_Быков Зайковский В ПЕЧАТЬ 18.05.2022
.pdfприменяемое оборудование;
условия окружающей среды;
схема расположения;
области контакта и взаимодействия между компонентами системы и т.д.
Один или несколько риск-аналитиков дают оценку степени (уровня)производственных опасностей,опасных ситуацийи в соответствии с выбранным критерием ранжируют их. Это ранжирование используется для установления приоритетов при выработке рекомендаций по повышению уровня безопасности и определения потребностей
вболее детальном анализе.
Полученные результаты могут быть представлены различными способами, например в виде таблиц и «деревьев».
Реализация данного метода завершается определением возможностей возникновения аварии, качественной оценкой величины возможного вреда или ущерба здоровью, который мог быть нанесен, и идентификацией возможных мер. PHA должен корректироваться на стадиях проектирования, изготовления и испытания для обнаружения новых опасностей, внесения поправок и его совершенствования.
Проверки концепции безопасности проекта
Данный методприменяется только при первичных проверках. Он используется в химической промышленности на самой ранней стадии проектирования завода – до составления технологических карт и карт контроля безопасности. При помощи этого метода анализируются различные варианты и рассматриваются общие организационные вопросы. Осуществляется сбор общей информации об инцидентах, произошедших ранее как внутри, так и вне организации, об опасных свойствах химических веществ либо планируемых к использованию, либо их заменителей. Аналитическойгруппойрассматриваютсязадачи проекта, возможные стадии производственного цикла, химические вещества, которые могут быть использованы на каждой стадии цикла, а также состав образующихся при этом отходов.
Целью проверки является оценка возможных опасностей, возникающих в процессе производства, предпочтительности использования того или иного химического процесса с точки зрения его опасности и конкретных законодательных актов, регулирующих деятельность
210
рассматриваемого предприятия. Именно в этот момент необходимо установить степень глубины и сроки всех последующих проверок безопасности. Проверка концепции безопасности проекта должна обеспечить проектировщикам обоснование необходимости и конкретного совершенствования проекта и гарантировать, что эти улучшения будут реализованы уже на стадии проектирования.
При разработке концепции безопасности проекта присущие веществам опасные свойства рассматриваются с точки зрения защиты здоровья и жизни персонала предприятия, воздействия на население и окружающую среду. Это полезный метод, стимулирующий использование подходов, отражающих внутренне присущие свойства безопасности объектов. Внутренне присущая объектам безопасность достигается путем рассмотрения сначала возможности замены данного вещества более безопасным, а затем возможности сокращения запасов применяемых опасных веществ.
Метод анализа ошибок персонала (HRA)
Метод анализа ошибок персонала (Human Reliability Analisis – HRA) предназначен для качественной оценки событий, связанных с ошибками персонала. Он также может быть использован для разработки рекомендаций по снижению вероятности таких ошибок
(Reliability, 1991; Services, 1990).
Ошибка персонала – это действие, которое выполняется или не выполняетсяпринекоторых условиях.Этомогут бытьфизическиедействия (поворот рукоятки) или действия, связанные с умственной деятельностью(диагностика отказовилипринятиерешения). Многие процессы содержат потенциальные возможности для ошибок персонала, в особенностивтех случаях,когдавремя,которымрасполагает оператор для принятия решений, ограничено. Вероятность того, что проблемы будут развиваться негативным образом, зачастую мала. Иногда действия со стороны персонала ограничиваются возможностью предотвращения начальной неисправности, прогрессирующей в направлении аварии.
НRА включает идентификацию условий, которые вызывают ошибки людей и оценку вероятностей таких ошибок. Преднамеренные действия в данном анализе в расчет не принимаются.
211
При помощи HRA идентифицируются разнообразные типы ошибочных действий, которые могут иметь место, в том числе следующие:
а) ошибка по оплошности, недосмотр, выразившийся в невыполнении требуемого действия;
б) ошибка несоответствия, которая может предусматривать:
положение, когда требуемое действие выполняется несоответствующим образом;
действие, выполняемое слишком большим или слишком малым усилием либо без требуемой точности;
действие, выполняемое в неподходящее для него время;
действие (или действия), выполняемое в неправильной очеред-
ности; в) лишнее действие, ненужное действие, выполняемое вместо
требуемого действия или в дополнение к нему.
В результате HRA выявляются действия, которые могут воссоздать предшествующие ошибки.
Дляанализаошибокперсоналаиспользуютразличныеметодики,содержащие:
определение перечня задач (действий), которые решает (выполняет) или должен решать (выполнять) оператор;
представление с помощью декомпозиции каждой такой задачи (действия) в виде комбинации элементарных действий с целью выявления среди них наиболее подверженных ошибкам и определения точек взаимодействия оператора и системы;
использование данных, получаемых из записей о предшествующих событиях;
определение наличия условий, влияющих на частоту ошибок, к которым относятся стрессы, уровень тренированности и качество систем отображения информации.
В целом, как указывается в ГОСТ Р 51901.1-2002, HRA может включать в себя следующие этапы:
анализ задачи;
выявление ошибки персонала;
количественное определение влияния на надежность человеческого фактора.
212
Анализ задачи и выявление ошибки персонала необходимо начинать на стадии концепции и на ранних этапах проектирования и разработки. Они должны модернизироваться на более поздних стадиях развития системы.
Анализ задачи (ТА). Целью ТА в процессе HRA является подробное описание и определение характера задачи, подлежащей анализу, для выявления ошибки персонала и/или количественной оценки влияния на надежность человека. Анализ задачи может также проводиться для других целей, таких как оценка взаимодействия человека с машиной или планирование процедуры.
Выявление ошибки персонала (HEI). На данном этапе иденти-
фицируются и описываются возможные ошибочные действия при исполнениизадачи. Выявление ошибки персоналаможет включатьвыявление возможных последствий и причин ошибочных действий, а такжепредложениемерпо снижениювероятностиэтойошибки, совершенствованиюперспективдля исправленияи/или уменьшения последствий ошибочных действий. Результаты HEI, таким образом, обеспечивают ценный вклад в управление риском даже в том случае, если не проводится никакая количественная оценка.
Количественная оценка влияния на надежность человече-
ского фактора (HRQ). Целью HRQ является оценка вероятности правильного выполнения задачи или вероятности ошибочных действий. Некоторыетехнические приемымогут также предусматриватьшагипо оценке вероятности или частоты определенных последовательностей нежелательных событий или нежелательных исходов.
Количественные характеристики ошибок персонала получают, например, с помощью «Метода прогноза частоты ошибок персонала»
(Technique For Human Error Rate Prediction – THERP) или «Плана раз-
вития последовательности событий» (Ассident Seqvence Evaluation Program – ASEP) (Services, 1990).
Отметим, что в реализации методологии HRA заняты исследователи и практики, являющиеся, как правило, специалистами в сферах либо теории и практики надежности, либо психологии и человеческих факторов.
Как неоднократно указывалось, методы могут применяться изолированно или в дополнение друг к другу, причем, как будет продемонстрировано далее, методы качественного анализа могут включать количественные критерии риска (в основном, по экспертным оценкам,
213
с использованием, например, матрицы «частота – тяжесть последствий» для ранжирования опасности). По возможности полный количественный анализ риска должен использовать результаты качественного анализа опасностей.
3.2.Характеристика качественных методов оценок опасностей, использующих
количественные критерии
Анализ вида и последствий отказов (FMEA)
Анализ вида и последствий отказов (АВПО) (Failure Mode and Effects Analysis – FMEA) применяется для качественного анализа опасности рассматриваемого объекта или системы. Анализ видов и последствий отказов (FMEA) является методом систематического анализа системы для идентификации видов потенциальных отказов, их причин и последствий, а также влияния отказов на функционирование системы (системы в целом или ее компонентов и процессов). Термин «система» использован для описания аппаратных средств, программного обеспечения (с их взаимодействием) или процесса. Под технической системой в зависимости от целей анализа могут пониматься как совокупность технических устройств, так и отдельные технические устройства или их элементы. Рекомендуется проводить анализ на ранних стадиях разработки, когда устранение или снижение последствий и количества видов отказов является экономически наиболее эффективным. Существеннойчертойэтогометодаявляетсярассмотрениекаждогоаппарата (установки, блока, изделия) или составной части системы (элемента) на предмет того, как он может стать неисправным (вид и причина отказа) и какое было бы воздействие отказа на техническую систему.
До применения FMEA необходимо провести иерархическую декомпозицию системы (аппаратных средств с программным обеспечением или процесса) на основные элементы. Полезно использовать простые блок-схемы, иллюстрирующие декомпозицию (см.: ГОСТ Р
51901.14-2007 (МЭК 61078:2006)). Анализ при этом начинают с эле-
ментов самого нижнего уровня системы. Последствие отказа на нижнем уровне может стать причиной отказа объекта на более высоком уровне. Анализ проводят снизу вверх по восходящей схеме, пока не
214
будут определены конечные последствия для системы в целом. Собственно, анализ АВПО может быть начат, как только система может быть представлена в виде функциональной блок-схемы с указанием ее элементов.
Традиционно существуют достаточнобольшиеразличиявпроцедурах, способах проведения и представления результатов FMEA (см.,
например: ГОСТ Р51901.12-2007;Greenberg,Gramer,1991;Stephenson, 1991; Henley, Kumamoto, 1981; Klaassen, van Peppen, 1989; McCormick, 1981; Lees, 1980; Procedures, 1977; Hammer, 1972; Wagoner, 1988; Lambert, 1978; Guidelines, 1999; Procedures, 1980; Jordan, 1982).
Обычно анализ выполняют, идентифицируя виды отказов, соответствующие причины, непосредственные и итоговые последствия. Аналитические результаты могут быть представлены в виде рабочей таблицы, содержащей наиболее существенную информацию о системе в целом и деталях, учитывающих ее особенности, в частности о путях потенциальных отказов системы, компонентов и видах отказов, которые могут быть причиной отказа системы, а также причинах возникновения каждого вида отказа.
Проведение анализа может быть разбито на ряд этапов:
определение границ системы для анализа;
осознание требований и функций системы;
определение критерия отказа/работоспособности;
определение видов отказов и последствий отказов каждого объекта в отчете;
описание каждого последствия отказа;
составление отчета.
Символическое представление структуры функционирования системы, особенно в виде схемы, очень полезно при проведении анализа. Необходиморазработатьпростые схемы, отражающие основныефункции системы. В схеме линии соединения блоков представляют собой входы и выходы для каждой функции. Характер каждой функции и каждого входа должен быть точно описан. Для описания различных фаз эксплуатации системы может потребоваться несколько схем.
В соответствии с продвижением проектирования системы может быть разработана схема с блоками, представляющими реальные компоненты или составные части. Такое представление дает дополнительную информацию для более точной идентификации потенциальных видов отказов и их причин.
215
Блок-схемы должны отражать все элементы, их отношения, резервирование и функциональные взаимосвязи между ними. Это обеспечивает прослеживаемость функциональных отказов системы. Для описания альтернативных режимов эксплуатации системы может потребоваться несколько блок-схем. Могут потребоваться отдельные схемы для каждого режима эксплуатации. Как минимум, каждая блоксхема должна содержать:
a)декомпозицию системы на основные подсистемы, включая их функциональные взаимосвязи;
b)все соответственно отмеченные входы и выходы и идентификационные номера каждой подсистемы;
c)все резервирования, предупреждающую сигнализацию и другие технические особенности, которые обеспечивают защиту системы от отказов.
Важно, чтобы оценка всех объектов в пределах границ системы на самом нижнем уровне для идентификации всех потенциальных видов отказов была согласована с целями анализа. Затем проводят исследования, позволяющие определить возможные отказы, а также последствия отказов для подсистем и функций системы.
Каждый отказ рассматривается как независимый случай, без ка- кого-либо отношения к другим отказам, за исключением тех, которые оказывают непосредственное прямое воздействие. Однако для особых обстоятельств могут быть рассмотрены общие причины отказов более чем для одной системы. В очень небольшом числе установок для процессов могут иметь место более трех одновременных критичных отказов, не приводящих к выпуску. Имеется незначительное число задокументированных случаев катастрофических инцидентов, произошедших на установке для процесса, которые были вызваны одновременным отказом двух или трех абсолютно независимых систем. Во многих ситуациях формулировка всех комбинаций из одного и двух событий, способствующих инциденту, определяет все, что может быть обосновано опытом анализа предыдущих инцидентов. Эти комбинации могут быть идентифицированы за приемлемое время, если руководствоваться следующим (Guidelines, 1999; Lees, 1996; Блок, Селиг, Порфирьев и др., 1999):
1. Разделить установку на группы дискретных подсистем, каждая изкоторых должна бытьдостаточнонебольшой длятого,чтобыможно
216
было быстро определить, имеет ли данная комбинация отказов потенциал для возникновения инцидента в системе или процесс разрешится внутри подсистемы. Типичная подсистема, например, может состоять из ректификационной колонны, ее конденсатора, испарителя и регуляторов.
2. Перечислить и просмотреть все комбинации случаев отказов внутри каждой подсистемы, рассматривая только принципиальные функциональные режимы отказов для каждого устройства. Например, управляющий клапан может давать отказ при открывании или закрывании. Контролер может дать отказ при выполнении своей функции управления или сработать преждевременно. Для дальнейшего анализа составляется список всех комбинаций отказов, результатом которых может быть, например:
выпуск из оборудования внутри подсистемы (трещина в резервуаре или в канале, вентиляции, переполнение и т.п.);
нарушение хода процесса (высокое/низкое давление, температура, скорость потока, потеря энергии и т.п.) внутри подсистемы, которое может быть передано на одну или несколько других подсистем протекания процесса или на линии управления, которые связывают подсистемы между собой. При формулировании комбинаций из двух или трех событий отказов, которые должны быть перечислены длярассмотрения, не рекомендуется комбинировать те события, которые не могут способствовать возникновению одной и той же физической проблемы. Например, одновременные отказы системы отключения из-за высокого и низкого давления или датчиков тревоги на одном и том же сосуде не могут вместе способствовать образованию высокого давления в этом сосуде. Это сокращает число комбинаций событий отказов, требующих рассмотрения, из числа возможных комбинаций.
3. Если обнаружены комбинации отказов, которыепередаются на другие подсистемы, эти комбинации должны быть учтены и при анализе других подсистем.
Успешное функционирование системы зависит от функционированиякритических элементовсистемы. Дляоценки функционирования системынеобходимоидентифицироватьеекритическиеэлементы. Эффективность процедур идентификации видов отказов, их причин и последствий может быть повышена с помощью подготовки списка ожидаемых видов отказов на основе следующих данных:
217
назначения системы;
особенностей элементов системы;
режима работы системы;
требований к эксплуатации;
ограничений по времени;
воздействий окружающей среды;
рабочих нагрузок.
Различным типам систем соответствуют различные списки. Пример списка общих видов отказов приведен в таблице 3.3.
Таблица 3.3. Пример списка общих видов отказов
Номер вида отказа |
Наименование вида отказа |
1 |
Отказ в процессе функционирования |
2 |
Отказ, связанный с несрабатыванием |
|
в установленное время |
3 |
Отказ, связанный с непрекращением работы |
|
в установленное время |
4 |
Преждевременное включение |
Фактически каждый вид отказов можно отнести к одному или нескольким из указанных общих видов. Однако эти общие виды отказов имеют слишком широкую область анализа. Следовательно, список необходимо расширить, чтобы сузить группу отказов, отнесенную к исследуемому общему виду отказов. Требования к параметрам управления входами и выходами, а также потенциальные виды отказов должны быть идентифицированы и описаны на структурной схеме надежности объекта. Необходимо отметить, что один вид отказов может иметь несколько причин.
Причины отказов для каждого потенциального вида отказов должны быть идентифицированы и описаны. Так как вид отказов может иметь несколько причин, наиболее вероятные независимые причины каждого вида отказов должны быть идентифицированы и описаны.
Идентификация и описание причин отказов не всегда необходимы для всех видов отказов, идентифицированных при проведении анализа. Идентификация и описание причин отказов и предложений по их устранению должны быть выполнены на основе изучения
218
последствий отказов и их тяжести. Чем тяжелее последствия вида отказов, тем более точно должны быть идентифицированы и описаны причины отказов. В противном случае можно потратить ненужные усилия на идентификацию причин таких видов отказов, которые не влияют на функционирование системы или имеют очень незначительные последствия.
Причины отказов могут быть определены на основе анализа эксплуатационных отказов или отказов в процессе испытаний. Если проект является новым и не имеет прецедентов, причины отказов могут быть установлены экспертными методами,
Последствия каждого вида отказов для функционирования элементов, функции или статуса системы должны быть идентифицированы, оценены и зарегистрированы. Последствия отказа могут воздействовать на следующий и, в конечном счете, на высший уровень анализа системы. Поэтому кроме локальных последствий для рассматриваемого элемента системы на каждом уровне последствия отказов должны быть оценены для следующего, более высокого уровня.
При идентификации последствий для системы в целом последствия возможного отказа для высшего уровня системы определяют и оценивают на основе анализа на всех промежуточных уровнях. Последствия высшего уровня могут быть результатом многократных отказов. Например, отказ устройства безопасности приводит к катастрофическим последствиям для системы в целом только в случае отказа устройства безопасности одновременно с выходом за допустимые пределы главной функции системы, для которой предназначено устройство безопасности. Эти последствия, являющиеся результатом многократных отказов, должны быть указаны в рабочих таблицах.
Тяжесть последствий отказа является оценкой значимости влияния последствий вида отказа на функционирование объекта. Классификация тяжести последствий отказа, зависящая от особенностей применения FMEA, разрабатывается с учетом нескольких факторов:
характеристики системы в соответствии с возможными отказами, особенностями пользователей или окружающей среды;
функциональных параметров системы или процесса;
любых требований заказчика, установленных в контракте;
законодательных требований и требований безопасности;
требований, связанных с гарантийными обязательствами.
219