 |
Анализ риска с использованием дерева отказов
|
|
|
|
При анализе деревьев отказов (АДО) выявляются комбинации отказов (неполадок) оборудования, ошибок персонала и внешних (техногенных, природных воздействий, приводящих к основному событию – аварийной ситуации). Метод используется для анализа возможных причин возникновения аварийной ситуации и расчета ее частоты (на основе знания частот исходных событий).
Методология деревьев отказов начала развиваться с 1961 г., когда впервые была применена для анализа надежности систем управления запуском ракет “Минитмен”. В классическом варианте, с точки зрения учитываемых в модели факторов “надежностного поведения” исследуемых систем, объектов и применяемого математического аппарата, деревья отказов ничем не отличаются от логико-вероятностных методов и, в частности, от блок-схем надежности. Единственным отличием данной методологии является формальное представление надежностных отношений в системе в виде деревьев отказов и происходящих при этом событий, связанных логическими операторами. Дерево отказов (аварий, происшествий, последствий, нежелательных событий, несчастных случаев и пр.) лежит в основе логико-вероятностной модели причинно-следственных связей отказов системы с отказами ее элементов и другими событиями (воздействиями); при анализе возникновения отказа состоит из последовательностей и комбинаций нарушений и неисправностей, и таким образом оно представляет собой многоуровневую графологическую структуру причинных взаимосвязей, полученных в результате прослеживания опасных ситуаций в обратном порядке, для того чтобы отыскать возможные причины их возникновения (рисунок 9).
Ценность дерева отказов заключается в следующем:
|
|
|
· анализ ориентируется на нахождение отказов;
· позволяет показать в явном виде ненадежные места;
· обеспечивается графикой и представляет наглядный материал для той части работников, которые принимают участие в обслуживании системы;
· дает возможность выполнять качественный или количественный анализ надежности системы;
· метод позволяет специалистам поочередно сосредотачиваться на отдельных конкретных отказах системы;
· обеспечивает глубокое представление о поведении системы и проникновение в процесс ее работы;
· являются средством общения специалистов, поскольку они представлены в четкой наглядной форме;
· помогает дедуктивно выявлять отказы;
· дает конструкторам, пользователям и руководителям возможность наглядного обоснования конструктивных изменений или установления степени соответствия конструкции системы заданным требованиям и анализа компромиссных решений;
· облегчает анализ надежности сложных систем.
Главное преимущество дерева отказов (по сравнению с другими методами) заключается в том, что анализ ограничивается выявлением только тех элементов системы и событий, которые приводят к данному конкретному отказу системы или аварии.
Недостатки дерева отказов состоят в следующем:
· реализация метода требует значительных затрат средств и времени;
· дерево отказов представляет собой схему булевой логики, на которой показывают только два состояния: рабочее и отказавшее;
· трудно учесть состояние частичного отказа элементов, поскольку при использовании метода, как правило, считают, что система находится либо в исправном состоянии, либо в состоянии отказа;
· трудности в общем случае аналитического решения для деревьев, содержащие резервные узлы и восстанавливаемые узлы с приоритетами, не говоря уже о тех значительных усилиях, которые требуются для охвата всех видов множественных отказов;
|
|
|
· требует от специалистов по надежности глубокого понимания системы и конкретного рассмотрения каждый раз только одного определенного отказа;
· дерево отказов описывает систему в определенный момент времени (обычно в установившемся режиме), и последовательности событий могут быть показаны с большим трудом, иногда это оказывается невозможным. Это справедливо для систем, имеющих сложные контуры регулирования.
Чтобы отыскать и наглядно представить причинную взаимосвязь с помощью дерева отказов, необходимы элементарные блоки, подразделяющие и связывающие большое число событий. Имеется два типа блоков: логические символы (знаки) и символы событий. Логические символы (знаки) связывают события в соответствии с их причинными взаимосвязями. Обозначения логических знаков приведены в таблице 5. Логический символ (знак) может иметь один или несколько входов, но только один выход, или выходное событие. Символы событий приведены в таблице 6.
Прямоугольный блок обозначает событие отказа, которое возникает в результате более элементарных, исходных отказов, соединенных с помощью логических элементов.
Круглый блок обозначает исходный отказ (исходное событие) отдельного элемента (в пределах данной системы или окружающей среды), который определяет таким образом разрешающую способность данного дерева отказов. Для того чтобы получить количественные результаты с помощью дерева отказов, круглые блоки должны представлять события, для которых имеются данные по надежности и которые называются исходными событиями. Обычно такое событие обусловливается определенным элементом и, когда оно происходит, этот элемент необходимо отремонтировать или заменить.
Ромбы используются для обозначения детально не разработанных событий в том смысле, что детальный анализ не доведен до исходных типов отказов в силу отсутствия необходимой информации, средств иди времени. «Авария из-за саботажа или диверсии» является примером детально не разработанного события. Часто такие события не увеличиваются при количественном анализе. Они включаются на начальном этапе и их присутствие служит показателем глубины и ограничений данного исследования.
|
|
|
Символ домик — ожидаемое событие. Иногда желательно рассмотреть различные особые случаи дерева отказов, заведомо предполагая, что одни события происходят, а другие события исключаются из рассмотрения. В таких случаях, целесообразно пользоваться символом, изображенным в виде домика. Когда этот символ включают в дерево отказов, предполагают, что данное событие обязательно происходит, и возникает противоположная ситуация, когда его исключают. Можно также опустить причинные взаимосвязи, расположенные под знаком И, не учитывая события, заключенного в домике и стоящего на входе этого логического знака. Подобным образом можно аннулировать связи под логическим знаком ИЛИ, присоединив событие, заключенное в домике, непосредственно к этому знаку.
В строке 6 помещена пара треугольных символов: треугольник переноса «ИЗ» и треугольник переноса «В», обозначающих два подобных типа причинных взаимосвязей. Обоим треугольникам присвоен одинаковый порядковый номер. Треугольник переноса «ИЗ» соединяется с логическим символом сбоку, а у треугольника переноса «В» линия связи проходит от вершины к другому логическому символу. Треугольники используются для того, чтобы упростить изображение дерева отказов.
Если событие, заключенное в прямоугольнике, может быть детально разработано, то его называют «состояние элемента». В противном случае событие называют «состояние системы». Для события «состояние системы» нельзя выделить определенный элемент, который является единственной причиной данного события. Сразу несколько элементов или даже отдельные подсистемы определяют это событие. Такие события следует разрабатывать, руководствуясь первыми шестью правилами, до тех пор пока не выявятся события «состояние элемента».
3 Процедура построения, содержание анализа и структура дерева отказов
Существо метода заключается в построении структурной схемы дерева отказов системы и ее анализе. Основной принцип построения дерева отказов заключается в последовательной постановке вопроса: по каким причинам может произойти отказ системы, т.е. анализ осуществляется «сверху вниз».
|
|
|
Обычно предполагается, что исследователь, прежде чем приступить к построению дерева отказов, тщательно изучает систему. Поэтому описание системы должно быть частью документации, составленной в ходе такого изучения.
Процедура построения дерева отказов включает, как правило, следующие этапы:
1. Определение нежелательного (завершающего) события в рассматриваемой системе.
2. Тщательное изучение возможного поведения и предполагаемого режима использования системы.
3. Определение функциональных свойств событий более высокого уровня для выявления причин тех или иных неисправностей системы и проведение более глубокого анализа поведения системы с целью выявления логической взаимосвязи событий более низкого уровня, способных привести к отказу системы.
4. Собственно построение дерева отказов для логически связанных событий на входе. Эти события должны определяться в терминах идентифицируемых независимых первичных отказов.
Чтобы получить количественные результаты для завершающего нежелательного события, необходимо задать вероятность отказа, коэффициент неготовности, интенсивность отказов, интенсивность восстановлений и другие показатели, характеризующие первичные события, при условии, что события дерева отказов не являются избыточными (не приводящими к аварии).
Более строгий и систематический анализ предусматривает выполнение таких процедур, как (1) определение границ системы, (2) построение дерева неисправностей, (3) качественная оценка, (4) количественная оценка. Вторичные отказы изображаются прямоугольником как промежуточное событие.
Методика построения дерева отказа заключается в следующих этапах.
1. Определяют аварийное (предельно опасное, конечное) событие, которое образует вершину дерева. Данное событие четко формулируют, дают признаки его точного распознавания. Перечисляют возможные отказы, рассматривают их комбинации, определяют последствия этих событий.
2. Используя стандартные символы событий и логические символы, дерево строят в соответствии со следующими правилами:
а) конечное (аварийное) событие помещают вверху;
б) дерево состоит из последовательности событий, которые ведут к конечному событию;
в) последовательности событий образуются с помощью логических знаков И, ИЛИ и др.;
г) событие над логическим знаком помещают в прямоугольнике, а само событие описывают в этом прямоугольнике;
д) первичные события (исходные причины) располагают снизу.
|
|
|
При построении дерева аварий события располагают по уровням. Главное (конечное) событие занимает верхний - нулевой уровень, ниже располагают события 1-го уровня (среди них могут быть и начальные), затем 2-го уровня и т.д. Если на первом уровне содержится одно или несколько начальных событий, объединяемых логическим значком ИЛИ, то возможен непосредственный переход от начального события к аварии.
3. Квалифицированные эксперты проверяют правильность построения дерева. Это позволяет исключить субъективные ошибки разработчика, повысить точность и полноту описания объекта и его действий.
4. Определяют минимальные аварийные сочетания и минимальную траекторию для построения дерева. Первичные и неразлагаемые события соединены с событием нулевого уровня маршрутами (ветвями).
5. Качественно и количественно исследуют дерево аварий с помощью выделенных минимальных аварийных сочетаний и траекторий. Качественный анализ заключается в сопоставлении различных маршрутов от начальных событий к конечному и определении критических (наиболее опасных) путей, приводящих к аварии. При количественном исследовании рассчитывают вероятность появления аварии в течение задаваемого интервала времени по всем возможным маршрутам. При расчете вероятности возникновения аварии необходимо учитывать применяемые логические знаки. Вероятность р(В) выходного события при независимости входных событии A 1…п, определяют по формулам:
при знаке И: 
(2)
при знаке ИЛИ: 
(3)
где: p (Ai) - вероятность события А.
Анализ дерева отказа позволяет выделить ветви прохождения сигнала к головному событию, а также указать связанные с ними
- минимальные пропускные сочетания,
- минимальные отсечные сочетания.
Минимальные пропускные сочетания - это набор исходных событий, предпосылок (отмечены цифрами), обязательное (одновременное) возникновение которых достаточно для появления головного события (аварии). Используются главным образом для выявления "слабых мест".
Минимальные отсечные сочетания - набор исходных событий, который гарантирует отсутствие головного события при условии невозникновения ни одного из составляющих этот набор событий. Используются главным образом для определения наиболее эффективных мер предупреждения аварии.
Для каждой системы возможны различные аварийные ситуации, для каждой из них строят дерево отказов. Впоследствии эти деревья могут быть и связаны. Аналогично, если одна система функционирует в различных режимах, то может понадобиться анализ деревьев отказов для каждого из режимов.
Задание 1
На рисунке 3 приведена схема процесса заправки и пример дерева отказа, используемого для анализа причин возникновения аварийных ситуаций при автоматизированной заправке емкости. Структура дерева отказа включает одно головное событие (авария, инцидент), которое соединяется с набором соответствующих нижестоящих событий (ошибок, отказов, неблагоприятных внешних воздействий), образующих причинные цепи (сценарии аварий).
Вероятности исходных событий для различных вариантов заданий приведены в таблице 3.
Таблица 3 - Исходные события дерева отказа
|
| Наименование событий или состояний модели | Вероятность события Рi для вариантов | ||||
| 1 | 2 | 3 | 4 | 5 | ||
| 1 | Система автоматической выдачи дозы (САВД) оказалась отключенной (ошибка контроля исходного положения) | 0,0005 | 0,0006 | 0,0004 | 0,0003 | 0,0005 |
| 2 | Обрыв цепей передачи сигнала от датчиков объема дозы | 0,00002 | 0,00001 | 0,00003 | 0,00001 | 0,00003 |
| 3 | Ослабление сигнала выдачи дозы помехами (нерасчетное внешнее воздействие) | 0,0001 | 0,0004 | 0,0003 | 0,0001 | 0,0002 |
| 4 | Отказ усилителя - преобразователя сигнала выдачи дозы | 0,0002 | 0,0003 | 0,0002 | 0,0004 | 0,0001 |
| 5 | Отказ расходомера | 0,0003 | 0,0002 | 0,0003 | 0,0004 | 0,0003 |
| 6 | Отказ датчика уровня | 0,0002 | 0,0004 | 0,0001 | 0,0002 | 0,0005 |
| 7 | Оператор не заметил световой индикации о неисправности САВД (ошибка оператора) | 0,005 | 0,006 | 0,007 | 0,005 | 0,004 |
| 8 | Оператор не услышал звуковой сигнализации об отказе САВД (ошибка оператора) | 0,001 | 0,002 | 0,003 | 0,001 | 0,002 |
| 9 | Оператор не знал о необходимости отключения насоса по истечении заданного времени | 0,003 | 0,001 | 0,002 | 0,001 | 0,002 |
| 10 | Оператор не заметил индикации хронометра об истечении установленного времени заправки | 0,004 | 0,005 | 0,006 | 0,004 | 0,003 |
| 11 | Отказ хронометра | 0,00001 | 0,00002 | 0,00001 | 0,00003 | 0,00004 |
| 12 | Отказ автоматического выключателя электропривода насоса | 0,00001 | 0,00001 | 0,00001 | 0,00001 | 0,00001 |
| 13 | Обрыв цепей управления приводом насоса | 0,00003 | 0,00001 | 0,00002 | 0,00001 | 0,00003 |
Требуется:
· выделить ветви прохождения сигнала к головному событию;
· указать минимальные пропускные сочетания;
· указать минимальные отсечные сочетания;
· выполнить расчеты вероятностей возникновения аварии (риск) и безаварийного выполнения заправочной операции.
Задание 2
Построить дерево отказов и выполнить расчеты вероятностей возникновения аварии на очистных сооружениях промышленного предприятия (рисунок 4), в состав которых входят 2 усреднителя (в т.ч. 1 резервный), 2 отстойника, 2 нефтеловушки (1 резервная), 3 аэротенка (1 резервный) и 1 биофильтр. Резервное оборудование включается при отказе основного. Эффективная работа сооружений осуществляется при постоянном исходном составе сточных вод. Вероятности исходных событий для различных вариантов заданий приведены в таблице 4.
Таблица 4 - Исходные события дерева отказа
|
| Наименование событий или состояний модели | Вероятность события Рi для вариантов | ||||
| 1 | 2 | 3 | 4 | 5 | ||
| 1 | Отказ системы управления усреднителя | 0,0005 | 0,0006 | 0,0004 | 0,0003 | 0,0005 |
| 2 | Отказ электропривода насоса | 0,0002 | 0,0001 | 0,0003 | 0,0001 | 0,0003 |
| 3 | Несвоевременное удаление осадка из отстойника | 0,01 | 0,04 | 0,03 | 0,1 | 0,02 |
| 4 | Отказ системы управления нефтеловушки | 0,0002 | 0,0003 | 0,0002 | 0,0004 | 0,0001 |
| 5 | Нарушение режима работы аэротенка | 0,03 | 0,02 | 0,03 | 0,04 | 0,03 |
| 6 | Нарушение режима работы биофильтра | 0,0002 | 0,0004 | 0,0001 | 0,0002 | 0,0005 |
| 7 | Значительное изменение исходного состава сточной воды | 0,3 | 0,1 | 0,2 | 0,08 | 0,6 |
6 Контрольные вопросы к защите задания
1 Пояснить содержание и порядок анализа риска с использованием дерева событий.
2 Пояснить содержание, достоинства и недостатки анализа риска с использованием дерева отказов.
3 Пояснить содержание логических символов и логических знаков, используемых при построении дерева отказов.
4 Пояснить принципы и методику построения дерева отказов.
5 Пояснить сущность минимальных пропускных и минимальных отсечных сочетаний.
|
|
|
