ПРЕДВАРИТЕЛЬНЫЙ АНАЛИЗ ОПАСНОСТЕЙ 4 страница

Рис. 6.13.1. Кластеры в пространстве двух переменных для трех состояний работоспособности

Чтобы охарактеризовать кластер по экспериментальным данным, в простейшем случае оценивают параметры распределения математического ожидания m_i, среднего квадратического отклонения s_i переменной y_i, i= , соответствующие одному состоянию работоспособности, а следовательно, и кластеру, определяют его границу как границу области с назначенной доверительной вероятностью. Если переменные y_i независимы и распределены по нормальному закону, то главные оси кластеров расположены параллельно координатным осям.

Нарушения методами кластерного анализа выявляют следующим образом. В момент времени t_j производят очередное j-е измерение вектора y[j] = (y₁[j],..., y_L[j]). На основе взаимного расположения точки y[j] кластеров в L-мерном пространстве определяют состояние работоспособности h[j] в момент времени t_j. Решение принимают на основе вычисления обобщенного расстояния от проверяемой точки y[j] до центров кластеров. В случае независимости переменных и нормальных распределений обобщенное расстояние r_h до h-го кластера определяют по формуле
r_h = , (6.13.1)
где y_i[j] - значение компоненты y_i вектора y[j];

, - параметры распределения p_h(y₁,..., y_L) кластера, соответствующего состоянию h объекта.

Точка y[j] относится к тому кластеру, для которого расстояние r_h минимально.

Можно также использовать модифицированное обобщенное расстояние r''_h, учитывающее фактор k и определяемое по формуле
= , , (6.13.2)

где k_h - фактор k для кластера, соответствующего состоянию h.

ПРИМЕР. Объект - химический реактор; контролируются переменные: y₁ - температура, y₂ - концентрация компонента A, y₃ - концентрация компонента B, y₄ – давление; выделены три кластера, соответствующие состояниям: h₀ - нормальное функционирование, h₁ - нарушена подача хладагента, h₂ - не работает мешалка, с параметрами =195, =10, =80, =5, =10, =2, =5, =0,5; =250, =20, =70, =5, =15, =3, =4,8, =0,5; =190, =15, =60, =7,5, =22, =5, =4,7, =0,6 (где s_i, m_i - среднее квадратическое отклонение и математическое ожидание i-й переменной для n-го кластера).

При очередном j-м измерении вектора y получены:
y[j] = (y₁[j]=220, y₂[j]=75, y₃[j]=12, y₄[j]=4,9),
обобщенные расстояния r_h, вычисленные согласно (6.12.1), которые равны: r_h0=2,88, r_h1=2,06, r_h=3,48. Расстояние r_h1 минимально, поэтому y[j] соответствует состоянию h₁.

В ряде случаев пространство значений вектора y содержит определенный кластер. В зависимости от того, какому сектору принадлежит точка y[j], делают вывод о принадлежности ее к соответствующему кластеру, а следовательно, о том, какое состояние работоспособности и нарушение имеет место в рассматриваемый период времени.

Классификационные (разделяющие) линии или функции, которые делят область наблюдаемых значений y на части, соответствующие различным состояниям работоспособности, определяют методами дискриминационного анализа и распознавания образов, например методами случайных плоскостей, потенциальных функций, которые реализуются на ЭВМ.

ПРИМЕР. Имеются два информативных признака: y₁, y₂, по значениям которых определяют состояние или образ объекта. Возможны два состояния работоспособности: h₀ и h₁. Линия L делит область значений y=(y₁, y₂) на две части: Y₀ и Y₁; если yÎY₀, то имеет место состояние h₀, если yÎY₁, то - h₁. В общем случае L - разделяющая плоскость.

Алгоритм построения линии L методом случайной плоскости содержит два этапа и заключается в следующем. На первом этапе проводится серия частных разделяющих линий L_i, i=1,2,... . Для этого берут два первых значения y, принадлежащие разным образам, например y[1]ÎY₀ и y[2]ÎY₁, и проводят произвольную линию L₁, разделяющие точки y[1] и y[2] (рис. 6.13.2,а). Берут следующее значение y[3], для определенности пусть y[3]ÎY₁. Если y[3] и y[2] лежат в одной полуплоскости относительно L₁, то новой линии не проводят; если же y[3] находится в одной полуплоскости с y[1]ÎY₀, то проводят линию L₂, отделяющую y[3] от y[1] (рис. 6.13.2,б). Далее рассматривают значение y[4]. При y[4]ÎY₀ проводят линию L₃, отделяющую y[4] от y[2]ÎY₁ (рис. 6.13.2,в), и т.д. Первый этап заканчивается, когда будут введены все значения y[j], предназначенные для построения разделяющей линии. На втором этапе стирают те участки частных линий L_i, по обе стороны которых имеются одноименные точки, оставшиеся участки образуют разделяющую линию L (рис. 6.13.2,г).

В случаях, когда нельзя указать резкие границы, отделяющие области значений y, соответствующие различным состояниям работоспособности, используют математический аппарат нечетких множеств. В нечетком множестве его элементы имеют различную степень принадлежности к данному множеству. Это объясняется невозможностью полного и четкого описания различных ситуаций, неточностью измерения входных и выходных переменных объекта и т.д.

Нечеткое множество A элементов некоторого множества Y определяют как совокупность упорядоченных пар (кортежей), составленных из элементов yÎY и степеней принадлежности m_А(y)Î[0; 1], т.е. A={<y, m_А(y)>, yÎY, m_А(y)Î[0; 1]} (где Y - область определения принадлежности m_А).

Рис. 6.13.2. Схемы построения разделяющей линии методом случайных плоскостей:
а - два измерения; б - три измерения; в - четыре измерения; г - разделяющая линия L:
о - измерения y[j]ÎY₀; х - измерения y[i]ÎY₁

Чем выше значение m_А(y), тем больше элемент y соответствует множеству А.

Например, y - температура в работающем химическом реакторе, yÎY={y₁, y₂, y₃, y₄, y₅}, y_i<y_i+1; А - нечеткое множество значений температур, соответствующих аварийной ситуации, равное

А = {(y₁; 0), (y₂; 0), (y₃; 0,3), (y₄; 0,9), (y₅; 1)}.

Данное множество означает, что температуры y₁, y₂ не соответствуют аварийной ситуации, y₃ - мало соответствует, y₄ - вполне соответствует, а при температуре y₅ аварийная ситуация не вызывает сомнения.

Теория нечетких множеств позволяет создавать автоматизированные системы предотвращения аварий, с помощью которых на основе информации с большой неопределенностью, нечетких действий и команд операторов определяют аварийную обстановку и выполняют необходимые защитные действия

ТАБЛИЦЫ СОСТОЯНИЙ И АВАРИЙНЫХ СОЧЕТАНИЙ
Безаварийность системы можно повысить, постоянно замеряя переменные технологического объекта с последующим определением состояния работоспособности, его места на дереве отказа. По достижению объектом угрожающих (предаварийных) состояний своевременно принимают необходимые защитные меры. Для этого широко используют таблицы состояний и аварийных сочетаний.

При разработке таблицы определяют измеряемые переменные, устанавливают пределы их измерения (уровни), выбирают виды входных воздействий, при которых измеряются переменные, составляют перечень ситуаций, образуемых сочетаниями и значениями измеряемых переменных, определяют возможные отказы (нарушения) элементов объекта, устанавливают соответствие между ситуациями и отказами, строят дерево решений, выбирают вид и заполняют таблицу решений, проводят работы по компактному представлению таблицы.

Например, в аппарате контролируются давление (y1) и температура (y2). Переменная y1 может находиться на двух уровнях: "0" - нормальное значение, "+" - завышенное значение, а переменная y2 на трех уровнях: "0", "+" и "-" (заниженное значение). В этом случае число возможных ситуаций равно шести (2(3): ситуация 1 - y1=0, y2=0, т.е (0;0); ситуация II - (0;+) и т. д. (табл. 6.14.1). Основные нарушения элементов объекта: 1 - отказ регулятора давления, 2 - отказ регулятора температуры, 3 - отказ регулятора расхода, 4 - не подается пар в рубашку.

Таблица 6.14.1 Таблица решений по значениям двух переменных

Соответствие между ситуациями и отказами отражается на дереве состояний (рис. 6.14.1). При его построении из начальной вершины (нулевой уровень) проводят ребра, соответствующие значениям переменной y1, из вершины следующего уровня - значениям переменной y2. после рассмотрения всех переменных образуются вершины, соответствующие возможным ситуациям, они пунктиром связаны с отказами объекта.

Рис. 6.14.1 Дерево состояний

Преобразование таблицы состояний к компактному виду рассмотрим на примере системы контроля и управления промежуточной емкостью (рис. 6.14.2).Приборы 1, 2 контролируют скорости входного F1 и выходного F2 потоков, регулятор 3 поддерживает постоянный уровень в емкости с помощью вентиля 4. Измеряемыми переменными являются F1,F2 (показания приборов 1, 2) и положение В вентиля 4. Каждая переменная может находиться на трех уровнях: "0" - нормальном; "+" - высоком (вентиль открыт) и "-" - низком (вентиль закрыт). Таким образом, число ситуаций (табл. 6.14.1) равно 33=27.

При функционировании объекта наиболее вероятны следующие нарушения: 2 - течь трубопровода на участке 2-4, 3 - ошибочно открытый байпас вентиля 4 (см. рис. 6.14.2), 4 - забита выходная труба, 5 - течь емкости, 6 - ненормальная производительность и А - аномалия, т.е. невозможная комбинация результатов измерения, с точки зрения принципа работы, ошибочные измерения.

Некоторые ситуации соответствуют одним и тем же отказам, их можно объединить. Так, в ситуациях 2, 11, 20 при различных значениях F1 одинаковый вывод - нарушения 2, 3. Это позволяет объединить три ситуации, отметив значение F1 знаком Л - любое. Результаты объединения ситуаций приведены в табл. 6.14.2.

Рис. 6.14.2. Схема системы контроля и управления промежуточной емкостью

Таблица 6.14.2
Таблица решений по значениям трех переменных

Применение таблицы решений позволяет контролировать развитие аварии, начиная от состояния нормального функционирования, когда все измеряемые переменные находятся в допустимых пределах. Сначала отклоняется от нормы значение одной переменной, затем двух и т.д. С помощью таблицы по значениям переменных определяют конкретные ситуации, а следовательно, и соответствующие им отказы, что позволяет их устранять и принимать меры для предотвращения аварий.

Таблица 6.14.3
Таблица решений с объединенными ситуациями

Таблицы решений используют также для автоматизации построения дерева отказов, наряду с ними широко распространены таблицы аварийных сочетаний.

ОЦЕНКА НАДЕЖНОСТИ ЧЕЛОВЕКА КАК ЗВЕНА СЛОЖНОЙ ТЕХНИЧЕСКОЙ СИСТЕМЫ

ПРИЧИНЫ СОВЕРШЕНИЯ ОШИБОК
Технические системы становятся взаимосвязанными только благодаря наличию такого основного звена, как человек. Примерно 20-30 % отказов прямо или косвенно связаны с ошибками человека; 10-15 % всех отказов непосредственно связаны с ошибками человека. По мнению академика В.А. Легасова, свыше 60% аварий происходит из-за ошибок персонала "рисковых" объектов.

Ввиду этого, анализ надежности реальных систем должен обязательно включать и человеческий фактор.
Надежность работы человека определяется как вероятность успешного выполнения им работы или поставленной задачи на заданном этапе функционирования системы в течение заданного интервала времени при определенных требованиях к продолжительности выполнения работы.

Ошибка человека определяется как невыполнение поставленной задачи (или выполнение запрещенного действия), которое может явиться причиной повреждения оборудования или имущества либо нарушения нормального хода запланированных операций.

В реальных условиях в большинстве систем независимо от степени их автоматизации требуется в той или иной мере участие человека.

Можно утверждать, что там, где работает человек, появляются ошибки. Они возникают независимо от уровня подготовки, квалификации или опыта. Поэтому прогнозирование надежности оборудования без учета надежности работы человека не может дать истинной картины.

Ошибки по вине человека могут возникнуть в тех случаях, когда:
- оператор или какое-либо лицо стремится к достижению ошибочной цели;
- поставленная цель не может быть достигнута из-за неправильных действий оператора;
- оператор бездействует в тот момент, когда его участие необходимо.
Виды ошибок, допускаемых человеком на различных стадиях взаимодействия в системе "человек - машина" можно классифицировать следующим образом.

1. Ошибки проектирования: обусловлены неудовлетворительным качеством проектирования. Например, управляющие устройства и индикаторы могут быть расположены настолько далеко друг от друга, что оператор будет испытывать затруднения при одновременном пользовании ими.
2. Операторские ошибки: возникают при неправильном выполнении обслуживающим персоналом установленных процедур или в тех случаях, когда правильные процедуры вообще не предусмотрены.
3. Ошибки изготовления: имеют место на этапе производства вследствие (а) неудовлетворительного качества работы, например неправильной сварки, (б) неправильного выбора материала, (в) изготовления изделия с отклонениями от конструкторской документации.
4. Ошибки технического обслуживания: возникают в процессе эксплуатации и обычно вызваны некачественным ремонтом оборудования или неправильным монтажом вследствие недостаточной подготовленности обслуживающего персонала, неудовлетворительного оснащения необходимой аппаратурой и инструментами.
5. Внесенные ошибки: как правило, это ошибки, для которых трудно установить причину их возникновения, т.е. определить, возникли они по вине человека или же связаны с оборудованием.
6. Ошибки контроля: связаны с ошибочной приемкой как годного элемента или устройства, характеристики которого выходят за пределы допусков, либо с ошибочной отбраковкой годного устройства или элемента с характеристиками в пределах допусков.
7. Ошибки обращения: возникают вследствие неудовлетворительного хранения изделий или их транспортировки с отклонениями от рекомендаций изготовителя.
8. Ошибки организации рабочего места: теснота рабочего помещения, повышенная температура, шум, недостаточная освещенность и т.п.
9. Ошибки управления коллективом: недостаточное стимулирование специалистов, их психологическая несовместимость, не позволяющие достигнуть оптимального качества работы.

Свойство человека ошибаться является функцией его психофизиологического состояния. Интенсивность ошибок во многом определяется параметрами внешней среды, в которой человек работает.

В основе всех перечисленных причин лежат психологические мотивы поведения человека в разных ситуациях. Отдельные лица представляют и руководящее звено, и операторское звено, и ремонтный персонал, и т.п. Подходы к проблемам безопасности у них будут разные, разными будут и результаты. Поведение отдельных лиц и их влияние на безопасность систем будет различным на разных ступенях технологической цепочки создания объекта (выбор площадки, разработка технико-экономического обоснования, конструкторские проекты, изготовления оборудования, строительство объекта, монтаж, наладка, эксплуатация, контроль и т.п.).

Одновременно персонал рисковых объектов испытывает большую психологическую нагрузку. Факторы, ее обусловливающие, можно рассмотреть на примере [64] работы оперативного персонала традиционной промышленной электростанции: осознание степени опасности и тяжести последствий аварии; высокое давление пара и воды, высокое электрическое напряжение; движущиеся механизмы; вибрация; повышенная температура и пониженная влажность воздуха; монотонность обстановки; медленные изменения показаний приборов; размеренный ритм работы оборудования.

Следствия: расстройство сознания, рост психологической напряженности, потеря бдительности.
Статистика: от 7 до 36% аварий происходит по вине персонала; 73% из них - в результате неблагоприятных психологических качеств человека. Аналогичные результаты дает анализ причин несчастных случаев на предприятиях "Белглавэнерго", %: психологические - 49,1; социально-психологические - 21,8; смешанные - 22,7; технические - 4,3; прочие - 2,1.

Для операторов атомной электростанции психологическая нагрузка еще выше: более высокая личная ответственность; опасность радиационного облучения; риск радиационного заражения местности в случае аварии с выходом теплоносителя.

Психологи определяют две группы качеств профессиональной подготовки: знания и навыки, психологические, психофизиологические и социально-психологические качества, такие, как стрессоустойчивость, выдержка, добросовестность, ответственность, умение работать в группе. Как правило, основная часть оперативного персонала этому комплексу качеств удовлетворяет. Однако здесь, видимо, требуется полное, 100% соответствие оперативного персонала этим качествам, так как неизвестно, на чью долю придется критическая ситуация, из которой придется выходить.

Не следует забывать о социально-психологическом аспекте надежности человеческого фактора в условиях политических столкновений в обществе (тревоги внешнего мира становятся фактором риска, когда у пульта обеспокоенный оператор). В целом сложная картина воздействий на человека, управляющего потенциально опасной техникой, представлена на рис. 7.1.1.

Рис.7.1.1. Факторы, воздействующие на человека, управляющего потенциально опасной техникой

При этом для разных людей движущие мотивы профессионального поведения могут быть различные: познавательный интерес к делу, уважение к профессии, осознание ответственности, избежание конфликтов, карьеризм, утилитарный подход (зарплата, премия, жилье, машина, путевка на отдых и т.д.).

Особого рассмотрения требует поведение человека в экстремальных (аварийных) ситуациях. За примером обратимся к работе проф. С. А. Тевлина [64], в которой весьма наглядно раскрыт этот вопрос при анализе аварий на АЭС "Три-Майл-Айленд" (США, 1979г.) и Чернобыльской АЭС (бывший СССР, 1986г.). Одновременно Вы обнаружите и ряд ошибок из приведенной нами классификации.

В экстремальных ситуации человек, как правило, продолжает ту линию поведения, которая отработана в предыдущий период. Мера воплощения привычных стереотипов зависит от выраженности таких личных качеств, как эмоциональная выдержка, добросовестность, доверчивость, самоконтроль, стрессоустойчивость и доброжелательность.

Поэтому формула безопасности: критическая позиция (I) + строго регламентированный и взвешенный подход (II) + коммуникабельность (III) = безопасность, - будучи внедренной в стереотип поведения оператора, обеспечивает:
- предотвращение (удаление от) аварийной ситуации;
- снижение процента ошибок при управлении аварией.

Это нетрудно проследить на примерах крупных радиационных аварий на АЭС в последние десятилетия. С 1944 по 1988 г. в мире произошло 296 таких аварий, в которых пострадало 136615 чел., из них 24853 чел. получили значительное облучение (6 Гр на кожу или 0,25 Гр на все тело) и 69 чел. погибли. Из них 13 случаев приходится на ядерные реакторы и критсборки, а остальные - на радиационные установки и радиофармацевтику.

При развитии аварии на АЭС "Три-Майл-Айленд" отмечаются следующие ошибки персонала:
- ремонтники оставили закрытыми задвижки на линии аварийного питания парогенератора (ПГ).
- непонимание протекающих процессов вследствие отсутствия полной информации, стереотипа мышления и недочетов конструкции. В частности, существенную роль в развитии аварии сыграл импульсный предохранительный клапан (ИПК) на линии от конденсатора давления (КД), который не закрылся после срабатывания. Аналогичная ситуация сложилась на 11 мая 1984 г. на Калининской АЭС, которая, к счастью, не привела к аварии. Возврат на место ИПК КД происходит далеко не всегда, наблюдались случаи непосадки клапана и на других АЭС уже после аварии на "Три-Майл-Айленд". Однако это не породило импульса к исправлению положения. Это пример отсутствии культуры безопасности на арматурном предприятии - изготовителе и в проектной организации, использовавшей такой ИПК в проекте.

В возникновении наиболее тяжелой аварии за всю историю атомной энергетики - аварии на ЧАЭС - большую негативную роль сыграл оперативный персонал. Известно, что человеческие ошибки совершаются только в условиях, когда люди не могут их не сделать. Исходя из этого представляется важным оценить психологическую и социально-психологическую обстановку на ЧАЭС.

1. ЧАЭС - одна из лучших АЭС. Благоустроенный город Припять. Престижное место работы.
2. Квалификация оперативного персонала на ЧАЭС, и в пятой смене в частности (когда произошла авария), в общем, не дают основания для сомнений: образование и практический опыт работы имелись.
3. ЧАЭС - Припять: обособление должностных группировок, внутри которых поддерживались отношения "своих".
4. Подбор и расстановка кадров осуществлялась в соответствии с п.3.
5. Снижение активности жизненной позиции: определяющий мотив поведения - избежать конфликта с руководством (следствия: "Мне приказано - я делаю", т.е. буквальное следование инструкциям; равнодушие к производству; уход в мир личных интересов; "позиция винтика").
6. Традиция сохранения в тайне информации об аварийных случаях, что исключает возможность обучения персонала и воспитания чувства коллективной ответственности.
7. Внутренняя установка на выполнение задания (плана производства электроэнергии, программы испытаний и т.п., но не на безопасность).

Перечисленное свидетельствует об отсутствии основных элементов культуры безопасности (дать анализ). Следует отметить еще ряд негативных факторов:
1. Работа оператора может быть успешной, если технические характеристики управляемой системы соответствуют возможностям человека (профессиональная подготовка, психофизиологические и психологические характеристики). Это не было обеспечено в данном случае.
2. Управление блоком осуществлялось на основании богатого операторского опыта, знаний физических и теплофизических процессов и интуиции.
Успешный выход из нестандартных ситуаций в прошлом укрепляет уверенность в личных возможностях операторов и способствует потере бдительности у персонала, а иногда порождает и особую "доблесть" риска ("Прорвемся, как и в прошлый раз!").
3. Блочный щит управления был выполнен без учета требований эргономики (количество и важность информации).

Все эти негативные и позитивные обстоятельства реализовались во время аварии. Оценка масштабов аварии, доступная специалистам, не была доведена до сведения жителей города: соблюдать порядок, не сеять панику, ждать команд свыше - вот тон руководящих указаний, продолжавших линию секретности. Пока дети работников АЭС баловались в лужах города, сами работники АЭС ликвидировали аварию.

Мотивы любого поступка определяются объективными условиями и индивидуальными особенностями человека. Оперативной задачей на ночь с 25 на 26 апреля было завершение испытаний по выбегу ротора турбины. Развитие событий послужило тому, что положительные личностные качества персонала - дисциплинированность, исполнительность - обратились в свою противоположность - безответственность и небрежность. Причина: привычка к существующему порядку вещей - "главное, чтобы не было конфликта с начальством", пассивная подчиненность, а не критическая позиция и личная ответственность за безопасность.

Возврат к проявлению личностных качеств в неискаженном служебной иерархией виде произошел после аварии. Оперативный персонал 5-й смены и прибывшие по тревоге работники АЭС проявляли выдержку, решительность, мужество, хотя по признакам острой лучевой болезни, появившимся в первые часы после аварии, представление об уровне радиации у них было. Поступки отражали высокую эмоциональную напряженность, активность гражданской позиции, имели целесообразный характер. В основе их лежали ощущения причастности к происшедшему событию, которое может иметь непредсказуемые последствия, ярко проявились чувства ответственности и долга в условиях непосредственной опасности для жизни.
Однако в ряде случаев отмечалась и неадекватная реакция на опасность: демонстрация бесстрашия, легкомысленный интерес к тому, как выглядит помещения 4-го блока, куски реакторного графита, разбросанные внутри и вне здания. В единичных случаях отмечалось и повышенное чувство опасности, нежелание покидать защищенное от радиации помещение даже для выполнения служебного задания.
После завершения первой, наиболее эмоционально напряженной фазы ликвидации аварии, отмечался в ряде случаев уход от инициативной, активной позиции, готовность подчиниться любому решению "сверху".
На развитие опасной ситуации оказывает процесс субъективного восприятия риска. Субъективное восприятие риска - очень интересный и сложный вопрос. От того, как люди воспринимают события катастрофического характера, таким образом формируется их поведение при различных формах деятельности. У экспертов представление о риске от какой-либо технологии однозначно связано со смертностью от нее, у населения же такой связи нет.

Характерный пример: эксперимент, поставленный сотрудниками Всесоюзного научно-исследовательского института системных исследований (ВНИИСИ), был направлен на выявление особенностей субъективного представления людей о степени риска, связанного с различными видами деятельности. Он предполагал ранжирование испытуемыми тринадцати видов риска. Первое место по степени риска для общества (социального риска) в обобщенной ранжировке заняли стихийные бедствия, второе - АЭС, а последнее - поездки на железнодорожном транспорте и активный отдых (см. табл. 7.1.1).