AR 2011 ummer afety and Relablty emnars, Lpec 03-09, 2011, Gdańs-opot, olsa Kacprza rzemysław oltechna Gdańsa, Gdańs, olsa Layer of protecton analyss n ndustral hazadous nstallatons Analza warstw zabezpeczeń w przemysłowych nstalacjach podwyŝszonego ryzya Keywords / słowa luczowe functonal safety, layer of protecton analyss, human factros, alarm system bezpeczeństwo funcjonalne, analza warstw zabezpeczeń, czynn ludze, system alarmowy Abstract n ths artcle the Layer of rotecton Analyss (LOA), as a technque for the rs evaluaton relatng to the hazardous ndustral nstallatons performance, s presented. The results of analyses are mportant n the terms of the safety management process n such nstallatons. Based on obtaned estmatons the decsons mght be undertaen whch solutons to apply n order to mtgate the rs of hazardous nstallatons performance to a tolerable level. The rs mtgaton s provded by properly desgned layers of protecton, partcularly the alarm system, treated as a part of protecton layer. The alarm system should be desgned and mplemented wth comprehensve consderaton of the human factors. The role of the operator n hazardous nstallatons s crucal manly durng abnormal and alarm stuatons n order to provde and/or recover system to normal or safety state. n the artcle some selected aspects of alarm systems desgnng process wth specal treatng of human operator are outlned. Moreover, an example of the LOA analyss for the accdent sequence wthn a reacton contaner wth consderaton of human relablty analyss (HRA ) s carred out. 1. Wprowadzene Esploatacja aŝdego obetu przemysłowego podwyŝszonego ryzya zwązana jest z ryzyem zajśca zdarzeń neporządanych /lub awaryjnych. ut tach zdarzeń mogą meć negatywny wpływ na personel, nfrastruturę obetu, środowso. Ryzya zwązanego z funcjonowanem taego obetu ne moŝna wyelmnować. MoŜlwe jest natomast szacowane ryzya, a następne na podstawe wynów podejmowane decyzj bazujących na ryzyu jae opcje sterowana ryzyem (OR) zamplementować na etape projeotwana nstalacj, aby utrzymywać jego wartość w grancach tolerowanych. UŜytecznym narzędzem wspomagającym proces podejmowana decyzj odnośne do mplementacj OR w aŝdej faze cylu Ŝyca nstalacj jest metoda analzy warstw zabezpeczeń LOA (Layer of rotecton Analyss). 2. Analza ryzya w wyorzystanem metody LOA Analza warstw zabezpeczeń LOA jest półloścową uproszczoną metodą analzy ryzya [5]. Wyn analzy dostarczają nformacj dotyczących atualnego pozomu ryzya zwązanego z esploatacją obetu, tóre mogą być przydatne w procese podejmowana decyzj opartych na ryzyu w onteśce potencjalnych dzałań zwązanych z zarządzanem ryzyem. elem tach dzałań jest ogranczene ryzya zwązanego z esploatacją nstalacj przemysłowej przynajmnej do pozomu tolerowanego. Ops podstawowych roów analzy warstw zabezpeczeń zaprezentowano na rysunu 1. untem wyjśca do przeprowadzena oceny ryzya nstalacj za pomocą metody LOA są nformacje uzysane podczas analzy jaoścowej (ro 2 na Rysunu 1). Taa analza polega na dentyfacj zagroŝeń jae mogą wystąpć w analzowanej nstalacj jest wyonywana np. za pomocą metody 79
Kacprza rzemysław Layer of protecton analyss n ndustral hazadous nstallatons Analza warstw zabezpeczenowo ochronnych w obetach techncznych podwyŝszonego ryzya HAZO (Hazards and Operablty). rzyładowy scenarusz awaryjny zdentyfowany podczas analzy HAZO został zaprezentowany w Tabel 1. Kolejnym roem analzy LOA jest oszacowane pozomu ryzya bez zastosowana środów zabezpeczenowych w odnesenu do wartośc ryzya tolerowanego zdefnowanego przez zarząd przedsęborstwa za pomocą matrycy ryzya (Tabela 3). Tabela 1. rzyład doumentowana analzy HAZO Nazwa: rzyład HAZO Arusz: 1 z 1 ład zespołu: K z zespołem Data: 10.04.2011 RozwaŜana część Lna przesyłowa ze zborna A do zborna Data spotana: 10.04.2011 systemu: zczegóły: Materał: A zynność: ągły przepływ materału A w dawce węszej nŝ materału B Źródło: Zborn medum A el: zborn Nr łowo Element/ Odchyła rzyczyna ute Zabezpeczene ozom Wymagane Wyonał luczowe Węzeł ryzya acje 1 BRAK rzepływ Bra ompa A Esplozja / Bra Ne Ops w K A (dawa przepływu zatrzymana, sute aceptowalne, teśce węsza od medum A lna najbardzej np. matrycy medum B) przesyłowa A rytyczny zabloowana ryzya (rysune 9) W przypadu gdy nezbędna jest reducja ryzya, aby spełnć wymagane rytera bezpeczeństwa naleŝy zaprojetować nezaleŝne warstwy zabezpeczenowe, dzę tórym będze moŝna zreduować wartość ryzya przynajmnej do pozomu tolerowanego. KaŜda z projetowanych warstw mus meć oreślony oraz zweryfowany pozom nenaruszalnośc bezpeczeństwa L (afety ntegrty Level). rzypsane onretnego pozomu L do danej warstwy (pozomy 1-4, gdze pozom czwarty jest najbardzej restrycyjny) zaleŝy od archtetury, onfguracj oraz nezawodnośc elementów wchodzących w jej sład. W lteraturze dostępnych jest szereg metod wyznaczana wymaganego pozomu nenaruszalnośc bezpeczeństwa L dla aŝdej z projetowanych warstw zabezpeczenowych. Ogólne moŝna je podzelć na metody loścowe jaoścowe [14], [15]. ZaleŜne od analzowanego obetu dostępnej nformacj aŝda z metod moŝe oazać sę przydatna. Metody loścowe wymagają węszego zaresu danych dobrego przygotowana analtyów, chocaŝ dostrzega sę zalety metod jaoścowych, szczególne w przypadach analzy systemów o duŝej złoŝonośc. Metody jaoścowe wymagają salowana w celu podejmowana racjonalnych decyzj z uwzględnenem dostępnej nformacj loścowej. Oznacza to, Ŝe aŝda z warstw projetowana jest w odpowedn sposób zapewnający wymagany pozom nenaruszalnośc bezpeczeństwa L. Wraz ze wzrostem pozomu ryzya dla danego scenarusza awaryjnego wymagany pozom L warstw odpowedno wzrasta, aby moŝlwa była reducja pozomu ryzya do wartośc aceptowanej. Następny scenarusz TAK 1. ele analzy 2. Analza zagroŝeń HAZO oraz wybór scenaruszy 3. Ops rytycznośc sutów oraz oreślene wartośc ryzya tolerowanego (matryca ryzya) 4. zacowane częstośc zdarzena ncjującego 5. Defnowane warstw oraz przypsane wartośc FD / HE 6. Oszacowane częstośc scenarusza awaryjnego / orównane z wartoścą ryzya tolerowanego zy wartość ryzya jest na pozome aceptowanym? NE TAK NE zy chcesz zmodyfować model ryzya? Rysune 1. odstawowe ro analzy warstw zabezpeczeń LOA W nstalacjach przemysłowych podwyŝszonego ryzya wyróŝna sę la warstw zwązanych z bezpeczeństwem. MoŜna je podzelć na warstwy ogranczające prawdopodobeństwo awar oraz na ogranczające sut (Rysune 2). 80
AR 2011 ummer afety and Relablty emnars, Lpec 03-09, 2011, Gdańs-opot, olsa 7. ystem zewnętrzny ogranczana sutów awar (procedury), dzałana operacyjne ratowncze 6. ystem wewnętrzny ogranczana sutów awar (straŝ, ratownctwo) 5. ystem loalzacj/ogranczana sutów awar (urządzena, barery, obudowy) 4. ystem automaty zabezpeczenowej 3. ystem alarmowy A nterwencje operatorów 2. ystem pomarów sterowana B 1. nstalacja technologczna ułady pomocncze Warstwy ogranczające sut awar Warstwy ogranczające prawdopodobeństwo awar Rysune 2. Warstwy zabezpeczenowo ochronne w obetach podwyŝszonego ryzya Następne za pomocą metody LOA doonywana jest ocena ryzya scenarusza awaryjnego po zastosowanu warstw zabezpeczenowych porównane wynów z wartoścą tolerowaną. pełnene ryterów bezpeczeństwa moŝe zostać osągnęte za pomocą róŝnych techn. Metoda LOA ne sugeruje jae warstwy zabezpeczenowe naleŝy zamplementować., ale jest pomocna podczas doonywana wyboru pomędzy alternatywnym rozwązanam. W przypadu onecznośc przeprowadzena szczegółowej analzy ryzya, lub gdy system jest złoŝony sugerowana jest analza loścowa QRA (hemcal rocess Quanttatve Rs Analyss). odstawowym elementam nezbędnym do przeprowadzena analzy ryzya wystąpena scenarusza awaryjnego z wyorzystanem metody LOA są (ro 4, 5 oraz 6 na Rysunu 1): częstość zdarzena ncjującego, rytyczność sutów oreślona na podstawe zdefnowanych ategor oraz prawdopodobeństwo newypełnena funcj zwązanych z bezpeczeństwem na przywołane FD (robablty of Falure on Demand) lub prawdopodobeństwa błędu człowea HE (Human Error robablty) przez poszczególne, nezaleŝne barery dla aŝdego zdentyfowanego scenarusza awaryjnego. Wartość ryzya po zastosowanu warstw dla aŝdego scenarusza (para przyczyna sute) oblczana jest na podstawe wzoru 1 [5]: f = f J j= 1 FD j = f FD 1... FD (1) J gdze f jest częstośą wystąpena zdarzena nebezpecznego dla -tego scenarusza awaryjnego (stałe onsewencje ); f oznacza częstość wystąpena -tego zdarzena ncjującego z rozpatrywanem tego scenarusza awaryjnego; FD J jest prawdopodobeństwem ne wyonana funcj prze j-tą warstwę. dentyfacja budowa scenaruszy awaryjnych opera sę na metodze drzew zdarzeń ET (Event Tree). Na Rysunu 3 wyspecyfowano trzy warstwy ogranczające prawdopodobeństwo wystąpena awar, tóre są luczowe w trace analzy zajśca scenarusza za pomocą metody LOA. Wyszczególnono taŝe cztery sut ońcowe (1-4) oraz oreślono rytyczność ch onsewencj, przy czym sute czwarty jest najbardzej rytyczny, ale występujący najrzadzej. W trace projetowana warstw zabezpeczenowych w celu zapobegana wystąpenu powaŝnej awar sute najbardzej rytyczny jest tratowany jao reprezentatywny w onteśce spełnena ryterów bezpeczeństwa. Zdarzene ncjujące L 1 (B) L 2 (A) L 3 () uces - oraŝa - zęstość zdarzena awaryjnego z uwzględnenem olejnych warstw zabezpeczenowych f FD FD FD L1 L2 L3 1.owrót do stanu normalnego /bezpecznego 2. ut nepoŝądane ale tolerowane (straty producyjne) 3. ut nepoŝądane ale tolerowane (awaryjne odstawene nstalacj ED) 4. ut przeraczające wartośc ryteralne powaŝna awara Rysune 3. Drzewa zdarzeń w metodze LOA zęstość zdarzena po zastosowanu warstw oraz przypsanu do aŝdej z nch wartośc DF zostaje wyznaczona z wyorzystanem wzoru (1) przy załoŝenu nezaleŝnośc warstw. stotnym jest jedna zwrócene uwag na fat, Ŝe borąc pod uwagę wpływ czynnów ludzch organzacyjnych w aŝdej z warstw, ne mogą one zawsze być tratowane jao struturalne funcjonalne nezaleŝne. Metodya LOA ne uwzględna zaleŝnośc pomędzy poszczególnym warstwam zabezpeczenowym, a taŝe w sposób nedostateczny uwzględna czynn ludze co jest jej stotnym ogranczenem. o przeprowadzonej analze naleŝy sprawdzć czy wartość ryzya leŝy w obszarze tolerowanym. Jeśl ne naleŝy doonać onecznych zman w projetowanych warstwach, aby spełnć rytera bezpeczeństwa. 3. Wybrane zagadnena projetowana systemów alarmowych oraz rola człowea operatora Dzałana człowea operatora w aŝdej z warstw zabezpeczenowych mogą być róŝne, dlatego 81
Kacprza rzemysław Layer of protecton analyss n ndustral hazadous nstallatons Analza warstw zabezpeczenowo ochronnych w obetach techncznych podwyŝszonego ryzya wymagają szczególnego tratowana, a analza tych dzałań jest nezbędna z puntu wdzena zapewnena wymaganego pozomu nezawodnośc bezpeczeństwa całego systemu techncznego [4], [6], [7]-[10]. Rolę zadana operatora w róŝnych warstwach stanach nstalacj podwyŝszonego ryzya przestawono schematyczne na Rysunu 4. W stanach awaryjnych obetu rola operatora oraz właścwe wyonywane zadań jest szczególne waŝne. uteczność dzałana operatora w tach sytuacjach zostaje oszacowana z wyorzystanem odpowednej metody analzy nezawodnośc człowea HRA (Human Relablty Analyss). Deompozycja zadań wyonywanych przez operatora w stanach awaryjnych została zaprezentowana na Rysunu 5. tan procesu Zaburzene Obet/rocesy Zarządzane/ odejmowane decyzj złowe - operator wyonujący dzałana w oparcu o HM Alarmy/ Wsaźn B ystem alarmowy (A) dentyfacja/ Ocena sytuacj/ odjęce decyzj/ Dzałane ystem bezpeczeństwa /ED nformacja Ręczne załączene/ Nadzór Rysune 4. Rola oraz zadana operatora w róŝnych stanach obetu Wyn analzy HRA zaleŝą w znacznym stopnu od wydajnośc zaprojetowanego na obece systemu alarmowego oraz mają stotny wpływ w oszacowanu nezawodnośc całego systemu podczas analzy ryzya w wyorzystanem metody LOA. Dlatego analza HRA pownna być wyonywana podczas analzy ryzya obetu techncznego oraz włączana do modelu probablstycznego rozwaŝanego systemu techncznego. dentyfacja / dagnostya uces - oraŝa - Decyzja Dzałana owrót do normalnego bezpecznego stanu oraŝa oraŝa oraŝa Rysune 5. Deompozycja zadań operatora w sytuacj alarmowej W obecnej pratyce nŝynersej bazując na nformacjach zawartych w normach zwązanych z bezpeczeństwem (norma ogólna N-EN 61508 oraz norma N-EN 61511 pośwęcona setorow przemysłu procesowego) oraz lteraturze we wstępnych oszacowanach (analza jaoścowa) zwązanych ze sutecznoścą dzałana operatora dla róŝnych rozwązań funcjonalnych systemu alarmowego stosuje sę wartośc podane w Tabel 2 [1], [5]. Tabela 2. Wymagana probablstyczne dla systemu alarmowego [1] FD systemu alarmowego 1-0.1 (alarm standardowy) 0.1-0.01 (alarm zwązany z bezpeczeństwem) onŝej 0.01 ntegralność systemu alarmowego / wymagana nezawodnoścowe Alarm moŝe zostać zaprojetowany jao część systemu D ystem alarmowy pownen zostać zaprojetowany jao L (safety related) na pozome L1 zgodne z normą E 61508 ystem alarmowy pownen zostać zaprojetowany jao zwązany z bezpeczeństwem posadać ategorę przynajmnej L2 Wymagana nezawodnoścowe człowea - operatora Bra specjalnych wymagań dla osągnęca wymaganego pozomu FD Operator pownen zostać przeszolony w zarządzanu systemem alarmowym oraz obetem. ystem alarmowy pownen być bardzo przejrzysty nezwyle prosty w obsłudze. Alarm pownen pozostawać na wdou przez cały czas gdy jest atywny. Operator pownen posadać jasną, psemną procedurę dzałana dla danego alarmu Ne jest zalecane, aby w jaejolwe sytuacj przypuszczać, Ŝe operatora moŝe meć wartość ponŝej 0.01 W celu zapewnena reducj ryzya na oreślonym pozome przez system alarmowy (wartość FD w Tabel 2), obejmujący sprzęt, oprgramowane operatora, zostały opracowane wymagana odnośne do ntegralnośc systemu w ramach onretnych warstw zabezpeczenowych oraz wymagana jae mus spełnać w nch operator. onadto decyzja odnośne do mplementacj systemu alarmowego w ramach warstwy B lub jao nezaleŝnej warstwy zabezpeczenowej moŝe zostać 82
AR 2011 ummer afety and Relablty emnars, Lpec 03-09, 2011, Gdańs-opot, olsa podjęta na podstawe analzy następujących parametrów ryzya za pomocą grafu jaoścowego przedstawonego na Rysunu 6 z uwzględnenem spodzewanych sutów w przypadu wystąpena sytuacj awaryjnej, pozomu ryzya oraz czasu dostępnego na reację przez operatora [1]. Warto zwrócć uwagę, Ŝe przedzał czasowy oreślony jao rót wynos 10 mnut wyna w trudnośc dagnozowana atualnego stanu procesu przez operatora w przypadu wystąpena sytuacj awaryjnej. podzewane sut 1. Tylo nformacja 2. Alarm przed wyzwolenem 3. Ryzyo strat materalnych 4. Ryzyo szody w środowsu 5. Ryzyo obraŝeń Nse Wysoe Nse Wysoe Nse A A Wysoe TO wymagany bardzo rót czas reacj operatora, do 10 mn. T1 dozwolony dłuŝszy czas reacj operatora, powyŝej 10 mn. N nformacja do przeazywana poza alarmem, L ogranczona orzyść stosowana alarmu, reomendowany alarm w ramach B, do zaaceptowana oddzelny system alarmowy lub w ramach B, A reomendowany oddzelny system alarmowy. Rysune 6. Wpływ parametrów ryzya na załoŝena projetowe systemu alarmowego (na podstawe [1]) 4. Analza nezawodnośc człowea wyzwana W przypadu onecznośc oszacowana wartośc prawdopodobeństwa błędu człowea HE ( Human Error robablty), w celu weryfacj proponowanych rozwązań projetowych w ramach warstw zabezpeczenowych, orzysta sę z jednej z dostępnych metod, tóre moŝna podzelć na: bazujące na wedzy espertów np. LM (uccess Lelhood ndex), półloścowe np. AR-H (tandarzed lant Analyss Rs Human Relablty Analyss Method) lub loścowych np. THER (Technque of Human Error Rate redcton) [3], [6], [9], [10]. W nnejszym opracowanu sorzystano w rozdzale 5 z metody AR-H z pewnym uproszczenam. Na Rysunu 7 została przedstawona wstępna propozycja T1 N T0 N L A procedury ułatwającej wybór metody analzy nezawodnośc człowea w zaleŝnośc od wymaganego pozomu sutecznośc dzałań operatora (wartość HE lub odpowedno L). ropozycja załada uwzględnene grupy czynnów podczas projetowana systemu alarmowego z celu zapewnena wydajnośc dzałana systemu w tym taŝe zadań realzowanych przez operatora na pozome L1 lub L2. o wyonanu projetu w celu weryfacj proponowanych rozwązań na pozome L1 moŝna sorzystać z metod bazujących na opn espertów lub z metod półloścowych (np. metoda AR H opsana w przyładze ponŝej). JeŜel zadana zwązane z nterwencjam operatora są złoŝone, a wymagana suteczność jest na pozome L2 rozwązana pownny zostać zweryfowane za pomocą metod loścowych np. THER. Dodatowo naleŝy uzwględnć dodatowe czynn podczas projetowana taego systemu [2], [7]-[13]. Ne naleŝy przy tym załadać, Ŝe jaeolwe dzałana zwązane z pracą systemu alarmowego, a taŝe z zadanam wyonywanym przez operatora mogą być na pozome wyŝszym nŝ L2. Modelowane probablstyczne zadań operatora analza HRA Dagnostya/ Decyzje/Dzałana Konec L 1 Wymagana stawane operatorom ystem wspomagana decyzj / Funcje systemu doradczego Alarmy/ &D/ ergonoma zynn organzacyjne / nadzór dentyfacja oraz lasyfacja błędów ludzch oraz czynn ogntywne TAK Analza zadań operatora oraz funcj ADA/HM zynn wpływające na suteczność dzałana operatora L 2 Wybór metody analzy nezawodnośc HRA Oszacowane HE zy wymagana są spełnone? NE L 2 Model ogntywny Rassmussena RK Wydajność operatora oreślana na podstawe dośwadczena, trenngu Rysune 7. ropozycja procedury ułatwającej wybór metody analzy nezawodnośc człowea 5. rzyład analzy LOA z uwzględnenem czynnów ludzch Na ponŝszym rysunu przedstawono zborn w tórym zachodz reacja chemczna. Analzowany obet słada sę z lu elementów nezbędnych do jego poprawnego funcjonowana: dwa zborn w tórych przechowywane są substancje A oraz B, rurocąg transportujące materały A B do zborna reacyjnego, w tórym następuje meszane obu substancj otrzymywany jest produt. KaŜdy rurocąg jest wyposaŝony w zestaw czujnów 83
Kacprza rzemysław Layer of protecton analyss n ndustral hazadous nstallatons Analza warstw zabezpeczenowo ochronnych w obetach techncznych podwyŝszonego ryzya merzących najwaŝnejsze zmenne procesowe oraz elementów wyonawczych wyonujących odpowedne do ontestu sytuacj funcje. odczas normalnego stanu procesu wyonywane są następujące pomary: pozom przepływu substancj A B (FTA1, FTA2), współczynn proporcj przepływu (FR) zaprojetowany jao system K z N czujnów. terowane przepływem medów odbywa sę za pomocą zaworów (VA2, VA4). roces jest sterowany automatyczne za pomocą systemu B (wzualzacja procesu jest dostępna za pomocą eranów 1 oraz 2) ne wymaga nterwencj operatora, tórego zadanem jest nadzór nad jego poprawnym przebegem. W celu wsperana operatora podczas awaryjnych stanów obetu jao oddzelna struturalne funcjonalne warstwa, został zamplementowany system alarmowy sładający sę z następujących elementów: czujn przepływu (FTA1), system wzualzacj (A) oraz zawory VA1 (otwarty podczas normalnego stanu procesu) VA3 (zamnęty podczas normalnego stanu procesu). W przypadu brau śwadomośc operatora na temat atualnej sytuacj, błędnej dagnosty lub brau reacj na czas system pownen zatrzymać proces technologczny W analzowanym przypadu system słada sę z następujących omponentów: czujn przepływu (FTA1, FTA2), czujn cśnena (), temperatury (T) pozomu (L) w zbornu reacyjnym oraz zaworu odcnającego VA. ystem sterowana automaty zabezpeczenowej jest redundantny dla aŝdego z medów (rurocągów) dostarczanych do zborna reacyjnego. Tabela 3. rzyładowa matryca ryzya Kategora sutu zęstość sutu, a -1 Kategora 1 Kategora 2 Kategora 3 Kategora 4 Kategora 5 <10-1,10-2 ) <10-2,10-3 ) tart <10-3,10-4 ) <10-4,10-5 ) <10-5,10-6 ) Aby proces mógł przebegać w sposób bezpeczny łatwopalne medum A pownno być dostarczane bez przerwy do zborna reacyjnego w lośc węszej od łatwopalnego medum B, aby ne doprowadzć do wybuchu. Reacja meszana mus odbywać sę w oreślonej temperaturze oraz cśnenu. Rysune 8. rzyład analzy warstw zabezpeczeń LOA rzyładowy scenarusz awaryjny załada uszodzene pompy A1 za pośrednctwem tórej medum A jest dostarczane do zborna reacyjnego oraz uszodzene systemu sterowana B (1). W wynu utraty B operator ne moŝe odczytać na montorze 1 uszodzena pompy A1 oraz ne moŝe zostać załączony rurocąg standby oraz pompa A2. utem uszodzena pompy A1 jest zatrzymane dopływu medum A do zborna reacyjnego co moŝe w ogranczonym horyzonce czasowym doprowadzć do zaburzena ustalonej proporcj medów A B w zbornu reacyjnym. W najgorszym przypadu zdarzene awaryjne moŝe doprowadzć do esplozj zborna. W najblŝszej oolcy ne pracuje personel węc negatywne sut będą zwązane ze stratam sprzętu oraz nfrastrutury (straty eonomczne). W celu wyonana analzy LOA zostały zdefnowane następujące załoŝena przedstawone ponŝej, w raporce HAZO w tablcy nr 1 oraz w matrycy ryzya w Tabel 3 (ro 2 analzy LOA na Rysunu 1): zęstość zdarzena ncjującego: (uszodzene pompy x uszodzene B): 10-2, Ryzyo aceptowane: 10-5, Koneczna reducja ryzya: 10-3, Wymagana dla nezaleŝnych warstw zabezpeczenowych L (FD/HE) [a -1 ]: B: 10-1 ;A: 10-1 ;: 10-2 84
AR 2011 ummer afety and Relablty emnars, Lpec 03-09, 2011, Gdańs-opot, olsa W celu weryfacj czy zaprojetowany system alarmowy spełna stawane mu wymagana zostane przeprowadzona analza HRA dla analzowanego scenarusza awaryjnego z wyorzystanem metody AR H [3]. rzywrócene nstalacj do stanu bezpecznego będze wymaga od operatora wyonana następujących czynnośc w odpowednej sewencj: A. dentyfacja brau przepływu medum A do zborna reacyjnego za pomocą funcj HM systemu alarmowego (A) w czase do 10 mnut (dentyfacja atualnej sytuacj), B. Ręczne zamnęce zaworu VA1 w celu zolacj rurocągu głównego,. Otwarce zaworu VA3 w ceu ncjalzacj rurocągu standy, D. ncjalzacja pompy A2, Analza HRA za pomocą AR H dla zdefnowanej sewencj słada sę z następujących roów: Kro 1: Deompozycja analzowanej sewencj na podzadana oraz przypsane m trybu dagnosty lub dzałana. Drzewo zdarzeń analzy HRA przedstawa ponŝszy rysune: Zdarzene ncjujące odzadane A odzadane B odzadane odzadane D uces - oraŝa - Z - uma prawdopodobeństw zdarzeń ońcowych wynos zawsze 1 Wszyste podzadana zostały wyonane pomyślne; owrót do normalnego stanu obetu Nepowodzene zwązane z wyonanem podzadana D Nepowodzene zwązane z wyonanem podzadana Nepowodzene zwązane z wyonanem podzadana B Bra śwadomośc operatora o atualnej sytuacj; błąd dagnosty Z =1 Rysune 9. rzyład deompozycj sewencj awaryjnej na podzadana W analzowanym scenaruszu awaryjnym tylo podzadane A wymaga dagnosty sytuacj. ozostałe podzadana (B,, D) zostały zdefnowane jao dzałana. Kro 2: rzypsane wartośc (opna esperca) dla aŝdego z czynnów ształtujących wydajność operatora F (ang. erformance hapng Factors) dla przyjętej sal lczbowej. W metodze AR H wyróŝna sę osem czynnów F (Tabela 4 ponŝej). Tabela 4. zynn ształtujące wydajność operatora F F O ZAKRE ODZADANE A B D zas <0,1;10> 5 2 2 2 neadewatny Dostępny czas (10) dodatowy czas (0,1) Nomnalny <1;5> 2 2 1 1 tres (1) estremalny V V V V V Dośwadczen e trenng ZłoŜoność zadana Ergonoma HM Dostępność procedur Zdolność do pracy zynn organzacyjne (5) Ns (10) wyso (0,5) ZłoŜone (5) oczywste (0,1) Myląca (50) Dobra (0,5) Nedostępne (50) dagnostyczne (0,5) Nomnalna (1) słaba(5) Dobre (0,5) słabe (5) <0,5;10> 0,5 1 1 1 <0,1;5> 3 2 1 1 <0,5;50> 0,5 0,5 0,5 1 <0,5;50> 0,5 1 1 1 <1;5> 1 1 1 1 <0,5;5> 1 1 1 1 Kro 3: Oszacowane wartośc HE dla aŝdego podzadana bez uwzględnena zaleŝnośc z wyorzystanem wzoru 2: NHE FzłłoŜon = HE = (2) NHE ( F 1) + 1 złłoŝon gdze NHE dagnostya = 0. 01; NHE dzałzał = 0. 001; oznacza prawdopodobeństwo błędu człowea (HE) bez uwzględnena zaleŝnośc. Wartośc F ponŝej 1 mają pozytywny wpływ na dzałana operatora, natomast powyŝej 1 negatywny, wartość 1 jest uwaŝana za nomnalną/lub dany czynn ne ma wpływu na efetywność wyonana podzadana. Kro 4: Oblczene prawdopodobeństwa sucesu dla analzowanej sewencj z wyorzystanem wzoru 3: n = (3) gdze to prawdopodobeństwo sucesu dla tego podzadana w sewencj bez uwzględnena zaleŝnośc. rawdopodobeństwo brau sucesu dla analzowanej sewencj oblczane jest według (4) 1 gdze = (4) / to prawdopodobeństwo poraŝ dla B Z rozwaŝanej sewencj awaryjnej. Uzyane wyn zawarto w Tabel 5. Tabela 5. Wyn analzy odzadane A B D 0,04 0,004 0,001 0,002 85
Kacprza rzemysław Layer of protecton analyss n ndustral hazadous nstallatons Analza warstw zabezpeczenowo ochronnych w obetach techncznych podwyŝszonego ryzya 0,96 0,996 0,999 0,998 n =,95 = 0, 05 0 Wyn analzy poazują, Ŝe zaproponowane rozwązana projetowe systemu alarmowego zapewnają suteczność dzałana operatora na pozome L1. Analza została wyonana w uproszczonej forme bez uwzględnana zaleŝnośc pomędzy zdarzenam co powoduje, Ŝe otrzymane wyn są optymstyczne. W celu bardzej doładnego zweryfowana sutecznośc dzałana operatora w sytuacj złoŝonej naleŝy sorzystać z metody loścowej np. THER. 6. odsumowane elowe jest rozwjane metody uwzględnana analz nezawodnośc człowea w ramach analzy LOA, co ma duŝe znaczene pratyczne. Dostępne obecne doumenty normatywne wymenone w opracowanu ne zawerają w wystarczającym stopnu wytycznych, an wsazań metodycznych, uwzględnających poruszone w nnejszym artyule aspety analzy warstw zabezpeczeń w obetach podwyŝszonego ryzya. odzęowana Autor nnejszego artyułu dzęuje Mnsterstwu Nau zolnctwa WyŜszego za wsparce badań oraz entralnemu Laboratorum Ochrony racy aństwowemu nstytutow Badawczemu za współpracę w przygotowanu projetu badawczego V.B.10 do realzacj w latach 2011-13 dotyczącego zarządzana bezpeczeństwem funcjonalnym w obetach podwyŝszonego ryzya z włączenem zagadneń zabezpeczeń / ochrony nezawodnośc człowea Lteratura [1] Allars, K. (2007). Alarm ystems. A Gude to Desgn, Management and rocurement. The Engneerng Equpment and Materals Users Assocaton - ublcaton No 191.Edton 2. [2] Blacman, H.. & Gertman,.D. (1994). Human Relablty and afety Analyss Data Handboo. Wley-nterscence ublcaton. New Yor. [3] Blacman, H.. & Gertman,.D. (2004). The AR-H Human Relablty Analyss Method. U.. Nuclear Regulatory ommsson, Offce of Nuclear Regulatory Research, Washngton, D 20555 0001, NUREG/R-6883, NL/EXT-05-00509. n [4] arey, M. (2001). roposed Framewor for Addressng Human Factors n E 61508. repared by Amey VETRA Ltd. for Health and afety Executve (HE), U.K. ontract Research Report 373. [5] Dowell, A. M. (2001). Layer of rotecton Analyss - mplfed rocess Rs Assessment. enter for hemcal rocess afety. Amercan nsttute of hemcal Engneers, New Yor 10016-5991. [6] Guttmann, H.E. & wan, A.D. (1983). Handboo of Human Relablty Analyss wth Emphass on Nuclear ower lant Applcatons. Fnal Report. NUREG/R-1278, Washngton, D (UA). [7] Hollnagel, E. (2005). ogntve Relablty and Error Analyss Method REAM. Elsever cence Ltd. 1988, new edton. [8] Hollnagel, E. (2005). Human relablty assessment n context. Nuclear Engneerng and Technology, Vol.37, 2, 159-166. [9] Humphreys,. (1988). Human Relablty Assessors Gude. afety & Relablty Drectorate. Wgshaw Lane, ulcheth, Warrngton WA3 4NE. [10] Mertens, J., Reer, B. & trater, O. (1996). Evaluaton of Human Relablty Analyss Methods Addressng ogntve Error Modellng and Quantfcaton. Julch: Berchte des Forschungszentrums 3222. [11] Kacprza,. & Kosmows, K.T. (2009). Human factors n the layer of protecton analyss wth emphass on alarm system management. Materały onferencj EREL, rague 2009, Relablty, Rs, and afety - Theory and Applcatons (ed. by Radm Brs, arlos Guedes oares, ebastán Martorell). BN: 978-0-415-55509-8, ublshed by R ress. [12] Rasmussen, J. (1983). lls, rules, nowledge; sgnals, sgns and symbols and other dstnctons on human performance models. EEE Transacton on ystems, Man and ybernetcs, M-13/3. [13] Reason, J. (1990). Human Error. ambrdge Unversty ress. [14] E 61508 (1998). Functonal afety of Electrcal/ Electronc/ rogrammable Electronc afety- Related ystems. arts 1-7. nternatonal Electrotechncal ommsson, Geneva, wtzerland. [15] E 61511 (2003). Functonal afety: afety nstrumented ystems for the process ndustry sector. arts 1-3. nternatonal Electrotechncal ommsson, Geneva, wtzerland. 86