Построение дерева и анализ исследуемого объекта с его использованием производят следующим образом.
1. Определяют аварийное (предельно опасное, конечное) событие, которое образует вершину дерева. Данное событие четко формулируют, оговаривают условия его появления, дают признаки его точного распознания. Например, для объектов химической технологии к таким событиям относятся: разрыв аппарата, пожар, выход реакции из-под контроля и др. Определяют возможные первичные и вторичные отказы, которые могут вызвать головное событие, рассматривают их комбинации.
2. Используя стандартные символы событий и логические символы (табл. 6.8.1-6.8.3), дерево строят в соответствии со следующими правилами:
а) конечное (аварийное) событие помещают вверху (уровень 1);
б) дерево состоит из последовательности событий, которые ведут к конечному событию;
в) последовательности событий образуются с помощью логических знаков И, ИЛИ и др.;
г) событие над логическим знаком помещают в прямоугольнике, а само событие описывают в этом прямоугольнике;
д) первичные события (исходные причины) располагают снизу.
3. Квалифицированные эксперты проверяют правильность построения дерева. Это позволяет исключить субъективные ошибки разработчика, повысить точность и полноту описания объекта и его действия.
4. Определяют минимальные аварийные сочетания и минимальную траекторию для построенного дерева. Первичные и неразлагаемые события соединяются с событиями первого уровня маршрутами (ветвями). Сложное дерево имеет различные наборы исходных событий, при которых достигается событие в вершине, они называются аварийными сочетаниями (сечениями) или прерывающими совокупностями событий. Минимальным аварийным сочетанием (МАС) называют наименьший набор исходных событий, при которых возникает событие в вершине. Полная совокупность МАС дерева представляет собой все варианты сочетаний событий, при которых может возникнуть авария. Минимальная траектория - наименьшая группа событий, при появлении которых происходит авария.
5. Качественно и количественно исследуют дерево аварий с помощью выделенных минимальных аварийных сочетаний и траекторий. Качественный анализ заключается в сопоставлении различных маршрутов и начальных событий к конечному и определении критических (наиболее опасных) путей, приводящих к аварии. При количественном исследовании рассчитывают вероятность появления аварии в течении задаваемого промежутка времени по всем возможным маршрутам.
6. Разрабатывают рекомендации по введению изменений в объекте, системах контроля и управления для улучшения показателей безаварийности.
В зависимости от конкретных целей анализа, деревья могут быть построены для любых видов отказов - первичных, вторичных и инициированных отказов.
Случай первичного отказа. Напомним, что отказ элемента называется первичным, если он происходит в расчетных условиях функционирования системы. Построение ДО на основе учета лишь такого рода отказов не представляет большой сложности, так как дерево строится только до той точки, где идентифицируемые первичные отказы элементов вызывают отказ системы.
ПРИМЕР. Требуется построить ДО для простой системы - сети, выключателя и электрической лампочки. Считается, что отказ выключателя состоит лишь в том, что он не замыкается, а завершающим событием является отсутствие освещения.
Дерево отказов для этой системы показано на рис.6.8.12. Основными (первичными) событиями ДО являются (1) отказ источника питания Е1, (2) отказ предохранителя Е2, (3) отказ выключателя Е3 и (4) перегорание лампочки Е4.
Промежуточным событием является прекращение подачи энергии. Исходные отказы представляют собой входы схем ИЛИ: при наступлении любого из четырех первичных событий осуществляется завершающее событие - отсутствие освещения.
Случай вторичного отказа. В этом случае требуется более глубокое исследование системы. При этом анализ выходит за рамки рассмотрения системы на уровне отказов ее основных элементов, поскольку вторичные отказы вызываются неблагоприятным воздействием окружающих условий или чрезмерными нагрузками на элемент системы в процессе ее эксплуатации.
ПРИМЕР. На рис. 6.8.13 показаны электрическая схема системы и простое дерево отказов с завершающим событием "отказ двигателя".
Рис. 6.8.12. Электрическая схема системы "сеть - электрическая лампочка" (а) и дерево (б) для случая первичных отказов: 1 - сеть; 2 - выключатель; 3 - электролампа; 4 – предохранитель
Рис. 6.8.13. Электрическая схема системы "генератор -двигатель" (а) и дерево (б) для случая вторичных отказов: 1 - генератор; 2 - выключатель; 3 - электродвигатель; 4 – предохранитель
Конечное событие может быть вызвано тремя причинами: первичный отказ электродвигателя, вторичный отказ и ошибочная команда (инициированный отказ).
Первичный отказ - это отказ самого двигателя (характеристики которого соответствуют техническим условиям), возникающий в результате естественного старения. Дерево отображает такие первичные события, как отказ выключателя (отсутствие замыкания) К, неисправности внутренних цепей обмотки двигателя L, сети приемника питания М и предохранителя N.
Вторичные отказы возникают из-за причин, которые лежат за пределами, заданными техническими условиями, таких как:
- неправильное техническое обслуживание Х (например, некондиционная смазка подшипников электродвигателя);
- аномальные условия эксплуатации Y, это может быть переработка (например, выключатель остался включенным после предыдущего запуска, что вызвало перегрев обмотки электродвигателя, который, в свою очередь, привел к короткому замыканию или обрыву цепи);
- воздействие на условия работы параметров внешней окружающей среды Z (например, внешняя катастрофа: пожар, наводнение и т.п.).
Вторичные отказы изображаются прямоугольником как промежуточное событие.
Случай инициированных отказов. Подобные отказы возникают при правильном использовании элемента системы, но не в установленное время. Другими словами, инициированные отказы - это сбои операций координации событий на различных уровнях дерева неисправностей: от первичных отказов до завершающего события. Типичным примером является не приведение в действие оператором какого-либо устройства управления (рис. 6.8.14).
Рис. 6.8.14. Случай инициированного отказа:внесенная неисправность - "не поступает электроэнергия"
Множество деревьев. Для каждой системы возможны различные аварийные ситуации, для каждой из них строят дерево отказов. Впоследствии эти деревья могут быть и связаны. Аналогично, если одна система функционирует в различных режимах, то может понадобиться анализ деревьев отказов для каждого из режимов.
ДЕРЕВО СОБЫТИЙ - ДС (EVENT TREE ANALYSIS - ЕTA)
Дерево событий - алгоритм рассмотрения событий, исходящих от основного события (аварийной ситуации).
Дерево событий (ДС) используется для определения и анализа последовательности (вариантов) развития аварии, включающей сложные взаимодействия между техническими системами обеспечения безопасности. Вероятность каждого сценария развития аварийной ситуации рассчитывается путем умножения вероятности основного события на вероятность конечного события. При его построении используется прямая логика. Все значения P очень малы. Дерево не дает численных решений.
ПРИМЕР. Допустим, путем выполнения ПАО было выявлено, что критической частью реактора, т.е. подсистемой, с которой начинается риск, является система охлаждения реактора; таким образом, анализ начинается с просмотра последовательности возможных событий с момента разрушения трубопровода холодильной установки, называемого инициирующим событием, вероятность которого равна PA (рис. 6.9.1), т.е. авария начинается с разрушения (поломки) трубопровода - событие A. Далее анализируются возможные варианты развития событий (B, C, D и E), которые могут последовать за разрушением трубопровода. На рис. 6.9.1 изображено дерево исходных событий, отображающее все возможные альтернативы. На первой ветви рассматривается состояние электрического питания. Если питание есть, следующей подвергается анализу аварийная система охлаждения активной зоны реактора (АСОР). Отказ АСОР приводит к расплавлению топлива и к различным, в зависимости от целостности конструкции, утечкам радиоактивных продуктов.
Рис. 6.9.1. Дерево событий
Для анализа с использованием двоичной системы, в которой элементы либо выполняют свои функции, либо отказывают, число потенциальных отказов равно 2N-1, где N - число рассматриваемых элементов. На практике исходное дерево можно упростить с помощью инженерной логики и свести к более простому дереву, изображенному в нижней части рис. 6.9.1. В первую очередь представляет интерес вопрос о наличии электрического питания. Вопрос заключается в том, какова вероятность PB отказа электропитания и какое действие этот отказ оказывает на другие системы защиты. Если нет электрического питания, фактически никакие действия, предусмотренные на случай аварии с использованием для охлаждения активной зоны реактора распылителей, не могут производиться. В результате упрощенное дерево событий не содержит выбора в случае отсутствия электрического питания, и может произойти большая утечка, вероятность которой равна PA(PB. В случае, если отказ в подаче электрической энергии зависит от поломки трубопровода системы охлаждения реактора, вероятность PB следует подсчитывать как условную вероятность для учета этой зависимости. Если электрическое питание имеется, следующие варианты при анализе зависят от состояния АСОР. Она может работать или не работать, и ее отказ с вероятностью PC1 ведет к последовательности событий, изображенной на рис. 6.9.1. Следует обратить внимание на то, что по-прежнему имеются различные варианты развития аварии. Если система удаления радиоактивных материалов работоспособна, радиоактивные утечки меньше, чем в случае ее отказа. Конечно, отказ в общем случае ведет к последовательности событий с меньшей вероятностью, чем в случае работоспособности. Рассмотрев все варианты дерева, можно получить спектр возможных утечек и соответствующие вероятности для различных последовательностей развития аварии (рис. 6.9.1). Верхняя линия дерева является основным вариантом аварии реактора. При данной последовательности предполагается, что трубопровод разрушается, а все системы обеспечения безопасности сохраняют работоспособность.
Рис. 6.9.1. Гистограмма вероятностей для различных величин утечек
ДЕРЕВО РЕШЕНИЙ
Дерево решений является разновидностью дерева событий. В дереве событий рабочие состояния системы не рассматриваются, так что сумма вероятностей всех событий не равна единице. В дереве решений все возможные состояния системы необходимо выразить через состояния элементов. Таким образом, все состояния системы взаимно увязаны, и их вероятность в сумме должна равняться единице. Деревья решений могут использоваться, если отказы всех элементов независимы или имеются элементы с несколькими возможными состояниями, а также есть односторонние зависимости. Они не могут использоваться при наличии двусторонних зависимостей и не обеспечивают логического анализа при выборе начальных событий.
ПРИМЕР. На рис. 6.10.1 показана система последовательно соединенных элементов, которая включает насос и клапан, имеющие соответственно вероятности безотказной работы 0,98 и 0,95, а также приведено дерево решений для этой системы. Следует отметить, что согласно принятому правилу верхняя ветвь соответствует желательному режиму работы системы, а нижняя - нежелательному. Дерево решений читается слева направо.
Рис. 6.10.1. Принципиальная схема (а) и дерево решений (б) для двухэлементной системы
Если насос не работает, система отказывает независимо от состояния клапана. Если насос работает, с помощью второй узловой точки изучается вопрос, работает ли клапан.
Вероятность безотказной работы системы: 0,98(0,95=0,931. Вероятность отказа: 0,98(0,05+0,02=0,069, а суммарная вероятность двух состояний системы равна единице.
Этот результат можно получить другим способом с помощью таблицы решения, которая для насоса и клапана имеет вид:
ЛОГИЧЕСКИЙ АНАЛИЗ
Логический анализ опасностей базируется на понятиях булевой алгебры (алгебры логики).
В алгебре логики переменные, обозначаемые заглавными буквами, имеют, как правило, смысл некоторых событий или факторов. Например, можно обозначить символом А событие, состоящие в повреждении какой-то части машины. Если это происходит, то мы говорим, что А=Т или что А истинно. Если это событие не происходит, говорим, что А=F или что А ложно. Такие высказывания справедливы для некоторого определенного интервала времени и вероятности, связанной с появлением события. Переменные в алгебре логики принимают два значения: истина или ложь (появление или непоявление). Аналогично и функции принимают два значения в зависимости от комбинации логических переменных. Функции образуются с помощью операций И, ИЛИ и НЕ. Смысл этих операций определяется таблицами истинности.
Истинное значение функции задается значениями переменных, входящих в нее. Например, пусть функция А имеет вид
А = ВС + D.
Чтобы определить истинное значение А, надо знать истинные значения четырех переменных. Вычисление значения отдельных членов ведется в порядке: (1) НЕ, (2) И и (3) ИЛИ. Таким образом, если В=ЛОЖЬ, С=ИСТИНА, D=ИСТИНА и Е=ЛОЖЬ, то, используя таблицы, получим:
А = FT + T = FT + TT = F + T = T.
Порядок вычисления операций может быть изменен применением скобок, причем выражения внутренних скобок вычисляются первыми. Например,
А = В() = F() = F() = F = FT = F.
При определенных навыках такие вычисления производятся достаточно быстро.
Особый интерес представляет применение алгебры логики для анализа предполагаемых производственных опасностей.
ПРИМЕР 1. На новой машине имеется цепной привод, который хоть и имеет защитное устройство, но в данном режиме работы должен быть убран. В нормальном режиме сама цепь работает с большим напряжением. Поэтому можно ожидать, что она быстро изнашивается и периодически рвется. Частицы от другого оборудования, попадая в цепь, также могут привести к ее обрыву. В случае обрыва цепи имеющееся защитное устройство, в зависимости от обстоятельств, может не обеспечить защиту рабочего.
Логическими переменными в этом случае будут:
А - защита цепи убрана;
В - цепь изнашивается и рвется;
С - технологические частицы приводят к обрыву цепи;
D - защита достаточна, чтобы защитить рабочего в любом случае.
Х - соответствует наличию опасной ситуации. Логическая операция примет вид
Х = А +B +C или Х = А + (В + С)
Для предотвращения опасной ситуации нужно, чтобы величина Х не стала истиной. Это имеет место, когда А ложно, D истинно или и В и С ложны одновременно.
Покажем еще пример использования принципов алгебры логики. В частности, применим отождествление истинного события с единицей, а ложного с нулем.
ПРИМЕР 2. При строительстве здания компрессорной станции проводились отделочные работы. Бригада отделочников, численностью пять человек, работала на лесах на высоте 3 м от нулевой отметки. При установке бадьи с раствором леса обрушились. Четыре человека были травмированы. Очевидцы несчастного случая, пострадавшие и должностные лица дали показания, на основании которых были выделены основные факторы несчастного случая.
Обозначим эти факторы логическими переменными (заглавными буквами):
А - леса удовлетворяли техническим условиям (ТУ) и правилам техники безопасности (ПТБ);
B - крановщик был нездоров;
C - нагрузка на леса удовлетворяла ТУ и ПТБ;
D - кран был неисправен;
E - на леса был установлен слишком тяжелый груз;
F - в момент опускания груза производился поворот стрелы;
G - перед началом работы крановщик осмотрел кран;
H - перед началом работы мастер осмотрел леса.
Анализ причин несчастного случая (отказа) при помощи булевых функций выполняют следующим образом. Установив факторы несчастного случая (НС) составляется матричная форма (табл. 6.11.1) для его описания. Если очевидец утверждает, что данный фактор имел место, в соответствующую графу заносят "1", если нет, то "0", при отсутствии адекватной информации делают прочерк "-". Затем составляют функцию алгебры логики (Fал). Для каждого очевидца определяют свою конъюнкцию. Если фактор имел место, то букву записывают в утвердительном значении; если нет - в виде инверсий; при "-" букву опускают. Полученную функцию минимизируют перебором всех эквивалентных формул (либо применяя соответствующие методы) и подвергают анализу, при котором устанавливают основные причины несчастного случая и сопутствующие им факторы.
Таблица 6.11.1
Подготовка данных для составления Fал
Искомую Fал, для которой X - несчастный случай, запишем в виде
X = ADH+ACD+BF+DG+D+DF+H.
Минимальная формула будет иметь вид
X = BF + D + ACD + FH.
Если несчастный случай произошел, то X=1, т.е. имеет место одна из четырех альтернатив:
- крановщик не был здоров, кран был исправен, был поворот стрелы в момент опускания груза;
- крановщик был здоров, кран был неисправен;
- леса удовлетворяли ТУ и ПТБ, нагрузка на леса удовлетворяла ТУ и ПТБ, груз был установлен на леса в соответствии с требованиями ПТБ;
- кран был исправен, был поворот стрелы в момент опускания груза, мастер осмотрел леса перед началом работы.
Из примеров очевидно, что алгебра логики не отвечает на поставленный вопрос, но дает возможность поставить задачу так, что решение может быть принято при минимальной трудоемкости последующего анализа и сократить количество рассматриваемых подсистем.
КОНТРОЛЬНЫЕ КАРТЫ ПРОЦЕССОВ
Контрольные карты используются для визуального обнаружения нарушений технологического процесса по измеренным значениям выходной переменной на основе сопоставления ее статистических характеристик с допустимыми (контрольными) пределами. В качестве результатов измерений, наносимых на карты, могут служить любые переменные. Это могут быть скачки потребления электрической мощности, давления, температуры, вибрации и т.д. Построение контрольных карт, в частности определение контрольных пределов, основано на методе проверки статистических гипотез.
Изменения выходной переменной y объекта могут быть вызваны, во-первых, случайными внешними и внутренними возмущающими воздействиями, характерными для нормальной эксплуатации, во-вторых, различного рода нарушениями в работе систем (подсистем, элементов) и ошибочными действиями оператора.
Если переменная y изменяется под влиянием причин только первого вида, то процесс находится под статистическим контролем или в статистически подконтрольном состоянии, т.е. случайные колебания y подчиняются одному и тому же закону распределения вероятности. В случае же появления причин второго вида, процесс выходит из под контроля (находится вне статистического контроля).
На практике наиболее распространены контрольные карты средних значений (карта ), средних геометрических, накопленных сумм, индивидуальных значений y, медиан ym, комбинированные контрольные карты ( , y), (y, Ry), (ym, Ry) и др. (где y, Ry - соответственно среднее квадратическое отклонение и размах распределения случайной величины y).
Применяемые в картах числовые характеристики случайной величины y рассчитывают по измеренным значениям yi,1; yi,2; ...; yi,N в последовательные моменты времени ti, i=1,2 ... по методам математической статистики.
На рис 6.12.1 и 6.12.2 приведены карта средних значений и карта ( , Ry). Точками отмечены средние значения i в моменты времени ti, i=1,2...; my - математическое ожидание распределения случайной величины y. Процесс находится под статистическим контролем, т.е. соответствует нормальному функционированию, если значения i находятся между нижней и верхней контрольными границами (пределами). Линии и проводят с учетом предполагаемого (допустимого) распределения y или вводят с помощью непараметрического анализа. Когда значение i выходит за контрольные пределы, это свидетельствует о появлении каких-либо аномальных изменениях в технологическом процессе.
Построение контрольных карт, в частности определение контрольных пределов, основано на методе проверки статистических гипотез.
Различают нулевые и альтернативные гипотезы. К нулевым гипотезам 0 относят предложения о равенстве нулю статистических показателей при отсутствии различия между сравниваемыми параметрами, например между оценкой среднего и значением математического ожидания my распределения случайной величины y. Незначительные отклонения от my при правильной гипотезы 0 могут быть вызваны случайными колебаниями в выборках.
Рис. 6.12.1 Пример контрольной карты
Рис. 6.12.2. Контрольные карты процессов:
а - карта средних значений; б - карта ( , Ry)
К альтернативным гипотезам χi, i=1,2,... относятся все остальные гипотезы. Например, нулевой гипотезе о равенстве нулю разности ( -my) можно сопоставить две альтернативные: χ1-( -my)>0 иχ2-( -my)<0.
Контрольные границы для карт процессов определяют в следующей последовательности:
1. Выдвигают нулевую χ0 и одну χ1 или две χ1, χ2 альтернативные гипотезы;
2. Выбирают критическую статистику s;
3. Устанавливают уровень значимости α100%;
4. По таблице квантилей или процентных точек находят граничное значение sгр (или , ), соответствующее выбранному уровню значимости и числу замеров N;
5. По формуле связи критической статистики s с оцениваемым параметром рассчитывают контрольные границы.
Рекомендации по использованию контрольных карт в разных условиях приведены в табл. 6.12.1
Таблица 6.12.1