ОСУП. В тех случаях, когда разводка соединений не разделена, рекомендуется применять строгие правила маркировки и процедуры обслуживания, способные минимизировать возможность ошибок, вызванных отключением ПСБ на период обслуживания.

Примечание - Останов по включению питания выполняется с помощью цепей ПСБ, выходы и устройства которой при нормальной работе обесточены. Подача питания (например, электричества или воздуха) приводит к активации отключения.

Система монтажа кабелей (например, кабельные лотки, кабелепроводы) может быть общей как для систем останова по включению питания, так и для систем останова по отключению питания, если не потребуется их разделение по другим причинам (например, для снижения электромагнитных помех). Для систем останова по включению питания следует предусмотреть дополнительную противопожарную защиту кабельных лотков, проходящих в огнеопасных зонах.

А.11.2.5 Все операторы, сотрудники обслуживающего персонала, контролеры и руководители играют свою роль в обеспечении безопасного функционирования объекта. Однако люди могут совершать ошибки или могут быть не способны справиться с задачей, и как приборы и оборудование, они подвержены "сбою" или "отказу".

Вследствие этого деятельность человека тоже влияет на разработку и полноту системы. Для производственного и обслуживающего персонала особенно важен человеко-машинный интерфейс (ЧМИ), отражающий состояние ПСБ.

Анализ надежности персонала (АНП) определяет условия, приводящие к ошибкам людей, и дает оценки интенсивностей ошибок по накопленной статистике и результатам исследований их поведения. Некоторые примеры ошибок человека, вносящих свой вклад в риск безопасности химических процессов, включают в себя:

- необнаруженные ошибки при проектировании;

- ошибки эксплуатации (например, неправильная уставка);

- неправильное техническое обслуживание (например, замена клапана на неисправный экземпляр);

- ошибки в калибровке, тестировании или интерпретации выходных сигналов систем управления;

- невыполнение должных действий при аварии.

Примечание - Дополнительные указания можно найти в:

CCPS/AICHE Human Factors Methods for Improving Performance in the Process Industries (1st edition), John Wiley & Sons (2007), ISBN 0 4701 1754 0;

Guidelines for Preventing Human Error in Process Safety (1st edition), John Wiley & Sons (2004), ISBN 08169 0461 8;

CCPS/AIChE Guidelines for Chemical Process Quantitative Risk Analysis (second edition), New York: American Institute of Chemical Engineers (2000), 0 8169 0720 X;

HSE Reducing error and influencing behavior, HSG48, Health and Safety Executive, London (2009), ISBN 978 0 7176 2452 2.

ISA TR84.00.04:2015 part 1, Annex B, Guidelines on the Implementation of ANSI/ISA-84.00.01-2004 (IEC 61511).

A.11.2.6 Дополнительные требования не предусмотрены.

А.11.2.7 МЭК 61511-1:2016 (пункт 11.2.7) посвящен возможной опасности, которая может возникать, если ПСБ автоматически перезапускает процесс сразу после устранения условий срабатывания. Следует проанализировать каждую функцию безопасности ПСБ, чтобы определить, как ее надо перенастроить после срабатывания. Обычно повторный запуск возможен только после ручного вмешательства оператора.

Пример функции, обеспечивающей сохранение процесса в безопасном состоянии после его перевода в это состояние, приведен на рисунке F.11, лист 4, строка 1.

А.11.2.8 Могут быть предусмотрены средства ручного вмешательства, независимые как от логического устройства ПСБ, так и от системы управления ОСУП, позволяющие оператору в случае аварии начать останов. Средства ручного управления исполнительным элементом ПСБ могут учитываться при реализации требований полноты функции безопасности, но следует надлежащим образом рассмотреть значимые человеческие факторы, а также отказы по общей причине. Требования к ручному останову обычно устанавливают в СТБ.

При необходимости процедура аварийного останова в чрезвычайной ситуации может быть включена в ПЭ логическое решающее устройство. В некоторых случаях ручной останов может создать для объекта дополнительный риск (например, там, где требуется установление упорядоченной последовательности останова); в таком случае ручной останов может служить входными данными для ПСБ, чтобы та выполнила установленный поэтапный останов ПСБ (например, когда требуется выполнить последовательность действий по останову), если такое решение представляется подходящим группе специалистов по анализу опасностей и рисков.

А.11.2.9 В МЭК 61511-1:2016 (пункт 11.2.9) указано на необходимость выполнения анализа независимости между ПСБ и другими слоями защиты, а не только между ПСБ и ОСУП [см. МЭК 61511-1:2016 (рисунок 9)].

Проведение контрольной проверки между ПСБ и защитным слоем с временным сдвигом поможет снизить вероятность возникновения совпадающих по времени отказов.

В некоторых случаях может быть допустимо неполное разделение между ОСУП и ПСБ. В частности, это возможно, если отказ общего оборудования не будет формировать запрос к ПСБ. В таких случаях необходимо применять общее или раздельное оборудование в соответствии с МЭК 61511-1:2016.

Если один тип аппаратных средств используется как для ОСУП, так и для ПСБ, а отказ общего оборудования по общей причине может привести к опасному событию, вызывающему запрос на ПСБ, то следует провести анализ, позволяющий убедиться в том, что полная средняя интенсивность отказов соответствует ожидаемой интенсивности. Необходимо установить опасности, связанные с опасными отказами общего оборудования.

В МЭК 61511-1:2016 (пункт 11.2.9) также указывается на необходимость обеспечить в проекте интерфейса между ПСБ и другими системами поддержку требующейся независимости, т.е. спроектированная в ПСБ не связанная с безопасностью независимость не должна подвергаться негативному влиянию со стороны ОСУП. Например, если данные приложения, сгенерированные для использования в ОСУП или в других не связанных с ПСБ устройствах, а также в инструментальных средствах применяются при проектировании ПСБ, т.е. вероятность распространения некоторого общего отказа от одной системы на другую. Другим примером может быть ППО, позволяющее реализовать в системе механизм перекрытия управления ОСУП без отдельного "разрешающего" переключателя, отделенного от ОСУП. Другие примеры связаны с созданием "зеркального" представления, когда данные приложения "утекают" в другую систему и перекрывают запуск.

А.11.2.10 В МЭК 61511-1:2016 (пункт 11.2.10) представлены предупреждающие руководящие указания по применению общих устройств как для ОСУП, так и для ПСБ. Слова "достаточно низка" в примечании к пункту 11.2.10 МЭК 61511-1:2016 означают, что интенсивность опасных отказов совместно используемого оборудования, объединенная с вероятностью отказов других (отличных от ПСБ) слоев защиты, соответствует принятому корпорацией критерию допустимого риска.

А.11.2.11 В тех случаях, когда исполнительные элементы при потере питания не переходят в безопасное состояние (например, системы останова по включению питания), следует рассмотреть достаточность средств ручного управления для перевода объекта в такое состояние.

А.11.2.12 Дополнительные требования не предусмотрены.

А.11.2.13 Целью руководства по безопасности является документальное оформление всей необходимой информации, связанной с тем, как устройство, подсистема ПСБ или система могут применяться безопасным образом.

Примечания

1 Руководство по безопасности предназначено охватить информацию как от производителя, так и от конечного пользователя и может быть надлежащим образом структурировано, например на разделы по аппаратным средствам, встроенному ПО и ППО.

2 Для элементов, связанных с МЭК 61508, вкладом производителя является инструкция по безопасности, соответствующая требованиям МЭК 61508-2:2010 (приложение D).

Руководство по безопасности должно включать, но не ограничиваться следующей информацией:

a) краткое описание элемента и его топологии (схемы), включая аппаратные средства и ПО.

Примечание - Любое снижение или увеличение отказоустойчивости аппаратных средств в соответствии с МЭК 61511-1:2016 (пункт 11.4.4), может быть обосновано в руководстве по безопасности;

b) идентификация ревизий и ограничений, связанных с ППО.

Примечание - Более подробную информацию о программировании приложений можно найти в разделе 12 МЭК 61511-1: 2016;

c) идентификация ревизий аппаратных средств и встроенного ПО;

d) описание на уровне операций, включая определение безопасного состояния и отказоустойчивой работы.

Примечание - Можно рассмотреть различные режимы работы, такие как запуск, нормальная работа, замедленная работа и режим запросов;

e) список всех допущений, связанных с работой, обслуживанием и испытаниями.

Примечание - Эти допущения могут включать условия использования, предупредительное обслуживание, указания по проведению контрольной проверки, а также последующие действия при сбоях диагностики;

f) список всех предельных значений и ограничений, связанных с функцией(ями) безопасности элемента.

Примечание - Предельные значения и ограничения включают (но этим не ограничиваются) настройку конфигурации, ограничения на условия окружающей среды и процесс;

g) режимы отказов и соответствующие интенсивности отказов устройств(а).

Примечание - Интенсивности отказов могут быть получены у производителя или из опыта эксплуатации;

h) другие параметры, требующиеся для анализа безотказности, такие как полезный срок службы, времена ремонта и, если необходимо, интенсивности отказов по общей причине;

i) реакция(и) (или поведение) на обнаруженные отказы и предупреждения;

j) инструкции производителя по эксплуатации и обслуживанию и, если применимы, рекомендации по интервалам контрольных проверок;

k) меры, принятые для предотвращения и управления систематическими отказами, включая отказы ПО и, если применимы, отказы по общей причине;

l) информация о том, как каждый режим отказа может быть выявлен с помощью обычных функциональных проверок и диагностики, включая интервалы диагностических проверок;

m) руководство по безопасности должно включать ограничения на использование устройства вместе с подробностями конфигурации, интерфейсов, установки, диагностики, средним временем ремонта, реакцией на сбои, а также интервалами проведения испытаний и ограничениями языка ППО.

А.11.2.14 Дополнительные требования не предусмотрены.

А.11.3 Руководящие указания к "Требованиям к поведению системы при обнаружении отказа"

А.11.3.1 Дополнительные требования не предусмотрены.

А.11.3.2 Дополнительные требования не предусмотрены.

А.11.4 Руководящие указания к "Требованиям к отказоустойчивости аппаратных средств"

А.11.4.1 Традиционный подход к разработке системы безопасности состоит в обеспечении того, что никакой одиночный сбой не приведет к невыполнению предполагаемой функции. У систем, построенных по таким структурам, как "1 из 2" или "2 из 3", отказоустойчивость равна единице, так как они способны функционировать даже при наличии в них одного опасного сбоя. Такие системы применяют в качестве стандартного подхода при построении систем безопасности, обеспечивая достаточную устойчивость при противостоянии случайным отказам аппаратных средств. Структуры с допустимым числом отказов защищают также от широкого ряда систематических отказов, так как такие отказы не происходят в одни и те же моменты времени (главным образом в аппаратных средствах).

МЭК 61511-1:2016 определяет, что промышленные процессы нуждаются в многоуровневых системах безопасности, и принимает концепцию УПБ для каждого слоя защиты в зависимости от требующегося снижения риска возникновения конкретного опасного события. Так как слои защиты различаются, то нельзя утверждать, что все УПБ обеспечивают отказоустойчивость. Однако при выборе архитектуры системы безопасности для конкретного УПБ важно гарантировать, чтобы она была достаточно устойчива и к случайным сбоям аппаратных средств, и к систематическим сбоям. Для того чтобы обеспечить устойчивость к случайным сбоям аппаратных средств, следует провести анализ безотказности.

Требования, представленные в МЭК 61511-1:2016 (пункт 11.4.1), направлены на обеспечение того, чтобы структуры имели необходимую отказоустойчивость при случайных сбоях аппаратных средств и некоторых систематических сбоях. При определении необходимой степени отказоустойчивости необходимо рассмотреть следующий ряд факторов:

a) сложность устройств, используемых в ПСБ или подсистеме ПСБ;

b) устройство будет более устойчиво к систематическим сбоям во время работы, если было получено четкое понимание характера его сбоев и он был учтен в выборе устройства, установке и конфигурировании устройства, а также в определении методик работы и обслуживания;

c) данные об отказах из опыта эксплуатации;

d) уровень полноты безопасности, необходимый для используемого приложения;

е) мера того, насколько неисправности ведут к нарушению условий безопасности или насколько они могут быть выявлены диагностикой так, чтобы можно было предпринять определенные действия;

f) число ложных срабатываний, вызванных безопасными отказами, которое, как правило, возрастает с повышением отказоустойчивости, что, в свою очередь, может привести к новой опасности или служить дополнительной причиной для уже существующей опасности, или же они становятся недопустимыми в зависимости от целевой интенсивности ложных срабатываний;

g) отказы по общей причине и систематические отказы, которые могут значительно снизить преимущества, которые ожидаются от отказоустойчивости;

h) реально достигаемая отказоустойчивость, которая может быть снижена до нуля, если восстановление после опасных отказов занимает слишком много времени (например, архитектура 2оо3, сбои в которой не исправляются менее чем за 0,8 MTTF, хуже, чем архитектура 1оо1);

i) возможность резервирования, которая может не быть осуществима для всех функций;

j) различные ФБ ПСБ, которые реализует ПСБ (или ее подсистема).

Примечания

1 От подсистем ПСБ может потребоваться выполнение ими функций при высокой или низкой частоте запросов в зависимости от режима работы. Может быть установлено, что ФБ ПСБ должна закрывать клапан в ответ на определенные отклонения от процесса. Как для случаев ручной, так и для автоматической перенастройки ПСБ может сохранять клапан в безопасном состоянии до тех пор, пока ей не будет приказано выполнить обратное. Требования к отказоустойчивости аппаратных средств при работе ПСБ в случае обработки опасного события могут быть установлены в соответствии с режимом низкой частоты запросов, а в случае работы ПСБ во время останова - в соответствии с режимом высокой частоты запросов.

2 Минимальная отказоустойчивость аппаратных средств определена для сокращения числа возможных недостатков в проекте ФБ ПСБ, связанных с числом допущений, сделанных при проектировании ФБ ПСБ, и отсутствием точно установленной интенсивности отказов устройств, используемых в различных приложениях процесса.

А.11.4.2 Для применения требований к отказоустойчивости аппаратных средств необходимо хорошее понимание концепции подсистемы ПСБ [см. МЭК 61511-1:2016 (пункт 3.2.78)].

Требования к отказоустойчивости аппаратных средств применяются ко всей ПСБ или к подсистемам ПСБ, от которых требуется выполнение ФБ ПСБ, а не к отдельным устройствам внутри подсистемы. Например, в случае сенсорной ПСБ-подсистемы, состоящей из нескольких резервных датчиков, требования к отказоустойчивости применяются к сенсорной ПСБ-подсистеме в целом, а не к отдельным датчикам.

А.11.4.3 В МЭК 61508 были рассмотрены факторы, описанные в пункте А.11.4.1, и была установлена допустимая величина отказов, которая требуется в МЭК 61500-2:2010, посредством двух путей, называемых 1_Н и 2_Н. При подготовке настоящего стандарта, ориентированного на сектор промышленных процессов, было принято, что путь 2_Н лучше адаптирован под сектор промышленных процессов. Тем самым требования к отказоустойчивости в МЭК 61511-1:2016 основаны на пути 2_Н МЭК 61508-2:2010. Путь 1_Н из МЭК 61508-2:2010 может применяться как альтернативный. Следует отметить, что при разработке подсистем ПСБ, чтобы удовлетворить требованиям готовности процесса (например, целевой интенсивности ложных отказов), может потребоваться большее резервирование компонент, чем это указано в МЭК 61511-1:2016 (таблица 6).

Выполнение оценки путем 1_Н для достижения соответствия МЭК 61511 должно учитывать целевую рабочую среду. В случае внешних устройств рабочая среда, как правило, оказывает большее влияние на подтверждаемую интенсивность отказов, которая также может влиять на распространение безопасных и опасных отказов.

А.11.4.4 Отказоустойчивость может обеспечиваться неидентичными резервными устройствами (например, когда реализовано разнообразие в резервировании). Отказоустойчивость аппаратных средств ПСБ в действительности определяется самой короткой комбинацией независимых сбоев устройств, которая приводит к общему опасному сбою данной ПСБ. Если ПСБ была разделена на независимые подсистемы ПСБ, то значение отказоустойчивости ее аппаратных средств равно минимальному значению отказоустойчивости аппаратных средств ее ПСБ-подсистем.

Требования к отказоустойчивости аппаратных средств могут быть ослаблены, когда ПСБ ремонтируется в неавтономном режиме. Тем не менее ключевые параметры, связанные с любым ослаблением требований, должны быть предварительно оценены (например, выполнено сравнение длительности MTTR или испытания с вероятностью возникновения запроса во время ремонта или испытаний). Это должно быть включено в вычисление измерений вероятности (ВОНЗ_ср, ВОВЧ), связанных с принятыми УПБ.

В зависимости от выбранной архитектуры снижение отказоустойчивости аппаратных средств может привести к повышению риска возникновения опасного события. Риск продолжения работы при известном сбое должен быть оценен для того, чтобы определить необходимость компенсирующих мер.

Определенные единичные отказы/сбои могут быть исключены, если очевидно, что вероятность их возникновения очень низка благодаря свойствам, присущим проекту и конструкции [см. МЭК 61511-1:2016 (подраздел 3.2)], т.е. их вклад в целевую меру отказов суммы опасных отказов последовательно соединенных устройств, для которой требуется исключение сбоев, не должен превышать 1 %. Любые подобные исключения сбоев/отказов должны быть обоснованы и документально оформлены. В таком случае обычно нет необходимости ограничивать полноту безопасности любых ФБ ПСБ, несущих эти единичные отказы/сбои (основываясь на отказоустойчивости аппаратных средств).

Примечания

1 В случае внешнего проводного соединения является распространенной практикой допускать, что данные внешнего устройства включают в себя внешнее проводное соединение от внешнего устройства до окончания линии, так как внешнее проводное соединение обладает гораздо более низкой интенсивностью опасных необнаруженных отказов, чем внешнее устройство. В общем, отказоустойчивость аппаратных средств обеспечена для проводного соединения только в том случае, когда отказоустойчивость аппаратных средств необходима для внешнего устройства. Для других форм коммуникаций сигналов может потребоваться определение отказоустойчивости аппаратных средств для средств передачи сигнала отдельно, так как интенсивность опасных необнаруженных отказов в рабочей среде выше. Для таких форм коммуникаций средства коммуникаций сигналов могут нуждаться в большей отказоустойчивости аппаратных средств, чем та, которая требуется для внешних устройств.

2 Устройства системы, выполняющие уникальные функции, которые обычно не требуются для успешной работы ПСБ (например, интерфейсы оператора, инженерные станции, системы управления обслуживанием и устройства регистрации данных), чья вероятность негативного влияния на корректную работу ПСБ мала, как правило, не учитываются в анализе.

Если определенные отказы могут быть исключены (в соответствии с вышеуказанными критериями), то минимальная отказоустойчивость аппаратных средств (HFT) может быть сокращена [см. МЭК 61511-1:2016 (пункт 11.4.6)].

А.11.4.5 Таблица 6 в МЭК 61511-1:2016 устанавливает минимальную допустимую отказоустойчивость для систем и подсистем ПСБ. Требование отказоустойчивости зависит от требуемого значения УПБ для ФБ, реализуемой ПСБ. При установлении отказоустойчивости аппаратных средств разрешено принимать допущения, что ПСБ или подсистема ПСБ была должным образом выбрана для применения и соответственно установлена, укомплектована персоналом и обслуживается таким образом, что отказы на ранних стадиях и связанные с ее развитием могут быть исключены из оценки. Рассмотрение человеческих факторов при определении отказоустойчивости аппаратных средств также не требуется.

А.11.4.6 Отказоустойчивость является предпочтительным решением для получения необходимой уверенности в том, что была достигнута надежная архитектура. В случаях применения МЭК 61511-1:2016 (пункт 11.4.6) целью обоснования является демонстрация того, что предложенная альтернативная архитектура с пониженной отказоустойчивостью аппаратных средств является эквивалентным или лучшим решением (например, посредством других подлежащих верификации средств, таких как сертификация или нечто подобное). Оно должно предоставлять свидетельства того, что:

a) выполнение требований отказоустойчивости аппаратных средств в МЭК 61511-1:2016 (пункт 11.4.5) может привнести дополнительные отказы, которые повлекут за собой понижение общей безопасности, и

b) если отказоустойчивость аппаратных средств снижена до нуля, то виды отказов, идентифицированные в ПСБ, выполняющей ФБ, могут быть исключены, так как интенсивность(и) опасных отказов идентифицированного(ых) вида(ов) отказов очень низкие в сравнении с целевой мерой отказов для рассматриваемой ФБ ПСБ.

Примечания

1 Примеры реализации снижения отказоустойчивости аппаратных средств включают: организацию резерва [например, аналитическая избыточность - замена выхода отказавшего датчика на вычисления физических результатов на выходах других датчиков; использование более надежных элементов той же технологии (если доступны)]; переход на более надежную технологию; снижение последствий отказов по общей причине, используя разные технологии; увеличение границ рабочих режимов проекта; внесение ограничений на условия окружающей среды (например, для электронных компонентов); снижение неуверенности при оценке безотказности посредством сбора большего числа отзывов об эксплуатации или экспертных мнений и т.п.

2 Отказоустойчивость аппаратных средств эффективна только тогда, когда имеется высокая вероятность обнаружения отказа и ремонта одной части перед отказом других резервных частей. При работе с системами, расположенными в удаленных или труднодоступных местах (например, подводная ПСБ), где обслуживание затруднено (если вообще возможно), польза от отказоустойчивости аппаратных средств снижается. В подобных случаях ПСБ может быть спроектирована с повышенной устойчивостью к отказам, используя скорее более безотказные встроенные компоненты, чем отказоустойчивость аппаратных средств.

3 Общая безопасность процесса может быть снижена, если в целях повышения отказоустойчивости установлен дополнительный промышленный комбинированный пускатель двигателя для пуска при полном напряжении (т.е. комбинация выключателя с плавким предохранителем и электромагнитного пускателя с управляющим трансформатором и реле управления, обеспечивающая также защиту от короткого замыкания и перегрузки с помощью подключения и отключения питания к трехфазному реверсивному или нереверсивному двигателю). Это связано с увеличением числа компонентов при использовании нескольких пускателей двигателя в противовес использованию одного пускателя двигателя, приводящему:

- к большему числу ложных срабатываний;

- большей сложности проекта (например, увязка защиты от перегрузки и короткого замыкания) и увеличению числа трудностей, связанных с получением полноценных знаний о поведении и режимах отказов резервных пускателей двигателя;

- возросшей потребности в обслуживании, контроле и испытании;

- росту подверженности высокому напряжению;

- большему числу сбоев на каждом этапе, вызванных недостатком синхронизации (как правило, вызванных ошибками монтажа) между комбинированными пускателями двигателя для пуска при полном напряжении;

- росту подверженности электрическим дугам;

- большему количеству требующихся перезапусков.

Дополнительное обоснование использования единичного комбинированного промышленного пускателя двигателя для пуска при полном напряжении вместо резервирования представлено следующими факторами:

- режимы отказов всех компонентов четко определены;

- поведение пускателя двигателя в условиях сбоя может быть установлено;

- промышленные ручные пускатели или промышленные комбинированные пускатели двигателя для пуска при полном напряжении не прибегают к помощи ПО для выполнения установленных им функций;

- имеется достаточное количество надежных данных по отказам для того, чтобы продемонстрировать, что заявленные интенсивности отказов для обнаруженных и необнаруженных опасных отказов позволяют количественно оценить случайные отказы аппаратных средств;

- низкое значение MTTFdu промышленных комбинированных пускателей двигателя для пуска при полном напряжении;

- использование процедур количественной оценки для верификации использования единичного промышленного комбинированного пускателя двигателя для пуска при полном напряжении оправданно.

А.11.4.7 Дополнительные требования не предусмотрены.

А.11.4.8 Дополнительные требования не предусмотрены.

А.11.4.9 Дополнительные требования не предусмотрены.

А.11.5 Руководящие указания к "Требованиям к выбору компонентов и подсистем"

А.11.5.1 Цели

Дополнительные требования не предусмотрены.

А.11.5.2 Руководящие указания к "Общим требованиям"

Проблемы перехода от непрограммируемых технологий к ПЭ-технологии представлены в приложении С.

А.11.5.2.1 Существуют определенные соображения по выбору устройств и подсистем, применяемых в ПСБ. Первое мнение состоит в том, что устройства должны быть разработаны в соответствии с МЭК 61508-2:2010 (требования к электрическим/электронным/программируемым электронным системам, связанным с безопасностью) и МЭК 61508-3:2010 (требования к ПО). Второе мнение сводится к тому, что следует использовать устройства и подсистемы ПСБ, о которых известно, что они надежно и широко применяются в аналогичных задачах и окружающих условиях на протяжении их полезного срока службы. Полезный срок службы - это период времени, в который интенсивность отказов устройства в значительной степени постоянна. Вероятностный расчет результирующего значения ВОНЗ_ср для всей ПСБ (которое должно удовлетворять требованию УПБ каждой ФБ, реализованной в этой ПСБ) основан на этих интенсивностях отказов. По окончании полезного срока службы интенсивности отказов могут постепенно возрастать, например из-за старения.

Какое бы мнение ни было выбрано, необходимо продемонстрировать, что устройство или подсистема ПСБ:

a) достаточно надежна, чтобы можно было достичь общей целевой ВОНЗ_ср или целевой интенсивности опасных отказов ФБ ПСБ;

b) отвечает требованию ограничений архитектуры;

c) имеет достаточно низкую вероятность систематических сбоев;

d) в случае электрических устройств они должны иметь соответствующую интенсивность отказов или же их выбор должен быть основан на результатах предыдущего использования.

Требование перечисления с) может быть выполнено либо в соответствии с МЭК 61508-2:2010 и МЭК 61508-3:2010, либо на основании требований к предшествующему использованию, установленных в МЭК 61511-1:2016 (пункт 11.5.3).

Практический подход к выбору устройств, используемых в приложениях безопасности, заключается в применении комбинации свидетельств соответствия с МЭК 61508-2:2010 и МЭК 61508-3:2010, а также эксплуатационного опыта. Такой подход гарантирует, что выбираемые устройства проектируются, изготавливаются и настраиваются для использования в системах безопасности, а также успешно функционируют в предназначенном для них применении (например, учитывают отказы, внесенные приложением).

Процедуры для демонстрации того, что устройство соответствует МЭК 615-8-2:2010 и МЭК 61508-3:2010, не включают в себя рассмотрение возможных режимов опасных отказов интерфейсов, установки, энергопитания или коммуникационных интерфейсов процесса, могут не включать полное описание границ устройства и иногда ограничиваются Э/Э/ПЭ-частью устройства. Отказы, связанные с технологическими процессами, значительно преобладают в датчиках, включая отказы из-за подключенных технологических линий, незадействованных линий, коррозии и проникновении газа, а также отказы в клапанах из-за повреждения седла, закупоривания, смещения и коррозии (включая отложения на штоке). По этой причине устройства, разработанные в соответствии с МЭК 61508-2:2010 и МЭК 61508-3:2010, должны подвергаться оценке для обеспечения работы этого устройства в приложении, для которого оно предназначено. Оценка может включать сбор информации о предыдущем использовании или моделирование испытания статистических образцов.

При выборе устройств пользователю следует рассмотреть методы защиты от систематических отказов. Для устройства, разработанного в соответствии с МЭК 61508-2:2010 и МЭК 61508-3:2010, существует большое количество методов и мер, которые должны быть внедрены производителем во время разработки устройства, чтобы снизить возможность возникновения систематического отказа. С другой стороны, для данного устройства данного применения история предыдущего использования, основанная на значительном документально оформленном опыте, может использоваться для демонстрации достаточно низкой вероятности опасных систематических отказов, связанных с предназначенным применением, и потому надлежащей защиты от них.

А.11.5.2.2 Дополнительные требования не предусмотрены.

А.11.5.3 Руководящие указания к "Требованиям выбора компонентов и подсистем на основе опыта их предшествующего применения"

А.11.5.3.1 Многие пользователи обладают устройствами, допущенными для применения на их объекте. Датчики и клапаны, которые уже показали неспособность функционировать желаемым образом, больше не используются в качестве допущенных для применения устройств.

Оценка этих устройств должна содержать особенности версии устройства и документально оформленные данные по контролю процесса эксплуатации. Кроме того, изготовитель должен установить процесс внесения изменений, учитывающий влияние зафиксированных отказов и реализуемых изменений.

TSA TR84.00.04:2015 и рекомендация NAMUR NE130 ("Предшествующее использование" - устройства для систем ПСБ") содержат указания по квалификации внешних устройств, по поддержанию контроля их процессов управления изменениями, а также наблюдению и документальному оформлению их рабочих характеристик. Результаты могут быть собраны в форме согласования на устройство.

Если подобной формы не существует, то пользователям и проектировщикам следует провести оценку датчиков и клапанов, чтобы убедиться, что эти приборы соответствуют желательному функционированию. Могут потребоваться консультации с другими пользователями или проектировщиками, чтобы учесть результаты применения устройств в аналогичных случаях.

А.11.5.3.2 Необходимо отметить, что для более сложных устройств может оказаться затруднительным показать, что опыт, полученный в некотором применении, полезен в решаемой задаче. Например, опыт применения программируемых логических контроллеров (ПЛК) для случая, предусматривающего использование простой многоступенчатой логики, может не подойти для технических средств, которые будут использовать для выполнения сложных вычислений или обработки событий.

Вообще говоря, соответствующие аспекты работы периферийных устройств и логического решающего устройства различны.

Работу периферийных устройств характеризуют следующие аспекты:

- функциональное назначение (например, измерение, управляющее действие);

- рабочий диапазон;

- свойства процесса (например, свойства химических веществ, температура, давление);

- подключение к процессу.

Работу логических решающих устройств характеризуют следующие аспекты:

- версия и структура аппаратных средств;

- версия и конфигурация системного программного обеспечения;

- прикладное программное обеспечение;

- конфигурация ввода-вывода;

- быстродействие;

- интенсивность запросов процесса.

Работу всех устройств характеризуют следующие аспекты:

- электромагнитная совместимость (ЭМС);

- условия окружающей среды.

А.11.5.3.3 Дополнительные требования не предусмотрены.

А.11.5.4 Руководящие указания к "Требованиям к выбору устройств, программируемых на фиксированном языке программирования (ФЯП) (например, внешних устройств), на основе опыта их применения"

А.11.5.4.1 Дополнительные требования не предусмотрены.

А.11.5.4.2 Дополнительные требования не предусмотрены.

А.11.5.4.3 Дополнительные требования не предусмотрены.

А.11.5.4.4 Данный подпункт разъясняет дополнительные требования, применяемые при попытках квалифицировать устройство, программируемое на ФЯП, как способное обеспечить УПБ 3.

А.11.5.5 Руководящие указания к "Требованиям к выбору устройств, программируемых на языке программирования с ограниченной изменчивостью (ЯОИ) (например, логических решающих устройств), на основе опыта их применения"

А.11.5.5.1 Дополнительные требования не предусмотрены.

А.11.5.5.2 Дополнительные требования не предусмотрены.

А.11.5.5.3 Дополнительные требования не предусмотрены.

А.11.5.5.4 Дополнительные требования не предусмотрены.

А.11.5.5.5 Дополнительные требования не предусмотрены.

А.11.5.5.6 Дополнительные требования не предусмотрены.

А.11.5.6 Руководящие указания к "Требованиям для выбора устройств, использующих язык программирования с полной изменчивостью (ЯПИ) (например, логических решающих устройств)" Дополнительные требования не предусмотрены.

А.11.6 Внешние устройства

А.11.6.1 Дополнительные требования не предусмотрены.

А.11.6.2 Дополнительные требования не предусмотрены.

А.11.6.3 Дополнительные требования не предусмотрены.

А.11.7 Интерфейсы

А.11.7.1 Руководящие указания к "Общим требованиям"

К интерфейсам пользователей ПСБ относятся интерфейсы оператора и интерфейсы обслуживания/разработки. Данные или информация, которой обмениваются ПСБ и рабочие места операторов, может быть как связанной с ПСБ, так и справочной.

Если действие оператора является частью ФБ ПСБ, то все, что должно быть выполнено для реализации этого действия, необходимо рассматривать как часть функции безопасности ПСБ. В это действие, например, может быть включен аварийный сигнал, указывающий на то, что оператор должен остановить процесс. В этом примере выключатель останова (как и иные технические средства, обеспечивающие действия по останову) надо рассматривать как часть ФБ ПСБ.

Передача данных, не являющихся частью ФБ ПСБ (например, индикация действительного значения сигнала датчика функции безопасности ПСБ при условии, что функция срабатывания реализована внутри ФБ ПСБ), может осуществляться в ОСУП, если можно показать, что функции безопасности ПСБ не подвергаются риску (например, при реализации в ОСУП доступа к ним только в режиме чтения).

А.11.7.2 Руководящие указания к "Требованиям к интерфейсу оператора"

Интерфейсы оператора, использующиеся для обмена информацией между оператором и ПСБ, и могут включать в свой состав:

- дисплеи;

- панели, содержащие лампочки, кнопки и переключатели;

- сигнальные устройства (визуальные и звуковые);

- принтеры (не должен быть единственным средством вывода информации);

- любую их комбинацию.

a) Видеодисплеи

Видеодисплеи ОСУП могут совместно использоваться функциями ПСБ и ОСУП, если они отображают только справочную информацию. Информация, критичная для безопасности, должна дополнительно индицироваться через ПСБ (например, если оператор выполняет часть функции безопасности).

Если во время аварийных ситуаций необходимо действие оператора, то темпы добавления и обновления данных на операторском дисплее должны соответствовать СТБ.

Видеодисплеи, связанные с ПСБ, должны быть ясно определены в качестве таковых, избегая двусмысленности или возможного замешательства оператора в аварийной ситуации.

Интерфейс оператора ОСУП может быть использован для обеспечения автоматической регистрации событий ФБ ПСБ и функций формирования аварийных сигналов ОСУП.

Условия, подлежащие регистрации, могут включать:

- события, происходящие в ПСБ (такие как срабатывание и предаварийные происшествия);

- доступна ли ПСБ к изменениям в программах;

- результаты диагностики (например, расхождение и т.п.).

Важно, чтобы оператор был готов к обходу любой части ПСБ с помощью процедуры, обрабатывающей аварийный сигнал, и/или рабочей процедуры. Например, обход исполнительного элемента в ПСБ (например, запорного клапана) может быть выполнен с использованием концевых переключателей обходимого клапана, которые включают аварийный сигнал на панели оператора, или установленных перемычек, или механических блокировок на обходимом клапане, которыми управляют рабочие процедуры. Вообще предлагается поддерживать эти аварийные сигналы обхода отдельно от ОСУП.

b) Панели

Панели должны быть расположены так, чтобы операторы имели к ним свободный доступ. Расположение любых панелей должно рассматриваться с точки зрения областей, подверженных любым возможным опасностям.

Панели должны быть устроены так, чтобы расположение кнопок управления, лампочек, индикаторов и других источников информации не запутывало оператора. Если выключатели останова для различных модулей процесса или оборудования выглядят одинаково и расположены вместе, то возможен останов не того оборудования, если оператор находится в состоянии стресса при аварийной ситуации. Выключатели останова должны быть физически разнесены и снабжены этикеткой с названием функции. Должны существовать средства проверки всех лампочек.

c) Принтеры и регистраторы

Принтеры, подключенные к ПСБ, не должны нарушать ФБ ПСБ в случаях их неисправности, отключения, окончания бумаги или аномальной работы.

Принтеры полезны для распечатки последовательностей событий, результатов диагностики и других событий и аварийных сигналов, имеющих метки времени и даты и идентификационные номера. Следует предусматривать вспомогательные средства для формирования отчетов.

Если печать выполняется через буферную память (информация собирается, хранится и затем печатается по запросу или в заданное время), то емкость буфера должна быть такой, чтобы информация не была потеряна и чтобы функции ПСБ ни при каких обстоятельствах не нарушались из-за переполнения буферной памяти.

Чтобы быстро передать оператору критическую информацию, надо дать ему всю необходимую информацию на одном дисплее. Важно обеспечить логичность показаний, поэтому методы, порядок включения сигнализации и устройства дисплея следует согласовывать с дисплеями ОСУП.

Важно также размещение информации по дисплеям. Необходимо избегать размещения большого количества информации на одном дисплее, так как это может привести операторов к ошибочному считыванию данных и выполнению неправильных действий. Чтобы направить внимание оператора на важную информацию, сокращая при этом вероятность его ошибок, необходимо использовать цвета, мигающие индикаторы и разумное расположение данных на экране дисплея. Сообщения должны быть ясными, четкими и однозначными.

Информация на дисплее должна быть сформирована так, чтобы данные могли быть распознаны даже операторами, страдающими дальтонизмом. Например, информация, представленная красным или зеленым цветом, могла бы быть одновременно представлена графическим объектом с заливкой или без заливки соответственно.

А.11.7.2.1 Дополнительные требования не предусмотрены.

А.11.7.2.2 Дополнительные требования не предусмотрены.

А.11.7.2.3 Дополнительные требования не предусмотрены.

А.11.7.2.4 Дополнительные требования не предусмотрены.

А.11.7.2.5 Дополнительные требования не предусмотрены.

А.11.7.2.6 Дополнительные требования не предусмотрены.

А.11.7.2.7 Дополнительные требования не предусмотрены.

А.11.7.3 Руководящие указания к "Требованиям к интерфейсу обслуживания/разработки"

А.11.7.3.1 Дополнительные требования не предусмотрены.

А.11.7.3.2 Дополнительные требования не предусмотрены.

А.11.7.3.3 Интерфейсы технического обслуживания/разработки включают в свой состав средства программирования, испытаний и технического обслуживания ПСБ. Эти интерфейсы представляют собой устройства, которые используются для выполнения функций, таких как:

a) системное конфигурирование аппаратных средств;

b) разработка, документальное оформление и загрузка ППО логического решающего устройства ПСБ;

c) доступ к ППО для выполнения изменений, испытаний и контроля;

d) наблюдение за системными ресурсами ПСБ и диагностической информацией;

e) изменение уровней безопасности ПСБ и доступа к переменным ППО.

Интерфейсы технического обслуживания/разработки должны отображать действия и диагностическое состояние любых устройств ПСБ (например, входных/выходных модулей, процессоров), включая связи между ними.

Такие интерфейсы должны предоставлять средства для копирования ППО программ на носители для создания резервных копий.

Если подключенный с ПСБ для технического обслуживания/разработки персональный компьютер неисправен, выключен или отсоединен, то он не должен нарушать функции безопасности ПСБ.

А.11.7.3.4 Дополнительные требования не предусмотрены.

А.11.7.4 Руководящие указания к "Требованиям к коммуникационным интерфейсам"

А.11.7.4.1 Два интерфейса могут выглядеть одинаково, лишь бы интерфейс обслуживания/разработки не мог использоваться для управления процессом. ПО обслуживания/разработки не должно использоваться в качестве интерфейса оператора.

А.11.7.4.2 Дополнительные требования не предусмотрены.

А.11.7.4.3 Дополнительные требования не предусмотрены.

А.11.7.4.4 Дополнительные требования не предусмотрены.

А.11.8 Руководящие указания к "Требованиям к проектированию обслуживания или испытаний"

А.11.8.1 В проекте ПСБ должно быть учтено, как система должна обслуживаться и проверяться. Если ПСБ должна проверяться на действующем процессе, то в проекте не должны предусматриваться отсоединение проводов, применение перемычек или вызов программных регистров (например, входов, выходов), так как использование подобных технических решений может угрожать нарушением цельности ПСБ. В проекте системы должны рассматриваться технические и процедурные требования к испытанию ПСБ, необходимые для проведения полных системных испытаний датчиков, логического решающего устройства и исполнительных элементов на безопасность.

Важно определить, как будет проводиться обслуживание системы на действующем процессе. Например, если датчик или клапан должен оставаться в работе, то следует рассмотреть, как обслуживающее подразделение будет работать с этими устройствами, не вызывая ложных срабатываний, сохраняя безопасность процесса.

Необходимо отметить, что любое ограничение межпроверочного интервала исполнительных элементов должно быть учтено при вычислении значений ВОНЗ_ср для ФБ ПСБ.

А.11.8.2 Дополнительные требования не предусмотрены.

А.11.8.3 Байпасы могут привести к снижению уровня безопасности ПСБ. Такое снижение защиты можно ослабить следующими приемами:

- применением паролей и/или ключа блокирования переключателей. В некоторых проектах могут быть предусмотрены запираемые шкафы, содержащие соответствующие средства для обхода;

- явным выделением обходных схем, которое может быть дополнено либо опечатыванием положений клапана, либо установкой знаков безопасности, указывающих на важность соответствующей позиции;

- четко установленными процедурами или средствами (например, основное устройство включения и отключения байпаса) для управления применением байпаса или его отключения;

- использованием байпасов, обладающих функцией ограничения времени, которая автоматически отключает байпас - подобная функция снижает риск того, что при завершении испытания или обслуживания остаются включенные байпасы.

Например, при конфигурации датчика по схеме "1 из 2" некоторые пользователи предпочитают иметь обход, охватывающий оба датчика одновременно, тогда как другие предпочитают иметь раздельные обходы для каждого датчика. Если оба датчика имеют обходы, необходимо предусмотреть меры, обеспечивающие, что риск останется приемлемым. Если это невозможно, то следует вернуться на более раннюю стадию разработки.

Аналогично некоторые операции процесса не допускают изменения положения клапана на действующем объекте либо установка средств обхода клапана может оказаться нецелесообразной. В таких случаях проект должен предусматривать проведение проверки ПСБ, насколько это практически возможно, т.е. по крайней мере с помощью соленоидного клапана. При этом в проект может быть включен обход соленоида с обычной процедурой обработки аварийного сигнала или процедурами контроля этого обхода.

А.11.8.4 В ПСБ могут использоваться таймеры, ограничивающие продолжительность байпаса, например посредством автоматической перенастройки и/или аварийного сигнала оператору; в ПСБ может предоставляться логика, позволяющая автоматически перенастроить любые блокировки и выходы за граничные значения, например недостаток давления при запуске насоса.

А.11.8.5 Дополнительные требования не предусмотрены.

А.11.8.6 Процедура принудительного изменения состояния входов и выходов в ПЭ ПСБ не должна использоваться в качестве части ППО. Например, неконтролируемое принудительное изменение состояния входов и выходов через редактирование памяти в логическом решающем устройстве в режиме онлайн с помощью инструментов программистов во время функционирования программы часто применяется при разработке программы для изучения предлагаемых модификаций ППО. Тем не менее подобная практика не должна применяться на действующем процессе, так как она замаскирует "настоящий" входной статус переменных, поступающих с предприятия, и/или будет передавать ложные выходы устройствам на предприятии. При любом исходе логическое решающее устройство не будет контролировать предприятие предсказуемым образом. Более того, такие незначительные модификации прикладной программы могут быть легко не замечены, оставаясь в программе, когда в них уже нет необходимости.

А.11.9 Руководящие указания к "Количественной оценке случайного отказа"

А.11.9.1 Пользователи и разработчики должны руководствоваться методиками, представленными в приложении J МЭК 61511-3:2016; приложении В МЭК 61508-6:2010; ИСО 12489; ISA TR84.00.02:2002; приложении В МЭК 61508-3:2010; МЭК 61025 (дерево сбоев); МЭК 61078 (блок схемы надежности); МЭК 61165 (графы Маркова); МЭК 62551 (сети Петри); МЭК 62502 (дерево событий), которые обеспечивают, что функционирование разрабатываемой ПСБ удовлетворяет требованиям, связанным со случайными отказами аппаратных средств.

В течение интервалов контрольных проверок вероятность опасного отказа при наличии запроса, BOHЗ(t), постоянно растает с течением времени. Поэтому после того, когда она превышает свое среднее значение, она все время остается выше него до конца интервала контрольной проверки. В некоторых случаях это значение может даже превысить верхний предел УПБ, соответствующий этому среднему значению, и неизменно оставаться выше него. Таким образом, когда необходим высокий уровень полноты безопасности, одни лишь средние значения могут создавать ложное впечатление безопасности, поэтому следует осуществить верификацию, например верификацию того, что риск, соответствующий пиковым значениям, согласуется с критериями риска организации пользователя.

За выполнением ФБ ПСБ в режиме работы по запросу (например, закрытие клапана, чтобы предотвратить сверхдавление) довольно часто сразу следует другая ФБ ПСБ, которая для своего выполнения использует те же компоненты, но действует в непрерывном режиме работы (например, предотвращение открытия клапана, пока давление на его входе превышено, за счет клапана противоточного типа). Поэтому для режима работы ФБ ПСБ, действующей по запросу, следует учитывать частоту возникновения опасности, связанную с отказом, при котором ПСБ не удержит процесс в безопасном состоянии.

А.11.9.2 Оцениваемые интенсивности отказов могут быть определены с помощью количественного анализа видов отказов проекта, используя данные по отказам, полученные из признанного промышленного источника или из опыта предыдущего использования в такой же среде, как и для целевого применения. В консервативных целях в вычислениях может использоваться верхний доверительный предел для входных данных, равный 70 %.

Следует отметить, что общая интенсивность необнаруженных отказов отказоустойчивых элементов зависит от времени и возрастает на интервалах контрольных проверок. Отказоустойчивые элементы могут иметь интенсивности отказов, зависящие от времени.

Пример - Элемент, состоящий из двух похожих компонентов А и В с одинаковой интенсивностью необнаруженных отказов X, обладает общей интенсивностью необнаруженных отказов А, увеличивающейся от 0 до с увеличением времени.

При количественной оценке влияния случайных отказов аппаратных средств ПСБ (или подсистемы этой ПСБ) со значением отказоустойчивости аппаратных средств, равным нулю, которая реализует ФБ ПСБ, действующую в режиме высокой частоты запросов или с непрерывными запросами, доверие (предпочтение) должно быть отдано только диагностике, если:

- сумма интервала диагностических проверок и времени реакции, позволяющей перейти в безопасное состояние или поддерживать его, должна быть меньше, чем время безопасности процесса; или

- в режиме с высокой частотой запросов отношение частоты диагностических проверок к частоте запросов равно или превышает 100.

Процедура проведения контрольной проверки и анализ безотказности средств выполнения контрольной проверки включает, например:

- продолжительность контрольных проверок;

- состояние процесса (действующий или остановлен) во время контрольной проверки;

- состояние испытываемого устройства во время контрольных проверок (в автономном или не автономном режиме); если испытываемое устройство находится в автономном режиме (т.е. недоступно) во время контрольной проверки - то это может иметь важное значение для его ВОНЗ_ср;

- охват контрольной проверкой, когда контрольные проверки не эффективны на 100 %. Это подразумевает идентификацию отказов, которые, по своему существу, никогда не могут быть обнаружены контрольными проверками;

- отказ, который может быть вызван самими контрольными проверками (например, отказ из-за изменения состояния, необходимого для цели тестирования);

- возможность проведения контрольных проверок с временным сдвигом для аналогичных дублирующих устройств для того, чтобы устранить связь между контрольными проверками устройств;

- возможность для контрольной проверки вернуть неверный результат о состоянии ПСБ:

- на контрольную проверку оказал воздействие сбой, связанный с самой контрольной проверкой;

- ошибки человека при проведении контрольных проверок (например, реальный отказа не обнаружен, потеря теста, прошедшее контрольную проверку или ремонт устройство остается в автономном режиме после завершения этой проверки или ремонта и т.д.).

Если интервал проведения контрольных проверок для вычислений вероятностей в явном виде не определен, то значение MTTR отдельных обнаруживаемых опасных отказов может быть вычислено как половина интервала контрольной проверки плюс MRT рассматриваемого отказа.

Большинство методик в приложении А.11.9.1 требует некоторой количественной оценки охвата диагностикой ПСБ. Диагностика - это автоматическое выполнение тестов для обнаружения сбоев в ПСБ, которые могут привести к безопасным или опасным отказам.

Конкретный метод диагностики обычно не позволяет обнаружить все возможные сбои. Эффективность используемой диагностики может быть оценена для набора сбоев, для которого предназначен этот метод диагностики (примеры расчета охвата диагностикой см. в МЭК 61508-2:2010, приложение С, и МЭК 61508-6:2010, приложение С).

Повышение охвата диагностикой ПСБ может помочь выполнению требований, предъявляемых по УПБ. В этом случае при расчете вероятности отказов (в режиме запросов) или интенсивности отказов (в непрерывном режиме) ПСБ должны быть учтены как степень диагностического охвата, так и период проведения диагностических проверок (интервала диагностических проверок). Дополнительные указания см. в МЭК 61508-2:2010 приложение С, и ISA TR84.00.02:2015.

Если ПСБ является единственным слоем защиты и используется для выполнения функции безопасности в непрерывном режиме, то интервал диагностических проверок следует сделать таким, чтобы сбои в ПСБ были обнаружены за время, достаточное для обеспечения полноты ПСБ и выполнения действий, позволяющих в случае отказа в процессе или в ОСУП сохранить безопасное состояние.

Чтобы этого добиться, сумма интервала диагностических проверок и времени реакции, позволяющего перейти в безопасное состояние, должна быть меньше, чем время безопасности процесса. В соответствии с МЭК 61511-1:2016 (подпункт 3.2.52.1) время безопасности процесса определяется как время между отказом (потенциально способным привести к опасному событию), возникающим в процессе или в ОСУП, и появлением опасного события, если ФБ ПСБ не выполняется.

Критичные и потенциально критичные неисправности в общих устройствах (таких как центральный процессор, устройства памяти типов RAM или ROM) обычно препятствуют почти всему процессу обработки данных, и их гораздо труднее обнаружить, чем неисправность отдельного выходного устройства. Виды отказов, имеющих высокую вероятность, должны выявляться с большей достоверностью. Более того, следует учитывать выявляемость видов отказа.

Для каждой реализуемой диагностики интервал проведения проверок и действие, вызванное выявленной неисправностью, должны удовлетворять СТБ.

Если такие диагностические средства не "встроены" в поставляемое оборудование, то на системном или прикладном уровне могут быть реализованы внешние средства диагностики, чтобы удовлетворить УПБ функции безопасности ПСБ.

Диагностика может не обнаружить систематические ошибки (такие как ошибки в программах). Однако можно осуществить подходящие предупредительные меры, чтобы обнаружить возможные систематические ошибки.

Диагностику можно выполнить, используя разнообразные методы или их комбинацию, включая:

a) для датчиков:

1) могут быть предусмотрены диагностические сигналы, означающие, что выявлен полный отказ датчика с выходом его выходного сигнала за верхнюю или нижнюю границу диапазона измерений. Одним из путей, которым это может быть достигнуто, является использование аварийного сигнала, если значения датчика оказались вне его рабочего диапазона. Например, в применение, контролирующее высокую температуру и использующее резервные температурные датчики, чтобы диагностировать отказ датчика или потерю его сигнала, можно добавить аварийный сигнал, если значение сигнала датчика оказалось ниже нижнего уровня его рабочего диапазона;

2) если используют резервные датчики, то сравнение аналоговых значений позволяет выявить аномалии, происшедшие при нормальной работе. Если применяют три датчика, то можно использовать значение датчика, являющееся средним из этих трех датчиков (отбор среднего значения - см. примечание ниже). Значительные расхождения между показаниями устройств могут быть из-за:

- засорения разъемов измерительных цепей и соединительных линий;

- снижения давления в системе очистки;

- зарастания каналов ввода термопар;

- проблем с заземлением или энергопитанием;

- отсутствия реакции устройства передачи датчика, выходной сигнал которого перестал изменяться.

Примечание - Отбор среднего значения обладает преимуществом по отношению к среднему арифметическому от трех датчиков, потому что среднее арифметическое искажается неправильно функционирующим устройством. Как бы там ни было, отбор среднего значения не работает, если два датчика выдают неверные результаты измерений, и в таком случае можно рассмотреть отказы общего вида;

3) если применено перечисление 2) или было проведено сравнение между аналоговыми датчиками в ПСБ и сравнимыми показателями параметров процесса, полученными другими датчиками в системах, таких как ОСУП, то возможное улучшение охвата диагностикой будет зависеть от конкретных приложений и должно подвергаться анализу, оценке и документальному оформлению. Если требуется, чтобы степень диагностического охвата должна быть больше 90 %, то должны подвергаться анализу и документально оформляться источники отказов по общей причине (ООП).

Примечания

1 Используя сравнение, любое несоответствие может, по крайней мере, автоматически сгенерировать аварийный сигнал. Порог срабатывания для подобной аварийной сигнализации несоответствия может быть установлен в соответствии с документально зафиксированным отклонением переменной соответствующего процесса. Подобные сравнения выявляют как отказ датчиков ПСБ, так и отказ датчиков, не связанных с ПСБ. В дальнейшем ложные тревоги или ложные срабатывания, сгенерированные отказами датчиков, не связанных с ПСБ, могут подвергнуться анализу перед внедрением подобного решения.

2 Улучшение диагностического охвата за счет сравнения подобного типа может применяться для увеличения интервала контрольной проверки;

4) могут быть введены временные задержки для предотвращения случайных срабатываний аварийной сигнализации из-за различия времени реакции датчиков на изменения в процессе, связанных с размещением датчика или принципом его действия. Например, некоторые резервные датчики расхода могут иметь задержки от 1 до 2 с. Существует много пакетов программ, поставляемых продавцами датчиков, для контроля показаний резервных датчиков и вычисления стандартного отклонения, способных инициировать диагностическую сигнализацию;

5) другим способом диагностики датчика является сравнение с изменениями связанных переменных (например, показания накопительных расходомеров сопоставляются с изменениями уровня в емкости или с соотношениями давления и температуры);

b) для исполнительных элементов:

1) для проверки выполнения ожидаемых действий может быть проведено сравнение сигналов обратной связи, получаемых с выхода исполнительного элемента (такого как сигнал конечного выключателя или сигнал от датчика положения), с требуемым состоянием. Чтобы отфильтровать сигнал, получаемый во время перемещения клапана (например, от полностью открытого до полностью закрытого положения), следует использовать значительные временные задержки. Если клапан в ходе нормальной работы периодически меняет свое безопасное состояние (например, в операциях дозирования), то это сравнение сигнала обратной связи исполнительного элемента с требуемым его состоянием можно рассматривать только как диагностическую операцию;

2) некоторые клапаны, приводы, соленоиды и/или позиционеры могут обладать способностью к самодиагностированию;

c) для логических решающих устройств:

- в типовых случаях программируемые электронные логические устройства, подготовленные для задач безопасности или отвечающие требованиям комплекса стандартов МЭК 61508, включают в себя диагностические средства, выявляющие различные неисправности. Типы таких средств и их степень диагностируемости обычно описываются в руководствах по безопасности;

d) для внешних средств диагностики:

- примерами таких средств служат контрольные (сторожевые) таймеры и концевые мониторы.

Должна также учитываться уверенность в данных о безотказности, используемых для вычисления целевой меры. Использование 70 %-ных верхних доверительных границ входных параметров безотказности гарантирует выполнение консервативных вычислений, и это обсуждается в МЭК 61511-1:2016 (пункт 11.9.4).

А.11.9.3 Дополнительные требования не предусмотрены.

А.11.9.4 Значения данных по безотказности, используемые при количественной оценке последствий случайных отказов аппаратных средств, всегда известны только с числовыми погрешностями. Таким образом, оценивание влияния этих погрешностей на целевую меру полезно при определении требований УПБ.

Погрешность (см. примечание) заданного параметра безотказности (например, интенсивности отказов) может быть оценена посредством:

a) статистического анализа;

b) применения экспертной оценки там, где это требуется;

c) выполнения определенных тестов.

Согласно общему правилу числовые погрешности уменьшаются с ростом доступной обратной информации об эксплуатации.

Таким образом, параметр безотказности является не столько хорошо определяемым детерминированным значением, сколько случайной переменной с большим или маленьким разбросом, отклоняющимся от ее среднего значения, как это показано на рисунке А.5.

Рисунок А.5 - Иллюстрация погрешности для параметра безотказности

Чем более острое распределение, тем меньше погрешность параметра. На рисунке А.5 погрешность возрастает слева направо.

В пределе, если параметр полностью известен, кривая будет представлять из себя простую вертикальную прямую линию (т.е. обобщенная функция Дирака).

Как показано на рисунке А.5, погрешность параметра безотказности может быть оценена по его доверительному интервалу, например, на 90 %-ной отметке: действительное среднее значение с вероятностью 90 % попадает в интервал [, ] ( с вероятностью 5 % будет лучше, чем , и с вероятностью 5 % будет хуже, чем ).

Чисто статистически среднее значение параметра безотказности может быть оценено с помощью "оценки максимальной вероятности", а доверительные границы [, ] могут быть вычислены с помощью функции (хи-квадрат), представленной таблично в сборниках по статистике.

Испытание, в котором n отказов, наблюдаемых за накопленное время наблюдения Т, дает среднее значение, равное n/Т, и 90 %-ный доверительный интервал, равный - [, ]. (Ширина данного интервала сжимается, т.е. точность увеличивается, когда увеличивается накопленное время наблюдения и/или число наблюдаемых отказов (справа налево на рисунке А.5).

Для обработки статистических наблюдений, экспертной оценки и результатов конкретных тестов может также использоваться Байесовский подход. Он может применяться для формирования соответствующих функций распределения вероятностей при моделировании методом Монте-Карло.

При широком доверительном интервале (т.е. в случае немногочисленной информации от пользователей об эксплуатации) следует реализовать процесс сбора данных о безотказности как можно быстрее, а вероятностные прогнозы целевых вероятностных показателей должны периодически обновляться с помощью собранных данных о безотказности.

Примечание - МЭК 61511 включает в себя вероятностные вычисления, выполнение которых нуждается в точных данных о безотказности. Он не может быть реализован надлежащим образом без сбора данных о безотказности от пользователей. Выявленная нехватка данных по безотказности - это возможность начать сбор конкретных данных по безотказности для их восполнения. Если это не приносит пользы для текущей ПСБ, то будет полезным для следующей.

Первым подходом для обработки погрешности, описанной выше, является использование пессимистических входных данных о безотказности. Это гарантирует, что несмотря на недостаток точности, оценка целевого показателя (ВОЗН_ср или ВОЧ) не является оптимистичной. Это может быть выполнено посредством применения к входным параметрам безотказности некоторых верхних доверительных границ, более высоких, чем обычные средние значения. Предполагается, что использование верхних доверительных границ в 70 % ( > ), как правило, предоставляет приемлемый доверительный уровень. Это показано на рисунке А.6, демонстрирующем, что "консервативность" входных данных снижается с увеличением точности (уменьшается разница между - ).

Примечания

1 Для испытания с n наблюдаемыми отказами за накопленное время наблюдения T верхняя доверительная граница может быть вычислена с помощью функции . Например, может быть оценена как , т.е. в 70 % случаев фактическое значение ниже (т.е. лучше), чем это. Такая верхняя доверительная граница существует, даже когда не наблюдается никаких отказов. Она всегда является пессимистической по сравнению с , но она становится все менее и менее пессимистической с увеличением Т и/или n (см. рисунок А.6).

2 Вычисления, выполненные при верхних доверительных границах для входных параметров в 70 %, не дают верхние доверительные границы в 70 % для всего результата (например, ВОЗН_ср). Вычисления, выполненные таким образом, гарантируют только консервативность результата.

Рисунок А.6 - Демонстрация верхней доверительной границы в 70 %

Предыдущий подход предполагает только одно вычисление вероятностной цели (т.е. ВОЗН_ср), но уровень консервативности неизвестен. Поэтому, если требуется узнать этот уровень консервативности, то может быть использован другой подход. Он предполагает использование всех распределений входных параметров безотказности вместо только отдельных значений, таких как . Может применяться моделирование так называемым методом Монте-Карло, который выполняет следующее:

a) использует случайные числа для моделирования вероятностных распределений значений входных параметров безотказности и

b) архивирует несколько (например, 100) вычислений вероятностной цели с различными наборами случайных чисел.

Это дает статистическую выборку (т.е. гистограмму) целевого результата (например, ВОЗН_ср), которая может быть обработана для получения соответствующего вероятностного распределения, а также соответствующего среднего значения и доверительных уровней (см. рисунок А.7).

Рисунок А.7 демонстрирует функцию плотности вероятности (фпв) и соответствующую ей интегральную функцию распределения (ифр), которые могут быть получены в результате моделирования методом Монте-Карло. Это показывает распределение ВОЗН_ср вокруг его среднего значения [ВОЗН_ср]_ср.

Примечание - ВОЗН_ср сама по себе является случайной переменной в связи с лежащими в основе ее формирования вероятностными законами. Вычисление, приведенное выше, по существу, предоставляет только распределение из-за неопределенностей входных параметров безотказности.

[ВОЗН_ср]_ср может применяться вместо классического ВОЗН_ср, но его консервативность не может быть доказана. Оно, скорее всего, будет близко к медианному значению (т.е. с вероятностью 50 % фактическое значение будет лучше, чем (ВОЗН_ср)_50 %, и с вероятностью 50 % фактическое значение будет хуже него).

Рисунок А.7 - Типичное вероятностное распределение целевых результатов, полученных моделированием методом Монте-Карло

Кривая "ифр" на рисунке А.7 демонстрирует, что значение ВОЗН_ср имеет шанс в 12 % попасть в диапазон, связанный с УПБ 4 (шанс в 88 % быть в диапазоне УПБ 3 или хуже), имеет шанс в 78 % быть в диапазоне УПБ 3 или лучше (шанс в 22 % быть в диапазоне УПБ 2 или хуже), а также имеет шанс в 96 % быть в диапазоне УПБ 2 или лучше (4 % шанс быть в диапазоне УПБ 1 или хуже) и т.д.

В консервативных целях может быть выбран доверительный уровень 90 %. Так как ВОЗН_ср 90 % лежит в области УПБ 2, то для данного примера это ведет к значению УПБ 2. Следует отметить, что для доверительного уровня в 70 % тот же пример выдает значение УПБ 3.

А.11.9.5 Дополнительные требования не предусмотрены.

А.12 Разработка прикладной программы ПСБ

А.12.1 Цель

Примеры того, как определяется разработка ППО для одной или нескольких функций безопасности в ПСБ, см. в приложении В (раздел В.1) и приложении F (раздел F.20).

А.12.2 Руководящие указания к "Общим требованиям"

А.12.2.1 Раздел 12 в МЭК 61511-1:2016 подходит для разработки и модификации программ ППО с требованием к УПБ до значения УПБ 3. Опыт показывает, что имеется незначительная разница между методами разработки с требованиями УПБ 1, УПБ 2 и УПБ 3 при использовании ЯОИ в удовлетворяющем требованиям МЭК 61511-1:2016 логическом решающем устройстве, применяя соответствующее руководство по безопасности.

Различия между УПБ 1, УПБ 2 и УПБ 3 может быть в применяемых методах испытания и верификации для различных УПБ. См. А.7.2.2.

А.12.2.2 Например, прикладной программист в процессе обнаружения неточностей и для обеспечения гарантии, что он понимает намеченное требование, должен также анализировать информацию в логическом представлении [см., например, приложение F (разделы F.15 и F.17)], а не в виде последовательности команд.

А.12.2.3 Настоящий стандарт ограничивается рассмотрением требований для ППО, разрабатываемых с помощью ЯОИ. Под "разработкой ППО" понимают проектирование и реализацию прикладной логики системы безопасности для ПЭ, выбранной в соответствии с МЭК 61511-1:2016 (подраздел 11.5).

А.12.2.4 Настоящий стандарт также рассматривает применение устройств, использующих фиксированный язык программирования (ФЯП), например управление вводом параметров в микропроцессорных датчиках - см., например, приложение С и таблицу F.13.

А.12.2.5 Для ФБ ПСБ и функций, не связанных с безопасностью, следует использовать отдельное ППО.

Одним из способов показать их адекватную независимость может быть выполнение всех следующих положений:

a) ФБ ПСБ понятно промаркированы в ППО, как прикладные коды ФБ ПСБ;

b) функции ПСБ, не связанные с безопасностью, явно отделены в ППО;

c) все переменные, используемые при реализации ФБ ПСБ, промаркированы;

d) все прикладные программы, реализующие функции, не связанные с ПСБ, промаркированы как коды функций, не связанных с ПСБ;

e) все ППО, использующие переменные, не связанные с безопасностью, и переменные ФБ ПСБ, удовлетворяют следующим условиям;

f) ППО (включая все функции и функциональные блоки), не связанное с безопасностью, не должно осуществлять запись в переменные ФБ ПСБ, используемые в ППО безопасности, и

g) ППО безопасности, реализующее ФБ ПСБ, не зависит от каких-либо переменных, не связанных с безопасностью;

h) все ППО безопасности (включая переменные и данные) защищено от любых изменений ППО, не связанного с безопасностью, и

i) если безопасное ППО и ППО, не связанное с безопасностью, совместно используют одни и те же ресурсы (например, ЦПУ ресурсы операционной системы, память, шины), то функция безопасности ПСБ (например, время реакции) безопасного ППО никогда не должно оказаться под угрозой.

А.12.2.6 См. руководящие указания к А.11.2.8. Если ППО не имеет функции ручного сброса, то это должно быть определено в СТБ.

Рассматривает опасность, которая может возникнуть, если прекращается подача электропитания ПСБ, а восстановление электропитания не может поддерживать безопасное состояние процесса. См. также пункт А.11.2.8 и МЭК 61511-1:2016 (пункт 12.2.5). В случае останова по включению питания см. также МЭК 61511-1:2016 (пункт 11.6.2).

А.12.2.7 Дополнительные требования не предусмотрены.

А.12.2.8 Помогает уменьшить сложность ППО и гарантирует рассмотрение всех входов и выходов при каждом сканировании. См. также ISA TR84.00.09. Также помогает обеспечить достижение требований к времени отклика - см. МЭК 61511-1:2016 (пункт 10.3.2).

А.12.2.9 Обеспечивает использование надлежащего ППО. Следует рассмотреть как вопрос обеспечения защиты хранения и поиска, так и вопрос длительности хранения старых версий с учетом производственных и нормативных требований. Также следует рассмотреть вопрос сохранения аппаратных средств и встроенного ПО, необходимых для работы старых версий ППО. Перед внесением каких-либо модификаций в ППО должно быть проверено, что ППО, работающее в машинном оборудовании, идентично контрольному экземпляру. Перед восстановлением данных пользователя должно быть проверено, что используются данные пользователя надлежащей версии. См. пункт А.5.2.7.

А.12.2.10 Дополнительные требования не предусмотрены.

А.12.3 Руководящие указания к "Проектированию прикладной программы"

А.12.3.1 Рабочие режимы могут включать рабочие функции, такие как ручная функция, полуавтоматическая, автоматическая, функция запуска, пакетной обработки, испытания и обслуживания. См. приложение F (разделы F.14 и F.27).

А.12.3.2 Примеры входной информации для проектирования ППО см. в приложении F (раздел F.13). Пример СТБ для ПСБ см. на шаге F.3. Пример методов и инструментальных средств для разработки проекта ППО см. в приложении F (раздел F.20) и на шаге F.3.

Прикладному программисту и проектировщикам ПСБ может потребоваться обсудить входную информацию для проектирования ППО.

А.12.3.3 Для того чтобы облегчить проведение ОФБ, ППО должно быть прослеживаемым до спецификации требований к безопасности ПСБ. Например, его структуру надо организовать таким образом, чтобы она демонстрировала как реализуются ПСБ, а идентификаторы должны отражать практическую реализацию, используя наименования тегов входа/выхода, основанные на реальности. ППО должно также сопровождаться комментариями, описывающими функции процесса. См. также МЭК 61511-1:2016 (пункт 5.2.6) и примеры на рисунке F.11. Проектирование ППО должно описывать устройство и подсистемы ППО ПСБ, а также как они взаимосвязаны и как достигаются требующиеся атрибуты, в особенности полнота безопасности. Примеры ППО устройств включают прикладные функции, продублированные во всей программе (например, последовательности управления насосом), обмен информацией с входом/выходом на заводской установке и с коммуникационными модулями, любые функции уровня ППО, которые взаимодействуют с лежащими в основе ПЭ-устройствами (например, использование нескольких ПСБ для достижения функций резервирования, и/или поведение при обнаружении ошибки, и/или последовательности запуска/останова).

Проведение ОФБ для ППО поможет идентифицировать ошибки на ранней стадии, также как обеспечить устойчивость ППО к отказам. ОФБ ППО может включать:

а) подтверждение того, что ППО не выходит за ограничения, установленные в инструкции по безопасности, и соответствует любым стандартам кодирования для конкретного приложения и стилям программирования систем безопасности;

b) анализ отказов поведения ППО; он включает идентификацию функций, выполняемых ППО, их возможные функциональные отклонения (например, как в "химическом" HAZOP - слишком большой/маленький, слишком рано/поздно, противоположно/отсутствует/никакое и т.д.), оценку влияния отказа каждой прикладной функции и идентификацию любых мер по смягчению ущерба, защищающих от функциональных отказов.

Примечание - Многие функции ППО являются ФБ ПСБ, и анализ их отказов может быть частью анализа отказов системы. Тем не менее в ППО могли быть идентифицированы дополнительные функции или же они могли быть идентифицированы во время самого анализа функциональных отказов для защиты от отказов ФБ ПСБ (например, такие функции, как управление насосами, голосование на входах процесса, например голосование "огонь и газ" или "температура и давление", ответное действие на отказ).

А.12.3.4 Примеры методов проектирования прикладной программы приведены ниже:

a) см. рисунок F.11, лист 4, строчка 1;

b) см. примеры ППО в разделе F.20 (таблицы F.8-F.14 включительно). Структура ППО должна согласовываться со структурой процесса (например, на химическом объекте прикладное программное обеспечение для каждого участка процесса должно быть сгруппировано вместе и внутри каждого участка процесса следует распределить программное обеспечение между оборудованием для обеспечения понимания и обслуживания);

c) правильный порядок выполнения и сетевых, и логических операций должен быть определен внутри каждой программы, а также должны быть определены последовательность и требуемые скорости выполнения всех прикладных программ. Следует подтвердить, что скорости выполнения программ ППО были согласованы с требуемыми временами реакции процесса, приведенными в СТБ ППО;

d) примеры описания стандартных библиотечных модулей можно найти на рисунке F.11, лист 1;

e) примеры описания специальных библиотечных модулей можно найти в В.4.1; любые заказные функции и функциональные блоки должны быть спроектированы и разработаны; заказные разработанные функциональные блоки весьма желательны, так как в прикладных программах могут быть запрограммированы, испытаны и повторно использованы повторяющиеся операции. Следует сконфигурировать модули ввода/вывода и области памяти для переменных данных;

f) распределение памяти, как правило, выполняется автоматически при выполнении прикладного программирования в ПЛК; распределение памяти достигается посредством разбиения различных частей ППО (например, аварийные сигналы, входы, выходы, логика безопасности, логика, не связанная с безопасностью, свободная область для дальнейшего развития) на их отдельные "ступеньки" - пример см. на рисунке F.11; если разбиение должно выполняться вручную, то при управлении памятью следует проявлять осторожность, что можно делать за счет:

- распределения эквивалентных переменных по предназначенным для них страницам, чтобы не смешивать константы и переменные, входные и выходные переменные, физические переменные и промежуточные переменные;

- разделения типов переменных, чтобы, например, не смешивать целочисленные с двоичными;

- предотвращения мультиплексирования переменных простых типов в более сложные типы переменных, например, вкладывания нескольких двоичных переменных в целочисленные или в байты, следуя правилу "один адрес в памяти для одной переменной";

g) например, глобальной переменной в прикладной программе можно описать предупредительную сигнализацию, такую как аварийный сигнал о превышении температуры, который изменяется в зависимости от составляющих пакета данных в процессе; другим примером может быть предельное значение, при котором формируется аварийный сигнал о воспламенении газа, которое используется в противопожарных и газовых системах защиты и которое равно, например, 20 % от нижнего взрывоопасного предела (НВП); примером защиты целостности может служить функциональность основного логического решающего устройства, разрешающая только одной команде ППО переписывать значения глобальной переменной; дополнительные соображения на тему использования глобальных переменных см. в G.3.4.3, G.3.4.4, G.7.2.4, G.7.3.1 и G.7.3.2;

h) желательно разделить функции безопасности и функции, не связанные с безопасностью, по разным программам так, чтобы основной акцент мог быть сделан на программах безопасности и чтобы можно было легко продемонстрировать, что функции, не связанные с безопасностью, не оказывают влияния на функции безопасности; на рисунке В.13 приведен пример анализа независимости ФБ ПСБ; в СТБ должно быть указано, какая ФБ ПСБ и какие другие функции будут включены в рассматриваемую программу; желательно также ограничить размер программ безопасности небольшим числом функций, чтобы наивысший уровень полноты требовался бы только критически важным функциям безопасности;

i) на рисунке F.11, листах 1 и 2, приведен пример описания ввода и вывода; должны быть созданы наименования для всех переменных ввода/вывода и памяти;

j) на рисунках В.6 и В.12 приведены примеры спецификации ЧМИ ПСБ;

k) должны быть определены коммуникационные переменные для систем, внешних к ПСБ; если эти переменные размещаются в памяти, то они должны быть приписаны к соответствующим областям памяти так, чтобы коммуникационная подсистема ПСБ могла иметь к ним доступ; переменные, которые могут изменяться другими системами, внешними к ПСБ, должны быть аккуратно определены и, как правило, размещаться в специальной области памяти, предназначенной для чтения или записи; на рисунке В.13 проиллюстрирован пример обмена данными между ПСБ и ОСУП;

l) необходимо определить способы диагностики датчиков и исполнительных элементов, а также организацию периодических проверок, которые будут зависеть от резервирования датчиков и исполнительных элементов; организация проверок должна быть определена тщательно и предусматривать соответствующую аварийную сигнализацию в ходе проведения проверки; примеры реализации диагностик см. на рисунке F.11, лист 3, строки А1-А6, лист 4, строки 4, 6, 8 и 10, лист 5, строки 17-20;

m) обращение с аварийными сигналами и их записью следует осуществлять с осторожностью, как и рассмотрение их влияния на снижение риска; более того, должен быть определен подход, связанный с переопределением обслуживания; некоторые пользователи будут требовать, чтобы для обслуживания к цифровым входам были подсоединены переключатели, в то время как другие будут использовать управляемый ввод данных в ПСБ из рабочей станции; в любом случае должны быть обеспечены безопасные процедуры, предотвращающее непреднамеренные переопределения обслуживания/обходы аварийной сигнализации; типичные примеры диаграммы аварийной сигнализации см. на рисунке F.11, лист 3; установление приоритетов аварийных сигналов см. в приложении F (раздел F.14) и таблице F.13; типичные примеры интерфейсов операторов см. на рисунке F.11, лист 2, строки DI1, DI2 и DI3;

n) примеры проверки целостности прикладных данных и подтверждения соответствия датчиков включают:

- проверку выхода входных/выходных данных за границы заданных диапазонов, например значения датчика, вышедшего за границы заданного диапазона;

- подтверждение соответствия передаваемых прикладных данных, например внешний сторожевой таймер, внешние алгоритмы циклической проверки избыточностью (CRC) и

- сравнение значений датчиков и отправку сигналов об отклонениях;

о) проверки конфигурации системы могут выполняться посредством структурных испытаний (подробное описание структурных испытаний см. в перечислении b) А.12.5.3; кроме того, требуется проявлять осторожность, чтобы обеспечить уникальность наименования тегов, включая их уникальность среди контроллеров;

р) один из примеров управления сложностью приведен в В.4.3.3.1, где сложность ППО ограничена при помощи иерархической организации из трех слоев модулей (см. также рисунок В.9);

q) на рисунке F.11, лист 3, строки D01, D02 и D03, лист 4, строки 1 и 2, а также лист 5, строки 12 и 16-20, показан пример управления сбоями входов/выходов ПСБ и подсистем ПСБ;

r) примером испытания при действующем процессе с автоматической блокировкой может служить испытание клапана при неполном ходе на выходе физического процесса - см. также А.16.3.1.2 и А.16.3.1.3;

s) на рисунке В.6 приведен пример интерфейса для обслуживания переключателей при их автономном тестировании;

t) внесение изменений в ПСБ должны выполняться автономно - безопасность процесса внесения изменений, как правило, основано на:

- предотвращении изменений ППО в логическом решающем устройстве на действующем процессе; это, как правило, можно обеспечить запрещением редактирования кода логического решающего устройства посредством переключателей и паролей аппаратных средств;

- предотвращении доступа к ссылке на загрузку ППО;

- внутренних характеристиках среды разработки ППО и встроенных в них функций безопасности, включая контроль синтаксиса, проверки соответствия, прослеживаемость и управление версиями;

u) спецификации требований безопасности ППО, как правило, содержатся в документе или наборе документов, организованном иерархически, чтобы обеспечить постепенное уточнение требований, которые изменяются от СТБ до самых подробных спецификаций реализации, таких как отображение памяти. Документация на ППО, предусмотренная логическим решающим устройством, не является адекватным вариантом СТБ для ПСБ.

А.12.3.5 Соображения по надлежащему подходу к разработке проекта прикладных программ включают:

a) см. приложение F (пункты F.17 и F.27);

b) внедренное ППО должно реализовывать все функции, описанные в спецификации требований безопасности ППО, и все другие неустановленные поведения должны быть идентифицированы и не должны влиять на полноту безопасности;

c) указания по возможным способам избежать неоднозначности см. в А.12.6 и приложении G. ППО должно быть реализовано таким образом, чтобы оно помогало операторам и эксплуатационному персоналу понимать и взаимодействовать с ПСБ (там, где требуется). Например, описание аварийных сигналов, требующихся времен реакции, рабочей нагрузки оператора и т.п. Функции должны поддерживать деятельность по обслуживанию, включая использование переопределений и байпасов;

d) указания по избавлению от ошибок проектирования см. в А.12.6.

А.12.4 Руководящие указания к "Реализации прикладной программы"

А.12.4.1 При возможности ППО всегда должно базироваться на апробированных модулях ППО, которые могут включать библиотечные функции и четко определенные правила для объединения модулей ППО (см. приложение В, подпункты В.4.3.3.1, В.4.3.3.2.1 и В.4.3.4.1 и рисунок В.9). На рисунке F.11, лист 1, приведен пример части ППО, использующей блоки стандартных функций, предоставленные поставщиком и прошедшие оценку безопасности.

А.12.4.2 Чтобы понять, как может быть реализовано каждое требование МЭК 61511-1:2016, см. следующие ссылки:

Примечание - Приложение F является примером, основанным на втором издании МЭК 61508 и МЭК 61511.

a) разработчик ППО - нижняя часть рисунка F.11, угловой штамп;

b) описание цели ППО: разделы F.1, F.2, F.3, F.4, а также F.5.1 и F.5.2;

c) дополнительные требования не предусмотрены;

d) дополнительные требования не предусмотрены;

e) прослеживаемость до СТБ ППО - таблица F.12;

f) идентификация каждой ФБ ПСБ и ее УПБ - таблица F.11;

g) идентификация и описание используемых символов, включая логические условные обозначения, стандартные библиотечные функции, функции библиотеки приложений - рисунок F.11, лист 1;

h) для идентификации сигналов ввода и вывода логического решающего устройства ПСБ см. таблицы F.9 и F.10;

i) если вся ПСБ задействует коммуникации, то описание потока информации в коммуникациях см. на рисунке F.12;

j) описание структуры программы, включая описание порядка логической обработки данных по отношению к подсистемам ввода/вывода ПСБ см. в В.1. Там же приведены типичные ограничения, устанавливаемые временами сканирования;

k) если это требуется для спецификации ФБ ПСБ, информацию о средствах обеспечения корректности эксплуатационных данных и данных, отправляемых по коммуникационному каналу, см. на рисунке F.11, лист 5, строки 17, 18, 19, 20; и

l) информацию по идентификации версий и истории изменений см. на нижней части листа на рисунках F.4-F.11.

А.12.4.3 Повторное использование библиотечных функций ППО должно демонстрировать удовлетворительное функционирование в похожих приложениях, включая свидетельства того, что одинаковые библиотечные функции продемонстрировали удовлетворительное функционирование в похожих условиях использования. Примером разработанной прежде библиотечной функции ППО, используемой на множестве технологических объектов, является ППО-модуль, выполняющий функции пуска, останова и самоподхвата двигателя, которые можно встретить в мгновенной функции управления трехфазным двигателем.

А.12.4.4 Чтобы создать устойчивое и надежное ППО, следует с вниманием отнестись к его структуре. Можно использовать способ, при котором в основной проект логического решающего устройства добавляется резервирование на уровне приложения, а функции разделяются между несколькими входами/выходами (например, структурирование управлением клапана) и порядком обработки переменных входа и выхода.

А.12.5 Руководящие указания к "Требованиям к верификации прикладной программы (проверка и тестирование)"

А.12.5.1 Дополнительные требования не предусмотрены.

А.12.5.2 Компетентность в таком контексте означает, что человек обладает профессиональной технической квалификацией и образованием (например, имеет степень магистра или бакалавра или аналогичную степень), что он/она ознакомлен с используемым языком программы и инструментальными средства проектирования и реализации, что он/она является опытным прикладным программистом. Более того, он/она должен обладать знаниями по функциональной безопасности, особенно для промышленных процессов. Он/она должен уметь распознать небезопасную, по сути, логику (например, применение логических схем ИЛИ, либо инверторов при переходе в безопасное состояние при отключении питания, либо применение логических схем И при переходе в безопасное состояние при включении питания). См. F.28.

А.12.5.3 Во время испытания должны выполняться все области ППО для того, чтобы обеспечить корректное функционирование и гарантировать, что одна область приложения не оказывает неблагоприятного влияния на другую часть программы. ППО должно проверяться для всех значений данных из разрешенного диапазона, чтобы гарантировать, что система будет функционировать корректно, находясь в этом диапазоне. Проверки за пределами этого диапазона также должны быть выполнены, чтобы подтвердить, что ППО не выполняет непредназначенные ему функции, которые подвергают риску его требования к безопасности.

Проверка ППО должна включать такие методы, как контроль, сквозной контроль и формальный анализ. Она должна использоваться совместно с моделирование и испытанием для того, чтобы обеспечить, что ППО гарантированно удовлетворяет связанной с ним спецификации.

Испытание может быть выполнено методом "черного ящика" (выполнение испытания без знания внутренней структуры ППО), например функциональное испытание, или методом "белого ящика" (выполнение испытания, используя знания внутренней структуры ППО). В обоих случаях важно продемонстрировать, как результаты испытания удовлетворяют требованиям, но в случае испытания методом "белого ящика" легче идентифицировать "непредвиденное" поведение.

Проверки ППО на соответствие требованиям, полученным на стадиях проектирования и формирования спецификаций, могут сначала проводиться на симуляторе, а затем - на логическом решающем устройстве. Целями проверок на начальных этапах (симулирование и тестирование на соответствие требованиям проектных спецификаций) являются:

a) показать, что ППО-модули выполняют необходимые функции и не способны к выполнению любых запрещенных действий;

b) проверить ППО для широкого набора условий и последовательностей их выполнения, чтобы показать, что оно остается устойчивым при неожиданном поведении;

c) структурное тестирование включает три основные стадии разработки и испытания ППО (уровни разработки модуля, интеграции и тестирования всей системы).

Структурные тестирования ППО предназначены подвергать критической оценке решения, принятые ППО с помощью тестовых сценариев, основанных на структуре и логике проекта. Полное структурное тестирование проверяет структуры данных ППО (такие как таблицы конфигурации, типовые решения, подпрограммы, функции), а также его логику управления и логику процедур на уровнях испытаний, рассмотренных ниже.

Структурные тестирования должны выполняться на уровнях тестирования модуля, интеграции и системы. Здесь под "модулем" подразумевается наименьший отдельно компилируемый (или ему эквивалентный) созданный код, такой как процедура, подпрограмма, класс, метод или таблица базы данных. Структурное тестирование гарантирует, что утверждения и решения ППО полностью проверяются выполнением кода. Например, оно подтверждает, что операторы цикла ППО ведут себя на граничных значениях своих данных, как и предполагалось. Для конфигурируемого ППО целостность данных в таблицах конфигурации оценивается на влияние этих данных на поведение программы. На уровне модуля структурное тестирование также включает идентификацию "мертвого кода", т.е. кода, выполнения которого нельзя добиться никакой последовательностью кода.

Структурное тестирование интеграции должны выполняться после верификационных испытаний всех используемых модулей и до структурного тестирования на уровне системы. Верификация ППО подтверждает, что выход каждой стадии разработки ППО является правильным по отношению к (т.е. согласуется с) входам(и) для данной стадии. Испытание работоспособности подтверждает, что окончательный продукт ППО, работающий на предназначенных для него аппаратных средствах и в предназначенной для него среде, соответствует предполагаемому продукту, определенному в спецификациях этого продукта и требованиях к ППО.

Структурное тестирование на уровне модулей

Модуль компилируется и устанавливаются связи с драйвером и заглушками в соответствии с требованиями. Драйвером заменяется любой фактический блок, который по прошествии некоторого времени вызовет тестируемый модуль, и если драйвер передает данные тестируемому модулю, то он настроен на передачу значений переменных тестового сценария, таких как максимальные, минимальные и другие номинальные значения, а также значения "стресс-тестов". Заглушки используются вместо любых модулей, вызываемых тестируемым модулем. Как и драйвер, заглушки возвращают данные тестируемому модулю, они также передают значения "стресс-тестов" и номинальных данных там, где это необходимо. Интерфейсы драйверов и заглушек, включая их имена, являются такими же, как и интерфейсы реальных модулей, что позволяет набору этих модулей связываться с тестируемым модулем без внесения в него изменений.

Структурное тестирование на уровне модулей может выполняться на реальных целевых аппаратных средствах, на программе-эмуляторе или программе-симуляторе используемых аппаратных средств или на совершенно другом процессоре, если этого требует ситуация. Последнее возможно, например, если реально используемые аппаратные средства не обладают возможностью определить результаты испытаний модулей, но код был написан на алгоритмическом языке высокого уровня. Таким образом, ППО на языке высокого уровня может быть скомпилировано и установлены связи для работы на другом логическом решающем устройстве, поддерживающем чтение результатов испытаний там, где целевое логическое решающее устройство не может поддерживать испытания.

Структурное тестирование (также известное как испытание методом "белого ящика") выполняется над объектом испытаний, в данном случае - модулем, посредством его внутреннего анализа для определения поведения этого объекта, например посредством определения всех возможных ветвей кода. Основная цель структурного тестирования на уровне модуля заключается в проверке соответствия ППО проекту, включая его логику, корректность алгоритмов и точность (в отличие от параллельного ППО или ручных вычислений), а также корректность блоков инженерных данных. Это требует, чтобы для каждого модуля выполнялись тестирование всех его ветвей, полное тестирование ППО (включая верификацию отсутствия мертвого кода) и "стресс-тесты" (для обнаружения, например, как условий переполнения или потери значащих разрядов, так и номинальных и максимальных значений данных управления циклом). Для разработки критериев приемки (технических условий) используется рабочий проект.

Среда для структурных испытаний на уровнях интеграции и системы

Лучшего всего проводить структурные испытания интеграции и системы на фактически применяемых аппаратных средствах и в реальной среде, насколько это практически возможно. Существует несколько причин для этого, но две наиболее значимые это: а) ППО может обладать малозаметными условиями, как плохими, так и хорошими, которые проявляют себя только при работе с реально используемыми аппаратными средствами; b) готовая ПСБ, включающая предназначенные аппаратные средства и ППО, должна проходить подтверждение соответствия при работе на таких аппаратных средствах, а структурные тестирования должны приблизить разработку ППО к ее завершению. Тем не менее выполнение структурных испытаний частично или целиком в моделируемой среде имеет свои безусловные основания. Существуют две наиболее распространенные конфигурации при реализации возможностей моделирования: эмуляция логического решающего устройства и модерирование среды или моделирование как логического решающего устройства, так и среды. Принципиальными преимуществами использования моделирования среды и иногда логического решающего устройства считают следующие:

- возможность установить полностью известные входные значения с предварительно определенными результатами для установления критериев приемки каждого испытания;

- симулятор упрощает установление на входах значений, которые выше, ниже и равны предельным значениям критических данных;

- легко установить недопустимые входные значения для испытания всех возможных условий ошибок и отказов;

- можно сразу увидеть результаты каждого испытания.

Структурное тестирование на уровне интеграции

Структурное тестирование интеграции проверяет объединение функционально совместимых модулей верифицированных частей ППО (которые включают части ППО на уровне модулей, прошедшие структурные испытания) посредством компиляции и/или объединения и установления связей между этими частями вместе с любыми требующимися драйверами и заглушками. Затем эта структура загружается в реальную или смоделированную среду для выполнения. Это позволяет специалисту, проводящему испытание, сосредоточиться на одном выбранном наборе функций для подтверждения его правильной работы, включая все внутренние и внешние интерфейсы. После завершения испытания каждого набора функций следующий набор функций может либо подвергнуться отдельному испытанию или быть добавлен к (т.е. связан с) другому(им) уже испытанному(ым) набору(ам). Регрессионное тестирование (т.е. выполнение выбранного подмножества предыдущих, успешно выполненных сценариев испытаний) должно выполняться на уже испытанных наборах для подтверждения того, что новый набор функций не оказывает на них неблагоприятного влияния.

Последовательный (инкрементальный) подход

Последовательный подход для структурных испытаний на уровне интеграции является наилучшим для разработчиков ППО (в отличие от проведения испытаний для подтверждения соответствия третьей стороной - см. ниже), в особенности если ППО является большой и сложной программой. При таком подходе выбранные небольшие, функционально совместимые части ППО компилируются, связываются и испытываются. Такой подход применяется независимо от метода разработки ППО на жизненном цикле, включая любой из следующих трех методов. В "потоковом" методе разрабатываются все требования, затем выполняется проектирование и, наконец, выбранные цепочки выполняемых задач кодируются и подвергаются структурным испытаниям. При "спиральном" методе сначала происходит обсуждение основного устройства ППО системы, а затем разрабатываются требования, проект и код, а структурное тестирование устройства выполняется до обсуждения и разработки следующего основного устройства. Наконец, в последовательном методе разработки все спецификации и требования могут быть разработаны, но проект и его реализация выполняются по одной функции в каждый отдельный момент времени.

В любом случае, если операционная система была уникальным образом разработана специально для испытываемой системы, то она должна сначала пройти структурное испытание. Сама по себе эта часть кода должна быть разбита на функционально совместимые наборы, если она является большой и/или сложной; в противном случае она может подвергнуться структурному испытанию как отдельная сущность. Вторая часть ППО, подвергаемая испытанию, как правило, является уникальным разделом ввода/вывода. Если имеются разнообразные устройства ввода/вывода, то они могут подвергаться структурным испытаниям раздельно. Но часто лучшим решением является выбор цепочки, включающей как способность ввода данных, так и способность наблюдать результат вывода каждого структурного тестирования. Третьим шагом является выбор и структурное тестирование функционально совместимой части приложения и утилит, необходимых для поддержания этого приложения. Затем осуществляется выбор следующей функционально совместимой части ППО и связанных с ней прикладных утилит для следующего структурного тестирования и т.д. Все функции, испытанные прежде, должны подвергнуться регрессионному тестированию по мере необходимости.

Во время проверки формат данных в ППО должен быть верифицирован для подтверждения:

- полноты (например, все функции безопасности были реализованы и все состояния для каждой функции безопасности были рассмотрены);

- внутренней непротиворечивости (например, для всей программы должны поддерживаться единая согласованность и гарантия того, что логика безопасности понятна, не требует разъяснений и визуально отделена от логики, не связанной с логикой ФБ ПСБ, такой как создание отчетов о состоянии);

- защиты от несанкционированного изменения (например, должны применяться два уровня защиты: один уровень на станции прикладного программирования для предотвращения внесения изменений в исходный код приложения без надлежащих полномочий, а второй уровень для защиты ППО от загрузки в ПСБ без надлежащих полномочий);

- согласованности функциональным требованиям (например, обеспечение того, что каждое функциональное требование было правильно интерпретировано);

- согласованности со структурами данных (например, обеспечение читаемости структур данных и использования одного формата во всем ППО);

- совместимости с базовым встроенным программным обеспечением (например, в аспектах последовательности выполнения, времени выполнения программы);

- правильности значений данных (например, использование правильных типов данных, таких как целочисленные или с плавающей запятой, логические и т.п.);

- функционирования в пределах известных безопасных границ (например, проверка диапазона в приложении для поддержания значений в ожидаемом и испытанном диапазоне);

- наличия возможности внесения безопасных изменений.

ППО также должно быть верифицировано для обеспечения защищенности изменяемых параметров от:

- недопустимых или неопределенных начальных значений (например, необходимо обеспечить, чтобы все изменяемые значения, которые могут быть введены, обладали значением по умолчанию, позволяющим обеспечить поддержание ППО в рабочем диапазоне, в случае если пользователь не вводит никаких значений);

- ошибочных значений (например, обеспечить сигнал тревоги или завершить работу, если значение выходит за пределы диапазона, проверенного или ожидаемого процессом);

- несанкционированных изменений (например, необходимо обеспечить предотвращение внесения пользователем несанкционированных изменений или значения не могут быть изменены из-за сбоя в другой системе);

- искажения данных (например, необходимо обеспечить защиту данных от искажения, связанного с любой задачей или системой, не имеющей отношения к безопасности).

Коммуникации, интерфейсы процесса и ППО, связанное с ними, должно подвергаться верификации для обнаружения отказов, обеспечения защиты от подтверждения правильности данных при искажении сообщений, если это уже не было обеспечено устройством, соответствующим МЭК 61508.

Время реакции приложения должно проверяться для всех функций безопасности, чтобы гарантировать, что маршрут данных через приложение позволяет выполнить требование ко времени безопасности процесса. Например, логическая структура может предполагать прохождение ППО через несколько циклов перед завершением выполнения функции безопасности.

А.12.5.4 Дополнительные требования не предусмотрены.

А.12.5.5 После начала формальных проверок все изменения функций ППО и данных о конфигурации должны быть осуществлены в строгом соответствии с установленной процедурой проведения модификаций.

А.12.5.6 Дополнительные требования не предусмотрены.

А.12.6 Руководящие указания к "Требованиям к методологии и инструментам прикладной программы"

А.12.6.1 Дополнительные руководящие указания см. в МЭК 61508-3:2010, приложение D, и ISA TR84.00.09. Дополнительные рассуждения см. также в приложении G. Программисту не следует делать заключений, кроме тех, что определены в инструкции по безопасности: например, что он может использовать возможности компьютера, отсутствующие в инструкции по безопасности. В идеале компьютер должен быть сконфигурирован для обеспечения выполнения подобных ограничений.

Для некоторых ПЭ-систем полный диапазон функций конфигурации может включать общие функции управления, зависящие от алгоритмов, постоянство предсказуемой реакции которых сложно доказать, например функции, использующие алгоритмы с недостоверным завершением (например, рекурсия) или способные привести к исключениям при выполнении программы (например, 'tg 90 градусов'). Для такого типа систем производитель, как правило, предоставляет "ПЭ-инструкцию", определяющую, какие из функций могут применяться для приложений безопасности. Кроме того, там, где используются ПЭ-системы, может потребоваться ограничить способ использования инструментальных средств во избежание тех из них, о которых известно, что они могут приводить к сбоям в работе (подобное, как правило, может быть выявлено в обсуждениях пользователей на интернет-форумах), а также ограничить сложность функций программирования до тех, надежное поведение которых было доказано. В подобном случае в любую инструкцию для ПЭ, поставляемую с ПЭ-системой, потребуется добавить дополнительные процедуры для ограничения использования инструментальных средств (например, для указания хорошей практики программирования, идентификации небезопасных свойств [например, неопределенных языковых функций, незавершающихся алгоритмов)], определить проверки для обнаружения сбоев в конфигурации и указать процедуры для документального оформления ППО, направленные на обеспечение предсказуемости ППО. Если архитектура ПСБ не определена в инструкции для ПЭ, то процедуры должны также включать способ обеспечения отказоустойчивости, например резервирование и разнообразие. Следует рассмотреть необходимость определения любых дополнительных ограничений ППО, таких как сторожевые таймеры, проверки данных.

Как часть руководства по безопасности либо как отдельный документ для конкретного применения могут также предоставляться инструкции и примеры, позволяющие группе программистов создавать программы похожего формата и стиля. Такие инструкции должны содержать сведения о тех деталях конкретных алгоритмов или функций, которые не должны использоваться в программах, если эти алгоритмы или функции могут вызвать нежелательное поведение, способное повлиять на безопасность.

Типичными разделами инструкции по безопасности ПЭ являются:

a) уровни полноты безопасности, для которых подходит устройство или система;

b) ожидаемое поведение каждой стандартной функции (т.е. для обеспечения четко определенного синтаксиса и семантики используемого языка программирования);

c) правила и ограничения, нацеленные на ограничение использования "небезопасных" свойств прикладного языка и набора инструментов;

d) требования и ограничения для инструментальных средств и языков программирования;

e) использование встроенных сторожевых таймеров;

f) руководство для программиста о том, как использовать средства программирования для проверки правильности применения переменных данных. Необходимо также рассмотреть схему распределение памяти, выполнение проверки индикаторов состояния и проверки правильности входных величин.

А.12.6.2 Набор методов и способов, используемых для разработки ППО, должен быть идентифицирован, и должно быть приведено обоснование их выбора.

Типичный набор средств, поддерживающий прикладное программирование, приведен в приложении Е (раздел Е.1).

Следует выбирать такие методы и способы, которые минимизируют риск введения ошибок в ППО в течение его разработки. Это может потребовать рассмотрения следующих их аспектов:

- хорошо определенные синтаксис и семантика;

- пригодность для данного случая применения;

- понятность для персонала, вовлеченного в разработку, обслуживание и использование системы;

- обеспечение гарантии свойств, важных для ПФБ (например, время выполнения в наихудшем случае);

- наличие успешного опыта использования для аналогичных применений;

- правила и ограничения, направленные на ослабление влияния "небезопасных" особенностей метода - дополнительные указания см. в приложении Е (разделы Е.2 и Е.3);

- детерминированный порядок выполнения и обновления элементов данных.

Методы и способы для устранения сбоев включают проверку, испытание путем моделирования, анализ и аналитическое доказательство - см. также МЭК 61511-1:2016 (подраздел 12.5).

Чтобы гарантировать, что оставшиеся в ППО ошибки не приведут к неприемлемым результатам, необходимо рассмотреть:

- способы проверок и обработку особых ситуаций в ходе функционирования;

- использование внешних баз данных поставщика и полных отчетов о неисправностях;

- мониторинг отчетов об отказах ПСБ и результатов процесса, а также их влияния на ПСБ;

- отображение ключевых функций ПСБ в других системах;

- использование дубликата ППО ПСБ в процессе обучения персонала.

Методы и инструментальные средства для управления модификациями включают: управление конфигурацией и управление версиями, базы данных управления требованиями, обновление исполнительных документов, управление документами и управление изменениями, трассируемость и прослеживание ответственности за изменение, автоматические наборы тестов.

Следует выбирать такие инструментальные средства реализации методов и способов, которые при их практическом применении снижают возможность ошибок человека. Для этого можно включить в рассмотрение следующее:

- хорошее знание средств соответствующими участниками группы разработчиков;

- наличие успешного опыта использования средств в аналогичных применениях;

- правила и ограничения, направленные на ослабление влияния "небезопасных" особенностей средств;

- документально оформленный перечень всех средств (с указанием версии) и ПСБ;

- совместимость между различными инструментальными средствами и ПСБ;

- способность генерировать документацию для ППО;

- предсказуемость поведения подсистем ПСБ;

- совместимость отказоустойчивой архитектуры между проектом ППО и аппаратными средствам.

Среда разработки приложения ПЭ и язык должны соответствовать МЭК 61508-3:2010 (таблица А.3).

Там, где решено использовать инструментальные средства, не поставляемые как часть ПЭ-системы, следует рассмотреть возможности достижения следующего:

- простоты организации ППО;

- предоставления комментариев, встроенных в ППО для объяснения его функций и ожидаемого поведения;

- способов повышения охвата диагностикой до максимального значения и его демонстрации;

- гарантии свойств, важных для ПФБ (например, время выполнения в наихудшем случае);

- наличия соответствующих комментариев и описаний на естественном языке;

- разумной структуризации, отражающей данное применение;

- общности стиля с другими связанными прикладными программами.

Могут быть рассмотрены другие методы, способы и средства, включающие измерения показателей (например, охвата тестами), и использование различных более углубленных средств верификации функции(й) (например, средства взаимной верификации).

Следует рассмотреть доступность инструментальных средств (не обязательно тех, которые используются во время начальной разработки системы) для предоставления соответствующих сервисов на протяжении всего срока жизни ПСБ.

Дополнительное подробное рассмотрение характеристик среды программирования и инструментальных средств см. в приложении Е.

А.13 Заводские приемочные испытания (ЗПИ)

А.13.1 Цели

Целью заводского приемочного испытания (часто включающего в себя испытание интеграции ППО) является демонстрация того, что ПСБ способна реализовывать все требующиеся ФБ ПСБ за требующееся время реакции, соответствует другим функциональным требованиям СТБ и исключает предсказуемое нежелательное поведение.

А.13.2 Руководящие указания к "Рекомендациям"

А.13.2.1 Заводские приемочные испытания (ЗПИ) рекомендуются для логических устройств, которые выполняют ФБ ПСБ и имеют довольно сложную логику или структуру с резервированием (например, "1 из 2", "2 из 3" и т.д.).

А.13.2.2 Наиболее важная часть ЗПИ должна представлять собой хорошо определенную, хорошо прописанную и хорошо структурированную процедуру испытаний, которая устанавливает, как проверять прикладную логику и что контролировать после каждого шага.

Персонал, которому предстоит эксплуатировать процесс, следует привлекать к участию в ЗПИ, начиная с момента, когда ему дадут некоторую начальную подготовку для эксплуатации ПСБ. Часто персонал также может сделать хорошие предложения и добавления к процедуре испытаний, которые не были видны при разработке.

А.13.2.3 Дополнительные требования не предусмотрены.

А.13.2.4 Дополнительные требования не предусмотрены.

А.13.2.5 В ходе ЗПИ следует проверить интерфейсы (например, коммуникации между ОСУП и ПСБ).

А.13.2.6 Дополнительные требования не предусмотрены.

А.13.2.7 Дополнительные требования не предусмотрены.

А.14 Установка и ввод в действие ПСБ

А.14.1 Цели

Дополнительные требования не предусмотрены.

А.14.2 Руководящие указания к "Требованиям"

А.14.2.1 Дополнительные требования не предусмотрены.

А.14.2.2 Установку ПСБ следует выполнять в соответствии с проектом и планом проведения установки. Любые отклонения от проекта необходимо подвергать должному критическому рассмотрению с участием проектировщиков, чтобы гарантировать, что все требования проекта выполнены. После того как ПСБ должным образом установлена, должна быть полностью выполнена процедура ввода в действие и затем необходимо начать действия по подтверждению соответствия.

А.14.2.3 Хотя МЭК 61511-1:2016 рассматривает ввод в действие как отдельную стадию, признается, что объект, опыт проектировщиков и требования проекта могут потребовать проведения ввода в действие за несколько стадий. Конфигурирование инструментальных средств включает настройки, обеспечивающие надлежащее функционирование, соответствующее СТБ или инструкции по безопасности (например, дампирование, линеаризация).

А.14.2.4 Должна быть оформлена документация, демонстрирующая соответствие требующимся конфигурациям (т.е. требования в соответствии с СТБ или инструкцией по безопасности).

А.14.2.5 Дополнительные требования не предусмотрены.

А.15 Подтверждение соответствия безопасности ПСБ

А.15.1 Цель

Цель подтверждения соответствия безопасности ПСБ - подтвердить соответствие ПСБ требованиям, установленным в СТБ. Действия по подтверждению соответствия следует выполнять до введения ПСБ в эксплуатацию.

А.15.2 Руководящие указания к "Требованиям"

А.15.2.1 Дополнительные требования не предусмотрены.

А.15.2.2 План подтверждения соответствия ППО должен быть включен как часть общего плана подтверждения соответствия ПСБ или подсистемы ПСБ.

А.15.2.3 Дополнительные требования не предусмотрены.

А.15.2.4 Если ПСБ уже прошла ЗПИ, то это может быть учтено в ходе подтверждения соответствия. Группа, выполняющая подтверждение соответствия, должна критически рассмотреть результаты ЗПИ, чтобы убедиться, что ППО прошло испытания успешно и все проблемы, выявленные в ходе ЗПИ, решены.

Будет очень важно убедиться в том, что какие-либо повреждения, вызванные транспортированием, хранением или настройкой, отсутствуют, что все датчики и исполнительные элементы подсоединены к логическому устройству правильно, что ФБ ПСБ выполняются должным образом и что интерфейс оператора обеспечивает его необходимой информацией.

А.15.2.5 Дополнительные требования не предусмотрены.

А.15.2.6 Заключительный этап проверок - это демонстрация того, что интегрированная система работает правильно в предполагаемой среде, с предполагаемыми физическими устройствами и интерфейсами и с разработанными эксплуатационными процедурами и может быть полностью реализована только после установки и ввода в эксплуатацию всей системы.

А.15.2.7 Дополнительные требования не предусмотрены.

А.15.2.8 Принудительно задавать значения входов и выходов, не выводя ПСБ из обслуживания, должно быть запрещено, если не добавлены одобренные заводом процедуры и не обеспечена безопасность доступа. Любое подобное принудительное изменение должно объявляться или вызывать аварийный сигнал сообразно обстоятельствам.

О прекращении обслуживания должно быть объявлено.

А.16 Эксплуатация и обслуживание ПСБ

А.16.1 Цели

Дополнительные требования не предусмотрены.

А.16.2 Руководящие указания к "Требованиям"

А.16.2.1 Должен быть утвержден план обслуживания ПСБ. План обслуживания должен содержать описание всех возможных режимов с ограниченной функциональностью ПСБ, вызванных отказом в ПСБ или обслуживанием. Следует идентифицировать компенсирующие меры для этих режимов и разработать планы обслуживания. Все действия по обслуживанию должны записываться.

А.16.2.2 В случае, когда отказ и/или байпас ФБ ПСБ реализуется в действующем процессе, вероятность перехода процесса в небезопасное состояние увеличивается. Поэтому должны существовать процедуры для:

- диагностики ситуации отказов, в особенности модели отказов, которая предписывает предпринять соответствующие меры по снижению риска и одновременно предупредить операторов;

- идентификации мер компенсации, позволяющих продолжение работы на допустимом уровне безопасности.

Примечания

1 Пример средств для тестирования диагностики должен вносить искусственный сбой.

2 Анализ видов и последствий отказов является важным набором инструментальных средств для анализа рисков и его рекомендуется использовать;

- осуществления байпаса при выполнении контрольной проверки. Следует применять строго установленные процедуры эксплуатации и меры ослабления рисков для запуска и отключения байпаса (например, получение одобрения перед применением байпаса, предупреждение операторам во время использования байпаса, контроль контура управления перед возвращением в состояние полной работоспособности). Операторы должны быть надлежащим образом обучены методам и процедурам, применяемым для испытания диагностики. Если применяется испытание методом внесения сбоя, то следует рассмотреть отрицательное влияние этого метода, чтобы гарантировать, что по возвращении в состояние полной работоспособности ФБ ПСБ и УПБ системы по-прежнему соответствуют требованиям функциональной безопасности.

Если диагностика указывает на отказ, выявленный тестированием, использующим внесение сбоя, то следует провести надлежащий анализ, чтобы определить причину и влияние данного отказа на ФБ ПСБ и его УПБ и выполнить соответствующие действия:

a) в соответствии с процедурой обслуживания следует решить проблему, связанную со случайным отказом аппаратных средств (например, продолжить обслуживать устройство или сменить его), или

b) необходимо возвратиться на соответствующую стадию жизненного цикла и продолжить в соответствии с процессом управления изменениями, чтобы решить проблему, связанную с отказом системы (например, в случае необнаруженной ошибки при проектировании).

А.16.2.3 Следует рассмотреть следующее:

- причины запроса компенсирующих мер;

- инструкцию по использованию компенсирующих мер и

- каким образом компенсирующие действия приведут процесс к безопасному состоянию, время реакции и последствия в случае отказа выполнения компенсирующих мер;

- следует применять строго установленные процедуры эксплуатации и меры ослабления рисков для запуска и отключения байпаса (например, получение одобрения перед применением байпаса, предупреждение операторам во время использования байпаса, контроль контура управления перед возвращением в состояние полной работоспособности). Операторы должны быть надлежащим образом обучены.

А.16.2.4 Дополнительные требования не предусмотрены.

А.16.2.5 Дополнительные требования не предусмотрены.

А.16.2.6 Дополнительные требования не предусмотрены.

А.16.2.7 Дополнительные требования не предусмотрены.

А.16.2.8 Дополнительные требования не предусмотрены.

А.16.2.9 Дополнительные требования не предусмотрены.

А.16.2.10 Дополнительные требования не предусмотрены.

А.16.2.11 Процедуры контрольных проверок для датчиков и исполнительных элементов должны включать в себя полное испытание их интерфейса для управления газом/жидкостью в технологическом процессе. Испытание, выполненное посредством удаленного доступа, должно оказать влияние на рабочие характеристики ФБ ПСБ.

Примечание - Неавтономное испытание является возможным при использовании местного интеллектуального устройства.

А.16.2.12 Дополнительные требования не предусмотрены.

А.16.2.13 Предположения, сделанные во время определения УПБ, могут повлиять на значение УПБ системы.

Оперативное управление производством должно проверять и верифицировать предположения, сделанные во время определения УПБ, включая загруженность, вероятность предотвращения, процедуры для того, чтобы избежать запросов или снизить их число, а также процедуры, применяемые в случае сигналов, предупреждающих об опасности.

Если подобные предположения отклоняются от фактических текущих условий, то следует провести новый анализ рисков.

А.16.3 Контрольная проверка и осмотр

А.16.3.1 Руководящие указания к "Контрольной проверке"

А.16.3.1.1 Интервал между проведением контрольной проверки следует выбирать из условия достижения средней вероятности отказа при наличии запроса, установленной СТБ.

А.16.3.1.2 Контрольная проверка ПСБ должна отражать реальные рабочие условия так точно, как это возможно. Контрольная проверка должна выполняться перед любой регулярной деятельностью по обслуживанию, которая, скорее всего, исказит любые достоверные результаты тестов.

Контрольную проверку ПСБ предпочтительно проводить в виде комплексного испытания, т.е. весь контур ПСБ должен испытываться целиком. Контрольная проверка может быть выполнена либо как полное комплексное испытание (т.е. контур целиком), либо методом сегментирования (сериями перекрывающих друг друга испытаний на уровне устройств, т.е. датчиков, логических решающих устройств и исполнительных элементов). Контрольная проверка должна включать, но не ограничиваться, верификацией следующих условий:

a) последовательностей логики работы, например представленных диаграммами причинно-следственных связей;

b) работы всех устройств ввода, включая внешние датчики и модули ввода ПСБ;

c) логики, связанной с каждым устройством входа;

d) логики, связанной с объединенными входами;

e) значений, вызывающих останов (уставки) всех входов;

f) функции аварийного сигнала;

g) скорости реакции ПСБ, когда она необходима;

h) работы модулей выхода ПСБ и всех исполнительных элементов;

i) вычислительных функций, выполняемых ПСБ;

j) временного режима и скорости устройств выхода;

k) функционирования ручных действий, приводящих процесс в безопасное состояние;

l) функционирования диагностики, инициированной пользователем;

m) готовности ПСБ к работе после испытания, например после сброса любой блокировки или ручной коррекции.

Если тестирование контура ПСБ невозможно по причинам безопасности или эксплуатационным причинам, то можно выполнить частичное тестирование для устройств или подсистем, являющихся частью контура ПСБ. Некоторые элементы могут быть протестированы в условиях процесса эксплуатации, блокируя входной сигнал или перекрывая выходное действие. Такие элементы, как прямоточные клапаны, приводящие к останову процесса, могут, таким образом, подвергаться испытанию во время запланированных периодов останова.

В тех случаях применения, когда выполняется частичное испытание, необходимо прописать тестовые процедуры, проверяющие все элементы контура:

- проведение проверок исполнительных элементов при останове объекта;

- проведение проверок ПСБ на срабатывание выходных устройств, насколько это практически возможно (например, срабатывание выходного реле отключения, соленоида останова или частичное перемещение клапана) в ходе испытаний на действующем объекте;

- учет любых ограничений во время испытаний исполнительных элементов при вычислении ВОНЗ_ср для ФБ ПСБ.

Все способы, связанные с резервными архитектурами, должны подвергаться проверочному испытанию для демонстрации того, что все каналы работают правильно, а не только те, которых достаточно для инициации выхода. Это часто требует обеспечения специальных условий для облегчения испытания.

Полное испытание контура ПСБ должно проводиться в заранее определенные временные интервалы.

Те части, которые не были охвачены тестированием, должны быть подтверждены другими способами, например, если невозможно выявить опасные отказы посредством контрольных проверок, то такой элемент должен тщательно проверяться в заранее определенные временные интервалы.

Испытание клапана при неполном ходе может восприниматься как функциональное испытание, охватывающее долю возможных отказов, а не как самотестирование с обеспечением диагностического охвата. Обнаруженная доля отказов должна быть надлежащим образом документально оформлена, используя анализ видов, последствий и диагностики отказов (FMEDA) или подобный ему.

А.16.3.1.3 Частота проведения контрольных испытаний должна быть согласована с применимыми рекомендациями изготовителей и хорошей инженерной практикой и быть более высокой, если необходимость этого установлена предшествующим опытом эксплуатации.

Существует ряд стратегий, используемых для выбора интервала между контрольными испытаниями функции безопасности ПСБ.

Например, некоторые пользователи предпочитают устанавливать интервал между контрольными испытаниями как можно более длительным, чтобы минимизировать затраты на техническое обслуживание и возможные последствия испытаний. В этих случаях разработчик ПСБ может предусмотреть повышенное резервирование оборудования, увеличение охвата диагностикой и более устойчивые к различным нарушениям (робастные) устройства. После завершения проектирования для этого проекта могут быть проведены расчеты, определяющие максимально допустимый интервал между проверками, позволяющий достигнуть эксплуатационного УПБ, установленного для ФБ ПСБ. Недостатком такого метода разработки является то, что на предприятии у каждой системы будут различные межпроверочные интервалы, что может потребовать более строгого согласования. Он также может ухудшить показатели качества работы (например, ВОНЗ_ср= 10^-1 для систем с УПБ 1 и ВОНЗ_ср= 10^-2 для систем с УПБ 2).

Следует обратить внимание, что ВОНЗ_ср является вероятностью, зависящей от времени, которая с увеличением времени возрастает. Таким образом, в случае больших временных интервалов контрольных проверок эта вероятность может быть очень высокой, даже если в среднем целевой УПБ достигнут, и это может стать очень ненадежным индикатором риска. Такое не может быть допустимо, но проведение испытаний с временным сдвигом в какой-то мере смягчает последствия этой проблемы.

Другие пользователи могут пожелать стандартизировать основные значения определяемых интервалов между испытаниями и проводить испытания всех систем, установленных на производственном объекте, через один и тот же интервал. Например, они могут пожелать испытывать каждую функцию безопасности ПСБ ежегодно, так как они ежегодно проектируют новую ПСБ. Предварительно выбирая интервал между контрольными испытаниями до начала проектирования, компании-пользователи могут затем предварительно выбрать архитектуру, устройства и степень диагностического охвата, которые будут удовлетворять УПБ для большинства случаев применения. Установив эти характеристики в своих корпоративных стандартах, они могут снизить затраты на разработку для большинства применений. В этом случае следует провести расчеты для ПСБ, позволяющие убедиться, что при заранее выбранном интервале между контрольными испытаниями достигнут требуемый УПБ.

Кроме того, остановы, связанные с фактическими запросами к ПСБ, во время ее работы могут "засчитываться" в качестве контрольных проверок (полностью или частично) при заданных условиях, таких как:

- информация в том виде, в каком она была зарегистрирована во время соответствующей контрольной проверки, эквивалентна документам по останову;

- останов охватывает все части ПСБ и если это не так, то устройства или подсистемы ПСБ, которые не были активны, должны испытываться отдельно;

- останов происходит в заранее определенное временное окно перед следующей запланированной контрольной проверкой, которая после него может быть отменена.

Если эти условия выполнены, то следующую запланированную контрольную проверку можно пропустить.

При выборе интервала между контрольными проверками следует рассмотреть интенсивность запросов (для систем, работающих в режиме по запросам), интенсивности отказов для каждого из проверяемых компонентов и общие требования к рабочим характеристикам системы.

А.16.3.1.4 Дополнительные требования не предусмотрены.

А.16.3.1.5 Дополнительные требования не предусмотрены.

А.16.3.1.6 Дополнительные требования не предусмотрены.

А.16.3.1.7 Дополнительные требования не предусмотрены.

А.16.3.2 Руководящие указания к "Осмотру"

Как указано в МЭК 61511-1:2016, осмотр ПСБ отличается от контрольной проверки. В то время как контрольная проверка обеспечивает правильную работу ПСБ, визуальный осмотр требуется для того, чтобы проверить механическую целостность установки.

Обычно осмотр проводят в то же время, что и контрольные проверки, но при желании их можно делать и чаще.

Примечания

1 Осмотр может выявить возникающие отказы, которые не обнаруживаются контрольной проверкой.

2 Компонент, подсистема или система ПСБ, находящаяся в неудовлетворительном состоянии, обладает большей вероятностью иметь высокую интенсивность отказов (), чем та, которую приняли в результате вычислений ВОНЗ_ср и остаточного риска. Неудовлетворительное состояние любых подобных элементов может быть устранено.

А.16.3.3 Руководящие указания к "Документальному оформлению контрольной проверки и осмотра" Важно, чтобы результаты контрольных проверок и осмотра были оформлены документально для фиксации обнаруженных фактов. Какие-либо конкретные требования к тому, как долго эти результаты должны сохраняться, отсутствуют, но обычно длительность хранения должна быть достаточной для проведения переоценки предшествующих результатов, хранящихся в истории отказов устройства.

Например, если при контрольных проверках было обнаружено, что датчик неисправен, то хорошей практикой считается сделать обзор результатов предшествующих испытаний, чтобы увидеть, были ли у этого датчика обнаружены неисправности в ходе проведения ряда аналогичных контрольных проверок. Если история показывает наличие повторяющихся отказов, следует рассмотреть вопрос о перепроектировании ПСБ с использованием датчика другого типа.

А.17 Модификация ПСБ

А.17.1 Цели

Под модификацией в основном понимают изменения, вносимые на этапе эксплуатации ПСБ.

А.17.2 Руководящие указания к "Требованиям"

А.17.2.1 Любое изменение ПСБ (подсистемы или компонентов) является модификацией, если это изменение не являлось равнозначной заменой. Подобные модификации могут включать проблемы, связанные:

- с новым интервалом проведения контрольной проверки или ее процедурами;

- компонентами с различными характеристиками, например в случае замены устаревших компонентов;

- изменениями уставок;

- изменениями в условиях работы;

- изменениями в рабочих процедурах;

- изменениями в прикладном программном обеспечении или встроенном;

- исправлениями систематических отказов;

- интенсивностью отказов более высокой, чем желаемая;

- повышенной интенсивностью запросов.

А.17.2.2 Дополнительные требования не предусмотрены.

А.17.2.3 Там, где это представляется возможным, следует избегать модифицирования ППО ПСБ при действующем процессе. Если требуется осуществить модификацию при действующем процессе, то следует документально оформить и одобрить всю процедуру целиком в соответствии с планированием безопасности.

А.17.2.4 Дополнительные требования не предусмотрены.

А.17.2.5 Дополнительные требования не предусмотрены.

А.17.2.6 Дополнительные требования не предусмотрены.

А.17.2.7 Дополнительные требования не предусмотрены.

А.17.2.8 Дополнительные требования не предусмотрены.

А.18 Снятие с эксплуатации ПСБ

А.18.1 Цели

Дополнительные требования не предусмотрены.

А.18.2 Руководящие указания к "Требованиям"

А.18.2.1 Дополнительные требования не предусмотрены.

А.18.2.2 Дополнительные требования не предусмотрены.

А.18.2.3 Дополнительные требования не предусмотрены.

А.18.2.4 Дополнительные требования не предусмотрены.

А.18.2.5 Дополнительные требования не предусмотрены.

А.19 Требования к информации и документации

А.19.1 Цели

Примеры структуры документов см. в МЭК 61508-1:2010, приложение А, а более подробное - в МЭК 61506. Документация может предоставляться в различном виде (например, бумажном, на пленке или любом носителе данных, позволяющем отображение на экранах и дисплеях). Только в целях иллюстрации в приложениях приведено множество разнообразных примеров документации.

А.19.2 Руководящие указания к "Требованиям"

А.19.2.1 Перечень сведений и документов, которые могут быть использованы при реализации ПСБ, включает в себя:

a) результаты анализа опасностей и риска;

b) распределение слоев защиты;

c) допущения, используемые при определении требований к полноте;

d) СТБ-спецификации;

e) логику применения;

f) проектную документацию;

g) информацию и/или документацию по изменениям;

h) записи результатов верификации и подтверждения соответствия;

i) процедуры ввода в эксплуатацию и подтверждения соответствия ПСБ;

j) эксплуатационные процедуры ПСБ;

k) процедуры обслуживания ПСБ;

l) процедуры контрольных проверок;

m) результаты проведения оценок и аудитов.

А.19.2.2 Системы ПСБ следует идентифицировать и документально оформить таким образом, чтобы было проведено четкое различие между ними и другими системами, не связанными с безопасностью, такими как ОСУП.

А.19.2.3 Дополнительные требования не предусмотрены.

А.19.2.4 Дополнительные требования не предусмотрены.

А.19.2.5 Дополнительные требования не предусмотрены.

А.19.2.6 Дополнительные требования не предусмотрены.

А.19.2.7 Дополнительные требования не предусмотрены.

А.19.2.8 Типичный список документов, предусмотренный в результате выполнения проекта ПСБ, см. в приложении F (раздел F.26).

А.19.2.9 Дополнительные требования не предусмотрены.

<< Назад		Приложение >> В (справочное). Пример разработки прикладной программы логического решающего устройства ПСБ с помощью функциональных блок-схем
	Содержание Национальный стандарт РФ ГОСТ Р МЭК 61511-2-2018 "Безопасность функциональная. Системы безопасности приборные для промышленных...

Приложение А (справочное). Руководство по МЭК 61511-1

Откройте актуальную версию документа прямо сейчас