Теоретические положения. Дерево событий (ДС) используется для анализа последовательности (вариантов, сценариев) развития отказа системы (происшествия)

Дерево событий (ДС) используется для анализа последовательности (вариантов, сценариев) развития отказа системы (происшествия), включающей сложные взаимосвязи между техническими элементами обеспечения безопасности. Вероятность каждого сценария развития аварийной ситуации рассчитывается путем умножения вероятности первичного события на вероятность конечного события.

Рассмотрим пример. Предположим, что анализируемой системой является операция заточки инструмента. Определим события, которые должны быть предотвращены как нежелательные при этом операции.

1. Касание кистью и пальцами наждачного круга.

2. Контакт локтевой части руки с кругом.

3. Попадание одежды в станок.

4. Попадание металлической крошки в глаз.

5. Электрический удар из-за плохого заземления.

6. Воспламенение из-за перегрузки двигателя.

Разумеется, это примерный перечень нежелательных событий, но он достаточен для примера. Более подробный список можно составить на основании записей об авариях за прошлое время. В данном примере предполагается, что нет существенной разницы в серьезности последствий каждого из перечисленных событий.

Затем разделим перечисленные события на несовместные группы. События 1 и 2 тесно связаны и могут анализироваться совместно. То же справедливо для пары событий 5 и 6. Событие 4 обособлено и должно рассматриваться отдельно. Событие 3 можно рассматривать, как часть группы, в которую входят события 1 и 2, но оно относится к одежде, а не к прямому контакту, поэтому его можно изучать отдельно.

Теперь для четырех групп можно сформулировать четыре головных события:

Для каждого из этих головных событий можно начать построение дерева отказов согласно описанному анализу.

На рис. 1 показано дерево причин для головного события «Попадание частиц в глаз (заточка)».

Это дерево причин служит для анализа несчастного случая, связанного с повреждением глаза, который может произойти при операции заточки инструмента.

Сначала анализируются входы операции ИЛИ. В сферу рассмотрения могут попасть две несовместимые и исчерпывающие все возможности категории лиц: 1) операторы; 2) неоператоры. Допустим, что, если очки надеты, то повреждений не происходит. Тогда несчастному случаю могут сопутствовать два показанных на схеме события.

На этом этапе полезно ознакомиться с регистрацией происшествий. Предположим, опыт показывает, что с очень малым количеством операторов происходят несчастные случаи, т. к. они почти все время носят защитные средства. Событие с оператором заключено в ромбик, т. к. нет смысла его анализировать дальше, хотя это возможно.

Допустим, что согласно записям, основная доля попавших в рассматриваемые происшествия – неоператоры. Теперь желательно проанализировать это событие, чтобы выявить его причины. Следует попытаться подробнее разделить класс неоператоров. Предположим, что нет существенных различий между неоператорами или между различными последствиями такого разделения. Переходим к объединению событий с помощью операции «И». Эта операция дает ответ на вопрос: «Что должно произойти?», а не «Что могло бы произойти?»

Для того чтобы получил травму неоператор, должно произойти четыре события. Они перечислены под знаком «И» на рис. 2. Первые три события не являются соподчиненными друг другу, но четвертое оказывается условным, поскольку оператор не может остановить неработающий станок.

Событие «Мотивы войти в зону» анализируется по особым причинам. Допустим, многие из неоператоров вынуждены подходить к стеллажу с инструментом, находящемуся в зоне станка. Для проводимого анализа неважно, почему стеллаж расположен именно так, и мы не будем разбираться в этих деталях.

Можно использовать другую систему логических знаков при построении деревьев опасности, учитывая, что сложение – ИЛИ, перемножение – И.

Пример. Будем считать, что для гибели человека от электрического тока необходимо и достаточно включения его тела в цепь, обеспечивающую прохождение смертельного тока (нежелательного высвобождения энергии электрического заряда). Следовательно, чтобы произошел несчастный случай (событие А), необходимо одновременное наложение, по меньшей мере, трех условий: наличие потенциала высокого напряжения на металлическом корпусе электроустановки (событие Б), появление человека на токопроводящем основании, соединенном с землей (событие В), и касание его телом корпуса электроустановки (событие Г). В свою очередь, событие Б может быть следствием любого из двух событий-предпосылок Д и Е: понижение сопротивления изоляции токоведущих частей или касание ими корпуса по причине раскрепления; событие В также обуславливается двумя предпосылками Ж и З (вступлением человека на токопроводящее основание или касанием его туловищем заземленных элементов помещения); событие Г – результатом появления одной или трех предпосылок И, К и Л – возникшей потребностью ремонта, техобслуживания или использования электроустановки по назначению (рис. 2).

Анализ дерева происшествий состоит в выявлении условий, минимально необходимых и достаточных для возникновения или невозникновения головного события, т. е. имеются или нет пути между ним и соответствующим набором предпосылок. В одной модели может быть несколько минимальных сочетаний исходных событий, приводящих в совокупности к данному происшествию. В нашем случае имеется двенадцать минимальных пропускных (аварийных) сочетаний: ДЖИ, ДЖК, ДЖЛ, ДЗИ, ДЗК, ДЗЛ, ЕЖИ, ЕЖК, ЕЖЛ, ЕЗИ, ЕЗК, ЕЗЛ и три минимальных отсечных (секущих) сочетания: ДЕ, ЖЗ и ИКЛ, исключающих возможность появления происшествия при одновременном отсутствии образующих их событий.

Аналитическое выражение появления исследуемого несчастного случая (события А) с помощью структурных функций (алгебры событий) имеет следующий вид:

А = (Д+ Е)(Ж+ З)(И + К+ Л).

Подставив вместо буквенных символов в данной формуле вероятности соответствующих предпосылок, можно получить априорную оценку риска гибели человека от электрического тока.

Основными достоинствами моделирования опасностей с помощью дерева опасностей (событий) способствующими его широкому применению, являются простота, наглядность и легкость математической алгоритмизации исследуемых процессов с помощью ЭВМ. Однако булевый характер рассматриваемых событий не позволяет учесть разновременность изменения параметров человеко-машинных систем. Кроме того, нельзя представить циклические процессы (петли). Для этого нужно строить дополнительные деревья, что усложняет анализ.

Пример. Допустим, в ходе выполнения предварительного анализа опасностей было выявлено, что критической частью системы M, создающей риск происшествия, является подсистема N.

Анализ начинается с просмотра последовательности возможных событий при отказе элемента подсистемы N, (инициирующего события), вероятность наступления которого равна P_A (рис. 3), т. е. конечное событие (происшествие) начинается с события A – отказа (разрушения, поломки) элемента подсистемы N

Далее анализируются возможные варианты развития событий (B, C, D и E), которые могут последовать за разрушением этого элемента. На рис. 3. изображено дерево состояний, отображающее возможные альтернативы развития отказа А. На первой ветви рассматривается состояние системы при разрушении по причине I. Далее подвергается анализу причина II и т. д.

Рис. 3. Дерево событий

При использовании в анализе двоичной системы счисления, т. е. в предположении, что элементы системы либо выполняют свои функции (работоспособны), либо отказывают (неработоспособны), число потенциальных отказов равно 2n–1, где n – число элементов подсистемы N. На практике исходное дерево событий можно упростить с помощью инженерной логики и свести к более простому дереву.

В первую очередь представляет интерес вопрос о работоспособности подсистемы N. Вопрос заключается в том, какова вероятность P_B отказа этой подсистемы и какое действие ее отказ оказывает на другие подсистемы. Например, если к подсистеме нет подвода энергии, фактически никакие действия, предусмотренные на случай происшествия с использованием этой подсистемы, не могут производиться. В результате упрощенное дерево событий не содержит выбора в случае отсутствия подвода энергии (т. е. управления), и может произойти происшествие, вероятность которого равна P_A(P_B).

В случае, если отказ в подводе энергии происходит из за повреждения коммуникаций (энергопровода) системы, вероятность PB следует считать как условную вероятность, чтобы учесть эту зависимость. Если подвод энергии обеспечивается, то последующие варианты анализа дерева событий зависят только от состояния подсистемы N. Система защиты подсистемы N может работать или не работать, и ее отказ с вероятностью P_C1 ведет к последовательности событий, изображенной на рис. 3.

Рассмотрев все варианты дерева событий, можно получить спектр возможных ущербов и соответствующие вероятности для различных последовательностей развития происшествия (рис. 3).