1. Общие положения
Риск и полнота безопасности служат мерами безопасности системы или объекта для сравнения с допустимым уровнем безопасности.
Методы и процедуры оценки риска, предусмотренные настоящим техническим регламентом, гармонизированы с методами и процедурами, изложенными в стандартах Международной электротехнической комиссии: МЭК 61508-0, МЭК 61508-1, МЭК 61508-2, МЭК 61508-3, МЭК 61508-4, МЭК 61508-5, МЭК 61508-6, МЭК 61508-7, а также в Руководстве ИСО/МЭК51.
Относящихся к функциональной безопасности, снижение риска вызывающих ущерб событий осуществляется с помощью Э/Э/ЭП систем, связанных с безопасностью (ССБ), которые реализуют функции безопасности, благодаря чему достигается допустимый уровень безопасности.
Для определения полноты безопасности для Э/Э/ЭП ССБ, ССБ, действующих на основе других технологий, и внешних средств снижения риска могут быть использованы количественные и качественные методы которые приведены в последующих приложениях. Выбор метода зависит от конкретного строительного объекта и конкретных условий, связанных с его составом, структурой и функционированием.
Необходимое сокращение риска - это снижение риска до такого уровня, при котором достигается допустимый риск для определенной ситуации (который может быть установлен качественно* или количественно**). Цель определения допустимого риска для данного приводящего к ущербу события состоит в установлении, что является приемлемым с учетом как частоты (или вероятности) опасного события, так и его специфических последствий.
_____________
* При достижении допустимого риска должно быть установлено необходимое сокращение риска. Приложения 7 и 8 к настоящему стандарту описывают качественные методы, поскольку в приведенных примерах необходимое сокращение риска установлено скорее неявно, чем явно.
** Например, что приводящее к ущербу событие, влекущее определенные последствия, должно происходить с частотой не более чем один раз в 108 часов.
Допустимый риск зависит от множества факторов (например, серьезности травмы, числа людей, подверженных опасности, частоты, с которой человек или люди подвергаются опасности и времени нахождения в состоянии опасности). Важным фактором являются восприятие и оценка обществом (общественный резонанс) незащищенности людей от опасного события. При определении допустимого риска учитывается ряд входящих факторов. Они включают:
- руководящие принципы соответствующего органа власти, осуществляющего регулирование в области безопасности;
- договоры и соглашения между сторонами, вовлеченными в использование (применение) продукции, процесса или услуги;
- промышленные стандарты и руководства;
- международные договоры и соглашения (в достижении допустимого риска для специфических применений все большая роль отводится национальным и международным стандартам);
- высококомпетентный независимый промышленный экспертный и ученый совет консультативных органов;
- юридические требования, а также общие и частные требования, относящиеся к данному применению.
2. Э/Э/ЭП системы, связанные с безопасностью Э/Э/ЭП системы, связанные с безопасностью, вносят вклад в необходимое сокращение риска для достижения допустимого риска.
Система, связанная с безопасностью (ССБ),
- реализует требуемые функции безопасности для достижения безопасного состояния оборудования, находящегося под управлением (ОПУ), или поддержания безопасного состояния ОПУ и
- предназначена для достижения необходимой полноты безопасности для требуемых функций безопасности с помощью собственной или иной Э/Э/ЭП системы, связанной с безопасностью, систем, основанных на других технологиях, или внешних средств снижения риска.
Примечания:
1. Первая часть определения означает, что система, связанная с безопасностью, должна выполнять функции безопасности, которые должны были бы быть определены в спецификации требований к функциям безопасности. Например, спецификация требований функций безопасности может устанавливать, что когда температура достигает значения х, клапан у должен открыться, чтобы позволить воде поступать в сосуд.
2. Вторая часть определения означает, что функции безопасности могут быть выполнены системами, связанными с безопасностью, со степенью доверия (достоверности), соответствующей применению.
Человек может быть рассмотрен как составная часть Э/Э/ЭП системы, связанной с безопасностью. Например, человек может получить информацию о состоянии ОПУ на экране дисплея и предпринять действия, основанные на этой информации.
Э/Э/ЭП системы, связанные с безопасностью, могут работать в режиме низкой частоты запросов (обращений), высокой частоты запросов и в режиме непрерывных запросов.
3. Полнота безопасности
Полнота безопасности определяется как вероятность удовлетворительного выполнения требуемых функций безопасности при всех установленных условиях в течение установленного периода времени. Полнота безопасности относится к работе системы при выполнении функций безопасности (функций безопасности, подлежащие выполнению, должны быть определены в спецификации требований к функциям безопасности).
Рассматриваемая полнота безопасности содержит два элемента.
- Аппаратная полнота безопасности. Эта часть полноты безопасности относится к случайным отказам в опасном режиме отказов. Достижение определенного уровня полноты безопасности аппаратной части, относящейся к безопасности, может быть оценено с приемлемым уровнем точности, и требования, таким образом, могут быть распределены между подсистемами с использованием обычных правил для комбинации вероятностей. Может оказаться, что для достижения достаточной полноты безопасности необходимо использовать избыточную архитектуру.
- Систематическая полнота безопасности. Эта часть полноты безопасности относится к систематическим отказам в опасном режиме отказов. Несмотря на то, что средняя частота отказов, вносящих вклад в систематические отказы, может быть оценена, информация об отказах, получаемая из анализа отказов и общих случаев отказов, означает, что распределение отказов может оказаться трудным предсказуемым. Это вносит неопределенность в расчеты вероятности отказов для специфической ситуации (например, вероятности отказов системы защиты, относящейся к безопасности). Таким образом, целесообразно выбрать другой метод для минимизации этой неопределенности. Заметим, что нет необходимости доказывать, что меры по снижению вероятности случайных отказов должны соответственно влиять на вероятность систематических отказов. Такие технические средства, как избыточные каналы идентичных аппаратных средств, имеют большое влияние на случайные отказы управляющих (управляемых) аппаратных средств.
Требуемая полнота безопасности Э/Э/ЭП систем, связанных с безопасностью, систем, связанных с безопасностью, действующих на основе других технологий, и внешних средств снижения риска должна иметь такой уровень, чтобы гарантировать
- достаточно низкую частоту отказов систем, связанных с безопасностью, для предотвращения приводящего к ущербу события, которая необходима для достижения допустимого риска, и/или
- преобразование последствий отказов систем, связанных с безопасностью, до пределов, необходимых для достижения допустимого риска.
Рисунок 1 иллюстрирует основную концепцию снижения риска. Основная модель предполагает, что
- имеется ОПУ и система управления ОПУ;
- учтено влияние человеческого фактора;
- защитные средства безопасности включают:
внешние средства сокращения ряска,
Э/Э/ЭП системы, связанные с безопасностью,
средства, связанные с безопасностью, основанные на других технологиях.
Рис. 1. Сокращение риска: основная концепция.
Примечание - На рисунке 1 изображена обобщенная модель для иллюстрации общих принципов. Модель риска для конкретных применений нуждается в развитии с учетом специфических условий (специфического поведения, способов, действий) при которых реально достигается допустимый риск с помощью Э/Э/ЭП систем, связанных с безопасностью, систем, связанных с безопасностью, основанных на других технологиях, внешних средств снижения риска. Таким образом, результирующая модель может отличаться от модели, изображенной на рис. 1.
На рис. 1. обозначены следующие риски:
- риск ОПУ: имеющийся для определенных опасных событий для ОПУ, системы управления ОПУ и дополнительного человеческого фактора - при определении этого риска не учитываются никакие разработанные защитные меры;
- допустимый риск: риск, который приемлем в данном контексте на основе текущего состояния развития общества;
- остаточный риск: в контексте стандарта - это такой риск, который остается для определенных приводящих к ущербу событий для ОПУ, систем управления ОПУ, с учетом влияния человеческого фактора, но с добавлением внешних средств снижения риска, Э/Э/ЭП систем, связанных с безопасностью, систем, связанных с безопасностью, основанных на других технологиях.
Риск ОПУ является функцией риска, связанной с собственно ОПУ, но с учетом уменьшения риска, достигаемого с помощью системы управления ОПУ. Для предотвращения необоснованных требований стандарты, упомянутые в пункте 1 настоящего приложения, содержит ограничения на такие требования.
Необходимое снижение риска достигается с помощью комбинации всех защитных средств безопасности. На рис.1 показано необходимое снижение риска для достижения определенного допустимого риска, начиная от начальной точки риска ОПУ.
4. Риск и полнота безопасности
Различия между риском и полнотой безопасности следующие. Риск - это мера вероятности и последствий определенного случающегося приводящего к ущербу события. Он может быть оценен для различных ситуаций (риск ОПУ, риск, требуемый для достижения допустимого риска, фактический риск (см. рис. 1)). Допустимый риск определяется на социальной основе с учетом социальных и политических факторов. Полнота безопасности относится исключительно к Э/Э/ЭП системам, связанным с безопасностью, системам, связанным с безопасностью, основанным на других технологиях, и вешним средствам снижения риска. Она является мерой вероятности удовлетворительного достижения этими системами и средствами необходимого сокращения риска при реализации определенных (заданных) функций безопасности. Однажды установленный допустимый риск и оцененное необходимое сокращение риска позволяют распределить требования к полноте безопасности систем, связанных с безопасностью.
Примечание - Распределение требует итеративности для оптимизации разработки в целях удовлетворения различных требований.
Роль, которую играют системы, связанные с безопасностью, в достижении необходимого сокращения риска, иллюстрируется рисунками 1 и 2.
В настоящем стандарте для каждой из групп ("L" и "Н") определено четыре уровня полноты безопасности (см. раздел 7 настоящего стандарта), где уровень полноты безопасности 4 является наивысшим уровнем, а уровень полноты безопасности 1 - наинизшим уровнем.
В таблицах 1 и 2 статьи раздела 7 настоящего стандарта определены ожидаемые (планируемые) диапазоны величины отказов для четырех уровней полноты безопасности в группах "L" и "Н". Одни системы действуют в режиме низкой частоты обращения к системам "L" (от английского Low), а другие - в режиме высокой частоты обращений "Н" (от английского High) или непрерывных обращений.
Примечание - Для систем, связанных с безопасностью, действующих в режиме низкой частоты обращения, в отношении величины полноты безопасности представляет интерес вероятность отказов при выполнении функций безопасности по запросам. Для систем, действующих в режиме высокой частоты обращения (запросов) или систем с непрерывными обращениями (запросами), в качестве величины полноты безопасности представляет интерес среднее число отказов в час.
Примечания
1. Требования полноты безопасности связываются с каждой функцией безопасности до распределения.
2. Функция безопасности может быть распределена на более чем одну систему, связанную с безопасностью.
Рис. 2. Риск и концепция полноты безопасности.
6. Распределение требований безопасности
Распределение требований безопасности (как требований к функциям безопасности, так и требований к полноте безопасности), предъявляемых к Э/Э/ЭП системам, связанным с безопасностью, системам, связанным с безопасностью, действующим на основе других технологий, и внешним средствам снижения риска показано на рис. 3.
Методы, используемые для распределения требований полноты безопасности по Э/Э/ЭП системам, связанным с безопасностью, системам, действующим на основе других технологий, и внешним средствам снижения риска, изначально зависят от того, в какой форме требуется однозначно определять необходимое сокращение риска - в количественной форме или в качественной форме. Эти подходы названы количественным и качественным методами, соответственно (см. приложения 6, 7, 8 и 9).
Рис. 3. Распределение требований безопасности по Э/Э/ЭП системам, связанным с безопасностью (ССБ), ССБ на основе других технологий и внешних средств снижения риска.
1. Модель разумной достаточности
1.1. Основные тесты, которые применяют при управлении промышленными рисками, могут показывать, что в результате деятельности:
a) риск является настолько большим, что его нужно совершенно отвергнуть, или
b) риск является, или был сделан настолько малым, что его не следует принимать во внимание, или
c) риск попадает между двумя позициями, указанными выше в (а) и (d) и уменьшен до самого низкого реального уровня, с учетом полученных от этого выгод и учетом затрат на любое дальнейшее его сокращение.
Принцип разумной достаточности (с) требует, чтобы любой риск был уменьшен настолько, насколько это реально разумно, либо был приведен к уровню, который является столь же низким, как и реально разумный. Если риск попадает в зону между этими двумя границами, (то есть зоной недопустимого риска, и зоной вполне приемлемого риска), и применяется принцип разумной достаточности, то остаточный риск является допустимым для данного конкретного применения. Этот трехзонный подход показан на рис. 1.
Выше некоторого уровня риск расценивается, как недопустимый риск и не может быть оправдан ни при каких обычных обстоятельствах.
Ниже этого уровня имеется зона допустимого риска, где допускается деятельность, если относящиеся к ней риски сделаны настолько низкими, насколько это реально разумно. Допустимый риск отличается от приемлемого риска: он указывает готовность жить с риском, чтобы обеспечить некоторые выгоды, в то же самое время надеясь на то, что риск будет находиться под наблюдением и будет уменьшен, как только это станет возможным. Здесь требуется явная или неявная оценка стоимости выгоды для взвешивания стоимости и необходимости мер по обеспечению безопасности. Чем выше риск, тем пропорционально больше ожидаемые затраты для его уменьшения. В пределе допустимости, расходы будут непропорционально большими, чтобы выгода была оправдана. В этом случае риск должен быть существенным по определению, чтобы значительные усилия, потраченные для достижения крайнего его сокращения, были бы объективно оправданы.
В нижней части зоны допустимости риска, где риски меньше существенных, пропорционально уменьшается потребность в затратах на его сокращение, и удовлетворяется баланс между затратами и выгодой.
Ниже зоны допустимости риска, уровни риска расцениваются как настолько незначительные, что тот, кто управляет рисками, не должен добиваться дальнейшего его снижения.
Рис. 1. Допустимый риск и разумная достаточность.
Это - область вполне приемлемого риска, где риски малы по сравнению с каждодневными рисками, которые все мы испытываем. Хотя в области вполне приемлемого риска нет никакой необходимости в доказательстве разумной достаточности, следует, однако, внимательно следить за тем, чтобы риск оставался на этом уровне.
2. Планирование допустимого риска
Один из путей получения плана риска состоит в определении для ряда последствий распределения частот, которые соответствуют присущим им допустимым рискам. Приведение в соответствие последствий и допустимых частот должно быть предметом обсуждений и соглашений между заинтересованными сторонами (например, органами власти, осуществляющими регулирование в области безопасности, теми, кто производит риск (например, владельцами химических предприятий), и теми, кто подвергается риску (людьми, обществом, общественной организацией, представляющей их интересы). В соответствии с настоящим стандартом согласованные значения допустимых рисков определяет Комиссии по допустимым уровням комплексной безопасности.
Принимая во внимание концепцию разумной достаточности (разумной реальности), соответствие между последствиями и частотами может быть дано в виде классов риска. В таблице 1 в качестве примера показано четыре класса рисков (I, II, III и IV) для ряда последствий и частот. В таблице 2 приведена интерпретация каждого из классов риска с использованием концепции разумной достаточности. То есть, дано описание каждого из четырех классов риска на основании рис. 1. Риски в рамках определений этих классов рисков являются рисками после принятия мер по их снижению. В соответствии с рис. 1 имеются следующие классы рисков:
- риск класса I находится в зоне недопустимого риска;
- риски классов II и III лежат в зоне разумной достаточности, причем риск класса II находится у самой границы зоны разумной достаточности (разумной реальности);
- риск класса IV находится в зоне вполне приемлемого риска.
Для каждой определенной ситуации или сопоставимой отрасли промышленности, либо строительных объектов могли бы быть разработаны таблицы, подобные таблице 1, с учетом социальных, политических и экономических и иных факторов. Каждому последствию должна бы быть поставлена в соответствие частота, и таблица была бы заполнена классами риска. Например, частота в таблице 1 могла бы обозначать частоту события (которое считается возможным на основании продолжительного опыта), которая могла бы быть заданной, как частота больше, чем 10 раз в год. Критическим последствием могла бы быть смерть одного человека и/или многочисленные серьезные повреждения, либо несколько профессиональных заболеваний.
Пример классификации рисков опасных событий (несчастных случаев, аварий, катастроф)
|
Частота опасных событий |
Последствия |
|||
|
Катастрофические |
Критические |
Крайне малые |
Несущественные |
|
|
Частые |
I |
I |
I |
II |
|
Возможные |
I |
I |
II |
III |
|
Редкие |
I |
II |
III |
III |
|
Отдельные |
II |
III |
III |
IV |
|
Маловероятные |
III |
III |
IV |
IV |
|
Невозможные |
IV |
IV |
IV |
IV |
|
Примечания: 1. Реальное заполнение таблицы классами рисков I, II, III и IV должно зависеть от зоны, а также от того, какая реальная частота их появления, от вероятности и т.п. Следовательно, эта таблица скорее должна рассматриваться как пример того, как таблица должна заполняться, а не как спецификация для дальнейшего применения. 2. Определение уровней полноты безопасности для позиций, встречающихся в таблице, кратко описано в приложении 6. |
||||
Интерпретация классов риска
|
Класс риска |
Интерпретация |
|
Класс I |
Недопустимый риск |
|
Класс II |
Нежелательный риск, и допустимый только, если снижение риска не осуществимо или если затраты чрезвычайно непропорциональны полученному выигрышу |
|
Класс III |
Допустимый риск, если затраты на снижение риска не превышают полученную выгоду |
|
Класс IV |
Пренебрежимо малый риск |
Краткое содержание:
МИНИСТЕРСТВО ПРОМЫШЛЕННОСТИ И ЭНЕРГЕТИКИ
КОМПЛЕКСНАЯ ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ
4. ОБЩИЕ ТРЕБОВАНИЯ КОМПЛЕКСНОЙ ФУНКЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ
5. МЕРЫ, СРЕДСТВА И СИСТЕМЫ СНИЖЕНИЯ РИСКОВ
6. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ОТДЕЛЬНЫХ КАТЕГОРИЙ ЛИЦ
7. ГРУППЫ И КАТЕГОРИИ КОМПЛЕКСНОЙ БЕЗОПАСНОСТИ ЗДАНИЙ И СООРУЖЕНИЙ
8. ПРОЦЕДУРЫ И МЕТОДЫ ОЦЕНКИ РИСКА И БЕЗОПАСНОСТИ ЗДАНИЙ И СООРУЖЕНИЙ
ПЕРЕЧЕНЬ ВИДОВ СТРОИТЕЛЬНЫХ ОБЪЕКТОВ, НА КОТОРЫЕ РАСПРОСТРАНЯЕТСЯ ДЕЙСТВИЕ НАСТОЯЩЕГО СТАНДАРТА
ПЕРЕЧЕНЬ ВИДОВ СИСТЕМ БЕЗОПАСНОСТИ, НА КОТОРЫЕ РАСПРОСТРАНЯЕТСЯ ДЕЙСТВИЕ НАСТОЯЩЕГО СТАНДАРТА
РИСК И ПОЛНОТА БЕЗОПАСНОСТИ - ОСНОВНАЯ КОНЦЕПЦИЯ
КОНЦЕПЦИЯ РАЗУМНОЙ ДОСТАТОЧНОСТИ И ДОПУСТИМОГО РИСКА
КОЛИЧЕСТВЕННЫЙ МЕТОД ОПРЕДЕЛЕНИЯ ПОЛНОТЫ БЕЗОПАСНОСТИ
КАЧЕСТВЕННЫЙ МЕТОД ОПРЕДЕЛЕНИЯ ПОЛНОТЫ БЕЗОПАСНОСТИ - МЕТОД ГРАФА РИСКА
КАЧЕСТВЕННЫЙ МЕТОД ОПРЕДЕЛЕНИЯ ПОЛНОТЫ БЕЗОПАСНОСТИ - МАТРИЦА КРИТИЧНОСТИ СОБЫТИЙ