_Быков Зайковский В ПЕЧАТЬ 18.05.2022
.pdf
Барьер, препятствующийпоявлениюпоследствия1, приразвитииаварии 2
Барьер, препятствующийразвитиюаварии1, вызванной причиной1 |
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
причина |
|
|
|
|
Развитиеаварии |
|
Развитиеаварии |
|
|
|
|
последствия |
|
= |
5 |
1 |
0 |
|
|
|
1 |
|
2 |
|
|
|
|
1 |
|
|
|
1 партия в год |
|
1 |
|
|
|
|
4 |
Мин.треб 6балов |
|
||||
Барьер, препятствующийразвитиюаварии3, вызваннойпричиной 2 и3
Барьер, препятствующийразвитию аварии 3, вызваннойпричиной2
причина
= 7 |
2 |
|
|
|
|
10 раз в год |
|
|
|
|
-2 |
2 |
||
|
|
|||
Развитиеаварии
3
3
причина
= 9 |
3 |
2 |
|
Раз в 10лет |
Рисунок 3.23. Барьерная диаграмма с баллами и критериями приемлемости
290
обсуждаются критерии приемлемости, рассматривается структура барьерных диаграммибарьеры, которыеможно установить,устанавливаются баллы для частоты и надежности барьеров. Барьерные диаграммы сами по себе могут быть использованы в качестве отчета, иногда сопровождаемого замечаниями. Замечания особенно важны, если требуются изменения или определены дополнительные барьеры.
3.4. Логико-вероятностные методы
количественного анализа риска
Методы количественного анализа риска, как правило, характеризуются расчетом нескольких показателей риска и могут включать один или несколько вышеупомянутых методов (или использовать их результаты).
Практика показывает, что крупные аварии, как правило, характеризуются комбинацией случайных событий, возникающих с различной частотой на разных стадиях возникновения и развития аварии (отказы оборудования, ошибки человека, нерасчетные внешние воздействия, разрушение, выброс, пролив вещества, рассеяние веществ, воспламенение, взрыв, интоксикация и т.д.). Для выявления причинно-следственных связей между этими событиями наиболее часто используют логико-вероят- ностные или логико-графические методы построения и анализа «деревьев отказов» и «деревьев событий».
Методы построения и количественного анализа
деревьев отказов (FTA)
Методыанализа деревьев отказовиспользуют для анализа сложных систем, включающих несколько функционально связанных или зависимых подсистем. Примерами систем, к которым обычно применяют анализдерева отказов,являются объектыядерной энергетики,самолеты, системы связи, промышленные, химические и другие объекты.
Дерево отказов – это графическое представление логических связей между отказами оборудования и авариями или чрезвычайными ситуациями техногенного характера.
Анализ дерева отказов (АДО) (Fault Tree Analysis – FTA) (Weber, 1984) или дерева неисправностей, как определяется в (ГОСТ Р 27.302-
291
2009), является одним из методов идентификации опасностей и количественного анализа риска. Анализ дерева отказов позволяет выявить пути реализации опасного события, однако в первую очередьнацеленна определение вероятностей или частот возникновения аварий.
Общая характеристика метода анализа деревьев отказов
FTA основан на графическом логическом описании механизма отказов системы. Одним из главных достоинств метода FTA является систематичное, логически обоснованное построение множества отказов элементов системы, которые могут приводить к аварии. FТА требует от исследователя полного понимания функционирования системы и характера возможных отказов ее элементов.
До началапостроения дереваотказовнеобходимо специально определить верхнее или головное событие (как правило, авария или отказ блока, всей системы). Дерево отказов представляет собой дедуктивное логическое построение, которое использует концепцию одного финального события с целью нахождения всех возможных путей, при реализации которых оно может произойти.
Для этого рассматривается, какие события или их комбинации могут привести непосредственно к возникновению финального или головного события. Затем каждое из этих событий рассматривается как вершина дерева и процесс повторяется до тех пор, пока не будет достигнут такой уровень детализации, на котором полученные события уже будут неделимы в принципе или по соображениям решения задачи, или в силу отсутствия необходимой информации, или из-за нежелания рассматривать слишкомгромоздкуюструктуру.Такие события называют базовыми, инициирующими, элементарными или исходными. Все остальные события – порожденными или промежуточными. Другими словами, данный метод является методом «обратного осмысливания», т.е. исследователь начинает с аварии или другого нежелательного головного или финального события (часто также называемого верхним нежелательным событием – ВНС) и рассматривает события, которые могут приводить к его реализации. Затем исследуются причины возникновения этих событий и т.д., до тех пор, пока не будут выявлены все первичные события.
Пример дерева «отказов/неисправностей» для аварийного генератора представлен на рисунке 3.29 (ГОСТ Р 27.302-2009).
292
Рисунок 3.29. Пример дерева отказов/неисправностей» для аварийного генератора (ГОСТ Р 27.302-2009)
Символика дерева отказов
Для графического представления дерева отказов/неисправностей необходимо, чтобы символы, идентификаторы и метки использовались непротиворечивым способом.
Символы, представленные в таблице 3.27, взяты из ГОСТ Р 27.3022009, в котором они в свою очередь заимствованы из МЭК 61025:2006 (IEC 61025:2006). Данные клапаны позволяют построить дерево отказов для огромного большинства систем. Однако существуют ситуации, когда отказ наступает только при определенном порядке возникновения входных событий (отказов) или же в случае соблюдения некоторых временных условий(например, действиекакого-нибудь фактора втечение определенного интервала времени), который больше допустимого, либо при некоторойкомбинации этихтребований.В этомслучаепостроениеианализ деревьев отказов значительно усложняется. Равно как при анализе сложных систем могут потребоваться дополнительные символы для кла-
293
панов, чтобы добиться максимальной простоты дерева отказов и обеспечить его читаемость. В таблице 3.27 приводится широкий перечень символов, рекомендуемых к использованию в (ГОСТ Р 27.302-2009) при построении деревьев отказов.
Таблица 3.27. Символы, наиболее часто используемые в процессе анализа дерева неисправностей (ГОСТ Р 27.302-2009)
|
|
|
|
Число |
Символ |
Наимено- |
Описание |
Отношение |
вход- |
|
вание |
|
к безотказности |
ных со- |
|
|
|
|
бытий |
|
|
|
|
|
1 |
2 |
3 |
4 |
5 |
|
|
|
|
|
|
Базисное |
Событие самого низкого |
Вид неисправно- |
0 |
|
событие |
уровня, для которого |
сти компонента |
|
|
|
имеются данные, касаю- |
или причина вида |
|
|
|
щиеся вероятности его |
неисправности |
|
|
|
появления |
|
|
|
|
|
|
|
|
Условное |
Событие, которое |
Появление собы- |
0 |
|
событие |
является результатом по- |
тия, которое |
|
|
|
явления другого |
должно появиться |
|
|
|
события, при этом |
для развития дру- |
|
|
|
для развития завершаю- |
гого события. |
|
|
|
щего события должны |
Условная |
|
|
|
состояться оба события |
вероятность |
|
|
|
|
|
|
|
Скрытое |
Первичное событие, |
Скрытый вид |
0 |
|
событие |
отображающее скрытый |
отказа компонента |
|
|
|
отказ; событие, которое |
или скрытая при- |
|
|
|
нельзя обнаружить сразу, |
чина отказа |
|
|
|
но которое, возможно, |
|
|
|
|
будет обнаружено при |
|
|
|
|
дополнительной про- |
|
|
|
|
верке или анализе |
|
|
|
|
|
|
|
|
Неразви- |
Первичное событие, |
Событие, внося- |
0 |
|
тое собы- |
относящееся к неразра- |
щее вклад в веро- |
|
|
тие |
ботанной части системы |
ятность отказа. |
|
|
|
|
Структура части |
|
|
|
|
системы не опре- |
|
|
|
|
делена |
|
|
|
|
|
|
294 |
|
|
|
|
Продолжение таблицы 3.27
1 |
2 |
3 |
4 |
5 |
|
|
|
|
|
|
Вентиль |
Вентиль, указывающий |
Частичная диа- |
0 |
|
пере- |
на то, что данная часть |
грамма дерева неис- |
|
|
носа |
системы разрабатывается |
правностей, приве- |
|
|
|
в другой части страницы |
денная в другом |
|
|
|
или диаграммы |
месте диаграммы |
|
|
|
|
системы. |
|
|
|
|
IN означает, что раз- |
|
|
|
|
виваемый вентиль |
|
|
|
|
находится в другом |
|
|
|
|
месте, OUT – что |
|
|
|
|
вентиль будет пере- |
|
|
|
|
несен в другое место |
|
|
|
|
|
|
|
Вентиль |
Выходное событие насту- |
Отказ наступает, |
>= 2 |
|
ИЛИ |
пает, если наступает лю- |
если любая часть |
|
|
|
бое из входных событий |
системы отказывает |
|
|
|
|
(последовательная |
|
|
|
|
система) |
|
|
|
|
|
|
|
Мажо- |
Выходное событие насту- |
Резервирование k |
>= 3 |
|
ритар- |
пает, если наступают m |
элементов из общего |
|
|
ный |
или более входных собы- |
числа n, где m = n – k |
|
|
вентиль |
тий из общего числа n |
– 1 |
|
|
|
|
|
|
|
Вентиль |
Выходное событие насту- |
Параллельное |
>= 2 |
|
И |
пает, если |
резервирование из n |
|
|
|
наступают все входные |
одинаковых или раз- |
|
|
|
события |
личных ветвей |
|
|
|
|
|
|
|
Вентиль |
Выходное событие насту- |
Пригоден для пред- |
>= 2 |
|
И |
пает, если входные собы- |
ставления вторичных |
|
|
с прио- |
тия наступают последова- |
отказов или для опи- |
|
|
ритетом |
тельно слева направо |
сания последова- |
|
|
|
|
тельности событий |
|
|
|
|
|
|
|
Вентиль |
Выходное событие насту- |
Условная вероят- |
2 |
|
запрета |
пает, если наступают оба |
ность появления |
|
|
|
входных события, одно |
выходного |
|
|
|
из которых условное |
события |
|
|
|
|
|
|
|
|
|
|
295 |
Окончание таблицы 3.27
1 |
2 |
3 |
4 |
5 |
|
|
|
|
|
|
Вентиль |
Выходное событие насту- |
Несовместные (взаи- |
1 |
|
НЕ |
пает, если не наступает |
моисключающие) со- |
|
|
|
входное событие |
бытия |
|
|
|
|
|
|
|
Вентиль |
Завершающее событие |
Используют для |
>= 3 |
|
очеред- |
наступает, если все ис- |
представления по- |
|
|
ности |
ходные события насту- |
следовательно воз- |
|
|
|
пают поочередно слева |
никающих (цепных) |
|
|
|
направо. Этот вентиль |
отказов. Также ис- |
|
|
|
идентичен вентилю И с |
пользуют для пред- |
|
|
|
приоритетом, если число |
ставления последо- |
|
|
|
входов вентиля И с прио- |
вательности |
|
|
|
ритетом не менее двух |
нагрузок, способных |
|
|
|
|
вызвать развитие со- |
|
|
|
|
бытия или отказа. |
|
|
|
|
Следует применять |
|
|
|
|
марковский анализ |
|
|
|
|
|
|
|
Вентиль |
Завершающее |
Представление |
>= 1 |
|
резерва |
событие наступает, если |
нагруженного, нена- |
|
|
|
число запасных компо- |
груженного и ча- |
|
|
|
нентов меньше требуе- |
стично нагружен- |
|
|
|
мого числа |
ного запасных |
|
|
|
|
компонентов |
|
|
|
|
|
|
|
Соб- |
Событие, которое произо- |
– |
– |
|
ствен- |
шло или обязательно про- |
|
|
|
ное |
изойдет |
|
|
|
событие |
|
|
|
|
|
|
|
|
|
Нулевое |
Событие, которое не мо- |
– |
– |
|
событие |
жет произойти |
|
|
|
|
|
|
|
Отметим, что существуют также альтернативные условные обозначениясимволовдерева отказов, например минимальныйнабор символов, который приведен на рисунке 3.30, был использован в работе (Блок, Селиг, Порфирьев и др., 1999).
296
Выходные
данные
Ввод данных, |
Промежуточное |
условие «и» |
событие |
Выходные
данные
Ввод |
данных, |
Базовое событие |
Неразвивающееся |
условие «или» |
событие |
||
Рисунок 3.30. Альтернативные символы, использованные в деревьях отказов (Блок, Селиг, Порфирьев и др., 1999)
Очень важно определить и зафиксировать используемые символы, которые должны обеспечивать однозначное и непротиворечивое их применение при анализе конкретного дерева отказов/неисправностей. Это особенно важно, если анализ проводят автоматизированными методами.
Основные этапы процесса проведения исследования методом дерева отказов
Анализ дерева отказов/неисправностей можно разделить на ряд «шагов» (этапов). Определенная последовательность «шагов», выполняемая для конкретной системы, не может быть абсолютно аналогична последовательности, установленной для принципиально другой системы. Тем не менее проведение исследования методом дерева отказов можно представить в виде, например, следующих достаточно характерных этапов.
Описание и исследование системы, определение ее границ.
Определение головного события.
Построение дерева отказов.
Анализ дерева отказов.
297
Результаты, получаемые на каждом этапе, документируются и составляют основу содержания отчета об исследовании по методу FTA.
Описание и исследование системы, определение ее границ
Приописаниисистемысобираетсяинформацияо способахфункционирования системы, процессах, технических средствах, ошибках операторов, о свойствах материалов, используемых в процессах и вне процессов, об опасностях, связанных с аппаратурой и определенных структурой процесса и его компонентами (например, выброс токсичного вещества через ошибочно открытый клапан). Должна быть указана начальная конфигурация оборудования (необходимо указать, например, какие клапаны открыты, какие закрыты). Определяются физические границы системы, наличие недостаточных данных.
Каждый технологический процесс характеризуется некоторым наборомпеременных процесса, отклонениякоторых от своих рекомендованных значений могут приводить к непредвиденным химическим реакциям, превышению рабочего давления и/или температуры и, как следствие, к повреждению (разрушениям) технологического оборудования. Находятся контролирующие переменные, изменение которых может привести к отказам. Другими словами, исследование системы нацелено на учет всех возможных и невозможных событий.
Дляуспешногоанализадереваотказов/неисправностейнеобходимо детальное знание системы. Однако некоторые системы могут быть слишком сложны, чтобы быть полностью понятыми одним человеком. В этом случае получение необходимых специализированных знаний о системе должно включаться как соответствующий элемент последующих этапов анализа дерева отказов/неисправностей.
Определение головного события
Требует точности и определенности,посколькунеточно определенное головное событие может являтьсяпричиной дальнейшего некорректного анализа. Часто основывается на результатах предварительного применения методов качественной оценки опасностей (например, HAZOP
или FMEA).
Построение дерева отказов
Рассматриваемое головное событие изображается на вершине. Деревья отказов могут быть изображены в вертикальном или горизонтальном расположении. Если используется вертикальное расположение,
298
то вершина событий должна быть расположена наверху, а основные события – внизу. Если используется горизонтальное расположение, то вершина событий может быть расположена как слева, так и справа.
При построении дерева логическая схема отталкивается от головного события. Исходная точка – это не причины, приведшие к событию, а оно само. И только задав событие, можно начинать исследование возможных причин его появления.
Ветви дерева представляют собой все пути, по которым событие может реализовываться, а связь между исходными событиями и головным событием осуществляется через логические условия – клапаны. Например,головноесобытиеАнарисунке3.31 будетпроисходитьтолько в случае, если произошли оба события В и С. Событие С произойдет в случае, если произошло событие D или E.
Рисунок 3.31. Иллюстративный пример дерева отказов
Другие нюансы и особенности процесса построения деревьев отказовиих архитектурымогут бытьнайденыв обширнойлитературе потеории надежности.
При построении деревьев отказов, непосредственные необходимые и достаточные причины, обусловливающие появление головного события трактуются как события, предшествующие головному, и уже для таких событий определяются непосредственные необходимые и достаточные причины. Таким образом достигается нижний уровень дерева отказов посредством перехода от механизма к режимам и непрерывного приближения к более высокой разрешающей способности механизма и режимов, пока не будет достигнут предел разрешающей способности
299