Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Стандарт ОАО "РЖД" СТО РЖД 1.02.034-2010 "Управление ресурсами на этапах жизненного цикла, рисками и анализом надежности (УРРАН). Общие правила оценки и управления рисками"
- Приложение В (справочное). Краткое описание методов анализа риска
Приложение В (справочное). Краткое описание методов анализа риска
Приложение В
(справочное)
Краткое описание методов анализа риска
В.1 Анализ диаграммы возможных последствий события (анализ дерева событий) (ЕТА)
В.1.1 Краткое описание и область применения
ЕТА является индуктивным метода анализа и представляет собой совокупность количественных или качественных приемов, которые используются для идентификации возможных исходов инициирующего события и, если это требуется, их вероятностей.
ЕТА широко используется для объектов ЖТ, которые способствуют снижению аварийности и позволяют выявлять последовательности событий, которые, в свою очередь, приводят к появлению определенных последствий инициирующего события. Предполагается, что каждое событие в последовательности представляет собой либо исправность, либо неисправность. С помощью разветвленной древовидной схемы ЕТА демонстрирует усугубляющие или смягчающие события, возникающие вследствие начального события, при этом учитываются дополнительные системы, функции или барьеры.
Вероятность, связанная с реализацией определенного пути (последовательности) событий, равна произведению условных вероятностей всех событий на этом пути. Следует отметить, что вероятности на "дереве событий" являются условными вероятностями.
Примечание - Эффективным может быть соединение дерева событий с деревом неисправностей. Корень дерева событий может быть вершиной дерева неисправностей. Эта комбинация иногда называется причинно-следственным анализом, в котором FTA используют для анализа причин, а ЕТА - для анализа последствий реализации события.
ЕТА может использоваться на любой стадии жизненного цикла объекта ЖТ.
В.1.2 Исходные данные:
- перечень соответствующих начальных событий;
- информация о способах реагирования, барьерах и средствах контроля, а также вероятность нарушений их функционирования (для количественного анализа);
- описание процессов, с помощью которых возможно развитие начальной неисправности.
В.1.3 Процесс применения
Построение дерева событий начинается с выбора начального события. Функции или системы, используемые для уменьшения последствий, отображаются в виде последовательностей. Для каждой функции или системы проводится линия, отображающая ее срабатывание или несрабатывание. Для каждой линии может определяться отдельная вероятность возникновения нарушения, при этом дается оценка такой условной вероятности - такой оценкой может стать, например, комментарий специалиста или анализ дерева неисправностей. Таким способом моделируются пути развития начального события.
Каждая ветвь дерева подразумевает вероятность того, что все события, расположенные на данной ветви, наступят. Поэтому частота возникновения последствий определяется на основании отдельных условных вероятностей и частоты возникновения начального события, при условии, что события происходят независимо друг от друга.
Принципиальная схема дерева событий приведена на рисунке В.1.
В.1.4 Результаты:
- качественное описание потенциальных опасностей в виде совокупностей событий, приводящих к различным типам нарушений (ряд последствий) вследствие наступления начального события;
- количественная оценка частоты наступления событий или их вероятностей, а также относительной значимости различных последовательностей нарушений и второстепенных условий;
- перечни рекомендаций для снижения рисков;
- количественные оценки эффективности выработанных рекомендаций.
В.1.5 Преимущества
- ЕТА позволяет представить наглядным графическим способом анализ потенциальных сценариев развития событий в результате наступления начального события, а также срабатывания или несрабатывания систем и функций, смягчающих последствия;
- ЕТА учитывает временные рамки, эффект зависимости и "эффект домино", моделирование которых в "дереве неисправностей" представляет определенную трудность;
- ЕТА графически отображает последовательности событий, которые не могут быть представлены в виде дерева неисправностей.
В.1.6 Ограничения и недостатки
- для использования ЕТА в составе комплексного процесса оценки необходимо выявить все потенциальные начальные события. Это возможно при использовании иного метода анализа (например, HAZOP), однако всегда возможна ситуация, когда некоторые значимые начальные события могут быть упущены;
- на дереве событий отображаются только состояния срабатывания или несрабатывания (отказа) системы, однако не предусмотрен учет задержки срабатывания или восстановления функционирования;
- любой путь развития определяется событиями, произошедшими на предыдущей ветке данного пути развития. Поэтому на протяжении возможных путей развития рассматриваются многие взаимозависимости. Но некоторые взаимозависимости - например, общие компоненты, вспомогательные системы и операторы - при недостаточно тщательном анализе могут не учитываться, что может привести к недооценке риска;
- анализ необходимо проводить с особой осторожностью из-за работы с условными вероятностями и независимыми событиями.
В.1.7 Пример
В примере рассматривается конкретный тип системы автоматической переездной сигнализации с световыми сигналами (светофорами), предупреждающими водителей автотранспорта, и предупредительным (контрольным) сигналом (светофором), указывающим машинисту локомотива, защищен переезд или нет. В таблице В.1 указаны основные функциональные узлы примерной системы ПС.
Далее приведено функциональное описание работы этой воображаемой системы ПС при отсутствии отказов, за которым следует схема расположения устройств на переезде, приведенная на рисунке В.2:
1) Приближающийся поезд обнаруживается элементом включения (01), передающим соответствующий сигнал в устройство управления (контроллер 07).
2) Устройство управления (контроллер) выдает команду на включение светофоров сигнализации для водителей автотранспорта (04) и ожидает получения сигнала, указывающего на успешное включение переездной сигнализации.
3) Устройство управления (контроллер) выдает команду на включение предупредительного светофора. Положение по умолчанию - сигнал выключен (является опасным положением). Когда предупредительный светофор выключен, приближающийся поезд должен остановиться перед переездом; поездная бригада при этом обязана включить систему ПС вручную с помощью ключа, что является резервным режимом.
4) Проследование поезда через переезд обнаруживается элементом выключения (02), сигнал от которого передается в устройство управления (контроллер).
5) Устройство управления (контроллер) выдает команду на выключение предупредительного светофора. После некоторой выдержки времени выключаются светофоры сигнализации для водителей автотранспорта.
Таблица В.1 - Основные функциональные узлы системы ПС (пример)
|
N |
Функциональный узел |
Пояснения |
|
01 |
Узел включения |
Обеспечивает включение системы ПС при приближении поезда (реализуется на основе устройств обнаружения колес, например, счетчика осей). |
|
02 |
Узел выключения |
Обеспечивает выключение системы ПС при уходе поезда с переезда (реализуется на основе устройств обнаружения колес, например, счетчика осей). |
|
03 |
Узел контроля |
Обеспечивает индикацию состояния системы ПС машинисту локомотива (например, с помощью предупредительного светофора) или передачу информации на пост централизации с целью контроля действия ПС. |
|
04 |
Система сигнализации для автотранспорта |
Обеспечивает сигнализацию состояния системы ПС водителям автотранспорта и пешеходам. |
|
05 |
Узел нормализации состояния (возврата в исходное состояние) |
Обеспечивает возврат системы ПС в исходное состояние (защита выключена), если, будучи включенной, система не выключается в течение определенного времени (например, вследствие неисправности датчика, остановки поезда перед переездом и т.п.). |
|
06 |
Блок питания |
Состоит из обычной системы электропитания и может в качестве резервного источника питания содержать аккумуляторную батарею, обеспечивающую питание устройств ПС в течение ограниченного времени, например, 2 часов. Напряжение батареи дистанционно контролируется с поста централизации. |
|
07 |
Устройство управления (контроллер) |
Обеспечивает управление работой системы ПС. Представляет собой программируемое электронное устройство, содержащее прикладное программное обеспечение, данные для конкретного переезда и т.д. |
Следует отметить, что функции включения и выключения ПС заданы здесь в виде обычных выключателей, без дублирования. Запуск включения не означает, что системой ПС обеспечивается полная защита, а означает лишь, что информация о приближении поезда к переезду передается; затем дальнейшие действия осуществляются устройством управления (контроллером).
Полный анализ не производится; вместо этого лишь рассматривается одна угроза - "Отказ системы ПС обеспечить защиту публики от поезда". Это можно интерпретировать как охват всех ситуаций, в которых система ПС должна предупреждать публику (о приближении поезда), но оказывается не в состоянии осуществить это.
С целью определения последствий необходимо исследовать сценарий, в котором человек встречается с угрозой H1. Исходя из этого, рассмотривается частный случай водителя автомобиля, приближающегося к незащищенному переезду. Применительно к этому примеру "дерево событий" представлено на рисунке В.3.
В.2 Анализ диаграммы всех возможных последствий несрабатывания или аварии системы (анализ дерева неисправностей (FTA)
В.2.1 Краткое описание и область применения
FTA представляет собой совокупность качественных или количественных приемов, при помощи которых методом дедукции выявляются, выстраиваются в логическую цепь и представляются в графической форме те условия и факторы, которые могут способствовать определенному опасному событию (называемому вершиной событий).
FTA является нисходящим методом анализа. FTA имеет двойное применение: как способ идентификации причины известного отказа и как метод анализа режима отказа, моделирования и прогнозирования надежности.
Применение метода в соответствии с ГОСТ Р 51901.13.
В.2.2 Достоинства:
- разработка может быть начата на ранних этапах жизненного цикла объекта ЖТ и затем разрабатываться более подробно одновременно с развитием объекта ЖТ;
- идентифицирует и систематически регистрирует логические пути неисправности от их появления до основных причин при помощи Булевой алгебры;
- допускает простое преобразование логических моделей в соответствующие вероятностные характеристики;
- FTA предлагает рациональный подход, характеризующийся, с одной стороны, систематичностью, а с другой - достаточной гибкостью, позволяющей провести анализ различных факторов, включая взаимодействия людей и физические законы;
- применение "нисходящего" подхода, характерного для данной методики, позволяет изучить результаты нарушений, непосредственно связанных с итоговым событием;
- FTA особенно эффективен при анализе объектов ЖТ, характеризующихся множеством взаимосвязей и взаимодействий;
- графическое отображение позволяет наглядно продемонстрировать поведение объекта ЖТ и влияющих на него факторов.
В.2.3 Ограничения и недостатки:
- имеет ограничения относительно реконфигурации объектов ЖТ, функционирование которых зависит от их состояния;
Примечание - Эти ограничения можно устранить, применяя FTA в комбинации с марковскими моделями, если марковские модели применяются для основных событий дерева неисправностей.
- неопределенность при определении вероятности наступления базовых событий включается в расчеты вероятности возникновения итогового события. Это может привести к высокому уровню неопределенности, при котором вероятности нарушений при базовых событий точно не известны, однако в детально описанных системах высокий уровень определенности все же возможен;
- в некоторых случаях причинные события не составляют совокупности, поэтому обеспечение полного перечня значимых путей развития, приводящих к возникновению итогового события, может представлять трудность;
- дерево неисправностей является статической моделью; временные взаимозависимости не рассматриваются;
- дерево неисправностей отображает только бинарные оппозиции (исправно/неисправно);
- виды человеческих факторов, приводящих к сбоям, могут рассматриваться только при качественном анализе дерева неисправностей; в общих случаях учет в дереве неисправностей нарушений, связанных с параметрами качества и часто обусловленных человеческим фактором, затруднен;
- учет "эффекта домино" или условных отказов также затруднен в дереве неисправностей.
В.3 Причинно-следственный анализ
В.3.1 Краткое описание и область применения
Причинно-следственный анализ - это совокупность анализа дерева неисправностей и дерева событий. В его основе - критическое событие, последствия которого анализируются с помощью совокупности логических вилок "ДА/НЕТ", описывающих возможные условия или случаи несрабатывания объекта ЖТ, предусмотренных для смягчения последствий начального события. Причины данных условий или неисправностей анализируются с помощью дерева неисправностей.
Как и анализ дерева неисправностей, он используется для отображения логики развития неисправностей, приводящих к критическому событию, однако он дополняет дерево неисправностей, предоставляя возможность анализа неисправностей во временной парадигме. Метод также позволяет включить в анализ последствий временные задержки, чего не предусматривает дерево событий.
В.3.2 Исходные данные
Описание системы и видов ее неисправностей, а также сценариев развития неисправностей.
В.3.3 Процесс применения
Определение критического (или начального) события (эквивалент итогового события в дереве неисправностей и начального события в дереве событий).
Разработка дерева неисправностей и обеспечение его достоверности на предмет причин начального события. При этом используются условные обозначения, аналогичные условным обозначениям при анализе дерева неисправностей.
Определение порядка рассмотрения условий. Он представляет собой логическую последовательность.
Построение путей достижения последствий, находящихся в зависимости от различных условий. Данный механизм похож на построение дерева событий, однако на дереве событий разбивка на пути развития отображена в виде квадратов, в которых вписано конкретное условие.
При условии независимости неисправностей в каждом квадрате условий друг от друга, возможен расчет вероятности наступления каждого последствия. Для этого, во-первых, необходимо определить вероятность наступления каждого результата квадрата, содержащего условие (в случае необходимости используя соответствующее дерево неисправностей). Вероятность наступления любой последовательности, приводящей к конкретному последствию, рассчитывается умножением вероятностей для каждой последовательности, приводящей к определенному следствию. Если к одному и тому же последствию приводят две последовательности или более, добавляются вероятностные показатели по каждой такой последовательности. При наличии взаимозависимостей между неисправностями в последовательности условий (например, отказ в системе электропитания может привести к нарушениям сразу нескольких условий), до проведения расчетов необходимо разрешить данную проблему.
Принципиальная схема причинно-следственного анализа приведена на рисунке В.4.
В.3.4 Результат
Результатом причинно-следственного анализа является графическое представление отказа/сбоя в объекте ЖТ в виде его причин и следствий. Оценка вероятности наступления каждого потенциального последствия основана на анализе вероятности возникновения конкретного условия в результате наступления критического события.
В.3.5 Преимущества
Преимущества причинно-следственного анализа совпадают с преимуществами дерева событий и дерева неисправностей.
Кроме того, данный анализ позволяет устранить некоторые недостатки этих двух методик, так как обеспечивает учет событий, развивающихся с течением времени.
Причинно-следственный анализ обеспечивает комплексное описание системы.
В.3.6 Недостатки
Данный анализ сложнее дерева неисправностей и дерева событий как по построению, так и по способу количественного определения взаимозависимостей.
В.4 Анализ видов и последствий отказов (FMEA) и анализ видов, последствий и критичности отказов (FMECA)
А.4.1 Краткое описание и область применения
Анализ видов и последствий нарушений (FMEA) - это методика, используемая для выявления возможностей нарушения функционирования компонентов, систем или процессов.
FMEA определяет:
- все потенциальные виды нарушений в различных составных частях объекта ЖТ (вид нарушений определяет, что именно обусловливает неправильное функционирование или сбой);
- результаты воздействия таких нарушений на объект ЖТ;
- механизмы нарушений;
- способы предотвращения нарушений и (или) уменьшения их последствий для объекта ЖТ.
Анализ видов и последствий отказов (FMEA) является восходящим методом анализа надежности. Это индуктивный метод, который основан на вопросе "что, если ?"
FMEA является преимущественно качественным методом, хотя его можно представить и в количественной форме, при помощи которого систематически идентифицируются последствия каждого отдельного компонента аварийных состояний.
FMECA - это расширенный вариант FMEA, при котором каждый выявленный вид нарушений классифицируется в соответствии с уровнем его важности или критичности. Анализ критичности обычно является качественным или полуколичественным, однако возможно его количественное представление с использованием данных о фактической частотности нарушений.
FMEA и FMECA обеспечивают вклад в анализ такого рода, как анализ дерева неисправностей (анализ диаграммы всех возможных последствий несрабатывания или аварии системы). Наряду с применением по отношению к компонентам системы FMEA и FMECA могут использоваться и по отношению к ошибке человека; они могут использоваться как для идентификации опасности, так и для оценки вероятности (если только в системе имеет место ограниченный уровень избыточности).
Применение FMEA и FMECA в соответствии с ГОСТ Р 51901.12.
В.4.2 Достоинства:
- систематическая идентификация отношений причин и последствий;
- начальная индикация тех видов отказов, которые, возможно, могут быть критическими, особенно отказов, которые могут повторяться;
- идентификация результатов определенных причин или событий, которые являются важными;
- обеспечение порядка идентификации мер по снижению риска;
- возможность использования в предварительном анализе новых или неиспытанных систем или процессов;
- данные методики широко используются для видов нарушений, связанных с человеческим фактором, оборудованием или системой, а также с аппаратным или программным обеспечением и процедурами;
- определение видов нарушений в работе компонентов, их причин и последствий для объекта ЖТ, а также их представление в удобочитаемом формате;
- отсутствует необходимость дорогостоящих усовершенствований находящегося в эксплуатации оборудования, вследствие выявления недостатков на ранних стадиях процесса проектирования;
- выявление отдельных видов нарушений и установление требований к обязательному объему резервов или уровню безопасности;
- обеспечение ресурсов для разработки программ мониторинга посредством выявления характеристик, подлежащих мониторингу.
В.4.3 Ограничения и недостатки:
- объем выходных данных может быть большим, даже для относительно несложных объектов ЖТ;
- метод может стать сложным и неуправляемым, если нет четкой связи между причиной и последствиями;
- метод не предназначен для анализа временных последовательностей, процессов восстановления, условий окружающей среды, аспектов технического обслуживания и т.д.;
- первоначальная модель критичности усложняется за счет включения конкурирующих факторов;
- данные методики могут использоваться только для выявления отдельных видов нарушений, а не совокупности видов нарушений;
- если не будет обеспечен надлежащий контроль и качество проведения анализа, данные исследования могут потребовать значительных временных и финансовых затрат;
- данные методики из-за повышенной сложности и могут оказаться непригодными для комплексных многосторонних систем.
В.5 Исследование опасности и работоспособности (HAZOP)
В.5.1 Краткое описание и область применения
Исследование опасности и работоспособности (HAZOP) - это детальный процесс идентификации проблем опасности и работоспособности, выполняемый группой специалистов. HAZOP предназначен для идентификации потенциальных отклонений от целей проекта, а также для экспертизы их возможных причин и оценки последствий.
HAZOP особенно полезна при идентификации непредвиденных опасностей, заложенных в объекте ЖТ вследствие недостатка информации при разработке, или опасностей, проявляющихся в существующих объектах ЖТ из-за отклонений в процессе их функционирования.
HAZOP - это качественная методика, основанная на использовании справочных подсказок и предназначенная для определения факторов, которые могут помешать достижению цели проекта, и соответствующих условий эксплуатации на каждом этапе проекта, процесса, процедуры или работы системы.
В основе HAZOP лежит экспертиза с помощью управляющих слов.
Применение HAZOP в соответствии с ГОСТ Р 51901.11.
В.5.2 Преимущества:
- данная методика позволяет осуществлять систематическое и всестороннее изучение системы, процесса или процедуры;
- для проведения HAZOP назначается межотраслевая группа, в состав которой входят как сотрудники, имеющие практический опыт в соответствующей области, так и специалисты, обладающие навыками применения к отклонениям корректирующего реагирования;
- HAZOP позволяет выработать необходимые решения и действия по реагированию на риск;
- HAZOP может проводиться для разных систем, процессов и процедур;
- HAZOP позволяет выявить и рассмотреть причины и последствия воздействия человеческого фактора;
- в процессе проведения HAZOP разрабатывается письменное описание процесса, которое может использоваться для проведения комплексной проверки;
- метод эффективен для обнаружения, как причин, так и последствий отклонений на различных уровнях системы.
В.5.3 Ограничения и недостатки:
- подробный анализ может занять продолжительное время и, соответственно, потребовать больших финансовых затрат;
- подробный анализ требует высокого уровня точности документации или описания характеристик системы/процесса либо процедуры;
- HAZOP больше предназначен для поиска развернутых решений, нежели для рассмотрения базовых допущений (однако данный недостаток может быть компенсирован при реализации поэтапного подхода);
- обсуждение касается вопросов структуры, а не более широких внешних вопросов;
- HAZOP может проводиться только для (проекта) структуры системы и ее назначения и только в пределах и в целях, установленных для группы;
- процесс в значительной степени зависит от профессиональной компетенции разработчиков, от которых требуется достаточная объективность для того, чтобы выявить недостатки собственных проектов.
- HAZOP рассматривает каждую часть системы и исследует воздействие отклонений на каждую часть. Иногда взаимодействие между частями системы является опасным. В этих случаях опасность должна исследоваться более подробно с применением таких методов, как метод дерева событий и анализ дерева неисправностей;
- при использовании любой другой методики идентификации опасностей или проблем работоспособности не может быть гарантии того, что все опасности или проблемы работоспособности идентифицированы. Поэтому исследование сложной системы не должно быть ограничено только исследованием HAZOP. Этот метод используют вместе с другими подходящими методами (например, анализом дерева неисправностей);
- существуют системы, тесно связанные между собой, в которых причины неисправности одной системы могут находиться в другой системе. Локальное совершенствование в этом случае не может устранить реальную причину и неисправность по-прежнему может возникать;
- успех исследования в большой степени зависит от способностей и опыта лидера исследования и взаимодействия между членами группы;
- метод HAZOP предназначен для исследования только частей системы, их элементов и характеристик, указанных в описании проекта. Действия и операции, которых нет в описании проекта, не рассматривают.
В.6 Анализ надежности человека (HRA)
В.6.1 Краткое описание и область применения
Анализ надежности человеческого фактора (HRA) включает распределение функций, задач и ресурсов среди людей и машин и оценку надежности действий человека. Анализ человеческого фактора не является самостоятельной дисциплиной. В этом методе используются такие дисциплины, как психология, физиология, социология, медицина и проектирование.
Цель анализа человеческого фактора - оценка факторов, которые могут воздействовать на надежность действий человека при эксплуатации объекта ЖТ. Эти факторы могут быть внутренними (напряжение, эмоциональное состояние, обучение, побуждения и опыт) или внешними (часы работы, среда, действия диспетчеров, процессов, аппаратных средств).
Оценка связана с влиянием человеческого фактора, а именно операторов и обслуживающего персонала, на работу объекта ЖТ и может быть использована для оценки воздействия ошибок персонала на безопасность и производительность.
При помощи HRA идентифицируются разнообразные типы ошибочных действий, которые могут иметь место, в том числе следующие:
а) ошибка по оплошности, недосмотр, выразившийся в невыполнении требуемого действия;
б) ошибка несоответствия, которая может предусматривать:
1) положение, когда требуемое действие выполняется несоответствующим образом;
2) действие, выполняемое слишком большим или слишком малым усилием либо без требуемой точности;
3) действие, выполняемое в неподходящее для него время;
4) действие (или действия), выполняемое в неправильной очередности;
в) лишнее действие, ненужное действие, выполняемое вместо требуемого действия или в дополнение к нему.
HRA может быть количественным или качественным. Качественный анализ используется для определения возможностей совершения персоналом ошибки и выявления ее причин, благодаря чему вероятность совершения ошибки снижается. Количественный HRA используется для получения данных об ошибках персонала в целях осуществления анализа "дерева неисправностей" и применения иных методик.
Влияние человеческого фактора должно быть определено на всех этапах жизненного цикла объекта ЖТ. Метод применим для рассмотрения объекта ЖТ в целом (включая управление при эксплуатации) и взаимодействия отдельных работников при эксплуатации объекта ЖТ.
В.6.2 Ключевые элементы
Типичными элементами анализа надежности человеческого фактора являются:
- описание персонала, условий его работы и выполняемых задач;
- анализ интерфейсов "человек - машина";
- анализ эффективности функций оператора;
- эффективность анализа ошибки человека при выполнении заданных функций;
- документирование результатов.
В.6.3 Исходные данные:
- информацию о задачах, которые решает персонал;
- типы ошибок, произошедших на практике, и потенциально возможные ошибки;
- информацию о человеческом факторе при возникновении неисправностей и ее количественное выражение.
В.6.4 Процесс применения
Процесс применения HRA состоит из следующих этапов:
1) Определение проблемы: какие функции персонала изучаются/оцениваются?
2) Анализ задачи: каким образом будет решена задача и какие виды вспомогательных мер потребуются для ее решения?
3) Анализ человеческого фактора: какие препятствия могут возникнуть при решении задачи, какие нарушения могут произойти и каким образом они могут быть устранены?
4) Схема: как данные нарушения или препятствия при решении задачи могут быть совмещены с другими событиями аппаратного, программного (внутреннего) или внешнего характера для расчета вероятности наступления сбоя всей системы?
5) Классификация: какие ошибки или задачи не требуют подробного количественного выражения?
6) Количественное выражение: какова вероятность возникновения отдельных препятствий при решении задач или ошибок?
7) Оценка воздействия: какие ошибки или задачи являются наиболее важными, т.е. какие из них оказывают наибольшее воздействие на риск или обеспечение надежности?
8) Снижение возможностей для совершения ошибок: каким образом можно достичь более высокого уровня надежности работы персонала?
9) Документация: какая документация составляется по HRA?
Обычно HRA проводится как пошаговый процесс, но в отдельных случаях (например, при одновременном анализе задач и выявлении ошибок) возможно проведение нескольких исследований одновременно.
В.6.5 Результаты:
- перечень ошибок, которые могут быть совершены, и методов, с помощью которых возможности их совершения могут быть снижены, - предпочтительно посредством внесения изменений в структуру системы;
- выявление видов ошибок, типов их причин и последствий;
- качественная или количественная оценка риска, который представляют данные ошибки.
В.6.6 Преимущества:
- HRA позволяет формально включить анализ ошибок персонала в процесс изучения рисков;
- формальное изучение видов ошибок персонала и способов их совершения может привести к снижению вероятности возникновения неисправности вследствие человеческого фактора;
В.6.7 Ограничения и недостатки:
- сложность и непредсказуемость человеческой психики, что затрудняет определение простейших видов нарушений и вероятности их наступления;
- многие действия человека не могут быть определены простой оппозицией удачное/неудачное действие. HRA не учитывает частичные неисправности, сбои в связи с ненадлежащим качеством или неправильными решениями;
- проведение анализа надежности человеческого фактора системы требует глубокого знания параметров эффективности действий человека;
- если необходимые данные отсутствуют, количественный анализ должен быть основан на экспертной оценке вероятностей человеческих ошибок;
- анализ человеческого фактора редко является частью разработки надежности системы и иногда сложно убедить руководителей проекта начать анализ человеческого фактора или анализ надежности человека.
В.6.8 Пример
Рассмотрим объект ЖТ, для запуска которого используют ключ (например, поезд). Предположим, что этот ключ должен быть заменен на электронную карту (по любой причине). Необходимо оценить влияние этого изменения на работоспособность объекта ЖТ (относительно прежнего решения). Оценку проводят поэтапно.
Этап 1. Рассматривают поведение машиниста в конкретных условиях работы и его взаимодействие с объектом ЖТ при запуске. Задача человека состоит в том, чтобы ввести карту и код для подтверждения своей личности.
Этап 2. Проводят распознавание кода. Интерфейс известен из опыта эксплуатации кассовых аппаратов. Он состоит из читающего устройства, дисплея и числовой клавиатуры для введения личного кода.
Этап 3. Определяют задачи:
а) ввод карты;
б) ввод правильного кода.
Этап 4. Возможные человеческие ошибки приведены в таблице В.2.
Таблица В.2 - Возможные человеческие ошибки
|
Задача этапа 3 |
Человеческая ошибка |
Причина |
Мера предупреждения |
|
а) |
1) Машинист забыл или потерял карту |
Неправильный способ хранения карты |
Установленные способы хранения или футляр для карты, который удобен для машиниста |
|
Невнимательность машиниста |
Проверки наличия карт у машиниста (или напоминание перед началом работы). Обеспечение машиниста резервными картами |
||
|
2) Карта находится в условиях, которые делают ее нечитаемой |
Неправильный способ хранения карты |
Проверки наличия карт у машиниста (или напоминание перед началом работы). Обеспечение машиниста резервными картами |
|
|
Неправильное обращение с картой |
Обучение обращению с картой. Регулярные проверки способов хранения. Обеспечение машиниста бесконтактными картами как альтернативный проект (рентабельность которого должна проверяться) |
||
|
б) |
1) Машинист забыл код |
Плохая память |
Обучение или как альтернатива: машинист выбирает код сам (номер, который является более простым для запоминания) вместо назначения кода системы |
|
|
2) Машинист ввел неправильный код |
Ошибка при вводе кода |
Обеспечение возможности, как минимум, одного повторного набора кода. Дизайн клавиатуры должен быть эргономичным для сокращения ошибок (например, клавиши не должны быть слишком маленькими, должны быть легко читаемыми, клавиатура должна давать подтверждение (сигнал) когда код набран и т.д. |
Эта информация может быть представлена в виде "дерева событий", изображенного на рисунке В.5.
|
Параметр |
Значение |
Замечание |
|
|
|
Машинист знает, что должен быть внимателен и аккуратен при работе с картой, обеспечивать надлежащее хранение карты и выполнять необходимые проверки |
|
|
|
Необходим футляр для карты |
|
|
|
Машинисту позволили выбрать свой код: он знает последствия, например, задержки поезда |
|
|
|
Эргономично разработанная клавиатура, но ошибки при наборе кода возможны |
Для "дерева событий" могут быть заданы вероятности каждого перехода. Однако даже в этом примере точные данные или модели не могут быть получены. В данном примере вероятность неработоспособного состояния является суммой вероятностей всех событий.
Результатом человеческой ошибки является вероятность неработоспособного состояния, которая составляет приблизительно 0,01 за поездку и является недопустимой. Если машинист может сделать вторую попытку ввода кода после ошибочного набора, то вероятность ошибки равна . Таким образом, общая оценка вероятности ошибки составляет 0,0004 за поездку (четыре из 10000 поездов опоздают), которая является приемлемой. Разрешение большего количества попыток ввода кода могло бы снизить эту вероятность до 0,0003, но это решение может быть недопустимо с точки зрения безопасности.
В.7 Анализ структурной схемы надежности
В.7.1 Краткое описание и область применения
Метод анализа структурной схемы надежности (RBD) является графическим изображением представления логической схемы системы через подсистемы и/или компоненты и позволяет изобразить пути успеха работоспособности системы в виде логических связей подсистем/ компонентов.
Структурная схема надежности системы должна быть создана в начале разработки концепции.
Применение метода в соответствии с ГОСТ Р 51901.14.
В.7.2 Достоинства:
- RBD часто создают непосредственно по функциональной диаграмме системы. Это позволяет сократить количество конструктивных ошибок и/или систематическое описание функциональных путей системы;
- пригоден для многих типов конфигурации системы, включая параллельные, избыточные, резервные и альтернативные функциональные пути;
- пригоден для полного анализа вариантов при изменении параметров эффективности системы;
- позволяет получить простые логические модели путей функционирования и отказа системы (например, используя Булеву алгебру);
- пригоден для анализа вклада элементов в надежность системы;
- позволяет строить модели оценки вероятностных характеристик надежности и работоспособности системы;
- дает компактные результаты вероятностных характеристик для системы в целом.
В.7.3 Ограничения:
- не обеспечивает полный анализ неисправностей, то есть пути причина-следствие или следствие-причина не определяются;
- требует наличия вероятностной модели эффективности для каждого элемента диаграммы;
- не позволяет различать преднамеренные и непреднамеренные результаты, если аналитик не предусматривает для того специальных действий;
- направлен прежде всего на анализ работоспособности системы и не распространяется на сложные стратегии ремонта, технического обслуживания или общий анализ работоспособности;
- имеет те же ограничения, что и у методов, применяемых для анализа невосстанавливаемых систем.
B.8 Предварительный анализ опасности (РНА)
В.8.1 Краткое описание и область применения
Предварительный анализ опасности (РНА) представляет собой индуктивный метод анализа, задачей которого является идентификация опасностей, опасных ситуаций и событий, которые могут причинить вред объекту ЖТ.
При проведении РНА вырабатывается перечень опасностей и опасных ситуаций общего характера посредством рассмотрения таких характеристик, как:
а) используемые или производимые материалы и их способность вступать в реакцию;
б) применяемое оборудование;
в) условия окружающей среды;
г) схема расположения;
е) области контакта и взаимодействия между компонентами системы.
Реализация данного метода завершается определением возможностей аварии, качественной оценкой величины возможного вреда или ущерба здоровью, который мог быть нанесен, и идентификацией возможных исправительных мер. РНА должен корректироваться на стадиях проектирования, изготовления и испытания для обнаружения новых опасностей, внесения поправок и его совершенствования. Полученные результаты могут быть представлены различными способами, например в виде таблиц и "деревьев".
Чаще всего РНА принято проводить на ранней стадии разработки проекта, когда мало информации по деталям конструкции и рабочим процедурам, и зачастую он может быть предшественником последующих исследований.
В.8.2 Исходные данные:
- информацию об объекте ЖТ, подлежащем оценке;
- доступные значимые сведения о структуре объекта ЖТ.
В.8.3 Процесс применения
На основе соответствующих данных составляется перечень угроз и типовых опасных ситуаций и рисков. В их состав входят:
- используемые или производимые материалы и их реакционная способность;
- используемое оборудование;
- производственная среда;
- проектная схема;
- взаимосвязь между компонентами объекта ЖТ и т.п.
Для выявления рисков с целью их дальнейшего анализа можно произвести качественный анализ последствий опасных событий и вероятности их наступления.
Результаты предварительного анализа опасностей должны обновляться на стадиях проектирования, построения и испытания с целью выявления новых угроз и внесения корректив, если это необходимо. Полученные результаты могут быть представлены различными способами, например, в виде таблиц или древовидной схемы.
В.8.4 Результаты:
- перечень угроз и рисков;
- рекомендации в отношении принятия рисков, средств контроля, требования к техническим и иным средствам или запрос на проведение более подробной оценки.
В.8.5 Преимущества:
- данный метод может использоваться в условиях ограниченного количества информации;
- данный метод позволяет выявить риск на самой ранней стадии жизненного цикла.
В.8.6 Недостатки:
- анализ основных угроз предусматривает получение только предварительной информации; данный метод не является комплексным и не обеспечивает предоставление подробной информации о рисках и способах их оптимального предотвращения.
В.9 "Мозговой штурм"
В.9.1 Краткое описание и область применения
"Мозговой штурм" - это поощрение и стимулирование свободно протекающей дискуссии в пределах группы компетентных специалистов, что позволяет выявить потенциальные виды нарушений и связанные с ними угрозы, риски, критерии принятия решений и (или) возможности реагирования на такие факторы или риски. Термин "мозговой штурм" часто употребляется для обозначения любых типов групповых обсуждений. На самом деле, "мозговой штурм" предусматривает использование конкретных методик для обеспечения воздействия на воображение участников обсуждения посредством концепций и суждений, высказываемых другими членами группы.
Для данной методики крайне важна эффективная поддержка, которая включает стимулирование обсуждения посредством неожиданных и постоянных реплик, направляющих разговор в другие значимые области, и учет всех идей, возникающих в ходе дискуссии (которая, как правило, проходит достаточно оживленно).
Метод "мозгового штурма" может использоваться как в сочетании с другими методами оценки риска, так и отдельно - в последнем случае он представляет собой методику стимулирования творческого мышления на любой стадии процесса управления риском и на любом этапе жизненного цикла объекта ЖТ.
В основе "мозгового штурма" лежит использование воображения. Поэтому он особенно эффективен при выявлении рисков, связанных с новыми технологиями, при отсутствии фактических данных или при необходимости поиска новаторских решений.
В.9.2 Исходные данные
Группа специалистов, обладающих необходимыми знаниями организации, системы, процесса или приложения, которые нужно оценить.
В.9.3 Процесс применения
Процесс применения данного метода может быть формальным или произвольным. При формальном "мозговом штурме" создается четкая структура, участники заранее подготовлены к обсуждению, задается определенная цель и ожидается конкретный результат, достигаемый посредством оценки выдвигаемых предложений. Произвольный "мозговой штурм" не имеет строгой структуры и часто организуется спонтанно для каждого конкретного случая.
При формальном "мозговом штурме":
- куратор должен подготовить ключевые сообщения и умственные стимуляторы согласно существующей перед обсуждением ситуации;
- участникам обсуждения объясняются правила, перед ними ставятся конкретные цели;
- куратор задает направление дискуссии, каждый участник высказывает свои идеи, определяя максимально возможный круг вопросов. На данном этапе не ставится вопрос о правильности или неправильности таких идей или о том, что участник хотел сказать своим высказыванием, так как это может помещать свободному течению обсуждения. К сведению принимаются любые идеи, и участники не подвергаются критике, благодаря чему группа может быстро развивать свои идеи - тем самым стимулируется широкий подход к вопросу;
- куратор может задать новое направление для обсуждения, если старая тема исчерпана или если дискуссия слишком далеко отклонилась от основной идеи. Однако главной задачей остается получение максимально возможного количества идей для последующего анализа.
В.9.4 Результаты
Результаты зависят от этапа процесса управления риском, на котором применяется данный метод, например, на этапе выявления риска результатом может стать составление перечня рисков и имеющихся средств их контроля.
В.9.5 Преимущества:
- стимулирование работы воображения помогает выявить новые риски и найти новаторские решения;
- в обсуждении принимают участие основные заинтересованные лица, следовательно, данная методика способствует общему взаимодействию сторон;
- быстрота и простота применения методики.
В.9.6 Недостатки:
- участники не всегда обладают необходимой квалификацией и знаниями, чтобы предлагать эффективные решения;
- вследствие отсутствия относительно твердой структуры не всегда можно обеспечить широкий охват процесса, т.е. гарантировать выявление всех потенциальных рисков;
- возможно возникновение специфической групповой динамики, когда участники, способные предлагать значимые решения, не вступают в обсуждение, главную роль в котором получают некомпетентные участники. Данный недостаток может быть преодолен посредством использования компьютерного "мозгового штурма" на платформе сетевого форума или с помощью методики номинальной группы. Параметры компьютерного "мозгового штурма" могут предусматривать анонимность - это позволяет исключить побочные проблемы личного и политического характера, которые могут помешать свободному выражению идей. При использовании номинальных групп анонимные идеи сначала передаются модератору и только после этого обсуждаются группой.
В.10 Метод Делфи
В.10.1 Краткое описание и область применения
Метод Делфи используется для получения единого мнения группы специалистов. Хотя работа в группе чаще всего предполагает использование метода "мозгового штурма", основной чертой метода Делфи при ее изобретении являлось выражение мнений специалистов по отдельности и анонимно при наличии доступа к суждениям других специалистов по ходу проведения анализа.
Методика "Дельфи" может использоваться на любом этапе процесса управления рисками или на любом этапе жизненного цикла объекта ЖТ при возникновении необходимости в получении единого экспертного мнения.
В.10.2 Исходные данные
Набор вариантов, по которым требуется получение единого мнения специалистов.
В.10.3 Процесс применения
Производится опрос группы экспертов с помощью полуструктурированной анкеты. Специалисты не советуются друг с другом, таким образом, сохраняется независимость их мнений.
Процесс применения данного метода состоит из следующих этапов:
- образование группы кураторов для осуществления и контроля использования метода Делфи;
- выбор группы специалистов (один или более экспертный совет);
- разработка анкеты для первого этапа;
- тестирование анкеты;
- направление анкеты всем участникам группы по отдельности;
- проведение анализа ответов, полученных на первом этапе, их объединение и повторное направление специалистам;
- специалисты предоставляют свои ответы, и процесс продолжается до тех пор, пока не будет достигнуто полное единогласие.
В.10.4 Результаты
Единство мнений специалистов по данному вопросу.
В.10.5 Преимущества:
- поскольку мнения выражаются анонимно, высока вероятность предоставления непопулярных, но существенных мнений;
- все мнения равноправны, что позволяет устранить психологическую проблему личностного доминирования;
- специалисты принимают равное участие в достижении результата;
нет необходимости организовывать собрание группы.
В.10.6 Недостатки:
- методика является трудоемкой и требует больших временных затрат;
- участники должны уметь ясно излагать свои мысли в письменном виде.
В.11 Структурированная методика "что, если" (SWIFT)
В.11.1 Краткое описание и область применения
Методика SWIFT первоначально была разработана как более простой вариант HAZOP. Данная методика представляет собой периодическое исследование, проводимое группой в ходе семинара, с использованием набора "ключевых сообщений" от куратора для помощи участникам в процессе выявления риска. Куратор и группа используют стандартные фразы типа "что, если...", совместно с ключевыми сообщениями для выявления способов воздействия отклонений от стандартного функционирования и стандартного режима работы на систему, агрегат, организацию или процедуру. Как правило, SWIFT применяется на системном уровне и обладает меньшей степенью детализации по сравнению с HAZOP.
В.11.2 Исходные данные:
- четко определенные границы исследуемого объекта ЖТ, процедуры, агрегата и (или) изменения;
- профессиональная компетенция и практический опыт исследовательской группы, отбор в которую должен производиться очень тщательно. Если это возможно, в состав группы входят представители всех заинтересованных лиц и сотрудники, в компетенцию которых входит работа с данными агрегатами, системами, изменениями или ситуациями.
В.11.3 Процесс применения
Стандартный процесс применения заключается в следующем:
а) до начала проведения исследования куратор должен подготовить перечень необходимых ключевых сообщений (слов и фраз), основанный на стандарте или заново составленный для обеспечения комплексного рассмотрения угроз или рисков;
б) на семинаре обсуждаются и согласовываются внешние и внутренние факторы для агрегата, системы, изменения или ситуации, а также масштаб исследования;
в) куратор предлагает участникам семинара определить и обсудить:
1) известные риски и угрозы;
2) практический опыт и уже случившиеся происшествия;
3) известные и существующие средства контроля и меры по обеспечению безопасности;
4) нормативные требования и ограничения;
г) во время обсуждения предлагаются вопросы с использованием конструкции "что, если..." и ключевых сообщений. Задачей является стимулирование разработки группой возможных сценариев происшествий, их причин, последствий и воздействия;
д) группа производит обзор выявленных рисков и высказывает предложения по использованию имеющихся средств контроля;
е) описание риска, его причин, последствий и возможных средств контроля согласовывается группой и вносится в документы;
ж) группа определяет, являются ли средства контроля эффективными и соответствующими риску, и согласовывает положение об эффективности средства контроля риска. Если этого недостаточно, группа решает задачи по реагированию на риск и определяет потенциальные средства контроля;
з) в ходе обсуждения задаются дополнительные вопросы с использованием конструкции "что, если..." для выявления дальнейших рисков.
и) куратор использует перечень ключевых сообщений для контроля обсуждения и для предложения дополнительных вопросов и сценариев к обсуждению, проводимому группой;
к) как правило, для расстановки приоритетов по выработанным действиям используется метод качественной или полуколичественной оценки потенциальных рисков. Оценка потенциальных рисков обычно осуществляется посредством учета существующих средств контроля и их эффективности.
В.11.4 Результаты
Результатами является реестр рисков, где представлены запланированные действия или задачи, отнесенные к тому или иному типу риска. Данные задачи могут в дальнейшем использоваться в качестве основы для плана реагирования на риск.
В.11.5 Преимущества:
- он широко применяется для всех форм существующих устройств или систем, ситуаций или обстоятельств, организаций или действий;
- он не требует дополнительной подготовки со стороны группы;
- он реализуется в относительно сжатые сроки, при этом в ходе одного семинара возможно быстрое выявление важнейших угроз и рисков;
- исследование позволяет участникам оценить реакцию объекта ЖТ на отклонения, а не просто изучить последствия отказа того или иного ее компонента;
- он может использоваться для выявления возможностей совершенствования процессов и объектов ЖТ и, как правило, для определения мероприятий, в результате проведения которых возможно обеспечение или расширение возможностей по их успешной эксплуатации;
- участие в семинаре сотрудников, ответственных за существующие средства контроля и за осуществление действий по реагированию на риск, способствует исполнению ими служебных обязанностей;
- для составления перечня рисков и плана реагирования на риски не требуется большого объема ресурсов;
- в то время как качественная и полуколичественная форма классификации риска часто используется для оценки потенциальных рисков и определения приоритетов в отношении соответствующих мер, SWIFT также может использоваться для выявления рисков и угроз, для которых в дальнейшем возможно осуществление количественной оценки.
В.11.6 Недостатки:
- для успешной реализации необходимо наличие опытного и профессионального куратора;
- в целях экономии времени в ходе совещания группы необходима тщательная предварительная подготовка;
- если члены группы не обладают необходимой квалификацией или система ключевых сообщений не является комплексной, некоторые риски или угрозы могут быть не выявлены;
- применение данного метода на общем системном уровне может привести к тому, что комплексные, конкретные или соотносимые друг с другом причины могут быть не выявлены.
В.12 Сценарный анализ
В.12.1 Краткое описание и область применения
Сценарный анализ - это методика разработки формальных моделей вариантов развития событий. Он может использоваться для выявления рисков посредством рассмотрения возможных вариантов сценариев развития событий и изучения их последствий. Различные виды сценариев, описывающих, например, "лучший вариант", "худший вариант" и "ожидаемый вариант", могут использоваться для анализа потенциальных последствий и вероятности их наступления для каждого из вариантов в качестве анализа чувствительности в процессе анализа риска.
Сценарный анализ может использоваться для содействия в принятии решений и планирования стратегий на будущее, а также изучения существующих условий.
Сценарный анализ может использоваться для формулировки предположений о развитии как опасностей, так и благоприятных возможностей, и применяться для всех типов рисков как в долгосрочной, так и в краткосрочной перспективе. При наличии необходимых данных и краткосрочной перспективы сценарий может быть экстраполирован на основании текущих данных. Однако в случае долгосрочной перспективы или недостатка данных сценарный анализ основывается на допущениях и выступает в качестве прогнозного анализа.
Сценарный анализ может использоваться при наличии существенных различий в распределении между положительными и отрицательными результатами в пространстве, времени и между группами в сообществе или организации.
В.12.2 Исходные данные
Необходимые условия для проведения сценарного анализа включают наличие группы людей, имеющих четкое представление о характере соответствующих изменений (например, возможного развития технологий) и обладающих достаточным воображением для составления прогнозов на будущее без экстраполирования прошлых достижений. Полезным ресурсом может являться соответствующая литература и данные об изменениях, происходящих в соответствующий момент времени.
В.12.3 Процесс применения
Структура сценарного анализа может быть формальной или произвольной.
После формирования группы и обеспечения необходимых каналов передачи информации, а также определения условий задачи и круга рассматриваемых вопросов, необходимо определить характер возможных изменений. Это потребует изучения основных тенденций и установления временных рамок для изменений, соответствующих таким тенденциям, а также использования воображения для составления прогнозов на будущее.
Рассматриваемые изменения могут включать:
- внешние изменения (например, в технологиях);
- решения, принимаемые в ближайшем будущем, которые могут иметь различные результаты;
- потребности заинтересованных лиц и возможности их изменения;
- изменения макросреды (законодательные, демографические и т.п.). Некоторые изменения являются неизбежными, некоторые - неопределенными.
В некоторых случаях изменение может возникать в результате последствий, вызванных другими рисками. Например, риск изменения климата приводит к изменению расходов на перевозки продуктов питания. Это влияет на соотношение экспортируемых продуктов и продуктов местного производства.
Локальные и глобальные факторы или тенденции в настоящее время классифицируются по важности и степени неопределенности. Наибольшее внимание необходимо уделить самым важным и самым неопределенным факторам. Ключевые факторы или тенденции сопоставляются друг с другом в виде схемы, для выделения областей, для которых возможен сценарный анализ.
Затем составляется ряд сценариев, каждый из которых рассматривает реально возможное изменение параметров.
После этого для каждого сценария разрабатывается "путь развития", т.е. каким образом текущая ситуация может развиваться по данному сценарию. Пути развития могут включать достоверные подробности, благодаря которым реалистичность сценариев возрастает.
Впоследствии данные сценарии могут использоваться для испытаний или оценки степени важности первоначальной проблемы. При проведении испытания учитываются любые значимые, но предсказуемые факторы (например, принципы использования), после чего оценивается, насколько "успешной" была бы стратегия (действие) для данного нового сценария, и проводится "предварительное тестирование" результатов с использованием конструкций "что, если...", основанных на типовых допущениях.
После проведения оценки степени важности проблемы или предложения по каждому сценарию, очевидна необходимость его изменения для обеспечения большей устойчивости или меньшей степени риска. Необходимо также обеспечить возможность выявления значений некоторых ключевых параметров, по которым определяются такие изменения.
В.12.4 Результаты
Возможно, что оптимальный сценарий выработать не удастся, однако основным результатом должно стать создание четкого представления о ряде возможных вариантов и способах изменений выбранной стратегии в соответствии с изменениями параметров.
В.12.5 Преимущества
Сценарный анализ учитывает ряд возможных вариантов развития будущего, что является преимуществом по сравнению с традиционным подходом, основанным на прогнозах "высокой-средней-низкой" вероятности, допускающим, посредством использования архивных данных, что будущие события будут основаны на продолжении прошлых тенденций. Это особенно важно для ситуаций, когда текущих знаний об источниках составления прогнозов недостаточно или когда рассматриваются риски для долгосрочной перспективы.
Данное преимущество, однако, влечет за собой важный недостаток: при высоком уровне неопределенности некоторые сценарии могут оказаться нереалистичными.
В.12.6 Недостатки
Основные трудности использования сценарного анализа связаны с наличием или отсутствием необходимых данных, а также возможностей лиц, осуществляющих анализ, и руководителей выработать реалистичные сценарии, позволяющие прогнозировать возможные результаты.
Опасность использования сценарного анализа для принятия решений заключается в том, что такой анализ может не иметь надлежащей основы, а данные могут быть спорными, поэтому результаты, которые на самом деле являются нереалистичными, могут быть приняты за реалистичные.
В.13 Анализ причин
В.13.1 Краткое описание и область применения
Анализ причин - это структурированный метод выявления возможных причин опасных событий или нарушений. Данный анализ позволяет произвести классификацию возможных сопутствующих условий по ряду категорий с целью изучения всех возможных гипотез. Однако данный анализ самостоятельно не выявляет фактических причин, так как последние определяются только в ходе эмпирической проверки гипотез и получения их реальных доказательств. Информация представлена в виде диаграммы "рыбий скелет" (также известной как "диаграмма Исикавы") или древовидной схемы.
Анализ причин позволяет представить перечень причин какого-либо результата в структурированном графическом виде.
Анализ причин используется для рассмотрения всех возможных сценариев и причин, выработанных группой специалистов, и позволяет достичь единого мнения о наиболее вероятных причинах, которые затем могут быть проверены эмпирически или путем оценки имеющихся данных. Это особенно необходимо в начале анализа, для стимулирования выражения идей о возможных причинах, а затем - для выработки потенциальных гипотез, которые позднее могут быть изучены более упорядоченно.
Составление схемы причин производится, если возникает необходимость:
- в определении возможных первопричин, базовых предпосылок конкретного результата, нарушения или условия;
- в отборе и сопоставлении некоторых взаимодействий факторов, обуславливающих отдельный процесс;
- в анализе существующих нарушений с целью обеспечения принятия корректирующих мер.
Составление схемы причин позволяет:
- сконцентрировать внимание членов рабочей группы на конкретном нарушении;
- помочь определить первопричины нарушения с помощью структурированного подхода;
- стимулировать участников группы к обсуждению и использовать общие групповые знания о продукте или процессе;
- использовать упорядоченный и удобочитаемый формат для отображения зависимости "причина - результат";
- определить возможные причины изменений, происходящих в процессе;
- выявить области, для которых необходимо получение дополнительных данных в целях дальнейшего исследования.
Анализ причин может использоваться в качестве методики для проведения анализа причин возникновения ущерба.
В.13.2 Исходные данные
Исходными данными для анализа причин могут стать опыт и знания специалистов, участвующих в анализе, или заранее разработанная модель, которая уже применялась в прошлом.
В.13.3 Процесс применения
Анализ причин проводится группой специалистов, обладающих необходимыми знаниями в области решения поставленной проблемы.
Основные этапы осуществления анализа причин:
- определение результата, который затем будет проанализирован, и размещение его на схеме в специально отведенном квадрате. Результат может быть положительным (решение задачи) или отрицательным (проблема), в зависимости от обстоятельств;
- определение основных категорий причин, представленных на диаграмме "рыбий скелет". Как правило, для системной проблемы категориями могут являться люди, оборудование, окружающие условия, процессы и т.п. Однако категории, представленные на схеме, были выработаны для конкретных условий;
- указание ветвей или ответвлений для возможных причин по каждой значимой категории в целях отображения отношений между ними;
- определение отношений через вопросы "почему это возникло?" и "чем это вызвано?" в целях установления связи между причинами;
- обзор всех ветвей для проверки их согласованности и полноты, а также подтверждения того, что все причины относятся к главному результату;
- определение наиболее вероятных причин на основании суждений группы и имеющихся доказательств.
Как правило, результаты отображаются в виде диаграммы "рыбий скелет" (или диаграммы Исикавы) либо древовидной схемы. Диаграмма "рыбий скелет" группирует отдельные причины по крупным категориям (представленным в виде ответвлений от "рыбьего скелета"), на которых расположены ветви и ответвления, обозначающие более конкретные причины в данных категориях.
Древовидная схема по внешнему виду аналогична "дереву неисправностей", при этом часто она представлена в виде горизонтально расположенного дерева. Однако для такой схемы невозможно количественное определение вероятности наступления итогового события, так как причины являются возможными сопутствующими условиями, а не неисправностями с известным показателем вероятности возникновения.
Диаграммы анализа причин обеспечивают, как правило, качественную оценку. Для количественного отображения оценки необходимо принять вероятность наступления проблемы за 1, присвоить степень вероятности общим причинам, затем - частным причинам, на основании представлений о степени их значимости. Однако сопутствующие условия часто взаимодействуют и способствуют наступлению результата более сложными способами, что делает количественный анализ недостоверным.
В.13.4 Результаты
Результатом анализа причин является диаграмма "рыбий скелет" или древовидная диаграмма, отображающая возможные и наиболее вероятные причины. Затем она проверяется и подтверждается эмпирически до начала выработки соответствующих рекомендаций.
В.13.5 Преимущества:
- привлечение специалистов по данной проблеме и их участие в групповых обсуждениях;
- структурный анализ;
- рассмотрение всех возможных гипотез;
- графическое и наглядное представление результатов;
- выявление областей, для которых необходимо получение данных;
- возможность использования данной методики для выявления условий, сопутствующих наступлению как желаемых, так и нежелательных результатов. Рассмотрение вопроса с точки зрения желаемых результатов может способствовать повышению заинтересованности участников в процессе.
В.13.6 Недостатки:
- участники группы могут не обладать надлежащими знаниями;
- данная методика не является комплексной, поэтому для выработки рекомендаций необходимо использовать ее как часть анализа причин возникновения неисправности;
- данная методика является скорее методом графического воспроизведения для осуществления "мозгового штурма", но не отдельной методикой анализа;
- объединение причинных факторов в крупные категории в самом начале анализа может привести к тому, что взаимодействия между категориями могут быть определены неправильно, например, при отказе оборудования, вызванного человеческим фактором, либо в случае, когда происшествия, связанные с людьми, обусловлены недостатками конструкции оборудования.
В.14 Анализ дерева решений
В.14.1 Краткое описание и область применения
Дерево решений - это представление альтернатив и результатов решений в виде последовательностей при учете неопределенных результатов. Данный метод напоминает дерево событий, так как основа схемы - это начальное событие или начальное решение, от которого производится моделирование различных путей развития и результатов возможных событий и дальнейших решений.
Дерево решений используется для управления рисками и в иных условиях при наличии неопределенности - в этом случае дерево решений помогает выбрать оптимальный способ действия.
В.14.2 Исходные данные
План проекта с указанием этапов принятия решений. Информация о возможных результатах принятых решений и о случайных событиях, которые могут повлиять на решения.
В.14.3 Процесс применения
Исходный элемент дерева решений - начальное решение: например, из проектов А и Б выбрать реализацию проекта А. По мере реализации двух гипотетических проектов происходят различные события, при этом возникает необходимость в принятии различных прогнозируемых решений. Они отображаются графически в виде дерева, аналогично дереву событий. Оценка вероятности наступления событий может производиться вместе с оценкой стоимости или полезности окончательного результата соответствующего пути принятия решений.
Информация, относящаяся к оптимальному пути принятия решения, логически представляет собой данные о наиболее высокой ожидаемой эффективности, рассчитанной как результат всех условных вероятностей на протяжении всего пути принятия решений, а также данные о ценности полученного результата.
В.14.4 Результаты:
- логический анализ риска, отображающий различные варианты принимаемых решений;
- расчет ожидаемой ценности каждого возможного пути принятия решений.
В.14.5 Преимущества:
- обеспечение четкого графического представления всей ситуации, связанной с принятием решения;
- обеспечение расчета оптимального пути принятия решения для конкретной ситуации.
В.14.6 Недостатки:
- схемы со слишком сложной структурой могут представлять трудность для понимания;
- при отображении существующих условий в виде древовидной схемы возможно упрощение данных условий.
В.15 Анализ скрытых процессов
В.15.1 Краткое описание и область применения
Анализ скрытых процессов - это методика, предназначенная для выявления ошибок в конструкции. Скрытое условие - это скрытое состояние аппаратного, программного обеспечения или их комплекса, которое может привести к опасному событию или помешать наступлению желаемого события и не является следствием нарушения в работе компонента. Такие условия имеют случайный характер и могут быть не выявлены даже при самой подробной и стандартизированной проверке объекта ЖТ. Скрытые условия могут привести к неправильной эксплуатации, перебоям в работе объекта ЖТ, задержкам в работе ПО и даже к случаям летального исхода или травм персонала.
Инструменты анализа скрытых процессов способны обеспечить интеграцию нескольких методов анализа: "дерева неисправностей", анализа видов и последствий нарушений (FMEA), оценок надежности и т.п., что обеспечивает значительную экономию времени и средств, выделенных на проект.
В.15.2 Исходные данные
Анализ скрытых условий - уникальная методика в процессе конструирования, так как при ее применении используются различные инструменты (древовидные и "лесовидные" сети, указатели или вопросы, предназначенные для помощи сотруднику, проводящему анализ, в выявлении скрытых условий) для поиска конкретного типа нарушения. Древовидные и "лесовидные" сети - это топологические классификации существующей системы. Каждая древовидная сеть обозначает подфункцию: на ней представлены все исходные данные, которые могут повлиять на результат работы подфункции. "Леса" стоятся посредством объединения древовидных сетей, которые позволяют воздействовать на результаты работы отдельной системы. Если "лес" составлен правильно, на нем представлены результаты работы системы в виде всех значимых исходных данных, которые, вместе с прочей информацией, являются также исходными данными для анализа.
В.15.3 Процесс применения
Основные этапы осуществления анализа скрытых условий:
- подготовка данных;
- составления древовидной сети;
- оценка маршрутов сети;
- выработка окончательных рекомендаций и составление отчета.
В.15.4 Результаты
Скрытая цепь - это непредусмотренный маршрут или логический поток в объекте ЖТ, который, при наличии определенных условий, может привести к возникновению нежелательной функции или помешать реализации желаемой функции. Маршрут может состоять из действий в отношении аппаратного, программного обеспечения, действий оператора или совокупности данных действий. Скрытые цепи не являются результатом нарушений в работе аппаратного обеспечения: они возникают вследствие скрытых условий, являющихся, в свою очередь, результатом непреднамеренных ошибок, допущенных в конструкции системы или кодировании программы либо вызываемых человеческим фактором. Существует четыре категории скрытых цепей:
а) скрытые маршруты: незапланированные маршруты тока, энергии или логических потоков последовательностей, развивающиеся в незапланированном направлении;
б) скрытые временные нарушения: события, возникающие в незапланированной или противоречивой последовательности;
в) скрытые указания: неточное или неправильное отображение данных об эксплуатационных условиях объекта ЖТ, на основании которых объект ЖТ или оператор могут осуществить нежелательное действие;
г) скрытые маркировки: неправильные или неточные маркировки функций объекта ЖТ, например, исходных данных объекта ЖТ, средств контроля, шины дисплеев, на основании которых оператор может ввести неверные данные.
В.15.5 Преимущества:
- анализ скрытых условий позволяет выявить ошибки в конструкции;
- наилучший результат достигается при применении анализа скрытых процессов в совокупности с HAZOP;
- анализ скрытых процессов оптимально подходит для объектов ЖТ, характеризующихся различными состояниями, например, для установок периодического и полупериодического действия.
В.15.6 Недостатки:
- процесс может проходить по-разному, в зависимости от сферы применения методики: электрические цепи, установка непрерывного технологического производства, машинное оборудование или программное обеспечение;
- успешный результат применения методики зависит от правильного построения древовидных сетей.
В.16 Анализ марковских цепей
В.16.1 Краткое описание и область применения
Анализ Марковских цепей применяется в случаях, когда состояние объекта ЖТ в будущем зависит только от его состояния в настоящий момент. Он используется для восстанавливаемых объектов ЖТ, которые могут существовать в нескольких состояниях, если при этом анализ блоков надежности для адекватного анализа объекта ЖТ не применим. Методика обеспечивает анализ более сложных объектов ЖТ при использовании процессов Маркова более высокого порядка при соблюдении ограничений модели, математических вычислений и исходных допущений.
Анализ Марковских цепей - количественная методика, которая может применяться в дискретном (оценивается вероятность перехода объекта ЖТ от одного состояния к другому) или непрерывном (оценивается скорость перехода между различными состояниями) вариантах.
Применение метода в соответствии с ГОСТ Р 51901.15.
В.16.5 Преимущества:
- возможность расчета вероятности состояний восстанавливаемой системы, которая может находиться в нескольких состояниях.
В.16.6 Недостатки:
- предполагается, что вероятность перехода в новое состояние является постоянной величиной, а такой переход представляет собой либо возникновение неисправности, либо ее устранение;
- события статистически независимы, поскольку отсутствует зависимость между состояниями системы в будущем и прошлом, за исключением состояний, следующих непосредственно друг за другом;
- необходима информация по всем вероятностям изменения состояния;
- требуется знание операций в матрице;
- результаты расчета могут использовать только подготовленные специалисты;
В.17 Моделирование по методу Монте-Карло
В.17.1 Краткое описание и область применения
Во многих системах моделирование последствий неопределенности с применением аналитических методов недопустимо в связи со сложностью таких систем, однако провести оценку становится возможным, если исходные данные обрабатываются как случайные переменные, а расчет проводится за N циклов (так называемая имитация) при отборе исходных данных для получения N возможных выходных значений для желаемого результата.
Данный метод может применяться в сложных ситуациях, трудных для понимания и решения по аналитической методике. При разработке модели объекта ЖТ возможно использование электронных таблиц и иных традиционных инструментов, при этом имеются более сложные инструменты для учета комплексных требований.
Моделирование по методу Монте-Карло представляет собой средство оценки воздействия неопределенности поведения объектов ЖТ в различных ситуациях. Обычно данный метод применяется при расчете возможных результатов и относительной частотности значений для диапазона количественных измерений в объекте ЖТ - таких как стоимость, длительность, пропускная способность, спрос и т.п. Метод используется для решения одной из перечисленных ниже задач:
- определение распространения неопределенности в традиционных аналитических моделях;
- вероятностный расчет в случае невозможности применения аналитических методик.
В.17.2 Исходные данные
В качестве исходных данных при моделировании по методу Монте-Карло используется модель объекта ЖТ надлежащего качества и информация о типах исходных данных, описание не представленных источников неопределенности и описание ожидаемых результатов расчета. Исходные данные с учетом неопределенности представлены в виде случайных переменных с распределением значений в той или иной степени по уровню неопределенности. Применяется распределение различных видов: однородное, треугольное, по нормальному и логарифмически нормальному закону.
В.17.3 Процесс применения
Применение методики производится следующим образом:
а) Определяется модель или алгоритм, как можно точнее описывающий поведение изучаемого объекта ЖТ.
б) Модель реализуется многократно с использованием случайных чисел для расчета результатов (имитация объекта ЖТ). Если приложению требуется смоделировать воздействие неопределенности, модель представляет собой уравнение, устанавливающее отношение между исходными данными и результатом. Исходные значения отбираются из распределений по соответствующей вероятности, представляющих собой природу неопределенности для данных параметров.
в) В любом случае компьютер рассчитывает модель многократно (часто применяется до 10 тысяч циклов) с использованием различных исходных данных, таким образом формируется массив результатов. Последний может обрабатываться с применением традиционных статистических методов для получения таких сведений, как средние значения, стандартное отклонение, доверительные интервалы.
В.17.4 Результаты
Результатом вычислений может быть единственное значение, как в приведенном выше примере, распределение значений вероятности или частотности или определение функции в составе модели, которая оказывает наибольшее влияние на результат расчета.
В целом, моделирование по методу Монте-Карло применяется для оценки всего распределения возможных результатов или главных составляющих такого распределения, в частности:
- вероятности определенного результата;
- значения результата, в отношении которого у лиц, ответственных за решение задачи, имеется определенная уверенность в том, что он будет или не будет превышен - например, когда такой результат представляет собой объем затрат, вероятность превышения которого составляет 10% или продолжительность работ с вероятностью превышения 80%.
Анализ отношений между исходными данными и результатами может объяснить относительную значимость факторов, и установить, каким показателям следует уделить внимание, чтобы оказать влияние на степень неопределенности результата.
В.17.5 Преимущества:
- принципиально данная методика может применяться в отношении любого распределения значений исходной переменной, в том числе эмпирически установленного на основе опыта наблюдений за соответствующими системами;
- разработка модели представляет собой относительно простую задачу, возможно усовершенствование моделей с учетом новых требований;
- возможно представление любых зависимостей, существующих в реальном мире, в том числе с учетом слабовыраженных факторов, в частности, условных зависимостей;
- предусматривается применение анализа чувствительности для определения сильных и слабых факторов воздействия;
- обеспечивается простое понимание моделей благодаря прозрачности отношения между исходными данными и результатами;
- возможно использование эффективных моделей поведения, в частности, сетей Петри (IEC 62551, в настоящее время разрабатывается) для повышения эффективности моделирования;
- имеются средства измерения точности результата;
- необходимое программное обеспечение предлагается на рынке по сравнительно доступной цене.
В.17.6 Недостатки:
- точность решений зависит от количества циклов моделирования, которые могут быть реализованы (с повышением мощности вычислительных систем данный недостаток становится менее актуальным);
- метод основан на представлении факторов неопределенности параметрами с правильным распределением значений;
- формирование сложных и объемных моделей может представлять сложности, привлечение к их разработке заинтересованных лиц затруднено;
- при использовании метода не всегда возможно уделить надлежащее внимание событиям с низкой вероятностью реализации и значительными последствиями, следовательно, в таком анализе не может учитываться желаемый уровень риска организации.
В.17.7 Пример
Рассмотрим случай, когда два блока системы работают параллельно, а для функционирования системы достаточно, чтобы только один из них был работоспособным. Надежность первого блока составляет 0,9, второго - 0,8. Пример моделирования приведен в таблице В.3.
Таблица В.3 - Пример моделирования по методу Монте-Карло
|
Номер цикла моделирования |
Блок 1 |
Блок 2 |
Система |
||
|
случайное число |
наличие функций |
случайное число |
наличие функций |
||
|
1 |
0,577 243 |
ДА |
0,059 355 |
ДА |
1 |
|
2 |
0,746 909 |
ДА |
0,311 324 |
ДА |
1 |
|
3 |
0,541 728 |
ДА |
0,919 765 |
НЕТ |
1 |
|
4 |
0,423 274 |
ДА |
0,643 514 |
ДА |
1 |
|
5 |
0,917 776 |
НЕТ |
0,539 349 |
ДА |
1 |
|
6 |
0,994 043 |
НЕТ |
0,972 506 |
НЕТ |
0 |
|
7 |
0,082 574 |
ДА |
0,950 241 |
НЕТ |
1 |
|
8 |
0,661 418 |
ДА |
0,919 868 |
НЕТ |
1 |
|
9 |
0,213 376 |
ДА |
0,367 555 |
ДА |
1 |
|
10 |
0,565 657 |
ДА |
0,119 215 |
ДА |
1 |
Генератор случайных чисел выдает число от 0 до 1, которое используется для сравнения вероятности по каждому блоку и определения, находится ли система в работоспособном состоянии. 10 циклов расчета недостаточно, чтобы признать результат 0,9 точным. В обычном случае применяется алгоритм расчета, с помощью которого производится анализ общего результата по мере прохождения циклов моделирования, таким образом обеспечивается достижение необходимого уровня точности. В данном примере результат 0,979 9 был получен по завершении 20 000 циклов.
Описанная модель может быть усовершенствована несколькими способами. Например:
- путем расширения самой модели (модель изменяется таким образом, чтобы второй блок вступал в действие только в случае отказа первого);
- путем замены определенной вероятности на переменную (хороший пример - треугольное распределение) в случаях, когда точное определение вероятности невозможно;
- при применении значения нормы отказов вместе с генератором случайных чисел для определения времени отказа (распределение по экспоненте, распределение Вейбулла или иной алгоритм распределения) и учета сроков ремонта.
Данная методика применяется, в том числе, для оценки неопределенности для финансовых прогнозов, экономической эффективности капиталовложений, себестоимости и сроков реализации проекта, нарушений хода реализации бизнес-процессов и в отношении потребности обеспечения персоналом.
Такое моделирование эффективно используется в случаях, когда аналитические методики не обеспечивают получения актуальных результатов или при наличии факторов неопределенности в исходных данных и результатах.
В.18 Индексы опасностей (риска)
В.18.1 Краткое описание и область применения
Индекс риска - полуколичественная методика измерения уровня риска. Прогноз риска производится путем подсчета баллов по порядковым шкалам. Индексы риска могут применяться для оценки группы рисков по аналогичным критериям, обеспечивающим их сравнимость. Расчет баллов производится для каждой составляющей риска, например, характеристик загрязняющих веществ (их источников), набора возможных путей их распространения и воздействия на их получателей.
По своей сути индексы риска - это количественный подход к классификации и сравнению рисков. Числовые значения позволяют решить задачу управления данными.
В.18.2 Исходные данные
Массив исходных данных формируется в ходе анализа объекта ЖТ или широкого описания контекста ее функционирования. Для этого требуется глубокое понимание всех источников рисков, возможных путей их реализации и параметров, на которые риск может иметь воздействие. Вместе с методикой оценки индексов риска могут применяться такие инструменты, как анализ с использованием древовидных схем и общий анализ решений.
Поскольку выбор порядковых шкал производится, в определенной степени, произвольно, для оценки индекса необходимо наличие данных в достаточном объеме.
В.18.3 Процесс применения
На первом этапе следует понять и описать объект ЖТ. После этого для каждой составляющей риска производится разработка шкал, которые могли бы применяться совместно для формирования составного индекса. Например, в случае экологических рисков производится оценка их источников, путей реализации и получателя (получателей), с учетом того, что в некоторых случаях для одного источника возможно существование нескольких путей реализации и получателей. Отдельные баллы совмещаются согласно схеме, в которой учитываются физические свойства объекта ЖТ. Важно, чтобы баллы по каждой составляющей системы (источники, пути реализации и получатели) были внутренне согласованными и находились в надлежащей взаимосвязи. Баллы могут присваиваться по составляющим риска (вероятность, воздействие, последствия) или в соответствии с факторами, увеличивающими уровень риска.
В отношении баллов могут производиться операции сложения, вычитания, умножения и (или) деления в соответствии с моделью высокого уровня. Учет кумулятивного воздействия производится путем сложения баллов (например, сложение баллов по различным путям реализации рисков). Не допускается применение математических формул к порядковым шкалам. Поэтому после разработки системы баллов необходимо произвести проверки модели путем ее применения к известному объекту ЖТе. Разработка индекса - процесс, требующий учета взаимодействий, и возможно, достижение обоснованного результата потребует перебора нескольких систем сочетания баллов.
Решение проблем, связанных с неопределенностью, может быть осуществлено посредством анализа чувствительности и изучения различных сумм баллов для определения параметров, наиболее чувствительных к изменениям условий.
В.18.4 Результаты
Результат представляет собой последовательность чисел (составных индексов), относящихся к определенному источнику риска, которые могут быть сопоставлены с индексами, полученными для других источников риска в одной системе, либо которые могут быть смоделированы аналогичным образом.
В.18.5 Преимущества:
- индексы - эффективный инструмент классификации рисков;
- методика допускает учет набора факторов, оказывающих влияние на уровень риска, для получения одной численной оценки уровня риска.
В.18.6 Недостатки:
- если процесс (модель) и его выходные данные не прошли надлежащей проверки, результаты анализа могут быть нерелевантными. Тот факт, что результатом анализа является численное представление уровня риска, может быть неправильно истолкован, а полученное значение - неправильно использовано, в частности, в последующем анализе затрат и выгод;
- во многих ситуациях применения индексов отсутствует фундаментальная модель, которая позволила бы определить форму представления шкал для факторов риска (линейные, логарифмические или иные шкалы), также отсутствует модель для определения сочетаемости факторов риска. В таких ситуациях полученная оценка не является надежной по своей природе, и необходимо произвести ее проверку, сравнив результаты анализа с фактическими данными.
|
<< Приложение Б (справочное). Сравнение методов анализа риска |
||
|
Содержание Стандарт ОАО "РЖД" СТО РЖД 1.02.034-2010 "Управление ресурсами на этапах жизненного цикла, рисками и анализом... |