Studia Podyplomowe

Podstaw Energetyki J

ą

drowej

Przedmiot:

Bezpiecze

ń

stwo elektrowni j

ą

drowych

Wykład 1:

Wprowadzenie do niezawodno

ś

ci i bezpiecze

ń

stwa

elektrowni j

ą

drowych

Politechnika Gdańska

Wydział Elektrotechniki i Automatyki

Kazimierz Kosmowski

k.kosmowski@ely.pg.gda.pl, Katedra Automatyki

WEiA PG, Gdańsk,

21.01.

201

2

Polskie Towarzystwo Bezpiecze

ń

stwa i Niezawodno

ś

ci (PTBN)

Prezes: Prof. Krzysztof Kołowrocki

http://www.ptbn.pl/

Współpraca mi

ę

dzynarodowa:

European Safety and Reliability Association (ESRA)

http://www.esrahomepage.org/

Współpraca w zakresie normalizacji i szkolenia:

Polski Komitet Normalizacyjny (PKN)

Komitet Techniczny 50 ds. Automatyki i Robotyki Przemysłowej

Przewodnicz

ą

cy: Prof. Tadeusz Missala

Urz

ą

d Dozoru Technicznego (UDT-CERT)

Komitet programowy nr 8

Certyfikacja osób odpowiedzialnych za bezpiecze

ń

stwo funkcjonalne

CSBF i CEBF

Współpraca merytoryczna i organizacyjna
w działalno

ś

ci badawczej i szkoleniowej

Wykład 1: 21.01.2012
Wprowadzenie do niezawodno

ś

ci i bezpiecze

ń

stwa elektrowni j

ą

drowych (2h)

Kazimierz Kosmowski

Wykład 2: 22.01.2012
Podstawy zapewnienia bezpiecze

ń

stwa elektrowni j

ą

drowych (2h)

Władysław Kiełbasa

Wykład 3: 04.02.2012
Wybrane zagadnienia bezpiecze

ń

stwa elektrowni j

ą

drowych (2h)

Kazimierz Kosmowski

Wykład 4: 18.02.2012
Niezawodno

ść

i modelowanie probabilistyczne obiektów i systemów

z uwzgl

ę

dnieniem czynników ludzkich (2h)

Kazimierz Kosmowski

Wykład 5: 03.03.2012
Charakterystyka, przebieg i skutki wybranych awarii w elektrowniach j

ą

drowych (2h)

Władysław Kiełbasa

Program przedmiotu

–

10 wykładów x 2 godz. = 20 godz.

W1- 3

Wykład 6: 17.03.2012
Metody i narz

ę

dzia komputerowe analizy niezawodno

ś

ci i modelowania

probabilistycznego obiektów i systemów (2h)

Marcin

Ś

liwi

ń

ski

Wykład 7: 31.03.2012
Zarz

ą

dzanie niezawodno

ś

ci

ą

, bezpiecze

ń

stwem (safety) i ochron

ą

(security)

w elektrowniach j

ą

drowych w cyklu

ż

ycia (2h)

Kazimierz Kosmowski

Wykład 8: 14.04.2012
Awaria w Elektrowni J

ą

drowej Fukushima (2h)

Władysław Kiełbasa

Wykład 9: 21.04.2012
Bezpiecze

ń

stwo elektrowni j

ą

drowych z reaktorami lekko-wodnymi III generacji (2h)

Władysław Kiełbasa

Wykład 10: 12.05.2012
Kultura bezpiecze

ń

stwa i jej kształtowanie (1h); Test wiedzy (1h)

Kazimierz Kosmowski

Program przedmiotu (c.d.)

W1- 4

•

Problemy zarz

ą

dzania niezawodno

ś

ci

ą

i ryzykiem w instalacjach

przemysłowych

•

Podsystemy warunkuj

ą

ce niezawodno

ść

i bezpiecze

ń

stwo

•

Koncepcja bezpiecze

ń

stwa funkcjonalnego

•

Normy i wymagania dotycz

ą

ce programowalnych systemów

zabezpiecze

ń

•

Wa

ż

niejsze poj

ę

cia i definicje

•

Ryzyko indywidualne i ryzyko grupowe/społeczne

•

Zasada ALARP / ALARA

•

Matryca ryzyka - zmniejszanie ryzyka za pomoc

ą

rozwi

ą

za

ń

bezpiecze

ń

stwa funkcjonalnego

•

Rodzaje zachowa

ń

i bł

ę

dy człowieka

•

Czynniki ludzkie, analiza niezawodno

ś

ci człowieka (HRA)

Zakres wykładu1

W1- 5

6

Obiekty techniczne / instalacje przemysłowe
Zarz

ą

dzanie niezawodno

ś

ci

ą

i ryzykiem

Rynek
Inwestycje
Ryzyko
Produkcja
Sprzeda

ż

Zysk
Eksploatacja

Zagro

ż

enia

Zawodno

ść

Odstawienia
Awarie
Straty / szkody

Ocena ryzyka

Ryzyko strat:
• ludzkich
• maj

ą

tkowych

•

ś

rodowiskowych

Systemy zarz

ą

dzania w obiekcie przemysłowym

podwy

ż

szonego ryzyka

Zarz

ą

dzanie bezpiecze

ń

stwem w cyklu

ż

ycia: analiza zagro

ż

e

ń

, identyfikacja scenariuszy

awaryjnych, kryteria, ocena ryzyka, ocena opcji sterowania ryzykiem, implementacja opcji.

System zarządzania

przedsiębiorstwem

Zautomatyzowana

instalacja procesowa

Surowce,
półprodukty

Media

Energia

Produkcja -
koszty C

Obciążenie
środowiska

Potencjalne
straty*

Zakłócenia

Zagrożenia

System zarządzania

jakością

System zarządzania

środowiskowego

System zarządzania

bezpieczeństwem

technicznym i pracy

Cele

Kryteria

Ocena ryzyka dla celów

ubezpieczeń

System zarządzania

bezpieczeństwem

informacji

* straty: zdrowotne, środowiskowe lub ekonomiczne

robocze

w różnej formie

Ryzyko R

Informacja

W1- 7

Systemy zarz

ą

dzania i przykładowe normy dotycz

ą

ce

jako

ś

ci, ochrony

ś

rodowiska i bezpiecze

ń

stwa

Systemy zarz

ą

dzania bezpiecze

ń

stwem informacji i normy zwi

ą

zane:

PN-ISO/IEC 27001:2007
ISO/IEC 17799:2005
ISO/IEC 15408:2005
ISO/IEC 13335:2004

Systemy zarz

ą

dzania jako

ś

ci

ą

PN-EN ISO 9001:2001/ 2008

Systemy zarz

ą

dzania

ś

rodowiskowego

PN-EN ISO 14001:2005

Systemy zarz

ą

dzania bezpiecze

ń

stwem technicznym oraz

bezpiecze

ń

stwem (i higien

ą

) pracy:

PN-EN 61508:2004
PN-EN 61511:2005 – przemysł procesowy

i inne normy sektorowe

PN-N 18001:2004, PN-EN 18002:2000

– systemy zarz

ą

dzania

bezpiecze

ń

stwem (i higien

ą

) pracy.

Potrzeba integrowania systemów zarz

ą

dzania.

W1- 8

Systemy warunkuj

ą

ce niezawodno

ść

i bezpiecze

ń

stwo

obiektu przemysłowego podwy

ż

szonego ryzyka

4. Systemy
sterowania

7. Systemy automatyki

zabezpieczeniowej

6. Sterownia - nadzór operatorski

i systemy wspomagania decyzji

1. Instalacja procesowa

8. Obiekty współpracujące,

infrastruktura i środowisko

2. Systemy pomocnicze
i systemy zabezpieczeń

3. Systemy
pomiarowe

5.Systemy monitorowania,

diagnostyki i alarmów

10. Wypracowanie strategii eksploatacji w ramach SZP

(jakość produkcji, niezawodność i bezpieczeństwo)

9. Systemy

rejestracji danych

eksploatacyjnych

i środowiskowych

oraz zakłóceń

wewnętrznych

i zewnętrznych

11. Realizacja

strategii w ramach

SZP

12. Nadzór

techniczny

i administracyjny

zarządzania

14. Telekomunikacja i sieć

komputerowa

13. Systemy kontroli dostępu,

ochrona i zabezpieczenia

SZP – System zarz

ą

dzania przedsi

ę

biorstwem

W1- 9

Bezpiecze

ń

stwo funkcjonalne systemów elektrycznych /

elektronicznych / programowalnych elektronicznych zwi

ą

zanych

z bezpiecze

ń

stwem

W skrócie -

systemy E/E/PE

lub

E/E/PES

Cz

ęś

ci normy:

1 Wymagania ogólne

2 Wymagania dotycz

ą

ce systemów E/E/PE zwi

ą

zanych

z bezpiecze

ń

stwem

3 Wymagania dotycz

ą

ce oprogramowania

4 Definicje i skrótowce

5 Przykłady metod okre

ś

lania poziomów nienaruszalno

ś

ci

bezpiecze

ń

stwa

6 Wytyczne do stosowania PN-EN 61508-2 i PN-EN 61508-3

7 Przegl

ą

d technik i miar (w j. angielskim: PN-EN 61508-7(U):2000)

(Cało

ść

ok. 450 stron)

Podstawowa norma bezpiecze

ń

stwa funkcjonalnego:

IEC 61508:1999 / EN 61508:2001 / PN-EN 61508:2004

W1- 10

HSE-PES (1987)

Programmable Electronic Systems in Safety Applications,

U.K. Health & Safety Executive.

AIChE-CCPS (1993)

Guidelines for Safe Automation of Chemical

Processes, American Institute of Chemical Engineers, Center for
Chemical Process Safety.

DIN V 19250 (1994)

Grundlegende Sicherheitsbetrachtungen für MSR-

Schutzeinrichtungen. Berlin.

ANSI/ISA-84.01-1996

Application of Safety Instrumented Systems for the

Process Industries.

IEC 61508:1998

Functional safety of electrical / electronic / programmable

electronic safety-related systems.

IEC 61511-1:2003

Functional safety - safety instrumented systems for the

process industry sector.

IEC 61513:2001 Nuclear power plants – Instrumentation and control for

systems important to safety – General requirements for systems.

Przykładowe normy dotycz

ą

ce programowalnych

systemów sterowania i zabezpiecze

ń

do zastosowa

ń

w obiektach podwy

ż

szonego ryzyka

W1- 11

Normalizacja dotycz

ą

ca programowalnych systemów

sterowania i zabezpiecze

ń

(I&C systems) do stosowania

w elektrowniach j

ą

drowych

Szkoda

- fizyczny uraz lub pogorszenie stanu zdrowia ludzi, tak

bezpo

ś

rednie, jak i po

ś

rednie, a tak

ż

e straty maj

ą

tkowe lub degradacja

ś

rodowiska [ISO/IEC Przewodnik 51:1990 (zmodyfikowany)]

UWAGI: Ta definicja ma zastosowanie przy wykonywaniu analizy zagro

ż

e

ń

i ryzyka (patrz

7.4 w IEC 61508-4). Je

ś

li jej zakres nale

ż

y rozszerzy

ć

(na przykład w celu wł

ą

czenia

szkód

ś

rodowiskowych, które mog

ą

nie wywoływa

ć

uszkodzenia fizycznego lub

nadwer

ęż

enia zdrowia), wymagałoby to uwzgl

ę

dnienia w fazie Analizy Całkowitej

Bezpiecze

ń

stwa (patrz 7.3 w IEC 61508-1).

Zagro

ż

enie

- potencjalne

ź

ródło szkody [Przewodnik ISO/IEC 51:1990]

UWAGA: Niniejszy termin obejmuje niebezpiecze

ń

stwo dla osób, powstaj

ą

ce w krótkim

czasie (na przykład po

ż

ar lub wybuch), a tak

ż

e niebezpiecze

ń

stwo długotrwale

oddziałuj

ą

ce na zdrowie osób (na przykład wydzielanie substancji toksycznych).

Sytuacja zagro

ż

enia

- sytuacja, w której osoba jest nara

ż

ona na

zagro

ż

enie lub zagro

ż

enia.

Zdarzenie zagra

ż

aj

ą

ce

- sytuacja zagra

ż

aj

ą

ca, której wynikiem jest

szkoda.

Ryzyko

- kombinacja prawdopodobie

ń

stwa wyst

ą

pienia szkody i ci

ęż

ko

ś

ci

tej szkody

[ISO/IEC Przewodnik 51:1990 (zmodyfikowany)]

Definicje i skrótowce (PN-EN 61508-4)

W1- 13

Ryzyko tolerowane

- ryzyko akceptowane w okre

ś

lonym kontek

ś

cie

opartym na aktualnych warto

ś

ciach społecznych

Ryzyko resztkowe

- ryzyko pozostaj

ą

ce po zastosowaniu

ś

rodków

bezpiecze

ń

stwa

Bezpiecze

ń

stwo

- niewyst

ę

powanie ryzyka nieakceptowanego

Bezpiecze

ń

stwo funkcjonalne

- cz

ęść

bezpiecze

ń

stwa, odnosz

ą

ca si

ę

do

wyposa

ż

enia sterowanego EUC

(equipment under control) i

systemu

sterowania EUC

, która zale

ż

y od prawidłowego działania systemów

E/E/PE zwi

ą

zanych z bezpiecze

ń

stwem, systemów zwi

ą

zanych

z bezpiecze

ń

stwem wykonanych w innych technikach i zewn

ę

trznych

ś

rodków zmniejszenia ryzyka.

Definicje i skrótowce (PN-EN 61508-4) c.d.

W1- 14

System E/E/PE realizuje funkcje zwi

ą

zane z bezpiecze

ń

stwem

Podsystemy A, B i C składaj

ą

si

ę

z elementów / modułów w których wyst

ę

puj

ą

uszkodzenia o charakterze losowym

Aby ogranicza

ć

zawodno

ść

stosuje si

ę

, kiedy to uzasadnione, nadmiarowo

ść

strukturaln

ą

w podsystemach A, B, C (np. 1oo2, 2oo3).

Formułuje si

ę

kryteria probabilistyczne dotycz

ą

ce systemu E/E/PE dotycz

ą

ce

wyró

ż

nionych rodzajów pracy.

System elektryczny, elektroniczny, programowalny
elektroniczny (E/E/PE) zwi

ą

zany z bezpiecze

ń

stwem

B. Programowalne

urz

ą

dzenie

elektroniczne

Komunikacja

Interfejsy wyj

ś

ciowe

(np. przetworniki C-A)

Interfejsy wej

ś

ciowe

(np. przetworniki A-C)

Urz

ą

dzenia wyj

ś

ciowe

(np. elementy wykonawcze)

Urz

ą

dzenia wej

ś

ciowe

(np. czujniki)

Zasilanie

C. Wy

A. We

W1- 15

Koncepcja

1

Okre

ś

lenie całkowite

zakresu

2

Analiza zagro

ż

e

ń

i ryzyka

3

Wymagania całkowite

bezpiecze

ń

stwa

4

Alokacja

bezpiecze

ń

stwa

5

Wył

ą

czenie z ruchu

lub likwidacja

16

Modyfikacje i odnowa

15

U

ż

ytkowanie, obsługa

i naprawa

14

Całkowita walidacja

bezpiecze

ń

stwa

13

Zainstalowanie

i wprowadz. do ruchu

12

Planowanie

u

ż

ytkowania

i obsługi

6

Planowanie

walidacji

bezpie-

cze

ń

stwa

7

Planowanie

instalowania

i wprowadze-

nia do ruchu

8

Planowanie całkowite

Systemy zwi

ą

-

zane z bezpie-

cze

ń

stwem:

E/E/PE

Realizacja

(zob. cykl

ż

ycia

bezpiecze

ń

stw

a E/E/PE)

9

Systemy zwi

ą

zane

z bezpiecze

ń

stwem

w innych

technikach

Realizacja

10

Zewn

ę

trzne

ś

rodki

do zmniejszenia

ryzyka

Realizacja

11

Powrót do odpowiedniej

fazy cyklu

ż

ycia

bezpiecze

ń

stwa

Zarz

ą

dzanie bezpiecze

ń

stwem funkcjonalnym

w cyklu

ż

ycia

Etap

ANALIZY

(odbiorca,

specjalista)

Etap

REALIZACJI

(dostawca,

u

ż

ytkownik)

Etap

U

Ż

YTKOWANIA

(u

ż

ytkownik /

dostawca)

W1- 16

Bezpiecze

ń

stwo systemu w cyklu

ż

ycia z modyfikacj

ą

oprogramowania (SW) według IEC 61513

SW – software

W1- 17

F

k

jest cz

ę

sto

ś

ci

ą

k-tego scenariusza awaryjnego, szacowan

ą

w przedziale czasu,

zwykle 1 rok [a

-1

]; P

k(x,y)

jest prawdopodobie

ń

stwem warunkowym poszkodowania

osoby znajduj

ą

cej si

ę

w miejscu (x, y) na terenie instalacji przemysłowej lub w jej

otoczeniu po wyst

ą

pieniu k-tego scenariusza awaryjnego.

Ryzyko zdarze

ń

/ scenariuszy awaryjnych i ryzyko

indywidualne

Miar

ę

ryzyka (długoterminowego) zwi

ą

zanego z eksploatacj

ą

zło

ż

onego

obiektu przemysłowego wyznacza si

ę

ogólnie na podstawie zbioru

trójek, które zawieraj

ą

:

•

kolejny scenariusz zdarzenia awaryjnego S

k

,

•

cz

ę

sto

ść

lub prawdopodobie

ń

stwo tego zdarzenia F

k

oraz

•

niekorzystny skutek (szkod

ę

) po jego wyst

ą

pieniu N

k.

}

,

,

{

>

<

=

ℜ

k

k

k

N

F

S

∑

=

k

y

x

k

k

I

y

x

P

F

R

)

,

(

)

,

(

Ryzyko indywidualne

zwi

ą

zane z poszkodowaniem osoby znajduj

ą

cej

si

ę

w miejscu o współrz

ę

dnych (x,y) w wyniku potencjalnych awarii

I

y

x

I

R

R

)

,

(

max

=

W1- 18

Przykładowe poziomy kryterialne ryzyka indywidualnego

R

I

[a

-1

]

10

-3

10

-4

10

-5

10

-6

10

-7

10

-8

R

I

F

R

I

E

R

I

D

R

I

C

R

I

B

R

I

A

Ryzyko nie do przyjęcia; należy zaprzestać
działalności produkcyjnej do czasu
wykazania

poprawy sytuacji

Dopuszczalny poziom ryzyka dla
istniejących obiektów przemysłowych

Należy podjąć działania ograniczające
ryzyko indywidualne

Redukcja ryzyka indywidualnego bez
znaczenia

Wartość graniczna akceptowanego
ryzyka indywidualnego

Wskazana redukcja ryzyka
indywidualnego

Propozycje poziomów

kryterialnych ryzyka

indywidualnego na rok

spotykane w literaturze.

Wa

ż

ne znaczenie

w podejmowaniu

decyzji dotycz

ą

cych

zarz

ą

dzania ryzykiem

maj

ą

publikacje HSE

(W. Brytania):

TOR (Tolerability of risk)

i R2P2 (Reducing risks,

protecting people).

W1- 19

Zasada ALARP (As Low As Reasonably Practicable)

Obszar ryzyka
nietolerowanego

Obszar ryzyka akceptowanego

Nie trzeba stosować zasady
ALARP

Ryzyko pomijalne

Ryzyko nie może być
usprawiedliwione oprócz
wyjątkowych okoliczności

Ryzyko tolerowalne jeśli:
(a) jego dalsza redukcja jest

nierealizowalna lub
ponoszony koszt jest
nieproporcjonalnie duży do
spodziewanej poprawy,

(b) społeczność jest

zdecydowana korzystać
z danej działalności
obarczonej ryzykiem

Nie wymaga się dalszych
środków redukcji ryzyka

Obszar ryzyka tolerowanego,
(zalecana analiza ALARP)

Ryzyko jest podejmowane w
przypadku osiągania korzyści
społecznie użytecznych

II

III

I

Obszary

ryzyka

R

I

Ryzyko indywidualne

10

-4

10

-6

W energetyce j

ą

drowej stosuje si

ę

zasad

ę

ALARA (As Low As Reasonably

Achievable) o nieco odmiennych regułach decyzyjnych.

W1- 20

Matryca ryzyka i ilustracja wymaganej redukcji ryzyka

N

i

– kategorie (przedziały

liczbowe) strat

F

j

- kategorie (przedziały

liczbowe) zdarze

ń

awaryjnych

I, II, III i IV - kategorie

ryzyka, na przykład:

I – ryzyko nieakceptowane
II – ryzyko du

ż

e – do

redukcji

III – ryzyko akceptowane

warunkowo (zasada
ALARP)

IV – ryzyko akceptowane

}

,

,

{

>

<

k

k

k

N

F

S

II

N [j. strat]

F [a

-1

]

N

A

N

B

N

C

N

D

N

E

F

0

F

-1

F

-2

F

-3

F

-4

a

b

c

d

I

I

I

I

I

I

IV

IV

IV

IV

IV

IV

II

II

II

III

III

III

III

III

III

II

II

II

b

*

b

**

Gwiazdki wyst

ę

puj

ą

ce w tej matrycy odpowiadaj

ą

zdefiniowanym scenariuszom awaryjnym (zbiór trójek)

W1- 21

Przykładowe kategorie cz

ę

sto

ś

ci i kategorie skutków

zdarze

ń

przyj

ę

te w definiowaniu matrycy ryzyka

Kategorie

cz

ę

sto

ś

ci

zdarzenia

F

-4

F

-3

F

-2

F

-1

F

0

Okre

ś

lenie

słowne kategorii

zdarzenia

Rzadkie

Mało

prawdopo-

dobne

Sporadyczne

Prawdopo-

dobne

Cz

ę

ste

Przedziały

warto

ś

ci [a

-1

]

(10

-5

, 10

-4

]

(10

-4

, 10

-3

]

(10

-3

, 10

-2

]

(10

-2

, 10

-1

]

(10

-1

, 10

0

]

Kategorie

skutku

zdarzenia

N

A

N

B

N

C

N

D

N

E

Okre

ś

lenie

słowne kategorii

Marginalne

Małe

Du

ż

e

Krytyczne

Katastro-

ficzne

Orientacyjna

liczba poszko-

dowanych

Pojedyn-

cze

obra

ż

enia

Liczne

obra

ż

enia

Pojedyncze

zej

ś

cia

Kilka zej

ść

Wi

ę

cej ni

ż

kilka zej

ść

W1- 22

Współczynnik wymaganego wzgl

ę

dnego zmniejszenie ryzyka za pomoc

ą

E/E/PES (N=const):

avg

F

np

t

np

t

R

PFD

r

F

F

R

R

r

=

=

=

=

/

/

Ryzyko

resztkowe

Ryzyko

tolerowane

Ryzyko zwi

ą

zane

z EUC

Cz

ęś

ciowe ryzyko

pokryte przez

zewn

ę

trzne

ś

rodki

redukcji ryzyka

Cz

ęś

ciowe ryzyko

pokryte przez

systemy E/E/PE

zwi

ą

zane z

bezpiecze

ń

stwem

Cz

ęś

ciowe ryzyko

pokryte przez

systemy

bezpiecze

ń

stwa

innej technologii

Wymagana redukcja ryzyka

Redukcja ryzyka uzyskana przez wszystkie systemy zwi

ą

zane

z bezpiecze

ń

stwem i zewn

ę

trzne

ś

rodki redukcji ryzyka

Ryzyko
wzrasta

Mo

ż

liwa redukcja ryzyka

R

t

= F

t

N

R

np

= F

np

N

∆

R = R

np

- R

t

Zmniejszanie ryzyka w nawi

ą

zaniu do koncepcji

bezpiecze

ń

stwa funkcjonalnego systemu E/E/PE

Krotno

ść

wymaganego zmniejszenia cz

ę

sto

ś

ci

avg

F

p

np

F

PFD

r

F

F

k

/

1

/

1

/

=

=

=

PFD – probability of failure
on demand (prawdopodobie

ń

stwo

niezadziałania na przywołanie)

(np. 10, 100, 1000)

W1- 23

System

- zestaw elementów współdziałaj

ą

cych zgodnie z projektem,

w którym element systemu mo

ż

e by

ć

innym systemem, zwanym

podsystemem; zestaw ten mo

ż

e by

ć

systemem steruj

ą

cym lub

systemem sterowanym i mo

ż

e obejmowa

ć

sprz

ę

t, oprogramowanie

i współdziałanie człowieka

UWAGA: Człowiek mo

ż

e by

ć

cz

ęś

ci

ą

systemu zwi

ą

zanego

z bezpiecze

ń

stwem. Na przykład człowiek mo

ż

e otrzymywa

ć

informacje

z urz

ą

dzenia programowalnego elektronicznego i realizowa

ć

działania

bezpiecze

ń

stwa oparte na tych informacjach lub realizowa

ć

działania

bezpiecze

ń

stwa poprzez urz

ą

dzenie elektroniczne programowalne.

Funkcja bezpiecze

ń

stwa

- funkcja do zaimplementowania przez system

E/E/PE zwi

ą

zany z bezpiecze

ń

stwem, system zwi

ą

zany

z bezpiecze

ń

stwem wykonany w innej technice lub zewn

ę

trzne

urz

ą

dzenie do zmniejszenia ryzyka, której przeznaczeniem jest

osi

ą

gniecie lub utrzymanie stanu bezpiecznego EUC, w odniesieniu

do konkretnego zdarzenia zagra

ż

aj

ą

cego.

System i funkcja bezpiecze

ń

stwa (PN-EN 61508-4)

W1- 24

Przykład sterowni starego typu w elektrowni j

ą

drowej

Westinghouse 2 Loops PWR Reactor

W1- 25

Ocena ergonomicznych aspektów w projektowaniu
sterowni z uwzgl

ę

dnieniem analizy zada

ń

operatorów

podczas sytuacji nienormalnych

W1- 26

Przykład rozwi

ą

zania sterowni w obiekcie

przemysłowym

Umiejscowienie konsoli w sterowni
po analizie czynników ludzkich
z uwzgl

ę

dnieniem zasad ergonomii.

W1- 27

Integrowanie przemysłowych systemów zarz

ą

dzania

niezawodno

ś

ci

ą

i bezpiecze

ń

stwem

System zarz

ą

dzania

eksploatacj

ą

wyposa

ż

enia

System zarz

ą

dzania

zdarzeniami i alarmami

System zarz

ą

dzania produkcj

ą

uwzgl

ę

dniaj

ą

cy aspekty sterowania

jako

ś

ci

ą

,

ś

rodowiskiem, niezawodno

ś

ci

ą

i bezpiecze

ń

stwem.

W1- 28

Projektowanie sterowni zorientowane na człowieka
z analiz

ą

funkcji systemu doradczego oraz funkcji

systemów sterowania i automatyki zabezpieczeniowej

Rozwi

ą

zania sterowni

zorientowane na człowieka-
operatora
– aktualne wyzwania w przemy

ś

le

i energetyce.

W1- 29

Virtual control room (American Nuclear Society) - NUREG/CR-6992 (2009):

Instrumentation and Controls in Nuclear Power Plants: An Emerging

Technologies Update

Lungmen plant simulator—a replica of the main control room
(American Nuclear Society)

W1- 30

Level 0 systems, (i.e., process interface level) form the physical interface between Level 1
subsystems and sensors, actuators, and switchgear. Level 1 systems (i.e., system automation level)
consist of the protection system (PS), safety automation system (SAS), process automation system
(PAS), priority actuation and control system (PACS), and reactor control, surveillance, and limitation
(RCSL) system. Level 2 systems consist of the workstations and panels of the MCR, remote
shutdown station (RSS), technical support center (TSC), process information and control system
(PICS) and safety information and control system (SICS).

W1- 31

System automatyki
procesu

System automatyki
zabezpieczeniowej

U.S. Evolutionary Pressurized Reactor instrumentation and controls
architecture - NUREG/CR-6992 (2009)

Udział procentowy przyczyn wyst

ą

pienia zdarze

ń

awaryjnych w systemach sterowania

Według:
UK Health & Safety Executive. Out of control. Why control systems
go wrong and how to present failure. 2 edition. Crown 2003

W1- 32

Przykładowe wyniki bada

ń

bł

ę

dów popełnianych przez

człowieka w obiektach energetyki j

ą

drowej

Według INPO (Institute of Nuclear Power Operations)

przyczynami sytuacji nienormalnych i awaryjnych były:

• bł

ę

dy specyfikacji i braki dokumentacji

- 43%,

• braki wiedzy i uchybienia szkoleniowe

- 18%,

• bł

ę

dy w instrukcjach i procedurach

- 16%,

• uchybienia w planach i harmonogramach

- 10%,

• bł

ę

dy w komunikacji - 6%,

• niedostateczny nadzór - 3%,

• niewła

ś

ciwa polityka bezpiecze

ń

stwa - 2%,

• inne - 2%.

W1- 33

Uwarunkowania zdarzenia awaryjnego

Niedostateczne
zabezpieczenia

Bł

ę

dy aktywne i bł

ę

dy

utajone

Niebezpieczne

działania

Bł

ę

dy aktywne

Ś

rodowisko sprzyjaj

ą

ce

bł

ę

dom

Popełnienie bł

ę

dów

utajonych

Uchybienia w zarządzaniu

operacyjnym i nadzorze

Wpływ na popełnienie błędów

utajonych

Uchybienia w planowaniu

i decyzjach

Sytuacja sprzyjająca

powstaniu błędów utajonych

Zdarzenie

inicjuj

ą

ce

i interakcje

człowiek -

obiekt

Awaria

Cele produkcyjne, planowanie
obsługi profilaktycznej i remontów

Istotne znaczenie kształtowania
kultury bezpiecze

ń

stwa

w organizacji !

Znaczenie dynamiki
procesu i zdarze

ń

po

wyst

ą

pieniu

zdarzenia inicjuj

ą

cego -

wpływ na wymagany
czas reakcji

W1- 34

Aktualne problemy w zarz

ą

dzaniu bezpiecze

ń

stwem –

analiza potencjalnych bł

ę

dów człowieka

•

Bł

ę

dy człowieka

(szeroko rozumiane) przyczyn

ą

znacznej cz

ęś

ci

wypadków i awarii obiektów technicznych (70-90% zale

ż

nie od

kategorii obiektu)

•

Bł

ę

dy s

ą

popełniane w całym cyklu

ż

ycia

obiektu technicznego

(koncepcja, projektowanie, budowa, uruchamianie, eksploatacja)

•

Eliminowanie bł

ę

dów lub redukowanie ich prawdopodobie

ń

stwa

b

ę

dzie skuteczne

tylko

po rozpoznaniu ich mechanizmów

i uwarunkowa

ń

z ocen

ą

wpływu ró

ż

nych czynników.

W1- 35

Przyczyny potencjalnych zdarze

ń

awaryjnych i czynniki

wpływu warunkuj

ą

ce ich prawdopodobie

ń

stwo

Pierwotne przyczyny zdarzeń nienormalnych i awaryjnych

Błędy

człowieka

Uszkodzenia
wyposażenia

Zdarzenia

zewnętrzne

Błędy

utajone

Błędy

aktywne

Przyczyny

losowe

Błędy

korekcji

Niewłaściwa
eksploatacja

Działania

człowieka

Wpływ

otoczenia

C z y n n i k i w p ł y w u

W1- 36

Bł

ę

dy popełniane przez człowieka w systemie technicznym

Definicja ogólna

•

Bł

ą

d człowieka

-

odej

ś

cie od nakazanych procedur lub standardów

post

ę

powania

, co skutkuje w rezultatach działa

ń

odmiennych od

oczekiwanych, wykraczaj

ą

cych poza dopuszczalne w danych

warunkach pole tolerancji.

Definicja w kontek

ś

cie analizy bezpiecze

ń

stwa

•

Bł

ą

d

(popełniony przez człowieka) –

niewła

ś

ciwe działanie lub

zaniechanie działania przez człowieka

, które wywołuje niezamierzone

skutki w danym systemie, a nawet mo

ż

e przyczyni

ć

si

ę

do wyst

ą

pienia

sytuacji awaryjnej i pogorszenia jej przebiegu.

W1- 37

Miary probabilistyczne zawodno

ś

ci człowieka

Miary probabilistyczne zawodno

ś

ci człowieka zale

ż

ne od rodzaju działa

ń

:

1.

Zadania ci

ą

głe w czasie

(monitorowanie, sterownie, nadzorowanie) -

istotny czas pracy wpływaj

ą

cy na zm

ę

czenie, miara:

cz

ę

sto

ść

/

intensywno

ść

bł

ę

du -

λ

[h

-1

]

(człowiek jak maszyna?)

2.

Zadania mniej uwarunkowane czasowo

- interwencje, obsługa

profilaktyczna i remonty, miara:

q - prawdopodobie

ń

stwo popełnienia

bł

ę

du podczas wykonywania zadania

3.

Zadania uwarunkowane czasowo

- diagnozowanie, planowanie działa

ń

i ich wykonanie, miara:

q

T

- prawdopodobie

ń

stwo bł

ę

du zale

ż

ne od

dost

ę

pnego czasu T na podj

ę

cie decyzji i działanie.

W1- 38

Przykładowa klasyfikacja bł

ę

dów człowieka-operatora

(raporty MAEA)

Kategoria A

- bł

ę

dy przed wyst

ą

pieniem inicjatora awarii (bł

ę

dy

utajone)

Kategoria B

- bł

ę

dy prowadz

ą

ce do wyst

ą

pienia inicjatora awarii

Kategoria C

- bł

ę

dy po wyst

ą

pieniu inicjatora (aktywne)

•

C1 - działania proceduralne

•

C2 - bł

ę

dne działania pogarszaj

ą

ce sytuacj

ę

•

C3 - działania korekcyjne - cz

ęś

ciowo improwizowane, zgodne

z zasadami post

ę

powania - skuteczne je

ś

li pozwala na to czas

i proces jest odwracalny.

W1- 39

Opracowanie

strategii/planu

Zaplanowanie

realizacji

Określenie

problemu

Skojarzenie

sytuacja-działania

Wybór reguły

do realizacji

Rozpoznanie

sytuacji

Odbiór bodźców

(aktywacja)

Działanie

Odruchowe wzorce

zachowań

CELE

Układy

sterowania

Sygnalizacja

i monitorowanie

Czynności

Bodźce

Proces

WIEDZA

REGUŁY

WPRAWA

Rozwiązywanie
problemów

Podejmowanie
decyzji

Realizacja
zadań

Model koncepcyjny SRK –
skill, rule, knowledge

Rodzaje zachowa

ń

człowieka-operatora

według Rasmussena

W1- 40

Błędy uwagi:

- oderwanie uwagi
- pominięcie czynności
- odwrócenie kolejności
- zmiana kolejności
- błędy czasowe

Błędy pamięci:

- pominięcie
zaplanowanej
czynności
- błądzenie
- zapomnienie intencji

Błędy reguł:

- błędne zrealizowanie
właściwej reguły
- wybranie niewłaściwej
reguły

Błędy wiedzy:

- wiele różnych form

Łamanie zasad:

- rutynowe naruszenia
- sporadyczne naruszenia
Akty sabotażu

Przyczyny

:

- nieuwaga
- roztargnienie
- przemęczenie
- słaba koordynacja
wzrokowo-ruchowa
- słabe wyszkolenie

Przyczyny

:

-

przenoszenie znanych

reguł na niesprawdzone
sytuacje

- błędne kojarzenie

i wnioskowanie

Przyczyny

:

- bezmyślność
- nieodpowiedzialność
- frustracja, agresja

Działania

niebezpie-
czne

Niezamierzone

Zamierzone

Pomyłka

Zapomnienie

(Slip)

(Lapse)

Błąd

(Mistake)

Violation

Naruszenie

BŁĘDY

Klasyfikacja działa

ń

i bł

ę

dów człowieka

według Reasona

W1- 41

Faza 3 -
wykonywania

Łamanie zasad:
- akty sabotażu
- akty terroru

Działania

niebezpieczne

Niezamierzone

Zamierzone

Pomyłka (slip)

Zapomnienie
(lapse)

Błąd (mistake)

(Violation)

Naruszenie

Błędy
człowieka
w działaniach
opartych na:
(I) wprawie

Błędy
‘kognitywne’
w działaniach
opartych na:
(II) regułach
(III) wiedzy

Pominięcie

Popełnienie

Pominięcie

Pominięcie

Popełnienie

Popełnienie

Faza 1 -
planowania

Faza 2 -
pamiętania

Integrowanie koncepcji teoretycznych w analizie
wpływu działania / bł

ę

dów człowieka

W1- 42

Przykładowe metody HRA (Human Reliability Analysis)

Technique for Human Error Rate Prediction (

THERP

)

(Swain and Guttmann, 1983)

Accident Sequence Evaluation Program (

ASEP

)

(Swain, 1987)

Cognitive Reliability and Error Analysis Method (

CREAM

)

(Hollnagel, 1998)

Human Error Assessment and Reduction Technique (

HEART

)

(Williams, 1988)

A Technique for Human Event Analysis (

ATHEANA

)

(USNRC, 1998)

Accident Sequence Precursors Human Reliability Methodology (

ASP HRA

)

(USNRC, 1994)

Simplified Plant Analysis Risk (SPAR) HRA methodology (

SPAR-H

)

(USNRC, 2005)

W1- 43

Przykładowa procedura HRA (Human Reliability Analysis)

T

N

N

T

H1.Zdefiniowanie problemu

H3. Identyfikacja błędów

Ocena

i odsiewanie

zasadne ?

H6/A. Analiza celów

i funkcji

bezpieczeństwa oraz

kognitywnych

aspektów działania;

ocena czasu,

uwarunkowań

i kontekstowa analiza

błędów

H4. Reprezentacja

H2. Analiza zadań

H6/O. Ocena

czynników wpływu

i opcji redukowania

ryzyka; ocena

zależności i działań

korygujących

H7. Ocena i odsiewanie

H9. Ocena zawodności

funkcji bezpieczeństwa

H8. Wyznaczenie PB

H5. Wstępne oszacowanie

PB akceptowane ?

H10. Dokumentowanie i wnioski

PB – prawdopodobieństwo

błędu

W1- 44

Działania operatorskie i rodzaje bł

ę

dów

Faza kognitywna

Realizacja

Działanie

Zdarzenie Wykrycie

i diagnoza

Reakcja na

czas

Wykonanie korekcyjno-

naprawcze

Opis sekwencji

S

Sukces

q

3

B3

Błąd wykonania

q

2

B2

Błąd czasowy

q

1

Błąd reakcji/

B1 diagnozy

W1- 45

Prawdopodobie

ń

stwo q

T

bł

ę

du diagnozy w warunkach

ogranicze

ń

czasowych

10

-3

1

1

10

1

q

T

d

m

g

10

-1

10

-2

10

-4

10

-5

10

-6

10

-7

10

2

10

3

T [min]

Wykresy warto

ś

ci:

g – granicznej górnej

m – mediany

d – granicznej dolnej

W1- 46

Przykładowe drzewo zdarze

ń

w analizie bł

ę

dów

człowieka HRA-ET (metoda THERP)

0.01

0.05

0.997

0.99

0.01

0.5

0.5

0.99

0.95

0.003

Nie uwzgl. procedury (pisemnej)

T20-6 #5

EOM (wg pamięci)

T20-7 #5

Niepopr. stosowanie listy (procedury)

T20-6 #8

EOM – długa
lista

T20-7 #4

EOM – długa lista

T20-7 #2

S

1

N

1

S

2

N

2

S

3

N

3

W1- 47

Definiowanie zdarze

ń

uszkodze

ń

i bł

ę

dów w modelowaniu

logicznym i probabilistycznym systemu

A

B

C

D

S e k . a w .

O K

O K

S k u t.1
S k u t.2

S k u t.3

S k u t.1

Z I

Z I1
Z I2
Z I3

C

Z d a r z e n ia b ł

ę

d ó w

n a s z c z y c ie
d r z e w a

Z d a r z e n ia b ł

ę

d ó w

n a n i

ż

s z y c h

p o z io m a c h

C : Z d a r z e n ie
s z c z y t o w e

O b ie k t X

(U k ła d X )

S p r z

ę

t

C z ło w ie k

O b ie k t X 1

(U k ła d X 1 )

S p r z

ę

t

C z ło w ie k

Zbiór zdarze

ń

inicjuj

ą

cych

A, B, C, D, …
zabezpieczenia /
przeciwdziałania
realizowane przez
układy zwi

ą

zane

z bezpiecze

ń

stwem

i/lub człowieka

Metoda ET
(Event Tree)

Metoda FT
(Fault Tree)

W1- 48

Uwagi ko

ń

cowe

•

Rozwi

ą

zania bezpiecze

ń

stwa funkcjonalnego maj

ą

coraz szersze zastosowanie

w przemy

ś

le do racjonalnego sterowania ryzykiem w zło

ż

onych obiektach

podwy

ż

szonego ryzyka; maj

ą

one równie

ż

zastosowanie w elektrowniach

j

ą

drowych (EN 61508 i IEC 61513).

•

We wst

ę

pnej analizie ryzyka przydatne s

ą

jako

ś

ciowe metody modelowania

probabilistycznego scenariuszy awaryjnych, które powinny by

ć

nast

ę

pnie

uzupełnione metodami półilo

ś

ciowymi, a najlepiej metodami ilo

ś

ciowymi.

•

Czynniki ludzkie i organizacyjne wywieraj

ą

istotny wpływ na bezpiecze

ń

stwo

zło

ż

onego obiektu podwy

ż

szonego ryzyka, w tym elektrowni j

ą

drowych.

•

Czynniki te s

ą

uwzgl

ę

dniane w wyznaczaniu prawdopodobie

ń

stw bł

ę

dów

człowieka (stosowanie odpowiedniej metody HRA) w analizie bezpiecze

ń

stwa

funkcjonalnego.

•

Czynniki ludzkie i organizacyjne mog

ą

wpływa

ć

istotnie na wyst

ę

powanie

zale

ż

no

ś

ci pomi

ę

dzy warstwami zabezpieczeniowo – ochronnymi; powinny by

ć

one uwzgl

ę

dnione starannie w cało

ś

ciowej analizie ryzyka.

W1- 49