ПРИЛОЖЕНИЕ 2ПЕРЕЧЕНЬ ВИДОВ МАШИН (МЕХАНИЗМОВ), ИНЖЕНЕРНОГО ОБОРУДОВАНИЯ И СИСТЕМ ЖИЗНЕОБЕСПЕЧЕНИЯ СТРОИТЕЛЬНЫХ ОБЪЕКТОВ, НА КОТОРЫЕ РАСПРОСТРАНЯЕТСЯ ДЕЙСТВИЕ НАСТОЯЩЕГО СТАНДАРТАВиды систем жизнеобеспечения машин (механизмов), инженерного оборудования строительных объектов, на которые распространяется действие настоящего стандарта, перечислены в таблице П2.
ПРИЛОЖЕНИЕ 3ПЕРЕЧЕНЬ ВИДОВ СИСТЕМ БЕЗОПАСНОСТИ, НА КОТОРЫЕ РАСПРОСТРАНЯЕТСЯ ДЕЙСТВИЕ НАСТОЯЩЕГО СТАНДАРТАВиды систем безопасности, на которые распространяется действие настоящего стандарта, перечислены в таблице П3.
ПРИЛОЖЕНИЕ 4ПЕРЕЧЕНЬ ИСТОЧНИКОВ И ХАРАКТЕРА ОПАСНОСТЕЙ (УГРОЗ), КОТОРЫЕ ДОЛЖНЫ БЫТЬ УЧТЕНЫ ПРИ АНАЛИЗЕ И ОБЩЕЙ ОЦЕНКЕ РИСКА
ПРИЛОЖЕНИЕ 5РИСК И ПОЛНОТА БЕЗОПАСНОСТИ - ОСНОВНАЯ КОНЦЕПЦИЯРиск и полнота безопасности служат мерами безопасности системы или объекта для сравнения с допустимым уровнем безопасности. Методы и процедуры оценки риска, предусмотренные настоящим техническим регламентом, гармонизированы с методами и процедурами, изложенными в стандартах Международной электротехнической комиссии: МЭК 61508-0, МЭК 61508-1, МЭК 61508-2, МЭК 61508-3, МЭК 61508-4, МЭК 61508-5, МЭК 61508-6, МЭК 61508-7, а также в Руководстве ИСО/МЭК51. Относящихся к функциональной безопасности, снижение риска вызывающих ущерб событий осуществляется с помощью Э/Э/ЭП систем, связанных с безопасностью (ССБ), которые реализуют функции безопасности, благодаря чему достигается допустимый уровень безопасности. Для определения полноты безопасности для Э/Э/ЭП ССБ, ССБ, действующих на основе других технологий, и внешних средств снижения риска могут быть использованы количественные и качественные методы которые приведены в последующих приложениях. Выбор метода зависит от конкретного строительного объекта и конкретных условий, связанных с его составом, структурой и функционированием. Необходимое сокращение риска - это снижение риска до такого уровня, при котором достигается допустимый риск для определенной ситуации (который может быть установлен качественно1 или количественно2). Цель определения допустимого риска для данного приводящего к ущербу события состоит в установлении, что является приемлемым с учетом как частоты (или вероятности) опасного события, так и его специфических последствий. 1 При достижении допустимого риска должно быть установлено необходимое сокращение риска. Приложения 7 и 8 к настоящему стандарту описывают качественные методы, поскольку в приведенных примерах необходимое сокращение риска установлено скорее неявно, чем явно. 2 Например, что приводящее к ущербу событие, влекущее определенные последствия, должно происходить с частотой не более чем один раз в 108 раз. Допустимый риск зависит от множества факторов (например, серьезности травмы, числа людей, подверженных опасности, частоты, с которой человек или люди подвергаются опасности и времени нахождения в состоянии опасности). Важным фактором являются восприятие и оценка обществом (общественный резонанс) незащищенности людей от опасного события. При определении допустимого риска учитывается ряд входящих факторов. Они включают: - руководящие принципы соответствующего органа власти, осуществляющего регулирование в области безопасности; - договоры и соглашения между сторонами, вовлеченными в использование (применение) продукции, процесса или услуги; - промышленные стандарты и руководства; - международные договоры и соглашения (в достижении допустимого риска для специфических применений все большая роль отводится национальным и международным стандартам); - высококомпетентный независимый промышленный экспертный и ученый совет консультативных органов; - юридические требования, а также общие и частные требования, относящиеся к данному применению. 2. Э/Э/ЭП системы, связанные с безопасностью Э/Э/ЭП системы, связанные с безопасностью, вносят вклад в необходимое сокращение риска для достижения допустимого риска. Система, связанная с безопасностью (ССБ), - реализует требуемые функции безопасности для достижения безопасного состояния оборудования, находящегося под управлением (ОПУ), или поддержания безопасного состояния ОПУ и - предназначена для достижения необходимой полноты безопасности для требуемых функций безопасности с помощью собственной или иной Э/Э/ЭП системы, связанной с безопасностью, систем, основанных на других технологиях, или внешних средств снижения риска. Примечание 1-Первая часть определения означает, что система, связанная с безопасностью, должна выполнять функции безопасности, которые должны были бы быть определены в спецификации требований к функциям безопасности. Например, спецификация требований функций безопасности может устанавливать, что когда температура достигает значения x, клапан y должен открыться, чтобы позволить воде поступать в сосуд. Примечание 2-Вторая часть определения означает, что функции безопасности могут быть выполнены системами, связанными с безопасностью, со степенью доверия (достоверности), соответствующей применению. Человек может быть рассмотрен как составная часть Э/Э/ЭП системы, связанной с безопасностью. Например, человек может получить информацию о состоянии ОПУ на экране дисплея и предпринять действия, основанные на этой информации. Э/Э/ЭП системы, связанные с безопасностью, могут работать в режиме низкой частоты запросов (обращений), высокой частоты запросов и в режиме непрерывных запросов. 3. Полнота безопасности Полнота безопасности определяется как вероятность удовлетворительного выполнения Требуемых функций безопасности при всех установленных условиях в течение установленного периода времени. Полнота безопасности относится к работе системы при выполнении функций безопасности (функций безопасности, подлежащие выполнению, должны быть определены в спецификации требований к функциям безопасности). Рассматриваемая полнота безопасности содержит два элемента. - Аппаратная полнота безопасности. Эта часть полноты безопасности относится к случайным отказам в опасном режиме отказов. Достижение определенного уровня полноты безопасности аппаратной части, относящейся к безопасности, может быть оценено с приемлемым уровнем точности, и требования, таким образом, могут быть распределены между подсистемами с использованием обычных правил для комбинации вероятностей. Может оказаться, что для достижения достаточной полноты безопасности необходимо использовать избыточную архитектуру. - Систематическая полнота безопасности. Эта часть полноты безопасности относится к систематическим отказам в опасном режиме отказов. Несмотря на то, что средняя частота отказов, вносящих вклад в систематические отказы, может быть оценена, информация об отказах, получаемая из анализа отказов и общих случаев отказов, означает, что распределение отказов может оказаться трудным предсказуемым. Это вносит неопределенность в расчеты вероятности отказов для специфической ситуации (например, вероятности отказов системы защиты, относящейся к безопасности). Таким образом, целесообразно выбрать другой метод для минимизации этой неопределенности. Заметим, что нет необходимости доказывать, что меры по снижению вероятности случайных отказов должны соответственно влиять на вероятность систематических отказов. Такие технические средства, как избыточные каналы идентичных аппаратных средств, имеют большое влияние на случайные отказы управляющих (управляемых) аппаратных средств. Требуемая полнота безопасности Э/Э/ЭП систем, связанных с безопасностью, систем, связанных с безопасностью, действующих на основе других технологий, и внешних средств снижения риска должна иметь такой уровень, чтобы гарантировать - достаточно низкую частоту отказов систем, связанных с безопасностью, для предотвращения приводящего к ущербу события, которая необходима для достижения допустимого риска, и/или - преобразование последствий отказов систем, связанных с безопасностью, до пределов, необходимых для достижения допустимого риска. Рисунок 1 иллюстрирует основную концепцию снижения риска. Основная модель предполагает, что - имеется ОПУ и система управления ОПУ; - учтено влияние человеческого фактора; - защитные средства безопасности включают: внешние средства сокращения риска, Э/Э/ЭП системы, связанные с безопасностью, средства, связанные с безопасностью, основанные на других технологиях.
Рис. 1. Сокращение риска: основная концепция. Примечание - На рисунке 1 изображена обобщенная модель для иллюстрации общих принципов. Модель риска для конкретных применений нуждается в развитии с учетом специфических условий (специфического поведения, способов, действий) при которых реально достигается допустимый риск с помощью Э/Э/ЭП систем, связанных с безопасностью, систем, связанных с безопасностью, основанных на других технологиях, внешних средств снижения риска. Таким образом, результирующая модель может отличаться от модели, изображенной на рис. 1. На рис. 1. обозначены следующие риски: - риск ОПУ: имеющийся для определенных опасных событий для ОПУ, системы управления ОПУ и дополнительного человеческого фактора - при определении этого риска не учитываются никакие разработанные защитные меры; - допустимый риск: риск, который приемлем в данном контексте на основе текущего состояния развития общества; - остаточный риск: в контексте стандарта - это такой риск, который остается для определенных приводящих к ущербу событий для ОПУ, систем управления ОПУ, с учетом влияния человеческого фактора, но с добавлением внешних средств снижения риска, Э/Э/ЭП систем, связанных с безопасностью, систем, связанных с безопасностью, основанных на других технологиях. Риск ОПУ является функцией риска, связанной с собственно ОПУ, но с учетом уменьшения риска, достигаемого с помощью системы управления ОПУ. Для предотвращения необоснованных требований стандарты, упомянутые в пункте 1 настоящего приложения, содержит ограничения на такие требования. Необходимое снижение риска достигается с помощью комбинации всех защитных средств безопасности. На рис.1 показано необходимое снижение риска для достижения определенного допустимого риска, начиная от начальной точки риска ОПУ. 4. Риск и полнота безопасности Различия между риском и полнотой безопасности следующие. Риск - это мера вероятности и последствий определенного случающегося приводящего к ущербу события. Он может быть оценен для различных ситуаций (риск ОПУ, риск, требуемый для достижения допустимого риска, фактический риск (см. рис. 1)). Допустимый риск определяется на социальной основе с учетом социальных и политических факторов. Полнота безопасности относится исключительно к Э/Э/ЭП системам, связанным с безопасностью, системам, связанным с безопасностью, основанным на других технологиях, и вешним средствам снижения риска. Она является мерой вероятности удовлетворительного достижения этими системами и средствами необходимого сокращения риска при реализации определенных (заданных) функций безопасности. Однажды установленный допустимый риск и оцененное необходимое сокращение риска позволяют распределить требования к полноте безопасности систем, связанных с безопасностью. Примечание - Распределение требует итеративности для оптимизации разработки в целях удовлетворения различных требований. Роль, которую играют системы, связанные с безопасностью, в достижении необходимого сокращения риска, иллюстрируется рисунками 1 и 2.
Примечание 1 - Требования полноты безопасности связываются с каждой функцией безопасности до распределения. Примечание 2 - Функция безопасности может быть распределена на более чем одну систему, связанную с безопасностью. Рис. 2. Риск и концепция полноты безопасности. В настоящем стандарте для каждой из групп («L» и «Н») определено четыре уровня полноты безопасности (см. раздел 7 настоящего стандарта), где уровень полноты безопасности 4 является наивысшим уровнем, а уровень полноты безопасности 1 - наинизшим уровнем. В таблицах 1 и 2 статьи раздела 7 настоящего стандарта определены ожидаемые (планируемые) диапазоны величины отказов для четырех уровней полноты безопасности в группах «L» и «Н». Одни системы действуют в режиме низкой частоты обращения к системам «L» (от английского Low), а другие - в режиме высокой частоты обращений «Н» (от английского High) или непрерывных обращений. Примечание - Для систем, связанных с безопасностью, действующих в режиме низкой частоты обращения, в отношении величины полноты безопасности представляет интерес вероятность отказов при выполнении функций безопасности по запросам. Для систем, действующих в режиме высокой частоты обращения (запросов) или систем с непрерывными обращениями (запросами), в качестве величины полноты безопасности представляет интерес среднее число отказов в час. 6. Распределение требований безопасности Распределение требований безопасности (как требований к функциям безопасности, так и требований к полноте безопасности), предъявляемых к Э/Э/ЭП системам, связанным с безопасностью, системам, связанным с безопасностью, действующим на основе других технологий, и внешним средствам снижения риска показано на рис. 3. Методы, используемые для распределения требований полноты безопасности по Э/Э/ЭП системам, связанным с безопасностью, системам, действующим на основе других технологий, и внешним средствам снижения риска, изначально зависят от того, в какой форме требуется однозначно определять необходимое сокращение риска - в количественной форме или в качественной форме. Эти подходы названы количественным и качественным методами, соответственно (см. приложения 6, 7. 8 и 9).
Рис. 3. Распределение требований безопасности по Э/Э/ЭП системам, связанным с безопасностью (ССБ), ССБ на основе других технологий и внешних средств снижения риска. ПРИЛОЖЕНИЕ 6КОНЦЕПЦИЯ РАЗУМНОЙ ДОСТАТОЧНОСТИ И ДОПУСТИМОГО РИСКА1. Модель разумной достаточности 1.1. Основные тесты, которые применяют при управлении промышленными рисками, могут показывать, что в результате деятельности: a) риск является настолько большим, что его нужно совершенно отвергнуть, или b) риск является, или был сделан настолько малым, что его не следует принимать во внимание, или c) риск попадает между двумя позициями, указанными выше в (a) и (d) и уменьшен до самого низкого реального уровня, с учетом полученных от этого выгод и учетом затрат на любое дальнейшее его сокращение. Принцип разумной достаточности (c) требует, чтобы любой риск был уменьшен настолько, насколько это реально разумно, либо был приведен к уровню, который является столь же низким, как и реально разумный. Если риск попадает в зону между этими двумя границами, (то есть зоной недопустимого риска, и зоной вполне приемлемого риска), и применяется принцип разумной достаточности, то остаточный риск является допустимым для данного конкретного применения. Этот трехзонный подход показан на рис. 1. Выше некоторого уровня риск расценивается, как недопустимый риск и не может быть оправдан ни при каких обычных обстоятельствах. Ниже этого уровня имеется зона допустимого риска, где допускается деятельность, если относящиеся к ней риски сделаны настолько низкими, насколько это реально разумно. Допустимый риск отличается от приемлемого риска: он указывает готовность жить с риском, чтобы обеспечить некоторые выгоды, в то же самое время надеясь на то, что риск будет находиться под наблюдением и будет уменьшен, как только это станет возможным. Здесь требуется явная или неявная оценка стоимости выгоды для взвешивания стоимости и необходимости мер по обеспечению безопасности. Чем выше риск, тем пропорционально больше ожидаемые затраты для его уменьшения. В пределе допустимости, расходы будут непропорционально большими, чтобы выгода была оправдана. В этом случае риск должен быть существенным по определению, чтобы значительные усилия, потраченные для достижения крайнего его сокращения, были бы объективно оправданы. В нижней части зоны допустимости риска, где риски меньше существенных, пропорционально уменьшается потребность в затратах на его сокращение, и удовлетворяется баланс между затратами и выгодой. Ниже зоны допустимости риска, уровни риска расцениваются как настолько незначительные, что тот, кто управляет рисками, не должен добиваться дальнейшего его снижения.
Рис. 1. Допустимый риск и разумная достаточность. Это - область вполне приемлемого риска, где риски малы по сравнению с каждодневными рисками, которые все мы испытываем. Хотя в области вполне приемлемого риска нет никакой необходимости в доказательстве разумной достаточности, следует, однако, внимательно следить за тем, чтобы риск оставался на этом уровне. 2. Планирование допустимого риска Один из путей получения плана риска состоит в определении для ряда последствий распределения частот, которые соответствуют присущим им допустимым рискам. Приведение в соответствие последствий и допустимых частот должно быть предметом обсуждений и соглашений между заинтересованными сторонами (например, органами власти, осуществляющими регулирование в области безопасности, теми, кто производит риск (например, владельцами химических предприятий), и теми, кто подвергается риску (людьми, обществом, общественной организацией, представляющей их интересы). В соответствии с настоящим стандартом согласованные значения допустимых рисков определяет Комиссии по допустимым уровням комплексной безопасности. Принимая во внимание концепцию разумной достаточности (разумной реальности), соответствие между последствиями и частотами может быть дано в виде классов риска. В таблице 1 в качестве примера показано четыре класса рисков (I, II, III и IV) для ряда последствий и частот. В таблице 2 приведена интерпретация каждого из классов риска с использованием концепции разумной достаточности. То есть, дано описание каждого из четырех классов риска на основании рис. 1. Риски в рамках определений этих классов рисков являются рисками после принятия мер по их снижению. В соответствии с рис. 1 имеются следующие классы рисков: - риск класса I находится в зоне недопустимого риска; - риски классов II и III лежат в зоне разумной достаточности, причем риск класса II находится у самой границы зоны разумной достаточности (разумной реальности); - риск класса IV находится в зоне вполне приемлемого риска. Для каждой определенной ситуации или сопоставимой отрасли промышленности, либо строительных объектов могли бы быть разработаны таблицы, подобные таблице 1, с учетом социальных, политических и экономических и иных факторов. Каждому последствию должна бы быть поставлена в соответствие частота, и таблица была бы заполнена классами риска. Например, частота в таблице 1 могла бы обозначать частоту события (которое считается возможным на основании продолжительного опыта), которая могла бы быть заданной, как частота больше, чем 10 раз в год. Критическим последствием могла бы быть смерть одного человека и/или многочисленные серьезные повреждения, либо несколько профессиональных заболеваний. Таблица 1 - Пример классификации рисков опасных событий (несчастных случаев, аварий, катастроф)
Таблица 2 - Интерпретация классов риска
ПРИЛОЖЕНИЕ 7КОЛИЧЕСТВЕННЫЙ МЕТОД ОПРЕДЕЛЕНИЯ ПОЛНОТЫ БЕЗОПАСНОСТИ1. Условия применения Количественный метод удобно применять, когда: - допустимый риск может быть определен в численной форме (например, определенное последствие не должно произойти чаще, чем один раз в 104 лет); - заданы численные планируемые (ожидаемые) значения полноты безопасности для систем, связанных с безопасностью. Метод, в частности, применим, когда модель риска соответствует моделям, показанным на рис. 1 и 2 приложения 5 к настоящему стандарту. 2.Общий метод Модель, используемая для иллюстрации общих принципов, показана на рис. 1 приложения 5. Ключевые шаги в методе, которые должны быть выполнены для каждой функции безопасности, которая будет выполняться Э/Э/ЭП системой, связанной с безопасностью, следующие: - определение допустимого риска из таблицы, такой как табл. 1 приложения 6; - определение риска оборудования, находящегося под управлением (ОПУ); - определение необходимого снижения риска для достижения допустимого риска; - распределение необходимого снижения риска по Э/Э/ЭП системам, связанным с безопасностью, системам, связанным с безопасностью, основанным на других технологиях, и внешним средствам снижения риска. Таблица 1 приложения 6 к настоящему стандарту, заполненная частотами возникновения риска, позволяет определить планируемый (ожидаемый) допустимый риск (Ft). Частота, связанная с риском, который существует для ОПУ, включая систему управления ОПУ и человеческий фактор (риск ОПУ), в отсутствие любых защитных мер, может быть оценена с использованием численных методов оценки риска. Это частота, с которой может происходить опасное событие в отсутствие защитных мер (Fnp), - является одним из двух компонентов риска ОПУ. Другой компонент риска - последствие опасного случая. Fnp - может быть определен с помощью - анализа частоты (коэффициента) отказов в сопоставимых ситуациях; - данных из уместных баз данных; - расчетов с применением соответствующих методов прогноза. Стандарты, указанные в приложении 5 к настоящему стандарту, содержат ограничения на минимальные частоты отказов, которые могут потребоваться для систем управления ОПУ. Если требуется, чтобы система управления ОПУ имела частоту отказов меньшую, чем минимальная частота отказов, то система управления ОПУ будет рассматриваться как система, связанная с безопасностью, и на нее будут распространяться все требования настоящего стандарта для систем, связанных с безопасностью. 3. Пример расчета На рис. 1 показан пример расчета планируемой (ожидаемой) полноты безопасности для одиночной системы, связанной с безопасностью. Для этой ситуации PFDavg ≤Ft/Fnp, где PFDavg - средняя вероятность отказа по требованию (по обращению) защитной системы (системы защиты), связанной с безопасностью, работающей в режиме низкой частоты обращений (см. раздел настоящего 7 стандарта); Ft - частота допустимого риска; Fnp - частота риска при наличии защитных мер. Можно заметить, что определение Fnp для ОПУ важно из-за его отношения к PFDavg и, следовательно, к уровню полноты безопасности системы, связанной с безопасностью. Необходимые шаги в получении уровня полноты безопасности (когда последствия С остаются постоянными, как на рис. 1) для ситуации, где полное необходимое сокращение риска достигнуто единственной системой защиты, связанной с безопасностью, которая должна уменьшить частоту опасных событий, как минимум, с Fnp до Ft, следующие: - определение частоты событий риска без каких-либо дополнительных защитных мер (Fnp); - определение последствий С без добавления каких-либо дополнительных мер безопасности; - определение (с использованием табл. 1 приложения 6), достигнут ли для частоты Fnp и последствий С допустимый риск. Если на основании таблицы 1 это приводит к риску класса I, то требуется дальнейшее сокращение риска. Риски классов IV или III были бы допустимыми рисками. Риск класса II потребовал бы дополнительного изучения; Примечание – Таблица 1 приложения 6 используется для проверки, требуются ли или нет дальнейшие меры по снижению риска до тех пор, пока не окажется возможным достижение допустимого риска без каких-либо дополнительных защитных мер. - определение вероятности отказа по запросу (отказа по требованию) для системы защиты, связанной с безопасностью, (PFDavg) для достижения необходимого сокращения риска (R). Для постоянных последствий в определенной описанной ситуации, PFDavg = (Ft / Fnp) = R; - для PFDavg = (Ft / Fnp) уровень полноты безопасности может быть получен из таблицы 2, приведенной в разделе 7 настоящего стандарта (например, для PFDavg = 10-2 - 10-3, уровень полноты безопасности равен 2).
Рис. 1. Распределение полноты безопасности: пример системы защиты, относящейся к безопасности ПРИЛОЖЕНИЕ 8КАЧЕСТВЕННЫЙ МЕТОД ОПРЕДЕЛЕНИЯ ПОЛНОТЫ БЕЗОПАСНОСТИ - МЕТОД ГРАФА РИСКА1. Условия применения Настоящее приложение описывает графический метод оценки риска (метод графа риска), который является качественным методом, и который позволяет определить уровень полноты безопасности системы, относящейся к безопасности, исходя из знаний факторов риска, связанных с ОПУ и системой управления ОПУ. Его удобно применять, когда модель риска такая, как показано на рис. 1 и 2 приложения 5. В случаях, когда для упрощения рассмотрения вопросов безопасности принимают качественный подход, вводят ряд параметров, которые вместе описывают природу опасной ситуации, когда система, связанная с безопасностью, отказывает или находится вне доступа. Из каждого из четырех наборов выбирают один параметр, и выбранные параметры затем объединяют, чтобы определить место положения систем, связанных с безопасностью. Эти параметры - позволяют сделать градуировку рисков по значению и - содержат ключевые факторы оценки риска. 2. Синтез графа риска Нижеследующие упрощенные процедуры основаны на выражении R = f ´ C, где R - риск в отсутствие системы, связанной с безопасностью; f - частота приводящего к ущербу события в отсутствие системы, связанной с безопасностью; С - последствия приводящего к ущербу события (последствие должно быть отнесено к ущербу, связанному со здоровьем и безопасностью или ущербом, нанесенным окружающей среде). Частота приводящих к ущербу событий f в этом случае определяется тремя влияющими факторами - частотой и временем пребывания в опасной зоне; - вероятностью избежания приводящего к ущербу события; - вероятностью наступления приводящего к ущербу события в отсутствие какой-либо системы, относящейся к безопасности, (но имеющей в наличии внешние средства снижения риска) - ее называют вероятностью нежелательного события. Она производит четыре следующих параметра - последствие приводящего к ущербу события (С); - частоту и время подтверждения воздействию в опасной зоне (F); - вероятность неудачи во избежании приводящего к ущербу события (Р) - вероятность нежелательного события (W). 3. Другие возможные параметры риска Полагается, что определенные выше параметры риска являются в достаточной степени родовыми, чтобы их можно было распространять на широкий диапазон применений. Могут, однако, быть применения, которые требуют введения дополнительных параметров. Например, использование новых технологий (технических средств) в ОПУ и системах управления ОПУ. Назначение дополнительных параметров состояло бы в более точной оценке необходимого сокращения риска (см. рис. 1 приложения 5).
Рис. 1 - Граф риска: Общая схема 4. Выполнение графа риска Комбинация параметров риска, описанных выше, позволяет получить граф риск в виде, показанном на рис. 1: СА < СВ < СС < CД; FА < FВ; P < РВ; W1 < W2 < W3. Толкование этого графа риска следующее: - Использование параметров риска С, F и Р приводит к ряду исходов Х1 Х2, Х3,... Хn (точное число зависит от области применения, чтобы быть покрытой графом риска). Рис. 1 показывает ситуацию, при которой не обеспечивается никакой дополнительный вклад для более серьезных последствий. Каждый из этих исходов отображается на одной из трех шкал (W1, W2 или W3). Каждая точка этих шкал обозначает необходимую полноту безопасности, которая должна быть достигнута с помощью рассматриваемой Э/Э/ЭП системы, связанной с безопасностью. На практике будут ситуации, когда для специфических последствий одиночная Э/Э/ЭП система, связанная с безопасностью, не позволит достичь необходимого снижения риска. - Отображение на шкалах W1, W2 или W3 позволяет ввести для использования другие меры снижения риска. То есть, шкала W3 предусматривает минимальное снижение риска, внесенное другими средствами (то есть, самую высокую вероятность имеющего место нежелательного происшествия), шкала W2 предусматривает средний вклад, и шкала W1- максимальный вклад. Для специфических промежуточных точек графа риска (например, Х1 Х2,... или Х6) или для специфической шкалы W (например, W1, W2 или W3) финальный выход (исход) графа риска дает уровень полноты безопасности Э/Э/ЭП системы, связанной с безопасностью (например, 1, 2, 3 или 4) и требуемые средства снижения риска для этой системы. Это снижение риска, вместе со снижением риска, достигаемым с помощью других мер (например, с помощью систем, связанных с безопасностью, основанных на других технологиях, и внешних средств снижения риска), которые принимаются в расчет с помощью механизма W-шкал, дает необходимое снижение риска для специфической ситуации. Параметры, обозначенные на Рис. 1 (СА, СВ, СС, CD, FА FВ, PА, PВ, W1, W2, W3), и их содержимое должны были бы точно определены для каждой конкретной ситуации или сопоставимой отрасли промышленности. 5. Пример графа риска Выполнение графа риска, основанного на данных таблицы 1 приложения 6, показано на рис. 2 Использование параметров риска С, F, и Р приводит к одному из восьми выходов (исходов). Каждый из этих выходов (исходов) обозначается на одной из трех шкал (W1, W2 и W3). Каждая точка на этих шкалах (а, b, с, d, e, g и h) является обозначением необходимого сокращения риска, который должен быть достигнут системой, связанной с безопасностью.
Рис. 2 - Граф риска: пример (иллюстрирует лишь основные принципы) Таблица 1 Данные к примеру графа риска (рис. 2)
ПРИЛОЖЕНИЕ 9КАЧЕСТВЕННЫЙ МЕТОД ОПАРЕДЕЛЕНИЯ ПОЛНОТЫ БЕЗОПАСНОСТИ - МАТРИЦА КРИТИЧНОСТИ СОБЫТИЙ1. Условия применения Численный (количественный) метод, описанный в приложении 6, не применим, когда риск (или частота его появления) не могут быть определены количественно. Настоящее приложение описывает метод матрицы серьезности (критичности) приводящих к ущербу событий, который относится к качественному методу и позволяет определить уровень полноты безопасности Э/Э/ЭП системы, связанной с безопасностью (ССБ), на основании знаний факторов риска, связанных с оборудованием, находящимся под управлением (ОПУ), и системой управления ОПУ. Он практически применим, когда модель риска такая, как показано на рис. 1 и 2 приложения 5. Схема, приведенная в настоящем приложении, предполагает, что каждая система, связанная с безопасностью (ССБ), и внешние средства снижения риска являются независимыми. 2. Матрица серьезности (критичности) приводящих к ущербу событий В основу матрицы положены следующие обязательные требования: a) системы, связанные с безопасностью (ССБ), (Э/Э/ЭП или ССБ, основанные на других технологиях), вместе с внешними средствами снижения риска являются независимыми; b) каждая система, связанная с безопасностью (Э/Э/ЭП или ССБ, основанная на другой технологии), вместе с внешними средствами снижения риска рассматриваются как слои защиты, которые обеспечивают по своим собственным правилам (возможностям) частичные сокращения риска, как показано на рис. 1 приложения 5. Примечание - Это допущение справедливо только, если выполняются регулярные контрольные испытания слоев зашиты. c) увеличение уровня полноты безопасности достигается тогда, когда добавляется один слой защиты (b), см. выше); d) используется только одна Э/Э/ЭП система, связанная с безопасностью, (но она может быть объединена с системой, связанной с безопасностью, основанной на другой технологии, и/или с внешним средством снижения риска). Приведенные выше рассуждения подводят к матрице серьезности приводящих к ущербу событий, показанной на рис. 1. Следует отметить, что матрица заполнена примерными данными для иллюстрации общих принципов. Для каждой конкретной ситуации или сектора сопоставимой отрасли промышленности может быть построена своя матрица, подобная матрице, изображенной на рис. 1.
[A] - Один одиночный независимый слой (ОНС) 3 Э/Э/ЭП ССБ не обеспечивает достаточное снижение риска на этом уровне риска. Требуется дополнительные меры сокращения риска. [B] - Один ОНС 3 Э/Э/ЭП ССБ может не обеспечить достаточное снижение риска на этом уровне риска. Требуется анализ источников опасности и риска для определения, необходимы ли дополнительные меры сокращения риска. [C] - Независимая Э/Э/ЭП система, связанная с безопасностью (ССБ), вероятно, не требуется. [D] - Вероятность события — это вероятность того, что приводящие к ущербу события происходят в отсутствие каких-либо ССБ или внешних средств снижения риска. [E] - ССБ = система, связанная с безопасностью. Вероятность события и общее число независимых слоев защиты определяется в соответствии со специфическим применением. Рис. 1. Матрица серьезности приводящих к ущербу событий: пример (иллюстрирует лишь основные принципы). Разработан и внесён: Техническим комитетом по стандартизации Госстандарта Российской Федерации, ТК 439 «Средства автоматизации и системы управления» Любимов М.М. - президент МА «Системсервис» - доктор технических наук, профессор; Матвеев В.Ф. - вице-президент ВАНКБ, доктор технических наук, профессор; Соломанидин Г.Г. - проректор по науке Университета КСБ и ИО, доктор технических наук, Щербина В.И. -проректор - заведующий кафедрой Университета КСБ и ИО, кандидат технических наук; Пузыревская Е.И. - главный эксперт Всемирной академии наук комплексной безопасности, Кокшин В.В. - директор Московского представительства «Аргус-спектр» кандидат технических наук, профессор; Антоненко А.А. - гл. специалист НПО «Мосспецавтоматика», кандидат технических наук, профессор
Нравится
|