Под промышленными рисками понимают опасность нанесения ущерба предприятию и третьим лицам вследствие нарушения нор­мального хода производственного процесса. Кроме того, к ним относят опасность повреждения или утери производственного оборудования и транспорта, разрушение зданий и сооружений в результате воздей­ствия таких внешних факторов, как силы природы и злоумышленные действия.

    Для промышленного производства наиболее серьезным и часто встречающимся является риск возникновения отказов машин и обо­рудования, а в наиболее тяжелых проявлениях – возникновения ава­рийной ситуации. Это может произойти на промышленных объектах в результате событий различного характера, в частности техногенного риска – износ зданий, сооружений, машин и оборудования, ошиб­ки при его проектировании или монтаже, злоумышленные действия, ошибки персонала, повреждение оборудования при строительных и ре­монтных работах, падение летательных аппаратов или их частей и др.

    Производство АФС и ГЛС сопровождается лабораторным контролем и испытанием на стабильность.

12.7.1. Производственно-технический поток

    Производственный риск связан с производством продукции (товаров, услуг) и с осуществлением любых видов производственной деятель­ности. Среди главных причин следует выделить: снижение предпола­гаемых объемов производства; рост материальных или других затрат; уплату повышенных отчислений и налогов и прочие причины.

    Производственный риск обусловлен изменчивостью процесса про­изводства, вызванной постоянно действующими различными непред­сказуемыми факторами. На данный вид риска оказывают существенное влияние большинство экономических рисков, многие из которых яв­ляются составляющими или исходящими для возникновения произ­водственного риска. В агропромышленном комплексе к постоянным факторам промышленного риска можно отнести погодные условия, бо­лезни, вредителей растений и животных, временной фактор. Для сель­скохозяйственного производства характерны периодические колебания размеров урожая, качества продукции (например, клейковина зерна), темпов прироста живой массы скота, рациона кормления, падежа скота, сроков службы техники и др.

    Производственный риск выражается в невыполнении предприяти­ем своих планов и обязательств по производству продукции, товаров или услуг, других видов производственной деятельности в результате как неблагоприятного воздействия внешней среды, так и неправиль­ного использования техники и оборудования, основных и оборотных фондов, сырья, энергоресурсов, рабочего времени. Возможные при­чины возникновения производственного риска – разрушение или повреждение оборудования, возможное снижение предполагаемых объемов производства, рост материальных и других затрат, повышение ставки налогов, нарушение сроков поставки сырья и комплектующих деталей и т. д.

    Производственные риски – риски, связанные с убытком от остановки производства вследствие воздействия различных факторов и, прежде всего, с гибелью или повреждением основных и оборотных фондов (обо­рудование, сырье, транспорт и т. п.), а также риски, связанные с вне­дрением в производство новой техники и технологии.

    Технико-производственные риски – риск нанесения ущерба окружаю­щей среде (экологический риск); риск возникновения аварий, пожаров, поломок; риск нарушения функционирования объекта вследствие оши­бок при проектировании и монтаже, несоблюдение производственных технологий и процессов, ряд строительных рисков и пр.

    Технические риски – риски, причинами реализации которых явля­ется непредсказуемое и (или) неконтролируемое функционирование (поведение или свойства) технических систем.

    Технический риск определяется степенью организации производ­ства, проведением превентивных мероприятий (регулярной профи­лактики оборудования, мер безопасности), возможностью проведения ремонта оборудования собственными силами.

     К техническим рискам относится вероятность потерь:

  • • вследствие отрицательных результатов научно-исследовательских работ;
  • • в результате недостижения запланированных технических параме­тров в ходе конструкторских и технологических разработок;
  • • в результате низких технологических возможностей производства, что не позволяет осваивать новые разработки;
  • • в результате возникновения при использовании новых технологий и продуктов побочных или отсроченных во времени проблем;
  • • в результате сбоев и поломки оборудования и т. д.

    Следует отметить, что технический риск относится к группе вну­тренних рисков, поскольку предприниматель может оказывать на дан­ные риски непосредственное влияние и их возникновение, как правило, зависит от деятельности самого предпринимателя.

    Неопределенность «поведения» техники может быть обусловлена двумя основными факторами:

  • • во-первых, техника может проявить свойства, о которых разра­ботчик просто не знал или не мог предвидеть их проявление (на­пример, при использовании асбеста еще не знали о его опасных канцерогенных свойствах);
  • • во-вторых, техническая система может повести себя вполне предсказуемым образом, но человек по тем или иным причинам не сможет это предотвратить (например, паровой котел может взорваться от избыточного давления, если не сработает предо­хранительный клапан либо если оператор допустит нарушение режима эксплуатации).

    При классификации рисков нельзя формально подходить к отнесе­нию того или иного риска к категории «технических». Техника проек­тируется, создается и используется человеком. И если она в нормальных (расчетных) условиях повела себя не так, как предполагалась, то это следствие ошибки или упущение разработчика, изготовителя или эксплуатанта, либо недостаток знаний указанных лиц о явлениях, лежащих в основе функционирования системы. То есть, строго говоря, почти все аварии можно свести к человеческому фактору. Однако с точки зре­ния практики управления рисками это не всегда целесообразно. Для конкретной фирмы, только эксплуатирующей (но не разрабатывающей или производящей) какое-либо оборудование, разумно разделять риски на две категории:

    а)   риски, причиной которых являются возможные недостатки или
особые свойства данного оборудования;

    б)   риски, причиной которых являются ошибки при ее эксплуатации.

    В первом случае фирма, как правило, не может эффективно управ­лять этими рисками, поскольку она является лишь «пользователем». Даже если неправильное функционирование оборудования вызвано ошибкой изготовителя, для пользователя это часто не видно. Виден только результат. Поэтому в данном случае разумно выделить все не зависящие от поведения эксплуатанта риски в категорию «технических». Даже если в неправильной работе техники виноват проектировщик или производитель, представление риска поломки как человеческо­го фактора, связанного с их поведением, не дает пользователю ниче­го, кроме психологического ощущения собственной невиновности и юридической возможности предъявить ему иск. Для фирмы, экс­плуатирующей какое-либо оборудование, гораздо более логичным с практической точки зрения будет рассматривать технику как само­стоятельную систему, функционирующую хотя и под контролем, но об­ладающую своими свойствами (иногда неизвестными) и способную выйти из-под этого контроля. Это позволит более эффективно анали­зировать риски, связанные с данным оборудованием, и искать пути защиты от них. Во втором случае качество эксплуатации во многом зависит от руководства фирмы, подбора и подготовки операторов, полноты и правильности регламентов. И здесь уже причины рисков неожиданного поведения техники лежат больше в человеческой или социальной плоскости, а не в технической. В области технических ри­сков можно также столкнуться с рисками, связанными с ошибками и недостатками инструкций и технических регламентов, составлен­ных изготовителем. Фактически реализация риска происходит в ре­зультате неправильных действий пользователя. Но если он, совершая эти действия, точно следовал инструкции, то ответственность за на­ступление риска ложится на составителя регламента. Подобные риски с точки зрения пользователя также разумнее отнести к техническим рискам, а не к человеческому фактору, связанному с поведением своих сотрудников.

    Традиционно риски для качества оценивались и управлялись раз­нообразными неформальными путями (эмпирическими и/или внутрен­ними процедурами), основанными, например, на компиляции наблю­дений, тенденций и другой информации. Такие подходы продолжают обеспечивать полезной информацией, которая может поддерживать такие темы, как обработка жалоб, дефектов качества, отклонений и рас­пределения ресурсов.

12.7.2. Анализ технико-производственных рисков в системе НАССР, GМР и QRМ

    Анализ технико-производственных рисков в системах НАССР, GМР и QRМ проводится, используя признанные инструменты управления риском и/или внутренние процедуры (например, стандартные опера­ционные процедуры). Ниже приведен список некоторых из этих ин­струментов. Кроме того, фармацевтическая промышленность и регуляторные органы могут оценивать и управлять риском, используя эти инструменты (см. раздел 14.5).

    Стандартные операционные процедуры можно использовать и при анализе технико-производственных рисков на стадии проектирования (приложение).

  • • Базовые вспомогательные методы управления риском (блок-схемы, контрольные карты и т. д.).
  • • Анализ видов и последствий отказов (FMEA) (метод выявления конкретных путей, какими продукт, процесс или услуга могут от­казать, а также разработка контрмер для предотвращения отка­зов. – Прим. переводчика).
  • • Анализ видов отказов, последствий и критических параметров (FMECA).
  • • Анализ «Дерева отказов» (FTA) (инструмент оценки конструк­ции, функционирования и надежности; все факторы, влияющие на успех или отказ, помещают на одну оценочную диаграмму.  – Прим. переводчика).
  • • Анализ опасностей и ККТ (НАССР).
  • • Анализ оперативной опасности (HAZOP).
  • • Предварительный анализ опасности (РНА).
  • • Ранжирование и фильтрация рисков.
  • • Поддерживающие статистические инструменты.

   Используя идеологию стандарта ISO 31000, мы понимаем риск-менеджмент как отдельный процесс, к которому применяется цикл Демига-Шухарта "Plan-Do-Check-Act" (PDCA).

    Plan – планирование – разработка целей и процессов, необходимых для достижения ожидаемых результатов.

    Do – осуществление – внедрение процессов.

    Check – контролирование – проверка соответствия получаемых ре­зультатов ожидаемым.

    Act – действие – действия по постоянному улучшению показателей процесса.

    Это иллюстрируется схемой на рис. 34, взятой из стандарта ISO 31000.

    Эти инструменты можно адаптировать для использования в спец­ифических областях, имеющих отношение к лекарственной субстанции и качеству лекарственного продукта. Методы QRM и поддерживающие статистические инструменты могут быть использованы в комбинации (например, вероятностная оценка риска). Комбинированное исполь­зование обеспечивает гибкость, которая может облегчить применение принципов QRM:

  • • степень закрепленности и формальности QRM должна отражать доступные знания и быть соразмерной со сложностью и/или критичностью проблемы, на которую это направлено. Предваритель­ный анализ должен основываться на критериях, определенных в контексте. Предварительный анализ предполагает выбор одного или нескольких направлений действий из следующих: решение обрабатывать риски без последующей оценки;
  • • отклонение незначительных рисков, обработка которых нецеле­сообразна;
  • • проведение более подробной оценки.

    Исходные предположения и результаты должны быть задокумен­тированы.

    Процесс оценки рисков может различаться глубиной проработки причин и последствий рисков. Это зависит от задач проведения оценки и наличия ресурсов. Различаются три группы методов оценки:

  • • качественная;
  • • полуколичественная (экспертная);
  • • количественная.

    Чаще всего используются методы, описанные в приложении:

12.7.2.1. Метод Делфи

    Общие сведения

    Метод Делфи – это процедура достижения достоверного консенсуса мнений группы экспертов. Хотя в настоящее время данный термин ши­роко применяется для обозначения любой формы «мозгового штурма», важной отличительной особенностью метода Делфи, согласно перво­начальной формулировке, являлось то, что эксперты выражали свои мнения индивидуально и анонимно, получая доступ к мнениями других экспертов в ходе процесса.

    Применение

    Метод Делфи может применяться на любом этапе процесса менед­жмента риска или на любом этапе жизненного цикла системы, там, где необходим консенсус мнений экспертов.

    Входные данные

    Совокупность вариантов, в отношении которых необходим консен­сус.

    Процесс

    Группу экспертов опрашивают с применением полуструктурирован­ной анкеты. Эксперты не встречаются друг с другом, поэтому их мнения независимые. Применяются следующие процедуры:

  • • формирование группы специалистов для организации и монито­ринга процесса Делфи;
  • • подбор группы экспертов (может быть одна или несколько групп экспертов);
  • • разработка анкеты первого этапа;
  • • тестирование анкеты;
  • • индивидуальная рассылка анкеты участникам обсуждения;
  • • анализ и объединение информации из ответов первого этапа и по­вторная рассылка участникам обсуждения;
  • • заполнение анкет участниками обсуждения и повторение процес­са до достижения консенсуса.

    Выходные данные

    Сближение мнений к консенсусу по рассматриваемому вопросу.

    Преимущества и недостатки метода Делфи

    Преимущества:

  • • поскольку мнения являются анонимными, более вероятно вы­ражение непопулярных мнений;
  • • все мнения имеют одинаковую весомость, что предотвращает про­блему преобладания отдельных экспертов;
  • • получение права собственности на результаты;
  • • отсутствие необходимости собирать всех экспертов в одном месте и в одно время.

    Недостатки:

  • • большие затраты времени и высокая трудоемкость;
  • • необходимость того, чтобы участники могли четко выражать свои мнения в письменной форме.

12.7.2.2. Исследование опасности и работоспособности (HAZOP)

    IEC 61882 Исследования опасности и работоспособности (HAZOP) – Руководство по применению

    Общие сведения

    HAZOP – акроним словосочетания «исследование опасности и ра­ботоспособности» (HAZard and OPerability study) – является структури­рованным и систематизированным исследованием планируемых или существующих продукции, процедуры или системы. Эта методика пред­назначена для идентификации рисков для персонала, оборудования, окружающей среды и (или) целей организации. От исследовательской группы также ожидается, где это возможно, выработка решений по об­работке риска.

    Процесс HAZOP является качественной методикой, основанной на применении управляющих слов, с помощью которых формулиру­ются вопросы о том, как задачи проектирования или условия функ­ционирования могут быть не достигнуты на каждом этапе проекта, процесса, процедуры или системы. Процесс обычно проводит группа специалистов разных областей в ходе нескольких заседаний.

     Процесс HAZOP сходен с FMEA в том, что он позволяет определить виды отказов процесса, системы или процедуры, их причины и послед­ствия. Отличие состоит в том, что группа рассматривает нежелательные результаты и отклонения от предполагаемых результатов и состояний и проводит исследование в обратном порядке до возможных при­чин и видов отказов, тогда как FMEA начинается с определения вида отказа.

    Применение

    Изначально методика HAZOP была разработана для анализа систем химических процессов, но затем была распространена и на другие типы систем и сложных функциональных процессов. К ним относятся меха­нические и электронные системы, процедуры и системы программного обеспечения, а также организационные изменения и юридическая про­работка и анализ договоров.

    Процесс HAZOP может применяться для всех типов отклонений от це­лей проектирования вследствие недостатков проекта, компонента(ов), запланированных процедур и действий персонала.

    Метод широко применяется для анализа проекта программного обе­спечения. При применении в отношении систем управления критич­ными для безопасности средствами и компьютерных систем он может называться CHAZOP (исследование опасности и работоспособности мер управления (Control HAzards and OPerability Analysis), или исследование опасности и работоспособности компьютерных средств).

    Исследование опасности и работоспособности обычно проводится на этапе детального проектирования при наличии полной схемы пред­полагаемого процесса, но тогда, когда еще возможно внесение изме­нений в проект. Оно также может применяться в поэтапном подходе с управляющими словами для каждого этапа по мере детализации про­екта. Исследование опасности и работоспособности может проводиться на этапе функционирования, но на данном этапе внесение изменений может потребовать значительных затрат.

    Входные данные

    Необходимые входные данные для исследования опасности и ра­ботоспособности включают текущую информацию об анализируе­мых системе, процессе или процедуре и о требованиях к назначению и функционированию проекта. Входные данные могут включать чер­тежи, технические требования (спецификации), технологические кар­ты процесса, карты управления процессом и логические блок-схемы, компоновочные чертежи, процедуры функционирования и техниче­ского обслуживания, а также процедуры аварийного реагирования. Для проведения HAZOP, не связанного с техническими средствами, входными данными могут быть любые документы, которые описы­вают функции и элементы рассматриваемой системы или процедуры. Например, к входным данным можно отнести организационные диаграммы и должностные инструкции, проект договора или проект процедуры.

    Процесс

    При проведении HAZOP рассматривается структура и описание тре­бований к процессу, процедуре или системе и анализируется каждая их часть с целью выявления того, какие отклонения от предполагаемого функционирования могут произойти, каковы их потенциальные при­чины и каковы вероятные последствия этих отклонений. Эту инфор­мацию можно получить систематическим изучением того, как каждая часть системы, процесса или процедуры будет реагировать на измене­ния в ключевых параметрах с применением подходящих управляющих слов. Управляющие слова могут быть адаптированы для конкретной системы, процесса или процедуры или могут применяться обобщенные слова, которые включают все типы отклонений. В табл. 18 приведены примеры управляющих слов, обычно используемых для технических систем. Аналогичные управляющие слова, такие как, например, «слиш­ком рано», «слишком поздно», «слишком много», «слишком мало», «слишком большой», «слишком малый», «неверное направление» или «неверный объект», «неверное действие», могут применяться для вы­явления ошибок, связанных с действиями персонала.

    Обычно исследование опасности и работоспособности включает следующие этапы:

  • • назначение лица, наделенного необходимыми ответственностью и полномочиями для проведения исследования опасности и рабо­тоспособности и для обеспечения того, что все действия, следую­щие из исследования, были выполнены;
  • • определение целей и области исследования;
  • • установление ряда ключевых или управляющих слов для иссле­дования;
  • • формирование группы по проведению HAZOP; обычно группа включает специалистов различных областей и должна включать персонал, связанный с проектированием и функционированием рассматриваемого объекта, с соответствующей технической ком­петентностью для оценивания воздействий отклонений от требу­емого или текущего проекта. Рекомендуется, чтобы в группу вхо­дили лица, которые не вовлечены непосредственно в выполнение оцениваемого проекта или системы, процесса или процедуры;
  • • сбор необходимой документации.

    В ходе координированного заседания группа осуществляет:

  • • разделение системы, процесса или процедуры на более мелкие элементы или подсистемы, подпроцессы или подэлементы, чтобы сделать анализ более предметным;

                                                                                                                                        Таблица 18

Примеры возможных управляющих слов НАZOР

Термины

Определения

Не или нет

Требуемый результат не достигнут ни в какой мере или отсут­ствует требуемое состояние

Более (выше)

Количественное увеличение в результатах или в состоянии функционирования

Менее (ниже)

Количественное уменьшение

А также

Количественное увеличение (например, дополнительный материал)

Часть (чего-либо)

Количественное уменьшение (например, только один или два компонента из состава)

Противополож­ный, или обрат­ный

Противоположно направленный (например, обратный поток)

Отличный от

Цель не достигнута, происходит что-либо принципиально от­личное от требуемого (например, поток или другой материал)

Совместимость

Материал; среда

Управляющие слова применяются к таким параметрам, как:

 

Физические свойства материала или процесса

 

Физические параметры, такие как температура, скорость

 

Указанное назначение компонента системы или конструк­ции (например, передача информации)

 

Аспекты функционирования

  • • установление цели проектирования для каждой подсистемы, под­процесса или подэлемента и затем для каждого объекта в этой под­системе или элементе применяют последовательно управляющие слова, чтобы рассмотреть возможные отклонения, которые будут иметь нежелательные результаты;
  • • установление причины и последствий в каждом случае, для кото­рого выявлен нежелательный результат, и разработка предложений о том, какие меры можно предпринять, чтобы предотвратить их возникновение или уменьшить последствия, если таковые име­ются;
  • • документирование обсуждения и утверждение конкретных дей­ствий по обработке идентифицированных рисков.

    Выходные данные

    Выходными данными являются протоколы заседания(й) HAZOP с за­писями о каждом пункте анализа. Они должны включать: используемое управляющее слово, отклонение(я), возможные причины, действия в от­ношении выявленных проблем и лицо, ответственное за выполнение.

    При наличии отклонений, которые невозможно скорректировать, должен быть оценен риск каждого такого отклонения.

    Преимущества и недостатки

    Метод HAZOP имеет следующие преимущества:

  • • обеспечивает средства для систематического и полного исследо­вания системы, процесса или процедуры;
  • • проводится при участии группы специалистов различных обла­стей, которые имеют практический опыт работы, и тех, которые, возможно, будут осуществлять действия по обработке рисков;
  • • позволяет выработать решения и действия по обработке рисков;
  • • применим к разнообразным системам, процессам и процедурам;
  • • позволяет в явном виде учитывать причины и последствия ошибок персонала;
  • • обеспечивает фиксирование процесса в письменной форме, что можно использовать для подтверждения надлежащей тщатель­ности исследования.

    Метод имеет следующие недостатки:

  • • подробный анализ может потребовать больших затрат времени и, следовательно, быть дорогостоящим;
  • • подробный анализ требует высокого уровня документированности или технического описания системы или процесса и процедуры;
  • • направлен скорее на нахождение конкретных решений, а не на исследование основных допущений (данные проявления можно уменьшить при поэтапном подходе);
  • • обсуждение может сводиться к конкретным аспектам конструк­ции, не учитывая более общие или внешние аспекты;
  • • ограничен (предварительным) проектом, а также целью проектиро­вания, областью применения и целями, установленными группой;
  • • исследование основывается в большей степени на компетентности разработчиков, для которых объективное выявление недостатков собственных проектов может представлять определенные затруд­нения.

12.7.2.3. Оценка экологического риска (оценка токсичности)

    Общие сведения

    Понятие оценки экологического риска применяется в данном слу­чае для обозначения процесса, сопровождаемого оценкой рисков для растительного, животного мира и населения в результате воздействия ряда экологических опасностей. Менеджмент риска относится к этапам принятия решений, включая оценивание риска и его обработку.

    Метод включает анализ опасности или источника вреда и того, как он влияет на целевые группы, и способы, которыми опасность может достичь восприимчивых целевых групп. Затем данную информацию объединяют для получения количественной оценки вероятной степени и характера вреда.

    Применение

    Данный метод применяется для оценки рисков для растительного, животного мира и населения в результате воздействия опасностей, на­пример химикатов, микроорганизмов или других биологических видов.

    Такие аспекты методологии, как анализ способов воздействия, при котором исследуются различные способы, которыми целевая группа может подвергаться воздействию источника риска, может быть адапти­рован и применяться в широком диапазоне различных областей риска помимо здоровья людей и окружающей среды; их применение целесо­образно при определении мер обработки риска, направленных на его снижение.

    Входные данные

    Данный метод требует достоверной информации о характере и свой­ствах опасностей, восприимчивости целевых групп и способах, кото­рыми они взаимодействуют. Данная информация обычно основывается на лабораторном или эпидемиологическом исследовании.

    Процесс

    Применяется следующая процедура:

  1. Формулировка проблемы, включающая определение области оценки посредством установления диапазона целевых групп и типов опасностей, которые будут рассматриваться.
  2. Идентификация опасности, включающая выявление всех воз­можных источников вреда для целевых групп от опасностей в рамках области изучения. Идентификация опасности обычно основывается на компетентности экспертов и анализе литературных источников.
  3. Анализ опасности, включающий выяснение характера опасности и того, как она взаимодействует с целевой группой. Например, при рас­смотрении воздействия на людей химических веществ опасность может включать острое и хроническое отравление, возможность нарушения ДНК или возможность возникновения рака или врожденных дефек­тов. Для каждого опасного воздействия величина воздействия (отклик) сравнивается с величиной опасности, которой подвергается целевая группа (доза), и по возможности определяют механизм, посредством которого это воздействие осуществляется. Указывают уровень воздей­ствия, при котором отсутствует обнаружимый эффект (NOEL), и уровень воздействия, при котором отсутствует обнаружимый неблагоприятный эффект (NOАEL). Иногда они применяются в качестве критериев при­емлемости риска.

    В отношении химического воздействия для получения графиков за­висимости «доза - эффект», аналогичных показанному на рис. 30, ис­пользуют результаты испытаний. Данные графики, как правило, полу­чают из испытаний, проводимых на животных, или из исследования экс­периментальных систем, например, культивируемых тканей или клеток.

Рис. 30. График зависимости «доза – эффект»

    Воздействия других опасностей, например, микроорганизмов или внесенных видов, можно определять из данных натурных наблюдений и эпидемиологических исследований. Определяют характер взаимо­действия заболеваний или паразитов с целевой группой и оценивают вероятность конкретного уровня вреда в результате конкретного воз­действия опасности.

  1. Анализ воздействия – на данном этапе изучают, как опасное вещество или его остаточное содержание может достигать восприим­чивой целевой группы и в каком объеме. Анализ воздействия обычно включает анализ способа воздействия, в ходе которого рассматривают различные направления распространения опасности, а также препят­ствия, которые могут предотвратить достижение опасностями целевых группы, и факторы, которые могут влиять на уровень воздействия. На­пример, при рассмотрении риска в результате распыления химикатов анализ воздействия должен рассматривать то, какое количество хими­ката было распылено, каким образом и при каких условиях, имело ли место непосредственное воздействие на людей или животных, каково остаточное содержание на растительности и экологическую трансфор­мацию пестицидов, попадающих в грунт, могут ли они накапливаться в организмах животных или попадать в подземные воды. В отноше­нии биологической безопасности анализ пути распространения может рассматривать то, как какие-либо вредители, проникающие в страну, могут попадать в окружающую среду, закрепляться и распространяться в ней.
  2. Определение характеристик риска – на данном этапе информа­цию, полученную из анализов опасности и воздействия, объединяют с тем, чтобы оценить вероятности конкретных последствий после объ­единения воздействий, оказываемых всеми выявленными способами. Если существует большое количество опасностей или способов их воздействия, возможно проведение предварительного анализа, а под­робный анализ опасности и воздействия и определение характеристик риска проводить для сценариев более высокого риска.

    Выходные данные

    Выходными данными обычно является указание уровня риска в ре­зультате воздействия конкретной опасности на конкретную целевую группу в рассматриваемом контексте. Риск можно выражать количе­ственным, полуколичественным или качественным образом. Напри­мер, риск возникновения рака обычно выражается количественно как вероятность, что у человека рак разовьется в течение определенного периода с учетом конкретного воздействия загрязнителя. Полуколи­чественный анализ может применяться для определения показателя риска для конкретного загрязняющего вещества или вредителя, а к ка­чественным выходным данным можно отнести уровень риска (напри­мер, высокий, средний, низкий) или описание вероятных воздействий с указанием практических данных.

    Преимущества и недостатки

    Преимущества данного метода заключаются в обеспечении подроб­ного изучения характера проблемы и факторов, повышающих риск.

    Применение анализа способов воздействия целесообразно во всех областях риска и позволяет определить, как и где можно улучшить су­ществующие меры управления или ввести новые.

    Однако для его проведения требуются достоверные данные, которые чаще всего отсутствуют или имеют высокий уровень неопределенности. Например, графики зависимости «доза - эффект», полученные при ис­следовании животных, подвергшихся воздействию высокого уровня опасности, требуют экстраполяции для получения количественной оценки воздействий очень низких уровней неблагоприятных факторов на людей; существует множество моделей, с помощью которых можно проводить экстраполяцию. Если целевой объект скорее окружающая среда, чем население, и опасность не имеет химического характера, то данные, которые непосредственно относятся к конкретным условиям изучения, могут быть ограничены.

12.7.2.4. Анализ типов и последствий отказов (FMEA) и анализ типов, последствий и критичности отказов (FMECA)

    Авторы исследовали и установили возможность применения метода FMEA как общего метода для анализа рисков в фармации.

    Метод анализа отказов

    Общие сведения

    Анализ типов и последствий отказов (FMEA) – это методика, при­меняемая для определения того, как происходят функциональные от­казы компонентов, систем или процессов. При FMEA устанавливают:

  • • все возможные типы отказа различных частей системы (тип отказа определяется тем, что именно выходит из строя или неправильно функционирует);
  • • воздействия, которые эти отказы могут оказывать на систему;
  • • механизмы возникновения отказа;
  • • способы предотвращения отказов и (или) уменьшения их воздей­ствия на систему.

    FMECA в отличие от FMEA включает также ранжирование выявлен­ных типов отказа в соответствии с их значимостью или критичностью.

    Анализ критичности обычно является качественным или полуколи­чественным, но может быть выражен количественно при использова­нии фактических данных интенсивности отказов.

    Применение

    Существует несколько способов применения FMEA: FMEA проек­та (или продукции), который применяется в отношении компонентов и продукции; FMEA системы, который применяется в отношении систем; FMEA процесса, применяемый в отношении производственных и сбо­рочных процессов; FMEA услуга и FMEA программного обеспечения.

    FMEA и FMECA может применяться в процессе проектирования, производства или функционирования материальной системы.

    Для повышения надежности, однако, изменения легче вносить на этапе проектирования. FMEA и FMECA могут также применяться к про­цессам и процедурам. Например, их применяют для выявления возмож­ности медицинской ошибки в системах здравоохранения и нарушений в процедурах технического обслуживания.

    FMEA и FMECA можно применять для:

  • • содействия выбору проекта с высокой надежностью из име­ющихся вариантов;
  • • обеспечения рассмотрения всех видов отказа систем и процессов и их воздействия на успешное функционирование;
  • • определения видов и результатов ошибок персонала;
  • • обеспечения основы для планирования тестирования и техниче­ского обслуживания материальных систем;
  • • совершенствования структуры процедур и процессов;
  • • получения качественной и количественной информации для ме­тодик анализа, таких как анализ «дерева» неисправностей.

    Применение FMEA и FMECA позволяет получить входные данные для других методик анализа, например, анализа «дерева» неисправно­стей как на качественном, так и на количественном уровнях.

    Входные данные

    Для проведения FMEA и FMECA требуется достаточно подробная информация об элементах системы для обоснованного анализа спосо­бов, которыми каждый элемент может выйти из строя. Для подробного FMEA проекта элемент может находиться на уровне детализации, со­ответствующем отдельному компоненту, тогда как для более высокого уровня FMEA системы, элементы можно определять на более высоком уровне обобщения.

    Информация может включать следующее:

  • • чертежи или потоковую схему анализируемой системы и ее ком­понентов или этапов процесса;
  • • понимание функционирования каждого этапа процесса или эле­мента системы;
  • • подробные сведения о параметрах среды и других параметрах, ко­торые могут влиять на функционирование;
  • • понимание результатов конкретных отказов;
  • • накопленную информацию об отказах, включая данные об интен­сивности отказов, если они имеются.

     Процесс

     Проведение FMEA включает следующие основные этапы:

  • • определение области применения и целей исследования;
  • • формирование исследовательской группы;
  • • изучение системы (процесса), подвергаемой FMECA;
  • • разделение системы на компоненты или этапы;
  • • определение функции каждого этапа или компонента;
  • • установление для каждого перечисленного компонента или этапа следующего:
  • - как каждая часть предположительно может выйти из строя?
  • - какие механизмы могут вызвать эти состояния отказа?
  • - каковы были бы воздействия, если бы возникли отказы?
  • - является ли отказ безопасным или разрушительным?
  • - как обнаруживается отказ?
  • • выявление структурных особенностей, позволяющих компенси­ровать отказ.

    При FMECA группа экспертов должна также классифицировать каж­дый из выявленных типов отказа в соответствии с их критичностью.

    Анализ критичности может проводиться различными способами. В общем случае метод может основываться на определении:

  • • показателя критичности состояния;
  • • уровня риска;
  • • числа приоритетности риска.

    Критичность типа отказа – это мера вероятности того, что отказ рассматриваемого типа приведет к отказу системы в целом. Опреде­ляется как:

  • • вероятность воздействия отказа;
  • • интенсивность отказов данного типа;
  • • время функционирования системы.

    Данное определение наиболее часто применяется к отказам обору­дования, где каждое из этих условий можно определить количественно и все типы отказов имеют одинаковые последствия.

    Уровень риска определяется как сочетание последствий возникно­вения отказа данного типа и вероятности отказа. Он применяется при разных последствиях отказов различных типов и может применяться к системам оборудования или процессам. Уровень риска может быть выражен качественным, полуколичественным или количественным образом.

    Число приоритетности риска (RPN) – это полуколичественная мера критичности, получаемая умножением оценок приоритетности по ран­говой шкале (обычно от 1 до 10) последствий отказа, вероятности отказа и возможности выявления проблемы (если отказ трудно выявить, то ему придают более высокий приоритет). Данный метод применяется наиболее часто в практике обеспечения качества.

    После определения типов отказов и механизмов их возникновения можно определять корректирующие действия и применять их для более значительных типов отказов.

    Проведение FMEA документируется в форме отчета, который со­держит:

  • • подробную информацию об анализируемой системе;
  • • способ, с применением которого выполнялся анализ;
  • • допущения, сделанные в ходе анализа;
  • • источники данных;
  • • результаты, включающие заполненные рабочие листы;
  • • критичность (если определялась) и методологию, применявшуюся для ее определения;
  • • рекомендации для последующих исследований, изменения про­екта или свойства, которые необходимо включить в планы испы­таний и т. д.

    Систему можно повторно оценить еще одним циклом FMEA после выполнения всех предусмотренных действий.

    Выходные данные

    Первичные выходные данные FMEA – перечень типов отказов, ме­ханизмов их возникновения и воздействий для каждого компонента или этапа системы или процесса (который может включать информацию о вероятности отказа). Также предоставляется информация о причинах отказа и последствиях для системы в целом. Выходные данные FMECA включают уровень значительности, основанный на вероятности выхода системы из строя, уровне риска, связанного с отказом данного типа, или сочетании уровня риска и «выявляемости» состояния отказа.

    При использовании данных об интенсивности отказов и количе­ственных оценок последствий FMECA позволяет получить количествен­ные выходные данные.

    Преимущества и недостатки

    FMEA (FMECA) имеет следующие преимущества:

  • • широкая применимость для типов отказов, связанных с персона­лом, оборудованием и системой, а также в отношении техниче­ских и программных средств и процедур;
  • • определение типов отказов компонентов, их причин и других воз­действий на систему, и их представление в удобной для воспри­ятия форме;
  • • предотвращение дорогостоящих изменений используемого обо­рудования посредством раннего установления проблем на этапе проектирования;
  • • выявление типов отказов в отдельной точке и требований к из­быточности или системам безопасности;
  • • предоставление входных данных для разработки программ мони­торинга с указанием основных объектов наблюдения.

    Методы имеют следующие недостатки:

  • • применяются для выявления отдельных типов отказов, но не их сочетаний;
  • • исследования могут потребовать значительных затрат времени и средств, если они не управляются и не направляются должным образом;
  • • применение в отношении сложных многослойных систем может быть трудоемким и длительным.

12.7.2.5. Анализ «дерева» неисправностей (FTA)

     Общие сведения

    Анализ «дерева» неисправностей (FTA) – это методика выявления и анализа факторов, которые могут способствовать возникновению конкретного нежелательного события (называемого «конечное собы­тие»). Причинные факторы определяют дедуктивным образом, организуют логически и представляют наглядно с помощью древовидной схемы, которая изображает причинные факторы и их логическую вза­имосвязь с конечным событием (рис. 31).

    Факторы, указанные в древовидной схеме, могут быть событиями, связанными с отказом элемента технических средств, ошибками опе­ратора или любыми другими событиями, которые приводят к нежела­тельному событию.

    «Дерево» неисправностей (см. рис 31) может применяться на каче­ственном уровне для выявления возможных причин и способов воз­никновения отказа (конечного события) или на количественном уров­не для расчета вероятности конечного события на основании данных о вероятностях причинных событий.

    Оно может применяться на этапе проектирования системы для вы­явления потенциальных причин отказа и на основании этого –  для выбора лучшего варианта проекта. «Дерево» неисправностей можно применять на этапе функционирования для установления того, как могут возни­кать наиболее значительные отказы, и соответствующей значимости различных способов возникновения конечного события. «Дерево» не­исправностей также может применяться для анализа возникшего от­каза, чтобы схематически отобразить, как совместное возникновение различных событий вызвало отказ.

    Входные данные

    Для проведения анализа в качественной форме требуется понимание системы и причин отказа, а также понимание с технической точки зре­ния того, как система может выйти из строя. При проведении анализа целесообразно составление подробных схем.

    Для проведения анализа в количественной форме требуются данные об интенсивности отказов или вероятности нахождения в неисправном со­стоянии для всех основных событий, указанных в «дереве» неисправностей.

 
   

Рис. 31. «Дерево» неисправностей

Процесс

    Разработка «дерева» неисправностей включает следующие основные этапы:

  • • определение конечного события, которое необходимо анализиро­вать. Им может быть отказ или более общий результат отказа. При анализе результатов древовидная схема может содержать раздел, относящийся к уменьшению результатов фактического отказа;
  • • определение возможных непосредственных причин или типов отказа, приводящих к конечному событию, начиная с данного конечного события;
  • • анализ каждой из этих причин (или типов отказов) для определе­ния того, как она может быть вызвана;
  • • поэтапное выявление нежелательного функционирования си­стемы проводится до последовательно более низких уровней системы до тех пор, пока дальнейший анализ не станет нецелесоо­бразным. В технических системах это может быть уровень отказа отдельного компонента. События и причинные факторы на са­мом низком уровне анализируемой системы называют базовыми событиями;
  • · расчет вероятности конечного события при условии, что суще­ствует возможность установить вероятности базовых событий. Чтобы количественное определение было достоверным для каж­дого логического элемента – все входные данные должны быть необходимыми и достаточными для наступления результирую­щего события. В ином случае «дерево» неисправностей непри­менимо для анализа вероятности, но его применение может быть целесообразно для отображения причинных взаимосвязей.

    При проведении количественной оценки «дерево» неисправностей может быть упрощено при помощи алгебры логики для учета дублиру­ющих состояний отказа.

    Аналогично получению количественной оценки вероятности конеч­ного события возможно определение кратчайших путей возникновения конечного события и расчет их воздействия на конечное событие.

    Кроме случаев простых древовидных схем, для надлежащей обра­ботки вычислений, когда повторяющиеся события присутствуют в не­скольких частях схемы, и для расчета кратчайших путей возникновения необходим пакет программного обеспечения. Программные средства способствуют обеспечению согласованности, правильности и прове­ряемости расчетов.

    Выходные данные

    Выходными данными анализа «дерева» неисправностей являются:

  • • наглядное представление путей возникновения конечного собы­тия с отображением взаимосвязанных путей возникновения, где должно произойти два или более одновременных события;
  • • перечень кратчайших путей возникновения (отдельных путей воз­никновения отказа) с вероятностью (при наличии данных) осу­ществления каждого из них;
  • • вероятность конечного события.

    Преимущества и недостатки

    Анализ «дерева» неисправностей (FТА) имеет следующие преиму­щества:

  • • предоставление строгого, высокосистематизированного и гибкого подхода, позволяющего анализировать разнообразные факторы, включая взаимодействия персонала и физические явления;
  • • применение подхода «сверху вниз», предполагаемого методикой, позволяет рассматривать те воздействия отказа, которые непо­средственно связаны с конечным событием;
  • • применение особенно целесообразно для анализа систем со мно­гими сопряжениями и взаимодействиями;
  • • графическое представление позволяет упростить понимание по­ведения системы и рассматриваемых факторов, но, поскольку дре­вовидные схемы зачастую весьма объемны, их обработка может потребовать применения компьютерных систем, что обеспечит возможность рассмотрения более сложных логических взаимосвя­зей (например, логических операций «И-НЕ» и «НЕ-И»), но также затруднит проверку «дерева» неисправностей;
  • • логический анализ «дерева» неисправностей и выявление отдель­ных путей возникновения целесообразны для определения про­стых путей возникновения отказов в очень сложной системе, где затруднено выявление конкретных сочетаний событий, приводя­щих к конечному событию.

    Метод имеет следующие недостатки:

  • • неопределенности вероятностей базовых событий включаются в расчет вероятности конечного события, что может привести к высоким уровням неопределенности, если вероятности базово­го события отказа точно не известны; однако в хорошо изученной системе возможна высокая степень доверия;
  • • в некоторых случаях причинные события не связаны друг с дру­гом, поэтому может быть затруднительно установить, все ли су­щественные пути возникновения конечного события учтены. На­пример, включение всех источников возгорания в анализ пожара как конечного события. В данном случае анализ вероятности не­возможен;
  • • «дерево» неисправностей – это статическая модель; взаимосвязи в аспекте времени не рассматриваются;
  • • «дерево» неисправностей можно применять только в отношении двоичных состояний (неисправность/исправность);
  • • типы ошибок, связанные с персоналом, могут быть включены в «дерево» неисправностей на качественном уровне, но несоответ­ствия степени или качества, которые часто характеризуют ошибку персонала, обычно затруднительно включить в схему;
  • • в «дерево» неисправностей затруднительно включить «эффекты домино» или условные отказы.

    Однако использование формальной системы менеджмента рисков в каждом случае необязательно. Часто использование соответствующих инструментов и стандартных процедур приемлемо. Но поскольку «Ана­лиз опасностей и критические контрольные точки» (Hazard analysis and critical control points) является инструментом, его чаще всего используют для менеджмента рисков.