Приложение В (справочное). Краткое описание методов анализа риска. Стандарт ОАО "РЖД" СТО РЖД 1.02.034-2010 "Управление ресурсами на этапах жизненного цикла, рисками и анализом надежности (УРРАН). Общие правила оценки и управления рисками"

Приложение В
(справочное)

Краткое описание методов анализа риска

В.1 Анализ диаграммы возможных последствий события (анализ дерева событий) (ЕТА)

В.1.1 Краткое описание и область применения

ЕТА является индуктивным метода анализа и представляет собой совокупность количественных или качественных приемов, которые используются для идентификации возможных исходов инициирующего события и, если это требуется, их вероятностей.

ЕТА широко используется для объектов ЖТ, которые способствуют снижению аварийности и позволяют выявлять последовательности событий, которые, в свою очередь, приводят к появлению определенных последствий инициирующего события. Предполагается, что каждое событие в последовательности представляет собой либо исправность, либо неисправность. С помощью разветвленной древовидной схемы ЕТА демонстрирует усугубляющие или смягчающие события, возникающие вследствие начального события, при этом учитываются дополнительные системы, функции или барьеры.

Вероятность, связанная с реализацией определенного пути (последовательности) событий, равна произведению условных вероятностей всех событий на этом пути. Следует отметить, что вероятности на "дереве событий" являются условными вероятностями.

Примечание - Эффективным может быть соединение дерева событий с деревом неисправностей. Корень дерева событий может быть вершиной дерева неисправностей. Эта комбинация иногда называется причинно-следственным анализом, в котором FTA используют для анализа причин, а ЕТА - для анализа последствий реализации события.

ЕТА может использоваться на любой стадии жизненного цикла объекта ЖТ.

В.1.2 Исходные данные:

- перечень соответствующих начальных событий;

- информация о способах реагирования, барьерах и средствах контроля, а также вероятность нарушений их функционирования (для количественного анализа);

- описание процессов, с помощью которых возможно развитие начальной неисправности.

В.1.3 Процесс применения

Построение дерева событий начинается с выбора начального события. Функции или системы, используемые для уменьшения последствий, отображаются в виде последовательностей. Для каждой функции или системы проводится линия, отображающая ее срабатывание или несрабатывание. Для каждой линии может определяться отдельная вероятность возникновения нарушения, при этом дается оценка такой условной вероятности - такой оценкой может стать, например, комментарий специалиста или анализ дерева неисправностей. Таким способом моделируются пути развития начального события.

Каждая ветвь дерева подразумевает вероятность того, что все события, расположенные на данной ветви, наступят. Поэтому частота возникновения последствий определяется на основании отдельных условных вероятностей и частоты возникновения начального события, при условии, что события происходят независимо друг от друга.

Принципиальная схема дерева событий приведена на рисунке В.1.

В.1.4 Результаты:

- качественное описание потенциальных опасностей в виде совокупностей событий, приводящих к различным типам нарушений (ряд последствий) вследствие наступления начального события;

- количественная оценка частоты наступления событий или их вероятностей, а также относительной значимости различных последовательностей нарушений и второстепенных условий;

- перечни рекомендаций для снижения рисков;

- количественные оценки эффективности выработанных рекомендаций.

В.1.5 Преимущества

- ЕТА позволяет представить наглядным графическим способом анализ потенциальных сценариев развития событий в результате наступления начального события, а также срабатывания или несрабатывания систем и функций, смягчающих последствия;

- ЕТА учитывает временные рамки, эффект зависимости и "эффект домино", моделирование которых в "дереве неисправностей" представляет определенную трудность;

- ЕТА графически отображает последовательности событий, которые не могут быть представлены в виде дерева неисправностей.

В.1.6 Ограничения и недостатки

- для использования ЕТА в составе комплексного процесса оценки необходимо выявить все потенциальные начальные события. Это возможно при использовании иного метода анализа (например, HAZOP), однако всегда возможна ситуация, когда некоторые значимые начальные события могут быть упущены;

- на дереве событий отображаются только состояния срабатывания или несрабатывания (отказа) системы, однако не предусмотрен учет задержки срабатывания или восстановления функционирования;

- любой путь развития определяется событиями, произошедшими на предыдущей ветке данного пути развития. Поэтому на протяжении возможных путей развития рассматриваются многие взаимозависимости. Но некоторые взаимозависимости - например, общие компоненты, вспомогательные системы и операторы - при недостаточно тщательном анализе могут не учитываться, что может привести к недооценке риска;

- анализ необходимо проводить с особой осторожностью из-за работы с условными вероятностями и независимыми событиями.

В.1.7 Пример

В примере рассматривается конкретный тип системы автоматической переездной сигнализации с световыми сигналами (светофорами), предупреждающими водителей автотранспорта, и предупредительным (контрольным) сигналом (светофором), указывающим машинисту локомотива, защищен переезд или нет. В таблице В.1 указаны основные функциональные узлы примерной системы ПС.

Далее приведено функциональное описание работы этой воображаемой системы ПС при отсутствии отказов, за которым следует схема расположения устройств на переезде, приведенная на рисунке В.2:

1) Приближающийся поезд обнаруживается элементом включения (01), передающим соответствующий сигнал в устройство управления (контроллер 07).

2) Устройство управления (контроллер) выдает команду на включение светофоров сигнализации для водителей автотранспорта (04) и ожидает получения сигнала, указывающего на успешное включение переездной сигнализации.

3) Устройство управления (контроллер) выдает команду на включение предупредительного светофора. Положение по умолчанию - сигнал выключен (является опасным положением). Когда предупредительный светофор выключен, приближающийся поезд должен остановиться перед переездом; поездная бригада при этом обязана включить систему ПС вручную с помощью ключа, что является резервным режимом.

4) Проследование поезда через переезд обнаруживается элементом выключения (02), сигнал от которого передается в устройство управления (контроллер).

5) Устройство управления (контроллер) выдает команду на выключение предупредительного светофора. После некоторой выдержки времени выключаются светофоры сигнализации для водителей автотранспорта.

Таблица В.1 - Основные функциональные узлы системы ПС (пример)

N	Функциональный узел	Пояснения
01	Узел включения	Обеспечивает включение системы ПС при приближении поезда (реализуется на основе устройств обнаружения колес, например, счетчика осей).
02	Узел выключения	Обеспечивает выключение системы ПС при уходе поезда с переезда (реализуется на основе устройств обнаружения колес, например, счетчика осей).
03	Узел контроля	Обеспечивает индикацию состояния системы ПС машинисту локомотива (например, с помощью предупредительного светофора) или передачу информации на пост централизации с целью контроля действия ПС.
04	Система сигнализации для автотранспорта	Обеспечивает сигнализацию состояния системы ПС водителям автотранспорта и пешеходам.
05	Узел нормализации состояния (возврата в исходное состояние)	Обеспечивает возврат системы ПС в исходное состояние (защита выключена), если, будучи включенной, система не выключается в течение определенного времени (например, вследствие неисправности датчика, остановки поезда перед переездом и т.п.).
06	Блок питания	Состоит из обычной системы электропитания и может в качестве резервного источника питания содержать аккумуляторную батарею, обеспечивающую питание устройств ПС в течение ограниченного времени, например, 2 часов. Напряжение батареи дистанционно контролируется с поста централизации.
07	Устройство управления (контроллер)	Обеспечивает управление работой системы ПС. Представляет собой программируемое электронное устройство, содержащее прикладное программное обеспечение, данные для конкретного переезда и т.д.

Следует отметить, что функции включения и выключения ПС заданы здесь в виде обычных выключателей, без дублирования. Запуск включения не означает, что системой ПС обеспечивается полная защита, а означает лишь, что информация о приближении поезда к переезду передается; затем дальнейшие действия осуществляются устройством управления (контроллером).

Полный анализ не производится; вместо этого лишь рассматривается одна угроза - "Отказ системы ПС обеспечить защиту публики от поезда". Это можно интерпретировать как охват всех ситуаций, в которых система ПС должна предупреждать публику (о приближении поезда), но оказывается не в состоянии осуществить это.

С целью определения последствий необходимо исследовать сценарий, в котором человек встречается с угрозой H1. Исходя из этого, рассмотривается частный случай водителя автомобиля, приближающегося к незащищенному переезду. Применительно к этому примеру "дерево событий" представлено на рисунке В.3.

В.2 Анализ диаграммы всех возможных последствий несрабатывания или аварии системы (анализ дерева неисправностей (FTA)

В.2.1 Краткое описание и область применения

FTA представляет собой совокупность качественных или количественных приемов, при помощи которых методом дедукции выявляются, выстраиваются в логическую цепь и представляются в графической форме те условия и факторы, которые могут способствовать определенному опасному событию (называемому вершиной событий).

FTA является нисходящим методом анализа. FTA имеет двойное применение: как способ идентификации причины известного отказа и как метод анализа режима отказа, моделирования и прогнозирования надежности.

Применение метода в соответствии с ГОСТ Р 51901.13.

В.2.2 Достоинства:

- разработка может быть начата на ранних этапах жизненного цикла объекта ЖТ и затем разрабатываться более подробно одновременно с развитием объекта ЖТ;

- идентифицирует и систематически регистрирует логические пути неисправности от их появления до основных причин при помощи Булевой алгебры;

- допускает простое преобразование логических моделей в соответствующие вероятностные характеристики;

- FTA предлагает рациональный подход, характеризующийся, с одной стороны, систематичностью, а с другой - достаточной гибкостью, позволяющей провести анализ различных факторов, включая взаимодействия людей и физические законы;

- применение "нисходящего" подхода, характерного для данной методики, позволяет изучить результаты нарушений, непосредственно связанных с итоговым событием;

- FTA особенно эффективен при анализе объектов ЖТ, характеризующихся множеством взаимосвязей и взаимодействий;

- графическое отображение позволяет наглядно продемонстрировать поведение объекта ЖТ и влияющих на него факторов.

В.2.3 Ограничения и недостатки:

- имеет ограничения относительно реконфигурации объектов ЖТ, функционирование которых зависит от их состояния;

Примечание - Эти ограничения можно устранить, применяя FTA в комбинации с марковскими моделями, если марковские модели применяются для основных событий дерева неисправностей.

- неопределенность при определении вероятности наступления базовых событий включается в расчеты вероятности возникновения итогового события. Это может привести к высокому уровню неопределенности, при котором вероятности нарушений при базовых событий точно не известны, однако в детально описанных системах высокий уровень определенности все же возможен;

- в некоторых случаях причинные события не составляют совокупности, поэтому обеспечение полного перечня значимых путей развития, приводящих к возникновению итогового события, может представлять трудность;

- дерево неисправностей является статической моделью; временные взаимозависимости не рассматриваются;

- дерево неисправностей отображает только бинарные оппозиции (исправно/неисправно);

- виды человеческих факторов, приводящих к сбоям, могут рассматриваться только при качественном анализе дерева неисправностей; в общих случаях учет в дереве неисправностей нарушений, связанных с параметрами качества и часто обусловленных человеческим фактором, затруднен;

- учет "эффекта домино" или условных отказов также затруднен в дереве неисправностей.

В.3 Причинно-следственный анализ

В.3.1 Краткое описание и область применения

Причинно-следственный анализ - это совокупность анализа дерева неисправностей и дерева событий. В его основе - критическое событие, последствия которого анализируются с помощью совокупности логических вилок "ДА/НЕТ", описывающих возможные условия или случаи несрабатывания объекта ЖТ, предусмотренных для смягчения последствий начального события. Причины данных условий или неисправностей анализируются с помощью дерева неисправностей.

Как и анализ дерева неисправностей, он используется для отображения логики развития неисправностей, приводящих к критическому событию, однако он дополняет дерево неисправностей, предоставляя возможность анализа неисправностей во временной парадигме. Метод также позволяет включить в анализ последствий временные задержки, чего не предусматривает дерево событий.

В.3.2 Исходные данные

Описание системы и видов ее неисправностей, а также сценариев развития неисправностей.

В.3.3 Процесс применения

Определение критического (или начального) события (эквивалент итогового события в дереве неисправностей и начального события в дереве событий).

Разработка дерева неисправностей и обеспечение его достоверности на предмет причин начального события. При этом используются условные обозначения, аналогичные условным обозначениям при анализе дерева неисправностей.

Определение порядка рассмотрения условий. Он представляет собой логическую последовательность.

Построение путей достижения последствий, находящихся в зависимости от различных условий. Данный механизм похож на построение дерева событий, однако на дереве событий разбивка на пути развития отображена в виде квадратов, в которых вписано конкретное условие.

При условии независимости неисправностей в каждом квадрате условий друг от друга, возможен расчет вероятности наступления каждого последствия. Для этого, во-первых, необходимо определить вероятность наступления каждого результата квадрата, содержащего условие (в случае необходимости используя соответствующее дерево неисправностей). Вероятность наступления любой последовательности, приводящей к конкретному последствию, рассчитывается умножением вероятностей для каждой последовательности, приводящей к определенному следствию. Если к одному и тому же последствию приводят две последовательности или более, добавляются вероятностные показатели по каждой такой последовательности. При наличии взаимозависимостей между неисправностями в последовательности условий (например, отказ в системе электропитания может привести к нарушениям сразу нескольких условий), до проведения расчетов необходимо разрешить данную проблему.

Принципиальная схема причинно-следственного анализа приведена на рисунке В.4.

В.3.4 Результат

Результатом причинно-следственного анализа является графическое представление отказа/сбоя в объекте ЖТ в виде его причин и следствий. Оценка вероятности наступления каждого потенциального последствия основана на анализе вероятности возникновения конкретного условия в результате наступления критического события.

В.3.5 Преимущества

Преимущества причинно-следственного анализа совпадают с преимуществами дерева событий и дерева неисправностей.

Кроме того, данный анализ позволяет устранить некоторые недостатки этих двух методик, так как обеспечивает учет событий, развивающихся с течением времени.

Причинно-следственный анализ обеспечивает комплексное описание системы.

В.3.6 Недостатки

Данный анализ сложнее дерева неисправностей и дерева событий как по построению, так и по способу количественного определения взаимозависимостей.

В.4 Анализ видов и последствий отказов (FMEA) и анализ видов, последствий и критичности отказов (FMECA)

А.4.1 Краткое описание и область применения

Анализ видов и последствий нарушений (FMEA) - это методика, используемая для выявления возможностей нарушения функционирования компонентов, систем или процессов.

FMEA определяет:

- все потенциальные виды нарушений в различных составных частях объекта ЖТ (вид нарушений определяет, что именно обусловливает неправильное функционирование или сбой);

- результаты воздействия таких нарушений на объект ЖТ;

- механизмы нарушений;

- способы предотвращения нарушений и (или) уменьшения их последствий для объекта ЖТ.

Анализ видов и последствий отказов (FMEA) является восходящим методом анализа надежности. Это индуктивный метод, который основан на вопросе "что, если ?"

FMEA является преимущественно качественным методом, хотя его можно представить и в количественной форме, при помощи которого систематически идентифицируются последствия каждого отдельного компонента аварийных состояний.

FMECA - это расширенный вариант FMEA, при котором каждый выявленный вид нарушений классифицируется в соответствии с уровнем его важности или критичности. Анализ критичности обычно является качественным или полуколичественным, однако возможно его количественное представление с использованием данных о фактической частотности нарушений.

FMEA и FMECA обеспечивают вклад в анализ такого рода, как анализ дерева неисправностей (анализ диаграммы всех возможных последствий несрабатывания или аварии системы). Наряду с применением по отношению к компонентам системы FMEA и FMECA могут использоваться и по отношению к ошибке человека; они могут использоваться как для идентификации опасности, так и для оценки вероятности (если только в системе имеет место ограниченный уровень избыточности).

Применение FMEA и FMECA в соответствии с ГОСТ Р 51901.12.

В.4.2 Достоинства:

- систематическая идентификация отношений причин и последствий;

- начальная индикация тех видов отказов, которые, возможно, могут быть критическими, особенно отказов, которые могут повторяться;

- идентификация результатов определенных причин или событий, которые являются важными;

- обеспечение порядка идентификации мер по снижению риска;

- возможность использования в предварительном анализе новых или неиспытанных систем или процессов;

- данные методики широко используются для видов нарушений, связанных с человеческим фактором, оборудованием или системой, а также с аппаратным или программным обеспечением и процедурами;

- определение видов нарушений в работе компонентов, их причин и последствий для объекта ЖТ, а также их представление в удобочитаемом формате;

- отсутствует необходимость дорогостоящих усовершенствований находящегося в эксплуатации оборудования, вследствие выявления недостатков на ранних стадиях процесса проектирования;

- выявление отдельных видов нарушений и установление требований к обязательному объему резервов или уровню безопасности;

- обеспечение ресурсов для разработки программ мониторинга посредством выявления характеристик, подлежащих мониторингу.

В.4.3 Ограничения и недостатки:

- объем выходных данных может быть большим, даже для относительно несложных объектов ЖТ;

- метод может стать сложным и неуправляемым, если нет четкой связи между причиной и последствиями;

- метод не предназначен для анализа временных последовательностей, процессов восстановления, условий окружающей среды, аспектов технического обслуживания и т.д.;

- первоначальная модель критичности усложняется за счет включения конкурирующих факторов;

- данные методики могут использоваться только для выявления отдельных видов нарушений, а не совокупности видов нарушений;

- если не будет обеспечен надлежащий контроль и качество проведения анализа, данные исследования могут потребовать значительных временных и финансовых затрат;

- данные методики из-за повышенной сложности и могут оказаться непригодными для комплексных многосторонних систем.

В.5 Исследование опасности и работоспособности (HAZOP)

В.5.1 Краткое описание и область применения

Исследование опасности и работоспособности (HAZOP) - это детальный процесс идентификации проблем опасности и работоспособности, выполняемый группой специалистов. HAZOP предназначен для идентификации потенциальных отклонений от целей проекта, а также для экспертизы их возможных причин и оценки последствий.

HAZOP особенно полезна при идентификации непредвиденных опасностей, заложенных в объекте ЖТ вследствие недостатка информации при разработке, или опасностей, проявляющихся в существующих объектах ЖТ из-за отклонений в процессе их функционирования.

HAZOP - это качественная методика, основанная на использовании справочных подсказок и предназначенная для определения факторов, которые могут помешать достижению цели проекта, и соответствующих условий эксплуатации на каждом этапе проекта, процесса, процедуры или работы системы.

В основе HAZOP лежит экспертиза с помощью управляющих слов.

Применение HAZOP в соответствии с ГОСТ Р 51901.11.

В.5.2 Преимущества:

- данная методика позволяет осуществлять систематическое и всестороннее изучение системы, процесса или процедуры;

- для проведения HAZOP назначается межотраслевая группа, в состав которой входят как сотрудники, имеющие практический опыт в соответствующей области, так и специалисты, обладающие навыками применения к отклонениям корректирующего реагирования;

- HAZOP позволяет выработать необходимые решения и действия по реагированию на риск;

- HAZOP может проводиться для разных систем, процессов и процедур;

- HAZOP позволяет выявить и рассмотреть причины и последствия воздействия человеческого фактора;

- в процессе проведения HAZOP разрабатывается письменное описание процесса, которое может использоваться для проведения комплексной проверки;

- метод эффективен для обнаружения, как причин, так и последствий отклонений на различных уровнях системы.

В.5.3 Ограничения и недостатки:

- подробный анализ может занять продолжительное время и, соответственно, потребовать больших финансовых затрат;

- подробный анализ требует высокого уровня точности документации или описания характеристик системы/процесса либо процедуры;

- HAZOP больше предназначен для поиска развернутых решений, нежели для рассмотрения базовых допущений (однако данный недостаток может быть компенсирован при реализации поэтапного подхода);

- обсуждение касается вопросов структуры, а не более широких внешних вопросов;

- HAZOP может проводиться только для (проекта) структуры системы и ее назначения и только в пределах и в целях, установленных для группы;

- процесс в значительной степени зависит от профессиональной компетенции разработчиков, от которых требуется достаточная объективность для того, чтобы выявить недостатки собственных проектов.

- HAZOP рассматривает каждую часть системы и исследует воздействие отклонений на каждую часть. Иногда взаимодействие между частями системы является опасным. В этих случаях опасность должна исследоваться более подробно с применением таких методов, как метод дерева событий и анализ дерева неисправностей;

- при использовании любой другой методики идентификации опасностей или проблем работоспособности не может быть гарантии того, что все опасности или проблемы работоспособности идентифицированы. Поэтому исследование сложной системы не должно быть ограничено только исследованием HAZOP. Этот метод используют вместе с другими подходящими методами (например, анализом дерева неисправностей);

- существуют системы, тесно связанные между собой, в которых причины неисправности одной системы могут находиться в другой системе. Локальное совершенствование в этом случае не может устранить реальную причину и неисправность по-прежнему может возникать;

- успех исследования в большой степени зависит от способностей и опыта лидера исследования и взаимодействия между членами группы;

- метод HAZOP предназначен для исследования только частей системы, их элементов и характеристик, указанных в описании проекта. Действия и операции, которых нет в описании проекта, не рассматривают.

В.6 Анализ надежности человека (HRA)

В.6.1 Краткое описание и область применения

Анализ надежности человеческого фактора (HRA) включает распределение функций, задач и ресурсов среди людей и машин и оценку надежности действий человека. Анализ человеческого фактора не является самостоятельной дисциплиной. В этом методе используются такие дисциплины, как психология, физиология, социология, медицина и проектирование.

Цель анализа человеческого фактора - оценка факторов, которые могут воздействовать на надежность действий человека при эксплуатации объекта ЖТ. Эти факторы могут быть внутренними (напряжение, эмоциональное состояние, обучение, побуждения и опыт) или внешними (часы работы, среда, действия диспетчеров, процессов, аппаратных средств).

Оценка связана с влиянием человеческого фактора, а именно операторов и обслуживающего персонала, на работу объекта ЖТ и может быть использована для оценки воздействия ошибок персонала на безопасность и производительность.

При помощи HRA идентифицируются разнообразные типы ошибочных действий, которые могут иметь место, в том числе следующие:

а) ошибка по оплошности, недосмотр, выразившийся в невыполнении требуемого действия;

б) ошибка несоответствия, которая может предусматривать:

1) положение, когда требуемое действие выполняется несоответствующим образом;

2) действие, выполняемое слишком большим или слишком малым усилием либо без требуемой точности;

3) действие, выполняемое в неподходящее для него время;

4) действие (или действия), выполняемое в неправильной очередности;

в) лишнее действие, ненужное действие, выполняемое вместо требуемого действия или в дополнение к нему.

HRA может быть количественным или качественным. Качественный анализ используется для определения возможностей совершения персоналом ошибки и выявления ее причин, благодаря чему вероятность совершения ошибки снижается. Количественный HRA используется для получения данных об ошибках персонала в целях осуществления анализа "дерева неисправностей" и применения иных методик.

Влияние человеческого фактора должно быть определено на всех этапах жизненного цикла объекта ЖТ. Метод применим для рассмотрения объекта ЖТ в целом (включая управление при эксплуатации) и взаимодействия отдельных работников при эксплуатации объекта ЖТ.

В.6.2 Ключевые элементы

Типичными элементами анализа надежности человеческого фактора являются:

- описание персонала, условий его работы и выполняемых задач;

- анализ интерфейсов "человек - машина";

- анализ эффективности функций оператора;

- эффективность анализа ошибки человека при выполнении заданных функций;

- документирование результатов.

В.6.3 Исходные данные:

- информацию о задачах, которые решает персонал;

- типы ошибок, произошедших на практике, и потенциально возможные ошибки;

- информацию о человеческом факторе при возникновении неисправностей и ее количественное выражение.

В.6.4 Процесс применения

Процесс применения HRA состоит из следующих этапов:

1) Определение проблемы: какие функции персонала изучаются/оцениваются?

2) Анализ задачи: каким образом будет решена задача и какие виды вспомогательных мер потребуются для ее решения?

3) Анализ человеческого фактора: какие препятствия могут возникнуть при решении задачи, какие нарушения могут произойти и каким образом они могут быть устранены?

4) Схема: как данные нарушения или препятствия при решении задачи могут быть совмещены с другими событиями аппаратного, программного (внутреннего) или внешнего характера для расчета вероятности наступления сбоя всей системы?

5) Классификация: какие ошибки или задачи не требуют подробного количественного выражения?

6) Количественное выражение: какова вероятность возникновения отдельных препятствий при решении задач или ошибок?

7) Оценка воздействия: какие ошибки или задачи являются наиболее важными, т.е. какие из них оказывают наибольшее воздействие на риск или обеспечение надежности?

8) Снижение возможностей для совершения ошибок: каким образом можно достичь более высокого уровня надежности работы персонала?

9) Документация: какая документация составляется по HRA?

Обычно HRA проводится как пошаговый процесс, но в отдельных случаях (например, при одновременном анализе задач и выявлении ошибок) возможно проведение нескольких исследований одновременно.

В.6.5 Результаты:

- перечень ошибок, которые могут быть совершены, и методов, с помощью которых возможности их совершения могут быть снижены, - предпочтительно посредством внесения изменений в структуру системы;

- выявление видов ошибок, типов их причин и последствий;

- качественная или количественная оценка риска, который представляют данные ошибки.

В.6.6 Преимущества:

- HRA позволяет формально включить анализ ошибок персонала в процесс изучения рисков;

- формальное изучение видов ошибок персонала и способов их совершения может привести к снижению вероятности возникновения неисправности вследствие человеческого фактора;

В.6.7 Ограничения и недостатки:

- сложность и непредсказуемость человеческой психики, что затрудняет определение простейших видов нарушений и вероятности их наступления;

- многие действия человека не могут быть определены простой оппозицией удачное/неудачное действие. HRA не учитывает частичные неисправности, сбои в связи с ненадлежащим качеством или неправильными решениями;

- проведение анализа надежности человеческого фактора системы требует глубокого знания параметров эффективности действий человека;

- если необходимые данные отсутствуют, количественный анализ должен быть основан на экспертной оценке вероятностей человеческих ошибок;

- анализ человеческого фактора редко является частью разработки надежности системы и иногда сложно убедить руководителей проекта начать анализ человеческого фактора или анализ надежности человека.

В.6.8 Пример

Рассмотрим объект ЖТ, для запуска которого используют ключ (например, поезд). Предположим, что этот ключ должен быть заменен на электронную карту (по любой причине). Необходимо оценить влияние этого изменения на работоспособность объекта ЖТ (относительно прежнего решения). Оценку проводят поэтапно.

Этап 1. Рассматривают поведение машиниста в конкретных условиях работы и его взаимодействие с объектом ЖТ при запуске. Задача человека состоит в том, чтобы ввести карту и код для подтверждения своей личности.

Этап 2. Проводят распознавание кода. Интерфейс известен из опыта эксплуатации кассовых аппаратов. Он состоит из читающего устройства, дисплея и числовой клавиатуры для введения личного кода.

Этап 3. Определяют задачи:

а) ввод карты;

б) ввод правильного кода.

Этап 4. Возможные человеческие ошибки приведены в таблице В.2.

Таблица В.2 - Возможные человеческие ошибки

Задача этапа 3	Человеческая ошибка	Причина	Мера предупреждения
а)	1) Машинист забыл или потерял карту	Неправильный способ хранения карты	Установленные способы хранения или футляр для карты, который удобен для машиниста
		Невнимательность машиниста	Проверки наличия карт у машиниста (или напоминание перед началом работы). Обеспечение машиниста резервными картами
	2) Карта находится в условиях, которые делают ее нечитаемой	Неправильный способ хранения карты	Проверки наличия карт у машиниста (или напоминание перед началом работы). Обеспечение машиниста резервными картами
		Неправильное обращение с картой	Обучение обращению с картой. Регулярные проверки способов хранения. Обеспечение машиниста бесконтактными картами как альтернативный проект (рентабельность которого должна проверяться)
б)	1) Машинист забыл код	Плохая память	Обучение или как альтернатива: машинист выбирает код сам (номер, который является более простым для запоминания) вместо назначения кода системы
	2) Машинист ввел неправильный код	Ошибка при вводе кода	Обеспечение возможности, как минимум, одного повторного набора кода. Дизайн клавиатуры должен быть эргономичным для сокращения ошибок (например, клавиши не должны быть слишком маленькими, должны быть легко читаемыми, клавиатура должна давать подтверждение (сигнал) когда код набран и т.д.

Эта информация может быть представлена в виде "дерева событий", изображенного на рисунке В.5.

Параметр	Значение	Замечание
		Машинист знает, что должен быть внимателен и аккуратен при работе с картой, обеспечивать надлежащее хранение карты и выполнять необходимые проверки
		Необходим футляр для карты
		Машинисту позволили выбрать свой код: он знает последствия, например, задержки поезда
		Эргономично разработанная клавиатура, но ошибки при наборе кода возможны

Для "дерева событий" могут быть заданы вероятности каждого перехода. Однако даже в этом примере точные данные или модели не могут быть получены. В данном примере вероятность неработоспособного состояния является суммой вероятностей всех событий.

Результатом человеческой ошибки является вероятность неработоспособного состояния, которая составляет приблизительно 0,01 за поездку и является недопустимой. Если машинист может сделать вторую попытку ввода кода после ошибочного набора, то вероятность ошибки равна . Таким образом, общая оценка вероятности ошибки составляет 0,0004 за поездку (четыре из 10000 поездов опоздают), которая является приемлемой. Разрешение большего количества попыток ввода кода могло бы снизить эту вероятность до 0,0003, но это решение может быть недопустимо с точки зрения безопасности.

В.7 Анализ структурной схемы надежности

В.7.1 Краткое описание и область применения

Метод анализа структурной схемы надежности (RBD) является графическим изображением представления логической схемы системы через подсистемы и/или компоненты и позволяет изобразить пути успеха работоспособности системы в виде логических связей подсистем/ компонентов.

Структурная схема надежности системы должна быть создана в начале разработки концепции.

Применение метода в соответствии с ГОСТ Р 51901.14.

В.7.2 Достоинства:

- RBD часто создают непосредственно по функциональной диаграмме системы. Это позволяет сократить количество конструктивных ошибок и/или систематическое описание функциональных путей системы;

- пригоден для многих типов конфигурации системы, включая параллельные, избыточные, резервные и альтернативные функциональные пути;

- пригоден для полного анализа вариантов при изменении параметров эффективности системы;

- позволяет получить простые логические модели путей функционирования и отказа системы (например, используя Булеву алгебру);

- пригоден для анализа вклада элементов в надежность системы;

- позволяет строить модели оценки вероятностных характеристик надежности и работоспособности системы;

- дает компактные результаты вероятностных характеристик для системы в целом.

В.7.3 Ограничения:

- не обеспечивает полный анализ неисправностей, то есть пути причина-следствие или следствие-причина не определяются;

- требует наличия вероятностной модели эффективности для каждого элемента диаграммы;

- не позволяет различать преднамеренные и непреднамеренные результаты, если аналитик не предусматривает для того специальных действий;

- направлен прежде всего на анализ работоспособности системы и не распространяется на сложные стратегии ремонта, технического обслуживания или общий анализ работоспособности;

- имеет те же ограничения, что и у методов, применяемых для анализа невосстанавливаемых систем.

B.8 Предварительный анализ опасности (РНА)

В.8.1 Краткое описание и область применения

Предварительный анализ опасности (РНА) представляет собой индуктивный метод анализа, задачей которого является идентификация опасностей, опасных ситуаций и событий, которые могут причинить вред объекту ЖТ.

При проведении РНА вырабатывается перечень опасностей и опасных ситуаций общего характера посредством рассмотрения таких характеристик, как:

а) используемые или производимые материалы и их способность вступать в реакцию;

б) применяемое оборудование;

в) условия окружающей среды;

г) схема расположения;

е) области контакта и взаимодействия между компонентами системы.

Реализация данного метода завершается определением возможностей аварии, качественной оценкой величины возможного вреда или ущерба здоровью, который мог быть нанесен, и идентификацией возможных исправительных мер. РНА должен корректироваться на стадиях проектирования, изготовления и испытания для обнаружения новых опасностей, внесения поправок и его совершенствования. Полученные результаты могут быть представлены различными способами, например в виде таблиц и "деревьев".

Чаще всего РНА принято проводить на ранней стадии разработки проекта, когда мало информации по деталям конструкции и рабочим процедурам, и зачастую он может быть предшественником последующих исследований.

В.8.2 Исходные данные:

- информацию об объекте ЖТ, подлежащем оценке;

- доступные значимые сведения о структуре объекта ЖТ.

В.8.3 Процесс применения

На основе соответствующих данных составляется перечень угроз и типовых опасных ситуаций и рисков. В их состав входят:

- используемые или производимые материалы и их реакционная способность;

- используемое оборудование;

- производственная среда;

- проектная схема;

- взаимосвязь между компонентами объекта ЖТ и т.п.

Для выявления рисков с целью их дальнейшего анализа можно произвести качественный анализ последствий опасных событий и вероятности их наступления.

Результаты предварительного анализа опасностей должны обновляться на стадиях проектирования, построения и испытания с целью выявления новых угроз и внесения корректив, если это необходимо. Полученные результаты могут быть представлены различными способами, например, в виде таблиц или древовидной схемы.

В.8.4 Результаты:

- перечень угроз и рисков;

- рекомендации в отношении принятия рисков, средств контроля, требования к техническим и иным средствам или запрос на проведение более подробной оценки.

В.8.5 Преимущества:

- данный метод может использоваться в условиях ограниченного количества информации;

- данный метод позволяет выявить риск на самой ранней стадии жизненного цикла.

В.8.6 Недостатки:

- анализ основных угроз предусматривает получение только предварительной информации; данный метод не является комплексным и не обеспечивает предоставление подробной информации о рисках и способах их оптимального предотвращения.

В.9 "Мозговой штурм"

В.9.1 Краткое описание и область применения

"Мозговой штурм" - это поощрение и стимулирование свободно протекающей дискуссии в пределах группы компетентных специалистов, что позволяет выявить потенциальные виды нарушений и связанные с ними угрозы, риски, критерии принятия решений и (или) возможности реагирования на такие факторы или риски. Термин "мозговой штурм" часто употребляется для обозначения любых типов групповых обсуждений. На самом деле, "мозговой штурм" предусматривает использование конкретных методик для обеспечения воздействия на воображение участников обсуждения посредством концепций и суждений, высказываемых другими членами группы.

Для данной методики крайне важна эффективная поддержка, которая включает стимулирование обсуждения посредством неожиданных и постоянных реплик, направляющих разговор в другие значимые области, и учет всех идей, возникающих в ходе дискуссии (которая, как правило, проходит достаточно оживленно).

Метод "мозгового штурма" может использоваться как в сочетании с другими методами оценки риска, так и отдельно - в последнем случае он представляет собой методику стимулирования творческого мышления на любой стадии процесса управления риском и на любом этапе жизненного цикла объекта ЖТ.

В основе "мозгового штурма" лежит использование воображения. Поэтому он особенно эффективен при выявлении рисков, связанных с новыми технологиями, при отсутствии фактических данных или при необходимости поиска новаторских решений.

В.9.2 Исходные данные

Группа специалистов, обладающих необходимыми знаниями организации, системы, процесса или приложения, которые нужно оценить.

В.9.3 Процесс применения

Процесс применения данного метода может быть формальным или произвольным. При формальном "мозговом штурме" создается четкая структура, участники заранее подготовлены к обсуждению, задается определенная цель и ожидается конкретный результат, достигаемый посредством оценки выдвигаемых предложений. Произвольный "мозговой штурм" не имеет строгой структуры и часто организуется спонтанно для каждого конкретного случая.

При формальном "мозговом штурме":

- куратор должен подготовить ключевые сообщения и умственные стимуляторы согласно существующей перед обсуждением ситуации;

- участникам обсуждения объясняются правила, перед ними ставятся конкретные цели;

- куратор задает направление дискуссии, каждый участник высказывает свои идеи, определяя максимально возможный круг вопросов. На данном этапе не ставится вопрос о правильности или неправильности таких идей или о том, что участник хотел сказать своим высказыванием, так как это может помещать свободному течению обсуждения. К сведению принимаются любые идеи, и участники не подвергаются критике, благодаря чему группа может быстро развивать свои идеи - тем самым стимулируется широкий подход к вопросу;

- куратор может задать новое направление для обсуждения, если старая тема исчерпана или если дискуссия слишком далеко отклонилась от основной идеи. Однако главной задачей остается получение максимально возможного количества идей для последующего анализа.

В.9.4 Результаты

Результаты зависят от этапа процесса управления риском, на котором применяется данный метод, например, на этапе выявления риска результатом может стать составление перечня рисков и имеющихся средств их контроля.

В.9.5 Преимущества:

- стимулирование работы воображения помогает выявить новые риски и найти новаторские решения;

- в обсуждении принимают участие основные заинтересованные лица, следовательно, данная методика способствует общему взаимодействию сторон;

- быстрота и простота применения методики.

В.9.6 Недостатки:

- участники не всегда обладают необходимой квалификацией и знаниями, чтобы предлагать эффективные решения;

- вследствие отсутствия относительно твердой структуры не всегда можно обеспечить широкий охват процесса, т.е. гарантировать выявление всех потенциальных рисков;

- возможно возникновение специфической групповой динамики, когда участники, способные предлагать значимые решения, не вступают в обсуждение, главную роль в котором получают некомпетентные участники. Данный недостаток может быть преодолен посредством использования компьютерного "мозгового штурма" на платформе сетевого форума или с помощью методики номинальной группы. Параметры компьютерного "мозгового штурма" могут предусматривать анонимность - это позволяет исключить побочные проблемы личного и политического характера, которые могут помешать свободному выражению идей. При использовании номинальных групп анонимные идеи сначала передаются модератору и только после этого обсуждаются группой.

В.10 Метод Делфи

В.10.1 Краткое описание и область применения

Метод Делфи используется для получения единого мнения группы специалистов. Хотя работа в группе чаще всего предполагает использование метода "мозгового штурма", основной чертой метода Делфи при ее изобретении являлось выражение мнений специалистов по отдельности и анонимно при наличии доступа к суждениям других специалистов по ходу проведения анализа.

Методика "Дельфи" может использоваться на любом этапе процесса управления рисками или на любом этапе жизненного цикла объекта ЖТ при возникновении необходимости в получении единого экспертного мнения.

В.10.2 Исходные данные

Набор вариантов, по которым требуется получение единого мнения специалистов.

В.10.3 Процесс применения

Производится опрос группы экспертов с помощью полуструктурированной анкеты. Специалисты не советуются друг с другом, таким образом, сохраняется независимость их мнений.

Процесс применения данного метода состоит из следующих этапов:

- образование группы кураторов для осуществления и контроля использования метода Делфи;

- выбор группы специалистов (один или более экспертный совет);

- разработка анкеты для первого этапа;

- тестирование анкеты;

- направление анкеты всем участникам группы по отдельности;

- проведение анализа ответов, полученных на первом этапе, их объединение и повторное направление специалистам;

- специалисты предоставляют свои ответы, и процесс продолжается до тех пор, пока не будет достигнуто полное единогласие.

В.10.4 Результаты

Единство мнений специалистов по данному вопросу.

В.10.5 Преимущества:

- поскольку мнения выражаются анонимно, высока вероятность предоставления непопулярных, но существенных мнений;

- все мнения равноправны, что позволяет устранить психологическую проблему личностного доминирования;

- специалисты принимают равное участие в достижении результата;

нет необходимости организовывать собрание группы.

В.10.6 Недостатки:

- методика является трудоемкой и требует больших временных затрат;

- участники должны уметь ясно излагать свои мысли в письменном виде.

В.11 Структурированная методика "что, если" (SWIFT)

В.11.1 Краткое описание и область применения

Методика SWIFT первоначально была разработана как более простой вариант HAZOP. Данная методика представляет собой периодическое исследование, проводимое группой в ходе семинара, с использованием набора "ключевых сообщений" от куратора для помощи участникам в процессе выявления риска. Куратор и группа используют стандартные фразы типа "что, если...", совместно с ключевыми сообщениями для выявления способов воздействия отклонений от стандартного функционирования и стандартного режима работы на систему, агрегат, организацию или процедуру. Как правило, SWIFT применяется на системном уровне и обладает меньшей степенью детализации по сравнению с HAZOP.

В.11.2 Исходные данные:

- четко определенные границы исследуемого объекта ЖТ, процедуры, агрегата и (или) изменения;

- профессиональная компетенция и практический опыт исследовательской группы, отбор в которую должен производиться очень тщательно. Если это возможно, в состав группы входят представители всех заинтересованных лиц и сотрудники, в компетенцию которых входит работа с данными агрегатами, системами, изменениями или ситуациями.

В.11.3 Процесс применения

Стандартный процесс применения заключается в следующем:

а) до начала проведения исследования куратор должен подготовить перечень необходимых ключевых сообщений (слов и фраз), основанный на стандарте или заново составленный для обеспечения комплексного рассмотрения угроз или рисков;

б) на семинаре обсуждаются и согласовываются внешние и внутренние факторы для агрегата, системы, изменения или ситуации, а также масштаб исследования;

в) куратор предлагает участникам семинара определить и обсудить:

1) известные риски и угрозы;

2) практический опыт и уже случившиеся происшествия;

3) известные и существующие средства контроля и меры по обеспечению безопасности;

4) нормативные требования и ограничения;

г) во время обсуждения предлагаются вопросы с использованием конструкции "что, если..." и ключевых сообщений. Задачей является стимулирование разработки группой возможных сценариев происшествий, их причин, последствий и воздействия;

д) группа производит обзор выявленных рисков и высказывает предложения по использованию имеющихся средств контроля;

е) описание риска, его причин, последствий и возможных средств контроля согласовывается группой и вносится в документы;

ж) группа определяет, являются ли средства контроля эффективными и соответствующими риску, и согласовывает положение об эффективности средства контроля риска. Если этого недостаточно, группа решает задачи по реагированию на риск и определяет потенциальные средства контроля;

з) в ходе обсуждения задаются дополнительные вопросы с использованием конструкции "что, если..." для выявления дальнейших рисков.

и) куратор использует перечень ключевых сообщений для контроля обсуждения и для предложения дополнительных вопросов и сценариев к обсуждению, проводимому группой;

к) как правило, для расстановки приоритетов по выработанным действиям используется метод качественной или полуколичественной оценки потенциальных рисков. Оценка потенциальных рисков обычно осуществляется посредством учета существующих средств контроля и их эффективности.

В.11.4 Результаты

Результатами является реестр рисков, где представлены запланированные действия или задачи, отнесенные к тому или иному типу риска. Данные задачи могут в дальнейшем использоваться в качестве основы для плана реагирования на риск.

В.11.5 Преимущества:

- он широко применяется для всех форм существующих устройств или систем, ситуаций или обстоятельств, организаций или действий;

- он не требует дополнительной подготовки со стороны группы;

- он реализуется в относительно сжатые сроки, при этом в ходе одного семинара возможно быстрое выявление важнейших угроз и рисков;

- исследование позволяет участникам оценить реакцию объекта ЖТ на отклонения, а не просто изучить последствия отказа того или иного ее компонента;

- он может использоваться для выявления возможностей совершенствования процессов и объектов ЖТ и, как правило, для определения мероприятий, в результате проведения которых возможно обеспечение или расширение возможностей по их успешной эксплуатации;

- участие в семинаре сотрудников, ответственных за существующие средства контроля и за осуществление действий по реагированию на риск, способствует исполнению ими служебных обязанностей;

- для составления перечня рисков и плана реагирования на риски не требуется большого объема ресурсов;

- в то время как качественная и полуколичественная форма классификации риска часто используется для оценки потенциальных рисков и определения приоритетов в отношении соответствующих мер, SWIFT также может использоваться для выявления рисков и угроз, для которых в дальнейшем возможно осуществление количественной оценки.

В.11.6 Недостатки:

- для успешной реализации необходимо наличие опытного и профессионального куратора;

- в целях экономии времени в ходе совещания группы необходима тщательная предварительная подготовка;

- если члены группы не обладают необходимой квалификацией или система ключевых сообщений не является комплексной, некоторые риски или угрозы могут быть не выявлены;

- применение данного метода на общем системном уровне может привести к тому, что комплексные, конкретные или соотносимые друг с другом причины могут быть не выявлены.

В.12 Сценарный анализ

В.12.1 Краткое описание и область применения

Сценарный анализ - это методика разработки формальных моделей вариантов развития событий. Он может использоваться для выявления рисков посредством рассмотрения возможных вариантов сценариев развития событий и изучения их последствий. Различные виды сценариев, описывающих, например, "лучший вариант", "худший вариант" и "ожидаемый вариант", могут использоваться для анализа потенциальных последствий и вероятности их наступления для каждого из вариантов в качестве анализа чувствительности в процессе анализа риска.

Сценарный анализ может использоваться для содействия в принятии решений и планирования стратегий на будущее, а также изучения существующих условий.

Сценарный анализ может использоваться для формулировки предположений о развитии как опасностей, так и благоприятных возможностей, и применяться для всех типов рисков как в долгосрочной, так и в краткосрочной перспективе. При наличии необходимых данных и краткосрочной перспективы сценарий может быть экстраполирован на основании текущих данных. Однако в случае долгосрочной перспективы или недостатка данных сценарный анализ основывается на допущениях и выступает в качестве прогнозного анализа.

Сценарный анализ может использоваться при наличии существенных различий в распределении между положительными и отрицательными результатами в пространстве, времени и между группами в сообществе или организации.

В.12.2 Исходные данные

Необходимые условия для проведения сценарного анализа включают наличие группы людей, имеющих четкое представление о характере соответствующих изменений (например, возможного развития технологий) и обладающих достаточным воображением для составления прогнозов на будущее без экстраполирования прошлых достижений. Полезным ресурсом может являться соответствующая литература и данные об изменениях, происходящих в соответствующий момент времени.

В.12.3 Процесс применения

Структура сценарного анализа может быть формальной или произвольной.

После формирования группы и обеспечения необходимых каналов передачи информации, а также определения условий задачи и круга рассматриваемых вопросов, необходимо определить характер возможных изменений. Это потребует изучения основных тенденций и установления временных рамок для изменений, соответствующих таким тенденциям, а также использования воображения для составления прогнозов на будущее.

Рассматриваемые изменения могут включать:

- внешние изменения (например, в технологиях);

- решения, принимаемые в ближайшем будущем, которые могут иметь различные результаты;

- потребности заинтересованных лиц и возможности их изменения;

- изменения макросреды (законодательные, демографические и т.п.). Некоторые изменения являются неизбежными, некоторые - неопределенными.

В некоторых случаях изменение может возникать в результате последствий, вызванных другими рисками. Например, риск изменения климата приводит к изменению расходов на перевозки продуктов питания. Это влияет на соотношение экспортируемых продуктов и продуктов местного производства.

Локальные и глобальные факторы или тенденции в настоящее время классифицируются по важности и степени неопределенности. Наибольшее внимание необходимо уделить самым важным и самым неопределенным факторам. Ключевые факторы или тенденции сопоставляются друг с другом в виде схемы, для выделения областей, для которых возможен сценарный анализ.

Затем составляется ряд сценариев, каждый из которых рассматривает реально возможное изменение параметров.

После этого для каждого сценария разрабатывается "путь развития", т.е. каким образом текущая ситуация может развиваться по данному сценарию. Пути развития могут включать достоверные подробности, благодаря которым реалистичность сценариев возрастает.

Впоследствии данные сценарии могут использоваться для испытаний или оценки степени важности первоначальной проблемы. При проведении испытания учитываются любые значимые, но предсказуемые факторы (например, принципы использования), после чего оценивается, насколько "успешной" была бы стратегия (действие) для данного нового сценария, и проводится "предварительное тестирование" результатов с использованием конструкций "что, если...", основанных на типовых допущениях.

После проведения оценки степени важности проблемы или предложения по каждому сценарию, очевидна необходимость его изменения для обеспечения большей устойчивости или меньшей степени риска. Необходимо также обеспечить возможность выявления значений некоторых ключевых параметров, по которым определяются такие изменения.

В.12.4 Результаты

Возможно, что оптимальный сценарий выработать не удастся, однако основным результатом должно стать создание четкого представления о ряде возможных вариантов и способах изменений выбранной стратегии в соответствии с изменениями параметров.

В.12.5 Преимущества

Сценарный анализ учитывает ряд возможных вариантов развития будущего, что является преимуществом по сравнению с традиционным подходом, основанным на прогнозах "высокой-средней-низкой" вероятности, допускающим, посредством использования архивных данных, что будущие события будут основаны на продолжении прошлых тенденций. Это особенно важно для ситуаций, когда текущих знаний об источниках составления прогнозов недостаточно или когда рассматриваются риски для долгосрочной перспективы.

Данное преимущество, однако, влечет за собой важный недостаток: при высоком уровне неопределенности некоторые сценарии могут оказаться нереалистичными.

В.12.6 Недостатки

Основные трудности использования сценарного анализа связаны с наличием или отсутствием необходимых данных, а также возможностей лиц, осуществляющих анализ, и руководителей выработать реалистичные сценарии, позволяющие прогнозировать возможные результаты.

Опасность использования сценарного анализа для принятия решений заключается в том, что такой анализ может не иметь надлежащей основы, а данные могут быть спорными, поэтому результаты, которые на самом деле являются нереалистичными, могут быть приняты за реалистичные.

В.13 Анализ причин

В.13.1 Краткое описание и область применения

Анализ причин - это структурированный метод выявления возможных причин опасных событий или нарушений. Данный анализ позволяет произвести классификацию возможных сопутствующих условий по ряду категорий с целью изучения всех возможных гипотез. Однако данный анализ самостоятельно не выявляет фактических причин, так как последние определяются только в ходе эмпирической проверки гипотез и получения их реальных доказательств. Информация представлена в виде диаграммы "рыбий скелет" (также известной как "диаграмма Исикавы") или древовидной схемы.

Анализ причин позволяет представить перечень причин какого-либо результата в структурированном графическом виде.

Анализ причин используется для рассмотрения всех возможных сценариев и причин, выработанных группой специалистов, и позволяет достичь единого мнения о наиболее вероятных причинах, которые затем могут быть проверены эмпирически или путем оценки имеющихся данных. Это особенно необходимо в начале анализа, для стимулирования выражения идей о возможных причинах, а затем - для выработки потенциальных гипотез, которые позднее могут быть изучены более упорядоченно.

Составление схемы причин производится, если возникает необходимость:

- в определении возможных первопричин, базовых предпосылок конкретного результата, нарушения или условия;

- в отборе и сопоставлении некоторых взаимодействий факторов, обуславливающих отдельный процесс;

- в анализе существующих нарушений с целью обеспечения принятия корректирующих мер.

Составление схемы причин позволяет:

- сконцентрировать внимание членов рабочей группы на конкретном нарушении;

- помочь определить первопричины нарушения с помощью структурированного подхода;

- стимулировать участников группы к обсуждению и использовать общие групповые знания о продукте или процессе;

- использовать упорядоченный и удобочитаемый формат для отображения зависимости "причина - рез