Проблемы оценки величины риска по результатам HAZOP исследования

Показано, что обоснованными результатами анализа риска сложных технологических систем могут быть сочетания анализа опасности и работоспособности (HAZOP исследование), как метода выявления опасности, с методами «анализ дерева неисправностей» (FTA), «анализ дерева событий» (ETA) и моделирования последствий верхнего события для оценки риска. Дополнительный анализ и оценка риска требует существенных затрат времени. Предлагаются информационные технологии регистрации результатов HAZOP исследований с применением методов системного анализа, позволяющих для выявленных опасных событий в автоматизированном режиме разработать объединенное «дерево неисправностей» и «дерево событий» (метод «галстук-бабочка») и выполнить его анализ с определением требований к функциям и надежности систем безопасности (уровень полноты безопасности – УПБ), обеспечивающим необходимое снижение риска.

Исследование HAZOP [1] широко используется для выявления (идентификации) опасностей на стадии проектирования технологических систем. Очевидно, что невозможно оценивать риск неопознанных опасностей, поэтому этап выявления опасностей является очень важным, но без последующих этапов: оценка величины риска, оценивание риска сравнением с допустимым, обработка риска и принятие решений по результатам обработки, контроль риска в процессе эксплуатации, нет гарантий безопасности эксплуатируемой системы. Выполняя исследование HAZOP необходимо понимать, что это всего лишь этап выявления опасности.

Стандарт [1] (см. п.5.2) предполагает, что для выявленных опасностей должны быть выполнены дополнительные исследования с использованием таких методов, как FMEA (анализ видов и последствий отказов) [2], FTA [3,4], ЕТА [5,6] и др. Следует отметить, что стандарты [7,8] предлагают значительно большее количество методов, позволяющих по результатам выявления опасностей выполнять оценку величины риска и принимать решения. Сегодня на практике во многих случаях по результатам HAZOP исследований для оценивания риска используют матрицу риска с придуманными и никак не обоснованными шкалами для рассматриваемого объекта. Не учитывается, что приводимая в [2,7] матрица является только примером и фактическая форма матрицы зависит от конкретной ситуации.  О вероятности и последствиях события договариваются в процессе сессии, не выполняя оценку вероятности и не моделируя аварию для оценки последствий. Это делают, стремясь сразу по результатам HAZOP принять решения. Очевидно, что если по результатам HAZOP все решения на основе анализа и оценки риска принимаются таким образом в течение одного дня, то они не могут быть ни достоверными, ни обоснованными. При этом полагают, что применяют FMEA [2]. В соответствии с приложением В стандарта [2] он позволяет проведение дополнительного анализа для принятия решений по результатам HAZOP одним из следующих методов: график риска, матрица риска, ранг приоритетности риска и альтернативный ранг приоритетности риска, которые практически никогда не выполняются.

При использовании графика риска или матрицы риска для оценки вероятности события п. 5.3.8.3 стандарта [2] предлагает использование доступных баз данных о вероятностях отказов или данные об отказах в процессе эксплуатации, а не экспертную оценку. Однако такая количественная оценка с последующим оцениванием риска по графику или матрице риска калиброванным по допустимому риску, как правило, не выполняется.

В случае применения методов «ранг приоритетности риска» и «альтернативный ранг приоритетности риска» решения принимаются на основании экспертных оценок. В [2] приводятся примеры анкет с рангами, но в каждом конкретном случае председатель и регистратор должны создавать такие анкеты с учетом особенностей объекта анализа.  Когда каждый эксперт независимо определяет ранги значимости S, вероятности O и обнаруживаемости отказов D, то возможна обработка мнений экспертов, как независимых измерителей факторов риска, методами ранговой корреляции с определением согласованности группы экспертов и достоверности результатов оценки, или другими статистическими методами оценки мнений экспертов.  Значимость, вероятность и обнаруживаемость отказов, определенные методом экспертных оценок, используются для оценивания риска по рангу приоритетности риска: . Однако такие процедуры по результатам исследования HAZOP на практике не выполняются.

Если перечисленные выше требования стандарта [2] не выполняются, то он фактически и не применяется совместно c исследованием HAZOP. При этом необходимо учесть, что FMEA не применим для сложных технологических систем: химических, нефтехимических, нефтеперерабатывающих и других сложных производств. Фактически FMEA применяют для отдельных видов оборудования и для очень простых процессов. В примерах адаптации и применения FMEA стандарта [2] приведены такие объекты и процессы, как:

• офисное оборудование;
• гидроблок насоса;
• ветряная турбина ветроэлектрической установки;
• программное обеспечение расчета сахара в крови;
• устройство управления автомобильными подушками безопасности;
• медицинские процессы;
• заказ лекарств;
• распыление краски.

Для таких систем критическими являются главным образом последствия потери работоспособности и легко оцениваемые опасные последствия.

Стандарт [1] в п.5.2 говорит, что в случаях влияния на опасность нескольких отклонений необходимо по результатам HAZOP вместо FMEA использовать такие методы анализа, как FTA и ЕТА для количественной оценки вероятностей последствий.

Однако в п 5.3 [1] устанавливает ограничения применения HAZOP исследования, показывая, что для сложных систем он не применим поскольку рассматривает части (элементы) системы индивидуально и анализ методами FTA и ЕТА ограничен рассматриваемой частью.

В технологических системах, даже такой сравнительно простой, как товарно-сырьевая база (ТСБ) наличие большого количества многокомпонентных смесей взрывоопасных, горючих, токсичных и вредных для окружающей среды веществ создает угрозу масштабных последствий.  Процессы перекачки продуктов, наполнения, опорожнения, тепломассообмена и фазового равновесия в системе связанных между собой резервуаров делают ее сложной. Для обеспечения безопасности процесса хранения продуктов на ТСБ необходима сложная система контроля, управления и противоаварийной защиты. Большие масштабы последствий требуют для достижения допустимого риска низкой вероятности их реализации и применения более надежных систем снижения риска. Очевидно, что применение FMEA и других качественных методов оценки риска в таких случаях может приводить к существенным ошибкам в оценке его величины и в требованиях к функциям и надежности систем безопасности, обеспечивающим его необходимое снижение. Поэтому необходим дополнительный анализ причинно-следственных связей во всей системе такими методами, как FTA и ETA.

В работах [9, 10] показано, что для сложных технологических систем необходимо сочетания HAZOP исследования с дополнительным анализом методом FTA, требующего существенного времени для его проведения. В этих работах приведены примеры такого анализа для терминала хранения топлива и для карьерной добычи. Проведение дополнительного анализа методом FTA позволило определить приоритетность профилактических и корректирующих мер, чтобы свести к минимуму вероятность аварии.

Действительно для технологических систем, имеющих несколько иерархических уровней с рециклами и сложным взаимным влиянием необходимо применение методов FTA и ЕТА, как самостоятельных методов для исследования всех структурных, в т.ч. иерархических, функциональных, причинно-следственных и логических связей во всей системе.

При этом необходимо понимать, что FTA и ETA – это методы системного анализа. Поскольку каждая технологическая система уникальна они не могут быть заменены типовыми сценариями, типовыми деревьями неисправностей или событий.

Анализ и оценка величины риска с последующим принятием решений требует сбора и обработки существенного объема информации, применения множества различных моделей для определения вероятности и последствий опасных событий и, как следствие, существенных дополнительных затрат времени. Наличие временных ограничений в процессе принятия решений приводит к различению между хорошими решениями и верными решениями (см. рис.1).

Сложившаяся практика оценки величины риска и принятия решений по результатам HAZOP исследований не может гарантировать что решения обеспечивают безопасность системы, как отсутствие недопустимого риска, т.е. решения не могут быть даже хорошими. Более того, невозможен поиск оптимальных решений, позволяющих установить минимально необходимые требования, обеспечивающие безопасность технологической системы, как отсутствие недопустимого риска.

Технология исследования HAZOP реализуемая регистрацией результатов выявления опасных последствий в порядке, предусмотренном стандартом [1] не позволяет совместить выявление опасности со строгими методами анализа и оценки величины риска. Об этом говорится в приложении А2 стандарта [1]: «Существуют пакеты программ, которые упрощают задачу регистрации данных и подготовки отчетов… Хотя эти пакеты идентифицируют некоторые риски и производят распечатку, соответствующую форме результатов исследования HAZOP, им недостает строгости и систематичности исследования».

Нами разработан программный модуль «HAZAR» программного комплекса «РизЭкс-2.2», который позволяет дополнить процедуру HAZOP анализом отклонений характеристик элементов системы от целей проекта, их причин и опасных последствий с учетом структуры системы, в том числе и иерархической, структурных и функциональных связей, других представлений системы в соответствии с методами системного анализа. Это позволяет учитывать взаимное влияние частей и элементов системы друг на друга, устанавливать структурные, иерархические, функциональные, причинно-следственные и логические связи между событиями во всей системе. В этом случае лидер и регистратор должны знать не только методологию выполнения процедуры HAZOP, понимать технологию рассматриваемого процесса, принцип работы применяемого оборудования и систему управления, но также владеть методами логико-вероятностного анализа и методами оценки риска как минимум в объеме стандартов [7,8]. По результатам регистрации модуль HAZAR позволяет с применением модуля «L&PA» («Logical-and-Probabilistic Analysis») в автоматизированном режиме предоставить результаты анализа в виде логико-вероятностных моделей возникновения и развития аварий FTA и ETA.

Академик Легасов [11] показал, что любая авария имеет скрытую фазу накопления неисправностей в системе и ошибок персонала, которые завершаются ее инициированием и последующую фазу быстрого развития, завершающуюся воздействием поражающих факторов на реципиентов. Логико-вероятностная модель первой фазы «дерево неисправностей», второй – «дерево событий». Совместный анализ двух фаз развития аварий (сегодня это называют метод «галстук-бабочка») дает полную картину возникновения и развития аварий. Модуль «L&PA» программного комплекса «РизЭкс – 2.2» позволяет такой анализ выполнять. В объединенном «дереве отказов» и «дереве событий» возможен автоматизированный анализ:

• минимальных аварийных сочетаний с последовательным определением лимитирующих аварийных сочетаний, определяющих вероятность последствий;
• значимости отказов, в наибольшей степени влияющих на вероятность реализации последствий;
• вариантов решений по снижению риска.

Такой анализ позволяет выполнить сравнение различных вариантов решений и определить оптимальные требований к уровню полноты безопасности (УПБ), обеспечивающему необходимое снижение риска.

Для того, чтобы выполнить такой анализ необходимо установить допустимый риск для рассматриваемого в процессе HAZOP исследования i-того опасного события, масштаб последствий и условную вероятность их реализации, по которой определяется допустимая вероятность верхнего события в объединенном дереве отказов и дереве событий:

(1)

Где       – допустимый индивидуальный риск гибели работника на производстве в i-том опасном событии;

– допустимая вероятность аварии;

–  вероятность нахождения работника в зоне летального поражения при условии, что авария произошла.

Допустимый риск в рассматриваемом i-том опасном событии зависит от количества источников опасности и количества опасных событий в рассматриваемом источнике опасности. Он должен выбираться так, чтобы суммарный риск был равен допустимому.

Допустимая вероятность верхнего события в объединенном дереве отказов и дереве событий:

(2)

В логарифмической системе координат это уравнение прямой

(3)

Таким образом создается калиброванный график риска с учетом области принятия решений по принципу ALARP (рис.2)

Если для рассматриваемого конечного состояния в дереве событий реализация опасности и последствий неизбежное событие, то условная вероятность реализации равна 1. Если вероятность реализации определяется дополнительным условием, например при условии нахождением работника на производстве и в зоне возможно поражения; при условии появление источника зажигания во взрывопожароопасном облаке и т.п, то условная вероятность реализации последствий будет определяться вероятностью этих событий.

Например, если допустимый индивидуальный риск для работника предприятия установлен, то моделированием аварийного события определяется условная вероятность гибели работника.

Предполагаем, что работник, обслуживающий установку, может в течение времени пребывания на производстве, равного , находится равновероятно в любой точке производственного участка, на котором размещена эта установка.

Тогда вероятность нахождения работника в зоне смертельного поражения при условии, что авария произошла, будет зависеть размеров этой зоны:

(4)

где       – площадь зоны летального поражения при аварии;

– площадь производственного участка, на котором работник находится в течение рабочей смены;

– годовой период в часах.

Оценка площади зоны летального поражения при аварии определяется моделирование аварии с использованием блока модулей «AFS» (Accident Formation Simulation) и блока модулей «AS&IC» (Accident Simulation and Impact Assessment) программного комплекса «RizEx – 2.2». Программа позволяет оценить последствия для людей, окружающей природной среды и имущества моделированием взрывов, пожаров, рассеяния выбросов токсичных и вредных веществ и других аварийных процессов (см. пример на рис. 3.).

Зная условную вероятность смертельного поражения, по графику риска (см. рис.2) определяется допустимая вероятность аварии (верхнего события в дереве отказов) при которой риск будет равен допустимому.

Когда по результатам исследования HAZOP для выявленного опасного события разработано дерево отказов с использованием которого определена вероятность реализации этого события, выполняется оценивание риска сопоставлением этой вероятности с установленной по графику риска допустимой вероятностью.

Зная допустимую вероятность верхнего события в объединённом дереве отказов и дереве событий  с использованием модуля «L&PA» программного комплекса «RizEx – 2.2» анализом минимальных аварийных сочетаний, значимости и чувствительности событий выявляется избыточность и недостаточность предусмотренных проектом решений, распределяются требования к уровню полноты безопасности систем, выполняющих функции безопасности, рассматриваются варианты решений с поиском оптимальных. Для этих целей в соответствии со стандартами [12,13] программой в автоматизированном режиме последовательно выполняется анализ риска в соответствии со схемой представленной на рис. 4 с определением снижения риска системами безопасности и требований к УПБ электрических, электронных и программируемых электронных системам безопасности (Э/Э/ПЭ).

Определяется риск, создаваемый управляемым оборудованием при отсутствии систем безопасности и необходимое снижение риска всеми системами безопасности.

Определяется снижение риска предусмотренными в проекте системами, основанными на других технологиях. Системами безопасности, основанными на других технологиях, могут быть предохранительный клапан, обратный клапан, разрывная мембрана и т.п. – не электрические, электронные или программируемые электронные системы (Э/Э/ПЭ).

Определяется снижение риска другими системами безопасности, которые не позиционируются как Э/Э/ПЭ системы, выполняющие функции безопасности – сигнализация, регулирование, внешние системы безопасности (ограничение массы выброса, уборка пролива, пожаротушение и т.п.).

Определяется необходимое снижение риска Э/Э/ПЭ системами, выполняющими функции безопасности. Производится распределение требований к уровню полноты безопасности Э/Э/ПЭ систем, выполняющих функции безопасности, как правило к системам противоаварийной защиты (ПАЗ), при котором обеспечивается снижение риска ниже допустимого.

Даются рекомендации по дополнительным и по исключению избыточных систем безопасности.

По результатам анализа формируются требования к функциям и уровню полноты безопасности, обеспечивающих необходимое снижение риска.

Информационные технологии RizEx-2.2 позволяют по завершению исследований HAZOP выполнить оценку риска с определением последствий каждого выявленного опасного события моделированием аварий и определением вероятности его реализации методами FTA и ETA, рассмотреть варианты по снижению риска с поиском в необходимой степени достоверных и обоснованных оптимальных решений и распределить требования к функциям и надежности систем безопасности для их проектирования и последующей безопасной эксплуатации производства.

Список использованной литературы

1. ГОСТ Р 27.012-2019 «Надежность в технике. Анализ опасности и работоспособности (HAZOP)». Утв. и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 30 октября 2019 г. N 1227-ст;
2. ГОСТР 27.303-2021 (МЭК 60812:2018) «Надежность в технике. Анализ видов и последствий отказов». Утв. и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 21 сентября 2021 г. N 987-ст;
3. ГОСТ Р 27.302-2009 «Надежность в технике. Анализ дерева неисправностей». Утв. и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 15 декабря 2009 г. N 1249-ст;
4. E. Vesely, F. F. Goldberg, N. H. Roberts, D. F. Haasl. Fault Tree Handbook. U.S. Nuclear Regulatory Commission (NUREG-0492) Washington, D.C. 20555, January 1981;
5. ГОСТ Р МЭК 62502-2014 «Менеджмент риска. Анализ дерева событий». Утв. и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 24 октября 2014 г. N 1429-ст;
6. Probabilistic Risk Assessment, Procedures Guide for NASA Managers and Practioners NASA Headquarters, Washington, DC 20546;
7. ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ риска технологических систем». Принят и введен в действие Постановлением Госстандарта России от 7 июня 2002 г. N 236-ст;
8. ГОСТ Р 51901.5-2005. «Менеджмент риска. Руководство по применению методов анализа надежности». Утв. и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 30 сентября 2005 года N 236-ст;
9. José Luis Fuentes-Bargues, Carmen González-Cruz, Cristina González-Gaya, Piedad Baixauli-Pérez. Risk Analysis of a Fuel Storage Terminal Using HAZOP and FTA. International Journal of Environmental Research and Public Health. Published: 30 June 2017;
10. Faiz Ul Muram, Muhammad Atif Javed and Sasikumar Punnekkat. System of Systems Hazard Analysis Using HAZOP and FTA for Advanced Quarry Production. 2019 4th International Conference on System Reliability and Safety (ICSRS) 20-22 Nov. 2019;
11. В. Легасов, Проблемы безопасного развития техносферы. Журнал «Коммунист», М., 1987г, №8, с.92-101;
12. ГОСТ Р МЭК 61508 – 2012. Функциональная безопасность электрических, электронных, программируемых электронных систем, связанных с безопасностью. Части 1-7. Утв. и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 29 октября 2012 г. N 587-ст;
13. ГОСТР МЭК 61511– 2018 «Безопасность функциональная. Системы безопасности приборные для промышленных процессов». Части 1-3. Утв. и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2018 г. N 466-ст.