Risk management. Implementation guide for organizational security measures and risk assessment. Reference incidents scenarios

ФЕДЕРАЛЬНОЕ АГЕНТСТВО
ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

НАЦИОНАЛЬНЫЙ
стандарт
РОССИЙСКОЙ
ФЕДЕРАЦИИ

ГОСТ Р
54141-
2010

Менеджмент рисков

РУКОВОДСТВО ПО ПРИМЕНЕНИЮ
ОРГАНИЗАЦИОННЫХ МЕР БЕЗОПАСНОСТИ
И ОЦЕНКИ РИСКОВ

Эталонные сценарии инцидентов

Москва

Стандартинформ

2012

Предисловие

Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании», а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 «Стандартизация в Российской Федерации. Основные положения»

Сведения о стандарте

1 РАЗРАБОТАН Научно-техническим центром «ИНТЕК»

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 100 «Стратегический и инновационный менеджмент»

3 ПРИНЯТ И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 21 декабря 2010 г. № 887-ст

4 ВВЕДЕН ВПЕРВЫЕ

Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе «Национальные стандарты», а текст изменений и поправок - в ежемесячно издаваемых информационных указателях «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет

Содержание

1 Область применения. 3

2 Нормативные ссылки. 4

3 Термины, определения и сокращения. 4

4 Методология идентификации эталонных сценариев инцидентов (МИЭСИ) 12

5 Анализ влияния эффективности работ по менеджменту безопасности на надежность барьеров безопасности. 25

6 Пошаговое описание процесса оценки менеджмента безопасности. 26

Библиография. 31

 

Введение

Основная цель методологии идентификации эталонных сценариев инцидентов (МИЭСИ) заключается в выборе эталонных сценариев инцидентов (ЭСИ) среди наиболее значимых видов опасностей (угроз), установленных на этапах методологии идентификации инцидентов, представляющих серьезные (существенные) угрозы (МИСУИ). К ЭСИ относятся инциденты, которые должны быть смоделированы с целью вычисления уровня их опасности (серьезности) для сравнения со степенью подверженности окружения, в котором находится предприятие, последствиям инцидента.

МИЭСИ принимает во внимание:

- системы безопасности, установленные на оборудовании и вокруг оборудования;

- системы менеджмента безопасности;

- частоты повторения инцидентов;

- возможные последствия инцидентов.

В настоящем стандарте использована методология, основанная на принципах и процедурах оценки рисков для выполнения требований Директивы ЕС 96/82/ЕС для помощи в защите людей и окружающей среды от серьезных угроз катастроф и инцидентов. Данная Директива от 9 декабря 1996 г. о контроле за представляющими собой серьезную опасность авариями на объектах, имеющих дело с опасными веществами, известна также как Директива SEVESO II.

Данный комплекс стандартов включает следующие стандарты:

- «Менеджмент рисков. Руководство по применению организационных мер безопасности и оценки рисков. Общая методология»;

- «Менеджмент рисков. Руководство по применению организационных мер безопасности и оценки рисков. Идентификация инцидентов»;

- «Менеджмент рисков. Руководство по применению организационных мер безопасности и оценки рисков. Эталонные сценарии инцидентов»;

- «Менеджмент рисков. Руководство по применению организационных мер безопасности и оценки рисков. Промышленные инциденты»;

- «Менеджмент рисков. Руководство по применению организационных мер безопасности и оценки рисков. Методология построения универсального дерева событий».

Настоящий комплекс стандартов предназначен для использования в случаях, когда вредные вещества на предприятиях присутствуют или используются в количествах, способных нанести существенный вред здоровью людей или состоянию окружающей среды. Этот комплекс стандартов может также использоваться и в других случаях, когда на предприятиях необходимо оценивать риски от своей деятельности, способной нанести существенный вред.

В стандарте «Менеджмент рисков. Руководство по применению организационных мер безопасности и оценки рисков. Общая методология» приведены общие положения оценки рисков на основе критических событий, основанные на европейском подходе по контролю за представляющими серьезную опасность авариями на объектах, имеющих дело с опасными веществами, а также приведен перечень действующих нормативных документов в области оценки рисков.

В стандарте «Менеджмент рисков. Руководство по применению организационных мер безопасности и оценки рисков. Идентификация инцидентов» представлена методология идентификации инцидентов, представляющих существенные угрозы (МИСУИ). Стандарт описывает методологию построения схемы «песочные часы» («галстук-бабочка»), на которой дерево отказов (неисправностей) и дерево событий связаны через критическое событие. Рассмотрены алгоритмы идентификации и выбора опасного оборудования, основанные на использовании предложенных категорий разновидности рисков и классификации оборудования.

В стандарте «Менеджмент рисков. Руководство по применению организационных мер безопасности и оценки рисков критических событий. Эталонные сценарии инцидентов» представлена методология идентификации эталонных сценариев инцидентов (МИЭСИ). Цель МИЭСИ заключается в том, чтобы идентифицировать эталонные сценарии инцидентов, которые будут учтены при вычислении уровня (индекса) серьезности последствий. Принципиально выбираются только сценарии, соответствующие опасным феноменам с частотой или последовательностью, которые могут оказать существенный эффект с точки зрения последствий.

В стандарте «Менеджмент рисков. Руководство по применению организационных мер безопасности и оценки рисков. Промышленные инциденты» для различных критических событий представлены родовые схемы деревьев отказов, описывающие последовательность наступления нежелательных событий и распространения опасностей, приводящих к проявлению критического события.

В стандарте «Менеджмент рисков. Руководство по применению организационных мер безопасности и оценки рисков. Методология построения универсального дерева событий» представлены методология и детализированная процедура построения для критических событий, схем родовых деревьев событий, описывающих последовательность наступления нежелательных событий и распространения опасностей, приводящих к проявлению опасного феномена, при помощи использования соответствующих категорий (разновидностей) рисков и классификаций оборудования.

ГОСТ Р 54141-2010

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Менеджмент рисков

РУКОВОДСТВО ПО ПРИМЕНЕНИЮ ОРГАНИЗАЦИОННЫХ МЕР БЕЗОПАСНОСТИ
И ОЦЕНКИ РИСКОВ

Эталонные сценарии инцидентов

Risk management. Implementation guide for organizational security measures and risk assessment.
Reference incidents scenarios

Дата введения - 2011-09-01

1 Область применения

Настоящий стандарт устанавливает методологию технического регулирования и оценки рисков для промышленных инцидентов с серьезными последствиями, предназначенную для характеристики уровня риска с интегрированным индексом риска, включающим в себя независимые параметры, связанные с оценкой последующей серьезности развития сценариев, эффективностью превентивного менеджмента и оценкой подверженности (уязвимости) окружающей среды, описывая чувствительность потенциальных объектов, подпадающих под действие настоящего стандарта.

Настоящий стандарт следует использовать на предприятиях, на которых вредные вещества присутствуют в количествах, способных нанести существенный вред здоровью людей или состоянию окружающей среды. Термин «присутствие вредных веществ» означает фактическое или ожидаемое присутствие таких веществ на предприятии или же присутствие тех, которые, возможно, могут образовываться во время потери управляемости промышленным химическим процессом в количествах, равных или превышающих установленные пороговые значения. Настоящий стандарт также может использоваться и другими организациями, деятельность и оборудование которых может представлять опасность.

Положения настоящего стандарта устанавливают необходимые меры по содействию усовершенствованиям в области обеспечения безопасности и здоровья на рабочем месте, а также охраны окружающей среды.

Пользователями настоящего стандарта являются организации, которые работают или содержат установки или оборудование, или, если это установлено национальным законодательством, имеют экономические рычаги, влияющие на принятие технических решений.

Целью настоящего стандарта является описание методологии оценки риска и отдельных элементов менеджмента риска в указанной области деятельности, поэтому используемые в нем виды опасностей или их аспекты, а также связанные с ними события и последовательности их наступления приводятся исключительно с информационной и методической целью и их не следует рассматривать как полные и настоятельно рекомендуемые. Применение данного стандарта носит исключительно добровольный характер и призвано содействовать развитию организационным мер безопасности в тех случаях, когда существующих рекомендуемых нормативных документов недостаточно для однозначного достижения необходимых целей регулирования на предприятиях.

2 Нормативные ссылки

В настоящем стандарте использована ссылка на следующий стандарт:

ГОСТ Р 51897-2002 Менеджмент риска. Термины и определения

3 Термины, определения и сокращения

В настоящем стандарте применены термины и определения в соответствии с ГОСТ Р 51897-2002, а также следующие термины с соответствующими определениями:

3.1 атмосферное хранилище: Резервуары для хранения, работающие при температуре окружающей среды под давлением и содержащие вещества в жидком состоянии.

3.2 атмосферное транспортное оборудование: Транспортное оборудование, работающее при температуре окружающей среды под давлением и содержащее вещество в жидком состоянии.

3.3 возможный огненный столб или шар, шаровая молния: Взрыв пара расширяющейся кипящей жидкости (BLEVE).

Примечание - BLEVE происходит при катастрофическом отказе резервуара, содержащего жидкость, сильно перегретую выше своей нормальной атмосферной точки кипения. BLEVE распространяется на резервуары, содержащие сжиженный газ под давлением или жидкость под давлением. В первом случае последствием BLEVE является взрыв вследствие, с одной стороны, расширения пара при отказе резервуара, с другой стороны, из-за взрывоопасного испарения жидкостного содержимого резервуара. За этим эффектом следует, как правило, разлет (разброс) частей. Если вещество воспламеняемо, аэрозоль из смеси вещества и воздуха может незамедлительно воспламениться. Фронт пламени быстро распространяется отточки воспламенения, образуя огненный шар (шаровую молнию). Его температура чрезвычайно высока, и это вызывает значимую тепловую радиацию. Способ учета BLEVE объясняется в определении катастрофического разрыва.

3.4 перегрев (перекипание) и возникающий в результате пожар резервуара: Событие, следующее за пожаром резервуара, происходящее в результате перегрева и заключающееся во внезапном и сильнейшем огненном извержении горящей жидкости из атмосферного хранилища.

Примечание - Это является последствием превращения в пар жидкой воды, содержащейся на дне резервуара. В атмосферном хранилище перегрев может возникнуть при следующих условиях:

- наличие воды на дне резервуара;

- образование тепловой волны, которая достигает водяного слоя под углеводородной массой;

- достаточная вязкость углеводорода, в результате чего водяной пар не может легко пройти через него со дна резервуара;

- средняя температура кипения выше, чем температура кипения воды на границе раздела вода/углеводород. Условием является следующее для обычного хранилища углеводорода: TBULHC > 395 К (120°С);

- достаточно большой разброс температур кипения, что способствует образованию тепловой волны, например, на 60 градусов выше температуры кипения воды при давлении разделительной среды.

3.5 трещина (прорыв) в корпусе в условиях жидкой фазы: Отверстие определенного диаметра в корпусе оборудования в условиях жидкой фазы (ниже уровня жидкости), ведущее к непрерывной утечке.

Примечание - Это отверстие может быть результатом механического напряжения, вызванного внешними или внутренними причинами или ухудшением механических свойств структуры.

3.6 трещина (брешь, прорыв) в корпусе в условиях паровой фазы: Отверстие определенного диаметра в корпусе оборудования в условиях паровой фазы (выше уровня жидкости, если присутствует жидкая фаза), ведущее к непрерывной утечке.

Примечание - Это отверстие может быть результатом механического напряжения, вызванного внешними или внутренними причинами или ухудшением механических свойств структуры. Это критическое событие включает в себя также прорыв в оборудовании, когда твердый материал находится во взвешенном состоянии в воздухе или газе.

3.7 катастрофический разрыв: Катастрофический разрыв представляет собой полный отказ оборудования, ведущий к полной и мгновенной утечке вещества.

Примечание - BLEVE является катастрофическим разрывом при определенных условиях эксплуатации. В зависимости от последствий катастрофический разрыв может привести к образованию избыточного давления и разлету (разбросу) частей.

3.8 коллапс, разрушение крышки: Разрушение крышки может быть вызвано уменьшением внутреннего давления в резервуаре, ведущего к сдавливанию и коллапсу съемной крышки под воздействием атмосферного давления.

3.9 критическое событие (КС): Событие, определяемое как потеря герметичности (LOC).

Примечание - Это определение является абсолютно точным применительно к жидкостям, поскольку они обычно характеризуются опасным поведением после утечки. Для твердых материалов и особенно для массового твердотельного хранилища скорее применим такой термин, как потеря сдерживания или «потеря физической целостности (LPI)», рассматриваемый как изменение химического и/или физического состояния веществ. Критическое событие расположено в центре схемы «песочные часы» («галстук-бабочка»).

3.10 криогенное хранилище (с системой охлаждения): Резервуар для хранения охлажденного сжиженного газа, работающий при низкой температуре при атмосферном давлении или при более низком давлении.

3.11 опасный феномен, явление (ОФ): Событие, следующее за третичным критическим событием.

Пример - Взрыв облака пара, мгновенный пожар (пожар-вспышка), пожар резервуара, распространение (дисперсия) токсичного облака, пожар лужицы (скопление жидкости) после воспламенения лужицы и т.д.

3.12 опасный феномен «в условиях ограничения источника»: Опасный феномен, для которого последствия критического события ограничиваются надежным барьером безопасности.

Пример - Барьер с помощью ограничения размера резервуара или продолжительности утечки.

3.13 опасный феномен с «ограниченными эффектами»: Опасный феномен, для которого существует барьер на схеме древа событий, но не сразу после критического события.

Пример - Водяная завеса, которая ограничивает количество газа, составляющего облако.

3.14 «полностью проявившийся» опасный феномен: Опасный феномен, для которого не существует системы безопасности, ограничивающей последствия критического события и смягчающей эффекты.

3.15 разложение: Критическое событие, распространяющееся только на твердые вещества, соответствующее изменению химического состояния вещества [потеря физической целостности (LPI)] под действием источника энергии/тепла или химической реакции с веществом (несовместимый реагент).

Примечание - Разложение вещества приводит в качестве вторичных критических событий (ВКС) и третичных критических событий (ТКС) к выбросу токсичных продуктов или отложенному взрыву образованного воспламеняемого газа (реакция не спонтанная, но может быть сильной). Это критическое событие имеет место только для массовых твердотельных хранилищ (хранилищ твердого вещества).

3.16 детальные прямые причины (ДПП): События, расположенные на схеме «песочные часы» («галстук-бабочка») на стороне дерева отказов (неисправностей).

Примечание - В случае событий, которые могут вызвать прямые причины, или в случае когда выявление прямой причины является слишком общим, детальная прямая причина повышает точность в определении природы прямой причины.

3.17 прямые причины (ПП): События, расположенные на схеме «песочные часы» («галстук-бабочка») на дереве отказов.

Примечание - Непосредственные причины необходимых и достаточных причин (НДП). Для данной НДП перечень прямых причин должен быть по возможности наиболее полным.

3.18 взрыв пыли: Событие, происходящее при наличии достаточно высоких концентраций пыли в кислородной (окисляющей) атмосфере.

Примечание - Реакция окисления происходит на границе раздела газ/твердое вещество, и интенсивность взрыва зависит непосредственно от площади реакции, например размера частиц. Они могут главным образом вызывать эффекты чрезмерного давления и разлет частей.

3.19 результативность барьера безопасности: Способность технического барьера безопасности выполнять функцию безопасности в течение определенного периода времени в неиспорченном (деградированном) режиме и установленных условиях.

Примечание - Результативность выражается либо в процентном отношении, либо в виде вероятности выполнения конкретной функции безопасности. Если результативность выражается в процентном отношении, она может изменяться в течение рабочего времени барьера безопасности.

Пример - Клапан, который не будет полностью закрыт по требованию безопасности, не будет иметь 100 % результативности.

3.20 ущерб окружающей среде: Опасный феномен, вызванный распространением (дисперсией) в окружающей среде вещества с одним из следующих описаний риска: R50, R51, R54, R55, R56, R57 или R59, а также выбросом токсичных газов от сгорания твердого вещества с описанием риска R100 или R101.

3.21 дерево события: Правая часть схемы «песочные часы» («галстук-бабочка»), идентифицирующая возможные последствия критического события.

3.22 взрыв: Критическое событие, распространяющееся только на взрывчатые твердые вещества со «взрывчатыми» описаниями риска (R2, R3, R6 и др.), которое соответствует изменению физического состояния вещества (LPI) в результате действия источника энергии/тепла или в результате действия химического источника (несовместимый реагент).

Примечание - Под изменением состояния подразумевается сгорание твердого вещества с образованием избыточного давления (или взрывом) в результате насильственной и спонтанной реакции. Это критическое событие распространяется только на массовое твердотельное хранилище. В случае, если вещество хранится в закрытом резервуаре, взрыв (или взрывчатое разложение твердого вещества) рассматривается как внутренняя причина чрезмерного давления, ведущая к потере герметичности (например, катастрофический разрыв или прорыв в корпусе). В этом случае критическим событием на схеме «песочные часы» является потеря герметичности.

3.23 дерево отказов (неисправностей): Левая часть схемы «песочные часы» («галстук-бабочка»), идентифицирующая возможные причины критического события.

3.24 пожар: Процесс сгорания, характеризующийся образованием тепла или дыма, или пламени, или любой их комбинацией.

3.25 опасное вещество: Вещество, смесь или препарат и представленные как сырьевой материал, продукт, побочный (сопутствующий) продукт, остаток или полупродукт, включая вещества, которые могут образовываться в случае аварии.

Примечание - Опасным веществом является вещество, чья токсичность, воспламеняемость, нестабильность или взрывчатость может подвергнуть опасности людей, окружающую среду или оборудование.

3.26 инициирующее событие: Изначальные причины по направлению вверх каждой ветви, ведущей к критическому событию на дереве отказов (в левой части схемы «песочные часы»).

3.27 реактивное (струйное) пламя (огонь): Пламя, образующееся в случае утечки в трубопроводе или резервуаре при обращении с воспламеняемой жидкостью или газом.

Примечание - Воспламенение жидкости ведет к образованию реактивного пламени, характеризуемого высокой излучающей энергией (значительно выше, чем излучение в случае пожара резервуара) и заметной кинетической энергией.

3.28 утечка из газового трубопровода: Утечка из отверстия газового трубопровода диаметром, соответствующим некоторому процентному отношению от номинального диаметра трубопровода.

Примечание - Это может быть также утечка из функционального отверстия трубопровода: фланцевые соединения, насосные уплотнения, клапаны, заглушки, уплотнения. Такая утечка происходит на трубопроводе, транспортирующем вещество в газообразном состоянии. Это критическое событие включает в себя также утечку из оборудования, где твердый материал находится во взвешенном состоянии в воздухе или газе.

3.29 утечка из жидкостного трубопровода: Утечка из отверстия жидкостного трубопровода диаметром, соответствующим некоторому процентному отношению от номинального диаметра трубопровода.

Примечание - Это может быть также утечка из функционального отверстия трубопровода: фланцевые соединения, насосные уплотнения, клапаны, заглушки, уплотнения. Такая утечка происходит из трубопровода, транспортирующего жидкое вещество.

3.30 уровень доверия к барьеру безопасности: Вероятность отказа в отношении требования по выполнению необходимой функции безопасности в соответствии с заданной результативностью и временем срабатывания, отвечающими всем условиям в течение установленного периода времени.

Примечание - Это понятие аналогично понятию SIL (уровень интегрированной безопасности), определенному в МЭК61511 для инструментальных систем безопасности, но распространяемому в данном случае на все виды барьеров безопасности.

Конструкционный (расчетный) уровень доверия: означает, что барьер эффективен со времени установки, имеет соответствующие время срабатывания, уровень доверия или вероятность отказа по требованию.

Операционный уровень доверия: включает влияние системы менеджмента безопасности. Это значение может быть ниже «конструкционного» значения в случае, если отдельные проблемы идентифицированы во время аудита системы менеджмента безопасности.

3.31 погрузочный (разгрузочный) блок: Блок, используемый для входа и выхода веществ и материалов на предприятии, включая транспортное оборудование.

3.32 основные события: События, характеризуемые как значительный эффект, оказывающие существенное влияние на цели (люди, структура, окружающая среда и т.д.) идентифицированных опасных феноменов, расположенные на схеме «песочные часы» на стороне дерева отказов.

Примечание - Возможными значительными эффектами являются следующие: тепловое излучение, чрезмерное давление, разлет частей, токсичные эффекты (на людей или окружающую среду).

3.33 массовое твердотельное хранилище: Хранилище твердых веществ в форме порошка или гранул.

Примечание - Такие вещества могут храниться навалом или как силос в специальных бункерах (хранилище твердых продуктов в «небольших» пакетах в данном случае не учитывается).

3.34 материал, приведенный в движение (увлечение воздухом): Критическое событие используется для потенциально мобильного твердого продукта, для фрагментарного твердого продукта (порошок, пыль и т.д.), подверженного воздействию окружающей среды.

Пример - Фрагментарный твердый продукт при хранении в открытом хранилище или перемещаемый на ленточных транспортерах, приходящий в движение из-за присутствия воздушного вектора (слишком сильной вентиляции и т.д.).

3.35 материал, приведенный в движение (увлечение жидкостью): Критическое событие вероятное для потенциально мобильного твердого продукта, подверженного воздействию окружающей среды.

Пример - Фрагментарный твердый продукт при хранении в открытом хранилище или перемещаемый на ленточных транспортерах и приходящий в движение из-за присутствия жидкого вектора (наводнения, жидкости, вытекающей из другого оборудования, и т.д.).

3.36 разлет (разброс) частей: Фрагментация элементов оборудования при взрыве или увеличении давления.

Примечание - События, приводящие к взрыву и разлету частей:

- событие типа BLEVE для сосуда под давлением может вызвать разлет частей;

- взрывные феномены могут произойти в процессном оборудовании и вызвать выброс различных фрагментов, например реактора;

- атмосферные или криогенные резервуары для хранения могут также привести к разлету частей (взрыв резервуара для хранения). Это может произойти в случае накопления воспламеняющихся паров под крышкой резервуара;

- механический разрыв хранилища под давлением может быть вызван, например, увеличением давления в резервуаре.

3.37 необходимые и достаточные причины (НДП): Непосредственные причины, которые могут вызвать критическое событие (КС).

Примечание - На схеме «песочные часы» НДП расположены на стороне дерева отказов. Для конкретного критического события предполагается, что перечень НДП будет исчерпывающим, что означает, что по крайней мере одна НДП должна быть включена в схему, чтобы критическое событие могло произойти.

3.38 создание чрезмерного давления: Быстро распространяющееся давление или ударная волна в атмосфере с высоким давлением, высокой плотностью и высокой скоростью.

3.39 хранилище с нагнетанием газа: Резервуар для хранения, работающий при температуре окружающей среды и при давлении выше 1 бар (давление повышается при помощи нагнетания инертного газа) и содержащий вещество в сжиженном состоянии.

3.40 сети трубопроводов (трубопровод): Система труб, соединяющая различные блоки установки (трубопровод, соединяющий разгрузочный блок и блок хранения или соединяющий блок хранения и процессный блок), а также трубопроводы, поддерживающие (подающие) пламя.

Примечание - Система труб, располагающаяся внутри блока (например, внутри хранилища или между двумя единицами процессного оборудования внутри одного и того же процессного блока), не рассматривается как «трубопровод». Эти трубы являются неотъемлемой частью оборудования, к которому они подсоединены.

3.41 пожар лужицы, бассейна: Сгорание материала, испаряющегося из слоя жидкости (лужицы, бассейна).

Примечание - Происхождение слоя жидкости возникает в результате отказа какой-либо детали оборудования, содержащей воспламеняющуюся жидкость.

3.42 хранилище под давлением: Резервуар для хранения, работающий при температуре окружающей среды и при давлении выше 1 бар (давление усиливается веществом, в основном инертным газом).

Примечание - Хранящееся вещество может быть сжиженным газом под давлением (двухфазное равновесное состояние) или газом под давлением (однофазное состояние).

3.43 транспортное оборудование под давлением: Транспортное оборудование, работающее при температуре окружающей среды и при давлении выше 1 бар (давление усиливается веществом, в основном инертным газом).

Примечание - Хранящееся вещество может быть сжиженным газом под давлением (двухфазное равновесное состояние) или газом под давлением (однофазное состояние).

3.44 процессный блок: Блок, применяемый для обработки веществ или производства энергии, используемой на предприятии.

Примечание - В процессном блоке оборудование объединяется в общие категории в соответствии с их функциями и характеристиками.

Примеры

1 Вспомогательное оборудование хранилища, интегрированное в процесс производства: массовое твердотельное хранилище, хранилище под давлением, хранилище с нагнетанием газа, атмосферное хранилище, криогенное хранилище.

2 Оборудование, где происходят химические реакции: реактор.

3 Оборудование, предназначенное для физического или химического разделения веществ: дистилляционная колонка; абсорбционная колонка; экстракционная установка для состояния жидкость- жидкость; центрифуга; сепараторы; сушильные установки; сита; классификаторы.

4 Оборудование, предназначенное для производства и подачи энергии: печи; котлы; теплообменники с использованием прямого огня.

5 Упаковочное оборудование: оборудование, предназначенное для упаковки материала. Упаковка не включена в данную методологию, а включена только упаковочная система.

6 Другое оборудование: насосы; теплообменники; компрессоры; установка для расширения газа; внутренняя система труб, подводимых к процессному блоку; миксеры; смесители.

3.45 выпадение дождя: Выпадение небольших жидких капель из фракции вспыхивающей жидкости, остающейся в изначально взвешенной атмосфере.

3.46 соответствующее опасное оборудование: Оборудование, содержащее количество опасного вещества, превышающее или равное пороговому значению.

3.47 время срабатывания: Продолжительность времени между включением барьера безопасности и полным выполнением (срабатыванием до достижения полной эффективности) функции безопасности.

Примечание - Функция безопасности определяется соответствующим барьером безопасности.

3.48 барьер безопасности: Функция безопасности, являющаяся техническим или организационным действием, а не объектом или физической системой.

Примечание - Именно действие должно выполняться для избежания или предупреждения события, или управления, или ограничения происхождения события. Такое действие осуществляется благодаря барьеру безопасности. Функцией безопасности является то, что должно обеспечить, улучшить и/или содействовать безопасности.

3.49 вторичное критическое событие: Событие, следующее за критическим событием (например, образование лужицы после прорыва сосуда), которое на схеме «песочные часы» расположено на стороне дерева событий.

3.50 начало пожара (LPI): Критическое событие, соответствующее началу специфической реакции между окисляющимся веществом и воспламеняющимся или взрывчатым веществом, или автономным разложением органической перекиси, приводящей к пожару.

Примечание - Такое критическое событие распространяется только на вещества с описанием риска, связанного с потерей физической целостности, приводящей к пожару. Такими описаниями риска являются R7 «может вызвать пожар (органические перекиси)»; R8 «контакт с взрывоопасными материалами может вызвать пожар», исключая какое-либо другое описание риска. Данное событие может быть также связано с пиротехническими веществами.

3.51 блок хранения: Блок, используемый для хранения сырья, промежуточной продукции, конечной продукции или отходов.

3.52 хранилище твердых веществ в небольших упаковках: Хранилище с низкой пропускной способностью твердого материала в упаковках и резервуарах для хранения емкостью меньше чем 1 м3.

3.53 хранилище жидкости в небольших упаковках: Хранилище с низкой пропускной способностью жидкости.

Пример - Хранение в бутылях, барабанах и других резервуарах для хранения емкостью меньше чем 1 м3.

3.54 пожар резервуара: Последствие воспламенения вещества в газовой фазе в сосуде, содержащем воспламеняющуюся жидкость.

3.55 третичное критическое событие (ТКС): Событие, следующее за вторичным критическим событием (ВКС).

Пример - Воспламенение лужицы после ее образования.

Примечание - На схеме «песочные часы» ТКС расположено на стороне дерева события.

3.56 токсичное облако: Облако, образованное при смешивании и распространении токсичных газов в воздухе.

Примечание - Смешивание является результатом турбулентного обмена энергией, которое зависит от ветра и профиля атмосферной температуры.

3.57 нежелательные события (НС): Последний уровень причин в деревьях отказов.

Примечание - Нежелательными событиями являются, по большей части, общие события, которые связаны с организацией поведения человека, которое может всегда, в конечном итоге, рассматриваться как причина критического события. На схеме «песочные часы» НС расположено на стороне дерева отказов.

3.58 блок: Часть предприятия, формирующая логический комплекс, географически разделенный с другими частями предприятия.

Пример - Разделенными открытым пространством.

Примечание - Определено четыре типа блоков: блоки хранения, (разгрузочные) погрузочные блоки, сети трубопроводов, процессные блоки.

3.59 взрыв облака пара и мгновенный пожар: Утечка из оборудования, при которой происходит либо прямой газообразный выброс, либо следующий за постепенным испарением лужицы пожар на земле рядом с утечкой.

Примечание - Это ведет к образованию облака, которое перемещается и распространяется по направлению ветра. Если вещество воспламеняемо, существует промежуточная область, в которой концентрации пара в воздухе находятся между пределами воспламеняемости вещества. Достаточно энергичный источник воспламенения, находящийся на траектории области воспламенения облака, может воспламенить такое облако. В соответствии со скоростью фронтального пламени инцидент может привести к мгновенному пожару или VCE (взрыву облака пара). Этот последний инцидент вызывает волну с чередующимся чрезмерным и пониженным давлением. Разрушающий эффект связан с пиковым чрезмерным давлением, а также с формой волны.

3.60 коллапс, разрушение сосуда: Полный отказ оборудования, ведущий к полному и мгновенному выбросу вещества в результате понижения внутреннего давления в сосуде, ведущему к разрушению сосуда под воздействием атмосферного давления.

Примечание - Разрушение сосуда не ведет к образованию чрезмерного давления или разбросу частей.

3.61 индекс риска: Показатель (SDP), описывающий уровень риска, ассоциированный с конкретным опасным феноменом (DP).

3.62 индекс серьезности риска: Показатель (SCE), выражаемый в виде комбинации специфических индексов рисков [SDP(d)], ассоциированных с каждым опасным явлением (феноменом) (DP), присущим критическому событию, принимая во внимание вероятности наступления этих феноменов (PDP).

3.63 В настоящем стандарте используют следующие обозначения и сокращения:

- МИСУИ - методология идентификации инцидентов, представляющих серьезные (существенные) угрозы (MIMAH);

- МИЭСИ - методология идентификации эталонных сценариев инцидентов (MIRAS);

- ЭСИ - эталонные сценарии инцидентов;

- КС - критическое событие;

- ВКС - вторичное критическое событие;

- ТКС - третичное критическое событие;

- СОСТ - состояние;

- АВПКО - анализ видов, последствий и критичности отказов;

- RL - уровень риска;

- Sref - эталонные сценарии инцидентов;

- S0 - наибольшие угрозы от инцидентов;

- М - меры безопасности;

- V - пространственная подверженность (уязвимость) окружающей среды;

- HAZOP - исследования опасности и работоспособности;

- TBULHC - температура кипения воды на границе раздела вода/углеводород;

- BLEVE - взрыв пара расширяющейся кипящей жидкости.

4 Методология идентификации эталонных сценариев инцидентов (МИЭСИ)

Методология МИЭСИ, включающая в себя восемь этапов, представлена на рисунке 1.

Рисунок 1 - Общая схема этапов МИЭСИ

Эталонные сценарии инцидентов (ЭСИ) выбираются на основе матрицы риска, составленной из уровней последствий опасных феноменов и частот их происхождений в год. Согласно их положению в матрице риска, каждый опасный феномен сохраняется или не сохраняется в виде ЭСИ.

Для достижения целей проекта, необходимо для каждой схемы «песочных часов», построенных в рамках МИСУИ:

- определить частоты наступления критических событий в год либо уже идентифицированных на древе отказов, либо при помощи использования частот родовых критических событий;

- классифицировать возможные последствия опасных феноменов на древе событий;

- принять во внимание системы безопасности, менеджмент безопасности и их значимость в терминах частот инцидентов и уровня последствий (индекса серьезности последствий);

- разработать древо событий совместно с МИСУИ, с тем чтобы учесть влияние систем безопасности и вероятностей наступления последствий.

Этап 1 Сбор необходимых данных

Данные, необходимые на каждом этапе МИЭСИ, приведены в таблице 1.

Таблица 1 - Данные, необходимые для применения методологии МИЭСИ

Этап

Описание необходимых данных

Этап 1 Сбор необходимых данных

Информация представлена в этой таблице

Этап 2 Выбор между этапом 3 и этапом 4

Нет данных

Этап 3 Вычисление частоты повторения критического события посредством анализа древа отказов

Необходимо совещание с представителями промышленности для решения следующих задач:

- построение схемы «песочных часов» в части МИСУИ;

- определение частот/вероятностей событий;

- идентификация на основе имеющихся перечней и диаграмм, а также предыдущих результатов оценки риска (например, HAZOP) барьеров безопасности на древе отказов;

- получение информации об эффективности барьеров безопасности: архитектуры барьеров, вероятности отказа в срабатывании, времени отклика и т.д.

Этап 4 Оценка частоты критического события при помощи частот родовых критических событий

Нет данных

Этап 5 Вычисление частот опасного феномена

Необходимо совещание с представителями промышленности для решения следующих задач:

- построение схемы «песочные часы» в части МИСУИ;

- определение частот/вероятностей событий;

- идентификация на основе имеющихся перечней и диаграмм, а также предыдущих результатов оценки риска (например, HAZOP) барьеров безопасности на древе отказов;

- получение информации о действенности барьеров безопасности: архитектуры барьеров, вероятности отказа в срабатывании, времени отклика и т.д.

Этап 6 Оценка класса последствий опасного феномена

Нет данных

Этап 7 Использование матрицы риска для отбора СЭИ

Нет данных

Этап 8 Подготовка информации для вычисления уровня (индекса) серьезности инцидента

Характеристики оборудования, для которого (или для которых) выбраны СЭИ (размеры сосуда, размеры плотины и т.д.).

Роза ветров и метеорологические условия.

Описание окружения (населенная местность, включая школы, больницы и т.д.)

Этап 2 Выбор между этапом 3 и этапом 4

Этапы 3 и 4 имеют одинаковые цели: оценка ежегодной частоты происходящих критических событий для рассматриваемых схем «песочные часы». Частота критических событий может быть определена следующим путем.

Сначала проводят анализ древа отказов, начиная с частот (или вероятностей) инициирующих событий и принимая во внимание влияние барьеров безопасности для того, чтобы вычислить частоту наступления критического события. Этот путь заключается в оценке напрямую частоты критического события при помощи данных о частотах родовых критических событий, которые приведены в стандартах «Менеджмент рисков. Руководство по применению организационных мер безопасности и оценки рисков. Промышленные инциденты» и «Менеджмент рисков. Руководство по применению организационных мер безопасности и оценки рисков. Методология построения универсального дерева событий». Этот путь предусмотрен этапом 4.

Этап 3 используют в том случае, когда имеются в наличие необходимые данные. Даже в случае, когда этот метод требует больших затрат времени, он позволяет принимать во внимание системы безопасности, связанные с предупреждением критического события (представлены в левой части схемы «песочные часы»). На этапе 4 качество предупреждения критических событий не оценивается, но зато этот этап требует меньше времени.

Этап 3 Вычисление частоты повторения критического события посредством анализа древа отказов

Этот этап подразделяется на 4 подэтапа. Сначала частоты (вероятности) инициирующих событий (левая часть схемы «песочные часы») должны быть оценены. Затем должны быть идентифицированы барьеры безопасности, влияющие на события, включенные в древо отказов. На третьей стадии должна быть оценена эффективность (надежность) барьеров безопасности. И, наконец, все эти параметры должны быть приняты во внимание для оценки частоты критического события.

Этап 3А. Оценка частот инициирующих событий (или вероятностей)

Цель этой стадии заключается в том, чтобы представить данные о частотах (вероятностях) событий, которые должны быть размещены в самом начале древа отказов, для изучения схемы «песочных часов».

Инициирующие события определяются как первопричины потоков в каждой ветви, приводящей к критическому событию на древе отказов (на левой стороне схемы «песочные часы»). Это может быть нежелательное событие, детальная прямая причина и иное в соответствии с уровнем развития (детализации) дерева отказов. Инициирующее событие размещается в крайней левой части схемы «песочные часы».

По возможности наиболее целесообразно использовать данные, имеющиеся у самого предприятия, или попытаться оценить частоты инициирующих событий с сотрудниками предприятия, пользуясь данными, приведенными в таблице 2.

В результате на схеме «песочные часы» должны появиться частоты (вероятности) любых инициирующих событий.

Таблица 2 - Количественные определения частот инициирующих событий

Частота (F) наступления события в год

Класс

Качественное определение

Количественное определение

Ранжирование

Очень низкая частота

Наступление события маловероятно

F < 10-4

F4

Низкая частота

Критическое событие (для данной причины) может наступить. Это уже случалось в подобных ситуациях для подобных установок (один раз в 1000 лет)

10-4 < F < 10-3

F3

Низкая частота

Критическое событие (для данной причины) может наступить. Это уже случалось в подобных ситуациях для подобных установок или в данном месте (один раз в 100 лет)

10-3 < F < 10-2

F2

Возможно - высокая частота

Может произойти. Уже случалось в данном месте (один раз в 10 лет)

10-2 < F < 10-1

F1

Вероятно - очень высокая частота

Уже несколько раз происходило в данном месте

> 10-1

F0

Этап 3В. Идентификация функций безопасности и барьеров безопасности на дереве отказов

Цель данного этапа заключается в идентификации систем безопасности, которые могут влиять на наступление критических событий.

Под функцией безопасности подразумевается техническое или организационное действие, а не объект или физическая система. Это действие, которое должно быть предпринято для того, чтобы избежать или воспрепятствовать наступлению критического события, а также для контроля или ограничения протекания события.

На дереве отказов действие функций безопасности заключается в том, чтобы избежать или предотвратить наступление события, уменьшить или ограничить его размер, снизить вероятность наступления события.

На дереве событий действие функций безопасности проявляется в том, чтобы избежать, предотвратить или уменьшить последствия критического события и облегчить его воздействие на окружение данного оборудования (людей, соседнее оборудование и окружающую среду).

На дереве отказов функции безопасности могут снизить вероятность наступления критического события, тогда как на древе событий они снижают частоты и последствия опасных феноменов и смягчают их эффекты.

Таким образом, функция безопасности - это то, что необходимо для гарантии, повышения или распространения безопасности.

Ниже, в таблице 3 представлена типология функций безопасности.

Таблица 3 - Типология функций безопасности

Функция безопасности

Определение

Примеры

Избежать

Сделать событие невозможным

На древе отказов:

- избежать удара по резервуару

Предотвратить, препятствовать

Помешать, поставить барьер на пути наступления события

На древе отказов:

- предотвратить коррозию резервуара

На древе событий:

- предотвратить испарение лужицы (разлива);

- предотвратить возгорание пожароопасного облака

Контролировать

На древе отказов это равнозначно приведению системы обратно в безопасное состояние.

На древе событий это равнозначно взятию события под контроль и приведению его в безопасное состояние

На древе отказов:

- контролировать переполнение хранилища жидкости

На древе событий:

- контроль образования лужицы

Ограничить, уменьшить или смягчить

Ограничить означает ограничить событие по времени или в пространстве или уменьшить его величину, или смягчить эффект от опасного феномена на людей или на окружающую среду, окружающее оборудование

На древе отказов:

- снизить чрезмерное давление в реакторе

На древе событий:

- уменьшить поток жидкости;

- уменьшить концентрацию токсичного облака;

- ограничить продолжительность утечки, ограничить испарение жидкости

Барьеры безопасности могут иметь физическую природу, являются инженерными системами или действиями людей, основанными на специфических процедурах или административном контроле. Барьеры безопасности сопряжены с функциями безопасности.

Таким образом, барьер безопасности - это способ применения функции безопасности.

Существует четыре основных категории барьеров безопасности, определенных с целью упрощения оценки влияния систем менеджмента безопасности на эти барьеры.

1 Пассивные барьеры - барьеры, всегда находящиеся в режиме функционирования (постоянные), не нуждающиеся в действиях людей, источнике энергии или информации. Физическими барьерами являются стены, плотины и прочее, а к постоянным барьерам относятся системы защиты от коррозии.

2 Активируемые барьеры - барьеры, которые устанавливают начальные условия, которые должны быть выполнены перед тем, как действия будут осуществлены. Эти барьеры могут быть автоматическими или механическими, которые требуют активизации для выполнения своих функций. Активируемые барьеры предполагают следующую последовательность действий: обнаружение - диагностика - действия.

Эта последовательность может выполняться с помощью технической части, программного обеспечения и человеческих действий.

3 Человеческие действия - эффективность этих барьеров для достижения цели основывается на знаниях оператора. Эти действия интерпретируются очень широко, включая наблюдение, связь, мыслительный процесс, физические действия, выполнение правил, руководств, принципы безопасности и т.д. Эти действия могут являться частью процесса «обнаружение - диагностика - действия».

4 Символические барьеры - эти барьеры для достижения целей нуждаются в персональной интерпретации. Типичными примерами могут быть пассивные предостережения (например, надпись «держись подальше от этой зоны», маркировка труб, воздержание от курения).

В таблице 4 приведены 11 классов барьеров безопасности.

Таблица 4 - Классы барьеров безопасности

Барьер

Примеры

Распознавание

Диагностика/ Активация

Действие

1 Долговременный - пассивный

Стенка трубы, шланг или бак; антикоррозионное красочное покрытие; опора бака; плавающая заглушка бака; фланцевое соединение; уплотнения; смотровое отверстие в сосуде

Нет

Нет

Технические средства

2 Долговременный - пассивный

Насыпь, дамба, дренажный колодец, перила, ограждение, стена от ветра, громоотвод

Нет

Нет

Технические средства

3 Временный - пассивный

Устанавливать (и снимать) человеком

Барьеры вокруг ремонтных работ, глухой фланец над открытой трубкой, шлем/перчатки/защитные ботинки/защитные очки, ингибитор в смеси

Нет

(Человек должен поставить барьер на место)

Технические средства

4 Долговременный - активный

Активная коррозионная защита, система нагрева и охлаждения, вентиляция, система сохранения инертного газа в оборудовании

Нет

Нет (для определенных стадий процесса может потребоваться активация оператором)

Технические средства

5 Активированный - технические средства, срабатывающие по требованию, или средства контроля

Клапан сброса давления, блокировка со «сплошным» логическим устройством, дождевальная установка, электромеханическое давление, контроль температуры или поддержание уровня

Технические средства

Технические средства

Технические средства

6 Активированный автоматизированный барьер

Автоматизированное устройство с применением программных устройств, система контроля или система останова

Технические средства

Программное обеспечение

Технические средства

7 Активированный ручной

Действие человека, осуществляемое на основании обнаружений техническими средствами

Ручное выключение или регулировка в ответ на показание прибора или аварийный сигнал, эвакуация, надевание дыхательных аппаратов или вызов пожарной бригады по аварийному сигналу, действие, вводимое с помощью удаленной камеры, дренажного клапана, закрыть/ открыть (откорректировать) клапан

Технические средства

Человек(на основании мастерства, правил или знания)

Человек/ дистационное управление

8 Активированный предупреждающий

Действие человека, осуществляемое на основании пассивного предупреждающего сигнала

Использование персонального защитного оборудования в опасной зоне, воздержание от курения, пребывание в пределах оградительных линий, пребывание вне запрещенных зон

Технические средства

Человек (на основании правила)

Человек

9 Активированный с помощью программных средств, которые представляют оператору результаты диагностики

Использование экспертной системы

Технические средства

Программные средства - человек (на основании правил и знаний)

Человек/ дистанционное управление

10 Активированный процедурный

Обследование местных условий без использования приборов

Процедура запуска/останова периодического технологического процесса, регулирование технических средств, предупреждение персонала об опасности или эвакуации, отсоединение танкера от базы, опорожнение и промывание трубопровода перед открытием, установка водяной завесы

Человек

Человек(на основе мастерства и правил)

Человек/ дистанционное управление

11 Активированный непредвиденный

Случайное обследование отклонения.

Импровизация ответной реакции

Ответ на неожиданную критическую ситуацию, импровизированное аварийное устройство на время обслуживания, борьба с огнем

Человек

Человек (на базе знаний)

Человек/ дистанционное управление

Целью использования методологии МИСУИ для дерева отказов является получение дерева отказов с размещенными на нем в нужных местах барьерами безопасности.

Идентифицированные барьеры должны быть классифицированы в соответствии с вышеуказанной в таблице 4 типологией, для того чтобы учесть качество менеджмента безопасности (это так называемый «операционный» уровень доверия). На рисунке 2 приведен пример барьеров, размещенных на ветвях дерева отказов.

Рисунок 2 - Барьеры, размещенные на ветвях дерева отказов

Этап 3С. Оценка эффективности барьеров безопасности

Эффективность (операционные характеристики) барьера безопасности (ББ) определяется в соответствие с 3 параметрами:

- уровень доверия (надежности) ББ связан с вероятностью вынужденного отказа (ВВО). Уровень доверия барьера безопасности определяется как ВВО в выполнении должным образом требуемой функции безопасности в соответствии с требуемой результативностью и временем отклика при всех оговоренных условиях в течение оговоренного периода времени;

- адекватная способность ББ осуществлять требуемые действия (зависит от специфического размера и объема) или результативность. Результативность - это способность технического барьера безопасности выполнять функцию безопасности в течение некоторого периода времени, в недеградированном состоянии и в специальных условиях. Результативность - это величина, выраженная в процентном отношении, или вероятность выполнения определенной функции безопасности. Если результативность выражена в процентах, она может меняться в течение операционного периода;

- время отклика ББ определяется как период времени между срабатыванием и полным завершением (что адекватно результативности) выполнения функции безопасности.

Сначала уровень доверия определяется на уровне «конструкции». Это подразумевает, что барьер эффективен как на этапе установки, так и на этапе функционирования, имея то же время отклика и тот же уровень доверия или ВВО. Но эффективность ББ может уменьшаться со временем по многим причинам: плохая программа инспектирования, профессиональная неподготовленность оператора, ухудшение работы приборов и др. Все эти причины связаны с качеством системы менеджмента безопасности (СМБ).

На следующем шаге необходимо оценить качество СМБ и его влияние на эффективность ББ. Для этого используют аудит, целью которого является установление того, что ББ должным образом проверены и функционируют. Если это не так, то уровень доверия ББ уменьшается в соответствии с результатами аудита. Это представляет «операционный уровень» доверия ББ.

Во время аудита изучаются некоторые критерии и каждому критерию приписываются весовые коэффициенты в соответствие с 11 классами ББ (таблица 4). Эти коэффициенты, ассоциированные с критериями, различаются в зависимости оттого, пассивен или активен ББ, или он основан на действиях людей.

В результате на этом этапе появляется следующая дополнительная информация о барьерах:

- для каждого барьера определяется, соответствует ли он минимальным установленным требованиям. Если да, то ББ считается соответствующим и может быть установлен на схеме «песочные часы»;

- для соответствующих ББ оценивается их эффективность, что предполагает количественную оценку уровня доверия, результативности и времени отклика ББ.

Этап 3D. Вычисление частоты критического события

После оценки характеристик инициирующих событий, идентификации барьеров безопасности и оценки их эффективности, проводят анализ дерева отказов с целью установления частот, связанных с критическим событием.

Ниже в таблице 5 приведены правила вычислений для дерева отказов частот (F) и вероятностей (Р), в качестве единиц измерений используется величина у-1 (обратная величина количества событий в год).

Таблица 5 - Вычисление частот и вероятностей

Функция

Операция

Вычисление

Единица измерения

ИЛИ

РА или РВ

Р (А или В) = 1 - (1 - РА) · (1 - РВ) = РА + РВ - РА · РВ = ~РА + РВ

 

FA или FB

F(А или В) = FA+ FB

y-1

РА или FB

не разрешено

 

И

РА и РВ

Р(А и В) = РА · РВ

 

FА и FВ

не разрешено, см. FA и РВ

 

FA и PB

F(A и B) = FA · PB

y-1

Барьеры подразделяются на следующие типы: Тип А. Барьер «избежать»

Подразумевается, что такие барьеры делают события далее по ходу развития ситуации невозможными. На этом барьере соответствующая ветвь обрывается, как это продемонстрировано на рисунке 3.

Рисунок 3 - Барьер «избежать»

Тип В. Барьер «препятствовать» или «контролировать»

Если уровень надежности барьера на ветви (LC) равен п, тогда частота продолжения развития событий на ветви уменьшается в 10 в степени п раз.

Вероятности наступления событий в развернутом и упрощенном виде представлены на рисунках 4 и 5.

Рисунок 4 - Вероятность наступления событий в развернутом виде

Рисунок 5 - Вероятность наступления событий в упрощенном виде

Тип С. На практике могут также встретиться и комбинации барьеров безопасности. В этом случае для комбинации из двух барьеров с уровнями надежности (доверия) М и N результирующий фактор снижения наступления последующих событий равен 10(M+N).

На выходе этого этапа определяется частота (в год) наступления критического события с учетом барьеров безопасности на древе отказов.

Этап 4 Оценка частоты критического события при помощи частот родовых критических событий

Если частоты критического события не могут быть вычислены на основе анализа древа отказов (этап 3), существует другая возможность оценить их при помощи частот родственных критических событий. Эти данные можно найти в научной литературе.

Этап 5 Вычисление частот опасного феномена

Цель данного этапа заключается в том, чтобы двигаясь шаг за шагом по древу отказов, получить в качестве выходного значения частоту наступления каждого опасного события. Для этого действуют базовые правила. На рисунке 6 представлены ворота «И». Если события связаны между собой этими воротами, частота передается далее всем событиям, происходящим за этими воротами. Ворота «ИЛИ» пропускают далее событие в том случае, если одно из событий может произойти, а другое нет, как это изображено на рисунке 7.

Далее оценивают вероятности переходов на дереве событий для используемых видов барьеров: «Препятствие», «Контроль» и «Ограничение».

Барьер «Препятствие» снижает вероятность наступления события.

Барьер «Контроль» может прекратить дальнейшее распространение ветви, что зависит от уровня доверия этого барьера (см. рисунок 8). Этот барьер вводит разновидность ворот «ИЛИ», после которого одна ветвь представляет результат успешного действия барьера и ведет к безопасной ситуации, при которой инцидент находится под контролем, а другая ветвь включает в себя события, происходящие в случае отказа в срабатывании барьера, позволяя развиваться дальнейшему сценарию. Частота события на этой ветви уменьшается в 10N раз, где N - уровень надежности (доверия) барьера.

Рисунок 6 - Частота наступления каждого опасного события (ворота «И»)

Рисунок 7 - Частота наступления каждого опасного события (ворота «ИЛИ»)

Рисунок 8 - Вероятность перехода событий с использованием барьера «Контроль»

Эффект от барьера «Ограничение» заключается в том, что после него образуются две ветви (см. рисунки 9 - 10): одна - в случае его срабатывания, и другая - в случае его отказа. Обе ветви должны быть представлены на дереве событий, потому что они приводят к различным опасным феноменам, один - с менее серьезными последствиями, но с более высокой частотой, а другой - с более серьезными последствиями, но с меньшей частотой. Имеет смысл также определить различные виды опасных феноменов для этого барьера:

- опасный феномен ограниченного действия означает, что последствия критического события ограничиваются соответствующим барьером (например, уменьшение в размерах);

- опасный феномен с ограниченным эффектом означает, что ограничивающий барьер действует на древе событий, но не непосредственно после критического события;

- полностью проявляющийся опасный феномен означает, что система безопасности ограничивает последствия критического события, но не смягчает его эффект.

Рисунок 9 - Вероятность перехода событий с использованием барьера «Ограничение»

Рисунок 10 - Вероятность перехода событий с использованием барьера «Ограничение»

Результатом этого этапа является перечень опасных феноменов, связанных с критическим событием, идентифицированным в рамках методологии МИСУИ. Вычисляются частоты опасных феноменов, и принимаются во внимание ограничения их эффекта.

Этап 6 Оценка класса последствий опасного феномена

Выбор эталонных сценариев инцидентов основывается на частоте проявления опасного феномена и его потенциальных последствиях. На этой стадии необходимо приблизительно оценить последствия опасного феномена. Эта оценка исключительно качественная. Количественная оценка осуществляется в той части методологии, где вычисляется уровень серьезности последствий.

Качественная оценка последствий опасного феномена основывается на четырех классах последствий, представленных в таблице 6. Таким образом, для опасных феноменов, установленных при построении древа событий, класс последствий должен быть выбран в соответствии с таблицей 6. При этом необходимо помнить, что вследствие присутствия барьеров безопасности, опасный феномен может быть «полностью проявившимся» или «ограниченным» в соответствии с видами опасного феномена, представленными выше.

Очевидно, что опасный феномен может быть определен как феномен «ограниченного действия» или «с ограниченным эффектом», если присутствуют два вида барьеров, и их действия успешны. Ниже в таблице 7 приведены приблизительные классы последствий для различных «полностью проявившихся» опасных феноменов.

Таблица 6 - Классы последствий

Последствия

Класс

Эффект домино

Эффект нацелен на человека

Эффект нацелен на окружающую среду

Если опасный феномен А вызывает эффект домино для опасного феномена В, то классы последствий опасных феноменов А и В оцениваются на основе их потенциального воздействия на человека и на окружающую среду. Если класс последствий феномена В больше класса последствий феномена А, то класс последствий феномена А должен быть поднят до класса последствий феномена В

Нет повреждений (последствий) или слабые повреждения без остановки работы

Никаких действий не требуется, только присмотр

С1

Повреждения (последствия) приводят к госпитализации на срок более 24 часов

Серьезное воздействие на окружающую среду, требующее локального вмешательства

С2

Необратимые повреждения или смерть на рабочем участке, обратимые последствия вне участка

Воздействие на внешнее окружение, требующее вмешательства на национальном уровне

С3

Необратимые последствия или смерть вне участка

Необратимые последствия для окружающей среды вне участка, требующие вмешательства на национальном уровне

С4

Таблица 7 - Приблизительные классы последствий для некоторых «полностью проявившихся» опасных феноменов

Опасный феномен

Класс последствий

Возгорание бассейна (лужи)

С2

Возгорание резервуара

С1

Огненная струя

С2

Токсичное облако

С3 или С4 (в зависимости от высвободившегося количества вещества)

Пожар

С2

Превышение давления

С3

Огненный шар

С4

Взрыв пыли

С2 или С3 (в зависимости от вещества и его количества)

Перегрев и возгорание бассейна

С3

В результате этого этапа перечень опасных феноменов ассоциируется с каждым критическим событием, идентифицированным в рамках методологии МИСУИ. Частоты каждого опасного феномена вычислены на этапе 5, а благодаря этапу 6 класс последствий ассоциирован с каждым опасным феноменом, представленном на древе событий.

Этап 7 Использование матрицы риска для отбора ЭСИ

Цель данного этапа заключается в выборе эталонных сценариев инцидентов, которые должны быть смоделированы при вычислении серьезности последствий. Далее на рисунке 11 представлена матрица риска, по горизонтальной оси которой указаны классы последствий, а по вертикальной оси - частоты проявлений опасных феноменов.

Нижняя зона «Незначительный эффект» соответствует опасным феноменам с достаточно низкой частотой и/или последствиями, эффект от которых ничтожен.

Средняя зона «Средний эффект» соответствует опасным феноменам, эффект от проявления которых значителен и которые должны быть отобраны для моделирования серьезности последствий.

Верхняя зона «Значимый эффект» соответствует очень опасным феноменам, эффект от которых безусловно существенен. Соответствующие сценарии инцидентов должны быть заново проинспектированы с целью установки дополнительных систем безопасности. Если ничего не изменилось, эти опасные феномены должны быть выбраны в их настоящем состоянии для моделирования серьезности последствий только в том случае, если эти опасные феномены соответствуют эталонным сценариям инцидентов.

Класс последствий

Рисунок 11 - Матрица риска

Каждый опасный феномен, появившийся на схеме «песочные часы», должен быть включен в матрицу риска в соответствии со своей частотой и классом последствий. Опасные феномены средней и верхней зоны должны быть промоделированы для вычисления серьезности последствий.

Представленная матрица риска - это не руководство по применимости риска, а руководство по отбору эталонных сценариев инцидентов для моделирования серьезности последствий.

Этап 8 Подготовка информации для вычисления уровня серьезности инцидента

Для каждого эталонного сценария инцидента (расположенного в средней и верхней зонах матрицы риска) для вычисления серьезности последствий необходимо подготовить следующую информацию:

- тип оборудования;

- проектное и разрывное давление и температуру оборудования;

- свойства опасных веществ и материалов;

- массу и входящие потоки веществ в оборудовании;

- рабочие температуру и давление внутри оборудования;

- схему «песочные часы» с древом отказов, ветвями, приводящими к сценариям опасных инцидентов (средняя и верхняя зоны) на древе событий и с эффективными барьерами безопасности;

- критические события;

- опасные феномены и их частоту;

- источники возгорания на участке;

- розу ветров;

- средние метеорологические условия на участке;

- присутствие барьеров безопасности, которые влияют на результаты моделирования;

- характеристики барьеров безопасности;

- описание внешнего окружения участка, включая школы, больницы и т.д.

5 Анализ влияния эффективности работ по менеджменту безопасности на надежность барьеров безопасности

Настоящая методология менеджмента безопасности базируется на концепции, которая признает влияние структурных элементов системы менеджмента безопасности и влияние ряда факторов культуры в области безопасности.

Структурные факторы и связь с жизненным циклом конкретного барьера безопасности наглядно продемонстрированы на рисунке 12. Для выполнения функций, соответствующих каждому из структурных элементов, в систему менеджмента безопасности необходимо включить «систему обеспечения» для каждого структурного элемента. Оценка структурных элементов выполняется посредством аудита по безопасности.

Рисунок 12 - Структурные элементы менеджмента безопасности организации
относительно задачи управления жизненным циклом барьеров безопасности.
Овал охватывает оценку определения эффективности защитных барьеров

Хорошо организованная структура является необходимым условием для эффективной организации работ по менеджменту безопасности. Однако эффективность организации работ будет зависеть еще и от неофициальных мнений, норм и практики, то есть культуры в области безопасности. Культура в области безопасности определяет, насколько хорошо выполняются поставленные задачи и процедуры и насколько точно их придерживаются.

Следовательно, культура в области безопасности является важным фактором в оценке организации работ по менеджменту безопасности. Есть ряд элементов культуры безопасности, которые влияют на то, насколько хорошо выполняются функции менеджмента безопасности. Признаются следующие восемь факторов культуры:

- образованность и желание предоставлять отчеты;

- приоритет безопасности, правил и соответствия;

- участие и обязанности руководства;

- понимание ограничения проявления риска и возможностей человека;

- ощущение ответственности;

- доверие и честность;

- атмосфера рабочей команды и поддержка;

- мотивация, влияние и участие.

Оценка менеджмента безопасности конкретного потенциально опасного участка выполняется в следующей последовательности:

- аудит системы менеджмента безопасности для 10 структурных элементов, сфокусированный на том, как система менеджмента безопасности в зависимости от участка управляет набором выбранных барьеров безопасности. Аудит проводят в отношении реальных существующих на участке защитных барьеров;

- исследование культуры в области безопасности среди служащих участка на основании анкеты. Ниже описаны пошаговые действия для выполнения оценки и подготовки необходимой документации.

6 Пошаговое описание процесса оценки менеджмента безопасности

Процесс оценки представлен наглядно в виде блок-схемы на рисунке 13.

Шаг 1 Выбор всех барьеров и номинальных величин уровня надежности

Оценка менеджмента безопасности строится на анализе риска, выполняемом с использованием методологии МИЭСИ, которая создает перечень сценариев аварийных инцидентов (наглядно представлены в схеме «песочные часы») и определяет барьеры безопасности. Для этих барьеров оценивается проектный уровень надежности. Эта информация является входной для процесса оценки менеджмента безопасности.

Шаг 2 Классификация барьеров

Действия менеджмента безопасности, необходимые для выполнения и обслуживания барьеров, зависят от характерных особенностей барьера и от того, какие элементы его составляют (технические средства, программное обеспечение или человеческое поведение). В результате для оценки менеджмента безопасности требуется учесть эти особенности барьеров. Поэтому используют классификацию барьеров безопасности, которая представлена в таблице 4.

Для целей дальнейшего обсуждения целесообразно объяснить разницу между понятиями «контроль» и «барьер». Контроль является составляющей, которая необходима не только для осуществления первичного процесса, но служит также для контроля потенциальных опасностей (например, стенка трубы, контроль уровня). Барьер является составляющей, которая устанавливается исключительно для предотвращения или смягчения потенциальных опасностей (насыпь, клапан сброса давления).

Для всех определенных барьеров следует провести их классификацию, чтобы на шаге 12 определить рабочий уровень доверия (надежности). Классификация должна быть как можно более тщательной. Разрывающиеся пластины часто классифицируют как пассивные барьеры, но фактически они являются активированными для выполнения функции безопасности, поэтому их можно классифицировать как класс 5. Инертный газ над воспламеняющейся жидкостью можно считать пассивным барьером (класс 2), но заполнение им резервуара необходимо осуществить после налива жидкости или других операций по обслуживанию, а системе требуется обеспечить, распределить и очистить инертный газ, поэтому правильной будет классификация - класс 3 или 4. В случае сомнений, классификация барьера может основываться на том, какая из структур менеджмента безопасности является наиболее важной для обслуживания рассматриваемого барьера. Взаимосвязь между типами барьеров и важными частями структуры менеджмента безопасности, то есть с соответствующими элементами аудита, представлена на рисунке 14.

Шаг 3 Выбор характерных барьеров для аудита

Результатом данного этапа является набор сценариев и барьеров, которые служат для аудита в качестве опорной точки. Качество менеджмента этих барьеров оценивается входе аудита, обобщается в виде целостной системы менеджмента барьера и позднее определяется количественно.

Если барьер представляет активное техническое устройство, акцент должен быть сделан на инспектировании, мониторинге и настройке.

Рисунок 13 - Блок-схема оценки менеджмента безопасности

Рисунок 14 - Взаимосвязь типов барьеров и влияний менеджмента для установленных барьеров

Если барьер состоит из элементов пассивных технических средств, аудиту следует сконцентрироваться исключительно на конструкции и сборке с некоторым акцентом на обслуживание, чтобы гарантировать, что пассивный барьер не подвергался модификации и сохранил функционирование в соответствии с техническими характеристиками.

Если барьер имеет «поведенческие» элементы, они могут подвергаться аудиту на использование следующих «поведенческих» систем обеспечения безопасности:

- процедур, которые описывают требуемое поведение;

- возможности использования персонала, поведение которого реализует функцию барьера;

- компетентности персонала;

- обязательства персонала адекватно реагировать в нужный момент, с должной тщательностью и расторопностью, чтобы контролировать риск;

- необходимой связи и координации в случаях, когда эффективность барьера зависит от поведения более чем одного человека.

Шаг 4 Подготовка аудита

Наиболее важным мероприятием для проведения аудита является отображение (картирование) системы менеджмента безопасности конкретной компании в структуре менеджмента безопасности, представленной настоящей методологией. Это касается объединения изображенных на рисунке 12 различных составляющих аудита в рамках настоящей методологии с важными частями системы менеджмента безопасности исследуемой компании.

Шаг 5 Проведение аудита

Аудит охватывает четыре зоны оценки, которые разделены в структуре системы менеджмента безопасности организации (рисунки 12 и 14). В зависимости от конкретной компании оценивается, в какой степени эти зоны управляются различными локальными системами безопасности. Отображение, выполненное на предыдущем шаге, должно предоставить четкую картинку распределения этих зон менеджмента безопасности на предприятии.

Четырьмя зонами оценки являются:

- аудит процесса, при помощи которого были приняты решения о выборе барьеров;

- аудит технических средств барьеров, использующий этапы жизненного цикла и изучающий, при необходимости, соответствующие связанные с ними системы обеспечения;

- аудит поведенческих/процедурных барьеров, использующий соответствующие системы обеспечения;

- аудит системы менеджмента обучения и изменений.

Шаг 6 Анализ результатов аудита

Оценка должна включать в себя оценку качества выборов компании, которая сделана для каждой из функций безопасности, которые были указаны в выбранных сценариях. Иными словами, применила ли компания современные технологии при контролировании специфических для компании вариантов потенциальной опасности.

Следует подчеркнуть, что для компании (и других заинтересованных сторон) качественные результаты аудита могут быть более важны, чем количественный анализ, так как качественные результаты предоставляют актуальную информацию по вопросам конкретного менеджмента безопасности, которая может быть улучшена или должна быть изменена.

Шаг 7 Количественная оценка результатов аудита

Для того чтобы оценить влияние менеджмента безопасности на уровень риска участка, результаты аудита анализируются количественно (представлены в виде овала на рисунке 12). Количественный анализ включает в себя «анализ риска» и «обучение и изменение» и семь элементов прямого влияния на уровень надежности барьера безопасности (рисунок 14).

Результатом этого шага является цифровая оценка от 20 % до 100 % всех семи элементов, которые, как предполагается, имеют непосредственное влияние на уровень надежности барьера безопасности:

а) планирование и наличие трудовых ресурсов;

б) компетентность и пригодность;

в) обязательства, соответствие и разрешение конфликтов;

г) связь и координация;

д) процедуры, правила и цели;

е) закупка технических средств (программного обеспечения), сборка, интерфейс, инсталляция;

ж) проверка технических средств, программного обеспечения, обслуживание, замена.

Шаг 8 Подготовка для конкретного участка специальной анкеты по культуре в области безопасности

Требуется выбрать служащих, которые будут отвечать на вопросы анкеты. Группа должна быть достаточно большой (не менее 15 человек), чтобы получить статистически существенный результат.

Все служащие, работа которых связана с потенциально опасным оборудованием, должны быть включены в исследование.

Шаг 9 Сбор данных анкетирования

Наиболее эффективным подходом для сбора данных анкетирования является организация одного или более собраний служащих, на которых в течение часа они могут заполнить и сдать анкеты. Доля объективности ответов радикально уменьшается, когда анкеты заполняются дома.

Шаг 10 Анализ результатов по культуре в области безопасности

Ответы на каждый отдельный вопрос анкеты даются в форме согласия по пятибальной оценочной шкале. Сравнивая результаты с эталонной группой, можно определить относительные сильные и слабые стороны культуры в области безопасности. Компания может использовать эту информацию для разработки соответствующих мер по улучшению.

Следует подчеркнуть, что для компании (и других заинтересованных сторон, таких как компетентные органы) качественные результаты исследования культуры безопасности могут быть более важны, чем количественный анализ, так как качественные результаты предоставляют актуальную информацию по вопросам конкретного менеджмента безопасности, которую можно улучшить или следует изменить.

Шаг 11 Количественная оценка культуры в области безопасности

Количественная оценка проводится путем сравнения полученных данных со значениями и стандартными отклонениями эталонного образца.

Шаг 12 Подсчет уровня доверия барьера безопасности при эксплуатации

Фактически используемым техническим или «поведенческим» барьерам следует приписать так называемый проектный (который также называют номинальным или оптимальным) уровень доверия (надежности).

Шаг 13 Применение уровня доверия при эксплуатации в методологии оценки риска МИЭСИ

Для барьеров, которые включены в сценарии, признанные методологией МИЭСИ, снижение проектного уровня доверия (надежности) можно оценить с использованием шага 12. Полученный уровень доверия (надежности) при эксплуатации затем используют при расчете ожидаемой частоты происхождения сценариев аварийных инцидентов. Окончательный результат представляет уровень риска для компании, включающий в себя оценку менеджмента безопасности.

Библиография

[1]

МЭК 61511-1:2003

Безопасность функциональная. Система безопасности, обеспечиваемая приборами для сектора обрабатывающей отрасли промышленности. Часть 1. Требования к структуре, определениям, системе и программному и аппаратному обеспечению

[2]

МЭК 61511-2:2003

Безопасность функциональная. Системы безопасности, обеспечиваемые приборами для сектора обрабатывающей отрасли промышленности. Часть 2. Руководящие указания к применению IEC 61511-1

[3]

МЭК 61511-3:2003

Безопасность функциональная. Система безопасности, обеспечиваемая приборами для сектора обрабатывающей отрасли промышленности. Часть 3. Руководство для определения необходимых безопасных уровней целостности

 

Ключевые слова: риск, проект, оценка, менеджмент, критические события, «песочные часы», вероятность критического события, частота критического события