Studia Podyplomowe
Podstaw Energetyki J
ą
drowej
Przedmiot:
Bezpiecze
ń
stwo elektrowni j
ą
drowych
Wykład 1:
Wprowadzenie do niezawodno
ś
ci i bezpiecze
ń
stwa
elektrowni j
ą
drowych
Politechnika Gdańska
Wydział Elektrotechniki i Automatyki
Kazimierz Kosmowski
k.kosmowski@ely.pg.gda.pl, Katedra Automatyki
WEiA PG, Gdańsk,
21.01.
201
2
Polskie Towarzystwo Bezpiecze
ń
stwa i Niezawodno
ś
ci (PTBN)
Prezes: Prof. Krzysztof Kołowrocki
http://www.ptbn.pl/
Współpraca mi
ę
dzynarodowa:
European Safety and Reliability Association (ESRA)
http://www.esrahomepage.org/
Współpraca w zakresie normalizacji i szkolenia:
Polski Komitet Normalizacyjny (PKN)
Komitet Techniczny 50 ds. Automatyki i Robotyki Przemysłowej
Przewodnicz
ą
cy: Prof. Tadeusz Missala
Urz
ą
d Dozoru Technicznego (UDT-CERT)
Komitet programowy nr 8
Certyfikacja osób odpowiedzialnych za bezpiecze
ń
stwo funkcjonalne
CSBF i CEBF
Współpraca merytoryczna i organizacyjna
w działalno
ś
ci badawczej i szkoleniowej
Wykład 1: 21.01.2012
Wprowadzenie do niezawodno
ś
ci i bezpiecze
ń
stwa elektrowni j
ą
drowych (2h)
Kazimierz Kosmowski
Wykład 2: 22.01.2012
Podstawy zapewnienia bezpiecze
ń
stwa elektrowni j
ą
drowych (2h)
Władysław Kiełbasa
Wykład 3: 04.02.2012
Wybrane zagadnienia bezpiecze
ń
stwa elektrowni j
ą
drowych (2h)
Kazimierz Kosmowski
Wykład 4: 18.02.2012
Niezawodno
ść
i modelowanie probabilistyczne obiektów i systemów
z uwzgl
ę
dnieniem czynników ludzkich (2h)
Kazimierz Kosmowski
Wykład 5: 03.03.2012
Charakterystyka, przebieg i skutki wybranych awarii w elektrowniach j
ą
drowych (2h)
Władysław Kiełbasa
Program przedmiotu
–
10 wykładów x 2 godz. = 20 godz.
W1- 3
Wykład 6: 17.03.2012
Metody i narz
ę
dzia komputerowe analizy niezawodno
ś
ci i modelowania
probabilistycznego obiektów i systemów (2h)
Marcin
Ś
liwi
ń
ski
Wykład 7: 31.03.2012
Zarz
ą
dzanie niezawodno
ś
ci
ą
, bezpiecze
ń
stwem (safety) i ochron
ą
(security)
w elektrowniach j
ą
drowych w cyklu
ż
ycia (2h)
Kazimierz Kosmowski
Wykład 8: 14.04.2012
Awaria w Elektrowni J
ą
drowej Fukushima (2h)
Władysław Kiełbasa
Wykład 9: 21.04.2012
Bezpiecze
ń
stwo elektrowni j
ą
drowych z reaktorami lekko-wodnymi III generacji (2h)
Władysław Kiełbasa
Wykład 10: 12.05.2012
Kultura bezpiecze
ń
stwa i jej kształtowanie (1h); Test wiedzy (1h)
Kazimierz Kosmowski
Program przedmiotu (c.d.)
W1- 4
•
Problemy zarz
ą
dzania niezawodno
ś
ci
ą
i ryzykiem w instalacjach
przemysłowych
•
Podsystemy warunkuj
ą
ce niezawodno
ść
i bezpiecze
ń
stwo
•
Koncepcja bezpiecze
ń
stwa funkcjonalnego
•
Normy i wymagania dotycz
ą
ce programowalnych systemów
zabezpiecze
ń
•
Wa
ż
niejsze poj
ę
cia i definicje
•
Ryzyko indywidualne i ryzyko grupowe/społeczne
•
Zasada ALARP / ALARA
•
Matryca ryzyka - zmniejszanie ryzyka za pomoc
ą
rozwi
ą
za
ń
bezpiecze
ń
stwa funkcjonalnego
•
Rodzaje zachowa
ń
i bł
ę
dy człowieka
•
Czynniki ludzkie, analiza niezawodno
ś
ci człowieka (HRA)
Zakres wykładu1
W1- 5
6
Obiekty techniczne / instalacje przemysłowe
Zarz
ą
dzanie niezawodno
ś
ci
ą
i ryzykiem
Rynek
Inwestycje
Ryzyko
Produkcja
Sprzeda
ż
Zysk
Eksploatacja
Zagro
ż
enia
Zawodno
ść
Odstawienia
Awarie
Straty / szkody
Ocena ryzyka
Ryzyko strat:
• ludzkich
• maj
ą
tkowych
•
ś
rodowiskowych
Systemy zarz
ą
dzania w obiekcie przemysłowym
podwy
ż
szonego ryzyka
Zarz
ą
dzanie bezpiecze
ń
stwem w cyklu
ż
ycia: analiza zagro
ż
e
ń
, identyfikacja scenariuszy
awaryjnych, kryteria, ocena ryzyka, ocena opcji sterowania ryzykiem, implementacja opcji.
System zarządzania
przedsiębiorstwem
Zautomatyzowana
instalacja procesowa
Surowce,
półprodukty
Media
Energia
Produkcja -
koszty C
Obciążenie
środowiska
Potencjalne
straty*
Zakłócenia
Zagrożenia
System zarządzania
jakością
System zarządzania
środowiskowego
System zarządzania
bezpieczeństwem
technicznym i pracy
Cele
Kryteria
Ocena ryzyka dla celów
ubezpieczeń
System zarządzania
bezpieczeństwem
informacji
* straty: zdrowotne, środowiskowe lub ekonomiczne
robocze
w różnej formie
Ryzyko R
Informacja
W1- 7
Systemy zarz
ą
dzania i przykładowe normy dotycz
ą
ce
jako
ś
ci, ochrony
ś
rodowiska i bezpiecze
ń
stwa
Systemy zarz
ą
dzania bezpiecze
ń
stwem informacji i normy zwi
ą
zane:
PN-ISO/IEC 27001:2007
ISO/IEC 17799:2005
ISO/IEC 15408:2005
ISO/IEC 13335:2004
Systemy zarz
ą
dzania jako
ś
ci
ą
PN-EN ISO 9001:2001/ 2008
Systemy zarz
ą
dzania
ś
rodowiskowego
PN-EN ISO 14001:2005
Systemy zarz
ą
dzania bezpiecze
ń
stwem technicznym oraz
bezpiecze
ń
stwem (i higien
ą
) pracy:
PN-EN 61508:2004
PN-EN 61511:2005 – przemysł procesowy
i inne normy sektorowe
PN-N 18001:2004, PN-EN 18002:2000
– systemy zarz
ą
dzania
bezpiecze
ń
stwem (i higien
ą
) pracy.
Potrzeba integrowania systemów zarz
ą
dzania.
W1- 8
Systemy warunkuj
ą
ce niezawodno
ść
i bezpiecze
ń
stwo
obiektu przemysłowego podwy
ż
szonego ryzyka
4. Systemy
sterowania
7. Systemy automatyki
zabezpieczeniowej
6. Sterownia - nadzór operatorski
i systemy wspomagania decyzji
1. Instalacja procesowa
8. Obiekty współpracujące,
infrastruktura i środowisko
2. Systemy pomocnicze
i systemy zabezpieczeń
3. Systemy
pomiarowe
5.Systemy monitorowania,
diagnostyki i alarmów
10. Wypracowanie strategii eksploatacji w ramach SZP
(jakość produkcji, niezawodność i bezpieczeństwo)
9. Systemy
rejestracji danych
eksploatacyjnych
i środowiskowych
oraz zakłóceń
wewnętrznych
i zewnętrznych
11. Realizacja
strategii w ramach
SZP
12. Nadzór
techniczny
i administracyjny
zarządzania
14. Telekomunikacja i sieć
komputerowa
13. Systemy kontroli dostępu,
ochrona i zabezpieczenia
SZP – System zarz
ą
dzania przedsi
ę
biorstwem
W1- 9
Bezpiecze
ń
stwo funkcjonalne systemów elektrycznych /
elektronicznych / programowalnych elektronicznych zwi
ą
zanych
z bezpiecze
ń
stwem
W skrócie -
systemy E/E/PE
lub
E/E/PES
Cz
ęś
ci normy:
1 Wymagania ogólne
2 Wymagania dotycz
ą
ce systemów E/E/PE zwi
ą
zanych
z bezpiecze
ń
stwem
3 Wymagania dotycz
ą
ce oprogramowania
4 Definicje i skrótowce
5 Przykłady metod okre
ś
lania poziomów nienaruszalno
ś
ci
bezpiecze
ń
stwa
6 Wytyczne do stosowania PN-EN 61508-2 i PN-EN 61508-3
7 Przegl
ą
d technik i miar (w j. angielskim: PN-EN 61508-7(U):2000)
(Cało
ść
ok. 450 stron)
Podstawowa norma bezpiecze
ń
stwa funkcjonalnego:
IEC 61508:1999 / EN 61508:2001 / PN-EN 61508:2004
W1- 10
HSE-PES (1987)
Programmable Electronic Systems in Safety Applications,
U.K. Health & Safety Executive.
AIChE-CCPS (1993)
Guidelines for Safe Automation of Chemical
Processes, American Institute of Chemical Engineers, Center for
Chemical Process Safety.
DIN V 19250 (1994)
Grundlegende Sicherheitsbetrachtungen für MSR-
Schutzeinrichtungen. Berlin.
ANSI/ISA-84.01-1996
Application of Safety Instrumented Systems for the
Process Industries.
IEC 61508:1998
Functional safety of electrical / electronic / programmable
electronic safety-related systems.
IEC 61511-1:2003
Functional safety - safety instrumented systems for the
process industry sector.
IEC 61513:2001 Nuclear power plants – Instrumentation and control for
systems important to safety – General requirements for systems.
Przykładowe normy dotycz
ą
ce programowalnych
systemów sterowania i zabezpiecze
ń
do zastosowa
ń
w obiektach podwy
ż
szonego ryzyka
W1- 11
Normalizacja dotycz
ą
ca programowalnych systemów
sterowania i zabezpiecze
ń
(I&C systems) do stosowania
w elektrowniach j
ą
drowych
Szkoda
- fizyczny uraz lub pogorszenie stanu zdrowia ludzi, tak
bezpo
ś
rednie, jak i po
ś
rednie, a tak
ż
e straty maj
ą
tkowe lub degradacja
ś
rodowiska [ISO/IEC Przewodnik 51:1990 (zmodyfikowany)]
UWAGI: Ta definicja ma zastosowanie przy wykonywaniu analizy zagro
ż
e
ń
i ryzyka (patrz
7.4 w IEC 61508-4). Je
ś
li jej zakres nale
ż
y rozszerzy
ć
(na przykład w celu wł
ą
czenia
szkód
ś
rodowiskowych, które mog
ą
nie wywoływa
ć
uszkodzenia fizycznego lub
nadwer
ęż
enia zdrowia), wymagałoby to uwzgl
ę
dnienia w fazie Analizy Całkowitej
Bezpiecze
ń
stwa (patrz 7.3 w IEC 61508-1).
Zagro
ż
enie
- potencjalne
ź
ródło szkody [Przewodnik ISO/IEC 51:1990]
UWAGA: Niniejszy termin obejmuje niebezpiecze
ń
stwo dla osób, powstaj
ą
ce w krótkim
czasie (na przykład po
ż
ar lub wybuch), a tak
ż
e niebezpiecze
ń
stwo długotrwale
oddziałuj
ą
ce na zdrowie osób (na przykład wydzielanie substancji toksycznych).
Sytuacja zagro
ż
enia
- sytuacja, w której osoba jest nara
ż
ona na
zagro
ż
enie lub zagro
ż
enia.
Zdarzenie zagra
ż
aj
ą
ce
- sytuacja zagra
ż
aj
ą
ca, której wynikiem jest
szkoda.
Ryzyko
- kombinacja prawdopodobie
ń
stwa wyst
ą
pienia szkody i ci
ęż
ko
ś
ci
tej szkody
[ISO/IEC Przewodnik 51:1990 (zmodyfikowany)]
Definicje i skrótowce (PN-EN 61508-4)
W1- 13
Ryzyko tolerowane
- ryzyko akceptowane w okre
ś
lonym kontek
ś
cie
opartym na aktualnych warto
ś
ciach społecznych
Ryzyko resztkowe
- ryzyko pozostaj
ą
ce po zastosowaniu
ś
rodków
bezpiecze
ń
stwa
Bezpiecze
ń
stwo
- niewyst
ę
powanie ryzyka nieakceptowanego
Bezpiecze
ń
stwo funkcjonalne
- cz
ęść
bezpiecze
ń
stwa, odnosz
ą
ca si
ę
do
wyposa
ż
enia sterowanego EUC
(equipment under control) i
systemu
sterowania EUC
, która zale
ż
y od prawidłowego działania systemów
E/E/PE zwi
ą
zanych z bezpiecze
ń
stwem, systemów zwi
ą
zanych
z bezpiecze
ń
stwem wykonanych w innych technikach i zewn
ę
trznych
ś
rodków zmniejszenia ryzyka.
Definicje i skrótowce (PN-EN 61508-4) c.d.
W1- 14
�
System E/E/PE realizuje funkcje zwi
ą
zane z bezpiecze
ń
stwem
�
Podsystemy A, B i C składaj
ą
si
ę
z elementów / modułów w których wyst
ę
puj
ą
uszkodzenia o charakterze losowym
�
Aby ogranicza
ć
zawodno
ść
stosuje si
ę
, kiedy to uzasadnione, nadmiarowo
ść
strukturaln
ą
w podsystemach A, B, C (np. 1oo2, 2oo3).
�
Formułuje si
ę
kryteria probabilistyczne dotycz
ą
ce systemu E/E/PE dotycz
ą
ce
wyró
ż
nionych rodzajów pracy.
System elektryczny, elektroniczny, programowalny
elektroniczny (E/E/PE) zwi
ą
zany z bezpiecze
ń
stwem
B. Programowalne
urz
ą
dzenie
elektroniczne
Komunikacja
Interfejsy wyj
ś
ciowe
(np. przetworniki C-A)
Interfejsy wej
ś
ciowe
(np. przetworniki A-C)
Urz
ą
dzenia wyj
ś
ciowe
(np. elementy wykonawcze)
Urz
ą
dzenia wej
ś
ciowe
(np. czujniki)
Zasilanie
C. Wy
A. We
W1- 15
Koncepcja
1
Okre
ś
lenie całkowite
zakresu
2
Analiza zagro
ż
e
ń
i ryzyka
3
Wymagania całkowite
bezpiecze
ń
stwa
4
Alokacja
bezpiecze
ń
stwa
5
Wył
ą
czenie z ruchu
lub likwidacja
16
Modyfikacje i odnowa
15
U
ż
ytkowanie, obsługa
i naprawa
14
Całkowita walidacja
bezpiecze
ń
stwa
13
Zainstalowanie
i wprowadz. do ruchu
12
Planowanie
u
ż
ytkowania
i obsługi
6
Planowanie
walidacji
bezpie-
cze
ń
stwa
7
Planowanie
instalowania
i wprowadze-
nia do ruchu
8
Planowanie całkowite
Systemy zwi
ą
-
zane z bezpie-
cze
ń
stwem:
E/E/PE
Realizacja
(zob. cykl
ż
ycia
bezpiecze
ń
stw
a E/E/PE)
9
Systemy zwi
ą
zane
z bezpiecze
ń
stwem
w innych
technikach
Realizacja
10
Zewn
ę
trzne
ś
rodki
do zmniejszenia
ryzyka
Realizacja
11
Powrót do odpowiedniej
fazy cyklu
ż
ycia
bezpiecze
ń
stwa
Zarz
ą
dzanie bezpiecze
ń
stwem funkcjonalnym
w cyklu
ż
ycia
Etap
ANALIZY
(odbiorca,
specjalista)
Etap
REALIZACJI
(dostawca,
u
ż
ytkownik)
Etap
U
Ż
YTKOWANIA
(u
ż
ytkownik /
dostawca)
W1- 16
Bezpiecze
ń
stwo systemu w cyklu
ż
ycia z modyfikacj
ą
oprogramowania (SW) według IEC 61513
SW – software
W1- 17
F
k
jest cz
ę
sto
ś
ci
ą
k-tego scenariusza awaryjnego, szacowan
ą
w przedziale czasu,
zwykle 1 rok [a
-1
]; P
k(x,y)
jest prawdopodobie
ń
stwem warunkowym poszkodowania
osoby znajduj
ą
cej si
ę
w miejscu (x, y) na terenie instalacji przemysłowej lub w jej
otoczeniu po wyst
ą
pieniu k-tego scenariusza awaryjnego.
Ryzyko zdarze
ń
/ scenariuszy awaryjnych i ryzyko
indywidualne
Miar
ę
ryzyka (długoterminowego) zwi
ą
zanego z eksploatacj
ą
zło
ż
onego
obiektu przemysłowego wyznacza si
ę
ogólnie na podstawie zbioru
trójek, które zawieraj
ą
:
•
kolejny scenariusz zdarzenia awaryjnego S
k
,
•
cz
ę
sto
ść
lub prawdopodobie
ń
stwo tego zdarzenia F
k
oraz
•
niekorzystny skutek (szkod
ę
) po jego wyst
ą
pieniu N
k.
}
,
,
{
>
<
=
ℜ
k
k
k
N
F
S
∑
=
k
y
x
k
k
I
y
x
P
F
R
)
,
(
)
,
(
Ryzyko indywidualne
zwi
ą
zane z poszkodowaniem osoby znajduj
ą
cej
si
ę
w miejscu o współrz
ę
dnych (x,y) w wyniku potencjalnych awarii
I
y
x
I
R
R
)
,
(
max
=
W1- 18
Przykładowe poziomy kryterialne ryzyka indywidualnego
R
I
[a
-1
]
10
-3
10
-4
10
-5
10
-6
10
-7
10
-8
R
I
F
R
I
E
R
I
D
R
I
C
R
I
B
R
I
A
Ryzyko nie do przyjęcia; należy zaprzestać
działalności produkcyjnej do czasu
wykazania
poprawy sytuacji
Dopuszczalny poziom ryzyka dla
istniejących obiektów przemysłowych
Należy podjąć działania ograniczające
ryzyko indywidualne
Redukcja ryzyka indywidualnego bez
znaczenia
Wartość graniczna akceptowanego
ryzyka indywidualnego
Wskazana redukcja ryzyka
indywidualnego
Propozycje poziomów
kryterialnych ryzyka
indywidualnego na rok
spotykane w literaturze.
Wa
ż
ne znaczenie
w podejmowaniu
decyzji dotycz
ą
cych
zarz
ą
dzania ryzykiem
maj
ą
publikacje HSE
(W. Brytania):
TOR (Tolerability of risk)
i R2P2 (Reducing risks,
protecting people).
W1- 19
Zasada ALARP (As Low As Reasonably Practicable)
Obszar ryzyka
nietolerowanego
Obszar ryzyka akceptowanego
Nie trzeba stosować zasady
ALARP
Ryzyko pomijalne
Ryzyko nie może być
usprawiedliwione oprócz
wyjątkowych okoliczności
Ryzyko tolerowalne jeśli:
(a) jego dalsza redukcja jest
nierealizowalna lub
ponoszony koszt jest
nieproporcjonalnie duży do
spodziewanej poprawy,
(b) społeczność jest
zdecydowana korzystać
z danej działalności
obarczonej ryzykiem
Nie wymaga się dalszych
środków redukcji ryzyka
Obszar ryzyka tolerowanego,
(zalecana analiza ALARP)
Ryzyko jest podejmowane w
przypadku osiągania korzyści
społecznie użytecznych
II
III
I
Obszary
ryzyka
R
I
Ryzyko indywidualne
10
-4
10
-6
W energetyce j
ą
drowej stosuje si
ę
zasad
ę
ALARA (As Low As Reasonably
Achievable) o nieco odmiennych regułach decyzyjnych.
W1- 20
Matryca ryzyka i ilustracja wymaganej redukcji ryzyka
N
i
– kategorie (przedziały
liczbowe) strat
F
j
- kategorie (przedziały
liczbowe) zdarze
ń
awaryjnych
I, II, III i IV - kategorie
ryzyka, na przykład:
I – ryzyko nieakceptowane
II – ryzyko du
ż
e – do
redukcji
III – ryzyko akceptowane
warunkowo (zasada
ALARP)
IV – ryzyko akceptowane
}
,
,
{
>
<
k
k
k
N
F
S
II
N [j. strat]
F [a
-1
]
N
A
N
B
N
C
N
D
N
E
F
0
F
-1
F
-2
F
-3
F
-4
a
b
c
d
I
I
I
I
I
I
IV
IV
IV
IV
IV
IV
II
II
II
III
III
III
III
III
III
II
II
II
b
*
b
**
Gwiazdki wyst
ę
puj
ą
ce w tej matrycy odpowiadaj
ą
zdefiniowanym scenariuszom awaryjnym (zbiór trójek)
W1- 21
Przykładowe kategorie cz
ę
sto
ś
ci i kategorie skutków
zdarze
ń
przyj
ę
te w definiowaniu matrycy ryzyka
Kategorie
cz
ę
sto
ś
ci
zdarzenia
F
-4
F
-3
F
-2
F
-1
F
0
Okre
ś
lenie
słowne kategorii
zdarzenia
Rzadkie
Mało
prawdopo-
dobne
Sporadyczne
Prawdopo-
dobne
Cz
ę
ste
Przedziały
warto
ś
ci [a
-1
]
(10
-5
, 10
-4
]
(10
-4
, 10
-3
]
(10
-3
, 10
-2
]
(10
-2
, 10
-1
]
(10
-1
, 10
0
]
Kategorie
skutku
zdarzenia
N
A
N
B
N
C
N
D
N
E
Okre
ś
lenie
słowne kategorii
Marginalne
Małe
Du
ż
e
Krytyczne
Katastro-
ficzne
Orientacyjna
liczba poszko-
dowanych
Pojedyn-
cze
obra
ż
enia
Liczne
obra
ż
enia
Pojedyncze
zej
ś
cia
Kilka zej
ść
Wi
ę
cej ni
ż
kilka zej
ść
W1- 22
Współczynnik wymaganego wzgl
ę
dnego zmniejszenie ryzyka za pomoc
ą
E/E/PES (N=const):
avg
F
np
t
np
t
R
PFD
r
F
F
R
R
r
=
=
=
=
/
/
Ryzyko
resztkowe
Ryzyko
tolerowane
Ryzyko zwi
ą
zane
z EUC
Cz
ęś
ciowe ryzyko
pokryte przez
zewn
ę
trzne
ś
rodki
redukcji ryzyka
Cz
ęś
ciowe ryzyko
pokryte przez
systemy E/E/PE
zwi
ą
zane z
bezpiecze
ń
stwem
Cz
ęś
ciowe ryzyko
pokryte przez
systemy
bezpiecze
ń
stwa
innej technologii
Wymagana redukcja ryzyka
Redukcja ryzyka uzyskana przez wszystkie systemy zwi
ą
zane
z bezpiecze
ń
stwem i zewn
ę
trzne
ś
rodki redukcji ryzyka
Ryzyko
wzrasta
Mo
ż
liwa redukcja ryzyka
R
t
= F
t
N
R
np
= F
np
N
∆
R = R
np
- R
t
Zmniejszanie ryzyka w nawi
ą
zaniu do koncepcji
bezpiecze
ń
stwa funkcjonalnego systemu E/E/PE
Krotno
ść
wymaganego zmniejszenia cz
ę
sto
ś
ci
avg
F
p
np
F
PFD
r
F
F
k
/
1
/
1
/
=
=
=
PFD – probability of failure
on demand (prawdopodobie
ń
stwo
niezadziałania na przywołanie)
(np. 10, 100, 1000)
W1- 23
System
- zestaw elementów współdziałaj
ą
cych zgodnie z projektem,
w którym element systemu mo
ż
e by
ć
innym systemem, zwanym
podsystemem; zestaw ten mo
ż
e by
ć
systemem steruj
ą
cym lub
systemem sterowanym i mo
ż
e obejmowa
ć
sprz
ę
t, oprogramowanie
i współdziałanie człowieka
UWAGA: Człowiek mo
ż
e by
ć
cz
ęś
ci
ą
systemu zwi
ą
zanego
z bezpiecze
ń
stwem. Na przykład człowiek mo
ż
e otrzymywa
ć
informacje
z urz
ą
dzenia programowalnego elektronicznego i realizowa
ć
działania
bezpiecze
ń
stwa oparte na tych informacjach lub realizowa
ć
działania
bezpiecze
ń
stwa poprzez urz
ą
dzenie elektroniczne programowalne.
Funkcja bezpiecze
ń
stwa
- funkcja do zaimplementowania przez system
E/E/PE zwi
ą
zany z bezpiecze
ń
stwem, system zwi
ą
zany
z bezpiecze
ń
stwem wykonany w innej technice lub zewn
ę
trzne
urz
ą
dzenie do zmniejszenia ryzyka, której przeznaczeniem jest
osi
ą
gniecie lub utrzymanie stanu bezpiecznego EUC, w odniesieniu
do konkretnego zdarzenia zagra
ż
aj
ą
cego.
System i funkcja bezpiecze
ń
stwa (PN-EN 61508-4)
W1- 24
Przykład sterowni starego typu w elektrowni j
ą
drowej
Westinghouse 2 Loops PWR Reactor
W1- 25
Ocena ergonomicznych aspektów w projektowaniu
sterowni z uwzgl
ę
dnieniem analizy zada
ń
operatorów
podczas sytuacji nienormalnych
W1- 26
Przykład rozwi
ą
zania sterowni w obiekcie
przemysłowym
Umiejscowienie konsoli w sterowni
po analizie czynników ludzkich
z uwzgl
ę
dnieniem zasad ergonomii.
W1- 27
Integrowanie przemysłowych systemów zarz
ą
dzania
niezawodno
ś
ci
ą
i bezpiecze
ń
stwem
System zarz
ą
dzania
eksploatacj
ą
wyposa
ż
enia
System zarz
ą
dzania
zdarzeniami i alarmami
System zarz
ą
dzania produkcj
ą
uwzgl
ę
dniaj
ą
cy aspekty sterowania
jako
ś
ci
ą
,
ś
rodowiskiem, niezawodno
ś
ci
ą
i bezpiecze
ń
stwem.
W1- 28
Projektowanie sterowni zorientowane na człowieka
z analiz
ą
funkcji systemu doradczego oraz funkcji
systemów sterowania i automatyki zabezpieczeniowej
Rozwi
ą
zania sterowni
zorientowane na człowieka-
operatora
– aktualne wyzwania w przemy
ś
le
i energetyce.
W1- 29
Virtual control room (American Nuclear Society) - NUREG/CR-6992 (2009):
Instrumentation and Controls in Nuclear Power Plants: An Emerging
Technologies Update
Lungmen plant simulator—a replica of the main control room
(American Nuclear Society)
W1- 30
Level 0 systems, (i.e., process interface level) form the physical interface between Level 1
subsystems and sensors, actuators, and switchgear. Level 1 systems (i.e., system automation level)
consist of the protection system (PS), safety automation system (SAS), process automation system
(PAS), priority actuation and control system (PACS), and reactor control, surveillance, and limitation
(RCSL) system. Level 2 systems consist of the workstations and panels of the MCR, remote
shutdown station (RSS), technical support center (TSC), process information and control system
(PICS) and safety information and control system (SICS).
W1- 31
System automatyki
procesu
System automatyki
zabezpieczeniowej
U.S. Evolutionary Pressurized Reactor instrumentation and controls
architecture - NUREG/CR-6992 (2009)
Udział procentowy przyczyn wyst
ą
pienia zdarze
ń
awaryjnych w systemach sterowania
Według:
UK Health & Safety Executive. Out of control. Why control systems
go wrong and how to present failure. 2 edition. Crown 2003
W1- 32
Przykładowe wyniki bada
ń
bł
ę
dów popełnianych przez
człowieka w obiektach energetyki j
ą
drowej
Według INPO (Institute of Nuclear Power Operations)
przyczynami sytuacji nienormalnych i awaryjnych były:
• bł
ę
dy specyfikacji i braki dokumentacji
- 43%,
• braki wiedzy i uchybienia szkoleniowe
- 18%,
• bł
ę
dy w instrukcjach i procedurach
- 16%,
• uchybienia w planach i harmonogramach
- 10%,
• bł
ę
dy w komunikacji - 6%,
• niedostateczny nadzór - 3%,
• niewła
ś
ciwa polityka bezpiecze
ń
stwa - 2%,
• inne - 2%.
W1- 33
Uwarunkowania zdarzenia awaryjnego
Niedostateczne
zabezpieczenia
Bł
ę
dy aktywne i bł
ę
dy
utajone
Niebezpieczne
działania
Bł
ę
dy aktywne
Ś
rodowisko sprzyjaj
ą
ce
bł
ę
dom
Popełnienie bł
ę
dów
utajonych
Uchybienia w zarządzaniu
operacyjnym i nadzorze
Wpływ na popełnienie błędów
utajonych
Uchybienia w planowaniu
i decyzjach
Sytuacja sprzyjająca
powstaniu błędów utajonych
Zdarzenie
inicjuj
ą
ce
i interakcje
człowiek -
obiekt
Awaria
Cele produkcyjne, planowanie
obsługi profilaktycznej i remontów
Istotne znaczenie kształtowania
kultury bezpiecze
ń
stwa
w organizacji !
Znaczenie dynamiki
procesu i zdarze
ń
po
wyst
ą
pieniu
zdarzenia inicjuj
ą
cego -
wpływ na wymagany
czas reakcji
W1- 34
Aktualne problemy w zarz
ą
dzaniu bezpiecze
ń
stwem –
analiza potencjalnych bł
ę
dów człowieka
•
Bł
ę
dy człowieka
(szeroko rozumiane) przyczyn
ą
znacznej cz
ęś
ci
wypadków i awarii obiektów technicznych (70-90% zale
ż
nie od
kategorii obiektu)
•
Bł
ę
dy s
ą
popełniane w całym cyklu
ż
ycia
obiektu technicznego
(koncepcja, projektowanie, budowa, uruchamianie, eksploatacja)
•
Eliminowanie bł
ę
dów lub redukowanie ich prawdopodobie
ń
stwa
b
ę
dzie skuteczne
tylko
po rozpoznaniu ich mechanizmów
i uwarunkowa
ń
z ocen
ą
wpływu ró
ż
nych czynników.
W1- 35
Przyczyny potencjalnych zdarze
ń
awaryjnych i czynniki
wpływu warunkuj
ą
ce ich prawdopodobie
ń
stwo
Pierwotne przyczyny zdarzeń nienormalnych i awaryjnych
Błędy
człowieka
Uszkodzenia
wyposażenia
Zdarzenia
zewnętrzne
Błędy
utajone
Błędy
aktywne
Przyczyny
losowe
Błędy
korekcji
Niewłaściwa
eksploatacja
Działania
człowieka
Wpływ
otoczenia
C z y n n i k i w p ł y w u
W1- 36
Bł
ę
dy popełniane przez człowieka w systemie technicznym
Definicja ogólna
•
Bł
ą
d człowieka
-
odej
ś
cie od nakazanych procedur lub standardów
post
ę
powania
, co skutkuje w rezultatach działa
ń
odmiennych od
oczekiwanych, wykraczaj
ą
cych poza dopuszczalne w danych
warunkach pole tolerancji.
Definicja w kontek
ś
cie analizy bezpiecze
ń
stwa
•
Bł
ą
d
(popełniony przez człowieka) –
niewła
ś
ciwe działanie lub
zaniechanie działania przez człowieka
, które wywołuje niezamierzone
skutki w danym systemie, a nawet mo
ż
e przyczyni
ć
si
ę
do wyst
ą
pienia
sytuacji awaryjnej i pogorszenia jej przebiegu.
W1- 37
Miary probabilistyczne zawodno
ś
ci człowieka
Miary probabilistyczne zawodno
ś
ci człowieka zale
ż
ne od rodzaju działa
ń
:
1.
Zadania ci
ą
głe w czasie
(monitorowanie, sterownie, nadzorowanie) -
istotny czas pracy wpływaj
ą
cy na zm
ę
czenie, miara:
cz
ę
sto
ść
/
intensywno
ść
bł
ę
du -
λ
[h
-1
]
(człowiek jak maszyna?)
2.
Zadania mniej uwarunkowane czasowo
- interwencje, obsługa
profilaktyczna i remonty, miara:
q - prawdopodobie
ń
stwo popełnienia
bł
ę
du podczas wykonywania zadania
3.
Zadania uwarunkowane czasowo
- diagnozowanie, planowanie działa
ń
i ich wykonanie, miara:
q
T
- prawdopodobie
ń
stwo bł
ę
du zale
ż
ne od
dost
ę
pnego czasu T na podj
ę
cie decyzji i działanie.
W1- 38
Przykładowa klasyfikacja bł
ę
dów człowieka-operatora
(raporty MAEA)
Kategoria A
- bł
ę
dy przed wyst
ą
pieniem inicjatora awarii (bł
ę
dy
utajone)
Kategoria B
- bł
ę
dy prowadz
ą
ce do wyst
ą
pienia inicjatora awarii
Kategoria C
- bł
ę
dy po wyst
ą
pieniu inicjatora (aktywne)
•
C1 - działania proceduralne
•
C2 - bł
ę
dne działania pogarszaj
ą
ce sytuacj
ę
•
C3 - działania korekcyjne - cz
ęś
ciowo improwizowane, zgodne
z zasadami post
ę
powania - skuteczne je
ś
li pozwala na to czas
i proces jest odwracalny.
W1- 39
Opracowanie
strategii/planu
Zaplanowanie
realizacji
Określenie
problemu
Skojarzenie
sytuacja-działania
Wybór reguły
do realizacji
Rozpoznanie
sytuacji
Odbiór bodźców
(aktywacja)
Działanie
Odruchowe wzorce
zachowań
CELE
Układy
sterowania
Sygnalizacja
i monitorowanie
Czynności
Bodźce
Proces
WIEDZA
REGUŁY
WPRAWA
Rozwiązywanie
problemów
Podejmowanie
decyzji
Realizacja
zadań
Model koncepcyjny SRK –
skill, rule, knowledge
Rodzaje zachowa
ń
człowieka-operatora
według Rasmussena
W1- 40
Błędy uwagi:
- oderwanie uwagi
- pominięcie czynności
- odwrócenie kolejności
- zmiana kolejności
- błędy czasowe
Błędy pamięci:
- pominięcie
zaplanowanej
czynności
- błądzenie
- zapomnienie intencji
Błędy reguł:
- błędne zrealizowanie
właściwej reguły
- wybranie niewłaściwej
reguły
Błędy wiedzy:
- wiele różnych form
Łamanie zasad:
- rutynowe naruszenia
- sporadyczne naruszenia
Akty sabotażu
Przyczyny
:
- nieuwaga
- roztargnienie
- przemęczenie
- słaba koordynacja
wzrokowo-ruchowa
- słabe wyszkolenie
Przyczyny
:
-
przenoszenie znanych
reguł na niesprawdzone
sytuacje
- błędne kojarzenie
i wnioskowanie
Przyczyny
:
- bezmyślność
- nieodpowiedzialność
- frustracja, agresja
Działania
niebezpie-
czne
Niezamierzone
Zamierzone
Pomyłka
Zapomnienie
(Slip)
(Lapse)
Błąd
(Mistake)
Violation
Naruszenie
BŁĘDY
Klasyfikacja działa
ń
i bł
ę
dów człowieka
według Reasona
W1- 41
Faza 3 -
wykonywania
Łamanie zasad:
- akty sabotażu
- akty terroru
Działania
niebezpieczne
Niezamierzone
Zamierzone
Pomyłka (slip)
Zapomnienie
(lapse)
Błąd (mistake)
(Violation)
Naruszenie
Błędy
człowieka
w działaniach
opartych na:
(I) wprawie
Błędy
‘kognitywne’
w działaniach
opartych na:
(II) regułach
(III) wiedzy
Pominięcie
Popełnienie
Pominięcie
Pominięcie
Popełnienie
Popełnienie
Faza 1 -
planowania
Faza 2 -
pamiętania
Integrowanie koncepcji teoretycznych w analizie
wpływu działania / bł
ę
dów człowieka
W1- 42
Przykładowe metody HRA (Human Reliability Analysis)
Technique for Human Error Rate Prediction (
THERP
)
(Swain and Guttmann, 1983)
Accident Sequence Evaluation Program (
ASEP
)
(Swain, 1987)
Cognitive Reliability and Error Analysis Method (
CREAM
)
(Hollnagel, 1998)
Human Error Assessment and Reduction Technique (
HEART
)
(Williams, 1988)
A Technique for Human Event Analysis (
ATHEANA
)
(USNRC, 1998)
Accident Sequence Precursors Human Reliability Methodology (
ASP HRA
)
(USNRC, 1994)
Simplified Plant Analysis Risk (SPAR) HRA methodology (
SPAR-H
)
(USNRC, 2005)
W1- 43
Przykładowa procedura HRA (Human Reliability Analysis)
T
N
N
T
H1.Zdefiniowanie problemu
H3. Identyfikacja błędów
Ocena
i odsiewanie
zasadne ?
H6/A. Analiza celów
i funkcji
bezpieczeństwa oraz
kognitywnych
aspektów działania;
ocena czasu,
uwarunkowań
i kontekstowa analiza
błędów
H4. Reprezentacja
H2. Analiza zadań
H6/O. Ocena
czynników wpływu
i opcji redukowania
ryzyka; ocena
zależności i działań
korygujących
H7. Ocena i odsiewanie
H9. Ocena zawodności
funkcji bezpieczeństwa
H8. Wyznaczenie PB
H5. Wstępne oszacowanie
PB akceptowane ?
H10. Dokumentowanie i wnioski
PB – prawdopodobieństwo
błędu
W1- 44
Działania operatorskie i rodzaje bł
ę
dów
Faza kognitywna
Realizacja
Działanie
Zdarzenie Wykrycie
i diagnoza
Reakcja na
czas
Wykonanie korekcyjno-
naprawcze
Opis sekwencji
S
Sukces
q
3
B3
Błąd wykonania
q
2
B2
Błąd czasowy
q
1
Błąd reakcji/
B1 diagnozy
W1- 45
Prawdopodobie
ń
stwo q
T
bł
ę
du diagnozy w warunkach
ogranicze
ń
czasowych
10
-3
1
1
10
1
q
T
d
m
g
10
-1
10
-2
10
-4
10
-5
10
-6
10
-7
10
2
10
3
T [min]
Wykresy warto
ś
ci:
g – granicznej górnej
m – mediany
d – granicznej dolnej
W1- 46
Przykładowe drzewo zdarze
ń
w analizie bł
ę
dów
człowieka HRA-ET (metoda THERP)
0.01
0.05
0.997
0.99
0.01
0.5
0.5
0.99
0.95
0.003
Nie uwzgl. procedury (pisemnej)
T20-6 #5
EOM (wg pamięci)
T20-7 #5
Niepopr. stosowanie listy (procedury)
T20-6 #8
EOM – długa
lista
T20-7 #4
EOM – długa lista
T20-7 #2
S
1
N
1
S
2
N
2
S
3
N
3
W1- 47
Definiowanie zdarze
ń
uszkodze
ń
i bł
ę
dów w modelowaniu
logicznym i probabilistycznym systemu
A
B
C
D
S e k . a w .
O K
O K
S k u t.1
S k u t.2
S k u t.3
S k u t.1
Z I
Z I1
Z I2
Z I3
C
Z d a r z e n ia b ł
ę
d ó w
n a s z c z y c ie
d r z e w a
Z d a r z e n ia b ł
ę
d ó w
n a n i
ż
s z y c h
p o z io m a c h
C : Z d a r z e n ie
s z c z y t o w e
O b ie k t X
(U k ła d X )
S p r z
ę
t
C z ło w ie k
O b ie k t X 1
(U k ła d X 1 )
S p r z
ę
t
C z ło w ie k
Zbiór zdarze
ń
inicjuj
ą
cych
A, B, C, D, …
zabezpieczenia /
przeciwdziałania
realizowane przez
układy zwi
ą
zane
z bezpiecze
ń
stwem
i/lub człowieka
Metoda ET
(Event Tree)
Metoda FT
(Fault Tree)
W1- 48
Uwagi ko
ń
cowe
•
Rozwi
ą
zania bezpiecze
ń
stwa funkcjonalnego maj
ą
coraz szersze zastosowanie
w przemy
ś
le do racjonalnego sterowania ryzykiem w zło
ż
onych obiektach
podwy
ż
szonego ryzyka; maj
ą
one równie
ż
zastosowanie w elektrowniach
j
ą
drowych (EN 61508 i IEC 61513).
•
We wst
ę
pnej analizie ryzyka przydatne s
ą
jako
ś
ciowe metody modelowania
probabilistycznego scenariuszy awaryjnych, które powinny by
ć
nast
ę
pnie
uzupełnione metodami półilo
ś
ciowymi, a najlepiej metodami ilo
ś
ciowymi.
•
Czynniki ludzkie i organizacyjne wywieraj
ą
istotny wpływ na bezpiecze
ń
stwo
zło
ż
onego obiektu podwy
ż
szonego ryzyka, w tym elektrowni j
ą
drowych.
•
Czynniki te s
ą
uwzgl
ę
dniane w wyznaczaniu prawdopodobie
ń
stw bł
ę
dów
człowieka (stosowanie odpowiedniej metody HRA) w analizie bezpiecze
ń
stwa
funkcjonalnego.
•
Czynniki ludzkie i organizacyjne mog
ą
wpływa
ć
istotnie na wyst
ę
powanie
zale
ż
no
ś
ci pomi
ę
dzy warstwami zabezpieczeniowo – ochronnymi; powinny by
ć
one uwzgl
ę
dnione starannie w cało
ś
ciowej analizie ryzyka.
W1- 49