Asumsi apriori tentang kesesuaian dan efektivitas penggunaan simulator dalam sistem manajemen risiko adalah asumsi bahwa sebagian besar risiko disebabkan oleh "faktor manusia" atau bergantung pada "faktor manusia". Asumsi ini didasarkan pada hal-hal berikut:
1. Menurut data yang tersedia (Rostekhnadzor, CSB, NTSB), persentase faktor manusia dalam insiden adalah 35 hingga 70%
2. Jika kesalahan manusia tidak diperhitungkan, perhitungan dapat menghasilkan nilai yang hampir tidak berarti terkait dengan keselamatan, seperti indeks keandalan yang sama dengan 10 ^ -39 tahun ^ -1. Misalnya, setiap anggota staf pemeliharaan, yang menggunakan petunjuk pengaturan yang salah, secara teoritis dapat menonaktifkan sistem keamanan perusahaan. Tabel tersebut berisi informasi dasar tentang perkiraan tingkat kesalahan operator, dapat dilihat bahwa operator 99,99% sempurna saat melakukan pekerjaan rutin, tetapi sama sekali tidak berguna dalam keadaan ekstrim.
3. Pentingnya memperhitungkan "faktor manusia" telah diilustrasikan oleh berbagai kecelakaan di mana kesalahan manusia yang kritis berkontribusi pada rangkaian peristiwa bencana.
4. Meskipun kesalahan manusia sangat umum dan sangat sulit untuk diprediksi, data yang ada tentang tingkat kesalahan operator dan pemeliharaan (WASH 1400, Lampiran III) juga menunjukkan potensi signifikan untuk faktor ini.
5. American Petroleum Institute (API), berdasarkan survei terhadap 200 manajer di 11 perusahaan dari 7 perusahaan petrokimia, memperkirakan keuntungan rata-rata dari pelatihan satu operator tentang CT lebih dari 100 ribu dolar. di tahun.
6. Buku lain memberikan data berikut:
| Belajar | Hasil |
| Garrison (1989) | Kesalahan manusia diperkirakan mencapai $ 563 juta untuk insiden besar di industri kimia sebelum 1984. |
| Joshchek (1981) | 80-90% dari semua insiden di industri kimia terkait dengan kesalahan manusia. |
| Rasmussen (1989) | 190 . . :
: 32% : 30% (): 23% : 15% |
| Butikofer (1986) | :
: 41% : 41% : 11% : 5% : 2% |
| Uehara and Hoosegow (1986) | , — 58% |
| Oil Insurance Association Report on Boiler Safety (1971) ( ) | 73% 67% . |
7. memperkirakan bagian faktor individu atau manusia dalam kecelakaan penerbangan sebesar 66%. Armstrong (1939) mengutip angka-angka dari Departemen Statistik Komersial, yang berdasarkan proporsi kesalahan layanan dalam penerbangan transportasi ditentukan sebesar 41,47%, dalam penerbangan olahraga - 52,18% dan pada maskapai penumpang - 39,65%. Ruff dan Struckhold (1944) menentukan persentase kecelakaan akibat cacat mental paling sedikit 50-60%. Angka-angka ini memungkinkan untuk menyimpulkan bahwa faktor manusia sebagai penyebab kecelakaan penerbangan sangat penting.
8. “Orang yang skeptis diundang untuk mempelajari statistik kecelakaan. Ini membuktikan bahwa bukan kekurangan teknis, tetapi faktor manusia yang menjadi penyebab mayoritas mutlak dari kecelakaan udara, dan di antara mereka, pada gilirannya, faktor psikologis berada di tempat pertama. "
9. Distribusi kecelakaan karena alasan yang diberikan dalam buku berdasarkan data yang tersedia untuk tahun 1998-2000:
| Kelompok alasan | Persentase kecelakaan,% |
| Tingkat organisasi kerja yang rendah | 60 |
| Kerusakan perangkat keras | 25 |
| Lainnya (pelanggaran teknologi, kualifikasi personel yang rendah, kurangnya peralatan keselamatan) | limabelas |
Perhatikan juga secara terpisah:
- penerimaan orang untuk bekerja tanpa pelatihan profesional yang sesuai;
- kurangnya pelatihan personel.
10. Penyebab utama kecelakaan pada jaringan pipa gas, dijelaskan dalam buku, berdasarkan data yang tersedia untuk 1996-2001:
| Penyebab | % dari total |
| Korosi eksternal
|
28.9
|
| termasuk KRN
|
22.5 |
| Kerusakan mekanis
|
19
|
| Perkawinan pekerjaan konstruksi dan instalasi
|
21.9
|
| termasuk Pengelasan yang rusak
|
tigabelas |
| Cacat pipa
|
11.4 |
| Bencana alam
|
9.5
|
11. Distribusi kecelakaan karena alasan yang diberikan dalam buku [a6] berdasarkan data yang tersedia untuk tahun 1990-2002:
| Penyebab | % dari total |
| Pelanggaran petunjuk produksi untuk penyalaan instalasi yang mengkonsumsi gas | 39 |
| Pelanggaran Aturan Perlindungan Sistem Distribusi Gas
|
27 |
| Kerusakan akibat korosi pada pipa gas bawah tanah | lima |
| Kerusakan mekanis pada pipa gas overhead | 3 |
| Pelanggaran petunjuk penggunaan peralatan gas
|
8 |
| Pelanggaran Aturan Keselamatan di Industri Gas | 3 |
| Manifestasi cacat pabrik pada pipa dan alat kelengkapan gas | lima |
| Pecahnya sambungan las dari pipa gas polietilen | 1 |
| Lainnya | sembilan |
Penilaian Kesalahan Operator (Dokumen WASH 1400)
Pertimbangan lebih lanjut memerlukan penjelasan singkat tentang proses manajemen risiko.
- Tingkat kesalahan berdasarkan aktivitas
- 10^-4 — , , ( , , )
- 10^-3 — ( ), ; ,
- 3*10^-3 — (, )
- 10^-2 — () , , (, , )
- 3*10^-3 — , , ,
- 3*10^-2 — ,
- 1/ — , ( ) ( ). — ( ), . 1/ , . , , . , ,
- 10^-1 — , ( ) (), , , ,
- -1 — , , , () () () () ()
- -1 — - ,
- 10 ^ -1 - Operator monitor atau inspektur tambahan tidak dapat mendeteksi kesalahan awal operator. Catatan: Tingkat kesalahan yang tinggi ini tidak berlaku jika ada tanda kesalahan yang terus menerus pada panel alarm.
- 10 ^ -1 - Personil pada shift lain tidak akan memeriksa peralatan kecuali instruksi tertulis atau daftar periksa khusus diberikan
- 5 * 10 ^ -1 - Monitor tidak mendeteksi posisi katup yang salah, dll. saat melakukan inspeksi umum, kecuali digunakan daftar periksa khusus
- 0,2-0,3 - Tingkat kesalahan umum untuk pekerjaan operator yang berat di mana tindakan berbahaya terjadi dengan sangat cepat
Gambaran proses manajemen risiko
Metodologi yang diusulkan untuk menggunakan simulator dalam proses manajemen risiko didasarkan pada dokumen peraturan berikut:
- GOST R 51901.13-2005 (IEC 61025: 1990) ANALISIS FAULT TREE. IEC 61025: 1990 Fault Tree Analysis (FTA) (MOD);
- GOST R 51901.1-2002 Analisis risiko sistem teknologi. diselaraskan dengan standar internasional IEC 60300-3-9: 1995 "Manajemen Ketergantungan - Bagian 3: Panduan aplikasi - bagian 9: Analisis risiko sistem teknologi" - "Manajemen Ketergantungan. Bagian. 3. Panduan aplikasi. Bagian 9. Analisis Risiko Sistem Teknologi ";
- GOST R 51901.11-2005 (IEC 61882: 2001) PENELITIAN BAHAYA DAN OPERASI. Manual terapan. IEC 61882: 2001 Studi bahaya dan pengoperasian (studi HAZOP) - Panduan aplikasi (MOD).
Menurut dokumen di atas, istilah risiko didefinisikan sebagai “kombinasi kemungkinan terjadinya peristiwa berbahaya dan konsekuensinya. Resikonya ada dalam setiap aktivitas manusia. Ini dapat berhubungan dengan kesehatan dan keselamatan (dengan mempertimbangkan, misalnya, efek kesehatan langsung dan jangka panjang dari paparan bahan kimia beracun). Risikonya bisa bersifat ekonomi, misalnya mengakibatkan kerusakan peralatan dan produk akibat kebakaran, ledakan, atau kecelakaan lainnya. Ini dapat memperhitungkan dampak lingkungan yang merugikan. "
"Manajemen risiko - tindakan terkoordinasi untuk mengarahkan dan mengendalikan organisasi dalam kaitannya dengan risiko"
"Tujuan dari manajemen risiko adalah untuk mengendalikan, mencegah atau mengurangi kematian orang, mengurangi morbiditas, mengurangi kerusakan, kerusakan properti dan kerugian yang diakibatkannya, serta mencegah dampak lingkungan yang merugikan."
"Proses manajemen risiko mencakup berbagai aspek manajemen risiko, mulai dari identifikasi dan analisis risiko, hingga penilaian akseptabilitasnya dan mengidentifikasi peluang mitigasi risiko potensial melalui pemilihan, penerapan dan pengendalian tindakan manajemen yang tepat." (Gambar)
Gambar X.1. Hubungan antara analisis risiko dan kegiatan manajemen risiko lainnya (GOST R 51901.1 - 2002)
“Proses manajemen risiko dilakukan dengan membandingkan hasil analisis risiko dengan kriteria risiko yang dapat diterima. Secara umum, penetapan kriteria untuk risiko yang dapat diterima adalah tugas yang agak sulit, terutama di bidang sosial, ekonomi, dan politik, dan berada di luar cakupan standar ini. "
“Analisis risiko adalah proses terstruktur, yang bertujuan untuk menentukan kemungkinan dan besarnya konsekuensi merugikan dari tindakan, objek, atau sistem yang sedang diselidiki. Standar ini menganggap kerugian bagi orang, properti, atau lingkungan sebagai efek buruk. "
Analisis dapat mencakup bidang keahlian seperti analisis sistem; probabilitas dan statistik; ilmu fisika, kimia, kedokteran (toksikologi dan epidemiologi), ilmu sosial (ekonomi, psikologi, dan sosiologi) atau ilmu biologi; pengaruh faktor manusia, ilmu manajemen, dll.
Bahaya dapat diklasifikasikan ke dalam empat kategori utama berikut: bahaya alam; bahaya teknis; bahaya sosial; bahaya yang berhubungan dengan gaya hidup (kategori ini tidak saling eksklusif, misalnya, saat menganalisis bahaya teknis, seringkali perlu memperhitungkan pengaruh faktor dari kategori lain). Sifat konsekuensi dapat berupa: individu (dampak pada individu); profesional (berdampak pada pekerja); sosial (dampak umum pada komunitas orang); menyebabkan kerusakan properti dan kerugian ekonomi (pelanggaran bisnis, denda, dll.); lingkungan (dampak terhadap tanah, udara, air, flora, fauna dan warisan budaya).
Langkah awal dalam sistem manajemen risiko adalah proses analisis risiko (GOST R 51901.1-2002), yang mencakup seluruh rentang bahaya, bukan hanya faktor manusia.
Sebagai contoh, pompa sentrifugal yang memompa air dari sumber alam. Mengingat sistem dibatasi pada elemen-elemen berikut - Gambar X.
Untuk menentukan besarnya risiko, bahaya yang menyebabkan risiko, serta cara-cara di mana bahaya tersebut dapat direalisasikan, harus diidentifikasi. Bahaya yang diketahui (mungkin dari kecelakaan sebelumnya) harus diidentifikasi dengan jelas dan akurat. Metode formal harus digunakan untuk mengidentifikasi bahaya yang sebelumnya tidak dipertimbangkan dalam analisis:
- Penelitian Bahaya dan Masalah Terkait (HAZOP)
- . , , , - .
- ( « » (F)
- ( « ») ()
- ()
- (HRA)
HAZOP (GOST R 51901.11-2005 (IEC 61882: 2001)) adalah bentuk mode kegagalan dan analisis efek (FMEA). Ini adalah prosedur untuk mengidentifikasi potensi bahaya di seluruh fasilitas secara keseluruhan. Tujuannya adalah untuk menentukan sistem dan menguraikan potensi bahaya.
1. Identifikasi sumber bahaya (ledakan, kebocoran, kebakaran, dll.)
2. Identifikasi bagian dari sistem yang dapat menyebabkan kondisi berbahaya ini
3. Batasan analisis. Misalnya, Anda perlu memutuskan apakah itu akan mencakup studi risiko akibat sabotase, sabotase, perang, kesalahan manusia, petir, gempa bumi, dll.
Daftar periksa yang serupa dengan yang digunakan Boeing adalah alat utama dalam mengidentifikasi bahaya: Bahan bakar konvensional; Bahan bakar motor; Bahan peledak; Baterai isi ulang; Wadah tekanan; Mekanisme pegas; Perangkat pemanas; Pompa, blower, kipas angin; Mekanisme rotasi, dll.
Proses dan kondisi berbahaya: Akselerasi; polusi; korosi; Listrik (kegagalan catu daya, inklusi yang tidak disengaja, dll.); Ledakan; Kebakaran; Pemanasan dan pendinginan (rendah, tinggi, diferensial); Kebocoran; Kelembaban; Oksidasi; Tekanan (rendah, tinggi, diferensial); Radiasi; Kejutan mekanis, dll.
Faktanya, setiap peralatan utama dan semua peralatan tambahan dianalisis. Untuk setiap lini dan bagian peralatan dalam hubungannya dengan variabel proses seperti suhu, tekanan, laju aliran, level dan komposisi kimia, kata-kata indikator digunakan (dengan mempertimbangkan kegagalan semua mekanisme pelindung) (menurut Tabel A.1).
Tabel A.1 - Kata-kata indikator HAZOP II
Tabel A.2 - Contoh lembar kerja kata-kata indikator “tidak, tidak” HAZOP II
Gambar X. Diagram proses penelitian HAZOP (dari GOST R 51901.11-2005)
Analisis yang lebih rinci tentang penyimpangan yang teridentifikasi dan penyimpangannya penyebab biasanya dilakukan sesuai dengan teknik "Pohon kesalahan" (FTA), "Pohon peristiwa") (ETA) dan "Efek Faktor Manusia" (HRA).
FTA (IEC 61025) adalah seperangkat teknik kualitatif atau kuantitatif, dengan bantuan yang kondisi dan faktor yang dapat berkontribusi pada peristiwa tertentu yang tidak diinginkan (disebut puncak peristiwa) diidentifikasi dengan metode deduksi, berbaris dalam rantai logis dan disajikan dalam bentuk grafik.
Gambar. Analisis diagram semua kemungkinan konsekuensi dari kegagalan atau kegagalan sistem (analisis "pohon kesalahan" (FTA)
Gambar. Analisis diagram dari semua kemungkinan konsekuensi dari kegagalan atau kegagalan sistem (analisis "pohon kesalahan" (FTA)
ETA adalah jenis analisis induktif di mana pertanyaan utama yang akan ditanyakan adalah "apa yang terjadi jika ...?" Ini menyediakan hubungan antara operasi (atau kegagalan) berbagai sistem mitigasi dan peristiwa berbahaya setelah peristiwa pemicu tunggal. ETA sangat berguna dalam mengidentifikasi peristiwa yang membutuhkan analisis lebih lanjut menggunakan FTA (yaitu puncak peristiwa Pohon Sesar).
HRA. Penilaian tersebut berkaitan dengan pengaruh faktor manusia yaitu operator dan personel pemeliharaan terhadap pengoperasian sistem dan dapat digunakan untuk menilai dampak kesalahan manusia terhadap keselamatan dan produktivitas. Padahal, proses aktivitas kepegawaian diselidiki mulai dari identifikasi suatu kejadian, diagnosa, pengambilan keputusan, dan diakhiri dengan tindakan yang dilakukan (Gambar X390).
Tugas beresiko
Untuk setiap peristiwa akhir di "pohon peristiwa", karakteristik kecelakaan dari peristiwa akhir ini dimodelkan. Proses fisik pembentukan situasi darurat (aliran keluar, penguapan, pembentukan awan eksplosif, dll.) Dan proses darurat (ledakan, kebakaran, penyebaran kotoran berbahaya di atmosfer, dll.) Disimulasikan. Batas-batas wilayah yang mungkin terkena dampak ditentukan. Solusi dianggap yang memungkinkan untuk mengurangi massa atau intensitas ejeksi, untuk mengurangi kemungkinan zona kerusakan.
Berdasarkan hasil pemodelan proses fisik pada setiap kejadian darurat, ditentukan dampak faktor perusak terhadap manusia, properti dan lingkungan, konsekuensi dari efek tersebut dan kemungkinan konsekuensi tersebut ditentukan. Tingkat kerusakan bangunan dan struktur ditentukan, dengan mempertimbangkan ketahanannya terhadap beban gelombang kejut, penyalaan material di bawah pengaruh beban termal api, kerusakan pada orang di bawah pengaruh faktor perusak dari semua kemungkinan jenis kecelakaan. Jumlah korban dan kerugian yang diharapkan dari dampak negatif kecelakaan terhadap manusia, harta benda dan lingkungan ditentukan. Risiko total konsekuensi negatif dari semua kemungkinan sumber kecelakaan (elemen TS) ditentukan. Risiko teritorial ditentukan untuk personel objek yang diselidiki dan untuk populasi,serta risiko individu dan sosial untuk daerah terpilih. Solusi teknis dan ukuran organisasi dianggap mengurangi kemungkinan konsekuensi negatif.
Analisis frekuensi: Tujuan analisis frekuensi adalah untuk menentukan secara lebih rinci frekuensi dari setiap kejadian yang tidak diinginkan atau skenario kecelakaan yang teridentifikasi selama tahap identifikasi bahaya. Tiga pendekatan utama biasanya digunakan:
- penggunaan data operasi yang relevan
- memprediksi tingkat kejadian menggunakan teknik seperti pembuatan diagram (bukan menggambar) semua kemungkinan konsekuensi dari kegagalan atau kegagalan sistem ("pohon kesalahan") dan menganalisis diagram kemungkinan konsekuensi dari peristiwa tertentu ("pohon kejadian"). Dalam hal data statistik tidak tersedia atau tidak memenuhi persyaratan, maka frekuensi kejadiannya diperoleh dengan menganalisis sistem dan kondisi daruratnya.
- penggunaan pendapat ahli.
- - data keandalan dari sumber literatur - dari paspor, spesifikasi teknis produk, GOST, buku referensi, artikel, laporan;
- - data keandalan operasional yang dikumpulkan dari fasilitas di mana penilaian risiko atau pengumpulan data yang ditargetkan telah dilakukan untuk menentukan keandalan.
Analisis dampak. Analisis konsekuensi memberikan penentuan rinci tentang hasil dampak pada orang, properti, atau lingkungan jika terjadi peristiwa yang tidak diinginkan. Untuk menghitung risiko keselamatan (orang yang bekerja atau tidak bekerja), analisis konsekuensi adalah perkiraan kasar jumlah orang yang bisa terbunuh, terluka atau terluka parah jika terjadi peristiwa yang tidak diinginkan.
Peristiwa yang tidak diinginkan biasanya terdiri dari situasi seperti pelepasan bahan beracun, kebakaran, ledakan, emisi partikel dari peralatan yang merusak, dll. Model konsekuensi diperlukan untuk memprediksi ukuran kecelakaan, bencana, dan fenomena lainnya. Pengetahuan tentang mekanisme pelepasan energi atau material dan proses selanjutnya yang terjadi dengannya memungkinkan untuk memprediksi proses fisik terkait sebelumnya.
Ada banyak metode untuk mengevaluasi fenomena semacam ini, mulai dari pendekatan analitik yang disederhanakan hingga model komputer yang sangat kompleks. Saat menggunakan teknik pemodelan, perlu dipastikan bahwa teknik tersebut sesuai untuk masalah yang akan ditangani.
Misalnya:
- Perhitungan tekanan berlebih ledakan untuk gas yang mudah terbakar, uap dari cairan yang mudah terbakar dan yang mudah terbakar. NPB 105-03
- NPB 105-03 "Penentuan kategori bangunan, bangunan dan instalasi luar ruang untuk bahaya ledakan dan kebakaran"
Perhitungan resiko. Dalam praktiknya, identifikasi bahaya dari sistem, peralatan, atau aktivitas tertentu dapat menghasilkan skenario potensi kecelakaan yang sangat besar.
Analisis kuantitatif rinci tentang frekuensi dan konsekuensi tidak selalu dapat dilakukan. Dalam situasi seperti itu, mungkin disarankan untuk membuat peringkat skenario secara kualitatif, menempatkannya dalam matriks risiko yang menunjukkan berbagai tingkat risiko. Kuantifikasi kemudian berkonsentrasi pada skenario yang memberikan tingkat risiko yang lebih tinggi.
Tabel X memberikan contoh matriks risiko. Penerapan matriks risiko dapat menghasilkan skenario yang dianggap sebagai sumber risiko yang rendah atau tidak signifikan, yang dapat dikurangi dengan pemeriksaan lebih dekat, karena secara kolektif tidak dapat menjadi sumber tingkat risiko yang signifikan.
Matriks menggunakan klasifikasi risiko berikut:
- B - nilai risiko tinggi;
- - nilai risiko rata-rata;
- M - sejumlah kecil risiko;
- H adalah jumlah resiko yang tidak signifikan.
Untuk contoh ini, tingkat keparahan konsekuensi didefinisikan sebagai berikut:
- Catastrophic - hilangnya fasilitas atau sistem industri hampir seluruhnya. Banyak kematian;
- Mayor - Kerusakan besar pada fasilitas atau sistem industri. Beberapa kematian;
- Serius - cedera parah, penyakit akibat kerja serius, kerusakan serius pada fasilitas atau sistem industri;
- Kecil - cedera ringan, penyakit akibat kerja ringan, atau kerusakan kecil pada sistem.
Terlepas dari kenyataan bahwa GOST hanya memberikan contoh matriks risiko, teknik lain dapat ditemukan dalam sumber yang dipelajari, seperti diagram "sebab-akibat" atau kurva Petani .
Tabel X23 menunjukkan diagram sebab-akibat berdasarkan probabilitas insiden yang diperoleh dan konsekuensinya. Misalnya, peristiwa "kerusakan pompa" sesuai dengan perkiraan jumlah kegagalan - 0,088 selama 6 bulan operasi (periode perbaikan pompa). Probabilitas bahwa penghentian akan menghasilkan "water hammer" adalah 0,02. Konsekuensi dari water hammer adalah kerugian yang ditunjukkan oleh parameter dari C0 hingga C4; harganya 1000 rubel jika peralatan rusak (dengan probabilitas P0 (1-P1)), dan 5 * 10-7 rubel jika seluruh bagian hidrolik dihancurkan (probabilitasnya sama dengan P0P1P2P3P4). Kerugian waktu henti diperkirakan mencapai 1000 rubel per jam. Jadi, total kerugian adalah
C0 = 1000 rubel + (2) (1000 rubel) = 3000 rubel;
C1 = 15.000 rubel + 24.000 rubel = 39.000 rubel, dll.
Mengetahui nilai parameter berikut, kami akan menentukan kemungkinan konsekuensi untuk setiap peristiwa, kemudian kami akan menyajikan hasil secara grafis tergantung pada kemungkinan kemunculannya, menunjukkan pada grafik garis risiko konstan, diperkirakan 300 rubel.
Gambar tersebut menunjukkan kurva risiko Petani, termasuk garis lurus yang diplot sesuai dengan risiko 300 rubel. Jenis jadwal ini berguna dalam menentukan kriteria desain untuk kejadian darurat dengan konsekuensi yang diketahui dan tingkat risiko yang dapat diterima.
Gambar. Kurva risiko petani
Pada akhir analisis risiko, hasil analisis diperiksa (kemungkinan dengan keterlibatan kelompok ahli lain), hasil analisis disesuaikan dengan mempertimbangkan data terbaru dan justifikasi dokumenter (laporan dalam bentuk yang disetujui).
Nilai risiko yang dihasilkan dibandingkan dengan nilai risiko yang dapat diterima yang ditetapkan oleh hukum atau disepakati dengan Pelanggan dan pemangku kepentingan (misalnya, nilai risiko kebakaran individu yang ditetapkan oleh Undang-Undang Federal No. 123-FZ tidak boleh melebihi 1E-6 per tahun ketika seseorang ditempatkan di tempat yang paling jauh. keluar dari bangunan, struktur dan struktur ke titik.)
Jika risiko melebihi risiko yang dapat diterima, semua solusi yang dipilih pada tahap analisis sebelumnya dianalisis dan solusi dipilih yang memungkinkan pengurangan nilainya menjadi yang dapat diterima dengan biaya terendah. Proposal untuk pelanggan sedang dikembangkan untuk implementasi. Jika risikonya tidak melebihi risiko yang dapat diterima, maka disediakan justifikasi untuk keamanan fasilitas yang memadai.