LOPA— це основа для специфікування незалежних рівнів захисту (IPL) і рівнів цілісності безпеки (SIL) для контрольно-вимірювальних систем, описаних у стандартах серії ІЕС 61508 та ІЕС 61511, визначання вимог до рівнів цілісності безпеки (SIL) для контрольно-вимірювальних систем безпеки. LOPA можна застосовувати, щоб сприяти результативному розподіленню ресурсів зменшення ризику, аналізуючи зменшення ризику, забезпечуване кожним рівнем захисту.
Вхідні дані
Вхідні дані LOPA:
основоположна інформація стосовно ризиків, зокрема небезпечних чинників, причин і наслідків (наприклад, одержувана за РНА);
інформація стосовно засобів контролювання, запроваджених чи пропонованих;
частота причинних подій, імовірності відмови рівнів захисту, величина наслідків і визначений допустимий ризик;
частота першопочаткових причин, імовірності відмови рівнів захисту, величина наслідків і визначення допустимого ризику.
Процес
LOPA провадить група експертів, застосовуючи таку процедуру:
визначає першопочаткові причини небажаного результату і пошук даних за частотою та наслідками впливів;
вибирає окрему пару причина-наслідок;
ідентифікує рівні захисту, які запобігають тому, щоб причина призводила до небажаного наслідку, і аналізує їхню результативність;
ідентифікує незалежні рівні захисту (IPL) (не всі рівні захисту незалежні);
кількісно оцінює ймовірність відмови кожного IPL;
поєднує частоту першопочаткової причини з імовірностями відмови кожного IPL та ймовірностями будь-яких умовних модифікаторів (наприклад, чи буде присутня людина, на яку чинитиметься вплив), щоб визначити частоту виникнення небажаного наслідку. Частоту та ймовірності визначають з використанням порядків величини;
порівнює обчислений рівень ризику з рівнями толерантності до ризику, щоб визначити потребу додаткового захисту.
IPL — система пристроїв або дія, які спроможні запобігати тому, щоб сценарій призводив до свого небажаного наслідку, незалежно від причинної події чи будь-якого іншого рівня захисту, пов’язаних з цим сценарієм.
IPL охоплюють:
конструктивні особливості;
пристрої фізичного захисту;
системи блокування та вимикання;
засоби сигналізування у критичних ситуаціях і ручне втручання;
— фізичний захист після настання події;
системи аварійного реагування (процедури та інспекційні перевірки не є незалежними рівнями захисту).
В. 18.5 Вихідні дані
Має бути вироблено рекомендації щодо будь-яких допоміжних засобів контролювання та щодо результативності цих засобів контролювання стосовно зменшення ризику.
LOPA — одна з методик, використовуваних для загального оцінювання SIL у разі розглядання систем, пов’язаних з безпекою, та контрольно-вимірювальних систем.
В.18.6 Переваги та обмеженості
Переваги:
потребує менше часу та ресурсів, ніж аналізування дерева відмов або цілком кількісне загальне оцінювання ризику, але більш строгий за якісні суб’єктивні судження;
сприяє ідентифікуванню найкритичніших рівнів захисту та зосередженню ресурсів на них;
дає змогу ідентифікувати операції, системи та процеси, засоби захищання яких є недостатніми;
засереджує увагу на найважчих наслідках.
Обмеженості:
LOPA зосереджує увагу одночасно на одній парі причина-наслідок і одному сценарії. Складні взаємодії між ризиками або між засобами контролювання не розглядають;
кількісні ризики можуть не враховувати відмови загального характеру;
LOPA не застосовний до дуже складних сценаріїв з багатьма парами причина-наслідок або з різноманітними наслідками, що впливають на різні зацікавлені сторони.
В.18.7 Рекомендовані документи
ІЕС 61508 (усі частини) Functional safety of electrical/electronic/programmable electronic safety-related systems (Функційна безпечність електричних, електронних, програмовних електронних систем, пов’язаних з безпекою).
ІЕС 61511 Functional safety — Safety instrumented systems for the process industry sector (Функційна безпека. Контрольно-вимірювальні системи безпеки для обробної промисловості).
Аналізування дерева рішень
Загальний огляд
Дерево рішень зображує альтернативні варіанти та результати рішень послідовно, даючи змогу враховувати невизначені результати. Воно подібне до дерева подій у тому, що воно починається з пер- шопочаткової події чи початкового рішення і моделює різні шляхи та наслідки як результат подій, які можуть відбуватися, та різних рішень, що їх може бути прийнято.
Застосування
Дерево рішень застосовують у керуванні проектними ризиками та за інших обставин, щоб допомогти вибрати найкращий спосіб дій за наявності невизначеності. Графічне відображення може також сприяти обмінюванню інформацією щодо підстав прийняття рішень.
19.3 Вхідні дані
План проекту з точками прийняття рішень. Інформація про можливі результати рішень і про випадкові події, які можуть позначатися на рішеннях.
Процес
Дерево рішень починається з початкового рішення (наприклад, приступити до проекту А, а не до проекту В). Якщо розглядати два гіпотетичних проекти, то й події відбуватимуться різні і, відповідно, необхідно буде приймати різні прогнозовані рішення. Цей процес зображують у вигляді дерева, подібного до дерева подій. Може бути кількісно оцінено ймовірність подій, а також витрати щодо кінцевого результату чи корисність кінцевого результату, до якого веде цей шлях.
Логічно, що інформація стосовно найкращого шляху прийняття рішень має бути такою, яка дає змогу одержувати найочікуваніше значення як добуток усіх умовних імовірностей на цьому шляху та значення результату.
В. 19.5 Вихідні дані
Вихідні дані такі:
— логічне аналізування ризику з відображенням різних варіантів, які може бути прийнято;
— обчислення очікуваного значення для кожного можливого шляху.
Переваги та обмеженості
Переваги:
■—чітке графічне зображення подробиць проблеми, пов'язаної з прийняттям рішення;
— змога обчислювати найкращий варіант у певній ситуації.
Обмеженості:
— великорозмірні дерева рішень можуть бути надто складними, утруднюючи обмінювання інформацією;
— можлива тенденція надмірно спрощувати ситуацію з тим, щоб мати змогу зображати її у формі деревоподібної діаграми.
Загальне оцінювання надійності людини (HRA)
Загальний огляд
Загальне оцінювання надійності людини (HRA) стосується розглядання впливу людей на дієвість системи і може бути використано для оцінювання впливу помилок людини на систему.
Для більшості процесів притаманна потенційна можливість помилки людини, особливо в разі, коли в оператора недостатньо часу для прийняття рішення. Імовірність того, що проблеми наростатимуть і ставатимуть значними, може бути мала. Однак іноді дія людини стає єдиною перепоною, що запобігає розвиненню початкової відмови до аварії.
Важливість HRA підтверджено різноманітними аваріями, за яких критичні помилки людини сприяли катастрофічній послідовності подій. Ці аварії є засторогами проти загальних оцінювань ризику, зосереджуваних винятково на технічних і програмних засобах системи. Вони показують небезпеки ігнорування можливості впливу помилки людини. Крім того, HRA є корисними для виявлення помилок, які можуть негативно позначатися на продуктивності, і винаходження способів, якими оператори та персонал з технічного обслуговування можуть усувати ці помилки та інші відмови (технічні та програмні).
Застосування
HRA може бути якісним або кількісним. Якісне HRA застосовують для ідентифікування потенційної можливості помилки людини та її причин з тим, щоб можна було зменшити ймовірність помилки. Кількісне HRA застосовують для надання даних про відмови з вини людини для FTA чи інших методів.
Вхідні дані
Вхідні дані HRA такі:
інформація, за якою можна визначити завдання, що його має виконати персонал;
накопичені дані щодо типів помилок, що трапляються на практиці, і щодо потенційної можливості помилок;
— фахова компетентність щодо помилок людини та їх кількісного подання.
Процес
Процес HRA (див. рисунок В.7) такий:
■— Визначення проблеми — які типи залучення людини потрібно дослідити/загально оцінити?
— Аналізування робочих завдань — як робочі завдання виконуватимуть і які допоміжні засоби буде потрібно, щоб підтримати ефективне виконання?
— Аналізування помилок людини — через що робоче завдання може бути не виконано: які помилки можуть бути та як їх може бути виправлено?
— Зображання — як ці помилки чи невдача у виконанні робочого завдання може бути поєднано з іншими подіями, пов’язаними з технічними та програмними засобами і середовищем, щоб уможливити обчислення ймовірностей відмови системи загалом?
— Відсортування — чиє помилки або робочі завдання, які не потрібно докладно кількісно подавати9
— Кількісне подання — якою є правдоподібність окремих помилок і невдач у виконанні робочих завдань?
— Загальне оцінювання впливу — які помилки та робочі завдання найважливіші, тобто які з них найбільше позначаються на надійності чи ризику?
— Зменшування помилок — як можна досягти більшої надійності людини?
— Документування — яку інформацію стосовно HRA потрібно документувати?
На практиці процес HRA здійснюють поетапно, хоча іноді деякі його етапи (наприклад, аналізування робочих завдань та ідентифікування помилок) виконують паралельно.
Вихідні дані
Вихідні дані такі:
■— перелік помилок, які можуть виникати, і методи, якими їх може бути зменшено, — переважно перепроектуванням системи;
— види помилок, причини та наслідки різних типів помилок;
— якісна чи кількісна загальна оцінка ризику, пов’язаного з помилками.
Переваги та обмеженості
Переваги:
це формалізований спосіб урахування помилок людини під час розглядання ризиків, пов’язаних із системами, у яких люди часто відіграють важливу роль;
— формалізоване розглядання видів помилок людини та їхніх закономірностей уможливить зменшення ймовірності відмови внаслідок помилки.
Обмеженості:
складність особистості та різноманітність людей, що утруднює визначання простих видів відмов і їхніх імовірностей;
— багатьом видам людської діяльності не притаманний такий однозначний поділ як успіх/невда- ча. За HRA важко опрацьовувати часткові відмови або відмови, пов’язані з якістю чи неналежним прийняттям рішень.
Аналізування діаграми «краватка-метелик»
Загальний огляд
Аналізування діаграми «краватка-метелик» ■— простий спосіб схематичного описування й аналізування шляхів ризику від причин до наслідків. Його можна розглядати як поєднання дерева відмов, що уможливлює аналізування причини події (зображеної вузлом «краватка-метелик»), і дерева подій, що уможливлює аналізування наслідків. Однак це аналізування зосереджене на бар’єрах між причинами та ризиком, а також між ризиком і наслідками. Діаграми «краватка-метелик» можна будувати, починаючи з дерева відмов і дерева подій, але частіше їх креслять безпосередньо після проведення мозкової атаки.
Застосування
Аналізування діаграми «краватка-метелик» застосовують, щоб відобразити ризик із зазначенням низки можливих причин і наслідків. Його застосовують тоді, коли ситуація не настільки складна, щоб вимагати повного аналізування дерева відмов, або коли акцент роблять головним чином на забезпеченні впевненості у наявності бар’єру чи засобу контролювання для кожного шляху відмови. Це аналізування корисне, коли є чіткі та незалежні шляхи, що ведуть до відмови.
Діаграма «краватка-метелик» часто легша для розуміння, ніж дерево відмов або дерево подій, і, тому, може бути корисним засобом обмінювання інформацією, коли аналізування провадять із застосуванням складніших методів.
Вхідні дані
Добре розуміння причин і наслідків ризику, а також бар’єрів і засобів контролювання, які можуть запобігати ризику, зменшувати чи посилювати його.
Процес
Процедура аналізування діаграми «краватка-метелик» (див. рисунок В.8) така:
ідентифікують конкретний ризик для аналізування і зображають його як центральний вузол «кра- ватки-метелика»;
ІЕС 2068/09
Рисунок В.7 — Приклад загального оцінювання надійності людини
