ГОСТ Р ИСО/МЭК 31010-2011 Менеджмент риска. Методы оценки риска.

ГОСТ Р ИСО/МЭК 31010-2011

Группа Э65

 НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

 Менеджмент риска

 МЕТОДЫ ОЦЕНКИ РИСКА

 Risk management. Risk assessment methods

ОКС 13.180*

Дата введения 2012-12-01

 Предисловие

Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения"

Сведения о стандарте

1 ПОДГОТОВЛЕН Автономной некоммерческой организацией "Научно-исследовательский центр контроля и диагностики технических систем" (АНО "НИЦ КД") на основе собственного аутентичного перевода на русский язык международного стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 10 "Менеджмент риска"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 1 декабря 2011 г. N 680-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 31010:2009* "Менеджмент риска. Методы оценки риска" (ISO/IEC 31010:2009 "Risk management - Risk assessment techniques").

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2004 (подраздел 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительных приложениях ДА и ДБ

5 ВВЕДЕН ВПЕРВЫЕ

Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет

 Введение

Практически все организации сталкиваются с необходимостью оценки риска для снижения количества опасных событий и достижения поставленных целей.

Цели организации могут затрагивать различные аспекты ее деятельности: от стратегии до выпуска конкретной продукции, разработки процессов и проектов. Цели могут быть определены в социальной, экологической, технологической, коммерческой, финансовой и экономической областях, а также в области репутации организации, ее безопасности и социального, культурного, политического воздействия на население.

Всей деятельности организации соответствует риск. Менеджмент риска помогает в принятии решений в условиях неопределенности и возможности возникновения событий или обстоятельств (плановых и непредвиденных), воздействующих на достижение целей организации.

Менеджмент риска включает применение логических и системных методов для:

- обмена информацией и консультаций в области риска;

- установления области применения при идентификации, анализе, оценке и обработке риска, соответствующего любой деятельности, процессу, функции или продукции;

- мониторинга и анализа риска;

- регистрации полученных результатов и составления отчетности.

Оценка риска является частью процесса менеджмента риска и представляет собой структурированный процесс, в рамках которого идентифицируют способы достижения поставленных целей, проводят анализ последствий и вероятности возникновения опасных событий для принятия решения о необходимости обработки риска.

Оценка риска позволяет ответить на следующие основные вопросы:

- какие события могут произойти и их причина (идентификация опасных событий);

- каковы последствия этих событий;

- какова вероятность их возникновения;

- какие факторы могут сократить неблагоприятные последствия или уменьшить вероятность возникновения опасных ситуаций.

Кроме того, оценка риска помогает ответить на вопрос: является уровень риска приемлемым, или требуется его дальнейшая обработка? Настоящий стандарт основан на успешно применяемых методах оценки риска и не содержит новых, неапробированных понятий и методов.

Настоящий стандарт является основополагающим стандартом в области менеджмента риска и предназначен для предприятий различных отраслей промышленности. Нормативные документы, содержащие методы и критерии оценки риска для конкретных отраслей, должны соответствовать требованиям настоящего стандарта.

      1 Область применения

Настоящий стандарт разработан в дополнение к ИСО 31000 и содержит рекомендации по выбору и применению методов оценки риска.

Оценка риска, выполненная в соответствии с настоящим стандартом, применима при выполнении других элементов процесса менеджмента риска.

В настоящем стандарте представлены методы оценки риска и даны ссылки на другие международные стандарты, в которых более подробно описано применение конкретных методов оценки риска.

Настоящий стандарт не предназначен для целей оценки соответствия и использования в качестве обязательных или договорных требований.

Стандарт не содержит конкретных критериев для принятия решения по анализу риска и указаний по применению методов анализа риска в конкретной ситуации.

Настоящий стандарт допускает использование других методов оценки риска с учетом их применимости в конкретной ситуации.

Примечание - Настоящий стандарт не связан с аспектами безопасности. Стандарт является основополагающим стандартом в области менеджмента риска, любые ссылки на безопасность носят справочный характер. При введении в действие требований безопасности следует руководствоваться положениями Руководства ИСО/МЭК 51.

      2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты*:

Руководство ИСО 73:2009 Менеджмент риска. Словарь. Руководящие принципы для использования в стандартах (ISO Guide 73:2009, Risk management - Vocabulary - Guidelines for use in standards)

ИСО/МЭК 31000:2009 Менеджмент риска. Общие принципы и руководство (ISO 31000:2009, Risk management - Principles and guidelines)

      3 Термины и определения

В настоящем стандарте применены термины и определения по Руководству ИСО/МЭК 73.

      4 Понятие оценки риска

4.1 Цели и преимущества

Основной целью оценки риска является представление на основе объективных свидетельств информации, необходимой для принятия обоснованного решения относительно способов обработки риска.

Оценка риска обеспечивает:

- понимание потенциальных опасностей и воздействия их последствий на достижение установленных целей организации;

- получение информации, необходимой для принятия решений;

- понимание опасности и ее источников;

- идентификацию ключевых факторов, формирующих риск, уязвимых мест организации и ее систем;

- возможность сравнения риска с риском альтернативных организаций, технологий, методов и процессов;

- обмен информацией о риске и неопределенностях;

- информацию, необходимую для ранжирования риска;

- предотвращение новых инцидентов на основе исследования последствий произошедших инцидентов;

- выбор способов обработки риска;

- соответствие правовым и обязательным требованиям;

- получение информации, необходимой для обоснованного решения о принятии риска в соответствии с установленными критериями;

- оценку риска на всех стадиях жизненного цикла продукции.

4.2 Оценка риска и структура менеджмента риска

Оценка риска, установленная в настоящем стандарте, соответствует структуре и процессу менеджмента риска, установленным ИСО 31000.

Структура менеджмента риска предусматривает установление политики, процедуры и организационных мероприятий, направленных на внедрение менеджмента риска во всех подразделениях организации.

Организация должна официально сформулировать политику и стратегию в области менеджмента риска, а также применять соответствующие методы оценки риска.

Ответственные за оценку риска должны знать:

- область деятельности и цели организации;

- уровень приемлемого риска и способы обработки неприемлемого риска;

- способы интеграции процессов оценки риска в процессы менеджмента организации;

- методы оценки риска и способы их применения в процессе менеджмента риска;

- систему подотчетности, распределения ответственности и полномочий в области оценки риска;

- требуемые и доступные ресурсы для выполнения оценки риска;

- способы регистрации и анализа оценки риска.

4.3 Оценка риска и процесс менеджмента риска

4.3.1 Общие положения

Оценка риска является основным элементом процесса менеджмента риска, включающего в соответствии с ИСО 31000 следующие элементы:

- обмен информацией и консультации;

- установление области применения менеджмента риска;

- оценку риска (включая идентификацию риска, анализ риска и сравнительную оценку риска);

- обработку риска;

- мониторинг и анализ риска.

Являясь основным элементом процесса менеджмента риска, деятельность по оценке риска должна быть интегрирована в другие элементы этого процесса.

4.3.2 Обмен информацией и консультации

Результативность оценки риска зависит от эффективности обмена информацией и консультаций с причастными сторонами.

Вовлечение причастных сторон в процесс менеджмента риска является полезным при:

- разработке плана обмена информацией;

- определении области применения менеджмента риска;

- изучении и анализе интересов причастных сторон;

- совмещении и гармонизации различных областей знаний для идентификации и анализа риска;

- анализе различных мнений в оценке риска;

- обеспечении соответствующей идентификации риска;

- обеспечении одобрения и поддержки плана обработки риска.

Причастные стороны должны способствовать обмену информацией о процессе менеджмента риска с другими элементами менеджмента, такими как управление изменениями, разработка и управление программ и проектов, а также финансовый менеджмент.

4.3.3 Установление области применения менеджмента риска

При установлении области применения менеджмента риска определяют основные параметры управления, область применения и критерии процесса менеджмента риска. При этом должен быть проведен анализ внутренних и внешних параметров области применения, относящихся к организации в целом, а также определена специфика оцениваемого риска.

При установлении области применения менеджмента риска должны быть определены и согласованы цели оценки риска, критерии риска и программа оценки риска.

При установлении области применения менеджмента риска в рамках процесса оценки риска определяют внешнюю и внутреннюю среду организации, цель деятельности организации в области менеджмента риска, а также проводят классификацию опасных событий.

a) Установление внешней области применения включает определение внешних условий, в которых функционирует организация, в том числе:

- внешнюю среду, связанную с ведением бизнеса, социальной и экологической сферой деятельности, правовыми и обязательными требованиями, культурными факторами, конкуренцией, финансовым положением и политикой государства на международном, национальном, региональном или местном уровне;

- ключевые тенденции и мотивы, влияющие на достижение целей организации;

- значимость внешних причастных сторон и их восприятие риска.

b) Установление внутренней области применения включает определение:

- возможностей организации с точки зрения ресурсов и информации в области риска;

- информационных потоков и процессов принятия решений;

- внутренних причастных сторон;

- целей и задач организации, а также стратегий, необходимых для их достижения;

- восприятия организацией риска и его значимости для организации;

- политики и процессов организации;

- стандартов и применяемых сравнительных моделей, принятых организацией,

- структуры организации (например, системы управления, распределения функций и ответственности).

c) Установление целей в области менеджмента риска предусматривает:

- определение распределения обязанностей, ответственности и подотчетности;

- определение необходимых действий в области менеджмента риска с учетом установленных ограничений и исключений;

- определение размера и объема рассматриваемых проекта, процесса, функции или деятельности с учетом условий ограничения по времени и местоположению;

- определение взаимосвязи рассматриваемого проекта с деятельностью и другими проектами организации;

- определение методов оценки риска;

- определение критериев риска;

- определение критериев оценки действий в области менеджмента риска;

- идентификацию и определение требований к принимаемым решениям и предпринимаемым действиям;

- определение, при необходимости исследований, цели и глубины исследований, а также требуемых для этого ресурсов.

d) Определение критериев риска включает в себя установление:

- характера и типа последствий реализации опасных событий и способов их оценки;

- методов оценки вероятности опасного события;

- методов установления уровней риска;

- критериев принятия решений при необходимости обработки риска;

- критериев приемлемости риска;

- возможности одновременного возникновения различных видов опасных событий и особенности соответствующего риска.

При разработке критериев могут быть использованы следующие источники информации:

- цели процесса менеджмента риска;

- критерии, установленные в требованиях;

- общие источники данных;

- общепринятые в промышленности критерии, такие как уровень общей безопасности;

- уровень риска организации;

- правовые, обязательные и иные требования для оборудования или видов деятельности.

4.3.4 Оценка риска

Оценка риска - процесс, объединяющий идентификацию, анализ и сравнительную оценку риска.

Риск может быть оценен для всей организации, ее подразделений, отдельных проектов, деятельности или конкретного опасного события. Поэтому в различных ситуациях могут быть применены различные методы оценки риска.

Оценка риска обеспечивает понимание возможных опасных событий, их причин и последствий, вероятности их возникновения и принятие решений:

- о необходимости предпринимать соответствующие действия;

- о способах максимальной реализации всех возможностей снижения риска;

- о необходимости обработки риска;

- о выборе между различными видами риска;

- о приоритетности действий по обработке риска;

- о выборе стратегии обработки риска, позволяющей снизить риск до приемлемого уровня.

4.3.5 Обработка риска

После завершения оценки риска принимают и выполняют одно или несколько решений об обработке риска, позволяющих изменить вероятность возникновения опасного события и/или его воздействие.

Обработка риска обычно является адаптивным процессом проверки риска на его приемлемость и соответствие ранее установленным критериям для определения необходимости дальнейшей обработки риска.

4.3.6 Мониторинг и анализ

Мониторинг и анализ риска являются составной частью процесса менеджмента риска. Регулярное проведение мониторинга, анализа и управления риском направлены на проверку:

- достоверности предположений о риске;

- достоверности предположений, на которых основана оценка риска, включая внешние и внутренние области применения;

- достижимости ожидаемых результатов;

- соответствия результатов оценки риска фактической информации о риске;

- правильности применения методов оценки риска;

- эффективности обработки риска.

Процессы мониторинга и анализа риска должны быть документированы, а результаты мониторинга и анализа риска зафиксированы в отчете.

      5 Процесс оценки риска

5.1 Краткий обзор

Благодаря глубокому исследованию риска оценка риска помогает лицам, принимающим решения, и ответственным сторонам влиять на достижение поставленных целей, а также выбирать адекватные и эффективные средства управления риском. Оценка риска является основой для принятия решений по обработке риска. Выходные данные процесса оценки риска являются входными данными процессов принятия решений в организации.

Оценка риска является процессом, объединяющим идентификацию, анализ риска и сравнительную оценку риска (см. рисунок 1). Способ реализации этого процесса зависит не только от области применения процесса менеджмента риска, но также и от методов оценки риска.

Рисунок 1 - Входные данные процесса общей оценки риска

При проведении оценки риска может потребоваться применение мультидисциплинарного подхода, так как риски могут попадать в широкий диапазон причин и последствий.

5.2 Идентификация риска

Идентификация риска - это процесс определения элементов риска, составления их перечня и описания каждого из элементов риска.

Целью идентификации риска является составление перечня источников риска и событий, которые могут повлиять на достижение каждой из установленных целей организации или сделать выполнение этих целей невозможным. После идентификации риска организация должна идентифицировать существенные особенности проекта, персонал, процессы, системы и средства управления.

Процесс идентификации риска включает в себя идентификацию причин и источников опасных событий, ситуаций, обстоятельств или риска, которые могут оказать существенное воздействие на достижение целей организации, и характер этих воздействий.

Методы идентификации риска могут включать в себя:

- методы оценки риска на основе документальных свидетельств, примерами которых являются анализ контрольных листов, анализ экспериментальных данных, а также данных и событий, произошедших в прошлом;

- подход, в соответствии с которым группа экспертов следует установленному процессу идентификации риска посредством структурированного множества подсказок или вопросов;

- индуктивные методы, такие как HAZOP.

Для повышения точности и полноты идентификации риска могут быть использованы различные вспомогательные методы, например метод мозгового штурма и метод Дельфи.

Независимо от фактически используемых методов при идентификации риска важно учитывать человеческие и организационные факторы. Отклонения, вызванные воздействием человеческих и организационных факторов, а также опасные события, связанные с информационными технологиями, должны быть учтены в процессе идентификации риска.

5.3 Анализ риска

5.3.1 Общие положения

Анализ риска включает в себя анализ и исследование информации о риске. Анализ риска обеспечивает входные данные процесса общей оценки риска, помогает в принятии решений относительно необходимости обработки риска, а также помогает выбрать соответствующие стратегии и методы обработки риска.

Анализ риска включает анализ вероятности и последствий идентифицированных опасных событий с учетом наличия и эффективности применяемых способов управления. Данные о вероятности событий и их последствиях используют для определения уровня риска.

Также анализ риска включает анализ источников опасных событий, их положительных и отрицательных последствий и вероятностей появления этих событий. При этом должны быть идентифицированы факторы, влияющие на вероятность события и его последствия. Событие может иметь множественные последствия и может влиять на различные цели. Также должны быть учтены результаты применения и эффективность существующих методов управления. Различные методы анализа риска описаны в приложении B. В сложных ситуациях может быть применено несколько методов.

Анализ риска обычно включает оценку диапазона возможных последствий события, ситуации или обстоятельств и соответствующих им вероятностей для определения уровня риска. Однако в некоторых случаях, например, когда последствия незначительны или вероятность события чрезвычайно низка, для принятия решений может быть достаточно исследований только одного параметра.

В некоторых случаях последствие может быть результатом реализации нескольких событий или неидентифицированного события. В этом случае оценку риска необходимо сосредоточить на анализе значимости и уязвимости компонентов исследуемой системы. При этом следует определить методы обработки риска, соответствующие уровни защиты и стратегии восстановления.

Методы, используемые при анализе риска, могут быть качественными, количественными или смешанными. Степень глубины и детализации анализа зависит от конкретной ситуации, доступности достоверных данных и потребностей организации, связанных с принятием решений. Некоторые методы и степень детализации анализа могут быть установлены в соответствии с правовыми и обязательными требованиями.

При качественной оценке риска определяют последствия, вероятность и уровень риска по шкале "высокий", "средний" и " низкий"; оценка последствий и вероятности может быть объединена; сравнительную оценку уровня риска в этом случае проводят в соответствии с качественными критериями.

В смешанных методах используют числовую шкалу оценки последствий, вероятности и их сочетания для определения уровня риска по соответствующей формуле. Шкалы могут быть линейными, логарифмическими или могут быть построены по другим принципам. Используемые формулы соответственно могут быть различными.

При количественном анализе оценивают практическую значимость и стоимость последствий, их вероятности и получают значение уровня риска в определенных единицах, установленных при разработке области применения менеджмента риска. Полный количественный анализ не всегда может быть возможен или желателен из-за недостаточной информации об анализируемой системе, видах деятельности организации, недостатка данных, влияния человеческого фактора и т.п. или потому, что такой анализ не требуется, или трудозатраты на количественный анализ слишком велики. В таком случае ранжирование рисков высококвалифицированными специалистами может быть более эффективно.

Если применен качественный анализ риска, четкие объяснения всех используемых терминов и принципов, лежащих в основе критериев, должны быть зарегистрированы в виде записей.

В случае применения количественного анализа необходимо помнить, что уровни вычисленного риска являются только оценками. Необходимо обеспечить согласованность неопределенностей полученных оценок с уровнем точности и прецизионности используемых методов и данных.

Уровни риска должны быть выражены в соответствующих терминах для конкретного вида риска в наиболее удобной форме. В некоторых случаях значение риска может быть выражено в виде распределения вероятностей диапазона последствий.

5.3.2 Оценка методов управления

Уровень риска зависит от адекватности и эффективности применяемых методов управления. Для оценки методов управления риском необходимо ответить на следующие вопросы:

- Какие методы применяют для снижения конкретного риска?

- Действительно ли применение этих методов приводит к обработке риска, обеспечивающей достижение приемлемого уровня риска?

- Действительно ли эти методы управления риском работают, как запланировано, и их эффективность при необходимости может быть продемонстрирована?

Ответы на эти вопросы можно получить только при наличии установленных в организации документации и процессов.

Уровень эффективности конкретного метода управления или комбинации взаимосвязанных методов может быть выражен в виде качественной, смешанной или количественной оценки. В большинстве случаев высокую точность такой оценки обеспечить очень трудно. Однако целесообразно применение мер повышения уровня эффективности метода управления риском, на основе которых можно сделать вывод о том, какие действия необходимы и наиболее предпочтительны для улучшения управления риском или обеспечения различных видов обработки риска.

5.3.3 Анализ последствий

При анализе последствий определяют характер и тип воздействия, которое может произойти при возникновении конкретного события, ситуации или обстоятельств. Событие может оказать несколько воздействий различной значимости, повлиять на достижение нескольких целей и затронуть интересы причастных сторон организации. Вовлеченные причастные стороны и типы последствий, которые необходимо проанализировать, определяют при установлении области применения менеджмента риска.

Анализ последствий может изменяться от простого описания результатов до детализированного количественного моделирования ситуации, процессов и анализа уязвимостей.

Воздействия могут иметь небольшие последствия, но высокую вероятность появления или значимые последствия и низкую вероятность появления, а также любой промежуточный вариант. В некоторых случаях уместно сосредоточиться на опасных событиях с очень опасными последствиями, поскольку именно эти события вызывают наибольшее беспокойство. В других случаях важно проанализировать отдельно последствия с высокой и низкой значимостью для организации. Например, часто повторяющиеся, незначительные по воздействию события могут иметь большие совокупные или долгосрочные последствия. Кроме того, действия по обработке этих ситуаций риска зачастую различны, поэтому их полезно проанализировать отдельно.

Анализ последствий может включать в себя следующее:

- учет существующих методов управления риском, направленных на снижение последствий и всех сопутствующих факторов, влияющих на последствия;

- исследование взаимосвязи последствий опасного события и установленных целей;

- раздельное изучение отдаленных последствий события и происходящих в настоящий момент времени, если они включены в область применения оценки риска;

- рассмотрение вторичных последствий, таких как последствия, воздействующие на взаимосвязанные системы, виды деятельности, оборудование или организацию.

5.3.4 Анализ и оценка вероятности

Для оценки вероятности обычно применяют следующие три общих подхода, которые могут быть использованы как самостоятельно, так и совместно:

a) Использование соответствующих хронологических данных для идентификации события или ситуации, произошедших в прошлом и допускающих возможность экстраполяции вероятности их появления в будущем. Используемые данные должны относиться к рассматриваемым системам, оборудованию, организациям или видам деятельности, а также к требованиям деятельности организации. Если в соответствии с имеющимися данными частота появления события очень низка, то все оценки вероятности будут иметь высокую неопределенность. Это характерно для ситуаций, вероятность появления которых близка к нулю, когда появление события, ситуации или обстоятельств в будущем очень маловероятно.

b) Использование для оценки вероятности методов прогнозирования, таких как анализ дерева ошибок и анализ дерева событий (см. приложение B). Если хронологические данные недоступны или недостоверны, то для оценки вероятности необходимо провести анализ системы, деятельности, оборудования или организации и соответствующих отказов или работоспособных состояний. Для оценки вероятности главного события числовые данные для оборудования, персонала, организации и систем, полученные на основе эксплуатации и из опубликованных источников данных, следует использовать совместно. При применении методов прогнозирования важно обеспечить полноту анализа общей причины возможности появления отказов, включающих отказы различных частей или компонентов системы, вызванные одной причиной. Для оценки вероятности отказов оборудования и систем, а также их элементов, вызванных процессами износа, применяют методы моделирования, позволяющие учесть влияние неопределенности.

c) Использование экспертных оценок в систематизированном и структурированном процессе оценки вероятности. Для получения экспертных оценок следует использовать всю доступную информацию, включая хронологические данные, сведения об особенностях системы, специфике организации, экспериментальные данные и т.д. Существуют формализованные методы получения экспертных оценок, которые помогают формулировать соответствующие вопросы. Доступные методы включают в себя методы Дельфи, попарного сравнения, ранжирования по категориям оценки и абсолютных оценок.

5.3.5 Предварительный анализ

Необходимо провести анализ опасных событий, чтобы идентифицировать наиболее существенные виды опасности, исключить менее существенные или незначительные виды опасности из дальнейшего анализа. Основной целью предварительного анализа является сосредоточение ресурсов на самых важных видах опасных событий и риска. Важно не пропустить события с высокой частотой появления и существенным совокупным риском.

Анализ должен быть основан на критериях, установленных в области применения менеджмента риска. На этапе предварительного анализа принимают следующие решения:

- проводить обработку риска без дальнейшей оценки;

- исключить из обработки незначительные виды риска, обработка которых неоправданна и нецелесообразна;

- продолжить более детальную оценку риска.

Исходные предположения и полученные результаты должны быть зарегистрированы.

5.3.6 Неопределенность и чувствительность

Часто анализу риска присуща значительная неопределенность. Понимание неопределенности необходимо для эффективной интерпретации результатов анализа риска и соответствующего обмена информацией. Анализ неопределенности, соответствующий данным методам и моделям, используемым для идентификации и анализа риска, играет важную роль. Анализ неопределенности включает определение погрешностей результатов, вызванных изменениями параметров и предположений. С анализом неопределенности тесно связан анализ чувствительности.

Анализ чувствительности включает в себя определение амплитуды изменений риска в зависимости от изменений отдельных индивидуальных входных параметров. Такой анализ применяют для идентификации данных, для которых необходима высокая точность, и данных, к точности которых риск менее чувствителен.

Полнота и точность анализа риска должны быть обеспечены настолько, насколько возможно. Источники неопределенности должны быть идентифицированы для всех исследуемых показателей, поэтому следует использовать всю известную информацию о неопределенности применяемых моделей, методов и данных. Результаты анализа параметров чувствительности должны быть установлены.

5.4 Сравнительная оценка риска

Сравнительная оценка риска включает в себя сопоставление уровня риска с критериями риска, установленными при определении области применения менеджмента риска, для определения типа риска и его значимости.

Сравнительная оценка риска использует информацию о риске, полученную при анализе риска. Результаты сравнительной оценки риска используют для принятия решений о будущих действиях. Этические, юридические, финансовые и другие вопросы, а также восприятие риска организацией могут повлиять на принятие решения.

Принимаемые решения могут касаться таких вопросов как:

- необходимость обработки риска;

- приоритеты обработки риска;

- необходимость выполнения действий;

- выбор способа обработки риска.

Характер принимаемых решений и используемые критерии при принятии решений ранее установлены при определении области применения, однако на данном этапе они должны быть повторно и более подробно рассмотрены с точки зрения уже полученных данных об идентифицированных опасностях и риске.

Наиболее простая структура для определения критериев риска - это установление одного уровня, разделяющего опасности и риск, требующие обработки, от тех, которые подобных действий не требуют. Применение такой структуры приводит к простым и понятным результатам, однако не отражает неопределенность, присущую оценке риска и установленному пограничному уровню риска.

Решение о необходимости и способах обработки риска зависит от затрат и преимуществ принятия риска и улучшения управления риском.

В соответствии с общим подходом следует разделить риск на три группы.

a) Высшая группа, в которой уровень риска является недопустимым, безотносительно преимуществ принятия риска и доходов, получаемых от деятельности организации, обработка риска является необходимой независимо от затрат.

b) Средняя группа ("серая" область), для которой затраты и преимущества принятия риска следует учитывать, а возможности соотносить с последствиями.

c) Низшая группа, в которой уровень риска незначителен или настолько мал, что необходимость в обработке риска отсутствует.

Для отнесения риска к низшей группе, используемой в сфере безопасности (в системе критериев ALARP

- "Низкий, насколько реально возможно"), применяют следующий подход.

Для отнесения риска к низшей группе ("Низкий, насколько реально возможно" в системе критериев ALARP

), используемой в сфере безопасности, применяют следующий подход: для низкого риска в средней группе устанавливают скользящую шкалу, в которой затраты и преимущества могут быть непосредственно сопоставлены, а возможный вред от событий с высоким риском следует снижать до тех пор, пока стоимость дальнейшего снижения риска не превысит полученные преимущества.

_______________

ALARP - As Low As Reasonably Practicable (принцип разумной достаточности).

5.5 Документация

Процесс оценки риска должен быть зарегистрирован вместе с результатами оценки. Риск должен быть выражен в понятных и точных терминах и единицах.

Необходимая степень отчетности зависит от целей и области определения оценки. За исключением очень простых случаев документация должна включать:

- цели и область применения;

- описание соответствующих системы, ее частей и функций;

- краткое описание внешних и внутренних целей и сферы деятельности организации во взаимосвязи с оцениваемыми ситуацией, системой или обстоятельствами;

- применяемые критерии риска и соответствующие выводы;

- недостатки, предположения и обоснования принятых гипотез;

- методы оценки;

- результаты идентификации риска;

- данные, предположения, их источники и валидацию их использования;

- результаты анализа риска и количественную оценку риска;

- данные анализа чувствительности и неопределенности;

- критические предположения и другие факторы, для которых необходим мониторинг;

- протоколы обсуждения результатов;

- выводы, заключения и рекомендации;

- ссылки.

Если оценка риска производится в рамках непрерывного процесса менеджмента риска, то она должна быть выполнена и зарегистрирована способом, позволяющим использовать ее результаты на всех этапах жизненного цикла системы, организации, оборудования или деятельности. Оценка должна актуализироваться по мере получения новой информации, изменения области применения анализа риска и потребностей процесса менеджмента.

5.6 Мониторинг и повторная оценка риска

Процесс оценки риска выдвигает на первый план область применения оценки риска, а также другие факторы, которые могут подвергнуться изменениям в течение продолжительного времени. Предполагаемые преимущества оценки риска также могут измениться или корректироваться. Такие факторы должны быть четко идентифицированы для процессов непрерывного мониторинга и повторной оценки, так чтобы оценка риска могла обновляться по мере необходимости.

Данные мониторинга оценки риска должны быть идентифицированы и собраны.

Следует проводить мониторинг и регистрацию эффективности методов управления, используемых при анализе риска. Должна быть определена ответственность за оформление и пересмотр соответствующих свидетельств и документации.

5.7 Применение оценки риска на различных стадиях жизненного цикла

Каждому виду деятельности, проектирования и разработки продукции соответствует свой жизненный цикл: от концепции и разработки до стадии полного завершения эксплуатации (использования), которая, например, может предусматривать демонтаж и утилизацию оборудования.

Оценка риска может быть применена на всех стадиях жизненного цикла. Обычно ее многократно используют с различными уровнями детализации на каждой стадии жизненного цикла для принятия решений.

Для разных стадий жизненного цикла установлены различные требования и применимы различные методы оценки риска. Например, на стадии концепции и технико-экономического обоснования, когда идентифицируют возможные перспективы применения продукции, оценка риска может быть использована для принятия решения о продолжении работ.

В ситуации, когда существует несколько вариантов, оценка риска может быть использована для оценки альтернативных способов при принятии решения, обеспечивающего наилучший баланс положительного и отрицательного риска.

На стадии проектирования и разработки оценка риска способствует:

- обеспечению допустимого риска системы;

- усовершенствованию проекта;

- исследованию экономической эффективности;

- идентификации событий, воздействующих на последующие стадии жизненного цикла.

Оценка риска может быть использована для получения информации, необходимой при разработке процедур в нормальных и чрезвычайных условиях.

      6 Выбор методов оценки риска

6.1 Общие положения

В настоящем подразделе приведено описание способов выбора методов оценки риска. В приложениях А и В приведены основные методы и приемы оценки риска. В некоторых случаях используют несколько методов оценки риска.

6.2 Выбор метода

Оценка риска может быть выполнена с различной степенью глубины и детализации с использованием одного или нескольких методов разного уровня сложности. Форма оценки и ее выходные данные должны быть совместимы с критериями риска, установленными при определении области применения. В приложении A показаны концептуальные соотношения между различными категориями методов оценки риска и существенными факторами риска в конкретной ситуации и приведены примеры выбора метода оценки риска для конкретной ситуации.

При выборе метода оценки риска необходимо учитывать, что метод должен:

- соответствовать рассматриваемой ситуации и организации;

- предоставлять результаты в форме, способствующей повышению осведомленности о виде риска и способах его обработки;

- обеспечивать прослеживаемость, воспроизводимость и верификацию процесса и результатов.

Должно быть приведено обоснование выбора методов оценки риска с указанием их приемлемости и пригодности. Необходимо обеспечить соответствие используемых методов и выходных данных для объединения результатов различных исследований.

После принятия решения о выполнении оценки риска и определения области ее применения следует выбрать методы оценки риска на основе:

- цели исследования. Цели оценки риска непосредственно связаны с используемыми методами. Например, если проводится сравнительное исследование разных вариантов, то могут быть применены менее детализированные модели описания последствий для аналогичных частей системы;

- ответственности принимаемых решений. В некоторых случаях необходим высокий уровень детализации, чтобы принять решение, в других - достаточно более общего понимания;

- типа и диапазона анализируемого риска;

- возможных последствий опасного события. Решение относительно глубины оценки риска должно отражать начальное восприятие последствий (которое, скорее всего, изменится после завершения предварительной оценки риска);

- степени необходимых экспертиз, человеческих и других ресурсов. Простой правильно примененный метод может обеспечить лучшие результаты, если он соответствует области применения оценки, чем сложная процедура, выполненная с ошибками. Обычно усилия по оценке риска должны соответствовать уровню анализируемого риска;

- доступности информации и данных. Для некоторых методов необходимо больше информации и данных, чем для других;

- потребности в модификации/обновлении оценки риска. Возможно, в будущем оценка должна быть изменена/обновлена, и для этого могут быть применены различные методы;

- обязательных и договорных требований.

На выбор метода оценки риска влияют различные факторы, такие как доступность ресурсов, характер и степень неопределенности данных и информации, сложность метода (см. таблицу А.2).

6.3 Доступность ресурсов

На выбор метода оценки риска влияют следующие факторы доступности ресурсов:

- практический опыт, навыки и возможности группы оценки риска;

- ограничения по времени и другие ресурсы организации;

- доступный бюджет, если необходимы внешние ресурсы.

6.4 Характер и степень неопределенности информации

Характер и степень неопределенности информации включают в себя понимание качества, количества и полноты информации о рассматриваемом риске. Понимание включает в себя осознание достаточности полученной информации о риске, его источниках и причинах, его последствиях для достижения установленных целей. Неопределенность может быть связана с неопределенностью данных и недостатком достоверных данных. Например, для снижения неопределенности могут быть изменены методы сбора данных или способы применения этих методов в организации. Причиной неопределенности может быть неприменение на местах эффективных методов сбора данных об идентифицированном риске.

Неопределенность может быть неотъемлемым свойством внешних и внутренних целей и области применения менеджмента риска в организации. Доступные данные не всегда обеспечивают достоверную основу для прогнозирования. Для уникальных видов риска могут отсутствовать хронологические данные, а причастные стороны могут по-разному интерпретировать доступные данные о риске. Лица, выполняющие оценку риска, должны понимать тип и характер неопределенности и оценить ее значение для достоверности оценки риска. Необходимо поддерживать постоянный обмен информацией о риске с лицами, принимающими решение.

6.5 Сложность

Задача оценки риска может быть сложной, например, оценка риска для сложной системы не сводится к оценке риска ее компонентов без учета их взаимодействия. В некоторых случаях обработка единичного риска может иметь большое значение из-за воздействия риска на другую деятельность. Необходимо понимать связь последовательных действий и риска, чтобы предотвратить ситуацию, при которой действия по управлению одним риском приводят к катастрофической ситуации в другой области. Понимание сложности единичного риска или набора рисков организации крайне важно при выборе метода(ов) оценки риска.

6.6 Типы методов оценки риска

Методы оценки риска могут быть классифицированы различными способами, что обеспечивает понимание их преимуществ и недостатков. В таблицах приложения А для иллюстрации показана связь некоторых методов с их категорией.

В приложении B дано описание каждого метода оценки риска по отношению к полученной оценке и рекомендации по его применению в конкретных ситуациях.

Приложение A

(справочное)

Краткое описание методов оценки риска

А.1 Виды методов

Классификация методов связана с этапами процесса оценки риска:

- идентификация риска;

- анализ риска - анализ последствий;

- анализ риска - качественная, смешанная или количественная оценка вероятностных характеристик риска;

- анализ риска - оценка эффективности существующих средств управления;

- анализ риска - количественная оценка уровня риска;

- сравнительная оценка риска.

Для каждого этапа процесса оценки риска применимость метода оценки риска определяется по шкале: строго применим, применим и не применим (см. таблицу A.1).

Таблица A.1 - Характеристика применимости методов оценки риска

Наименование метода	Процесс оценки риска					Номер приложения
	Иденти- фикация риска	Анализ риска			Сравни- тельная оценка риска
		Последствие	Вероятностные характеристики	Уровень риска
Мозговой штурм	SA	NA	NA	NA	NA	В 01
Структурированные или частично структурированные интервью	SA	NA	NA	NA	NA	В 02
Метод Дельфи	SA	NA	NA	NA	NA	В 03
Контрольные листы	SA	NA	NA	NA	NA	В 04
Предварительный анализ опасностей (PHA)	SA	NA	NA	NA	NA	В 05
Исследование опасности и работоспособности (HAZOP)	SA	SA	A	A	A	В 06
Анализ опасности и критических контрольных точек (HACCP)	SA	SA	NA	NA	SA	В 07
Оценка токсикологического риска	SA	SA	SA	SA	SA	В 08
Структурированный анализ сценариев методом "что, если?" (SWIFT)	SA	SA	SA	SA	SA	В 09
Анализ сценариев	SA	SA	A	A	A	В 10
Анализ воздействия на бизнес (BIA)	A	SA	A	A	A	В 11
Анализ первопричины (RCA)	NA	SA	SA	SA	SA	В 12
Анализ видов и последствий отказов (FMEA)	SA	SA	SA	SA	SA	В 13
Анализ дерева неисправностей (FTA)	A	NA	SA	A	A	В 14
Анализ дерева событий (ETA)	A	SA	A	A	NA	В 15
Анализ причин и последствий	A	SA	SA	A	A	В 16
Причинно-следственный анализ	SA	SA	NA	NA	NA	В 17
Анализ уровней защиты (LOPA)	A	SA	A	A	NA	В 18
Анализ дерева решений	NA	SA	SA	A	A	В 19
Анализ влияния человеческого фактора (HRA)	SA	SA	SA	SA	A	В 20
Анализ "галстук-бабочка"	NA	A	SA	SA	A	В 21
Техническое обслуживание, направленное на обеспечение надежности	SA	SA	SA	SA	SA	В 22
Анализ скрытых дефектов (SA)	A	NA	NA	NA	NA	В 23
Марковский анализ	A	SA	NA	NA	NA	В 24
Моделирование методом Монте-Карло	NA	NA	NA	NA	SA	В 25
Байесовский анализ и сети Байеса	NA	SA	NA	NA	SA	В 26
Кривые FN	A	SA	SA	A	SA	В 27
Индексы риска	A	SA	SA	A	SA	В 28
Матрица последствий и вероятностей	SA	SA	SA	SA	A	В 29
Анализ эффективности затрат (CBA)	A	SA	A	A	A	В 30
Мультикритериальный анализ решений (MCDA)	A	SA	A	SA	A	В 31
SA - строго применим.   NA - не применим.   A - применим.

А.2 Факторы, влияющие на выбор метода оценки риска

Факторами, влияющими на выбор метода оценки риска, являются:

- сложность проблемы и методов, необходимых для анализа риска;

- характер и степень неопределенности оценки риска, основанной на доступной информации и соответствии целям;

- необходимые ресурсы: временные, информационные и др.;

- возможность получения количественных оценок выходных данных.

Примеры методов оценки риска приведены в таблице A.2, где для каждого метода указан уровень соответствия этим признакам по шкале: высокий, средний или низкий.

Таблица A.2 - Факторы, влияющие на выбор методов оценки риска

Наименование метода оценки риска	Описание	Значимость воздействующих факторов			Возмож- ность получения количест- венных выходных данных
		Ресурсы и возможности	Неопре- делен- ность	Сложность
Методы наблюдения
Контрольные листы	Простая форма идентификации риска. Метод позволяет представить пользователю перечень источников неопределенности, которые необходимо рассмотреть. Пользователи используют ранее разработанный перечень, кодексы (своды правил) и стандарты	Низкие	Низкая	Низкая	Нет
Предварительный анализ опасностей	Простой индуктивный метод анализа, цель которого состоит в идентификации опасности, опасных ситуаций и событий, которые могут нанести вред деятельности, оборудованию или системам организации	Низкие	Высокая	Средняя	Нет
Вспомогательные методы
Структурированное интервью и мозговой штурм	Способ получения набора идей и оценок, ранжируемых командой. Мозговой штурм можно стимулировать путем применения методов интервью "один на один" или "один с группой"	Низкие	Низкая	Низкая	Нет
Метод Дельфи	Метод получения экспертных оценок, которые могут помочь при идентификации источников и воздействий опасности, количественной оценке вероятности и последствий и общей оценке риска. Это метод обобщения мнений экспертов.   Метод позволяет провести независимый анализ и голосование экспертов	Средние	Средняя	Средняя	Нет
Структурированный анализ сценариев методом "что, если?" (SWIFT)	Система, помогающая группе специалистов идентифицировать риск. Обычно используют на небольших совещаниях. Применяют обычно вместе с методами анализа и оценки риска	Средние	Средняя	Любая	Нет
_______________ Сложность зависит от особенностей задачи.
Анализ влияния человеческого фактора (HRA)	Метод исследования воздействия человеческого фактора (HRA) на систему и оценка ошибок человека, влияющих на работу системы.	Средние	Средняя	Средняя	Да
Анализ сценариев
Анализ первопричины	Метод анализа произошедших потерь, используемый для установления их причин и поиска способов совершенствования системы или процесса предупреждения подобных потерь в будущем. В процессе анализа необходимо исследовать используемые на местах методы управления в момент появления потерь и возможности улучшения управления	Средние	Низкая	Средняя	Нет
Анализ сценариев	Метод исследования и идентификации возможных сценариев развития событий путем представления или экстраполяции известных опасных событий и риска в предположении, что каждый из этих сценариев может произойти. Метод может быть использован формально или неформально, анализ может быть качественный или количественный	Средние	Высокая	Средняя	Нет
Оценка токсикологического риска	Метод идентификации и анализа опасностей и возможных путей их распространения. Метод позволяет получить информацию об уровне экспозиции и вреда для окружающей среды и полезен при оценке вероятности нанесения такого вреда	Высокие	Высокая	Средняя	Да
Анализ воздействия на бизнес	Метод позволяет провести анализ риска нарушения (разрушения) ключевых видов деятельности организации и идентифицировать возможности управления этими нарушениями (разрушениями)	Средние	Средняя	Средняя	Нет
Анализ дерева неисправностей	Метод, в соответствии с которым идентифицируют отказ системы (главное событие) и затем определяют пути его возникновения. Эти пути изображают графически в виде логической древовидной диаграммы. С помощью дерева неисправностей исследуют способы снижения или устранения потенциальных причин/источников неисправности	Высокие	Высокая	Средняя	Да
Анализ дерева событий	Метод, в соответствии с которым для оценки вероятности реализации событий и их перехода в другие события используют индуктивные выводы	Средние	Средняя	Средняя	Да
Анализ причин и последствий	Метод, объединяющий методы дерева неисправностей и дерева событий, позволяющий учесть время запаздывания. В рамках метода могут быть исследованы причины и последствия возникшего события	Высокие	Средняя	Высокая	Да
Причинно-следственный анализ	Воздействие может иметь несколько влияющих факторов, которые могут быть сгруппированы в различные категории. Влияющие факторы часто идентифицируют во время проведения мозгового штурма и отображают в форме древовидной структуры или рыбьего скелета	Низкие	Низкая	Средняя	Нет
Функциональный анализ
Анализ видов и последствий отказов (FMEA) и анализ критичности видов и последствий отказов (FMECA)	FMEA (анализ видов и последствий отказов) является методом идентификации видов и процесса развития отказа и его последствий. Существует несколько типов FMEA: FMEA проекта (или продукции) и их компонентов, FMEA систем, FMEA процесса (для производственных и сборочных процессов), FMEA технического обслуживания и FMEA программного обеспечения.       FMEA может сопровождаться анализом критичности каждого вида отказа, оцениваемого по качественной, количественной или смешанной шкале (FMECA). Анализ критичности видов и последствий отказов может быть основан на оценке вероятности того, что исследуемый вид отказа приведет к отказу системы или уровню риска, соответствующего данному виду отказа, или преимущественного риска	Средние	Средняя	Средняя	Да
Техническое обслуживание, направленное на обеспечение надежности	Метод идентификации и внедрения политики технического обслуживания, направленной на достижение результативности и эффективности требуемых безопасности, надежности и экономичности работы оборудования	Средние	Средняя	Средняя	Да
Анализ скрытых дефектов (анализ паразитных цепей)	Метод идентификации скрытых ошибок проекта. Для выявления скрытых отказов используют специальное оборудование, программное обеспечение или интегрированные способы проверки, которые могут вызвать возникновение неблагоприятного события или приостановить благоприятное событие. Эти события не должны быть вызваны отказом компонентов. Эти отказы носят случайный характер, и их трудно обнаружить во время испытаний системы. Скрытые отказы могут привести к нарушениям функционирования системы, сбоям при выполнении программы и даже смерти или травмам персонала	Средние	Средняя	Средняя	Нет
Исследование опасности и работоспособности (HAZOP)	Общий процесс идентификации потенциальных опасностей, направленный на выявление возможных слабых мест или отклонений способов выполнения работ (предполагаемых или предназначенных). Метод основан на использовании системы управляющих слов. При этом также оценивают критичность выявленных отклонений	Средние	Высокая	Высокая	Нет
Анализ опасности и критических контрольных точек (HACCP)	Система предупреждающих действий, направленных на обеспечение качества продукции, надежности и безопасности процессов, на основе применения мониторинга и измерений специфических характеристик, которые должны находиться в установленных границах (критические контрольные точки)	Средние	Средняя	Средняя	Нет
Анализ уровней защиты (LOPA)	Метод позволяет оценить средства управления и их эффективность. (Метод называют анализом барьеров.)	Средние	Средняя	Средняя	Да
Анализ "галстук-бабочка"	Простой схематический способ описания и анализа путей реализации риска (от опасности до последствий и результатов), а также анализа методов управления. В данном методе объединены логика дерева неисправностей с помощью которого проводят анализ причин события и дерева событий, с помощью которого проводят анализ последствий	Средние	Высокая	Средняя	Да
Статистические методы
Марковский анализ	Марковский анализ иногда называют анализом состояний, его обычно используют при анализе сложных восстанавливаемых систем, которые могут находиться в различных состояниях, включая состояния с ухудшенными характеристиками работоспособности	Высокие	Низкая	Высокая	Да
Моделирование методом Монте-Карло	Моделирование методом Монте-Карло используют для установления изменений системы, возникающих в результате изменений входных данных системы с учетом распределения входных данных и их связи с выходными данными. Анализ может быть использован для модели, определяющей взаимосвязь входных и выходных данных. Входные данные могут быть описаны как случайные величины соответствующими распределениями и присущей им неопределенностью. Для оценки риска обычно используют треугольные распределения или бета-распределения	Высокие	Низкая	Высокая	Да
Байесовский анализ	Статистическая процедура, использующая для оценки вероятности результатов априорное распределение данных. Точность результатов Байесовского анализа зависит от точности априорного распределения. Байесовская сеть моделирует причинно-следственные связи на основе анализа вероятностных соотношений входных данных и результатов	Высокие	Низкая	Высокая	Да

Приложение B

(справочное)

Методы оценки риска

B.1 Мозговой штурм

B.1.1 Краткий обзор

Метод мозгового штурма представляет собой обсуждение проблемы группой специалистов в доброжелательной манере, целью которого является идентификация возможных видов отказов и соответствующих опасностей, риска, критериев принятия решений и/или способов обработки риска. Термин "мозговой штурм" часто используют более широко для обозначения любого обсуждения в группе. Однако в процессе классического мозгового штурма применяют специальные методы, когда утверждения одних участников обсуждения способствуют возникновению у остальных участников мозгового штурма новых оригинальных идей.

Метод предполагает стимулирование обсуждения, периодическое направление обсуждения группы в смежные области и обеспечение охвата проблем, выявленных в результате обсуждения.

B.1.2 Область применения

Метод мозгового штурма может быть использован самостоятельно или применен в сочетании с другими методами оценки риска. Метод направлен на поощрение образного мышления участников и применим на всех стадиях процесса менеджмента риска и всех стадиях жизненного цикла системы. Данный метод может быть использован для общего обсуждения, когда проблемы только идентифицированы, для более детального анализа и для конкретных проблем.

При применении метода мозгового штурма важное значение придается возможности участников прогнозировать ситуацию. Поэтому данный метод особенно полезен при идентификации риска применения новых технологий, когда отсутствуют данные или необходимы новые нестандартные способы решения проблемы.

B.1.3 Входные данные

Команда специалистов, обладающих знанием организации, системы, процесса или методов, которые необходимо оценить.

B.1.4 Процесс выполнения метода

Процесс мозгового штурма может быть формальным или неформальным. Формальный процесс мозгового штурма обычно более структурирован: участники заранее подготовлены, точно установлены цель обсуждения и способы оценки выдвинутых идей и полученных результатов. Неформальный процесс мозгового штурма менее структурирован и часто носит узкоспециализированный характер.

В формальном процессе ведущий выполняет следующие действия:

- формулирует до обсуждения наводящие и провоцирующие вопросы, соответствующие обсуждаемой проблеме;

- определяет цели обсуждения и объясняет его порядок;

- первым начинает обсуждение (задает направление обсуждения), а члены команды рассматривают выдвигаемые идеи, стараясь идентифицировать как можно больше проблем и решений. При этом никто не обсуждает правильные они или нет и необходимость внесения их в список. Все идеи имеют право на внесение в список, что обеспечивает свободное обсуждение без запретов и остановок. Все входные данные принимают и не подвергают критике, поэтому группа быстро продвигается в исследовании и всестороннем обсуждении проблемы;

- ведущий может направить обсуждение в иное русло путем привлечения новых членов команды, когда идеи, высказанные в одном направлении, исчерпаны или обсуждение слишком отклонилось от поставленных целей. Основная цель заключается в необходимости собрать как можно больше разнообразных идей для последующего анализа.

B.1.5 Выходные данные

Выходные данные зависят от стадии процесса менеджмента риска, на которой применен метод мозгового штурма, например, на стадии идентификации, выходными данными могут быть перечни опасных событий и необходимых средств управления.

B.1.6 Преимущества и недостатки

Преимуществами метода мозгового штурма являются:

- развитие у участников нестандартного мышления, которое помогает в идентификации новых видов риска находить новые решения;

- вовлечение в обсуждение ключевых причастных сторон и, следовательно, улучшение процесса обмена информацией;

- быстрота и легкость применения метода.

Недостатками метода являются следующие.

- Возможен недостаток навыков и знаний участников обсуждения для эффективного генерирования идей.

- Так как метод прост и неструктурирован, то трудно проверить всесторонность обсуждения и подтвердить, что все опасности и виды риска идентифицированы.

- Динамика обсуждения в группе может быть такой, при которой некоторые участники, располагающие ценными идеями, не проявляют себя, в то время как другие доминируют при обсуждении. Этот недостаток может быть преодолен путем привлечения компьютерной техники и использования метода закрытых групп или дискуссионного форума. Метод компьютерного мозгового штурма допускает анонимное участие, что позволяет избежать личных и политических разногласий участников. При использовании метода закрытых групп идеи направляются координатору и затем обсуждаются членами группы.

B.2 Структурированные или частично структурированные интервью

B.2.1 Краткий обзор

В структурированном интервью опрашиваемому задают вопросы из заранее подготовленного перечня, поощряющие всесторонний анализ ситуации и, таким образом, более полную идентификацию опасностей и риска. Частично структурированное интервью аналогично структурированному, однако оно обеспечивает большую свободу при обсуждении исследуемой проблемы.

B.2.2 Область применения

Структурированные и частично структурированные интервью полезны в ситуациях, когда трудно собрать людей для обсуждения или когда свободное обсуждение в группе невозможно. Данные виды интервью чаще всего используют как часть процесса анализа риска для идентификации опасностей или оценки эффективности средств управления. Они могут быть применены на всех стадиях проекта или процесса. Структурированные и частично структурированные интервью могут быть использованы при сборе входных данных для оценки риска причастными сторонами.

B.2.3 Входные данные

Входные данные включают в себя:

- точное определение целей интервью;

- список опрашиваемых, который должен быть составлен с учетом интересов привлекаемых причастных сторон;

- перечень вопросов.

B.2.4 Процесс выполнения метода

Вначале необходимо составить перечень вопросов, направляющих размышления опрашиваемого. Вопросы должны быть, насколько возможно, простыми, изложены на понятном для опрашиваемого языке и охватывать только одну проблему. Ответы на вопросы не должны быть ограничены по времени. Возможные последующие вопросы, направленные на разъяснение ответов, должны быть подготовлены заранее.

Затем вопросы должны быть предложены опрашиваемому лицу. При уточнениях ответы должны быть ограничены по времени. Необходимо следить за тем, чтобы постановка вопроса не подсказывала опрашиваемому определенный ответ.

При анализе ответов необходимо проявлять гибкость и обеспечить возможность исследования областей, предлагаемых опрашиваемыми в своих ответах.

B.2.5 Выходные данные

Выходными данными является информация о восприятии причастными сторонами проблем, которые являются предметом интервью.

B.2.6 Преимущества и недостатки

Преимущества структурированного интервью:

- Структурированные интервью позволяют опрашиваемым анализировать проблему.

- Обмен информацией "один на один" может позволить рассмотреть проблему со всех сторон.

- Метод позволяет вовлечь в обсуждение проблемы большее количество причастных сторон, чем мозговой штурм, в котором задействована относительно небольшая группа лиц.

Недостатки включают в себя следующее:

- Структурированное интервью требует больших затрат времени интервьюера для получения и обработки разнообразных и многочисленных мнений о проблеме.

- Метод допускает предвзятость и нежелание обсуждать проблему в группе.

- При применении метода трудно применить способы стимулирования и фантазии человека, которые являются особенностью мозгового штурма.

B.3 Метод Дельфи

B.3.1 Краткий обзор

Метод Дельфи предназначен для получения обобщенного мнения группы экспертов. Хотя данный термин в настоящее время часто используют более широко во всех формах мозгового штурма, существенной особенностью метода Дельфи является то, что эксперты выражают свое мнение индивидуально и анонимно, при этом имея возможность узнать мнения других экспертов.

B.3.2 Область применения

Метод Дельфи может быть применен на всех стадиях процесса менеджмента риска или всех этапах жизненного цикла системы, везде, где необходимы согласованные оценки экспертов.

B.3.3 Входные данные

Варианты решений проблемы, для отбора которых необходимо согласованное единое мнение.

B.3.4 Процесс выполнения метода

Процесс включает в себя проведение частично структурированного анкетного опроса группы экспертов. При этом эксперты не должны встречаться друг с другом, что позволяет обеспечить независимость их мнений.

Должна быть выполнена следующая процедура:

- формирование группы выполнения и мониторинга процесса Дельфи;

- выбор группы экспертов (могут быть сформированы одна или несколько групп специалистов);

- разработка первоначального перечня вопросов;

- тестирование перечня вопросов;

- отправка перечня вопросов индивидуально каждому участнику дискуссии;

- анализ и обобщение ответов экспертов и распространение результатов среди участников дискуссии;

- повторный опрос участников дискуссии и повторение процесса до тех пор, пока не будет достигнуто согласие по обсуждаемой проблеме.

B.3.5 Выходные данные

Единое мнение по проблеме.

B.3.6 Преимущества и недостатки

Преимущества метода включают в себя следующее:

- Поскольку процедура является анонимной, более вероятно, что будут выражены непопулярные мнения.

- Все взгляды на проблему равнозначны, что позволяет избежать доминирования мнения отдельных лиц.

- Получение прав собственности на выходные данные.

- Участники обсуждения не должны находиться в одном конкретном месте в конкретное время.

Недостатки метода включают в себя следующее.

- Метод Дельфи является трудоемким и затратным по времени.

- Участники должны быть в состоянии точно и ясно выразить свои мысли в письменной форме.

B.4 Контрольные листы

B.4.1 Краткий обзор

Контрольные листы представляют собой перечни опасностей, риска или отказов средств управления, которые обычно разрабатывают на основе полученного ранее опыта, результатов предыдущей оценки риска или результатов отказов, произошедших в прошлом.

B.4.2 Область применения

Контрольный лист может быть использован для идентификации опасностей и риска или оценки эффективности средств управления. Контрольные листы могут быть использованы на всех стадиях жизненного цикла продукции, процесса или системы. Контрольные листы могут быть использованы как часть других методов оценки риска, однако они наиболее полезны для проверки полноты рассмотрения исследуемой проблемы после применения более образных и творческих методов при идентификации новых проблем.

B.4.3 Входные данные

Предшествующая информация и экспертные оценки по проблеме, обеспечивающие выбор вопросов и разработку значимого контрольного листа (желательно утвержденного).

B.4.4 Процесс выполнения метода

Должна быть выполнена следующая процедура:

- определение области применения;

- составление контрольного листа таким образом, чтобы он охватывал всю область применения. Контрольные листы должны быть тщательно составлены для достижения поставленной цели. Например, составленный ранее контрольный лист не может быть использован при идентификации новых опасностей или риска;

- лицо или группа лиц должны применять контрольный лист последовательно к каждому элементу процесса или системы для определения того, представлен ли этот элемент в контрольном листе.

B.4.5 Выходные данные

Выходные данные зависят от стадии процесса менеджмента риска, на которой применены контрольные листы. Например, выходными данными могут быть перечни неадекватных средств управления или перечни опасностей.

B.4.6 Преимущества и недостатки

Преимущества метода контрольных листов:

- Контрольные листы могут использовать лица, не являющиеся экспертами.

- Если контрольные листы хорошо разработаны, то они объединяют разнообразные виды экспертных оценок в простую для использования форму оценки.

- Контрольные листы обеспечивают то, что основные проблемы не упущены.

Недостатки метода контрольных листов:

- Работа с контрольными листами часто сдерживает свободу мыслей при идентификации опасностей.

- Контрольные листы используют для исследования "известных знаний", но не "известного незнания" или "неизвестного незнания".

- Применение контрольных листов поощряет формальное поведение персонала по принципу "поставить галочку".

- Метод контрольных листов основан на наблюдениях, поэтому существует устойчивая тенденция не видеть или не замечать проблемы.

B.5 Предварительный анализ опасностей

B.5.1 Краткий обзор

PHA

является простым индуктивным методом анализа, цель которого состоит в идентификации опасностей, опасных ситуаций и событий, которые могут нарушить работу или нанести вред данному виду деятельности, оборудованию или системе.

_______________

Метод PHA - Preliminary Hazard Analysis.

B.5.2 Область применения

PHA обычно выполняют на ранних стадиях разработки проекта в условиях недостатка информации о деталях проекта или рабочих процессов. PHA часто предшествует дальнейшим исследованиям или направлен на получение информации для разработки требований к проектируемой системе. PHA также может быть полезен при анализе существующих систем, направленном на ранжирование опасностей и риска для последующего анализа риска.

B.5.3 Входные данные

Входные данные включают в себя:

- информацию об оцениваемой системе;

- доступные и относящиеся к делу детали проекта системы.

B.5.4 Процесс выполнения метода

Перечень опасностей, общих опасных ситуаций и риска формируют на основе следующей информации:

- данные об используемых и изготавливаемых материалах, их химической или иной активности;

- перечень используемого оборудования;

- сведения о рабочей среде;

- схема расположения оборудования;

- сведения о взаимодействии компонентов системы и т.д.

Для идентификации риска и дальнейшей оценки может быть выполнен качественный анализ последствий нежелательного события и их вероятностей.

PHA следует повторять по мере прохождения стадий проектирования, разработки и испытаний для выявления новых опасностей и внесения необходимых изменений. Полученные результаты могут быть представлены в виде таблицы или в виде "дерева".

B.5.5 Выходные данные

Выходные данные включают в себя:

- перечень опасностей и соответствующего риска;

- рекомендации по принятию риска, рекомендуемые средства управления, требования к конструкции или запрос на выполнение более детальной оценки.

B.5.6 Преимущества и недостатки

Преимущества метода:

- Метод PHA можно использовать в ситуации ограниченной информации.

- Метод PHA позволяет исследовать риск на самых ранних стадиях жизненного цикла системы.

Недостатки метода:

- Метод PHA предоставляет только предварительную информацию.

- Метод PHA не является всесторонним методом и не может обеспечить подробную информацию об опасных событиях и способах их предотвращения.

B.6 Исследование HAZOP

B.6.1 Краткий обзор

Аббревиатура HAZOP

означает исследование опасности и работоспособности. Исследование HAZOP представляет собой структурированный и систематизированный анализ запланированных или существующих продукции, процесса, процедуры или системы. Исследование HAZOP является методом идентификации опасностей и риска для людей, оборудования, окружающей среды и/или достижения целей организации. От группы исследования HAZOP обычно ожидают по возможности конкретных решений по обработке риска.

_______________

HAZOP - Hazard and Operability Study.

HAZOP является качественным методом, основанным на использовании управляющих слов, которые помогают понять, почему цели проектирования или условия функционирования не могут быть достигнуты на каждом этапе проекта, процесса, процедуры или системы. Исследование HAZOP обычно выполняет междисциплинарная группа в течении нескольких заседаний.

Исследование HAZOP, подобно методу FMEA, направлено на идентификацию видов отказов процесса, системы или процедуры, их причин и последствий. Отличие исследования HAZOP от метода FMEA заключается в том, что при применении исследования HAZOP рассматривают нежелательные результаты и отклонения от намеченных результатов и условий для поиска возможных причин и видов отказа, тогда как в методе FMEA анализ начинают с идентификации видов отказа.

B.6.2 Область применения

Исследование HAZOP первоначально было разработано для анализа системы химических процессов, но впоследствии сфера его применения была расширена для применения в технических системах и сложных производствах. Область применения метода включает в себя механические и электронные системы, процедуры, системы программного обеспечения, организационные изменения, разработку и анализ юридических документов (например, контрактов) и др.

Процесс исследования HAZOP может быть применен при любых изменениях конструкции, компонента(ов), разработанных процедур и действий человека.

Исследование HAZOP широко используют для анализа программного обеспечения. Если его применяют к управлению безопасностью критических видов оборудования и компьютерным системам, то метод обозначают CHAZOP

(Исследование управления опасностью и работоспособностью или исследование компьютерной опасности и работоспособности).

_______________

CHAZOP - Control Hazards and Operability Analysis.

Исследование HAZOP обычно предпринимают на стадии детализации конструкции, когда полная схема намеченного процесса уже разработана, однако еще можно внести необходимые изменения. С другой стороны, исследование HAZOP может быть применено последовательно с различными управляющими словами на каждой стадии проектирования и разработки. Оно также может быть выполнено на стадии производства, однако на этой стадии внесение изменений по результатам исследований может быть более затратным.

B.6.3 Входные данные

Основными входными данными исследования HAZOP являются: текущая информация об исследуемых системе, процессе или процедуре, а также цели и функциональные требования к проекту. Входные данные могут включать в себя: чертежи, перечень требований, технологические карты, схемы управления процессом и соответствующих логических связей схемы размещения оборудования, процедуры функционирования и технического обслуживания, планы действий в аварийных ситуациях. Если HAZOP не связан с программным обеспечением, то входными данными могут быть любые документы, описывающие функции и элементы исследуемых систем или процедур. Например, входными данными могут быть: диаграмма организационной структуры и описание ответственности и обязанностей персонала, проект договора или процедуры.

B.6.4 Процесс выполнения метода

В процессе исследования HAZOP рассматривают проект и требования к исследуемым процессу, процедуре или системе, подразделяют их на части и проводят анализ каждой из этих частей, чтобы обнаружить, какие отклонения от намеченного исполнения могут произойти, что может быть причиной возможных отклонений и какова вероятность их последствий. Этих целей достигают путем систематического исследования того, как каждая часть системы, процесса или процедуры реагирует на изменения основных параметров при использовании подходящего управляющего слова. Управляющие слова могут быть подобраны для конкретной системы, процесса или процедуры, или могут быть использованы общие управляющие слова, охватывающие все типы отклонений. В таблице B.1 приведены примеры часто используемых управляющих слов для технических систем. Подобные управляющие слова, такие как "слишком рано", "слишком поздно", "больше", "меньше", "слишком долго", "слишком быстро", "неправильное направление", "неправильная цель", "неправильное действие" могут быть использованы для идентификации ошибок оператора.

Таблица B.1 - Пример управляющих слов исследования HAZOP

Этапы исследования HAZOP включают в себя:

- назначение лица, наделенного необходимыми ответственностью и полномочиями для проведения исследования HAZOP и обеспечения любых действий, направленных на полное завершение этого процесса;

- определение целей и области применения исследования;

- установление набора ключевых и управляющих слов для исследования;

- формирование группы HAZOP; в эту группу обычно включают экспертов по основным и смежным дисциплинам, проектировщиков и производственный персонал, способных провести соответствующую техническую экспертизу и оценить воздействие отклонений от намеченного или существующего проекта. Рекомендуется включать в группу персонал, который непосредственно не вовлечен в работы по рассматриваемым проекту, системе, процессу или процедуре;

- определение требуемой документации.

На совещании группа HAZOP проводит следующие действия:

- подразделяет систему, процесс или процедуру на меньшие элементы, подсистемы, подпроцессы, компоненты для проведения их анализа;

- согласовывает задачи проекта для каждой подсистемы, подпроцесса или компонента, и затем для каждого элемента подсистемы или компонента применяет управляющие слова, одно за другим, что позволяет выявить возможные отклонения, которые могут привести к нежелательным результатам;

- в случае идентификации нежелательных результатов согласовывает причину и последствия для каждого события и предлагает способы их обработки, направленной на предотвращение их повторного появления или смягчения возможных последствий, если они неизбежны;

- регистрирует и идентифицирует протоколы обсуждений и предложенные способы обработки риска.

B.6.5 Выходные данные

В процессе HAZOP время обсуждения по каждому пункту исследования должно быть зарегистрировано. Записи должны включать в себя: используемое управляющее слово, отклонение(я), его (их) возможные причины, предложенные действия по идентифицированным проблемам и ответственного за эти действия.

Для любого отклонения, которое нельзя исправить, необходимо оценить его риск.

B.6.6 Преимущества и недостатки

Исследование HAZOP имеет следующие преимущества:

- Метод обеспечивает систематическое и полное исследование системы, процесса или процедуры.

- К работе привлекаются эксперты по смежным направлениям деятельности, включая специалистов, имеющих практический производственный опыт работы, которым, вероятно, придется внедрять рекомендации по обработке риска.

- Метод помогает в выборе решения и способов обработки риска.

- Метод применим к широкому диапазону систем, процессов и процедур.

- Метод позволяет точно рассмотреть причины и последствия ошибок исполнителей.

- В рамках процесса HAZOP проходит регистрация всех записей, что позволяет обеспечить объективные свидетельства для дальнейшего анализа.

Недостатки исследования HAZOP:

- Детальный анализ может быть длительным по времени и поэтому быть дорогостоящим.

- Детальный анализ требует наличия подробной документации и требований к системам, процессам или процедурам.

- Исследование HAZOP может быть сосредоточено на нахождении детальных решений, а не на пересмотре использованных основных предположений (этот недостаток можно смягчить поэтапным применением метода).

- Обсуждение может быть сосредоточено на отдельных проблемах проекта и не касаться широких или внешних проблем.

- Метод ограничен задачами проекта, областью и целями исследования, определенными для группы.

- Метод основан на экспертных оценках проектировщиков, которым может быть сложно установить недостатки своих проектов.

B.6.7 Ссылочные стандарты

МЭК 61882 Исследование опасности и работоспособности (HAZOP). Руководство по применению.

B.7 Анализ опасности и критических контрольных точек

B.7.1 Краткий обзор

Метод анализа опасности и критических контрольных точек (HACCP

) позволяет построить структуру идентификации опасностей и проверки средств управления во всех частях процесса. Этот метод направлен на защиту от опасностей и обеспечение высокой надежности и безопасности продукции. Основной целью HACCP является минимизация риска путем применения средств управления в процессе производства продукции, а не только при контроле конечной продукции.

_______________

HACCP - Hazard Analysis and Critical Control Points. Метод иногда называют "Анализ рисков и критических контрольных точек".

B.7.2 Область применения

Первоначально метод HACCP был разработан для обеспечения качества продуктов питания в космической отрасли. В настоящее время данный метод обычно используют организации пищевой промышленности для управления риском физического, химического или биологического загрязнения пищевых продуктов. Метод HACCP также используют при изготовлении фармацевтических препаратов и медицинских устройств. Принцип идентификации факторов, которые могут повлиять на качество продукции, и использование контрольных точек производственного процесса, где необходим мониторинг критических параметров и возможных опасностей, может быть также применен в других технических системах.

B.7.3 Входные данные

Применение метода HACCP начинают с составления технологической карты или блок-схемы процесса и сбора информации об опасностях, которые могут повлиять на качество, безопасность или надежность процесса и конечной продукции. Информация об опасностях, соответствующем риске и способах их контроля представляет собой входные данные HACCP.

B.7.4 Процесс выполнения метода

Метод HACCP основан на следующих принципах:

- идентификация опасностей и соответствующих предупреждающих действий;

- определение контрольных точек процесса, в которых можно устранить опасности или контролировать их возникновение (критические контрольные точки, или CCP);

- установление критических границ при контроле возникновения опасностей, т.е. для каждой критической контрольной точки необходимо установить диапазон изменения параметров;

- мониторинг критических границ для каждой критической контрольной точки;

- определение корректирующих действий, если параметры процесса вышли за установленные границы;

- установление процедур верификации;

- внедрение процедур управления записями и документацией на каждом этапе процесса.

B.7.5 Выходные данные

Зарегистрированные записи, включая карты анализа опасностей и план HACCP, представляют собой выходные данные НАССР.

В карту анализа опасностей для каждого этапа процесса должны быть включены:

- опасности, которые могут быть новыми, контролируемыми или возрастающими на данном этапе процесса;

- оценка значимости риска данных опасностей (такая оценка риска основана на рассмотрении последствий и вероятности опасного события и является результатом объединения полученного ранее опыта, полученных экспериментальных данных и данных опубликованных источников);

- заключение о значимости совокупного риска;

- возможные предупреждающие действия для каждой опасности;

- возможность применения мониторинга или контроля возникновения опасности на данном этапе (т.е. подтверждение того, что точка является критической контрольной точкой).

План HACCP содержит сопроводительные процедуры, применение которых обеспечивает управление риском конкретных проекта, продукции, процесса или процедуры. План HACCP включает в себя перечень всех критических контрольных точек с указанием для каждой контрольной точки:

- критических границ, допускающих проведение предупреждающих действий;

- выполняемых действий по мониторингу и непрерывному контролю (в том числе когда, кто и каким способом выполняет мониторинг);

- требуемые корректирующие действия при обнаружении нарушения критических границ;

- способа верификации и действий по регистрации записей.

B.7.6 Преимущества и недостатки

Преимущества метода:

- Метод HACCP представляет собой структурированный процесс, который обеспечивает документированные свидетельства качества идентификации опасности, управления и снижения риска.

- Метод HACCP ориентирован на решение практических вопросов: как и где в процессе можно предупредить появление опасностей и управлять риском.

- Метод HACCP позволяет управлять риском в процессе производства, не полагаясь только на контроль готовой продукции.

- Метод HACCP дает возможность идентифицировать опасности, вызванные действиями человека, и содержит способ управления в момент совершения ошибочного действия или впоследствии.

Недостатки метода:

- Для применения метода HACCP необходимо, чтобы опасности были идентифицированы и определен соответствующий им риск. Также должны быть определены необходимые средства управления. В процессе применения метода HACCP необходимо определить критические контрольные точки и контролируемые параметры, что не всегда возможно и часто требует применения других методов менеджмента риска.

- Принятие мер только при выходе контролируемых параметров за установленные границы не всегда дает эффективные результаты, поскольку не позволяет учесть изменения среднего процесса, когда контролируемый параметр изменяется вблизи границы.

B.7.7 Ссылочные стандарты

ИСО 22000 Системы менеджмента безопасности пищевых продуктов. Требования ко всем организациям в цепи производства и потребления пищевых продуктов.

B.8 Оценка токсикологического риска

B.8.1 Краткий обзор

Оценку токсикологического риска применяют для оценки подверженности растений, животных и людей воздействию экологических опасностей. Менеджмент токсикологического риска необходим на каждом этапе принятия решений, включая сравнительную оценку и обработку риска.

Метод оценки токсикологического риска включает в себя анализ опасностей или источников ущерба и их воздействий на целевые группы населения и путей экспозиции опасных воздействий на эти группы. Полученную информацию затем обрабатывают и получают вероятностную оценку степени и характера ущерба.

B.8.2 Область применения

Для оценки воздействия (таких источников, как химикаты, микроорганизмы и др.) на растения, животных и людей используют оценку токсикологического риска.

Отдельные элементы данного метода, такие как анализ путей экспозиции, в котором исследуют различные способы распространения опасности на объект, могут быть адаптированы и применены в различных областях менеджмента риска для здоровья человека и окружающей среды и полезны при идентификации методов обработки риска.

B.8.3 Входные данные

Для данного метода необходимы объективные данные о характере, свойствах опасностей, уязвимых местах целевой группы населения (или популяции) и взаимодействии идентифицированных опасностей. Эти данные обычно основаны на лабораторных и эпидемиологических исследованиях.

B.8.4 Процесс выполнения метода

Процесс включает в себя перечисленные ниже этапы:

a) Формулировка проблемы, включая установление области применения оценки путем определения целевых групп населения и типов опасностей.

b) Идентификация опасностей, включая идентификацию всех возможных источников вреда для целевой группы населения от исследуемых опасностей. Идентификация опасностей обычно основана на знаниях экспертов и данных опубликованных источников.

c) Анализ опасностей, включая исследование характера и природы опасностей и их взаимодействия с объектом воздействия. Например, при исследовании воздействия на человеческий организм химических веществ опасности могут включать в себя острую и хроническую токсичность, возможность повреждения ДНК, вызывающего онкологические заболевания, нарушения эмбрионального развития и репродукции человека. Для каждого опасного воздействия определяют величину воздействия (Воздействие), совокупность воздействующих опасностей, которым подвергается целевая группа населения (Дозу), а также, по возможности, механизм этого опасного воздействия. Необходимо отметить уровни, на которых нет заметного воздействия (NOEL) и нет заметного отрицательного воздействия (NOAEL). Эти уровни иногда используют в качестве критериев приемлемости риска.

Для оценки экспозиции химических веществ используют результаты тестирования и строят кривую Доза - Воздействие (см. рисунок B.1). Данные обычно получают на основе тестов на животных или из экспериментов на искусственно выращенных тканях или клетках животных.

Рисунок В.1 - Кривая Доза - Воздействие

Воздействие других опасностей, таких как воздействие микроорганизмов или изменение биологического вида, может быть определено на основе данных наблюдений и эпидемиологических исследований. После того как характер взаимодействия возбудителей болезней или паразитов с объектом исследования определен, оценивают вероятность того, что в результате подверженности конкретному виду опасности будет нанесен конкретный уровень вреда.

d) Анализ экспозиции, включая исследование того, как опасное вещество или его остатки могут воздействовать на целевую группу населения и в каком количестве. Данный этап часто содержит анализ путей распространения опасностей, препятствующих барьеров и факторов, влияющих на уровень экспозиции. Например, при исследовании химических выбросов анализ экспозиции должен включать в себя: исследование того, насколько велика область распыления химических веществ, каким путем выбросы могут произойти и при каких условиях может возникнуть прямое воздействие на людей и животных, сколько химических веществ осядет на растения, каковы пути распространения ядохимикатов, попавших в грунт, могут ли эти химические вещества накапливаться в живых организмах и в грунтовых водах. Анализ экспозиции может содержать исследование паразитов, попадающих из других регионов, пути их распространения и воздействия на объекты живой природы.

e) Характеристика риска, включающая сбор и обобщение полученной информации на этапах анализа опасностей и анализа экспозиции и оценку вероятности последствий в случае совместного воздействия опасностей. В ситуации с большим количеством опасностей и путей их распространения может быть проведен их начальный анализ, а затем детальный анализ опасностей и экспозиции. Анализ риска должен быть выполнен на основе общих сценариев риска.

B.8.5 Выходные данные

Выходные данные обычно характеризуют уровень риска воздействия экспозиции на рассматриваемый объект конкретной опасности в имеющихся условиях. Риск может быть представлен в виде количественной, смешанной или качественной оценки. Например, риск онкологических заболеваний часто характеризуют вероятностью того, что человек заболеет в течение указанного периода вследствие воздействия конкретных вредных химических веществ. Смешанный анализ может быть использован для получения индекса риска конкретного вредного химического вещества или вредного микроорганизма. Качественная оценка риска может представлять собой отнесение риска к одному из уровней (высокому, среднему, низкому) или описание вероятного воздействия.

B.8.6 Преимущества и недостатки

Преимущество данного анализа состоит в том, что он обеспечивает детальное понимание проблемы и факторов, способствующих повышению риска.

Анализ путей распространения очень полезен для всех областей анализа риска. Он позволяет идентифицировать, как и где можно усовершенствовать средства управления или применить новые.

Однако для данного анализа необходимы достоверные данные, которые часто не доступны или имеют высокий уровень неопределенности. Например, общие данные об опасностях, полученные на основе экспериментов на животных, используют для построения кривой Доза - Воздействие и экстраполируют для оценки воздействий на человека. Существуют множественные модели такой экстраполяции. Если объектом является окружающая среда, а не люди, и опасности не являются химическими, данных, соответствующих конкретным условиям исследования, может быть недостаточно.

B.9 Структурированный анализ сценариев методом "что, если?"

B.9.1 Краткий обзор

Метод SWIFT

первоначально был разработан в качестве более простой альтернативы исследования HAZOP. Это систематизированный метод исследования сценариев, основанный на командной работе, в котором используют набор слов или фраз-подсказок, помогающих в процессе совещания участникам группы идентифицировать опасные ситуации и создать сценарий их развития. Ведущий и группа, используя стандартные фразы "что, если" в сочетании с подсказками исследуют, как система, элемент производственного процесса, организация или процедура будут вести себя под воздействием опасного события. Метод SWIFT обычно применяют для больших систем с более высоким уровнем детализации, чем позволяет исследование HAZOP.

_______________

SWIFT - Structured what-if technique.

B.9.2 Область применения

Метод SWIFT первоначально был разработан для исследования опасностей химических и нефтехимических предприятий, позднее его стали широко применять к системам, их элементам, процессам, процедурам и организации в целом. Особенно часто данный метод применяют для исследования последствий изменений, а также новых и измененных видов риска.

B.9.3 Входные данные

Исследуемые системы, процедуры, элементы, процессы и/или их изменения необходимо точно определить до начала исследования. Следует установить внутренние и внешние цели и области применения путем проведения опроса и изучения вспомогательных документов, планов и графиков. Обычно исследуемые элемент, ситуацию или систему подразделяют на части, узлы или ключевые компоненты, чтобы упростить процесс анализа. Это реже делают на этапе определения объектов исследования при использовании метода HAZOP.

Другими ключевыми входными данными являются знания экспертов и опыт специалистов, участвующих в групповых исследованиях, к отбору которых необходимо подходить очень тщательно. Все причастные стороны должны быть представлены по возможности с указанием опыта работы с аналогичными элементами, системами, их изменениями или ситуациями.

B.9.4 Процесс выполнения метода

Процесс состоит из следующих этапов.

a) До начала исследования ведущий составляет список слов или фраз-подсказок, который может быть основан на стандартном наборе слов и фраз или составлен самостоятельно, направленный на обеспечение всестороннего анализа опасностей или риска.

b) В начале совещания необходимо обсудить и согласовать внешние и внутренние цели и область применения исследуемых элемента, системы, их изменений или ситуации.

c) Далее ведущий предлагает участникам обсудить:

- известные опасности и риск;

- предыдущие опыт и инциденты;

- известные и существующие средства управления и защитные меры;

- обязательные требования и ограничения.

d) Обсуждение проходит легче, если вопросы составлены с использованием фраз "что, если" и слов или объектов-подсказок. Примерами фраз "что, если" могут быть такие фразы, как "что произойдет, если …", "что случится, если …", "мог кто-то или могло что-то …". Основная задача совещания - стимулировать группу к исследованию возможных сценариев опасных событий, их причин, последствий и воздействий.

e) Группа исследования должна обобщить полученную информацию о риске и рассмотреть средства управления.

f) Описание риска, его причин, последствий и планируемых средств управления, одобренных группой исследования, должно быть зарегистрировано.

g) Исследовательская группа должна рассмотреть вопрос об адекватности и эффективности средств управления, оценить эффективность управления риском и дать соответствующее заключение. Если в заключении дана неудовлетворительная оценка средствам управления и процессу управления риском, то группа должна далее более глубоко рассмотреть задачу обработки риска и определить необходимые средства управления.

h) В процессе последующего обсуждения необходимо использовать вопросы в форме "что, если" для идентификации последующих видов риска.

i) Ведущий должен использовать список слов-подсказок для управления обсуждением и помощи в выявлении дополнительных проблем и сценариев развития опасного события.

j) Для определения приоритетности необходимых действий обычно используют качественный или смешанный методы оценки риска. Оценку риска обычно проводят с учетом существующих средств управления и их эффективности.

B.9.5 Выходные данные

Выходные данные включают в себя реестр риска и ранжированные по значимости действия или задачи управления риском. Эти задачи могут стать основой плана обработки риска.

B.9.6 Преимущества и недостатки

Метод SWIFT имеет следующие преимущества:

- Метод применим ко всем формам элементов, систем, ситуаций, условий, организаций и видов деятельности.

- Метод требует минимальной подготовки группы исследований.

- Метод достаточно быстро помогает идентифицировать основные опасности, которые становятся очевидными в процессе обсуждения.

- Системный подход к исследованию позволяет участникам увидеть реакцию системы на отклонения, не ограничиваясь рассмотрением последствий отказа компонентов.

- Метод может быть использован для идентификации способов улучшения процессов и систем и определения мер, приводящих к повышению их надежности.

- Вовлечение в обсуждение лиц, ответственных за существующие средства управления и дальнейшие действия по обработке риска, помогает повысить эффективность работы группы.

- Метод помогает в создании реестра риска и плана обработки риска, не требуя больших дополнительных усилий.

- В отличие от обычных методов, когда для оценки риска применяют качественные или смешанные методы, уделяя основное внимание предпринимаемым действиям, метод SWIFT может быть использован для идентификации опасностей и риска, для которых в дальнейшем возможно применение количественных методов оценки риска.

Метод SWIFT имеет следующие недостатки:

- Для эффективного применения данного метода необходим опытный ведущий.

- Необходима тщательная подготовка обсуждений, чтобы время совещания исследовательской группы не было потрачено впустую.

- Если исследовательская группа не имеет достаточного опыта или если система подсказок не является всесторонней, то некоторые риски или опасности могут быть пропущены и не идентифицированы.

- Применение метода на общем уровне не всегда отражает весь комплекс проблем и может не выявить детализированные или коррелированные причины.

B.10 Анализ сценариев

B.10.1 Краткий обзор

Наименование метода "анализ сценариев" дано процессу разработки описательных моделей развития событий. Метод может быть использован для идентификации риска путем рассмотрения возможных событий в будущем и исследования их значимости и последствий. Наборы сценариев, отражающих, например, "лучший случай", "худший случай" и "ожидаемый случай", могут быть использованы для анализа возможных последствий и их вероятности для каждого сценария.

Возможности метода анализа сценариев можно проиллюстрировать, рассматривая основные изменения за прошлые 50 лет в технологиях, предпочтениях потребителей, социальных отношениях и т.д. В процессе анализа сценариев трудно прогнозировать вероятность таких изменений в будущем, однако можно анализировать последствия, помочь организациям использовать преимущества и обеспечить устойчивость к прогнозируемым изменениям.

B.10.2 Область применения

Анализ сценариев может быть полезен в принятии политических решений и планировании будущих стратегий, а также при рассмотрении существующих видов деятельности. Данный метод может быть использован для всех трех элементов оценки риска. На этапах идентификации и анализа риска наборы сценариев, отражающих, например, лучший, худший и наиболее вероятный случай, могут быть использованы для установления того, что может произойти в конкретных обстоятельствах, а также для анализа потенциальных последствий и их вероятности для каждого сценария.

Метод анализа сценариев может быть использован для прогнозирования возможных угроз и их развития во времени и может быть применен для всех типов риска в краткосрочной и долгосрочной перспективе. В краткосрочной перспективе при наличии достоверных данных вероятные сценарии могут быть экстраполированы на основе существующих данных. В долгосрочной перспективе с учетом низкой достоверности данных анализ сценариев позволяет определить общий характер развития событий.

Анализ сценариев полезен в ситуации, когда имеются значительные различия между положительными и отрицательными результатами, в том числе во времени и для различных групп или организаций.

B.10.3 Входные данные

Необходимым условием применения метода анализа сценариев является наличие группы специалистов, обладающих пониманием характера исследуемых изменений (например, возможных достижений в технологиях). Эти специалисты должны быть способны спрогнозировать ситуацию в будущем, не прибегая к экстраполяции на основе данных прошлых событий. Полезно также использование данных литературных источников и данных, относящихся к происходящим изменениям.

B.10.4 Процесс выполнения метода

Структура метода анализа сценариев может быть формализованной или произвольной.

После формирования группы, установления каналов обмена информацией, определения исследуемых проблем и области применения метода необходимо идентифицировать характер возможных изменений. Следует также исследовать основные тенденции и оценить вероятное время изменений на основе экспертного прогноза.

Исследуемые изменения могут включать в себя:

- внешние изменения (такие как изменения технологий);

- решения, которые необходимо принять в ближайшем будущем и которые могут привести к различным результатам;

- потребности причастных сторон и возможные изменения;

- изменения в макросреде (обязательных требований, демографии и т.д.), некоторые из которых неизбежны, другие возможны.

Иногда изменения могут произойти вследствие другого опасного события. Например, изменение климата приводит к изменениям потребительского спроса на продукты питания, что влияет на то, какие продукты питания выгодно экспортировать, а какие - выращивать в своем регионе.

Затем следует составить перечень локальных факторов и макрофакторов или тенденций и ранжировать сначала по значимости, затем по неопределенности. Особое внимание следует уделять факторам, которые являются наиболее значимыми и более неопределенными.

Ключевые факторы или тенденции наносят на карту напротив друг друга, чтобы показать и выявить области разработки сценариев.

Обычно предлагают набор сценариев, каждый из которых соответствует вероятному изменению параметров.

Затем для каждого сценария составляют описание перехода от исходной ситуации к рассматриваемому сценарию. Описание может включать вероятные детали, которые могут быть очень полезны для сценария.

Далее сценарии могут быть использованы для исследования или оценки исходной проблемы. При проведении исследований необходимо учитывать все существенные, но прогнозируемые факторы (например, используют шаблоны). Затем следует исследовать выполнение политики или деятельности при реализации этого сценария и оценить результаты предварительного исследования сценария с использованием вопросов "что, если", основанных на предположениях моделей.

После проведения оценки вопросов или предположений относительно каждого сценария может стать очевидным, что именно необходимо изменить и как это сделать наиболее целесообразным и безопасным образом. Могут быть также определены основные индикаторы, указывающие на появление возможных изменений. Мониторинг основных индикаторов и предпринятые ответные меры позволяют обеспечить возможность внесения изменений в запланированные стратегии.

Так как сценарии охватывают только отдельные части возможного развития будущих событий, важно удостовериться, что учтены вероятности появления конкретных сценариев, т.е. определить структуру риска. Например, если используют сценарии лучшего случая, худшего случая и наиболее вероятного случая, необходимо предпринять несколько попыток для их квалификации и оценить вероятность появления каждого сценария.

B.10.5 Выходные данные

Наиболее подходящего сценария может не быть, однако анализ позволяет получить более четкое понимание вариантов развития событий и способов изменения действий при изменении индикаторов.

B.10.6 Преимущества и недостатки

Анализ сценариев учитывает варианты будущего развития событий и поэтому может быть более предпочтительным при традиционном подходе к прогнозированию, в соответствии с которым на основе сценариев проводят оценку вероятности по шкале (высокая, средняя и низкая) на основе имеющихся данных, предполагая, что развитие событий будет соответствовать известным в прошлом тенденциям. Это важно в ситуации, когда недостаточно знаний об исследуемой проблеме для прогнозирования ее развития или когда опасность может возникнуть в отдаленном будущем.

С этим преимуществом напрямую связан недостаток метода анализа сценариев, который заключается в том, что в ситуации с высокой неопределенностью некоторые из сценариев могут быть нереальными.

Главные трудности использования метода анализа сценариев связаны с наличием данных и способностью аналитиков и лиц, принимающих решения, разработать реальные сценарии с поддающимися исследованию возможными результатами.

Недостаток использования метода анализа сценариев для обоснования принятия решений состоит в том, что использованные сценарии могут не иметь достоверного обоснования; данные могут быть гипотетическими, а нереалистичность результатов может быть не выявлена.

B.11 Анализ воздействия на бизнес

B.11.1 Краткий обзор

Метод анализа воздействия на бизнес (BIA

), также известный как оценка воздействия на бизнес, позволяет исследовать, как ключевые виды отказов/нарушений/разрушений могут повлиять на ключевые виды деятельности и процессы организации, а также идентифицировать и количественно определить необходимые возможности для управления организацией в этих условиях. Процесс метода BIA обеспечивает согласование и понимание:

_______________

BIA - Business Impact Analysis.

- идентификации и критичности ключевых бизнес-процессов, функций, связанных ресурсов и ключевых взаимосвязей, существующих в организации;

- влияния отказов/нарушений/разрушений на возможности организации достигать установленных критических целей бизнеса;

- необходимых возможностей управления воздействием отказов/нарушений/разрушений и восстановлением нормального хода деятельности организации.

B.11.2 Область применения

Метод BIA используют при определении критичности процессов организации, времени их восстановления (RTO

) и необходимых ресурсов (активы, персонал, навыки, технологии, производственные площади и информация) для обеспечения достижения установленных целей. Кроме того, метод BIA помогает при определении взаимосвязей между процессами, внутренними и внешними сторонами и всеми цепочками поставок организации.

_______________

RTO - Recovery Time Objective.

B.11.3 Входные данные

Для применения метода необходимы:

- группа анализа и разработки плана непрерывности бизнеса;

- информация о целях, окружающей среде, видах деятельности и взаимосвязях организации;

- подробное описание видов деятельности и функционирования организации, включающих процессы, вспомогательные ресурсы, взаимосвязи с другими организациями, соглашения об аутсорсинге, причастные стороны;

- экономические и производственные последствия, вызванные нарушением критических процессов;

- подготовленные анкеты;

- список опрашиваемых лиц в соответствующих областях деятельности организации и/или причастных сторон.

B.11.4 Процесс выполнения метода

В процессе BIA обычно используют анкетирование, интервью, структурированные совещания или их комбинацию, что позволяет достичь понимания функционирования критических процессов, влияния нарушений этих процессов и необходимого времени восстановления RTO и ресурсов.

Ключевые этапы метода BIA:

- определение критичности ключевых процессов и ключевых видов продукции, работ, услуг организации на основе оценки для них опасностей, угроз и уязвимостей;

- определение экономических и производственных последствий нарушений/разрушений идентифицированных критических процессов за определенные периоды времени;

- идентификация взаимосвязей с ключевыми внутренними и внешними причастными сторонами. На этом этапе может быть полезно составление карт взаимосвязей в системе и в цепи поставок;

- определение имеющихся необходимых ресурсов для обеспечения непрерывности работ после нарушения/разрушения на минимальном приемлемом для организации уровне;

- идентификация альтернативных способов выполнения работ и процессов, существующих или запланированных к разработке. Альтернативные способы выполнения работ и процессов могут быть применены в ситуации недостатка или отсутствия необходимых ресурсов или возможностей во время нарушения/разрушения;

- определение максимально допустимого периода простоя при нарушении/разрушении (MAO

) для каждого процесса, основанного на идентифицированных последствиях и критических факторах выполняемых видов деятельности. MAO представляет собой период времени, по истечении которого существует угроза окончательной утраты жизнеспособности организации, в том случае, если поставка продукции и/или предоставление услуг не будут возобновлены;

_______________

MAO - Maximum Acceptable Outage Time.

- определение целевого времени восстановления (RTO) для любого специализированного оборудования, информационных технологий и других активов организации. RTO представляет собой время, запланированное для восстановления производства продукции и предоставления услуг после нарушения/разрушения, возобновления деятельности организации и восстановления специализированного оборудования, информационных технологий или других активов;

- установление уровня подготовленности критических процессов для управления в условиях нарушения, которое может включать оценку уровня резервированности процесса (например, наличия запасного оборудования) или существование альтернативных поставщиков.

B.11.5 Выходные данные

Выходными данными являются:

- перечень ранжированных по приоритетам критических процессов и соответствующих взаимозависимостей;

- зарегистрированные экономические и производственные воздействия, вызванные нарушением критических процессов;

- вспомогательные ресурсы, необходимые для идентифицированных критических процессов;

- возможные сроки простоя и восстановления критических процессов и взаимосвязанных информационных технологий.

B.11.6 Преимущества и недостатки

Преимуществами метода BIA являются:

- обеспечение понимания критических процессов, которое предоставляет организации возможность достижения установленных целей;

- возможность оценки необходимых ресурсов;

- возможность пересмотра производственного процесса для повышения устойчивости организации.

Недостатками метода является следующее:

- Возможна недостаточная компетентность участников опроса, интервью или совещаний.

- Динамика работы в группе может влиять на весь анализ функционирования критического процесса.

- Возможны упрощенные или сверхоптимистичные оценки требований к восстановлению.

- Достижение адекватного уровня понимания деятельности организации может быть достаточно трудным.

B.12 Анализ первопричины

B.12.1 Краткий обзор

Анализ потерь, составляющих основную долю ущерба, направленный на предотвращение их повторного возникновения, обычно называют анализом первопричины (RCA

), анализом первопричины отказа (RCFA

) или анализом потерь. Метод RCA используют для исследования потерь вследствие различных видов отказов, в то время как анализ потерь главным образом применяют для исследования финансовых или экономических потерь от внешних воздействующих факторов или катастроф. Метод RCA направлен на выявление первичных причин отказа без рассмотрения их внешних проявлений. Очевидно, что корректирующие действия не всегда эффективны и зачастую требуют их постоянного улучшения. Метод RCA обычно применяют для оценки основной составляющей потерь, однако его можно применять для анализа более общих потерь с целью выявления возможностей постоянного улучшения.

_______________

RCA - Root Cause Analysis.     

RCFA - Root Cause Failure Analysis.

B.12.2 Область применения

Метод RCA имеет много направлений применения:

- в области безопасности метод RCA используют для исследования несчастных случаев в области охраны труда и производственной безопасности;

- в технологических системах для анализа надежности и технического обслуживания используют анализ отказов;

- RCA производства применяют для контроля качества производственных процессов;

- RCA процессов применяют для исследования бизнес-процессов;

- RCA систем, представляющий собой комбинацию перечисленных видов RCA, применяют при анализе сложных систем в системах управления изменениями менеджмента риска и в системном анализе.

B.12.3 Входные данные

Основными входными данными метода RCA являются все объективные данные об отказах или потерях. Данные об аналогичных отказах также могут быть рассмотрены в процессе анализа. Другими входными данными могут быть данные, полученные при проверке конкретных гипотез.

B.12.4 Процесс выполнения метода

После принятия решения о применении метода RCA формируют группу экспертов для проведения анализа и разработки рекомендаций. Специализация экспертов главным образом зависит от целей анализа и особенностей отказа.

Методы проведения анализа могут существенно различаться, однако основные этапы метода RCA аналогичны и включают:

- формирование группы;

- установление области применения и целей метода RCA;

- сбор данных и объективных свидетельств об отказе или потерях;

- проведение структурированного анализа для определения первопричины;

- выработку решений и рекомендаций;

- выполнение рекомендаций;

- верификацию положительного результата от внедрения рекомендаций.

Применяют следующие структурированные методы анализа:

- метод "5 почему", состоящий в многократном повторении вопроса "почему?", для исследования пяти уровней глубины причины отказа;

- анализ видов и последствий отказов;

- анализ дерева неисправностей;

- диаграмма Исикавы или "рыбий скелет";

- анализ Парето;

- составление карты первопричины.

Оценку причин часто начинают с исследования первоначально очевидных физических причин, далее изучают причины, связанные с человеческим фактором, и уже затем переходят к изучению скрытых причин управления или основных причин. Для того чтобы применение корректирующих действий было эффективным, вовлеченные стороны должны иметь возможность управлять выявленными в процессе анализа причинными факторами или устранить их.

B.12.5 Выходные данные

Выходные данные метода RCA включают в себя:

- документацию о собранных данных и объективных свидетельствах;

- рассмотренные гипотезы;

- заключение о наиболее вероятных первопричинах отказа и потерях;

- рекомендуемые и корректирующие действия.

B.12.6 Преимущества и недостатки

Преимуществами метода является возможность:

- привлечения в рабочую группу технических экспертов;

- использования структурированного анализа;

- рассмотрения всех вероятных гипотез;

- документирования полученных результатов;

- обязательного внедрения заключительных рекомендаций.

Недостатки метода RCA состоят в следующем:

- Отсутствует возможность привлечения требуемых технических экспертов.

- Критические объективные свидетельства могут быть утрачены в момент отказа или во время уборки.

- Ограничения по времени и ресурсам могут не позволить рабочей группе провести всестороннюю оценку ситуации.

- Иногда невозможно внедрить разработанные рекомендации.

B.13 Анализ видов и последствий отказов и анализ видов, последствий и критичности отказов

B.13.1 Краткий обзор

Анализ видов и последствий отказов (FMEA

) является методом, используемым для идентификации способов отказа компонентов, систем или процессов, которые могут привести к невыполнению их назначенной функции.

_______________

FMEA - Failure Mode Effect Analysis.

Метод FMEA помогает идентифицировать:

- все виды отказов различных частей и компонентов системы (видами отказа могут быть скрытый отказ, конструктивный отказ, производственный отказ и т.д., которые приводят к нарушению работоспособного состояния частей и/или компонентов системы);

- последствия отказов для системы;

- механизмы отказа;

- способы достижения безотказной работы и/или смягчения последствий для системы.

Расширенной версией метода FMEA является FMECA, позволяющий оценить критичность

и значимость каждого идентифицированного вида отказа.

_______________

Критичность отказа - это совокупность признаков, характеризующих последствия отказа. Классификация отказов по критичности производится в соответствии с законодательными и обязательными требованиями и установленными приоритетами организации.

Анализ критичности обычно является качественным или смешанным, но может быть количественным при использовании показателя фактического процента отказов.

B.13.2 Область применения

В зависимости от объекта исследования выделяют несколько вариантов метода: FMEA проекта или продукции, FMEA процесса, применяемый для анализа производственных и сборочных процессов, FMEA системы, FMEA услуги и FMEA программного обеспечения.

Метод FMEA/FMECA может быть применен на стадиях проектирования, производства и эксплуатации производственной системы.

Однако для повышения надежности внесение изменений на стадии проектирования системы является более эффективным. Методы FMEA и FMECA также могут быть применены к процессам и процедурам. Например, эти методы применяют для выявления возможности медицинских ошибок и дефектов в процессе технического обслуживания.

Методы FMEA/FMECA могут быть использованы:

- при выборе из альтернативных вариантов проекта с высокой надежностью;

- для исследования всех видов отказов систем и процессов и их влияния на безотказность исследуемого объекта;

- для идентификации последствий ошибок персонала (влияние человеческого фактора);

- при планировании проверок (тестов) и технического обслуживания технических систем;

- для улучшения проектов процедур и процессов;

- для получения качественной или количественной информации для других методов анализа, таких как анализ дерева неисправностей.

Результаты методов FMEA и FMECA могут быть использованы в качестве качественных и количественных входных данных для других методов исследований, таких как анализ дерева неисправностей.

B.13.3 Входные данные

Для выполнения методов FMEA и FMECA необходима подробная информация об элементах системы, достаточная для анализа способов и путей развития отказа каждого элемента. Для детального применения метода FMEA к проекту элемент системы может быть рассмотрен на уровне его компонентов, в то время как для FMEA системы в целом элементы системы могут быть определены на укрупненном уровне (в виде блоков и подсистем).

Информация может включать:

- чертежи и блок-схемы анализируемой системы и ее компонентов или этапы процесса;

- информацию о функционировании каждого этапа процесса или компонента системы;

- подробное описание экологических и других параметров, которые могут влиять на функционирование системы;

- сведения о результатах отказов;

- хронологические данные об отказах, включая доступные данные об интенсивности отказов.

B.13.4 Процесс выполнения метода

Процесс FMEA включает в себя следующие основные этапы.

a) Определение области применения и целей исследования.

b) Формирование рабочей группы.

c) Изучение системы/процесса, для которых применяют метод FMECA.

d) Деление системы на компоненты или этапы;

e) Определение функции каждого этапа или компонента.

f) Определение для каждого компонента или этапа:

- возможных отказов и их причин;

- механизмов, приводящих к данным видам отказа;

- последствий отказов;

- уровень безопасности или разрушительности последствий отказа;

- способы обнаружения отказа.

g) Идентификация особенностей проекта, позволяющих компенсировать отказ.

При выполнении метода FMECA рабочая группа дополнительно классифицирует каждый из идентифицированных видов отказа в соответствии с его критичностью.

Существует несколько способов выполнения анализа критичности отказов. Общепринятый метод включает определение:

- показателя критичности вида отказа;

- уровня риска;

- ранга приоритетности риска.

Модель критичности вида отказа есть мера возможности того, что исследуемый вид отказа компонента приведет к отказу системы в целом. Критичность отказа определяют как произведение вероятности последствий отказа на интенсивность вида отказа и на время функционирования системы.

Данную формулу часто применяют к отказам оборудования в ситуации, когда каждый из этих показателей может быть определен количественно, и виды отказа имеют одинаковые последствия.

Уровень риска определяют как сочетание последствий вида отказа и вероятности данного отказа. Уровень риска может быть использован в ситуации, когда последствия разных видов отказа различны, и применим к системам и процессам, связанным с оборудованием. Уровень риска может быть представлен в качественном, смешанном или количественном виде.

Ранг приоритетности риска (RPN

) является смешанной мерой критичности отказа, его рассчитывают путем умножения ранга значимости последствий отказа (обычно от 1 до 10) на вероятность отказа и возможность выявления проблемы. Если отказ трудно обнаружить, то ему обычно уделяют больше внимания и придают первостепенное значение. Этот метод используют чаще всего в процессе обеспечения качества.

_______________

RPN - Risk Priority Number.

С момента идентификации видов отказа и механизмов их возникновения следует определить и внедрить корректирующие действия для наиболее существенных видов отказа.

Результаты выполнения метода FMEA должны быть документированы в виде отчета, который должен содержать:

- подробное описание исследованной системы;

- способы, использованные для выполнения анализа;

- предположения, сделанные в процессе выполнения анализа;

- источники данных;

- полученные результаты, включая заполненные контрольные листы;

- критичность (если требуется) и методы, использованные для ее определения;

- рекомендации для дальнейших исследований, изменения проекта или особенности, которые необходимо включить в планы проверок, испытаний и т.д.

Система может быть повторно оценена в другом цикле FMEA, после того как все необходимые действия по проведению анализа будут завершены.

B.13.5 Выходные данные

Первичными выходными данными метода FMEA являются перечень видов отказа, механизмов возникновения отказа и его последствий для каждого компонента системы или этапа процесса (которые могут включать в себя информацию о вероятности отказа). К выходным данным также относят информацию о причинах и последствиях отказа для системы в целом. Выходные данные метода FMECA включают результаты ранжирования значимости отказов на основе оценки вероятности отказа системы, уровня риска возникновения данного вида отказа или комбинации уровня риска и "возможности обнаружения" вида отказа.

Метод FMECA может быть полезен для получения количественных выходных данных при использовании количественных данных об интенсивности отказов и их последствиях.

B.13.6 Преимущества и недостатки

Преимуществами метода FMEA/FMECA являются следующие:

- Метод применим к видам отказов, связанных с ошибками персонала, нарушением работоспособности оборудования и работы систем программного обеспечения и процессов.

- Метод позволяет идентифицировать виды отказов компонентов, причины этих отказов и их последствия для системы и представить их в удобной для пользователя форме.

- Применение метода помогает избежать дорогостоящих модификаций оборудования при техническом обслуживании за счет идентификации и устранения проблем на ранних стадиях этапа проектирования.

- Метод позволяет идентифицировать виды отказов в отдельной точке и установить требования к резервированию и системе безопасности.

- Метод дает возможность получить входные данные для разработки программ мониторинга, предоставляя информацию о необходимых объектах мониторинга и их особенностях.

Недостатками метода являются следующие:

- Метод FMEA/FMECA может быть использован только для идентификации отдельных отказов, а не их сочетания.

- Без адекватного контроля и специальной направленности, исследования могут быть трудоемкими и дорогостоящими.

- Применение метода FMEA/FMECA может быть трудоемким и длительным для сложных многоуровневых систем.

B.13.7 Ссылочные стандарты

МЭК 60812 Методы анализа надежности систем. Метод анализа видов и последствий отказов (FMEA)

B.14 Анализ дерева неисправностей

B.14.1 Краткий обзор

Анализ дерева неисправностей FTA

- метод идентификации и анализа факторов, которые могут способствовать возникновению исследуемого нежелательного события (называемого конечным событием). С помощью дедукции исследуемые факторы идентифицируют, выстраивают их логическим образом и представляют на диаграмме в виде дерева, которое отображает эти факторы и их логическую связь с конечным событием.

_______________

FTA - Fault Tree Analysis.

Факторами, указанными в дереве неисправностей, могут быть события, связанные с отказами компонентов компьютерного оборудования, ошибками человека или другими событиями, которые могут привести к нежелательному событию. Пример FTA приведен на рисунке В.2.

Рисунок B.2 - Пример метода FTA

B.14.2 Область применения

Метод дерева неисправностей может быть использован для определения качественной оценки при идентификации причин отказа и путей, приводящих к конечному событию, и количественной оценки при вычислении вероятности конечного события, если известны значения вероятностей начальных событий.

Данный метод может быть использован на стадии проектирования системы для идентификации причин отказа, и, следовательно, выбора варианта проекта. Метод FTA может быть использован на стадии производства для идентификации видов основных отказов и относительной значимости путей, приводящих к конечному событию. Дерево неисправностей может быть также использовано для анализа сочетания событий, приведшего к возникновению исследуемого отказа.

B.14.3 Входные данные

Для качественного анализа необходимо хорошее знание системы и понимание причин отказа, а также понимание того, как система может выйти из строя. Для анализа полезно использование детальных схем дерева неисправностей.

Для проведения количественного анализа необходимы данные об интенсивности или вероятности отказа всех основных событий, указанных в дереве неисправностей.

B.14.4 Процесс выполнения метода

Выделяют следующие этапы разработки диаграммы дерева неисправностей:

- определение конечного события, которое необходимо проанализировать. Это может быть отказ или более общие последствия отказа. После того как последствия отказа проанализированы, в дерево неисправностей может быть включена часть, относящаяся к сокращению интенсивности и последствий отказа;

- идентификация возможных причин или видов отказов, приводящих к конечному событию, начиная с конечного события;

- анализ идентифицированных видов и причин отказа для определения того, что конкретно привело к отказу;

- последовательная идентификация нежелательного функционирования системы с переходом на более низкие уровни системы, пока дальнейший анализ не станет нецелесообразным. В технической системе это может быть уровень отказа компонентов. События и факторы на самом низком уровне анализируемой системы называют базисными событиями;

- оценка вероятности базисных событий (если применимо) и последующий расчет вероятности конечного события. Для обеспечения достоверности количественной оценки следует показать, что полнота и качество входных данных для каждого элемента достаточны для получения выходных данных необходимой достоверности. В противном случае дерево неисправностей недостаточно достоверно для анализа вероятности, но может быть полезным для исследования причинно-следственных связей.

При определении количественной оценки дерево неисправностей может быть упрощено при помощи Булевой алгебры, что позволяет учесть дублирующие виды отказов.

Кроме количественной оценки вероятности конечного события метод позволяет идентифицировать набор минимальных сечений, приводящих к конечному событию, и рассчитать их влияние на конечное событие.

За исключением простых случаев, для построения диаграммы обычно применяют пакет прикладных программ, позволяющий производить расчеты в ситуациях, когда присутствуют повторяющиеся события в нескольких местах дерева неисправностей и когда необходимо вычислить минимальные сечения. Использование программного обеспечения гарантирует последовательность и правильность выполнения метода и возможность его верификации.

B.14.5 Выходные данные

Выходными данными анализа дерева неисправностей являются:

- наглядное представление путей возникновения конечного события и взаимодействующих путей в ситуации, когда одновременно могут произойти два или более событий;

- набор минимальных сечений (возникновения путей отказа системы) и оценка вероятности отказа системы для каждого сечения;

- оценка вероятности конечного события.

B.14.6 Преимущества и недостатки

Преимуществами FTA являются следующие:

- Предоставление точного, систематизированного и гибкого подхода позволяет анализировать разнообразные факторы, включая действия персонала и физические явления.

- Применение подхода "сверху вниз" позволяет рассматривать воздействия тех отказов, которые непосредственно связаны с конечным событием.

- Применение особенно целесообразно для анализа систем, допускающих подключение большого количества устройств и взаимодействие с ними (систем, имеющих множественные интерфейсы).

- Графическое представление позволяет упростить понимание функционирования системы и рассматриваемых факторов, но поскольку древовидные схемы зачастую весьма громоздки, их обработка может потребовать применения компьютерных программ, что обеспечивает возможность рассмотрения более сложных логических взаимосвязей (например, с использованием логических операций "И-НЕ" и "НЕ-И"), но при этом затрудняет верификацию дерева неисправностей.

- Логический анализ дерева неисправностей и определение набора минимальных сечений полезны при идентификации простых путей отказа в сложных системах, где комбинации событий могут привести к возникновению конечного события.

Недостатками метода являются следующие:

- Неопределенность оценок вероятностей базисных событий влияет на оценку вероятности возникновения конечного события. Это может привести к высокому уровню неопределенности в ситуации, когда вероятность отказа для конечного события точно неизвестна, но достоверность оценок существенно выше для хорошо изученной системы.

- В некоторых ситуациях начальные события не связаны между собой, и порой трудно установить, учтены ли все важные пути к конечному событию. Например, недостаточное исследование всех источников возгорания может привести к неверной оценке риска возникновения пожара (конечного события). В этой ситуации анализ вероятности с применением метода FTA невозможен.

- Дерево неисправностей является статичной моделью, в которой фактор временной зависимости не учитывают.

- Дерево неисправностей может быть применено только к бинарным состояниям (работоспособному/неработоспособному).

- Несмотря на то что ошибки человека могут быть учтены в схеме дерева неисправностей на качественном уровне, несоответствия степени и качества, часто характеризующие ошибки человека, в дереве неисправностей учесть достаточно сложно.

- Дерево неисправностей не позволяет легко учесть и исследовать цепные реакции (эффект домино) и условные отказы.

B.14.7 Ссылочные стандарты

МЭК 61025 Анализ дерева неисправностей (FTA)

B.15 Анализ дерева событий

B.15.1 Краткий обзор

Метод ETA

является графическим методом представления взаимоисключающих последовательностей событий, следующих за появлением исходного события, в соответствии с функционированием и нефункционированием систем, разработанных для смягчения последствий опасного события (см. рисунок B.3). Метод ETA может быть применен для качественной и/или количественной оценки.

_______________

ETA - Event Tree Analysis.

Рисунок B.3 - Пример дерева событий

На рисунке B.3 показаны простые расчеты для типового дерева событий в ситуации, когда ветви дерева событий полностью независимы.

Последовательность событий легко представить в виде дерева событий и поэтому с помощью ETA легко установить ухудшающие или смягчающие последствия события, принимая во внимание дополнительные системы, функции или барьеры.

B.15.2 Область применения

Метод ETA может быть использован для моделирования, вычисления и ранжирования (с точки зрения риска) различных сценариев инцидента после возникновения начального события.

Метод ETA может быть применен на всех стадиях жизненного цикла продукции или процесса. Данный метод может быть использован на качественном уровне при мозговом штурме, определении сценариев и последовательностей событий, которые могут возникнуть после начального события, и при определении воздействия на результат различных видов обработки риска, барьеров или средств управления, предназначенных для снижения нежелательных последствий.

При оценке приемлемости средств управления наиболее целесообразно применение метода ETA для количественного анализа. Чаще всего данный метод применяют при моделировании отказов в ситуации использования большого количества мер защиты.

Метод ETA может быть использован при моделировании начала события для выявления возможных потерь и преимуществ. Однако в обстоятельствах, где необходимо найти пути оптимизации и получения наибольших преимуществ, чаще используют моделирование с помощью дерева решений.

B.15.3 Входные данные

Входные данные включают в себя:

- перечень рассматриваемых начальных событий;

- информацию о способах обработки, барьерах, средствах управления и соответствующих вероятностях отказа (для количественного анализа);

- понимание процессов нормирования начального отказа.

B.15.4 Процесс выполнения метода

Построение дерева событий начинают с выбора начального события. Это может быть инцидент, такой как взрыв пыли, или такое событие, как отказ системы энергоснабжения. Далее перечисляют имеющиеся функции или системы, направленные на смягчение последствий. Для каждой функции или системы чертят линии для отображения ее исправного состояния или отказа. Вероятность отказа может быть оценена и назначена для каждой такой линии. Данную условную вероятность оценивают, например, с помощью экспертных оценок или анализа дерева неисправностей. Таким образом изображают различные пути развития событий от начального события.

Следует учитывать, что вероятности на дереве событий являются условными вероятностями, например, вероятность срабатывания разбрызгивателя системы пожаротушения, полученная при испытаниях в нормальных условиях, будет отличаться от вероятности срабатывания этой системы при возгорании, вызванном взрывом.

Каждая ветвь дерева представляет собой вероятность того, что все события на этом пути произойдут. Поэтому вероятность результата вычисляют как произведение отдельных условных вероятностей и вероятности начального события при условии независимости событий.

B.15.5 Выходные данные

Выходные данные ETA включают в себя следующее:

- качественное описание возможных проблем в виде комбинаций событий, представляющих собой различные следствия начального события (ранжирование последствий);

- количественные оценки частоты или вероятности появления событий и относительной значимости различных последствий отказа и способствующих им событий;

- перечень рекомендаций по снижению риска;

- количественные оценки эффективности внедрения рекомендаций.

B.15.6 Преимущества и недостатки

Преимуществами метода ETA являются следующие:

- С помощью метода ETA легко схематично изобразить сценарии развития событий после возникновения начального события, провести анализ работоспособного состояния или отказа вспомогательных систем или функций, предназначенных для снижения последствий отказа, и оценить их влияние.

- Метод помогает учесть фактор времени, увидеть взаимосвязи и цепные реакции, которые сложно исследовать с помощью метода дерева неисправностей.

- Метод графически представляет последовательность событий, что невозможно сделать с помощью метода дерева неисправностей.

Недостатками метода являются следующие:

- Для использования метода ETA в качестве составной части общего процесса оценки необходимо идентифицировать все возможные начальные события. Этого можно добиться с помощью использования других методов анализа (например, HAZOP, PHA), однако всегда остается вероятность того, что не учтены некоторые важные начальные события.

- Метод дерева событий применим только для двух состояний системы (работоспособного состояния и отказа), в нем трудно учесть отсроченное нарушение работоспособного состояния системы или ее восстановление.

- Каждый путь реализации обусловлен сочетанием событий, произошедших в предыдущих точках ветвления схемы дерева событий. Поэтому рассматривают все взаимосвязи по возможным путям развития события. Однако некоторые взаимосвязи, например общие компоненты, системы снабжения и персонал, могут быть не учтены при рассмотрении, что может привести к излишне оптимистичной оценке риска.

B.16 Анализ причин и последствий

B.16.1 Общие положения

Анализ причин и последствий является сочетанием методов дерева неисправностей и дерева событий. Данный метод начинают с рассмотрения критического события и анализа его последствий посредством применения сочетания логических элементов ДА/НЕТ. Эти элементы представляют собой условия, при которых система, разработанная для снижения последствий начального события, находится в работоспособном состоянии или в состоянии отказа. Причины условий или отказов анализируют с помощью метода дерева неисправностей (см. B.15).

B.16.2 Область применения

Метод анализа причин и последствий первоначально был разработан как инструмент проверки надежности систем, критических для обеспечения безопасности, который использовали для более полного понимания отказов системы. Так же как метод анализа дерева неисправностей, данный метод используют для отображения логики отказа, приводящего к критическому событию, однако, дополнительно к функциональным возможностям дерева неисправностей, этот метод позволяет провести анализ последовательности появления отказов. Метод также позволяет учесть время запаздывания при анализе последствий, что невозможно при использовании метода дерева событий.

Метод используют для анализа различных вариантов работы системы после возникновения критического события в зависимости от поведения ее подсистем (например, аварийных систем). Если такие варианты могут быть охарактеризованы количественно, то могут быть оценены вероятности возможных последствий критического события.

Поскольку каждая последовательность в диаграмме причин и последствий является сочетанием деревьев неисправностей более низкого уровня, то метод анализа причин и последствий может быть использован как способ построения более сложных деревьев неисправностей.

Диаграммы сложны в построении и применении, поэтому их целесообразно использовать, когда потери от последствий отказов сопоставимы с затраченными усилиями.

B.16.3 Входные данные

Для применения метода необходимо понимание системы, видов и сценариев отказов.

B.16.4 Процесс выполнения метода

На рисунке B.4 показана концептуальная диаграмма типичного анализа причин и последствий.

Рисунок B.4 - Пример анализа причин и последствий

Процедура анализа включает в себя следующие этапы:

a) Идентификация критического (или начального) события (эквивалентного конечному событию дерева неисправностей и начальному событию дерева событий).

b) Разработка и валидация дерева неисправностей для причины начального события в соответствии с B.14. При этом следует использовать те же символы, что и при анализе дерева неисправностей.

c) Определение порядка рассмотрения условий отказа. В данном порядке следует соблюдать логическую последовательность, соответствующую временной последовательности, в которой они возникают.

d) Построение путей возникновения последствий в зависимости от условий. Эта диаграмма подобна дереву событий, однако разветвления дерева событий дополняют и изображают в виде отдельного блока, в котором указывают условия.

e) Если отказы для каждого блока условий независимы, возможен расчет вероятности каждого последствия. Для этого необходимо оценить вероятности каждого выхода условного блока (с применением соответствующих деревьев неисправностей). Вероятность любой последовательности событий, приводящей к конкретному последствию, определяют перемножением вероятностей каждой последовательности условий, приводящей к рассматриваемому последствию. Если несколько последовательностей событий приводят к одному последствию, то вероятности всех последовательностей складывают. Если имеются зависимости между отказами в рассматриваемой последовательности (например, нарушение энергоснабжения может вызвать несколько условий отказа), то условия зависимости необходимо определить до проведения расчета.  

B.16.5 Выходные данные

Выходными данными метода анализа причин и последствий являются схематическое представление отказа системы с указанием причин и последствий и оценка вероятности возникновения каждого потенциального последствия, основанная на анализе вероятностей возникновения соответствующих условий после критического события.

B.16.6 Преимущества и недостатки

Преимущества метода анализа причин и последствий аналогичны общим преимуществам методов дерева событий и дерева неисправностей. Кроме того, данный метод позволяет преодолеть некоторые из недостатков этих методов, так как позволяет анализировать события, развивающиеся в течение продолжительного периода времени. Анализ причин и последствий обеспечивает всестороннее представление о системе.

Недостатком метода является его сложность по сравнению с методами дерева неисправностей и дерева событий как при построении схемы, так и при учете зависимостей в случае количественного анализа.

B.17 Причинно-следственный анализ

B.17.1 Краткий обзор

Причинно-следственный анализ является структурированным методом идентификации возможных причин нежелательного события или проблемы. Данный метод позволяет скомпоновать возможные причинные факторы в обобщенные категории так, чтобы можно было исследовать все возможные гипотезы. Однако применение этого метода позволяет идентифицировать фактические причины. Причины могут быть определены только на основе эмпирических данных или эмпирическим путем. Информацию представляют в виде диаграммы "рыбьего скелета" (метод также называют диаграммой Исикавы) или иногда в виде древовидной схемы (см. B.17.4).

B.17.2 Область применения

Причинно-следственный анализ обеспечивает структурированное графическое представление перечня причин одного следствия. В зависимости от объекта исследований следствие может быть положительным (цель) или отрицательным (проблема).

Метод используют для исследования всех возможных сценариев и причин, предложенных группой экспертов. Метод позволяет достичь согласованного мнения относительно наиболее вероятных причин, которые могут быть далее проверены опытным путем или на основе имеющихся данных. Наиболее целесообразно применять данный метод в самом начале анализа, что позволяет расширить диапазон представлений о возможных причинах, а затем сформулировать гипотезы, которые далее следует рассмотреть в соответствии с установленной процедурой.

Построение причинно-следственной диаграммы позволяет:

- идентифицировать возможные первопричины и/или основные причины для определенного следствия, проблемы или условия;

- провести анализ в ситуации и найти взаимосвязь между взаимодействующими факторами, связанными с исследуемым процессом;

- провести анализ существующих проблем для принятия корректирующих действий.

Преимуществами построения причинно-следственной диаграммы являются:

- содействие определению первоначальных причин проблемы с применением структурированного подхода;

- содействие в работе группе экспертов и более полному использованию знаний экспертов о продукции или процессе;

- применение простого для восприятия типа диаграммы для отображения причинно-следственных связей;

- выявление возможных причин изменений в процессе;

- идентификация областей сбора данных для дальнейших исследований.

Причинно-следственный анализ может быть использован как метод выполнения анализа первопричины (см. B.12).

B.17.3 Входные данные

Входными данными причинно-следственного анализа являются результаты экспертизы, опыт участников рабочей группы, ранее разработанные модели, использованные в предыдущих исследованиях.

B.17.4 Процесс выполнения метода

Причинно-следственный анализ должен быть выполнен группой экспертов, имеющих знания и опыт по исследуемой проблеме.

Основными этапами причинно-следственного анализа являются:

- установление следствия, которое необходимо проанализировать, и размещение его справа в соответствующем блоке диаграммы. Следствие может быть положительным (цель) или отрицательным (проблема) в зависимости от обстоятельств;

- определение основных (главных) категорий причин и указание их в соответствующих блоках диаграммы "рыбьего скелета". При анализе систем обычно выделяют следующие категории причин: персонал, оборудование, рабочая среда, процессы и др. Категории определяют в соответствии с объектом исследования;

- указание возможных причин для каждой основной (главной) категории на ветвях и ответвлениях для описания взаимосвязей между ними;

- продолжение исследования путем итеративной постановки вопросов "почему?" или "что это вызвало?" для установления связей между причинами;

- анализ всех ветвей и ответвлений, направленный на проверку последовательности и полноты выявленных причин, и их отношения к основному следствию;

- идентификация наиболее вероятных причин данного следствия на основе согласованного мнения рабочей группы экспертов и доступных объективных свидетельствах.

Результаты обычно представляют в виде диаграммы "рыбьего скелета" (диаграммы Исикавы) или в виде дерева. Диаграмма "рыбьего скелета" структурирована путем разделения причин на основные (главные) категории (представленные ребрами "рыбьего скелета") и более мелкими ответвлениями, конкретизирующими причины этих категорий (см. рисунок В.5).

Рисунок B.5 - Пример диаграммы Исикавы, или "рыбьего скелета"

Изображение данной диаграммы в виде древовидной схемы аналогично дереву неисправностей, но обычно эту диаграмму строят слева направо, а не сверху вниз. Однако при применении данной диаграммы бывает затруднительно представить результат в количественном выражении и оценить вероятность главного события, поскольку причины в большей степени понимают как возможные факторы, которые могут вызвать рассматриваемое событие, а не отказы с известной вероятностью возникновения.

Причинно-следственную диаграмму обычно применяют для определения качественных оценок. Можно предположить, что вероятность возникновения проблемы составляет 1, и распределить вероятности по обобщенным причинам, затем по подпричинам, основываясь на степени доверия или значимости. Однако зачастую между факторами, которые могут вызвать события, существует взаимосвязь, она способствует возникновению результата более сложным способом, что делает количественную оценку недостоверной.

Рисунок B.6 - Пример представления причинно-следственного анализа в виде древовидной структуры

B.17.5 Выходные данные

Выходными данными причинно-следственного анализа являются диаграммы в виде "рыбьего скелета" или древовидной схемы, которые показывают возможные причины исследуемого события. Полученные данные необходимо проверить теоретически и экспериментально, прежде чем будут предложены дальнейшие рекомендации.

B.17.6 Преимущества и недостатки

Преимуществами метода являются:

- привлечение компетентных экспертов в работу группы;

- применение структурированного анализа;

- рассмотрение всех вероятных предположений и гипотез;

- графическое отображение результатов в простой для восприятия форме;

- определение областей, в которых требуются дополнительные данные;

- возможность установления факторов, которые могут вызвать рассматриваемое событие как для благоприятных, так и для нежелательных результатов. Позитивный взгляд на проблему может стимулировать большую ответственность и вовлеченность участников.

Метод имеет следующие недостатки:

- группа экспертов может не иметь необходимой компетентности;

- для разработки рекомендаций метод необходимо применять только как часть анализа первопричины;

- метод предназначен для проведения мозгового штурма, а не самостоятельного анализа;

- разделение причинных факторов на основные категории в начале анализа означает, что взаимосвязи между категориями причин могут быть не рассмотрены должным образом, например, отказ оборудования, вызванный ошибкой оператора, или ошибки оператора, вызванные недостатками конструкции системы.

B.18 Анализ уровней защиты

B.18.1 Краткий обзор

Метод LOPA

- смешанный метод оценки риска, связанного с нежелательным событием или сценарием. Метод направлен на анализ достаточности мер по управлению или снижению риска.

_______________

LOPA - Layers of Protection Analysis.

Метод LOPA основан на выборе пар причин и последствий и идентификации уровней защиты, которые могут предотвратить причину, приводящую к нежелательному последствию. Для определения адекватности мер снижения риска до допустимого уровня необходимо провести расчет последствий.

B.18.2 Область применения

Метод LOPA может быть использован как качественный метод исследования уровней защиты между опасностью или причинным событием и результатом. Обычно смешанный подход применяют для достижения большей точности после HAZOP или PHA.

Метод LOPA обеспечивает основу для определения требований к независимым уровням защиты (IPL

) и уровням полноты безопасности (уровни SIL

) для автоматизированных систем, как установлено в серии стандартов МЭК 61508 и МЭК 61511, а также при определении требований к уровням полноты безопасности SIL для автоматизированных систем безопасности. Метод LOPA может быть полезен для эффективного распределения ресурсов, направленных на снижение риска, путем применения анализа снижения риска при внедрении каждого уровня защиты.

_______________

IPL - Independent Protection Layers.     

SIL levels - Safety Integrity Levels.

B.18.3 Входные данные

Входными данными метода LOPA являются:

- основная информация о риске, включая опасности, причины и последствия, аналогична входным данным метода PHA;

- информация о фактических и плановых средствах управления;

- частота причинных событий, оценки вероятности отказа уровней защиты, оценки последствий и допустимого риска;

- частота инициирующих причин, оценки вероятности отказа уровней защиты, оценки последствий и допустимого риска.

B.18.4 Процесс выполнения метода

Метод LOPA обычно выполняет группа экспертов с применением следующей процедуры:

- идентификация начальных причин возникновения нежелательного результата и сбор данных об их частоте и последствиях;

- выбор одной пары причина-последствие;

- идентификация уровней защиты, предотвращающих причину, приводящую к нежелательному последствию, и анализ их эффективности;

- идентификация независимых уровней защиты (IPL) (не все уровни защиты являются независимыми);

- оценка вероятности отказа каждого IPL;

- исследование частоты начальных причин совместно с вероятностями отказа каждого IPL и вероятностями реализации всех условных параметров (примером условного параметра является присутствие или отсутствие человека в зоне опасного воздействия) для определения частоты возникновения нежелательного последствия. При исследовании учитывают порядок значений частот и вероятностей;

- сравнение расчетного уровня риска с допустимым для определения необходимости в дальнейшей защите.

Независимый уровень защиты IPL - система устройств или действий, которые способны предупредить реализацию сценария, приводящего к нежелательному последствию, и обеспечить независимость причинных событий или уровней защиты, связанных со сценарием.

Независимыми уровнями защиты IPLs являются:

- конструктивные особенности проекта;

- физические устройства защиты;

- системы блокировки и отключения;

- аварийная сигнализация и возможности ручного вмешательства оператора;

- физическая защита при реализации события;

- системы аварийного реагирования (процедуры и проверки, не относящиеся к IPLs).

B.18.5 Выходные данные

Выходными данными метода являются рекомендации относительно дальнейшего применения средств управления и их эффективности для снижения риска.

Метод LOPA является одним из методов, используемых при оценке SIL для систем безопасности и автоматизированных систем.

B.18.6 Преимущества и недостатки

Преимуществами метода LOPA являются следующие:

- Метод требует для применения меньшего времени и ресурсов, чем метод анализа дерева неисправностей или полной количественной оценки риска и является более точным, чем качественный метод экспертных оценок.

- Метод LOPA помогает идентифицировать наиболее критичные уровни защиты и обеспечить их ресурсами.

- Данный метод помогает идентифицировать операции, системы и процессы с недостаточным уровнем защитных мер.

- Метод направлен на наиболее серьезные нежелательные последствия.

Недостатками метода являются следующие:

- Метод LOPA позволяет рассматривать одну пару причина-последствие и один соответствующий сценарий при однократном к нему обращении. Данный метод не охватывает сложные взаимодействия между рисками или средствами управления.

- Количественная оценка риска не всегда может быть получена для общих видов отказов.

- Метод LOPA не применим к сложным сценариям в ситуациях с большим количеством пар причин-последствий или с последствиями, затрагивающими различные причастные стороны.

B.18.7 Ссылочные стандарты

МЭК 61508 (все части) Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью

МЭК 61511 Безопасность функциональная. Система безопасности, обеспечиваемая приборами для сектора обрабатывающей отрасли промышленности

B.19 Анализ дерева решений

B.19.1 Краткий обзор

Метод анализа дерева решений позволяет последовательно представить альтернативные варианты решений с их выходными данными и соответствующей неопределенностью. Как и при выполнении анализа дерева событий, построение следует начинать с начального события или принятого решения. Далее необходимо построить пути развития событий, определить результаты, которые могут быть получены при реализации событий, и различные решения, которые могут быть приняты.

B.19.2 Область применения

Метод дерева решений обычно применяют в управлении риском проектных решений и в других случаях, когда необходимо выбрать наилучший способ действий в ситуации неопределенности. Графическое представление может быть обоснованием принятых решений.

B.19.3 Входные данные

Входными данными являются план проекта с указанием пунктов, по которым необходимо принять решение, информация о возможных результатах принятых решений и события, влияющие на эти решения.

B.19.4 Процесс выполнения метода

Построение дерева решений начинают с начального решения, например решения о возобновлении проекта A или проекта B. Поскольку могут быть реализованы два гипотетических проекта, то далее могут произойти соответствующие события и могут быть приняты различные решения. Этот процесс представляют в форме дерева по аналогии с деревом событий. Вероятность событий может быть оценена вместе с оценкой затрат и/или эффективности окончательного результата выбранного пути развития событий.

Информация, касающаяся наилучшего пути принятия решений, имеет логическую форму, следовательно, возможен расчет наибольшего среднего значения, рассчитанного как произведение всех условных вероятностей на данном пути принятия решений на значение полученного результата.

B.19.5 Выходные данные

Выходными данными метода являются:

- логический анализ риска, отражающий различные варианты возможных решений;

- ожидаемое значение риска для каждого возможного пути решений.

B.19.6 Преимущества и недостатки

Преимуществами метода являются следующие:

- Метод обеспечивает точное графическое представление всех деталей решения проблемы.

- Метод позволяет рассчитать лучшие пути решения проблемы.

Недостатками метода являются следующие:

- Большие деревья решений слишком сложны для обмена информацией с заинтересованными сторонами.

- Применение диаграммы дерева решений может привести к излишнему упрощению ситуации.

B.20 Анализ влияния человеческого фактора

B.20.1 Краткий обзор

Метод HRA

применяют для оценки влияния действий человека, в том числе ошибок оператора, на работу системы.

_______________

HRA - Human Reliability Assessment.

Во многих процессах существует возможность ошибки оператора, особенно в случае если у оператора недостаточно времени для принятия решений. Вероятность того, что события будут развиваться таким образом, что приведут к серьезным проблемам, должна быть мала. Тем не менее в некоторых случаях действие оператора может быть единственной защитой, предотвращающей катастрофические последствия отказа.

Значимость оценки действий оператора подтверждается происшествиями, в которых критические ошибки оператора способствовали катастрофическому развитию событий. Эти происшествия показывают неприемлемость оценок риска, учитывающих только технические и программные средства системы. Они показывают опасность игнорирования ошибок оператора. Более того, оценка действий оператора позволяет выявить ошибки, которые могут отрицательно влиять на производительность, и определить способы устранения данных ошибок и других отказов (технических и программных средств).

B.20.2 Область применения

Метод HRA может быть использован как в качественном, так и в количественном виде. Качественная оценка действий оператора может быть использована для идентификации его возможных ошибок и их причин, что позволяет снизить вероятность таких ошибок. Кроме того, метод HRA может быть использован для получения количественных данных об отказах, связанных с ошибками оператора, для применения FTA или других методов.

B.20.3 Входные данные

Входными данными метода HRA являются:

- информация для определения задач, выполняемых операторами;

- данные о типичных ошибках, встречающихся на практике, и их причинах;

- экспертные оценки ошибок оператора (человека) и их количественное выражение.

B.20.4 Процесс выполнения метода

Процесс HRA включает следующие этапы:

- Постановка задачи. Определение типов действий оператора (человека), которые должны быть исследованы и оценены.

- Анализ задачи. Определение способов выполнения задачи и вспомогательных средств, необходимых для ее выполнения.

- Анализ ошибки оператора. Определение отказов, возникающих в процессе выполнения задачи, возможных ошибок оператора и способов их устранения.

- Представление. Определение того, как эти ошибки при выполнении задачи в сочетании с другими событиями, связанными с оборудованием, программным обеспечением и воздействующими факторами, могут быть использованы для расчета вероятности отказа системы в целом.

- Предварительная проверка. Определение ошибок или задач, требующих детальной количественной оценки.

- Количественная оценка. Определение вероятности ошибок оператора и отказов при выполнении задачи.

- Оценка воздействия. Определение значимости ошибок или задач, т.е. ошибок и задач, в большей степени влияющих на обеспечение надежности или приемлемого уровня риска.

- Сокращение ошибок. Определение способов сокращения количественных ошибок оператора.

- Документирование. Определение информации и деталей анализа HRA, которые должны быть зарегистрированы.

На практике процесс HRA чаще всего выполняют поэтапно, хотя иногда некоторые его части (например, анализ задач и идентификацию ошибок) проводят параллельно.

B.20.5 Выходные данные

Выходными данными метода являются:

- перечень ошибок, которые могут произойти, и методы их сокращения (предпочтительно через модернизацию системы);

- виды ошибок, причины и последствия типичных ошибок;

- качественная или количественная оценка риска рассмотренных ошибок.

B.20.6 Преимущества и недостатки

Преимуществами метода HRA являются следующие:

- Метод HRA обеспечивает формализованный способ исследования ошибок оператора при оценке риска для систем, в которых персонал играет важную роль.

- Формализованное исследование видов и ошибок оператора и способов позволяет уменьшить вероятность отказов, вызванных этими ошибками.

Недостатками метода являются следующие:

- Сложность и многообразие способов поведения операторов создает значительные трудности при определении простых видов отказа и оценки их вероятности.

- Невозможно описать многие действия операторов с помощью понятий "работоспособное" и "неработоспособное" состояние. Метод HRA трудно применить в ситуации с частичными отказами или отказами по причине принятых несоответствующих решений (см. пример на рисунке В.7).

Рисунок B.7 - Пример анализа влияния человеческого фактора

B.21 Анализ "галстук-бабочка"

B.21.1 Краткий обзор

Анализ "галстук-бабочка" представляет собой схематический способ описания и анализа пути развития опасного события от причин до последствий. Данный метод сочетает исследование причин события с помощью дерева неисправностей и анализ последствий с помощью дерева событий. Однако основное внимание метода "галстук-бабочка" сфокусировано на барьерах между причинами и опасными событиями и опасными событиями и последствиями. Диаграммы "галстук-бабочка" могут быть построены на основе выявленных неисправностей и деревьев событий, но чаще их строят непосредственно в процессе проведения мозгового штурма.

B.21.2 Область применения

Анализ "галстук-бабочка" используют для исследования риска на основе демонстрации диапазона возможных причин и последствий. Метод следует применять в ситуации, когда сложно провести полный анализ дерева неисправностей или когда исследование в большей мере направлено на создание барьеров или средств управления для каждого пути отказа. Метод может быть полезен в ситуации, когда существуют точно установленные независимые пути, приводящие к отказу.

Анализ "галстук-бабочка" часто значительно более прост для понимания, чем анализ дерева событий или дерева неисправностей, и, следовательно, он может быть полезен для обмена информацией при использовании более сложных методов.

B.21.3 Входные данные

Входными данными метода является информация о причинах и последствиях опасных событий, риске, барьерах и средствах управления, которые могут их предотвратить, смягчить или стимулировать.

B.21.4 Процесс выполнения метода

Анализ "галстук-бабочка" следует строить в соответствии со следующей процедурой.

a) Определение опасного события, выбранного для анализа, и отображение его в качестве центрального узла "галстука-бабочки".

b) Составление перечня причин события с помощью исследования источников риска (или опасности).

c) Идентификация механизма развития опасности до критического события.

d) Проведение линии, отделяющей причину от события, что позволяет сформировать левую сторону бабочки. Дополнительно могут быть идентифицированы и включены в диаграмму факторы, которые могут привести к эскалации опасного события и его последствий;

e) Нанесение поперек линии вертикальных преград, соответствующих барьерам, предотвращающим нежелательные последствия. Если определены факторы, которые могут вызвать эскалацию опасного события, то дополнительно могут быть представлены барьеры, предупреждающие подобную эскалацию. Данный подход может быть использован для положительных последствий, когда преграды отражают средства управления, стимулирующие появление и развитие события.

f) Идентификация в правой стороне бабочки различных последствий опасного события и проведение линий, соединяющих центральное событие с каждым возможным последствием.

g) Изображение барьеров в качестве преград по направлению к последствию. Данный подход может быть использован для положительных последствий, когда преграды отражают средства управления, обеспечивающие появление благоприятных последствий;

h) Отображение под диаграммой "галстук-бабочка" вспомогательных функций управления, относящихся к средствам управления (таких как обучение и проверки), и соединение их с соответствующим средством управления.

В диаграмме "галстук-бабочка" могут быть применены некоторые виды количественной оценки, например, в ситуации, когда пути независимы и известна вероятность конкретных последствий или результатов. Подобная количественная оценка необходима для обеспечения эффективности управления. Однако необходимо учитывать, что во многих ситуациях пути и барьеры взаимозависимы, и средства управления могут быть связаны с выбранным методом оценки, следовательно, эффективность управления является неопределенной. Количественную оценку для анализа "галстук-бабочка" часто выполняют с помощью методов FTA и ETA.

B.21.5 Выходные данные

Выходными данными метода является простая диаграмма, показывающая основные пути опасных событий и установленные барьеры, направленные на предотвращение или смягчение нежелательных последствий и/или усиление и ускорение ожидаемых последствий.

Рисунок B.8 - Пример диаграммы "галстук-бабочка" для нежелательных последствий

B.21.6 Преимущества и недостатки

Преимуществами метода анализа "галстук-бабочка" являются следующие:

- Метод обеспечивает наглядное, простое и ясное графическое представление проблемы.

- Метод ориентирован на средства управления, направленные на предупреждение и/или уменьшение последствий опасных событий, и оценку их эффективности.

- Метод может быть применен в отношении благоприятных последствий.

- Применение метода не требует привлечения высококвалифицированных экспертов.

Недостатками метода являются следующие:

- Метод не позволяет отображать совокупности причин, возникающих одновременно и вызывающих последствия (случай, когда в дереве неисправностей, отражающем левую сторону диаграммы, находится логический элемент "И").

- Метод может представить сложные ситуации в чрезмерно упрощенном виде, особенно при применении количественной оценки.

B.22 Техническое обслуживание, направленное на обеспечение надежности

B.22.1 Краткий обзор

Техническое обслуживание, направленное на обеспечение надежности (RCM), является методом определения политики проведения технического обслуживания, направленной на предупреждение отказов и способов ее внедрения для достижения необходимого уровня безопасности, эксплуатационной готовности и экономичности функционирования для всех типов оборудования.

Метод RCM широко и успешно применяют в различных отраслях промышленности.

Метод RCM обеспечивает принятие решений по установлению эффективных требований к техническому обслуживанию оборудования в соответствии с требованиями безопасности и эксплуатации оборудования, а также экономическими последствиями идентифицированных отказов и механизмов, приводящих к отказу. Результатом применения метода является решение о выполнении задач технического обслуживания или других действий, таких как внесение функциональных изменений в продукцию или процесс. Подробное описание использования и применения RCM приведено в МЭК 60300-3-11.

B.22.2 Область применения

Данный метод применим к задачам, связанным с обеспечением безопасности персонала, охраной окружающей среды, эксплуатационными или экономическими проблемами. Выбор критериев зависит от особенностей продукции и способов ее использования. Например, процесс производства должен быть экономически целесообразным, и поэтому его эффективность зависит от затрат, связанных с выполнением установленных экологических требований; в том числе к защитному оборудованию предъявляют более высокие эксплуатационные требования, но менее строгие критерии в области безопасности, экономики и экологии. Метод дает наибольшие преимущества, если анализ направлен на виды отказов, приводящих к серьезным последствиям в области безопасности, экологии, экономики или функционирования оборудования.

Метод RCM используют для обеспечения эффективного технического обслуживания и обычно применяют на этапе проектирования и разработки, а затем внедряют на этапе производства и технического облуживания.

B.22.3 Входные данные

Для успешного применения метода RCM необходимо знание оборудования, производственной среды, конструкции исследуемого объекта, взаимодействующих с ним систем, подсистем и элементов оборудования, а также возможных отказов и их последствий.

B.22.4 Процесс выполнения метода

Основными этапами выполнения метода RCM являются:

- инициирование и планирование;

- анализ функциональных отказов;

- выбор задач технического обслуживания;

- внедрение;

- постоянное улучшение.

Метод RCM основан на методах исследований в области риска, так как включает этапы оценки риска. В данном случае тип оценки риска - это анализ видов, последствий и критичности отказов (FMECA), требующий специального подхода при использовании в данной области применения.

Идентификацию риска обычно применяют в ситуациях, когда частота и/или последствия отказов могут быть устранены или уменьшены выполнением технического обслуживания. При этом идентифицируют функциональные и эксплуатационные требования и отказы оборудования и компонентов, которые могут привести к невыполнению данных требований.

Анализ риска включает оценку частоты каждого отказа без выполнения технического обслуживания. Последствия устанавливают путем определения воздействия отказа. Матрица риска, которая сочетает в себе частоту отказов и их последствия, позволяет установить категории и уровни риска.

Далее необходимо провести оценку риска путем выбора соответствующей политики управления в отношении каждого вида отказа.

Весь процесс RCM необходимо документировать для целей дальнейшего анализа. Сбор данных об отказах и данных, связанных с техническим обслуживанием, позволяет проводить мониторинг результатов и внедрять необходимые усовершенствования.

B.22.5 Выходные данные

Метод RCM дает возможность установить задачи в области технического обслуживания, такие как мониторинг технического состояния, плановые ремонт и замена, обнаружение отказов или текущее техническое обслуживание. Другие возможные действия, которые могут последовать после данного анализа, включают в себя модернизацию оборудования, внесение изменений в эксплуатационные документы и процедуры технического обслуживания и/или проведение дополнительного обучения. В рамках анализа также необходимо идентифицировать периодичность выполнения задач и требуемые ресурсы.

B.22.6 Ссылочные стандарты

IEC 60300-3-11 Управление общей надежностью. Часть 3-11. Руководство по применению. Техническое обслуживание, направленное на обеспечение надежности

B.23 Анализ скрытых дефектов и анализ паразитных цепей

B.23.1 Краткий обзор

Анализ скрытых дефектов (SA

) является методом идентификации ошибок проектирования. К скрытым дефектам могут быть отнесены неявные дефекты компьютерного оборудования, программного обеспечения или их сочетания, которые могут вызвать нежелательное событие или препятствовать реализации ожидаемого события и не являются следствием отказа компонентов. Эти дефекты имеют случайный характер и могут быть не обнаружены во время испытаний и тестирования. Скрытые дефекты могут привести к несоответствующему выполнению технологических операций, отказу системы, задержкам в работе программ и даже травмированию или гибели персонала.

_______________

SA - Sneak Analysis.

B.23.2 Область применения

Анализ паразитных цепей (SCA

) был разработан в конце 1960-х годов для НАСА с целью проверки функциональных возможностей проекта. Данный метод был использован для обнаружения паразитных электрических цепей, а также для разработки решений по изолированию каждой функции. По мере технологического прогресса методы анализа паразитных цепей также совершенствовались. Анализ скрытых дефектов включает и значительно превосходит по объемам анализ паразитных цепей. Он позволяет выявлять проблемы как в технических, так и в программных средствах. Методы анализа скрытых дефектов могут объединять различные типы анализа, например анализ дерева неисправностей, анализ видов и последствий отказов (FMEA), оценку надежности и т.д., в один анализ, менее затратный по времени и средствам.

_______________

SCA - Sneak Circuit Analysis.

B.23.3 Входные данные

Для анализа скрытых дефектов характерно применение различных методов (древовидные схемы, схемы типа "лес", вспомогательные фразы или вопросы, помогающие специалисту, проводящему анализ, идентифицировать наличие скрытых дефектов) для выявления конкретного типа проблемы. Древовидные схемы и схемы типа "лес" - это топологические группировки исследуемой системы. Каждая древовидная схема представляет собой подфункцию и показывает все входные данные, которые могут повлиять на выходные данные рассматриваемой функции системы. Схемы типа "лес" строят путем объединения древовидных схем, которые участвуют в формировании выходных данных конкретной системы. Должным образом построенная схема тип "лес" отображает выходные данные системы с учетом всех связанных с ними входных данных. Наряду с другими входными данными они становятся входными данными для анализа.

B.23.4 Процесс выполнения метода

Выполнение метода предусматривает следующие этапы:

- подготовка данных;

- построение древовидной схемы;

- оценка путей схемы;

- составление заключительных рекомендаций и отчета.

B.23.5 Выходные данные

Паразитная цепь - это непредвиденный способ или логика функционирования системы, которые при определенных условиях могут инициировать неблагоприятную функцию или подавлять благоприятную функцию. Паразитная цепь может присутствовать в технических средствах, программном обеспечении, действиях оператора или их сочетаниях. Паразитная цепь не является результатом отказа технических средств, а является скрытым состоянием, непреднамеренно включенным в систему, программный продукт или следствием ошибки оператора. Существует четыре категории паразитных цепей:

a) Паразитные каналы: непредвиденные каналы, по которым ток, энергия или логические последовательности проходят в непредусмотренном направлении.

b) Паразитный хронометраж: возникновение событий в непредвиденной или противоречивой последовательности.

c) Паразитные показания: неопределенная или ложная индикация режима функционирования системы, которая может привести к сбою системы или стать причиной нежелательного действия оператора.

d) Паразитные обозначения: несоответствующие или неточные обозначения функций системы, например вводов системы, органов управления, каналов передачи информации, которые могут вызвать ввод оператором неверных управляющих команд в систему.

В.23.6 Преимущества и недостатки

Преимуществами метода являются следующие:

- Анализ скрытых дефектов позволяет идентифицировать ошибки проектирования.

- При совместном использовании с исследованием HAZOP метод дает возможность получить наилучшие результаты.

- Метод может быть применен к системам, имеющим различные состояния, например, таким как производства непрерывного и полунепрерывного действия.

Метод имеет следующие недостатки:

- Процесс анализа может отличаться в зависимости от того, применяется он к электрическим цепям, технологическим установкам, механическому оборудованию или программным средствам.

- Метод зависит от правильности построения древовидных схем.

В.24 Марковский анализ

В.24.1 Краткий обзор

Марковский анализ применим в ситуации, когда будущее состояние системы зависит только от ее текущего состояния. Данный метод обычно используют для анализа ремонтопригодных систем, которые могут работать во многих режимах, и в ситуациях, когда применение анализа надежности отдельных блоков системы нецелесообразно. Метод может быть применен к более сложным системам, используя более высокий порядок процессов Маркова, и ограничен только моделью, математическими вычислениями и предположениями.

Процесс марковского анализа является количественным методом и может быть дискретным (использование вероятностей перехода между состояниями) или непрерывным (использование коэффициентов интенсивности перехода из состояния в состояние).

Марковский анализ может быть выполнен вручную, однако характеристики метода позволяют использовать для него компьютерные программы.

В.24.2 Область применения

Марковский анализ может быть использован для систем с различной структурой (ремонтопригодных и неремонтопригодных), включая:

- системы с параллельными независимыми компонентами;

- системы с последовательными независимыми компонентами;

- системы с распределенной нагрузкой;

- резервированные системы, включая случай, когда может произойти отказ функций переключения;

- деградирующие системы.

Марковский анализ может быть использован для расчета эксплуатационной готовности, включая расчет необходимых компонентов запчастей для ремонта.

В.24.3 Входные данные

Входными данными марковского анализа являются:

- перечень различных состояний системы, подсистемы или компонента (например, полное функционирование, частичное функционирование (ухудшение состояния), отказ;

- точное понимание возможных переходов, которые необходимо смоделировать. Например, при отказе шины автомобиля необходимо исследовать состояние запасного колеса и, следовательно, частоты его проверок;

- скорость перехода из одного состояния в другое, обычно представленная либо вероятностью перехода для дискретных событий, либо интенсивностью отказов (

) и (или) интенсивностью восстановления (

) для непрерывных событий.

В.24.4 Процесс выполнения метода

Марковский анализ основан на понятии "состояния" (например, работоспособное и неработоспособное состояния) и перехода между этими состояниями во времени в предположении постоянной вероятности перехода. Стохастическую матрицу вероятностей перехода используют для описания переходов между состояниями и необходимых вычислений.

Для иллюстрации применения марковского анализа рассмотрим сложную систему, которая может находиться только в трех состояниях: работоспособном, ухудшенном и неработоспособном, обозначенных как состояния S1, S2, S3 соответственно. В любой момент времени система находится в одном из трех состояний. В таблице В.2 приведена вероятность того, что в следующий момент времени система будет находиться в состоянии

, где

может быть 1, 2 или 3.

Таблица В.2 - Матрица Маркова

Данный массив вероятностей называется матрицей Маркова или матрицей перехода. Следует отметить, что сумма в каждом столбце матрицы равна 1, т.к. это сумма вероятностей всех возможных состояний в каждом случае. Система также может быть представлена диаграммой Маркова, в которой круги отображают состояния, а стрелки - переходы с соответствующей вероятностью.

Рисунок B.9 - Пример диаграммы Маркова для системы

Стрелки, замкнутые на одном состоянии, обычно не показывают. В данном примере они приведены для полноты представления.

Если

- вероятность нахождения системы в состоянии

, для

1, 2, 3, то:

.	(В.1)
.	(В.2)
.	(В.3)

Эти три уравнения зависимы, и система уравнений не может быть решена. Для решения необходимо одно из приведенных уравнений исключить, заменив его следующим уравнением.

.                                            (B.4)

Полученные значения составляют 0,85, 0,13 и 0,02 соответственно для состояний 1, 2, 3. Система является полностью функционирующей в течение 85% времени, в ухудшенном состоянии в течение 13% времени и в состоянии отказа в течение 2% времени.

Рассмотрим ситуацию, когда система состоит из двух последовательных элементов, т.е. для работоспособности системы оба элемента должны находиться в работоспособном состоянии. Элементы могут быть в работоспособном состоянии или в состоянии отказа. Работоспособность системы зависит от состояния элементов.

Возможны следующие состояния элементов:

- состояние 1. Оба элемента находятся в работоспособном состоянии;

- состояние 2. Один элемент отказал и находится на восстановлении, а другой находится в работоспособном состоянии;

- состояние 3. Оба элемента отказали и находятся на восстановлении.

Если интенсивность отказа каждого элемента принять равной

, а интенсивность восстановлений равной

, и они являются постоянными, то диаграмму состояния перехода можно представить в следующем виде:

Рисунок B.10 - Пример диаграммы состояний перехода

При этом интенсивность перехода из состояния 1 в состояние 2 равна 2

, поскольку отказ любого из двух элементов приводит систему в состояние 2.

Пусть

- вероятность нахождения системы в начальном состоянии

в момент времени

;

- вероятность нахождения системы в конечном состоянии в момент времени

.

Тогда матрица переходов принимает следующий вид:

Таблица B.3 - Конечная матрица Маркова

Конечное состояние	Начальное состояние
	-2	*	0
	2
	0	*

Необходимо отметить, что нулевые значения возникают потому, что переходы невозможны из состояния 1 в состояние 3 или из состояния 3 в состояние 1. Кроме того, сумма в колонке равна нулю при определении интенсивности.

В этом случае система уравнений имеет следующий вид:

,	(B.5)
,	(B.6)
.	(B.7)

Для простоты можно предположить, что требуемая работоспособность соответствует устойчивому состоянию системы.

Если

стремится к бесконечности,

стремится к нулю, что позволяет упростить уравнения. Также необходимо использовать дополнительное уравнение (см. В.4). Тогда уравнение

можно записать в виде:

.

Следовательно,

.

В.24.5 Выходные данные

Выходными данными марковского анализа являются вероятности пребывания системы в различных состояниях, а следовательно - оценки вероятностей отказа и/или безотказной работы существенных компонентов системы.

В.24.6 Преимущества и недостатки

Преимуществом марковского анализа является возможность вычисления вероятностей состояний систем с восстановлением и множественными состояниями деградации.

Недостатками Марковского анализа являются следующие:

- Метод основан на предположении о постоянстве вероятностей перехода и наличием только двух возможных состояний элементов системы (отказа и восстановления).

- В методе использовано предположение, что все рассматриваемые события статистически независимы, т.е. будущие состояния не зависят от прошлых состояний, за исключением непосредственно предшествующего состояния.

- Для применения метода необходимо знать все вероятности перехода.

- Работа с методом невозможна без знания операций с матрицами.

- Полученные результаты трудны для понимания персоналом, не имеющим соответствующих технических знаний, навыков и опыта.

В.24.7 Сравнения

Марковский анализ аналогичен анализу сети Петри по возможности обеспечения мониторинга и наблюдения за состояниями системы, но в отличие от сети Петри метод допускает существование нескольких состояний в одно и то же время.

В.24.8 Ссылочные стандарты

МЭК 61078 Методы анализа надежности. Метод структурной схемы надежности

МЭК 61165 Применение марковских методов

ИСО/МЭК 15909 (все части) Программное обеспечение и системное проектирование. Сети Петри высокого уровня

В.25 Моделирование методом Монте-Карло

В.25.1 Краткий обзор

Многие системы слишком сложны для исследования влияния неопределенности с использованием аналитических методов. Однако такие системы можно исследовать, если рассматривать входные данные в виде случайных переменных, повторяя большое количество вычислений N (итераций), для получения результата с необходимой точностью.

Метод может быть применен в сложных ситуациях, которые трудны для понимания и решения с помощью аналитических методов. Модели систем могут быть разработаны с использованием таблиц и других традиционных методов. Однако существуют и более современные программные средства, удовлетворяющие высоким требованиям, многие из которых относительно недороги. Если модель разрабатывают и применяют впервые, то необходимое для метода Монте-Карло количество итераций может сделать получение результатов очень медленным и трудоемким. Однако современные достижения компьютерной техники и разработка процедур генерации данных по принципу латинского гиперкуба позволяют сделать продолжительность обработки незначительной во многих случаях.

B.25.2 Область применения

Метод Монте-Карло является способом оценки влияния неопределенности оценки параметров системы в широком диапазоне ситуаций. Метод обычно используют для оценки диапазона изменения результатов и относительной частоты значений в этом диапазоне для количественных величин, таких как стоимость, продолжительность, производительность, спрос и др. Моделирование методом Монте-Карло может быть использовано для двух различных целей:

- трансформирование неопределенности для обычных аналитических моделей;

- расчета вероятностей, если аналитические методы не могут быть использованы.

B.25.3 Входные данные

Входными данными для моделирования методом Монте-Карло являются хорошо проработанная модель системы, информация о типе входных данных, источниках неопределенности и требуемых выходных данных. Входные данные и соответствующую им неопределенность рассматривают в виде случайных переменных с соответствующими распределениями. Часто для этих целей используют равномерные, треугольные, нормальные и логарифмически нормальные распределения.

B.25.4 Процесс моделирования Монте-Карло

Процесс включает следующие этапы:

a) Определение модели или алгоритма, которые наиболее точно описывают поведение исследуемой системы.

b) Многократное применение модели с использованием генератора случайных чисел для получения выходных данных модели (моделирование системы). При необходимости моделируют воздействие неопределенности. Модель записывают в форме уравнения, выражающего соотношение между входными и выходными параметрами. Значения, отобранные в качестве входных данных, получают исходя из соответствующих распределений вероятностей, характеризующих неопределенности данных.

c) С помощью компьютера многократно используют модель (часто до 10000 раз) с различными входными данными и получают выходные данные. Они могут быть обработаны с помощью статистических методов для получения оценок среднего, стандартного отклонения, доверительных интервалов.

Рассмотрим систему, состоящую из двух параллельных элементов. При этом для функционирования системы достаточно, чтобы функционировал один элемент. Вероятность безотказной работы первого элемента составляет 0,9, а другого - 0,8.

Данные моделирования представлены в таблице В.4.

Таблица B.4 - Результаты применения метода Монте-Карло к системе из двух параллельных элементов

Для каждого элемента генератор случайных чисел формирует псевдослучайное число из интервала от 0 до 1, которое сопоставляют с вероятностью безотказной работы элемента, затем определяют работоспособность системы. При 10 повторениях процедуры результат 0,9, скорее всего, не будет достигнут. Обычно вычисления продолжают до достижения требуемого уровня точности. В данном примере значение 0,9799 для вероятности безотказной работы системы достигнуто после проведения 20000 итераций.

Приведенная модель может быть расширена различными способами, например путем:

- изменения модели взаимодействия элементов в системе (например, второй элемент находится в резерве и вводится в эксплуатацию сразу после отказа первого элемента);

- замены фиксированной вероятности безотказной работы на переменную (например, подчиняющуюся треугольному распределению), когда вероятность безотказной работы не может быть точно определена;

- использования параметра потока или интенсивности отказов в сочетании с генератором случайных чисел для генерации наработок на отказ или до отказа (экспоненциальное распределение, распределение Вейбулла или другое распределение) и времени восстановления.

Метод Монте-Карло может быть применен для оценки неопределенности финансовых прогнозов, результатов инвестиционных проектов, при прогнозировании стоимости и графика выполнения проекта, нарушений бизнес-процесса и замены персонала.

Данный метод применяют в ситуациях, когда результаты не могут быть получены аналитическими методами или существует высокая неопределенность входных или выходных данных.

B.25.5 Выходные данные

Выходными данными могут быть значения характеристик, как показано в вышеприведенном примере, или распределение вероятности или частоты отказа, или выходом может быть идентификация основных функций модели, которые оказывают основное влияние на выходные данные.

Метод Монте-Карло обычно используют для оценки распределения входных или выходных результатов или характеристик распределения, в том числе для оценки:

- вероятности установленных состояний;

- значений выходных величин, для которых установлены границы, соответствующие некоторому уровню доверия, которые не должны быть нарушены.

Анализ взаимосвязи входных и выходных величин может выявить относительное значение факторов работы системы и идентифицировать способы снижения неопределенности выходных величин.

B.25.6 Преимущества и недостатки

Преимуществами метода Монте-Карло являются следующие:

- Метод может быть адаптирован к любому распределению входных данных, включая эмпирические распределения, построенные на основе наблюдений за соответствующими системами.

- Модели относительно просты для работы и могут быть при необходимости расширены.

- Метод позволяет учесть любые воздействия и взаимосвязи, включая такие тонкие как условные зависимости.

- Для идентификации сильных и слабых влияний может быть применен анализ чувствительности.

- Модели являются понятными, а взаимосвязь между входами и выходами - прозрачной.

- Метод допускает применение эффективных моделей исследования многокомпонентных систем, таких как сеть Петри.

- Метод позволяет достичь требуемой точности результатов.

- Программное обеспечение метода доступно и относительно недорого.

Недостатки метода состоят в следующем:

- Точность решений зависит от количества итераций, которые могут быть выполнены (этот недостаток становится менее значимым с увеличением быстродействия компьютера).

- Метод предполагает, что неопределенность данных можно описать известным распределением.

- Большие и сложные модели могут представлять трудности для специалистов по моделированию и затруднять вовлечение заинтересованных сторон.

Метод не может адекватно моделировать события с очень высокой или очень низкой вероятностью появления, что ограничивает его применение при анализе риска.

B.25.7 Ссылочные стандарты

МЭК 61649 Критерии согласия, доверительные интервалы и нижние доверительные границы для распределения Вейбулла

Руководство ИСО/МЭК 98-3:2008 Неопределенность измерения. Часть 3. Руководство по выражению неопределенности измерения

B.26 Байесовский анализ и Сеть Байеса

B.26.1 Краткий обзор

Создание байесовского анализа приписывают преподобному Томасу Байесу. Для оценки полной вероятности он предложил объединить априорные данные с апостериорными.

Общий вид теоремы Байеса:

,

где

- вероятность события

;

       

- вероятность события

при условии, что произошло событие

;

       

-

-е событие.

В самой простой форме теорему Байеса можно записать:

.

Байесовский анализ отличается от классической статистики предположением, что параметры распределений являются не постоянными, а случайными переменными. Вероятность Байеса можно легко понять, если рассматривать ее как степень уверенности в определенном событии в противоположность классическому подходу, основанному на объективных свидетельствах. Поскольку подход Байеса основан на субъективной интерпретации вероятности, то он может быть полезен при выборе решения и разработке сетей Байеса (или сетей доверия).

Сеть Байеса представляет собой графическую модель, представляющую переменные и их вероятностные взаимосвязи. Сеть состоит из узлов, представляющих случайные переменные, и стрелок, связывающих родительский узел с дочерним узлом (родительский узел - переменная, которая непосредственно влияет на другую дочернюю переменную).

B.26.2 Область применения

Теории и сети Байеса широко применяют по причине их интуитивной понятности и благодаря наличию соответствующего программного обеспечения. Сети Байеса применяют в различных областях: медицинской диагностике, моделировании изображений, генетике, распознавании речи, экономике, исследовании космоса и в современных поисковых системах. Они могут находить применение в любой области, где требуется установление неизвестных переменных посредством использования структурных связей и данных. Сети Байеса могут быть применены для изучения причинных связей, углубления понимания проблемной области и прогнозирования последствий вмешательства в систему.

B.26.3 Входные данные

Входные данные для Байесовского анализа и сети Байеса подобны входным данным для модели Монте-Карло. Для сети Байеса основными этапами являются:

- определение переменных системы;

- определение причинных связей между переменными;

- определение условных и априорных вероятностей;

- добавление объективных свидетельств к сети;

- обновление доверительных оценок;

- определение апостериорных доверительных оценок.

B.26.4 Процесс выполнения метода

Теория Байеса может быть применена различными способами. В данном примере рассмотрено построение таблицы Байеса для проведения медицинских исследований по определению наличия у пациента заболевания. До начала исследований предполагается, что у 99% населения этого заболевания нет, у 1% - заболевание есть (априорная информация). Достоверность теста такова, что если у человека имеется заболевание, то результаты тестов положительны в 98%. Если у человека заболевание отсутствует, результаты теста положительны в 10%. Ниже приведена таблица Байеса.

Таблица B.5 - Таблица Байеса

Применяя теорему Байеса, произведение определяют умножением априорной вероятности на условную вероятность. Апостериорные вероятности определяют делением значения отдельного произведения на сумму произведений. Результаты расчета показывают, что в отношении положительного результата теста априорное значение возросло с 1% до 9%. Более того, велика вероятность того, что даже при положительном результате теста наличие заболевания маловероятно. Анализ уравнения (0,01х0,98)/((0,01х0,98)+(0,99х0,1) показывает, что положительный результат при отсутствии заболевания важен для апостериорных значений.

Рассмотрим следующую сеть Байеса:

Рисунок B.11 - Пример сети Байеса

В соответствии с условными априорными вероятностями, определенными в нижеследующих таблицах, и обозначениями

- положительный, а

- отрицательный, положительный результат указывает на наличие заболевания.

Таблица B.6 - Априорные вероятности для узлов

и

0,9	0,1	0,6	0,4

Таблица B.7 - Условные вероятности, определенные для узла

с узлами

и

		0,5	0,5
		0,9	0,1
		0,2	0,8
		0,7	0,3

Таблица B.8 - Условные вероятности, определенные для узла

с узлами

и

		0,6	0,4
		1,0	0,0
		0,2	0,8
		0,6	0,4

Для определения апостериорной вероятности

необходимо предварительно вычислить

.

Используя правило Байеса, значение вероятности

необходимо определить по формуле, как показано ниже в таблице, при этом в последней графе указаны нормализованные вероятности, сумма которых равна 1, как показано в предыдущем примере.

Таблица В.9 - Апостериорная вероятность для узлов

и

с узлами

и

		0,4x0,5x0,9x0,6=0,110	0,4
		0,4x0,9x0,9x0,4=0,130	0,48
		0,8x0,2x0,1x0,6=0,010	0,04
		0,8x0,7x0,1x0,4=0,022	0,08

Для получения

все значения B суммируют:

Таблица B.10 - Апостериорная вероятность для узла

с узлами

и

0,88	0,12

Полученные результаты показывают, что априорная вероятность

увеличилась с 0,1 до 0,12 (апостериорные данные) и изменения являются незначительными. С другой стороны, значение вероятности

изменилось с 0,4 до 0,56. Это изменение уже более существенно.

B.26.5 Выходные данные

Байесовский подход может быть применен в той же степени, что и классическая статистика, с получением широкого диапазона выходных данных, например при анализе данных для получения точечных оценок и доверительных интервалов. Сети Байеса используют для получения апостериорных распределений. Графические представления выходных данных обеспечивают простоту понимания модели, при этом данные могут быть легко изменены для исследования корреляции и чувствительности параметров.

B.26.6 Преимущества и недостатки

Преимуществами метода являются следующие:

- Для использования метода достаточно знание априорной информации.

- Логически выведенные утверждения легки для понимания.

- Применение метода основано на формуле Байеса.

- Метод предоставляет собой способ использования субъективных вероятностных оценок.

Недостатками метода являются следующие:

- Определение всех взаимодействий в сетях Байеса для сложных систем не всегда выполнимо.

- Подход Байеса требует знания множества условных вероятностей, которые обычно получают экспертными методами. Применение программного обеспечения основано на экспертных оценках.

B.27 Кривые FN

B.27.1 Краткий обзор

Кривые FN являются способом графического представления вероятности событий, вызывающих определенный уровень опасных воздействий для установленной группы населения. Чаще всего эти кривые отображают частоту заданного количества жертв.

Кривые FN отображают накопленную частоту (F), при которой на N или более представителей населения будет оказано воздействие. Большие значения N, которые могут возникнуть с высокой частотой F, представляют значительный интерес, поскольку вероятность событий в этом случае велика.

B.27.2 Область применения

Кривые FN являются способом представления результатов анализа риска. Многие события имеют высокую вероятность результатов с низкими последствиями и низкую вероятность с высокими последствиями. Кривые FN позволяют отразить уровень риска, который представляет собой линию, описывающую скорее некоторый диапазон, чем отдельную точку, представляющую пару значений вероятности и последствия.

Кривые FN могут быть использованы для сравнения значений риска, например, сравнения прогнозируемого риска с критериями в виде кривой FN или для сравнения прогнозируемого риска с накопленными данными об инцидентах или с критериями принятия решения (также выражаемыми в виде кривой FN). Кривые FN могут быть использованы при проектировании систем, процессов или для управления существующими системами.

B.27.3 Входные данные

Входными данными являются:

- совокупности пар значений вероятности и последствий за определенный период времени;

- выходные данные, полученные в результате количественного анализа риска, предоставляющие количественные оценки вероятности для конкретных случайных событий;

- данные накопленных записей и количественной оценки риска.

B.27.4 Процесс выполнения метода

На основе имеющихся данных строят график с указанием по оси абсцисс числа жертв (установленного уровня опасных воздействий, например смертности), по оси ординат - вероятности N или большего количества жертв. Вследствие большого диапазона значений на осях обычно применяют логарифмический масштаб.

Кривые FN могут быть построены с использованием данных фактических потерь в прошлом или вычислены и построены на основе оценок, полученных методом имитационного моделирования. Используемые данные и сделанные предположения могут означать, что данные двух типов кривой FN представляют собой различную информацию и должны быть использованы отдельно и для различных целей. Теоретические кривые FN в основном применяют при проектировании системы, статистические кривые FN - при управлении существующими системами.

Применение данных подходов по отдельности может потребовать значительных затрат времени, поэтому обычно их объединяют. На основе эмпирических данных отмечают точками на графике известное количество жертв в известных происшествиях/инцидентах за указанный промежуток времени, и с помощью количественного анализа риска дополняют график другими точками путем экстраполяции или интерполяции.

Если необходимо исследовать несчастные случаи или аварии с низкой частотой возникновения или значимыми последствиями, то для надлежащего анализа следует рассмотреть длительные периоды времени и достаточное количество данных. Это помогает также выявить сомнительные данные, если, например, произошедшее начальное событие изменилось во времени.

B.27.5 Выходные данные

Выходными данными является график, представляющий риск в диапазоне значений последствий, который можно сравнивать с критериями, соответствующими данной изучаемой группе населения и конкретному уровню ущерба.

B.27.6 Преимущества и недостатки

Применение кривых FN целесообразно для представления информации о риске, которую могут применять руководство и разработчик системы, для обоснования принятия решений в отношении уровня риска и безопасности. Их применение целесообразно для представления информации, как о частоте, так и о последствиях в удобной для восприятия форме.

Возможно применение кривых FN для сравнения риска в аналогичных ситуациях при наличии достаточных данных. Их не следует применять для сравнения различных типов рисков с различными характеристиками и обстоятельствами.

Недостаток применения кривых FN заключается в том, что они не предоставляют информации о диапазоне воздействий или результатов происшествий, кроме сведений о количестве лиц, подвергшихся воздействию. Также невозможно установить различные способы развития событий, которые могут привести к определенному уровню ущерба. Кривые FN отображают конкретный тип последствий, обычно - гибель людей. Кривая FN является не методом оценки риска, а методом представления результатов оценки риска.

Кривые FN являются хорошо разработанным методом представления результатов оценки риска, однако для их подготовки может потребоваться привлечение квалифицированных аналитиков, а полученные результаты часто трудны для интерпретации и оценки риска специалистами, не имеющими соответствующей компетенции.

B.28 Индексы риска

B.28.1 Краткий обзор

Индекс риска

- это мера риска, представляющая собой количественную оценку риска, полученную с применением балльных оценок на основе порядковых шкал. Индексы риска применяют для упорядочения значений риска на основе сходных критериев таким образом, чтобы их можно было сравнивать. Балльные оценки применяют к каждому компоненту риска, например, характеристикам (источникам) загрязнения, диапазону возможных способов воздействия взрыва и его влияния на реципиентов.

_______________

Метод индексов риска является смешанным методом оценки риска.

Индексы риска являются принципиально качественным подходом, применяемым для ранжирования и сравнения рисков. Во многих случаях, когда применяемая модель или система недостаточно хорошо изучена, или ее нельзя должным образом представить, предпочтительно применение качественного подхода.

В.28.2 Область применения

Индексы риска применяют для классификации видов риска, связанных с деятельностью, если система хорошо изучена. Они позволяют объединить ряд факторов, которые определяют уровень риска в единую балльную оценку уровня риска.

Индексы риска применяют для множества различных видов риска, обычно в качестве средства разграничения при классификации риска в соответствии с его уровнем. Индексы риска применяют для определения видов риска, требующих дальнейшей детальной и, возможно, количественной оценки.

В.28.3 Входные данные

Входные данные получают по результатам анализа системы или подробного описания области применения, что требует хорошего понимания всех источников риска, возможных способов реализации опасных событий и их объектов воздействия. При получении показателей риска могут быть дополнительно использованы такие методы, как анализ дерева неисправностей, анализ дерева событий и общий анализ решений.

Поскольку выбор порядковых шкал является в определенной степени произвольным, то для подтверждения достоверности индекса риска необходимо иметь достаточно данных.

B.28.4 Процесс выполнения метода

Первым этапом является изучение и описание системы. Затем определяют балльные оценки для каждого компонента таким образом, чтобы их можно было объединить для получения комплексного индекса риска. Например, при решении экологических задач присваивают балльные оценки источникам, способам и реципиенту(ам) воздействия, учитывая, что в некоторых случаях может быть несколько способов и реципиентов воздействия для каждого источника риска. Отдельные балльные оценки объединяют в соответствии со схемой, которая учитывает физическую сущность системы. Важно, чтобы балльные оценки для каждой части системы (источников, способов и реципиентов) были внутренне согласованными и учитывали их взаимосвязи. Баллы могут быть присвоены компонентам риска (например, вероятности, воздействию, последствию) или увеличивающим риск факторам.

Баллы можно складывать, вычитать, умножать и/или делить в соответствии с моделью риска высокого уровня. Следует учитывать кумулятивные эффекты посредством добавления баллов (например, добавление баллов различным способам реализации риска). К порядковым шкалам абсолютно неприменимы математические формулы. Поэтому, после того как система балльных оценок разработана, достоверность модели должна быть подтверждена посредством ее проверки на известной системе. Получение показателя риска осуществляется итеративным методом, и поэтому может потребоваться рассмотрение нескольких различных систем для объединения баллов перед тем, как достоверность модели можно будет считать приемлемой.

Неопределенность можно рассматривать с применением анализа чувствительности и варьированием балльных оценок, для того чтобы выяснить, к каким параметрам имеется наибольшая чувствительность.

В.28.5 Выходные данные

Выходные данные - это ряд чисел (комплексных индексов), которые относятся к конкретному источнику и которые можно сравнивать с индексами риска, полученными для других источников той же системы, или которые могут быть смоделированы.

В.28.6 Преимущества и недостатки

Данный метод имеет следующие преимущества:

- Индексы риска целесообразно применять для ранжирования различных рисков.

- Индексы риска позволяют объединять множество факторов, влияющих на уровень риска, в единую балльную оценку уровня риска.

Метод имеет следующие недостатки:

- Если достоверность процесса (модели) и их выходных данных не подтверждена должным образом, то результаты могут быть недостоверными. Тот факт, что выходные данные являются числовым выражением значения риска, может быть неверно истолкован и использован, например, при последующем анализе эффективности затрат.

- Во многих случаях, в которых применяют индексы риска, отсутствует основополагающая модель, позволяющая определить линейность или нелинейность (например, логарифмический характер) отдельных балльных шкал факторов риска или иной их вид, а также модель объединения факторов. В этих случаях ранжирование является изначально ненадежным, и проверка его достоверности в соответствии с фактическими данными особенно важна.

B.29 Матрица последствий и вероятностей

B.29.1 Краткий обзор

Матрица последствий и вероятностей является средством объединения качественных или смешанных оценок последствий и вероятностей и применяется для определения или ранжирования уровня риска.

Формат, строки и колонки матрицы зависят от области применения, при этом очень важно, чтобы разработанная матрица соответствовала рассматриваемой ситуации.

B.29.2 Область применения

Матрицу последствий и вероятностей применяют для ранжирования рисков, их источников и мер по обработке риска на основании уровня риска. Матрицу обычно применяют в качестве средства предварительной оценки, если было выявлено несколько видов риска, например, для определения того, какой риск требует дальнейшего или более подробного анализа, какой риск необходимо обрабатывать в первую очередь, а какой следует рассматривать на более высоком уровне менеджмента. Данную матрицу также применяют для отбора видов риска, не требующих дальнейшего рассмотрения, а также для определения приемлемости или неприемлемости риска (см. 5.4) в соответствии с матрицей.

Применение матрицы последствий и вероятностей способствует обмену информацией об общем восприятии качественных уровней риска в организации. Способ, которым устанавливают уровни риска, и правила принятия решения, относящиеся к нему, должны соответствовать особенностям организации и ее деятельности.

Форму матрицы последствий и вероятностей применяют для анализа критичности в FMECA или для установления приоритетов после применения исследования HAZOP. Ее также можно применять в ситуациях, когда имеется недостаточно данных для подробного анализа, или в случае, когда ситуация не оправдывает затраты времени и усилий на проведение количественного анализа.

B.29.3 Входные данные

Входными данными к процессу являются шкалы последствий и вероятностей, установленные в соответствии с требованиями потребителя, и матрица, которая их объединяет.

Шкала (или шкалы) последствий должна охватывать весь диапазон типов исследуемых последствий (например, финансовые потери, безопасность, окружающая среда или другие параметры в зависимости от области применения) и учитывать возможность последствий: от максимально возможных до наименее вероятных. В качестве выборочного примера см. рисунок B.12.

Рисунок B.12 - Пример таблицы критериев последствий

Шкала может иметь любое количество точек. Наиболее распространены шкалы, имеющие 3, 4 или 5 точек.

Шкала вероятности также может иметь любое количество точек. Определения вероятности необходимо выбирать настолько точными и однозначными, насколько это возможно. Если для определения различных вероятностей применяются численные значения, то должны быть представлены единицы измерения. Шкала вероятности должна охватывать диапазон, соответствующий проводимому исследованию, с учетом того, что самая низкая вероятность должна быть приемлемой для наибольшего определенного последствия, в противном случае всю деятельность, связанную с наибольшим последствием, рассматривают как недопустимую. В качестве выборочного примера см. рисунок B.13.

Рисунок B.13 - Пример матрицы оценки риска

Матрица построена с указанием последствий по одной оси и вероятности по другой оси. На рисунке В.14 показана часть примерной матрицы со шкалой из 6 точек для последствия и шкалой из 5 точек для вероятности.

Рисунок B.14 - Пример матрицы критериев вероятности

Уровни риска, установленные для ячеек таблицы, зависят от определений, применяемых для шкал вероятности и последствий. Матрица может быть построена с преимущественным влиянием последствий (как показано) или вероятности, или она может быть симметричной, в зависимости от случая применения. Уровни риска могут быть связаны с правилами принятия решения при помощи, например, уровня внимания со стороны руководства, или шкалы времени, которое требуется для соответствующего реагирования.

Оценочные шкалы и матрица могут быть разработаны и на основе количественных шкал. Например, по отношению к надежности шкала вероятности может отображать приближенное значение интенсивности отказов, а шкала последствий - затраты, вызванные отказом, в денежных единицах.

Применение данного метода требует наличия специалистов соответствующей компетентности (предпочтительно - опытной группы) и всех имеющихся данных для обоснования экспертных заключений о последствиях и вероятности.

B.29.4 Процесс выполнения метода

Для ранжирования рисков пользователь должен прежде всего подобрать описание последствий, которое наилучшим образом соответствует ситуации, определить вероятность, с которой эти последствия произойдут. Затем определить с помощью матрицы уровень риска.

Многие опасные события могут иметь диапазон результатов с различными соответствующими вероятностями. Незначительные проблемы обычно происходят чаще, чем катастрофические события. Поэтому можно ранжировать часто получаемые результаты, наиболее серьезные или другие сочетания вероятности и последствий. Во многих случаях требуется уделять внимание наиболее серьезным возможным результатам, поскольку они представляют наибольшую угрозу и являются наиболее значительными. В некоторых случаях необходимо ранжировать как обычные проблемы, так и маловероятные катастрофы как отдельные виды риска. При этом следует рассматривать вероятность, связанную с выбранным последствием, а не вероятность события в целом.

Уровень риска, определяемый по матрице, может быть связан с правилом принятия решений, например, о необходимости проведения обработки риска.

B.29.5 Выходные данные

Выходными данными являются класс каждого опасного события или перечень опасных событий с указанием уровня значимости.

B.29.6 Преимущества и недостатки

Преимуществами метода являются:

- относительная простота использования;

- обеспечение быстрого ранжирования риска по уровням значимости.

Метод имеет следующие недостатки:

- Матрица должна быть разработана для конкретных обстоятельств, т.к. затруднительно составить универсальную матрицу, которую организация может применить в любых обстоятельствах.

- Как правило, трудно однозначно установить необходимые шкалы.

- Применение матрицы весьма субъективно и в значительной степени зависит от специалиста, выполняющего оценку.

- Риски нельзя объединять (т.е. нельзя установить, что определенное количество низких рисков или низкий риск, выявленный определенное количество раз, эквивалентны среднему риску).

- Объединение или сравнение уровней риска для различных категорий последствий представляет определенные трудности.

- Результаты зависят от уровня детализации анализа, т.е. чем более подробный анализ, тем больше сценариев, каждый из которых имеет более низкую вероятность. Все это приводит к недооценке фактического уровня риска. Способ, которым группируют сценарии при описании риска, должен быть единообразным и быть определен в начале исследования.

B.30 Анализ эффективности затрат (анализ "затрат и выгод")

B.30.1 Краткий обзор

Анализ эффективности затрат используют для оценки риска в ситуации, когда необходимо сравнить общие ожидаемые затраты с общими ожидаемыми выгодами (доходами и преимуществами) и выбрать лучший или наиболее выгодный вариант решения. Данный метод является неявной частью многих систем оценки риска. Анализ может быть качественным или количественным или сочетать в себе количественные и качественные элементы. Количественный анализ эффективности затрат включает в себя все суммарные затраты и доходы всех причастных сторон в денежном выражении, которые попадают в область применения анализа и приведены за периоды времени, в которые накапливаются затраты и доходы. Входными данными для принятия решений о риске является полученная чистая приведенная стоимость (NPV). Положительное значение NPV обычно значит, что событие должно произойти. Однако в отдельных случаях для отрицательного риска, особенно включающего риск для жизни человека или значительный вред окружающей среде, может быть применен принцип ALARP (см. рисунок В.15). Этот принцип позволяет разделить риск на три уровня: уровень, выше которого отрицательный риск недопустим и не должен быть принят, иначе как в экстраординарных обстоятельствах; уровень, ниже которого риск незначителен и необходимо лишь проводить мониторинг для поддержания низкого риска; и центральная зона, где риск следует удерживать настолько низким, насколько реально возможно (ALARP). К более низкому уровню риска может быть применен строгий анализ эффективности затрат, однако если значение риска близко к недопустимому, принцип ALARP предполагает, что необходимо провести обработку риска, если затраты на обработку не будут существенно превышать полученную выгоду.

Рисунок B.15 - Концепция ALARP

B.30.2 Область применения

Анализ эффективности затрат может быть использован для выбора между различными решениями, связанными с риском.

Например:

- в качестве входных данных при решении о необходимости обработки риска;

- при анализе различных форм обработки риска и выборе наилучшего варианта;

- при выборе способа действия.

B.30.3 Входные данные

Входные данные включают в себя информацию о затратах и выгодах для соответствующих причастных сторон и об оценке неопределенности этих затрат и выгод. Необходимо рассматривать материальные и нематериальные затраты и выгоды. Затраты охватывают израсходованные ресурсы и потери, связанные с получением отрицательных результатов, выгоды охватывают положительные результаты и сэкономленные ресурсы, связанные с возможностью избежать отрицательных результатов.

B.30.4 Процесс выполнения метода

В начале процесса идентифицируют причастные стороны, которые могут понести затраты или получить выгоды. В полный анализ эффективности затрат включают все причастные стороны.

Далее идентифицируют прямые и косвенные выгоды и затраты всех соответствующих причастных сторон, связанных с областью применения анализа. Прямые выгоды - это выгоды, полученные непосредственно от предпринятых действий. Косвенные (или вспомогательные) выгоды носят обычно случайный характер, но могут оказывать существенное влияние на решение задачи. Примерами косвенных выгод могут быть повышение репутации, удовлетворенность персонала и "душевное спокойствие". (Их часто трудно учесть при принятии решений.)

Прямые затраты - это затраты, непосредственно связанные с предпринятыми действиями. Косвенные затраты - это дополнительные, вспомогательные и неокупаемые затраты, такие как потеря рентабельности, потеря времени высшего руководства организации или отвлечение капитала от других инвестиций. Применяя анализ эффективности затрат к решениям о необходимости обработки риска, необходимо также учитывать затраты и выгоды, связанные с обработкой и принятием риска.

При количественном анализе эффективности затрат после идентификации всех материальных и нематериальных затрат и выгод определяют их стоимость в денежном выражении (включая нематериальные затраты и выгоды). Существуют различные стандартные методы расчета их стоимости, основанные на таких способах расчета, как "готовность заплатить" и "использование заместителей". Если, как часто случается, затраты понесены за короткий промежуток времени (например, год), а выгоды могут быть получены в долгосрочный период времени, то обычно для оценки и сравнения выгод необходимо привести их к "единому моменту времени". Все затраты и выгоды представляют в виде приведенной стоимости. Для нахождения общей чистой приведенной стоимости (NPV) объединяют все затраты и выгоды всех причастных сторон. Положительное значение NPV подразумевает, что действие выгодно. Для целей анализа также можно использовать отношения затрат к выгодам (см. B.30.5).

Если существует неопределенность в уровне затрат или выгод, то они по отдельности или вместе могут быть соотнесены с соответствующими им вероятностями.

В качественном анализе эффективности затрат не предпринимают попыток найти стоимость в денежном выражении для нематериальных затрат и выгод. Вместо приведения их к единому моменту времени, позволяющему суммировать затраты и выгоды, соотношение между затратами и выгодами рассматривают качественно.

Аналогичным методом является анализ рентабельности. Он предполагает установление точно определенных выгод или результатов в денежном выражении несколькими альтернативными способами. Анализ исследует только затраты и наименее дорогостоящие пути достижения выгод.

B.30.5 Выходные данные

Выходными данными анализа эффективности затрат является информация об относительных затратах и выгодах при различных вариантах решений или действий. Выходные данные могут быть выражены количественно в виде чистой приведенной стоимости (NPV), внутреннего коэффициента рентабельности (IRR) или в виде отношения приведенной стоимости выгод к приведенной стоимости затрат. Качественно выходные данные обычно выражают в форме таблицы, в которой сопоставляют различные типы затрат и выгод.

B.30.6 Преимущества и недостатки

Преимущества анализа эффективности затрат:

- Метод позволяет сравнивать затраты и выгоды, используя единые метрические единицы (деньги).

- Анализ обеспечивает прозрачность принятия решения.

- Анализ требует сбора подробной информации относительно всех возможных аспектов принимаемого решения. Может быть полезен в повышении осведомленности и при обмене знаниями о проблеме.

Недостатки метода:

- Количественный анализ затрат и выгод может давать существенно различные результаты в зависимости от методов определения экономических значений для неэкономических выгод.

- В некоторых случаях трудно определить действительную ставку дисконтирования будущих затрат и выгод.

- Выгоды для большой группы населения оценить достаточно трудно, особенно если они связаны с пользой для общества.

- Применение дисконтирования средств, выгода от которых может быть извлечена в долгосрочной перспективе, оказывает незначительное влияние на решение в зависимости от выбранной ставки дисконтирования. Метод не подходит для рассмотрения риска, затрагивающего будущие поколения, если установлены очень низкие или нулевые ставки дисконта.

B.31 Мультикритериальный анализ решений

B.31.1 Краткий обзор

Целью данного метода является использование ранжирования критериев для объективной и прозрачной оценки различных вариантов решений. В конечном итоге необходимо определить и расставить по предпочтениям доступные варианты решений. Анализ включает в себя разработку матрицы вариантов и критериев, которые следует ранжировать и объединить для выполнения общей оценки каждого варианта решения.

B.31.2 Область применения

Метод MCDA может быть использован для:

- сравнения нескольких вариантов решения при первичном анализе, в результате которого необходимо определить возможные наиболее предпочтительные и несоответствующие варианты решений;

- сравнения вариантов решений при наличии нескольких, иногда противоречивых критериев;

- достижения компромиссного решения в ситуации, когда различные причастные стороны имеют противоречивые цели или ценности.

B.31.3 Входные данные

Входными данными является набор вариантов решений для проведения анализа. Критерии, основанные на поставленных целях, могут быть одинаково применены ко всем вариантам решений, чтобы дифференцировать их между собой.

B.31.4 Процесс выполнения метода

Обычно процесс включает в себя выполнение группой компетентных специалистов, представляющих причастные стороны, следующих действий:

a) установления цели(ей);

b) определения качественных признаков (критериев, показателей оценки или качественных характеристик выполнения работы), соответствующих каждой цели;

c) структурирования качественных признаков по иерархическому принципу;

d) разработки вариантов решений, которые необходимо оценить в соответствии с выбранными критериями;

e) определения важности критериев и назначения для каждого из них весового коэффициента;

f) оценки альтернативных вариантов решений с учетом критериев, которая может быть представлена в виде матрицы балльных оценок;

g) объединения множественных балльных оценок для каждого качественного признака в объединенную балльную оценку, учитывающую множество качественных признаков;

h) оценки полученных результатов.

Существуют различные методы, в соответствии с которыми каждому критерию может быть назначен весовой коэффициент, и различные способы объединения оценок по критериям для каждого варианта решения в единую балльную оценку. Например, оценки могут быть объединены в виде взвешенной суммы или взвешенного произведения с использованием анализа иерархий и метода определения весов и ранжирования, основанного на попарных сравнениях. Все эти методы предполагают, что преимущество какого-либо критерия не зависит от значений других критериев. Там, где это предположение не соответствует действительности, применяют другие модели.

Поскольку оценки имеют субъективный характер, то целесообразно проведение анализа чувствительности для установления той степени, до которой весовые коэффициенты и оценки влияют на общий порядок предпочтений среди вариантов.

B.31.5 Выходные данные

Выходными данными метода являются результаты ранжирования вариантов по убыванию предпочтений. Если в процессе анализа была составлена матрица, в которой осями являются взвешенные критерии и оценки каждого варианта по критериям, то варианты, не соответствующие особо значимым критериям, могут быть исключены.

B.31.6 Преимущества и недостатки

Преимуществами метода являются следующие:

- Метод обеспечивает простую структуру эффективного принятия решений и представления предположений и выводов.

- Метод позволяет решать сложные проблемы, решение которых невозможно с помощью анализа эффективности затрат.

- Метод позволяет рационально исследовать проблему поиска оптимального решения.

- Метод позволяет достичь компромисса в ситуации, когда причастные стороны имеют различные цели и, следовательно, критерии.

Недостатками метода являются следующие:

- Метод подвержен влиянию предвзятого и неполного выбора критериев для принятия решения.

- Большинство многокритериальных проблем не имеют окончательного или однозначного решения.

- Алгоритмы расчета, по которым определяются весовые коэффициенты критериев из установленных предпочтений или объединяют различные мнения, могут скрывать идеологическую основу принятия решения.

Приложение ДА

(справочное)

Сведения о соответствии ссылочных международных стандартов, указанных в нормативных ссылках настоящего стандарта, ссылочным национальным стандартам Российской Федерации

Таблица ДА.1

Приложение ДБ

(справочное)

Сведения о соответствии ссылочных международных стандартов, указанных в библиографии настоящего стандарта, ссылочным национальным стандартам Российской Федерации

Таблица ДБ.1

Обозначение ссылочного международного стандарта	Степень соответствия	Обозначение и наименование соответствующего национального стандарта
МЭК 61511	-	*
МЭК 61508-1:1998	IDT	ГОСТ Р МЭК 61508-1-2007 "Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 1. Общие требования"
МЭК 61508-2:2000	IDT	ГОСТ Р МЭК 61508-2-2007 "Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 2. Требования к системам"
МЭК 61508-3:1998	IDT	ГОСТ Р МЭК 61508-3-2007 "Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 3. Требования к программному обеспечению"
МЭК 61508-4:1998	IDT	ГОСТ Р МЭК 61508-4-2007 "Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 4. Термины и определения"
МЭК 61508-5:1998	IDT	ГОСТ Р МЭК 61508-5-2007 "Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 5. Рекомендации по применению методов определения уровней полноты безопасности"
МЭК 61508-6:2000	IDT	ГОСТ Р МЭК 61508-6-2007 "Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 6. Руководство по применению ГОСТ Р МЭК 61508-2-2007 и ГОСТ Р МЭК 61508-3-2007"
МЭК 61508-7:2000	IDT	ГОСТ Р МЭК 61508-7-2007 "Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 7. Методы и средства"
МЭК 61882:2001	MOD	ГОСТ Р 51901.11-2006 (МЭК 61882:2001) "Менеджмент риска. Исследование опасности и работоспособности. Прикладное руководство"
ИСО 22000:2005		ГОСТ Р ИСО 22000-2007 "Системы менеджмента безопасности пищевой продукции. Требования к организациям, участвующим в цепи создания пищевой продукции"
ИСО/МЭК Руководство 51:1990	NEQ	ГОСТ Р 51898-2002 "Аспекты безопасности. Правила включения в стандарты"
МЭК 60300-3-11:2009	-	*
МЭК 61649:1997	MOD	ГОСТ Р 50779.27-2007 (МЭК 61649:1997) "Статистические методы. Критерий согласия и доверительные интервалы для распределения Вейбулла"
МЭК 61078:2006	MOD	ГОСТ Р 51901.14-2007 (МЭК 61078:2006) "Менеджмент риска. Структурная схема надежности и булевы методы"
МЭК 61165:1995	MOD	ГОСТ Р 51901.15-2005 (МЭК 61165:1995) "Менеджмент риска. Применение марковских методов"
ИСО/МЭК 15909 (все части)	-	*
МЭК 60812:2006	MOD	ГОСТ Р 51901.12-2007 (МЭК 60812:2006) "Менеджмент риска. Метод анализа видов и последствий отказов"
МЭК 61025:2006	NEQ	ГОСТ Р 27.302-2009 "Надежность в технике. Анализ дерева неисправностей"
ИСО/МЭК Guide 98-3:2008	IDT	ГОСТ Р 54500.3-2011 "Неопределенность измерения. Часть 3. Руководство по выражению неопределенности измерения"
* Соответствующий национальный стандарт отсутствует. До его утверждения рекомендуется использовать перевод на русский язык данного международного стандарта. Перевод данного международного стандарта находится в Федеральном информационном фонде технических регламентов и стандартов.     Примечание - В настоящей таблице использованы следующие условные обозначения степени соответствия стандартов:     - IDT - идентичные стандарты;     - MOD - модифицированные стандарты;     - NEQ - неэквивалентные стандарты.

 Библиография