ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

Надежность в технике

ВЕРОЯТНОСТНЫЙ АНАЛИЗ РИСКА ТЕХНИЧЕСКИХ СИСТЕМ

Оценка интенсивности конечного события для заданного исходного состояния

(lECrTR 63039:2016, Probablistic risk analysis of technological systems — Estimation of final event rate at a given initial state, MOD)

Издание официальное

Москва

Стандартинформ

2020

Предисловие

1    ПОДГОТОВЛЕН Закрытым акционерным обществом «Научно-исследовательский центр контроля и диагностики технических систем» (ЗАО «НИЦ КД») на основе собственного перевода на русский язык англоязычной версии документа, указанного в пункте 4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 119 «Надежность в технике»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 30 октября 2019 г. N® 1226-ст

4    Настоящий стандарт является модифицированным по отношению к международному документу IECTR 63039:2016 «Вероятностный анализ риска технических систем. Оценка интенсивности конечного события для заданного начального состояния» (IECTR 63039:2016 «Probablistic risk analysis of technological systems — Estimation of final event rate at a given initial state». MOD) путем внесения технических отклонений, обьяснение которых приведено во введении к настоящему стандарту.

Наименование настоящего стандарта изменено относительно наименования указанного между-народного документа для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).

Сведения о соответствии ссылочных национальных стандартов меедународным стандартам, использованным в качестве ссылочных в примененном международном документе, приведены в дополнительном приложении ДА

5    ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

© Стандартинформ. оформление. 2020

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официапьного издания без разрешения Федерального агентства по техническому регулированию и метрологии

и

Примечание 3 — Если конечное состояние переходит в исходное состояние и система является восстановленной. конечное событие является неповторяемым конечным событием, поскольку восстановленное состояние системы отличается от исходного состояния системы (восстановленное состояние системы не совладает с исходным состоянием системы).

3.1.20    восстановление (renewal event): Прекращение конечного состояния, которое происходит в результате неповторяемого конечного события, вызывающее переход в начальное состояние или виртуальное начальное состояние системы.

Примечание 1 — Конечное состояние, обусловленное повторяемым конечным событием, может вызвать переход в промежуточное состояние (см 3.1 19. примечание 3).

3.1.21    частота события (event frequency): Предел, если он существует, отношения среднего числа событий в течение интервала времени [f, t Д/] к At, при At. стремящемся к нулю, при условии, что система находится в данном начальном состоянии в момент времени t - 0.

Примечание 1— Для частоты событий to(f) справедлива формула

«(*)= ljm_QE[N(t + At)-N(t)]lAt,

где N(t) — количество событий в интервале времени (0. fj. Е — знак математического ожидания

Примечание 2 — Единицей измерения частоты событий является единица времени в степени минус 1

3.1.22    средняя частота событий (average event frequency): Частота событий, усредненная по периоду времени Н.

Примечание 1— Средняя частота событий ш(0. Н) имеет вид

н    т

to(0.W) = (1/H)J(o(f)dfJ .

о    о

где со(0 — частота события в момент времени Г.

Н

\ о)(/)d/ — вероятность того, что неповторяемое событие происходит в интервале времени (0. Н] или матема-

⁰    тическое    ожидание    количества повторяемых событий в интервале времени [0. Н]

3.1.23    интенсивность перехода состояний, условный параметр потока событий (state transition rate, conditional event intensity): Предел, если он существует, отношения условной вероятности того, что событие, т. е. переход системы из состояния X в состояние У. происходит в течение интервала времени [f. t + Д/] к At. когда At стремится к нулю, при условии, что в момент времени t система находится в состоянии X.

Примечание 1 — Если появление события подчиняется экспоненциальному распределению, т е появление события является случайным и не зависит от времени, то условный параметр потока событий является постоянным. его называют постоянной интенсивностью события или постоянной интенсивностью перехода (см разделы 1.5. 7. 9. А 1 и В 1).

Примечание 2 — Единицей измерения параметра потока событий и интенсивности перехода состояний является единица времени в степени минус 1

3.1.24    среднее время до конечного события (MTEF) для заданного начального состояния

(MTFE at a given initial state mean time to final event at a given initial state): Среднее время от начального состояния или виртуального начального состояния до первого конечного события.

Примечание 1 — Заданное начальное состояние означает любое предшествующее состояние (см 3.1.8, 3.1.9, 3.1.12 и 3.1.20).

Примечание 2 — MTFE для заданного начального состояния аналогично среднему времени работоспособного состояния (MUT), а не средней наработке до отказа (MTTF), однако предшествующие состояния включают не только работоспособное и неработоспособное, рабочее и нерабочее состояния, а также состояния запроса. отсутствия запроса и отключение и другие внешние условия окружающей среды (см [1]).

3.1.25    интенсивность конечного события (FER) для заданного начального состояния (final event rate (FER) at a given initial state): Предел, если он существует, отношения условной вероятности того, что конечное событие произойдет в течение интервала времени (f. t + Af] к At, когда At стремится к нулю, при условии, что система, у которой интенсивность перехода является постоянной, а конечное состояние вызывает переход только в начальное состояние или виртуальное начальное состояние, находится в стационарном состоянии и не находится в конечном состоянии.

Примечание 1 —Для восстанавливаемой системы с постоянными интенсивностями перехода FER для заданного начального состояния становится постоянной и равна величине, обратной MTFE для заданного начального состояния (см. (3)—{6J)

Примечание 2 — В области функциональной безопасности FER для заданного начального состояния представляет собой интенсивность причиняющих вред или опасных событий (HER) (см 3 1.17, примечание, 3, 7.2, 9 3 2,8 1 и В 4)

Примечание 3 — Стационарное состояние — это состояние системы через бесконечное время, при этом вероятности всех состояний системы на диаграмме состояний, представляющей риск, сходятся к постоянным значениям, если время стремится к бесконечности

3.1 26 частота конечного события (FEF) для заданного начального состояния (final event frequency (FEF) at a given initial state): Частота конечного события при условии, что система, у которой интенсивность перехода является постоянной, а конечное состояние вызывает переход только в начальное состояние или виртуальное начальное состояние, находится в стационарном состоянии.

Примечание 1 —См 3.1.17, 3.1.21 и 3 1 25, примечание 3.

Примечание 2 — Для восстанавливаемой системы с постоянными интенсивностями перехода FEF для данного начального состояния становится постоянной и равна величине, обратной среднему времени от начального состояния до появления первого восстановления (см (3}—{6]).

Примечание 3 — Для FER для заданного начального состояния о справедлива формула (см. (3}—{6])

Ч> = <а/(1 -РрО),

где го— FEF для заданного начального состояния:

Р{Х} — вероятность того, что система находится в конечном состоянии, и это состояние является стационарным состоянием

3.1.27    среднее время до конечного события (MTFE) для выявленного состояния (mean time to final event (MTFE) at a recognised state): MTFE для заданного начального состояния, когда заданным начальным состоянием является выявленное состояние.

Примечание — См 3.1.25

3.1.28    интенсивность конечного события (FER) для выявленного состояния (final event rate FER at a recognised state): FER для заданного начального состояния, когда заданным начальным состоянием является выявленное состояние.

Примечание 1 — См 3.1.25.

Примечание 2 — Соотношение между FER для выявленного состояния и FEF для выявленного состояния такое же, как соотношение между FER для заданного начального состояния и FEF для заданного начального состояния (см 3.1 26. примечание 3, 8 2 и 9 3 3).

3.1.29    интенсивность конечного события (FER) для выявленной группы состояний (final event rate (FER) at a recognised group state): Взвешенное среднее всех FER для заданного начального состояния по группе состояний.

Примечание — См : 8,2, 9 3 4 и 9 4 5.

3.1.30    экспозиция риска Т (risk exposure time 7): Математическое ожидание продолжительности времени, в течение которого система подвергается конкретной опасности в процессе ее срока службы.

Примечание 1 — См 5.2. 7 2 2. 7.2 3. А 3 и А 4

Примечание 2 — Экспозиция риска Т часто связана с такими понятиями, как срок службы (см [1]). ресурс и время выполнения задания Однако эти понятия не обязательно эквивалентны применительно к экспозиции риска, поскольку риск может быть заменен на несколько трансформированных рисков в течение срока службы, эксплуатации, или времени выполнения задания системы, и только конкретный риск из этих рисков может представлять интерес по отношению к экспозиции риска В таком случае экспозиция риска не эквивалентна времени, установленному этими терминами

3.1.31    приближенная вероятность опасного отказа во время состояния запроса (APF_drg), Р_ь

(approximate probability of dangerous failure during a demand state APFdrg, PJ: Приближенная вероятность того, что опасный отказ объекта произойдет в течение времени средней продолжительности состояния запроса (0. х]. где т — математическое ожидание времени состояния запроса, при условии, что запрос произошел в нулевой момент времени.

Примечание 1 — Необходимым условием аппроксимации является то, что вероятность возникновения двух или более опасных отказов в интервале времени [0. г] является пренебрежимо малой (см 7 2 3. 9 3 1 б). 9 3 2 и приложение В)

Примечание 2 — Данный термин применяют только для анализа риска в области безопасности (см приложение Б).

3.1.32    средняя вероятность опасного отказа при запросе PFDavg, Р_а (average probability of dangerous failure on demand PFDavg. P_a): Средний коэффициент неготовности объекта по отношению к выполнению заданной функции безопасности при запросе.

Примечание 1 — Данный термин используют только применительно к функциональной безопасности (см ГОСТ Р МЭК 61508-4-2012. пункт 3 6 18)

Примечание 2—Для данного термина предполагается, что состояние объекта изменяется с состояния простоя на состояние функционирования при запросе, и объект может отказать в состоянии простоя (см 7.2.3, 9.3.1, Ь), 9 3 2. приложение В)

3.1.33    средняя частота опасного отказа в час PFH, X (average frequency of dangerous failure PFH per hour, X): Среднее арифметическое частоты опасного отказа объекта при выполнении заданной функции безопасности за установленный период времени.

Примечание 1 — Независимый канал по отношению к выполняемой функции представляет собой последовательную систему, т е отказ одного из компонентов канала приводит к отказу канала в целом

Примечание 2 — PFH является приближением величины, обратной средней наработке до первого отказа в случае, когда опасный отказ является неповторяемым конечным событием несмотря на то. что он является приближением величины, обратной средней наработке между отказами в случае, когда опасный отказ является повторяемым событием Обычно предполагается, что объект может отказать в состоянии простоя (см ГОСТ Р МЭК 61508-4-2012, пункт 3.6 19, примечание 4, а также ГОСТ Р МЭК 61508-6-2012, В 2 3 2 и В 2.3 3 и 3.1.32, примечание 2, 7.2 3, 9 3 1 Ь), 9 3 2 и приложение В в настоящем стандарте)

3.1.34    канал, Ch (channel. Ch): Компонент или группа компонентов, независимо выполняющих функцию объекта.

Примечание 1 — Данный термин применяют только по отношению к функциональной безопасности (см ГОСТ Р МЭК 61508-4-2012, пункт 3 6 19) (см 3.1.5. примечание 2).

3.1.35    базовый элемент MCS (basic element, MCS element): Элемент, который входит в состав MCS. полученного посредством анализа FTA или RBD. или обоих методов.

Примечание — Элемент MCS всегда является основным событием FT. но не наоборот Таким образом, для удобства далее для элемента MCS использован термин «базовый элемент»

3.2 Сокращения

В настоящем стандарте применены следующие сокращения:

APF_drg — приближенная вероятность опасного отказа во время запроса;

CCF    — отказы по общей причине;

Ch    — канал;

D    — обнаруженный;

DU    — обнаруженный только при запросе;

ЕУЕ/РЕ — электрические/электронные/программируемые электронные;

ЕТА — анализ дерева событий;

FEF — частота конечного события;

FER — интенсивность конечного события;

FMEA — анализ видов и последствий отказов;

FPL — конечный уровень защиты;

FT —дерево неисправностей;

FTA — анализ дерева неисправностей;

HAZOP — исследование опасности и работоспособности;

HER — интенсивность наносящих вред (опасных) событий;

Int. — промежуточный;

MCS — набор минимальных сечений;

MTFE — среднее время до конечного события;

MTRE — среднее время восстановления события;

MTTF — средняя наработка до отказа;

MUT — средняя продолжительность работоспособного состояния;

PAND — вентиль «И»;

PFD_avg — средняя вероятность опасного отказа по запросу;

PFH — средняя частота опасного отказа в час;

PL    — уровень защиты;

RBD    — структурная схема надежности;

SIL    — уровень полноты безопасности;

TTFE    — время до конечного события;

TTRE — время для события восстановления;

UD    —необнаруженный.

4 Различия терминов частоты и интенсивности конечного события

Термин «частота» может быть использован как по отношению к количеству возникновений событий данного вида, так и по отношению к количеству событий за заданный период времени. В настоящем стандарте использован последний вариант, что соответствует определению в 3.1.21.

Термин «интенсивность» обычно означает скорость, с которой что-то движется или происходит, а в области надежности интенсивность событий, таких как отказы, определяют как предел, если он существует, отношения условной вероятности того, что событие происходит в течение интервала времени [Г. t + Af] к Д/, когда Д/ стремится к нулю при условии, что событие не произошло до момента времени t.

Определения интенсивности события и частоты события кажутся довольно различными. Однако в области оценки риска частоту события и интенсивность события часто путают. На рисунке 1 показаны изменения состояний системы в целом, в которой появления конечного события и события восстановления подчиняются экспоненциальному распределению, т. е. интенсивность конечного события (FER) и интенсивность восстановления событий являются постоянными (см. 3.1.17. 3.1.20 и 3.1.23). На рисунке 1 приведены два состояния системы, конечное и предшествующее (см. 3.1.10 и 3.1.12).

На рисунке 2 показан процесс появления конечных событий и событий восстановления, в которых TTFE и TTRE эквивалентны по величине продолжительности предшествующего состояния и продол-житепьности конечного состояния соответственно. Здесь предполагается, что стохастический процесс появления конечных событий и событий восстановления может быть смоделирован с помощью диаграммы Маркова, a MTFE и MTRE равны Т_а(* 0), ч и Т_ь (* 0), ч. соответственно. Тогда в стационарном состоянии процесса. FEF w (1 /ч) имеет вид

»11/(W    (1)

где Т_а — MTFE. ч; T_b — MTRE, ч.

Интенсивность конечного события (FER) <р [1/ч] и интенсивность восстановления событий m [1/ч] имеют вид:

Ф ⁼ l/T’e (т. е. Т_а - 1/<р):    (2)

m = УТ_Ь (т. е. Т_ь = Mm).    (3)

Рисунок 1 — Предшествующее состояние, конечное событие, конечное состояние и событие восстановления Частоту конечного события (FEF) можно записать с использованием <рит, см. (1). (2) и (3) со = <р ш/(ф + ш) = ф/{( Ть!Та) + 1}.    (4)

Если Т_а много больше Т_ь, а именно, если ф намного меньше т, то а) почти равна <р.

Рисунок 2 — Время до конечного состояния (TTFE), время до состояния восстановления ((TTRE)

Однако FEF не обязательно равна FER и возможны следующие ситуации:

a)    например, в области оценки риска атомных электростанций допустимый риск серьезных аварий. таких как расплавление реактора, определяют путем использования частоты событий в год. Здесь конечным событием является расплавление реактора:

b)    если допустимая частота конечного события равна ^0г⁴ [1/год]. то обычно можно предположить два случая. В первом случае 1Лр = 50 лет, 11т = 9950 лет, и поэтому 1 /о = 10000 лет. Во втором случае 1/ср = 9950 лет. Ут - 50 лет. и 1/<о = 10000 лет;

c)    несмотря на то. что частоты событий в этих случаях равны, вероятности того, что событие произойдет в течение срока службы объекта или времени воздействия (эксплуатации) риска (50 лет), различны. А именно, эти вероятности могут составлять 60 % или более в первом случае и 0.5 % или ниже во втором случае. Это означает, что уровень риска в первом случае намного выше, чем во втором случае.

Таким образом, желательно использовать не частоту события, а интенсивность события в качестве целевого показателя появления редкого конечного события. ¹

Состояние системы А: начальное состояние (предшествующее состояние);

состояние системы В: промежуточное состояние (предшествующее состояние);

состояние системы С: конечное состояние

На рисунке 3. а) показана модель перехода состояний системы, в которой происходит переход из конечного состояния С в промежуточное состояние В и конечное событие может повторяться. В этой модели постоянные интенсивности событий Х_А, р_А, Л_в. р_в и 2/Г являются интенсивностями событий перехода, причем 1/Т « Х_А. 1/Т « р_А и Х_в « 1/Т (см. 3.1.24). где Г — среднее время пребывания системы под воздействием риска (см. 3.1.31).

Предположим, что некоторой деятельности человека соответствует риск.

1) 1/Х_д — среднее время, когда работник не работает, а отдыхает, а 1/р_А— среднее время, когда он работает;

2) 1/Xg — среднее время возникновения ошибки при условии, что человек находится на работе и 1/р_в — среднее время, когда человек не работает, а исправляет свои ошибки;

3 ) 7— период занятости работника (однако переходами в течение периода занятости, т. е. периода экспозиции риска, можно пренебречь, если справедливы неравенства 1/Г« Х_А, 1/7« ц_А и 1/7« ц_в).

На рисунке 3. Ь) конечное состояние является невосстанавливаемым. т. е. конечное событие не повторяется. На рисунке 3. Ь) постоянные интенсивности событий Х_А. р_А и Х_в являются такими же, как на рисунке 3. а), за исключением интенсивности событий ц_в (= 0). В этом случае конечное состояние означает, например, что человеческий фактор исключен (не рассматривается).

На рисунке 3. с) происходит переход из конечного состояния С в начальное состояние А и постоянная интенсивность появления события m является постоянной интенсивностью восстановления события (см. 3.1.20 и 3.1.23). Здесь конечное состояние также означает, например, что человеческий фактор исключен.

5.3    Частота конечного события в стационарном состоянии

На рисунке 3, a) FEF в стационарном состоянии co_R описывают формулой (5) при условии, что система находится в стационарном состоянии (3)

0)_R = X_BPr{ В).    (5)

где Рг{В) — вероятность того, что система находится в состоянии В, в стационарном состоянии (см. рисунок 3, а)).

На рисунке 3, с) (схематично) FEF в начальном состоянии А, (о_иА приведена в предположении, что восстановленная система идентична исходной системе (однако следует учитывать, что восстановленная система обычно не идентична исходной системе). Затем FEF в начальном состоянии А имеет вид (6) при условии, что система находится в стационарном состоянии (3)

*>u_A⁼WMB).    (6)

где Рг\В) — вероятность того, что система находится в состоянии В, в стационарном состоянии (см. рисунок 3, с)).

5.4    Интенсивность конечного состояния для заданного начального состояния и выявленного

состояния

На рисунке 3, в) FEF в начальном состоянии А, <р_А, описывает формула (7) в предположении, что система находится в стационарном состоянии, a Pr{С) — вероятность того, что система находится в состоянии С (3). [5). (6)

Ф_А=о)_иА/(1-РКС».    (7)

MTFE в начальном состоянии А. 7_Д. имеет вид (см. 3.1.25) (3). [5], (6):

7_а=1/_Фа.    (8)

На рисунке 3. с) FER в выявленном состоянии В, <p_B. описывает формула (9) в предположении перехода виртуального события (например, виртуального восстановления) из конечного состояния С в промежуточное состояние В (выявленное состояние В), подставляя FEF в выявленном состоянии В. в «ив (ем. 3.1.27), получаем

Фв = е>ив 'V-PriC)Y    (9)

Таким образом MTFE в выявленном состоянии В. 7_В имеет вид (см. 3.1.28)

7_в = 1/_Фв.    (10)

5.5    Соотношение между интенсивностью и частотой конечного события для заданного

начального состояния

Если время пребывания в состоянии С на рисунке 3. с) является бесконечным, т. е. m -» 0 (или m асимптотически приближается к 0), восстанавливаемая система становится эквивалентна невосста-навливаемой системе на рисунке 3. b). FER для заданного начального состояния и FER в выявленном состоянии не включают интенсивность восстановления m и поэтому не зависят от т. Это означает, что MTFE в данном начальном состоянии и MTFE в выявленном состоянии на рисунке 3. Ь) эквивалентны такому состоянию на рисунке 3. с) [3], (5). (6).

Таким образом, в отношении FER для заданного начального состояния и FER в выявленном состоянии система с невосстанавливаемым конечным состоянием эквивалентна восстанавливаемой системе при условии, что переходы системы в точности совпадают между такими же переходами системы. за исключением восстанавливаемых отказов.

Для любой восстанавливаемой системы с интенсивностью восстановления т предположим, что Ф — FER для заданного исходного состояния (или выявленного состояния) и о — FEF для заданного начального состояния (или выявленного состояния) при стационарном состоянии системы. В этом случае справедливо следующее общее соотношение (3), (5). [6):

Ф= lim о) = о>/(1-Р{Х}),    (11)

где Р{Х} — вероятность того, что система находится в конечном состоянии X в стационарном состоянии.

6 Процедура вероятностного анализа риска и составление профиля риска

Контрольные перечни анализа «что. если», исследование HAZOP (ГОСТ Р 27.12). FMEA (ГОСТ Р 51901.12) и так далее, как правило, применяют для идентификации рисков, которые используют в начале исследования системы (ГОСТ Р ИСО/МЭК 31010). Исследуемая система может включать в себя технические объекты, каждый из которых часто состоит из тысячи или более компонентов, которые пребывают в работоспособном и неработоспособном состояниях. Риск сложных систем с такими состояниями анализируют количественно и качественно с использованием таких методов как FMEA. RBD (ГОСТ Р 51901.14). FTA и ЕТА; основные способы исследования причин конечного состояния приведены в (9.1.9.5 и В.2). Эти методы часто используют MCS. определенные при выполнении FTA.

Набор MCS для конечного события системы обычно состоит из нескольких MCS элементов, т. е. нескольких основных элементов (см. 3.1.35). Обычно влияние набора MCS. составленного для большего количества основных элементов, часто является незначительным по сравнению с набором MCS. составленным для меньшего числа базовых элементов, с количественной точки зрения. К примеру, отказы по общей причине часто (но не всегда) доминируют среди причин конечных событий с этой точки зрения (см. приложение А). Количественный анализ риска выполняют в строгом соответствии с набором MCS для меньшего количества базовых элементов с использованием, например, диаграмм состояний, в то время как состояние каждого базового элемента, такого как канал (Ch), может охватывать работоспособное и неработоспособное состояния сотен или более компонентов (см. 3.1.34 и 3.1.35). Таким образом, оценка FER для заданного начального состояния сложных систем может быть определена на основе скрининга таких MCS.

Процедура анализа риска сложных технических систем, включающая определение оценки FER для заданного начального состояния (см. таблицу 1; 9.1. 9.5. А.5 и В.З). включает в себя следующие этапы:

-    идентификацию риска и качественный анализ риска для поиска, например, наборов MCS. состоящих из меньшего количества базовых элементов, доминирующих среди причин конечного события, путем использования таких методов, как контрольные перечни, анализ «что, если», исследование HAZOP. FMEA, RBD, ЕТА и FTA (детали не рассмотрены в настоящем стандарте);

-    создание аналитических моделей для определения количественной оценки с должным вниманием к основным элементам в качестве доминирующих причин возникновения конечного события с количественной точки зрения путем использования таких методов, как ЕТА. FTA и марковских методов;

-    определение FEF. FER. FEF для заданного начального состояния. FER для заданного начального состояния. FER в выявленном состоянии и FER 8 выявленной группе состояний для всех состояний системы. а также модели перехода, т. е. аналитической модели, состоящей из набора базовых элементов:

-    валидацию моделирования и анализа с точки зрения типов, показателей, полноты и последовательности причинной связи событий, аппроксимации, источников данных о частоте/интенсивности событий и так далее (детали не рассмотрены в настоящем стандарте);

-    повторение анализа, если он не является удовлетворительным;

-    документирование данных и результатов анализа (детали не рассмотрены в настоящем стандарте);

-    передачу результатов анализа для дальнейшей оценки риска.

Процедура анализа возникновения конечного события приведена на рисунке 4.

Идентификация

Продолжение процедуры «налим риска Рисунок 4 — Процедура анализа повторяемого/неповторяемого конечного события

7 Методы количественного анализа появления конечного события

7.1    Графическое обозначение трех типов конечных событий

7.1.1    Общие положения

При анализе риска сложных систем важно дополнительно использовать такие аналитические методы как HAZOP. FMEA. RBD. FTA и марковский метод. При проведении количественного анализа для выявления причин конечного события обычно используют методы ETA. FTA и марковский метод. Однако обычные методы ЕТА и FTA не используют символы для обозначения таких типов конечных событий, как повторяемые, восстанавливаемые, неповторяемые, которые необходимы для получения максимальной результативности этих методов. Поэтому в настоящем стандарте введены символы для использования в методах ETA. FTA и марковском методе, приведенные в таблицах 2—5, где показан способ использования этих символов и эффективность модифицированных методов анализа риска (см. 7.2).

Основные символы для ЕТА и FTA приведены в таблице 2 и позволяют разделить конечные события на тип 1 (повторяемые), тип 2 (неповторяемые и восстановленные) и тип 3 (неповторяемые и невосстанавливаемые).

7.1.2    Повторяемые конечные события

В таблице 3 приведены обозначения и графические представления для оценки FEF повторяемых промежуточных и конечных событий при дополнительном использовании методов ETA, FTA и марковского метода. Риск представлен начальным состоянием 1. промежуточными состояниями 2 и 3 и конечным состоянием 4. а также событиями 1 -* 2, 2 -♦ 1.2 — 4, 4 -* 2, 1 -* 3. 3 -* 1, 3 -* 4 и 4 -* 3, как по-

казано в дереве событий FT и марковской диаграмме состояний. Обозначение «т -* п (т, п = 1. 2....)» означает переход системы из состояния т в состояние п.

Конкретные выражения для состояний и событий системы показаны в 7.2. Здесь конечными событиями являются события 2 — 4 и 3 -* 4. Эти конечные события не изменяют свойства риска и поэтому не изменяют путь от начального состояния в конечное состояние.

Ветвь дерева событий, которая имеет стрелки на обоих концах, означает, что это событие может повторяться. Эта ветвь является повторяемой ветвью типа 1. Вентиль «И» с треугольником для FT означает, что выход вентиля является повторяемым событием. Вентиль «И» является вентилем типа 1.

Таблица 2 — Графические символы для анализа дерева событий и дерева неисправностей

Символ Наименование Описание ◄-► Повторяемая ветвь типа 1 Событие на этой ветви дерева событий (ЕТ) является повторяемым -► Неповторяемая ветвь типа 2 Событие на этой ветви ЕТ является неповторяемым и приводит к восстановлению конечного состояния, если это событие является конечным -И Неповторяемая ветвь типа 3 Конечное событие этой ветви ЕТ является неповторяемым и приводит к невосстанавливаемому конечному состоянию 6 Вентиль «И» типа 1 Выходное событие вентиля является повторяемым (комбинация вентиля блокировки и вентиля «И» может быть применена для невосстанавливаемого промежуточного события) Вентиль «И» типа 2 Выходное событие вентиля является повторяемым и приводит к восстанавливаемому конечному состоянию Вентиль «И» типа 3 Выходное событие является повторяемым и приводит к невосстанавливаемому конечному состоянию

Таблица 3 — Графические символы и представления для повторяемого (конечного) события

Метод Схема ЕТА Частота Частота Событие 2-И Событие 1-»2 Частота 4— Событие 2-»4 Частота частота Событие 3 >1 Событие 1-»3 Частота Событие 3-»4

Содержание

1    Область применения...................................................................................................................................1

2    Нормативные ссылки...................................................................................................................................2

3    Термины, определения и сокращения .......................................................................................................3

4    Различия терминов частоты и интенсивности конечного события...........................................................9

5    Частота конечного события и интенсивность конечного события для заданного

начального состояния ...............................................................................................................................10

6    Процедура вероятностного анализа риска и составление профиля риска...........................................13

7    Методы количественного анализа появления конечного события.........................................................14

8    Интенсивность конечного события для выявленного состояния и выявленной группы состояний ...26

9    Анализ нескольких уровней защиты ........................................................................................................29

Приложение А (справочное) Риск, обусловленный отказом, выявленным только при запросе.............45

Приложение В (справочное) Применение в области функциональной безопасности............................50

Приложение ДА (справочное) Сведения о соответствии ссылочных национальных

стандартов международным стандартам, использованным в качестве

ссылочных в примененном международном документе................................................56

Библиография................................................................................................................................................58

Введение

Настоящий стандарт определяет основные свойства событий с точки зрения вероятностного анализа риска и использования связанных с надежностью методов анализа возникновения конечного события. переводящего объект в конечное состояние, в котором могут появиться конечные последствия риска (см. 3.1.1. 3.1.10 и 3.1.17).

Методы, применяемые для анализа риска, такие как контрольные перечни, анализ что/если. исследование опасности и работоспособность (HAZOP). анализ дерева событий (ЕТА). анализ дерева неисправностей (РТА) первоначально были разработаны для анализа безопасности систем и затем были глубоко проработаны для анализа надежности и безопасности систем (1). (2). ГОСТ Р 27.012, ГОСТ Р МЭК 61165, ГОСТ Р 27.302, ГОСТ Р МЭК 62502. Аналитические методы, описанные в ГОСТ Р 27.302, ГОСТ Р МЭК 61165, ГОСТ Р МЭК 62502 четко установлены и систематизированы применительно к анализу надежности. Однако необходимо учитывать, что существуют значительные различия между анализом надежности и вероятностным анализом риска.

Во-первых, такие состояния объекта как работоспособное и неработоспособное, рабочее и нерабочее. а также события отказа и восстановления, как правило, рассматривают с позиции анализа надежности (1). ГОСТ Р 27.010. Вероятностный анализ риска часто связан не только с аспектами состояний и событий, которые влияют на работоспособное и неработоспособное состояния, но также с состояниями наличия запроса и его отсутствия, с начальными, промежуточными и конечными состояниями. а также с такими дополнительными событиями как запрос, завершение, окончание и возобновление запроса (см. 3.1.3. 3.1.8. 3.1.10, 3.1.11, 3.1.17 и 3.1.20).

Во-вторых, при вероятностном анализе риска учитывают тип конечного события, поскольку существующие в системе зависимости часто определяют появление конечного события. А именно, в вероятностном анализе риска конечные события делят на повторяемые и неповторяемые (см. 3.1.18 и 3.1.19). Кроме того, часто необходимо учитывать последовательность появления событий, поскольку часто появление конечного события является следствием определенной последовательности событий (см. 7.2. 9.2, 9.3 и 9.4).

Количественными показателями, применяемыми при анализе надежности, обычно являются интенсивность отказов, частота отказов, интенсивность восстановлений и другие показатели безотказности. готовности и ремонтопригодности объекта. При анализе риска должны быть проанализированы не только эти показатели, но и дополнительные показатели, такие как интенсивность и частота таких событий как запрос, завершение и возобновление запроса, а также время воздействия или экспозиция риска (см. 3.1.30).

При проведении количественного анализа риска интенсивность и частоту событий обычно используют в качестве целевых показателей появления конечного события (см., например, приложение В). В настоящем стандарте в качестве целевых показателей появления конечного события рассмотрены частота конечного события (FEF). средняя FEF. интенсивность конечного события (FER) для заданного начального состояния и FEF для заданного начального состояния (см. 3.1.21,3.1.22. 3.1.25 и 3.1.26).

Такие показатели как FEF для заданного начального состояния являются новыми для вероятностного анализа риска и значительно отличаются от показателей традиционного анализа надежности, упомянутых выше, поскольку такие переменные, как интенсивность запросов и завершения запросов и их частота, а также экспозиция риска, которую не рассматривают в традиционном анализе надежности, обычно не являются целевыми показателями надежности. Поэтому эти новые показатели должны быть определены, а соответствующие методы модифицированы применительно к вероятностному анализу риска.

Кроме того, при анализе риска сложных систем часто дополнительно применяют такие аналитические методы как HAZOP. FMEA. RBD. FTA и марковских методов. В настоящем стандарте показано, как сформировать эти модифицированные методы, чтобы извлечь максимальную пользу при их применении в вероятностном анализе риска.

Таким образом в настоящем стандарте определены целевые показатели появления конечного события в виде FER для заданного начального состояния, FER для заданного состояния и FER для заданной группы состояний при проведении вероятностного анализа риска и даны рекомендации по применению модифицированных методов в дополнение к анализу этих целевых показателей на примере анализа риска атомной электростанции, подушек безопасности автомобиля, систем автоматического торможения и рулевого управления в автомобиле, систем с распознаванием отказа только при запросе, а также рекомендации по применению настоящего стандарта в области функциональной безопасности. IV

Считается, что вероятностный анализ риска является более сложным, чем анализ надежности. Однако в настоящем стандарте приведен более простой и реалистичный подход проведения вероятностного анализа риска (по сравнению с традиционными подходами), что позволяет более просто проводить анализ риска сложных систем (см. таблицу 1: раздел 6; 9.1. 9.2. 9.5. А.5 и В.З).

В настоящем стандарте ссылки на международные стандарты заменены ссылками на национальные стандарты.

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Надежность в технике

ВЕРОЯТНОСТНЫЙ АНАЛИЗ РИСКА ТЕХНИЧЕСКИХ СИСТЕМ

Оценка интенсивности конечного события для заданного исходного состояния

Dependability in technics Probablislic risk analysis of technological systems Estimation of final event rate at a given initial state

Дата введения — 2020—07—01

1 Область применения

В настоящем стандарте приведены рекомендации по вероятностному анализу риска (далее — анализ риска) систем, состоящих из электротехнических обьектов, применимых на производстве, где предусмотрено проведение анализа риска

Настоящий стандарт включает следующие аспекты анализа риска:

-    определение основных терминов и понятий;

-    установление типов событий;

-    классификация возникновения событий;

-    описание использования модифицированных обозначений и методов графического представления для ETA, FTA и марковских методов при применении модифицированных методов к сложным системам;

-    предполагаемые способы обработки частоты/интенсивности событий для сложных систем;

-    предполагаемые способы определения оценок частоты/интенсивности событий на основе мониторинга риска;

-    иллюстративные и практические примеры.

Взаимосвязь событий, рассматриваемых в настоящем стандарте с соответствующими рисками, описана в таблице 1. Риск определяют как влияние неопределенности на достижение цели (см. 3.1.1). Здесь предполагается, что неопределенность состоит из двух составляющих: эпистемической и случайной. Эпистемическая составляющая может быть известной и неизвестной, а влияние случайной составляющей может быть контролируемым и неконтролируемым соответственно. Таким образом, риск, соответствующий известному событию, влияние которого является контролируемым, представляет собой контролируемый риск, а риск, соответствующий известному событию, влияние которого является не контролируемым, представляет собой неконтролируемый риск определенной последовательности событий. Контролируемый мета-риск соответствует неизвестному событию, влияние которого может быть случайным контролируемым (если это событие возникает), а неконтролируемый мета-риск соответствует неизвестному событию, влияние которого не является контролируемым.

Например, риски, возникающие в результате случайных отказов аппаратных средств электротехнических обьектов, могут быть отнесены к контролируемым или неконтролируемым рискам, в то же время риски, связанные с программными ошибками, могут быть отнесены к контролируемым или неконтролируемым мета-рискам. В настоящем стандарте рассмотрены контролируемые и неконтролируемые риски, возникающие в результате событий, появление которых предполагается случайным и не зависящими от времени (см. раздел 6; 9.1.9.2. 9.5 и В 3).

Издание официальное

Таблица 1 — События и соответствующие им риски

Событие Случайное Эпистемологическое Известное Неизвестное Контролируемое Контролируемый риск события Контролируемый мета-риск Неконтролируемое Неконтролируемый риск события Неконтролируемый мета-риск

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ 27.002 Надежность в технике. Термины и определения

ГОСТ Р 27.010 Надежность в технике. Математические выражения для показателей безотказности. готовности, ремонтопригодности

ГОСТ Р 27.12 Анализ опасности и работоспособности (HAZOP)

ГОСТ Р 27.302 Надежность в технике. Анализ дерева неисправностей ГОСТ Р 51897-2011 Менеджмент риска. Термины и определения ГОСТ Р 51901.12 Менеджмент риска. Метод анализа видов и последствий отказов ГОСТ Р 51901.14 Менеджмент риска. Структурная схема надежности и булевы методы ГОСТ Р 57149-2016 Аспекты безопасности. Руководящие указания по включению их в стандарты ГОСТ Р ИСО 9000-2015 Системы менеджмента качества. Основные положения и словарь ГОСТ Р ИСО 31000 Менеджмент риска. Принципы и руководство ГОСТ Р ИСО/МЭК 31010 Менеджмент риска. Методы оценки риска ГОСТ Р МЭК 61165-2019 Надежность в технике. Применение марковских методов ГОСТ Р МЭК 61508-1 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 1. Общие требования

ГОСТ Р МЭК 61508-2 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 2. Требования к системам

ГОСТ Р МЭК 61508-3 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 3. Требования к программному обеспечению

ГОСТ Р МЭК 61508-4-2012 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 4. Термины и определения

ГОСТ Р МЭК 61508-5 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 5. Рекомендации по применению методов определения уровней полноты безопасности

ГОСТ Р МЭК 61508-6-2012 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 6. Руководство по применению ГОСТ Р МЭК 61508-2 и ГОСТ Р МЭК 61508-3

ГОСТ Р МЭК 61508-7 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 7. Методы и средства

ГОСТ Р МЭК 61511-1 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 1. Термины, определения и технические требования

ГОСТ Р МЭК 61511-2 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1

ГОСТ Р МЭК 61511-3 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 3. Руководство по определению требуемых уровней полноты безопасности ГОСТ Р МЭК 62502 Менеджмент риска. Анализ дерева событий

Примечание — При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя «Национальные стандарты» за текущий год Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений Если заменен ссылочный стандарт, на который

дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия) Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения Если ссылочный стандарт отменен без замены, то положение. в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку

3 Термины, определения и сокращения

3.1    В настоящем стандарте приведены термины по ГОСТ 27.002. ГОСТ Р 27.010, (1J. а также следующие термины с соответствующими определениями:

3.1.1    риск (risk): Следствие влияния неопределенности на достижение поставленных целей.

Примечание 1 — Риск часто представляют в виде сочетания последствий события (включая изменения обстоятельств) и соответствующей вероятности реализации события (см ГОСТ Р 51897-2011, статья 1.1, примечание 4).

Примечание 2 — Риск, связанный с безопасностью, часто определяют как сочетание вероятности нанесения ущерба и тяжести этого ущерба (см п. 3.9 в ГОСТ Р 57149-2016)

Примечание 3 — Остаточный риск представляет собой риск, оставшийся после обработки риска Обработка риска включает в себя процесс изменения риска путем применения уровней защиты, установленных в настоящем стандарте (см п 3 8 1.6 в ГОСТ Р 51897-2011, пункты 7.2.1, 9 1 и В6)

[ГОСТ Р 51897-2011. статья 1.1, изменение — примечания к исходному определению заменены новыми]

3.1.2    состояние

3.1.2.1    состояние (state): Математическое выражение, описывающее определенные условия, в которых рассматриваемый объект находится в течение установленного периода времени.

Примечание 1 — Ошибка является примером состояния, в то время как отказ является событием Диаграмма состояний описывает состояния и переходы состояний системы (см [1] и 3 1 4 и 3 1 5. 3.1.7).

3.1.2.2    состояние (state): Для идентификации, анализа и контроля риска свойства системы в течение определенного периода времени.

Примечание 1— Состояния подразделяют на активные и неактивные в соответствии со степенью исправности объекта Активному состоянию соответствует более высокая степень исправности объекта, а неактивному — более высокая степень неисправности Мерой состояния системы является энтропия, которая также является мерой многообразия состояний системы (см 3.1 2 2. примечание 4, 3 13, примечание 2 и В 2)

Примечание 2 — Если объекты взаимодействуют друг с другом, активное действие может быть выполнено в активном состоянии, неактивном состоянии, активное действие не может быть выполнено и вместо активного действия генерируется неактивное действие

Примечание 3 — Активные действия подразделяют на типы, например: а) передача энергии; б) распространение информации, в) перенос агента, г) затруднение снабжения и д) остальные [2].

Примечание 4 — Функция представляет собой способность объекта производить активные и/или неактивные действия (см 3 1 3.3.1 13. 3 1 32. 3 1 33. 3 1 34. 7.2, 91.8 1. В 4, В 5 и В 6). [2]

3.1.3 состояние запроса (demand state): Состояние, в котором у системы запрашивают выполнение определенной функции.

Примечание 1 — В состоянии запроса объект должен функционировать для демонстрации своих установленных функций, т е выполнять активные и неактивные действия или те и другие при необходимости (см 3.1 2 2. примечание 4)

Примечание 2 — Состояние отсутствия запроса — это состояние, в котором у системы не запрашивают функций, т е объект должен находиться в нерабочем состоянии относительно установленных функций (см [1], статья 192-02-06).

Примечание 3 — Например, состояние, в котором водитель автомобиля активирует компьютерную систему управления тормозами для остановки автомобиля, является состоянием запроса этой функции системы, а состояние, в котором водитель не активирует эту систему управления, является состоянием отсутствия запроса этой функции системы управления Состояние, в котором водитель не активирует систему управления тормозами, является состоянием запроса для дополнительной функции этой системы управления (предотвращение ошибочной активации функции управления тормозами для остановки автомобиля), а состояние, в котором водитель активирует систему управления, — это состояние отсутствия запроса дополнительной функции (см 9 3.1, Ь) и В 2).

Примечание 4 — Запрос является началом состояния запроса, а завершением запроса является прекращение состояния запроса Запрос и его завершение являются событиями (см 3 14)

Примечание 5 — Непрерывный режим выполнения функции представляет собой режим функционирования, в котором состояние запроса функции продолжается Режим запроса выполнения функции охватывает

состояния запроса и отсутствия запроса, т е при использовании системы запросы и завершения запросов появляются поочередно (см. 7 2, 9.3, А 1 и В 1, В 4, В 5, В 7).

Примечание 6 — Состояния запроса и функционирования не эквивалентны из-за возможности двух следующих режимов обьект функционирует в состоянии отсутствия запроса и объект не функционирует в состоянии запроса (см. 3.1.3, примечания 1 и 2 и 9.3)

3.1.4    переход события (event transition): Изменение одного состояния на другое.

Примечание 1— Событие — это прекращение состояния или начало следующего состояния

Примечание 2 — В контексте анализа риска риск часто представляют не только с помощью словесного описания, но также в виде состояний и их переходов с использованием дерева отказов (FT), диаграммы состояний и переходов (далее — диаграммы состояний) и т. п

Примечание 3 — События подразделяют на промежуточные и конечные события с точки зрения диаграммы состояний для представления риска (см 3.1.16 и 3.1.17).

[ГОСТ Р МЭК 61165-2019, статья 3.9, изменение — примечания из исходного определения были заменены новыми]

3.1.5    система (system): Совокупность взаимосвязанных и(или) взаимодействующих элементов.

Примечание 1 — Структура системы может быть иерархической Система состоит из нескольких подсистем

Примечание 2 — Для удобства термин «состояние системы» использован для обозначения состояния, в котором находится система (см 3.1.7).

[ГОСТ Р ИСО 9000-2015, статья 3.5.1, добавлены примечания]

3.1.6    элемент (element): Компонент или набор компонентов, который рассматривают как единое целое¹).

3.1.7    состояние системы (system state): Конкретная комбинация состояний элементов, составляющих систему.

Примечание 1— Состояния системы часто охватывают работоспособное и неработоспособное состояния, рабочее и нерабочее состояния, состояния запроса и отсутствия запроса и другие внешние условия, не зависящие от элементов системы (см 3 15, примечание 2).

3.1.8    начальное состояние (initial state): Состояние системы, из которой система совершает первый переход в другое состояние на диаграмме состояний, представляющей риск.

Примечание 1 — Если риск идентифицирован, он может быть охарактеризован не только с помощью словесного описания, но и с использованием таких диаграмм, как дерево событий, FT и так далее для качественного или количественного вероятностного анализа риска (см , например, рисунки 3, 9 и 10).

Примечание 2 — Если состояние системы X является начальным состоянием, это состояние называется также начальным состоянием X

3.1.9    виртуальное начальное состояние (virtual initial state): Состояние системы, в котором предполагается виртуальный переход из конечного состояния, используемое для вычисления MTFE в выявленном состоянии и FER в выявленном состоянии.

Примечание 1—См 3.1.11. 3.1 24. 3.1.25,3.1.27 и 3.1.28

Примечание 2 — См для примера рисунок 17.

Примечание 3 — Если состояние системы X является виртуальным начальным состоянием, его называют виртуальным начальным состоянием X

3.1.10    конечное состояние (final state): Состояние системы, в котором могут появиться конечные последствия риска.

Примечание 1 — Конечные последствия не всегда появляются в конечном состоянии, поскольку они могут зависеть от последовательности появления промежуточных состояний (см 3.1.12, 7.2. 9 2 и 9.3).

Примечание 2 — Система переходит в конечное состояние при возникновении конечного события (см 3.1.17).

3.1.11    промежуточное состояние (intermediate state): Состояние системы на диаграмме состояний. представляющей риск, которое не является начальным или конечным состоянием.

3.1.12    предшествующее состояние (antecedent state): Начальное состояние или. если оно существует. любое промежуточное состояние на диаграмме состояний, представляющей риск.

Примечание 1—См 3.1.8 и 3.1.11.

’> См также ГОСТ 27 002.

Примечание 2 — Предшествующее состояние может быть определено при использовании набора состояний, таких как работоспособное и неработоспособное, рабочее и нерабочее, состояния запроса и отсутствия запроса, состояния отключения и других внешних условий (см. например, рисунок 3).

3.1.13    выявленное состояние (recognised state): Предшествующее состояние, которое обнаружено и/или выявлено в установленное время.

Примечание 1 — Предшествующие состояния часто (но не всегда) выявляют путем использования таких средств, как функции самодиагностики продукции, периодические проверки компонентов, выявление человеком некоторых обстоятельств, особенностей функционирования и так далее в установленное время

Примечание 2 — Если предшествующее состояние системы является выявленным состоянием, то может быть обнаружено, что состоянием системы является или не является ее предшествующее состояние в установленное время и наоборот

Примечание 3 — В настоящем стандарте предполагается, что конечное состояние является выявленным в любое время (см 9 3 и 9 4).

Примечание 4 — Поскольку не все предшествующие состояния охвачены мониторингом и распознаванием, предшествующие состояния не всегда являются выявленными и поэтому их подразделяют на выявленные и не выявленные состояния (см 3 1 16. примечание 1)

3.1.14    группа состояний (group state): Набор из двух или более предшествующих состояний, которые не могут быть распознаны как отдельные предшествующие состояния.

Примечание 1— См 3.1.13, примечание 4.

3.1.15    выявленная группа состояний (recognised group state): Группа состояний, выявленная в установленное время.

Примечание — Предположим, например, что предшествующими состояниями являются состояния системы А. В и С, а выявленным состоянием является только состояние системы С. тогда группа состояний А и В является выявленной группой состояний, поскольку можно признать, что система находится в состояниях этой группы, если в установленное время она не находится ни в состоянии С, ни в конечном состоянии и наоборот (см 3.1 13. примечания 3 и 4)

3.1.16    промежуточное событие (intermediate event): Переход в состояние, которое не является конечным событием или событием восстановления.

Примечание 1—См 3.1.5, 3.1.18 и 3.1.21.

Примечание 2 — Переход из одного предшествующего состояния в другое промежуточное состояние является промежуточным событием, но не наоборот (см. 3 119).

3.1.17    конечное событие (final event): Начало конечного состояния, т. е. состояние перехода из любого предшествующего состояния (или критического состояния) в конечное состояние.

Примечание 1—См. 3.1.10 и 3.1.12.

Примечание 2 — Конечное событие также называют критическим событием, но не наоборот (см ГОСТ Р 27 010)

Примечание 3 —Данный термин может относиться к опасным событиям или событиям, приносящим вред в области функциональной безопасности (ГОСТ Р МЭК 61508, все части)

3.1.18    повторяемое конечное событие (repeatable final event): Конечное событие, которое может повторяться.

Примечание 1 — Например, см рисунок 3

Примечание 2 — Для повторяемого конечного события характерно, что это событие не влияет на способ появления и исчезновения промежуточных состояний, потому что. если конечное событие изменяет способ появления и исчезновения промежуточных состояний, исходное состояние системы и соответствующий ему риск не сохраняются после завершения конечного события.

Примечание 3 — Конечное состояние, возникающее в результате повторяемого конечного события, может привести к переходу системы в промежуточное состояние, и конечное событие может повториться (см 3.1.17, примечание 2)

3.1.19    неповторяемое конечное событие (unrepeatable final event): Конечное событие, которое не является повторяемым.

Примечание 1 — Например, см рисунок3.

Примечание 2 — Если конечное событие постоянно изменяет способ появления и исчезновения промежуточных состояний, то конечное событие не может быть повторяемым, поскольку исходное состояние системы и риск, соответствующий исходному состоянию системы, не сохраняются (см 3 119. примечание 2).

1

Частота конечного события и интенсивность конечного события для заданного

начального состояния

5.1    Общие положения

В данном разделе приведены разъяснения FEF и FER для заданного начального состояния и определены способы их адаптации к целевым показателям появления конечного события.

5.2    Классификация конечных событий

На рисунке 3. а). 3. б). 3. в) приведены диаграммы состояний, представляющие риск, когда состояния системы А. В и С являются начальным, промежуточным и конечным соответственно (см. 3.1.4. примечание 2).

Если на рисунке 3 риски связаны с некоторой деятельностью человека, то. например, состояние В может соответствовать состоянию системы, при котором человек работает, а состояние А — состоянию системы, при котором человек не работает, а отдыхает, а состояние С — состоянию системы, при котором с человеком происходят неблагоприятные события от легких происшествий до катастроф

Если происходит конечное событие, существуют две возможные последующие ситуации:

a)    конечное событие не зависит от способа возникновения промежуточного события, конечное состояние может вызвать переход в промежуточное состояние и конечное событие может повториться (см. рисунок 3. а). Данное конечное событие далее рассматривают как повторяемое конечное событие (см. 3.1.19);

b)    конечное событие не повторяется, потому что постоянно изменяется способ появления конечного события и исчезновения промежуточных состояний и поэтому риск идентичен риску, когда начальное состояние системы больше не поддерживается (см. рисунок 3. Ь) и 3. с)). Данное конечное событие далее рассматривают как неповторяемое конечное событие (см. 3.1.19).