• Текст документа
  • Статус
Оглавление
Поиск в тексте
Документ в силу не вступил

ГОСТ Р МЭК 61511-2-2018

Группа Т51

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

БЕЗОПАСНОСТЬ ФУНКЦИОНАЛЬНАЯ

Системы безопасности приборные для промышленных процессов

Часть 2

Руководство по применению МЭК 61511-1

Functional safety. Safety instrumented systems for the process industry sector. Part 2. Guidelines for the application of IEC 61511-1

ОКС 13.110

Дата введения 2019-07-01

Предисловие

1 ПОДГОТОВЛЕН Обществом с ограниченной ответственностью "Корпоративные электронные системы" на основе собственного перевода на русский язык англоязычной версии международного стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 058 "Функциональная безопасность"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 11 сентября 2018 г. N 586-ст

4 Настоящий стандарт идентичен международному стандарту МЭК 61511-2:2016* "Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1" (IEC 61511-2:2016 "Functional safety - Safety instrumented systems for the process industry sector - Part 2: Guidelines for the application of IEC 61511-1", IDT).
________________
     * Доступ к международным и зарубежным документам, упомянутым здесь и далее по тексту, можно получить, перейдя по ссылке на сайт http://shop.cntd.ru. - Примечание изготовителя базы данных.
          

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВЗАМЕН ГОСТ Р МЭК 61511-2-2011

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

Приборные системы безопасности (ПСБ) уже в течение многих лет используют для выполнения функций безопасности в промышленных процессах. Для эффективного применения приборных систем безопасности при выполнении ФБ ПСБ необходимо, чтобы они соответствовали определенному минимальному уровню стандартизации.

Область применения комплекса стандартов МЭК 61511 - ПСБ, применяемые в промышленных процессах. Комплекс стандартов МЭК 61511 также рассматривает вопросы интерфейса между такими системами и другими системами безопасности, которые выявляются в результате проведения анализа опасностей и рисков, присущих промышленному процессу. ПСБ включает в себя датчики, логические решающие устройства и исполнительные элементы.

В основе комплекса стандартов МЭК 61511 лежат две фундаментальные концепции, необходимые для его применения: концепция жизненного цикла ПСБ и концепция уровней полноты безопасности (УПБ). Жизненный цикл ПСБ формирует базовую структуру, объединяющую большинство положений настоящего стандарта.

Настоящий стандарт рассматривает ПСБ, использующие электрические/электронные/программируемые электронные технологии. Если логические устройства основаны на неэлектрических технологиях, то для обеспечения выполнения требований функциональной безопасности следует применять основные положения настоящего стандарта. Комплекс стандартов МЭК 61511 также рассматривает датчики и исполнительные элементы ПСБ независимо от принципа их действия. Комплекс стандартов МЭК 61511 был разработан для конкретизации требований комплекса стандартов МЭК 61508 применительно к промышленным процессам. Комплекс стандартов МЭК 61511 является конкретизацией общего подхода к вопросам обеспечения безопасности, представленного в МЭК 61508, для промышленных процессов.

Комплекс стандартов МЭК 61511 устанавливает подход, минимизирующий стандартизацию деятельности для всех стадий жизненного цикла ПСБ. Этот подход реализует рациональную и последовательную техническую политику. Цель настоящего стандарта - дать представление о том, как выполнять требования МЭК 61511-1:2016.

Чтобы облегчить применение МЭК 61511-1:2016, номера разделов, приведенные в приложении A, идентичны соответствующим номерам разделов МЭК 61511-1:2016, за исключением символа "A".

В большинстве ситуаций безопасность лучше всего может быть достигнута с помощью проектирования процесса, который сам обеспечивает безопасность. Тем не менее иногда это невозможно или практически нецелесообразно. В таких случаях он может быть дополнен системами защиты, основанными на применении различных технологий [например, химических, механических, гидравлических, пневматических, электрических, электронных, термодинамических (например, гаситель пламени), программируемых электронных], с помощью которых достигается любой установленный остаточный риск. Любая стратегия обеспечения безопасности должна рассматривать каждую конкретную ПСБ в контексте других систем защиты. Для облегчения применения такого подхода МЭК 61511-1:2016:

- требует, чтобы выполнялась оценка опасностей и рисков для определения общих требований к безопасности;

- выполнялось распределение требований к безопасности в (по) приборной(ым) системе(ам) безопасности;

- реализует подход, который применим ко всем приборным методам обеспечения функциональной безопасности;

- подробно рассматривает применение определенных действий по управлению безопасностью, которые могут быть применены ко всем методам обеспечения функциональной безопасности;

- охватывает все стадии жизненного цикла ПСБ - от разработки первоначальной концепции, проектирования, внедрения, эксплуатации и технического обслуживания вплоть до утилизации;

- дает возможность, чтобы существующие или новые стандарты в разных странах, регламентирующие конкретные промышленные процессы, были с ним гармонизированы.

Комплекс стандартов МЭК 61511 призван привести к высокому уровню согласованности (например, основных принципов, терминологии, информации) в рамках конкретных промышленных процессов. Это принесет преимущества как в плане безопасности, так и в плане экономики.

На рисунке 1 представлена общая структура комплекса стандартов МЭК 61511.

ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1

Рисунок 1 - Общая структура комплекса стандартов МЭК 61511

1 Область применения

Настоящий стандарт содержит руководство по установлению требований, разработке, монтажу, эксплуатации и техническому обслуживанию функций безопасности приборных систем безопасности (ФБ ПСБ) и реализующих их ПСБ в соответствии с МЭК 61511-1:2016.

Примечания

1 Справочное приложение A было построено так, что содержание каждого номера его раздела и подраздела совпадает с содержанием соответствующего номера раздела и подраздела МЭК 61511-1:2016 за исключением содержания тех номеров разделов и подразделов, которые следуют за символом "A".

2 Данное приложение A содержит материал, содержавшийся в теле первого издания настоящего стандарта. Те изменения, которые необходимы для обеспечения выполнения правил МЭК, целиком являются информационными.

3 Для получения максимальной пользы от данного руководства:

- следует изучать как руководящие указания раздела, так и руководящие указания конкретного подраздела (например, при необходимости применения руководящих указаний 5.2.6.1.3 следует учесть руководящие указания 5.2.6);

- если руководящие указания конкретного подраздела не предоставлены (например, отсутствуют какое-либо дальнейшие руководящие указания), то следует также обратиться к руководящим указаниям раздела, так как они могут быть применимы).

4 Примеры, представленные в приложениях настоящего стандарта, рассматривают только конкретные примеры реализации требований МЭК 61511 в конкретном случае, но пользователь должен сам убедиться, что выбранные им методы и технологии соответствуют его ситуации.

2 Нормативные ссылки

В настоящем стандарте использована нормативная ссылка на следующий международный стандарт* (для датированной ссылки применяют только указанное издание ссылочного документа):
________________
     * Таблицу соответствия национальных стандартов международным см. по ссылке. - Примечание изготовителя базы данных.
     
               

IEC 61511-1:2016, Functional safety - Safety instrumented systems for the process industry sector - Part 1: Framework, definitions, system, hardware and application programming requirements (Безопасность функциональная. Приборные системы безопасности для технологических процессов в промышленности. Часть 1. Термины, определения и технические требования)

3 Сокращения и определения

В настоящем стандарте применены термины, определения и сокращения согласно МЭК 61511-1:2016 (раздел 3).

Приложение A (справочное). Руководство по МЭК 61511-1

Приложение A

(справочное)

Примечание - Номера разделов и подразделов, представленные в приложении A, идентичны номерам разделов в МЭК 61511-1:2016. Это предназначено облегчить процесс предоставления перекрестных ссылок.

A.1 Область применения

Дополнительные требования не предусмотрены.

A.2 Нормативные ссылки

Дополнительные требования не предусмотрены.

A.3 Термины, определения и сокращения

Дополнительные требования не предусмотрены.

A.3.2.66 функция безопасности (safety function): Функция безопасности должна предотвращать появление конкретного опасного события, например "предотвращать превышение давления в емкости #ABC456, уровня 100 бар". Функция безопасности может быть реализована:

- отдельной ПСБ или

- одной или несколькими ПСБ и/или другими слоями защиты.

Каждая ПСБ или другой слой защиты должны быть способны к выполнению функции безопасности, а полная их комбинация должна обеспечить требуемое снижение риска (заданную безопасность процесса).

A.3.2.67 функция безопасности ПСБ (safety instrumented function): Функции безопасности ПСБ (ФБ ПСБ) формируются из определенной функции безопасности, имеют соответствующий уровень полноты безопасности (УПБ) и выполняются конкретной приборной системой безопасности (ПСБ), например "закрыть клапан #XY123 в течение 5 с, если давление в емкости #ABC456 достигнет 100 бар". Устройства ПСБ могут быть использованы более чем в одной ПСБ.

A.4 Соответствие МЭК 61511-1:2016

Дополнительные требования не предусмотрены.

A.5 Управление функциональной безопасностью

A.5.1 Цель

Дополнительные требования не предусмотрены.

A.5.2 Руководящие указания к "Требованиям"

A.5.2.1 Общие требования

Если организация несет ответственность за выполнение одного или нескольких действий, необходимых для функциональной безопасности, и она выполняет работы в соответствии с процедурами обеспечения качества, то многие действия, описанные в разделе 5 стандарта МЭК 61511-1:2016, уже выполняются в целях достижения качества. В таких случаях, возможно, нет необходимости повторять эти действия в целях обеспечения функциональной безопасности. При этом следует провести критический анализ принятых процедур обеспечения качества, чтобы установить достижение цели функциональной безопасности.

A.5.2.2 Организация и ресурсы

Внутри компании, стройки, завода или проекта следует определить организационную структуру, связанную с ПСБ; следует ясно понимать и знать роли и ответственность каждого человека/подразделения этой структуры. В рамках структуры должны быть определены индивидуальные роли, включая их описание, и цель. Для каждой роли должны быть строго определены ответственность и конкретные обязанности. Кроме того, должно быть установлено, кто и кому представляет индивидуальные отчеты и кто назначает на должность. Целью должно быть обеспечение того, что каждый специалист в организации понимает свою роль и обязанности, связанные с работами по ПСБ.

Следует установить требования к подготовленности и знаниям, необходимым для выполнения всех работ на жизненном цикле ПСБ, связанных с ПСБ; для каждого уровня подготовки следует определить уровни компетентности. Следует оценить имеющиеся и требуемые трудовые ресурсы (численность персонала) по каждому уровню подготовки и компетентности. В случае выявления различий между ними следует разработать календарные планы достижения необходимых уровней компетентности. Лица, ответственные за определенную стадию жизненного цикла, должны быть доступны на всем ее протяжении, чтобы поддерживать передачу квалификации и опыта работы в жизненном цикле. При нехватке подготовленных кадров может быть проведен дополнительный набор опытного персонала.

A.5.2.2.1 Дополнительные требования не предусмотрены.

A.5.2.2.2 Дополнительные требования не предусмотрены.

A.5.2.2.3 Дополнительные требования не предусмотрены.

A.5.2.3 Оценка и управление рисками

Требования, установленные в МЭК 61511-1:2016 (пункт 5.2.3), состоят в том, что должны быть выявлены опасности, оценены риски и определено необходимое снижение риска. Признано, что существует большое число различных методов для выполнения таких оценок. МЭК 61511-1:2016 не предлагает конкретного метода. Дополнительные указания даны в A.8.2.1 настоящего стандарта.

A.5.2.4 Планирование системы безопасности

Цель A.5.2.4 состоит в том, чтобы гарантировать, что в рамках всего проекта адекватное планирование системы безопасности было проведено так, что на каждой стадии жизненного цикла (например, техническое проектирование, эксплуатация) предусмотрены все необходимые действия. Настоящий стандарт не требует, чтобы такие действия по планированию имели какую-то конкретную структуру, но требует, чтобы они периодически дополнялись и критически оценивались.

A.5.2.5 Реализация и мониторинг

A.5.2.5.1 Цель МЭК 61511-1:2016 (пункт 5.2.5.1) - обеспечить, чтобы выполнялись такие эффективные процедуры управления, которые:

- гарантируют удовлетворительные решения по всем рекомендациям, вытекающим из анализа опасностей, из оценки риска, из других действий по оценке и проверке, а также из действий по верификации и подтверждению соответствия;

- позволяют установить, что ПСБ работает в соответствии с ее спецификацией требований к безопасности (СТБ) в течение ее эксплуатационного срока службы.

A.5.2.5.2 Необходимо отметить, что в данном контексте в состав поставщиков могут входить подрядчики, выполняющие проектирование, и подрядчики, обеспечивающие обслуживание, а также поставщики устройств. Аппаратное и программное обеспечение компонентов ПСБ должно изготавливаться под управлением признанной системы управления качеством, например в соответствии с серией стандартов ИСО 9000.

Следует периодически проводить критический анализ характеристик ПСБ, чтобы убедиться в том, что исходные допущения, принятые при составлении СТБ, сохраняются. Например, следует периодически оценивать интенсивность отказов различных устройств ПСБ, чтобы убедиться, что она остается на принятом исходном уровне. Если интенсивности отказов оказались хуже, чем первоначально определенные, то может понадобиться модификация проекта. Аналогично должна быть проанализирована интенсивность запросов на срабатывание ПСБ. Если интенсивность запросов окажется выше первоначально принятой, то может потребоваться уточнение УПБ.

A.5.2.5.3 Дополнительные требования не предусмотрены.

A.5.2.5.4 Дополнительные требования не предусмотрены.

A.5.2.6 Оценка, аудит и проверки

Проведение оценок и аудитов является средством, направленным на выявление и устранение ошибок. Приведенные ниже положения поясняют различие между этими двумя видами действий.

Оценка функциональной безопасности (ОФБ) имеет своей целью установить, являются ли меры предосторожности, принятые на рассматриваемых стадиях жизненного цикла, достаточными для достижения безопасности. Суждение выносят исполнители оценки в отношении решений, принятых лицами, ответственными за реализацию функциональной безопасности. Например, оценка, сделанная перед вводом в эксплуатацию, может быть посвящена вопросу о том, достаточны ли принятые процедуры обслуживания.

Аудиторы функциональной безопасности определяют по проектной или эксплуатационной документации, были ли выполнены необходимые процедуры с установленной частотой и лицами, обладающими необходимой компетентностью. Аудиторы не обязаны делать выводы о достаточности рассматриваемой ими работы. Однако если они осознают, что внесение изменений может принести дополнительные преимущества, то соответствующие сведения следует включать в отчет.

Необходимо отметить, что во многих случаях может быть пересечение между работой исполнителя оценки и аудитора. Например, аудитор может встретиться с необходимостью не только установить, получил ли оператор необходимую подготовку, но и вынести дополнительно суждение о том, привела ли подготовка к требуемому уровню компетентности.

A.5.2.6.1 Оценка функциональной безопасности (ОФБ)

Оценка функциональной безопасности (ОФБ) является основной процедурой, демонстрирующей, что ПСБ выполняет предъявляемые к ней требования, связанные с ее функциями безопасности и значениями УПБ. Основная цель такой оценки состоит в том, чтобы продемонстрировать с помощью независимой оценки процесса разработки системы его соответствие требованиям действующих стандартов и установившейся практике. Оценка ПСБ может быть необходима на различных стадиях жизненного цикла. Чтобы выполнить эффективную оценку, должна быть разработана процедура, которая определяет границы области применения этой оценки, вместе с указаниями по составу группы, выполняющей оценку.

Атрибутами хорошей установившейся практики ОФБ считаются следующие черты:

a) для каждой ОФБ должен быть сгенерирован план, определяющий область применения оценки, исполнителей оценки, их компетентность и информацию, которая должна быть получена в результате их работы;

b) ОФБ должна учитывать требования других стандартов и практического опыта, которые могут содержаться во внешних или внутренних корпоративных стандартах, в руководствах, процедурах или нормах и правилах. План ОФБ должен определять, что именно должно быть оценено в данной конкретной работе, системе или случае применения;

c) частота ОФБ может быть различной для разработок разных систем, но, как минимум, ОФБ всегда должна выполняться перед тем, как потенциальные опасности начнут действовать на систему. Некоторые компании предпочитают проводить ОФБ до выполнения стадии сборки/установки, чтобы предотвратить дорогостоящие переделки на более поздних стадиях жизненного цикла;

d) частоту и строгость проведения ОФБ следует определять с учетом таких факторов, как:

- сложность;

- значимость безопасности;

- предшествующий опыт, связанный с подобными системами;

- стандартизация конструктивных особенностей;

e) перед проведением ОФБ следует обеспечить наличие достаточных данных о результатах проектирования, монтажа, действий по верификации и подтверждению соответствия. Наличие достаточного количества данных само по себе может быть критерием оценки. Должно быть представлено подтверждение текущего или принятого состояния проекта или установки системы:

- следует обеспечить, чтобы исполнители ОФБ были в достаточной мере независимыми;

- исполнители ОФБ должны обладать опытом и знаниями в области соответствующей технологии и применения оцениваемой системы;

- систематический и непротиворечивый подход к ОФБ следует соблюдать на всем жизненном цикле и для всех систем. Само проведение ОФБ является субъективной деятельностью, поэтому для устранения субъективности, насколько это возможно, должно быть создано подробное руководство (возможно, с использованием контрольных листов), являющееся приемлемым для данной организации;

- методы контроля должны показать, что функции прикладного программного обеспечения (ППО) соответствуют требованиям, вытекающим из опасностей процесса;

- функциональные испытания, показывающие, что ППО исполняет требуемые функции и, насколько это возможно, любые дополнительные функции как в ППО, так и во встроенном ПО, не приводят к опасным условиям;

- структурное тестирование (см. A.12.5.3), показывающее, что ППО выполняет требуемые функции за необходимое время, а также идентифицирующее наличие каких-либо не тестируемых областей ППО, которые (из-за того, что не испытывались) могут привести к возникновению опасных условий;

- анализ функциональных отказов и анализ по методу "что если", позволяющие показать, что функции ППО не приводят к опасным условиям;

- процедуры, демонстрирующие обеспечение управления и верификации процесса разработки, а также использование правильных версий ППО и встроенного ПО;

- должны быть установлены процедуры и план аудита.

Документы, создаваемые в ходе ОФБ, должны быть полными, а сделанные в них заключения следует согласовать со всеми лицами, ответственными за руководство работами по функциональной безопасности ПСБ, до перехода к выполнению следующей стадии жизненного цикла.

Чтобы увеличить объективность оценки, к ней необходимо привлечь специалиста, не участвовавшего в проектировании. Имеется потребность в специалисте высокого уровня (например, по опыту, служебному положению), для того чтобы убедиться в том, что все спорные вопросы приняты во внимание и учтены. Также, как предлагается в МЭК 61511-1:2016 (подпункт 5.2.6.1.2, примечание), для некоторых крупных проектов или групп специалистов по оценке может оказаться необходимым иметь более одного старшего специалиста, независимого от группы разработчиков исходного проекта.

В зависимости от структуры компании и службы экспертизы внутри компании требование к независимости специалиста по оценке может быть выполнено путем привлечения внешней организации. Наоборот, другие компании, имеющие внутри себя организации, которые обладают опытом оценки и применения ПСБ, независимы и отделены (по управлению и по другим ресурсам) от лиц, ответственных за проект, могут использовать собственные ресурсы, удовлетворяющие требованиям независимой организации.

Объем работ по оценке зависит от размера и сложности проекта. Может оказаться возможным оценивать результаты различных стадий в одно и то же время. Это, в частности, справедливо в случаях внесения небольших изменений в текущий проект.

В некоторых странах ОФБ выполняют на стадии 3, которую часто называют предпроектным обзором безопасности (ППОБ). См. таблицу F.1, блок 10. Техническое задание для ОФБ должно быть согласовано на стадии планирования системы безопасности.

Группа специалистов, занятая оценкой, должна иметь доступ к любой информации, которую она считает необходимой для проведения оценки. В состав такой информации следует включать сведения, полученные при анализе опасностей и рисков, на стадиях разработки, монтажа, приемки и подтверждения соответствия.

A.5.2.6.1.1 Команда, выполняющая ОФБ, в некоторых случаях может состоять из одного человека, если этот человек обладает требующимися для этой деятельности навыками и опытом.

A.5.2.6.1.2 Число старших компетентных членов команды оценки может варьироваться в зависимости от размера приложения, охватываемых технологий, требований к коммуникациям (например, с пользователем/владельцем, интегратором, изготовителем), а также сроков проектирования.

Старший компетентный сотрудник должен обладать компетентностью в различных технологиях, которые могут быть использованы в приложении, применимых правилах и нормах, а также должен быть способен выполнять свою работу в установленные для проекта сроки.

A.5.2.6.1.3 Дополнительные требования не предусмотрены.

A.5.2.6.1.4 Дополнительные требования не предусмотрены.

A.5.2.6.1.5 Дополнительные требования не предусмотрены.

A.5.2.6.1.6 Инструментальные средства, используемые для проектирования, разработки, эксплуатации и обслуживания ПСБ, могут повлиять на полноту безопасности ПСБ, привнеся сбои в конечную систему. Такие средства могут привести к прямому "встраиванию" части своей функциональности в ПСБ (например, к появлению пользовательских библиотек, интерпретаторов) или же к тому, что они будут использоваться "в автономном режиме" (off-line), т.е. будут использоваться для генерации информации, которая может произвольно проверяться (например, средства вычисления переменных полей, средства для проведения испытаний). Такие средства также можно подсоединить к функционирующей ПСБ - например, в качестве средств обслуживания. Во всех таких случаях важно выявить возможные виды и последствия отказов, а также методы управления ими. Типичные подходы к управлению сбоями в инструментальных средствах включают:

- подтверждение прослеживаемости с национальными и международными стандартами (включая стандарты по калибровке и/или функциональные стандарты, в зависимости от характера средства);

- рассмотрение отчетов, содержащих опыт групп пользователей и накопленные данные предыдущего использования инструментального средства;

- анализ и функциональное тестирование результатов использования инструментального средства;

- использование принципа разнообразия для инструментальных средств разработки и/или испытания: например, использование кода, полученного от разных компиляторов, контроль результатов инструментального средства проектирования с помощью разных типов инструментальных средств проверки;

- инструментальное средство поставляется как составная часть устройства, удовлетворяющего требованиям МЭК 61508-2:2010 и МЭК 61508-3:2010.

В результате выполнения ОФБ будет проверена стратегия, которая должна быть направлена на поддержку целостности результатов инструментальных средств с учетом того, являются ли данные средства "встроенными" или "автономными", а также на получение заключения о том, был ли достигнут необходимый уровень доверия для этих инструментальных средств.

A.5.2.6.1.7 Дополнительные требования не предусмотрены.

A.5.2.6.1.8 Дополнительные требования не предусмотрены.

A.5.2.6.1.9 Дополнительные требования не предусмотрены.

A.5.2.6.1.10 Дополнительные требования не предусмотрены.

A.5.2.6.2 Аудит и проверка функциональной безопасности

a) Виды аудита

Проведение аудита ПСБ обеспечивает полезной информацией руководство предприятия, а также инженеров, занятых обслуживанием и разработкой устройств ПСБ. Это позволяет руководству быть активным участником и осведомленным о степени реализации и эффективности применяемых ПСБ. Существует много различных видов аудита. Реальный тип, масштаб и частота проведения аудита в любом конкретном случае должны отражать возможное влияние таких действий на полноту безопасности.

Видами аудита являются:

- инспекции;

- визиты для оценки безопасности (например, при обходе предприятия и разборе инцидента);

- обследование ПСБ (по анкете).

Следует различать наблюдения и проверки, с одной стороны, и действия по аудиту - с другой. Наблюдение и проверка направлены на оценку выполнения конкретных действий на жизненном цикле (например, контролер проверяет выполнение работы по обслуживанию перед тем, как устройство будет вновь включено в работу). В отличие от них действия по аудиту являются более обширными и концентрируются на полной реализации ПСБ на всех стадиях их жизненного цикла. Аудит должен включать в себя определение того, выполнена ли программа наблюдения и проверки.

Аудиты и инспекции могут быть выполнены силами собственного персонала компании, стройки, завода или проекта (например, внутренний аудит) или независимыми лицами (например, аудиторами компании, отделом обеспечения качества, контрольными органами, покупателями или третьими лицами).

Руководители различного уровня могут пожелать использовать соответствующие типы аудита, чтобы получить дополнительную информацию об эффективности внедрения ПСБ. Результаты аудитов могут быть использованы для определения неправильно выполняемых процедур, что приведет к улучшению их применения.

b) Стратегия аудита

Программы проведения аудита стройки, завода или проекта должны предусматривать повторяющиеся программы независимых и внутренних аудитов и контроля.

Повторяющиеся программы регулярно обновляются для отражения предыдущих характеристик и результатов аудита ПСБ, а также текущих проблем и приоритетов. Они охватывают все связанные со стройкой/заводом/проектом действия и аспекты ПСБ, относящиеся к соответствующим периоду времени и полноте.

Первостепенное основание и дополнительная ценность аудитов состоят в том, что их проведение обеспечивает своевременное получение информации. Действия, выполняемые в процессе аудита, имеют своей целью повысить эффективность ПСБ, например помочь минимизировать риск для работников и населения получить травму или погибнуть, способствовать повышению культуры безопасности, способствовать предотвращению любого возможного выброса вещества в окружающую среду.

В итоге стратегия проведения аудитов может иметь смешанный характер и устанавливаться руководством (заказчиком) так, чтобы играть роль обратной связи, дающей информацию, необходимую руководству для своевременных действий.

c) Процедура и протоколы аудита

Общая цель аудита заключается в достижении определенного уровня соответствия МЭК 61511-1 и извлечении максимума информации в ходе проведения аудита, что может быть достигнуто только при условии, что все стороны (включая аудиторов, кандидатов на участие, руководителей завода, руководителя отдела и т.д.) понимают необходимость каждого аудита и могут на него влиять. Последующее описание проведения процесса и протоколов аудита может помочь гарантировать некоторую последовательность в подходе к достижению этих целей. Эта последовательность состоит из следующих пяти ключевых стадий процесса проведения аудита:

1) стратегия и программа аудита:

- следует ясно определить цель проведения каждого аудита и назначить группы его исполнителей с указанием роли и ответственности каждой из таких групп;

- необходимо иметь стратегию аудита;

- следует составить программу проведения аудитов;

- необходимо регулярно пересматривать процедуры аудита, программы и стратегию его проведения;

2) подготовка и предварительное планирование аудита:

- прежде чем проводить аудит, руководитель высшего звена стройки, завода или проекта и/или соответствующий координатор аудита должны определить контактное лицо;

- аудиторам и контактному лицу следует на самой ранней стадии обсудить, понять и согласовать:

- границы области аудита;

- продолжительность проведения аудита;

- персонал, который следует привлечь;

- основополагающие документы аудита или стандарт для его проведения;

- необходимость дополнительных усилий на подготовительной стадии и привлечения заводского персонала для повышения шансов на успешный аудит;

- рекомендуется следующее распределение времени на каждую стадию проведения аудита:

- подготовка аудита - 30%;

- проведение аудита - 40%;

- составление отчета с замечаниями - 20%;

- завершение аудита - 10%;

- аудитору следует подготовить к проведению аудита руководящие материалы, процедуры, инструкции и т.п., а также данные и при необходимости контрольные листы;

- аудитор должен придавать особое значение и объяснять, какие изменения в области аудита могут произойти в ходе его проведения, если будут обнаружены серьезные замечания или ошибки;

3) проведение аудита:

- аудитор должен проводить свою работу непрерывно в течение нескольких дней, в пределах установленного для аудита периода времени, учитывая возможные отвлечения от работы персонала стройки, завода или проекта;

- в ходе проведения аудита следует периодически информировать контактное лицо о выявленных замечаниях, тем самым избегая возникновения непредвиденных обстоятельств по окончании работы;

- аудитору следует стараться привлечь заводской персонал к участию в процессе аудита, чтобы передать свои знания и понимание процессов заводскому персоналу и позволить ему принять участие в формировании заключений аудита;

- успех аудита в значительной степени зависит от стиля работы аудитора - он должен стараться быть полезным, конструктивным, вежливым, собранным и объективным;

- как минимум, аудитор должен стараться выполнить согласованные объемы и сроки работ; все необходимые изменения следует обсуждать;

4) составление отчета с замечаниями:

- аудитору следует провести заключительное заседание либо в конце проведения аудита, либо позже, но до выпуска итогового отчета;

- соответствующему руководству должна быть предоставлена возможность прокомментировать проект отчета и замечания, а также при желании обсудить их на заключительном заседании;

- нормальной практикой считается запрос плана действий стройки, завода или проектной организации, чтобы учесть замечания, включенные в отчет;

5) завершение аудита:

- отчеты по аудиту обычно требуют реакции в форме плана действий. Аудитор должен проверить, выполнен ли этот план удовлетворительно к установленной дате или к следующему аудиту в зависимости от обстоятельств;

- для проверки выполнения плана действий могут быть использованы соответствующие следящие системы стройки/завода/проекта;

- замечания каждой группы аудиторов следует периодически рассматривать и широко информировать о результатах этого рассмотрения;

- замечания и/или результаты аудитов могут быть использованы для пересмотра частоты их проведения и применены руководством как входная информация для анализа ПСБ.

A.5.2.6.2.1 Дополнительные требования не предусмотрены.

A.5.2.6.2.2 ОФБ может быть проведена силами собственного персонала компании, стройки, завода или проекта (например, внутренний аудит) или независимыми лицами (например, аудиторами компании, отделом обеспечения качества, контрольными органами, покупателями или третьими лицами). Дополнительные требования см. в МЭК 61508-1:2010 (таблицы 4 и 5).

A.5.2.6.2.3 МЭК 61511-1:2016 (пункты 5.2.6.3, 5.2.6.4 и 5.2.6.5) придает особое значение той роли, которую играет управление изменениями в процессах проведения аудитов. Если первоначальный анализ опасностей предусматривает слои защиты, не связанные с ПСБ, которые должны быть реализованы, например в ОСУП (основная система управления процессом), или процедурами оператора с выдачей аварийных сигналов, то любые изменения этих систем должны контролироваться, чтобы гарантировать, что они не снижают уровень защиты, обеспечиваемый слоями защиты, не связанными с ПСБ. При этом очевидно, что незначительные изменения номеров версий или модификаций систем в ПСБ или интерфейсных систем могут привести к проблемам несовместимости между ППО, встроенным ПО, аппаратными средствами (например, представьте, как сложно восстановить раннюю версию программы ПО). Поэтому очень важно обеспечить управление не только отдельными элементами, но и всей конфигурацией элементов в целом. В частности, версии ППО и ПО должны соответствовать версиям аппаратных средств, а также рабочим процедурам и интерфейсу, для которых оно было спроектировано.

A.5.2.6.2.4 Дополнительные требования не предусмотрены.

A.5.2.7 Управление конфигурацией ПСБ

A.5.2.7.1 Для управления и поддержания прослеживаемости устройств на всех стадиях их жизненного цикла может быть установлен механизм идентификации, управления и учета для моделей или версий каждого устройства.

На возможно ранней стадии жизненного цикла ПСБ каждому устройству следует присвоить уникальный объектный идентификатор. В некоторых случаях более ранние модели или версии устройств могут оставаться в эксплуатации и обслуживании. В качестве первого шага следует составить программу управления конфигурацией, которая может охватывать следующие аспекты:

a) обеспечение процедуры идентификации всех устройств на всех стадиях жизненного цикла;

b) уникальную идентификацию модели или версии и внутреннего статуса каждого изделия (включая встроенное и сервисное ПО и ППО) с указанием поставщика, даты и места применения, а также изменений модели или версии по отношению к исходной модели или версии;

c) идентификацию и отслеживание всех действий и изменений, проведенных по результатам замеченных отказов и выполненных аудитов;

d) управление вводом в эксплуатацию, определяющее статус и модель/версию соответствующих устройств;

e) меры безопасности, которые должны быть предприняты, чтобы обеспечить отсутствие неавторизованных перенастроек или изменений в действующих ПСБ;

f) определение версий каждой части ППО, которые в совокупности определяют законченное ППО;

g) обеспечение координации процесса добавления многочисленных ПСБ на одном или более объектах;

h) документально оформленную авторизацию ввода устройств в эксплуатацию;

i) авторизованный перечень подписей, допускающих ввод в эксплуатацию;

j) стадии или этапы, на которых устройства находятся под управлением конфигурацией;

k) управление соответствующей сопроводительной документацией;

l) определение для каждой модели/версии устройства:

- функциональной спецификации,

- технической спецификации;

m) ссылку на процедуру управления изменениями.

Должны быть определены все подразделения и/или организации, участвующие в руководстве и обслуживании ПСБ, а границы их ответственности заданы и понятны.

По существу, требования к управлению конфигурацией ППО не отличаются от требований к устройствам аппаратных средств системы. Тем не менее ППО чаще заслуживает более строго подхода, чем требуется для отдельного устройства аппаратных средств, так как:

- более "логическая", чем "физическая", сущность ППО такова, что его фактическую конфигурацию трудно "рассматривать" иначе как через сопроводительную документацию;

- его проще модифицировать (практика выпуска нескольких различных версий программы за один день является стандартной для программистов);

- функциональные возможности приложения полностью зависят от корректной работы ППО, что делает его корректность ключевым фактором для корректной работы ПСБ в целом;

- оно может выполняться по-разному в зависимости от различных версий ПЭС (программируемой электронной системы), изменений в интерфейсах для связи с внешним миром, различия в диапазонах ввода и вывода и даже в зависимости от различных версий собственных средств разработки ППО;

- оно может быть предназначено для определенного набора спецификаций, конфигурации сборки, подсистемы ПСБ, окружения и размещения, но при этом его можно отличить только по версии и ревизии в управляемой конфигурации.

В дополнение к стандартным требованиям к управлению конфигурацией для обеспечения идентификации, управления изменениями и версиями, а также для совместимости элементов, типичные аспекты, которые следует использовать для поддержания управления ППО, включают:

- использование встроенных в ППО кодов, обеспечивающих возможность загрузки этого ППО только в предназначенный для него узел (хост) аппаратных средств (это в особенности полезно там, где на различных участках может использоваться множество различных конфигураций);

- использование информации о версии, требующейся для выполнения авторизации известным полномочным органом или органами, перед тем как станет возможно загружать в ПСБ новые версии программы;

- ведение учета о статусе и версии всех элементов, используемых в разработке, испытании и обслуживании ППО, связь которых с имеющими значение спецификациями и результатами верификации, связанными с конфигурацией, можно полностью проследить;

- поддержание резервного копирования для обеспечения возможности возвращения системы в предыдущую конфигурацию;

- использование управляемых циклов модификаций, позволяющих организовывать изменения в определенных версиях. Преимуществом этого является то, что множество различных версий могут находиться в разработке на разных стадиях готовности и не взаимодействовать друг с другом, а также позволяют циклу испытаний обеспечить определенную версию некоторым уровнем стабильности до того, как она будет внедрена на участке.

A.5.2.7.2 Дополнительные требования не предусмотрены.

A.6 Требования к жизненному циклу системы безопасности

A.6.1 Цели

Функциональная безопасность, достигнутая для любого объекта процесса, зависит от удовлетворительного выполнения ряда действий. Цель применения систематической концепции жизненного цикла ПСБ к ПСБ состоит в том, чтобы все действия, необходимые для достижения функциональной безопасности, были выполнены и чтобы можно было показать другим, что они выполнены в правильном порядке. В МЭК 61511-1:2016 типичный жизненный цикл системы безопасности представлен на рисунке 7 и в таблице 2, требования к каждой стадии жизненного цикла приведены в МЭК 61511-1:2016 (разделы 8-18).

Настоящий стандарт признает, что установленные действия могут быть структурированы разными способами, обеспечивающими выполнение всех требований. Подобная реструктуризация может быть предпочтительной, если она позволяет добиться лучшей интеграции работ, связанных с безопасностью, в обычные проектные процедуры. Цель МЭК 61511-1:2016 (раздел 6) состоит в том, чтобы даже при использовании другого жизненного цикла ПСБ были определены входные и выходные данные для каждой стадии жизненного цикла и были включены все существенные требования.

A.6.2 Руководящие указания к "Требованиям"

A.6.2.1 Особое внимание должно быть обращено на то, чтобы заранее определить жизненный цикл ПСБ для той ПСБ, которую будут использовать. Опыт показывает, что здесь часто возникают проблемы, даже если эта работа хорошо и своевременно спланирована и получены согласования со всеми несущими ответственность лицами, подразделениями и организациями. В лучшем случае некоторые работы будут пропущены или потребуют переделки; в худшем случае безопасность может быть поставлена под угрозу.

Должна быть идентифицирована иерархия ответственности каждой стадии жизненного цикла и с ней должны быть ознакомлены все вовлеченные стороны (например, субпоставщики, специалисты по системной интеграции, конечные пользователи). В результате этого все должны быть осведомлены о своей ответственности о том, как их деятельность связана между собой и со стадиями жизненного цикла, а также о том, как каждая сторона вносит свой вклад в выполнение общих требований к функциональной безопасности и к полноте безопасности.

A.6.2.2 Хотя настоящий стандарт этого не требует, обычно полезно на самой ранней стадии сформировать предполагаемый жизненный цикл ПСБ совместно с этапами жизненного цикла проекта, включая перечень блоков, показанных на рисунке 7 МЭК 61511-1:2016, которые применяются в проекте. После того как это будет сделано, чтобы начать работу в рамках жизненного цикла ПСБ, следует рассмотреть определенную информацию вместе с вопросом о том, кто, вероятно, способен эту информацию предоставить, для того чтобы конкретный персонал можно было назначить ответственным за жизненный цикл системы безопасности. В некоторых случаях может оказаться невозможным установить точную информацию по отдельным позициям раньше, чем на поздних этапах разработки. В таких случаях может оказаться необходимым сделать оценки, основанные на предшествующем опыте, и затем подкрепить их более поздними данными. В подобной ситуации важно предусмотреть это в жизненном цикле ПСБ.

A.6.2.3 Другой важной частью планирования жизненного цикла системы безопасности является определение методов, которые будут применяться на каждой стадии. Определение таких методов важно потому, что часто приходится использовать специфические методы, которые требуют привлечения лиц или подразделений, обладающих уникальным умением или опытом. Например, в конкретном случае применения последствия отказа могут зависеть от максимального развиваемого давления; и единственный способ, которым его можно определить, состоит в том, чтобы разработать динамическую модель процесса. Требования к информации, необходимой для динамического моделирования, дадут важный импульс процессу разработки.

A.6.2.4 Поскольку детальное проектирование, верификация, подтверждение соответствия и доказательство о проведении испытания были выполнены на других стадиях жизненного цикла системы безопасности, то важно, чтобы после каждого изменения подтверждалось, что каждая стадия жизненного цикла безопасности системы остается неизменной, никаких новых опасностей не появляется и что приложение по-прежнему работает так, как от него требуется.

A.6.3 Руководящие указания к "Требованиям к жизненному циклу прикладной программы ПСБ"

A.6.3.1 Жизненный цикл ППО для ПСБ начинается на стадии 3 жизненного цикла ПСБ ("СТБ ПСБ") и заканчивается с ОФБ стадии 3.

Если жизненный цикл ППО системы безопасности соответствует требованиям МЭК 61511-1:2016 (таблица 3), то допускается подстраивать глубину, число и размер стадий V-модели (см. рисунок A.1) для учета полноты безопасности и сложности проекта.

Тип используемого языка ППО и близость языка прикладным функциям могут сказываться на области применения стадий V-модели. Если для проектирования, реализации, верификации и подтверждения соответствия ППО используются ЯОИ, такие как язык лестничных диаграмм или язык диаграмм функциональных блоков из МЭК 61131-3:2013, то применимы только два уровня стандартной V-модели ППО:

- "разработка прикладного модуля", которая в V-модели интерпретируется как проектирование и реализация новой функции, и

- "проверка прикладного модуля", которая интерпретируется как верификация и испытание новой функции.

В тех случаях, когда новая функция должна быть записана на ЯПИ и, таким образом, необходим более подробный процесс разработки ППО (т.е. кодирования), разработчику следует выполнить все стадии и процедуры жизненного цикла, установленные в МЭК 61508-3:2010. СТБ ППО может быть частью СТБ ПСБ.

A.6.3.2 Выбор методов и способов должен зависеть от определенных обстоятельств. Факторы, учитываемые в принятии этого решения, вероятно, будут включать:

- размер ППО;

- степень сложности;

- УПБ реализуемых функций безопасности ПСБ (ФБ ПСБ);

- степень стандартизации инструментальных средств проектирования (например, средства конфигурации);

- тип прикладного языка (например, язык функциональных схем из приложения B; причинно-следственная диаграмма на рисунке D.2 и в таблице F.14; линейно-лестничная логика на рисунке F.11).

Примеры методов и мер см. в A.12.6.2.

A.6.3.3 Дополнительные требования не предусмотрены.

A.7 Верификация

A.7.1 Цель

Цель верификации состоит в обеспечении того, что действия, предусмотренные планом верификации на каждой стадии жизненного цикла ПСБ, действительно выполнены и что требуемые выходные результаты стадии, будь это документация, аппаратное средство или ППО, реализованы и соответствуют своим целям как конечным результатам стадий.

A.7.2 Руководящие указания к "Требованиям"

A.7.2.1 МЭК 61511-1:2016 признает, что организации будут иметь свои собственные процедуры верификации, и не требует, чтобы они всегда выполнялись одинаковым способом. Напротив, смысл МЭК 61511-1:2016 (раздел 7) состоит в том, что все действия по верификации планируются заблаговременно, вместе с любыми другими процедурами, мероприятиями и методами, которые должны применяться.

ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1

Рисунок А.1 - V-модель прикладной программы

A.7.2.2 Для того чтобы обнаружить и устранить ошибки, уже существующие в программах, рекомендуется проводить верификацию на всем жизненном цикле разработки. Вообще говоря, для того чтобы обеспечить проверяемость, рекомендуется, чтобы спецификации испытаний интеграции ППО были рассмотрены еще в ходе стадий проектирования и разработки. Область применения испытаний должна учитывать испытания, проводившиеся прежде.

Успешное завершение стадии должно подтверждаться с помощью верификации на каждой отделенной стадии цикла разработки ППО (включая, испытание). В общем случае верификацию проводит специальная группа, которая может состоять из одного или более человек (в зависимости от потребностей приложения).

Для снижения числа ошибок путем заранее принятых разумных ориентиров верификация должна проводиться квалифицированным участником, являющимся экспертом, не участвующим в разработке кода приложения, и в случае приложений с УПБ 3, участником, который представляет независимый отчет.

Если инструментальные средства разработки ППО включают некоторые автоматические операции верификации [например, проверку на повторное использование тэгов (имен переменных)], то группе верификации следует подтвердить, что такие средства используются должным образом и получаемые результаты правильны.

При любом УПБ рекомендуется, чтобы объем проверок охватывал все функции безопасности ПСБ, реализуемые ППО, и реакции ПСБ на все виды отказов (например, отказ питания, отказ процессора, отказ входного или выходного устройства и отказ коммуникаций). Однако для дальнейшего снижения количества любых ошибок, оставшихся в ППО, рекомендуется для более высоких значений УПБ проводить следующие дополнительные испытания:

- испытания, базирующиеся на особенностях внутренней структуры (например, внутренние алгоритмы, внутренние состояния);

- "стрессовое тестирование" (например, при значениях входных и/или внутренних переменных вне рабочих диапазонов, при неверных комбинациях входных сигналов, при неправильных последовательностях и нагрузках).

При любых УПБ рекомендуется, чтобы документация для выполнения верификации и тестирования отображала то, что верификация и тестирование были выполнены и были успешными. Также рекомендуется:

- чтобы документация позволяла проведение оценки адекватности верификации и тестирования;

- чтобы документация позволяла бы независимому специалисту повторить испытания и оценить их достаточность.

Верификация данных включает подтверждение того, что данные, используемые ППО, правильны и, где необходимо, уникальны (например, что имена индексам присвоены уникально, что данные не используются последующими функциями ошибочно и что константы, устанавливающие значение для аварийной сигнализации, актуальны и правильны).

Верификация защиты от несанкционированного изменения могла бы включать проверку того, что соответствующие механизмы (например, защита паролем с уровнями доступа) предусмотрены и используются адекватно.

Система процесса может иметь одну или несколько встроенных систем, соответствующих разным стандартам (например, МЭК 62061:2005 для машинного оборудования, NFPA 85:2015 для печей). Требуется аккуратная интеграция оборудования, ППО и встроенного ПО. Достигнуть этого можно, например, если для систем, не связанных с промышленным процессом (т.е. для систем, которые должны соответствовать другим стандартам, таким как стандарты по машинному оборудованию, печам и т.п.), выполнять анализ опасностей и рисков как для промышленного оборудования, с целью обеспечения идентификации всех возможных опасностей и предоставления любой дополнительной идентифицированной защиты.

A.7.2.3 Дополнительные требования не предусмотрены.

A.7.2.4 Дополнительные требования не предусмотрены.

A.7.2.5 Когда жизненный цикл ППО достигнет стадий верификации и испытания, то любые изменения или модификации ППО могут искажать любые результаты, полученные на предыдущей стадии. Одним из способов решения этой проблемы является повторение всего жизненного цикла с самого начала, но это дорогостоящий способ, который привносит задержки в программу и почти в каждом случае предполагает большой объем совсем необязательной работы. Вместо этого с помощью анализа влияний следует идентифицировать области, которые могли пострадать, и сосредоточить усилия на обеспечении повторного подтверждения соответствия этих областей.

A.7.2.6 Важно, чтобы результаты верификации были пригодны для того, чтобы можно было показать, что на всех стадиях жизненного цикла ПСБ была проведена эффективная верификация.

A.8 Анализ опасностей и рисков процесса

A.8.1 Цели

Основная цель состоит в том, чтобы установить необходимость применения функций безопасности и соответствующие целевые меры отказов, которые необходимы, чтобы гарантировать безопасность процесса. Функции безопасности распределяются по слоям защиты в соответствии с требованиями раздела 9 МЭК 61511-1:2016. Обычно промышленные технологические процессы обеспечиваются несколькими слоями безопасности так, чтобы отказ одного слоя не вызывал или не допускал опасных последствий на другом слое. Типичные слои защиты представлены на рисунке 9 МЭК 61511-1:2016.

A.8.2 Руководящие указания к "Требованиям"

A.8.2.1 Требования к проведению анализа опасностей и рисков устанавливаются только в терминах результатов. Это означает, что организация может использовать любой метод, который она считает эффективным и обеспечивающим результаты в виде ясного описания функций безопасности и соответствующих целевых мер отказов.

При проведении анализа опасностей и рисков следует устанавливать и рассматривать опасные события, которые могли произойти во всех обоснованных предсказуемых случаях (включая условия появления отказов и обоснованно предсказуемое неправильное применение). Следует рассмотреть прошлые инциденты, включая их причины, системные отказы и то, что было извлечено из уроков предотвращения повторения этих инцидентов.

Предварительный анализ опасностей и рисков в типичном проекте для промышленных процессов следует выполнять на ранней стадии разработки основных проектных решений для процесса. На этой стадии принимается допущение о том, что опасности устранены или снижены до практически разумного предела путем применения принципов внутренней безопасности и хорошей инженерной практики (эти действия по снижению опасности лежат вне области применения МЭК 61511). Для ПСБ такой предварительный анализ опасностей и рисков важен потому, что создание, проектирование и реализация ПСБ являются сложными задачами и могут потребовать длительного времени. Другая причина, требующая более раннего выполнения этой работы, состоит в том, что информация о структуре системы потребуется до того, как будут разработаны блок-схемы базового процесса и его автоматизации.

Если построена технологическая карта процесса и доступны все исходные данные технологического процесса, то для выполнения предварительного анализа опасностей и рисков обычно бывает достаточно этой информации. Необходимо признать, что в проекте могут появиться дополнительные опасные события, так как далее выполняется детальное проектирование. Поэтому после завершения построения технологической карты основного процесса и схемы его автоматизации может потребоваться окончательный анализ опасностей и рисков. Этот окончательный анализ обычно проводится с помощью формальной и полностью документируемой процедуры, такой как исследование опасности и работоспособности (HAZOP - см. МЭК 61882:2003). Она должна подтвердить, что разработанные слои защиты адекватно обеспечивают управление рисками на предприятии. В ходе этого окончательного анализа необходимо рассмотреть, не приводят ли отказы слоев защиты (или успешные активации слоев защиты) к каким-либо новым опасным событиям или запросам, и установить на этой стадии, не появилась ли необходимость введения новых функций безопасности. Другим более вероятным результатом является выявление дополнительных причин, которые приводят к опасным событиям, уже определенным на предварительной стадии. В таких случаях необходимо рассмотреть, нужна ли какая-либо коррекция функций безопасности и требований к целевым мерам отказа, установленным при предварительном анализе.

Подход, применяемый для выявления опасных событий, зависит от рассматриваемого случая применения. Для некоторых простых процессов, по которым имеется большой опыт эксплуатации типовых разработок, таких как простые морские устьевые (нефтегазодобывающие) вышки, может оказаться эффективным использование ранее разработанных промышленных вопросников (например, анкеты анализа безопасности, приведенные в ИСО 10418:2003 и API RP 14C:2001). Если проект более сложен или рассматривается новый процесс, то может оказаться необходимым применение более строгого подхода (например, по ИСО 31000:2009).

Примечание - Дополнительная информация о выборе соответствующих методов приведена в ИСО 17776:2000 "Petroleum and natural gas industries - Offshore production installations - Guidelines on tools and techniques for hazard identification and risk assessment".

При рассмотрении последствий событий, связанных с конкретными опасными событиями, следует проанализировать все возможные результаты события, а также частоту возникновения события с учетом вкладов в каждый результат. Ни один из ожидаемых результатов не должен игнорироваться или исключаться. Воздействие на трубопроводы или емкости давления, превышающего проектное, не всегда будет приводить к катастрофическим потерям содержимого. Во многих случаях оборудование будет подвергаться испытаниям давлением, превышающим проектное, и единственным последствием может быть утечка воспламеняющегося вещества, приводящая к возможности возгорания. При оценке последствий следует проконсультироваться с лицами, ответственными за механическую целостность установки. Им следует учесть не только исходные процедуры испытаний давлением, но и испытания на коррозию, если предусмотрена программа борьбы с ней. Если оценки последствий базируются на таких допущениях, то важно, чтобы это было ясно заявлено, чтобы соответствующие процедуры были включены в систему управления безопасностью.

При дальнейшем рассмотрении последствий следует оценить число лиц, которые могут подвергаться конкретной опасности. Надо быть внимательным при использовании такого статистического подхода, так как он не будет справедлив во всех случаях - в таких, где опасность существует только во время запуска оборудования, когда необходимый штат сотрудников всегда присутствует. Во многих случаях оперативный и обслуживающий персонал будет находиться в опасной зоне только изредка, и это обстоятельство можно принять во внимание при прогнозировании последствий. При использовании подобного статистического подхода необходимо проявлять осторожность, так как он может быть применим не во всех случаях, в таких, например, когда опасное событие существует в период запуска, а персонал часто присутствует. Следует также обратить внимание на возможное увеличение численности людей, находящихся вблизи от опасного события, для исследования влияния симптомов разрастающегося события.

Должны быть оценены предполагаемые режимы работы промышленного процесса, в том числе запуск, постоянная работа, останов, обслуживание, циклы очистки. В ходе каждого из предназначенных режимов работы промышленного процесса следует учитывать обоснованно предсказуемые источники запросов на срабатывание ПСБ, такие как отказы оборудования, системы управления, других слоев защиты, ошибки обслуживания, ручное вмешательство (например, в функцию управления ОСУП в режиме ручного управления) и потеря ресурсов (например, сжатого воздуха, охлаждающей воды, сжатого азота, электроэнергии, пара, отходящего тепла и т.д.).

При рассмотрении частоты запросов в некоторых сложных случаях может потребоваться провести анализ дерева ошибок. Это часто бывает необходимо, когда серьезные последствия являются результатом одновременных (или последовательных скрытых) отказов, вызванных более чем одним событием (например, когда предохранительный коллектор не рассчитан на срабатывание по наихудшему случаю из всех источников). Требуется принять решение о том, следует ли включать ошибки оператора в список причин, способных привести к идентифицированным опасным событиям, и какое значение частоты должно использоваться для таких событий. Необходимо также быть осторожным в тех случаях, когда принимается снижение частоты запросов за счет действий оператора. Такое допущение ограничивается возможностями человека (человеческим фактором) - скоростью выполнения необходимых действий и сложностью решаемых задач. При допущении числа действий оператора более десяти раз в год следует проводить анализ надежности персонала. Если принимается, что снижение риска происходит более чем в 10 раз, то система должна проектироваться в соответствии с МЭК 61511-1:2016. В таком случае система, выполняющая функцию безопасности, будет включать в себя датчик, определяющий появление опасной ситуации, воспроизведение аварийной сигнализации, ответное действие оператора и оборудование, используемое оператором для прекращения любой ненормальной ситуации. Следует отметить, что снижение риска менее чем в 10 раз может быть принято без необходимости соответствия МЭК 61511. Если принимается такое допущение, то следует тщательно рассмотреть возможности человеческого фактора. Любые требования по снижению риска с помощью слоя защиты аварийной сигнализации должны быть подкреплены документально оформленным описанием необходимой реакции на сигнализацию и обоснованием того, что оператор имеет достаточно времени для корректирующего действия, а также уверенностью в том, что оператор подготовлен (изначально и с повторением обучения) к выполнению защитных действий.

Система аварийной сигнализации может быть использована как способ снижения риска путем снижения частоты запросов к ПСБ или в качестве отдельного слоя защиты, снижающего общий риск такого сценария. При проектировании такой системы аварийной сигнализации необходимо учесть следующее:

- датчик, применяемый в системе сигнализации, и исполнительные элементы, воздействующие на процесс, не используются для целей управления, если потеря управления приводит к запросу на срабатывание системы аварийной сигнализации. Это происходит в тех случаях, когда не был проведен анализ, указывающий на допустимость общего уровня риска. Следует рассмотреть проблемы отказов по общей причине и общего вида;

- датчик, применяемый в системе сигнализации, и исполнительные элементы, воздействующие на процесс, не заявляются как снижающая риск часть ПСБ для тех же опасных событий, если во время анализа снижения риска не учитываются отказы по общей причине;

- ограничения на снижение риска, которые можно требовать при проектировании и управлении системой аварийной сигнализации, такие как условия для защиты доступа, управление изменением и контроль, предупредительное обслуживание и испытание.

Примеры способов, которые могут применяться при установлении УПБ для ПСБ, даны в МЭК 61511-3:2016, где содержатся также указания о том, что следует рассмотреть при выборе метода, используемого в конкретном случае применения.

При установлении того, требуется ли снижение риска, необходимо располагать заданными характеристиками безопасности процесса и окружающей среды. Они могут быть установлены для конкретного объекта или эксплуатирующей компании и будут сравниваться с уровнем риска, существующим при отсутствии дополнительных функций безопасности. После установления потребности в сокращении риска следует рассмотреть, какие функции требуется выполнить, чтобы вернуть процесс в безопасное состояние. Теоретически функции могут быть описаны в общем виде без ссылки на конкретную технологию. Например, в случае защиты от превышения давления функция может быть определена как предотвращение того, что давление превзойдет установленное значение. Тогда такая функция может быть выполнена как предохранительным клапаном, так и ПСБ. Если функция описана в общем виде, то выбор используемого способа ее реализации будет проведен на следующем этапе жизненного цикла (распределение функций безопасности ПСБ по слоям защиты). На практике в зависимости от выбранного типа системы функциональные требования будут различными, поэтому данная и следующая стадии в некоторых случаях могут быть объединены.

Подводя итог, можно сказать, что в ходе анализа опасностей и рисков необходимо рассмотреть следующее:

a) каждое определенное опасное событие и последовательность событий, которые их составляют;

b) последствия и возможность появления последовательностей событий, вызванных каждым опасным событием; они могут быть выражены количественно или качественно;

c) дополнительные требования не предусмотрены;

d) необходимость снижения риска для каждого опасного события;

e) меры, предпринимаемые для снижения или устранения опасностей и рисков;

f) допущения, принятые в ходе анализа рисков, включая оценки интенсивностей запросов и отказов оборудования; должно быть подробно раскрыто любое допущение, принятое для эксплуатационных ограничений или вмешательств человека;

g) дополнительные требования не предусмотрены;

h) ссылки на ключевую информацию о связанных с безопасностью системах на каждой стадии жизненного цикла ПСБ (например, в работах по верификации или оценке соответствия).

Используемую информацию и получаемые результаты, составляющие анализ опасностей и рисков, следует оформлять документально.

Может оказаться необходимым повторить проведение анализа опасностей и рисков на различных стадиях полного жизненного цикла ПСБ по мере того, как принимаемые решения и доступная информация становятся более совершенными. Следует периодически повторно подтверждать соответствие с помощью анализа опасностей и рисков и документально оформлять его проведение для обеспечения соответствия предположений реальному опыту эксплуатации [см. МЭК 61511-1:2016 (подпункт 5.2.5.3)] и текущему плану управления безопасностью [см. МЭК 61511-1:2016 (подпункт 5.2.5.1)].

A.8.2.2 ОСУП включает в себя все устройства, необходимые для управления промышленным процессом и соответствующим оборудованием желаемым образом [см. МЭК 61511-1:2016 (пункт 3.2.3)]. Устройства ОСУП, как правило, не квалифицированы в соответствии с МЭК 61511-1:2016 (пункт 11.2.4), что не позволяет допускать интенсивность опасных отказов меньше 10ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1 в час.

Для промышленных процессов важной причиной запросов, которые должны быть рассмотрены при анализе опасностей и рисков, является отказ ОСУП. Необходимо отметить, что отказ ОСУП может быть вызван всем, от чего зависит корректная работа ОСУП: например, датчиком, клапаном, ошибкой оператора или логическим решающим устройством.

МЭК 61511-1:2016 устанавливает ограничение на интенсивность опасных отказов для самой ОСУП как инициирующего источника до 10ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1 в час, если ОСУП не создавалась в соответствии с требованиями настоящего стандарта. Причина данного ограничения состоит в том, что система управления функциональной безопасностью, представленная в МЭК 61511-1:2016, и предписанные в ней меры и способы необходимы для снижения вероятности возникновения систематических отказов до достаточно низкого уровня, чтобы заявленная интенсивность опасных отказов поддерживалась на уровне меньше 10ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1 в час. Такое ограничение обеспечивает, что высокие доверительные уровни не относятся к ОСУП, которые не отвечают требованиям МЭК 61511-1:2016.

A.8.2.3 Дополнительные требования не предусмотрены.

A.8.2.4 Дополнительные требования см. в ISA TR84.00.09:2013.

A.9 Распределение функций безопасности по слоям защиты

A.9.1 Цели

Для того чтобы определить потребность в ФБ ПСБ и соответствующие требования к их УПБ, важно рассмотреть запланированные (или установленные) слои защиты и насколько они снижают риски. Если необходим слой защиты ПСБ, то следует определить значение УПБ для каждой функции (или функций) безопасности ПСБ, распределенной для этой ПСБ.

A.9.2 Руководящие указания к "Требованиям к процессу распределения"

A.9.2.1 Первое требование состоит в том, чтобы идентифицировать используемые слои защиты и распределить снижение риска по функциям безопасности ПСБ. На практике часто функции безопасности распределяются только по ПСБ, в которых существуют проблемы применения разработок с внутренне присущей им безопасностью или систем, использующих другие технологии.

Примерами таких проблем являются ограничения, связанные с воспламеняемостью или защитой от экзотермических реакций. Любое решение по использованию приборных систем вместо традиционных подходов, таких как предохранительные клапаны, требуется подкрепить разумными доводами, которые покажутся вескими для надзорных органов.

Как указывалось выше, действия по анализу опасности и риска и по распределению могут выполняться параллельно либо распределение может при некоторых обстоятельствах выполняться перед анализом опасности и риска. Решения по распределению функций безопасности ПСБ по слоям защиты часто принимаются на основе практического опыта организации-пользователя. Следует также учесть хорошую установившуюся промышленную практику. Решения, принимаемые по ПСБ, должны допускать наличие других слоев защиты. Например, если установлены предохранительные клапаны и они спроектированы и смонтированы в соответствии с промышленными нормами, то может быть решено, что их достаточно для достижения адекватного снижения риска. ПСБ в таких случаях будут только ограничивать давление на уровнях, при которых размер или качество работы предохранительного клапана (клапанов) будут для данного применения недостаточны или будут лишь предотвращать выбросы в атмосферу

A.9.2.2 Дополнительные требования не предусмотрены.

A.9.2.3 Если для реализации функции безопасности назначена ПБС, то необходимо будет учитывать режим ее реализации - с низкой частотой запросов или с высокой частотой запросов/непрерывный режим. В промышленных процессах функции безопасности часто реализуется режим с низкой частотой запросов, при котором частота запросов, как правило, невелика. Для таких случаев подходит таблица 4, приведенная в МЭК 61511-1:2016. Встречается также растущее число приложений, работающих в режиме с высокой частотой запросов, для которых более подходящим является режим работы с непрерывным запросом, так как опасные события, как правило, случаются, как только происходит отказ функционирования ПСБ. Для таких случаев применим МЭК 61511-1:2016 (таблица 5). Случаи режима работы с непрерывным запросом, в которых отказ привел бы к непосредственной опасности, редки. Функции управления горелкой или скоростью турбины могут относиться к приложениям, функционирующим в режиме с непрерывным запросом, которые должны соответствовать МЭК 61511-1:2016, если требующаяся средняя интенсивность отказов (для достижения указанной интенсивности опасных событий) меньше чем 10ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1 в час.

МЭК 61511-1:2016 (таблица 4) определяет значения УПБ, выраженные в значениях средней вероятности отказа при наличии запроса (ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1). Заданное значение ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1 определяется требуемым сокращением риска, которое, в свою очередь, может быть найдено путем сравнения риска процесса без ПСБ с величиной допустимого риска. Его можно определить в количественной или качественной форме способами, приведенными в МЭК 61511-3:2016.

МЭК 61511-1:2016 (таблица 5) устанавливает УПБ, выраженный в значениях средней частоты опасных отказов при выполнении функции безопасности ПСБ. Эта частота будет определяться приемлемой интенсивностью отказов ПСБ с учетом последствия отказа в конкретном случае применения. Если для определения требуемого УПБ используется таблица 5 МЭК 61511-1:2016, то его целевое значение базируется на частоте опасных отказов ПСБ. При применении таблицы 5 МЭК 61511-1:2016 некорректно преобразовывать частоту опасных отказов в вероятность их появления при наличии запроса, используя интервал контрольной проверки или интенсивность запросов. Хотя при таком преобразовании единицы измерения могут казаться правильными, оно будет ошибочным и может привести к некорректному преобразованию таблицы 5 МЭК 61511-1:2016 и неполной спецификации требований, предъявляемых к УПБ функций безопасности.

Заданные значения средней вероятности отказов при наличии запроса или частоты опасных отказов применяются к ФБ ПСБ, а не к отдельным компонентам, устройствам или подсистемам ПСБ. Компонента, устройство или подсистема (например, датчик, логическое решающее устройство, исполнительный элемент) не могут иметь УПБ, установленные вне их связи с конкретной ПСБ. Однако компонент может обладать стойкостью к систематическим отказам, которая относится к мерам и способам, применяемым для снижения вероятности возникновения систематических ошибок, приводящих к опасным отказам ПСБ.

Результатом работ по анализу опасности и риска и распределению требований должно быть ясное описание функций, которые будут выполнены защитными слоями. В случае ПСБ подобное описание должно включать в себя режим работы, т.е. непрерывный, с высокой или низкой частотой запросов, а также требования УПБ для всех ФБ ПСБ. Такое описание формирует основу для составления СТБ ПСБ. Описание функций безопасности должно быть ясным настолько, насколько это необходимо для понимания функциональных требований и требований полноты безопасности.

На данной стадии реализации нет необходимости определять структуру для подсистем датчиков и клапанов. Решения по таким структурам достаточно сложны, и определение, требует ли конкретная подсистема датчиков голосующую группу 2oo3, а подсистема клапанов - голосующую группу 1oo2, будет зависеть от многих факторов.

A.9.2.4 Необходимо полностью понимать смысл таблиц 4 и 5, приведенных в МЭК 61511-1:2016. В частности, значения ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1, которые могут быть приняты для одиночной ФБ ПСБ, ограничены пределом 10ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1, что связано со снижением риска в 10ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1 раз (УПБ 4). Анализ безотказности может показать, что достижение интенсивности случайных отказов технических средств, не превышающей 10ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1, возможно, но в МЭК 61511-1:2016 принимается, что систематические отказы и отказы по общей причине будут ограничивать реально достигаемое сокращение рисков. Настоятельно рекомендуется, чтобы в тех случаях, когда анализ риска показывает необходимость столь значительного снижения риска, была бы принята во внимание трудность достижения УПБ 4 для ФБ ПСБ в секторе промышленных процессов. При этом следует рассмотреть возможность устранения или сокращения опасности у ее источника за счет внедрения не основанных на ПСБ мер снижения вероятности возникновения причин опасных событий или использования нескольких независимых ФБ ПСБ с более низким уровнем полноты безопасности. Для случаев использования нескольких ФБ ПСБ следует учитывать зависимость одних ФБ ПСБ от других, включая влияние синхронной контрольной проверки. Один из методов рассмотрения этого влияния заключается в применении комплексного подхода к моделированию общей системы [см. МЭК 61511-3:2016 (приложение J)].

A.9.2.5 Дополнительные требования не предусмотрены.

A.9.2.6 Чтобы достичь более высоких уровней снижения риска (например, превышающих 10ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1), можно использовать несколько ФБ ПСБ. При этом важно, чтобы каждая из ФБ ПСБ могла независимо выполнять функцию безопасности и чтобы независимость между ФБ ПСБ была достаточно обоснованной.

Кроме того, при использовании нескольких ФБ ПСБ следует учитывать отказы по общей причине. При этом должны выполняться все остальные требования, установленные в МЭК 61511-1:2016, включая требования к минимальной отказоустойчивости, приведенные в МЭК 61511-1:2016 (таблица 6).

Чтобы проиллюстрировать, как можно совместно использовать несколько ФБ ПСБ для достижения более высоких уровней снижения риска, рассмотрим следующий пример.

Пусть комплект датчиков, соединенных по схеме "2 из 3", группа логических устройств со структурой "2 из 3" и соединение исполнительных устройств "1 из 2" образуют ФБ ПСБ, имеющую ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1, равную 3,05·10ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1. Такая ФБ ПСБ дает снижение риска, равное приблизительно 3,3·10ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1.

Было бы неправильно предполагать, что совместное использование двух таких систем приведет к сокращению риска, равному 10·10ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1 (3,3·10ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1·3,3·10ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1). Факторы, связанные с общими причинами, такие как применение аналогичных принципов действия, разработка обеих систем по той же самой функциональной спецификации, человеческие факторы (например, программирование, монтаж, обслуживание), внешние факторы (например, коррозия, закупоривание, замерзание воздухопроводов, попадание молнии), а также зависимости, вызванные синхронизированной контрольной проверкой, будут ограничивать качество работы системы. Необходимо также принимать во внимание любые компоненты, используемые этими двумя системами совместно.

Более подходящим решением могло бы быть использование второй нерезервированной системы, построенной на устройствах, отличающихся от применяемых в первой системе настолько, насколько это возможно (чтобы свести к минимуму проблемы, связанные с потенциально существующими общими причинами). Тем не менее использование различающихся компонентов, может усложнить процесс обслуживания. Должен быть проведен тщательный анализ для выбора наилучшего решения для конкретного приложения.

Более подробное руководство по оценке зависимости и общих причин между слоями защиты приведено в МЭК 61511-3:2016 (приложение J).

A.9.2.7 Руководство по оценке зависимостей и влияния общих причин между слоями защиты приведено в МЭК 61511-3:2016 (приложение J).

A.9.2.8 Дополнительные требования не предусмотрены.

A.9.2.9 Дополнительные требования не предусмотрены.

A.9.3 Руководящие указания к "Требованиям к основной системе управления процессом как к слою защиты"

A.9.3.1 ОСУП при определенных условиях может считаться слоем защиты.

ФБ ПСБ не могут быть реализованы в ОСУП, если ОСУП не была спроектирована в соответствии с МЭК 61511-1:2016. В МЭК 61511-1:2016 (пункт 11.2.4) установлено: "Если не предполагается квалифицировать ОСУП как удовлетворяющую комплексу стандартов МЭК 61511, то ПСБ должна быть спроектирована так, чтобы ОСУП была отделена и независима до такой степени, чтобы не нарушалась полнота безопасности ПСБ". Для проектирования и управления ОСУП как ПСБ требуется применение требований к ее жизненному циклу, представленных в МЭК 61511-1:2016, включая требования к анализу опасностей и рисков, проектной документации, управлению функциональной безопасностью, подтверждению соответствия изменений и управлению изменениями.

Если не выполнены требования МЭК 61511-1:2016 (пункты 9.3.4 и 9.3.5) и не проведен дополнительный количественный анализ риска в соответствии с МЭК 61511-1:2016, то сокращение риска может быть распределено только на один слой защиты ОСУП. Подобный анализ нетривиален и включает в себя подробную оценку всего проекта ОСУП целиком, включая оборудование, программное обеспечение, коммуникации, источники питания, интерфейсы и т.п. Такой анализ, как минимум, должен учитывать целостность оборудования, разделение слоев защиты для предотвращения отказов по общим причинам, управление систематическими ошибками прикладного программирования, защиту доступа к аппаратному и программному обеспечению, управление изменениями, взаимодействия операторов, управление конфигурацией и периодическое подтверждение соответствия.

Если предполагается использование защитного слоя ОСУП, то следует провести оценку проекта и управления ОСУП для обеспечения такой вероятности возникновения отказов по общей причине, отказов общего типа и систематических отказов между слоем защиты ОСУП и инициирующим источником, а также между защитным слоем ОСУП и другими защитными слоями, которая является достаточно низкой по сравнению с общими требованиями к сокращению риска ОСУП.

A.9.3.2 Снижение риска менее чем в 10 раз может быть поручено защитным слоям ОСУП, без необходимости выполнять ее в соответствии с требованиями МЭК 61511-1:2016. Это позволяет использовать ОСУП для некоторого снижения риска без необходимости обеспечивать соответствие таких слоев защиты требованиям МЭК 61511-1:2016.

Заявленное для защитного слоя ОСУП снижение риска ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-110 следует обосновать путем анализа возможностей ОСУП по снижению риска (выполненного с помощью анализа безотказности или используя данные о прежнем использовании) и анализа процедур, используемых для конфигурирования, модификации и режимов эксплуатации и обслуживания.

Любой защитный слой ОСУП должен быть документально оформлен в функциональной спецификации, описывающей проектирование, обслуживание, контроль, проверку и работу ОСУП для достижения распределенного снижения риска.

Сбои, связанные с устройствами защитного слоя ОСУП, могут быть выявлены при выполнении процесса, автоматизированной диагностике, во время действий по обеспечению механической работоспособности или при инициации другого опасного события, но не того, где этот слой используется для снижения риска. Обнаружение сбоя должно привести к тому, что защитный слой ОСУП выполнит заданное действие для достижения или поддержания безопасного состояния. Заданное действие (реакция на сбой), требующееся для достижения или поддержания безопасного состояния, может состоять, например, из безопасного прекращения процесса (или той части процесса, которая полагается на неисправную подсистему ПСБ в снижении риска) или из определенной компенсирующей меры, обеспечивающей безопасную работу, пока завершаются ремонтные работы. Реакция на сбой должна быть реализована за время меньшее, чем время безопасности процесса.

Если распределение требований по снижению риска затрагивает защитный слой ОСУП, то важно обеспечить безопасность доступа и управление изменениями. Для управления доступом к защитному слою в ОСУП и его модификацией должно использоваться административное управление. Для обхода защитного слоя ОСУП (например, перевода функции ОСУП в ручной режим) требуется подтверждение, а компенсирующие меры должны быть готовы к использованию до осуществления обхода, чтобы обеспечить поддержание требующегося снижения риска. Должны быть предоставлены средства для подтверждения соответствия функций защитного слоя после того, как в ОСУП были внесены изменения, способные повлиять на работу защитного слоя ОСУП.

A.9.3.3 Дополнительные требования не предусмотрены.

A.9.3.4 Снижение риска, которое может быть возложено на защитный слой ОСУП, также ограничено степенью независимости между защитным слоем ОСУП, другими защитными слоями и источником опасного события.

Подробный анализ всей ОСУП в целом должен продемонстрировать, что устройства управления и защитные устройства в ОСУП достаточно независимы и разделены, причем настолько, что можно было бы сделать вывод, что вероятность того, что отказ ОСУП (как инициирующего источника) приведет к отказу защитного слоя ОСУП, достаточно мала. В таких случаях правильным может быть использование защитного слоя ОСУП, даже если ОСУП может служить инициатором опасного события.

Если проектирование и управление ОСУП не выполняются в соответствии с МЭК 61511-1:2016, то в случаях, когда ОСУП является источником нарушения, ответственность за одно опасное событие может возлагаться не более чем на один защитный слой ОСУП. На рисунке A.2 показана независимость защитного слоя ОСУП и источника нарушения в ОСУП.

Например, рассмотрим случай, в котором контур управления расходом выполняет роль источника, инициирующего нарушения. Этот источник включает в себя датчик расхода, логическое решающее устройство ОСУП и управляющий клапан. Для того чтобы назначить снижение риска сбросу давления в ОСУП, датчик давления следует соединить с независимым логическим решающим устройством ОСУП, приводящим в действие независимый исполнительный элемент (например, выпускной клапан факельной системы). Защитный слой может также быть аварийным сигналом и функцией реакции оператора.

Если заявляется, что ОСУП является источником, инициирующим нарушения, и защитным слоем для одного и того же опасного события, то проектирование и управление всего ОСУП (включая любые ее устройства, показанные на рисунке A.2) должно осуществляться таким образом, чтобы она могла поддерживать требующуюся от нее среднюю интенсивность отказов (например, ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-110ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1/ч·ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-110ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1=ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-110ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1/ч). Такое заявление должно быть подтверждено посредством проведения количественного анализа ОСУП, учитывающего вероятность возникновения отказов по общей причине и отказов общего вида между устройствами, образующими ОСУП. Отказы по общей причине, вызванные произвольными систематическими отказами, могут ограничить способность ОСУП в достижении заявленной средней интенсивности отказов.

Если проектирование и управление ОСУП не выполняются в соответствии с МЭК 61511-1:2016, то в случаях, когда инициирующий источник нарушения не связан с ОСУП, ответственность за одно опасное событие может возлагаться не более чем на два защитных слоя ОСУП. На рисунке A.3 показана независимость двух защитных слоев ОСУП, распределенных в ОСУП.

ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1

Рисунок А.2 - Независимость слоя защиты ОСУП и источника нарушений в ОСУП

A.9.3.5 Если заявляются два защитных слоя ОСУП для одного и того же опасного события, то проектирование и управление всей ОСУП (включая любые ее устройства, показанные на рисунке A.3) должно осуществляться таким образом, чтобы она могла поддерживать требующуюся от нее среднюю интенсивность отказов (например, ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-11/10·ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-11/10=ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-11/100). Условия и замечания в МЭК 61511-1:2016 (пункты 9.4.1 и 9.4.2) применимы к обоим слоям защиты ОСУП. Заявленное снижение риска должно быть подтверждено посредством проведения количественного анализа ОСУП, учитывающего вероятность возникновения отказов по общей причине и отказов общего вида между устройствами, образующими ОСУП. Отказы по общей причине, вызванные произвольными систематическими отказами, могут ограничить способность ОСУП в достижении заявленного сокращения риска.

ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1

Рисунок А.3 - Независимость двух слоев защиты, распределенных в ОСУП

A.9.4 Руководящие указания к "Требованиям к предотвращению отказов по общей причине, отказов общего вида и зависимых отказов"

A.9.4.1 Важно рассмотреть на ранней стадии вопрос о том, существует ли какая-либо причина отказов, являющаяся общей между резервными компонентами на каждом уровне (например, между двумя предохранительными клапанами давления одной и той же емкости), между разными слоями защиты или между слоями защиты и ОСУП. Примером может служить ситуация, в которой отказ устройства ОСУП может привести к запросу на срабатывание ПСБ, в составе которой используется устройство с теми же характеристиками. В таких случаях необходимо установить, существует ли правдоподобный вид отказов, способных привести к одновременному отказу обоих устройств. Если такая общая причина отказов установлена, то могут быть предприняты следующие действия:

a) общая причина может быть ослаблена путем внесения изменений в проект ПСБ или ОСУП. Двумя эффективными методами снижения возможности отказов по общей причине являются разнообразие проектов и физическое разделение. Обычно такой подход предпочтителен;

b) при определении достаточности снижения общего риска следует принять во внимание возможность событий, связанных с общей причиной отказов. Может потребоваться построение анализа дерева ошибок, которое отражает как причины запроса, так и отказы системы защиты. В таком дереве ошибок могут быть представлены отказы по общей причине, а их влияние на общий риск может быть оценено количественно с помощью соответствующих методов моделирования.

Следует отметить, что любые датчики или исполнительные механизмы, являющиеся общими для ОСУП и ПСБ, очень часто порождают отказы по общей причине.

A.9.4.2 При проведении оценки возможности появления отказов по общей причине, отказов общего типа и зависимых отказов применимы приведенные ниже положения. Широта, строгость и глубина оценки будет зависеть от значения УПБ предполагаемой функции. При УПБ 3 или УПБ 4 влияние отказов по общей причине, отказов общего типа и зависимых отказов может быть доминирующим. Поэтому следует рассмотреть:

- независимость между слоями защиты. Должен быть выполнен анализ режимов и влияния отказа, чтобы установить, может ли одиночное событие вызвать отказ больше чем одного слоя защиты или отказ ОСУП и слоя защиты. Глубина и строгость анализа будут зависеть от величины риска;

- разнообразие между слоями защиты. Целью является обеспечение разнообразия между слоями защиты и ОСУП, но это не всегда достижимо. Некоторое разнообразие может быть достигнуто путем применения оборудования разных изготовителей, но, если датчики в ПСБ и ОСУП подсоединяются к объекту по одинаковым схемам, такое разнообразие может быть ограниченным;

- физическое разделение между различными слоями защиты. Физическое разделение будет снижать влияние отказов по общей причине благодаря физическим причинам. Подключение измерительных компонент ОСУП и ПСБ должно быть максимально физически разделено и подчинено функциональным потребностям, таким как точность и время отклика.

A.10 Спецификация требований к безопасности ПСБ

A.10.1 Цель

Разработка СТБ ПСБ является одной из самых важных процедур на всем жизненном цикле ПСБ. Именно с помощью такой спецификации пользователь может определить, как он хотел бы запроектировать и реализовать в ПСБ каждую из ФБ ПСБ.

Полное подтверждение соответствия ПСБ выполняется с использованием этой спецификации.

A.10.2 Руководящие указания к "Общим требованиям"

СТБ ПСБ может быть отдельным документом или сборником нескольких документов, включающим процедуры, рисунки или положения стандартов предприятия. Такие требования могут быть разработаны группой, занимающейся анализом опасности и риска, и/или самой группой разработчиков.

A.10.3 Руководящие указания к "Требованиям к безопасности ПСБ"

A.10.3.1 Как указано в МЭК 61511-1:2016, существует ряд требований к проекту, которые следует определить в проекте раньше, чем будут рассмотрены ФБ ПСБ, обеспечивающие желательную защиту.

Некоторые положения, посвященные СТБ, сводятся к следующему:

a) прежде всего следует определить ФБ ПСБ и ее значение УПБ. Примером ФБ ПСБ служит функция "Защитить реактор от превышения давления путем открытия клапанов сброса при высоком давлении". Типичное описание функции будет содержать следующее:

- параметры процесса, необходимые для того, чтобы выявить опасные условия.

Пример - Обнаружение возрастания давления выше определенного значения. Значение параметра, при котором начинаются защитные действия, устанавливается вне его рабочего диапазона, но оно не должно превышать значения, которое приводит к опасной ситуации. Необходимо установить допустимые пределы для показателей быстродействия системы и точности измерения. При выборе этих пределов их необходимо обсудить с лицами, ответственными за разработку и создание ПСБ;

- действия, которые должны быть выполнены для предотвращения условия опасного события, и время, когда они должны быть выполнены. Простым примером может служить снижение расхода пара, подаваемого в теплообменник на определенное время. Следует отметить, что обычно неэффективно предусматривать прекращение подачи пара в теплообменник. Проектировщику нужно будет знать, что именно необходимо для успешной работы. Например, в нагревательных устройствах может оказаться достаточным снизить расход менее чем на 10% на 1 мин. Другим примером может быть необходимость останова объекта в течение нескольких секунд;

- действия, не требующиеся для предотвращения опасного события, но которые могут быть выгодны по эксплуатационным причинам. Такими действиями могут быть формирование аварийных сигналов, отключение устройств, увеличивающих или уменьшающих поток, для сокращения запросов на другие системы защиты или действия по быстрому запуску, после того как источник опасности будет устранен. Важно отделить подобные, не связанные с безопасностью, действия от действий, необходимых для предотвращения условия опасной ситуации, чтобы минимизировать стоимость и ограничить рабочий диапазон ПСБ тем, что крайне необходимо;

- любые выявленные состояния процесса или последовательности операций ПСБ, которые должны быть предотвращены, так как они могут приводить к опасным ситуациям. После завершения проектирования ПСБ требуется провести дополнительный анализ риска для рассмотрения возможности возникновения новых опасностей или дополнительных причин уже идентифицированных опасностей, вызванных частичными отказами или ложным срабатыванием ПСБ;

b) спецификация требований по безопасности должна устанавливать безопасное состояние процесса для каждой определенной функции, выраженное в терминах конкретных технологических условий: какие потоки должны быть включены или остановлены, какие клапаны процесса должны быть открыты или закрыты, какими должны быть рабочие состояния любого вращающегося оборудования (насосы, компрессоры, перемешивающие устройства). Если для приведения процесса к безопасному состоянию необходимо установление некоторой упорядоченной последовательности состояний, то ее также следует установить. При выборе исполнительных элементов можно рассмотреть преимущества разнообразных решений (например, прекращение подачи продукта и расхода пара для снижения давления);

c) в самом начале можно определить требования к желательному интервалу проведения контрольной проверки с тем, чтобы они могли быть учтены в проекте ПСБ. Например, если контрольная проверка должна выполняться только во время плановых остановов (например, каждые три года), то в проекте может потребоваться предусмотреть большее резервирование, чем в случае проведения ежегодных испытаний.

Следует рассмотреть:

- длительность испытания;

- состояние испытываемого устройства (в автономном режиме/в рабочем режиме);

- состояние процесса во время испытания;

- выявление отказов по общей причине;

- предотвращение ошибок (таких как сохранение изолированности ПСБ после выполнения испытания);

- требования к документации испытаний;

- требования к архивированию;

- необходимость гарантировать осведомленность управляющих о том, что запланировано;

- необходимость обеспечить осведомленность прилегающих и других подверженных влиянию территорий о приближающемся проведении испытания;

- техническую квалификацию и опыт персонала, разрабатывающего процедуры испытания;

- техническую квалификацию и опыт персонала, выполняющего процедуры испытания;

d) максимальное допустимое время реакции ПСБ начинается, когда процесс достигает условий срабатывания и заканчивается в последний момент, когда исполнительные элементы, достигающие своих безопасных состояний, все еще могут предотвратить опасность. Следует установить требования к возможности ручного перевода процесса в безопасное состояние. Например, если существует требование о том, чтобы оператор мог вручную остановить часть оборудования как из помещения для управления, так и на месте, то это следует указать в спецификации. Также следует определить любое требование, связанное с независимостью ключей ручного останова от логического устройства ПСБ;

e) следует установить все требования, предъявляемые к повторному запуску процесса после останова. Например, некоторые пользователи применяют электронные ключи перезапуска, установленные в главном зале управления или на месте, а другие предпочитают применять соленоиды с запорными рычагами. Если к подобным действиям по перезапуску существуют специфические требования, то они должны составлять часть СТБ;

f) если существует заданная частота ложных срабатываний, то ее также следует указать как часть СТБ, так как она будет фактором, влияющим на проект ПСБ;

g) интерфейс между ПСБ и оператором должен быть описан полностью, включая аварийную сигнализацию (предаварийные сигналы о неисправности устройства, сигналы останова, перепуска и диагностики устройства), графики, фиксируемые последовательности событий;

h) может оказаться необходимым предусмотреть обходные каналы (обходы), позволяющие проводить испытания или обслуживание ПСБ на действующем объекте. Если существуют специфические требования к обходу таких устройств, как ключи и пароли, то их также следует привести как часть СТБ;

i) следует установить виды отказов и реакцию ПСБ на обнаружение неисправностей. Например, передающее устройство может быть сконфигурировано таким образом, что при его отказе возникают условия срабатывания либо при его отказе не возникает условий срабатывания. Если при его отказе не возникает условий срабатывания, то важно, чтобы оператор получал сигнал об отказе передающего устройства и был обучен необходимым корректирующим действиям. См. также МЭК 61511-1:2016 (подраздел 11.3), посвященный требованиям по обнаружению неисправностей.

A.10.3.2 Дополнительные требования не предусмотрены.

A.10.3.3 Данный пункт связан с руководящими указаниями к требованиям безопасности прикладного программирования. СТБ ППО идентифицирует минимальные возможности функционала ППО ПЭ, а также ограничивает разработку любого функционала, который может привести к небезопасной ситуации. Требования безопасности ППО, которые уже были указаны в требованиях для ПСБ, не должны повторяться отдельно, как СТБ для ППО.

СТБ ППО, как правило, учитывает системную архитектуру ПСБ. Системная архитектура определяет основные устройства, подсистемы ПСБ, встроенное ПО и ППО, а также то, как они взаимосвязаны и как достигаются требующиеся характеристики, в особенности полнота безопасности. Примеры модулей встроенного ПО включают в себя операционные системы, базы данных и коммуникационные подсистемы ПСБ. Примеры модулей ППО включают прикладные функции, дублируемые по всему предприятию.

Архитектура ППО должна также определяться лежащей в основе архитектурой подсистем(ы) ПСБ, предоставленной поставщиком(ами). Архитектура ППО не должна сводить на нет эффект от избыточности оборудования, например если процессор не избыточен (например, 1 из 1), а есть избыточность датчиков (например, 2 из 3), то соответствующее ППО должно обеспечивать требующееся голосование датчиков (т.е. 2 из 3).

Подробные требования по безопасности, предъявляемые к каждой функции безопасности ПБС, устанавливаются обычно с помощью логических диаграмм или причинно-следственных диаграмм [см. рисунок D.2 (приложение D)]. Во многих случаях для определения требований могут быть использованы языки программирования, предлагаемые поставщиком логического устройства. Обычно используют языки функциональных блок-диаграмм или язык причинно-следственных матриц. Специализированные форматы, такие как универсальный язык моделирования (UML), также являются доступными и полезными, когда предполагается использовать методы проверки моделей. Поставляемый выбранный язык должен подходить для конкретного применения. При определении подробных требований использование языков, предлагаемых поставщиком, может уберечь от ошибок, которые встречаются при переносе требований из других видов документации. Для того чтобы определить функции безопасности и функции, не связанные с безопасностью, а также требования к УПБ всех функций безопасности следует широко использовать комментарии.

Правильным решением может быть реализация дополнительных требований помимо необходимых для функционального поведения базовой отдельной ФБ ПСБ (например, для управления остановом и запуском установки), либо в ОСУП, либо в полностью отдельной от ФБ ПСБ части прикладной программы, с явными адресациями к ПСБ. В дополнение к этому ППО может включать в себя функции для реализации полной архитектуры ПСБ, сквозной диагностики и поведения в аварийных условиях. Например, архитектура датчиков (с правилами голосования: 1 из 2, 2 из 3 и т.д.), связанная с ФБ ПСБ, вместе с принципом безопасности "останов по отключению питания" или "останов по включению питания" определяет, как в ППО должно быть реализовано голосование датчиков. Важно обеспечить, что никакая комбинация дополнительных функций не смогла привести к переопределению основных прикладных функций безопасности.

Если для реализации функций ФБ ПСБ используются несколько ПСБ, то в документации должно быть объяснено, какие функции должны быть реализованы в каждой ПСБ. Если для реализации одной ФБ ПСБ используются несколько ПСБ (например, объединяются две ФБ ПСБ с более низким значением УПБ для достижения более высокого значения УПБ), то следует документально оформить взаимодействие и независимость каждой ФБ ПСБ [(см. приложение F (раздел F.4) и МЭК 61511-3:2016 (приложение J)].

Примечания

1 СТБ ППО идентифицирует минимальные возможности функций ППО ПЭ, а также ограничивает разработку любых функций, которые приведут к небезопасной ситуации.

2 Требования безопасности ППО, которые уже были установлены в требованиях для ПСБ, не должны повторяться.

3 Архитектура системы определяет основные устройства и подсистемы ПСБ встроенного ПО и ППО, а также то, как они взаимосвязаны и как достигаются требующиеся характеристики, в частности полнота безопасности.

4 Архитектура ППО может учитывать лежащую в основе архитектуру подсистем(ы) ПСБ, предоставленную поставщиками(ом). Архитектура ППО не должна сводить на нет эффект от избыточности оборудования - например, если процессор не избыточен (например, 1 из 1), а есть избыточность датчиков (например, 2 из 3), то соответствующее ППО должно обеспечивать требующееся голосование датчиков (т.е. 2 из 3).

5 ПСБ, как правило, состоит из трех архитектурных подсистем ПСБ: датчиков, логического решающего устройства и исполнительных элементов. Кроме того, подсистемы ПСБ могут иметь избыточные устройства для достижения требующегося уровня полноты.

6 Архитектура аппаратных средств ПСБ с избыточными датчиками может накладывать дополнительные требования на логическое решающее устройство ПСБ (например, реализацию логики 1oo2).

По любым привлекшим внимание противоречиям, разногласиям и упущениям в СТБ ПСБ следует обращаться к разработчикам ППО. Например, о влиянии порядка выполнения ФБ ПСБ в ППО. Другим примером может быть вопрос о реакции ППО на прекращение питания.

Примечания

1 Проектировщики ППО могут проверять информацию в спецификации для обеспечения однозначности, согласованности и понятности требований. Любые недостатки в указанных требованиях к безопасности могут быть идентифицированы для проектировщика ПСБ.

2 Так как требования к безопасности ППО и возможная архитектура ППО становятся более точными, то это может повлиять на архитектуру аппаратных средств ПСБ (см. рисунок A.4), и поэтому может быть важным тесное взаимодействие между разработчиком архитектуры ПСБ, поставщиком подсистемы ПСБ и разработчиком ППО.

СТБ ППО должна охватывать все функции, необходимые для всех режимов работы защищаемого процесса, включая разрешения на пуск, работу, остановку и дополнительно периодическое испытание ФБ ПСБ. Обычно это требует определения возможности перехода в режим техобслуживания, чтобы датчики и исполнительные элементы могли проверяться без останова процесса. Факторы, которые следует рассмотреть, включают:

a) функциональные и временные требования, необходимые для выполнения ФБ ПСБ, установленные пользователем;

b) интерфейсы ППО с процессом и персоналом;

c) связь между опасностями процесса и функциями, выполняемыми ППО;

d) ограничения на разрешенное поведение ППО, установленные так, чтобы процесс оставался в пределах безопасной области (например, должен уметь работать при неверных входных значениях);

e) допустимые функции сервисного ПО, выполняемые в логическом решающем устройстве (например, реализация приоритета логики безопасности и коммуникаций ввода/вывода, обработка ошибок и диагностика логического решающего устройства);

f) платформу технических средств и встроенного ПО, на которых реализуется ППО, а также конфигурацию аппаратных средств и встроенного ПО;

g) опасности, которые могут появляться в процессе в результате функционирования системы, частью которой является ПО (например, не удовлетворяющие техническим условиям виды отказов аппаратных средств при отключении питания);

h) ограничения на методы и процедуры, которыми могли бы пользоваться разработчики, полученные из инструкции по безопасности при обслуживании логического устройства;

i) проверки целостности и непротиворечивости данных, например сквозные проверки коммуникационных каналов, контроль выхода за указанные границы на входах датчиков, контроль выхода данных за указанные границы для параметров и использование разнообразия при выполнении прикладных функций;

j) критерии обнаружения и реакция на обнаруженные сбои аппаратных средств логического решателя и на отказы проверок целостности и логической непротиворечивости данных.

Чтобы избежать трудностей на более поздних стадиях процесса разработки, важно также рассмотреть стратегию, с помощью которой можно показать, что требования к ППО выполнены.

ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1

Рисунок А.4 - Связь системы, аппаратных средств ПСБ и прикладной программы ПСБ

A.10.3.4 В случае ФЯП устройств (например, датчиков с элементами ИИ, интеллектуальных преобразователей, графических панелей ЧМИ) требования для конфигурации устройств могут быть установлены как часть СТБ.

A.10.3.5 Разделы B.1, F.17, F.20 и G.2 содержат дополнительные руководящие указания по реализации требований МЭК 61511-1:2016 (пункт 10.3.3) и примерный вид требований к безопасности ППО. Предоставленные дополнительные руководящие указания будут различаться в зависимости от охвата области применения, языка ППО и прикладного процесса, сложности, что позволяет отразить разнообразие существующих возможностей, которые, как правило, позволяют осуществлять подобную реализацию.

A.10.3.6 Пример структурирования требований безопасности ППО см. приложение B (пункт B.3.3.1) и приложении F (шаг F.3).

A.11 Проектирование и разработка ПСБ

A.11.1 Цель

Цель раздела A.11.1 - предоставить руководящие указания по разработке ПСБ. Каждая ФБ ПСБ имеет свой собственный УПБ. Устройство ПСБ, например логическое решающее устройство, может использоваться несколькими ФБ ПСБ с различными УПБ.

A.11.2 Руководящие указания к "Основным требованиям"

A.11.2.1 Дополнительные требования не предусмотрены.

A.11.2.2 Руководящие указания к ППО см. в приложении A (пункт 12.2.4).

A.11.2.3 Если ППО ПСБ должно реализовывать ФБ ПСБ с различными УПБ, то их следует четко промаркировать. Это позволит сделать ППО каждой ФБ ПСБ прослеживаемым вплоть до каждого резервного датчика и каждого резервного исполнительного элемента. Это даст также возможность выполнять функциональное испытание и подтверждение соответствия функций в соответствии с УПБ. Маркировка должна идентифицировать функции безопасности ПСБ и УПБ.

A.11.2.4 Иногда ОСУП дополнительно использует устройства ПСБ по эксплуатационным причинам. В МЭК 61511-1:2016 (раздел 11) содержится ряд проектных требований к ПСБ. Одно из них касается независимости между ПСБ и ОСУП.

Обычно ПСБ отделяется от ОСУП по следующим причинам:

а) чтобы уменьшить число отказов по общей причине, отказов общего типа и систематических отказов, сводя к минимуму влияние отказа ОСУП на ПСБ.

Примечание - Разделение ПСБ и ОСУП согласуется с концепцией слоев защиты. Отдельная ПСБ является независимым слоем защиты в тех случаях, когда происходит отказ ОСУП;

b) чтобы сохранить гибкость ПСБ к изменениям, обслуживанию, испытаниям и документальному оформлению.

Примечания

1 Обычно к ПСБ предъявляют более жесткие требования, чем к ОСУП, и назначение ОСУП не связано с выполнением таких же жестких требований, как предъявляемые к ПСБ. Однако неуправляемые изменения в ОСУП могут привести к увеличению запросов на срабатывание ПСБ.

2 Разделение ПСБ и ОСУП позволяет осуществлять раздельное обслуживание этих систем, часто различным обслуживающим персоналом.

3 Если ОСУП объединена с ПСБ, то для соблюдения требований к управлению изменениями ПСБ и управлению конфигурацией можно ограничить доступ к программированию или функциям конфигурации ОСУП.

4 Могут быть предоставлены средства для подтверждения соответствия ПСБ после внесения изменений в какие-либо устройства, разделяемые ОСУП и ПСБ;

c) чтобы облегчить идентификацию и управление ПСБ-устройствами, делая подтверждение соответствия и оценку функциональной безопасности ПСБ более простой и понятной;

d) для поддержки защиты доступа и повышения кибербезопасности ПСБ таким образом, чтобы внесение поправок в функции или данные ОСУП не влияло на ПСБ.

Примечания

1 Управление разделяемыми интерфейсами и устройствами может осуществляться как управление компонентами и устройствами ПСБ, если конфигурация аппаратных средств и ПО не обеспечивает функциональное разделение.

2 Следует уделить особое внимание ограничениями на запись, чтобы предотвратить неавторизированную или непреднамеренную запись в ПСБ;

e) чтобы сократить число исследований, которые требуются для того, чтобы обеспечить надлежащие проектирование, верификацию и управление ПСБ и ОСУП.

Примечание - Если отказ общего оборудования может вызвать запрос к ПСБ, то можно провести анализ, чтобы убедиться, что средняя полная интенсивность отказов соответствует ожидаемой. Такой анализ может охватывать все устройства ПСБ и ОСУП, такие как датчики, логические решающие устройства, исполнительные элементы, средства коммуникаций данных, сервисные программы, станции операторов и инженерные рабочие станции.

Если какое-либо устройство ОСУП разделено между ОСУП и ПСБ, то следует провести дополнительный анализ для демонстрации того, что в процессе проектирования и управления этим устройством ОСУП:

- обеспечивает выполнение функциональных требований к функции ОСУП и к ФБ ПСБ.

Примечание - Отказ какого-либо внешнего для ПСБ аппаратного средства или программного обеспечения не может повлиять на корректное функционирование ФБ ПСБ;

- соответствует требованиям к полноте, необходимой для достижения целевой средней интенсивности отказов для объединенных вместе систем.

Примечания

1 Отказ устройства ОСУП не может стать источником, инициирующим опасное событие или опасный отказ (или прекращение/обход) ФБ ПСБ, защищающей от конкретного события, для которого она была создана, если нет резервного устройства, способного запустить ПСБ. Для оценки влияния использования ОСУП и ПСБ общего устройства может быть проведен анализ.

2 Вероятность возникновения отказов по общей причине, отказов общего типа или зависимых отказов, таких как засорение свинцовых линий, обслуживающая деятельность, включая обходы, неправильно управляемые запорные клапаны линии и т.д., может быть оценена и определена как достаточно низкая;

- управление осуществляется в соответствии с МЭК 61511-1:2016, включая проведение контрольной проверки, защиту доступа и управление изменениями.

Разделение между ПСБ и ОСУП может быть реализовано по принципу идентичности или по принципу разнообразия. Применение принципа разделения идентичного означает использование той же самой технологии реализации и для ОСУП, и для ПСБ, тогда как применение принципа разнообразного разделения означает использование для реализации ОСУП и для ПСБ различных технологий от одного или разных изготовителей.

По сравнению с разделением идентичного (идентичное разделение), которое помогает при случайных отказах, разделение с разнообразием дает дополнительный выигрыш в снижении вероятности систематических отказов, влияющих на несколько каналов одновременно, и/или отказов по общей причине и тем самым сокращает отказы, коррелированные для нескольких каналов.

Разделение идентичного между ПСБ и ОСУП может иметь некоторые преимущества при проектировании и техническом обслуживании, так как снижает вероятность ошибок технического обслуживания. Это особенно важно, если должны применяться различные устройства, не использовавшиеся ранее данной эксплуатационной организацией.

Разделение идентичного между ПСБ и ОСУП может быть приемлемым для применений с УПБ 1 и УПБ 2, хотя при этом необходимо рассмотреть источники и последствия отказов по общей причине и уменьшить возможность их появления. Некоторыми примерами отказов по общей причине являются:

- засорение разъемов измерительных цепей и линий импульсных сигналов;

- коррозия и эрозия;

- неисправности аппаратных средств, вызванные окружающей средой;

- ошибки программного обеспечения;

- энергоснабжение и источники электропитания.

Примечание - Средства обеспечения (например, энергоснабжение) могут подвергаться анализу традиционными методами исследования безотказности. Применение коэффициента "бета" не относится к данному случаю;

- ошибки человека.

Существуют четыре зоны, в которых обычно следует обеспечить разделение между ПСБ и ОСУП:

- датчики на объекте;

- исполнительные элементы;

- логическое устройство;

- разводка (меж)соединений.

Физическое разделение между ОСУП и ПСБ может не потребоваться, если поддерживается их независимость, а комплекс оборудования и применяемые процедуры обеспечивают, чтобы ПСБ не подвергалась опасным воздействиям, вызванным:

- отказами ОСУП и

- работами, выполняемыми на ОСУП (например, при ее техническом обслуживании, эксплуатации или модификации).

Если необходимы процедуры, обеспечивающие отсутствие опасных воздействий на ПСБ, то разработчику ПСБ следует установить их.

a) Датчики на объекте

Использование единого датчика для ОСУП и ПСБ требует проведения дополнительного рассмотрения и анализа, так как отказ этого единого датчика может привести к опасному событию.

Примечание - Например, единый датчик уровня, используемый как в ОСУП, так и в качестве источника сигнала о превышении предельного уровня в ПСБ, может сформировать запрос, если датчик выходит из строя и "занижает" уровень (т.е. дает сигнал о том, что уровень ниже значения, заданного для контроллера). В результате контроллер будет подавать сигнал на открытие клапана. Так как тот же датчик используется и для ПСБ, то он не обнаружит превышения уровня.

В случаях, когда для функций как ОСУП, так и ПСБ используется единый датчик, требования МЭК 61511-1:2016 обычно выполняются только в том случае, если диагностика датчика может эффективно снизить интенсивность опасных отказов, а ПСБ способна за установленное время перевести процесс в безопасное состояние.

Общие датчики (например, передающее устройство, анализатор и переключатель) должны питаться от ПСБ. Следует также рассмотреть компенсирующие меры, применяемые в периоды, когда общее (разделяемое) устройство неисправно по причине обнаруженных отказов, обслуживания или проведения испытаний. Чтобы добиться более высокого значения УПБ, обычно необходимо использовать отдельные датчики ПСБ с идентичным или разнообразным резервированием, чтобы удовлетворить требуемой полноте безопасности.

Если в ПСБ используется отдельный одинарный датчик, то может оказаться предпочтительным использовать его и для ввода сигнала в ОСУП через подходящие разделители или другими способами, гарантирующими, что никакой отказ ОСУП не приводит к опасному отказу ПСБ. Такая схема может способствовать улучшению охвата диагностикой, обеспечивая сравнение сигналов датчиков ОСУП и ПСБ.

В тех случаях, когда в ПСБ используются резервные датчики, они могут быть подключены также к ОСУП через подходящие разделители или другими способами, гарантирующими, что никакой отказ ОСУП не приводит к опасному отказу ПСБ. При этом, применяя в ОСУП соответствующие алгоритмы, такие как "среднее из трех", можно повысить безопасность, сокращая интенсивность запросов к ПСБ.

В случае УПБ функций безопасности ПСБ равного УПБ 2, УПБ 3 или УПБ 4, чтобы выполнить требования к отказоустойчивости аппаратных средств и добиться необходимой полноты безопасности в ПСБ обычно необходимо использовать отдельные датчики ПСБ с идентичным или разнообразным резервированием.

b) Исполнительные элементы

Аналогично датчикам использование единого исполнительного элемента как в ОСУП, так и в ПСБ требует проведения дальнейшего рассмотрения и анализа, так как отказ единого исполнительного элемента может привести к опасной ситуации.

Примечание - Например, единый клапан, используемый и для ОСУП, и для ПСБ может привести к запросу в случае, когда происходит отказ открытого клапана, и к опасному отказу ПСБ, если клапан не закрывается, как это определено, в случае поступления запроса.

В случаях, когда как функциями ОСУП, так и функциями ПСБ используется единый исполнительный элемент, требования МЭК 61511-1:2016 обычно выполняются только в том случае, если диагностика исполнительного элемента может значительно снизить интенсивность опасных отказов, а ПСБ способна за установленное время перевести процесс в безопасное состояние.

На практике достичь этого для приложений с УПБ 1 трудно, даже когда проектирование общего исполнительного элемента гарантирует то, что действие ПСБ перекрывает действие ОСУП. Следует также рассмотреть компенсирующие меры, применяемые в периоды, когда разделяемое устройство неисправно по причине обнаруженных отказов, обслуживания или проведения испытаний. В случае значения УПБ функций безопасности ПСБ равного УБП 2, УПБ 3 или УПБ 4, чтобы добиться требующейся полноты безопасности в ПСБ, обычно необходимо использовать отдельные исполнительные элементы ПСБ с идентичным или разнообразным резервированием. Перекрывание действия ОСУП действием ПСБ, например, может быть достигнуто для пневматического клапана при непосредственном соединении ПСБ с соленоидом, приводимым в действие клапаном, который выполняет дренаж воздуха из исполнительного механизма клапана, находящегося, например, между исполнительным механизмом и позиционером клапана. В случае клапанов с электрическим управлением разводка может быть выполнена так, что ПСБ будет помещать клапан управления в безопасное состояние и поддерживать его в нем до переустановки.

Если применяются резервные исполнительные элементы, то исполнительные элементы могут быть соединены как с ПСБ, так и с ОСУП. Даже при наличии избыточных исполнительных элементов следует рассмотреть отказы по общей причине, возникающие между ОСУП и ПСБ. Проведение испытаний избыточных клапанов с временным сдвигом, реализуя соответствующую процедуру, может сократить последствия отказов по общей причине.

Если исполнительным элементом является клапан, то следует дополнительно рассмотреть следующее:

- клапан проектируется таким образом, что отказ ОСУП, способный привести к тому, что ПСБ не может осуществлять действия с общим клапаном, невозможен;

- проект клапана таков, что он функционально совместим как с обслуживанием ПСБ, так и с обслуживанием ОСУП.

Примечание - Этого может быть сложно добиться, так как многие клапаны ОСУП устанавливаются "открытыми для потока", а многие клапаны ПСБ устанавливаются "закрытыми для потока". Требования к питанию исполнительного механизма клапана ПСБ могут отличаться от требований для клапана управления;

- требования к останову.

Примечание - Уровень процесса утечки в клапане управления может считать приемлемым, если он не влияет на способность ФБ ПСБ выполнять установленную для нее функцию и предотвращать опасность;

- проект общего исполнительного элемента должен обеспечить, чтобы действие ПСБ перекрывало действие ОСУП;

- эксплуатационную безотказность клапанов при их применении в аналогичных процессах;

- виды опасных отказов клапанов;

- эксплуатационные условия, обеспечивающие полноту ПСБ.

Примечание - Например, клапаны обхода могут быть зафиксированы в закрытом состоянии и могут находиться под контролем процедур управления и аналогично клапаны, расположенные в обратных трубопроводах (например, гидравлических), могут быть пружинными, зафиксированными в закрытом состоянии;

- требования к контрольной проверке.

Примечание - Можно рассмотреть требования к проведению любых испытаний клапана при неполном ходе или на действующем процессе и то, как они могут влиять на работу.

с) Логическое решающее устройство

Возможности достигнуть разделения и независимости с помощью логических решающих устройств ОСУП или ПСБ различаются в зависимости от технологии, используемой в приложении (т.е. логическое решающее устройство может быть электрическим, электронным и программируемым электронным).

Электрические технологии

Многие промышленные процессы ранее и в настоящее время применяют ОСУП на основе пневматической технологии и ПСБ на основе электрической технологии. Разделение и независимость в таких применениях легко достижимы с помощью этих технологий, так как для их реализации требуются различные конструкции, различное размещение оборудования и отдельные коммуникации.

Электронные технологии

Многие промышленные процессы ранее и в настоящее время применяют ОСУП на основе электронной технологии, не обладающей возможностями реализации на средствах встроенного программирования, а ПСБ - на основе электрической технологии. Разделение и независимость в таких применениях легко достижимы с помощью этих технологий. Использование электронных ПСБ без встроенных программируемых электронных технологий также является целесообразным методом.

Программируемые электронные технологии (ПЭ)

Некоторые приложения для своих ОСУП применяют ПЭ-технологии и электрические технологии для своих ПСБ. Эти конфигурации, по сути, являются разделенными и независимыми, так как коммуникации разводятся отдельно, а универсальность физической реализации не дает преимуществ.

В настоящее время предпочтительный технический план для ОСУП/ПСБ в промышленном процессе заключается в использовании ПЭ-технологии как для ОСУП, так и для ПСБ. Подобная конфигурация предоставляет максимальную гибкость, так как она позволяет удаленно изменять ППО программы ОСУП и ПСБ, а также осуществлять обмен информацией между ОСУП и ПСБ. К сожалению, в случаях поддержания разделения и независимости между ОСУП и ПСБ эти характеристики могут иметь обратный эффект, чего можно избежать проведением анализа на стадиях проектирования жизненного цикла системы безопасности и демонстрацией функциональной безопасности (например, за счет разнообразия технологий).

СТБ [МЭК 61511-1:2016 (раздел 10)] содержит руководящие указания по достижению разделения и независимости ОСУП и ПСБ с такой технологией. Усилия в данной области были подкреплены за счет введения новых средств, обеспечивающих дополнительную защиту для ОСУП и ПСБ. Практические конфигурации систем управления ОСУП/ПСБ и средства обеспечения защиты, предоставляющие различные уровни разделения и независимости между ОСУП и ПСБ, см. в ISA TR84.00.09:2013.

Некоторые поставщики логических решающих устройств ПЭ предоставляют контроллеры, в которых ОСУП и ПСБ размещены в одном физическом корпусе. Перед применением такого подхода следует провести тщательный анализ руководства по безопасности логического решающего устройства и того, как его требования к работе и обслуживанию ОСУП и ПСБ соответствуют критериям управления безопасностью средств процесса и СТБ.

d) Разводка (меж)соединений

Что касается подачи питания для отключения систем и соответствующей разводки соединений к периферийным ("полевым") устройствам, то разводка соединений для ОСУП с соответствующими периферийными устройствами обычно отделена от разводки соединений между ПСБ и связанными с нею периферийными ("полевыми") устройствами на объекте, так как это позволяет избежать возможности случайного отключения функций безопасности без предупреждения об этом. Типовые правила по проектированию таких систем предписывают применение отдельных многоканальных кабелей и соединительных коробок для ПСБ и ОСУП. В тех случаях, когда разводка соединений не разделена, рекомендуется применять строгие правила маркировки и процедуры обслуживания, способные минимизировать возможность ошибок, вызванных отключением ПСБ на период обслуживания.

Примечание - Останов по включению питания выполняется с помощью цепей ПСБ, выходы и устройства которой при нормальной работе обесточены. Подача питания (например, электричества или воздуха) приводит к активации отключения.

Система монтажа кабелей (например, кабельные лотки, кабелепроводы) может быть общей как для систем останова по включению питания, так и для систем останова по отключению питания, если не потребуется их разделение по другим причинам (например, для снижения электромагнитных помех). Для систем останова по включению питания следует предусмотреть дополнительную противопожарную защиту кабельных лотков, проходящих в огнеопасных зонах.

A.11.2.5 Все операторы, сотрудники обслуживающего персонала, контролеры и руководители играют свою роль в обеспечении безопасного функционирования объекта. Однако люди могут совершать ошибки или могут быть не способны справиться с задачей, и как приборы и оборудование, они подвержены "сбою" или "отказу".

Вследствие этого деятельность человека тоже влияет на разработку и полноту системы. Для производственного и обслуживающего персонала особенно важен человеко-машинный интерфейс (ЧМИ), отражающий состояние ПСБ.

Анализ надежности персонала (АНП) определяет условия, приводящие к ошибкам людей, и дает оценки интенсивностей ошибок по накопленной статистике и результатам исследований их поведения. Некоторые примеры ошибок человека, вносящих свой вклад в риск безопасности химических процессов, включают в себя:

- необнаруженные ошибки при проектировании;

- ошибки эксплуатации (например, неправильная уставка);

- неправильное техническое обслуживание (например, замена клапана на неисправный экземпляр);

- ошибки в калибровке, тестировании или интерпретации выходных сигналов систем управления;

- невыполнение должных действий при аварии.

Примечание - Дополнительные указания можно найти в:

CCPS/AICHE Human Factors Methods for Improving Performance in the Process Industries (1st edition), John Wiley & Sons (2007), ISBN 0 4701 1754 0;

Guidelines for Preventing Human Error in Process Safety (1st edition), John Wiley & Sons (2004), ISBN 08169 0461 8;

CCPS/AIChE Guidelines for Chemical Process Quantitative Risk Analysis (second edition), New York: American Institute of Chemical Engineers (2000), 0 8169 0720 X;

HSE Reducing error and influencing behavior, HSG48, Health and Safety Executive, London (2009), ISBN 978 0 7176 2452 2.

ISA TR84.00.04:2015 part 1, Annex B, Guidelines on the Implementation of ANSI/ISA-84.00.01-2004 (IEC 61511).

A.11.2.6 Дополнительные требования не предусмотрены.

A.11.2.7 МЭК 61511-1:2016 (пункт 11.2.7) посвящен возможной опасности, которая может возникать, если ПСБ автоматически перезапускает процесс сразу после устранения условий срабатывания. Следует проанализировать каждую функцию безопасности ПСБ, чтобы определить, как ее надо перенастроить после срабатывания. Обычно повторный запуск возможен только после ручного вмешательства оператора.

Пример функции, обеспечивающей сохранение процесса в безопасном состоянии после его перевода в это состояние, приведен на рисунке F.11, лист 4, строка 1.

A.11.2.8 Могут быть предусмотрены средства ручного вмешательства, независимые как от логического устройства ПСБ, так и от системы управления ОСУП, позволяющие оператору в случае аварии начать останов. Средства ручного управления исполнительным элементом ПСБ могут учитываться при реализации требований полноты функции безопасности, но следует надлежащим образом рассмотреть значимые человеческие факторы, а также отказы по общей причине. Требования к ручному останову обычно устанавливают в СТБ.

При необходимости процедура аварийного останова в чрезвычайной ситуации может быть включена в ПЭ логическое решающее устройство. В некоторых случаях ручной останов может создать для объекта дополнительный риск (например, там, где требуется установление упорядоченной последовательности останова); в таком случае ручной останов может служить входными данными для ПСБ, чтобы та выполнила установленный поэтапный останов ПСБ (например, когда требуется выполнить последовательность действий по останову), если такое решение представляется подходящим группе специалистов по анализу опасностей и рисков.

A.11.2.9 В МЭК 61511-1:2016 (пункт 11.2.9) указано на необходимость выполнения анализа независимости между ПСБ и другими слоями защиты, а не только между ПСБ и ОСУП [см. МЭК 61511-1:2016 (рисунок 9)].

Проведение контрольной проверки между ПСБ и защитным слоем с временным сдвигом поможет снизить вероятность возникновения совпадающих по времени отказов.

В некоторых случаях может быть допустимо неполное разделение между ОСУП и ПСБ. В частности, это возможно, если отказ общего оборудования не будет формировать запрос к ПСБ. В таких случаях необходимо применять общее или раздельное оборудование в соответствии с МЭК 61511-1:2016.

Если один тип аппаратных средств используется как для ОСУП, так и для ПСБ, а отказ общего оборудования по общей причине может привести к опасному событию, вызывающему запрос на ПСБ, то следует провести анализ, позволяющий убедиться в том, что полная средняя интенсивность отказов соответствует ожидаемой интенсивности. Необходимо установить опасности, связанные с опасными отказами общего оборудования.

В МЭК 61511-1:2016 (пункт 11.2.9) также указывается на необходимость обеспечить в проекте интерфейса между ПСБ и другими системами поддержку требующейся независимости, т.е. спроектированная в ПСБ не связанная с безопасностью независимость не должна подвергаться негативному влиянию со стороны ОСУП. Например, если данные приложения, сгенерированные для использования в ОСУП или в других не связанных с ПСБ устройствах, а также в инструментальных средствах применяются при проектировании ПСБ, т.е. вероятность распространения некоторого общего отказа от одной системы на другую. Другим примером может быть ППО, позволяющее реализовать в системе механизм перекрытия управления ОСУП без отдельного "разрешающего" переключателя, отделенного от ОСУП. Другие примеры связаны с созданием "зеркального" представления, когда данные приложения "утекают" в другую систему и перекрывают запуск.

A.11.2.10 В МЭК 61511-1:2016 (пункт 11.2.10) представлены предупреждающие руководящие указания по применению общих устройств как для ОСУП, так и для ПСБ. Слова "достаточно низка" в примечании к пункту 11.2.10 МЭК 61511-1:2016 означают, что интенсивность опасных отказов совместно используемого оборудования, объединенная с вероятностью отказов других (отличных от ПСБ) слоев защиты, соответствует принятому корпорацией критерию допустимого риска.

A.11.2.11 В тех случаях, когда исполнительные элементы при потере питания не переходят в безопасное состояние (например, системы останова по включению питания), следует рассмотреть достаточность средств ручного управления для перевода объекта в такое состояние.

A.11.2.12 Дополнительные требования не предусмотрены.

A.11.2.13 Целью руководства по безопасности является документальное оформление всей необходимой информации, связанной с тем, как устройство, подсистема ПСБ или система могут применяться безопасным образом.

Примечания

1 Руководство по безопасности предназначено охватить информацию как от производителя, так и от конечного пользователя и может быть надлежащим образом структурировано, например на разделы по аппаратным средствам, встроенному ПО и ППО.

2 Для элементов, связанных с МЭК 61508, вкладом производителя является инструкция по безопасности, соответствующая требованиям МЭК 61508-2:2010 (приложение D).

Руководство по безопасности должно включать, но не ограничиваться следующей информацией:

a) краткое описание элемента и его топологии (схемы), включая аппаратные средства и ПО.

Примечание - Любое снижение или увеличение отказоустойчивости аппаратных средств в соответствии с МЭК 61511-1:2016 (пункт 11.4.4), может быть обосновано в руководстве по безопасности;

b) идентификация ревизий и ограничений, связанных с ППО.

Примечание - Более подробную информацию о программировании приложений можно найти в разделе 12 МЭК 61511-1:2016;

c) идентификация ревизий аппаратных средств и встроенного ПО;

d) описание на уровне операций, включая определение безопасного состояния и отказоустойчивой работы.

Примечание - Можно рассмотреть различные режимы работы, такие как запуск, нормальная работа, замедленная работа и режим запросов;

e) список всех допущений, связанных с работой, обслуживанием и испытаниями.

Примечание - Эти допущения могут включать условия использования, предупредительное обслуживание, указания по проведению контрольной проверки, а также последующие действия при сбоях диагностики;

f) список всех предельных значений и ограничений, связанных с функцией(ями) безопасности элемента.

Примечание - Предельные значения и ограничения включают (но этим не ограничиваются) настройку конфигурации, ограничения на условия окружающей среды и процесс;

g) режимы отказов и соответствующие интенсивности отказов устройств(а).

Примечание - Интенсивности отказов могут быть получены у производителя или из опыта эксплуатации;

h) другие параметры, требующиеся для анализа безотказности, такие как полезный срок службы, времена ремонта и, если необходимо, интенсивности отказов по общей причине;

i) реакция(и) (или поведение) на обнаруженные отказы и предупреждения;

j) инструкции производителя по эксплуатации и обслуживанию и, если применимы, рекомендации по интервалам контрольных проверок;

k) меры, принятые для предотвращения и управления систематическими отказами, включая отказы ПО и, если применимы, отказы по общей причине;

l) информация о том, как каждый режим отказа может быть выявлен с помощью обычных функциональных проверок и диагностики, включая интервалы диагностических проверок;

m) руководство по безопасности должно включать ограничения на использование устройства вместе с подробностями конфигурации, интерфейсов, установки, диагностики, средним временем ремонта, реакцией на сбои, а также интервалами проведения испытаний и ограничениями языка ППО.

A.11.2.14 Дополнительные требования не предусмотрены.

A.11.3 Руководящие указания к "Требованиям к поведению системы при обнаружении отказа"

A.11.3.1 Дополнительные требования не предусмотрены.

A.11.3.2 Дополнительные требования не предусмотрены.

A.11.4 Руководящие указания к "Требованиям к отказоустойчивости аппаратных средств"

A.11.4.1 Традиционный подход к разработке системы безопасности состоит в обеспечении того, что никакой одиночный сбой не приведет к невыполнению предполагаемой функции. У систем, построенных по таким структурам, как "1 из 2" или "2 из 3", отказоустойчивость равна единице, так как они способны функционировать даже при наличии в них одного опасного сбоя. Такие системы применяют в качестве стандартного подхода при построении систем безопасности, обеспечивая достаточную устойчивость при противостоянии случайным отказам аппаратных средств. Структуры с допустимым числом отказов защищают также от широкого ряда систематических отказов, так как такие отказы не происходят в одни и те же моменты времени (главным образом в аппаратных средствах).

МЭК 61511-1:2016 определяет, что промышленные процессы нуждаются в многоуровневых системах безопасности, и принимает концепцию УПБ для каждого слоя защиты в зависимости от требующегося снижения риска возникновения конкретного опасного события. Так как слои защиты различаются, то нельзя утверждать, что все УПБ обеспечивают отказоустойчивость. Однако при выборе архитектуры системы безопасности для конкретного УПБ важно гарантировать, чтобы она была достаточно устойчива и к случайным сбоям аппаратных средств, и к систематическим сбоям. Для того чтобы обеспечить устойчивость к случайным сбоям аппаратных средств, следует провести анализ безотказности.

Требования, представленные в МЭК 61511-1:2016 (пункт 11.4.1), направлены на обеспечение того, чтобы структуры имели необходимую отказоустойчивость при случайных сбоях аппаратных средств и некоторых систематических сбоях. При определении необходимой степени отказоустойчивости необходимо рассмотреть следующий ряд факторов:

a) сложность устройств, используемых в ПСБ или подсистеме ПСБ;

b) устройство будет более устойчиво к систематическим сбоям во время работы, если было получено четкое понимание характера его сбоев и он был учтен в выборе устройства, установке и конфигурировании устройства, а также в определении методик работы и обслуживания;

c) данные об отказах из опыта эксплуатации;

d) уровень полноты безопасности, необходимый для используемого приложения;

e) мера того, насколько неисправности ведут к нарушению условий безопасности или насколько они могут быть выявлены диагностикой так, чтобы можно было предпринять определенные действия;

f) число ложных срабатываний, вызванных безопасными отказами, которое, как правило, возрастает с повышением отказоустойчивости, что, в свою очередь, может привести к новой опасности или служить дополнительной причиной для уже существующей опасности, или же они становятся недопустимыми в зависимости от целевой интенсивности ложных срабатываний;

g) отказы по общей причине и систематические отказы, которые могут значительно снизить преимущества, которые ожидаются от отказоустойчивости;

h) реально достигаемая отказоустойчивость, которая может быть снижена до нуля, если восстановление после опасных отказов занимает слишком много времени (например, архитектура 2oo3, сбои в которой не исправляются менее чем за 0,8 MTTF, хуже, чем архитектура 1oo1);

i) возможность резервирования, которая может не быть осуществима для всех функций;

j) различные ФБ ПСБ, которые реализует ПСБ (или ее подсистема).

Примечания

1 От подсистем ПСБ может потребоваться выполнение ими функций при высокой или низкой частоте запросов в зависимости от режима работы. Может быть установлено, что ФБ ПСБ должна закрывать клапан в ответ на определенные отклонения от процесса. Как для случаев ручной, так и для автоматической перенастройки ПСБ может сохранять клапан в безопасном состоянии до тех пор, пока ей не будет приказано выполнить обратное. Требования к отказоустойчивости аппаратных средств при работе ПСБ в случае обработки опасного события могут быть установлены в соответствии с режимом низкой частоты запросов, а в случае работы ПСБ во время останова - в соответствии с режимом высокой частоты запросов.

2 Минимальная отказоустойчивость аппаратных средств определена для сокращения числа возможных недостатков в проекте ФБ ПСБ, связанных с числом допущений, сделанных при проектировании ФБ ПСБ, и отсутствием точно установленной интенсивности отказов устройств, используемых в различных приложениях процесса.

A.11.4.2 Для применения требований к отказоустойчивости аппаратных средств необходимо хорошее понимание концепции подсистемы ПСБ [см. МЭК 61511-1:2016 (пункт 3.2.78)].

Требования к отказоустойчивости аппаратных средств применяются ко всей ПСБ или к подсистемам ПСБ, от которых требуется выполнение ФБ ПСБ, а не к отдельным устройствам внутри подсистемы. Например, в случае сенсорной ПСБ-подсистемы, состоящей из нескольких резервных датчиков, требования к отказоустойчивости применяются к сенсорной ПСБ-подсистеме в целом, а не к отдельным датчикам.

A.11.4.3 В МЭК 61508 были рассмотрены факторы, описанные в пункте А.11.4.1, и была установлена допустимая величина отказов, которая требуется в МЭК 61500-2:2010, посредством двух путей, называемых ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1 и ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1. При подготовке настоящего стандарта, ориентированного на сектор промышленных процессов, было принято, что путь ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1 лучше адаптирован под сектор промышленных процессов. Тем самым требования к отказоустойчивости в МЭК 61511-1:2016 основаны на пути ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1 МЭК 61508-2:2010. Путь ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1 из МЭК 61508-2:2010 может применяться как альтернативный. Следует отметить, что при разработке подсистем ПСБ, чтобы удовлетворить требованиям готовности процесса (например, целевой интенсивности ложных отказов), может потребоваться большее резервирование компонент, чем это указано в МЭК 61511-1:2016 (таблица 6).

Выполнение оценки путем ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1 для достижения соответствия МЭК 61511 должно учитывать целевую рабочую среду. В случае внешних устройств рабочая среда, как правило, оказывает большее влияние на подтверждаемую интенсивность отказов, которая также может влиять на распространение безопасных и опасных отказов.

A.11.4.4 Отказоустойчивость может обеспечиваться неидентичными резервными устройствами (например, когда реализовано разнообразие в резервировании). Отказоустойчивость аппаратных средств ПСБ в действительности определяется самой короткой комбинацией независимых сбоев устройств, которая приводит к общему опасному сбою данной ПСБ. Если ПСБ была разделена на независимые подсистемы ПСБ, то значение отказоустойчивости ее аппаратных средств равно минимальному значению отказоустойчивости аппаратных средств ее ПСБ-подсистем.

Требования к отказоустойчивости аппаратных средств могут быть ослаблены, когда ПСБ ремонтируется в неавтономном режиме. Тем не менее ключевые параметры, связанные с любым ослаблением требований, должны быть предварительно оценены (например, выполнено сравнение длительности MTTR или испытания с вероятностью возникновения запроса во время ремонта или испытаний). Это должно быть включено в вычисление измерений вероятности (ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1, ВОВЧ), связанных с принятыми УПБ.

В зависимости от выбранной архитектуры снижение отказоустойчивости аппаратных средств может привести к повышению риска возникновения опасного события. Риск продолжения работы при известном сбое должен быть оценен для того, чтобы определить необходимость компенсирующих мер.

Определенные единичные отказы/сбои могут быть исключены, если очевидно, что вероятность их возникновения очень низка благодаря свойствам, присущим проекту и конструкции [см. МЭК 61511-1:2016 (подраздел 3.2)], т.е. их вклад в целевую меру отказов суммы опасных отказов последовательно соединенных устройств, для которой требуется исключение сбоев, не должен превышать 1%. Любые подобные исключения сбоев/отказов должны быть обоснованы и документально оформлены. В таком случае обычно нет необходимости ограничивать полноту безопасности любых ФБ ПСБ, несущих эти единичные отказы/сбои (основываясь на отказоустойчивости аппаратных средств).

Примечания

1 В случае внешнего проводного соединения является распространенной практикой допускать, что данные внешнего устройства включают в себя внешнее проводное соединение от внешнего устройства до окончания линии, так как внешнее проводное соединение обладает гораздо более низкой интенсивностью опасных необнаруженных отказов, чем внешнее устройство. В общем, отказоустойчивость аппаратных средств обеспечена для проводного соединения только в том случае, когда отказоустойчивость аппаратных средств необходима для внешнего устройства. Для других форм коммуникаций сигналов может потребоваться определение отказоустойчивости аппаратных средств для средств передачи сигнала отдельно, так как интенсивность опасных необнаруженных отказов в рабочей среде выше. Для таких форм коммуникаций средства коммуникаций сигналов могут нуждаться в большей отказоустойчивости аппаратных средств, чем та, которая требуется для внешних устройств.

2 Устройства системы, выполняющие уникальные функции, которые обычно не требуются для успешной работы ПСБ (например, интерфейсы оператора, инженерные станции, системы управления обслуживанием и устройства регистрации данных), чья вероятность негативного влияния на корректную работу ПСБ мала, как правило, не учитываются в анализе.

Если определенные отказы могут быть исключены (в соответствии с вышеуказанными критериями), то минимальная отказоустойчивость аппаратных средств (HFT) может быть сокращена [см. МЭК 61511-1:2016 (пункт 11.4.6)].

A.11.4.5 Таблица 6 в МЭК 61511-1:2016 устанавливает минимальную допустимую отказоустойчивость для систем и подсистем ПСБ. Требование отказоустойчивости зависит от требуемого значения УПБ для ФБ, реализуемой ПСБ. При установлении отказоустойчивости аппаратных средств разрешено принимать допущения, что ПСБ или подсистема ПСБ была должным образом выбрана для применения и соответственно установлена, укомплектована персоналом и обслуживается таким образом, что отказы на ранних стадиях и связанные с ее развитием могут быть исключены из оценки. Рассмотрение человеческих факторов при определении отказоустойчивости аппаратных средств также не требуется.

A.11.4.6 Отказоустойчивость является предпочтительным решением для получения необходимой уверенности в том, что была достигнута надежная архитектура. В случаях применения МЭК 61511-1:2016 (пункт 11.4.6) целью обоснования является демонстрация того, что предложенная альтернативная архитектура с пониженной отказоустойчивостью аппаратных средств является эквивалентным или лучшим решением (например, посредством других подлежащих верификации средств, таких как сертификация или нечто подобное). Оно должно предоставлять свидетельства того, что:

a) выполнение требований отказоустойчивости аппаратных средств в МЭК 61511-1:2016 (пункт 11.4.5) может привнести дополнительные отказы, которые повлекут за собой понижение общей безопасности, и

b) если отказоустойчивость аппаратных средств снижена до нуля, то виды отказов, идентифицированные в ПСБ, выполняющей ФБ, могут быть исключены, так как интенсивность(и) опасных отказов идентифицированного(ых) вида(ов) отказов очень низкие в сравнении с целевой мерой отказов для рассматриваемой ФБ ПСБ.

Примечания

1 Примеры реализации снижения отказоустойчивости аппаратных средств включают: организацию резерва [например, аналитическая избыточность - замена выхода отказавшего датчика на вычисления физических результатов на выходах других датчиков; использование более надежных элементов той же технологии (если доступны)]; переход на более надежную технологию; снижение последствий отказов по общей причине, используя разные технологии; увеличение границ рабочих режимов проекта; внесение ограничений на условия окружающей среды (например, для электронных компонентов); снижение неуверенности при оценке безотказности посредством сбора большего числа отзывов об эксплуатации или экспертных мнений и т.п.

2 Отказоустойчивость аппаратных средств эффективна только тогда, когда имеется высокая вероятность обнаружения отказа и ремонта одной части перед отказом других резервных частей. При работе с системами, расположенными в удаленных или труднодоступных местах (например, подводная ПСБ), где обслуживание затруднено (если вообще возможно), польза от отказоустойчивости аппаратных средств снижается. В подобных случаях ПСБ может быть спроектирована с повышенной устойчивостью к отказам, используя скорее более безотказные встроенные компоненты, чем отказоустойчивость аппаратных средств.

3 Общая безопасность процесса может быть снижена, если в целях повышения отказоустойчивости установлен дополнительный промышленный комбинированный пускатель двигателя для пуска при полном напряжении (т.е. комбинация выключателя с плавким предохранителем и электромагнитного пускателя с управляющим трансформатором и реле управления, обеспечивающая также защиту от короткого замыкания и перегрузки с помощью подключения и отключения питания к трехфазному реверсивному или нереверсивному двигателю). Это связано с увеличением числа компонентов при использовании нескольких пускателей двигателя в противовес использованию одного пускателя двигателя, приводящему:

- к большему числу ложных срабатываний;

- большей сложности проекта (например, увязка защиты от перегрузки и короткого замыкания) и увеличению числа трудностей, связанных с получением полноценных знаний о поведении и режимах отказов резервных пускателей двигателя;

- возросшей потребности в обслуживании, контроле и испытании;

- росту подверженности высокому напряжению;

- большему числу сбоев на каждом этапе, вызванных недостатком синхронизации (как правило, вызванных ошибками монтажа) между комбинированным пускателями двигателя для пуска при полном напряжении;

- росту подверженности электрическим дугам;

- большему количеству требующихся перезапусков.

Дополнительное обоснование использования единичного комбинированного промышленного пускателя двигателя для пуска при полном напряжении вместо резервирования представлено следующими факторами:

- режимы отказов всех компонентов четко определены;

- поведение пускателя двигателя в условиях сбоя может быть установлено;

- промышленные ручные пускатели или промышленные комбинированные пускатели двигателя для пуска при полном напряжении не прибегают к помощи ПО для выполнения установленных им функций;

- имеется достаточное количество надежных данных по отказам для того, чтобы продемонстрировать, что заявленные интенсивности отказов для обнаруженных и необнаруженных опасных отказов позволяют количественно оценить случайные отказы аппаратных средств;

- низкое значение MTTFdu промышленных комбинированных пускателей двигателя для пуска при полном напряжении;

- использование процедур количественной оценки для верификации использования единичного промышленного комбинированного пускателя двигателя для пуска при полном напряжении оправданно.

A.11.4.7 Дополнительные требования не предусмотрены.

A.11.4.8 Дополнительные требования не предусмотрены.

A.11.4.9 Дополнительные требования не предусмотрены.

A.11.5 Руководящие указания к "Требованиям к выбору компонентов и подсистем"

A.11.5.1 Цели

Дополнительные требования не предусмотрены.

A.11.5.2 Руководящие указания к "Общим требованиям"

Проблемы перехода от непрограммируемых технологий к ПЭ-технологии представлены в приложении C.

A.11.5.2.1 Существуют определенные соображения по выбору устройств и подсистем, применяемых в ПСБ. Первое мнение состоит в том, что устройства должны быть разработаны в соответствии с МЭК 61508-2:2010 (требования к электрическим/электронным/программируемым электронным системам, связанным с безопасностью) и МЭК 61508-3:2010 (требования к ПО). Второе мнение сводится к тому, что следует использовать устройства и подсистемы ПСБ, о которых известно, что они надежно и широко применяются в аналогичных задачах и окружающих условиях на протяжении их полезного срока службы. Полезный срок службы - это период времени, в который интенсивность отказов устройства в значительной степени постоянна. Вероятностный расчет результирующего значения ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1 для всей ПСБ (которое должно удовлетворять требованию УПБ каждой ФБ, реализованной в этой ПСБ) основан на этих интенсивностях отказов. По окончании полезного срока службы интенсивности отказов могут постепенно возрастать, например из-за старения.

Какое бы мнение ни было выбрано, необходимо продемонстрировать, что устройство или подсистема ПСБ:

a) достаточно надежна, чтобы можно было достичь общей целевой ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1 или целевой интенсивности опасных отказов ФБ ПСБ;

b) отвечает требованию ограничений архитектуры;

c) имеет достаточно низкую вероятность систематических сбоев;

d) в случае электрических устройств они должны иметь соответствующую интенсивность отказов или же их выбор должен быть основан на результатах предыдущего использования.

Требование перечисления с) может быть выполнено либо в соответствии с МЭК 61508-2:2010 и МЭК 61508-3:2010, либо на основании требований к предшествующему использованию, установленных в МЭК 61511-1:2016 (пункт 11.5.3).

Практический подход к выбору устройств, используемых в приложениях безопасности, заключается в применении комбинации свидетельств соответствия с МЭК 61508-2:2010 и МЭК 61508-3:2010, а также эксплуатационного опыта. Такой подход гарантирует, что выбираемые устройства проектируются, изготавливаются и настраиваются для использования в системах безопасности, а также успешно функционируют в предназначенном для них применении (например, учитывают отказы, внесенные приложением).

Процедуры для демонстрации того, что устройство соответствует МЭК 615-8-2:2010 и МЭК 61508-3:2010, не включают в себя рассмотрение возможных режимов опасных отказов интерфейсов, установки, энергопитания или коммуникационных интерфейсов процесса, могут не включать полное описание границ устройства и иногда ограничиваются Э/Э/ПЭ-частью устройства. Отказы, связанные с технологическими процессами, значительно преобладают в датчиках, включая отказы из-за подключенных технологических линий, незадействованных линий, коррозии и проникновении газа, а также отказы в клапанах из-за повреждения седла, закупоривания, смещения и коррозии (включая отложения на штоке). По этой причине устройства, разработанные в соответствии с МЭК 61508-2:2010 и МЭК 61508-3:2010, должны подвергаться оценке для обеспечения работы этого устройства в приложении, для которого оно предназначено. Оценка может включать сбор информации о предыдущем использовании или моделирование испытания статистических образцов.

При выборе устройств пользователю следует рассмотреть методы защиты от систематических отказов. Для устройства, разработанного в соответствии с МЭК 61508-2:2010 и МЭК 61508-3:2010, существует большое количество методов и мер, которые должны быть внедрены производителем во время разработки устройства, чтобы снизить возможность возникновения систематического отказа. С другой стороны, для данного устройства данного применения история предыдущего использования, основанная на значительном документально оформленном опыте, может использоваться для демонстрации достаточно низкой вероятности опасных систематических отказов, связанных с предназначенным применением, и потому надлежащей защиты от них.

A.11.5.2.2 Дополнительные требования не предусмотрены.

A.11.5.3 Руководящие указания к "Требованиям выбора компонентов и подсистем на основе опыта их предшествующего применения"

A.11.5.3.1 Многие пользователи обладают устройствами, допущенными для применения на их объекте. Датчики и клапаны, которые уже показали неспособность функционировать желаемым образом, больше не используются в качестве допущенных для применения устройств.

Оценка этих устройств должна содержать особенности версии устройства и документально оформленные данные по контролю процесса эксплуатации. Кроме того, изготовитель должен установить процесс внесения изменений, учитывающий влияние зафиксированных отказов и реализуемых изменений.

TSA TR84.00.04:2015 и рекомендация NAMUR NE130 ("Предшествующее использование" - устройства для систем ПСБ") содержат указания по квалификации внешних устройств, по поддержанию контроля их процессов управления изменениями, а также наблюдению и документальному оформлению их рабочих характеристик. Результаты могут быть собраны в форме согласования на устройство.

Если подобной формы не существует, то пользователям и проектировщикам следует провести оценку датчиков и клапанов, чтобы убедиться, что эти приборы соответствуют желательному функционированию. Могут потребоваться консультации с другими пользователями или проектировщиками, чтобы учесть результаты применения устройств в аналогичных случаях.

A.11.5.3.2 Необходимо отметить, что для более сложных устройств может оказаться затруднительным показать, что опыт, полученный в некотором применении, полезен в решаемой задаче. Например, опыт применения программируемых логических контроллеров (ПЛК) для случая, предусматривающего использование простой многоступенчатой логики, может не подойти для технических средств, которые будут использовать для выполнения сложных вычислений или обработки событий.

Вообще говоря, соответствующие аспекты работы периферийных устройств и логического решающего устройства различны.

Работу периферийных устройств характеризуют следующие аспекты:

- функциональное назначение (например, измерение, управляющее действие);

- рабочий диапазон;

- свойства процесса (например, свойства химических веществ, температура, давление);

- подключение к процессу.

Работу логических решающих устройств характеризуют следующие аспекты:

- версия и структура аппаратных средств;

- версия и конфигурация системного программного обеспечения;

- прикладное программное обеспечение;

- конфигурация ввода-вывода;

- быстродействие;

- интенсивность запросов процесса.

Работу всех устройств характеризуют следующие аспекты:

- электромагнитная совместимость (ЭМС);

- условия окружающей среды.

A.11.5.3.3 Дополнительные требования не предусмотрены.

A.11.5.4 Руководящие указания к "Требованиям к выбору устройств, программируемых на фиксированном языке программирования (ФЯП) (например, внешних устройств), на основе опыта их применения"

A.11.5.4.1 Дополнительные требования не предусмотрены.

A.11.5.4.2 Дополнительные требования не предусмотрены.

A.11.5.4.3 Дополнительные требования не предусмотрены.

A.11.5.4.4 Данный подпункт разъясняет дополнительные требования, применяемые при попытках квалифицировать устройство, программируемое на ФЯП, как способное обеспечить УПБ 3.

A.11.5.5 Руководящие указания к "Требованиям к выбору устройств, программируемых на языке программирования с ограниченной изменчивостью (ЯОИ) (например, логических решающих устройств), на основе опыта их применения"

A.11.5.5.1 Дополнительные требования не предусмотрены.

A.11.5.5.2 Дополнительные требования не предусмотрены.

A.11.5.5.3 Дополнительные требования не предусмотрены.

A.11.5.5.4 Дополнительные требования не предусмотрены.

A.11.5.5.5 Дополнительные требования не предусмотрены.

A.11.5.5.6 Дополнительные требования не предусмотрены.

A.11.5.6 Руководящие указания к "Требованиям для выбора устройств, использующих язык программирования с полной изменчивостью (ЯПИ) (например, логических решающих устройств)"

Дополнительные требования не предусмотрены.

A.11.6 Внешние устройства

A.11.6.1 Дополнительные требования не предусмотрены.

A.11.6.2 Дополнительные требования не предусмотрены.

A.11.6.3 Дополнительные требования не предусмотрены.

A.11.7 Интерфейсы

A.11.7.1 Руководящие указания к "Общим требованиям"

К интерфейсам пользователей ПСБ относятся интерфейсы оператора и интерфейсы обслуживания/разработки. Данные или информация, которой обмениваются ПСБ и рабочие места операторов, может быть как связанной с ПСБ, так и справочной.

Если действие оператора является частью ФБ ПСБ, то все, что должно быть выполнено для реализации этого действия, необходимо рассматривать как часть функции безопасности ПСБ. В это действие, например, может быть включен аварийный сигнал, указывающий на то, что оператор должен остановить процесс. В этом примере выключатель останова (как и иные технические средства, обеспечивающие действия по останову) надо рассматривать как часть ФБ ПСБ.

Передача данных, не являющихся частью ФБ ПСБ (например, индикация действительного значения сигнала датчика функции безопасности ПСБ при условии, что функция срабатывания реализована внутри ФБ ПСБ), может осуществляться в ОСУП, если можно показать, что функции безопасности ПСБ не подвергаются риску (например, при реализации в ОСУП доступа к ним только в режиме чтения).

A.11.7.2 Руководящие указания к "Требованиям к интерфейсу оператора"

Интерфейсы оператора, использующиеся для обмена информацией между оператором и ПСБ, и могут включать в свой состав:

- дисплеи;

- панели, содержащие лампочки, кнопки и переключатели;

- сигнальные устройства (визуальные и звуковые);

- принтеры (не должен быть единственным средством вывода информации);

- любую их комбинацию.

a) Видеодисплеи

Видеодисплеи ОСУП могут совместно использоваться функциями ПСБ и ОСУП, если они отображают только справочную информацию. Информация, критичная для безопасности, должна дополнительно индицироваться через ПСБ (например, если оператор выполняет часть функции безопасности).

Если во время аварийных ситуаций необходимо действие оператора, то темпы добавления и обновления данных на операторском дисплее должны соответствовать СТБ.

Видеодисплеи, связанные с ПСБ, должны быть ясно определены в качестве таковых, избегая двусмысленности или возможного замешательства оператора в аварийной ситуации.

Интерфейс оператора ОСУП может быть использован для обеспечения автоматической регистрации событий ФБ ПСБ и функций формирования аварийных сигналов ОСУП.

Условия, подлежащие регистрации, могут включать:

- события, происходящие в ПСБ (такие как срабатывание и предаварийные происшествия);

- доступна ли ПСБ к изменениям в программах;

- результаты диагностики (например, расхождение и т.п.).

Важно, чтобы оператор был готов к обходу любой части ПСБ с помощью процедуры, обрабатывающей аварийный сигнал, и/или рабочей процедуры. Например, обход исполнительного элемента в ПСБ (например, запорного клапана) может быть выполнен с использованием концевых переключателей обходимого клапана, которые включают аварийный сигнал на панели оператора, или установленных перемычек, или механических блокировок на обходимом клапане, которыми управляют рабочие процедуры. Вообще предлагается поддерживать эти аварийные сигналы обхода отдельно от ОСУП.

b) Панели

Панели должны быть расположены так, чтобы операторы имели к ним свободный доступ. Расположение любых панелей должно рассматриваться с точки зрения областей, подверженных любым возможным опасностям.

Панели должны быть устроены так, чтобы расположение кнопок управления, лампочек, индикаторов и других источников информации не запутывало оператора. Если выключатели останова для различных модулей процесса или оборудования выглядят одинаково и расположены вместе, то возможен останов не того оборудования, если оператор находится в состоянии стресса при аварийной ситуации. Выключатели останова должны быть физически разнесены и снабжены этикеткой с названием функции. Должны существовать средства проверки всех лампочек.

c) Принтеры и регистраторы

Принтеры, подключенные к ПСБ, не должны нарушать ФБ ПСБ в случаях их неисправности, отключения, окончания бумаги или аномальной работы.

Принтеры полезны для распечатки последовательностей событий, результатов диагностики и других событий и аварийных сигналов, имеющих метки времени и даты и идентификационные номера. Следует предусматривать вспомогательные средства для формирования отчетов.

Если печать выполняется через буферную память (информация собирается, хранится и затем печатается по запросу или в заданное время), то емкость буфера должна быть такой, чтобы информация не была потеряна и чтобы функции ПСБ ни при каких обстоятельствах не нарушались из-за переполнения буферной памяти.

Чтобы быстро передать оператору критическую информацию, надо дать ему всю необходимую информацию на одном дисплее. Важно обеспечить логичность показаний, поэтому методы, порядок включения сигнализации и устройства дисплея следует согласовывать с дисплеями ОСУП.

Важно также размещение информации по дисплеям. Необходимо избегать размещения большого количества информации на одном дисплее, так как это может привести операторов к ошибочному считыванию данных и выполнению неправильных действий. Чтобы направить внимание оператора на важную информацию, сокращая при этом вероятность его ошибок, необходимо использовать цвета, мигающие индикаторы и разумное расположение данных на экране дисплея. Сообщения должны быть ясными, четкими и однозначными.

Информация на дисплее должна быть сформирована так, чтобы данные могли быть распознаны даже операторами, страдающими дальтонизмом. Например, информация, представленная красным или зеленым цветом, могла бы быть одновременно представлена графическим объектом с заливкой или без заливки соответственно.

A.11.7.2.1 Дополнительные требования не предусмотрены.

A.11.7.2.2 Дополнительные требования не предусмотрены.

A.11.7.2.3 Дополнительные требования не предусмотрены.

A.11.7.2.4 Дополнительные требования не предусмотрены.

A.11.7.2.5 Дополнительные требования не предусмотрены.

A.11.7.2.6 Дополнительные требования не предусмотрены.

A.11.7.2.7 Дополнительные требования не предусмотрены.

A.11.7.3 Руководящие указания к "Требованиям к интерфейсу обслуживания/разработки"

A.11.7.3.1 Дополнительные требования не предусмотрены.

A.11.7.3.2 Дополнительные требования не предусмотрены.

A.11.7.3.3 Интерфейсы технического обслуживания/разработки включают в свой состав средства программирования, испытаний и технического обслуживания ПСБ. Эти интерфейсы представляют собой устройства, которые используются для выполнения функций, таких как:

a) системное конфигурирование аппаратных средств;

b) разработка, документальное оформление и загрузка ППО логического решающего устройства ПСБ;

c) доступ к ППО для выполнения изменений, испытаний и контроля;

d) наблюдение за системными ресурсами ПСБ и диагностической информацией;

e) изменение уровней безопасности ПСБ и доступа к переменным ППО.

Интерфейсы технического обслуживания/разработки должны отображать действия и диагностическое состояние любых устройств ПСБ (например, входных/выходных модулей, процессоров), включая связи между ними.

Такие интерфейсы должны предоставлять средства для копирования ППО программ на носители для создания резервных копий.

Если подключенный с ПСБ для технического обслуживания/разработки персональный компьютер неисправен, выключен или отсоединен, то он не должен нарушать функции безопасности ПСБ.

A.11.7.3.4 Дополнительные требования не предусмотрены.

A.11.7.4 Руководящие указания к "Требованиям к коммуникационным интерфейсам"

A.11.7.4.1 Два интерфейса могут выглядеть одинаково, лишь бы интерфейс обслуживания/разработки не мог использоваться для управления процессом. ПО обслуживания/разработки не должно использоваться в качестве интерфейса оператора.

A.11.7.4.2 Дополнительные требования не предусмотрены.

A.11.7.4.3 Дополнительные требования не предусмотрены.

A.11.7.4.4 Дополнительные требования не предусмотрены.

A.11.8 Руководящие указания к "Требованиям к проектированию обслуживания или испытаний"

A.11.8.1 В проекте ПСБ должно быть учтено, как система должна обслуживаться и проверяться. Если ПСБ должна проверяться на действующем процессе, то в проекте не должны предусматриваться отсоединение проводов, применение перемычек или вызов программных регистров (например, входов, выходов), так как использование подобных технических решений может угрожать нарушением цельности ПСБ. В проекте системы должны рассматриваться технические и процедурные требования к испытанию ПСБ, необходимые для проведения полных системных испытаний датчиков, логического решающего устройства и исполнительных элементов на безопасность.

Важно определить, как будет проводиться обслуживание системы на действующем процессе. Например, если датчик или клапан должен оставаться в работе, то следует рассмотреть, как обслуживающее подразделение будет работать с этими устройствами, не вызывая ложных срабатываний, сохраняя безопасность процесса.

Необходимо отметить, что любое ограничение межпроверочного интервала исполнительных элементов должно быть учтено при вычислении значений ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1 для ФБ ПСБ.

A.11.8.2 Дополнительные требования не предусмотрены.

A.11.8.3 Байпасы могут привести к снижению уровня безопасности ПСБ. Такое снижение защиты можно ослабить следующими приемами:

- применением паролей и/или ключа блокирования переключателей. В некоторых проектах могут быть предусмотрены запираемые шкафы, содержащие соответствующие средства для обхода;

- явным выделением обходных схем, которое может быть дополнено либо опечатыванием положений клапана, либо установкой знаков безопасности, указывающих на важность соответствующей позиции;

- четко установленными процедурами или средствами (например, основное устройство включения и отключения байпаса) для управления применением байпаса или его отключения;

- использованием байпасов, обладающих функцией ограничения времени, которая автоматически отключает байпас - подобная функция снижает риск того, что при завершении испытания или обслуживания остаются включенные байпасы.

Например, при конфигурации датчика по схеме "1 из 2" некоторые пользователи предпочитают иметь обход, охватывающий оба датчика одновременно, тогда как другие предпочитают иметь раздельные обходы для каждого датчика. Если оба датчика имеют обходы, необходимо предусмотреть меры, обеспечивающие, что риск останется приемлемым. Если это невозможно, то следует вернуться на более раннюю стадию разработки.

Аналогично некоторые операции процесса не допускают изменения положения клапана на действующем объекте либо установка средств обхода клапана может оказаться нецелесообразной. В таких случаях проект должен предусматривать проведение проверки ПСБ, насколько это практически возможно, т.е. по крайней мере с помощью соленоидного клапана. При этом в проект может быть включен обход соленоида с обычной процедурой обработки аварийного сигнала или процедурами контроля этого обхода.

A.11.8.4 В ПСБ могут использоваться таймеры, ограничивающие продолжительность байпаса, например посредством автоматической перенастройки и/или аварийного сигнала оператору; в ПСБ может предоставляться логика, позволяющая автоматически перенастроить любые блокировки и выходы за граничные значения, например недостаток давления при запуске насоса.

A.11.8.5 Дополнительные требования не предусмотрены.

A.11.8.6 Процедура принудительного изменения состояния входов и выходов в ПЭ ПСБ не должна использоваться в качестве части ППО. Например, неконтролируемое принудительное изменение состояния входов и выходов через редактирование памяти в логическом решающем устройстве в режиме онлайн с помощью инструментов программистов во время функционирования программы часто применяется при разработке программы для изучения предлагаемых модификаций ППО. Тем не менее подобная практика не должна применяться на действующем процессе, так как она замаскирует "настоящий" входной статус переменных, поступающих с предприятия, и/или будет передавать ложные выходы устройствам на предприятии. При любом исходе логическое решающее устройство не будет контролировать предприятие предсказуемым образом. Более того, такие незначительные модификации прикладной программы могут быть легко не замечены, оставаясь в программе, когда в них уже нет необходимости.

A.11.9 Руководящие указания к "Количественной оценке случайного отказа"

A.11.9.1 Пользователи и разработчики должны руководствоваться методиками, представленными в приложении J МЭК 61511-3:2016; приложении B МЭК 61508-6:2010; ИСО 12489; ISA TR84.00.02:2002; приложении B МЭК 61508-3:2010; МЭК 61025 (дерево сбоев); МЭК 61078 (блок схемы надежности); МЭК 61165 (графы Маркова); МЭК 62551 (сети Петри); МЭК 62502 (дерево событий), которые обеспечивают, что функционирование разрабатываемой ПСБ удовлетворяет требованиям, связанным со случайными отказами аппаратных средств.

В течение интервалов контрольных проверок вероятность опасного отказа при наличии запроса, ВОНЗ(t), постоянно растает с течением времени. Поэтому после того, когда она превышает свое среднее значение, она все время остается выше него до конца интервала контрольной проверки. В некоторых случаях это значение может даже превысить верхний предел УПБ, соответствующий этому среднему значению, и неизменно оставаться выше него. Таким образом, когда необходим высокий уровень полноты безопасности, одни лишь средние значения могут создавать ложное впечатление безопасности, поэтому следует осуществить верификацию, например верификацию того, что риск, соответствующий пиковым значениям, согласуется с критериями риска организации пользователя.

За выполнением ФБ ПСБ в режиме работы по запросу (например, закрытие клапана, чтобы предотвратить сверхдавление) довольно часто сразу следует другая ФБ ПСБ, которая для своего выполнения использует те же компоненты, но действует в непрерывном режиме работы (например, предотвращение открытия клапана, пока давление на его входе превышено, за счет клапана противоточного типа). Поэтому для режима работы ФБ ПСБ, действующей по запросу, следует учитывать частоту возникновения опасности, связанную с отказом, при котором ПСБ не удержит процесс в безопасном состоянии.

A.11.9.2 Оцениваемые интенсивности отказов могут быть определены с помощью количественного анализа видов отказов проекта, используя данные по отказам, полученные из признанного промышленного источника или из опыта предыдущего использования в такой же среде, как и для целевого применения. В консервативных целях в вычислениях может использоваться верхний доверительный предел для входных данных, равный 70%.

Следует отметить, что общая интенсивность необнаруженных отказов отказоустойчивых элементов зависит от времени и возрастает на интервалах контрольных проверок. Отказоустойчивые элементы могут иметь интенсивности отказов, зависящие от времени.

Пример - Элемент, состоящий из двух похожих компонентов A и B с одинаковой интенсивностью необнаруженных отказов ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1, обладает общей интенсивностью необнаруженных отказов А, увеличивающейся от 0 до ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1 с увеличением времени.

При количественной оценке влияния случайных отказов аппаратных средств ПСБ (или подсистемы этой ПСБ) со значением отказоустойчивости аппаратных средств, равным нулю, которая реализует ФБ ПСБ, действующую в режиме высокой частоты запросов или с непрерывными запросами, доверие (предпочтение) должно быть отдано только диагностике, если:

- сумма интервала диагностических проверок и времени реакции, позволяющей перейти в безопасное состояние или поддерживать его, должна быть меньше, чем время безопасности процесса; или

- в режиме с высокой частотой запросов отношение частоты диагностических проверок к частоте запросов равно или превышает 100.

Процедура проведения контрольной проверки и анализ безотказности средств выполнения контрольной проверки включает, например:

- продолжительность контрольных проверок;

- состояние процесса (действующий или остановлен) во время контрольной проверки;

- состояние испытываемого устройства во время контрольных проверок (в автономном или не автономном режиме); если испытываемое устройство находится в автономном режиме (т.е. недоступно) во время контрольной проверки - то это может иметь важное значение для его ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1;

- охват контрольной проверкой, когда контрольные проверки не эффективны на 100%. Это подразумевает идентификацию отказов, которые, по своему существу, никогда не могут быть обнаружены контрольными проверками;

- отказ, который может быть вызван самими контрольными проверками (например, отказ из-за изменения состояния, необходимого для цели тестирования);

- возможность проведения контрольных проверок с временным сдвигом для аналогичных дублирующих устройств для того, чтобы устранить связь между контрольными проверками устройств;

- возможность для контрольной проверки вернуть неверный результат о состоянии ПСБ:

- на контрольную проверку оказал воздействие сбой, связанный с самой контрольной проверкой;

- ошибки человека при проведении контрольных проверок (например, реальный отказ не обнаружен, потеря теста, прошедшее контрольную проверку или ремонт устройство остается в автономном режиме после завершения этой проверки или ремонта и т.д.).

Если интервал проведения контрольных проверок для вычислений вероятностей в явном виде не определен, то значение MTTR отдельных обнаруживаемых опасных отказов может быть вычислено как половина интервала контрольной проверки плюс MRT рассматриваемого отказа.

Большинство методик в приложении A.11.9.1 требует некоторой количественной оценки охвата диагностикой ПСБ. Диагностика - это автоматическое выполнение тестов для обнаружения сбоев в ПСБ, которые могут привести к безопасным или опасным отказам.

Конкретный метод диагностики обычно не позволяет обнаружить все возможные сбои. Эффективность используемой диагностики может быть оценена для набора сбоев, для которого предназначен этот метод диагностики (примеры расчета охвата диагностикой см. в МЭК 61508-2:2010, приложение C, и МЭК 61508-6:2010, приложение C).

Повышение охвата диагностикой ПСБ может помочь выполнению требований, предъявляемых по УПБ. В этом случае при расчете вероятности отказов (в режиме запросов) или интенсивности отказов (в непрерывном режиме) ПСБ должны быть учтены как степень диагностического охвата, так и период проведения диагностических проверок (интервала диагностических проверок). Дополнительные указания см. в МЭК 61508-2:2010 приложение C, и ISA TR84.00.02:2015.

Если ПСБ является единственным слоем защиты и используется для выполнения функции безопасности в непрерывном режиме, то интервал диагностических проверок следует сделать таким, чтобы сбои в ПСБ были обнаружены за время, достаточное для обеспечения полноты ПСБ и выполнения действий, позволяющих в случае отказа в процессе или в ОСУП сохранить безопасное состояние.

Чтобы этого добиться, сумма интервала диагностических проверок и времени реакции, позволяющего перейти в безопасное состояние, должна быть меньше, чем время безопасности процесса. В соответствии с МЭК 61511-1:2016 (подпункт 3.2.52.1) время безопасности процесса определяется как время между отказом (потенциально способным привести к опасному событию), возникающим в процессе или в ОСУП, и появлением опасного события, если ФБ ПСБ не выполняется.

Критичные и потенциально критичные неисправности в общих устройствах (таких как центральный процессор, устройства памяти типов RAM или ROM) обычно препятствуют почти всему процессу обработки данных, и их гораздо труднее обнаружить, чем неисправность отдельного выходного устройства. Виды отказов, имеющих высокую вероятность, должны выявляться с большей достоверностью. Более того, следует учитывать выявляемость видов отказа.

Для каждой реализуемой диагностики интервал проведения проверок и действие, вызванное выявленной неисправностью, должны удовлетворять СТБ.

Если такие диагностические средства не "встроены" в поставляемое оборудование, то на системном или прикладном уровне могут быть реализованы внешние средства диагностики, чтобы удовлетворить УПБ функции безопасности ПСБ.

Диагностика может не обнаружить систематические ошибки (такие как ошибки в программах). Однако можно осуществить подходящие предупредительные меры, чтобы обнаружить возможные систематические ошибки.

Диагностику можно выполнить, используя разнообразные методы или их комбинацию, включая:

a) для датчиков:

1) могут быть предусмотрены диагностические сигналы, означающие, что выявлен полный отказ датчика с выходом его выходного сигнала за верхнюю или нижнюю границу диапазона измерений. Одним из путей, которым это может быть достигнуто, является использование аварийного сигнала, если значения датчика оказались вне его рабочего диапазона. Например, в применение, контролирующее высокую температуру и использующее резервные температурные датчики, чтобы диагностировать отказ датчика или потерю его сигнала, можно добавить аварийный сигнал, если значение сигнала датчика оказалось ниже нижнего уровня его рабочего диапазона;

2) если используют резервные датчики, то сравнение аналоговых значений позволяет выявить аномалии, происшедшие при нормальной работе. Если применяют три датчика, то можно использовать значение датчика, являющееся средним из этих трех датчиков (отбор среднего значения - см. примечание ниже). Значительные расхождения между показаниями устройств могут быть из-за:

- засорения разъемов измерительных цепей и соединительных линий;

- снижения давления в системе очистки;

- зарастания каналов ввода термопар;

- проблем с заземлением или энергопитанием;

- отсутствия реакции устройства передачи датчика, выходной сигнал которого перестал изменяться.

Примечание - Отбор среднего значения обладает преимуществом по отношению к среднему арифметическому от трех датчиков, потому что среднее арифметическое искажается неправильно функционирующим устройством. Как бы там ни было, отбор среднего значения не работает, если два датчика выдают неверные результаты измерений, и в таком случае можно рассмотреть отказы общего вида;

3) если применено перечисление 2) или было проведено сравнение между аналоговыми датчиками в ПСБ и сравнимыми показателями параметров процесса, полученными другими датчиками в системах, таких как ОСУП, то возможное улучшение охвата диагностикой будет зависеть от конкретных приложений и должно подвергаться анализу, оценке и документальному оформлению. Если требуется, чтобы степень диагностического охвата должна быть больше 90%, то должны подвергаться анализу и документально оформляться источники отказов по общей причине (ООП).

Примечания

1 Используя сравнение, любое несоответствие может, по крайней мере, автоматически сгенерировать аварийный сигнал. Порог срабатывания для подобной аварийной сигнализации несоответствия может быть установлен в соответствии с документально зафиксированным отклонением переменной соответствующего процесса. Подобные сравнения выявляют как отказ датчиков ПСБ, так и отказ датчиков, не связанных с ПСБ. В дальнейшем ложные тревоги или ложные срабатывания, сгенерированные отказами датчиков, не связанных с ПСБ, могут подвергнуться анализу перед внедрением подобного решения.

2 Улучшение диагностического охвата за счет сравнения подобного типа может применяться для увеличения интервала контрольной проверки;

4) могут быть введены временные задержки для предотвращения случайных срабатываний аварийной сигнализации из-за различия времени реакции датчиков на изменения в процессе, связанных с размещением датчика или принципом его действия. Например, некоторые резервные датчики расхода могут иметь задержки от 1 до 2 с. Существует много пакетов программ, поставляемых продавцами датчиков, для контроля показаний резервных датчиков и вычисления стандартного отклонения, способных инициировать диагностическую сигнализацию;

5) другим способом диагностики датчика является сравнение с изменениями связанных переменных (например, показания накопительных расходомеров сопоставляются с изменениями уровня в емкости или с соотношениями давления и температуры);

b) для исполнительных элементов:

1) для проверки выполнения ожидаемых действий может быть проведено сравнение сигналов обратной связи, получаемых с выхода исполнительного элемента (такого как сигнал конечного выключателя или сигнал от датчика положения), с требуемым состоянием. Чтобы отфильтровать сигнал, получаемый во время перемещения клапана (например, от полностью открытого до полностью закрытого положения), следует использовать значительные временные задержки. Если клапан в ходе нормальной работы периодически меняет свое безопасное состояние (например, в операциях дозирования), то это сравнение сигнала обратной связи исполнительного элемента с требуемым его состоянием можно рассматривать только как диагностическую операцию;

2) некоторые клапаны, приводы, соленоиды и/или позиционеры могут обладать способностью к самодиагностированию;

c) для логических решающих устройств:

- в типовых случаях программируемые электронные логические устройства, подготовленные для задач безопасности или отвечающие требованиям комплекса стандартов МЭК 61508, включают в себя диагностические средства, выявляющие различные неисправности. Типы таких средств и их степень диагностируемости обычно описываются в руководствах по безопасности;

d) для внешних средств диагностики:

- примерами таких средств служат контрольные (сторожевые) таймеры и концевые мониторы.

Должна также учитываться уверенность в данных о безотказности, используемых для вычисления целевой меры. Использование 70%-ных верхних доверительных границ входных параметров безотказности гарантирует выполнение консервативных вычислений, и это обсуждается в МЭК 61511-1:2016 (пункт 11.9.4).

A.11.9.3 Дополнительные требования не предусмотрены.

A.11.9.4 Значения данных по безотказности, используемые при количественной оценке последствий случайных отказов аппаратных средств, всегда известны только с числовыми погрешностями. Таким образом, оценивание влияния этих погрешностей на целевую меру полезно при определении требований УПБ.

Погрешность (см. примечание) заданного параметра безотказности (например, интенсивности отказов) может быть оценена посредством:

a) статистического анализа;

b) применения экспертной оценки там, где это требуется;

c) выполнения определенных тестов.

Согласно общему правилу числовые погрешности уменьшаются с ростом доступной обратной информации об эксплуатации.

Таким образом, параметр безотказности является не столько хорошо определяемым детерминированным значением, сколько случайной переменной с большим или маленьким разбросом, отклоняющимся от ее среднего значения, как это показано на рисунке A.5.

ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1

Рисунок А.5 - Иллюстрация погрешности для параметра безотказности

Чем более острое распределение, тем меньше погрешность параметра. На рисунке A.5 погрешность возрастает слева направо.

В пределе, если параметр полностью известен, кривая будет представлять из себя простую вертикальную прямую линию (т.е. обобщенная функция Дирака).

Как показано на рисунке A.5, погрешность параметра безотказности ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1 может быть оценена по его доверительному интервалу, например, на 90%-ной отметке: действительное среднее значение ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1 с вероятностью 90% попадает в интервал [ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1,ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1] (ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1 с вероятностью 5% будет лучше, чем ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1, и с вероятностью 5% будет хуже, чем ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1).

Доступ к полной версии этого документа ограничен

Ознакомиться с документом вы можете, заказав бесплатную демонстрацию систем «Кодекс» и «Техэксперт».

Что вы получите:

После завершения процесса оплаты вы получите доступ к полному тексту документа, возможность сохранить его в формате .pdf, а также копию документа на свой e-mail. На мобильный телефон придет подтверждение оплаты.

При возникновении проблем свяжитесь с нами по адресу spp@kodeks.ru

ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1

Название документа: ГОСТ Р МЭК 61511-2-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1

Номер документа: МЭК 61511-2-2018

Вид документа: ГОСТ Р

Принявший орган: Росстандарт

Статус: Документ в силу не вступил

Опубликован: Официальное издание. М.: Стандартинформ, 2018 год
Дата принятия: 11 сентября 2018

Дата начала действия: 01 июля 2019
Информация о данном документе содержится в профессиональных справочных системах «Кодекс» и «Техэксперт»
Узнать больше о системах