При качественном подходе для упрощения вводится несколько параметров, описывающих природу опасной ситуации, возникающей при отказе или недоступности систем, связанных с безопасностью. Выбирается по одному параметру из каждого из четырех наборов; после этого выбранные параметры объединяются для определения уровня полноты безопасности, назначаемого системе, связанной с безопасностью. Эти параметры:
- позволяют произвести осмысленную классификацию рисков и
- содержат ключевые факторы для оценки рисков.
В приложении нет подробного описания метода, а даны его основные принципы. Тем, кто собирается применять методы, указанные в настоящем приложении, рекомендуется обратиться к [1] - [5].
D.2 Построение графа риска
Упрощенная процедура, описываемая ниже, основывается на следующем уравнении:
R = f∙C,
где R - риск при отсутствии системы, связанной с безопасностью;
f - частота опасного события при отсутствии системы, связанной с безопасностью;
С - последствие опасного события (последствия должны быть связаны с причинением вреда здоровью и безопасности или с причинением вреда из-за нанесения ущерба окружающей среде).
Считается, что на частоту опасного события f в данном случае влияют три фактора:
- частота и время нахождения в опасной зоне;
- возможность избежать опасного события;
- вероятность возникновения опасного события при отсутствии систем, связанных с безопасностью (но при наличии внешних средств уменьшения риска), эта вероятность называется вероятностью нежелательного события.
Из этих факторов следуют четыре параметра, характеризующих риск:
С - последствие опасного события;
F - частота и время нахождения в опасной зоне;
Р - вероятность того, что не удастся избежать опасного события;
W - вероятность нежелательного события.
D.3 Другие возможные параметры риска
Описанные выше параметры риска достаточно общие, с широким диапазоном применений. Однако могут существовать приложения, характеризующиеся аспектами, требующими введения дополнительных параметров риска. В качестве примера можно привести использование новых технологий в EUC и в системах управления EUC. Целью новых параметров может быть более точная оценка требуемого уменьшения риска (рисунок А.1).
D.4 Построение графа риска: общая схема
Объединение параметров риска, описанных выше, позволяет построить граф риска, подобный тому, который показан на рисунке D.1. Для этого графа справедливы следующие соотношения: СA < СB < СC < CD; FA < FB; РА < РB; W1 < W2 < W3. Граф рисков можно пояснить следующим образом.
Использование параметров риска С, F и Р приводит к появлению выходных параметровX1, X2,..., XN (точное число зависит от конкретной прикладной области, для которой строится граф риска). На рисунке D.1 показана ситуация, когда для более серьезных последствий не используются дополнительные весовые коэффициенты. Каждый из этих выходных параметров отображается на одну из трех шкал (W1, W2 или W3). Каждая точка на этих шкалах указывает на требуемую полноту безопасности, которая должна быть достигнута рассматриваемой Е/Е/РЕ системой, связанной с безопасностью. На практике могут встречаться ситуации, когда одна Е/Е/РЕ система, связанная с безопасностью, не может обеспечить требуемого уменьшения риска.
Рисунок D.1 - Граф риска: общая схема
Отображение на W1, W2 или W3 позволяет учесть вклад других мер по снижению риска. Смещение шкал W1, W2 и W3 позволяет учесть три различных уровня уменьшения риска, обеспечиваемого другими мерами. Так шкала W3 дает минимальное уменьшение риска за счет других мер (т.е. наибольшую вероятность того, что произойдет нежелательное событие), шкала W2 соответствует промежуточному по величине вкладу других мер, а шкала W1 - наибольшему вкладу. Для конкретных промежуточных выходных значений графа рисков (т.e. X1, X2,... или Х6) и для конкретной шкалы W (т.е. W1, W2 или W3) конечные значения графа рисков являются уровнями полноты безопасности Е/Е/РЕ систем, связанных с безопасностью, (т.е. 1, 2, 3 или 4), они представляют собой оценку требуемого уменьшения риска для данной системы. Это уменьшение риска вместе с уменьшением риска, достигаемым другими средствами (например, с помощью систем, связанных с безопасностью, основанных на других технологиях и внешних средств уменьшения риска) и учитываемым с помощью механизма шкалы W, дает требуемое уменьшение риска для конкретной ситуации.
Параметры, указанные на рисунке D.1 (СА, СB, СC, CD, FA, FB, PA, PB, W1, W2, W3), и соответствующие им веса должны быть точно определены для каждой конкретной ситуации или для сравнимых отраслей. Может также потребоваться их определение в международных стандартах для прикладных отраслей.
D.5 Пример графа рисков
Пример графа рисков, основанный на данных, приведенных в таблице D.1, показан на рисунке D.2. Использование параметров риска С, F и Р приводит к одному из восьми выходных параметров. Каждый из этих параметров отображается на одну из трех шкал (W1, W2 и W3). Каждая точка на этих шкалах (а, b, с, d, e, f, g и h) указывает на требуемое снижение риска, которое должно быть обеспечено системой, связанной с безопасностью.
Примечание - Дополнительная информация по использованию графов риска содержится в [2].
Рисунок D.2 - Граф риска: пример (показывает только общие принципы)
Таблица D.1 - Данные для графа рисков (рисунок D.2)
|
Параметр риска |
Классификация |
Комментарии |
|
|
Последствие С |
C1 |
Небольшая травма. |
Данная система классификации основана на травмах и смерти людей. Для случая ущерба окружающей среде или материального ущерба может потребоваться разработка других схем классификации. Для интерпретации параметров С1, С2, С3 и С4, необходимо принимать во внимание последствия несчастных случаев и обычное лечение |
|
|
C2 |
Серьезная постоянная травма у одного или нескольких человек. |
|
|
С3 |
Смерть нескольких человек. |
||
|
C4 |
Смерть очень многих людей |
||
|
Частота и продолжительность пребывания в опасной зоне F |
F1 |
От редкого до более частого пребывания в опасной зоне. |
Данная система классификации основана на травмах и смерти людей. Для случая ущерба окружающей среде или материального ущерба может потребоваться разработка других схем классификации |
|
F2 |
От частого до постоянного пребывания в опасной зоне |
||
|
Возможность избежать опасного события Р |
P1 |
Возможно при определенных обстоятельствах. |
Данный параметр учитывает: - тип операций процесса: контролируемых (т.е. управляемых подготовленным или неподготовленным персоналом) или неконтролируемых; - скорость развития опасного события (например, внезапное, быстрое или медленное); - легкость распознавания опасности (например, видна сразу, обнаруживается техническими средствами или обнаруживается без использования технических средств); - возможность избежать опасного события (например, возможно отступление, отступление невозможно либо отступление возможно при определенных обстоятельствах); - реальный опыт в области техники безопасности (такой опыт может быть для идентичного EUC, для сходного EUC либо отсутствовать) |
|
Р2 |
Почти невозможно |
||
|
Вероятность нежелательного события W |
W1 |
Весьма незначительная вероятность нежелательного события, возможно только небольшое число таких событий. |
Назначение параметра Wсостоит в том, чтобы оценить частоту нежелательных событий в условиях отсутствия каких-либо систем, связанных с безопасностью (Е/Е/РЕ систем или систем, основанных на других технологиях), но с учетом внешних средств уменьшения риска. При отсутствии или незначительности опыта использования EUC или систем управления EUC оценка параметра W может быть проведена с помощью расчетов, которые в таком случае должны представлять собой прогноз для наихудшего случая |
|
W2 |
Небольшая вероятность нежелательного события, возможно небольшое число таких событий. |
||
|
W3 |
Относительно высокая вероятность наступления нежелательного события, вероятны частые повторения нежелательного события |
||
Е.1 Общие положения
Количественный метод, описанный в приложении С, не применим в тех случаях, где риск (или его частотная составляющая) не может быть охарактеризован количественно. В настоящем приложении описывается метод матрицы тяжести опасных событий, представляющий собой количественный метод, позволяющий определить уровень полноты безопасности Е/Е/РЕ системы, связанной с безопасностью, на базе знания факторов риска, связанных с EUC и системой управления EUC. Он применим, в частности, для модели риска, показанной на рисунках А.1 и А.2 (приложение А).
В схеме, описываемой в настоящем приложении, предполагается, что каждая система, связанная с безопасностью, и каждое внешнее средство уменьшения риска являются независимыми.
Настоящее приложение не представляет собой систематического описания метода, оно предназначено для того, чтобы продемонстрировать общие принципы формирования подобных матриц теми, кто обладает детальной информацией о конкретных параметрах, имеющих существенное значение для рассматриваемой конструкции. Тем, кто собирается использовать методы, рассматриваемые в настоящем приложении, следует обратиться к [1] - [5].
Примечание - Более подробная информация о матрице опасных событий содержится в [3].
Е.2 Матрица тяжести опасных событий
В основе матрицы лежат следующие требования, соблюдение каждого из которых необходимо для того, чтобы применение метода было корректным:
- системы, связанные с безопасностью (Е/Е/РЕ и основанные на других технологиях), а также внешние средства уменьшения риска являются независимыми;
- каждая система, связанная с безопасностью (Е/Е/РЕ и основанная на другой технологии), а также каждое внешнее средство уменьшения риска рассматривается как отдельный уровень защиты, обеспечивающий своими собственными средствами частичное уменьшение риска, как показано на рисунке А.1.
Примечание - Это предположение является справедливым только при условии выполнения систематических контрольных проверок уровней защиты;
- при добавлении одного уровня защиты (см. перечисление b)) полнота безопасности увеличивается на порядок.
Примечание - Это предположение является справедливым только в том случае, когда системы, связанные с безопасностью, и внешние средства уменьшения риска являются в достаточной степени независимыми;
- используется только одна Е/Е/РЕ система, связанная с безопасностью (однако она может применяться в сочетании с системами, связанными с безопасностью, основанными на других технологиях, и/или с внешними средствами уменьшения риска), для которой данный метод устанавливает необходимый уровень полноты безопасности.
Приведенный выше анализ приводит к матрице тяжести опасных событий, показанной на рисунке Е.1. Необходимо отметить, что данные, содержащиеся в матрице, представляют собой только пример, иллюстрирующий основные принципы. Для каждой конкретной ситуации или для близких промышленных приложений должна быть разработана своя матрица, аналогичная той, которая приведена на рисунке Е.1.
А - одна Е/Е/РЕ система, связанная с безопасностью, с уровнем полноты безопасности SIL = 3 не обеспечивает достаточного уменьшения риска для данного уровня риска. Требуются дополнительные меры по уменьшению риска.
В - одна Е/Е/РЕ система, связанная с безопасностью, с уровнем полноты безопасности SIL = 3 может не обеспечить достаточного уменьшения риска для данного уровня риска. Требуется провести анализ опасностей и рисков для того, чтобы определить, нужны ли дополнительные меры по уменьшению риска.
С - независимая Е/Е/РЕ система, связанная с безопасностью, по-видимому, не требуется.
D - вероятность события представляет собой вероятность того, что опасное событие произойдет в условиях отсутствия каких-либо систем, связанных с безопасностью, и внешних средств уменьшения риска.
SRS - система, связанная с безопасностью. Вероятность события и общее число независимых уровней защиты определяется в зависимости от конкретного приложения.
Рисунок Е.1 - Пример матрицы тяжести опасных событий (иллюстрирует только основные принципы)
