1. Условия применения
Количественный метод удобно применять, когда:
- допустимый риск может быть определен в численной форме (например, определенное последствие не должно произойти чаще, чем один раз в 104 лет);
- заданы численные планируемые (ожидаемые) значения полноты безопасности для систем, связанных с безопасностью.
Метод, в частности, применим, когда модель риска соответствует моделям, показанным на рис. 1 и 2 приложения 5 к настоящему стандарту.
2.Общий метод
Модель, используемая для иллюстрации общих принципов, показана на рис. 1 приложения 5. Ключевые шаги в методе, которые должны быть выполнены для каждой функции безопасности, которая будет выполняться Э/Э/ЭП системой, связанной с безопасностью, следующие:
- определение допустимого риска из таблицы, такой как табл. 1 приложения 6;
- определение риска оборудования, находящегося под управлением (ОПУ);
- определение необходимого снижения риска для достижения допустимого риска;
- распределение необходимого снижения риска по Э/Э/ЭП системам, связанным с безопасностью, системам, связанным с безопасностью, основанным на других технологиях, и внешним средствам снижения риска.
Таблица 1 приложения 6 к настоящему стандарту, заполненная частотами возникновения риска, позволяет определить планируемый (ожидаемый) допустимый риск (Ft).
Частота, связанная с риском, который существует для ОПУ, включая систему управления ОПУ и человеческий фактор (риск ОПУ), в отсутствие любых защитных мер, может быть оценена с использованием численных методов оценки риска. Это частота, с которой может происходить опасное событие в отсутствие защитных мер (Fnp), - является одним из двух компонентов риска ОПУ. Другой компонент риска - последствие опасного случая. Fnp - может быть определен с помощью
- анализа частоты (коэффициента) отказов в сопоставимых ситуациях;
- данных из уместных баз данных;
- расчетов с применением соответствующих методов прогноза.
Стандарты, указанные в приложении 5 к настоящему стандарту, содержат ограничения на минимальные частоты отказов, которые могут потребоваться для систем управления ОПУ. Если требуется, чтобы система управления ОПУ имела частоту отказов меньшую, чем минимальная частота отказов, то система управления ОПУ будет рассматриваться как система, связанная с безопасностью, и на нее будут распространяться все требования настоящего стандарта для систем, связанных с безопасностью.
3. Пример расчета
На рис. 1 показан пример расчета планируемой (ожидаемой) полноты безопасности для одиночной системы, связанной с безопасностью. Для этой ситуации
PFDavg £ Ft/Fnp,
где PFDavg - средняя вероятность отказа по требованию (по обращению) защитной системы (системы защиты), связанной с безопасностью, работающей в режиме низкой частоты обращений (см. раздел настоящего 7 стандарта);
Ft - частота допустимого риска;
Fnp - частота риска при наличии защитных мер.
Можно заметить, что определение Fnp для ОПУ важно из-за его отношения к PFDavg и, следовательно, к уровню полноты безопасности системы, связанной с безопасностью.
Необходимые шаги в получении уровня полноты безопасности (когда последствия С остаются постоянными, как на рис. 1) для ситуации, где полное необходимое сокращение риска достигнуто единственной системой защиты, связанной с безопасностью, которая должна уменьшить частоту опасных событий, как минимум, с Fnp до Ft, следующие:
- определение частоты событий риска без каких-либо дополнительных защитных мер (Fnp);
- определение последствий С без добавления каких-либо дополнительных мер безопасности;
- определение (с использованием табл. 1 приложения 6), достигнут ли для частоты Fnp и последствий С допустимый риск. Если на основании таблицы 1 это приводит к риску класса I, то требуется дальнейшее сокращение риска. Риски классов IV или III были бы допустимыми рисками. Риск класса II потребовал бы дополнительного изучения;
Примечание - Таблица 1 приложения 6 используется для проверки, требуются ли или нет дальнейшие меры по снижению риска до тех пор, пока не окажется возможным достижение допустимого риска без каких-либо дополнительных защитных мер.
- определение вероятности отказа по запросу (отказа по требованию) для системы защиты, связанной с безопасностью, (PFDavg) для достижения необходимого сокращения риска (DR). Для постоянных последствий в определенной описанной ситуации, PFDavg = (Ft/Fnp) - DR;
- для PFDavg = (Ft/Fnp) уровень полноты безопасности может быть получен из таблицы 2, приведенной в разделе 7 настоящего стандарта (например, для PFDavg = 10-2 - 10-3, уровень полноты безопасности равен 2).
Рис. 1. Распределение полноты безопасности: пример системы защиты, относящейся к безопасности
1. Условия применения
Настоящее приложение описывает графический метод оценки риска (метод графа риска), который является качественным методом, и который позволяет определить уровень полноты безопасности системы, относящейся к безопасности, исходя из знаний факторов риска, связанных с ОПУ и системой управления ОПУ. Его удобно применять, когда модель риска такая, как показано на рис. 1 и 2 приложения 5.
В случаях, когда для упрощения рассмотрения вопросов безопасности принимают качественный подход, вводят ряд параметров, которые вместе описывают природу опасной ситуации, когда система, связанная с безопасностью, отказывает или находится вне доступа. Из каждого из четырех наборов выбирают один параметр, и выбранные параметры затем объединяют, чтобы определить место положения систем, связанных с безопасностью. Эти параметры
- позволяют сделать градуировку рисков по значению и
- содержат ключевые факторы оценки риска.
2. Синтез графа риска
Нижеследующие упрощенные процедуры основаны на выражении
R = f×C,
где R - риск в отсутствие системы, связанной с безопасностью;
f - частота приводящего к ущербу события в отсутствие системы, связанной с безопасностью;
С - последствия приводящего к ущербу события (последствие должно быть отнесено к ущербу, связанному с здоровьем и безопасностью или ущербом, нанесенным окружающей среде).
Частота приводящих к ущербу событий f в этом случае определяется тремя влияющими факторами
- частотой и временем пребывания в опасной зоне;
- вероятностью избежания приводящего к ущербу события;
- вероятностью наступления приводящего к ущербу события в отсутствие какой-либо системы, относящейся к безопасности, (но имеющей в наличии внешние средства снижения риска) - ее называют вероятностью нежелательного события.
Она производит четыре следующих параметра
- последствие приводящего к ущербу события (С);
- частоту и время подтверждения воздействию в опасной зоне (F);
- вероятность неудачи в избежании приводящего к ущербу события (Р)
- вероятность нежелательного события (W).
3. Другие возможные параметры риска
Полагается, что определенные выше параметры риска являются в достаточной степени родовыми, чтобы их можно было распространять на широкий диапазон применений. Могут, однако, быть применения, которые требуют введения дополнительных параметров. Например, использование новых технологий (технических средств) в ОПУ и системах управления ОПУ. Назначение дополнительных параметров состояло бы в более точной оценке необходимого сокращения риска (см. рис. 1 приложения 5).
Рис. 1 - Граф риска: Общая схема
4. Выполнение графа риска
Комбинация параметров риска, описанных выше, позволяет получить граф риск в виде, показанном на рис. 1: СA < СВ < СС < CD; FA < FB; PA < PB; W1 < W2 < W3. Толкование этого графа риска следующее:
- Использование параметров риска С, F и Р приводит к ряду исходов X1, X2, Х3,..., Хn (точное число зависит от области применения, чтобы быть покрытой графом риска). Рис. 1 показывает ситуацию, при которой не обеспечивается никакой дополнительный вклад для более серьезных последствий. Каждый из этих исходов отображается на одной из трех шкал (W1, W2 или W3). Каждая точка этих шкал обозначает необходимую полноту безопасности, которая должна быть достигнута с помощью рассматриваемой Э/Э/ЭП системы, связанной с безопасностью. На практике будут ситуации, когда для специфических последствий одиночная Э/Э/ЭП система, связанная с безопасностью, не позволит достичь необходимого снижения риска.
- Отображение на шкалах W1, W2 или W3 позволяет ввести для использования другие меры снижения риска. То есть, шкала W3 предусматривает минимальное снижение риска, внесенное другими средствами (то есть, самую высокую вероятность имеющего место нежелательного происшествия), шкала W2 предусматривает средний вклад, и шкала W1 - максимальный вклад. Для специфических промежуточных точек графа риска (например, X1, X2... или Х6) или для специфической шкалы W (например, W1, W2 или W3) финальный выход (исход) графа риска дает уровень полноты безопасности Э/Э/ЭП системы, связанной с безопасностью (например, 1, 2, 3 или 4) и требуемые средства снижения риска для этой системы. Это снижение риска, вместе со снижением риска, достигаемым с помощью других мер (например, с помощью систем, связанных с безопасностью, основанных на других технологиях, и внешних средств снижения риска), которые принимаются в расчет с помощью механизма W-шкал, дает необходимое снижение риска для специфической ситуации.
Параметры, обозначенные на рис. 1 (СA, CB, CC, CD, FA, FB, PA, PB, W1, W2, W3), и их содержимое должны были бы точно определены для каждой конкретной ситуации или сопоставимой отрасли промышленности.
5. Пример графа риска
Выполнение графа риска, основанного на данных таблицы 1 приложения 6, показано на рис. 2. Использование параметров риска С, F, и Р приводит к одному из восьми выходов (исходов). Каждый из этих выходов (исходов) обозначается на одной из трех шкал (W1, W2 и W3). Каждая точка на этих шкалах (а, b, с, d, e, g и h) является обозначением необходимого сокращения риска, который должен быть достигнут системой, связанной с безопасностью.
Рис. 2 - Граф риска: пример (иллюстрирует лишь основные принципы)
Данные к примеру графа риска (рис. 2)
|
Параметр риска |
|
Классификация |
Комментарии |
|
1 |
2 |
3 |
4 |
|
Последствия (С) |
С1 С2 |
Несущественный ущерб |
1 Система классификации была разработана для рассмотрения вопроса нанесения вреда здоровью и жизни людей. Для рассмотрения нанесения вреда окружающей среде или материального ущерба должны бы быть разработаны другие схемы классификации. 2 Для интерпретации С1, С2, С3 и С4 должны быть приняты во внимание катастрофа (несчастный случай) и нормальное спасение |
|
|
|
Серьезный долговременный (permanent) ущерб одному лицу |
|
|
|
С3 |
или большему числу лиц; |
|
|
|
С4 |
Смерть одного лица, смерть нескольких лиц; |
|
|
|
|
Гибель очень большого числа людей |
|
|
Частота и время воздействия опасности в опасной зоне (F) |
F1 |
От редкого до более частого подтверждения опасности в опасной зоне. Частое или непрерывное подтверждение опасности в опасной зоне |
3 См. комментарий 1 (выше) |
|
F2 |
|||
|
Вероятность избегания (избежания) опасного события (Р) |
P1 |
Возможно при некоторых условиях |
4 Этот параметр учитывает (принимает в расчет) |
|
Р2 |
Почти невозможно |
- режим процесса (контролируемый (например, квалифицированным или неквалифицированным лицом) или неконтролируемый); - скорость развития приводящего к ущербу события (например, неожиданно, быстро или медленно); |
|
|
|
|
|
- легкость распознавания опасности (например, обнаруживается немедленно, обнаруживается техническими средствами или обнаруживается без технических средств); - избежание (избегание, уклонение от) опасного события (например, возможны запасные пути, не возможно или возможно при некоторых условиях); - имеющийся реальный опыт спасения (такой опыт может иметь место в идентичном ОПУ или похожем ОПУ, либо может отсутствовать) |
|
Вероятность нежелательных происшествий (W) |
W1 |
Очень небольшая вероятность того, что нежелательное происшествие произойдет, и только несколько нежелательных |
5 Назначение (цель) W-фактора состоит в приблизительной оценке частоты появления нежелательного происшествия без применения каких-либо систем, относящихся к безопасности (Э/Э/ЭП систем или систем, основанных на других технологиях), но с использованием любых внешних средств снижения риска. |
|
|
W2 |
происшествий возможно Небольшая вероятность того, что нежелательное происшествие произойдет, и несколько нежелательных происшествий возможно Относительно высокая вероятность того, что нежелательное происшествие произойдет, и возможны частые нежелательные происшествия |
6 Если имеется небольшой или отсутствует опыт применения ОПУ или систем управления ОПУ, либо подобных ОПУ и систем управления ОПУ, приблизительная оценка W-фактора может быть сделана путем расчета. В этом случае должен быть использован наихудший прогноз. |
|
|
|||
|
|
|||
|
|
W3 |
1. Условия применения
Численный (количественный) метод, описанный в приложении 6, не применим, когда риск (или частота его появления) не могут быть определены количественно. Настоящее приложение описывает метод матрицы серьезности (критичности) приводящих к ущербу событий, который относится к качественному методу и позволяет определить уровень полноты безопасности Э/Э/ЭП системы, связанной с безопасностью (ССБ), на основании знаний факторов риска, связанных с оборудованием, находящимся под управлением (ОПУ), и системой управления ОПУ. Он практически применим, когда модель риска такая, как показано на рис. 1 и 2 приложения 5.
Схема, приведенная в настоящем приложении, предполагает, что каждая система, связанная с безопасностью (ССБ), и внешние средства снижения риска являются независимыми.
2. Матрица серьезности (критичности) приводящих к ущербу событий
В основу матрицы положены следующие обязательные требования:
a) системы, связанные с безопасностью (ССБ), (Э/Э/ЭП или ССБ, основанные на других технологиях), вместе с внешними средствами снижения риска являются независимыми;
b) каждая система, связанная с безопасностью (Э/Э/ЭП или ССБ, основанная на другой технологии), вместе с внешними средствами снижения риска рассматриваются как слои защиты, которые обеспечивают по своим собственным правилам (возможностям) частичные сокращения риска, как показано на рис. 1 приложения 5.
Примечание - Это допущение справедливо только, если выполняются регулярные контрольные испытания слоев защиты.
c) увеличение уровня полноты безопасности достигается тогда, когда добавляется один слой защиты (b), см. выше);
d) используется только одна Э/Э/ЭП система, связанная с безопасностью, (но она может быть объединена с системой, связанной с безопасностью, основанной на другой технологии, и/или с внешним средством снижения риска).
Приведенные выше рассуждения подводят к матрице серьезности приводящих к ущербу событий, показанной на рис. 1. Следует отметить, что матрица заполнена примерными данными для иллюстрации общих принципов. Для каждой конкретной ситуации или сектора сопоставимой отрасли промышленности может быть построена своя матрица, подобная матрице, изображенной на рис. 1.
Краткое содержание:
МИНИСТЕРСТВО ПРОМЫШЛЕННОСТИ И ЭНЕРГЕТИКИ
КОМПЛЕКСНАЯ ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ
4. ОБЩИЕ ТРЕБОВАНИЯ КОМПЛЕКСНОЙ ФУНКЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ
5. МЕРЫ, СРЕДСТВА И СИСТЕМЫ СНИЖЕНИЯ РИСКОВ
6. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ОТДЕЛЬНЫХ КАТЕГОРИЙ ЛИЦ
7. ГРУППЫ И КАТЕГОРИИ КОМПЛЕКСНОЙ БЕЗОПАСНОСТИ ЗДАНИЙ И СООРУЖЕНИЙ
8. ПРОЦЕДУРЫ И МЕТОДЫ ОЦЕНКИ РИСКА И БЕЗОПАСНОСТИ ЗДАНИЙ И СООРУЖЕНИЙ
ПЕРЕЧЕНЬ ВИДОВ СТРОИТЕЛЬНЫХ ОБЪЕКТОВ, НА КОТОРЫЕ РАСПРОСТРАНЯЕТСЯ ДЕЙСТВИЕ НАСТОЯЩЕГО СТАНДАРТА
ПЕРЕЧЕНЬ ВИДОВ СИСТЕМ БЕЗОПАСНОСТИ, НА КОТОРЫЕ РАСПРОСТРАНЯЕТСЯ ДЕЙСТВИЕ НАСТОЯЩЕГО СТАНДАРТА
РИСК И ПОЛНОТА БЕЗОПАСНОСТИ - ОСНОВНАЯ КОНЦЕПЦИЯ
КОНЦЕПЦИЯ РАЗУМНОЙ ДОСТАТОЧНОСТИ И ДОПУСТИМОГО РИСКА
КОЛИЧЕСТВЕННЫЙ МЕТОД ОПРЕДЕЛЕНИЯ ПОЛНОТЫ БЕЗОПАСНОСТИ
КАЧЕСТВЕННЫЙ МЕТОД ОПРЕДЕЛЕНИЯ ПОЛНОТЫ БЕЗОПАСНОСТИ - МЕТОД ГРАФА РИСКА
КАЧЕСТВЕННЫЙ МЕТОД ОПРЕДЕЛЕНИЯ ПОЛНОТЫ БЕЗОПАСНОСТИ - МАТРИЦА КРИТИЧНОСТИ СОБЫТИЙ