Приложение Е (справочное). Типовые методы и модели для системного анализа. Национальный стандарт РФ ГОСТ Р 58494-2019 "Оборудование горно-шахтное. Многофункциональные системы безопасности угольных шахт. Система дистанционного контроля опасных производственных объектов" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 22.08.2019 N 522-ст)

Приложение Е
(справочное)

Типовые методы и модели для системного анализа

Е.1 Методы анализа ключевых статистических показателей

Е.1.1 Методы анализа упреждающих показателей

Методы анализа упреждающих показателей состояния ПБ основаны на статистическом анализе данных, поступивших СДК ОПО за заданный период. Системный анализ значений расчетных показателей и динамики их изменений "по факту наступления событий" дает представление о явных и скрытых недостатках, ожидаемом уровне ПБ на ОПО и возможных предупреждающих мерах для обеспечения и повышения ПБ.

Е.1.1.1 Расчет показателей превышения границ безопасной эксплуатации

Расчет показателей демонстрируется с привязкой к условной классификации событий по приложению В.

Расчет количества СПБ N_С1,C2(t) классов С1, С2 за период t осуществляют по формулам:

,

(Е.1)

где - количество СПБ класса Сi за период t;

- общее число СПБ класса Сi за период t;

- количество контролируемых технологических параметров класса Сi; i = 1, ..., 4.

Расчет частоты СПБ F_C1,C2(t) классов С1, С2 за период t осуществляют по формуле

,

(Е.2)

где - количество СПБ классов Сi, Сj за период t, i = 1, ..., 4; j = 1, ..., 4.

Расчет взвешенного показателя количества СПБ W_С1,C2(t) за период t осуществляют по формуле

,

(Е.3)

где - безразмерный повышающий коэффициент; устанавливают для ОПО на основе статистики СПБ класса Сi (при необходимости), i = 1, ..., 4.

Примечание - В качестве начального для t = 1 год значения повышающего коэффициента K_WCi могут быть заданы безразмерным числом, условно эквивалентным возможному ущербу за год для СПБ соответствующего класса (например, K_WC1 = 1000, K_WC2 = 100) или иным способом, логически учитывающим возможные последствия.

Расчет показателя общей продолжительности СПБ R_С1,С2(t) классов С1, С2 за период t осуществляют по формуле

,

(Е.4)

где - нормированная общая продолжительность СПБ класса Сi за период t:

.

Расчет относительного показателя превышения границ безопасной эксплуатации, например динамики продолжительности СПБ R_C1,С2(t) классов С1, С2 за период t осуществляют по формуле

,

(Е.5)

где - показатель общей продолжительности СПБ классов Сi, Сj за период t;

- средний показатель общей продолжительности СПБ классов Сi, Сj за аналогичный период за предыдущие n лет, i = 1, ..., 4; j = 1, ..., 4.

Е.1.1.2 Расчет показателей предпосылок превышения границ безопасной эксплуатации

Расчет количества СПБ N_C3,C4(t) классов С3, С4 за период t осуществляют по формулам:

.

(Е.6)

Расчет частоты СПБ F_C3,C4(t) классов С3, С4 за период t осуществляют по формуле

.

(Е.7)

Расчет взвешенного показателя количества СПБ W_C3,C4(t) за период t осуществляют по формуле

.

(E.8)

Примечание - Начальное значение повышающего коэффициента K_WC3 для t = 1 год может быть задано безразмерным числом, условно эквивалентным возможному ущербу за год для СПБ, соответствующим классу С3 (например, K_WC3 = 10) или иным способом, логически учитывающим возможные последствия.

Расчет показателя общей продолжительности СПБ R_C3,C4(t) классов С3, С4 за период t осуществляют по формуле

.

(E.9)

Расчет относительного показателя предпосылок превышения границ безопасной эксплуатации, например динамики продолжительности СПБ R_C3,C4(t) классов С3, С4 за период t осуществляют по формуле

.

(Е10)

Е.1.1.3 Расчет показателя эффективности защитных преград в противодействии угрозам ПБ

В качестве упреждающих показателей эффективности преград ПБ выбирают временные упреждающие показатели, характеризующие степень препятствования развитию свершившихся событий классов С1-С3.

Расчет показателя эффективности преград нарушениям ПБ, например времени пребывания противоаварийной защиты S_э(t) в режиме "откл." за период t, осуществляют по формуле

,

(E.11)

где , , , - количество срабатываний систем ПАЗ по событиям соответствующего класса (С1-С4), зафиксированных за период t.

Примечание - Примером иных ключевых статистических показателей могут служить показатели обеспечения рабочей дисциплины (включая фактическую укомплектованность рабочих смен, сверхурочные, соответствие требованиям по классу квалификации).

Е.1.1.4 Расчет комплексного упреждающего показателя состояния ПБ

Комплексный упреждающий показатель состояния ПБ за период t R_к(t) рассчитывают по формуле

.

(Е.12)

Примечание - В случаях несрабатывания систем ПАЗ эффективность преград нарушениям ПБ учитывают путем повышения класса опасности произошедшего события ПБ на ступень выше относительно первоначальной классификации.

Расчет относительного изменения комплексного упреждающего показателя риска нарушения ПБ за период t R_к(t) осуществляют по формуле

.

(E.13)

Примечание - Как правило, период времени k(t), относительно которого рассчитывают изменения, определяют следующим образом:

.

Е.1.1.5 Расчет технического риска

В качестве показателя технического риска принимают вероятность отказа технических устройств с последствиями определенного класса за заданный период функционирования ОПО. Вероятность отказа технических устройств и вероятность отказа логической схемы технологического процесса объекта контроля в целом рассчитывают в соответствии с основными положениями теории надежности. Так, для каждой установки расчет технического риска может быть проведен следующим образом:

Шаг 1. Для каждого устройства среднее время наработки устройства до отказа Т_{до отказа} определяют по формуле

,

(E.14)

где - длительность эксплуатации устройства;

М - количество отказов этого устройства за время эксплуатации.

Значение среднего времени наработки устройства до отказа может быть взято из данных предприятия-изготовителя, справочных материалов, опубликованных в открытых источниках, корпоративных данных заказчика либо вычислено системой на основе репрезентативных статистических выборок информации о работе однотипных устройств на объектах заказчика.

Шаг 2. К полученным значениям среднего времени наработки на отказ технического устройства применяют поправочные коэффициенты в следующих случаях:

- если известно, что установленный для технического устройства срок эксплуатации истек (или приближается к границам установленного);

- в случае наличия неблагоприятных данных систем технического диагностирования оборудования для данного технического устройства;

- в случае проведения ремонта технического устройства и т.д.

Шаг 3. Далее вычисляют вероятность отказа устройства q_i(t) за период t. Так при экспоненциальной аппроксимации для устройства, представляемого в виде "черного ящика":

.

(Е.15)

Примечание - Для получения адекватного результата существенное значение имеет соблюдение требования по репрезентативности статистической выборки о показателях надежности работы устройств.

Для повышения адекватности для систем сложной структуры с учетом мер периодического контроля и восстановления целостности могут быть использованы методы раздела Е.2 настоящего приложения.

Рассчитывают как проектную (эталонную), так и текущую безотказность установки.

Технический риск вычисляют по формуле

,

(Е.16)

где - текущая вероятность отказа установки;

- проектная вероятность отказа установки.

В зависимости от значения показателя можно выделять три зоны риска с границами этих зон R_пов и R_доп и с соответствующей цветовой индикацией, например:

- благоприятная зона (зеленый индикатор): R_т  R_пов;

- предупреждение о повышенном риске (желтый индикатор): R_доп   ^R_т > R_пов;

- превышение допустимого риска (красный индикатор): R_т > R_доп.

Границы зон технического риска R_пов и R_доп определяют в зависимости от вида ОПО. Рекомендации по формированию значений представляют по результатам комплексной опытно-промышленной эксплуатации СДК ОПО.

Е.1.1.6 Показатель обобщенного состояния (статуса) объекта

Объекты контроля СДК ПБ могут находиться в одном из пяти состояний - "Нормальные условия функционирования" (в т. ч. "Нормальные условия функционирования с предпосылкой к инциденту"), "Предаварийные условия функционирования", "Аварийные условия функционирования", "Регламентные работы" или "Нет данных". Оценка обобщенного состояния ОПО определяется состоянием его технических устройств, блоков, установок.

На уровне ОПО, как правило, используют следующий алгоритм оценки обобщенного состояния:

- если хотя бы одна установка находится в состоянии "Аварийные условия функционирования", обобщенное состояние ОПО принимает значение "Аварийные условия функционирования";

- если хотя бы одна установка находится в состоянии "Предаварийные условия функционирования", а другая - в состояниях "Нормальные условия функционирования" или "Предаварийные условия функционирования" или находится в режиме (статусе) "Регламентные работы", обобщенное состояние ОПО принимает значение "Предаварийные условия функционирования";

- если все установки находятся в состоянии "Регламентные работы", обобщенное состояние ОПО принимает значение "Регламентные работы";

- при отсутствии на всех установках, входящих в состав ОПО, данных о состоянии параметров их работы состояние ОПО принимает значение "Нет данных";

- в иных случаях состояние ОПО принимает значение "Нормальные условия функционирования".

Оценка обобщенного состояния установки (блоков технических устройств) определяется статусом составляющих его элементов.

Алгоритм определения обобщенного состояния установки следующий:

- при наличии хотя бы на одном элементе установки (узел, блок, техническое устройство) техногенного события 1-го класса опасности установка переходит в состояние "Аварийные условия функционирования". Событие может быть порождено соответствующим сигналом от других автоматизированных систем угольной шахты, выходом технологического или комплексного параметра за границы установленных нормативных диапазонов для данного класса события;

- при наличии хотя бы на одном элементе установки (узел, блок, техническое устройство) техногенного события 2-го класса опасности (в том числе и составных, комплексных параметров) и отсутствия событий 1-го класса, установка переходит в состояние "Предаварийные условия функционирования";

- при получении соответствующего сигнала "Регламентные работы" установка переходит в состояние "Регламентные работы";

- при отсутствии на всех элементах, входящих в состав установки, данных о состоянии параметров ее работы и отсутствии соответствующего сигнала ("Аварийные условия функционирования" или "Регламентные работы") установка переходит в состояние "Нет данных".

Во всех остальных случаях установка находится в состоянии "Нормальные условия функционирования".

Примечание - При организации взаимодействия с другими автоматизированными системами угольной шахты вместо состояний "Нормальные условия функционирования", "Предаварийные условия функционирования", "Аварийные условия функционирования" возможно использование других принятых аббревиатур, например "Штатно", "Средний риск аварии", "Высокий риск аварии".

Е.1.1.7 Анализ упреждающих показателей ПБ

Анализ упреждающих показателей ПБ осуществляют согласно требованиям ГОСТ Р 57102 и ГОСТ Р 57193.

Примером величины, применяемой для системного анализа обобщенного состояния, оценки текущего и ожидаемого классов ПБ на ОПО служит относительное изменение комплексного упреждающего показателя ПБ за период t. Это изменение R_к(t) рассчитывают по формулам (Е.12)-(Е.13). Для значений R_к(t) больше единицы создается шкала оценки с разбиением на зоны риска: большое, среднее и малое увеличение риска, которые подлежат количественному определению. В итоге на начальном этапе применения СДК ОПО оценивается динамика изменения комплексного упреждающего показателя риска на конкретном ОПО. По мере накопления статистических данных осуществляется переход к оценкам различных объектов и далее - к созданию и применению соответствующей базы знаний для системного анализа текущего и ожидаемого классов ПБ на ОПО.

Примечание - Методы и модели для анализа упреждающих показателей, связанных с вероятностным моделированием, приведены в Е.2 и Е.3.

Е.1.2 Расчет запаздывающих показателей состояния ПБ

Приведенные ниже показатели рассчитывают на основе данных СДК ОПО. Часть данных может быть внесена вручную ответственным лицом.

Е.1.2.1 Расчет показателей готовности персонала

Показатель системы обучения сотрудников Р_гот рассчитывают по формуле

,

(E.17)

где - численность сотрудников, работающих на ОПО, успешно прошедших обучение действиям в случае возникновения аварии на ОПО за период t;

- общее количество сотрудников, работающих на ОПО.

Показатель готовности G_гот к действиям по локализации и ликвидации последствий аварий на ОПО рассчитывают по формуле

.

(Е.18)

Е.1.2.2 Показатели деятельности по результатам контроля состояния ПБ

Учитывают количество проведенных проверок, количество неустраненных нарушений и приостановленных работ по результатам проверок производственного контроля за период t. Расчет относительного количества сотрудников, привлеченных к ответственности за нарушения требований ПБ, осуществляют по формуле

,

(Е.19)

где - количество сотрудников, привлеченных к ответственности за нарушения требований ПБ.

Е.1.2.3 Показатели состояния технических устройств (основного оборудования), применяемых на ОПО

Учитывают средний процент износа оборудования на ОПО за период t.

Расчет относительного количества технических устройств с отсутствующим (истекшим) сертификатом/декларацией соответствия за период t осуществляют по формуле

,

(Е.20)

где - количество технических устройств с отсутствующим (истекшим) сертификатом/декларацией соответствия;

- общее количество технических устройств на ОПО.

Расчет относительного количества технических устройств, не прошедших экспертизу за период t, осуществляют по формуле

,

(Е.21)

где - количество технических устройств, не прошедших экспертизу.

Расчет относительного количества технических устройств, не прошедших техническое освидетельствование за период t, осуществляют по формуле

,

(Е.22)

где - количество технических устройств, не прошедших техническое освидетельствование.

Расчет относительного количества технических устройств, прошедших техническое перевооружение за период t, осуществляют по формуле

,

(Е.23)

где - количество технических устройств, прошедших техническое перевооружение.

Е.1.2.4 Количественные показатели СПБ, произошедших на ОПО

Учитывают общее количество аварий, инцидентов, предпосылок к инциденту и общее количество СПБ, произошедших на ОПО, общий экономический, экологический ущерб (в рублях), общий простой оборудования (в днях), общий социальный ущерб (число пострадавших), количество несчастных случаев, связанных с аварией или инцидентом, количество групповых несчастных случаев, связанных с аварией или инцидентом за период времени t.

Расчет относительного показателя травматизма сотрудников ОПО в результате аварии или инцидента за период t осуществляют по формуле

,

(Е.24)

где - общее количество пострадавших сотрудников ОПО в результате аварии или инцидента.

Расчет относительного показателя травматизма со смертельным исходом среди сотрудников ОПО в результате аварии или инцидента за период t осуществляют по формуле

,

(Е.25)

где - количество случаев травматизма со смертельным исходом среди сотрудников ОПО в результате аварии или инцидента.

Расчет относительного показателя количества пострадавших с тяжелыми травмами среди сотрудников ОПО в результате аварии или инцидента за период t осуществляют по формуле

,

(Е.26)

где - количество сотрудников ОПО, получивших тяжелые травмы в результате аварии или инцидента.

Расчет относительного показателя количества пострадавших с легкими травмами среди сотрудников ОПО в результате аварии или инцидента за период t осуществляют по формуле

,

(Е.27)

где - количество сотрудников ОПО, получивших легкие травмы в результате аварии или инцидента.

Е.2 Модели для вероятностного прогнозирования рисков

Е.2.1 Общие положения

Е.2.1.1 Модели для вероятностного прогнозирования рисков используют данные СДК ОПО, получаемые "по факту наступления событий", для расчета типовых показателей из приложения Д. В отличие от методов Е.1 настоящего приложения модели ориентированы на задаваемый период прогноза с использованием следующих рассчитываемых показателей рисков: вероятности нарушения границ нормативного диапазона для отдельного параметра, вероятности нарушения границ нормативного диапазона для нескольких параметров, вероятности инцидента на отдельном оборудовании или ОПО в целом, вероятности аварии на отдельном оборудовании или ОПО в целом. Знание этих расчетных вероятностей позволяет вычислять все остальные показатели рисков.

Примечание - При сопоставимых последствиях вероятности нарушения границ нормативного диапазона, вероятности инцидента или аварии с полными основаниями могут рассматриваться как основные показатели соответственно рисков нарушения границ нормативного диапазона, рисков инцидента или аварии.

Е.2.1.2 Расчет вероятности нарушения границ нормативного диапазона для отдельного параметра проводят с использованием модели "черного ящика" (см. Е.2.2, Е.2.3). Для вероятностного прогнозирования рисков осуществляется формальное определение пространства элементарных событий. Это пространство элементарных событий формируют текущие события 4-го, 3-го и 2-го классов, регистрируемые СДК ПБ ОПО - см. рисунок Е.1.

Рисунок Е.1 - Связь событий, регистрируемых СДК ПБ ОПО для контролируемых параметров, с пространством элементарных событий для вероятностного моделирования

При моделировании руководствуются стремлением минимизировать вероятности инцидента за период прогноза, что отвечает стремлению не допустить за этот период нарушений границ нормативного диапазона значениями контролируемого параметра.

Е.2.1.3 Расчет вероятности нарушения границ нормативного диапазона для нескольких параметров осуществляется формально для системы, представляющей собой последовательное объединение "черных ящиков", каждый из которых представляет собой модель для отдельного параметра (см. Е.2.2, Е.2.3). По-прежнему пространство элементарных событий формируют события 4-го, 3-го и 2-го классов. Пребывание хотя бы одного из контролируемых параметров в состоянии "Предаварийные условия функционирования" переводит состояние всей цепочки последовательно объединенных "черных ящиков" в элементарное состояние "Предаварийные условия функционирования". Используют модель для сложной системы с последовательным соединением (см. Е.2.4).

Е.2.1.4 Для расчета вероятности инцидента на отдельном оборудовании ОПО это оборудование формально представляется как система последовательно объединенных "черных ящиков", каждый из которых представляет собой модель для отдельного параметра, а вся цепочка вместе формализует набор параметров, контролируемых СДК на этом оборудовании, т.е. для расчета вероятности инцидента применяют ту же модель с последовательным объединением "черных ящиков", каждый из которых представляет собой модель для отдельного параметра. По-прежнему пространство элементарных событий для расчета вероятности инцидента на отдельном оборудовании ОПО формируют события для всех контролируемых параметров: события 4-го, 3-го и 2-го классов. Тем самым расчет вероятности инцидента на отдельном оборудовании эквивалентен расчету вероятности нарушения границ нормативного диапазона для всех контролируемых параметров этого оборудования. Пребывание хотя бы одного из контролируемых параметров в состоянии "Предаварийные условия функционирования" переводит оборудование (т.е. состояние всей цепочки последовательно объединенных "черных ящиков") в элементарное состояние "Предаварийные условия функционирования". Используют модель для сложной системы с последовательным соединением (см. Е.2.4).

Некоторое оборудование объединяется в установки, которые функционируют в режиме резервирования В этом случае для расчета вероятности инцидента на оборудовании, работающем с резервированием, применяют модель с параллельным объединением "черных ящиков", каждый из которых представляет собой модель отдельного оборудования. Лишь пребывание всех комплектов оборудования в состоянии "Предаварийные условия функционирования" переводит всю установку в элементарное состояние "Предаварийные условия функционирования" (тем самым проявляется эффект резервирования). Используют модель для сложной системы с параллельным соединением (см. Е.2.4).

Расчет вероятности инцидента на ОПО в целом осуществляется для всех систем (подсистем), охватываемых возможностями СДК в прогнозируемый период. Каждая из объединяемых последовательно систем (подсистем) формализуется как совокупность установок и/или оборудования, логически представляющих собой последовательно-параллельное объединение "черных ящиков", каждый из которых представляет из себя модель для отдельного оборудования или установки.

Примечание - Типовым примером хотя бы одного пребывания в течение заданного периода прогноза в состоянии "Предаварийные условия функционирования" для главной вентиляторной установки ОПО, состоящей из двух вентиляторов, один из которых должен находиться в работоспособном состоянии в холодном резерве, будет следующее условие: главная вентиляторная установка будет характеризоваться "Предаварийными условиями функционирования", если резервный вентилятор неработоспособен, а работающий вентилятор хотя бы раз за весь период прогноза переходил в состояние "Предаварийные условия функционирования", которое наступает, когда некоторые из контролируемых параметров оборудования ["ИЛИ" 1-й параметр (температура подшипника ротора вентилятора), "ИЛИ" 2-й параметр (температура подшипника двигателя вентилятора), "ИЛИ" 3-й параметр (ток статора по фазам), "ИЛИ" 4-й параметр (напряжение статора)] по своим значениям хотя бы раз выйдут за границы нормативного диапазона (т.е. возникнут события 2-го класса) ИЛИ когда резервный вентилятор будет работоспособен, но при переключении на него некоторые параметры оборудования ["ИЛИ" 1-й параметр (температура подшипника ротора вентилятора), "ИЛИ" 2-й параметр (температура подшипника двигателя вентилятора), "ИЛИ" 3-й параметр (ток статора по фазам), "ИЛИ" 4-й параметр (напряжение статора)] хотя бы раз перейдут за границы нормативного диапазона (т.е. возникнут события 2-го класса) - см. приложения Б, В.

Е.2.1.5 Для расчета вероятности аварии на отдельном оборудовании и на ОПО в целом поступают полностью аналогично тому, как и для расчета вероятности инцидента (см. Е.2.1.4). Отличие лишь в том, что к пространству элементарных событий для расчета вероятности аварии на отдельном оборудовании ОПО (т.е. к событиям 2-го, 3-го и 4-го классов) добавляются события 1-го класса "Аварийные условия функционирования". Эти условия могут учитываться не в автоматическом режиме функционирования СДК (как для событий 2-го, 3-го и 4-го классов), а в автоматизированном режиме, когда дополнительные условия по аварийным ситуациям могут дополняться гипотетичными данными диспетчером. При этом для сложной структуры моделируемой ОПО:

- для цепочки из последовательно соединяемых элементов пребывание хотя бы одного из элементов в состоянии "Аварийные условия функционирования" переводит всю цепочку в состояние "Аварийные условия функционирования";

- для подсистемы из параллельно объединяемых элементов лишь пребывание всех этих элементов в состоянии "Аварийные условия функционирования" переводит всю подсистему в состояние "Аварийные условия функционирования" (понимая тем самым возможность замены вышедших из строя элементов ОПО работоспособными резервными элементами с принятием необходимых мер безопасности).

Примечание - Например, в приложении к системам (подсистемам, средствам) МФСБ, использующим возможности СДК, "Аварийные условия функционирования" ОПО в период прогноза могут возникнуть, если в течение этого периода "ИЛИ" система контроля и управления стационарными вентиляторными установками, вентиляторами местного проветривания и газоотсасывающими установками, "ИЛИ" система контроля и управления дегазационными установками и контроля подземной дегазационной сети, "ИЛИ" система аэрогазового контроля, "ИЛИ" система контроля запыленности воздуха, "ИЛИ" система геофизических наблюдений, "ИЛИ" система регионального, локального и текущего прогнозов динамических явлений, "ИЛИ" система обнаружения ранних признаков эндогенных и экзогенных пожаров и локализации экзогенных пожаров, "ИЛИ" система контроля и управления пожарным водоснабжением, "ИЛИ" система контроля и управления средствами взрывозащиты горных выработок, "ИЛИ" система контроля и управления средствами взрывозащиты в газоотсасывающих и дегазационных трубопроводах и установках фиксирует хотя бы одно событие 1-го класса (в т.ч. недопустимую эксплуатацию оборудования в условиях, когда по одному или нескольким параметрам их значения, контролируемые СДК, длительное время находятся за границами нормативного диапазона без должной реакции со стороны ответственных лиц).

Е.2.1.6 При учете соответствующих сопоставимых последствий вероятностная интерпретация рисков за заданный период прогноза в заданных условиях (учитывающих текущие или ожидаемые временные характеристики возникновения и развитие угроз, временные характеристики контроля и реакцию или отсутствие должной реакции ответственных лиц на сигналы от СДК) заключается в следующем:

- риск нарушения границ нормативного диапазона интерпретируется вероятностью того, что время до первого перехода в состояние "Предаварийные условия функционирования" (т.е. возникновение событий 2-го класса) не превысит периода прогноза - см. рисунок Е.1. Эта вероятность дополнительно сопровождается прогнозируемым остаточным временем на принятие и реализацию решения для предотвращения нарушения границ нормативного диапазона по поступившим данным СДК ОПО при каждом выходе значений параметра за границы рабочего диапазона и расчетным средним временем до выхода значений параметра за границы нормативного диапазона для условий, если оперативно реагировать на выходы значений параметров за границы рабочего диапазона и если не реагировать на эти отклонения (см. Е.2.4);

- риск инцидента интерпретируется вероятностью того, что время до первого перехода в состояние "Предаварийные условия функционирования" (т.е. возникновение событий 2-го класса) не превысит периода прогноза. Эта вероятность дополнительно сопровождается расчетным средним временем между инцидентами для условий, если оперативно реагировать на выявляемые СДК ПБ ОПО нарушения целостности и если не реагировать на эти отклонения должным образом (см. Е.2.4);

- риск аварии интерпретируется вероятностью того, что время до первого перехода в состояние "Аварийные условия функционирования" (т.е. возникновение событий 1-го класса) не превысит периода прогноза. Путем вероятностного моделирования этот риск дополнительно сопровождается расчетным средним временем между авариями для условий, если оперативно реагировать на выявляемые СДК нарушения целостности и если не реагировать на эти отклонения должным образом (см. Е.2.4).

Е.2.1.7 Системный анализ значений вероятностных рисков "по факту наступления событий" дает представление о сравнительной весомости ожидаемых рисков в течение заданного периода времени и возможных предупреждающих мерах для снижения рисков или их удержания их в допустимых пределах в целях обеспечения нормальных условий функционирования ОПО в течение предстоящего периода прогноза.

Стремление минимизировать вероятность инцидента и аварии на ОПО связано со стремлением не допустить за прогнозируемый период событий соответственно 2-го и 1-го классов на основе анализа регистрируемых в СДК ПБ ОПО событий 3-го и 4-го классов.

Е.2.1.8 Для математической формализации используют следующие основные положения:

- предполагается изначальная целостность системы (в качестве моделируемой системы может также рассматриваться подсистема или отдельный системный элемент);

- в условиях неопределенностей появление и разрастание угроз описывается в терминах случайных событий;

- средства, технологии и меры противодействия угрозам с формальной точки зрения представляют собой последовательность противодействующих мер и/или защитных преград для различных вариантов развития угроз. Обоснованное использование выбранных мер и защитных преград является предупреждающими контрмерами, нацеленными на обеспечение нормальных условий функционирования ОПО.

Е.2.1.9 В зависимости от качества собираемой статистики прогнозируемое время на принятие и реализацию решения для предотвращения нарушения границ нормативного диапазона по поступившим данным СДК ОПО о выходе контролируемого параметра за границы рабочего диапазона означает собой оценку среднего времени до выхода значений этого параметра за границы нормативного диапазона по результатам вероятностного моделирования.

Е.2.1.10 В Е.2.2 и Е.2.3 приведены две вероятностные модели для прогноза вероятности нарушения целостности системы (системного элемента, параметра), представляемой в виде "черного ящика": "Математическая модель для прогноза риска при отсутствии какого-либо контроля" и "Математическая модель для прогноза риска при реализации технологии периодического системного контроля". 1-я модель является частным случаем 2-й модели и служит на практике лишь для сравнения со случаем полностью бесконтрольного функционирования системы или отдельного элемента, например там, где контроль невозможен или нецелесообразен по экономическим соображениям или когда ответственные лица не осуществляют функции контроля и не реагируют должным образом на предупреждающую информацию СДК ПБ ОПО.

Модели применимы для расчетов риска нарушения границ нормативного диапазона применительно к отдельному параметру, а также при грубом моделировании при представлении отдельного оборудования в виде "черного ящика" - для расчетов рисков инцидента или аварии на нем.

Для систем сложной структуры модели применимы для расчетов риска нарушения границ нормативного диапазона применительно к нескольким параметрам, риска инцидента на отдельном оборудовании или ОПО в целом, риска аварии на отдельном оборудовании или ОПО в целом.

Другие возможные подходы для оценки рисков описаны в ГОСТ Р ИСО 13381-1, ГОСТ Р ИСО 17359, ГОСТ Р ИСО 31010, ГОСТ Р 51901.1, ГОСТ Р 51901.7, ГОСТ Р 51901.16, ГОСТ Р МЭК 61069-1 - ГОСТ Р МЭК 61069-8, ГОСТ Р МЭК 61508-1 - ГОСТ Р МЭК 61508-3, ГОСТ Р МЭК 61508-5 - ГОСТ Р МЭК 61508-7.

Е.2.2 Математическая модель для прогноза риска при отсутствии какого-либо контроля

Моделируемая система (или системный элемент, отдельный параметр) представляется в виде "черного ящика", функционирование которого не контролируется. Восстановление целостности (ремонт или замена или иные восстанавливающие действия) осуществляется по мере выхода системы из строя или нарушения установленных нормативов. В процессе функционирования в результате возникновения угроз и их развития возможно нарушение целостности системы, выражаемое в нарушении нормальных условий функционирования ОПО. Для случая, когда в системе отсутствует какой-либо контроль целостности, применяется настоящая модель.

Модель является частным случаем модели Е.2.3, если предположить, что период между контролями целостности больше периода прогноза. Учитывая это, используют формулы (Е.28)-(Е.29), см. Е.2.3.

Е.2.3 Математическая модель для прогноза риска при реализации технологии периодического системного контроля

Моделируемая система (или системный элемент, отдельный параметр) представляется в виде "черного ящика". В системе осуществляется периодический контроль целостности. Из-за случайного характера техногенных и природных угроз на ОПО, различных технических и технологических причин, различного уровня квалификации специалистов, привлекаемых для контроля, нехватки, неготовности или нечувствительности измерительного оборудования, неэффективных мер поддержания или восстановления нормальных условий функционирования системы и в силу иных причин целостность системы может быть нарушена. Нарушение целостности способно повлечь за собой нарушение нормальных условий функционирования ОПО.

Примечание - Для расчетов рисков целостность системы должна быть определена в привязке к пространству элементарных событий, характеризующих "Нормальные условия функционирования", "Предаварийные условия функционирования", "Аварийные условия функционирования" ОПО.

В рамках модели развитие событий в системе считается не нарушающим целостности в течение заданного периода прогноза, если к началу этого периода целостность системы обеспечена и в течение всего периода либо источники (факторы) опасности не активизируются, либо после активизации происходит их своевременное выявление и принятие адекватных мер противодействия. Предполагают, что существуют не только средства контроля (диагностики) целостности, но и способы поддержания и/или восстановления необходимой целостности системы при выявлении источников (факторов) опасности или следов их активизации. Восстановление осуществляется лишь в период системного контроля. Соответственно, чем чаще осуществляется системный контроль с должной реакцией на выявляемые нарушения, тем выше гарантии сохранения целостности системы из-за случайных угроз (т.к. они устраняются за счет предупреждающих действий по результатам системного контроля).

За основу анализа принят следующий последовательный алгоритм возникновения потенциальной угрозы: сначала источник (фактор) опасности появляется и начинает активизироваться, представляя угрозу для потенциального нарушения ПБ, по прошествии периода активизации, свойственного этому источнику (фактору), наступает нарушение целостности системы (вплоть до элементарного события 2-го класса "Предаварийные условия функционирования").

Примечания

1 Если активизация мгновенная - это эквивалентно внезапному отказу, взрыву и пр. Возможности СДК как раз и направлены на использование времени постепенной активизации угрозы для своевременного ее выявления.

2 В приложении к какому-либо параметру оборудования появление опасности означает переход из границ рабочего диапазона за эти границы (из элементарного события 4-го класса "Нормальные условия функционирования" в элементарное событие 3-го класса "Нормальные условия функционирования с предпосылкой к инциденту"), а источник опасности - это по сути текущий выход значений параметра за границы рабочего диапазона.

Целостность системы считается нарушенной лишь после того, как активизация источника (фактора) опасности происходит за период прогноза (возникает элементарное событие 2-го класса - "Предаварийные условия функционирования"). В приложении к какому-либо параметру оборудования выход значений за границы рабочего диапазона - это потенциальная угроза нарушения целостности оборудования, реализации которой необходимо противодействовать предупреждающими действиями. Выявление источника (фактора) опасности и принятие адекватных контрмер до наступления нарушения целостности за период прогноза - это оперативная реакция на переход из "Нормальных условий функционирования" в "Нормальные условия функционирования с предпосылкой к инциденту" (т.е. на переход значений параметра из границ рабочего диапазона за эти границы с тем, чтобы вернуть значения параметра вновь в границы рабочего диапазона). На практике это по сути есть предупреждающее управляющее воздействие (например, ремонт, замена или иные действия), возвращающее оборудование к "Нормальным условиям функционирования" ОПО. Результатом применения очередного системного контроля является подтверждение целостности системы при отсутствии ее нарушения или полное восстановление нарушенной целостности до приемлемого уровня.

Модель позволяет оценить вероятность нарушения целостности анализируемой системы в течение заданного периода прогноза. При этом учитываются предпринимаемые меры периодического контроля и восстановления целостности.

Некоторые из моделируемых случаев соотношения между периодами системного контроля, временем до начала активизации источников (факторов) опасности и непосредственно их развитием до нарушения целостности приведены на рисунке Е.2.

Рисунок Е.2 - Формальные случаи сохранения и нарушения целостности для моделей Е.2.2 и Е.2.3

Для расчета рисков нарушения целостности системы применительно к анализируемой системе используют исходные данные, формально определяемые следующим образом:

- частота возникновения угроз (для случая разнородных угроз общая частота получается суммированием частот по каждому из разнородных источников опасности);

- среднее время развития угроз (активизации источников опасности) с момента их возникновения до нарушения целостности;

- время между окончанием предыдущего и началом очередного контроля целостности системы (определяется регламентом работы на ОПО),

- длительность системного контроля или диагностики, включая восстановление нарушаемой целостности системы (определяется регламентом работы на ОПО и выполнением нарядов выполнения ремонтных работ и иных мер противодействия угрозам);

- задаваемая длительность периода прогноза.

Примечания

1 В частном случае применительно к отдельному параметру, контролируемому СДК, когда рассчитываемый риск нарушения целостности системы интерпретируется как риск нарушения границ нормативного диапазона, исходные данные для характеристики возникновения и развития угроз определяются следующим образом:

- частота выходов значений параметра из границ рабочего диапазона за эти границы, оставаясь в границах нормативного диапазона, т.е. частота событий 3-го класса, определяющего "Нормальные условия функционирования с предпосылкой к инциденту";

- среднее время после первого выхода значений параметра за границы рабочего диапазона до перехода за границы нормативного диапазона (т.е. до первого появления события 2-го класса, определяющего "Предаварийные условия функционирования"). При решении обратных задач именно это время подлежит оценке по данным СДК ПБ ОПО. В частности, оно характеризует прогнозируемое время на принятие и реализацию решения для предотвращения нарушения границ нормативного диапазона.

2 В частном случае расчета риска аварии применительно к отдельному оборудованию, представляемому в виде "черного ящика", исходные данные для характеристики возникновения и развития угроз определяются следующим образом:

- частота выходов значений параметра за границы нормативного диапазона, т.е. частота событий 2-го класса, определяющего "Предаварийные условия функционирования";

- среднее время после первого выхода значений параметра за границы нормативного диапазона до наступления события 1-го класса, определяющего "Аварийные условия функционирования" этого оборудования.

Оценку вероятности нарушения целостности системы R_наруш в течение периода прогноза Т_зад осуществляют по формуле

,

(Е.28)

где - это вероятность отсутствия нарушений целостности системы в течение периода Т_зад.

Возможны два варианта:

- вариант 1 - заданный оцениваемый период прогноза T_зад меньше периода между окончаниями соседних контролей (T_зад < T_меж + T_диаг);

- вариант 2 - заданный оцениваемый период прогноза T_зад больше или равен периоду между окончаниями соседних контролей (T_зад  T_меж + T_диаг), т.е. за это время заведомо произойдет один или более контролей системы с восстановлением нарушаемой целостности (если нарушения имели место к началу контроля).

Для варианта 1 при условии независимости исходных характеристик вероятность Р_возд(1) (, , Т_меж, Т_диаг, Т_зад) отсутствия нарушений целостности системы в течение периода прогноза Т_зад вычисляют по формуле

.

(Е.29)

Примечание - Эту же формулу используют для оценки вероятности отсутствия нарушений целостности системы при отсутствии какого-либо контроля в предположении, что к началу периода прогноза целостность системы обеспечена (т.е. для расчетов по "Математической модели для прогноза риска при отсутствии какого-либо контроля").

Для варианта 2 при условии независимости исходных характеристик вероятность отсутствия нарушений целостности системы в течение прогноза Т_зад вычисляют по формуле

,

(Е.30)

где - вероятность отсутствия нарушений целостности системы в течение всех периодов между системными контролями, целиком вошедшими в границы времени T_зад, вычисляемая по формуле

,

(Е.31)

где N - число периодов между контролями, которые целиком вошли в границы времени Т_зад, с округлением до целого числа, N = [Т_зад/(Т_меж + Т_диаг)] - целая часть;

- вероятность отсутствия нарушений целостности после последнего системного контроля, вычисляемая по формуле (Е.29), т.е.

,

где - остаток времени в общем заданном периоде Т_зад по завершении N полных периодов, вычисляемый по формуле

.

(Е.32)

Формула (Е.30) логически интерпретируется так: для сохранения целостности за весь период прогноза требуется сохранение целостности на каждом из участков - будь то середина или конец задаваемого периода прогноза T_зад.

Примечание - Для расчетов P_возд(2) возможны иные вероятностные меры.

В итоге вероятность отсутствия нарушений целостности в течение периода прогноза T_зад определяется аналитическими выражениями (Е.29)-(Е.32) в зависимости от варианта соотношений между исходными данными. Это позволяет вычислить по формуле (Е.28) вероятность нарушения целостности системы Р_наруш (, , Т_меж, Т_диаг, T_зад) в течение заданного периода прогноза T_зад с учетом предпринимаемых технологических мер периодического системного контроля и восстановления целостности.

Примечание - В частном случае, когда период между контролями больше периода прогноза T_зад < T_меж, модель Е.2.3 превращается в модель Е.2.2 для прогноза риска нарушения целостности системы при отсутствии какого-либо контроля.

Е.2.4 Расчет риска для систем сложной структуры, комбинация и повышение адекватности моделей

Описанные в Е.2.2 и Е.2.3 модели применимы для проведения оценок, когда система представляется в виде "черного ящика" и когда значения времен системного контроля и восстановления нарушенной целостности совпадают. В развитие моделей Е.2.2 и Е.2.3 в настоящем подразделе приведены способы, позволяющие создание моделей для систем сложной параллельно-последовательной структуры.

Расчет основан на применении следующих инженерных способов:

- 1-й способ. Этот способ позволяет использовать одни и те же модели для расчетов различных показателей. Поскольку модели математические, то путем смыслового переопределения исходных данных и соответственно расчетных показателей возможно использование одних и тех же моделей для оценки разных показателей, различающихся по смыслу, но идентичных по методу их расчета. Например, по формулам настоящего приложения возможен прогноз вероятности отказа (применительно к оценке надежности), вероятности инцидента или аварии (применительно к ПБ);

- 2-й способ. Этот способ позволяет переходить от оценок систем (отдельных элементов, параметров), представляемых в виде "черного ящика", к оценкам систем сколь угодно сложной параллельно-последовательной логической структуры. В формируемой структуре исходя из реализуемых технологий для системы, состоящей из двух элементов, взаимовлияющих на сохранение целостности, указывается характер их логического соединения. Если два элемента соединяются последовательно, что означает логическое соединение "И" (см. рисунок Е.3), то это интерпретируется так: "система сохраняет целостность в течение времени t, если "И" 1-й элемент, "И" 2-й элемент сохраняют свою целостность в течение этого времени". Если два элемента соединяются параллельно, что означает логическое соединение "ИЛИ" (см. рисунок Е.4), это интерпретируется так: "система сохраняет целостность в течение времени t, если "ИЛИ" 1-й элемент, "ИЛИ" 2-й элемент сохраняют свою целостность в течение этого времени".

Рисунок Е.3 - Система из последовательно соединенных элементов ("И")

Рисунок Е.4 - Система из параллельно соединенных элементов ("ИЛИ")

Для комплексной оценки в приложении к сложным системам используются рассчитанные на моделях вероятности нарушения целостности каждого из составных элементов за заданное время t. Тогда для простейшей структуры из двух независимых элементов вероятность нарушения целостности за время t определяют по формулам:

- для системы из двух последовательно соединенных элементов

;

(Е.33)

- для системы из двух параллельно соединенных элементов

,

(Е.34)

где - вероятность нарушения целостности m-го элемента за заданное время t, m = 1,2.

Рекурсивное применение соотношений (Е.33), (Е.34) снизу вверх дает соответствующие вероятностные оценки для сколь угодно сложной логической структуры с параллельно-последовательным логическим соединением элементов.

Примечание - Способ рекурсивного применения процессов рекомендован ГОСТ Р 57102. Рекурсивное применение снизу вверх означает первичное применение моделей Е.2.2 или Е.2.3 сначала для отдельных системных элементов, представляемых в виде "черного ящика" в принятой сложной логической структуре системы, затем, учитывая характер логического объединения ("И" или "ИЛИ") в принятой структуре, по формулам (Е.33) или (Е.34) проводится расчет вероятности нарушения целостности за время t для объединяемых подсистем. И так - до объединения на уровне системы в целом. При этом сохраняется возможность аналитического прослеживания зависимости результатов расчетов по формулам (Е.33) или (Е.34) от исходных параметров моделей Е.2.2 и Е.2.3;

- 3-й способ. Этот способ в развитие 2-го способа позволяет использовать результаты моделирования для формирования заранее неизвестных (или сложно измеряемых) исходных данных в интересах последующего моделирования. На выходе моделирования по моделям Е.2.2 и Е.2.3 и применения 2-го способа для условий, если оперативно реагировать на выходы значений параметров за границы рабочего диапазона и если не реагировать на эти отклонения, получается вероятность нарушения целостности в течение заданного периода времени t. Если для каждого элемента просчитать эту вероятность для всех точек t от нуля до бесконечности, то получится траектория функции распределения времени нарушения целостности по каждому из элементов в зависимости от реализуемых мер контроля, мониторинга и восстановления целостности, т.е. то, что используется в формулах (Е.33) и (Е.34). Полученный вид этой функции распределения, построенной по точкам (например, с использованием программных комплексов), позволяет традиционными методами математической статистики определить такой показатель риска, как среднее время до нарушения целостности каждого из элементов системы. В приложении к отдельному параметру - это расчетное среднее время до выхода значений параметра за границы нормативного диапазона для условий, если оперативно реагировать на выходы значений за границы рабочего диапазона и если не реагировать на эти отклонения. Обратная величина среднего времени до нарушения целостности каждого из элементов системы - это частота нарушений целостности в условиях определенных угроз и применяемых методов контроля и восстановления или замены элемента. Именно это - необходимые исходные данные для последующего применения моделей Е.2.2 и Е.2.3 или аналогичных им для расчетов по моделям "черного ящика";

- 4-й способ. Этот способ в дополнение к возможностям 2-го и 3-го способов повышает адекватность моделирования за счет развития моделей Е.2.2 и Е.2.3 в части учета времени на восстановление после нарушения целостности. В моделях Е.2.2 и Е.2.3 время системного контроля по составному элементу одинаково и равно в среднем T_диаг. Вместе с тем, если по результатам контроля требуются дополнительные меры восстановления нарушенной целостности в течение времени Т_восст, то для расчетов усредненное время контроля T_диаг должно быть увеличено. При этом усредненное время контроля вычисляют итеративно с заданной точностью:

1-я итерация определяет  = T_диаг, задаваемое на входе модели. Для 1-й итерации при обнаружении нарушений полагается мгновенное восстановление нарушаемой целостности;

2-я итерация осуществляется после расчета риска по исходным данным после 1-й итерации

,

(E.35)

где - риск нарушения целостности с исходным значением , вычисляемый с использованием соответствующих моделей Б.2.2 или Е.2.3. Здесь, поскольку на 1-й итерации не учитывает времени восстановления, риск , рассчитываемый с использованием моделей Е.2.2, Е.2.3, ожидается оптимистичным (т.е. меньше реального),

... r-я итерация осуществляется после расчета риска по исходным данным после (r - 1)-й итерации:

,

(E.36)

где вычисляется по-прежнему по моделям Е.2.2, Е.2.3, но уже в качестве исходного выступает , рассчитанное на предыдущем шаге итерации. Здесь уже в большей степени учитывается время восстановления с частотой, стремящейся к реальной. Соответственно риск также приближается к реальному.

С увеличением r указанная последовательность сходится, и для дальнейших расчетов используют значение, отличающееся от точного предела на величину, пренебрежимо малую с задаваемой изначально точностью итерации :

.

Примечание - Способ итеративного применения процессов рекомендован ГОСТ Р 57102.

Применение инженерных способов 1-4 обеспечивает более точный прогноз рисков для системы сложной структуры по сравнению с моделированием методами "черного ящика".

Е.2.5 Алгоритм прогноза риска по данным СДК ПБ ОПО

Е.2.5.1 Алгоритм прогноза риска изложен в приложении к сложной системе (система, представляемая в виде "черного ящика", является частным случаем) и позволяет провести расчет на заданный период прогноза: вероятности нарушения границ нормативного диапазона для отдельного параметра, вероятности нарушения границ нормативного диапазона для нескольких параметров, вероятности инцидента и аварии на отдельном оборудовании, вероятности инцидента и аварии на ОПО в целом.

Е.2.5.2 На основе данных о состоянии оборудования, объектов ОПО и окружающей среды в СДК ПБ ОПО формируются исходные данные для прогнозирования с использованием моделей Е.2.2, Е.2.3 и инженерных способов Е.2.4. Определяются режимы функционирования анализируемой системы и составных элементов с указанием резервирования в целях обеспечения ПБ, надежного функционирования ОПО. С учетом рекомендаций ГОСТ Р ИСО 13381-1, ГОСТ Р ИСО 17359, ГОСТ Р ИСО 31010, ГОСТ Р 51901.1, ГОСТ Р 51901.7, ГОСТ Р 51901.16, ГОСТ Р МЭК 61069-1 - ГОСТ Р МЭК 61069-8, ГОСТ Р МЭК 61508-1 - ГОСТ Р МЭК 61508-3, ГОСТ Р МЭК 61508-5 - ГОСТ Р МЭК 61508-7 формируется полное логическое "дерево отказов" с характеристикой опасностей, развития угроз и ожидаемых последствий (без указания вероятностей переходов). Для сложных систем формируется логическая параллельно-последовательная структура анализируемой системы с декомпозицией до уровня составных подсистем и системных элементов и характеристикой нарушения нормальных условий функционирования ОПО в логике "И", "ИЛИ" при наступлении элементарных событий 1-го, 2-го, 3-го и 4-го классов).

Е.2.5.3 Для оценки рисков нарушения целостности анализируемой системы алгоритм предусматривает выполнение следующих шагов:

а) шаг 1. Выбирается все множество элементов (всего - М, М  1 элементов системы), по каждому из которых должен быть выполнен прогноз вероятности нарушения целостности.

Примечание - В настоящем алгоритме под элементами понимаются системные элементы и/или подсистемы, на которые декомпозирована анализируемая система. Например, в приложении к оборудованию - это цепочка контролируемых параметров, характеризующих функционирование этого оборудования;

б) шаг 2. Для каждого элемента применяется следующий порядок действий:

1) действие 2.1. Для логической интерпретации нарушения нормальных условий функционирования отдельного оборудования или ОПО в целом множество выбранных элементов при М > 1 объединяется условием "И" (и тем самым анализируемая сложная система представляется в виде последовательной цепочки - см. рисунок Е.3) или, при наличии резервирования, используется условие "ИЛИ" (с представлением в виде параллельного соединения - см. рисунок Е.4);

2) действие 2.2. По каждому элементу для последующих расчетов определяются следующие исходные данные:

- перечень опасностей, характеризующих угрозы нарушения целостности (т.е. нормальных условий функционирования);

- описательные модели угроз и возможные последствия из-за нарушений целостности (см. Е.2.1 - Е.2.4);

- данные СДК ПБ ОПО, позволяющие определить частоту возникновения угроз и среднее время развития угроз до нарушения целостности по собираемой статистике для событий 1-го, 2-го, 3-го и 4-го классов.

Примечание - Если это время подлежит определению как прогнозируемое время на принятие и реализацию решения для предотвращения нарушения границ нормативного диапазона по поступившим данным СДК, то используется алгоритм Е.3;

- период между моментами системного контроля целостности (с восстановлением нарушаемой целостности), определяемый по частоте привлечения ответственных лиц для контроля целостности и/или устранения причин выявленных отклонений;

- средняя длительность системного контроля целостности, определяемая временем работы мастера при системном контроле или электронных средств (если такой контроль может осуществляться на месте или удаленно);

- среднее время восстановления при выявлении нарушения целостности, определяемое временем работы мастеров при устранении нарушений или электронных или робототехнических средств (если такое устранение нарушений может осуществляться удаленно без непосредственного привлечения мастеров к устранению на месте нарушения).

Примечание - Формальная иллюстрация угроз, мер контроля, мониторинга и восстановления целостности представлена на рисунке Е.2;

3) действие 2.3. С учетом инженерных способов Е.2.4 применительно к каждому из элементов выбирается и применяется соответствующая модель Е.2.2 или Е.2.3 для периодов прогноза, задаваемых в точках от 0 до (самого большого числа, представляемого в ЭВМ). С использованием инженерного способа 1 по формулам и рекомендациям Е.2.2 - Е.2.4 с учетом возможных последствий вычисляют показатели рисков:

- вероятности нарушения целостности каждого из элементов и системы в целом в течение заданного периода прогноза для условий, если оперативно реагировать на выявляемые нарушения целостности и если не реагировать на эти отклонения должным образом;

- среднее время до нарушения целостности каждого из элементов системы и системы в целом для условий, если оперативно реагировать на выявляемые нарушения целостности и если не реагировать на эти отклонения должным образом;

4) действие 2.4. Вычисленные показатели с использованием инженерного способа 1 интерпретируются применительно к риску нарушения границ нормативного диапазона для отдельного параметра, риску нарушения границ нормативного диапазона для нескольких параметров, риску инцидента на отдельном оборудовании, риску инцидента на ОПО в целом, риску аварии на отдельном оборудовании или риску аварии на ОПО в целом, т.е. к показателям, изначально подлежащим прогнозу.

Е.3 Методы прогнозирования времени на принятие и реализацию решения для предотвращения нарушения границ нормативного диапазона

Прогноз остаточного времени на принятие и реализацию решения для предотвращения нарушения границ нормативного диапазона по данным СДК ПБ ОПО осуществляется при выходе значений какого-либо параметра конкретного оборудования за границы рабочего диапазона, оставаясь в границах нормативного диапазона.

Реализуют следующий алгоритм.

Е.3.1 В терминах элементарных событий определяют состояния значений параметра: в границах рабочего диапазона (события 4-го класса); за границами рабочего диапазона, оставаясь в границах нормативного диапазона (события 3-го класса); за границами нормативного диапазона (события 2-го класса) и их привязку к конкретным значениям из каталогов контролируемых параметров оборудования и/или состояния технологических процессов (см. приложения А-Г).

Е.3.2 По фактическим данным СДК ПБ ОПО осуществляют анализ статистики с определением моментов начала и конца пребывания значений параметра в границах рабочего диапазона, за границами рабочего диапазона, оставаясь в границах нормативного диапазона, и за границами нормативного диапазона (см. рисунок Е.5).

Е.3.3 Возможны два варианта содержания используемой статистики в зависимости от ее качества: при наличии и при отсутствии прецедентов выхода значений параметра за границы нормативного диапазона.

Е.3.3.1 Если по используемой статистике было K  1 прецедентов перехода параметра за границы нормативного диапазона в моменты t₁, t₂, ..., t_K, то ожидаемое среднее время, имеющееся для принятия и реализации предупреждающих мер T_{упрежд.ож} (т.е. до перехода за границы нормативного диапазона), полагают равным

,

(E.37)

где - момент s(k)-го перехода за границы рабочего диапазона, оставаясь в границах нормативного диапазона, для k-го прецедента перехода за границы нормативного диапазона, s(k) = 1, ..., S(k), k = 1, ..., K;

- количество переходов за границы рабочего диапазона, оставаясь в границах нормативного диапазона, для k-го прецедента, k = 1, ..., K.

Рисунок Е.5 - Определение среднего времени на принятие и реализацию решения для предотвращения нарушения границ нормативного диапазона по статистике

Примечание - В примере на рисунке Е.5 моменты t₃, t₆, t₁₀ определяют прецеденты перехода за границы нормативного диапазона (т.е. K = 3). Моменты t₁, t₂, t₄, t₅, t₇, t₈, t₉ определяют моменты перехода в элементарное состояние за границами рабочего диапазона, оставаясь в границах нормативного диапазона, причем моменты t₁, t₂ относятся к 1-му прецеденту перехода параметра в элементарное состояние за границами нормативного диапазона (k = 1, S(1) = 2), t₄, t₅ относятся ко 2-му прецеденту перехода параметра в элементарное состояние за границами нормативного диапазона (k = 2, S(2) = 2), t₇, t₈, t₉ относятся к 3-му прецеденту перехода параметра в элементарное состояние за границами нормативного диапазона (k = 3, S(3) = 3). S(1) + S(2) + S(3) = 7.

Если какая-либо специфика в поведении параметра отсутствует, то учитывают всю предыдущую статистику:

.

Примечание - В этом случае учитываются как выходы за пределы рабочего диапазона, так и возвращения в пределы нормативного диапазона, т.е. статистика на рисунке Е.5 учитывает время с моментов t₁, t₂ до 1-го прецедента в момент t₃, с моментов t₄, t₅ до 2-го прецедента в момент t₆, с моментов t₇, t₈, t₉ до 3-го прецедента в момент t₁₀.

Для учета специфики поведения параметра возможен учет предыдущего состояния, из которого значения параметра вышли за границы рабочего диапазона, оставаясь в границах нормативного диапазона. Например, это касается параметра "Уровень воды в водосборнике", когда при наполнении водосборника, т.е. при выходе значений уровня воды за границы рабочего диапазона, время до выхода значений параметра за границы нормативного диапазона может измеряться десятками минут. Тогда как при освобождении водосборника, т.е. после возвращения значений уровня воды из-за границ нормативного диапазона, время до следующего выхода значений параметра опять за границы нормативного диапазона может измеряться часами и десятками часов. При учете подобной специфики возможны случаи:

- если предыдущее состояние было в границах рабочего диапазона, то ожидаемое среднее время, имеющееся для принятия и реализации предупреждающих мер, полагают равным

.

Примечание - В этом случае статистика на рисунке Е.5 учитывает лишь выходы за пределы рабочего диапазона в моменты t₁, t₂, t₅, t₈, t₉;

- если предыдущее состояние было за границами нормативного диапазона, то ожидаемое среднее время, имеющееся для принятия и реализации предупреждающих мер, полагают равным

.

Примечание - В этом случае статистика на рисунке Е.5 учитывает лишь возвращения в пределы нормативного диапазона в моменты t₄, t₇.

Е.3.3.2 Если по используемой статистике не было ни одного прецедента перехода параметра в элементарное состояние за границами нормативного диапазона (т.е. K = 0), но были U  1 прецедентов перехода в моменты z₁, z₂, ..., z_u значений параметра за границы рабочего диапазона, оставаясь в границах нормативного диапазона, то выполняют следующие действия (см. Е.3.3.2.1 - Е.3.3.2.3).

Е.3.3.2.1 Устанавливают допустимый риск выхода значений этого параметра за границы нормативного диапазона в течение заданного периода прогноза Т_зад [т.е. задаются уровнем вероятности R_доп (Т_зад)]. В терминах риска это означает установление формальной границы перехода параметра за границы нормативного диапазона из состояния за границами рабочего диапазона, оставаясь в границах нормативного диапазона.

Примечание - В рамках риск-ориентированного подхода установление допустимого риска по отдельному оборудованию является следствием установления допустимого риска возникновения аварии на ОПО и его подсистемах. Для одинакового периода прогноза Т_зад допустимый риск выхода значений отдельного параметра за границы нормативного диапазона всегда не больше допустимого риска возникновения аварии на ОПО.

Е.3.3.2.2 Прогнозируемое время Т_{упрежд. прогноз} на принятие и реализацию решения для предотвращения нарушения границ нормативного диапазона оценивают как среднее время до перехода из состояния за границами рабочего диапазона, оставаясь в границах нормативного диапазона, в состояние за границами нормативного диапазона. Отсутствие статистики выхода за границы нормативного диапазона требует использования вероятностного моделирования.

Т_{упрежд. прогноз} вычисляют с применением типовой модели Е.2.3, предполагающей по своей сути условия "искусственного" игнорирования ответственными лицами ОПО данных СДК, свидетельствующих о выходах за границы рабочего диапазона (т.е. условие пессимистического развития событий). Осуществляют прогнозирование времени на принятие и реализацию решения для предотвращения нарушения границ нормативного диапазона как результат решения обратной задачи: найти такое максимально большое время развития угроз х (т.е. неизвестное х = ), когда за этот же срок (т.е. Т_зад тоже равно неизвестному х) риск нарушения целостности системы впервые выйдет снизу на допустимый уровень риска.

То есть прогнозируемое время на принятие и реализацию решения для предотвращения нарушения границ нормативного диапазона (х) - это решение уравнения

(Е.38)

относительно параметра х = Т_{упрежд. прогноз}, где параметр х занимает в формульном выражении R_наруш (, , Т_меж, T_диаг, T_зад) в модели Е.2.3 место параметров и Т_зад. Решение существует, т.к. при возрастании от нуля до бесконечности значение риска нарушения целостности системы при прочих неизменных монотонно убывает от положительного фиксированного значения (зависящего от ) до 0, а при возрастании периода прогноза Т_зад от нуля до бесконечности значение риска монотонно возрастает от 0 до 1. Здесь частота перехода за границы рабочего диапазона, оставаясь в границах нормативного диапазона, определяется по статистике данных СДК ПБ ОПО.

Примечания

1 Учитывая, что для модели Е.2.3 период между контролями целостности больше периода прогноза, параметры Т_меж и Т_диаг не оказывают влияния на результаты решения уравнения (Е.38).

2 Дополнение до 1 значения допустимого риска в точке T_{упрежд. прогноз} [т.е. 1 - R_доп (T_{упрежд. прогноз})] определяет доверительную границу вероятности, с которой определено прогнозируемое время на принятие и реализацию решения для предотвращения нарушения границ нормативного диапазона.

Е.3.3.2.3 Допускается задание двух значений допустимого риска R_{доп min} (Т_{упрежд. прогноз mах}) и R_{доп mах} (Т_{упрежд. прогноз min}) выхода значений этого параметра за границы нормативного диапазона. В этом случае искомое время определяют диапазоном от Т_{упрежд. прогноз min} до Т_{упрежд. прогноз mах}, т.е. прогнозируемое среднее время на принятие и реализацию решения для предотвращения нарушения границ нормативного диапазона будет не менее Т_{упрежд. прогноз min} и не более Т_{упрежд. прогноз mах} с доверительной вероятностью из диапазона [(1 - R_{доп min}); (1 - R_{доп mах})]. На практике задают доверительную вероятность от 0,80 до 0,99.

Е.3.3.3 Если по используемой длительной статистике (более года) не было прецедентов перехода параметра за границы рабочего диапазона (т.е. K = 0, что свидетельствует об устойчивом функционировании оборудования с выполнением требований ПБ), то делают вывод о том, что ресурсы, выделяемые для поддержания целостности оборудования, принятая технология мониторинга и принимаемые предупреждающие меры признаются удовлетворительными для обеспечения нормальных условий функционирования ОПО. При этом прогноз времени на принятие и реализацию решения для предотвращения нарушения границ нормативного диапазона по данным СДК может не осуществляться.

Е.3.3.4 Если набранной статистики недостаточно (например, статистика менее, чем за год), а по существующей статистике не было прецедентов перехода параметра за границы нормативного диапазона (т.е. K = 0) и прецедентов перехода параметра из границ рабочего диапазона за эти границы, оставаясь в границах нормативного диапазона (т.е. U = 0), то делают "искусственное" предположение об одном возможном переходе за границы рабочего диапазона, оставаясь в границах нормативного диапазона, за определенный период (т.е. U = 1). Далее выполняются действия согласно Е.3.3.2.

Примечание - Сделанное в Е.3.3.4 предположение "искусственно" ставит оборудование в более невыгодные условия функционирования, чем есть на самом деле. Без достаточной статистики это позволяет получить начальную ориентировочную оценку среднего времени на принятие и реализацию решения для предотвращения нарушения границ нормативного диапазона по поступившим данным СДК о выходе контролируемых параметров за границы рабочих диапазонов. Эта оценка подлежит уточнению по мере накопления статистики и анализа причин происходивших и возможных отклонений.