Ocena programów komputerowych do analiz drzew błędów/zdarzeń na potrzeby probabilistycznej oceny bezpieczeństwa elektrowni jądrowych

Transkrypt

1 Ocena programów komputerowych do analiz drzew błędów/zdarzeń na potrzeby probabilistycznej oceny bezpieczeństwa elektrowni jądrowych M. Borysiewicz 1, S. Potempski 1, P. Prusiński 2, A. Wasiuk 1 1 Instytut Energii Atomowej POLATOM 2 Instytut Problemów Jądrowych Świerk, listopad

2 2

3 Streszczenie Zasadniczym celem niniejszego opracowania było porównanie zakresu możliwości programów komputerowych do projektowania i analiz drzew błędów/zdarzeń. Raport składa się z dwóch części. Pierwsza z nich jest wprowadzeniem do tematu Probabilistycznej Oceny Bezpieczeństwa/Ryzyka (z ang. Probabilistic Safety/Risk Analysis PSA/PRA). Zawiera ona zatem nie tylko wyjaśnienie znaczenia i zakresu stosowalności teorii, ale także informacje oraz porady z zakresu modelowania instalacji jądrowych podatnych pod kątem wystąpienia uszkodzeń. Przedstawia również dobre praktyki stosowane podczas modelowania sytuacji awaryjnych. Szeroko omawia zagadnienia modelowania błędów ludzkich czy awarii spowodowanych wspólną przyczyną. Druga część tego raportu dotyczy właściwego porównania oprogramowania dostępnego na rynku. Wzięto tu pod uwagę 7 różnych aplikacji i przeanalizowano je pod kątem blisko 30 różnych kategorii. Jednymi z głównych kryteriów były funkcjonalność programu, wieloletnie doświadczenie producenta w branży, faktyczne wykorzystanie jego oprogramowania w przemyśle jądrowym, cena, wymagania sprzętowe i wreszcie jakość interfejsu użytkownika. Efektem tej analizy była sugestia wyboru produktów rekomendowanych z punktu widzenia zastosowania w Polsce. Summary The assessment of fault and event trees analysis software for the NPPs safety evaluation purpose. The main goal of this paper is to compare the functionality of the computer software which is used to create and analyze fault and event trees. The report is divided into two main parts. The first part should be treated as a introduction to the Probabilistic Safety/Risk Analysis (PSA/PRA). Thus, it includes not only the explanation of the meanings and range of applicability of the theory, but also information and hints concerning the modeling of nuclear facilities, especially those working at higher risk of damage. This part shows also good practices that are used for modeling of the emergency situation. It includes also know-how for the human factors and common cause failures. The second part of this paper focuses on the comparison of the software which are currently available in the market. There were, in total, 7 different applications under the consideration and they were analyzed in terms of ca. 30 different criteria. The most important criteria were as follows: software functionality, long-term experience of the software producer in the market, references from the nuclear industry, price, hardware requirements and finally quality of GUI.. As a result of this analysis the choice of the recommended software has been done. That software fulfill the best all the requirements from the point of view of the Polish Nuclear Industry needs. 3

4 Spis treści: 1. WPROWADZENIE ZASTOSOWANIE DRZEW BŁĘDÓW W ANALIZACH PSA OGÓLNE WYMAGANIA DOTYCZĄCE DRZEW BŁĘDÓW DLA ANALIZ RYZYKA EJ7 4. PODSTAWOWE POJĘCIA I ELEMENTY METODOLOGICZNE System jako podmiot analizy Określenie zdarzeń Elementy logiczne drzewa błędów Podstawowe zasady konstruowania drzew błędów ZALECENIA DOTYCZĄCE FORMATU DRZEW BŁĘDÓW Graficzna reprezentacja drzew błędów Symbole graficzne Kodowe nazwy zdarzeń Wykorzystanie wspomagania komputerowego w analizie drzew błędów PRAKTYCZNE WSKAZANIA DOTYCZĄCE ANALIZY SYSTEMÓW EJ Modelowanie systemów EJ Podstawowe typy systemów Zasady dekompozycji systemu Szczegółowość modelu Niektóre założenia modelowe Identyfikacja istotnych zdarzeń Identyfikacja i usunięcie pętli logicznych Zdarzenia wierzchołkowe dla systemów EJ Dokumentacja modelu TECHNIKI UZUPEŁNIAJĄCE STOSOWANE W OSZACOWANIACH ZDARZEŃ AWARYJNYCH Podstawy metod ocen błędów ludzkich w aspekcie bezpieczeństwa systemów technicznych Analiza niezawodności człowieka Podstawowe elementy analiz niezawodności człowieka Rola czynników kształtujących działanie (PSF) w HRA Ogólne zasady analizy działań człowieka w aspekcie niezawodności i bezpieczeństwa systemu Zasady selekcji metod i technik analizy niezawodności człowieka Błędy o wspólnej przyczynie (CCF) Rodzaje CCF Proste metody uwzględniania CCF w modelach drzew błędów PORÓWNANIE OPROGRAMOWANIA DO ANALIZ PROBABILISTYCZNYCH DLA ENERGETYKI JĄDROWEJ Krótka charakterystyka analizowanych programów RiskSpectrum PSA Professional SAPHIRE RELEX ITEM QRAS oraz ITEM Toolkit FaultTree OpenFTA Analiza porównawcza oprogramowania Funkcjonalność oprogramowania referencyjnego WNIOSKI KOŃCOWE BIBLIOGRAFIA

5 1. WPROWADZENIE Niniejsze opracowanie jest jednym z etapów szerszego programu prac związanych z oceną bezpieczeństwa i niezawodności elektrowni jądrowych przy użyciu metod probabilistycznych. Perspektywicznym celem tych prac jest wykonanie probabilistycznych analiz bezpieczeństwa (Probabilistic Safety Assessment - PSA) dla elektrowni jądrowych. Podstawowym etapem analiz jest opracowanie modelu EJ przystosowanego do potrzeb PSA zawierającego dwa podstawowe elementy - drzewa zdarzeń określające zbiór wszystkich możliwych ciągów awaryjnych oraz drzewa błędów dla poszczególnych systemów technologicznych EJ istotnych z punktu widzenia rozwoju sytuacji awaryjnych. W pierwszej części opracowania zawarto informacje porządkowe i pewne wskazania metodologiczne związane z opracowaniem systemowych drzew błędów przez poszczególnych wykonawców tego etapu prac. Wytyczne zamieszczone w opracowaniu powinny przyczynić się do uzyskania spójnego materiału, który będzie mógł być łatwo wykorzystany w dalszych etapach prac. W dalszej części dokumentu dokonano analizy i porównania najczęściej stosowanych programów komputerowych do analiz drzew błędów (FTA fault tree analysis) dostępnych na rynku. Porównanie to przeprowadzono zarówno pod kątem funkcjonalnym jak i takich czynników jak: cena, możliwości przeprowadzenia szkoleń, referencji firm produkujących oprogramowanie oraz wymagań sprzętowych i programistycznych. 2. ZASTOSOWANIE DRZEW BŁĘDÓW W ANALIZACH PSA Technika drzew błędów jest jedną z najczęściej stosowanych metod analizy systemowej. Analiza ma charakter dedukcyjny i koncentruje się na określonym niepożądanym zdarzeniu (zwykle uszkodzeniu lub niesprawności operacyjnej systemu) a jej celem jest wskazanie jakie są przyczyny zaistnienia niepożądanej sytuacji. Drzewo błędów jest logicznym schematem pokazującym w jaki sposób uszkodzenie lub niesprawność systemu może być spowodowana przez uszkodzenia jego części składowych lub przez inne zdarzenia (np. błędy obsługi eksploatacyjnej). Analiza prowadząca do zbudowania drzewa błędów rozpoczyna się od zdefiniowania tzw. zdarzenia wierzchołkowego (np. uwolnienia produktów radioaktywnych lub niesprawności systemu) i jest prowadzona w sposób systematyczny przez identyfikację wszystkich możliwych przyczyn tego zdarzenia, (uszkodzeń lub innych zdarzeń). Postępowanie takie jest kontynuowane w odniesieniu do wszystkich kolejnych zdarzeń, aż do osiągnięcia właściwego poziomu szczegółowości. W rezultacie zdarzenie wierzchołkowe zostaje wyrażone w kategoriach zdarzeń łatwych do oceny, zarówno jakościowej jak i ilościowej. Zdarzenia te powinny być wybrane w taki sposób, aby możliwe było ich scharakteryzowanie w kategoriach probabilistycznych na podstawie obserwacji eksploatacyjnych, stosowanych w praktyce zasad eksploatacji, systemu, właściwości fizycznych systemu itp. Zdarzenia pierwotne obejmują zwykle różnego rodzaju uszkodzenia i niesprawności, błędy personelu eksploatacyjnego, zdarzenia związane z obsługa i kontrolą i inne zdarzenia lub sytuacje mające istotne znaczenie 5

6 dla zaistnienia zdarzenia wierzchołkowego. Technika drzew błędów, dzięki precyzyjnie zdefiniowanej logice formalnej oraz przejrzystej formie graficznej, znajduje szerokie zastosowanie w analizach bezpieczeństwa PSA. Właściwie użyta stanowi wygodne narzędzie pozwalające na analizę dużych i złożonych systemów w sposób systematyczny i uporządkowany. W niektórych krajach drzewa błędów stanowią przyjętą formę prezentowania w sposób bardziej sformalizowany różnych istotnych informacji dotyczących bezpieczeństwa obiektu (np. dla wykazania, że rozwiązania technicznoproceduralne zapewniają wystarczającą niezależność określonych systemów lub urządzeń). Bardzo ważną sferą zastosowań są różnego rodzaju analizy jakościowe zmierzające do uzyskania istotnych informacji o potencjalnych możliwościach wystąpienia różnych sytuacji awaryjnych. Technika ta pozwala na identyfikację szeregu realnych sytuacji awaryjnych, stanowiących kombinację stosunkowo prawdopodobnych zdarzeń, które pojedynczo nie stanowią zagrożenia, natomiast w koincydencji z innymi mogą spowodować skutki groźniejsze niż "duże" awarie (tzw. awarie projektowe). W wyniku tych analiz uzyskuje się ponadto informacje o niedoskonałościach systemu (np. niepożądanych współzależnościach pomiędzy jego składowymi), a także o środkach pozwalających poprawić bezpieczeństwo obiektu (np. modyfikacjach o charakterze projektowym lub proceduralnym). Analizy jakościowe są integralną częścią tzw. analiz ryzyka, w których dokonuje się kwantyfikacji opracowanych modeli logicznych w celu określenia wskaźników ilościowych charakteryzujących prawdopodobieństwa określonych sytuacji awaryjnych. W analizach bezpieczeństwa obiektów jądrowych technika drzew błędów jest stosowana w powiązaniu z techniką drzew zdarzeń. W tym przypadku zdarzenia wierzchołkowe odpowiadają zdarzeniom zdefiniowanym w kategoriach niewykonania określonych zadań funkcjonalnych przez poszczególne systemy, których działanie decyduje o przebiegu awarii. Określenie, kiedy zadanie funkcjonalne systemu uważa się za spełnione pomyślnie, oparte jest o ilościowe wymagania precyzujące warunki działania systemu (tzw. kryteria pomyślnego wykonania zadań), często zależne od sytuacji awaryjnej (określonej przez ciąg zdarzeń poprzedzających działanie systemu). W związku z tym dla danego systemu może zajść potrzeba opracowania kilku drzew błędów o zdarzeniach wierzchołkowych odpowiadających różnym sytuacjom awaryjnym (lub jak często przyjęło się określać, drzewa o kilku zdarzeniach wierzchołkowych). Drzewa błędów opracowywane są dla wszystkich systemów pierwszoplanowych i wspierających, istotnych dla przebiegu awarii. Przy analizie poszczególnych sytuacji awaryjnych są one łączone przy użyciu odpowiednich operatorów logicznych w jedno duże drzewo, którego zdarzeniem wierzchołkowym jest wystąpienie określonej sytuacji awaryjnej. Pozostałe systemy (wspierające) są uwzględniane przez dołączenie odpowiednich drzew błędów tych systemów do drzew systemów pierwszoplanowych. Analiza jakościowa i ilościowa takich złożonych drzew błędów jest wykonywana przy użyciu odpowiednich programów komputerowych. Również szereg czynności związanych z przygotowaniem problemu, w tym scalenie poszczególnych drzew systemowych, identyfikacja niezależnych gałęzi, drzew itp., może być zautomatyzowana. Analiza jakościowa polega na znalezieniu podstawowych kombinacji zdarzeń, przy których następuje zdarzenie wierzchołkowe (tzw. zbioru minimalnych przekrojów drzewa). W ramach analiz ilościowych przeprowadza się kwantyfikację zdarzeń, określając kolejno prawdopodobieństwa zdarzeń 6

7 pierwotnych, poszczególnych przekrojów oraz zdarzenia wierzchołkowego. Bardzo ważnym etapem analiz jest analiza niepewności polegająca na propagacji, poprzez opracowany model logiczny, rozkładów prawdopodobieństw wskaźników charakteryzujących zdarzenia pierwotne. 3. OGÓLNE WYMAGANIA DOTYCZĄCE DRZEW BŁĘDÓW DLA ANALIZ RYZYKA EJ Jak wspomniano wyżej systemowe drzewa błędów są podstawowymi elementami logicznego modelu EJ stosowanego w analizach ryzyka PSA, a czynność konstruowania odpowiednich drzew dla wszystkich systemów istotnych z punktu widzenia bezpieczeństwa, jest bardzo ważnym i odpowiedzialnym etapem analiz. W przypadku dużych i złożonych modeli z jakimi ma się do czynienia przy analizie ciągów awaryjnych EJ, poszczególne części modelu (drzewa błędów dla określonych systemów) są konstruowane niezależnie przez różnych wykonawców, a następnie scalane w odpowiedni sposób dla wykonania analiz określonych sytuacji awaryjnych. Postępowanie takie jest uzasadnione dążeniem do sensownego ograniczenia czasu realizacji zadania przy dość znacznej pracochłonności wykonania modelu PSA. Ma również pewien związek z branżową specyfiką określonych systemów EJ. Opracowywanie systemowych drzew błędów w takim trybie wymaga wielkiej staranności i uwagi od wszystkich uczestników prac, a także właściwych działań koordynacyjnych we wszystkich fazach realizacji modelu. Najbardziej ogólne wymagania jakim powinny odpowiadać poszczególne części modelu, aby zapewnić prawidłowe i sprawne przeprowadzenie analiz PSA, są następujące: Zarówno drzewa błędów dla poszczególnych systemów jak i drzewa uzyskane ze scalenia kilku drzew systemowych muszą być poprawne pod względem logicznym i formalnym. Struktura logiczna i sposób przedstawienia drzew błędów powinien być maksymalnie prosty i przejrzysty dla ułatwienia analizy i weryfikacji modelu, a także w dużym stopniu elastyczny z punktu widzenia ewentualnych modyfikacji czy rozszerzania modelu. Format stosowany przy sporządzaniu dokumentacji drzew błędów powinien być zgodny z użytym modelem komputerowym. Przytoczone wyżej ogólne wymagania mogą być sprecyzowane nieco bardziej szczegółowo. Omówienia wymaga przede wszystkim sprawa logicznej i formalnej poprawności drzew błędów. Należy wymienić tu kilka ważnych kwestii, jak np. identyfikacja i poprawne wprowadzenie do modelu wszystkich zdarzeń zależnych, uniknięcie logicznych pętli w drzewie powstałym ze skojarzenia kilku systemowych drzew błędów, niedopuszczenie do przypadkowego pokrywania się nazw dla kilku różnych zdarzeń, a także zachowania identyczności nazw odnoszących się do tych samych zdarzeń w różnych częściach modelu. Wymagania dotyczące sposobu przedstawienia systemowych drzew błędów dotyczą zarówno zakresu informacji składających się na opis drzew błędów jak i formatu stosowanego przy sporządzaniu odpowiedniej dokumentacji. Odpowiedni zakres i sposób przedstawienia informacji dla poszczególnych drzew systemowych może ułatwić weryfikację i scalanie modelu. Precyzyjny i konsekwentnie stosowany format, na który składają się odpowiednie znaki graficzne oraz system nazewnictwa zdarzeń, a także jednoznaczne zasady podziału 7

8 drzewa na moduły, ma istotne znaczenie we wszystkich etapach analiz począwszy od identyfikacji błędów logicznych, a skończywszy na rozszerzaniu czy modyfikacjach modelu. Format ten powinien zapewnić odpowiednią przejrzystość i czytelność modelu. Dostosowanie formatu do komputerowej obróbki drzew jest związane z wymaganiami maszyny cyfrowej oraz programu, który ma być użyty dla przeprowadzenia analiz jakościowych i ilościowych. Ograniczenia mogą dotyczyć możliwych typów operatorów logicznych (bramek) oraz liczby znaków stosowanych w nazwach zdarzeń. Szczegółowe informacje dotyczące formatu będą podane w rozdziale PODSTAWOWE POJĘCIA I ELEMENTY METODOLOGICZNE W niniejszym rozdziale podano niektóre podstawowe pojęcia używane w analizie systemów oraz zamieszczono pewne podstawowe wskazania przydatne przy konstruowaniu drzew błędów. Bardziej wyczerpujące informacje z tej dziedziny znaleźć można w pracach monograficznych [1-7], a także wcześniejszych opracowaniach dotyczących metodyki PSA [8-16] System jako podmiot analizy Określenie systemu stosowane w analizie systemowej ma bardzo szerokie znaczenie i zależy w dużym stopniu od kontekstu prowadzonych analiz. Bardzo ogólna definicja systemu, określa system jako "deterministyczną całość utworzoną przez zbiór współdziałających ze sobą dyskretnych elementów". Ważnym sformułowaniem w powyższej definicji jest deterministyczny charakter systemu implikujący identyfikowalność systemu i jego części składowych oraz fakt współdziałania części składowych systemu w celu wykonania określonych funkcji. W praktycznych analizach pojęcia systemu i jego dyskretnych elementów mają charakter względny i zależą od szczegółowości oraz charakteru prowadzonych analiz. W zależności od potrzeb dyskretne elementy same mogą być rozpatrywane jako systemy. Definicja systemu może zależeć od wyboru zasadniczych aspektów funkcjonowania systemu. Istotne znaczenie może mieć na przykład fakt, czy przedmiotem zainteresowania jest pomyślne wykonanie przez system określonego zadania funkcjonalnego, czy wystąpienie pewnej szczególnej sytuacji awaryjnej. Definicja systemu jest nierozerwalnie związana z przyjęciem zewnętrznych granic systemu zarówno fizycznych jak i czasowych. Granice te określają oddziaływanie systemu na otoczenie i oddziaływanie otoczenia na system. Określenie granic systemu zależy w dużej mierze od aspektów zainteresowania danej analizy, przesądzając równocześnie o tym jak wnikliwa i wyczerpująca jest ta analiza. Ważną kwestią przy definiowaniu systemu jest określenie wewnętrznych granic systemu precyzujących szczegółowość podziału systemu na części składowe oraz zakres powiązań i oddziaływali wewnątrz systemu. Związki funkcjonalne pomiędzy częściami składowymi systemu mogą być bardzo różne, niekiedy bardzo złożone. W pewnych przypadkach są to 8

9 programy, procedury postępowania czy zasady organizacyjne. Istotny wpływ na sposób określenia wewnętrznych i zewnętrznych granic systemu mogą mieć względy praktyczne związane z ograniczeniem pracochłonności analiz oraz dostępnością danych probabilistycznych dotyczących różnych komponentów systemu. Względy te nierzadko przesądzają o określeniu systemu oraz definicji części składowych systemu. Komponentem systemu przyjęto nazywać niepodzielny zespół połączonych ze sobą części, składających się na identyfikowalne urządzenie, przyrząd lub element wyposażenia o określonym przeznaczeniu funkcjonalnym i definiowalnych charakterystykach. Pożądaną w praktyce cechą komponentu jest możliwość odłączenia, demontażu lub wymiany go w całości, a także przeprowadzenia niezależnej próby komponentu. W praktycznych analizach systemów dla określenia części składowych systemu przyjęto używać pojęcia podsystemu jako zespołu pośredniego w strukturze hierarchicznej pomiędzy systemem i komponentem. Pojęcia system, podsystem i komponent są używane dość elastycznie umożliwiając wprowadzenie pewnej hierarchii i ułatwiający określenie granic systemu. W praktyce podział systemów na podsystemy i komponenty jest w pewnym stopniu uzależniony od dostępnych banków dostarczających dane o profilu niezawodnościowym. Zasady klasyfikacji urządzeń czy elementów wyposażenia zastosowane w takich bankach mogą zadecydować o sposobie podziału systemu w konkretnych analizach. Z takich względów na przykład, definicja pompy może być rozszerzona na cały zespół, obejmujący pompę, silnik napędowy czy nawet układ sterujący. W analizach systemów wygodnie jest wprowadzić podział komponentów na dwa typy: bierne i czynne. Komponenty bierne spełniają w systemie zadania mniej lub bardziej statyczne. Komponenty takie mogą przekazywać energię czy czynnik roboczy z jednego miejsca w drugie (np. kabel elektryczny lub rurociąg parowy) lub przenosić obciążenia (np. konstrukcja wsporcza, naczynie ciśnieniowe). Komponenty czynne pełnią w systemie funkcje dynamiczne zmieniając w określony sposób zachowanie się systemu. Przykładem może być zawór, który przez otwarcie lub zamknięcie zmienia przepływ czynnika w systemie lub wyłącznik działający w podobny sposób w obwodzie elektrycznym. Komponent bierny może być rozpatrywany jako przekaźnik "sygnału", natomiast komponent czynny jako generator lub przetwornik "sygnału". Fizyczne znaczenie użytego tu pojęcia sygnał może być bardzo różne (np. prąd elektryczny lub siła). Definicje przytoczone wyżej dotyczą zwykle głównej funkcji spełnianej przez komponent. W szeregu przypadków czynny komponent może być rozpatrywany jako bierny (np. zamknięty zawór jako jeden z elementów przegrody ciśnieniowej) Określenie zdarzeń Zdarzenia występujące w analizie systemowej mogą być zaliczone do trzech zasadniczych grup: zdarzenia związane z nieprawidłowym funkcjonowaniem komponentów lub systemów, zdarzenia związane z przeprowadzaniem prac konserwacyjno-remontowych oraz 9

10 kontroli systemów i urządzeń, zdarzenia związane z zachowaniem się obsługi operatorskiej i personelu eksploatacyjnego. Zdarzenia pierwszej grupy obejmują całą gamę różnego rodzaju uszkodzeń i nieprawidłowości działania urządzeń wyposażenia. Warto w tym miejscu podkreślić, że w odniesieniu do określonego komponentu wadliwe funkcjonowanie może być spowodowane albo przez uszkodzenie danego komponentu albo przez nieprawidłowość zaistniałą na wyższym poziomie, jak brak sygnału, brak zasilania, niedostateczne chłodzenie itp. Nieprawidłowości te mogą być wywołane przez uszkodzenia innych komponentów (lub systemów), powiązanych funkcjonalnie z danym komponentem lub przez błędy personelu. Pojęcie nieprawidłowości funkcjonowania komponentu jest więc ogólniejsze niż pojęcie uszkodzenia komponentu 1. W odniesieniu do uszkodzeń rozróżnia się czasem tzw. uszkodzenia pierwotne oraz wtórne, uszkodzenia pierwotne są uszkodzeniami, które nastąpiły w warunkach środowiskowych zgodnych z projektowymi. Są to więc uszkodzenia przypadkowe, spowodowane wadami materiałowymi i wykonawczymi, normalnym zużyciem, korozją itp. Uszkodzenia wtórne są uszkodzeniami, które zostały spowodowane w warunkach środowiskowych nie mieszczących się w granicach projektowych, np. przekroczeniem dopuszczalnych temperatur lub ciśnienia, nadmiernymi obciążeniami mechanicznymi itp. Uszkodzenia komponentu (systemu) są często klasyfikowane z punktu widzenia zadań funkcjonalnych. Klasyfikacja ta ma również związek z podziałem komponentów na czynne i bierne, a także ze stosowanymi modelami uszkodzeń. Wyróżnia się następujące grupy uszkodzeń: Uszkodzenia polegające na niewypełnieniu zadania funkcjonalnego typu "działania na żądanie". Uszkodzenia te dotyczą komponentów czynnych pełniących w systemie funkcje dynamiczne. Przykładem takiego uszkodzenia może być nie otwarcie się zaworu zdalnie sterowanego na sygnał lub nie uruchomienie silnika napędowego pompy na sygnał itp. W odniesieniu do tych uszkodzeń stosowany jest z reguły dyskretny model uszkodzeń, w którym wystąpienie uszkodzenia jest uzależnione od liczby włączeń lub uruchomień komponentu. Uszkodzenia w czasie wykonywania zadania funkcjonalnego. Uszkodzenia te dotyczą komponentów wykonujących swe funkcje przez określony okres czasu, zarówno czynnych jak i biernych. Przykładem, takiego uszkodzenia jest przerwanie działania pracującej pompy przed upływem czasu potrzebnego na wykonanie określonego zadania (komponent aktywny) lub rozszczelnienie normalnie zamkniętego zaworu przed upływem czasu potrzebnego przez system na wykonanie określonego zadania (komponent spieniający funkcję bierną). W odniesieniu do tych uszkodzeń stosowany jest z reguły ciągły (czasowy) model uszkodzeń, w którym wystąpienie uszkodzenia jest uzależnione od czasu pracy komponentu w warunkach sprzyjających powstaniu takiego uszkodzenia Uszkodzenia w czasie oczekiwania na działanie. Do grupy tej zaliczane są uszkodzenia komponentów aktywnych dotyczące ich "działania na żądanie", które nastąpiły w okresie oczekiwania na takie działanie. Uszkodzenia te z reguły pozostają niewykryte do momentu próby uruchomienia lub włączenia komponentu. Przykładem może być uszkodzenie siłownika zaworu, oczekującego w stanie zamkniętym na sygnał otwarcia, 1 termin nieprawidłowe lub wadliwe funkcjonowanie stosowany jest w niniejszej pracy dla określenia zdarzenia polegającego na niewykonaniu przez element (urządzenie, system) określonego zadania funkcjonalnego. W odniesieniu do takiego zdarzenia używany jest często, zadaniem autorów niezbyt zręczny, termin "niezadziałanie". 10

11 uniemożliwiające wykonanie tego zadania we właściwym momencie. W odniesieniu do tych uszkodzeń stosuje się czasowy (ciągły) model uszkodzeń. Istotne dla właściwego określenia współzależności pomiędzy różnymi zdarzeniami są pojęcia skutków uszkodzenia, sposobu uszkodzenia oraz efektów uszkodzenia. Przy określaniu skutków uszkodzenia przedmiotem zainteresowania jest wpływ określonego uszkodzenia lub nieprawidłowości działania komponentu na system. Pojęcie sposób uszkodzenia precyzuje dokładniej jakie aspekty uszkodzenia są przedmiotem zainteresowania. Natomiast mechanizm uszkodzenia koncentruje się na przyczynach i okolicznościach określonego uszkodzenia. Należy podkreślić, że podobnie jak pojęcia systemu, podsystemu i komponentu również pojęcia skutków, sposobów i mechanizmów uszkodzenia mają charakter relatywny. Określone zdarzenie może stanowić skutek w odniesieniu do komponentu, sposób w odniesieniu do podsystemu i mechanizm w stosunku do systemu. Typowym przykładem jest niezadziałanie zaworu spowodowane uszkodzeniem siłownika zaworu, W odniesieniu do komponentu (siłownika) niezadziałanie zaworu jest skutkiem uszkodzenia. Dla podsystemu (zawór z siłownikiem) niezadziałanie zaworu jest sposobem uszkodzenia. W stosunku do systemu, w skład którego wchodzi zawór, wadliwe funkcjonowanie zaworu stanowi określenie mechanizmu uszkodzenia systemu. Następną ważną grupą zdarzeń odgrywających istotną rolę przy konstruowaniu drzew błędów systemów EJ są zdarzenia związane z przeprowadzeniem czynności konserwacyjnoremontowych oraz kontroli urządzeń czy systemów. W wielu przypadkach czynności te powodują wyłączenie z ruchu jednego z kilku redundancyjnych ciągów technologicznych lub urządzeń. Zdarzenia te mają więc istotny związek z niedyspozycyjnością systemu i możliwością zaistnienia określonego zdarzenia wierzchołkowego, stanowiąc ważny element w strukturze logicznej drzewa. Wymienione wyżej czynności mogą mieć charakter planowany (obsługa okresowa o charakterze prewencyjnym) lub nieplanowany (usuwanie skutków nieprzewidzianych uszkodzeń). Przykładowym określeniem zdarzenia tego typu może być wyłączenie z pracy jednego z trzech redundancyjnych torów kontrolno-pomiarowych dla przeprowadzenia okresowych prób funkcjonalnych i kalibracji aparatury lub wyłączenie z ruchu jednej z trzech redundancyjnych linii systemu awaryjnego chłodzenia rdzenia w związku z usuwaniem skutków nieprzewidzianej awarii pompy. W odniesieniu do zdarzeń tego typu stosuje się zwykle czasowy model zdarzenia, w którym wystąpienie zdarzenia jest uzależnione od częstotliwości przeprowadzania określonych czynności oraz czasu trwania prac. Czynności konserwacyjno-remontowe oraz kontrola urządzeń są zwykle dokonywane równocześnie dla całej linii czy podsystemu, a nie dla pojedynczych komponentów. Pominięcie tego faktu przy ustalaniu logicznej struktury drzewa może wpłynąć na niepotrzebne skomplikowanie i rozbudowanie drzewa. Zdarzenia trzeciej z wymienionych na wstępie grup, związane z zachowaniem się obsługi operatorskiej i personelu eksploatacyjnego, mają bardzo istotne znaczenie w analizach systemów. Wiąże się to ze stosunkowo dużym wkładem ilościowym jaki zwykle wnoszą różnego rodzaju błędy ludzkie w całkowitą niedyspozycyjność systemu. Potencjalne źródła błędów ludzkich istnieją we wszystkich możliwych stanach funkcjonowania systemu począwszy od działań operatorskich związanych z normalną eksploatacją, czynnościach personelu konserwacyjno-remontowego i kontroli eksploatacyjnej, a skończywszy na 11

12 działaniach operatorskich w sytuacjach awaryjnych. Wpływ błędów popełnianych przez personel ludzki powinien być uwzględniany we wszystkich przypadkach, w których rozwiązania techniczne pozostawiają możliwość nieprawidłowego działania człowieka, zarówno braku określonego działania w sytuacji wymagającej działania, jak i podjęcia nieprawidłowych działań. Przykładami typowych błędów ludzkich jakie uwzględnia się w drzewach zdarzeń mogą być takie zdarzenia jak pozostawienie zaworu w niewłaściwej pozycji po zakończeniu prac konserwacyjnych, niesprawność toru kontrolno-pomiarowego po niewłaściwie przeprowadzonej kalibracji aparatury, itp. Omawiając podstawowe pojęcia związane z definiowaniem zdarzeń, mających stanowić elementy drzewa błędów, należy zwrócić uwagę na tzw. zdarzenia zależne. Wykrycie i poprawne wprowadzenie do modelu wszystkich współzależności pomiędzy zdarzeniami ma wielkie znaczenie z punktu widzenia poprawność i analiz. Jak wiadomo, współzależności te mogą mieć różne podłoże i różny charakter. Pewna część współzależności wynika z powiązań funkcjonalnych komponentów wchodzących w skład systemu z innymi systemami (np. systemami sterowania, zasilania w energię lub w media robocze). Te współzależności powinny być modelowane w sposób jawny przez wprowadzenie do modelu odpowiednich zdarzeń określających wszystkie czynniki wspólne dla kilku systemów lub ich komponentów. W sposób jawny mogą być również modelowane inne współzależności, w których wspólny element związany jest z wpływem czynników zewnętrznych (np. środowiskowych), obsługą eksploatacyjną (np. czynności konserwacyjne charakteryzujące się wspólnym elementem czasowym i ludzkim) czy nawet technologią procesu produkcji (np. błędy materiałowe w całej serii produkcyjnej). Ze względu na brak informacji ilościowych wiele uwarunkowań tego typu modeluje się jednak w sposób przybliżony nie wchodząc szczegółowo we wszystkie źródła i mechanizmy powiązań. Niezależnie od przyjętego modelu opisującego zdarzenia zależne, istotne jest, aby przy konstruowaniu drzew błędów wszystkie możliwe współzależności były wzięte pod uwagę. Prawidłowe wprowadzenie takich współzależności pozwala na uzyskanie rezultatów o praktycznym znaczeniu, nawet jeśli dane probabilistyczne dotyczące współzależności są niewystarczające. Istotne znaczenie mają w takich przypadkach różnego rodzaju analizy czułości i analizy niepewności Elementy logiczne drzewa błędów Jak wspomniano wyżej, drzewo błędów dla systemu jest schematem określającym związki logiczne pomiędzy zdarzeniami dotyczącymi interesujących aspektów zachowania się systemu oraz jego części składowych. Z formalnego matematycznego punktu widzenia drzewo błędów jest niecyklicznym grafem skierowanym, określonym na zbiorze węzłów i zbiorze krawędzi, w którym każda para węzłów może być połączona przez co najwyżej jedną krawędź. W strukturze tej węzły reprezentują zdarzenia, a krawędzie związki logiczne pomiędzy określonymi zdarzeniami. 12

13 Węzły niemające krawędzi wejściowych noszą nazwę węzłów bazowych podstawowych, a odpowiadające im zdarzenia nazywane będą zdarzeniami elementarnymi, Węzły, które mają jedną lub kilka krawędzi wejściowych noszą nazwę bramek, a odpowiadające im zdarzenia nazywane będą zdarzeniami pośrednimi. Węzły, które nie mają krawędzi wyjściowych nazywane są węzłami wierzchołkowymi, a odpowiadające im zdarzenia - zdarzeniami wierzchołkowymi. Powyższa klasyfikacja zdarzeń jest wyłączenie związana z logiczną strukturą drzewa. Klasyfikacja zdarzeń związana z funkcjonalnymi cechami systemu omawiana w punkcie poprzednim jest w zasadzie niezależna. Bramki logiczne stosowane w drzewach błędów są zróżnicowane w zależności od typu związku logicznego pomiędzy zdarzeniem jakie reprezentuje dana bramka oraz zdarzeniami stanowiącymi wejścia do danej bramki (zdarzeniami niższymi w strukturze drzewa). W praktyce używane są odpowiednie symbole graficzne określające typ bramki. Przy konstruowaniu drzew błędów stosuje się kilka rodzajów bramek logicznych, jednak tylko dwie z nich mają charakter podstawowy, pozostałe są ich odmianami. Bramki te są wiernymi odpowiednikami operatorów logicznych stosowanych w algebrze boolowskiej - bramka "LUB" (odpowiednik operatora "alternatywa") oraz bramka "I" (odpowiednik operatora "koniunkcji"). W przypadku bramki "LUB" zdarzenie określone przez bramkę zachodzi wtedy, gdy ma miejsce jedno lub więcej zdarzeń stanowiących wejścia do bramki. Dla bramki reprezentującej zdarzenie Q z dwoma wejściami A,B bramka "LUB" odpowiada wyrażeniu boolowskiemu Q A B. W przypadku bramki "I" zdarzenie określone przez bramkę zachodzi wtedy, gdy jednocześnie wystąpią wszystkie zdarzenia stanowiące wejścia do bramki. Dla bramki reprezentujące zdarzenie Q z dwoma wejściami A i B bramka "I" odpowiada wyrażeniu boolowskiemu Q A B. Inne rodzaje bramek stosowane w praktycznych zastosowaniach drzew błędów wymienione zostały w dalszej części opracowania. Należy podkreślić, że powiązanie zdarzeń przez bramki logiczne wyraża istnienie określonych relacji przyczynowych pomiędzy zdarzeniami. Powiązania te nie definiują żadnych relacji czasowych, innych niż wynikają z logicznego wymagania, aby określone zdarzenie warunkujące określoną sytuację, nastąpiło wcześniej niż sytuacja ta będzie mogła mieć miejsce Podstawowe zasady konstruowania drzew błędów Jak wspomniano wyżej konstruowanie drzewa błędów dla systemu musi być poprzedzone ustaleniem niezbędnych informacji i starannie przemyślanych założeń wyjściowych, niezbędne jest określenie wszystkich interesujących aspektów funkcjonowania systemu i zdefiniowanie granic zewnętrznych i wewnętrznych systemu, a następnie sprecyzowanie zdarzenia wierzchołkowego (w niektórych przypadkach zdarzeń tych może być kilka). Założenia dotyczące zdarzeń wierzchołkowych powinny być wynikiem wcześniejszych analiz koncentrujących się na określeniu możliwych ciągów awaryjnych. Przy konstruowaniu drzewa błędów stosuje się kilka praktycznych zasad i zaleceń ułatwiających poprawne przeprowadzenie analiz. Podstawową metodą stosowaną przy 13

14 budowie drzewa jest wieloetapowy, sekwencyjny sposób analizowania związków przyczynowych określany jako zasada bezpośredniej przyczyny. Polega ona na określeniu wszystkich bezpośrednich koniecznych i dostatecznych przyczyn zajścia określonego zdarzenia. Zasada ta jest stosowana systematycznie, najpierw w odniesieniu do zdarzenia wierzchołkowego, a następnie do każdego z ustalonych wcześniej zdarzeń pośrednich. Zasadniczą ideą takiego etapowego prowadzenia analiz jest dążenie co zachowania kompletności zdarzeń. Zawężenie analizy do poszukiwania bezpośrednich przyczyn określonego zdarzenia, rozważanego na danym etapie, bardzo ułatwia osiągnięcie tego celu. Stosowanie tej prostej i naturalnej zasady wymaga, aby każde z analizowanych zdarzeń wierzchołkowych, właściwych dla danego etapu rozważań, było zdefiniowane precyzyjnie w kategoriach nieprawidłowego funkcjonowania systemu lub jego części składowej. Określenie to powinno sformułować o jaką nieprawidłowość działania chodzi i kiedy ona występuje. Przykładem takiego określenia mogą być zdarzenia: "Silnik elektryczny nie został uruchomiony po włączeniu zasilania" lub "normalnie zamknięte styki wyzwalacza nie zostały rozwarte po przerwaniu zasilania cewki niskonapięciowej". Przy dobieraniu odpowiedniego sformułowania nadrzędną zasadą powinno być jasne i wyczerpujące określenie zdarzenia, a nie dążenie do zwięzłości opisu przez zmniejszenie zakresu niezbędnych informacji. Następną praktyczną zasadą ułatwiającą stosowanie reguły bezpośredniej przyczyny jest rozpatrywanie przyczyn nieprawidłowego funkcjonowania, analizowanego w danym etapie, w kategoriach przyczyn związanych z uszkodzeniem określonego komponentu lub przyczyn zewnętrznych w stosunku do tego komponentu (systemowych). Takie rozumowanie pozwala na wyodrębnienie dwóch zasadniczych gałęzi drzewa. Pierwsza związana z uszkodzeniami danego komponentu, może być zakończona bramką "LUB" z pewną liczbą zdarzeń wejściowych typu podstawowego, które określają różne rodzaje uszkodzeń komponentu. Druga, analizująca przyczyny zewnętrzne mające charakter nieprawidłowości "sygnału" (zasilania, sygnałów sterujących, dopływu medium roboczego itp.), może być kontynuowana w opisany wyżej sposób. Jeżeli propagacja określonego ciągu zdarzeń prowadzących do nieprawidłowego działania systemu może być przerwana przez niespodziewane i mało prawdopodobne uszkodzenie któregoś z komponentów, to zakłada się z reguły, że takie uszkodzenie nie występuje. Pozwala to wyeliminować mało znaczące ciągi zdarzeń już na etapie konstruowania drzewa. Przykładem takiej sytuacji może być analiza systemu zabezpieczeń reaktora związana z niewykonaniem funkcji zabezpieczających, W analizie takiej należy pominąć wszystkie uszkodzenia komponentów systemu, których skutkiem jest wygenerowanie sygnału zrzutu podzespołów regulacyjnych, np. przez uszkodzenie styków w module logicznym powodujące powstanie sygnału wyzwalającego, niezależnie od sygnału przesyłanego przez tor kontrolnopomiarowy. Dwa dalsze zalecenia o charakterze porządkowym mają na celu zmniejszenie możliwości popełnienia błędów logicznych przez niewłaściwy opis zdarzeń przeanalizowanych we wcześniejszych etapach analizy drzewa. Pierwszym z nich jest zasada kompletnego określenia wszystkich zdarzeń stanowiących wejścia do określonej bramki przed rozpoczęciem dalszej analizy któregoś z tych zdarzeń. Drugie z zaleceń dotyczy opisu zdarzeń pośrednich. Zaleca się, aby wszystkie bramki miały właściwie opisane odpowiadające im zdarzenia zdefiniowane w kategoriach nieprawidłowości funkcjonowania. Bezpośrednie łączenie bramek może prowadzić do niewłaściwego zrozumienia logiki drzewa i omyłek przy prowadzeniu dalszej analizy. 14

15 Podane wyżej zasady i zalecenia mają charakter ogólny i stosują się do bardzo szerokiej klasy systemów. Pewne wskazania metodyczne wynikać mogą z określonych cech analizowanych systemów. Uwagi dotyczące konstruowania drzew błędów dla potrzeb PSA, wynikające ze specyficznych cech systemów EJ, znaleźć można w dalszej części opracowania. 5. ZALECENIA DOTYCZĄCE FORMATU DRZEW BŁĘDÓW 5.1. Graficzna reprezentacja drzew błędów Graficzna reprezentacja stanowi pierwotną i najczęściej stosowaną formę przedstawienia drzewa błędów. Podstawowe zasady przyjęte w literaturze zagranicznej i krajowej przy graficznym zapisie drzewa nie zawsze są jednolite. Różnice dotyczą zarówno stosowanych symboli i sposobu oznaczeń, jak również niektórych zasad o charakterze porządkowym. I tak na przykład, symbole bramek stosowane w literaturze niemieckiej różnią się od symboli stosowanych w krajach anglosaskich, w organizacjach, podległych Kanadyjskiej Komisji Energii Atomowej (AECB) zalecana była pozioma orientacja drzewa [11-12], itp. Zasady dotyczące graficznego przedstawienia drzew błędów przedstawione w niniejszym opracowaniu są kwintesencją zasad stosowanych już w praktyce przez firmy energetyczne i organizacje naukowe wykonujące analizy PSA. W dużej mierze zasady te opierają się o bogatą praktykę stosowaną w Stanach Zjednoczonych, która w dziedzinie energetyki jądrowej została zapoczątkowana przez znane opracowanie "Reactor Risk Study" [13]. Przyjęte zasady i konwencje zostały zaadaptowane i są stonowane aktualnie w wielu innych krajach. Pewne elementy formatu zaczerpnięte zostały ponadto z innych opracowań, miedzy innymi z zaleceń Kanadyjskiej Komisji Energii Atomowej [12] Symbole graficzne Symbole graficzne stosowane przy opracowywaniu drzew błędów składają się z kilku elementów, pokazanych w sposób ogólny na rys. 1. Rys. 1. Sposób opisu zdarzeń w drzewach uszkodzeń. 15

16 a - określenie zdarzenia zawierające definicję słowną oraz nazwo kodową, b - odpowiedni symbol graficzny określający typ zdarzenia pośredniego (bramki) lub elementarnego, c - linie określające wejścia do bramki (gdy symbol określający typ zdarzenia jest bramką), d - symbol przeniesienia stosowany wtedy,gdy określone zdarzenie występuje powtórnie w innym miejscu drzewa. Prostokąt oznaczony na rysunku literą "a" zawiera opis zdarzenia. Symbol ten stosowany jest zawsze niezależnie od typu zdarzenia. Opis zdarzenia składa się zwykle z definicji słownej oraz nazwy kodowej. Sposób tworzenia nazw kodowych opisany został w pkt W pewnych przypadkach kodowa nazwa zdarzenia może być umieszczana poza obrysem prostokąta. Bezpośrednio pod tym symbolem należy umieścić symbol graficzny oznaczony na rysunku literą "b", określająca typ zdarzenia. Symbol ten powinien, być zgodny z zestawieniem symboli podanym w tabeli 1. Jeżeli opisywane zdarzenie jest zdarzeniem pośrednim symbol "b" jest symbolem bramki logicznej z zaznaczonymi wejściami (c) połączonymi z prostokątami (a) zawierającymi opis odpowiednich zdarzeń na niższym poziomie drzewa. Zalecane typy bramek logicznych i ich symbole podane zostały w tabeli 1. W niektórych przypadkach zdarzenie pośrednie może być oznaczone symbolem przeniesienia umieszczonym analogicznie do symbolu bramki (pozycja b). Symbol ten określany jako symbol "przeniesienia do" jest używany ze względów praktycznych dla uzyskania zwartej struktury drzewa. Jednym z ważnych zastosowań jest przypadek, gdy określone zdarzenie pośrednie występuje w drzewie kilkakrotnie. W takim przypadku cześć drzewa określająca to zdarzenie powinna występować tylko w jednym miejscu drzewa. W miejscu tym należy umieścić przy prostokącie zawierającym opis zdarzenia (a) symbol "przeniesienia z" (oznaczony na rys. 1 literą "d"), a w pozostałych miejscach symbole "przeniesienia do" (umieszczone na pozycji b). Symbole przeniesienia mogą być również używane do podziału dużych drzew na kilka mniejszych części. Jest to zalecane ze względów czysto praktycznych związanych z ograniczonym formatem stron, dążeniem do zachowania odpowiedniej przejrzystości itp. W przypadku, gdy opisywane zdarzenie jest zdarzeniem elementarnym stosuje się symbole określające precyzyjniej charakter zdarzenia. Podstawowym typem zdarzenia elementarnego jest tzw. zdarzenie pierwotne mające charakter uszkodzenia lub nieprawidłowości i które przy założonej szczegółowości analiz nie musi być dalej rozwijane. Zdarzenia te mają dwie charakterystyczne cechy mogą być zdefiniowane w inny sposób niż przez drzewo błędów oraz nie są uzależnione od innych zdarzeń lub uwarunkowań, które wpływają równocześnie na inne zdarzenia występujące w drzewie. Ze względów praktycznych wyróżnia się także zdarzenia, które nie są dalej rozwijane, albo ze względu na małe znaczenie tego zdarzenia albo brak dostatecznych informacji, a także zdarzenia, które mogłyby być dalej rozwijane lub są rozwinięte gdzie indziej, ale w danym drzewie są traktowane jako zdarzenia elementarne. Stosowane jest również pojecie zdarzenia zewnętrznego odnoszącego się do zdarzeń, które zwykle, w normalnych warunkach, zachodzi. Odpowiednie symbole stosowane dla oznaczenia tych zdarzeń podane zostały w tabeli 1. Praktyczne zasady użycia odpowiednich symboli 16

17 graficznych zilustrowane zostały na rys.2. Rys.2. Przykładowy wybrany fragment drzewa błędów dla systemu awaryjnego chłodzenia rdzenia Kodowe nazwy zdarzeń Jak wspomniano w pkt kodowa nazwa zdarzenia stanowi jeden z elementów opisu zdarzenia. Przy wyborze tych nazw stosowane są odpowiednie systemy kodowania, które umożliwiają przekazanie szeregu istotnych informacji dotyczących opisywanego zdarzenia. Stosowanie właściwego systemu kodowania ułatwia prawidłowe opracowanie systemowych drzew zdarzeń, ich scalenie i weryfikację, oraz obróbkę komputerową, ma również istotny wpływ na przejrzystość i czytelność rezultatów analiz. System nazewnictwa zdarzeń powinien zapewnić jednoznaczną identyfikację każdego ze zdarzeń przy zachowaniu możliwie małej liczby znaków składających się na nazwę kodową. Ograniczenie długości nazwy jest związane z naturalnym dążeniem do zapewnienia jak największej czytelności zakodowanych informacji, kiedyś również wynikało z wymagań programów komputerowych stosowanych do obróbki drzew. Podobnie jak w znanych opracowaniach dotyczących PSA dla elektrowni jądrowych proponowana kodowa nazwa zdarzenia obejmuje dwie grupy informacji - określenie właściwego urządzenia lub elementu (komponentu), którego zdarzenie dotyczy oraz określenie charakteru zdarzenia (niesprawności lub błędu). Nazwa kodowa zawiera cztery człony identyfikacyjne, z których trzy pierwsze służą do jednoznacznego określenia komponentu. Proponowany format kodowej nazwy zdarzenia jest następujący: 17

18 Identyfikator systemu (2 znaki); Szczegółowy identyfikator komponentu (5 znaków); Identyfikator typu komponentu (2 znaki); Określenie charakteru zdarzenia (1 znak). Identyfikator systemu jest podstawową informacją pozwalająca przyporządkować określone zdarzenie do odpowiedniego drzewa błędów. Na ogół oznaczenie kodowe składa się z dwóch znaków literowych utworzonych z początkowych liter nazwy systemu. Ze względu na odmienny podział logiczny elektrowni na układy, utrzymanie całkowitej zgodności nie jest możliwe. Niezbędne było wprowadzenie szeregu nowych symboli dla oznaczenia systemów, które zawierały kilka układów technologicznych wyodrębnionych w dokumentacji projektowej. Starano się jednak zachować w oznaczeniach systemów pewne wspólne elementy ułatwiające właściwe skojarzenia przedmiotowe. Proponowane oznaczenia systemów przedstawione zostały w tabeli 2. Przedstawione zestawienie ogranicza się co systemów istotnych dla przebiegu awarii, ustalonych na podstawie wstępnych analiz jakościowych EJ. W miarę postępu prac może zajść potrzeba uzupełnienia powyższej listy systemów i odpowiadających im oznaczeń. Identyfikator komponentu łącznie z identyfikatorem systemu powinien jednoznacznie określić urządzenie lub element, którego dotyczy opisywane zdarzenie. W opracowaniach PSA za granicą, człon identyfikacyjny komponentu jest z reguły zbieżny z oznaczeniami stosowanymi na rysunkach i segmentach projektowych. Proponuje się więc, aby człon identyfikujący komponent składał się z 5 znaków zawierających 2-cyfrowy numer ciągu lub linii, symbol literowy okreś1ający typ komponentu oraz 2-cyfrowy numer porządkowy. Na przykład dla zaworu oznaczonego 1TQ22S01 człon identyfikujący komponent ma postać 22S01. W przypadkach, gdy odrzucenie symboli literowych oznaczających system może wprowadzić niejednoznaczność, symbol literowy określający typ komponentu powinien być zastąpiony przez znaczącą literę występującą w symbolu systemu. Na przykład dla komponentów występujących w drzewie błędów systemu przekazywania i przetwarzania energii o symbolu kodowym RS i oznaczonych w dokumentacji projektowej symbolami 1RA10S02 i 1RC10S02 2, proponuje się użyć jako człony identyfikujące komponent symbole 10A02 i 10C02. W odniesieniu do niektórych rozbudowanych i złożonych systemów (np. systemy elektryczne lub systemy sterowania) powyższy sposób ustalania członu identyfikującego komponent może być nieprzydatny lub niewystarczający dla jednoznacznego określenia komponentu, zwłaszcza przy analizach o znacznym stopniu szczegółowości. W tym przypadku dopuszcza się stosowanie dla określonego systemu odmiennych zasad kodowania, a ich ustalenie pozostawia się specjaliście opracowującym drzewa błędów tego systemu. W odniesieniu do systemów elektrycznych i systemów sterowania dopuszcza się zwiększenie długości identyfikatora komponentu do 6-ciu znaków przez zredukowanie identyfikatora systemu do jednego znaku E lub C. Identyfikator typu komponentu zawiera informacje o typie lub klasie urządzenia (elementu), spełniając równocześnie istotną rolę z punktu widzenia jednoznacznego określenia komponentu. Człon ten składa się na ogół z dwóch znaków alfanumerycznych. W opracowaniach dotyczących PSA symbol ten jest utworzony z początkowych liter w słownym określeniu typu 2 Przytoczony przykład jest przykładem abstrakcyjnym ilustrującym teoretyczne możliwości powstania niejednoznaczności symboli. 18

19 urządzenia (np. Control Rods-CR, Check Valves - CV, Piping - PI itp.). Ten sposób oznaczeń pozostawia znaczną przypadkowość i dowolność w doborze symboli, uniemożliwia wprowadzenie systematycznych elementów klasyfikacyjnych ograniczając szczegółowość podziału i z tych względów nie wydaje się godny naśladowania. Proponowany system oznaczeń rozróżnia podzespoły i urządzenia oraz elementy urządzeń. Utrzymany został podział wyposażenia na 6 grup wymienionych w tabeli 3, z których każda ma przyporządkowaną pierwszą literę oznaczenia. Kody oznaczeń dotyczących drugiej litery w poszczególnych typach urządzeń i podzespołów podane zostały w tabelach 4-8. Oznaczenia dotyczące elementów urządzeń są złożone również z dwóch liter, z których pierwsza określa jedną z trzech grup elementów, a druga precyzuje typ elementu. Ostatni człon w kodowej nazwie zdarzenia określający charakter zdarzenia zawiera jedynie zgrubne informacje, które mają ułatwić przegląd rezultatów analizy jakościowej drzew błędów na poziomie komponentów. Bardziej szczegółowe informacje są podawane niezależnie przy opisie drzew błędów i w zestawieniach zdarzeń elementarnych stanowiących część dokumentacji drzew (patrz rozdz. 6). Zestawienie odpowiednich oznaczeń kodowych podane zostało w tabeli 12. Przyjęte oznaczenia są zgodne z oznaczeniami stosowanymi w analizach PSA dla elektrowni Oconee. Przedstawiony sposób ustalania kodowych nazw zdarzeń powinien być stosowany do wszystkich zdarzeń, które mogą pojawić się w zbiorze minimalnych przekrojów drzewa (zdarzeń elementarnych). W odniesieniu do zdarzeń pośrednich (bramek) należy stosować uproszczony sposób opisu zdarzeń, w którym nazwa kodowa składa się z identyfikatora systemu oraz numeru porządkowego zdarzenia ustalonego przez specjalistę opracowującego drzewo błędów dla tego systemu. Przy odpowiednim symbolu przeniesienia, jeśli taki jest stosowany, należy umieszczać identyfikator utworzony z identyfikatora odpowiedniej bramki poprzedzonego literą T oznaczająca przeniesienie. W odniesieniu do zdarzeń pośrednich (bramek oraz zdarzeń oznaczonych symbolem przeniesienia) kodowa nazwa zdarzenia może być umieszczana poza obrysem prostokąta zawierającego opis zdarzenia. W tych przypadkach zaleca się, aby odpowiedni identyfikator umieszczony był po prawej stronie symbolu bramki lub symbolu przeniesienia. Zwiększa to przejrzystość zapisu, a także pozwala na zmniejszenie wymiarów prostokąta zawierającego często kilkuwyrazowy opis zdarzenia. Na rys. 2 przedstawiono fragment drzewa błędów dla systemu awaryjnego chłodzenia rdzenia wysokiego ciśnienia. Przykład ten ilustruje przedstawione wyżej zasady tworzenia nazw kodowych oraz zalecenia dotyczące formatu drzew błędów Wykorzystanie wspomagania komputerowego w analizie drzew błędów Pakiety programów komputerowych są istotnym narzędziem wspomagającym analizy niezawodności systemów, z wykorzystaniem drzew błędów (uszkodzeń). Najczęściej dąży się do tego aby pakiet taki umożliwiał: Tworzenie nowych drzew błędów; Edycję drzew istniejących; Korzystanie z wewnętrznej bazy danych niezawodnościowych; Tworzenie własnych baz danych parametrów niezawodnościowych; 19

20 Analizę jakościową drzew błędów - generowanie zbiorów minimalnych przekrojów drzewa (nieredukowalnego zbioru iloczynów zdarzeń elementarnych, z których każdy prowadzi do zdarzenia szczytowego analizowanego drzewa); Analizę ilościową drzew błędów, opartą na wygenerowanym zbiorze minimalnych przekrojów drzewa; Analizę stopnia wpływu zdarzeń elementarnych na prawdopodobieństwo zajścia zdarzenia wierzchołkowego analizowanego drzewa; Wyznaczanie metodą Monte Carlo rozkładu prawdopodobieństwa zajścia zdarzenia wierzchołkowego na podstawie funkcji rozkładu prawdopodobieństwa zdarzeń elementarnych; Analizy jakościowe i ilościowe drzew zdarzeń wyznaczających ciągi awaryjne, opisane przez kombinacje zdarzeń szczytowych dla różnych systemów lub kluczowych działań operatora obsługującego instalację. W dalszej części opracowania opisano najczęściej używane programy do analiz FTA. Tabela 1. Zestawienie zalecanych symboli graficznych. Symbole bramek logicznych Bramka I - Zdarzenie na wyjściu bramki zachodzi tylko wtedy, gdy wszystkie zdarzenia stanowiące wejścia do bramki zachodzą jednocześnie Bramka LUB - Zdarzenie na wyjściu bramki zachodzi, jeżeli zachodzi jedno lub więcej zdarzeń stanowiących wejścia do bramki Bramka WYŁĄCZNE LUB - Zdarzenie wyjściowe zachodzi tylko w sytuacji, gdy zachodzi dokładnie jedno ze zdarzeń stanowiących wejścia do bramki Bramka I Z PRIORY- TETEM Bramka SPECJALNA - Zdarzenie wyjściowe zachodzi tylko w sytuacji, gdy wszystkie zdarzenia wyjściowe do bramki zachodzą w odpowiedniej kolejności /kolejność ta jest podana z prawej strony bramki jako tzw. zdarzenie warunkujące/ - Zdarzenie wyjściowe zachodzi w sytuacji określonej przez funkcję logiczną podaną przez użytkownika / z prawej strony bramki/ 20