SSARS 2011 Summer Safety and Relablty Semnars, July 03-09, 2011, Gdańsk-Sopot, Poland Kosmowsk Kazmerz T. Poltechnka Gdańska, Gdańsk, Polska Human factors and functonal safety analyss Czynnk ludzke analza bezpeczeństwa funkcjonalnego Keywords / Słowa kluczowe human factors, human errors, functonal safety, human relablty analyss, layers of protecton czynnk ludzke, błędy człoweka, bezpeczeństwo funkcjonalne, analza nezawodnośc człoweka, warstwy zabezpeczeń Abstract n ths artcle some ssues concernng the safety management n computerzed complex hazardous plant are presented n the context of human factors. t has been shown that the rsk of losses can be sgnfcantly reduced usng approprate techncal solutons n the form of a layer protecton system, whch ncludes a basc process control system, human-operator and protecton automatcs. The sgnfcance of approprate desgnng of nterfaces ncludng functons of the alarm system s emphaszed. t wll contrbute to reducng the humanoperator error probablty. The functonal safety management, whch ncludes the rsk control n a lfe cycle of complex plant, should be carred out n relaton to requrements assocated wth possble avodng of software systematc falures n programmable systems and reducng the frequency of hardware random falures. 1. Wprowadzene W nnejszym artykule przedstawa sę wybrane zagadnena dotyczące zarządzana bezpeczeństwem funkcjonalnym w złoŝonym obekce podwyŝszonego ryzyka. Zwraca sę uwagę na problem moŝlwośc nekorzystnego wpływu tzw. czynnków ludzkch, jeśl zastosowane nterfejsy procedury realzacj zadań przez człowekaoperatora zostały zaprojektowane newłaścwe. Wymaga to przeprowadzena analzy nezawodnośc człoweka-operatora w kontekśce zarządzana bezpeczeństwem funkcjonalnym programowalnych systemów sterowana zabezpeczeń [13]. Jest to zagadnene waŝne, ponewaŝ z róŝnych badań wynka, Ŝe newłaścwe kształtowane czynnk ludzke uchybena organzacyjne stanową źródłową przyczynę aŝ od 70 do 90% zdarzeń awaryjnych, zaleŝne od kategor obektu techncznego [11], [12], [20]. Ocena moŝlwośc powstana sytuacj zagroŝena zdarzeń awaryjnych ma szczególne znaczene w obektach systemach tzw. nfrastruktury krytycznej, przy czym wspomnane dzałana ntencyjne mogą być zancjowane wewnątrz obektu lub z zewnątrz. Dzałana take dotyczą równeŝ stosowanych obecne szeroko technolog systemów programowanych, w tym systemów sterowana zabezpeczeń, w postac ataków hackerskch. Zarządzane bezpeczeństwem funkcjonalnym obejmuje zagadnena sterowana ryzykem w cyklu Ŝyca analzowanego obektu złoŝonego w odnesenu do wymagań zawartych w norme EC 61508 [10]. Dotyczą one zmnejszena ryzyka zwązanego z potencjalnym występowanem zdarzeń nenormalnych lub awaryjnych, stosując m.n. programowalne systemy sterowana zabezpeczeń. Aby osągnąć odpowedną redukcję ryzyka przez te systemy, muszą być one właścwe zaprojektowane odpowedno eksploatowane w cyklu Ŝyca obektu. NaleŜy zastosować rozwązana sprzyjające unkanu błędów systematycznych, szczególne oprogramowana (software) oraz uszkodzeń wyposaŝena techncznego (hardware), zwłaszcza o charakterze losowym. stotnym problemem w eksploatacj obektów podwyŝszonego ryzyka są moŝlwe uszkodzena CC (common cause falures) w systemach zabezpeczeń z nadmarowoścą strukturalną [14] oraz CC w barerach warstwach zabezpeczenowo-ochronnych [17]. Dotyczy to 53
Kosmowsk Kazmerz T. Human factors and functonal safety management Czynnk ludzke analza bezpeczeństwa funkcjonalnego zwłaszcza warstw zabezpeczenowych zawerających moduły systemy programowalne [19] oraz człoweka operatora [15], [16] DuŜym problemem są w takch systemach potencjalne błędy człoweka [13], [16]. Zmnejszene ch wpływu jest moŝlwe po rozpoznanu mechanzmów popełnana błędów podczas wykonywana zadań przez człoweka-operatora - szeroko rozumanego, w tym w zespole ludz współpracujących w sterown lub w brygadze dokonującej przeglądy proflaktyczne lub remonty. 2. Rozwązana bezpeczeństwa funkcjonalnego a czynnk ludzke W norme EC 61508 [10] napotyka sę stosunkowo często wymagana dotyczące analzy czynnków ludzkch. Wadomo, szeroko rozumane czynnk ludzke organzacyjne mają zwykle stotny wpływ na nezawodność bezpeczeństwo systemów. W raporce [3] zestawono wele odwołań do szeroko rozumanej problematyk czynnków ludzkch, które pojawają sę w róŝnych częścach tej normy. Tak węc, norma EC 61508 podkreśla znaczene czynnków ludzkch w analze bezpeczeństwa funkcjonalnego, jednak ne zawera jednoznacznych wymagań odwołań metodycznych dotyczących analzy wpływu czynnków ludzkch. Czynnk ludzke w nawązanu do normy EC 61508 dotyczą mędzy nnym: - oceny potencjalnych błędów człoweka dzałań korekcyjnych (restytucyjnych) w analze zagroŝeń analze ryzyka; - planowana wykonywana procedur operacyjnych obsług wyposaŝena; - projektowana nterfejsu uŝytkownka (np. operator-system sterowana, operator-system automatyk zabezpeczenowej, operator-system komputerowy wzualzacj procesu). Odpowedne analzy czynnków ludzkch naleŝy przeprowadzać we wszystkch fazach cyklu Ŝyca. Na przykład w faze 3 - Analza zagroŝeń ryzyka naleŝy [10]: - Włączyć wszystke stosowne kweste czynnków ludzkch (Cześć 1/ 7.4.2.3; Część 4/ 3.2.4Przyps3; Część 5/ A.4; Część 6/ A.2); - Uwzględnć wyobraŝalne newłaścwe uŝytkowane (Część 1/ 7.4.1.1; Część 4/ 3.1.11); - Szczególną uwagę pośwecć nenormalnym lub neczęstym rodzajom pracy (Część 1/ 7.4.1.1) - Wyszczególnć warygodne ogranczena w dzałanu lub nterwencj człoweka ( odpowedno udokumentować) (Część 1/ 7.4.2.10; Część 5/ A.4). Natomast w faze 9 - Realzacja systemów E/E/PE zwązanych z bezpeczeństwem, wymaga sę, aby: - Wymagana bezpeczeństwa mają dentyfkować obszary oddzaływana operatora pownny być one uwzględnone podczas projektowana (Część 2/ 7.2.3.1, Część 2/ 7.4.4.5; Część 2/ 7.6.2.3; Część 3/ 7.2.2.4f; Część 6/ A.1); - Projekt E/E/PE ma tolerować potencjalne błędy operatora sterowanego wyposaŝena (Część 2/ 7.4.8.1c; Część 2/ tabl. A.18; Część 3/ 7.9.2.13c; Część 7/ B.4.6); - Projekt systemów E/E/PE zwązanych z bezpeczeństwem ma uwzględnać moŝlwośc ogranczena człoweka być odpowedn dla dzałań przypsanym operatorom personelow obsług (Część 2/ 7.4.8.3; Część 7/ B.4.2, B.4.3); - Projekt wszystkch nterfejsów ma być zgodny z dobrą praktyką czynnków ludzkch uwzględnać przewdywany pozom wyszkolena śwadomośc operatorów (Część 2/ 7.4.8.3; Część 7/ B4.8); - Wszystke procedury uŝytkowana obsług systemów E/E/PE mają być sprawdzane poprzez testowane /lub analzę (Część 1/ tabl. 1, nr 7); - Ocena uszkodzeń grupowych od wspólnej przyczyny (CC) ma uwzględnać stosowne aspekty czynnków ludzkch (Część 6/ tabl. D1). W nawązanu do tych wymagań, przydatne w analze czynnków ludzkch mogą być następujące metody analzy lub nŝynere [3], [13]: - Metoda analza nezawodnośc człoweka HRA (human relablty analyss), umoŝlwająca ocenę wpływu błędów człoweka na prawdopodobeństwo newypełnena funkcj przez wyposaŝene sterowane EUC (equpment under control); - Metoda analzy współdzałana człowek komputer HC (human - computer nteracton), a ostatno nŝynera uŝytecznośc UE (usablty engneerng), która umoŝlwa skupene sę na stotnych szczegółach nterfejsu człowek komputer; - nŝynera czynnków ludzkch HE (human factors engneerng), która umoŝlwa projektowane wyposaŝena, środowska pracy zadań uŝytkownka na pozome systemu; - Metoda ntegracj czynnków ludzkch H (human factors ntegraton), która systematyzuje struktury dokumentacyjne organzacyjne zwązane z ntegrowanem HE w projekt procesów. Aby spełnć wymagana normy EC 61508 nezbędna jest stosowane kombnacj tych wymagań zaleŝne od rozwązywanego problemu. Najbardzej zblŝone są metody HE UE, przy czym metoda HE była do tej pory stosowana główne w aplkacjach 54
SSARS 2011 Summer Safety and Relablty Semnars, July 03-09, 2011, Gdańsk-Sopot, Poland komputerowych stanowła podstawę opracowana UE. DuŜe znaczene w modelowanu probablstycznym systemu ma stosowane odpowednej metody HRA [2], [6], [7], [11], [16], [22], [23]. Wzrasta ostatno znaczene opracowana nowej generacj metod HRA uwzględnających aspekty kogntywne dagnozowana sytuacj nenormalnych, dzałań podejmowana przez człoweka-operatora. Nektóre z takch metod wydają sę obecujące [8], [9], chocaŝ ch nektóre aspekty teoretyczne, a szczególne praktyczne stosowane napotykają nadal na szereg trudnośc. W procese projektowana systemów nteraktywnych duŝe znaczena mają zasady podejśca UE zawarte w norme EN SO 13407 [5]. Kluczowym charakterystykam takego procesu projektowana są: aktywny udzał uŝytkownka, zrozumene jego wymagań zadań; odpowedna alokacja funkcj mędzy uŝytkownka technologę; współdzałane rozwązań projektowych; projektowane welodyscyplnarne. Zadana w procese projektowana zorentowanego na człoweka przedstawono na Rysunku 1. dentyfkowane potrzeby projektowana zorentowanego na człoweka Ocena projektów względem wymagań Zrozumene wyspecyfkowane kontekstu uŝytkowana System spełnający wymagana uŝytkowanka organzacj Zaproponowane rozwązań projektowych Wyspecyfkowane wymagań uŝytkownka organzacj Rysunek 1. Procesy w projektowanu zorentowanym na człoweka (EN SO 13407) 3. Klasyfkacja zachowań, dzałań potencjalnych błędów człoweka W opracowanu technk analzy nezawodnośc człoweka korzysta sę często z modelu koncepcyjnego zaproponowanego przez Rasmussena [20], [21]. W wyróŝnonych w tym modelu trzech typach zachowań człoweka mogą domnować: (1) wprawa - wykonywane mnej lub bardzej podśwadome (odruchowo) wypraktykowanych lub wytrenowanych dzałań na podstawe zapamętanych wzorów postępowana; (2) reguła - wykonywane mnej oczywstych dzałań, w których operator postępuje jednak według zapamętanych, odczytanych lub przekazanych reguł, uprzedno opracowanych na wypadek wystąpena symptomów przewdywanych sytuacj; (3) wedza - dzałane w sytuacjach, w których wzorce zachowań lub reguły postępowana ne mogą być zastosowane bezpośredno, a stotne staje sę kogntywne przetwarzane nformacj zwązane z: rozpoznanem nowej sytuacj dentyfkacją stanu obektu, dagnozowanem tego stanu oraz podejmowanem racjonalnych decyzj. WyróŜnone typy zachowań operatorskch oraz drzewo zawerające elementy analzy planowana przedstawono na Rysunku 2. Zgodne z modelem koncepcyjnym Rasmussena w przypadku wystąpena w sterown sygnałów prostych zdarzeń operator przystępuje odruchowo do wykonana sterowań (śceŝka 1 pozom wprawy). W bardzej złoŝonych przypadkach operator obserwuje symptomy sytuacj nenormalnej dokonuje ch porównana z zapamętanym zborem obrazów w myślowym procese ntegrowana, co umoŝlwa selekcje odpowednch reguł do wykonana (śceŝka 2 pozom reguł). W przypadku wystąpena nowej sytuacj operator dagnozuje stan systemu określa na podstawe strategę dzałana (śceŝka 3 pozom wedzy). Obserwacja zachowań operatorów wykazała, Ŝe dokonują on często dzałań na skróty, co zaznaczono na rysunku 2 lnam przerywanym. Analza Zbór obrazów Symptomy Nepewność Stan systemu ntegracja Obserwacja Aktywacja Analza kryterów strateg dzałana 3 nterpretacja ocena skutków 2 1 Proces Przetwarzane nformacj Cel Selekcja procedur Planowane Stan docelowy Procedury Określene zadań Wykonane Dzałana Stan wedzy Rysunek 2. Schematyczne przedstawene postępowana operatora na wyróŝnonych pozomach: 1 wprawy, 2 reguł 3 wedzy 55
Kosmowsk Kazmerz T. Human factors and functonal safety management Czynnk ludzke analza bezpeczeństwa funkcjonalnego Opsane wyŝej rodzaje zachowań zwązane są z róŝnym mechanzmam błędów, które mogą wpływać stotne na charakterystyk nezawodnoścowe człoweka. Upraszczając klasyfkację newłaścwych zachowań człoweka zaproponowaną przez Reasona [21], wyróŝnć moŝna ch trzy podstawowe rodzaje:. Pomyłkę - rozumaną jako (1) mylne zrealzowane ntencj, planu lub konkretnej decyzj (plan jest poprawny, natomast jego wykonane ne jest właścwe) spowodowane m.n. przez neuwagę lub brak koncentracj, albo (2) nezamerzone dzałane;. Zapomnene - np. odstępstwo w realzacj kolejnego kroku w zadanu kontrolnosterownczym; odstępstwa wynkają z chwlowych zanków pamęc, zapomnena ntencj lub zaplanowanych kroków dzałana;. Błąd - newłaścwe zaplanowane realzacja cągu dzałań, co wynka zwykle z nepoprawnego zdagnozowana sytuacj lub przyjęca neprawdłowych decyzj dotyczących celów strateg postępowana. Klasyfkację newłaścwych zachowań człoweka [21] w kontekśce wyróŝnonych w metodyce THERP [23] dwóch podstawowych rodzajów błędów: pomnęca czynnośc (omsson) popełnena (commsson) ze wskazanem ch moŝlwych przesłanek (typów zachowań) [20 przedstawono na Rysunku 3. Dzałana nebezpeczne Nezamerzone Zamerzone Pomyłka Zapomnene Błąd Naruszene* Pomnęce Popełnene Pomnęce Popełnene Pomnęce Popełnene Błędy człoweka w dzałanach opartych na: () wprawe Kogntywne błędy w dzałanach opartych na: () regułach () wedzy Łamane zasad Akty sabotaŝu Rysunek 3. Klasyfkacja newłaścwych zachowań człoweka, rodzajów błędów ch przesłanek Błędem kogntywnym nazywa sę błąd wynkający z podjęca newłaścwej decyzj przez operatora, na przykład z powodu nepoprawnej dagnozy sytuacj, co prowadz zwykle do określena neprawdłowego celu strateg postępowana lub błędnego zaplanowana dzałań. Błąd tak występuje węc w kontekśce poznawczym (kogntywnym). Błąd kogntywny moŝe prowadzć do nepoprawnego dzałana lub nepodjęca dzałana w wymaganym czase, określonym przez dynamkę procesu. W technce THERP [23] przyjęto, Ŝe nebezpeczne (nepoprawne) dzałana mogą przejawać sę jako: błędy popełnena lub błędy pomnęca. Przez błąd popełnena rozume sę nepotrzebne wykonane w danej sytuacj dzałana lub newłaścwe wykonane dzałana wymaganego przez stan obektu, co w konsekwencj moŝe spowodować pogorszene przebegu procesu w sytuacj awaryjnej. Błąd pomnęca polega natomast na zanechanu lub nezupełnym wykonanu dzałań wymaganych w danej sytuacj. Błędy pomnęca mogą być popełnone podczas przeglądów proflaktycznych remontów, jak równeŝ po wystąpenu sytuacj awaryjnej z powodu nezupełnego wykonana wymaganej sekwencj dzałań przez personel operatorsk. Za błąd pomnęca uwaŝa sę równeŝ zupełny brak reakcj personelu operatorskego w sytuacj nenormalnej [6], [23]. WaŜne znaczene w praktyce HRA ma oszacowane prawdopodobeństwa błędu dagnozowana Q (HEP Human Error Probablty) przez człoweka operatora stanu nenormalnego lub awaryjnego. Rysunek 4 przedstawa wykres prawdopodobeństwa popełnena błędu dagnozy sytuacj awaryjnej w funkcj czasu grancznego, dostępnego na wykonane dagnozy..1.01.001.0001.00001.000001 Q 1 D.0000001 1 10 100 1000 T m [mn.] (M - medana wartośc granczne: D - dolna G - górna) Rysunek 4. Wykresy prawdopodobeństwa błędu zdagnozowana stanu awaryjnego obektu złoŝonego w funkcj czasu grancznego [23] THERP jest technką HRA stosowaną ne tylko do szacowana prawdopodobeństw błędów człoweka. Jest ona równeŝ przydatna do przeprowadzana badań wpływu błędów człoweka na mary ryzyka zwązanego z eksploatacją rozwaŝanego obektu. G M 56
SSARS 2011 Summer Safety and Relablty Semnars, July 03-09, 2011, Gdańsk-Sopot, Poland 4. Redukcja ryzyka za pomocą warstw zabezpeczenowo-ochronnych W nstalacj przemysłowej podwyŝszonego ryzyka pozom ryzyka zmnejsza sę stosując na przykład warstwy zabezpeczenowe uwzględnone na rysunku 5. Zalcza sę do nch [17]: (1) samą nstalację procesową, jeśl posada ona cechy nherentnego bezpeczeństwa, (2) podstawowy system sterowana BPCS (basc process control system), (3) system alarmowy AS (alarm system) z funkcjam dagnostycznym wspomagającym nterwencje operatorów, (4) system automatyk zabezpeczenowej SS (safety nstrumented system), który moŝe pełnć funkcję wyłączana (odstawena) awaryjnego nstalacj ESD (emergency shutdown system) oraz (5) systemy zabezpeczeń nŝyneryjnych lokalzacj skutków awar (zawory bezpeczeństwa, kurtyny, barery, obudowy nne urządzena). W nawązanu defncj ryzyka społecznego rozwaŝa sę ocenę zmnejszena ryzyka po wprowadzenu zdentyfkowanej opcj sterowana ryzykem (OSR), względem opcj bazowej (B) [14], [16]. Jedną z takch opcj moŝe być zastosowane systemu E/E/PE (elektrycznego/ elektroncznego/ programowalnego elektroncznego) [10] lub SS [19], pełnących funkcje zwązane z bezpeczeństwem. 5. Systemy zabezpeczeń nŝyneryjnych (zawory, kurtyny, obudowy) 4. Systemy automatyk zabezpeczenowej SS 3. System alarmowy AS nterwencje operatorów 2. Podstawowy system sterowana BPCS 1. nstalacja procesowa oznacza częstość zdarzena zagraŝającego przed wprowadzenem systemu zabezpeczenowego; R t jest ryzykem tolerowanym; t oznacza oczekwaną częstoścą potencjalnego zdarzena awaryjnego (wynkającą z pozomu ryzyka R t ) do osągnęca po wprowadzenu środka zabezpeczenowego; a r jest względną redukcją częstośc rozwaŝanego scenarusza awaryjnego. RozwaŜana funkcja bezpeczeństwa moŝe być realzowana przez pojedynczy system E/E/PE wówczas przecętne prawdopodobeństwo newypełnena funkcj dla rodzaju rzadkego przywołana do dzałana PD (average probablty of falure on demand) [10] będze równe PD = r. W warstwowym systeme zabezpeczenowym funkcja bezpeczeństwa jest realzowana przez poszczególne warstwy [11], na przykład warstwy 2, 3 4 na Rysunku 3. W analze takego systemu korzysta sę często w praktyce z metody analzy LOPA (ang. layer of protecton analyss) [9], przy czym dana funkcja bezpeczeństwa ne będze w pełn wypełnona, jeśl zawodą wszystke elementy składowe rozwaŝanej warstwy. Na Rysunku 6 przedstawono trzy warstwy zabezpeczenowe PL (protecton layer), które mają zapobec wstąpenu zdarzena awaryjnego o powaŝnych skutkach: - podstawowy system sterowana BPCS (basc process control system), - PL2 człowek-operator, który nadzoruje proces nterwenuje w raze wystąpena sytuacj nenormalnej lub awaryjnej sygnalzowanej przez BPCS /lub system alarmowy AS, - PL3 system automatyk zabezpeczenowej SS, który pełn funkcję ESD (emergency shutdown). Projektowane systemu alarmowego (AS) jest zadanem trudnym. Zasady projektowana AS zawera poradnk EEMUA (2007). Rysunek 5. Warstwy zabezpeczenowe nstalacj podwyŝszonego ryzyka BPCS PL2 OPERATOR PL3 SS / ESD Przy załoŝenu, Ŝe redukcję ryzyka do pozomu tolerowanego moŝna osągnąć dzęk zastosowanu funkcj bezpeczeństwa realzowanej za pomocą systemu zabezpeczenowego E/E/PE lub SS, zakładając pesymstyczne ten sam pozom strat N = const, otrzymuje sę wzór na względne obnŝene pozomu ryzyka w postac [15] R r = Rt / Rnp = t / np = r (1) gdze R np jest ryzykem bez zastosowana rozwaŝanych środków zabezpeczenowych; np AS nstalacja technologczna podwyŝszonego ryzyka Rysunek 6. Człowek OPERATOR w ramach warstw zabezpeczenowych Warstwy te pownny być funkcjonalne strukturalne nezaleŝne, chocaŝ ne zawsze udaje sę to uzyskać w praktyce. W przypadku PL3 osąga sę to na przykład stosując odrębne tory 57
Kosmowsk Kazmerz T. Human factors and functonal safety management Czynnk ludzke analza bezpeczeństwa funkcjonalnego sygnałowe, moduły przetwarzana nformacj elementy wykonawcze. Na Rysunku 7 przedstawono uproszczony schemat systemu SS, który zawera następujące podsystemy: urządzena wejścowe (A), programowalne urządzene elektronczne (B) urządzena wyjścowe (C) oraz urządzena pomocncze take jak tory sygnałowe, zaslane energą elektryczną komunkacja w sec komputerowej. W celu zwększena ch nezawodnośc dzałana, na przykład zmnejszena prawdopobeństwa PD, kaŝdy z tych podsystemów moŝe wymagać zastosowana struktury nadmarowej, na przykład 1oo2, 1oo3 lub 2oo3. A. We K A oon A Komunkacja B. Programowalne urządzene elektronczne K B oon B Rysunek 7. Struktura systemu SS do realzacj funkcj zwązanej z bezpeczeństwem C. Wy K C oon C Na podstawe model probablstycznych tych podsystemów wyznacza sę prawdopodobeństwo nezadzałana na przywołane PD rozwaŝanego systemu SS. Przy załoŝenu bardzo małych wartośc prawdopodobeństw newypełnena funkcj na przywołane uzasadnone jest napsane następującego przyblŝonego wzoru dla całego rozwaŝanego systemu S: PD + (2) gdze S A B C PD + PD PD PD, PD, PD oznaczają A B C prawdopodobeństwam newypełnena funkcj na przywołane odpowedno przez podsystemy A, B C. Odpowedn pozom SL (safety ntegrty level) systemu BPCS SS oraz wymaganą redukcję ryzyka za pomocą warstwowego systemu zabezpeczeń osąga sę przez odpowedne rozwązana archtektonczne podsystemów w nawązanu określonych kryterów probablstycznych [10], [19]. Występuje jednak problem z warstwą PL2 (OPERATOR), która jest zwykle zaleŝna od warstwy. Na jej zakres nezaleŝnośc moŝna jednak wpłynąć przez odpowedne zaprojektowane systemu alarmowego AS (Rysunek 6) odpowedne kształtowane czynnków wpływających na nezawodność dzałana człoweka-operatora, przy czym słowo operator jest rozumane szeroko [4], [6], [14]. Tylko w przypadku załoŝena o nezaleŝnośc rozwaŝanych warstw moŝna napsać następujący wzór na redukcję częstośc rozwaŝanego scenarusza awaryjnego [9] = PD; PD; PL2 PD; PL3 PD = (3) gdze jest częstoścą -tego zdarzena ncjującego (), a -1 ; PD ; PLj oznacza prawdopodobeństwo newypełnena funkcj zwązanej z bezpeczeństwem przez j-tą warstwę na przywołane dla -tego zdarzena ncjującego. W przypadku drugej warstwy zachodz PD = HEP, przy czym HEP (human error ; PL 2 ; PL2 probablty) jest prawdopodobeństwem błędu człoweka, które wyznacza sę na podstawe odpowednej metody analzy nezawodnośc człoweka HRA [6], [11]. Ogólne redukcję częstośc przez warstwy zabezpeczenowe dla danego scenarusza awaryjnego naleŝy wyznaczać uwzględnając odpowedne prawdopobeństwa warunkowe [6] Z = P( X P( X ; PL3 ; X ) P( X ; X ; PL 2 ; PL 2 ) = X ; PD ) Z (4) gdze X ;PLj oznaczają zdarzena polegające na newypełnenu funkcj na przywołane przez kolejne warstwy zabezpeczenowe (j = 1, 2, 3), uwzględnane odpowedno przy oblczanu prawdopodobeństw warunkowych dla -tego zdarzena ncjującego. Analzy wykazały, Ŝe uwzględnene zaleŝnośc warstw powoduje znaczne zwększene, co najmnej o rząd welkośc, prawdopodobeństwa newypełnena funkcj przez warstwy Z zabezpeczenowe, czyl zachodz PD >> PD w wyraŝenach według wzorów (3) (4). stotne znaczene w ogranczanu zaleŝnośc wspomnanych warstw ma odpowedne zaprojektowane systemu alarmowego [4]. 5. Proces projektowana warstw zabezpeczeń Proces projektowana warstw zabezpeczeń przedstawono schematyczne na Rysunku 8. Obejmuje on wstępną analzę ryzyka projektowane funkcj zwązanych z bezpeczeństwem oraz projektowane systemów BPCS SS wraz z HM. 58
SSARS 2011 Summer Safety and Relablty Semnars, July 03-09, 2011, Gdańsk-Sopot, Poland Proces defnowana systemu dentyfkacj zagroŝeń Wstępna analza ryzyka defnowane funkcj bezpeczeństwa Stratega redukcj sterowana ryzykem Projektowane BPCS wraz systemem wspomagana decyzj HM Projektowane SS wraz z HM Ocena ryzyka waldacja ntegralnośc systemu sterowana Ne Krytera spełn.? Tak Rysunek 8. Proces projektowana programowalnych systemów sterowana zabezpeczeń Pojawają sę nowe technologe oraz rozwązana funkcjonalne, strukturalne umoŝlwjące ntegrowane systemów BPCS SS [1] (rysunek 9). Mają one określone wady zalety. NaleŜy jednak podkreślć, Ŝe rozwązane na pozome ntegrowana C ne nadaje sę do stosowana w przypadkach obektów wysokego ryzyka, w których mogą wystąpć powaŝne aware z duŝym stratam (elektrowne jądrowe, zakłady chemczne). ENG. W/S A BPCS Gateway SS ENG. W/S HM B BPCS SS ENG. W/S C BPCS SS HM HM ENG. W/S Rysunek 9. Pozomu ntegrowana SS z BPCS [1]: A. Z nterfejsem, B. Zntegrowany C. Wspólny Twerdz sę, Ŝe technologa zntegrowana jest bezpeczna uzyskała certyfkat na pozome nenaruszalnośc bezpeczeństwa SL3 [1]. NaleŜy jednak podkreślć, Ŝe występują róŝne oddzaływana funkcjonalne pomędzy BPCS SS [18], co sprzyja moŝlwośc wystąpena uszkodzeń o wspólnej przyczyne CC (common cause falures) [17], [19]. Problem ten wymaga dalszych pogłębonych badań w kontekśce moŝlwośc wystąpena nesprawnośc funkcjonalnych spowodowanych błędam człoweka oraz błędam systematycznym uszkodzeń sprzętu o charakterze losowym w systemach zabezpeczeń z nadmarowoścą strukturalną, szczególne jeśl występują one w warstwach zabezpeczeń. 6. Uwag końcowe W procese eksploatacj obektów przemysłowych podwyŝszonego ryzyka stotne dla bezpeczeństwa funkcje nadzorujące decyzyjne pełn człowekoperator. Dotyczy to zwłaszcza sytuacj nenormalnych awaryjnych, kedy to popełnone błędy mogą doprowadzć do powaŝnych awar duŝych strat. Ryzyko tych strat moŝna stotne ogranczyć stosując odpowedne rozwązana technczne w postac warstwowego systemu zabezpeczeń, obejmującego podstawowy system sterowana, operatora system automatyk zabezpeczenowej. W nnejszym artykule podkreślono znaczene właścwego zaprojektowana systemów BPCS, SS systemu alarmowego, co przyczyn sę do zmnejszena prawdopobeństwa błędów człowekaoperatora. UmoŜlw to odpowedne ogranczene ryzyka do pozomu wyznaczonego w procese zarządzana bezpeczeństwem. Ne zaleca sę ntegrowana systemów BPCS SS w przypadku obektów/nstalacj wysokego ryzyka. Podzękowane Autor nnejszego artykułu dzękuje Mnsterstwu Nauk Szkolnctwa WyŜszego za wsparce badań oraz Centralnemu Laboratorum Ochrony Pracy Państwowemu nstytutow Badawczemu za współpracę w przygotowanu projektu badawczego V.B.10 do realzacj w latach 2011-13 dotyczącego zarządzana bezpeczeństwem funkcjonalnym w obektach podwyŝszonego ryzyka z włączenem zagadneń zabezpeczeń / ochrony nezawodnośc człoweka. Lteratura [1] ARC (2005). Semens Process Safety Systems Delver Modern eatures on a Proven Platform. Whte paper. ARC Advsory Group. ARCweb.com. 59
Kosmowsk Kazmerz T. Human factors and functonal safety management Czynnk ludzke analza bezpeczeństwa funkcjonalnego [2] Berg, H.P. (2009). Human actors n Safety and Relablty. Proc. 3 rd Summer Safety and Relablty Semnars. Gdańsk-Sopot. [3] Carey, M. (2001). Proposed framework for addressng human factors n EC 61508. Amey VECTRA Lmted for the Health and Safety Executve (HSE), Report 373/2001. HSE Books, Sudbury, Suffolk. [4] EEMUA (2007). EEMUA Publcaton 191: Alarm Systems; A Gude to Desgn, Management and Procurement (Edton 2). The Engneerng Equpment and Materals Users Assocaton. [5] EN SO 13407 (SO 13407: 1999), Human- Centered Desgn Process for nteractve Systems. [6] Gertman,.D. & Blackman, H.S. (1994). Human Relablty and Safety Analyss Data Handbook. Wley-nterscence Publcaton. New York. [7] Hollnagel, E. (1992). The relablty of manmachne nteracton. Relablty Engneerng and System Safety, 38, 1-2, 81-89. [8] Hollnagel, E. (1998). Cogntve Relablty and Error Analyss Method CREAM. Elsever Scence Ltd., Oxford. [9] Hollnagel, E. (2005). Human relablty assessment n context. Nuclear Engneerng and Technology, Vol.37, 2, 159-166. [10] EC 61508 (2000, 2010). unctonal Safety of Electrcal/ Electronc/ Programmable Electronc Safety-Related Systems. Parts 1-7. nternatonal Electrotechncal Commsson, Geneva. [11] Kosmowsk, K.T., Degen, G., Mertens, J. & Reer, B. (1994). Development of Advanced Methods and Related Software for Human Relablty Evaluaton wthn Probablstc Safety Analyses. Jülch: Berchte des orschungszentrum 2928. [12] Kosmowsk, K.T. (2003). Metodyka analzy ryzyka w zarządzanu nezawodnoścą bezpeczeństwem elektrown jądrowych. Wydawnctwo Poltechnk Gdańskej, Sera: Monografe 33, Gdańsk. [13] Kosmowsk, K.T., Ślwńsk, M. & Pesk, J. (2004). Czynnk ludzke w analze bezpeczeństwa funkcjonalnego. Materały konferencj naukowo-techncznej Zarządzane Bezpeczeństwem unkcjonalnym. Gdańsk, Jurata, 16-17 wrześna 2004. [14] Kosmowsk, K.T. (2007) (ed.). unctonal Safety Management n Crtcal Systems. Gdansk Unversty of Technology. Wydawnctwo: undacja Rozwoju Unwersytetu Gdańskego. Gdańsk. [15] Kosmowsk, K.T. (2009). Safety management problems of a hazardous ndustral plant (n Polsh). n: Dagnoss of Processes and Systems (Ed.: Kowalczuk, Z.). PWNT Gdańsk, 181-190. [16] Kosmowsk, K.T. (2011). unctonal Safety Analyss ncludng Human actors. nternatonal Journal of Performablty Engneerng, Vol. 7, No 1, 61-76. [17] LOPA (2001). Layer of Protecton Analyss, Smplfed Process Rsk Assessment. Amercan nsttute of Chemcal Engneers, Center for Chemcal Process Safety. New York. [18] Marszal, E.M. & Wel, Ch.P. (2011). mplementng Protectve unctons n BPCS and Combned Systems. Kenexs Consult. Corporaton, Columbus, USA. [19] PN-EN 61511 (2004). Bezpeczeństwo funkcjonalne. Przyrządowe systemy bezpeczeństwa do sektora przemysłu procesowego. Częśc 1-3. Polsk Komtet Normalzacyjny. [20] Rasmussen, J. & Svedung,. (2000): Proactve Rsk Management n a Dynamc Socety. Karlstad: Swedsh Rescue Servces Agency. [21] Reason, J. (1990). Human Error. Cambrdge Unversty Press 1990. [22] SPAR-H (2005). Human Relablty Analyss (HRA) Method, NUREG/CR-6883, NL/EXT-05-00509, USNRC. [23] Swan, A.D. & Guttmann, H.E. (1983). Handbook of Human Relablty Analyss wth Emphass on Nuclear Power Plant Applcaton. NUREG/CR- 1278. 60