Приложение I. Процесс управления рисками. Имплементационный Регламент Европейской Комиссии (ЕС) 402/2013 от 30.04.2013 об общем методе безопасности для выявления и оценки рисков и об отмене Регламента (EC) 352/2009

Приложение I

1. Общие принципы, применяемые к процессу управления рисками

1.1. Общие принципы и обязательства

1.1.1. Процесс управления рисками начинается с определения оцениваемой системы и включает следующие операции:

(a) процесс оценки риска, в ходе которого идентифицируются опасности и риски, а также соответствующие меры безопасности и вытекающие требования безопасности, которые должны выполняться оцениваемой системой;

(b) демонстрация соответствия системы выявленным требованиям безопасности;

(c) управление выявленными опасностями и соответствующими мерами безопасности.

Повторяющийся процесс управления рисками отображен на диаграмме, содержащейся в Дополнении. Процесс завершается, когда будет продемонстрировано соответствие системы всем требованиям безопасности, позволяющим принять риски, связанные с идентифицированными опасностями.

1.1.2. Процесс управления рисками включает надлежащие действия по контролю качества и проводится компетентным персоналом. Один либо несколько оценочных органов производят его независимую оценку.

1.1.3. Инициатор, ответственный за процесс управления риском, ведет реестр опасностей в соответствии с пунктом 4.

1.1.4. Действующие субъекты, уже располагающие методами и инструментами для оценки риска, вправе продолжить их использование при условии, что подобные методы и инструменты соответствуют положениям настоящего Регламента и отвечают следующим условиям:

(a) инструменты и методы оценки риска описаны в системе управления безопасностью, принятой национальным органом безопасности в соответствии со Статьей 10(2)(a) и Статьей 11(1)(a) Директивы 2004/49/EC;

(b) инструменты и методы оценки риска требуются согласно TSI либо соответствуют общедоступным и признанным стандартам, перечисленным в нотифицированных национальных правилах.

1.1.5. Без ущерба гражданской ответственности в соответствии с законными требованиями государств-членов ЕС процесс оценки риска подпадает под ответственность инициатора. В частности, инициатор по договоренности с вовлеченными действующими субъектами решает, кто будет нести ответственность за выполнение требований безопасности, установленных по результатам оценки риска. Требования безопасности, отнесенные инициатором к ответственности определенных действующих субъектов, не должны выходить за пределы объема их ответственности и сферы контроля. Подобное решение зависит от типа мер безопасности, выбранных для сдерживания риска на приемлемом уровне. Демонстрация соответствия требованиям безопасности производится согласно пункту 3.

1.1.6. Первый этап процесса управления риском заключается в том, что инициатор составляет документ, в котором указываются различные задачи действующих субъектов и их мероприятия по управлению рисками. В целях управления опасными факторами и связанными с ними мерами безопасности инициатор несет ответственность за координирование тесного взаимодействия между различными вовлеченными действующими субъектами в соответствии с их поставленными задачами.

1.1.7. Оценка надлежащего применения процесса управления рисками подпадает под ответственность оценочного органа.

1.2. Управление интерфейсами

1.2.1. Без ущерба спецификациям для интерфейсов, определенным соответствующими TSI, субъекты железнодорожного сектора осуществляют сотрудничество в отношении каждого из интерфейсов, относящихся к оцениваемой системе. Подобное сотрудничество требуется в целях обеспечения совместного выявления и управления опасностями и связанными с ними мерами безопасности, необходимыми на указанных интерфейсах. Управление общими рисками на интерфейсах координируется инициатором.

1.2.2. Если при выполнении требования безопасности действующий субъект выявляет необходимость в принятии меры безопасности, которая не может быть имплементирована им самостоятельно, ему надлежит по договоренности с другим действующим субъектом передать последнему полномочия по управлению соответствующей опасностью согласно процессу, установленному в пункте 4.

1.2.3. Любой действующий субъект, обнаруживший, что мера безопасности является несоответствующей либо ненадлежащей в рамках оцениваемой системы, несет ответственность за сообщение об этом инициатору, который, в свою очередь, должен проинформировать действующий субъект, имплементирующий данную меру безопасности.

1.2.4. Действующему субъекту, имплементирующему меру безопасности, надлежит проинформировать всех заинтересованных лиц, которых также затрагивает проблема. Подобное уведомление осуществляется в рамках рассматриваемой системы и в рамках прочих существующих систем, в которых, по сведениям действующего субъекта, используется аналогичная мера безопасности.

1.2.5. В случае если два либо более действующих субъекта не могут прийти к согласию, ответственность за нахождение решения лежит на инициаторе.

1.2.6. Если требование нотифицированного национального правила не может быть выполнено действующим субъектом, инициатору следует проконсультироваться с соответствующим компетентным органом.

1.2.7. Независимо от определения оцениваемой системы инициатор несет ответственность за то, чтобы управление рисками затрагивало саму систему и её интеграцию в железнодорожную систему в целом.

2. Описание процесса оценки риска

2.1. Общее описание

2.1.1. Процесс оценки риска является целостным итерационным процессом, включающим:

(a) определение системы;

(b) анализ риска, включая идентификацию опасностей;

(c) оценку риска.

Процесс оценки риска должен взаимодействовать с управлением опасными факторами согласно пункту 4.1.

2.1.2. Определение системы как минимум затрагивает следующие аспекты:

(a) задача системы (целевое назначение);

(b) системные функции и элементы, где это уместно (включая человеческие, технические и эксплуатационные элементы);

(c) границы системы, включая прочие взаимодействующие системы;

(d) физические (взаимодействующие системы) и функциональные (функциональные входящие и исходящие параметры) интерфейсы;

(e) системная среда (например, энергетический и тепловой поток, ударные нагрузки, вибрации, электромагнитные помехи, эксплуатация);

(f) существующие меры безопасности, а также определение требований безопасности, выявленных в ходе процесса оценки риска, после проведения необходимых и соответствующих итераций;

(g) допущения, определяющие границы для оценки риска.

2.1.3. Идентификация опасностей проводится в рамках определенной системы согласно пункту 2.2.

2.1.4. Приемлемость риска оцениваемой системы определяется с использованием одного либо нескольких следующих принципов приемлемости риска:

(a) применение кодекса практики (пункт 2.3.);

(b) сравнение с аналогичными системами (пункт 2.4);

(c) эксплицитное определение степени риска (пункт 2.5).

В соответствии с принципом, упомянутым в пункте 1.1.5, оценочному органу надлежит воздерживаться от того, чтобы принудительно заставлять инициатора выбирать используемый принцип приемлемости риска.

2.1.5. При оценке риска инициатору необходимо продемонстрировать, что выбранный принцип приемлемости риска применяется надлежащим способом. Инициатор также проверяет систематичность и согласованность использования выбранных принципов приемлемости риска.

2.1.6. Применение указанных принципов приемлемости риска позволяет определить возможные меры безопасности, которые обеспечат приемлемость риска (рисков) рассматриваемой системы. Меры безопасности из числа упомянутых, которые выбраны для контроля риска (рисков), становятся требованиями безопасности к системе. Соответствие данным требованиям безопасности демонстрируется в соответствии с пунктом 3.

2.1.7. Итерационный процесс оценки риска считается завершенным, когда представлены доказательства того, что все требования безопасности выполнены и нет смысла рассматривать какие-либо дополнительные вероятные опасности.

2.2. Идентификация опасностей

2.2.1. Инициатор, используя обширный опыт компетентной команды, систематически выявляет все разумно предсказуемые опасности для оцениваемой системы в целом, а также при необходимости ее функций и интерфейсов.

Все выявленные опасности регистрируются в реестре опасностей согласно пункту 4.

2.2.2. С целью концентрации усилий по оценке риска на самых важных опасностях, опасности классифицируются в соответствии с ожидаемым от них риском. На основании экспертной оценки опасности, связанные с широко приемлемым риском, не подлежат дальнейшему анализу, но вносятся в реестр опасностей. Их классификация обосновывается с целью обеспечения независимой оценки оценочным органом.

2.2.3. В качестве критерия необходимо исходить из того, что риск, вызванный опасностью, классифицируется как широко приемлемый, если он является настолько небольшим, что не требуется имплементации дополнительных мер безопасности. При экспертной оценке необходимо учесть, что воздействие от всех широко приемлемых рисков не превышает определенной доли всех рисков в целом.

2.2.4. В ходе идентификации опасностей могут быть выявлены меры безопасности. Они регистрируются в реестре опасностей согласно пункту 4.

2.2.5. Выявление опасностей проводится исключительно на том уровне детализации, при котором можно определить, где меры безопасности позволят контролировать риск в соответствии с одним из принципов приемлемости риска, упомянутых в пункте 2.1.4. Итерация может потребоваться между фазами анализа и оценки риска до тех пор, пока не будет достигнут уровень детализации, достаточный для идентификации опасностей.

2.2.6. В случае если для контроля риска используется кодекс практики либо эталонная система, идентификация опасностей может ограничиваться:

(a) проверкой уместности кодекса практики и эталонной системы;

(b) идентификацией отклонений от кодекса практики либо эталонной системы.

2.3. Использование кодексов практики и определение риска

2.3.1. Инициатор при поддержке прочих заинтересованных действующих субъектов анализирует: к одной, нескольким либо всем опасностям может быть надлежащим образом применен соответствующий кодекс практики.

2.3.2. Кодексы практики как минимум должны отвечать следующим требованиям:

(a) они должны быть широко признаны в железнодорожной сфере. В противном случае требуется обоснование кодекса практики и его принятие оценочным органом;

(b) они должны подходить для контроля рассматриваемых опасностей в рамках оцениваемой системы. Успешное применение кодекса практики в аналогичных случаях для управления изменениями и эффективного контроля идентифицированных опасностей системы в значении настоящего Регламента может считаться достаточным для того, чтобы рассматривать указанный кодекс практики как подходящий;

(c) по запросу доступ к ним должен предоставляться оценочным органам для проведения оценки либо, где уместно, совместного признания соответствия применения процесса управления рисками и его результатов согласно Статье 15(5).

2.3.3. Если соответствие TSI требуется Директивой 2008/57/EC и применяемые TSI не предполагают использования процесса управления рисками, установленного настоящим Регламентом, TSI возможно рассматривать как кодекс практики для контроля опасностей при условии выполнения требования (b) пункта 2.3.2.

2.3.4. Национальные правила, нотифицированные в соответствии со Статьей 8 Директивы 2004/49/EC и Статьей 17(3) Директивы 2008/57/EC, могут рассматриваться в качестве кодекса практики при условии выполнения требований пункта 2.3.2.

2.3.5. Если одна либо несколько опасностей контролируются кодексом практики, выполняющим требования пункта 2.3.2, риски, связанные с указанными опасностями, рассматриваются как приемлемые. Подобное означает, что:

(a) указанные риски не нужно анализировать далее;

(b) использование кодексов практики регистрируется в реестре опасностей в качестве требования безопасности к соответствующей опасности.

2.3.6. Если альтернативный подход не полностью соответствует кодексу практики, инициатору надлежит продемонстрировать, что используемый альтернативный подход обеспечит по крайней мере аналогичный уровень безопасности.

2.3.7. Если риск от определенной опасности не может быть сведен до приемлемого путем применения кодекса практики, необходимо выявить дополнительные меры безопасности путем применения одного из двух прочих принципов приемлемости риска.

2.3.8. Если опасности контролируются кодексом практики, процесс управления рисками может ограничиваться:

(a) идентификацией опасности в соответствии с пунктом 2.2.6;

(b) регистрацией использования кодекса практики в реестре опасностей согласно пункту 2.3.5;

(c) документацией применения процесса управления рисками согласно пункту 5;

(d) независимой оценкой согласно Статье 6.

2.4. Использование эталонной системы и оценки риска

2.4.1. Инициатор при поддержке прочих заинтересованных действующих субъектов анализирует, одна, несколько либо все опасности надлежащим образом регулируются аналогичной системой, которая может быть взята за эталонную.

2.4.2. Эталонная система должна удовлетворять как минимум следующим требованиям:

(a) в ходе эксплуатации уже должно быть доказано, что система обладает приемлемым уровнем безопасности и потому отвечает требованиям для одобрения со стороны государства-члена ЕС, в котором будет внедряться изменение;

(b) система должна обладать такими же функциями и интерфейсами, что и оцениваемая система;

(c) система должна использоваться в тех же эксплуатационных условиях, что и оцениваемая система;

(d) система должна использоваться в тех же условиях окружающей среды, что и оцениваемая система.

2.4.3. Если эталонная система удовлетворяет требованиям, перечисленным в пункте 2.4.2, то для оцениваемой системы:

(a) риски, связанные с опасностями, предусмотренными в эталонной системе, должны рассматриваться как приемлемые;

(b) требования безопасности к опасностям, предусмотренным эталонной системой, могут быть выработаны на основе анализа безопасности либо оценки показателей безопасности упомянутой системы;

(c) указанные требования безопасности регистрируются в реестре опасностей в качестве требований безопасности к соответствующим опасностям.

2.4.4. Если оцениваемая система отличается от эталонной, оценка риска должна продемонстрировать, что оцениваемая система обеспечивает как минимум такой же уровень безопасности, что и эталонная. Подобное осуществляется путем использования другой эталонной системы либо одного из двух других принципов приемлемости риска. В указанном случае риски, связанные с опасностями, предусмотренными в эталонной системе, рассматриваются как приемлемые.

2.4.5. Если невозможно продемонстрировать как минимум такой же уровень безопасности, что и у эталонной системы, для отклонений необходимо выявить дополнительные меры безопасности с использованием одного из двух других принципов приемлемости риска.

2.5. Точная оценка и определение степени риска

2.5.1. Если на опасность не распространяется ни один из двух принципов приемлемости риска, изложенных в пунктах 2.3 и 2.4, демонстрация приемлемости осуществляется посредством точной оценки и определения степени риска. Риски, связанные с данными опасностями, подлежат количественной либо качественной, либо при необходимости и количественной, и качественной оценке с учетом существующих мер безопасности.

2.5.2. Приемлемость оцененных рисков также определяется с использованием критериев приемлемости риска, основанных на требованиях, содержащихся в законодательстве Сообщества либо в нотифицированных национальных правилах. В зависимости от используемых критериев приемлемость риска определяется индивидуально для каждой связанной с ним опасности либо сочетания опасностей, которые в целом рассматривались при точной оценке риска.

Если оцененный риск не является приемлемым, необходимо выявить и имплементировать дополнительные меры безопасности с целью снижения риска до приемлемого уровня.

2.5.3. Если риск, связанный с отдельно взятой опасностью либо сочетанием нескольких опасностей признается приемлемым, выявленные меры безопасности регистрируются в реестре опасностей.

2.5.4. Инициатор не обязан использовать дополнительную точную оценку в отношении рисков, признанных допустимыми, посредством применения кодексов практик или справочных систем.

2.5.5. Если причиной опасности являются отказы в работе технических систем, без ущерба действию пунктов 2.5.1. и 2.5.4., применяются следующие согласованные расчетные величины:

(а) если отказ системы имеет реальный потенциал привести непосредственно к катастрофическим последствиям, то сопутствующий риск не подлежит дальнейшему снижению, если интенсивность отказов системы проявляется с весьма малой вероятностью;

(b) если отказ системы имеет реальный потенциал привести непосредственно к критическим последствиям, то сопутствующий риск не подлежит дальнейшему снижению, если интенсивность отказов системы проявляется с малой вероятностью.

2.5.6. Без ущерба действию пунктов 2.5.1 и 2.5.4., согласованные расчетные величины, установленные в пункте 2.5.5., должны использоваться для проектирования электрических, электронных и технических систем с программируемой электроникой. Данные величины в значительной степени требуются для целей взаимного признания.

Они не должны использоваться ни как общие количественные показатели для всей железнодорожной сети государств-членов ЕС, ни для проектирования чисто механических технических систем.

Для комбинированных технических систем, состоящих как из чисто механическ