ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 23.11.2023
Просмотров: 682
Скачиваний: 8
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
P очень малы. «Дерево» не дает численных решений.
Пример 7.1. Допустим, путем выполнения предварительного анализа опасностей (ПАО) было выявлено, что критической частью реактора, т. е. подсистемой, с которой начинается риск, является система охлаждения реактора; таким образом, анализ начинается с просмотра последовательности возможных событий с момента разрушения трубопровода холодильной установки, называемого инициирующим событием, вероятность которого равна P(A) (рис. 7.1), т. е. авария начинается с разрушения (поломки) трубопровода – событие A.
Далее анализируются возможные варианты развития событий (B, C, D и E), которые могут последовать за разрушением трубопровода. На рис. 7.1 изображено «дерево исходных событий», отображающее все возможные альтернативы.
На первой ветви рассматривается состояние электрического питания. Если питание есть, следующей подвергается анализу аварийная система охлаждения активной зоны реактора (АСОР). Отказ АСОР приводит к расплавлению топлива и к различным, в зависимости от целостности конструкции, утечкам радиоактивных продуктов.
Для анализа с использованием двоичной системы, в которой элементы либо выполняют свои функции, либо отказывают, число потенциальных отказов равно 2N – 1, где N – число рассматриваемых элементов. На практике исходное «дерево» можно упростить с помощью инженерной логики и свести к более простому дереву, изображенному в нижней части рис. 7.1.
В первую очередь представляет интерес вопрос о наличии электрического питания. Вопрос заключается в том, какова вероятность PB отказа электропитания и какое действие этот отказ оказывает на другие системы защиты. Если нет электрического питания, фактически никакие действия, предусмотренные на случай аварии с использованием для охлаждения активной зоны реактора распылителей, не могут производиться. В результате упрощенное «дерево событий» не содержит выбора в случае отсутствия электрического питания, и может произойти большая утечка, вероятность которой равна PA(PB).
В случае, если отказ в подаче электрической энергии зависит от поломки трубопровода системы охлаждения реактора, вероятность PBследует подсчитывать как условную вероятность для учета этой зависимости. Если электрическое питание имеется, следующие варианты при анализе зависят от состояния АСОР. Она может работать или не работать, и ее отказ с вероятностью
PC1ведет к последовательности событий, изображенной на рис. 7.1.
Рис. 7.1. «Дерево событий»
Следует обратить внимание на то, что для рассматриваемой системы возможны различные варианты развития аварии. Если система удаления радиоактивных материалов работоспособна, радиоактивные утечки меньше, чем в случае ее отказа. Конечно, отказ в общем случае ведет к последовательности событий с меньшей вероятностью, чем в случае работоспособности.
Рис. 7.2. Гистограмма вероятностей для различных величин утечек
Рассмотрев все варианты «дерева», можно получить спектр возможных утечек и соответствующие вероятности для различных последовательностей развития аварии (рис. 7.2). Верхняя линия «дерева» является основным вариантом аварии реактора. При данной последовательности предполагается, что трубопровод разрушается, а все системы обеспечения безопасности сохраняют работоспособность.
7.3.5. Предварительный анализ опасностей
Анализ этим методом обычно осуществляют в следующем порядке:
– изучают технические характеристики объекта, используемые источники энергии, рабочие среды, материалы; определяют их повреждающие свойства;
– устанавливают законы, стандарты, правила, действия которых распространяются на данный технический объект, систему, процесс;
– проверяют техническую документацию на ее соответствие законам, правилам, принципам и нормам стандартов безопасности;
– составляют перечень опасностей, в котором указывают идентифицированные источники опасностей (системы, подсистемы, компоненты), повреждающие факторы, потенциальные ЧП, выявленные недостатки.
При проведении предварительного анализа опасностей особое внимание уделяют наличию взрывопожароопасных и токсичных веществ, выявлению компонентов объекта, в которых возможно их присутствие, потенциальным ЧП от неконтролируемых реакций и при повышении давления. После того как в техническом объекте выявлены крупные системы, которые являются источниками опасности, их можно рассмотреть отдельно и более детально исследовать с помощью других методов анализа.
7.3.6. Оценка влияния на надежность человеческого фактора
Метод учитывает влияние человеческого фактора на работу систем и позволяет оценить воздействие ошибок персонала на безопасность и производительность.
Потенциальные возможности для ошибок персонала возникают во многих процессах, при этом зачастую время на принятие верного решения ограничено.
Рассматриваются следующие типы ошибочных действий:
1) ошибка по оплошности, недосмотр, когда требуемое действие не выполняется;
2) ошибка несоответствия, которая может предусматривать:
а) выполнение требуемого действия несоответствующим образом;
б) выполнение действия слишком большим или слишком малым усилием либо без требуемой точности;
в) выполнение действия в неподходящее для него время;
г) выполнение действия в неправильной очередности;
д) лишнее или ненужное действие, выполняемое вместо требуемого действия или в дополнение к нему.
Опыт показывает, что ошибочной является практика ограниченной оценки риска, когда внимание концентрируется на механической конструкции и системах управления, а ошибки персонала игнорируются.
Рекомендуется, чтобы процедура анализа содержала следующие этапы:
3) количественное определение влияния на надежность человеческого фактора – оценка вероятности правильного выполнения задачи или вероятности ошибочных действий.
7.3.7. «Дерево решений»
Метод «дерева решений», описанный в [64], является разновидностью метода «дерево событий». В «дереве событий» рабочие состояния системы не рассматриваются, так что сумма вероятностей всех событий не равна единице. В «дереве решений» все возможные состояния системы необходимо выразить через состояния элементов. Таким образом, все состояния системы взаимно увязаны, и их вероятность в сумме должна равняться единице. «Деревья решений» могут использоваться, если отказы всех элементов независимы или имеются элементы с несколькими возможными состояниями, а также есть односторонние зависимости. Они не могут использоваться при наличии двусторонних зависимостей и не обеспечивают логического анализа при выборе начальных событий.
Пример 7.2. На рис. 7.3 показана система последовательно соединенных элементов, которая включает насос и клапан, имеющие соответственно вероятности безотказной работы 0,98 и 0,95, а также приведено «дерево решений» для этой системы. Следует отметить, что, согласно принятому правилу, верхняя ветвь соответствует желательному режиму работы системы, а нижняя – нежелательному. «Дерево решений» читается слева направо.
Рис. 7.3. Принципиальная схема (а) и «дерево решений» (б)
для двухэлементной системы
Если насос не работает, система отказывает независимо от состояния клапана. Если насос работает, с помощью второй узловой точки (
) изучается вопрос, работает ли клапан.
Вероятность безотказной работы системы: Р(t) = 0,98 · 0,95 = 0,931. Вероятность отказа: Q(t) = 0,98 · (0,05 + 0,02) = 0,069, а суммарная вероятность двух состояний системы равна единице.
7.3.8. Таблица решений
Метод таблицы решений применяется «при наличии достаточной информации, относящейся к анализируемой системе, а также набора моделей отдельных элементов» [64].
Составляется перечень событий для каждого элемента на его выходе
(событий на выходе). Каждое событие на выходе детально определяет состояние выхода. Точно так же определяется совокупность событий на входе каждого элемента для определения состояния на входе. В качестве примера рассматривается клапан теплообменника (рис. 7.3) и события: высокий, средний или низкий расход на выходе и высокое, среднее или низкое давление на входе.
Внутренние режимы работы или состояния элемента можно рассматривать в виде различных входов со стороны других элементов или со стороны окружающей среды. Открытие клапана может рассматриваться как событие на входе, имеющее три уровня: полностью открытый, нормальный и полностью закрытый (с нулевым открытием).
Если клапан настраивается наладчиком на открытие, оно рассматривается как входное событие со стороны наладчика.
Если открытие клапана не зависит от других элементов, оно считается входным событием со стороны окружающих условий для данной системы.
Каждый вход со стороны окружающей среды считают исходным событием, входные события со стороны других элементов являются событиями, отражающими состояние системы или состояние элемента. Все вместе входные и выходные события составляют набор возможных событий, относящихся к рассматриваемой системе.
Пример, рассмотренный в п. 7.3.7, может быть решен с помощью таблицы решения, которая для насоса и клапана имеет вид:
Таблица 7.2
Таблица решений
Подробное описание метода дано в [64].
8. Построение «дерева неисправностей»
8.1. «Дерево неисправностей» как модель структуры
отказов системы
Метод «дерева неисправностей» («дерева отказов и неработоспособных состояний») описан, в частности, в [16], [17]. Особенность метода состоит в том, что он сочетает в себе количественные и качественные приемы анализа.
Согласно стандарту [7], неисправное состояние (неисправность) – состояние объекта, при котором он не соответствует хотя бы одному из требований нормативно-технической и (или) конструкторской (проектной) документации. Отказ – событие, заключающееся в нарушении работоспособного состояния объекта. Нетрудно заметить, что по структуре «дерево неисправностей» наиболее близко «дереву отказов», используемому рядом авторов [64].
Процедура построения «дерева неисправностей»(«дерева отказов»),«дерева отказов и неработоспособных состояний» является удобным методом анализа причин отказов и выработки наиболее эффективных мероприятий для их устранения. Анализ проводят для определенного периода функционирования, отдельной части или системы в целом.
«Дерево неисправностей» (отказов, аварий, происшествий, последствий, нежелательных событий, несчастных случаев и пр.) – составная часть логико-вероятностной модели причинно-следственных связей отказов системы с отказами ее элементов и другими событиями (воздействиями). При анализе причин возникновения отказа строится «дерево
Пример 7.1. Допустим, путем выполнения предварительного анализа опасностей (ПАО) было выявлено, что критической частью реактора, т. е. подсистемой, с которой начинается риск, является система охлаждения реактора; таким образом, анализ начинается с просмотра последовательности возможных событий с момента разрушения трубопровода холодильной установки, называемого инициирующим событием, вероятность которого равна P(A) (рис. 7.1), т. е. авария начинается с разрушения (поломки) трубопровода – событие A.
Далее анализируются возможные варианты развития событий (B, C, D и E), которые могут последовать за разрушением трубопровода. На рис. 7.1 изображено «дерево исходных событий», отображающее все возможные альтернативы.
На первой ветви рассматривается состояние электрического питания. Если питание есть, следующей подвергается анализу аварийная система охлаждения активной зоны реактора (АСОР). Отказ АСОР приводит к расплавлению топлива и к различным, в зависимости от целостности конструкции, утечкам радиоактивных продуктов.
Для анализа с использованием двоичной системы, в которой элементы либо выполняют свои функции, либо отказывают, число потенциальных отказов равно 2N – 1, где N – число рассматриваемых элементов. На практике исходное «дерево» можно упростить с помощью инженерной логики и свести к более простому дереву, изображенному в нижней части рис. 7.1.
В первую очередь представляет интерес вопрос о наличии электрического питания. Вопрос заключается в том, какова вероятность PB отказа электропитания и какое действие этот отказ оказывает на другие системы защиты. Если нет электрического питания, фактически никакие действия, предусмотренные на случай аварии с использованием для охлаждения активной зоны реактора распылителей, не могут производиться. В результате упрощенное «дерево событий» не содержит выбора в случае отсутствия электрического питания, и может произойти большая утечка, вероятность которой равна PA(PB).
В случае, если отказ в подаче электрической энергии зависит от поломки трубопровода системы охлаждения реактора, вероятность PBследует подсчитывать как условную вероятность для учета этой зависимости. Если электрическое питание имеется, следующие варианты при анализе зависят от состояния АСОР. Она может работать или не работать, и ее отказ с вероятностью
PC1ведет к последовательности событий, изображенной на рис. 7.1.
Рис. 7.1. «Дерево событий»
Следует обратить внимание на то, что для рассматриваемой системы возможны различные варианты развития аварии. Если система удаления радиоактивных материалов работоспособна, радиоактивные утечки меньше, чем в случае ее отказа. Конечно, отказ в общем случае ведет к последовательности событий с меньшей вероятностью, чем в случае работоспособности.
Рис. 7.2. Гистограмма вероятностей для различных величин утечек
Рассмотрев все варианты «дерева», можно получить спектр возможных утечек и соответствующие вероятности для различных последовательностей развития аварии (рис. 7.2). Верхняя линия «дерева» является основным вариантом аварии реактора. При данной последовательности предполагается, что трубопровод разрушается, а все системы обеспечения безопасности сохраняют работоспособность.
7.3.5. Предварительный анализ опасностей
Анализ этим методом обычно осуществляют в следующем порядке:
– изучают технические характеристики объекта, используемые источники энергии, рабочие среды, материалы; определяют их повреждающие свойства;
– устанавливают законы, стандарты, правила, действия которых распространяются на данный технический объект, систему, процесс;
– проверяют техническую документацию на ее соответствие законам, правилам, принципам и нормам стандартов безопасности;
– составляют перечень опасностей, в котором указывают идентифицированные источники опасностей (системы, подсистемы, компоненты), повреждающие факторы, потенциальные ЧП, выявленные недостатки.
При проведении предварительного анализа опасностей особое внимание уделяют наличию взрывопожароопасных и токсичных веществ, выявлению компонентов объекта, в которых возможно их присутствие, потенциальным ЧП от неконтролируемых реакций и при повышении давления. После того как в техническом объекте выявлены крупные системы, которые являются источниками опасности, их можно рассмотреть отдельно и более детально исследовать с помощью других методов анализа.
7.3.6. Оценка влияния на надежность человеческого фактора
Метод учитывает влияние человеческого фактора на работу систем и позволяет оценить воздействие ошибок персонала на безопасность и производительность.
Потенциальные возможности для ошибок персонала возникают во многих процессах, при этом зачастую время на принятие верного решения ограничено.
Рассматриваются следующие типы ошибочных действий:
1) ошибка по оплошности, недосмотр, когда требуемое действие не выполняется;
2) ошибка несоответствия, которая может предусматривать:
а) выполнение требуемого действия несоответствующим образом;
б) выполнение действия слишком большим или слишком малым усилием либо без требуемой точности;
в) выполнение действия в неподходящее для него время;
г) выполнение действия в неправильной очередности;
д) лишнее или ненужное действие, выполняемое вместо требуемого действия или в дополнение к нему.
Опыт показывает, что ошибочной является практика ограниченной оценки риска, когда внимание концентрируется на механической конструкции и системах управления, а ошибки персонала игнорируются.
Рекомендуется, чтобы процедура анализа содержала следующие этапы:
-
анализ задачи с её подробным описанием; -
выявление ошибки персонала – идентифицируются и описываются возможные ошибочные действия при исполнении задачи (выявление ошибки персонала может включать выявление возможных последствий и причин ошибочных действий, а также предложение мер по снижению вероятности этой ошибки, совершенствованию перспектив для исправления и/или уменьшения последствий ошибочных действий);
3) количественное определение влияния на надежность человеческого фактора – оценка вероятности правильного выполнения задачи или вероятности ошибочных действий.
7.3.7. «Дерево решений»
Метод «дерева решений», описанный в [64], является разновидностью метода «дерево событий». В «дереве событий» рабочие состояния системы не рассматриваются, так что сумма вероятностей всех событий не равна единице. В «дереве решений» все возможные состояния системы необходимо выразить через состояния элементов. Таким образом, все состояния системы взаимно увязаны, и их вероятность в сумме должна равняться единице. «Деревья решений» могут использоваться, если отказы всех элементов независимы или имеются элементы с несколькими возможными состояниями, а также есть односторонние зависимости. Они не могут использоваться при наличии двусторонних зависимостей и не обеспечивают логического анализа при выборе начальных событий.
Пример 7.2. На рис. 7.3 показана система последовательно соединенных элементов, которая включает насос и клапан, имеющие соответственно вероятности безотказной работы 0,98 и 0,95, а также приведено «дерево решений» для этой системы. Следует отметить, что, согласно принятому правилу, верхняя ветвь соответствует желательному режиму работы системы, а нижняя – нежелательному. «Дерево решений» читается слева направо.
Рис. 7.3. Принципиальная схема (а) и «дерево решений» (б)
для двухэлементной системы
Если насос не работает, система отказывает независимо от состояния клапана. Если насос работает, с помощью второй узловой точки (
) изучается вопрос, работает ли клапан. Вероятность безотказной работы системы: Р(t) = 0,98 · 0,95 = 0,931. Вероятность отказа: Q(t) = 0,98 · (0,05 + 0,02) = 0,069, а суммарная вероятность двух состояний системы равна единице.
7.3.8. Таблица решений
Метод таблицы решений применяется «при наличии достаточной информации, относящейся к анализируемой системе, а также набора моделей отдельных элементов» [64].
Составляется перечень событий для каждого элемента на его выходе
(событий на выходе). Каждое событие на выходе детально определяет состояние выхода. Точно так же определяется совокупность событий на входе каждого элемента для определения состояния на входе. В качестве примера рассматривается клапан теплообменника (рис. 7.3) и события: высокий, средний или низкий расход на выходе и высокое, среднее или низкое давление на входе.
Внутренние режимы работы или состояния элемента можно рассматривать в виде различных входов со стороны других элементов или со стороны окружающей среды. Открытие клапана может рассматриваться как событие на входе, имеющее три уровня: полностью открытый, нормальный и полностью закрытый (с нулевым открытием).
Если клапан настраивается наладчиком на открытие, оно рассматривается как входное событие со стороны наладчика.
Если открытие клапана не зависит от других элементов, оно считается входным событием со стороны окружающих условий для данной системы.
Каждый вход со стороны окружающей среды считают исходным событием, входные события со стороны других элементов являются событиями, отражающими состояние системы или состояние элемента. Все вместе входные и выходные события составляют набор возможных событий, относящихся к рассматриваемой системе.
Пример, рассмотренный в п. 7.3.7, может быть решен с помощью таблицы решения, которая для насоса и клапана имеет вид:
Таблица 7.2
Таблица решений
| Состояние насоса | Состояние клапана | Вероятность работоспособного состояния | Вероятность отказа системы |
| Работает | Работает | 0,98 · 0,95 | – |
| Отказ | Работает | – | 0,02 · 0,95 |
| Работает | Отказ | – | 0,98 · 0,05 |
| Отказ | Отказ | – | 0,02 · 0 ,05 |
| Суммарная величина | 0,931 | 0,069 | |
Подробное описание метода дано в [64].
8. Построение «дерева неисправностей»
8.1. «Дерево неисправностей» как модель структуры
отказов системы
Метод «дерева неисправностей» («дерева отказов и неработоспособных состояний») описан, в частности, в [16], [17]. Особенность метода состоит в том, что он сочетает в себе количественные и качественные приемы анализа.
Согласно стандарту [7], неисправное состояние (неисправность) – состояние объекта, при котором он не соответствует хотя бы одному из требований нормативно-технической и (или) конструкторской (проектной) документации. Отказ – событие, заключающееся в нарушении работоспособного состояния объекта. Нетрудно заметить, что по структуре «дерево неисправностей» наиболее близко «дереву отказов», используемому рядом авторов [64].
Процедура построения «дерева неисправностей»(«дерева отказов»),«дерева отказов и неработоспособных состояний» является удобным методом анализа причин отказов и выработки наиболее эффективных мероприятий для их устранения. Анализ проводят для определенного периода функционирования, отдельной части или системы в целом.
«Дерево неисправностей» (отказов, аварий, происшествий, последствий, нежелательных событий, несчастных случаев и пр.) – составная часть логико-вероятностной модели причинно-следственных связей отказов системы с отказами ее элементов и другими событиями (воздействиями). При анализе причин возникновения отказа строится «дерево