Анализ риска аварий
Инцидент − отказ или повреждение технических устройств, применяемых на опасном производственном объекте (ОПО), отклонение от установленного режима технологического процесса.
Авария - разрушение сооружений и (или) технических устройств, применяемых на опасном производственном объекте, неконтролируемые взрыв и (или) выброс опасных веществ (ст. 1 Федерального закона "О промышленной безопасности опасных производственных объектов" от 21.07.97).
Риск аварии - возможность возникновения аварии и тяжесть ее последствий.
Основными количественными показателями риска аварии являются:
- технический риск - вероятность отказа технических устройств с последствиями определенного уровня (класса) за определенный период функционирования опасного производственного объекта;
- индивидуальный риск - частота поражения отдельного человека в результате воздействия исследуемых факторов опасности аварий;
- коллективный риск - ожидаемое количество пораженных в результате возможных аварий за определенный период времени;
- потенциальный территориальный риск (или потенциальный риск) - частота реализации поражающих факторов аварии в рассматриваемой точке территории;
- социальный риск, или F/N кривая - зависимость частоты возникновения событий F, в которых пострадало на определенном уровне не менее N человек, от этого числа N. Характеризует тяжесть последствий (катастрофичность) реализации опасностей;
- ожидаемый ущерб - математическое ожидание величины ущерба от возможной аварии за определенный период времени.
Анализ риска аварии - процесс, используемый для определения вероятности (или частоты) и степени тяжести последствий аварии. Оценка риска включает анализ вероятности (или частоты), анализ последствий и их сочетания.
Приемлемый риск аварии - риск, уровень которого допустим и обоснован исходя из социально - экономических соображений. Риск эксплуатации объекта является приемлемым, если ради выгоды, получаемой от эксплуатации объекта, общество готово пойти на этот риск.
Анализ риска аварий является составной частью управления промышленной безопасностью.
Процесс проведения анализа риска включает следующие основные этапы (таб. 1).
Основные этапы анализа риска Таблица 1.
| Этапы анализа риска | Результат этапа |
| Планирование и организация работ | 1) Общее описание опасного производственного объекта; 2) необходимость проведения анализа риска; 3) группа исполнителей для проведения анализа риска; 4) источники информации об ОПО; 5) ограничения исходных данных, финансовых ресурсов и др., определяющие глубину, полноту и детальность проводимого анализа риска; 6) цели и задачи проводимого анализа риска; 7) используемые методы анализа риска; 8) критерии приемлемого риска. |
| Идентификация опасностей | Полный перечень опасностей на исследуемом ОПО с их весовыми долями. |
| Оценка частоты возникновения нежелательных явлений | Частота возникновения нежелательных явлений |
| Оценка последствий | Количественная оценка поражающих факторов аварии |
| Обобщенная оценка риска | 1) Объективная информации о состоянии промышленной безопасности объекта; 2) сведения о наиболее опасных, "слабых" местах с точки зрения безопасности; 3) обоснование необходимости работ по уменьшению риска. |
| Разработка рекомендаций по уменьшению риска. | Рекомендации по уменьшению риска. |
Этап 1. Планирование и организация работ
На этапе планирования выявляются управленческие решения, которые должны быть приняты, а также требующиеся для этого исходные и выходные данные.
Первые пять пунктов, относящиеся к результатам первого этапа в таб 1. не требуют комментариев. Рассмотри подробнее последние три.
Цели и задачи анализа риска могут различаться и конкретизироваться на разных этапах жизненного цикла опасного производственного объекта.
а) На этапе размещения (обоснования инвестиций или проведении предпроектных работ) или проектирования опасного производственного объекта целью анализа риска, как правило, является:
- выявление опасностей и априорная количественная оценка риска с учетом воздействия поражающих факторов аварии на персонал, население, имущество и окружающую природную среду;
- обеспечение учета результатов при анализе приемлемости предложенных решений и выборе оптимальных вариантов размещения опасного производственного объекта, применяемых технических устройств, зданий и сооружений опасного производственного объекта с учетом особенностей окружающей местности, расположения иных объектов и экономической эффективности;
- обеспечение информацией для разработки инструкций, технологического регламента и планов ликвидации (локализации) аварийных ситуаций на опасном производственном объекте;
- оценка альтернативных предложений по размещению опасного производственного объекта или техническим решениям.
б) На этапе ввода в эксплуатацию (вывода из эксплуатации) опасного производственного объекта целью анализа риска может быть:
- выявление опасностей и оценка последствий аварий, уточнение оценок риска, полученных на предыдущих этапах функционирования опасного производственного объекта;
- проверка соответствия условий эксплуатации требованиям промышленной безопасности;
- разработка и уточнение инструкций по вводу в эксплуатацию (выводу из эксплуатации).
в) На этапе эксплуатации или реконструкции опасного производственного объекта целью анализа риска может быть:
- проверка соответствия условий эксплуатации требованиям промышленной безопасности;
- уточнение информации об основных опасностях и рисках (в том числе при декларировании промышленной безопасности);
- разработка рекомендаций по организации деятельности надзорных органов;
- совершенствование инструкций по эксплуатации и техническому обслуживанию, планов ликвидации (локализации) аварийных ситуаций на опасном производственном объекте;
- оценка эффекта изменения в организационных структурах, приемах практической работы и технического обслуживания в отношении совершенствования системы управления промышленной безопасностью.
При выборе методов анализа риска следует учитывать цели, задачи анализа, сложность рассматриваемых объектов, наличие необходимых данных и квалификацию привлекаемых для проведения анализа специалистов. Приоритетными в использовании являются методические материалы, согласованные или утвержденные Госгортехнадзором России или иными федеральными органами исполнительной власти.
Основой для определения критериев приемлемого риска являются:
- нормы и правила промышленной безопасности или иные документы по безопасности в анализируемой области;
- сведения о произошедших авариях, инцидентах и их последствиях;
- опыт практической деятельности;
- социально - экономическая выгода от эксплуатации опасного производственного объекта.
Этап 2. Идентификация опасностей
Основные задачи этапа идентификации опасностей - выявление и четкое описание всех источников опасностей и путей (сценариев) их реализации. Это ответственный этап анализа, так как не выявленные на этом этапе опасности не подвергаются дальнейшему рассмотрению и исчезают из поля зрения.
При идентификации следует определить, какие элементы, технические устройства, технологические блоки или процессы в технологической системе требуют более серьезного анализа и какие представляют меньший интерес с точки зрения безопасности.
На стадии идентификации опасностей рекомендуется использовать один или несколько из перечисленных ниже методов анализа риска:
- "Что будет, если...?";
- проверочный лист;
- анализ вида и последствий отказов;
- анализ опасности и работоспособности;
- анализ "дерева отказов" или "дерева событий";
Методы "Проверочного листа" и "Что будет, если...?" или их комбинация относятся к группе методов качественных оценок опасности, основанных на изучении соответствия условий эксплуатации объекта или проекта требованиям промышленной безопасности.
Результатом проверочного листа является перечень вопросов и ответов о соответствии опасного производственного объекта требованиям промышленной безопасности и указания по их обеспечению. Метод проверочного листа отличается от "Что будет, если...?" более обширным представлением исходной информации и представлением результатов о последствиях нарушений безопасности.
Эти методы наиболее просты (особенно при обеспечении их вспомогательными формами, унифицированными бланками (рис. 1), облегчающими на практике проведение анализа и представление результатов), нетрудоемки (результаты могут быть получены одним специалистом в течение одного дня) и наиболее эффективны при исследовании безопасности объектов с известной технологией.
Рис. 1 Карта общего анализа опасности:
Опасность классифицируется по месту и времени действия в операции, что позволяет лучше оценить серьезность и продолжительность опасности.
"Анализ вида и последствий отказов" (АВПО) также применяется для качественного анализа опасности. Существенной чертой этого метода является рассмотрение каждого аппарата (установки, блока, изделия) или составной части системы (элемента) на предмет того, как он стал неисправным (вид и причина отказа) и какое было бы воздействие отказа на техническую систему.
Результаты анализа представляются в виде таблиц с перечнем оборудования, видом и причин возможных отказов, частотой, последствиями, критичностью, средствами обнаружения неисправности (сигнализаторы, приборы контроля и т.п.) и рекомендациями по уменьшению опасности.
Ниже (таблица 1) в качестве примера приведены показатели (индексы) уровня и критерии критичности по вероятности и тяжести последствий отказа. Для анализа выделены четыре группы, которым может быть нанесен ущерб от отказа: персонал, население, имущество (оборудование, сооружения, здания, продукция и т.п.), окружающая среда.
В таблице 2 применены следующие варианты критериев отказов по тяжести последствий:
- катастрофический отказ - приводит к смерти людей, существенному ущербу имуществу, наносит невосполнимый ущерб окружающей среде;
- критический / некритический отказ - угрожает / не угрожает жизни людей, приводит (не приводит) к существенному ущербу имуществу, окружающей среде;
- отказ с пренебрежимо малыми последствиями - отказ, не относящийся по своим последствиям ни к одной из первых трех категорий.
- Категории (критичность) отказов:
- "А" - обязателен количественный анализ риска или требуются особые меры обеспечения безопасности;
- "В" - желателен количественный анализ риска или требуется принятие определенных мер безопасности;
- "С" - рекомендуется проведение качественного анализа опасностей или принятие некоторых мер безопасности;
- "Д" - анализ и принятие специальных (дополнительных) мер безопасности не требуется.
Таблица 2
Матрица "Вероятность – тяжесть последствий"
| Частота возникновения отказа 1 / год | Тяжесть последствий отказов | ||||
| катастрофи- ческий отказ | крити- ческий отказ | некрити- ческий отказ | отказ с прене- брежимо малыми последствиями | ||
| Частый отказ | > 1 | А | А | А | С |
| Вероятный отказ | 1 – 1E(-2) | А | А | В | С |
| Возможный отказ | 1E(-2)- 1E(-4) | А | В | В | С |
| Редкий отказ | 1E(-4)- 1E(-6) | А | В | С | Д |
| Практически невероятный отказ | < 1E(-6) | В | С | С | Д |
Методы АВПО применяются, как правило, для анализа проектов сложных технических систем или технических решений. Выполняется группой специалистов различного профиля (например, специалист по технологии, химическим процессам, инженер - механик) из 3 - 7 человек в течение нескольких дней, недель.
В методе "Анализ опасности и работоспособности" (АОР) исследуется влияние отклонений технологических параметров (температуры, давления и пр.) от регламентных режимов с точки зрения возможности возникновения опасности. АОР по сложности и качеству результатов соответствует уровню АВПО.
В процессе анализа для каждой составляющей опасного производственного объекта или технологического блока определяются возможные отклонения, причины и указания по их недопущению. При характеристике отклонения используются ключевые слова, которые помогают исполнителям выявить все возможные отклонения. Конкретное сочетание этих слов с технологическими параметрами определяется спецификой производства.
Рассмотрим ряд ключевых слов, используемых для генерирования возможных отклонений процесса от его нормального хода (табл.3).
Ключевые слова и их значение Таблица 3.
| Ключевое слово | Значение (содержание) |
| НЕТ (НЕ, НИКАКОЙ) | Полное отрицание; отсутствие подачи, когда она должна быть: отсутствие потока или обратный поток. |
| ВЫШЕ (БОЛЕЕ) | Любые из относящихся к делу физических свойств имеют большие величины, чем они должны иметь (повышенные температура, давление, расход...) |
| НИЖЕ (МЕНЕЕ) | Любые из относящихся к делу физических свойств имеют меньшие величины, чем они должны иметь (пониженные температура, скорость) |
| ТАК ЖЕ. КАК (БОЛЬШЕ) | В технологической системе имеется больше элементов, чем должно быть: например, присутствует дополнительная фаза (пар, твердые вещества в жидкости, примеси и т.д.) |
| ДРУГИЕ (ИНАЧЕ. ЧЕМ) | Состояние, отличающееся от обычной работы технологической системы (введен не тот компонент, использован другой катализатор, остановка, пуск, снижение или повышение производительности и т.д.) |
В качестве примера использования данного метода рассмотрим два предложения из регламента проведения загрузки ВВ из контейнера в аппарат, которая из-за высокой чувствительности ВВ к электрическому разряду должна проводиться в среде углекислого газа, и проведем их анализ.
Они сформулированы следующим образом: «Подсоединяют течку к загрузочному люку, проверяют правильность установки и заземление». «Подсоединяют линию подачи углекислого газа в контейнер и открывают вентиль».
Составим таблицу, в которую внесем ключевые слова, вероятные причины, возможные последствия, а также предусмотрим необходимые действия для поддержания регламентированных условий работы (табл. 4).
При малом риске либо чисто оперативных осложнениях необходимость тех или иных действий обычно устанавливается на основе опыта работы, принимая во внимание оба фактора: вероятность возникновения события и серьезность его последствий. Однако для любого случая большого риска проводится полный количественный анализ опасных ситуаций.
Ключевые слова, вероятные причины, возможные последствия
при проверке отклонений от предусмотренного проектом режима работы
Таблица 4.
| Ключевое слово | Нарушения | Причины | Возможные последствия |
| НЕТ | Не подсоединяют течку к люку | Ошибка персонала | Рассыпание продукта, пожар, взрыв |
| МАЛО | Подсоединяют не до конца | Ошибка персонала | Рассыпание продукта, пожар, взрыв |
| ДРУГИЕ | Подсоединяют течку, предназначенную для другого продукта | Ошибка персонала | Несовместимость веществ, пожар, взрыв |
| ДРУГИЕ | Подсоединяют не клюку контейнера | Ошибка персонала | Рассыпание продукта, пожар, взрыв |
| НЕТ | Не проверяют правильность установки контейнера | Ошибка персонала | Рассыпание продукта, падение контейнера, пожар, взрыв |
| НЕТ | Не подсоединяют заземление | Ошибка персонала, дефект заземляющего проводника | Разряд статического электричества, пожар, взрыв |
| ДРУГИЕ | Подсоединяют не заземление | Наличие посторонних проводов, ошибка персонала | Разряд статического электричества, пожар, взрыв |
| НЕТ | Не подсоединяют линию подачи СО2 | Ошибка персонала | Отсутствие флегматизации продукта, пожар, взрыв |
| НЕ Г | Не открывают вентиль подачи СО2 | Ошибка персонала | Отсутствие флегматизации продукта, пожар, взрыв |
| МНОГО | Сильно открывают вентиль | Ошибка персонала | Опасности нет |
| МАЛО | Подсоединяют некачественно | Ошибка персонала | Отсутствие флегматизации продукта, пожар, взрыв |
| МАЛО | Недостаточно открывают вентиль подачи СО2 Дефект вентиля Дефект трубопровода (шланга) | Ошибка персонала Дефект конструкции Дефект конструкции | Отсутствие флегматизации продукта, пожар, взрыв |
| ДРУГИЕ | Подсоединяют линию не к контейнеру | Ошибка персонала | Отсутствие флегматизации продукта, пожар, взрыв |
| ДРУГИЕ | Подсоединяют линию не СО2 | Ошибка персонала, недостаток конструкции | Отсутствие флегматизации продукта, пожар, взрыв |
| ДРУГИЕ | Открывают вентиль подачи не СО2 | Ошибка персонала | Отсутствие флегматизации продукта, пожар, взрыв |
Отметим, что метод АОР, также как АВПО, кроме идентификации опасностей и их ранжирования позволяет выявить неясности и неточности в инструкциях по безопасности и способствует их дальнейшему совершенствованию. Недостатки методов связаны с затрудненностью их применения для анализа комбинаций событий, приводящих к аварии.
Графические методы анализа "деревьев отказов" и "деревьев событий" используют для выявления причинно - следственных связей между случайными событиями, возникающих с различной частотой на разных стадиях возникновения и развития аварии. Практика показывает, что крупные аварии, как правило, характеризуются комбинацией таких случайных событий, как отказы оборудования, ошибки человека, нерасчетные внешние воздействия, разрушение, выброс, пролив вещества, рассеяние веществ, воспламенение, взрыв, интоксикация и т.д.
При анализе "деревьев отказов" (АДО) выявляются комбинации отказов (неполадок) оборудования, инцидентов, ошибок персонала и нерасчетных внешних (техногенных, природных) воздействий, приводящих к головному событию (аварийной ситуации). Метод используется для анализа возможных причин возникновения аварийной ситуации и расчета ее частоты (на основе знания частот исходных событий). При анализе дерева отказа (аварии) рекомендуется определять минимальные сочетания событий, определяющие возникновение или невозможность возникновения аварии.
Анализ "дерева событий" (АДС) - алгоритм построения последовательности событий, исходящих из основного события (аварийной ситуации). Используется для анализа развития аварийной ситуации. Частота каждого сценария развития аварийной ситуации рассчитывается путем умножения частоты основного события на условную вероятность конечного события (например, аварии с разгерметизацией оборудования с горючим веществом в зависимости от условий могут развиваться как с воспламенением, так и без воспламенения вещества).
Наиболее общим способом, используемым для оценки вероятности аварии, является метод построения и анализа «дерева событий» (ДС). Само по себе «дерево событий» не является мерой опасности или риска. Анализ «дерева событий» − это алгоритм, набор формальных правил построения последовательностей событий, приводящих к «основному событию». Этот метод равным образом применим как к анализу последовательностей событий, приводящих, например, к поломке наручных часов, так и к анализу плавления активной зоны ядерного реактора.
Подготовка и разработка достаточно точного ДС занимает много времени и требует определенного опыта.
Построение ДС и анализ исследуемого объекта производятся следующим образом:
1. Определяется аварийное верхнее нежелательное событие (ВНС). Данное событие четко формулируется, приводятся признаки его точного распознавания. Для определения ВНС целесообразно пользоваться методами идентификации опасности, т.е. рассматривать проектную документацию на ремонт оборудования, диспетчерские журналы или другую аналогичную информацию. Перечисляются возможные отказы, рассматриваются их комбинации, определяются последствия этих событий и, в конечном счете, определяется ВНС.
Примеры ВНС для объектов химической технологии: разрыв реактора, выход реакции из-под контроля, пожар на технологической линии, взрыв, детонация перерабатываемых ЭКМ.
2. Проводится сбор сведений о работе системы, подлежащей анализу. Вся информация, которая может помочь разобраться в работе системы, должна быть собрана и изучена: принципиальные схемы, карты технологического процесса, схемы трубопроводов и приборного оснащения, технологический регламент, инструкции и т.д.
3. После определения ВНС последовательно определяют те события, которые к нему привели при определенных условиях, а затем для каждого из этих событий рассматривают условия, его вызывающие. При построении ДС используют стандартные символы событий и логические символы (Таб. 5).
ДС выстраивается в соответствии со следующими формальными правилами:
− ВНС располагают вверху;
− ДС состоит из последовательности событий, ведущих к ВНС;
− последовательности событий образуются с помощью логических символов И, ИЛИ и др.;
− события над логическим знаком помещают в прямоугольнике, само событие описывается в этом прямоугольнике;
− первичные причины (исходные причины, первичные отказы) располагают снизу. При построении «дерева» события располагаются по уровням. ВНС занимает верхний нулевой уровень, ниже располагаются события 1−го уровня (среди них могут быть и исходные (первичные)), затем 2−го уровня и т.д.
Если на 1-м уровне содержится одно или несколько исходных событий, объединяемых логическим знаком ИЛИ, то, очевидно, возможен непосредственный переход от начального события к ВНС. Для правильного построения ДС надо знать комплекс граничных условий с необходимой, априорной информацией о системе (технологическом процессе). Основной элемент комплекса граничных условий − идентификация ВНС и определение всего ряда факторов, непосредственное действие которых может вызвать рассматриваемую аварийную ситуацию. Построение ДС заканчивается, когда все случаи отказов разработаны до уровня первичных отказов или отказов, которые в соответствии с граничными условиями не должны разрабатываться до первичных.
Стандартные символы событий Таблица 5.
| Прямоугольник − событие вообще; широко используется во всех графах, имеющих вид дерева. |
| Круг − базовое событие, которое не требует дальнейшего анализа |
| Ромб − неразлагаемое конечное событие, которое не подвергается дальнейшему разложению по следующим причинам: − малая возможность возникновения аварии или ухудшения работы; − отсутствие необходимой информации; − слишком большие затраты, требующиеся для дальнейшей проработки ветвей; − дальнейший анализ может быть найден в другом месте (из литературы) |
| Логические символы (операции) | |
| «И» − означает результирующее событие, если существуют одновременно все предусмотренные входные события |
| «ИЛИ» − означает результирующее событие, если осуществлено одно из предусмотренных входных событий или большее их число |
4. Квалифицированные эксперты проверяют правильность построения ДС. Цель этой контрольной проверки − убедиться в том, что: а) ДС отвечает поставленным целям; б) система и ее действие описывается полно и ясно; в) входные события логических схем необходимы и достаточны для образования выходных событий.
Такая экспертная проверка снижает вероятность субъективных ошибок разработчиков, повышает точность и полноту описания аварийной ситуации.
Стоимость работ при построении и анализе ДС достаточно высока. Так, за рубежом полный анализ безопасности крупного промышленного объекта занимает около 20 человеко-лет и стоит до 2 млн. долларов США. Однако полученный в результате такого анализа материал может быть использован неоднократно, а также адаптирован к различным модификациям исследуемого технологического процесса.
5. Определение минимальных аварийных сочетаний н минимальной траектории для построенного ДС. Первичные и неразлагаемые события соединены с событием нулевого уровня маршрутами (ветвями). Сложное ДС имеет различные наборы исходных событий, при которых достигается ВНС. Эти наборы называются аварийными сочетаниями. Минимальным аварийным сочетанием называют наименьший набор исходных событий, при которых наступает ВНС.
Рис. 2. Пример построения дерева событий для случая детонации перерабатываемого ЭКМ
Минимальная траектория − это наименьшая группа событий, без возникновения которых авария не происходит.
Минимальные траектории представляют собой события, которые являются критическими для поддержания объекта в рабочем состоянии, иначе говоря, это события, наступления которых должны быть исключены для предотвращения ВНС.
Использование ДС позволяет получать и интерпретировать качественные и количественные результаты в зависимости от целей анализа; оценивать вероятность аварии в сложном технологическом процессе; осуществлять проверку достижения необходимого уровня безопасности процесса; определять элементы процесса, имеющие наибольшее влияние на вероятность наступления ВНС и т.д.
Пример построения дерева событий для случая детонации перерабатываемого ЭКМ представлен на рис. 2.