Точный
Статус документа
Статус документа

ГОСТ Р МЭК 61511-2-2011 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1

     9.2 Требования к процессу распределения

9.2.1 Первое требование состоит в том, чтобы согласовать используемые слои защиты и распределить задания на качество работы по функциям безопасности ПСБ. На практике часто функции безопасности распределяются только по ПСБ, так как в таких существуют проблемы применения разработок с внутренне присущей им безопасностью и систем, работающих на других принципах действия.

Примерами таких проблем являются ограничения, связанные с воспламеняемостью или с защитой от экзотермических реакций. Любое решение по использованию приборных систем вместо традиционных подходов, таких, как предохранительные клапаны, требуется подкрепить разумными доводами, которые покажутся вескими надзорным органам.

Как указывалось выше, действия по оценке опасности и риска и по распределению могут выполняться параллельно, либо распределение может при некоторых обстоятельствах выполняться перед оценкой опасности и риска. Решения по распределению функций безопасности ПСБ по слоям защиты часто принимаются на основе практического опыта организации-пользователя. Следует также учесть хорошую установившуюся промышленную практику. Решения, принимаемые по ПСБ, должны допускать наличие других уровней защиты. Например, если установлены предохранительные клапаны и они спроектированы и смонтированы в соответствии с промышленными нормами, то может быть решено, что их достаточно для достижения адекватного снижения риска. ПСБ в таких случаях будут только ограничивать давление на уровнях, при которых размер или качество работы предохранительного клапана (клапанов) будут для данного применения недостаточны или будут лишь предотвращать выбросы в атмосферу.

9.2.2 Дополнительные требования не предусмотрены.

9.2.3 Если функция безопасности реализована как функция безопасности ПСБ, то необходимо будет учитывать режим ее реализации - по запросам или по непрерывному запросу. В большинстве случаев в промышленных процессах реализуется режим по запросам, причем частота запросов невелика. Для таких случаев подходит таблица 3, приведенная в МЭК 61511-1. Встречаются случаи с частыми (например, свыше одного раза в год) запросами, для которых более подходящим является режим работы с непрерывным запросом, так как вероятность появления опасного отказа будет определяться прежде всего интенсивностью отказов ПСБ. Для таких случаев применима таблица 4 МЭК 61511-1. Случаи режима работы с непрерывным запросом, в которых отказ привел бы к непосредственной опасности, редки. Система управления горелкой или скоростью турбины может относиться к системе, функционирующей в режиме с непрерывным запросом, если системы защиты недостаточны для всех видов отказов такой системы управления.

Таблица 3 МЭК 61511-1 определяет УПБ, выраженные в значениях средней вероятности отказа при наличии запроса (ВОНЗ). Заданное значение будет определяться требуемым сокращением риска, которое, в свою очередь, может быть найдено путем сравнения риска процесса без ПСБ с величиной допустимого риска. Его можно определить в количественной или качественной форме способами, приведенными в [5].

Таблица 4 МЭК 61511-1 устанавливает УПБ, выраженные в значениях заданной частоты опасных отказов при выполнении функции безопасности ПСБ. Эта частота будет определяться приемлемой интенсивностью отказов ПСБ с учетом последствия отказа в конкретном случае применения. Если для определения требуемого УПБ используется таблица 4 МЭК 61511-1, то его целевое значение базируется на частоте опасных отказов ПСБ. При применении таблицы 4 МЭК 61511-1 некорректно преобразовывать частоту опасных отказов в вероятность их появления при наличии запроса, используя межпроверочный интервал или интенсивность запросов. Хотя при таком преобразовании единицы измерения могут быть правильными, оно будет ошибочным и может привести к невыполнению требований, предъявляемых к УПБ функций безопасности.

Заданные значения средней вероятности отказов при наличии запроса или частоты опасных отказов применяются к функции безопасности ПСБ, а не к отдельным компонентам или подсистемам. Компонент или подсистема (например, датчик, логическое решающее устройство, оконечный элемент) не могут иметь УПБ, установленные вне их применения в конкретной ПСБ. Однако компонент или подсистема могут иметь независимый максимальный УПБ, характеризующий ее возможности.

Результатом работ по оценке опасности и риска и по распределению требований должно быть ясное описание функций, которые будут выполнены системами безопасности, включая возможные ПСБ и требования к УПБ (вместе с режимом работы, непрерывным или по запросам) для каждой функции безопасности ПСБ. Такое описание формирует основу для составления спецификации требований к безопасности ПСБ. Описание функций должно быть ясным настолько, насколько это необходимо для того, чтобы обеспечить поддержание безопасности.

На данной стадии реализации нет необходимости определять структуру для подсистем датчиков и клапанов. Решения по таким структурам достаточно сложны, и определение, требует ли конкретная подсистема датчиков голосующую группу 2oo3, а подсистема клапанов голосующую группу 1oo2, будет зависеть от многих факторов.

9.2.4 Необходимо полностью понимать смысл таблиц 3 и 4, приведенных в МЭК 61511-1. В частности, значения ВОНЗ, которые могут быть приняты для одиночной функции безопасности ПСБ, ограничены пределом 10, что связано со снижением риска в 10 раз (УПБ 4). Анализ надежности может показать, что достижение интенсивности случайных отказов технических средств, не превышающей 10, возможно, но в МЭК 61511-1 принимается, что систематические отказы и отказы по общей причине будут ограничивать реально достигаемое качество функционирования. Настоятельно рекомендуется, чтобы в тех случаях, когда анализ риска показывает необходимость столь значительного снижения риска, была бы принята во внимание трудность достижения УПБ 4 для функции безопасности ПСБ в секторе промышленных процессов. При этом следует рассмотреть возможность использования нескольких независимых ПСБ с более низким УПБ.

К примечанию 4. Чтобы достичь более высоких уровней снижения риска (например, превышающих 10), можно использовать несколько ПСБ. При этом важно, чтобы каждая из ПСБ могла независимо выполнять функцию безопасности и чтобы независимость между ПСБ была достаточно обоснованной. Например, может оказаться нецелесообразным объединять контур давления, обладающий УПБ 2, с контуром уровня, имеющим УПБ 1, чтобы реализовать функцию безопасности по превышению давления, отвечающую требованию к снижению риска, равному 10, так как в тот момент, когда датчик уровня обнаружит повышение уровня, сосуд уже может находиться под давлением, превышающим установленное ограничение.

Кроме того, при использовании нескольких ПСБ следует учитывать отказы по общей причине. При этом должны выполняться все остальные требования, установленные в МЭК 61511-1, включая требования к минимальной отказоустойчивости, приведенные в таблице 5.

Чтобы проиллюстрировать, как можно совместно использовать несколько ПСБ для достижения более высоких уровней снижения риска, рассмотрим следующий пример.

Пусть комплект датчиков, соединенных по схеме "2 из 3", группа логических устройств со структурой "2 из 3" и соединение исполнительных устройств "1 из 2" образуют ПСБ, имеющую , равную 3,05х10. Такая ПСБ дает снижение риска, равное приблизительно 3,3х10.

Было бы неправильно предполагать, что совместное использование двух таких систем приведет к сокращению риска, равному 10х10 (3,3х10х3,3х10). Факторы, связанные с общими причинами, такие, как применение аналогичных принципов действия, разработка обеих систем по той же самой функциональной спецификации, человеческие факторы (например, программирование, монтаж, обслуживание), внешние факторы (например, коррозия, закупоривание, замерзание воздухопроводов, попадание молнии), будут ограничивать качество работы системы. Необходимо также принимать во внимание любые компоненты, используемые этими двумя системами совместно.

Более подходящим решением могло бы быть использование второй нерезервной системы, построенной на компонентах, отличающихся от применяемых в первой системе настолько, насколько это возможно (чтобы свести к минимуму проблемы, связанные с потенциально существующими общими причинами).

Например, рассмотрим ПСБ, содержащую одиночный выключатель, релейную логику и одиночный исполнительный элемент, которые составляют систему с ВОНЗ, равной 7,7х10. Такая система дает снижение риска, равное приблизительно 1,3х10.

Комбинация программируемой ПСБ с простой релейной ПСБ дает теоретическое снижение риска, равное 4,3х10 (3,3х10х1,3х10). При такой комбинации, как показано выше, функционирование теоретически возможно (так как любая ПСБ может остановить процесс), хотя и здесь должны быть учтены факторы общей причины, и достигаемое снижение риска будет из-за них несколько ниже.