4.2. КАЧЕСТВЕННЫЙ АНАЛИЗ ОПАСНОСТЕЙ
.4.2. КАЧЕСТВЕННЫЙ АНАЛИЗ ОПАСНОСТЕЙ
Общий подход к анализу опасностей. Анализ опасностей позволяет определить источники опасностей, потенциальные н-чепе, чепе-инициаторы, последовательности развития событий, вероятности чепе, величину риска, величину последствий, пути предотвращения чепе и смягчения последствий.
На практике анализ опасностей начинают с грубого исследования, позволяющего идентифицировать в основном источники опасностей. Затем при необходимости исследования могут быть углублены и может быть проведен детальный качественный анализ. Выбор того или иного качественного метода анализа зависит от преследуемой цели, предназначения объекта и его сложности. Установление логических связей необходимо для расчета вероятностей чепе. Методы расчета вероятностей и статистический анализ являются составными частями количественного анализа опасностей. Когда удается оценить ущерб, то можно провести численный анализ риска. При анализе опасностей всегда принимают во внимание используемые материалы, рабочие параметры системы, наличие и состояние контрольно-измерительных средств. Исследование заканчивают предложениями по минимизации или предотвращению опасностей. Главные этапы анализа опасностей показаны на рис. 4.6.
Качественные методы анализа опасностей включают: предварительный анализ опасностей, анализ последствий отказов, анализ опасностей с помощью дерева причин, анализ опасностей с помощью дерева последствий, анализ опасностей методом потенциальных отклонений, анализ ошибок персонала, причинно-следственный анализ.
Предварительный анализ опасностей (ПАО) обычно осуществляют в следующем порядке:
– изучают технические характеристики объекта, системы, процесса, а также используемые энергетические источники, рабочие среды, материалы; устанавливают их повреждающие свойства;
– устанавливают законы, стандарты, правила, действия которых распространяются на данный технический объект, систему, процесс;
– проверяют техническую документацию на ее соответствие законам, правилам, принципам и нормам стандартов безопасности;
– составляют перечень опасностей, в котором указывают идентифицированные источники опасностей (системы, подсистемы, компоненты), повреждающие факторы, потенциальные чепе, выявленные недостатки.
При проведении ПАО особое внимание уделяют наличию взрыво-пожароопасных и токсичных веществ, выявлению компонентов объекта, в которых возможно их присутствие, потенциальным чепе от неконтролируемых реакций и при превышении давления. После того как выявлены крупные системы технического объекта, которые являются источниками опасности, их можно рассмотреть отдельно и более детально исследовать с помощью других методов анализа, описанных ниже.
Анализ последствий отказов (АЛО) – преимущественно качественный метод идентификации опасностей, основанный на системном подходе и имеющий характер прогноза. Этим методом можно оценить опасный потенциал любого технического объекта. АЛО обычно осуществляют в следующем порядке:
– техническую систему (объект) подразделяют на компоненты;
Рис. 4.6. Процедура анализа опасностей
Рис. 4.7. Алгоритм исследования отказов
Рис. 4.8. Схема управления пуском машины (пример)
– для каждого компонента выявляют возможные отказы, используя, например, алгоритм, представленный на рис. 4.7;
– изучают потенциальные чепе, которые может вызвать тот или иной отказ на исследуемом техническом объекте;
– результаты записывают в виде таблицы;
– отказы ранжируют по опасностям и разрабатывают предупредительные меры, включая конструкционные изменения.
Анализ последствий отказов может выявить необходимость применения других, более емких методов идентификации опасностей. Кроме того, в результате анализа отказов могут быть собраны и документально оформлены данные о частоте отказов, необходимые для количественной оценки уровня опасностей рассматриваемого технического объекта.
Рассмотрим пример. На рис 4.8 представлена схема управления с двумя кнопками А1 и а2 которые при нажатии на них замыкают контакты В1 и B2, при этом включается катушка реле R и производится пуск машины (не показана)
Результаты выполненного АПО представлены в табл. 4.5. Отметим только, что опасность возникает, если происходит чепе –случайный пуск машины Обозначим: L – короткое замыкание между точками 1и 1'; Аi –замыкание i-го контакта вследствие нажатия кнопки; Вi – замыкание i-го контакта вследствие механического повреждения. Тогда для чепе М– случайный пуск машины при исправном реле – имеем следующую логическую формулу: M=L+(B1+A1)*(B2+A2).
Анализ опасностей с помощью дерева причин потенциального чепе (АОДП) обычно выполняют в следующем порядке. Сначала выбирают потенциальное чепе (например, н-чепе или какой-либо отказ, который может привести к н-чепе). Затем выявляют все факторы, которые могут привести к заданному чепе (системы, подсистемы, события, связи и т. д.). По результатам этого анализа строят ориентированный граф. Вершина (корень) этого графа занумерована потенциальным чепе. Поэтому граф является деревом. В нашем случае дерево состоит из всех тех причин-событий, которые делают возможным заданное чепе. При построении дерева можно использовать символы, представленные в табл. 4.6.
Таблица 4.5. Представление
результатов
АПО для схемы управления с двумя кнопками
Компонент |
Наименование отказа, инцидент |
Генерируемые последствия |
Потенциальное чепе |
Предупредительные меры |
Участок цепи - линия 11' |
Короткое замыкание междуточками 11' |
Включение катушки реле, случайный пуск машины |
Несчастный случай |
Инструктаж персонала |
Кнопка только А1 или только A2, |
Случайное нажатие (инцидент) |
Без немедленных последствий |
Без немедленных последствий, снижается уровень безопасности |
Определить частоту инцидента |
Контакты только B1 или только В2 |
Случайное замыкание вследствие механического повреждения |
То же |
То же |
Определить частоту отказа |
Участок цепи–линия 22' |
Обрыв провода |
Нельзя включить машину |
Без немедленных последствий |
Не требуется |
Таблица 4.6. Элементы и символы,
используемые для построения дерева причин потенциального чепе
Проведение АОДП возможно только после детального изучения рабочих функций всех компонентов рассматриваемой технической системы. На работу системы оказывает влияние человеческий фактор, например, возможность совершения оператором ошибки. Поэтому желательно все потенциальные инциденты – «отказы операторов» вводить в содержание дерева причин. Дерево отражает статический характер событий. Построением нескольких деревьев можно отразить их динамику, т. е. развитие событий во времени.
Рис. 4.9. Примерная схема–вариант
аварийного охлаждения зоны ядерной
энергетической установки
Рассмотрим пример. Допустим, что ядерная энергетическая установка (ЯЭУ) включает первый контур (рис. 4.9), состоящий из реактора 1, парогенератора 2, главного циркуляционного насоса (ГЦН) 3 и главных циркуляционных трубопроводов 4, заполненных теплоносителем –водой (в процессе работы реактора вода получает высокую наведенную радиоактивность). В парогенераторе вода охлаждается и, отдав теплоту теплоносителю второго контура, возвращается ГЦН в реактор для охлаждения твэлов. Перегрев оболочек твэлов и их разрушение можно рассматривать как катастрофу. Поэтому все ЯЭУ снабжены системами аварийного охлаждения активной зоны реактора –САОЗ, которые обеспечивают отвод теплоты из активной зоны в случае разгерметизации циркуляционного контура и потери теплоносителя САОЗ включает насосы низкого (ННД) 17и 18 высокого (НВД) 9 и 10давления, гидроаккумулятор (ГА) 23, в котором вода находится под давлением азота 24, и баки запаса воды и раствора борной кислоты 13 и 16. Условно примем следующий порядок работы САОЗ при большой разгерметизации циркуляционного контура сначала работает САОЗ высокого давления (ВД), состоящая из НВД и необходимой арматуры, затем работает САОЗ низкого давления (НД) – ГА и ННД В процессе эксплуатации ЯЭУ при возникновении «малых» течей допускается временная работа без аварийной остановки, при этом происходит автоматическая компенсация теплоносителя (работают компенсаторы, барботер) или принимаются другие срочные меры к локализации течи и устранению загрязнений помещения радиоактивностью.
Таблица 4.7. Перечень компонентов САОЗ ЯЭУ
Номер компонента и индекса |
Компонент |
Наименование отказа Х |
САОЗ ВД |
|
|
5 |
Задвижка |
Закрыта |
6 |
Обратный клапан |
Закрыт |
7 |
Задвижка |
Закрыта |
8 |
Задвижка |
Закрыта |
9 |
Насос высокого давления |
Не работает |
10 |
Насос высокого давления |
Не работает |
11 |
Задвижка |
Закрыта |
12 |
Задвижка |
Закрыта |
13 |
Емкость |
Нет воды |
14 |
Задвижка |
Закрыта |
САОЗ НД |
|
|
24 |
Азот гидроаккумулятора |
Нет давления |
23 |
Емкость гидроаккумулятора |
Нет воды |
22 |
Обратный клапан |
Закрыт |
21 |
Обратный клапан |
Закрыт |
20 |
Обратный клапан |
Закрыт |
19 |
Задвижка |
Закрыта |
18 |
Насос низкого давления с запорной арматурой |
Не работает |
17 |
Насос низкого давления с запорной арматурой |
Не работает |
16 |
Емкость |
Нет воды |
15 |
Задвижка |
Закрыта |
Задаем потенциально возможное чепе, ведущее к катастрофе –отказ САОЗ. Находим все компоненты системы, которые могут привести к отказу САОЗ. Перечень компонентов Xi, дан в табл. 4.7. Используя материал §4.1, устанавливаем логические связи и строим дерево причин (рис. 4.10). Общая формула чепе «отказ САОЗ» имеет вид:
В этом выражении Хi одновременно являются наименованиями отказов и их индикаторами, которые принимают значение: 1 –чепе произошло и 0–отсутствие чепе.
Дерево причин показывает, что критическими компонентами являются 5, 6, 13, 14, 15, 16, 19,20, 21, 22, 23, 24, так как отказ одного из них достаточен для того, чтобы вызвать катастрофу.
После завершения АОДП можно от качественных характеристик приступить к количественному анализу.
Во многих случаях представление о состоянии системы, альтернативных путях протекания и результатах какого-либо процесса можно создать с помощью более простого графа. Рассмотрим его построение на примере трех параллельно работающих компонентов А1, А2, и А3 (рис. 4.11). Исходным пунктом является кружок, который представляет в общем виде рассматриваемое состояние. Из этого узла ветви ведут к узлам, представляющим состояние первого компонента (в соответствии с заданными вероятностями), и таким же образом дальше от каждого из этих узлов к следующим, в которых указаны состояния второго и третьего компонентов, пока на выходе не получаются все возможные комбинации событий. В результате получается дерево событий, в котором каждый путь от исходной точки до конечного узла описывает одну из эволюции системы. В прямоугольниках справа от конечных узлов на рис. 4.11 еще раз указан результат события, соответствующий пути к этому конечному узлу. В рассматриваемом примере с тремя параллельно работающими компонентами в прямоугольниках указаны результирующие вероятности для состояния системы, которые при независимости выхода из строя отдельных компонентов получаются простым перемножением отдельных вероятностей (вероятность чепе в рассматриваемый отрезок времени принята одинаковой для каждого из трех компонентов: qi= 10-3; i== 1, 2, 3).
Анализ опасностей с помощью дерева последствий потенциального чепе (АОДПО) отличается от АОДП тем, что в случае АОДПО задается потенциальное чепе –инициатор, и исследуют всю группу событий – последствий, к которым оно может привести. Таким образом, между событиями имеется временная зависимость. АОДПО можно проводить на любом объекте. Как и АОДП он требует хорошее знание объекта. Поэтому перед тем, как проводить АОДПО, необходимо тщательно изучить объект, вспомогательное оборудование, параметры окружающей среды, организационные вопросы.
Рис. 4.10. Дерево причин потенциального чепе–отказа САОЗ ЯЭУ
Рис. 4.11. Дерево событий при аварии трех параллельно работающих компонентов
|
|
Рис. 4.12. Дерево последствий чепе «Снижение расхода теплоносителя в первом контуре» |
Воспользуемся предыдущим примером с ЯЭУ. Зададим потенциальное чепе «Снижение расхода теплоносителя в первом контуре». Дерево последствий (рассматривались только подсистемы) представлено на рис. 4.12. В число последствий входят: рабочая утечка, штатная работа САОЗ и чепе-авария. Далее можно переходить к количественному анализу (§ 4.3). Для построения дерева последствий можно использовать символы, представленные в табл. 4.8.
Анализ опасностей методом потенциальных отклонений (АОМПО): отклонение –режим функционирования какого-либо объекта, системы, процесса или какой-либо их части (компонента), отличающийся в той или иной мере от конструкторского предназначения (замысла).
Метод потенциальных отклонений (МПО) – процедура искусственного создания отклонений с помощью ключевых слов. Этим методом анализируют опасности герметичных процессов и систем. Наибольшее распространение он получил в химической промышленности. АОМПО обычно предшествует ПАО.
После того, как с помощью ПАО были установлены источники опасностей (системы, чепе), необходимо выявить те отклонения, которые могут привести к этим чепе. Для этого разбивают технологический процесс или герметичную систему на составные части и, создавая с помощью ключевых слов (табл. 4.9) отклонения, систематично изучают их потенциальные причины и те последствия, к которым они могут привести на практике. Для проведения анализа необходимо иметь: проектную документацию на стадии проектирования; алгоритм анализа, который позволяет исследовать один за другим все компоненты (например, рис. 4.13); набор ключевых слов (табл.4.9), с помощью которых выявляют ненормальный режим работы компонента.
Рассмотрим герметичный объект, в котором химические вещества А и В вступают в реакцию, чтобы образовать продукт С (рис 4.14). Допустим, что потенциальным чепе является взрыв, происходящий тогда, когда концентрация CА вещества А превысит концентрацию cb вещества В в емкости 1. Следуя пункту 3 (см. рис. 4.13), выбираем для рассмотрения трубопровод 2–1. Его предназначение –транспортировать вещество В из сосуда 2 в сосуд 1. Используя первое ключевое слово в первой строке табл. 4.9, создаем отклонение: трубопровод НЕ транспортирует вещество В из сосуда 2 в сосуд 1. Нет подачи вещества В в емкость 1. Используя чертеж-схему движения веществ, устанавливаем потенциальные причины этого события: в питающем резервуаре 2 не осталось вещества В, отказал насос 3 подачи вещества В [а) испортилась электрическая часть; б) испортилась механическая часть; в) кто-то выключил насос и т д.; произошла разгерметизация трубопровода; вещество В не проходит через вентиль 4.
Последствие отклонения: через некоторое время после прекращения подачи вещества В концентрация CД превысит CВ и произойдет взрыв.
Таким образом, на стадии проектирования на участке 2–1 вскрыты опасности. Предстоит разработка предупредительных мероприятий, например, аварийной сигнализации, оповещающей о прекращении подачи вещества В в емкость 1 и правил безопасной эксплуатации рассмотренного участка.
Был получен результат во время применения первого ключевого слова. Тем не менее к участку 2–1 должны быть последовательно применены все последующие ключевые слова Только после окончания такой процедуры выявления опасностей можно переходить к следующему участку.
Таблица 4.8. Символы, используемые при построении дерева последствий
|
|
|
|
|
|
Анализ ошибок персонала (АОП) включает следующие этапы: выбор системы и вида работы; определение цели; идентификацию вида потенциальной ошибки; идентификацию последствий; идентификацию возможности исправления ошибки; идентификацию причины ошибки; выбор метода предотвращения ошибки; оценку вероятности ошибки; оценку вероятности исправления ошибки; расчет риска; выбор путей снижения риска.
1–выбрать сосуд; 2-–объяснить общее предназначение сосуда и его трубопроводов; 3–выбрать трубопровод; 4–объяснить предназначение выбранного трубопровода; 5 – использовать ключевые слова из 1-й строки табл. 4.9 для создания отклонения; 6–теоретически развить имеющее смысл отклонение; 7–исследовать причины (события), которые могут на практике привести к созданному отклонению; 8 – исследовать последствия от созданного отклонения; 9 – выявить опасности; 10 – провести необходимую регистрацию проделанной работы; 11–повторить шаги 6...10 для всех имеющих смысл отклонений, образованных ключевыми словами i-й строки табл. 4.9; 12– повторить шаги 5...11 для ключевых слов всех других строк табл. 4.9; 13– поставить на трубопроводе отметку «Исследовано»; 14–повторить шаги 3...13 для каждого трубопровода; 15 – выбрать компонент, систему или какую-либо их часть; 16 – объяснить предназначение выбранного объекта; 17– повторить шаги 5.. .12 для выбранного объекта; 18–поставить на объекте отметку «Исследовано»; 19–повторить шаги 15...18 для всех других объектов. компонентов, систем; 20–объяснить предназначение сосуда; 21–повторить шаги 5...12; 22–поставить на сосуде отметку «Исследовано»; 23–повторить шаги 1...22 для всех сосудов на данном чертеже; 24–поставить на чертеже отметку «Исследовано»; 25– выполнить шаги 1...24 на других чертежах
В табл. 4.10 приведены возможные виды потенциальных ошибок, совершаемых операторами. Каждому виду ошибки присвоен гипотетаческий номер по классификатору. В результате ошибок персонала возможны аварии (пожары, взрывы, механические повреждения, выбросы токсичных химических веществ, проливы и т. д.), несчастные случаи (летальные исходы, травмы и т. д.), катастрофы (разные степейи повреждения организма и собственности), которые также могут быть классифицированы. Причины ошибок, вероятности ошибок, возможности исправления ошибок с гипотетической их классификацией даны в табл. 4.11–4.13. Следует иметь в виду, что в основу классификации причин ошибок положены внешние и внутренние факторы, так как факторы стресса могут носить и тот и другой характер. Вероятность ошибки оператора зависит от стажа работы и наличия стрессовых условий на рабочем месте. Опыт показывает, что оператор со стажем может совершать ошибки (рис. 4.15, а) и что вероятность ошибки оператора в зависимости от величины стресса также имеет оптимум (рис. 4.15, б).
|
|
Рис. 4.14. Схема взаимодействия химических веществ (пример) |
4.15 Характер изменения вероятности ошибки оператора в зависимости от: а – стажа работы (1 – начальный период; 2–оптимальная работа; 3– работа с большим стажем), б–величины стресса (1–малый стресс, 2– оптимальный стресс, 3–большой стресс) |
Таблица 4.10. Виды потенциальных ошибок и гипотетические номера по классификатору
Вид потенциальной ошибки |
Номер по классификатеру |
|
Пропуск действия |
Д1 |
|
Неправильное действие |
Д2 |
|
Действие в неправильном направлении |
ДЗ |
|
Много действий |
Д4 |
|
Мало действий |
Д5 |
|
Неправильные действия на правильную цель |
Д6 |
|
Правильные действия на неправильную цель |
Д7 |
|
Преждевременное действие |
Д8 |
|
Запоздалое действие |
Д9 |
|
Слишком длительное действие |
Д10 |
|
Слишком короткое действие |
Д11 |
|
Неправильный порядок действий |
Д12 |
|
Вредное дополнительное действие |
Д13 |
|
Таблица 4.11. Гипотетическая классификация причин ошибок
Действующие факторы |
Причины ошибок |
Номер по классификатору |
Внешние факторы |
Инструкции |
П1 |
Информация |
П2 |
|
Организация |
ПЗ |
|
Эргономика |
П4 |
|
Условия работы |
П5 |
|
Постановка цели |
П6 |
|
Внутренние факторы |
Опыт |
П7 |
Умение |
П8 |
|
Знания |
П9 |
|
Мотивация |
П10 |
|
Факторы стресса |
Психологическое напряжение |
П11 |
Физиологическое напряжение |
П12 |
Выбрав величину U, измеряющую последствия ошибки (например, число летальных исходов, денежный эквивалент и т. д.), и установив подходящую шкалу для измерений (например, (/= 1...10; 1....100 и т. д.), можно для сравнительной оценки рассчитать значения рисков
R=Poп(1-Pис)U,
где Роп и Рис – вероятность ошибки оператора и вероятность ее исправления.
Таблица 4.12. Гипотетический
классификатор
ориентировочных значений вероятности ошибки оператора
Номер по классификатору |
Рутинная работа |
Наличие инструкций |
Наличие стресса |
Новая ситуация |
Ориентировочное значение вероятности ошибки оператора Роп |
В1 |
Да |
Да |