Аналіз безпеки складних систем за допомогою методів “дерево подій” і “дерево відмов”
Метод “дерево відмов” є найзагальнішим, використовується для подання логіки відмов технічних систем. Це графічна ієрархічна схема, яка за допомогою ребер графа і логічних операторів І, АБО (що означають відповідно добуток і суму подій) пов'язує відмови елементів із відмовою об'єкта.
Відмовами – базисними подіями можуть бути події, пов'язані із виходом з ладу елементів системи, неготовністю устаткування внаслідок технічного обслуговування, випробувань чи інших обставин, помилками персоналу, що можуть тягти за собою небажану подію. “Дерево відмов” – це модель різних паралельних і послідовних поєднань відмов, що призводять до реалізації заздалегідь визначеної негативної події. Метод “дерево відмов” ґрунтується на дедуктивному аналізі відмов, дає змогу визначати небажаний стан системи (виникнення аварії), аналізувати систему з урахуванням умов експлуатації для з'ясування всіх можливих сценаріїв розвитку негативної події. Отже, “дерево відмов” відбиває логічні взаємозв'язки базисних подій, які призводять до негативної події, що знаходиться у вершині дерева. Схеми “дерева відмов” точно визначають логічні комбінації базисних подій, що ведуть до верхньої події. Метод “дерево відмов” детально описаний у розд. 4, тут розглянемо метод “дерево подій”.
Метод “дерево подій”
Послідовність подій (не тільки відмов системи, а й зовнішніх впливів на неї), які призводять до аварії, можна простежити за допомогою “дерева подій”. На відміну від структурних схем і “дерева відмов” “дерево подій” має глибший фізичний зміст. Якщо основною перевагою “дерева відмов” порівняно з блок-схемами є облік причинно-наслідкового зв'язку між відмовами елементів, то “дерево подій” дає картину фізичних процесів, які призводять елементи і систему до критичних станів.
Аналіз “дерева подій” дає змогу відповісти на запитання: які аварійні ситуації можуть виникнути і які ймовірності цих подій? Відповідь можна отримати за допомогою аналізу можливих сценаріїв розвитку аварії. Термін “сценарій” розглядають при цьому як відносну картину можливого розвитку подій, розроблену з метою зосередження уваги на вивченні причинно-наслідкових зв'язків і на тих моментах розвитку небезпечних подій, які потребують прийняття управлінських рішень з метою недопущення їх переростання у надзвичайну ситуацію. Сценарій має давати послідовні відповіді на такі запитання: як саме, крок за кроком, може виникати та чи інша гіпотетична ситуація; які альтернативні розв'язки існують на кожному етапі розвитку подій для того, щоб вплинути на даний процес і вжити превентивних заходів безпеки.
Технологія сценарного аналізу спрямована на розв'язання двох основних проблем:
- • виділення ключових моментів розвитку небезпечної події і розробки на цій основі якісно інших варіантів її динаміки;
- • всебічний аналіз та оцінка кожного з варіантів, вивчення його структурних особливостей і можливих наслідків реалізації.
“Дерево подій” починається з вихідної події, якою є будь-яка, здатна призвести до відмови якої-небудь системи чи компонента. У “дереві подій” вихідні події пов'язані з усіма іншими можливими подіями – гілками, а кожен сценарій є можливим шляхом розвитку аварії, що складається з набору таких розгалужень.
Визначивши усі вихідні події й організувавши їх у логічну послідовність, можна отримати велике число потенційних сценаріїв аварії. За допомогою аналізу “дерева подій” можна визначити шляхи розвитку аварії, які роблять найбільший внесок у ризик через їх високу ймовірність або потенційний збиток.
Метод “дерево подій” дає змогу:
- • описати сценарії аварій з різними наслідками від різних вихідних подій;
- • визначити взаємозв'язок відмов системи з наслідками аварії;
- • скоротити первинний набір потенційних аварій та обмежити його лише логічно значущими аваріями;
- • ідентифікувати верхні події для аналізу відмов.
Приклад “дерева подій”, наведений на рис. 6.4, відповідає гіпотетичній послідовності подій у разі аварії з втратою теплоносія у водоохолодному реакторі АЕС (аварія типу LOCA) [2]. Початковою подією є розрив трубопроводу з імовірністю H0. Наступні події: знаходження системи електропостачання у справному стані з імовірністю і в несправному стані з імовірністю H1; спрацьовування системи аварійного охолодження з імовірністю S2 та її неспрацьовування з імовірністю H2; спрацьовування системи видалення продуктів поділу з імовірністю S3 та її неспрацьовування з імовірністю H3; збереження цілісності захисної оболонки з імовірністю S4 та її порушення з імовірністю H4.
У першому стовпчику справа від рисунка вказано можливість аварії, у другому – ймовірність аварії за певного сценарію роз-
Рис. 6.4. “Дерево подій” у разі аварії на атомній електростанції
Рис. 6.5. “Дерево подій” за виходу з ладу трьох агрегатів, що працюють паралельно
витку подій. У разі розвитку подій по верхній гілці дерева з імовірністю 
(за припущення незалежності вихідних подій) очікуються дуже невеликі радіоактивні викиди, в разі розвитку по нижніх гілках – великі й дуже великі викиди.
На рис. 6.5 наведено ще один приклад “дерева подій” для трьох паралельно працюючих агрегатів: 
означає відмову i-го агрегату, Ai – його робочий стан; ймовірність відмови упродовж часу, що розглядається, однакова для кожного агрегату:
[6].
Початковим пунктом “дерева подій” є круг, який у загальному вигляді представляє стан системи. Із цього вузла гілки ведуть до вузлів, які зображають стан першого агрегату (згідно із заданими ймовірностями), і так далі від кожного з цих вузлів до наступних, де зазначено стани другого і третього агрегатів. Цю операцію повторюють доти, доки на виході не отримають усі можливі комбінації подій. У прямокутниках справа від кінцевих вузлів записано результуючі ймовірності для стану системи, отримані множенням імовірностей станів окремих вузлів кожного з агрегатів [7].
“Дерева подій” бувають функціональними або системними. Функціональні “дерева подій”– це такі, в яких проміжними подіями є успішне чи неуспішне виконання функцій безпеки, необхідних для забезпечення проектного перебігу аварій або зменшення аварійних наслідків.
Системні “дерева подій”– це такі, в яких проміжними подіями є успішне функціонування або відмова систем, їхніх окремих каналів, структурних частин, компонентів і (або) помилкові дії персоналу, які можуть вплинути на виконання розглянутих функцій безпеки. На рис. 6.6 наведено приклад системного “дерева подій” для аварії зі знеструмленням АЕС (вихідна подія – LOSP – Loss of Site Power) з реактором ВВЕР-1000 [8]. Тут проміжні події визначаються спрацьовуванням систем, які беруть участь у роботі під час аварії зі знеструмлення АЕС (див. позначення до рис. 6.6).
У розглянутому прикладі в 10 випадках із 14 перебіг аварії призводить до пошкодження активної зони – CD. Істотними для безпеки є майже всі визначені для цієї вихідної події функції системи.
Проблема, що виникає за такого моделювання – це визначення рівня детальності, на якому припиняється моделювання послідовності подій і починається моделювання систем. Вона виявляється у двох основних тенденціях:
- 1) так званий підхід “малі дерева подій – великі дерева відмов”, за якого залежності між основними і допоміжними системами не відбиваються у “деревах подій”;
- 2) так званий підхід “великі дерева подій – малі дерева відмов”, за якого залежності між основними і допоміжними системами висвітлені у “деревах подій”.
Складність “дерев подій” швидко зростає зі збільшенням числа відображуваних допоміжних систем і їхніх станів, що явно відбиваються у “деревах подій”. У разі проведення аналізу й моде-
Рис. 6.6. Приклад системного “дерева подій” за аварії зі знеструмленням атомної електростанції. Позначення проміжних подій:
|
А |
Аварійна зупинка РУ–АЗ |
|
W |
Подача аварійного електропостачання від ДГ на секції ВХ, BV, BW |
|
C1 |
Уведення бору в перший контур |
|
E2 |
Компенсація підвищення тиску після закриття СКТГ (відкриття БРУ-А на вимогу) |
|
E2 |
Закриття БРУ-А |
|
FI |
Компенсація підвищення тиску після закриття СКТГ за неспрацювання БРУ-А (відкриття ПКПГ) |
|
F2 |
Закриття ПКПГ |
|
V |
Підживлення 1-го контуру під час розхолоджування РУ |
|
C3 |
Розхолоджування РУ через 2-й контур за успішної роботи БРУ-А |
|
C4 |
Розхолоджування РУ через 2-й контур за успішної роботи ПКПГ |
лювання треба точно визначати межі систем, які мають відповідати наявній на об'єкті документації (схеми, креслення, технічні описи) і класифікації систем безпеки.
Під час побудови “дерева подій” та “дерева відмов” можна скористатись пакетами прикладних програм, такими як IRRAS, SAPFIR, RISK SPECTRUM та ін.
Отже, моделювання функцій безпеки для технічних систем – це моделювання “дерева подій” та “дерева відмов” для систем, які виконують необхідні функції безпеки стосовно кожної вихідної
події аварії з обраних у межах розглянутих експлуатаційних станів. Метою такої роботи є визначення для кожної системи множини відмов та їхніх наслідків, комплексна оцінка ймовірностей невиконання заданих функцій безпеки і визначення сумарної частоти виникнення вихідних подій аварії внаслідок відмов елементів системи.
