Лекция № 12 (4Р) Методологические основы оценки и анализа риска Цель: Рассмотреть методику и основные методы анализа риска Время 4 часа. Учебные вопросы: 1. Основные этапы анализа риска. 2. Концепции и характеристики методов оценки рисков. 3. Методы экспертных оценок - «Что будет, если..?», проверочного листа, контрольных карт, метод Делфи . 4. Методы анализа отказов и опасности - АВПО, АВПКО и АОР. 5. Графоаналитические методы анализа – «Дерево отказов» и «Дерево событий» Литература: []. 1. Основные этапы анализа риска Одним из основных подходов в процессе регулирования и обеспечения безопасности в техносфере в последние годы стала методология оценки и анализа риска. Принятый Закон «О техническом регулировании» (№ 184-ФЗ от 27.12.2002 г.) закрепил обязательность применения процедуры оценки риска при оценке соответствия объектов требованиям безопасности и обя-занность применения и учета результатов его оценки. Анализ риска понимается как систематические научные исследования и практическая деятельность, направленные на выявление и количественное определение характеристик риска, его оценку и сопоставление с критериями в целях определения приемлемости анализируемого риска и выработки при-оритетов управления. Анализ риска (риск-анализ) является частью системного подхода к принятию решений, процедур и практических мер в решении задач управления процессом обеспечения безопасности. Основой анализа риска являются физическое и математическое моделирование самой технической системы и ее рабочих процессов, включающее взаимодействия основных компонентов системы, операторов, персонала с окружающей средой в штатных и нештат-ных ситуациях. При анализе рисков формируются и описываются сценарии возникновения и развития аварий и катастроф с применением основных оп-ределяющих уравнений и критериев механики, физики и других наук. Оценка риска является составной частью анализа риска. На базе анализа рисков осуществляется комплекс работ по обеспечению безопасности на всех этапах жизненного цикла технических систем: - сопоставление вариантов создания новых образцов; - разработка мер защиты от аварий и катастроф; - мониторинг опасности функционирования; - продление ресурса безопасной эксплуатации; - модернизация по мере возрастания требований безопасности; - безопасный вывод из эксплуатации, хранение и утилизация. Анализ рисков является основополагающим элементом основы страховой защиты, причем риск здесь является не случайным событием, а юридически обоснованным условием, составляющим норму договорно-страхового права. Концептуальная основа анализа техногенного риска может быть пред-ставлена в виде блок-схемы, изображенной на рис. 12.1. 1 Планирование и организация Идентификация опасностей Определение частоты возникновения Определение последствий Уменьшение риска Оценка риска нет Риск приемлем Критерий приемлемого риска да Приемлемый уровень риска Рис. 12.1 Блок-схема анализа техногенного риска Общая логическая последовательность шагов (действий) в методологии количественного анализа техногенного риска состоит из выполнения сле-дующих этапов: 1. Обоснование целей и задач анализа риска. Планирование и организация работ. Анализ технологических особенностей производственного объекта. 2. Идентификация источников риска и условий, при которых они могут оказать негативное воздействие. 3. Определение частоты (или вероятности) возникновения нежелательных событий. 4. Определение характеристик источников воздействия опасных факторов (общих количеств, интенсивности и продолжительности: выбросов, сбросов, выделения энергии) для всего спектра нежелательных событий. 5. Обоснование моделей и расчет пространственно-временного распространения исходных факторов опасности в окружающей среде. переноса и 6. Построение полей потенциального риска вокруг каждого из выделенных источников опасности. 7. Расчет прямых и косвенных последствий (ущербов) негативного воз-действия источников опасности на различные субъекты (реципиенты) или группы риска. 8. Оценивание риска. Расчет показателей риска. 2 9. Сравнение с критериями приемлемости и оценка значимости риска. Полученная информация о риске является основой для менеджмента риска – разработки и оптимизации организационно-технических мероприятий по снижению риска до заданной величины. Задачей менеджмента риска является разработка планов действия по снижению и контролю риска, нара-ботка альтернативных вариантов, а также оценка эффективности этих планов и выработка рекомендаций для принятия управленческих решений, вплоть до отказа от намечаемой деятельности. Реализацию этого блока вопросов в от-ношении риска часто называют управлением риском. Таким образом, укруп-ненная схема деятельности в отношении риска, наиболее часто используемая в области промышленной безопасности, представлена на рис. 12.2. Анализ риска Идентификация опасностей Оценка риска Снижение и контроль риска Менеджмент риска Рис. 12.2 Укрупненная схема деятельности в отношении риска Научно-техническая методология оценки и анализа техногенного риска, закрепленная нормативно-методическими документами и реализуемая в сфере промышленной безопасности, состоит из последовательных этапов (см. рис. 12.1), основные из которых нуждаются в пояснении. Предварительным этапом является этап планирования работ, на котором дается описание анализируемого опасного производственного объекта, его структурных составляющих, а также причин и проблем, которые вызвали необходимость проведения анализа риска. Далее подбирается группа испол-нителей, определяются цели и задачи проводимого анализа риска (они могут отличаться для различных этапов жизненного цикла объекта), а также вы-полняется обоснование используемых методов анализа и критериев приемлемого риска. Для обеспечения качества анализа риска следует использовать знания закономерностей возникновения и развития аварий на опасных производст-венных объектах. При этом в качестве исходной информации часто исполь-зуют результаты анализа риска для подобного объекта или аналогичных тех-нических устройств (систем), применяемых на объекте. Однако в этом случае следует показать, что объекты и процессы подобны, а имеющиеся отличия не будут вносить значительных изменений в результаты анализа. Основными задачами следующего, начального этапа – идентификации опасностей являются выявление и четкое описание всех источников опасно-стей (угроз) и путей (сценариев) их реализации. Это ответственный этап ана-лиза риска, поскольку не выявленные на этом этапе опасности не подверга-ются дальнейшему рассмотрению и исчезают из поля зрения. Последствия 3 реализации опасностей могут касаться только самого объекта (системы), а также иметь более широкую сферу распространения и многочисленные ре-ципиенты. Поэтому при идентификации опасностей следует определить, ка-кие элементы, технические устройства, технологические блоки или процессы в технологической системе требуют более серьезного анализа и какие пред-ставляют меньший интерес с точки зрения безопасности. Вариантами результатов идентификации опасностей и дальнейших действий могут быть: - решение прекратить дальнейший анализ тех или иных элементов, уст-ройств, систем ввиду незначительности опасностей или достаточности полу-ченных предварительных результатов; - решение о проведении более детального анализа опасностей и оценки рис-ка; - выработка предварительных рекомендаций по уменьшению опасностей. Этап оценки риска является основным компонентом анализа риска, от-носящимся к качественному и количественному определению риска, и вы-полняется посредством нахождения двух составляющих риска: - частот возникновения инициирующих и всех нежелательных событий; - величины последствий возникновения нежелательных событий. Для определения частоты нежелательных событий, в соответствии с РД 03-418-01 [34], рекомендуется использовать: - техническую документацию соответствующего оборудования; - статистические данные по аварийности и надежности данного оборудова-ния либо его аналогов; - логико-графические методы анализа типа «деревьев отказов», «деревьев со-бытий», а также имитационные модели возникновения аварий; - экспертные оценки специалистов. Оценка последствий включает анализ возможных воздействий на людей, материальные ценности и/или объекты природной среды. Для оценки последствий необходимо оценить физические эффекты нежелательных собы-тий (отказы, разрушения технических устройств, зданий, сооружений, по-жары, взрывы, выбросы токсичных веществ и т.д.). При анализе последствий аварии необходимо использовать модели аварийных процессов и критерии поражения и разрушения изучаемых объектов воздействия, учитывать ограничения применяемых моделей. Следует также учитывать и, по возможно-сти, выявлять связь масштабов последствий с частотой их возникновения. Сравнение значений расчетных показателей риска с критериями прием-лемых величин дает возможность получить оценку значимости риска неже-лательных событий. Особое внимание при этом должно быть уделено не только анализу величины риска и его приемлемости, но и анализу его состав-ляющих, имеющих наибольшие значения, – частоты возникновения нежела-тельных событий и масштаба последствий. Одним из наиболее наглядных примеров может являться оценка риска промышленных объектов (устано-вок), объединенных общей технологической цепочкой предприятия. В этом случае в составе задач анализа риска на предприятии может быть выявление «слабых мест», т.е. объектов повышенного риска в целях принятия первооче-редных мер. Заключительным этапом анализа риска, в соответствии с РД 03-418-01, является разработка мероприятий по уменьшению риска. Деятельность в этом направлении часто называют менеджментом риска, а также управле-нием риском. Обычно эта деятельность рассматривается как вытекающая из анализа риска. Меры по уменьшению риска могут носить технический и/или организационный характер. Вследствие возможной ограниченности ресурсов в первую очередь должны разрабатываться простейшие рекомендации, свя-занные с наименьшими затратами. В большинстве случаев первоочередными мерами обеспечения безо-пасности, как правило, являются меры предупреждения аварии. Выбор пла-нируемых для внедрения мер безопасности имеет следующие приоритеты: 4 а) меры по уменьшению вероятности возникновения аварийной ситуации, включающие: - меры по уменьшению вероятности возникновения инцидента; - меры по уменьшению вероятности перерастания инцидента в аварийную ситуацию; б) меры по уменьшению тяжести последствий возможной аварии, которые, в свою очередь, имеют следующие приоритеты: - меры, предусматриваемые при проектировании потенциально опасного объекта (например, расположение вне зон повышенной опасности – природ-ной и техногенной, выбор несущих конструкций, запорной арматуры); - меры, относящиеся к системам противоаварийной защиты и контроля (на-пример, устройство ограждающих стен резервуаров для хранения горючих и легковоспламеняющихся жидкостей, а также дополнительных преград, обес-печивающих сдерживание потока при аварийном разливе, приоритетная за-щита особо ценных природных объектов, либо, к примеру, применение газо-анализаторов); - меры, касающиеся готовности эксплуатирующей организации к локализа-ции и ликвидации последствий аварии (например, создание аварийно-спаса-тельных формирований, оснащение их специальной техникой). В целях обоснования и оценки эффективности предлагаемых мер по уменьшению риска рекомендуется придерживаться двух альтернативных це-лей их оптимизации: - при заданных средствах обеспечить максимальное снижение риска эксплуа-тации объекта (цель – минимизация риска при фиксированном финансирова-нии); - при минимальных затратах обеспечить снижение риска до приемлемого уровня (цель – достижение приемлемого риска). 2. Концепции и характеристики методов оценки рисков В настоящее время используются следующие концепции анализа риска [8, 9, 53], которые различаются по сферам его проявления (рис. 12.3). Анализ риска Концепции Методы Задачи Технократическая Феноменологический Идентификация Экономическая Детерминистический Оценивание Психологическая Вероятностный Прогноз Социологическая Экспертный Качественный Количественный Рис. 12.3 Методический аппарат анализа риска 5 Технократическая (техническая) концепция, основанная на анализе отно-сительных частот возникновения опасных событий (инициирующих чрезвычайные ситуации) как способе задания их вероятностей. При ее использовании имеющиеся статистические данные усредняются по масштабу, группам населения и времени. В случае оценки риска аварии на объекте техносферы рассматривают частоту возникновения исходных событий (аварийных ситуаций), сценарии их развития в аварию с соответствующими вероятностями реализации, а также последствия данной конкретной аварии. Экономическая концепция, в рамках которой анализ риска рассматривается как часть более общего затратно-прибыльного исследования. В последнем случае риски есть ожидаемые потери полезности, возникающие вследствие неко-торых событий или действий. Конечная цель состоит в распределении ресурсов таким образом, чтобы максимизировать их полезность для общества. Психологическая концепция концентрируется вокруг исследований ме-жиндивидуальных предпочтений относительно вероятностей с целью объяс-нить, почему индивидуумы не вырабатывают свое мнение о риске на основе средних значений; почему люди реагируют согласно их восприятию риска, а не объективному уровню рисков или научной оценке риска. Социологическая (культурологическая) концепция основана на социальной интерпретации нежелательных последствий с учетом групповых ценностей и интересов. Социологический анализ риска связывает суждения в обществе относительно риска с личными или общественными интересами и ценностями. Культурологический подход предполагает, что существующие культурные прототипы определяют образ мыслей отдельных личностей и общественных организаций, заставляя их принимать одни ценности и отвергать другие. В рамках технократической концепции для определения основных ком-понент риска необходимо рассматривать распределение опасных событий во времени и по ущербу. Основными элементами, входящими в систему оценки риска, являются источник опасности, опасное событие, вредные и поражаю-щие факторы, объект воздействия и ущерб. Под опасным событием понима-ется такое событие (авария, катастрофа, экстремальное природное явление), ко-торое приводит к формированию вредных и поражающих факторов для насе-ления, объектов техносферы и окружающей среды. Последствия этих факторов определяются величиной наносимого ущерба. При этом после идентификации опасностей (выявления принципиально возможных рисков) необходимо оценить их уровень и последствия, к которым они могут привести, т.е. вероятность соответствующих событий и связанный с ними потенциальный ущерб. Для этого используют методы оценки риска, которые в общем случае делятся на феноменологические, детерминистические, вероятностные и экспертные. Феноменологический метод базируется на определении возможности или невозможности протекания аварийных процессов, исходя из результатов анализа необходимых и достаточных условий, связанных с реализацией тех или иных законов природы. Этот метод наиболее прост в применении, но дает надежные результаты, если только рабочие состояния или процессы таковы, что можно с достаточным запасом достоверности определить текущее состояние компонентов рассматриваемой системы (он ненадежен вблизи границ резкого изменения состояния веществ и систем). Феноменологический метод хорош при определении сравнительного уровня безопасности различных типов промышленных установок, технологий, но малопригоден для анализа разветвленных аварийных процессов, развитие которых зависит от надежности тех или иных частей установки и/или ее средств защиты. Детерминистический метод предусматривает анализ последовательности этапов развития аварий, начиная от исходного события, через последова-тельность предполагаемых стадий отказов, деформаций и разрушения компо-нентов до установившегося конечного 6 состояния системы. Ход аварийного процесса изучается и предсказывается с помощью математического моделиро-вания, построения имитационных моделей и проведения сложных расчетов. Детерминистский подход обеспечивает наглядность и психологическую приемлемость, так как дает возможность выявить основные факторы, определяющие ход процесса. В ядерной энергетике этот подход долгое время являлся основным при определении степени безопасности ядерных энергоблоков в нормативных документах, связанных с регулированием использования ядерной энергии. Но и этот метод также обладает недостатками: существует потенциальная возможность упустить из вида какие-либо важные цепочки событий при развитии аварии, построение достаточно адекватных математических моделей является трудной задачей, для тестирования расчетных программ часто требуется проведение сложных и дорогостоящих экспериментальных исследований. Детерминистический метод реализуется на базе фундаментальных зако-номерностей, которые в последние годы объединяют в рамках новых научных дисциплин – физики, химии и механики катастроф. В вероятностном методе анализ риска содержит как оценку вероятно-сти (частоты) возникновения аварии, так и расчет относительных вероятностей того или другого пути развития процессов. При этом анализируются разветв-ленные цепочки событий и отказов оборудования, выбирается подходящий математический аппарат и оценивается полная вероятность аварий. Расчетные математические модели в этом подходе, как правило, можно значительно упростить в сравнении с детерминированными схемами расчета. Основные ограничения вероятностного анализа безопасности (ВАБ) связаны с недостаточностью сведений по функциям распределения параметров, а также недостаточной статистикой по отказам оборудования. Кроме того, применение упрощенных расчетных схем снижает доверительность получаемых оценок риска для тяжелых аварий. Тем не менее, в настоящее время вероятностный метод считается одним из наиболее перспективных для применения в будущем. Экспертные методы (методы экспертных оценок) основаны на исполь-зовании знаний и опыта экспертов – высококвалифицированных специалистов в рассматриваемой области деятельности. Суть этих методов, часто используемых на практике, достаточно подробно рассмотрена в следующем подразделе. При оценке и анализе риска используются методы, основанные на каче-ственном и количественном подходах к оценке опасностей. Исходя из этого, применяемые методы классифицируют по характеру исходной и результи-рующей информации на качественные и количественные. Качественные ме-тоды оценки и анализа риска используют меньший объем информации и за-трат труда, их рекомендуется использовать на стадии идентификации опасно-стей, поэтому эти методы, как правило, предшествуют количественным. Каче-ственные методы допускают получение неточных, приблизительных оценок (больше, меньше), а также использование лингвистических переменных в виде слов и словосочетаний естественного языка (низкий, средний, высокий, очень высокий). Подобные оценки часто встречаются при ранжировании составляющих риска, например, по частоте возникновения событий (никогда, редко, часто) или по размеру последствий (малосущественный, значительный и т.д.). Количественный анализ возможен на основе методов объективного из-мерения и прогнозирования последствий опасности. Количественные оценки более эффективны, точны, но требуют большого объема информации об ава-рийности, учета особенностей окружающей местности, метеоусловий и других факторов, а также значительных затрат времени и более квалифицированных специалистов для исполнения. В качестве определенного сравнения рассмотренных подходов можно привести слова У. Томсона (лорда Кельвина): «Если вы можете измерить то, о чем вы говорите, и выразить это в цифрах, значит, вы кое-что об этом знаете…». 7 3. Методы экспертных оценок. Экспертные (от лат. expertus – опытный) методы оценки и анализа риска целесообразно использовать в тех случаях, когда отсутствуют не только статистические данные по аварийности объекта, но и математические модели (задача является сложноформализуемой). Экспертные оценки могут использоваться и в тех случаях, когда формальные методы слишком сложны, а исходная база данных недостаточна для получения приемлемого аналитического решения. Методы могут быть индивидуальными и коллективными, когда работает группа экспертов. При использовании экспертных оценок обычно предполагается, что мнение группы экспертов надежнее, чем мнение отдельного эксперта. Однако в некоторых теоретических исследованиях отмечается, что это предположение не является очевидным. При выработке рекомендаций эксперт (эксперты) полагаются обычно на свой опыт и профессиональную интуицию в большей степени, чем на сущест-вующие аналитические методы. При этом могут быть предложены не только решения, основанные на прошлом опыте, но и новые подходы для решения данной поставленной задачи. Чтобы свести к минимуму ошибки или просто неверные решения, применяются методы оценки квалификации экспертов, сравнение рекомендаций различных экспертов и другие способы, разрабатываемые теорией принятия решений. Сущность экспертных методов оценки показателей риска заключается в том, что экспертам предлагают ответить на вопросы о состоянии или будущем поведении объектов, характеризующихся неопределенными параметрами, не-изученными свойствами или условиями нахождения объектов. Применение экспертных оценок требует анализа их объективности и надежности. С одной стороны, нет гарантий, что полученные оценки достоверны, а с другой – су-ществуют значительные трудности при проведении опроса экспертов и обра-ботке полученных данных. Эти трудности связаны: - с согласованностью мнений экспертов; - устойчивостью оценок; - недостаточной квалификацией экспертов или их заинтересованностью. Основными целями использования индивидуальных экспертных оценок являются: - прогнозирование развития событий и явлений, а также оценка их значимости в текущем периоде; - анализ и обобщение результатов, представленных другими экспертами; - составление сценариев развития ситуации; - заключение о работе других специалистов или организаций (рецензии, отзывы, экспертизы и т.д.). Вид опроса по существу определяет разновидность метода экспертной оценки. Основными видами опроса являются: анкетирование, интервьюирование, мозговой штурм (мозговая атака), дискуссия, метод Делфи. Выбор того или иного вида опроса определяется целями экспертизы, сущностью решаемой проблемы, полнотой и достоверностью исходной информации, располагаемым временем и затратами на проведение опросов. Анкетирование представляет собой опрос экспертов в письменной форме с помощью анкет. В анкете содержатся вопросы, которые позволяют выяснить существо и аргументацию ответов. По типу основные вопросы классифици-руются на: открытые, закрытые и с веером ответов. Открытые вопросы пред-полагают ответ в произвольной форме. Закрытые вопросы – это такие, на которые ответ может быть дан в виде «да», «нет», «не знаю». Вопросы с веером ответов предполагают выбор экспертами одного из совокупности предполагаемых ответов. Открытые вопросы целесообразно применять в случае большой неопределенности проблемы. Этот тип вопросов позволяет широко 8 охватить рассматриваемую проблему, выявить спектр мнений экспертов. Недостатком такого типа вопросов является возможное разнообразие и произвольная форма ответов, что существенно затрудняет обработку анкет. Закрытые вопросы применяются в случае рассмотрения четко определенных двух альтернативных вариантов, когда требуется определить степень большинства мнений по этим альтернативам. Обработка закрытых вопросов не вызывает каких-либо трудностей. Вопросы с веером ответов целесообразно использовать при наличии не-скольких достаточно определенных альтернативных вариантов. Если анкети-рование проводится в несколько туров, то целесообразно при большой сложности и неопределенности проблемы вначале использовать открытые типы вопросов, а на последующих турах – с веером ответов и закрытые типы. Интервьюирование – это устный опрос, проводимый в форме беседы-интервью. Интервьюирование целесообразно использовать для уточнения ре-зультатов, полученных другими видами экспертизы. Готовясь к беседе, опра-шивающий разрабатывает вопросы к эксперту. Главным требованием к вопросам является возможность быстрого ответа на них, поскольку эксперт практически не имеет времени на обдумывание. Тематика интервью сообщается эксперту заранее, но конкретные вопросы ставятся непосредственно в процессе беседы. Целесообразно в связи с этим определить последовательность вопросов, начиная от простого, постепенно их углубляя и усложняя, но вместе с тем и конкретизируя. Достоинством этого метода является непосредственный контакт с экспертом, что позволяет путем прямых и уточняющих вопросов быстро получить необходимую информацию. Недостатками интервью являются: возможность существенного влияния опрашивающего лица на ответы экспертов, отсутствие времени для глубокого обдумывания ответов и большие затраты времени на опрос всего состава экспертов. Мозговой штурм (мозговая атака) представляет собой групповое об-суждение с целью получения новых идей, вариантов решений проблемы. Сущность метода мозгового штурма состоит в актуализации потенциала спе-циалистов при анализе проблемной ситуации, реализующей вначале генера-цию идей и последующее деструктурирование (разрушение, критику) этих идей с формулированием контридей. Характерной особенностью этого вида экспертизы является активный творческий поиск принципиально новых решений в трудных тупиковых ситуациях, когда известные пути и способы решения оказываются непригодными. Для поддержания активности и творческой фантазии экспертов запрещается критика их высказываний. Свободные высказывания способствуют коллективной генерации идей. С помощью этого метода можно решать многие важные задачи безопасности, например: задачи определения вариантов выбора систем защиты, один из которых явля-ется оптимальным; задачи, решение которых требует параллельного или последовательного использования ряда разнообразных методов защиты; задачи, решение которых требует выявления факторов, учитываемых при определении окончательного решения. Дискуссия. Всесторонний критический анализ поставленной задачи может быть проведен в форме дискуссии. Этот вид экспертизы широко применя-ется на практике для обсуждения проблем, путей их решения, анализа различных факторов и т.п. Группа управления проводит предварительный анализ проблем дискуссии с целью четкой формулировки задач, определения требований к экспертам, их подбора и методики проведения дискуссии. Сама дискуссия проводится как открытое коллективное обсуждение рассматриваемой проблемы, основной задачей которого является всесторонний анализ всех факторов, положительных и отрицательных последствий, выявление позиций и интересов участников. 9 Рассмотренные виды опроса дополняют друг друга и в определенной мере являются взаимозаменяемыми. 3.1. Методы «Что будет, если..?» («What – If») , проверочного листа (Check-list) и контрольных карт (Control Cards) Методы проверочного листа, контрольных карт и «Что будет, если..?» или их комбинация относятся к группе методов качественных оценок опасности, основанных на изучении соответствия условий эксплуатации объекта или проекта требованиям промышленной безопасности. Метод «Что будет, если..?» является индуктивным методом, обычно используется для относительно простых практических приложений, применя-ется на начальных этапах анализа риска, когда рассматриваются вопросы про-ектирования, размещения, эксплуатации опасных объектов и их вывода из экс-плуатации. На каждом этапе анализа формулируются вопросы «что, если?», и на них даются ответы, чтобы оценить влияние отказов компонентов систем или методических ошибок персонала на возникновение факторов опасности. Для сложных проблем метод «Что будет, если..?» может быть наилучшим образом применен с помощью «проверочного листа» и соответствующего распределения работ, чтобы определенные аспекты процесса поручить персоналу, имеющему наибольший опыт в оценке этих аспектов. При этом действия оператора и персонала, их компетентность в работе и профессионализм контролируются и аттестуются. Оцениваются также пригодность оборудования, конструкций машин, их систем управления и средств безопасности. Результатом выполнения оценки риска по методу «проверочного листа» является перечень вопросов и ответов о соответствии опасного объекта требованиям технической безопасности и указания по их обеспечению. Метод проверочного листа отличается от «Что будет, если..?» более обширным представлением исходной информации, а также результатов оценки последствий нарушений безопасности. В общем случае, оценка процесса с помощью «проверочного листа» осуществляется до тех пор, пока процесс не будет признан безопасным. Эти методы наиболее просты (особенно при обеспечении их вспомога-тельными формами, унифицированными бланками, облегчающими на прак-тике проведение анализа и представление результатов), относительно нетру-доемки (результаты могут быть получены одним специалистом в течение од-ного дня) и наиболее эффективны при исследовании безопасности хорошо изученных объектов и технологий. Каждый технологический процесс характеризуется некоторым набором переменных величин, отклонения которых от своих рекомендованных значе-ний могут приводить к непредвиденным изменениям параметров и как след-ствие – к инцидентам и авариям. Для оценки устойчивости процесса исполь-зуют различные методы, в том числе – метод контрольных карт. Контроль-ные карты процесса позволяют визуально контролировать соответствующие переменные параметры процесса и определять появление систематических отклонений. Несмотря на свою простоту, контрольные карты являются дос-таточно надежным и эффективным методом, позволяющим выявлять откло-нения от нормального хода процесса. Карты дают представление об отклоне-ниях от нормы и могут служить основой для более подробных (в т.ч. числен-ных) методов анализа, позволяют выработать корректирующие воздействия не только со стороны системы контроля и управления безопасностью, но и внести коррективы в технологический процесс или модернизировать сис-тему. Метод контрольных карт, в целом, использует промежуточные признаки состояния системы и способствует предотвращению опасных событий. На рис. 12.4 приводится схема использования промежуточных признаков для предотвращения развития опасной 10 ситуации, приводящей впоследствии к авариям и несчастным случаям [4]. В плане методического содержания эту схему можно применить к любому производству. В каждом конкретном случае производственного процесса могут изменяться признаки, предшествующие аварии. Опытный специалист по безопасности может заметить промежуточный признак, который не виден лицу, экс-плуатирующему оборудование, так же как и оператор технической системы или технолог могут увидеть отклонения от нормы, которые не понятны спе-циалисту по безопасности. Например, в качестве промежуточного признака может выступать излишняя вибрации, шум в отдельных частях агрегата и др. Результат проверочного листа – перечень вопросов и ответов о соответствии исследуемой системы требованиям безопасности и указания по обеспечению безопасности (контрмеры). Метод проверочного листа отличается от «Что будет, если..? » более обширным представлением исходной информации и результатов о последствиях нарушений безопасности. Причина Предотвращение Авария Промежуточные признаки Оценка и корректирующее воздействие Рис.12.4 Методика использования признаков, предшествующих аварии для ее предотвращения Перечисленные методы, а также их аналоги недороги и наиболее эф-фективны при исследовании безопасности хорошо изученных объектов с из-вестной технологией или объектов с незначительным риском крупных ава-рий. Заполнение контрольных листов, таблиц возможно с помощью опросов экспертов, применением численных методов, экспериментальных исследова-ний и т.д. 3.2. Метод Делфи Метод Делфи является одним из наилучших методов использования суж-дения экспертов, предусматривающий возможность проведения опросов в несколько туров. Он представляет собой процедуру анкетирования с обра-боткой и сообщением результатов каждого тура экспертам, работающим ин-когнито по отношению друг к другу. Отказ от коллективных обсуждений делается здесь для того, чтобы уменьшить влияние таких психологических факторов, как присоединение к мнению наиболее авторитетного специалиста, нежелание отказаться от публично выраженного мнения, следование за мнением большинства. Процесс выработки экспертами своих суждений при этом управляется рабочей группой, проводящей опрос, через обратную связь. Организационно последовательность условий при использовании метода Делфи выглядит следующим образом: 1. Ведущий аналитик или кто-нибудь другой из рабочей группы подготав-ливают исходную информацию по проблеме, и происходит письменная или устная, а в необходимых случаях, и та и другая «презентация» проблемы перед группой отобранных экспертов. 11 2. Эксперты выносят свое суждение, оцениваемое либо ранжированием предложенных вариантов (если нет возможности для количественных оценок), либо, если существует возможность, оценивают количественно рассматриваемое явление, событие, процесс и т.п. 3. При ведущей роли аналитика происходит сравнение полученных мнений отдельных экспертов и обсуждение комментариев каждого из них. 4. Эксперты переоценивают свои первоначальные суждения, если для этого с их точки зрения есть предпосылки. Группа экспертов может опрашиваться в несколько этапов, затем результат предыдущего этапа вместе с дополнительной информацией сообщается всем участникам. Во время третьего или четвертого этапа опрос концентрируется на тех аспектах, по которым пока не достигнуто никакого соглашения. В принципе, данный метод является методом предсказаний, который также применяется для генерирования новых идей. Также известны примеры применения метода Делфи, связанные с постановкой вопросов, требующих в качестве ответов цифровой оценки параметров. При использовании данного метода выявляется преобладающее суждение специалистов по какому-либо вопросу в обстановке, исключающей их прямые дебаты между собой, но позволяющей им периодически взвешивать свои суждения с учетом ответов и доводов коллег. В процессе сравнения мнений экспертов часто возникает необходимость количественной оценки степени их согласованности. Такая процедура предусмотрена, например, при оценке безопасности плавучих буровых уста-новок и морских стационарных платформ, установленной требованиями пра-вил Российского морского регистра судоходства. Степень согласия группы экспертов при этом оценивается с помощью коэффициента конкордации: n m 1 W 12 xij m(n 1) m2 (n3 n) (12.1) 2 i 1 j 1 где m – число экспертов; n – число объектов ранжирования; xij – ранг, при-своенный i-му фактору (объекту ранжирования) j-м экспертом. При этом под ранжированием понимают расположение объектов в порядке возрастания или убывания какого либо присущего им свойства, фактора. Ранжирование позволяет выбрать из исследуемой совокупности факторов наиболее существенный. Коэффициент W изменяется от 0 до 1. Если мнения экспертов полностью противоположны, W = 0; при W = 1 все эксперты одинаково ранжируют объекты по данному признаку. Приемлемое значение коэффициента конкор-дации составляет величину W = 0,5 и более при доверительном уровне веро-ятности 0,995. Процедура опроса с сообщением результатов обработки после каждого тура обеспечивает лучшее согласование мнений экспертов, поскольку эксперты, давшие существенно расходящиеся оценки, вынуждены критически осмыслить свои суждения и обстоятельно их аргументировать. Основным способом повышения точности ответов является итерационная процедура опроса с сообщением полученных результатов экспертам и указанием конкретного места оценки каждого эксперта. Повышение эффективности проведения экспертизы по методу Делфи возможно при автоматизированном процессе фиксации и обработки информации. 4. Методы анализа отказов и опасности 4.1. Анализ вида и последствий отказа – АВПО (Failure Mode and Effects Analysis – FMEA) Этот метод применяется для качественной оценки надежности и безо-пасности технических систем. АВПО представляет собой метод, позволяю-щий идентифицировать тяжесть последствий видов потенциальных отказов и обеспечить меры по снижению рисков. Существенной чертой этого метода является рассмотрение каждой системы в 12 целом и каждой составной ее части (элемента) на предмет того, каким образом он может стать неисправным (вид и причина отказа) и как этот отказ воздействует на технологическую систему (последствия отказа). Термин «система» здесь понимается как совокупность взаимосвязанных или взаимодействующих элементов (ГОСТ Р 51901.122005 [55]) и используется для описания аппаратных (технических) средств, про-граммного обеспечения (и их сочетания) или процесса. В общем случае АВПО применяют к отдельным видам отказов и их последствиям для систе-мы в целом. Рекомендуется проводить АВПО на ранних стадиях разработки сис-темы (объекта, продукции), когда устранение или уменьшение количества и/или видов отказов, и их последствий является экономически более эффек-тивным. Вместе с тем принципы АВПО могут применяться на всех стадиях жизненного цикла системы. Каждый вид отказа рассматривают как незави-симый. Таким образом, эта процедура не подходит для рассмотрения зависи-мых отказов или отказов, являющихся следствием последовательности не-скольких событий. АВПО является методом анализа индуктивного типа, по схеме «снизу – вверх», с помощью которого систематически, на основе последовательного рассмотрения одного элемента за другим, анализируются все возможные ви-ды отказов или аварийные ситуации и выявляются их результирующие воз-действия на систему. Отдельные аварийные ситуации и виды отказов эле-ментов выявляются и анализируются для того, чтобы определить их воздей-ствие на другие элементы и систему в целом. АВПО можно выполнить более детально, чем анализ с помощью дерева отказов, поскольку при этом необхо-димо рассматривать все возможные виды отказов или аварийные ситуации для каждого элемента системы. Например, реле может отказать по следую-щим причинам: контакты не разомкнулись; запаздывание в замыкании кон-тактов; короткое замыкание контактов на корпус, источник питания, между контактами и в цепях управления; дребезжание контактов; неустойчивый электрический контакт; контактная дуга; разрыв обмотки и пр. Примерами общих видов отказов могут являться: - отказ в процессе функционирования; - отказ, связанный с несрабатыванием в установленное время; - отказ, связанный с непрекращением работы в установленное время; - преждевременное включение и др. Дополнительно для каждой категории оборудования должен быть со-ставлен перечень необходимых проверок. Например, для резервуаров и дру-гого емкостного оборудования такой перечень может включать: - технологические параметры: объем, расход, температуру, давление и т.д.; - вспомогательные системы: нагрева, охлаждения, электропитания, подачи, автоматического регулирования и т.д.; - особые состояния оборудования: ввод в действие, обслуживание во время работы, вывод из действия, смену катализатора и т.д.; - изменения условий или состояния оборудования: чрезмерное отклонение величины давления, гидроудар, осадок, вибрация, пожар, механическое по-вреждение, коррозия, разрыв, утечка, износ, взрыв и др.; - характеристики контрольно-измерительных приборов и средств автома-тики: чувствительность, настройка, запаздывание и т.д. Метод предусматривает рассмотрение всех видов отказов по каждому элементу. Анализу подлежат причины и последствия отказа (локальные – для элемента и общие – для системы), методы обнаружения и условия компенса-ции отказа (например, резервирование элементов или мониторинг объекта). Оценкой значимости влияния последствий отказа на функционирование объ-екта является тяжесть отказа. Пример классификации по категории тяже-сти последствий при выполнении одного из типов АВПО (в качественной форме) приведен в табл.12.3 (ГОСТ Р 51901.12-2007). 13 Таблица12.3 – Классификация по тяжести отказов Номер Наименование класса Описание последствий отказа для людей и класса тяжести окружающей среды тяжести отказа отказа IV Катастрофи-ческий Вид отказа может привести к прекращению выполнения первичных функций системы и вызывает тяжелые повреждения системы и окружающей среды и/или гибель и тяжелые травмы людей III Критический Вид отказа может привести к прекращению выполнения первичных функций системы и вызывает значительное повреждение системы и окружающей среды, но не представляет собой серьезной угрозы жизни или здоровью людей II Минимальный Вид отказа может ухудшить выполнение функций системы без заметного повреждения системы или угрозы жизни или здоровью людей I Ничтожный Вид отказа может ухудшить выполнение функций системы, но не вызывает повреждений системы и не создает угрозы жизни и здоровью людей Карта проверки по результатам АВПО представляет собой изложение самого метода АВПО, а ее форма подобна используемой при выполнении других качественных методов, в том числе экспертных оценок, с отличием в большей степени детализации. Метод АВПО ориентирован на аппаратуру и механические системы, прост для понимания, не требует применения мате-матического аппарата. Такой анализ позволяет установить необходимость внесения изменений в конструкцию и оценить их влияние на надежность системы. К недостаткам метода следует отнести значительные затраты вре-мени на реализацию, а также то, что он не учитывает сочетания отказов и че-ловеческого фактора. 4.2. Анализ вида, последствий и критичности отказа – АВПКО (Failure Mode, Effects and Critical Analysis – FMECA) Метод АВПКО дополняет рассмотренный выше АВПО оценками пока-зателей критичности анализируемых отказов. Критичностью отказов, в со-ответствии с ГОСТ Р 51901.12-2007, называется сочетание тяжести по-следствий и частоты возникновения отказа. Отметим, что подобное опреде-ление имеет известный нам термин «риск». Вместе с тем, как это указано в ГОСТ Р 51901.12-2007, показатели критичности отличаются от обычно при-меняемых показателей риска «меньшей строгостью и требуют меньше усилий для оценки». Кроме того, метод АВПКО позволяет провести только от-носительное ранжирование вкладов в совокупный (т.е. общий) риск, и рас-считан на приоритетность мер безопасности, в то время как анализ риска (классический), особенно для высокорисковых систем обычно ориентирован на величину приемлемого риска. ГОСТ 27.310-95 [51] регламентирует понятия «критичного элемента (критичного технологического процесса)», которые используются в методо-логии оценки и анализа риска. В перечни критичных элементов включают: - элементы, возможная тяжесть последствий отказов которых, оцениваемая качественно или количественно, превосходит уровень, допустимый для рас-сматриваемого объекта; - элементы, отказы которых неизбежно вызывают полный отказ объекта; - элементы с ограниченным сроком службы (ресурсом), не обеспечивающим требуемой долговечности объекта; 14 - элементы, по которым в момент проведения анализа отсутствуют достовер-ные данные об их качестве и надежности в рассматриваемых условиях при-менения и/или возможных последствиях их отказов. Критичными технологическими процессами являются такие техноло-гические процессы, влияние которых на качество и надежность объекта и его элементов в момент проведения анализа неизвестно или же недостаточно изучено. Таким образом, процедура АВПКО предусматривает ранжирование каждого вида отказа с учетом двух составляющих критичности – частоты (интенсивности, вероятности) и тяжести последствий. Для определения веро-ятностной составляющей критичности отказа – частоты возникновения от-каза данного вида, помимо опубликованной информации о частоте подобных событий, важно рассмотреть реальные условия функционирования каждого элемента (механические или электрические нагрузки, условия окружающей среды), характеристики которого вносят свой вклад в вероятность появления отказа. Это необходимо, поскольку реальная возможность отказов и, следо-вательно, частота рассматриваемого вида отказа зависит от конкретных воз-действующих нагрузок, в том числе внешних для системы. В целом частоту возникновения видов отказов для системы можно оценивать с использова-нием: - данных ресурсных испытаний; - доступных баз данных об интенсивности отказов; - ретроспективных данных эксплуатационных отказов исследуемой системы; - данных об отказах аналогичных объектов или их элементов. Оценку частоты возникновения отказов следует относить к определен-ному временному интервалу эксплуатации объекта. Обычно это гарантийный период или установленный срок службы объекта или продукции. В целях качественной оценки и ранжирования отказов по показателю критичности могут быть использованы матрицы «вероятность – тяжесть по-следствий», рекомендованные ГОСТ 27.310-95 и РД 03-418-01. Пример по-добной матрицы приведен в табл. 12.4. Таблица 12.4 – Матрица «вероятность – тяжесть последствий» (РД 03-418-01) Отказ Частота возникновения отказа, 1/год более 1 1 – 10-2 10-2 – 10-4 10-4 – 10-6 менее 10-6 Тяжесть последствий отказа IV* А А А А В III А А В В С II А В В С С I С С D D D Частый Вероятный Возможный Редкий Практически невероятный *критерии отказов по тяжести последствий соответствуют номеру класса тяжести отказа, его наименованию и описанию (табл. 11.3)/ Показатели критичности (категории) отказов имеют следующие каче-ственные (лингвистические) значения: А – обязателен количественный анализ критичности или количественный анализ риска либо принятие дополнительных (особых) мер безопасности; В – желателен количественный анализ критичности или количественный анализ риска либо принятие дополнительных мер безопасности; С – рекомендуется качественный анализ опасностей или принятие некоторых (дополнительных) мер безопасности;D – анализ и принятие дополнительных мер безопасности не требуется. 15 Качественная оценка показателя критичности отказа С может быть вы-полнена в виде произведения (ГОСТ 27.310-95): С В1 В2 В3 где В1, В2, В3 – балльные оценки критичности отказов, величины которых определяются по табл.12.5 (Оценка вероятностей отказов), табл. 12.6 (Оценка последствий отказов) и табл. 12.7 (Оценка вероятности обнаружения отказа до поставки изделия потребителю). Таблица 12.5 – Оценка вероятностей отказов Виды отказов по вероятности возникновения за время экс-плуатации Отказ практически невероятен Отказ маловероятен Отказ имеет малую вероятность обусловленную точностью рас-чета Умеренная вероятность отказа Отказы возможны, но при экс-плуатации объектов-аналогов не наблюдались Отказы возможны, наблюда-лись при эксплуатации объек-тов-аналогов Отказы вполне вероятны Высока вероятность отказов Вероятны повторные отказы Таблица 12.6 – Оценка последствий отказов Ожидаемая вероятность отказов, оцененная расче-том или экспериментально менее 10-6 10-6 – 5·10-5 5·10-5 – 10-5 Вероятность отказа в баллах В1 10-5 – 5·10-4 5·10-4 – 10-4 4 5 10-4 – 5·10-3 6 5·10-3 –10-2 10-2 – 0,1 более 0,1 7 8 10 Описание последствий отказов Отказ не приводит к заметным последствиям, потреби-тель, вероятно, не обнаружит наличие неисправности Последствия отказа незначительны, но потребитель может выразить недовольство его появлением Отказ приводит к заметному для потребителя сниже-нию эксплуатационных характеристик объекта и/или к неудобству его применения Высокая степень недовольства потребителя, объект не может быть использован по назначению, но угрозы безопасности отказ не представляет Отказ представляет угрозу безопасности людей или окружающей среды 1 2 3 Оценка последствий в баллах В2 1 2–3 4–6 7–8 9 – 10 16 Таблица 12.7 – Оценка вероятности обнаружения отказа до поставки потребителю Виды отказов по вероятности обнаружения до поставки Очень высокая вероятность выявления отказа при контроле, сборке, испытаниях Высокая вероятность выявления отказа при контроле, сборке, испытаниях Умеренная вероятность выявле-ния отказа при контроле, сбор-ке, испытаниях Высокая вероятность поставки потребителю дефектного изде-лия Очень высокая вероятность поставки потребителю дефектного изделия Вероятность обнаружения отказа, оцененная расчет-ным или экспертным путем более 0,95 Оценка ве-роятности в баллах В3 0,95 – 0,85 2–3 0,85 – 0,45 4–6 0,45 – 0,25 7–8 менее 0,25 9 – 10 1 Приведенные балльные оценки разрабатываются применительно к кон-кретной группе (виду, типу) объектов и указываются в методике его АВПКО либо устанавливаются в соответствующих нормативных документах. Значе-ния вероятностей отказов, учитываемые при оценке их критичности, рассчи-тывают (прогнозируют) методами, принятыми в расчетах надежности, с уче-том структуры объекта, уровней нагрузки и режимов работы его элементов по имеющимся справочным или экспериментальным данным об их надежно-сти. Возможные последствия каждого отказа определяют по результатам АВПО объекта, а соответствующие условные вероятности наступления каждого события-последствия рассчитывают на основе моделей типа «деревьев событий» или прогнозируют экспертными методами. Процедуру АВПКО (или АВПО) проводят одним из следующих мето-дов: структурным, функциональным, комбинированным (ГОСТ 27.310-95). Структурные методы анализа относят к классу индуктивных методов (анализ по схеме «сверху вниз»), применяемых для относительно простых объектов, отказы которых могут быть четко локализованы, а последствия ка-ждого отказа элементов выбранного начального уровня разукрупнения (де-композиции системы) могут быть прослежены на всех вышестоящих уровнях структуры объекта. Общий алгоритм анализа при этом включает выполнение следующих основных операций: - устанавливают минимальный уровень разукрупнения (декомпозиции сис-темы), с которого начинают анализ и идентифицируют все элементы вы-бранного уровня; - для каждого идентифицированного элемента данного уровня на основе имеющихся классификаторов отказов, инженерного анализа, имеющихся ап-риорных данных, опыта и знаний исследователя составляют перечень воз-можных видов отказов; - для каждого вида отказов выбранного элемента определяют его возможные последствия на рассматриваемом и вышестоящих уровнях структуры объ-екта; - для элементов, отказы которых непосредственно приводят к отказу системы (объекта) или снижению качества его функционирования, оценивают катего-рию тяжести 17 последствий отказов (при АВПО) или рассчитывают показатели критичности (при АВПКО); - повторяют описанные операции для элементов всех вышестоящих уровней, выделяя при этом критические отказы, а элементы, соответствующие этим отказам, включают в перечень критичных элементов. Функциональные методы анализа относят к классу дедуктивных мето-дов (анализ «снизу вверх»), применяемых для сложных многофункциональ-ных объектов, отказы которых трудно априорно локализовать. Общий алго-ритм АВПО (АВПКО) при этом включает следующие основные операции: - идентифицируют все функции, выполняемые объектом и для каждой функ-ции на основе априорных данных, опыта исследователя и другими доступ-ными способами определяют перечень возможных нарушений (отклонений) данной функции; - для каждого нарушения функции оценивают тяжесть возможных последст-вий качественно (посредством АВПО) или количественно – расчетом ожи-даемого ущерба (при АВПКО); - выделяют критические нарушения функции, тяжесть возможных последст-вий (ущерб) от которых превосходит пределы, установленные планом ана-лиза; - для каждого выделенного критического нарушения, принимая его возник-новение в качестве головного события (инцидента, аварии), строят дерево отказов , охватывающее отказы элементов всех уровней, вплоть до нижнего, установленного планом анализа; - с помощью построенного дерева отказов выделяют одиночные элементы и сочетания элементов, отказы которых ведут к указанному нарушению; - оценивают частоту возникновения (вероятность) отказов одиночных эле-ментов и выделенных сочетаний элементов для расчета показателей критич-ности соответствующих отказов; - составляют перечни критичных элементов в соответствии с правилами, из-ложенными выше. Следует отметить, что применение балльных (качественных, относи-тельных) оценок показателей критичности, как правило, обусловлено невозможностью или нецелесообразностью получения количественных (абсолют-ных) оценок по техническим, экономическим или иным соображениям. АВПКО не проводят, если цели и задачи анализа, например, оценка опасно-сти отказа технической системы, представляющего угрозу безопасности лю-дей и окружающей среды, могут быть достигнуты другими, более точными методами, к примеру– методами дерева отказов и дерева событий 4.3. Анализ опасности и работоспособности – AOP (Hazard and Operability Study – HAZOP) Исследования на основе метода АОР первоначально были разработаны для химической промышленности и представляют собой процесс идентифи-кации опасности отклонений технологических параметров процесса (давле-ния, температуры, расхода и т.д.) от регламентных режимов. В настоящее время метод АОР используется в целях (ГОСТ Р 51901.11-2005 [54]): - идентификации потенциальных опасностей в системе; рассматриваемые опасности могут иметь последствия, как для самой системы, так и для более широкой сферы, например – окружающей среды; - идентификации потенциальных нарушений работоспособности системы, заложенных вследствие недостатка информации при разработке системы ли-бо проявляющихся в процессе эксплуатации. Характерной особенностью метода АОР является целенаправленное разделение исследуемой системы на части (технологические блоки). При этом более сложные системы и системы с высоким уровнем опасности разде-ляют на большее количество 18 частей (блоков). Последнее приводит к значи-тельному росту объема востребованных данных и замедляет процесс выполнения исследования, но дает более полную информацию для идентификации опасностей в системе (существующих или предполагаемых). Далее, выполнение анализа опасности и работоспособности предусмат-ривает оценку отклонений показателей технологических процессов эксплуа-тации системы от номинальных, установленных проектом, с использованием базового набора ключевых, «управляющих» слов. Пример типовых ключе-вых слов, характеризующих, к примеру, параметры технологического про-цесса, приведен в табл. 12.8. Таблица 12 .8 – Типовые ключевые слова Ключевое слово Определение Нет или не Отрицание результатов, установленных в проекте (например, нет расхода жидкости) Больше Количественное увеличение (температура жидкости выше, чем по данным проекта) Меньше Количественное уменьшение (давление жидкости ниже номинального) А также Качественные изменения (другие клапаны в это же время закрыты – сбой в работе или ошибка оператора) Часть из Качественное уменьшение (только один или два компонента в смеси) Рано Относится к времени (преждевременное срабатывание пускового реле) Прежде чем Относится к порядку или последовательности (открытие нагнетательного клапана после включения в работу центробежного насоса) Исследования на основе АОР могут помочь выявить отклонения, для которых необходима разработка дополнительных смягчающих мер, позво-ляющих осуществлять технологический процесс в штатном режиме. В тех случаях, когда смягчающие меры неочевидны или требуют высоких затрат, результаты АОР дают возможность установить инициирующие события, необходимые для дальнейшего анализа риска. Результаты АОР документируются в виде рабочих таблиц и отчетов. Возможно представление итоговых оценок потенциальных опасностей не только в качественном, но и в количественном виде. В этих целях для каждого типа (вида) отказов приписывается определение двух составляющих: частоты (вероятности) реализации и тяжести возможных последствий, что, по сути, является процедурой оценивания риска. Кроме того, метод АОР, помимо идентификации опасностей, их ранжирования по соответствующим показателям, и предварительной оценки риска, позволяет выявить неясности и неточности в инструкциях по безопасности и способствует их дальнейшему совершенствованию. 5. Графоаналитические методы анализа – «Дерево отказов» и «Дерево событий». 5.1. Построение деревьев отказов Методы деревьев отказов и событий позволяют учесть функциональные взаимосвязи элементов системы в виде логических схем, учитывающих взаимозависимость отказов 19 элементов или групп элементов. В общем случае, как деревья отказов, так и деревья событий являются лишь наглядной иллюстрацией к простейшим вероятностным моделям. Однако они представляют значительный интерес для специалистов, связанных с эксплуатацией, обслуживанием и надзором технических объектов. Имея такую схему, специалист, даже не обладая основательными знаниями по теории вероятностей, может не только найти наиболее критический вариант развития событий, но и оценить ожидаемый риск, если соответствующее дерево событий или отказов дополнено статистическими данными. Кроме того , на рынке коммерческих программ (не говоря о специализированных) уже давно имеются программные комплексы для автоматизированного построения деревьев отказов и деревьев событий сложных систем. Дерево отказов (дерево аварий) представляет собой сложную графологическую структуру, лежащую в основе словесно-графического способа анализа возникновения аварии из последовательностей и комбинаций, и неисправностей, и отказов элементов системы. С помощью анализа дерева отказов фактически делается попытка количественно выразить риск дедуктивным методом. Деревья отказов идентифицируют событие или ситуацию, создающие риск, после чего ставится вопрос: как могло возникнуть такое событие? Ответ заключается в том, что к такому событию могло привести множество путей. Практическая полезность дерева отказов зависит от тщательности оценки верхнего события. Большинство непосредственных причин верхних событий могут изучаться, как будто они сами являются верхними событиями. Теоретически такой анализ может проводиться очень детально на многих уровнях. Наиболее доступные для исследования причины - это отказы компонентов, по которым имеется достаточное количество статистических данных. В этой связи наглядным примером в качестве элементов систем могут служить насосы и регулирующая аппаратура. Так, хотя отказ насоса и может служить верхним событием, вызванным такими причинами, как разрыв корпуса, разрушение подшипника и т.п., достаточное количество данных об отказах насосов может позволить рассматривать такой отказ как причину. В таком случае нет необходимости проводить дальнейший анализ для определения риска отказа. Поскольку в таком дедуктивном методе процесс детализации может прерываться произвольно, анализ можно заканчивать на компонентах, по которым имеется достаточно данных, необходимых для точного определения вероятности отказа такого компонента. Методика построения дерева отказа состоит из следующих этапов. 1. Определяют аварийное (предельно опасное, конечное) событие, которое образует вершину дерева. Данное событие четко формулируют, дают признаки его точного распознавания. Для объектов химической технологии, например, к таким событиям относятся разрыв аппарата, пожар, выход реакции из-под контроля и др. Если конечное событие сразу определить не удается, то производят прямой анализ работы объекта с учетом изменения состояния работоспособности, ошибок операторов и т.п. Перечисляют возможные отказы, рассматривают их комбинации, определяют последствия этих событий. 2. Используя стандартные символы событий и логические символы (табл. 11.4), дерево строят в соответствии со следующими правилами: o конечное (аварийное) событие помещают вверху; o дерево состоит из последовательности событий, которые ведут к конечному событию; o последовательности событий образуются с помощью логических символов И, ИЛИ и др.; o событие над логическим символом помещают в прямоугольнике, а само событие описывают в этом прямоугольнике; o первичные события (исходные причины) располагают снизу. 20 Таблица 12.9 - Стандартные символы событий и логические символы, применяемые при построении деревьев отказов Вид элемента Наименование Описание Схема И Выходной сигнал В появляется только (совмещение) тогда, когда поступают все входные сигналы Ai (А1 А2 ... Ап) => В Схема ИЛИ (объединение) Выходной сигнал В появляется при поступлении любого одного или большего числа сигналов Ai (А1 А2 ... Ап) => В Результирующее событие Результат конкретной комбинации отказов на входе логической схемы Первичный отказ Неполное событие Отказ (неисправность), причины которого выявлены не полностью, например из-за отсутствия информации Простейшее дерево, характеризующее возникновение пожара на объекте, показано на рис. 12.3, а. Более сложное дерево аварии, описывающее разрыв химического реактора, представлено на рис 12.3,б. Исходные события при разрыве реактора следующие: А - закрыт или неисправен предохранительный клапан, Б - открыт клапан подачи окислителя, В — неисправна система блокировки при высокой температуре, Г- малая подача сырья, Д- клапан окислителя открыт и неисправен, Е- неисправна система регулирования расхода окислителя, Ж— увеличено открытие диафрагмы, 3 — отсутствует напор. При построении дерева аварий события располагают по уровням. Главное (конечное) событие занимает верхний - 0-й уровень, ниже располагают события 1-го уровня (среди них могут быть и начальные), затем — 2-го уровня и т.д. Если на 1-м уровне содержится одно или несколько начальных событий, объединяемых логическим символом ИЛИ, то возможен непосредственный переход от начального события к аварии. 3. Определяют минимальные аварийные сочетания и минимальную траекторию для построения дерева. Первичные и не разлагаемые события соединены с событием 0-го уровня маршрутами (ветвями). Сложное дерево имеет различные наборы исходных событий, при которых достигается событие в вершине; они называются аварийными сочетаниями. 4. Квалифицированные эксперты проверяют правильность построения дерева. Это позволяет исключить субъективные ошибки разработчика, повысить точность и полноту описания объекта и его действий. Для дерева рис. 12.3, б сочетание событий А, Б, Г, Д аварийное. При одновременном возникновении этих событий произойдет разрыв реактора. Минимальным аварийным сочетанием (МАС) называют наименьший набор исходных событий, при котором возникает событие в вершине. Минимальными аварийными сочетаниями являются А, Б, Г. Полная совокупность МАС дерева представляет собой все варианты сочетаний событий, при которых 21 Утечкажидкости горючей жидкости Разлив жидкости вблизи жидкости Очаг воспламенения вблизи жидкости Течь жидкости Наличие 1 4 Брошенный искры окурок может Разлив возникнуть Минимальная траектория - наименьшая группа событий, без при заправкеавария. из бака Наличие Брошенный жидкости Течь жидкости искры окурок при заправке из бака появления которых аварии не происходит. 4 3 3 1 2 Пожар 2 Утечка горючей жидкости Разлив жидкости при заправке 3 Очаг воспламенения вблизи жидкости Течь жидкости из бака 1 2 Наличие искры Брошенный окурок 4 Рис. 12.5. Деревья отказов Например, если события А не произойдет, то не возникнет и разрыв реактора. Минимальные траектории представляют собой события, которые являются критическими для поддержания объекта в безопасном состоянии. 5. Качественно и количественно исследуют дерево аварий с помощью выделенных минимальных аварийных сочетаний и траекторий. Качественный анализ заключается в сопоставлении различных маршрутов от начальных событий к конечному и определении критических (наиболее опасных) путей, приводящих к аварии. При количественном исследовании рассчитывают вероятность появления аварии в течение задаваемого интервала времени по всем возможным маршрутам. При расчете вероятности возникновения аварии необходимо учитывать применяемые логические символы. 5.2. Построение деревьев событий Набор обстоятельств (не только отказов системы, но и внешних воздействий на нее), ведущих к аварии, называется последовательностью аварии (или сценарием), которую можно проследить с помощью дерева событий. В отличие от структурных схем и деревьев отказов деревья событий имеют более полное физическое содержание. Если основным преимуществом деревьев отказов по сравнению с блок-схемами является учет причинноследственной связи между отказами элементов, то деревья событий дают картину физических процессов, приводящих элементы и систему к критическим состояниям. Анализ дерева событий может дать ответ на вопрос: какие аварийные ситуации могут возникнуть и каковы вероятности этих событий? Ответы могут быть получены с помощью 22 анализа потенциальных сценариев аварии. Последовательности потенциальных событий определяются начиная с исходного события и последующего анализа прочих событий, вплоть до того момента, когда авария либо происходит, либо предотвращается. Полную картину риска от промышленного объекта дает анализ всех возможных последствий. Дерево событий обычно рисуется слева направо и начинается с исходного события. Этим исходным событием является любое событие, которое может привести к отказу какойлибо системы или компонента. В дереве событий исходные события связаны со всеми другими возможными событиями - ветвями, а каждый сценарий представляет собой путь развития аварии, состоящий из набора таких разветвлений. Определив все исходные события и организовав их в логическую последовательность, можно получить большое число (тысячи для АЭС) потенциальных сценариев аварии. С помощью анализа дерева событий можно определить пути развития аварии, которые вносят наибольший вклад в риск из-за их высокой вероятности или потенциального ущерба. Анализ ветвей и путей развития аварии позволяет вносить изменения в конструкцию или эксплуатационные процедуры с учетом этих путей, обусловливающих наибольший вклад в суммарный риск. Методология дерева событий дает возможность: • описать сценарии аварий с различными последствиями от различных исходных событий; • определить взаимосвязь отказов систем с последствиями аварии; • сократить первоначальный набор потенциальных аварий и ограничить его лишь логически значимыми авариями; • идентифицировать верхние события для анализа дерева отказов. Пример дерева событий, приведенный на рис.12.6, соответствует гипотетической последовательности событий при аварии с потерей теплоносителя в водоохлаждаемом реакторе АЭС. Начальным событием служит разрыв трубопровода с вероятностью H0. Разрыв Работоспотрубы собность системы энергоснабжения Срабатывание системы аварийного охлаждения Срабатывание системы удаления продуктов деления Сохранение Авария Финальная целостности вероятность защитной оболочки S3 S2 0,2 S4 0,999 0,995 H3 S1 0,8 0,999 H0 H4 0,005 H2 0,001 H1 23 0,001 Рис. 12.6. Дерево событий при аварии на атомной станции Нет 0,1998 Нет 0,794 Да 0,004 Следующие события: пребывание системы электроснабжения в Да 0,001 исправном состоянии с вероятностью S1, и в неисправном состоянии с вероятностью Н1, срабатывание системы аварийного охлаждения с вероятностью S2 и несрабатывание с вероятностью Н2, срабатывание си- Да 0,001 стемы удаления продуктов деления с вероятностью S3 и несрабатывание с вероятностью Н3 сохранение целостности защитной оболочки с вероятностью S4 и нарушение целостности с вероятностью Н4. При развитии событий по верхней ветви дерева с вероятностью (в предположении о независимости исходных событий) S H O S1S 2 S3 S 4 (12.2) ожидаются очень небольшие радиоактивные выбросы, при развитии по нижним ветвям — большие и очень большие выбросы. 24