Безопасность и риск 

Безопасность и риск

Угроза (Harm). Физическое воздействие или потеря здоровья людьми, обусловленные впрямую или косвенно результатом разрушения оборудования, или в результате воздействия опасных веществ.

Опасность, риск сбоя (Hazard). В данном контексте - это физические или химические условия, потенциально представляющие угрозу для людей или оборудования.

Опасная ситуация (Hazardous situation). Обстоятельства, в которых человек подвергается опасности.

Опасное событие (Hazardous event). Опасная ситуация, приводящая к угрозе.

Риск (Risk). Сочетание вероятности появления угрозы, и серьезности этой угрозы.

Допустимый риск (Tolerable risk). Приемлемый в данных обстоятельствах и социальных условиях уровень риска.

Остаточный риск (Residual risk). Уровень риска, оставшийся после принятия мер защиты.

Безопасность (Safety). Свобода от неприемлемого риска.

Безопасное состояние (Safe state). Безопасным состоянием называется такое предопределенное состояние, в которое система может быть переведена из своего рабочего состояния, и в котором потенциал опасности меньше, чем в исходном состоянии.

Абсолютно безопасным состоянием является такое состояние, в котором вкладываемая и имеющаяся энергия системы наименьшая.

Таково авторское определение. Стандарт IEC 61508, часть 4, дает совершенно бестолковое тавтологическое определение: Состояние контролируемого оборудования, при котором безопасность достигается. См. IEC 61508-4, п. ЗЛ.10: 'fState of the EUC when safety is achieved".

Функциональная безопасность (Functional safety). Для ряда производств отказ системы управления может привести к останову технологического процесса и потере продукции, но при этом отказ не представляет опасности для оборудования и персонала.

Понятие функциональной безопасности возникает в том случае, когда искусственно созданные или естественные нарушения технологического процесса способны привести к авариям, разрушению технологического оборудования, человеческим жертвам.

Функциональная безопасность определяется как часть общих мер безопасности, которая находится в зависимости от правильности работы системы безопасности в ответ на изменения на процессе. Требование функциональности определяется, как способность системы безопасности переводить процесс в безопасное состояние при наличии отклонений. Считается, что функциональная безопасность обеспечивается, если

  1. Каждая специфицированная функция защиты выполняется, и
  2. Достигается требуемое качество исполнения каждой функции защиты.

Причем даже если система безопасна, некоторая степень риска не исключается: считается, что система имеет требуемую безопасность, если степень риска не выше заранее определенного уровня риска.

Функция безопасности (Safety function = Safety loop). Функция, реализованная системой безопасности или иными средствами снижения риска, которая предназначена для достижения или поддержания безопасного состояния контролируемого оборудования (EUC) по отношению к определенному опасному событию. Функции безопасности реализуются посредством контуров безопасности (защиты).

Жизненный цикл системы безопасности (Safety lifecycle). Фазы существования системы безопасности, начиная от стадии концептуального проектирования, и до списания системы.

Надежность (Reliability). В IEC 61508 данное понятие отсутствует. Но, судя по формулировке, оно соответствует понятию IEC "Safety Integrity".

В терминах ISA 84.01-96, Надежность определяется как вероятность того, что система (включая и человека) будет выполнять требуемые функции при всех предопределенных условиях в течение установленного интервала времени.

Часто надежность характеризуется непосредственно временем, в течение которого система защиты способна выполнять требуемые функции защиты технологического процесса.

Характеристики, которые учитываются при определении понятия "Надежность", принимаются усредненными, и включают:

  • Среднее время работы до отказа MTTF (Mean Time То Failure).
  • Среднее время между отказами MTBF (Mean Time Between Failure).
  • Средняя вероятность отказа выполнения требуемой функции PFDAVG в течение межповерочного интервала.
  • Средняя интенсивность (частота) опасных отказов в час
  • Среднее время восстановления системы MTTR.
  • Фактор снижения риска

Ограничение по времени, в течение которого можно требовать соблюдения определенных характеристик надежности системы, является важнейшим условием.

Однако наш ГОСТ 27.002-89 "Надежность в технике. Основные понятия. Термины и определения" дает определение надежности, в котором ограничение по времени отсутствует:

"Свойство объекта сохранять во времени в установленных пределах значения всех параметров, характеризующих способность выполнять требуемые функции в заданных режимах и условиях применения, технического обслуживания, хранения и транспортирования. (Свойство сохранять и выполнять во время обслуживания, хранения и транспортирования - это круто - знай наших!) ".

Надежность системы не связана напрямую с безопасностью системы: ненадежные системы являются безопасными, если каждый отдельный отказ всегда переводит объект в так называемое "безопасное" состояние, то есть приводит к останову процесса.

Целостность, полнота безопасности (Safety integrity) -термин IEC 61508. Вероятность того, что система безопасности удовлетворительно (?! - так и формулируется стандартом IEC) выполняет требуемые функции безопасности по всем предопределенным условиям в течение установленного интервала времени. В ISA 84.01-96 данное понятие соответствует понятию "Reliability" - надежности (см. определение Надежности).

При определении целостности ВСЕ причины отказов, - и случайные отказы оборудования, и систематические отказы, которые ведут к небезопасному состоянию, - должны быть учтены. Например, отказы оборудования, отказы, наведенные программным обеспечением, отказы вследствие электромагнитного воздействия.

Некоторые из подобных отказов, в частности случайные отказы оборудования, поддаются количественной оценке с помощью таких показателей, как:

  1. Вероятность (интенсивность) опасных отказов в час (Probability, Intensity of failure per hour), или
  2. Вероятность опасного отказа выполнения требуемой функции в течение предопределенного межповерочного интервала - интервала автономного функционального тестирования (например, 1год) - Probability of failure on demand

Первый показатель используется в том случае, когда необходимо определить характеристику способности системы к осуществлению непрерывного контроля и защиты объекта, то есть без привязки к конкретному временному межповерочному интервалу. Второй показатель используется, как усредненная мера готовности системы обеспечить защиту (останов) процесса в течение предопределенного интервала межповерочного тестирования.

Полнота безопасности системы зависит от очень многих факторов. Некоторые, как например, человеческий фактор, не поддаются количественной оценке, но могут быть только качественно оценены.

В общем виде Целостность, полнота безопасности оценивается как состоящая из двух компонент:

  1. Аппаратная целостность безопасности;
  2. Систематическая целостность безопасности.

И данное определение наиболее полно соответствует понятию надежности выполнения системой функций безопасности.

Примечание
К сожалению, очень трудно дать количественные оценки вероятности и частоты систематических отказов. И совершенно невозможно предугадать надежность человека даже в обычных для него обстоятельствах.

Аппаратная целостность безопасности (Hardware safety integrity). Термин IEC 61508. Часть интегральной безопасности системы, относящаяся к случайным опасным отказам оборудования.

Систематическая целостность безопасности (Systematic safety integrity). Термин IEC 61508. Часть интегральной безопасности системы, относящаяся к систематическим опасным отказам. Систематическая целостность безопасности, в отличие от аппаратной целостности, как правило, не может быть оценена количественно.

Программная целостность безопасности (Software safety integrity). Термин IEC 61508. Показатель, который означает степень доверия к тому, что программное обеспечение в программируемой электронной системе выполняет функции безопасности при всех предопределенных условиях в течение установленного интервала времени.

Интегральный уровень безопасности SIL (Safety Integrity Level - SILf - термин ISA 84.01-96, IEC 61508).

Дискретная величина от единицы до четырех, предназначенная для определения уровня требований к интегральной безопасности, целостности функций безопасности, реализуемых системой безопасности. Иными словами, SIL является мерой, определяющей степень безопасности самой системы безопасности.

Спецификация требований безопасности (Safety Requirements Specification). Важнейший документ, необходимый для создания системы - и АСУТП в целом, и системы безопасности в отдельности.

Непосредственный отечественный аналог - Техническое задание на создание АСУТП, В контексте стандарта IEC, спецификация должна содержать ВСЕ требования, которым должна соответствовать система безопасности. Спецификация подразделяется на:

  1. Спецификацию требований к функциям безопасности,
  2. Спецификацию требований к интегральной безопасности - комплексной надежности системы безопасности.

Спецификация требований к функциям безопасности (Safety Functions Requirements Specification).

Определяет требования к функциям безопасности, которые должны выполняться системой безопасности, и содержит точное и детальное представление функций безопасности в виде текстов, таблиц, блок-схем, матриц (таблиц решений), логических диаграмм и т.д., обеспечивающих ясное описание функций системы - контуров управления и защиты.

Спецификация требований к интегральной безопасности (Safety Integrity Requirements Specification).

Определяет требования к интегральной безопасности - надежности системы безопасности, с которой должны выполняться функции системы безопасности, и содержит детальное представление данных изготовителя и разработчика системы в виде текстов, таблиц, блок-схем, расчетов и т.д., обеспечивающих ясное представление о надежности системы.

Режим работы (Mode of operation - IEC 61508). Режим, в котором будет использоваться система безопасности в зависимости от частоты запросов к системе на обеспечение безопасности.

Различают два режима работы системы безопасности:

  1. Режим низких требований безопасности (Low demand mode of operation), когда частота запросов на выполнение системой безопасности функций защиты НЕ БОЛЬШЕ, чем один раз в год, и не превышает частоту проведения процедур диагностического тестирования более чем в два раза.
  2. Режим высоких требований безопасности (High demand mode of operation), когда частота запросов на выполнение системой безопасности функций защиты БОЛЬШЕ, чем один раз в год, или превышает частоту проведения процедур диагностического тестирования более чем в два раза.

Целевая мера отказов (Target failure measure). Целевая мера вероятности опасных отказов, которая должна быть достигнута по отношению к требованиям интегральной безопасности (НАДЕЖНОСТИ). Количественно определяется следующими показателями:

Вероятность опасного отказа выполнения требуемой функции (Probability of failure on demand) - для режима низких требований.

Вероятность (интенсивность) опасных отказов в час (Probability (Intensity) of failure per hour, или) -

для режима высоких, или непрерывных требований. Конкретные значения этих показателей регламентируются таблицами 2.1 и 2.2 (соответствующие таблицы 2 и 3 из пункта 7.6.2.9 стандарта IEC 61508).

Таблица 2.1

Safety integrity levels: target failure measures for a safety function operating in low demand mode of operation

Таблица 2.2

Safety integrity levels: target failure measures for a safety function operating in high demand or continuous mode of operation

Межповерочный интервал, интервал межповерочного тестирования (prove Test Interval) - TI или. Временной межповерочный интервал периодического автономного (offline) функционального тестирования, который служит для выявления сбоев и отказов с целью проверки и восстановления исходной функциональности и надежности системы.

Примечание
В формулировке стандарта IEC 61508 слово "off-line" отсутствует. Однако, исходя из контекста и дальнейшего использования, оно как бы "подразумевается".

Интервал диагностического тестирования (Diagnostic test interval). Временной интервал оперативного (on-line) функционального тестирования с целью выявления сбоев системы безопасност