Построение "дерева" причин и опасностей
Анализ опасностей, их причинно-следственные связи
Общие положения
Под безопасностью понимается свойство системы "человек - среда" (среда обитания) сохранять в процессе ее функционирования такое состояние, при котором с заданной вероятностью исключаются события, обуславливающие возникновение опасностей.
Опасности носят потенциальный, т.е. скрытый характер. Условия реализации потенциальной опасности называются причинами.
Опасность – следствие некоторой причины (или группы причин), которая, в свою очередь, является следствием другой причины. То есть, причины и следствия образуют иерархические структуры или системы, так называемые: «дерево событий», «дерево причин», «дерево отказов» или «дерево опасностей», «дерево неисправностей».
Следовательно, опасность и безопасность жизнедеятельности могут интерпретироваться как состояние соответствующих систем, обусловленных множеством функциональных свойств их компонентов и характером связей между ними.
Базовым показателем безопасности является вероятность (R) протекания процессов без событий (случаев) в течение определенного времени.
Другим важным показателем, взаимосвязанным с первым, является вероятность Q = 1 - R, которая допускает возникновение хотя бы одного события за тот же период время, например, вероятность (риск) гибели человека, риск катастрофы, взрыва и др.
Как видно, сумма R+Q = 1, из чего следует, что значение каждой из этих вероятностей взаимосогласованно укладывается в интервале от 0 до 1, при этом очевидно, что в каждой точке интервала их сумма равняется 1.
Любая опасность реализуется, нанося ущерб, благодаря какой-то причине или нескольким причинам. Без причин нет реальных опасностей.
Следовательно, предотвращение опасностей или защита от них базируется на знании причин.
Построение "дерева" причин и опасностей
Между реализованными опасностями и причинами существует причинно-следственная связь: опасность является следствием некоторой причины (причин), которая в свою очередь является следствием другой причины и т.д.
Таким образом, причины и опасности создают иерархические, цепные структуры или системы, которые и являются основной концепцией опасности.
Графическое изображение таких зависимостей чем-то напоминает разветвленное дерево.
В литературе, посвященной анализу безопасности объектов, употребляются такие термины, как дерево причин, дерево отказов, дерево опасностей, дерево событий.
В строящихся деревьях, как правило, имеются ветви причин и ветви опасностей, что полностью отображает диалектический характер причинно-следственных связей. Отделить причины от следствий нецелесообразно, а иногда и невозможно.
Поэтому полученные в результате анализа безопасности объектов графические изображения точнее назвать "деревьями причин и опасностей".
Построение деревьев является исключительно эффективной процедурой выявления причин различных нежелательных событий (аварий, травм, пожаров, ДТП и тому подобное).
Построение дерева ошибок начинается с определения конечного события. Это событие может иметь широкий и общий характер - отказ или повреждение системы, или узкий и специфический, когда нарушается функционирование некоторого компонента X.
Это конечное событие будет располагаться на верхушке дерева ошибок, а все последующие события, которые ведут к главному, будут располагаться как ветви на дереве.
Рис. 1 иллюстрирует простое дерево ошибок с расположенным на его верхушке конечным событием, сопутствующими и неполными событиями на его ветвях, и первичными событиями, находящимися в самом низу дерева.
Рис. 1. Концепция дерева ошибок
Когда пользователь пошагово идет от конечного события вниз, будет материализоваться каждый уровень дерева. Для того, чтобы перейти от одного уровня к следующему аналитик должен постоянно ставить фундаментальный вопрос: "Что могло бы привести к наступлению этого события?" Как только причинные события идентифицированы, они размещаются в соответствующей позиции на дереве ошибок.
При построении основного дерева ошибок используются специальные символы, которые обеспечивают аналитика иллюстрированным изображением события и то, как оно взаимодействует с другими событиями на дереве. Специальная форма символов дает наглядность и значительно облегчает построение дерева ошибок.
В итоге оно оказывается построенным из символов событий, символов логических знаков и соединительных структурных линий.
Структура "дерева причин и опасностей" включает одно главное событие (аварию, инцидент), которое соединяется с набором соответствующих нижестоящих событий (ошибок, отказов, неблагоприятных внешний действий), которые образуют причинные цепи (сценарии аварий). Для связи между событиями в узлах "деревьев" используются знаки "И" и "ИЛИ".
Логические операции обеспечиваются соответствующими логическими знаками (рис. 2).
| Строка | Символ логического знака | Название логического знака | Причинная взаимосвязь |
| | Знак "И" | Выходное событие происходит, если все входные события наступают одновременно. | |
| | Знак ''ИЛИ" | Выходное событие происходит, если наступает любое из входных событий. | |
| | Знак ''ЗАПРЕТ" | Наличие входа вызывает наличие выхода тогда, когда происходит условное событие | |
| | Знак приоритетное "И" | Выходное событие случается, если все входные события происходят в нужном порядке слева направо | |
| | Знак исключающее" ИЛИ" | Выходное событие происходит, если случается одно (но не оба) из входных событий | |
| | Знак m из n (голосования или выборки) | Выходное событие происходит, если случается m из n входных событий |
Рис. 2. Логические символы
Чаще всего используются операции "И" и "ИЛИ".
Операция "И" указывает, что для получения данного выхода необходимо получить все необходимые условия (и первое, и второе, и другие условия) наступления события, то есть происходит логическое произведение. Логический знак "И" означает, что вышестоящее событие возникает при одновременном наступлении нижестоящих событий (отвечает перемножению их вероятностей для оценки достоверности вышестоящего события).
Операция "ИЛИ" указывает, что для получения данного выхода должно быть соблюдено хотя бы одно условие на входе, то есть происходит логическая сумма. Знак "ИЛИ" означает, что вышестоящее событие может случиться в результате возникновения одного из нижестоящих событий.
Другими словами, операция "И" означает: перед тем, как состоится событие А, должны состояться оба события Б и В. Операция "ИЛИ" значит, что событие Г будет иметь место, если состоятся хотя бы одно из событий Д или Е или оба события (рис. 3).
|
| ||
Рис. 3. Варианты наступления событий А и Г в зависимости от условий
возникновения предыдущих причин (Б, В, Д, Е).
| Строка | Символ события | Содержание события |
| | Исходное событие, обеспеченное достаточными данными | |
| | Событие, недостаточно детально разработанное . | |
| | Событие, вводимое логическим элементом | |
| | Условное событие, используемое с логическим знаком «запрет» | |
| | Событие, которое может случаться или не случаться | |
| | Символ перехода |
Рис. 4. Символы событий.
Обычно предусматривается, что прежде чем приступить к построению дерева причин и опасностей тщательным образом изучается система. Поэтому описание системы должно быть частью документации, составленной в ходе такого изучения.
Анализ опасности стоит начинать с выявления источников опасности, дальше устанавливается последовательность опасных событий и потом строится дерево причин и опасностей, что венчается конечным событием (пожаром, взрывом, аварией, травмой и др.). Другими словами, складывается алгоритм конечного события, которое определяется как формальное распоряжение, обуславливающее последовательность операций (событий), которые переводят совокупность исходных данных событий в искомый результат (конечное событие).
Эту часть анализа стоит считать качественной оценкой опасности системы, за ней должна вытекать вторая часть анализа - количественная.
В зависимости от конкретных целей анализа дерева причин и опасностей для построения последнего специалисты обычно используют или метод первичных отказов, или метод вторичных отказов, или метод инициированных отказов.
Метод первичных отказов. Отказ элемента называется первичным, если он (отказ) происходит в расчетных условиях функционирования системы. Построение дерева неисправностей на основе учета лишь первичных отказов не представляет большой сложности, поскольку дерево строится только к той точке, где первичные отказы элементов, которые идентифицируются, вызывают отказ системы. Для иллюстрации этого метода рассмотрим следующий пример.
Пример 1.Требуется построить дерево причин и опасностей для простой системы. В качестве простой системы мы использовали комнату, в которой есть выключатель и электрическая лампочка. Считается, что отказ выключателя заключается лишь в том, что он не замыкается, а завершающим событием является отсутствие освещения в комнате.
Дерево неисправностей для этой системы показано на рис. 5.
Основными или первичными событиями дерева неисправностей является (1) отказ источника питания А, (2) отказ предохранителя Б, (3) отказ выключателя В и (4) перегорание лампочки Г.
Промежуточным событием является прекращение подачи электроэнергии. Наибольший интерес представляет завершающее событие - "отсутствие света в комнате", и потому именно ему уделяется основное внимание при анализе. Дерево причин и опасностей, изображенное на рис. 5 показывает, что исходные события являются входами схем ИЛИ: при наступлении любого из четырех первичных событий А, Б, В, Г осуществляется завершающее событие (отсутствие света в комнате).
Рис. 5. Дерево неисправностей для случая первичных отказов.
Метод вторичных отказов. Чтобы анализ охватывал и вторичные отказы, требуется еще более глубокое исследование системы. При этом анализ выходит за рамки рассмотрения системы на уровне отказов ее основных элементов, поскольку вторичные отказы вызываются неблагоприятным действием окружающих условий или чрезмерными нагрузками на элементы системы в процессе эксплуатации.
Пример 2.На рис. 6 показано простое дерево причин и опасностей с завершающим событием "прекращения выработки электроэнергии генератором". Дерево причин и опасностей отображает такие первичные события как отказ выключателя (отсутствие замыкания), неисправности внутренних цепей двигателя, источника питания и предохранителя. Вторичные отказы изображаются прямоугольником как промежуточное событие.
Вторичные отказы, изображенные на рис. 6, происходят в результате неудовлетворительного технического обслуживания, неблагоприятного действия внешней среды, стихийного бедствия и т. д.
Рис. 6. Дерево неисправностей для случая вторичных отказов.
Метод инициированных отказов. Подобные отказы возникают при правильном использовании элемента, но в неустановленное время или в неразрешенном месте. Другими словами, инициированные отказы - это сбои операций координации событий на разных уровнях дерева причин и опасностей: от первичных отказов к завершающему событию (нежелательному или конечному).
Пример 3.Типичным примером инициированного отказа является поступление ошибочного сигнала на какое-либо электротехническое устройство (например, двигатель или преобразователь). Взаимосвязь между основными и инициированными отказами показана на рис. 7.
Многообразие причин аварийности и травматизма наиболее полно и удобно представляется в виде диаграммы-дерева причин и опасностей, что отражает процесс появления и развития цепи предпосылок. Основными компонентами диаграммы причин или опасностей являются узлы (или вершины) и взаимосвязи между ними. В качестве узлов имеются в виду события, свойства и состояния элементов данной системы, а также логические условия их трансформации (складывание "ИЛИ" и перемножение "И").
Рис.7. Дерево неисправностей для случая основных и инициированных отказов.
Пример 4.На рис. 8 показана система последовательно соединенных элементов, которая включает насос и клапан, что имеют достоверность безотказной работы соответственно 0,98 и 0,95, а также приведено дерево решений для этой системы. Согласно принятому правилу верхняя ветка отвечает желательному варианту работы системы, а нижняя - нежелательному. Дерево решений читается слева направо. Если насос не работает, система отказывает независимо от состояния клапана. Если насос работает, с помощью второй узловой точки изучается ситуация – работает ли клапан.
а)
б)
в)
Рис. 8. Дерево решений для двухэлементной схемы (работа насоса):
а) - принципиальная схема; б) - дерево решений; в) - диаграмма решений.
Вероятность безотказной работы системы:
Р1 = P × V = 0,98 × 0,95 = 0,931.
Вероятность отказа системы :
Р2 = 𝑃 + 𝑉 = 0.98 × 0.05 + 0.02 = 0,069.
И суммарная вероятность двух состояний системы равна
Р1 + Р2 = 0,931 + 0,069 = 1.
Методы анализа деревьев наиболее трудоемкие, они применяются для анализа проектов или модернизации сложных технических систем и производств и требуют высокой квалификации исполнителей.
Пример 5.Проведем качественный анализ опасности системы нагревателя воды.
Рассмотрим принципиальную схему нагревателя воды (рис.9), которая показывает взаимосвязь элементов в заданных режимах работы, и дадим техническое описание.
Начальные условия: предохранительный клапан закрыт, газовый открыт.
В заданный режим работы подогреватель включается газовым клапаном, который руководит горелкой в двух режимах: полностью включенным и полностью выключенным.
Газовый клапан в свою очередь включается регулятором этого клапана по команде прибора контроля температуры, которая открывает и закрывает газовый клапан, удерживая интервал температуры 60-82ºС.
Обратный клапан на входном трубопроводе воды препятствует обратному потоку при повышении давления в системе горячей воды, а предохранительный клапан открывается, если давление превышает 70 Па.
Рис.9. Принципиальная схема системы нагревателя воды:
1 - обратный клапан; 2 - кран горячей воды; 3 - предохранительный клапан; 4 - газовая горелка; 5 - газовый клапан; 6 - регулятор газового клапана; 7 - прибор контроля температуры; 8 - бак.
В данном случае могут иметь место следующие события, способные привести к конечному событию - разрыв оболочки водяного бака.
1. Первичный отказ бака - разрыв оболочки бака.
2. Первичный отказ прибора контроля температуры - заедание предохранительного клапана (закрыт) - разрыв оболочки бака.
3. Регулятор не закрывает газовый клапан - заедание предохранительного клапана (закрыт) - разрыв оболочки бака.
4. Заедания газового клапана (открыт) - заедание предохранительного клапана (закрыт) - разрыв оболочки бака.
Дальше с использованием логических символов событий, логических знаков строится дерево причин и опасностей (рис. 10) которое с помощью логических операций отображает последовательность событий, приводящих к конечному событию, - разрыву оболочки бака.
Рис. 10. Дерево причин и опасностей для системы нагревателя воды.
Рис. 11. Схема освещения:
1 - выключатель; 2 - предохранитель; 3 - лампа накаливания;
4 - провод; 5 - источник питания
Рис. 12. Схема тормозной системы автомобиля:
1 - тормозная педаль; 2 - главные тормозные цилиндры; 3 - колеса;
4 - трубопроводы; 5 - тормозные колодки; 6 - колесные тормозные цилиндры
Задание 1.
Зарисовать в тетрадях рис.11 и 12.
Построить в тетрадях дерево причин и опасностей для систем, принципиальные схемы которых представлены на рис. 11 и 12.
Начальные условия:
Для рис.11: выключатель включен, а лампа не горит.
Для рис.12: тормозная педаль нажата, а торможения автомобиля нет.
Проведенный анализ опасности с выявлением источников опасности, установлением последовательности опасных событий и построение дерева причин и опасностей стоит считать качественной оценкой опасности.
Она позволяет выявить все возможные причины опасностей и оценить их связь между собой. Это необходимо для проведения следующего этапа анализа - количественной оценки опасностей.