ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

НАЦИОНАЛЬНЫЙ

СТАНДАРТ

РОССИЙСКОЙ

ФЕДЕРАЦИИ

Менеджмент риска

АНАЛИЗ ДЕРЕВА СОБЫТИЙ

IEC 62502:2010

Analysis techniques for dependability — Event tree analysis (ETA)

(IDT)

Издание официальное

Москва

Стандартинформ

2015

Предисловие

1    ПОДГОТОВЛЕН Открытым акционерным обществом «Научно-исследовательский центр контроля и диагностики технических систем» (АО «НИЦ КД») на основе собственного аутентичного перевода на русский язык международного стандарта, указанного в разделе 4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК10 «Менеджмент риска»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 24 октября 2014 г. № 1429-ст

4    Настоящий стандарт идентичен международному стандарту МЭК 62502:2010 «Аналитические методы надежности. Анализ дерева событий (ETA)» (IEC 62502:2010 «Analysis techniques for dependability — Event tree analysis (ETA)»).

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (подраздел 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА

5    ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

© Стандартинформ, 2015

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

ГОСТ Р МЭК 62502-2014

b)    системам: воздействие (или нет) систем защиты как факторов защиты, которые по предположению должны предотвратить развитие инициирующего события в неблагоприятную ситуацию, уменьшить неблагоприятные последствия или привести к отказу факторов защиты;

c)    физическим явлениям: возникновение или не возникновение физических явлений.

Как правило, идентифицируют вначале функции, которые необходимо выполнить после реализации инициирующего события, а затем системы (факторы защиты), которые могут выполнить эти функции. Физические явления описывают развитие неблагоприятного события, имеющее место внутри и снаружи исследуемой системы (например, изменение давления и температуры, появление огня, ядовитых паров и т. п.).

Область применения и цель ЕТА должны быть четко определены до выполнения действий в соответствии с 7.2.

7.2 Этапы выполнения ЕТА

7.2.1    Общая процедура

Процедура выполнения ЕТА (см. рисунок 1) состоит из шести этапов:

Этап 1. Определение исследуемой системы или деятельности (см. 7.2.2)

Устанавливают границы системы или деятельности, для которых необходимо выполнить ЕТА.

Этап 2. Идентификация исследуемых инициирующих событий (см. 7.2.3)

Проводят общее рассмотрение (скрининг) всех событий для идентификации событий или категорий событий, рассматриваемых в ЕТА. Категории событий могут включать столкновения, возгорания, взрывы, ядовитые выбросы и т. п.

Этап 3. Идентификация факторов защиты и физических явлений (см. 7.2.4)

Выявляют факторы защиты, которые могут повлиять на развитие инициирующего события до его неблагоприятных последствий. Факторы защиты охватывают как технические системы, так и действия/решения людей. Кроме того, идентифицируют физические явления и вторичные события, такие как возгорание или метеорологические условия, способствующие развитию неблагоприятной ситуации и инициирующего события. Дерево событий должно включать все факторы защиты и физические явления (см. 7.1).

Этап 4. Определение последовательности событий и выходов, определение их количественных параметров (см. 7.2.5)

Для каждого инициирующего события определяют возможные выходы (например, сценарии несчастного случая) и выполняют их количественный анализ на основе построенного дерева событий.

Этап 5. Анализ выходов (см. 7.2.6)

Выходы анализируют в отношении их последствий и воздействий на результаты анализа.

Этап 6. Использование результатов ЕТА (см. 7.2.7)

На основе качественных и количественных результатов анализа определяют необходимые действия.

7.2.2    Этап 1. Определение исследуемой системы или деятельности

При выполнении ЕТА рассматривают способы развития инициирующего события в опасное событие, включая отказы различных факторов защиты. Внимательные идентификация и исследование факторов защиты являются важным этапом оценки эффективности.

Очень мало реальных систем работает в изоляции. В большинстве случаев система взаимодействует с другими системами. Четко определяя границы системы, в особенности при наличии систем поддержки, таких как электроснабжение и обеспечение сжатым воздухом, аналитики могут избежать пропуска основных элементов системы в интерфейсах или ошибочного рассмотрения в качестве элементов системы другого оборудования.

Теоретически в ЕТА можно включать все события и условия, которые могут способствовать реализации определенного выхода или обеспечить некоторый уровень защиты от исследуемого опасного события. Однако включать все возможные выходы в исследование не практично. Во многих исследованиях определяют такие аналитические границы как:

a)    предельный уровень анализа (например, аналитик при изучении навигационной системы может принять решение детально не анализировать проблемы системы распределения электроэнергии);

b)    исключение из анализа определенных типов событий или условий, таких как саботаж.

Начальное состояние системы, включая оборудование уже вышедшее из строя, связано с комбинацией событий, приводящей к последующим выходам. Например, если защитная блокировка регулярно удаляется из обслуживания, дерево событий должно быть изменено для отражения измененных сценариев, связанных с потенциально более высоким риском.

7

7.2.3    Этап 2. Идентификация исследуемых инициирующих событий

На этом этапе обычно используют различные методы идентификации опасностей такие как: «что — если», предварительная оценка или предварительный анализ опасности для проведения систематической оценки действий в рамках исследования. Этот этап помогает идентифицировать опасности и возможные инициирующие события, которые являются следствием этих опасностей. Такие методы идентификации направлены на исследования всех действий в области определения анализа и идентификацию всех возможных инициирующих событий и выходов, связанных с этими событиями. Общий список и описание методов приведены в [12]. В результате идентификации обычно формируют список возможных событий и их последствий.

Затем должна быть поставлена общая цель идентификации всего спектра событий, которые могут произойти в области определения ЕТА. После того, как это сделано, аналитики применяют критерии скрининга (сплошной проверки), чтобы идентифицировать инициирующие события, которые необходимо рассмотреть в деревьях событий. В основном существует два способа отбора инициирующих событий, а именно, исключение событий с маловероятным сочетанием физических свойств (например, не превышение установленных значений давления или температуры при пожаре) или инициирующих событий с низкой частотой реализации при определении гарантированной оценки. Этот этап помогает идентифицировать события, которые должны быть проанализированы далее для понимания сложных взаимодействий систем. В процессе анализа необходимо проверить возможность всех взаимодействий инициирующих событий и факторов защиты, например, могут ли условия, вызванные инициирующим событием, таким как потеря всех энергоресурсов после землетрясения, оказать негативное влияние на действие факторов защиты.

После анализа начального перечня событий оставшийся перечень инициирующих событий включает события, которые должны быть рассмотрены в деревьях событий. Это события, которые идентифицированы опытными экспертами как достаточный комплекс событий для дополнительного анализа отдельной системы и взаимодействий персонала, которые вызывают различные выходы инициирующего события.

Если имеется много событий, для которых необходимо построить деревья событий, инициирующие события объединяют в несколько категорий, таких как столкновения, пожары, взрывы, ядовитые выбросы и т. п. В некоторых случаях такая классификация может быть не применима. Например, если целью исследования является идентификация диапазона выходов, связанныхтолько с пожаром, на этапе скрининга должна быть проведена сортировка, исключающая все события, не связанные с пожаром.

Инициирующие события, сгруппированные в одну категорию, требуют вмешательства одних и тех же факторов защиты и приводят к аналогичным результатам.

7.2.4    Этап 3. Идентификация факторов защиты и физических явлений

Кактолько инициирующее событие определено, все факторы защиты при развитии опасного события должны быть определены и организованы в соответствии с их временем действия. Они состоят из технических компонентов, таких как система предупреждения, блокирующие устройства, автоматические клапаны, административная система и персонал (например, пожарная команда, аварийная бригада, а также обнаружение опасности человеком посредством наблюдений, осязательных, слуховых, вкусовых и обонятельных ощущений).

Функции, выполняемые вышеупомянутыми компонентами или факторами защиты, структурируют в форме заголовков в функциональном дереве событий. Для каждой функции должны быть идентифицированы, перечислены и пронумерованы возможные успехи и отказы. Каждый набор успехов или отказов, связанный с фактором защиты дает узел дерева событий, не обязательно ограниченный двумя ветвями.

Физические явления также могут влиять на выход инициирующего события. Например, на случай выброса огнеопасной жидкости могут быть предусмотрены технические средства обеспечения безопасности для изоляции утечки. Однако, если утечка не изолирована, то окончательный выход, связанный с выбросом, зависит от таких физических явлений, как мгновенное возгорание, отсроченное возгорание или особенности разброса жидкости. Эти физические явления также моделируют в виде узлов дерева событий.

В системном анализе, требующем большого количества деревьев событий для инициирующих событий, возникающих одновременно в течение короткого периода времени, может быть упрощено объединением их в категории в соответствии с их фактором защиты. Это позволяет одни и те же элементы дерева событий (т. е. факторы защиты с одним и тем же отказом или успехом) использовать для различных исследуемых инициирующих событий. Если факторы защиты адекватно реагируют на события, то частоты отдельных событий могут быть просуммированы по всем событиям класса. Более детальная информация приведена в 8.3.

ГОСТ Р МЭК 62502-2014

7.2.5    Этап 4. Определение последовательностей событий, выходов и их количественных параметров

Одним из преимуществ ЕТА является способность метода моделировать порядок воздействия и взаимодействия различных систем, реагирующих на инициирующее событие. Таким образом, воздействия различных систем могут быть смоделированы «одно за другим». При выполнении соответствующих расчетов для этих взаимодействий аналитик должен:

-    определить логическое развитие инициирующего события через различные факторы защиты к возможным выходам и сценариям опасного события;

-    идентифицировать зависимости факторов защиты;

-    подсчитать условные вероятности успеха/отказа одной системы с учетом действия или состояния предыдущих систем;

-    построить дерево событий.

Конечно, не все инициирующие события (в том числе отказы системы) приводят к катастрофическим результатам. Также не каждый фактор защиты или блокирующее устройство используют при реализации события. Логическое развитие инициирующего события происходит в виде последовательности реализации событий во времени до появления опасных последствий (выхода). В процессе реализации последовательности событий их последствия становятся все более значимыми. Системы на это реагируют по-разному. Понимание развития событий и синхронизация реакций системы и физического отклика важны для разработки логики дерева событий. Например, при воспламенении отходов, реакцией персонала являются действия по их тушению с помощью огнетушителей, если персонал присутствует и огнетушители доступны. Полную систему противопожарной защиты и пожарную команду не задействуют, если значимость опасности не велика.

Большая часть систем связана или взаимодействует с другими элементами и процессами. Эти взаимодействия или зависимости влияют, как правило, вхудшую сторону на уровень защиты, обеспечиваемый резервирующими системами, которые совместно используют некоторое оборудование. В примере нефтяного танкера с резервированным управлением двигательными установками, отказы каждой системы, скорее всего, являются зависимыми, если системы управления используют общую гидравлическую систему.

Для определения количественных оценок дерева событий используют условные вероятности. Таким образом, вероятность определенного события (например, успеха или отказа) для фактора защиты является условной в зависимости от предшествующих событию реакций факторов защиты.

Рекомендуемый процесс построения дерева событий состоит из следующих этапов:

a)    инициирующее событие размещают сначала в левой стороне дерева событий;

b)    факторы защиты и физические явления размещают в направлении развития дерева событий в хронологическом (или) функциональном порядке, в котором они влияют на развитие опасного события;

c)    определяют успех (обычно ему соответствует верхняя ветвь) и отказ (обычно ему соответствует нижняя ветвь) для каждого фактора защиты в каждом узле, учитывая следующее:

1)    некоторые узлы могут иметь более двух результатов и должны иметь соответствующее количество ветвей (см. приложение А);

2)    некоторые узлы могут иметь только один результат; в этом случае через такой фактор защиты проходит прямая линия. В этом случае условная вероятность равна 1,0. Фактор защиты не зависит от предыдущего успеха или отказа другого фактора защиты.

Эти этапы иллюстрированы в приложении А и на рисункахВ.1 и В.4 напримерахжелезнодорожного переезда и электростанции.

Количественный анализ более подробно приведен в 8.3 и в примере В.2.6.

7.2.6    Этап 5. Анализ выходов

Выходами ЕТА являются конечные ветви дерева событий. Каждый выход может быть оценен качественно или количественно. В рассмотренном случае выходы идентифицируют различные последовательности событий, возникающие при реализации исследуемого инициирующего события. Количественная оценка обеспечивает лучшее понимание относительной значимости факторов защиты, поскольку выходы в этом случае характеризуют частотой. Для количественной оценки ЕТА необходимы соответствующие достоверные данные о реализации события.

Иногда удобно разделить возможные выходы на несколько категорий в соответствии с типом последствий (потеря жизни, материальные потери, вред окружающей среде и т. п.). Количество выходов дерева событий зависит от того, какие типы выходов должны быть проанализированы, например:

a)    отказ или нарушение функционирования системы;

b)    разрушение системы;

9

c)    значимые воздействия на окружающую среду;

d)    гибель людей.

Для практической оценки большого количества выходов полезно классифицировать и группировать выходы так, чтобы упростить результаты.

7.2.7 Этап 6. Использование результатов ЕТА

Результаты ЕТА могут быть использованы для принятия решения, которое может способствовать повышению надежности и уменьшению риска на основе известных методов и организационных действий. Корректирующие действия могут включать изменение архитектуры системы, рабочих процессов, правил технического обслуживания и т. д.

В частности, решения, которые основаны на выполнении анализа, могут быть следующими:

a)    риск является допустимым или нет: решение принимают с учетом последствий соответствующих риску на основе критериев приемлемости риска;

b)    возможные улучшения системы: выявляют факторы снижения риска и необходимые изменения архитектуры исследуемой системы для обеспечения соответствия критерию приемлемости;

c)    рекомендации по улучшению: разрабатывают предложения по улучшению функционирования системы, включая:

1)    модификацию оборудования;

2)    изменение рабочих и организационных процедур;

3)    изменение административной политики в области планирования задач технического обслуживания, обучения персонала и т. п.;

d)    обоснование распределения ресурсов: определение воздействия выполнения рекомендаций по улучшению функционирования системы.

Так как исследуемая система может претерпеть изменения в процессе эксплуатации, ЕТА необходимо поддерживать в рабочем состоянии в течение всего срока службы системы, что обеспечивает процесс принятия решений. Этот процесс регулярной периодической модификации в некоторых отраслях промышленности называют «живой PRA/PSA» (Вероятностный анализ риска/безопасности). Необходимое применение ЕТА в общем процессе менеджмента риска описано в [12].

8 Оценка

8.1 Предварительные замечания

До начала количественного анализа частоты или вероятности выходов для различных последовательностей событий должен быть проведен тщательный качественный анализдерева событий, которое может включать инициирующие события, главные события, а также промежуточные и основные события соответствующих деревьев неисправностей.

Для описания основных принципов анализа для наглядности использовано основное графическое представление дерева событий, представленное на рисунке 2.

Инициирующее Смягчение Смягчение событие фактора А фактора В

Успех Успех

Отказ

Успех

Отказ

Отказ

Рисунок 2 — Основное графическое представление дерева событий

8.2 Качественный анализ. Основные зависимости

8.2.1 Общие положения

Целью качественного анализа является:

а) понимание факторов, которые определяют зависимости между функциями или компонентами системы;

10

ГОСТ Р МЭК 62502-2014

b)    идентификация значимых событий зависимых отказов;

c)    корректный количественный анализ дерева событий и установление его адекватной связи с деревьями несоответствий.

Качественному анализу и, в частности, анализу зависимостей должно быть уделено внимание, однако его выполняют вместе с анализом последовательностей событий и анализом системы.

Существует два основных вида зависимостей:

-    функциональные зависимости (см. 8.2.2);

-    структурные или физические зависимости (см. 8.2.3).

Например, зависимость является функциональной, если отказ фактора защиты делает невозможным выполнение своей функции следующим фактором защиты, например, если факторы защиты используют общий компонент, то отказ этого компонента выводит их из работоспособного состояния. Более подробная информация об этих различиях приведена в [40].

Для простоты дерево событий рассмотрено на уровне системы.

8.2.2 Функциональные зависимости

При упорядочивании различных факторов защиты дерева событий в последовательность следует учитывать нетолько время их воздействия как фактора защиты, но и ихлогический порядок. Кромеэтого необходимо учитывать зависимость успешного срабатывания одного фактора защиты от успешного срабатывания другого. Это может иметь место, например, если:

a)    один фактор защиты представляет собой систему поддержки другого;

b)    изменения экологических параметров влияют на успешную работу другого фактора защиты.

Например, на рисунке 3 показано дерево событий, в котором последовательные отказы систем А и

В (факторы защиты) приводят к показанным выходам. В этом примере система В поддерживает систему А.

После переупорядочения систем А и В в дереве событий (см. рисунок 3) ветвь отказа системы В не нуждается в дальнейшем делении на две ветви для системы А, поскольку отказ системы В предполагает, что система А не может выполнять свою функцию. Такое представление упрощает дерево событий. Так как для формирования дерева событий в основном используют компьютерные программы, главной задачей аналитика является анализ различных зависимостей в модели.

Инициирующее событие Система А Система В Выходы

jie,a,b

А В

°1_вА,В

^jI_e,A,B

Инициирующее событие Система В ^ ^ Система А Выходы

°/Е, е, а

^JI_B В, А

Рисунок 3 — Функциональные зависимости дерева событий

11

Прежде чем применять переупорядочение, необходимо учесть, что на основе описания дерева событий может быть смоделирована последовательность моментов отказов системы. Таким образом, конкретное дерево событий не моделирует все возможные временные последовательности после реализации инициирующего события. Это следует учитывать при его объединении с деревом неисправностей или Булевыми методами (8.3.2, В.2).

8.2.3 Структурные или физические зависимости

Структурные или физические зависимости обычно приводят к отказам, вызванным общей причиной (отказам общей причины), а такие отказы приводят к реализации нескольких событий одновременно или за короткий промежуток времени (см. определение 3.1.2). Примерами отказов общей причины являются отказы, вызванные такими событиями, как пожар, землетрясение, ураган, отказы технических систем (например, отказ системы электроснабжения высокой мощности или короткое замыкание) или действия человека, такие как ошибки или акты саботажа.

Поэтому анализ общей причины выполняют для определения подверженности различных факторов защиты последствиям отказа под воздействием внешних или внутренних условий, систем или функций.

Одним из важных вопросов является наличие влияния реализации инициирующего события (например, землетрясения) на условные вероятности реализации всех вершин событий соответствующих деревьев неисправностей (см. 8.3.2).

Другим вопросом качественного анализа является идентификация общих систем или общих функций, которые влияют на различные факторы защиты. Например, в дереве событий (рисунок 3) отказ системы, вызванный отказом системы В, приводит к нежелательному выходу. Если для функционирования системы А необходимо функционирование части системы В, в дереве событий необходимо рассмотреть три системы: системуА* и систему В*, которые являются системами А и В без общих частей, и систему С, представляющую собой общие части систем А и В. Этот сценарий представлен на рисунке 4.

ГОСТ Р МЭК 62502-2014

В большинстве случаев зависимости намного более сложны, чем показанные выше.

Например, отказы, вызванные действиями по техническому обслуживанию, выполняемыми бригадой технического обслуживания, не могут быть так легко смоделированы, как показано выше. В случае большого количества комбинаций зависимых систем и их компонентов, можно использовать так называемое сопряжение деревьев неисправностей (см. 8.3.2).

8.3 Количественный анализ

8.3.1 Последовательность независимых событий

Если все условные вероятности успеха или отказа факторов защиты не зависят друг от друга, количественный анализ становится очень простым.

На рисунке 5 представлено дерево событий с тремя факторами защиты: системами А, В и С. Пунктиром на рисунке 5 показана последовательность событий вдереве событий, где система Афункциони-рует, а системы В и С отказали. В следующих разделах установлены основные принципы определения оценок частоты или вероятности выхода этой конкретной последовательности 8. Практические примеры деревьев событий приведены ниже.

	Результат а Р Y * " °1е,А, в, с 09
Рисунок 5 — Последовательность событий

Для вывода формулы (1) для вероятности Р(5) последовательности 5 необходимо использовать теорему условной вероятности и определения, приведенные в разделе 3:

Р(8) = Р(/_£• А. В. С) = Р(/_£) • Р(Л|/_£) • Р(В|/_£.А) • Р(С//_е.А.В),    (1)

где Р(/_£) — вероятность реализации инициирующего события /_£;

Р(Л|/_£) — вероятность успеха системы Апри реализации данного инициирующего события/_£(условная вероятность).

Если успехи и отказы одной системы не зависят от таковых для других систем, можно использовать условные вероятности, связанные только с реализацией события /_£. В этом случае выражение (1) может быть упрощено:

Р(5) = Р(/_£) • Р(Л|/_£) • Р(В|/_£) • Р(С|/_£).    (2)

Инициирующее событие может быть описано или с помощью безразмерной вероятности реализации события Р(/_£), или с помощью частоты f_tE (1/время). Если оценивают частоту, эта математическая модель может быть использована для вычисления частоты f₅ последовательности 5:

f_s=f_IE'P(A\l_E)P(B\l_E)P(C\l_E),    (3)

где f_!E — частота инициирующего события.

Выражение (3) использовано в примерах, приведенных в В.1.3, В.2.5 и В.2.6.

Выполняя расчеты для всех возможных последовательностей а, (3, у, 8, ...,сд получают количественную оценку всех выходов инициирующего события.

13

Еслиданныхо реализации инициирующих событий недостаточно или их достоверность вызывает сомнение, не следует полностью полагаться на такие количественные оценки. В этом случае следует использовать анализ чувствительности для выявления наиболее критичных последовательностей.

8.3.2 Объединение дерева неисправностей и булевой редукции

В соответствии с 6.1 и 5.2 при вычислении условной вероятности для отказов факторов защиты могут быть использованы деревья неисправностей.

На рисунке 6 показано дерево событий с двумя факторами защиты системами А и В. Вероятности отказа систем А и В обозначены соответственно P(F_A) и P(F_B) и вычислены. На этом рисунке они изображены рядом с их главными событиями с помощью логических операций «И» и «ИЛИ» в соответствии с МЭК 61078 [16].

Инициирующее событие Система А Система В Результат

Успех 1 - P(FB)

а

Вероятности соответствующих главных событий F_A и F_B использованы в дереве событий в качестве условных вероятностей P(F_A) и P(F_B) отказов систем А и В соответственно. Условные вероятности успеха систем равны соответственно (1 - P{F_A)) и (1 - P(F_B)).

Если на факторы защиты воздействуют события общей причины, для уменьшения дерева событий и идентификации этих событий может быть использована Булева алгебра.

Для определения выходов в каждой последовательности дерева событий используют понятия, приведенные в [14]. Необходимую Булеву редукцию и анализ простой импликаты проводят в соответствии с [16].

В В.З приведен подробный пример Булевой редукции и простой импликаты для конкретного дерева событий.

В исходной форме главное событие дерева неисправностей, связанного с различными факторами защиты, позволяет определить вероятность конкретного состояния (например, успеха или отказа) фактора защиты. Эти вероятности, вычисленные с применением FTA, могут быть объединены с вероятностью или частотой реализации инициирующего события (см. 8.3.1). Если главное событие характеризовано с помощью интенсивности или частоты отказов, то эти показатели реализации главного события не могут быть объединены с частотой реализации инициирующего события. Следовательно, в этом случае необходимо применять другие аналитические методы, такие как Марковское моделирование (см. [17]). Если для различных факторов защиты использованы стратегии восстановления или ремонта, Марковское моделирование может помочь в разработке более адекватной модели. Более детальные методы анализа различных моделей функционирования системы и соответствующих показателей надежности приведены в [18].

Более детальная информация об основных математических расчетах для дерева событий приведена в [32].

ГОСТ Р МЭК 62502-2014

Основные правила определения количественных оценок просты и могут быть выполнены на компьютере. Существует много пакетов программ для качественного и количественного анализа дерева событий. Однако конкретный пакет программ не может быть рекомендован.

Практические примеры, иллюстрирующие теоретические положения данного подраздела, приведены в приложении В.

Кроме теоретических положений, связанных с переупорядочиванием и логическими операциями дерева неисправностей, важно установить четкие рекомендации для определения целей и требований к выполнению анализа. Более всесторонний подход кустановлению краткой процедуры ЕТА приведен в [3].

9 Документация

Документация ЕТА должна включать некоторые основные элементы. Для разъяснения аспектов сложных систем может быть предоставлена дополнительная информация. Документация должна всесторонне освещать все выполненные этапы и действия. Это требование является ключевым.

Указанные ниже номера подразделов в скобках относятся к примеру, приведенному в В.2:

a)    цель и область применения анализа (В.2.2), (В.2.4);

b)    описание системы (В.2.3):

1)    описание конструкции,

2)    описание функционирования системы,

3)    подробное определение границ системы;

c)    предположения (В.2.3), (В.2.4):

1)    предположения, относящиеся к конструкции системы,

2)    предположения, относящиеся к функционированию, техническому обслуживанию, испытаниям и контролю системы,

3)    предположения, относящиеся к моделированию надежности и доступности системы;

d)    ЕТА (В.2.5), (В.2.6):

1)    обоснования и источники, использованные при составлении перечня инициирующих событий,

2)    анализ, включая графическое представление,

3)    источники использованныхданных;

e)    результаты, выводы и рекомендации (В.2.7).

Более общие рекомендации по документации приведены в [13].

15

ГОСТ Р МЭК 62502-2014

Содержание

1    Область применения...................................................1

2    Нормативные ссылки..................................................1

3    Термины, определения, сокращения и обозначения...............................1

4    Общее описание метода................................................3

5    Преимущества и ограничения ЕТА..........................................4

6    Взаимосвязь с другими аналитическими методами................................5

7    Разработка дерева событий..............................................6

8    Оценка...........................................................10

9    Документация......................................................15

Приложение А (справочное)    Графическое представление дерева событий.................16

Приложение В (справочное)    Примеры........................................17

Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов

ссылочным национальным стандартам Российской Федерации.............27

Библиография........................................................28

ГОСТРМЭК 62502—2014

Приложение В (справочное)

Примеры

В.1 Пожар на атомной электростанции

В.1.1 Краткий обзор

Опыт эксплуатации атомных электростанций за последние 40 лет показал, что риск пожара на атомной электростанции должен быть учтен при анализе факторов совокупного риска серьезной аварии.

Далее приведен вероятностный анализ риска пожароопасности, выполненный с двумя целями:

a)    выявление критических зон электростанции, дающих наибольший вклад в общую вероятность повреждения атомной электростанции в процессе скрининга;

b)    установление последовательности событий развития пожара, отражающих возникновение и обнаружение огня, изоляцию помещения, подавление пожара и разрушение (повреждение) оборудования при устранении пожара.

В процессе количественного анализа ЕТА должна быть определена частота инициирующих событий, вызывающих пожар, и различные основные повреждения.

Главными задачами являются количественный анализ и качественный анализ в процессе скрининга для идентификации критических по отношению к возникновению пожара помещений.

В.1.2 Анализ на основе скрининга

На первом этапе проводят сбор подробных данных обо всех помещениях станции и классифицируют их по важности и функциям. Далее приведены примеры элементов конкретного анализа.

Область пожара определена как здание или часть здания, достаточно защищенного барьерами, которые предотвращают распространение огня в смежные части здания или соседние здания.

Помещение, в котором возможно возникновение пожара, представляет собой часть зоны возможного пожара. При этом нежелательные последствия не распространяются на другие подразделения.

Существенным по отношению к возникновению пожара является помещение (далее существенное помещение), которое содержит оборудование, связанное с энергообеспечением, обеспечением безопасности, постоянным или временным размещением горючих материалов.

Критическим по отношению к пожару помещением (далее критическое помещение) является существенное помещение, в котором пожар может привести к разрушению (нарушению) хотя бы одного, связанного с безопасностью компонента или системы, это вызывает инициирующее событие, приводящие к нарушению безопасности атомной электростанции.

Процесс скрининга начинают с идентификации всех помещений, для которых выполнен хотя бы один из следующих трех критериев:

a)    огневая нагрузка более 7 кВт • ч/м²;

b)    помещение содержит оборудование, связанное с обеспечением безопасности, или кабели такого оборудования;

c)    помещение содержит функциональное оборудование или датчики системы защиты реактора (системы контроля безопасности).

В.1.3 Количественный анализ

Для каждого критического помещения дерево событий должно включать узлы, связанные с инициацией пожара, вентиляцией помещений, обнаружением огня, подавлением и распространением огня. Все факторы защиты в дереве событий рассматривают как независимые друг от друга (см. ограничения в 5.2). На рисунке В.1 показано типовое дерево событий для возгорания масла в помещении дизельного генератора.

Для определения частоты возгораний различных узлов должны быть использованы соответствующие данные. Такие данные должны в максимально возможной степени быть установлены организацией. Однако в случае недостатка данных некоторые данные могут быть получены из международных баз данных, таких как база данных заводов США. Для вычисления частоты возгораний в одноместной комнате в здании необходимо использовать дополнительно коэффициенты, основанные на количестве источников воспламенения, весе кабельной изоляции, количестве зон возгорания и специальных коэффициентов для источников воспламенения.

17

введение

В настоящем стандарте установлены основные принципы метода анализа надежности называемого «Анализ дерева событий» (ЕТА). Этот метод используют также для анализа риска и безопасности. Основные принципы метода установлены в 1960 г. Метод ЕТА впервые был применен для анализа объектов атомной промышленности в США. Затем он получил широкое распространение, как метод анализа надежности и риска и применялся для анализа надежности ядерных установок, аэрокосмических систем, химических процессов, установок по добыче нефти и газа, транспортных систем и др.

В противоположность другим методам анализа надежности, например Марковскому методу, ЕТА основан на относительно простых математических выводах. Однако применение метода требует наличия специальных навыков, опыта и внимательности. Кроме того обычно полезно использовать взаимосвязь анализа дерева неисправностей (FTA) с количественным и качественным анализом дерева событий.

В настоящем стандарте установлены общие принципы ЕТА и показано его применение для анализа параметров систем, относящихся к надежности и риску.

IV

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Менеджмент риска АНАЛИЗ ДЕРЕВА СОБЫТИЙ

Risk management. Event tree analysis

Дата введения — 2015—12—01

1 Область применения

В настоящем стандарте установлены основные принципы метода ЕТА¹) (анализ дерева событий) и приведено руководство по моделированию последствий инициирующих событий, а также качественному и количественному анализу показателей надежности и риска.

В настоящем стандарте по отношению к анализу дерева событий установлены:

a)    основные термины, используемые обозначения и способы графического представления;

b)    этапы процедуры построения дерева событий;

c)    предположения, ограничения и преимущества анализа ЕТА;

d)    взаимосвязь ЕТА с другими методами анализа надежности и риска и области применения метода;

e)    рекомендации по определению качественных и количественных оценок;

f)    практические примеры применения метода.

Настоящий стандарт применим во всех случаях, когда необходимо определить оценки показателей надежности и риска.

2    Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

МЭК 60050-191:1990 Международный электротехнический словарь. Глава 191: Надежность и качество обслуживания (IEC 60050-191:1990, International electrotechnical vocabulary; chapter 191: dependability and quality of service)

МЭК 61025:2006 Анализ дерева отказов (FTA) [IEC 61025:2006, Fault tree analysis (FTA)]

3    Термины, определения, сокращения и обозначения

В настоящем стандарте применены термины по МЭК 60050-191, а также следующие термины с соответствующими определениями.

3.1    Термины и определения

3.1.1    узел (node): Точка в графическом представлении дерева событий, имеющая два или более выходов.

Примечание — Узлу дерева событий может соответствовать вершина событий соответствующего дерева неисправностей.

ЕТА — Event tree analysis.

Издание официальное

3.1.2    общая причина (common cause): Причина реализации одновременно нескольких событий (кратных событий).

[МЭК 61025:2006, 3.15]

Примечание — В некоторых случаях должен быть определен период, в течение которого происходят эти события, например, несколько событий происходят одновременно или в течение короткого промежутка времени.

Пример — Природные опасности (например, пожар, наводнение), отказы технических систем, заражение инфекцией или действия человека.

3.1.3    событие (event): Возникновение условия или воздействия.

[МЭК 61025:2006, 3.8]

3.1.4    заголовок (headings): Фактор защиты, указанный на линии, расположенной над графическим изображением дерева событий.

3.1.5    инициирующее событие (initiating event): Событие, которое является отправной точкой дерева событий и последовательности событий, которые могут привести к различным возможным выходам.

3.1.6    фактор защиты (mitigating factor): Система, функция или другой косвенный фактор, смягчающий последствия инициирующего события.

Примечание — Во многих отраслях промышленности существуют эквивалентные термины, например, линия обороны, линия защиты, система защиты, барьер безопасности, линия гарантии, фактор снижения риска и т. д.

3.1.7    выход (outcome): Возможный результат последовательности событий после всех воздействий рассмотренных факторов защиты, если дальнейшей разработки дерева событий не требуется.

3.1.8    последовательность событий (sequence): Цепочка событий от инициирующего события к последующим событиям, приводящая к определенному выходу.

3.1.9    главное событие, вершина событий (top event): Установленное неблагоприятное событие, которое является отправной точкой и главной целью анализа дерева неисправностей. Это событие занимает высшую позицию в структуре дерева неисправностей.

Примечание — Главное событие (вершина событий) является результатом комбинации всех входных событий.

3.1.10    ветвь (branch): Графическое представление одного, двух или более возможных выходов из узла.

3.2 Сокращения и обозначения

3.2.1 Сокращения

ССА¹) — анализ причин и последствий;

ЕТА — анализ дерева событий;

FMEA²) — анализ видов и последствий отказов;

FTA¹) — анализ дерева неисправностей;

IRF⁴) — индивидуальный риск гибели человека;

LESF⁵) — комбинация двух методов анализа надежности: больших деревьев событий (LE) и соответствующих небольших деревьев неисправностей (SF);

LOPA⁶) — анализ уровней защиты;

RBD⁷) — метод структурной схемы надежности;

PRA⁸) — вероятностная оценка риска;

PRA/PSA⁹) — анализ вероятностной оценки риска/безопасности;

SELF¹⁰) — комбинация двух методов анализа надежности: небольших деревьев событий (SE) и больших деревьев неисправностей (LF).

ССА — Cause-Consequence Analysis.

²⁾    FMEA — Failure Mode and Effects Analysis.

³⁾    FTA — Fault Tree Analysis.

⁴⁾    IRF — Individual Risk of Fatality.

⁵⁾    LESF — Large Event Trees (LE), Small Fault Trees (SF).

⁶⁾    LOPA — Layers Of Protection Analysis.

⁷⁾    RBD — Reliability Block Diagrams.

⁸⁾    PRA — Probabilistic Risk Assessment.

⁹⁾    PRA/PSA — Probabilistic Risk/Safety Analysis.

¹⁰⁾ SELF — Small Event Trees (SE), Large Fault Trees (LF).

ГОСТ Р МЭК 62502-2014

3.2.2 Обозначения

А — реализовавшееся событие А (прописная буква, записанная курсивом);

А— нереализовавшееся событие А (прописная буква, записанная курсивом с черточкой наверху);

1е — реализовавшееся инициирующее событие (курсив);

Of дв — выход, получаемый в результате реализации всех событий, указанных в индексе (прописными курсивными буквами, разделенными запятыми) в указанном в индексе порядке (см. пример на рисунке 3);

а,..., ст— выходы дерева событий (строчные греческие буквы);

«+» — логическое «ИЛИ»;

«.» — логическое «И»;

Р(А) — вероятность события А. Р(А) — действительное число из закрытого интервала [0,1], установленное для события А, см. [25];

Р(1_е.А. В. С) —вероятность того, что инициирующее событие 1_Е и событие А произошли, а события В и Сне произошли;

Р(А\1_Е) — вероятность события А, при условии реализации инициирующего события 1_Е; f— частота (количество событий в единицу времени, см. [25]);

/д — частота выхода 8.

4 Общее описание метода

Анализ дерева событий является индуктивной процедурой, предназначенной для моделирования возможных выходов, являющихся следствием реализации данного инициирующего события и состояний факторов защиты, а также определения оценок частоты или вероятности возможных выходов данного инициирующего события.

Графическое представление дерева событий требует, чтобы символы, идентификаторы и метки были использованы последовательно. Представление дерева событий зависит от предпочтений пользователя. Наиболее часто используемое графическое представление приведено в приложении А.

Начиная с инициирующего события, в процессе анализа ЕТА исследователи постоянно ищут ответ на вопрос «Что произойдет, если ...». Опираясь на полученные ответы, аналитик строит дерево возможных выходов. Поэтому крайне важно составить перечень всех возможных инициирующих событий. Это обеспечивает то, что построенные деревья событий отражают все важные последовательности событий для рассматриваемой системы. Используя эту логику, ЕТА можно трактовать как метод представления применимых факторов защиты для данного инициирующего события.

Анализ ЕТА помогает идентифицировать все возможные варианты сценария развития неблагоприятного события (выделяя на дереве событий ветви успеха или срабатывания и отказа или несрабатывания фактора защиты), конструкции разрабатываемого объекта и выявить слабые места процедуры. Ветвь успеха является моделью условий, в которых фактор защиты действует в соответствии с его назначением (срабатывает). Как и в случае других аналитических методов, особое внимание следует уделять моделированию зависимости событий, учитывая, что вероятности, используемые в дереве событий, являются условными на последовательности событий, которые произошли до реализации рассматриваемого события. В разделе 8 рассмотрены качественные аспекты анализа, а также основные количественные правила вычисления оценок вероятности или частоты (1 /ч) для каждого выхода. Несмотря на то, что теоретически с помощью дерева событий можно моделировать последствия ошибок оператора или программного обеспечения, в настоящем стандарте эти вопросы не рассмотрены. Анализу этих проблем посвящены другие стандарты МЭК, например, МЭК 62508 [23] и МЭК 62429 [22].

Преимущества ЕТА для анализа надежности и риска, а также его ограничения, рассмотрены в разделе 5. Примером ограничений ЕТА является исследование временных зависимостей. Оценки в такой ситуации необходимо определять очень осторожно, поскольку это может быть правильно сделано только в отдельных случаях. Для исследования временных зависимостей разработаны специальные методы, такие как метод динамического анализа дерева событий. Метод динамического анализа дерева событий не рассмотрен в настоящем стандарте, однако, соответствующие ссылки включены в библиографию.

Метод ЕТА тесно связан с методом FTA, поскольку вероятность главного события FTA позволяет определить условную вероятность для узла ЕТА. Это более полно описано в разделе 6, где рассмотрена ¹

связь между ЕТА и другими аналитическими методами, такими как анализ причин и последствий (ССА) и анализ уровней защиты (LOPA). Метод ССА комбинирует анализ причин с анализом последствий и использует дедуктивный и индуктивный анализ. Метод LOPA был разработан для перерабатывающей промышленности в виде специальной адаптации ЕТА.

В разделе 7 установлена процедура построения дерева событий, начинающаяся с четкого определения исследуемой системы. Кроме того, в разделе 7 рассмотрены различные аспекты исследуемой системы (технический, человеческий и функциональный) и необходимая глубина анализа. Другой важной задачей является составление перечня соответствующих инициирующих событий.

На рисунке 1 изображены основные этапы выполнения ЕТА. Следует учитывать, что процесс разработки дерева событий является итерационным.

Этап 1. Этап 3. Этап 4. Этап 6. Определение Этап 2. Идентификация Определение Применение исследуемой => Идентификация факторов поспедова- 3 Анапиа результатов системы инициирующих защиты тельностей, анализа или событий и физических выходов и их дерева деятельности явлений квантирование событий

Рисунок 1 — Процесс разработки дерева событий

В разделе 9 кратко указаны требования к документированию анализа и его результатов.

В приложении А приведены наиболее используемое графическое представление дерева событий. В приложение В приведены примеры ЕТА для характерных областей его использования.

5 Преимущества и ограничения ЕТА

5.1    Преимущества метода ЕТА

Метод ЕТА обладает следующими преимуществами. Метод

a)    применим ксистемам любого типа;

b)    обеспечивает визуальное представление последовательности событий после реализации инициирующего события;

c)    позволяет получить оценку нескольких одновременных отказов системы (например, дефект системы контроля) или ее отказов (например, неспособность клапана закрываться), а также других зависимых событий;

d)    применим для исследования, как успеха (нормального функционирования), так и отказа системы;

e)    позволяет идентифицировать конечные события, которые иначе невозможно прогнозировать;

f)    позволяет идентифицировать возможные единичные отказы, области уязвимости системы и малоэффективные контрмеры. Метод обеспечивает оптимальное распределение ресурсов и улучшение контроля риска через улучшение процедур и функций безопасности;

д) допускает идентификацию и прослеживаемость путей развития отказа системы;

h) позволяет представлять большие и сложные системы в виде более простых с помощью группировки частей исследуемой системы в функциональные единицы или подсистемы.

Преимуществом ЕТА по сравнению со многими другими методами анализа риска является его способность моделировать последовательности и взаимодействия различных факторов защиты, сопровождающих появление инициирующего события. Таким образом, система и ее взаимодействия со всеми факторами защиты при развитии неблагоприятного сценария становятся наглядно представленными, что способствует для дальнейшей оценки риска.

5.2    Ограничения метода

К ограничениям ЕТА относятся ограничения, общие для всех методов анализа надежности:

a)    инициирующие события не могут быть выявлены с помощью анализа, это задача специалистов, составляющих общий перечень инициирующих событий;

b)    при использовании метода необходимо вовлечение специалистов, составляющих общее описание сценариев функционирования системы;

c)    могут быть пропущены скрытые системные зависимости, что приводит к излишне оптимистичным оценкам показателей надежности и риска;

4

ГОСТ Р МЭК 62502-2014

d)    для правильного вычисления условных вероятностей и корректной обработки зависимых событий необходим практический опыт работы с методом, а также предыдущие результаты исследования системы;

e)    оценка и обработка вероятностей, зависящих от времени может быть выполнена только если истинная вероятность или интенсивность отказов системы постоянна или если для восстанавливаемой системы быстро наступает устойчивое неработоспособное состояние. Это следует учитывать в случае периодически проверяемых систем;

f)    другой трудный аспект работы с временной зависимостью охватывает быстро меняющиеся ситуации, например, когда критерии успеха факторов защиты изменяются в зависимости от срабатывания предшествующих факторов защиты. Обычно в этом случае делают предположения, обеспечивающие получение гарантированных оценок;

д) ситуации, когда пребывание объекта в некотором состоянии более установленного времени может привести котказу, трудно смоделировать с помощью дерева событий (например, медленная утечка воздуха из автомобильной камеры);

h)    зависимости в дереве событий, например, из-за зависимостей инициирующего события от факторов защиты, необходимо внимательно исследовать. Однако существует лишь несколько методов анализа подходящих для обработки зависимых отказов. Для этого может оказаться подходящей комбинация FTA и ЕТА;

i)    несмотря на то, что может быть идентифицировано несколько последовательностей событий, приводящих к отказу системы, различия в значимости опасностей, связанных с конкретными выходами могут быть не различимы без дополнительного анализа.

6 Взаимосвязь с другими аналитическими методами

6.1 Комбинация ЕТА и FTA

На практике ЕТА иногда выполняют как самостоятельный анализ, а в других случаях в комбинации с FTA.

Метод FTA позволяет идентифицировать и анализировать условия и факторы, вызывающие или способствующие реализации конкретного опасного события (см. МЭК 61025).

Использование комбинации ЕТА и FTA позволяет преодолеть многие из недостатков ЕТА, например, при количественном анализе могут быть учтены отказы общей причины (отказы по общей причине). Таким образом, комбинация ЕТА и ВТАявляется мощным методом анализа надежности и риска.

Обычно используют комбинацию ЕТА и FTA (иногда называемую анализом причин и последствий (ССА))(см. [30], [36]). Метод FTA может быть использован для определения оценки частоты fpeann3apnn инициирующего события в ЕТА. Следует заметить также, что условные вероятности событий в последовательности событий часто вычисляют с помощью FTA. Одним из примеров, где использованы ЕТА и FTA, является метод PRA (вероятностная оценка риска), разработанный первоначально для анализа надежности атомной электростанции.

В принципе, развитие любого инициирующего события может быть исследовано с помощью ЕТА. Однако в некоторых случаях это может быть невозможно по одной из следующих причин:

a)    итоговые деревья могут стать очень сложными и необозримыми;

b)    иногда легче разработать взаимосвязи причин, чем последовательность событий;

c)    часто имеются отдельные команды, выполняющие функциональный и технический анализ. Однако зависимости между функциональной областью (например, правилами выполнения процедур, технического обслуживания) и технической областью (исследуемой системой) не всегда ясны в начале анализа. Таким образом, на практике, возможные события, связанные с зависимостями функциональной и технической областей определяют в первую очередь. В частности, обычно единичные отказы исключены конструкцией системы, например, вследствие отказоустойчивого проектирования, и таким образом, метод ЕТА не должен привести непосредственно к тяжелым последствиям при реализации единичного отказа без дальнейших возможных факторов защиты.

Можно выбрать один из двух подходов для объединения дерева событий и дерева неисправностей. Один подход — это подход LESF. Если дерево событий имеет тенденцию становиться необозримо большим, может быть использован подход SELF.

В подходе LESF состояние всех систем, которые поддерживают работу исследуемой системы (далее системы поддержки) представляют в виде деревьев событий. Главные события деревьев неисправностей имеют граничные условия, которые включают предположение о том, что системы поддержки находятся в конкретном состоянии, соответствующем исследуемой последовательности событий.

5

Отдельные деревья неисправностей используют для каждого набора граничных условий исследуемой системы. Эти отдельные деревья неисправностей, полученные из единственного дерева неисправностей, которое включает системы поддержки, связанные с конкретной последовательностью событий, обусловлены состоянием систем поддержки. Этот подход представляет LESF, позволяющий явно представить существующие зависимости. Так как они связаны с меньшими деревьями неисправностей, они требуют меньших компьютерных ресурсов и применения менее сложных компьютерных программ. Однако сложность деревьев событий быстро увеличивается с увеличением количества систем поддержки и состояний каждой системы поддержки, которые представлены в дереве событий. Кроме того, процесс определения количественных оценок является достаточно громоздким и зависит от возможных оплошностей и ошибок человека. Подход LESF не позволяет явно определить, какие комбинации отказов систем поддержки приводят к отказу исследуемой системы (эти комбинации иногда называют «линией фронта системы»). Упрощенный пример такого большого дерева событий представлен на рисунке В.1 (см. также [31]).

В подходе SELF деревья событий с инициирующим событием и функциями защиты, выполняемыми различными системами защиты, указанными в головке таблицы выше изображения дерева событий, сначала разрабатывают, а затем расширяют до деревьев событий со статусом линии фронта системы. Модели дерева неисправностей системы разрабатывают от линии фронта системы к границам с системами поддержки. Деревья неисправностей систем поддержки могут быть разработаны отдельно и затем объединены в моделях линии фронта системы. Такой подход формирует деревья событий, которые являются более краткими и допускают объединенное представление последовательности неблагоприятных событий. Кроме того, небольшие деревья событий более доступны для составления компьютерных программ. Однако, зависимости и значимость соответствующих систем поддержки остаются не выявленными. Теоретический пример такого небольшого дерева событий представлен на рисунке В.З (см. [4]).

6.2    Анализ уровней защиты (LOPA)

Метод ЮРА представляет собой особую стандартизированную форму ЕТА, которую используют в качестве метода упрощенного анализа риска, адаптированного для конкретных условий. Метод LOPA применяют в форме рабочего листа, аналогично применяемому при выполнении анализа видов и последствий отказов (FMEA). Инициирующие события фиксируют в строках, а различные уровни защиты (представляющие стандартизованные факторы защиты) — в колонках. Таким образом, любую последовательность событий, представленную в соответствии с LOPA, можно также рассматривать какданные для ЕТА. Для целей анализа риска уровни значимости (или опасности) также объединяют в рабочий лист.

Поэтому LOPA можно рассматривать как ЕТА с ограниченным набором возможных факторов защиты для конкретных условий. Метод обычно используют в промышленности. Более подробно метод LOPA описан в [1] и [5].

6.3    Комбинация с другими методами

Метод ЕТА может быть объединен с любым другим методом, пригодным для определения вероятности успеха или отказа соответствующих факторов защиты (например, методом Маркова или блок-схемы надежности (RBD), см. [16]), но в этом случае, другие методы служат только дополнением ЕТА.

В сложных случаях или при зависимости функционирования системы от времени (см. 8.3.2), можно использовать Марковские методы с учетом всех имеющихся ограничений. Для получения дополнительной информации см. [17].

Другим близким методом анализа надежности является анализ видов и последствий отказов (FMEA) (см. [13]), который является формализованной процедурой анализа системы для выявления возможных видов отказов системы, их причин и последствий. Метод FMEA помогает идентифицировать значимость возможных отказов и установить, какие факторы защиты включает конструкция для снижения вероятности отказов системы до допустимого уровня. Первым этапом разработки дерева событий может быть идентификация основных отказов системы, как возможных инициирующих событий.

Методы Марковского моделирования, RBD и FMEA установлены соответственно в МЭК 61165 [17], МЭК 61078 [16] и МЭК 60812 [15].

7 Разработка дерева событий

7.1 Общие положения

События, определяющие последовательности событий, обычно характеризуют по:

а) функциям: выполнение (не выполнение) функций, как фактор защиты;

6

1