Zastosowanie drzewa zdarzeń do analizy zagrożeń w systemie
Transkrypt
Zastosowanie drzewa zdarzeń do analizy zagrożeń w systemie
Maciej WOROPAY, Piotr BOJAR, Andrzej WDZIĘCZNY Katedra Eksploatacji Maszyn Akademia Techniczno-Rolnicza w Bydgoszczy ul. Kaliskiego 7, email: [email protected] Zastosowanie drzewa zdarzeń do analizy zagrożeń w systemie Człowiek-Obiekt Techniczny-Otoczenie 1. Wprowadzenie Jednym z najważniejszych etapów działań na rzecz poprawy bezpieczeństwa systemu socjotechnicznego rozumianego jako system 〈Człowiek-Obiekt Techniczny-Otoczenie〉 jest analiza bezpieczeństwa tego systemu w procesie użytkowania. Z analizą bezpieczeństwa związane jest pojęcie ryzyka. Ryzyko w pracy zdefiniowano jako warunkową możliwość powstania straty w wyniku wystąpienia pojedynczego zdarzenia niepożądanego. Przeprowadzenie analizy bezpieczeństwa daje podstawy do podjęcia racjonalnych decyzji i działań dotyczących poprawy bezpieczeństwa w rozważanym systemie 〈C-OT-O〉 i do wyboru optymalnych metod zmniejszenia wartości ryzyka. Może być ona przeprowadzona za pomocą metod jakościowych lub metod ilościowych. Znacznie lepiej opracowane i częściej stosowane do analizy bezpieczeństwa są metody jakościowe. Do metod tych należą m.in. metody: matrycowe, list kontrolnych, CO-JEŚLI, HAZOP (ang. Hazard And Operability Studies), FMEA (ang. Failure Mode And Effect Analysis) MORT (ang. Management Oversight Risk Tree) i inne [3, 7, 11, 12]. Metody ilościowe umożliwiają wykonanie racjonalnych analiz, porównań i działań zmierzających do poprawy bezpieczeństwa. Metody ilościowe to zwykle metody probabilistyczne. Stopień komplikacji tych metod zależy od stopnia szczegółowości odwzorowania w modelu przyjętego do analizy ryzyka złożonego systemu oraz od jego złożoności. Do metod ilościowych zalicza się metody: statystyczne, PRA (ang. Probabilistic Risk Assessment) oraz PSA (ang. Probabilistic Safety Assessment). Metody ilościowe są trudniejsze w stosowaniu i wymagają znacznie większej ilości informacji wejściowych [3, 7]. Osiągane cele poprzez realizację analiz bezpieczeństwa różnymi metodami są zbliżone. Różnice występują jedynie w przyjętych procedurach, które wynikają z przekroczenia wartości cech obiektu technicznego poza dopuszczalne granice. Powstałe na wskutek tych przekroczeń uszkodzenia podsystemów (elementów) obiektu technicznego są w przypadku elementów krytycznych i istotnych głównym źródłem zagrożeń [3, 7, 12]. Bardzo wygodnym i zalecanym przez specjalistów narzędziem modelowania ryzyka jest metoda drzewa zdarzeń. Dalsza część pracy dotyczy wykorzystania tej metody do przeprowadzenia analizy bezpieczeństwa wybranego systemu socjotechnicznego. 2 Metoda drzew zdarzeń, zastosowana do jakościowej analizy zagrożenia umożliwia szczegółowe rozpatrzenie przyczyn wystąpienia pierwotnego zdarzenia niepożądanego oraz scenariuszy przebiegu zdarzeń (np. wypadku, katastrofy) po ich wystąpieniu. Stosowana jest ona, gdy pojawiają się trudności związane z szacowaniem zagrożeń w przypadku zajścia pierwotnych zdarzeń niepożądanych. W pracy wyróżnia się następujące typy zdarzeń niepożądanych: pierwotne oraz wtórne. W artykule pierwotne zdarzenie niepożądane określono jako uszkodzenie obiektu technicznego nie spowodowane bezpośrednio lub pośrednio przez uszkodzenie lub niezdatność innego obiektu technicznego. Natomiast zdarzenie wtórne to takie, które jest następstwem wystąpienia zdarzenia pierwotnego. Przykładem takiej sekwencji zdarzeń jest uszkodzenie (przebicie) opony pojazdu samochodowego, którego następstwem jest kolizja obiektu technicznego z przeszkodą. Wyniki jakościowej analizy bezpieczeństwa przy użyciu metody drzewa zdarzeń, pozwalają na [7]: - szczegółową analizę sekwencji zdarzeń, - - rozpatrzenie scenariuszy przebiegu możliwych sekwencji zdarzeń po wystąpieniu pierwotnego zdarzenia inicjującego, oraz wskazanie najbardziej niebezpiecznych z nich, uzyskanie informacji o najważniejszych elementach (krytycznych), których uszkodzenie wywołuje zagrożenie systemu 〈C-OT-O〉. racjonalne oszacowanie poziomu zagrożeń, wywołanych przez wystąpienie pierwotnego zdarzenia niepożądanego, wyznaczenie możliwości minimalizowania zagrożeń np. przez przeciwdziałanie zajściu najbardziej niebezpiecznych sekwencji zdarzeń, prowadzących do wypadku lub katastrofy. Najkorzystniejszą metodą przedstawienia chronologicznego sekwencji zdarzeń, istotnych ze względu na funkcjonowanie obiektu technicznego, występujących po wystąpieniu zdarzenia niepożądanego, jest metoda diagramu logicznego drzewa zdarzeń. W opracowaniu poddano analizie katastrofę kolejową w systemie transportu kolejowego stosując do tego metodę drzew zdarzeń. Metoda drzew zdarzeń pozwala na bardziej szczegółowe, niż w wielu innych jakościowych metodach analizy ryzyka, rozpatrzenie możliwych przyczyn i skutków zajścia rozważanego zdarzenia niepożądanego i w efekcie dokładne oszacowanie wartości ryzyka związanego z tym zdarzeniem. Zdarzenie pierwotne w drzewie zdarzeń może być przyczyną wystąpienia sekwencji wtórnych zdarzeń niepożądanych, z których każde, kolejne zwiększa zagrożenie systemu 〈COT-O〉. 3 Na tej podstawie jako przykład analizy sekwencji zdarzeń, które wystąpiły po zajściu uszkodzenia pierwotnego wybrano do analizy bezpieczeństwa metodę drzewa zdarzeń. 2. Cel opracowania Celem opracowania jest ocena zagrożeń występujących w systemie 〈Człowiek-Obiekt Techniczny-Otoczenie〉, na podstawie analizy i oceny niebezpiecznych sekwencji zdarzeń. 3. Obiekt i przedmiot badań Obiektem badań są zdarzenia niepożądane zachodzące w systemie 〈Człowiek-Obiekt Techniczny-Otoczenie〉. Skutkiem wystąpienie zdarzenia niepożądanego są zagrożenia, natomiast przedmiotem badań są relacje zachodzące między zdarzeniami tworzącymi sekwencje zdarzeń. Jako ilustrację rozważań wybrano katastrofę kolejową będącą następstwem zajścia pierwotnego zdarzenia niepożądanego (uszkodzenie elementu jezdnego). 4. Analiza ciągów zdarzeń dotyczących katastrofy zespołu trakcyjnego Zespół trakcyjny ICE składa się z dwóch członów napędnych i 12÷14 członów doczepnych I i II klasy oraz wagonu restauracyjnego. Zarówno człony napędne jak i wagony doczepne wyposażone są w dwa wózki dwuosiowe. Wagony doczepne połączone są ze sobą sprzęgami samoczynnymi. Układ hamowania zespołu trakcyjnego stanowią: dynamiczny hamulec elektryczny tzw. odzyskowy, hamulec elektropneumatyczno tarczowy oraz szynowy hamulec magnetyczny. Ze względu na sposób uruchamiania, wyróżnić można następujące rodzaje hamulców: samoczynny, niesamoczynny oraz bezpieczeństwa. Pociąg zespołowy ICE 884 wyposażony jest hamulce tarczowe na wszystkich osiach. Sterowanie hamowaniem następuje poprzez układ komputera pokładowego, który spełnia także funkcje kontroli i diagnostyki. Poszczególne wagony doczepne wyposażone są we własne systemy komputerowe, które są włączone za pomocą światłowodów w układ centralny zespołu trakcyjnego. W celu zapewnienia wysokiego bezpieczeństwa pasażerów na liniach kolejowych z dużymi i powiększonymi prędkościami stosuje się następujące urządzenia torowe: - samoczynne blokady liniowe, - urządzenia przekazywania informacji z toru na pojazd, których zadaniem jest kontrola wartości istotnych cech funkcjonalnych zespołu trakcyjnego np. prędkości jazdy, drogi hamowania, oraz wspomaganie działania maszynisty. 4 - urządzenia sygnalizacji przejazdowej dla przejazdów strzeżonych oraz z sygnalizacją samoczynną Zabezpieczenia linii kolejowej, tzw. elektroniczne systemy przesyłowe nadzorują każdy przejazd zespołu trakcyjnego szybkiego ruchu pasażerskiego. Do systemów tych zaliczyć można []: - PZB (indukcyjne zabezpieczenie pociągów) – punktowe samoczynne oddziaływanie na zespół trakcyjny do prędkości 160 km/h, - LZB – liniowe oddziaływanie na zespół trakcyjny po przekroczeniu 160 km/h. System tych zabezpieczeń, to powiązany siecią przewodów elektronicznych zespół czujników (sensorów). Czujniki rozmieszczone są wzdłuż trasy przejazdu przy szynach i w zespołach trakcyjnych. Ich zadaniem jest kontrola liczby przejeżdżających kół oraz pomiar temperatury poszczególnych osi zespołu trakcyjnego. Czujniki służą do wykrywania zablokowanych osi wagonów doczepnych. Rozmieszczone są one w dużych odległościach między sobą. Niestety nie stosuje się systemu czujników wykrywających uszkodzenia opony takie jak np. pęknięcie obręczy koła. W jednostkach napędowych oraz wagonach doczepnych zespołu trakcyjnego ICE stosowane są typowe rozwiązania konstrukcyjne osi i kół. W celu zmniejszenia drgań w wagonie restauracyjnym zastosowano koła z przekładką gumową i oponą (obręcz stalowa), co zilustrowano na rys 1. Rys. 1. Schemat budowy osi wózka jezdnego i koła z przekładką gumową i oponą. W czasie przejazdu zespołu trakcyjnego na odcinku Hanower-Hamburg nastąpiło pęknięcie opony lewego koła na trzeciej osi wagonu. W wyniku pęknięcia opona uległa zakleszczeniu w ramie wózka jezdnego. Następstwem tych zdarzeń było uszkodzenie przewodów systemów zabezpieczeń (PZB, LZB) przez fragment uszkodzonej opony, w wyniku czego niezadziałały systemy zabezpieczeń oraz układy hamulcowe zespołu trakcyjnego ICE. 5 Wystąpienie pierwotnego zdarzenia niepożądanego (pęknięcie opony) zainicjowało sekwencje zdarzeń niepożądanych, których skutkiem była katastrofa. Po przebyciu przez zespół trakcyjny określonego odcinka drogi od miejsca zajścia zdarzenia inicjującego, nastąpiło zakleszczenie zdeformowanej opony w zwrotnicy. Skutkiem wystąpienia tego zdarzenia było rozerwanie sprzęgu wagonów i ich wykolejenie. Następstwem uderzenia piątego wagonu w podporę wiaduktu było zablokowanie torów pod wiaduktem. Na skutek zablokowania torów kolejne wagony doczepne uderzały w wagony blokujące torowisko. Czwarty wagon zsunął się po nasypie. Trzy pierwsze wagony doczepne, po wykolejeniu, zatrzymały się wzdłuż torów. Przednia jednostka napędowa została wyhamowana po przebyciu kilku kilometrów od miejsca zajścia pierwotnego zdarzenia niepożądanego. Przebieg zdarzeń po zajściu pierwotnego zdarzenia niepożądanego przedstawiono na rys. 2. 6 Rys. 2. Schemat przedstawiający sytuacje przebiegu katastrofy 5. Modelowanie oraz analiza drzewa zdarzeń 7 Zdarzenie inicjujące pierwotne Pęknięcie opony Termicznego (kontrola temp. osi) SD1 Kontroli ilości osi 1 2 3 Zakleszczenia osi SD2 Zdarzenie inicjujące wtórne Niezadziałanie systemu hamulcowego Niezadziałanie systemu diagnostycznego Akustycznego Samoczynnego Niesamoczynnego Bezpieczeństwa Pasażer SD5 SH 1 =f(SD1; SD2; SD3 ) SH2 =f(SD 4 ) SH3 =f(SD5 ) SD3 Maszynista SD4 4 5 6 7 8 9 WypadnięZakleszczenie opony cie pociągu w zwrotnicy z szyn 10 Spadnięcie pociągu z nasypu 11 Wypadek Uderzenie pociągu w wiadukt 12 13 14 tak K nie W3 tak tak nie tak W2 nie tak W1 S1 nie tak K nie W3 tak tak tak tak W2 nie tak nie nie W1 S1 S nie nie tak tak K nie W3 tak tak tak nie W2 nie tak W1 nie nie tak S1 S nie tak K tak tak nie W3 W2 nie tak tak nie nie tak W1 nie S2 S nie tak K tak tak W3 W2 nie tak nie nie nie tak W1 nie S1 S nie tak K tak tak nie tak nie nie nie tak nie nie Rys. 3. Drzewo zdarzeń katastrofy kolejowej. rzeczywista sekwencja zdarzeń możliwe sekwencje zdarzeń hipotetyczne sekwencje zdarzeń S – sekwencja zdarzeń prowadząca do zatrzymanie zespołu trakcyjnego, S1 – sekwencja zdarzeń prowadząca do braku reakcji układów zabezpieczających zespół trakcyjny przed zagrożeniami, jakie stwarza zajście pierwotnego zdarzenia niepożądanego, W3 W2 W1 S1 S 8 W1 – sekwencja zdarzeń prowadząca do zajścia wtórnego zdarzenia inicjującego tj. zakleszczenia opony w zwrotnicy, W2 – sekwencja zdarzeń prowadząca do zajścia wtórnego zdarzenia inicjującego tj. wypadnięcia pociągu z szyn, W3 – sekwencja zdarzeń prowadząca do zajścia wtórnego zdarzenia inicjującego tj. spadnięcia pociągu z nasypu, K – sekwencja zdarzeń prowadząca do katastrofy tj. uderzenia pociągu w wiadukt. Na podstawie przeprowadzonych analiz systemów sterowania i kontroli podczas jazdy pociągu oraz systemów bezpieczeństwa zamodelowano drzewo zdarzeń tej katastrofy. Na podstawie diagramu logicznego przeprowadzono analizę logiczną zarówno hipotetycznych jak i rzeczywistych sekwencji zdarzeń. Dla porównania skutków katastrofy dokonano hipotetycznego porównania różnych sekwencji zdarzeń niepożądanych, mogących wystąpić na skutek zajścia zdarzenia inicjującego. Na rysunku 3 przedstawiono drzewo zdarzeń przebiegu katastrofy kolejowej. Linią dwupunktową zaznaczono hipotetycznie możliwe do zajścia zdarzenia, natomiast linią ciągłą dokładny przebieg zdarzeń. Linią kreskową zaznaczono sekwencje zdarzeń, które zostałyby wywołane przez określone działanie maszynisty bądź pasażera. Jak widać z grafu drzewa zdarzeń dla trzech hipotetycznych przebiegów zdarzeń, czyli w razie zadziałania tylko jednego z trzech systemów hamulcowych SH1, SH2, SH3, może dojść do zatrzymania zespołu trakcyjnego (S). Gdy którykolwiek system diagnostyczny przekaże informacje na temat zajścia uszkodzenia, np. pęknięcia opony, a żaden z trzech systemów hamulcowych nie zadziała, to taka sekwencja zdarzeń prowadzi do zajścia wtórnego zdarzenia niepożądanego. Zespół trakcyjny w przypadku zajścia takiego ciągu zdarzeń nie ulegnie katastrofie. Należy jednak zwrócić uwagę na fakt zagrożenia ludzi (pasażerów, załogi) oraz otoczenia, jakie stwarza uszkodzony zespół trakcyjny poruszający się z dużą prędkością. Konsekwencją takiej sekwencji zdarzeń nie jest katastrofa, lecz może ona wywołać ciąg zdarzeń prowadzący do katastrofy. Natomiast, jeśli ciąg zdarzeń niepożądanych doprowadzi w czasie jazdy zespołu trakcyjnego do niezadziałania żadnego z systemów hamulcowych, to w każdej takiej sytuacji następuje najbardziej niekorzystna sekwencja zdarzeń, prowadząca do katastrofy (K – uderzenie pociągu w wiadukt). Należy zaznaczyć, że w przypadku zajścia korzystniejszych sekwencji zdarzeń dochodzi do zajścia zdarzenia inicjującego wtórnego (W3 – spadnięcia pociągu z nasypu, W2 – wypadnięcia pociągu z szyn, W1 – zakleszczenia opony w zwrotnicy). Każde ze zdarzeń inicjujących wtórnych W1, W2, W3 może wywołać w następstwie zajścia dalszy ciąg niekorzystnych zdarzeń, którego następstwem może być utrata zdrowia i życia ludzi oraz zagrożenie otoczenia. 6. Wnioski 9 Metodę diagramu logicznego - drzewa zdarzeń wykorzystano do wykonania wstępnej - uproszczonej analizy bezpieczeństwa. Polega ona na identyfikacji zdarzeń niepożądanych, których skutkiem są zagrożenia w systemie 〈C-OT-O〉. W metodzie tej stosuje się rozumowanie indukcyjne służące do przełożenia różnych zdarzeń inicjujących na możliwe rezultaty (skutki). Do precyzyjnego określenia wartości ryzyka należy wykorzystać inne metody umożliwiające szczegółową analizę zagrożeń. Analiza bezpieczeństwa z użyciem metody drzew zdarzeń umożliwia ustalenie najbardziej niekorzystnych przebiegów zdarzeń, zapoczątkowanych przez zajście pierwotnego zdarzenia niepożądanego. Należy zwrócić szczególną uwagę na rozwiązania konstrukcyjne elementów jezdnych wagonów i jednostek napędowych oraz urządzeń kontrolujących i zabezpieczających przed skutkami uszkodzeń tych elementów. Konstrukcje kół nośnych, osi oraz wózków jezdnych wagonów są znacznym czynnikiem ryzyka zespołów trakcyjnych ICE drugiej generacji. Ponieważ stosowane do tej pory rozwiązania konstrukcyjne w zespołach trakcyjnych wysokich prędkości ICE nie zapewniały dostatecznie wysokiego bezpieczeństwa czynnego i biernego w nowszych generacjach zastosowano rozwiązania zapewniające wyższe bezpieczeństwo, zarówno czynne jak i bierne. Dotyczy to zarówno jednostek napędowych jak i wagonów doczepnych. Ciągle transport kolejowy przedstawiany jest jako jeden z bardziej bezpiecznych. Stosowane obecnie zabezpieczenia uważa się za wystarczające i stosowanie rozwiązań wykorzystywanych w transporcie lotniczym, uważa się w dalszym ciągu za niepotrzebną inwestycję. Konstruktorzy zespołów trakcyjnych powinni starać się rozwiązać problemy związane z bezpieczeństwem pasażerów np. poprzez zastosowanie pasów bezpieczeństwa oraz zabezpieczeń bagażu. Literatura [1] 1995, Bezpieczeństwo oraz degradacja Maszyn, Pierwsze Konwersatorium, WrocławSzklarska Poręba. [2] Bizoń-Górecka J. 2001, Inżynieria niezawodności i ryzyka w zarządzaniu przedsiębiorstwem, Oficyna Wydawnicza Ośrodka Postępu Organizacyjnego, Bydgoszcz. [3] Dietrich M., 1999, Podstawy konstrukcji maszyn, Tom 1, WNT Warszawa. [4] Jamroż K., Grzegorzek A., 2002, Bezpieczeństwo ruchu w miastach i metody jego poprawy, Transport miejski nr 6/2002. [5] Jaźwiński J., Ważyńska-Fiolk K., 1993, Bezpieczeństwo systemów, PWN, Warszawa. [6] Markowski A., 2000, Ocena ryzyka w zarządzaniu bezpieczeństwem procesów chemicznych, Zagadnienia Eksploatacji Maszyn, Zeszyt 2 (122). [7] PN-IEC 60300-3-9, 1999, Analiza ryzyka w systemach technicznych, Wydawnictwa Normalizacyjne, Warszawa. 10 [8] Radkowski S., 2003, Podstawy bezpiecznej techniki, Oficyna Wydawnicza Politechniki Warszawskiej, Warszawa. [9] Suchodolski S., 1995, Pojęcie i miary bezpieczeństwa w piśmiennictwie światowym, Zagadnienia Eksploatacji Maszyn, Zeszyt 2 (102) Politechnika Warszawska, Wydział Mechaniczny Energetyki i Lotnictwa, Warszawa. [10] Szopa T., 2000, Problematyka bezpieczeństwa. Skrypt PW dla zaocznych studiów inżynierskich, Warszawa. [11] Szopa T., 1990, Metody jakościowych i ilościowych działań na rzecz bezpieczeństwa systemu człowiek-obiekt techniczny, Zagadnienia Eksploatacji Maszyn, Zeszyt 4. [12] Szopa T., 2001, Podstawy analizy ryzyka zawodowego, Politechnika Warszawska.