Zastosowanie drzewa zdarzeń do analizy zagrożeń w systemie

Zastosowanie drzewa zdarzeń do analizy zagrożeń w systemie

Maciej WOROPAY, Piotr BOJAR, Andrzej WDZIĘCZNY
Katedra Eksploatacji Maszyn
Akademia Techniczno-Rolnicza w Bydgoszczy
ul. Kaliskiego 7, email: [email protected]
Zastosowanie drzewa zdarzeń do analizy zagrożeń
w systemie Człowiek-Obiekt Techniczny-Otoczenie
1. Wprowadzenie
Jednym z najważniejszych etapów działań na rzecz poprawy bezpieczeństwa systemu
socjotechnicznego rozumianego jako system 〈Człowiek-Obiekt Techniczny-Otoczenie〉 jest
analiza bezpieczeństwa tego systemu w procesie użytkowania. Z analizą bezpieczeństwa
związane jest pojęcie ryzyka. Ryzyko w pracy zdefiniowano jako warunkową możliwość powstania straty w wyniku wystąpienia pojedynczego zdarzenia niepożądanego. Przeprowadzenie analizy bezpieczeństwa daje podstawy do podjęcia racjonalnych decyzji i działań dotyczących poprawy bezpieczeństwa w rozważanym systemie 〈C-OT-O〉 i do wyboru optymalnych
metod zmniejszenia wartości ryzyka. Może być ona przeprowadzona za pomocą metod jakościowych lub metod ilościowych. Znacznie lepiej opracowane i częściej stosowane do analizy
bezpieczeństwa są metody jakościowe. Do metod tych należą m.in. metody: matrycowe, list
kontrolnych, CO-JEŚLI, HAZOP (ang. Hazard And Operability Studies), FMEA (ang. Failure
Mode And Effect Analysis) MORT (ang. Management Oversight Risk Tree) i inne [3, 7, 11,
12].
Metody ilościowe umożliwiają wykonanie racjonalnych analiz, porównań i działań
zmierzających do poprawy bezpieczeństwa. Metody ilościowe to zwykle metody probabilistyczne. Stopień komplikacji tych metod zależy od stopnia szczegółowości odwzorowania w
modelu przyjętego do analizy ryzyka złożonego systemu oraz od jego złożoności. Do metod
ilościowych zalicza się metody: statystyczne, PRA (ang. Probabilistic Risk Assessment) oraz
PSA (ang. Probabilistic Safety Assessment). Metody ilościowe są trudniejsze w stosowaniu i
wymagają znacznie większej ilości informacji wejściowych [3, 7].
Osiągane cele poprzez realizację analiz bezpieczeństwa różnymi metodami są zbliżone. Różnice występują jedynie w przyjętych procedurach, które wynikają z przekroczenia
wartości cech obiektu technicznego poza dopuszczalne granice. Powstałe na wskutek tych
przekroczeń uszkodzenia podsystemów (elementów) obiektu technicznego są w przypadku
elementów krytycznych i istotnych głównym źródłem zagrożeń [3, 7, 12].
Bardzo wygodnym i zalecanym przez specjalistów narzędziem modelowania ryzyka
jest metoda drzewa zdarzeń. Dalsza część pracy dotyczy wykorzystania tej metody do przeprowadzenia analizy bezpieczeństwa wybranego systemu socjotechnicznego.
2
Metoda drzew zdarzeń, zastosowana do jakościowej analizy zagrożenia umożliwia
szczegółowe rozpatrzenie przyczyn wystąpienia pierwotnego zdarzenia niepożądanego oraz
scenariuszy przebiegu zdarzeń (np. wypadku, katastrofy) po ich wystąpieniu. Stosowana jest
ona, gdy pojawiają się trudności związane z szacowaniem zagrożeń w przypadku zajścia
pierwotnych zdarzeń niepożądanych.
W pracy wyróżnia się następujące typy zdarzeń niepożądanych: pierwotne oraz wtórne. W artykule pierwotne zdarzenie niepożądane określono jako uszkodzenie obiektu technicznego nie spowodowane bezpośrednio lub pośrednio przez uszkodzenie lub niezdatność
innego obiektu technicznego. Natomiast zdarzenie wtórne to takie, które jest następstwem
wystąpienia zdarzenia pierwotnego. Przykładem takiej sekwencji zdarzeń jest uszkodzenie
(przebicie) opony pojazdu samochodowego, którego następstwem jest kolizja obiektu technicznego z przeszkodą.
Wyniki jakościowej analizy bezpieczeństwa przy użyciu metody drzewa zdarzeń, pozwalają na [7]:
- szczegółową analizę sekwencji zdarzeń,
-
-
rozpatrzenie scenariuszy przebiegu możliwych sekwencji zdarzeń po wystąpieniu
pierwotnego zdarzenia inicjującego, oraz wskazanie najbardziej niebezpiecznych z
nich,
uzyskanie informacji o najważniejszych elementach (krytycznych), których uszkodzenie wywołuje zagrożenie systemu 〈C-OT-O〉.
racjonalne oszacowanie poziomu zagrożeń, wywołanych przez wystąpienie pierwotnego zdarzenia niepożądanego,
wyznaczenie możliwości minimalizowania zagrożeń np. przez przeciwdziałanie
zajściu najbardziej niebezpiecznych sekwencji zdarzeń, prowadzących do wypadku lub katastrofy.
Najkorzystniejszą metodą przedstawienia chronologicznego sekwencji zdarzeń, istotnych ze względu na funkcjonowanie obiektu technicznego, występujących po wystąpieniu
zdarzenia niepożądanego, jest metoda diagramu logicznego drzewa zdarzeń. W opracowaniu
poddano analizie katastrofę kolejową w systemie transportu kolejowego stosując do tego metodę drzew zdarzeń.
Metoda drzew zdarzeń pozwala na bardziej szczegółowe, niż w wielu innych jakościowych metodach analizy ryzyka, rozpatrzenie możliwych przyczyn i skutków zajścia rozważanego zdarzenia niepożądanego i w efekcie dokładne oszacowanie wartości ryzyka związanego z tym zdarzeniem.
Zdarzenie pierwotne w drzewie zdarzeń może być przyczyną wystąpienia sekwencji
wtórnych zdarzeń niepożądanych, z których każde, kolejne zwiększa zagrożenie systemu 〈COT-O〉.
3
Na tej podstawie jako przykład analizy sekwencji zdarzeń, które wystąpiły po zajściu
uszkodzenia pierwotnego wybrano do analizy bezpieczeństwa metodę drzewa zdarzeń.
2. Cel opracowania
Celem opracowania jest ocena zagrożeń występujących w systemie 〈Człowiek-Obiekt
Techniczny-Otoczenie〉, na podstawie analizy i oceny niebezpiecznych sekwencji zdarzeń.
3. Obiekt i przedmiot badań
Obiektem badań są zdarzenia niepożądane zachodzące w systemie 〈Człowiek-Obiekt
Techniczny-Otoczenie〉. Skutkiem wystąpienie zdarzenia niepożądanego są zagrożenia, natomiast przedmiotem badań są relacje zachodzące między zdarzeniami tworzącymi sekwencje
zdarzeń. Jako ilustrację rozważań wybrano katastrofę kolejową będącą następstwem zajścia
pierwotnego zdarzenia niepożądanego (uszkodzenie elementu jezdnego).
4. Analiza ciągów zdarzeń dotyczących katastrofy zespołu trakcyjnego
Zespół trakcyjny ICE składa się z dwóch członów napędnych i 12÷14 członów doczepnych I i II klasy oraz wagonu restauracyjnego. Zarówno człony napędne jak i wagony
doczepne wyposażone są w dwa wózki dwuosiowe. Wagony doczepne połączone są ze sobą
sprzęgami samoczynnymi.
Układ hamowania zespołu trakcyjnego stanowią: dynamiczny hamulec elektryczny
tzw. odzyskowy, hamulec elektropneumatyczno tarczowy oraz szynowy hamulec magnetyczny. Ze względu na sposób uruchamiania, wyróżnić można następujące rodzaje hamulców:
samoczynny, niesamoczynny oraz bezpieczeństwa. Pociąg zespołowy ICE 884 wyposażony
jest hamulce tarczowe na wszystkich osiach.
Sterowanie hamowaniem następuje poprzez układ komputera pokładowego, który
spełnia także funkcje kontroli i diagnostyki. Poszczególne wagony doczepne wyposażone są
we własne systemy komputerowe, które są włączone za pomocą światłowodów w układ centralny zespołu trakcyjnego.
W celu zapewnienia wysokiego bezpieczeństwa pasażerów na liniach kolejowych z
dużymi i powiększonymi prędkościami stosuje się następujące urządzenia torowe:
- samoczynne blokady liniowe,
- urządzenia przekazywania informacji z toru na pojazd, których zadaniem jest kontrola wartości istotnych cech funkcjonalnych zespołu trakcyjnego np. prędkości
jazdy, drogi hamowania, oraz wspomaganie działania maszynisty.
4
-
urządzenia sygnalizacji przejazdowej dla przejazdów strzeżonych oraz z sygnalizacją samoczynną
Zabezpieczenia linii kolejowej, tzw. elektroniczne systemy przesyłowe nadzorują każdy przejazd zespołu trakcyjnego szybkiego ruchu pasażerskiego. Do systemów tych zaliczyć
można []:
-
PZB (indukcyjne zabezpieczenie pociągów) – punktowe samoczynne oddziaływanie na zespół trakcyjny do prędkości 160 km/h,
- LZB – liniowe oddziaływanie na zespół trakcyjny po przekroczeniu 160 km/h.
System tych zabezpieczeń, to powiązany siecią przewodów elektronicznych zespół
czujników (sensorów). Czujniki rozmieszczone są wzdłuż trasy przejazdu przy szynach i w
zespołach trakcyjnych. Ich zadaniem jest kontrola liczby przejeżdżających kół oraz pomiar
temperatury poszczególnych osi zespołu trakcyjnego. Czujniki służą do wykrywania zablokowanych osi wagonów doczepnych. Rozmieszczone są one w dużych odległościach między
sobą. Niestety nie stosuje się systemu czujników wykrywających uszkodzenia opony takie jak
np. pęknięcie obręczy koła.
W jednostkach napędowych oraz wagonach doczepnych zespołu trakcyjnego ICE stosowane są typowe rozwiązania konstrukcyjne osi i kół. W celu zmniejszenia drgań w wagonie
restauracyjnym zastosowano koła z przekładką gumową i oponą (obręcz stalowa), co zilustrowano na rys 1.
Rys. 1. Schemat budowy osi wózka jezdnego i koła z przekładką gumową i oponą.
W czasie przejazdu zespołu trakcyjnego na odcinku Hanower-Hamburg nastąpiło pęknięcie opony lewego koła na trzeciej osi wagonu. W wyniku pęknięcia opona uległa zakleszczeniu w ramie wózka jezdnego. Następstwem tych zdarzeń było uszkodzenie przewodów
systemów zabezpieczeń (PZB, LZB) przez fragment uszkodzonej opony, w wyniku czego
niezadziałały systemy zabezpieczeń oraz układy hamulcowe zespołu trakcyjnego ICE.
5
Wystąpienie pierwotnego zdarzenia niepożądanego (pęknięcie opony) zainicjowało
sekwencje zdarzeń niepożądanych, których skutkiem była katastrofa. Po przebyciu przez zespół trakcyjny określonego odcinka drogi od miejsca zajścia zdarzenia inicjującego, nastąpiło
zakleszczenie zdeformowanej opony w zwrotnicy. Skutkiem wystąpienia tego zdarzenia było
rozerwanie sprzęgu wagonów i ich wykolejenie. Następstwem uderzenia piątego wagonu w
podporę wiaduktu było zablokowanie torów pod wiaduktem. Na skutek zablokowania torów
kolejne wagony doczepne uderzały w wagony blokujące torowisko. Czwarty wagon zsunął
się po nasypie. Trzy pierwsze wagony doczepne, po wykolejeniu, zatrzymały się wzdłuż torów. Przednia jednostka napędowa została wyhamowana po przebyciu kilku kilometrów od
miejsca zajścia pierwotnego zdarzenia niepożądanego.
Przebieg zdarzeń po zajściu pierwotnego zdarzenia niepożądanego przedstawiono na
rys. 2.
6
Rys. 2. Schemat przedstawiający sytuacje przebiegu katastrofy
5. Modelowanie oraz analiza drzewa zdarzeń
7
Zdarzenie
inicjujące
pierwotne
Pęknięcie
opony
Termicznego
(kontrola
temp. osi)
SD1
Kontroli
ilości osi
1
2
3
Zakleszczenia osi
SD2
Zdarzenie inicjujące wtórne
Niezadziałanie systemu hamulcowego
Niezadziałanie systemu diagnostycznego
Akustycznego
Samoczynnego
Niesamoczynnego Bezpieczeństwa
Pasażer
SD5
SH 1 =f(SD1; SD2; SD3 )
SH2 =f(SD 4 )
SH3 =f(SD5 )
SD3
Maszynista
SD4
4
5
6
7
8
9
WypadnięZakleszczenie opony cie pociągu
w zwrotnicy z szyn
10
Spadnięcie
pociągu
z nasypu
11
Wypadek
Uderzenie
pociągu
w wiadukt
12
13
14
tak
K
nie
W3
tak
tak
nie
tak
W2
nie
tak
W1
S1
nie
tak
K
nie
W3
tak
tak
tak
tak
W2
nie
tak
nie
nie
W1
S1
S
nie
nie
tak
tak
K
nie
W3
tak
tak
tak
nie
W2
nie
tak
W1
nie
nie
tak
S1
S
nie
tak
K
tak
tak
nie
W3
W2
nie
tak
tak
nie
nie
tak
W1
nie
S2
S
nie
tak
K
tak
tak
W3
W2
nie
tak
nie
nie
nie
tak
W1
nie
S1
S
nie
tak
K
tak
tak
nie
tak
nie
nie
nie
tak
nie
nie
Rys. 3. Drzewo zdarzeń katastrofy kolejowej.
rzeczywista sekwencja zdarzeń
możliwe sekwencje zdarzeń
hipotetyczne sekwencje zdarzeń
S – sekwencja zdarzeń prowadząca do zatrzymanie zespołu trakcyjnego,
S1 – sekwencja zdarzeń prowadząca do braku reakcji układów zabezpieczających zespół trakcyjny przed zagrożeniami, jakie stwarza zajście pierwotnego zdarzenia niepożądanego,
W3
W2
W1
S1
S
8
W1 – sekwencja zdarzeń prowadząca do zajścia wtórnego zdarzenia inicjującego tj. zakleszczenia opony w zwrotnicy,
W2 – sekwencja zdarzeń prowadząca do zajścia wtórnego zdarzenia inicjującego tj. wypadnięcia pociągu z szyn,
W3 – sekwencja zdarzeń prowadząca do zajścia wtórnego zdarzenia inicjującego tj. spadnięcia pociągu z nasypu,
K – sekwencja zdarzeń prowadząca do katastrofy tj. uderzenia pociągu w wiadukt.
Na podstawie przeprowadzonych analiz systemów sterowania i kontroli podczas jazdy
pociągu oraz systemów bezpieczeństwa zamodelowano drzewo zdarzeń tej katastrofy. Na
podstawie diagramu logicznego przeprowadzono analizę logiczną zarówno hipotetycznych
jak i rzeczywistych sekwencji zdarzeń. Dla porównania skutków katastrofy dokonano hipotetycznego porównania różnych sekwencji zdarzeń niepożądanych, mogących wystąpić na skutek zajścia zdarzenia inicjującego.
Na rysunku 3 przedstawiono drzewo zdarzeń przebiegu katastrofy kolejowej. Linią
dwupunktową zaznaczono hipotetycznie możliwe do zajścia zdarzenia, natomiast linią ciągłą
dokładny przebieg zdarzeń. Linią kreskową zaznaczono sekwencje zdarzeń, które zostałyby
wywołane przez określone działanie maszynisty bądź pasażera.
Jak widać z grafu drzewa zdarzeń dla trzech hipotetycznych przebiegów zdarzeń, czyli w razie zadziałania tylko jednego z trzech systemów hamulcowych SH1, SH2, SH3, może
dojść do zatrzymania zespołu trakcyjnego (S). Gdy którykolwiek system diagnostyczny przekaże informacje na temat zajścia uszkodzenia, np. pęknięcia opony, a żaden z trzech systemów hamulcowych nie zadziała, to taka sekwencja zdarzeń prowadzi do zajścia wtórnego
zdarzenia niepożądanego. Zespół trakcyjny w przypadku zajścia takiego ciągu zdarzeń nie
ulegnie katastrofie. Należy jednak zwrócić uwagę na fakt zagrożenia ludzi (pasażerów, załogi) oraz otoczenia, jakie stwarza uszkodzony zespół trakcyjny poruszający się z dużą prędkością. Konsekwencją takiej sekwencji zdarzeń nie jest katastrofa, lecz może ona wywołać ciąg
zdarzeń prowadzący do katastrofy.
Natomiast, jeśli ciąg zdarzeń niepożądanych doprowadzi w czasie jazdy zespołu trakcyjnego do niezadziałania żadnego z systemów hamulcowych, to w każdej takiej sytuacji następuje najbardziej niekorzystna sekwencja zdarzeń, prowadząca do katastrofy (K – uderzenie
pociągu w wiadukt). Należy zaznaczyć, że w przypadku zajścia korzystniejszych sekwencji
zdarzeń dochodzi do zajścia zdarzenia inicjującego wtórnego (W3 – spadnięcia pociągu z
nasypu, W2 – wypadnięcia pociągu z szyn, W1 – zakleszczenia opony w zwrotnicy). Każde
ze zdarzeń inicjujących wtórnych W1, W2, W3 może wywołać w następstwie zajścia dalszy
ciąg niekorzystnych zdarzeń, którego następstwem może być utrata zdrowia i życia ludzi oraz
zagrożenie otoczenia.
6. Wnioski
9
Metodę diagramu logicznego - drzewa zdarzeń wykorzystano do wykonania wstępnej
- uproszczonej analizy bezpieczeństwa. Polega ona na identyfikacji zdarzeń niepożądanych,
których skutkiem są zagrożenia w systemie 〈C-OT-O〉. W metodzie tej stosuje się rozumowanie
indukcyjne służące do przełożenia różnych zdarzeń inicjujących na możliwe rezultaty (skutki).
Do precyzyjnego określenia wartości ryzyka należy wykorzystać inne metody umożliwiające szczegółową analizę zagrożeń.
Analiza bezpieczeństwa z użyciem metody drzew zdarzeń umożliwia ustalenie najbardziej niekorzystnych przebiegów zdarzeń, zapoczątkowanych przez zajście pierwotnego zdarzenia niepożądanego.
Należy zwrócić szczególną uwagę na rozwiązania konstrukcyjne elementów jezdnych
wagonów i jednostek napędowych oraz urządzeń kontrolujących i zabezpieczających przed
skutkami uszkodzeń tych elementów. Konstrukcje kół nośnych, osi oraz wózków jezdnych
wagonów są znacznym czynnikiem ryzyka zespołów trakcyjnych ICE drugiej generacji.
Ponieważ stosowane do tej pory rozwiązania konstrukcyjne w zespołach trakcyjnych
wysokich prędkości ICE nie zapewniały dostatecznie wysokiego bezpieczeństwa czynnego i
biernego w nowszych generacjach zastosowano rozwiązania zapewniające wyższe bezpieczeństwo, zarówno czynne jak i bierne. Dotyczy to zarówno jednostek napędowych jak i wagonów doczepnych.
Ciągle transport kolejowy przedstawiany jest jako jeden z bardziej bezpiecznych. Stosowane obecnie zabezpieczenia uważa się za wystarczające i stosowanie rozwiązań wykorzystywanych w transporcie lotniczym, uważa się w dalszym ciągu za niepotrzebną inwestycję.
Konstruktorzy zespołów trakcyjnych powinni starać się rozwiązać problemy związane z bezpieczeństwem pasażerów np. poprzez zastosowanie pasów bezpieczeństwa oraz zabezpieczeń
bagażu.
Literatura
[1] 1995, Bezpieczeństwo oraz degradacja Maszyn, Pierwsze Konwersatorium, WrocławSzklarska Poręba.
[2] Bizoń-Górecka J. 2001, Inżynieria niezawodności i ryzyka w zarządzaniu przedsiębiorstwem, Oficyna Wydawnicza Ośrodka Postępu Organizacyjnego, Bydgoszcz.
[3] Dietrich M., 1999, Podstawy konstrukcji maszyn, Tom 1, WNT Warszawa.
[4] Jamroż K., Grzegorzek A., 2002, Bezpieczeństwo ruchu w miastach i metody jego poprawy, Transport miejski nr 6/2002.
[5] Jaźwiński J., Ważyńska-Fiolk K., 1993, Bezpieczeństwo systemów, PWN, Warszawa.
[6] Markowski A., 2000, Ocena ryzyka w zarządzaniu bezpieczeństwem procesów chemicznych, Zagadnienia Eksploatacji Maszyn, Zeszyt 2 (122).
[7] PN-IEC 60300-3-9, 1999, Analiza ryzyka w systemach technicznych, Wydawnictwa
Normalizacyjne, Warszawa.
10
[8] Radkowski S., 2003, Podstawy bezpiecznej techniki, Oficyna Wydawnicza Politechniki
Warszawskiej, Warszawa.
[9] Suchodolski S., 1995, Pojęcie i miary bezpieczeństwa w piśmiennictwie światowym, Zagadnienia Eksploatacji Maszyn, Zeszyt 2 (102) Politechnika Warszawska, Wydział Mechaniczny Energetyki i Lotnictwa, Warszawa.
[10] Szopa T., 2000, Problematyka bezpieczeństwa. Skrypt PW dla zaocznych studiów inżynierskich, Warszawa.
[11] Szopa T., 1990, Metody jakościowych i ilościowych działań na rzecz bezpieczeństwa
systemu człowiek-obiekt techniczny, Zagadnienia Eksploatacji Maszyn, Zeszyt 4.
[12] Szopa T., 2001, Podstawy analizy ryzyka zawodowego, Politechnika Warszawska.