Точный
Статус документа
Статус документа

ГОСТ Р МЭК 61511-2-2011 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1

     8.2 Требования

8.2.1 Требования к проведению анализа опасностей и рисков устанавливаются только на основе конкретной задачи. Это означает, что организация может использовать любой метод, который она считает эффективным и обеспечивающим результаты в виде ясного описания функций безопасности и соответствующие уровни качества их выполнения.

При проведении анализа опасности и риска следует устанавливать и рассматривать опасности и опасные события, которые могли произойти во всех обоснованных предсказуемых случаях (включая условия появления отказов и обоснованное предсказуемое неправильное применение).

Предварительный анализ опасностей и рисков в типичном проекте для промышленных процессов следует выполнять на ранней стадии разработки основных проектных решений по процессу. На этой стадии принимается допущение о том, что опасности устранены или снижены до практически разумного предела путем применения принципов внутренней безопасности и хорошей инженерной практики (эти действия по снижению опасности лежат вне области применения МЭК 61511). Для ПСБ такой предварительный анализ опасностей и рисков важен потому, что создание, проектирование и реализация ПСБ являются сложными задачами и могут потребовать длительного времени. Другая причина, требующая более раннего выполнения этой работы, состоит в том, что информация о структуре системы потребуется до того, как будут разработаны блок-схемы базового процесса и его автоматизации.

Если построена технологическая карта процесса и доступны все исходные данные процесса, то для выполнения предварительной оценки опасности и риска обычно бывает достаточно этой информации. Необходимо признать, что в проекте могут появиться дополнительные опасности, так как далее выполняется детальное проектирование. Поэтому после завершения построения технологической карты базового процесса и его автоматизации может потребоваться окончательная оценка опасности и риска. Этот окончательный анализ обычно проводится с помощью формальной и полностью документируемой процедуры, такой, как исследование опасности и работоспособности (HAZOP). Она должна подтвердить, что разработанные уровни безопасности адекватно обеспечивают безопасность предприятия. В ходе этого окончательного анализа необходимо рассмотреть, не приводят ли отказы в системах безопасности к каким-либо новым опасностям, и установить на этой стадии, не появилась ли необходимость введения новых функций безопасности. Другим более вероятным результатом является выявление дополнительных событий, которые приводят к опасностям, уже определенным на предварительной стадии. В таких случаях необходимо рассмотреть, нужна ли какая-либо коррекция функций безопасности и требований к качеству их выполнения, установленных при предварительном анализе.

Подход, применяемый для выявления опасностей, зависит от рассматриваемого случая применения. Для некоторых простых процессов, по которым имеется большой опыт эксплуатации типовых разработок, таких, как простые морские устьевые (нефтегазодобывающие) вышки, может оказаться эффективным использование ранее разработанных промышленных вопросников (например, анкеты анализа безопасности, приведенные в [1] и [2]). Если проект более сложен или рассматривается новый процесс, может оказаться необходимым применение более структурированного подхода (например, по [3]).

Примечание - Дополнительная информация о выборе соответствующих методов приведена в [4].


При рассмотрении последствий событий, связанных с конкретными отказами, следует проанализировать все возможные результаты отказов, а также частоту отказов с учетом вкладов в каждый результат. Ни один из ожидаемых результатов не должен игнорироваться или исключаться из анализа риска. Воздействие на трубопроводы или емкости давления, превышающего проектное, не всегда будет приводить к катастрофическим потерям содержимого. Во многих случаях оборудование будет подвергаться испытаниям давлением, превышающим проектное, и единственным последствием может быть утечка воспламеняющегося вещества, приводящая к возможности возгорания. При оценке последствий следует проконсультироваться с лицами, ответственными за механическую целостность установки. Им потребуется учесть не только исходные процедуры испытаний давлением, но и испытания на коррозию, если предусмотрена программа борьбы с ней. Если оценки последствий базируются на таких допущениях, то важно, чтобы это было ясно заявлено и соответствующие процедуры были включены в систему управления безопасностью.

При дальнейшем рассмотрении последствий следует оценить число лиц, которые могут подвергаться конкретной опасности. Надо быть внимательным при использовании такого статистического подхода, так как он не будет справедлив во всех случаях, в таких, где опасность существует только во время запуска оборудования, когда необходимый штат сотрудников всегда присутствует. Во многих случаях оперативный и обслуживающий персонал будет находиться в опасной зоне только изредка, и это обстоятельство следует принять во внимание при прогнозировании последствий. При использовании подобного статистического подхода необходимо проявлять осторожность, так как он может быть применим не во всех случаях (в таких, например, когда опасность существует только в период запуска, а персонал присутствует все время). Следует также обратить внимание на возможное увеличение численности людей, находящихся вблизи от опасного события для исследования влияния симптомов разрастающегося события.

При оценке возможных источников запросов на срабатывание ПСБ такая оценка должна охватывать следующие ситуации: запуск, постоянная работа, останов, ошибки обслуживания, ручное вмешательство (например, в режиме ручного управления), потеря ресурсов (например, сжатого воздуха, охлаждающей воды, сжатого азота, электроэнергии, пара, отходящего тепла и т.д.).

При рассмотрении частоты запросов в некоторых сложных случаях может потребоваться провести анализ дерева ошибок. Это часто бывает необходимо, когда серьезные последствия являются результатом одновременных отказов, вызванных более чем одним событием (например, когда предохранительный коллектор не рассчитан на срабатывание по наихудшему случаю из всех источников). Требуется принять решение о том, следует ли включать ошибки оператора в список событий, способных привести к опасности, и какое значение частоты должно использоваться для таких событий. Ошибки оператора часто подлежат исключению, если его действия требуют разрешающего подтверждения или предусмотрены средства блокировки доступа, предотвращающие непредумышленные действия.

Необходимо также быть осторожным в тех случаях, когда принимается снижение частоты запросов за счет действий оператора. Такое допущение должно быть ограничено возможностями человеческого фактора, такими, как скорость выполнения необходимых действий и сложность решаемых задач. Если оператор должен действовать по результатам аварийной сигнализации и принимается, что снижение риска происходит более чем в 10 раз, то систему в целом следует разрабатывать в соответствии с МЭК 61511-1. Система, выполняющая функцию безопасности, будет тогда включать в себя датчик, определяющий появление опасной ситуации, воспроизведение аварийной сигнализации, ответное действие оператора и оборудование, используемое оператором для прекращения любой опасности.

Следует отметить, что снижение риска менее чем в 10 раз может быть принято без необходимости соответствия МЭК 61511. Если принимается такое допущение, то следует тщательно рассмотреть возможности человеческого фактора. Любые требования по снижению риска с помощью аварийной сигнализации должны быть подкреплены документально оформленным описанием необходимой реакции на сигнализацию и тем, что оператор имеет достаточно времени для корректирующего действия, а также уверенностью в том, что оператор подготовлен к выполнению защитных действий.

Система аварийной сигнализации может быть использована как способ снижения риска путем снижения частоты запросов к ПСБ при условиях:

- датчик, применяемый в системе сигнализации, не используется для целей управления, если потеря управления приводит к запросу на срабатывание функции безопасности ПСБ;

- датчик, применяемый в системе сигнализации, не используется как часть ПСБ;

- учтены ограничения на снижение риска, которое можно требовать от основной системы управления процессом (ОСУП), и отказы с общей причиной.

Примеры способов, которые могут применяться при установлении УПБ для ПСБ, даны в МЭК 61511-3 [5], где содержатся также указания о том, что следует рассмотреть при выборе метода, используемого в конкретном случае применения.

При установлении того, требуется ли снижение риска, необходимо располагать заданными характеристиками безопасности процесса и окружающей среды. Они могут быть установлены для конкретного объекта или эксплуатирующей компании и будут сравниваться с уровнем риска, существующим при отсутствии дополнительных функций безопасности. После установления потребности в сокращении риска следует рассмотреть, какие функции требуется выполнить, чтобы вернуть процесс в безопасное состояние. Теоретически функции могут быть описаны в общем виде без ссылки на конкретную технологию. Например, в случае защиты от превышения давления функция может быть определена как предотвращение того, что давление превзойдет установленное значение. Тогда такая функция может быть выполнена как предохранительным клапаном, так и ПСБ. Если функция описана в общем виде, то выбор используемого способа ее реализации будет проведен на следующем этапе жизненного цикла (распределение функций безопасности ПСБ по слоям защиты). На практике в зависимости от выбранного типа системы функциональные требования будут различными, поэтому данная и следующая стадии в некоторых случаях могут быть объединены.

Подводя итог, можно сказать, что в ходе анализа опасности и риска необходимо рассмотреть следующее:

- каждое определенное опасное событие и последовательность событий, которые их составляют;

- последствия и возможность появления последовательностей событий, вызванных каждым опасным событием; они могут быть выражены количественно или качественно;

- необходимость снижения риска для каждого опасного события;

- меры, предпринимаемые для снижения или устранения опасностей и рисков;

- допущения, принятые в ходе анализа рисков, включая оценки интенсивностей запросов и отказов оборудования; должно быть подробно раскрыто любое допущение, принятое для эксплуатационных ограничений или вмешательств человека;

- ссылки на ключевую информацию о связанных с безопасностью системах на каждой стадии жизненного цикла ПСБ (например, в работах по верификации или оценке соответствия).

Используемую информацию и получаемые результаты, составляющие анализ опасности и риска, следует оформлять документально.

Может оказаться необходимым повторить проведение оценки опасности и риска на различных стадиях полного жизненного цикла безопасности ПСБ по мере того, как принимаемые решения и доступная информация становятся более совершенными.

8.2.2 Для промышленных процессов важной причиной запросов, которые должны быть рассмотрены во многих приложениях, является отказ ОСУП. Необходимо отметить, что отказ ОСУП может быть вызван датчиком, клапаном или системой управления.