В.1 Общие положения
В настоящем приложении рассматривается один частный подход к достижению допустимого риска. В приложении нет подробного описания метода, даны только основные принципы. Тем, кто собирается применять методы, описываемые в настоящем приложении, рекомендуется обратиться к источникам [1] - [5].
В.2 Модель ALARP
В.2.1 Введение
В А.2 описаны основные проверки, применяемые при управлении промышленными рисками, и выполнение которых определенно показывает:
a) является ли риск настолько большим, что он должен быть отвергнут полностью, или
b) риск является (или может быть сделан) столь малым, что может считаться незначительным, или
c) риск попадает в промежуток между двумя категориями, определенными в перечислениях а) и b), и уменьшается до самого низкого реального уровня с учетом полученных от этого выгод и учетом затрат на любое дальнейшее его снижение.
Что касается перечисления с), принцип ALARP требует, чтобы любой риск был уменьшен настолько (или до столь низкого уровня), насколько это практически осуществимо (последняя фраза на английском языке «as low as reasonably practicable» и образует аббревиатуру ALARP). Если риск находился между областью недопустимого риска и областью допустимого риска и был использован принцип ALARP, то результирующий риск является допустимым риском для конкретного приложения. Такой подход, использующий три области, показан на рисунке В.1.
Риск, превышающий определенный уровень, считается недопустимым и не может быть оправдан при обычных обстоятельствах.
Рисунок В.1 - Допустимый риск и ALARP
Ниже этого уровня находится область терпимого риска, в которой деятельность может производиться при условии, что риски будут сделаны настолько малыми, насколько это практически возможно. Терпимый риск отличается от допустимого риска: он указывает готовность мириться с риском, поскольку это приносит определенные выгоды, в то же самое время надеясь на то, что риск будет находиться под наблюдением и будет уменьшен, как только это станет возможным. В этой ситуации требуется оценка стоимости выгод, которая может быть явной или неявной, позволяющая определить стоимость и необходимость дополнительных мер безопасности. Чем выше риск, тем более высоких затрат следует ожидать для его снижения. На границе области терпимого риска затраты оказываются в большой диспропорции по отношению к ожидаемым выгодам. В этой зоне риск по определению будет значительным, и беспристрастный анализ говорит о том, что даже для достижения минимально необходимого уменьшения риска потребуются значительные усилия.
Там, где риск является менее значительным, на его снижение потребуются меньшие затраты, и на другом краю области терпимого риска баланс между затратами и выгодами может оказаться удовлетворительным.
Ниже области терпимого риска уровни риска считаются настолько незначительными, что их дальнейшего снижения не требуется. Это область общей допустимости, для которой риски являются малыми в сравнении с повседневными рисками. В области общей допустимости не требуется детальной проработки для демонстрации ALARP; однако требуется сохранять бдительность для того, чтобы риск оставался на данном уровне.
Концепция ALARP может быть использована тогда, когда приняты качественные или количественные планы для риска. В В.2.2 описан метод количественной оценки риска. (В приложении С описывается количественный метод, а в приложениях D и Е - качественные методы определения требуемого уменьшения риска для конкретной опасности; указанные методы могут включать концепцию ALARP на стадии принятия решений).
Примечание - Более подробная информация об ALARP приведена в [4].
В.2.2 Планируемый допустимый риск
Один из путей получения плана допустимого риска состоит в том, что для ряда последствий, которые должны быть определены, назначаются допустимые для них частоты. Такое согласование последствий и допустимых частот достигается обсуждением и выработкой соглашения между заинтересованными сторонами (например, органами, осуществляющими техническое регулирование в области безопасности, теми, чья деятельность является источником рисков, и теми, кто подвергается действию рисков).
С учетом концепции ALARP связь последствий с допустимыми частотами может быть получена путем использования классов рисков. Примером является таблица В.1, где показаны четыре класса рисков (I, II, III, IV) для ряда последствий и частот. В таблице В.2 каждый класс рисков интерпретируется с использованием концепции ALARP. Это означает, что описание каждого из четырех классов рисков основано на рисунке В.1. Риски в определениях этих классов соответствуют случаю, когда приняты требуемые меры снижения риска. Соответствие между рисунком В.1 и классами рисков является следующим:
- I класс рисков соответствует области недопустимого риска;
- II и III классы рисков находятся в области ALARP, II класс находится целиком внутри области ALARP;
- IV класс рисков находится в области общей допустимости рисков.
Для каждой конкретной ситуации или для сравнимых промышленных отраслей может быть разработана таблица, аналогичная таблице В.1, учитывающая широкий диапазон социальных, политических и экономических факторов. Каждому последствию может быть поставлена в соответствие частота и, таким образом, таблица будет заполнена классами рисков. Например, «частое» в таблице В.1 может обозначать событие, которое будет встречаться постоянно и частота которого может быть определена как превышающая 10 раз в год. Критическое последствие может быть одной смертью и/или многочисленными тяжелыми травмами, или профессиональными заболеваниями.
Таблица В.1 - Пример классификации рисков по частоте несчастных случаев
|
Частота |
Последствия |
|||
|
катастрофические |
критические |
граничные |
незначительные |
|
|
Частые |
I |
I |
I |
II |
|
Вероятные |
I |
I |
II |
III |
|
Случайные |
I |
II |
III |
III |
|
Редкие |
II |
III |
IV |
IV |
|
Невероятные |
III |
III |
IV |
IV |
|
Неправдоподобные |
IV |
IV |
IV |
IV |
|
Примечания 1 Фактическое содержание I, II, III и IV классов рисков зависит от отрасли, а также от реальных частот для таких категорий, как «частые», «вероятные» и т.д. Данная таблица должна, следовательно, рассматриваться как пример содержания подобных таблиц, а не как руководство для будущего использования. 2 Определение уровней полноты безопасности по частотам, приведенным в настоящей таблице, описано в приложении С. |
||||
Таблица В.2 - Интерпретация классов
|
Класс риска |
Интерпретация |
|
Класс I |
Недопустимый риск |
|
Класс II |
Нежелательный риск может быть допустим, только если снижение риска невозможно или если затраты на снижение существенно непропорциональны достигаемому улучшению |
|
Класс III |
Риск допустим, если цена уменьшения риска превосходит достигаемый выигрыш |
|
Класс IV |
Незначительный риск |
С.1 Общие положения
В настоящем приложении описывается, как могут быть определены уровни полноты безопасности с использованием количественного подхода, и показывается, как может быть использована информация, содержащаяся в таблице В.1 и подобных ей таблицах. Количественный подход приобретает особое значение, когда:
- допустимый риск описан на количественном уровне (например, что конкретное последствие не должно происходить с частотой, превышающей один случай на 104 лет);
- для уровней полноты безопасности в системах безопасности определены количественные ориентиры. Такие ориентиры определены в настоящем стандарте [МЭК 61508-1 (таблицы 2 и 3)].
Настоящее приложение не представляет собой систематического описания метода, оно предназначено для того, чтобы проиллюстрировать основные принципы. Данный метод применим, в частности, когда используется модель риска, показанная на рисунках А.1 и А.2.
С.2 Общее описание метода
Данная модель используется для того, чтобы проиллюстрировать основные принципы, показанные на рисунке А.1. Основные шаги при использовании метода перечислены ниже, они должны выполняться для каждой функции безопасности, которая должна быть реализована Е/Е/РЕ системой, связанной с безопасностью:
- определить допустимый риск из таблицы, подобной таблице В.1;
- определить риск EUC;
- определить уменьшение риска, необходимое для того, чтобы сделать его допустимым;
- распределить требуемое уменьшение риска между Е/Е/РЕ системами, связанными с безопасностью, системами, связанными с безопасностью, основанными на других технологиях, и внешними средствами уменьшения риска [МЭК 61508-1 (пункт 7.6)].
Таблица В.1 содержит частоты рисков и позволяет определить числовое значение планируемого допустимого риска (Ft).
Частота, связанная с риском, создаваемым EUC, включая систему управления EUC и вопросы, связанные с человеческим фактором (риск EUC), но без учета каких-либо мер защиты, может быть определена с использованием количественных методов оценки риска. Частота возникновения опасного события в отсутствие средств защиты Fпр представляет собой один из двух компонентов риска EUC; другим компонентом является последствие опасного события.
Fпр может быть определена с помощью:
- анализа интенсивности отказов в схожих ситуациях;
- данных из соответствующих баз данных;
- расчетов с применением соответствующих методов прогноза.
Настоящий стандарт накладывает ограничения на минимальную интенсивность отказов, которая может быть предъявлена для системы управления EUC [МЭК 61508-1 (пункт 7.5.2.5)]. Если задано, что система управления EUC имеет интенсивность отказов меньше минимальной, то система управления EUC должна рассматриваться как система, связанная с безопасностью, и должна быть объектом всех требований к системам, связанным с безопасностью, содержащихся в настоящем стандарте.
С.3 Пример расчетов
На рисунке С.1 представлен пример того, как может быть рассчитана необходимая полнота безопасности для единичной системы безопасности. Для этого примера
PFDavg ≤ Ft/Fпр,
где PFDavg - средняя вероятность отказа при выполнении системой, связанной с безопасностью, операции по запросу. Эта величина представляет собой меру полноты безопасности по отношению к отказам для системы, связанной с безопасностью, работающей в режиме низкой интенсивности запросов [МЭК 61508-1 (таблица 2) и МЭК 61508-4 (пункт 3.5.12)];
Ft - частота для допустимого риска;
Fпр - интенсивность запросов к системе, связанной с безопасностью.
Определение Fпр для EUC является важным благодаря связи с PFDavg и, следовательно, с уровнем полноты безопасности системы, связанной с безопасностью.
С - последствие опасного события;
Fр- частота для риска при установленных средствах защиты.
Рисунок С.1 - Назначение полноты безопасности: пример для системы, связанной с безопасностью
Шаги, которые должны быть выполнены при определении уровня полноты безопасности (когда последствие С остается неизменным), приведены ниже (они также показаны на рисунке С.1):
- определить частотную составляющую риска EUC без учета каких-либо средств защиты Fпр
- определить последствие С без учета каких-либо средств защиты;
- определить, используя таблицу В.1, достигается ли для частоты Fпр и последствия С допустимый уровень риска. Если при использовании таблицы В.1 получен I класс риска, то требуется дальнейшее снижение риска. Риски IV или III классов могут быть допустимыми рисками. Риск II класса требует дальнейших исследований.
Примечание - Таблица В.1используется для того, чтобы проверить, нужны ли меры по дальнейшему снижению риска, поскольку может оказаться возможным достигнуть допустимого риска без применения каких-либо средств защиты;
- определить вероятность отказа системы, связанной с безопасностью, при работе по запросу PFDavg, состоящего в невозможности достичь требуемого снижения риска ∆R Для постоянных последствий в описанной конкретной ситуации
PFDavg = (Ft/Fпр) = ∆R;
- для PFDavg = (Ft/Fпр) уровень полноты безопасности может быть получен из таблицы 2 МЭК 61508-1 (например, для PFDavg = 10-2 - 10-3 уровень полноты безопасности равен 2).
Эти шаги соответствуют случаю, когда все требуемое снижение риска достигается за счет одной системы, связанной с безопасностью, которая должна уменьшить интенсивность возникновения опасностей, как минимум, с Fпр до Ft
D.1 Общие положения
Количественный метод, описанный в приложении С, не применим в тех ситуациях, где риск (или его частотная составляющая) не может быть охарактеризован количественно. В настоящем приложении описывается метод графов риска, представляющий собой качественный метод, позволяющий определять уровень полноты безопасности для систем, связанных с безопасностью, на основе знания факторов риска, связанных с EUC и системой управления EUC. Он применим, в частности, когда модель риска соответствует той, которая показана на рисунках А.1 и А.2.
