ОАО "РОССИЙСКИЕ ЖЕЛЕЗНЫЕ ДОРОГИ"
УТВЕРЖДЕН
Распоряжением ОАО "РЖД"
от 13 декабря 2010 N 2570р
СТО РЖД 1.02.035-2010
СТАНДАРТ ОАО "РЖД"
Управление ресурсами на этапах жизненного цикла, рисками и анализом надежности (УРРАН)
ПОРЯДОК ОПРЕДЕЛЕНИЯ ДОПУСТИМОГО УРОВНЯ РИСКА
Дата введения - 2011-03-01
1 РАЗРАБОТАН Открытым акционерным обществом "Научно-исследовательский и проектно-конструкторский институт информатизации, автоматизации и связи на железнодорожном транспорте" (ОАО "НИИАС")
2 ВНЕСЕН Департаментом технической политики ОАО "РЖД"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ распоряжением ОАО "РЖД" от 13 декабря 2010 г. N 2570р
4 ВВЕДЕН ВПЕРВЫЕ
Настоящий стандарт устанавливает порядок определения допустимого уровня риска для объектов железнодорожного транспорта.
Разрабатываемый стандарт распространяется на индивидуальные, технические, экологические, социальные и экономические виды рисков.
Настоящий стандарт предназначен для применения подразделениями аппарата управления ОАО "РЖД", филиалами ОАО "РЖД" и иными структурными подразделениями ОАО "РЖД.
Применение настоящего стандарта сторонними организациями оговаривается в договорах (соглашениях) с ОАО "РЖД".
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ Р МЭК 61508-1-2007 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 1. Общие требования
СТО РЖД 1.02.030-2010 Управление ресурсами на этапах жизненного цикла, рисками и анализом надежности (УРРАН). Политика обеспечения безотказности, готовности и ремонтопригодности и безопасности объектов железнодорожного транспорта
СТО РЖД 1.02.034-2010 Управление ресурсами на этапах жизненного цикла, рисками и анализом надежности (УРРАН). Общие правила оценки и управления рисками
3 Термины, определения и сокращения
3.1 В настоящем стандарте применены следующие термины с соответствующими определениями:
3.1.1 анализ риска (risk analysis): Систематическое использование информации для определения источников и количественной оценки риска.
Примечание - анализ риска обеспечивает базу для оценивания риска, мероприятий по снижению риска и принятия риска.
[ГОСТ Р 51901.1-2002, статья 2.6]
3.1.2 безопасность (safety): Отсутствие недопустимого риска.
[ГОСТ Р МЭК 61508-4-2007, статья 3.1.8]
3.1.3 вероятность: Мера того, что событие может произойти.
[ГОСТ Р 51897-2002, статья 3.1.3]
3.1.4 допустимый уровень риска: Уровень риска, который приемлем при данных обстоятельствах на основании существующих в текущий период времени ценностей в обществе.
3.1.5 объект железнодорожного транспорта: Любая самостоятельная единица железнодорожной инфраструктуры и подвижного состава, обеспечивающая выполнение требуемой функции в рамках перевозочного процесса.
3.1.6 опасное событие (hazardous event): Событие, которое может причинить вред.
[ГОСТ Р 51901.1-2002, статья 2.3]
3.1.7 опасность (hazard): Потенциальный источник возникновения ущерба.
[ГОСТ Р МЭК 61508-4-2007, статья 3.1.2]
3.1.8 отказ: Потеря способности изделия выполнить требуемую функцию.
Примечание - Отказ является событием, которое приводит к состоянию неисправности.
[ГОСТ Р 53480-2009, статья 49]
3.1.9 оценивание риска (risk evaluation): Процесс сравнения оцененного риска с данными критериями риска с целью определения значимости риска.
[ГОСТ Р 51901.1-2002, статья 2.10]
3.1.10 оценка величины риска (risk estimation): Процесс присвоения значений вероятности и последствий риска.
[ГОСТ Р 51901.1-2002, статья 2.9]
3.1.11 полнота безопасности (safety integrity): Способность объекта, связанного с безопасностью, выполнять предъявленные функциональные и нормативные требования к его безопасности.
3.1.12 последствие: Результат события.
Примечания
1 Результатом события может быть одно или более последствий.
2 Последствия могут быть ранжированы от позитивный до негативный. Однако применительно к аспектам безопасности последствия всегда негативные.
3 Последствия могут быть выражены качественно или количественно
[ГОСТ Р 51897-2002, статья 3.1.2]
3.1.13 риск: Сочетание вероятности события и его последствий.
[ГОСТ Р 51897-2002, статья 3.1.1]
3.1.14 систематический отказ: Отказ, однозначно вызванный определенной причиной, которая может быть устранена только модификацией проекта или производственного процесса, правил эксплуатации и документации.
Примечания
1 Систематический отказ может быть воспроизведен путем преднамеренного создания тех же самых условий, например, с целью определения причины отказа.
2 Систематический отказ является результатом систематической неисправности.
[ГОСТ Р 53480-2009, статья 57]
3.1.15 событие: Возникновение или изменение определенных обстоятельств.
Примечание - Термин приведен в соответствии с Руководством ИСО [1], статья 3.5.1.3.
3.1.16 составная часть: Рассматриваемая часть объекта железнодорожного транспорта.
Примечание - Составную часть можно рассматривать как самостоятельный объект железнодорожного транспорта.
3.1.17 уровень полноты безопасности (safety integrity level): Дискретный уровень (принимающий одно из четырех возможных значений), определяющий требования к полноте безопасности для функций безопасности, который ставится в соответствие объектам, связанным с безопасностью; уровень полноты безопасности, равный 4, характеризует наибольшую полноту безопасности, уровень, равный 1, отвечает наименьшей полноте безопасности.
[ГОСТ Р МЭК 61508-4-2007, статья 3.5.6]
3.1.18 уровень риска: Масштаб риска или совокупности рисков, который характеризуется определенным сочетанием последствий и вероятности их возникновения.
Примечание - Термин приведен в соответствии с Руководством ИСО [1], статья 3.6.1.8.
3.1.19 функция безопасности: Функция, реализуемая объектом железнодорожного транспорта или его составными частями, которая предназначена для достижения или поддержания безопасного состояния по отношению к конкретному опасному событию.
3.1.20 частота: Количество событий или их итогов на определенную единицу времени.
Примечание - Термин приведен в соответствии с Руководством ИСО [1], статья 3.6.1.5.
3.2 В настоящем стандарте применены следующие сокращения:
ЖТ - железнодорожный транспорт;
УПБ - уровень полноты безопасности;
УР - уровень риска;
УРдоп - допустимый уровень риска;
ЧПС - чистая приведенная стоимость;
ALARP - As Low As Reasonably Practicable; "Риск настолько низок, насколько это практически разумно осуществимо достижимо".
4.1 Цель определения допустимого уровня риска для конкретного опасного события состоит в том, чтобы сформулировать разумные критерии для частоты (или вероятности) опасного события и его последствий, которые в дальнейшем могут быть использованы при оценивании риска.
4.2 Также определение допустимых уровней рисков является частью подхода к заданию требований к полноте безопасности объектов ЖТ, который описан в приложении А.
4.3 Допустимый уровень риска зависит от многих факторов (например, от тяжести последствий, от частоты и длительности подвергания опасности). К числу важных факторов относятся осознание опасности и отношение к ней тех, кто ей подвергается. При определении допустимого уровня риска для конкретного применения, учитывают:
- руководящие указания органов власти, осуществляющих регулирование в области безопасности;
- обсуждения и соглашения между различными сторонами, участвующими в конкретной области применения;
- промышленные стандарты и руководства;
- международные обсуждения и соглашения;
- лучшие независимые промышленные, экспертные и научные рекомендации консультативных органов;
- законодательные требования как общие, так и те, которые непосредственно относятся к конкретной области применения.
4.4 Допустимый уровень риска определяют по принципу ALARP, описание которого приведено в приложении Б.
4.5 Допустимые уровни рисков, полученные по результатам расчетов по оценке величины рисков, проводимых ответственными подразделениями ОАО "РЖД", утверждаются руководством ОАО "РЖД".
5 Порядок определения допустимого уровня риска
5.1 Установление уровня риска предполагает наличие затрат на проведение мероприятий по достижению этого уровня риска для стороны, несущей ответственность за риск.
Допустимый уровень риска в соответствии с принципом ALARP, это такой уровень риска, для которого затраты на его достижение являются экономически эффективными, то есть:
3(УРдоп) <= Зогр, ЧПС > 0,
где Зогр - ограничивающий фактор; в качестве наиболее общего ограничивающего фактора принят максимальный размер затрат, которые готово понести ОАО "РЖД" при возникновении данного вида риска;
- ЧПС - показатель эффективности.
Примечание - Если ограничивающих факторов несколько, то среди них выбирают один, исходя из условия, что ограничение по нему в процессе достижения уровня риска наступает раньше других. Далее рассматривают один ограничивающий фактор.
5.2 ЧПС является разностью между дисконтированной выгодой от достижения более низкого уровня риска и затратами на проведение мероприятий по достижению этого уровня риска за период рассмотрения. Положительная ЧПС указывает на то, что затраты оправданы по данной учетной ставке. ЧПС определяется следующей формулой:
n-1 Зij -Вij
ЧПСj = SUM ------------ , (1)
i i
(1 + r)
где: Зij - затраты на проведение j-ого мероприятия по достижению уровня риска, понесенных за год i;
Вij - выгода от достижения более низкого уровня риска после j-ого мероприятия по достижению уровня риска за год i;
r - учетная ставка;
i - анализируемый год.
5.3 Затраты на проведение мероприятий по достижению заданного уровня риска могут состоять из:
- текущих затрат (операционные издержки, затраты на проведение технического обслуживания и т.д.);
- инвестиций (капитальных затрат).
5.4 Выгоды от достижения более низкого уровня риска могут быть количественно оценены по обобщенной формуле:
K исх исх МСР МСР
Вij = SUM [f х С - f х С ], (2)
k=1 ik ik ik ik
исх
где: f - частота возникновения опасности за год i для k-ого сценария
ik развития опасности для исходного уровня риска;
исх
С - потенциальный размер последствий для k-ого сценария развития
ik опасности за год i для исходного уровня риска;
МСР
f - частота возникновения опасности за год i для k-ого сценария развития
ik опасности для уровня риска, полученного после проведения j-ого
мероприятия по достижению (снижению) уровня риска;
МСР
С - потенциальный размер последствий для k-ого сценария развития
ik опасности за год i для уровня риска, полученного после
проведения j-ого мероприятия по достижению (снижению) уровня риска;
K - количество сценариев развития опасности (например, общее число
конечных событий в дереве событий);
i - анализируемый год.
5.5 В общем случае зависимости затрат З(УР), выгоды В(УР) и ЧПС от уровня риска имеют вид, представленный на рисунке 1.
См. Рисунок 1 - Характер зависимостей 3(УР), В(УР) и ЧПС (если 3 и В - величины одного вида)
5.6 Уровень риска, при котором ЧПС = 0 представляет собой нижнюю границу допустимости для принципа ALARP, т.к. дальнейшие затраты по его еще большему снижению не будут оправданы.
5.7 Чтобы определить верхнюю границу допустимости для принципа ALARP необходимо определить допустимый уровень риска как можно более близкий к оптимальному (см. рисунок 1, точка УРдоп-опт) и удовлетворяющий ограничениям по 5.1.
5.8 Общий порядок определения верхней границы допустимости
5.8.1 По результатам анализа риска получают исходный уровень риска для данной опасности.
Примечание - Анализ риска проводят в соответствии с проектом СТО РЖД Управление ресурсами на этапах жизненного цикла, рисками и анализом надежности (УРРАН). Общие правила оценки и управления рисками
5.8.2 Затем изучают причины возникновения опасности и риска и рассматривают возможные варианты мероприятий по снижению риска (и/или раз личные варианты построения объекта ЖТ - на этапе проектирования).
5.8.3 По каждому мероприятию (варианту) оценивают затраты "Дельта"Зj на снижение риска, возможное уменьшение риска "Дельта"УPj, стоят оптимальную зависимость 3(УР) и определяют прирост эффективности "Дельта"ЧПСj.
5.8.4 Из всех мероприятий выбирают наиболее эффективное ("Дельта"ЧПСj = max), а затем повторяют расчет при новом исходном уровне риска (уровне риска, достигнутом после проведения выбранного мероприятия).
5.8.5 Расчет заканчивают, когда наиболее эффективные из оставшихся мероприятий не может обеспечить экономический выигрыш (достигнут оптимум) или когда исчерпаны выделенные средства на снижение риска.
То есть по результатам вычислений определяют оптимальный уровень риска УРдоп-опт, при котором ЧПС максимальна и затраты на проведение мероприятий по достижению этого уровня риска оптимальны Зопт (см. рисунок 1).
5.9 Частные случаи решения
5.9.1 Если Зогр > Зопт (Зогр1), то в качестве верхней границы допустимости для принципа ALARP принимают значение УРдоп-опт (см. рисунок 1).
5.9.2 Если Зогр < Зопт (Зогр2), то в качестве верхней границы допустимости для принципа ALARP принимают значение УР2 (см. рисунок 1).
(справочное)
Взаимосвязь между допустимыми уровнями риска и уровнями полноты безопасности
А.1 Определение допустимых уровней рисков является частью подхода к заданию требований к полноте безопасности объектов ЖТ, который схематично представлен на рисунке А.1.
См. Рисунок А.1 - Подход к заданию требований к полноте безопасности
В основе этого подхода лежит четкое разделение между условиями эксплуатации и объектом ЖТ. С точки зрения безопасности, это разделение определяется перечнем опасностей и связанных с ними рисков и допустимых уровней этих рисков в рамках объекта ЖТ.
В связи с этим анализ проводится следующим образом:
- анализ "снизу вверх" приводит к выявлению возможных последствий;
- анализ "сверху вниз" приводит к выявлению причин опасностей.
Общий процесс задания требований к полноте безопасности заключается в анализе риска и контроле уровня риска. Анализ риска приводит к допустимым уровням риска, которые являются входными критериями для контроля уровня риска.
Орган по сертификации и безопасности должен дать экспертное заключение по анализу риска и контролю уровня риска.
Примечание - В некоторых случаях, эти шаги не являются полностью независимыми. Контроль уровня риска может привести к изменениям объекта ЖТ, которые предлагают лучшие характеристики безопасности. Дублирование стрелок на рисунке А.1 показывает это. Таким образом, в этих случаях, процесс является итеративным.
А.2 Допустимый уровень риска является целевым показателем по отношению к полноте безопасности. Полнота безопасности может рассматриваться как сочетание поддающихся (как правило, связанных с аппаратным обеспечением, то есть случайные отказы) и не поддающихся (как правило, связанных с программным обеспечением, спецификацией, документацией, процессами и т.д.) количественному измерению факторов.
Полнота безопасности состоит из двух частей:
- полнота безопасности при систематических отказах;
- полнота безопасности при случайных отказах.
Принято считать, что определить количественно можно только полноту безопасности при случайных отказах. Количественную оценку полноты при случайных отказах осуществляют с помощью вероятностных расчетов, на основе известных статистических данных интенсивностей и видов отказов.
Полнота при систематических отказах достигается посредством управления условиями обеспечения качества и безопасности. Так как это не может быть оценено в количественных показателях, используют УПБ для группировки методов и средств, которые, в случае эффективного использования, можно рассматривать в качестве надлежащего уровня уверенности в том, что требования к полноте безопасности выполнены.
А.3 Полнота безопасности определяется как один из четырех дискретных уровней. Уровень 4 характеризует наибольшую полноту безопасности, уровень 1 - наименьшую. Уровень 0 используется, чтобы указать на отсутствие требований безопасности. С помощью УПБ следует рассматривать качественную оценку таких факторов, как управление качеством и безопасностью.
А.4 На этапе жизненного цикла "Требования к объекту ЖТ"(1) допустимые уровни риска распределяются по функциям объекта ЖТ и его составных частей.
--------------------------------
(1) Жизненный цикл объекта ЖТ в соответствии с проектом СТО РЖД Управление ресурсами на этапах жизненного цикла, рисками и анализом надежности (УРРАН). Политика обеспечения безотказности, готовности и ремонтопригодности и безопасности объектов железнодорожного транспорта.
А.5 Каждая из этих функций должна иметь качественный целевой показатель безопасности, а также присущий им количественный целевой показатель. Качественный целевой показатель должен быть в виде УПБ, и должен охватывать полноту безопасности при систематических отказах. Количественный целевой показатель может быть в виде численной интенсивности отказов и должен охватывать полноту безопасности при случайных отказах.
А.6 Важно признать, что достижение определенного УПБ требует соблюдения всех факторов, указанных на рисунке А.2, а именно:
- условия управления качеством,
- условия управления безопасностью,
- технические условия безопасности,
- количественные целевые показатели безопасности.
См. Рисунок А.2 - Взаимосвязь между УПБ и обеспечением выполнения требований к полноте безопасности
А.7 Исполнение специфичных количественных целевых показателей безопасности само по себе не означает, что соответствующий УПБ был достигнут. Также осуществление управления качеством, безопасностью и техническими условиями безопасности, не означает, что соответствующие количественные целевые показатели безопасности или УПБ были достигнуты. Для достижения указанной полноты безопасности необходимо выполнить все факторы на рисунке А.2.
Примечание - Необязательно, что целевой показатель для той или иной функции безопасности может быть обязательно обеспечен за счет одной подсистемы или оборудования. В случае необходимости, требуемый целевой показатель безопасности достигается путем сочетания функций, подсистем и оборудования.
А.8 Взаимосвязь между УПБ и целевыми показателями безопасности УПБ используются в качестве средства согласования качественных подходов (чтобы избежать систематических отказов) с количественным подходом (для контроля случайных отказов). Этот баланс выражается в виде таблицы, которая состоит из перечня уровней полноты безопасности 0, 1, 2, 3, 4 и перечня соответствующих интервалов или диапазонов допустимых уровней рисков УРдоп 0,..., УРдоп 4.
Пример - Для электрических, электронных и программируемых электронных систем соотношение УПБ и допустимых уровней рисков представлено в таблице A.1. В качестве допустимого риска принята допустимая интенсивность отказов системы в час и на функцию.
Таблица А.1 - Таблица УПБ
┌──────────────────────────────┬──────────────────────────────┐
│ Допустимый уровень риска в │ УПБ │
│ час и на функцию │ │
├──────────────────────────────┼──────────────────────────────┤
│ -9 -8 │ │
│ 10 <= УРдоп < 10 │ 4 │
├──────────────────────────────┼──────────────────────────────┤
│ -8 -7 │ │
│ 10 <= УРдоп < 10 │ 3 │
├──────────────────────────────┼──────────────────────────────┤
│ -7 -6 │ │
│ 10 <= УРдоп < 10 │ 2 │
├──────────────────────────────┼──────────────────────────────┤
│ -6 -5 │ │
│ 10 <= УРдоп < 10 │ 1 │
├──────────────────────────────┼──────────────────────────────┤
│ -5 │ │
│ 10 >= УРдоп │ 0 │
└──────────────────────────────┴──────────────────────────────┘
-9 -1
Функция, имеющая количественные требования более жесткие, чем 10 ч
должны рассматриваться одним из следующих способов:
- если это возможно - разделить функцию на функционально независимые подфункции, допустимый уровень риска может быть разделен между этими подфункциями и УПБ присваивается каждой подфункции;
- если функция не может быть разделена, должны быть, по крайней мере, выполнены методы и средства, необходимые для УПБ 4, а функция должна быть использована в сочетании с другими техническими или организационными мерами в целях обеспечения необходимого допустимого уровня риска.
Примечание - В отличие от ГОСТ Р МЭК 61508-1, таблица А.1 имеет только один столбец для частот (прежнее название "высокая интенсивность запросов" или "непрерывный режим") и не имеет колонки для вероятностей отказов по запросу (прежнее название "режим запроса"). Причины ограничения только одним режимом следующие: меньше неоднозначности при определении УПБ, все системы ЖТ с режимом по запросу можно смоделировать в виде системы с непрерывным режимом.
(справочное)
Принцип принятия допустимого риска ALARP
Б.1 Принцип ALARP может быть представлен диаграммой, приведенной на рисунке Б.1.
См. Рисунок Б.1 - Диаграмма ALARP
Б.2 Некоторые риски настолько велики, а последствия настолько неприемлемы, что они недопустимы и не могут быть ни в коем случае оправданы. Верхняя граница определяет уровни риска, которые являются недопустимыми. Если уровень риска не может быть опущен ниже этой границы, тогда риск должен быть исключен.
Б.3 Нижняя граница диаграммы устанавливает широкую область применения, в которой уровень риска считается настолько низкой, что все усилия по его еще большему снижению, скорее всего, не будут оправданы.
Б.4 Зона между верхней и нижней границей называется областью ALARP. Следует подчеркнуть, что недостаточно определить, что какой-либо вид риска расположен в области ALARP. Его следует сделать настолько низким, насколько это достижимо на практике. Существуют различные способы демонстрации ALARP. В ряде случаев достаточно указать, что использованы самые лучшие из имеющихся современных стандартов и практических наработок. В случае новых видов деятельности или когда адекватность современных стандартов и практических наработок находится под сомнением, применяют концепцию анализа затрат и выгод.
Демонстрация использования принципа ALARP при рассмотрении рисков приведена на рисунках А.1. Краткие комментарии к процессу приведены в таблице А.1
См. Рисунок А.1 - Демонстрация использования принципа ALARP
Таблица А.1 - Пояснения к процессу использования принципа ALARP
Блок | Пояснения |
Уровень риска в | Если уровень риска, полученный по результатам |
Уровень риска в | Если уровень риска ниже нижней границы |
Определить возможные | Необходимо определить все возможные варианты |
Качественно оценить | Прежде всего, следует качественно оценить |
Принять решение о | По результатам качественной оценки мероприятий |
Выполнить анализ затрат | Для тех мероприятий, которые не были отобраны для |
Затраты пропорциональны | Мероприятий по снижению риска, для которых затраты |
Проводить мероприятия по | Предполагается, то иногда мероприятия по снижению |
* Верхняя граница допустимости почти всегда определена, а нижняя граница | |
[1] Руководство ИСО 73:2009 Управление рисками - Словарь терминов
(ISO Guide 73:2009) (Risk management - Vocabulary)