Содержание к диссертации
Введение
ГЛАВА 1 Основные принципы моделирования безопасности 14
1.1 Использование вероятностных оценок для анализа безопасности опасных производственных объектов 15
1.2 Основные подходы к построению моделей сложных систем 24
1.2.1 Иерархические модели 24
1.2.1.1 Преимущества, недостатки и применимость иерархических моделей 25
1.2.2 Макроуровневые модели 26
1.2.2.1 Преимущества, недостатки и применимость макроуровневых моделей 28
1.3 Краткий обзорный анализ методов оценки безопасности 29
1.3.1 Потоковые графы 29
1.3.1.1 Математический аппарат 3 О
1.3.1.2 Применимость потоковых графов 30
1.3.2 «Деревья отказов» 31
1.3.2.1 Математический аппарат 31
1.3.2.2 Применимость «деревьев отказов» 3 2
1.3.3 Функциональные сети GERT 33
1.3.3.1 Математический аппарат ^ 3 5
1.3.3.2 Применимость сетей GERT : 37
1.3.4 Имитационное моделирование процессов в сложных системах 37
1.3.4.1 Внешнее и внутреннее описание сложной системы 38
1.3.4.2 Процессы в сложных дискретных системах 40
1.4 Краткий обзор существующих программных средств оценки риска 41
1.5 Основные выводы к первой главе 43
ГЛАВА 2 Основные подходы к построению экспертной системы оценки техногенного риска и оптимизации мер безопасности 44
2.1 Разработка имитационной модели процесса возникновения аварии в человеко-машинной системе 44
2.1.1 Факторы опасности 45
2.1.1.1 Оценка факторов опасности. Бально-лингвистическая шкала 49
2.1.2 Типовой алгоритм деятельности оператора в человеко-машинной системе 51
2.1.2.1 Логико-лингвистическое моделирование процесса возникновения происшествия в человеко-машинной системе 52
2.1.2.2 Состояния человеко-машинной системы 55
2.1.3 Формализованная постановка цели имитационного моделирования 57
2.1.3.1 Постановка задачи оптимизации выбора комплекса мер безопасности 58
2.1.3.2 Требования к имитационной модели процесса возникновения аварии 5 9
2.1.4 Формализация логико-лингвистической модели возникновения происшествия 60
2.1.4.1 Основные принципы, положенные в основу формализации 60
2.1.4.2 Входные данные имитационной модели 62
2.1.4.3 Выходные данные имитационной модели 64
2.1.4.4 Содержание моделируемого процесса, схема испытаний 65
2.1.5 Моделирование факторов опасности 67
2.1.5.1 Стохастические и детерминистские узлы 67
2.1.5.2 Функция принадлежности индекса опасности 68
2.1.5.3 Датчики случайных чисел 71
2.1.5.4 Подбор параметров законов распределения 74
2.1.6 Стохастические узлы разветвления имитационной модели 75
2.1.6.1 Определение параметров стохастических узлов 75
2.1.7 Структура имитационной модели процесса возникновения аварии 76
2.2 Оптимизация мер безопасности на опасном производственном объекте 79
2.2.1 Основные способы решения оптимизационных задач 79
2.2 А Л Линейная выборка 80
2.2.1.2 Рестриктивная выборка 81
2.2.1.3 Алгоритм полного перебора 81
2.2.2 Применение алгоритмов целочисленного программирования 83
2.2.2.1 Алгоритм целенаправленного перебора допустимых решений 84
2.3 Автоматизация выставления балльно-лингвистических оценок факторов опасности 85
2.3.1 Экспертная оценка лингвистических значений факторов опасности методом
средневзвешенного 86
2.4 Основные выводы ко второй главе 91
ГЛАВА 3 Исследование и совершенствование имитационной модели процесса возникновения аварии на ОПО 94
3.1.1 Применение метода статистических испытаний модели 94
3.1.1.1 Входные данные и параметры алгоритма 94
Определение числа опытов и прогонов модели 95
Выходные данные 97
Алгоритм просчёта модели для метода статистических испытаний 99
Обработка частот моделируемых событий высокого порядка малости 100
Анализ индекса опасности как случайной величины 101
Анализ чувствительности имитационной модели 102
Совершенствование базовой имитационной модели 103
Построение «устойчивой» модели 103
3.2.1.1 Учёт неопределённости исходных данных 103
3.2.1.2 Моделирование эффекта "насыщения" 106
3.3 Алгоритмы аналитического просчёта модели 109
3.3.1 Алгоритм № 1 («базовый») 109
3.3.1.1 Характеристика «базового» алгоритма 109
3.3.1.2 Описание «базового» алгоритма 110
3.3.2 Алгоритм № 2 («устойчивый») 115
3.3.2.1 Характеристика «устойчивого» алгоритма 115
3.3.2.2 Описание «устойчивого» алгоритма 115
3.3.2.3 Анализ влияния точечной аппроксимации наклонного участка функции лн (к)
на математическое ожидание и дисперсию индекса опасности 119
3.3.3 Алгоритм № 3 («приближённый») 128
3.3.3.1 Характеристика «приближенного» алгоритма 12 8
3.3.3.2 Описание «приближенного» алгоритма 128
3.3.3.3 Анализ закона распределения накопленного индекса опасности на входах «клапанов» 129
3.3.3.4 Обработка стохастических узлов разветвления при моделировании 131
3.4 Применимость различных алгоритмов просчёта модели (выводы) 13 3
ГЛАВА 4 Апробация экспертной системы при решении оптимизационной задачи по совершенствованию безопасности опо (на примере изотермического хранилища жидкого аммиака) 135
4.1 Цель и задачи сравнительного анализа вероятности возникновения аварии на складе жидкого аммиака с изотермическим хранилищем 135
4.2 Краткое описание анализируемой технологической схемы 13 5
4.3 Краткое описание тяжелой аварии на аналогичном объекте 137
4.4 Идентификация опасности на складе жидкого аммиака 142
4.5 Исходные данные для имитационного моделирования процесса возникновения происшествия и их источники 143
4.6 Результаты оценки вероятности возникновения аварии на складе жидкого аммиака 180
4.7 Анализ неопределенности полученных результатов 182
4.8 Рекомендации по снижению вероятности возникновения происшествия на складе жидкого аммиака 183
4.8.1 Оценка величины предотвращенного ущерба от возможной аварии при внедрении рекомендуемых организационно-технических мероприятий 184
4.8.2 Оценка эффективности применения охранной электронной сигнализации на складе жидкого аммиака с изотермическим хранилищем фирмы ТЕС (Япония) 185
4.9 Итоги сравнительного анализа реконструкционных мероприятий (выводы) 186
Заключение 188
Библиографический список использованной литературы
- Основные подходы к построению моделей сложных систем
- Типовой алгоритм деятельности оператора в человеко-машинной системе
- Алгоритм просчёта модели для метода статистических испытаний
- Краткое описание анализируемой технологической схемы
Введение к работе
Нет необходимости перечислять крупные аварии и техногенные катастрофы, произошедшие в XX веке. Все они подробно описаны и систематизированы, сделан анализ причин, которые принимаются во внимание при проектировании и эксплуатации современных опасных производственных объектов (ОПО). Сведения об известных авариях и причинах их возникновения достаточно широко представлены в отечественных и зарубежных информационных источниках [1, 21, 74, 89, 94, 103, 109, 119, 149, 151, 152 и др.], в периодических журналах «Безопасность труда в промышленности», «Проблемы безопасности при чрезвычайных ситуациях», в ежегодных государственных докладах надзорных органов РФ [31, 32]. К основным причинам аварий на ОПО относятся ошибки персонала, отказы и неполадки оборудования, а также нерасчетные воздействия со стороны рабочей и внешней среды. Казалось бы, накоплен солидный опыт в деле предупреждения и ликвидации аварий, проанализированы и вскрыты причины и условия их возникновения, принимаются последующие соответствующие меры безопасности на однотипных ОПО. Однако кривая роста количества и тяжести аварий и техногенных катастроф не обнаруживает заметных тенденций к качественному снижению[1, 8, 74, 84]. Основных ответов на это противоречие, по-видимому, два:
Научно-технический прогресс и развитие производительных сил общества приводят к всё возрастающему насыщению техносферы рукотворными (техническими) объектами, в которых аккумулированы искусственные энергетические запасы, представляющие потенциальную опасность для человека и окружающей среды.
Существует некоторое преобладание апостериорных методов над априорными методами предупреждения и снижения тяжести последствий возможных аварий. На практике большинство мер безопасности носят характер «методов пожарной команды». (Как правило, эти методы имеют ярко выраженную популистскую основу, — чем крупнее авария, тем эффектней спасение).
Первый пункт обычно не вызывает серьезных возражений. Действительно, человек создает технические объекты из утилитарных соображений, как устройства, совершающие полезную (для человека) работу. Непременным условием совершения любой работы является изменение (уменьшение) потенциала запасенной в техническом объекте энергии (или -подводимой к нему). «С точки зрения энергии» едино, какую работу совершать - полезную или «вредную» для человека. Диссипация - одно из основных свойств энергии, другими словами, энтропия любой замкнутой системы, предоставленной самой себе, в т.ч. согласно второму началу термодинамики, самопроизвольно увеличивается. Рукотворный технический объект направляет этот процесс в определенное, ограниченное искусственное русло для со-
вершения помимо диссипации и полезной с точки зрения человека работы. Любое отклонение от такого процесса «более естественно», чем искусственные рамки совершения полезной работы, что может привести, в конечном счете, к самопроизвольному высвобождению накопленной в техническом объекте энергии - к аварии. Поэтому любой технический объект, имеющий или использующий искусственный запас энергии, потенциально опасен. К тому же скорость нарастания численности технических объектов в техносфере сопоставима или больше интегральной скорости увеличения их системной надежности (хотя вновь строящиеся ОПО имеют более высокую надежность, однако надежность эксплуатирующихся ОПО только снижается со временем) [1, 5, 6, 7, 12, 103, 119].
Для рассмотрения второго пункта причин современного состояния аварийности и травматизма необходимо, прежде всего, определиться в используемых ниже понятиях и терминах. Примем в качестве рабочих следующие определения: Опасность - возможность причинения ущерба кому- или чему-либо.
Ущерб - качественное и(или) количественное изменение свойств рассматриваемого объекта в худшую сторону. Риск - мера опасности.
Для ОПО полный риск эксплуатации R может численно определяться математическим ожиданием ущерба 7при его функционировании:
R = M[Y]. (1)
Определим и обозначим так же следующие события: Событие А - авария на ОПО (нерасчетное высвобождение энергии); Событие С/ - реализация аварии по /-му сценарию; Событие В і -причинение ущерба д>; ОПО и (или) сторонним объектам. Тогда формулу (1) можно представить следующим образом:
Я=М[7\=%Р(В,>У,, (2)
где Р(В,) - вероятность причинения ущерба у, ОПО и (или) сторонним объектам.
Последнее выражение (2) полезно разбить на два слагаемых - риск аварии Ra и штатный
рискуя/, т.е.:
и-1 т
R=RA+Rm= 5>(Д,) У і + [Р(Вп) * 1]- ЪУщ , (3)
где уп. - размер средних ущербов, причиняемых ОПО и(или) сторонним объектам при его штатном функционировании. К основным из них относят убытки ОПО от деятельности других хозяйствующих субъектов - уТЭО и платы за загрязнение окружающей среды - уоос .
Оценка величины уоос на стадии проектирования проводится с помощью процедуры
оценки воздействия предполагаемой деятельности на окружающую среду (ОВОС), а на стадии эксплуатации ОПО - с помощью нормативно-лимитирующих документов, устанавливающих допустимые выбросы в атмосферу (том ПДВ), сбросы в водные объекты (том ПДС)
и лимиты размещения отходов. Оценка величины утэо на начальной стадии проектирования
проводится с помощью процедуры технико-экономического обоснования намечаемой деятельности (ТЭО), а на стадии эксплуатации - с помощью процедуры аудита финансово-экономического характера. Более не будем останавливаться на методах определения величин, составляющих штатный риск Rm, т.к. это выходит за рамки настоящей работы.
и-1
Оценка же величины риска аварии Ra = ^P(Bt)- yi как на этапе проектирования, так и
i=i
на этапе эксплуатации ОПО проводится в рамках процедуры декларирования промышленной безопасности ОПО или иных процедур, требующих проведение анализа риска.
Члены произведения первого слагаемого формулы (3) отличаются от аналогичных членов второго слагаемого тем, что величины вероятностей очень малы, а величины возможных ущербов наоборот весьма высоки.
Условимся далее под терминами «риск», «техногенный риск», «аварийный риск» понимать риск нештатного функционирования ОПО - риск аварии Ra, что принято во многих публикациях (см., например [7, 63, 73, 78, 97, 119, 141, 153 и др.]).
Подробнее остановимся на общих методах оценки риска аварии Ra. Для этого сначала определим событие В і через события А и С і (определения см. выше):
Bi = AnQ. (4)
Т.к. события А и С; являются совместными, то искомая вероятность события, связанного с причинение ущерба^, ОПО и(или) сторонним объектам, определяется как:
Р(В,) = Р(А n Q) = Р{А) P{Ct І А). (5)
Подставляя выражение (5) в формулу (3), получим:
*=(я-1)
R=RA+Riu= ХР(Л)-/>(С,.|Л)-.у,. +уоос + утэо, (6)
/=1
І>(с,И)^,.
или в более сжатом виде для риска аварии Ra'. RA=fjP(A)-P(C\A)-y = [P{A)\
(7)
1=1
/=1
Первый член [Р(А)] произведения выражения (7) описывает и характеризует причинные
составляющие риска аварии Ra, а второй член
2>(С,.|Л)^,.
последствия возможной
аварии.
Оценка последствий возможных аварий на ОПО (т.е. нахождение в выражении (7) второго члена) является в настоящее время достаточно изученным вопросом - существуют многочисленные методики оценок последствий, которые хорошо зарекомендовали себя на практике [71, 75, 76, 78, 82]. В большинстве своем они базируются на методах анализа «деревьев событий» - сценариев развития аварии. На рис. 1 приведен пример одного из таких «деревьев». Подчеркнем, что здесь используются условные, а не истинные вероятности, причем условием является факт наступления события-аварии: головного события.
СЦЕНАРИИ 1.
Условная вероятность сценария P(Ci \ А) — 0,5
Ущерб yi - 100 ед.
Таким образом, анализ последст-
СЦЕНАРИИ 2.
Условная вероятность сценария Р(С2 \А) = 0,3
Ущерб у2 = 500 ед.
АВАРИЯ произошла
СЦЕНАРИИ 3.
Условная вероятность сценария P(Cj \А) = 0,2
Ущерб J>J= 1000 ЄД.
Рис.1. «Дерево событий» (исходов возможной аварии)
вии возможных аварий привязан к кон
кретному объекту и отражает его инди
видуальную специфику
(местоположение, энергетические запа
сы, особенности технологии и т.д.).
Сложнее обстоит дело с оценкой вели
чины вероятности возникновения самой
аварии - Р(А). Существующие методики
оценки величины Р(А) - сложны, громоздки и трудоемки в основном из-за отсутствия, недоступности, неточности и неопределенности исходных данных, а также высокой трудоемкостью оценочных работ [7, 27, 47, 119, 153]. Поэтому на практике, обычно величину Р(А) принимают исходя из среднестатистических оценок по отрасли для данного типа ОПО, что не отражает специфику отдельных ОПО. К тому же из рассмотрения зачастую выпадают некоторые причины возникновения аварий и, соответственно, становится затруднительным рекомендовать индивидуальные меры безопасности, направленные на предупреждение аварии на отдельных ОПО, хотя, как показывает практика, меры по снижению вероятности аварии на 2-3 порядка эффективнее мер, направленных на снижение возможных ущербов по критерию «затраты-результаты» [7, 57, 102, 109, 149].
Одно из возможных решений создавшейся проблемной ситуации представляет собой оценка вероятности возникновения аварии1 Р(А) с помощью моделирования процесса возникновения происшествия в системе «Персонал-Оборудование-Рабочая среда». В частности,
Здесь и далее под вероятностью аварии понимается вероятность наступления инициирующего головного события (например, разгерметизация резервуара), приводящего к развитию аварийного процесса по тому или иному сценарию с определенными последствиями.
9 имитационное моделирование в известной степени является компромиссным решением между неопределенностью исходных данных и точностью получаемых оценок. Кроме того, с помощью полученных моделированием исходных данных можно оптимизировать применение комплекса мер безопасности, направленных на снижение Р(А), т.е. на предупреждение аварий на отдельном ОПО.
Основные подходы к построению моделей сложных систем
Как известно, сложность системы может быть преодолена путём её декомпозиции на
более простые подсистемы, которые, в свою очередь, тоже могут быть декомпозированы, и так - до требуемого уровня вложенности [47, 120]. Сначала начинают рассматриваться элементы низших уровней абстракции, из которых затем строятся более сложные системы.
Важно отметить, что не может быть единственной модели исследуемой системы: существует множество моделей, каждая из которых обладает характерными свойствами и пригодна для изучения определённого класса вопросов, связанных со структурой и функционированием системы [14, 47, 54, 111, 123], т.е. зависит от предмета исследования.
Сложность характеризуется также не только совокупностью большого числа различных объектов, но и типом связи между ними. Поведение одних объектов может влиять на поведение других. Поэтому для построения иерархической модели необходимы: методы создания микроуровневых моделей; методы моделирования связей между микроуровневыми моделями и их группами.
В ходе декомпозиции сложной системы на подсистемы необходимо выбрать максимальную "глубину". В качестве предельного случая для человеко-машинных систем можно рассмотреть декомпозицию вплоть до элементов технических устройств (узлы, агрегаты или даже отдельные конструктивные единицы).
Другое возможное решение для этого случая может быть представлено в виде следующей общей схемы:
1. Характеристики безотказности (интенсивность потока отказов, среднее время наработки на отказ) отдельных устройств могут быть получены с использованием методов теории надёжности [62, 102, 119]: метод путей и сечений, логико-вероятностный метод, метод псевдоэлементов. Эти методы обладают рядом ограничений характерных для простых систем, поэтому они не применимы в полной мере для анализа обобщён 25 ных схем, сложных систем. Например, метод псевдоэлементов предполагает, что количество отказов в потоке имеет пуассоновский закон распределения и поток является элементарным. Это ограничение применимо к отказам устройств, но никак не к процессам, происходящим в элементах сложной системы. Например, в последние годы на магистральных нефтепроводах России резко увеличилось количество несанкционированных врезок с целью хищений [1, 31, 32], поэтому даже для таких простых элементов, как отрезок трубопровода, поток отказов зависит от ярко выраженной субъективной составляющей и все более отдаляется в своем виде от пуассоновского.
2. На подсистемах более высокого уровня абстракций могут быть использованы методы моделирования, описанные в [7, 9]: потоковые графы[26, 101], деревья отказов и со-бытий[13, 119], функциональные сети стохастической структуры -типа PERT[2, 62, 85, 114] илиСЕШ ІЗО, 137, 147].
3. Наконец, для описания модели в целом и связей между объектами, можно предложить метод "Ресурсы-Действия-Операции", изложенный в [47]. Между данным уровнем абстракции и уровнем предыдущего пункта не всегда можно провести чёткую границу. Отметим, что на любом из уровней также возможно применение метода статистических испытаний [16, 69,123].
К преимуществам иерархических моделей можно отнести возможность создания точных и эффективных микроуровневых моделей, а также потенциальную возможность (в частном случае) создания достаточно полной и точной модели сложной системы в целом.
Наиболее существенный недостаток - это временные затраты на создание такой модели. Модель получается настолько объёмной, что на её создание потребуется значительное время и это может обесценить ее полезность. Возрастает число ошибок при реализации связей между отдельными объектами, время на модификацию модели, к тому же вычислительные затраты на получение результата могут оказаться недопустимо высокими.
Для систем, сложность которых превосходит некоторый порог, точность и практическая ценность информации моделирования становятся исключающими друг друга характеристиками2. В качестве наглядного примера можно привести моделирование состояния погоды: так расчёт температуры воздуха на сутки вперёд с помощью известных микроуровневых закономерностей и использования современной вычислительной техники с точностью до 1/10 градуса потребует около месяца временных затрат, а с точностью до 1 градуса - нескольких часов. Таким образом, точность модели может войти в противоречие с её полезностью.
Еще одно замечание касается класса моделируемых объектов. Так для ПОрС-системы, если в рассмотрение не включать людей (обслуживающий персонал) и окружающую среду, то декомпозиция даст подсистемы, для которых существуют достаточно отработанные, хотя и трудоемкие методы оценки риска[7, 9, 29, 97, 119, 142]. Наиболее известные из них: FTA(Fault Tree Analysis) - «деревья отказов»; ETA(Event Tree Analysis) - «деревья событий»; АВПО(АВПКО)1 - анализ видов, последствий и критичности отказов; HAZOP (Hazard and Operability Study) - анализ опасности и работоспособности и др.. В противном случае появляются такие элементы сложности (например, человек) и типы связей, которые не поддаются точному математическому описанию - с использованием рассмотренных подходов, что делает модель в этом случае малополезной и указывает на необходимость применения других методов моделирования.
Таким образом, рекомендовать подход построения иерархических моделей можно только до определённого уровня сложности моделируемой системы. В случае его превышения, теряется полезность модели, становятся неприемлемыми её стоимость и сложность. На-пример,разработка математической модели системы ПВО США «Сейдж» заняла 6 тыс. человеко-лет [122], а только трудозатраты построения типичного «дерева отказа» оцениваются более чем в тысячу человеко-дней [132].
Кроме того, неопределённость, присущая поведению человека, не может быть сведена лишь к случайности и точно описана традиционными вероятностно-статистическими методами [54].
Типовой алгоритм деятельности оператора в человеко-машинной системе
С помощью такого моделирования можно наглядно показать выстраивание причинной цепи предпосылок аварии. В основу ЛЛМ [46] положен учёт влияния свойств человеко-машинной системы на качество выполнения человеком основных этапов операторской деятельности.
Модель представляет собой функциональную сеть стохастической структуры(рис. 2.4). Реализация событий, обозначенных ромбами и прямоугольниками, имеет случайный характер и может быть осуществлена через различные последовательности предшествующих событий и расположения стохастических узлов разветвления. Основание, ветви и листья этой сети образованы свойствами отдельных компонентов человеко-машинной системы и связями между ними. Элементы алгоритма и механизма возникновения причинной цепи происшествия показаны на рис. 2.4 прямоугольниками с двойной рамкой, а связи между ними - линиями со стрелками (обозначения приведены в соответствии с табл. 1.2).
Кратко остановимся на описании причинно-следственных связей в человеко-машинных системах и топологии логико-лингвистической модели.
Известно, что человек, руководствуясь знанием технологии работ и имеющимся у него опытом, обычно создает концептуальную модель выполняемой операции, позволяющую ему после исполнения конкретных действий ожидать определенную информацию и подготовиться к последующим действиям [17, 56, 60, 61].
Однако действительная информация о состоянии выполняемых работ может отличаться от информации, ожидаемой человеком, и это несоответствие между ними может им восприниматься или не восприниматься.
После приёма, преобразования и дешифровки информации о действительном состоянии рассматриваемых работ и сравнения её с ожидаемой, возможны следующие альтернативные исходы:
1) действительная информация идентична ожидаемой и правильно воспринята работающим (см. на рис. 2.4 - состояние ИИП);
2) действительная информация не идентична ожидаемой, но правильно (без искажений) воспринята и преобразована человеком - состояние модели НИП;
3) оба вида информации в действительности идентичны, однако реальная информация искажена работающим при ее приеме, преобразовании или декодировании (состояние НИИ);
4) оба вида информации в действительности не идентичны, при этом информация о реальном состоянии выполняемой работы дополнительно искажена человеком в процессе ее восприятия и дешифровки - состояние НИИ.
Указанные четыре события представляют собой полную группу возможных (после приема, дешифровки и преобразования информации) исходов и располагаются после соответствующего стохастического узла-разветвления сети (рис. 2.4). В трех последних случаях уместно утверждать о появлении возмущений в исследуемой системе, приводящих к нарушению ее равновесия (возникновению особых состояний); тогда как в первом из них можно предполагать, что выполняемая операция закончится успешно, и в системе будет наблюдаться состояние динамического равновесия - гомеостазиса.
При нарушении равновесия в исследуемой системе, принципиально возможны следующие альтернативные исходы: его полное или частичное восстановление, а также невозможность своевременного устранения возмущения и предупреждения вследствие этого опасных последствий (см. на рис. 2.4 соответствующие события в центральной части модели - слева). В случае обнаружения человеком-оператором возникших возмущений, у него может возникнуть потребность в принятии решения о вмешательстве в процесс - с целью корректировки.
При принятии решений о порядке действий в таких условиях, человек обычно руководствуется субъективно оцениваемой им мерой потенциальной опасности и собственными возможностями, определяемыми его психофизиологическими качествами - степенью внимания, оперативностью мышления, способностью точного прогноза, уровнем мотивации и знанием порядка действий в подобных нестандартных ситуациях. С учетом этого он выбирает "оптимальную" для него альтернативу и осуществляет необходимые (наилучшие - в его представлении) действия, которые в действительности могут быть либо точными, либо ошибочными.
Отказ от каких-либо действий в такой ситуации, например, вследствие временного замешательства или потери самообладания, можно рассматривать как отдельную альтернативу, изображенную на рис. 2.4 после соответствующего стохастического узла-разветвления -"Бездействие человека".
Если принятое решение и действия работающего окажутся точными, то они могут привести человеко-машинную систему в состояние равновесия - за счет адаптации к возникшему возмущению. В других случаях в ней может возникнуть опасная ситуация. К возникновению опасной ситуации в системе могут также привести критичные отказы используемого оборудования или опасные внешние воздействия на него и(или) персонал со стороны рабочей или внешней среды.
Возникшая в человеко-машинной системе опасная ситуация может перерасти в критическую, т.е. привести к взаимному совмещению незащищенных элементов системы и зоны действия производственной опасности или завершиться адаптацией к возникшей опасной ситуации. Возможность такой адаптации будет зависеть от особенностей возникшей ситуации, качества конкретных компонентов рассматриваемой системы и их взаимной совместимости - от надежности технических и технологических средств защиты, обученности работающих точным действиям в нештатных ситуациях и т.п.
В определенных условиях возникшая критическая ситуация может привести к появлению происшествия, т.е. к возникновению одного из событий в верхней части рис. 2.4. Конкретный вид происшествия (несчастный случай, авария, катастрофа) определяется спецификой возникшей критической ситуации: тем, каков потенциал опасного воздействия, какие элементы оказались в его зоне и подверглись влиянию.
Алгоритм просчёта модели для метода статистических испытаний
Сначала вычисляется индекс опасности на входе «клапана» tx. Далее выполняется ветвление в зависимости от результата сравнения этого индекса с параметром «клапана». Если имеет место переход влево (гомеостазис), то имитация прекращается, регистрируется возникновение гомеостазиса и начинается сначала следующая инициация модели. Иначе - регистрируется нарушение равновесия, вычисляется индекс опасности на входе t2 и обрабатывается следующий «клапан». При реализации левой выходной дуги «клапана» регистрируется адаптация, имитация прекращается, начинается следующая инициация. Иначе -переход к/3 с регистрацией соответствующего состояния. И так далее до возникновения одного из заключительных состояний. Для вычисления индекса опасности на входе «клапана» выполняется обработка поддерева, состоящего из всех пар узлов (подмоделей факторов опасности) находящихся ниже данного «клапана» и выше предыдущего «клапана». Она заключается в генерации для каждого фактора опасности случайного числа к и вычислении индекса опасности пн (к), поступающего на выходную дугу подмодели фактора опасности.
Далее эти индексы складываются и(или) перемножаются в соответствующих узлах ИМ. В корне поддерева (непосредственно связан дугой с «клапаном») получается искомый индекс опасности (см. рис. 2.7, рис. 2.13, рис. 2.15 и соответствующие рисункам пункты). Анализ затрат времени на просчёт модели с использованием данного алгоритма показал линейную зависимость между временем счета и произведенным числом опытов (см. рис. 3.3).
Т.к. вероятность происшествия Qc, имеет порядок 10"5-И0" , то, в соответствии с алгоритмом имитации (рис. 3.2), требуется счётчик внутреннего цикла N равный 1 000 000 - 1 000 000 000 000. Однако при разработке ИМ был использован тип данных "long", что позволяет иметь счётчик до 2 147 483 647 включительно. Возникшая проблема решается за счёт выбора соответствующего делителя для числа N и умножения на него счётчика внешнего цикла К. Сбор статистики, при выбранной схеме вычисления оценок, не вызывает проблемы увеличения разрядности чисел, даже для таких больших значений счётчиков циклов.
Рассмотрим индекс опасности как случайную величину. Для построения улучшенной ИМ представляет интерес анализ индекса опасности на входах «клапанов». Очевидно, что если подмодели факторов опасности генерируют дискретные значения индексов опасности, то при их сложении и перемножении на выходе также будет дискретная случайная величина. 0,118856 0.110333 0,103009 0,095085 0,087161 0,079238 0,071314 0,06339 0,055466 0.047543 0,039619 0,031695 0,023771 0,015848 0,007924 м л 1=1 І s ЯЯ 8 Я Гя 8 Г 1 1 «І8 Г» Г 8 I 8 К авгкЖй8Я8 9 38 S В со ю г- я Рис. 3.4. Плотность распределения вероятности для случайной величины "Индекс опасности" на входе клапана : М = 14.79261 (математическое ожидание индекса опасности I); а = 11.40152 (среднеквадратическое отклонение /); /mi„ = 0, /шах = 84 Результаты проведенного эксперимента для некоторой тестовой модели представлены на рис. 3.4. Т.к. индекс опасности в базовой ИМ - дискретная случайная величина, полученная гистограмма является и её рядом распределения [19 Из дискретности характера случайной величины «индекс опасности» следует важный вывод: изменением значения параметров пропускания «клапанов» tt нельзя добиться для такой модели получение любых частот возникновения состояний Qx (т.е. величина Qx тоже будет дискретной). Для того чтобы убедиться в этом, напомним, что, выбирая параметр пропускания «клапана» ti, мы делим входящий поток накопленных индексов опасности на две части, т.е.: Qief, = Р(/д при Iy tt и QRight = Р(/Д при I2 tt, У z где 1у,12 - реализации индекса опасности; Qieft QRighu частоты состояний, регистрируемых левой (благоприятный исход) и правой (неблагоприятный исход) выходной дугой «клапана» соответственно;
Применив эти соотношения к анализу гистограммы рис. 3.4, можно увидеть, что в левую и правую суммы попадут вероятности определённых дискретных значений (столбцы гистограммы) индекса опасности. При изменении параметра «клапана» выбирается некое количество значений, пропускаемых им, вероятности которых суммируются. Поэтому и вероятности состояний при изменении параметра «клапана» меняются дискретно (скачками). Допустим ti=l, тогда QCl (гомеостазис) = 0.1187 + 0.0014 = 0,1201. Изменим параметр «клапана»: tx = 2, тогда Q2 = 0.1187 + 0.0014 + 0.0058 = 0,1260.
Для этого необходимо проанализировать зависимость частот Q состояний модели от оценок VHx факторов опасности, т.е.: Q(QC , QCl... QCl ) = f(VH ... VH , f), где f - вектор параметров «клапанов».
Особый интерес представляет вероятность аварии P(A) = QC" - как функция от оценок факторов опасности. Рассмотрим её характер в зависимости от изменения оценок одного фактора опасности (например, Н01) и одновременно нескольких (Н01, Н02, Н04).
Т.к. фактор Н01 «Пригодность по физиологическим показателям», является стабилизирующим, то, как видно из графика (рис. 3.5, а), при улучшении (увеличении) оценки качества данного фактора происходит линейное снижение вероятности происшествия. Функциональная зависимость сохраняет линейность на всей шкале оценок (0-10 в баллах) и может быть описана соотношением f(V) = и V + /3. Для различных факторов опасности прямая будет иметь разный наклон (меньший относительно оси ординат при меньшей чувствительности). Для деструктивных факторов параметр и будет иметь противоположный знак (рост вероятности происшествия при увеличении балла оценки).
Краткое описание анализируемой технологической схемы
Склад жидкого аммиака с изотермическим хранилищем фирмы ТЕС (Япония) введен в эксплуатацию 27 октября 1972 года и предназначен для приема, хранения и выдачи потребителям жидкого и газообразного аммиака.
Изотермический резервуар (рис. 4.1) представляет собой двустенный сосуд с расстоянием между наружной и внутренней стенками и крышей 0,6 м и между днищами 0,45 м. Резервуар рассчитан на хранение жидкого аммиака плотностью 0,68 т/м3 с внутренним избыточным давлением 0,002—0,008 МПа с температурой от -32 до -34 С, расчетное давление в резервуаре 0,01 МПа, вакуум — 0,0005 МПа. Объем резервуара 15 322 м3, вместимость жидкого аммиака —10 тыс. т, максимальная высота жидкости — 21,3 м.
Внутренний резервуар изготовлен из стали 09Г2. Внешний корпус, который должен выдерживать и давление осушенного азота, и нагрузку от теплоизоляции, изготовлен из стали ВСтЗсп5. Расчетное давление в межстенном пространстве 500 Па, рабочее — 200 Па — обеспечивается газгольдером постоянного давления переменного объема за счет подвижной диафрагмы постоянной массы.
В межстенном пространстве к внешней боковой поверхности внутреннего резервуара подвешены два слоя полужестких плит из стеклянного штапельного волокна на синтетическом связующем. Зазор между плитами и внешним корпусом, а также между кровлями засыпан теплоизоляционным материалом - перлитом. Между днищами находится слой теплоизоляции, состоящий из трех слоев блоков из пеностекла на цементном растворе. Поверх блоков под внутренним днищем уложен выравнивающий слой из кварцевого песка толщиной 70 мм. Резервуар расположен на железобетонной плите фундамента и крепится к ней 36 анкерами.
Фундамент диаметром 31,7 м представляет собой две раздельные монолитные железобетонные плиты (каждая толщиной 350 мм) с арматурой. Верхняя плита свободно опирается на железобетонные столбы сечением 500x500 мм, жестко соединенные с нижней фундаментной плитой.
Ограждающая железобетонная стенка из монолитного железобетона толщиной 400 мм и высотой 14,1 м предназначена для уменьшения зеркала испарения аммиака и ограничения площади его растекания при повреждении резервуара. Стенка через рубероидную прокладку свободно опирается на монолитный фундамент и рассчитана на гидростатическое давление жидкости.
Для поддержания давления в хранилище в рабочих пределах и не выше расчетного предусмотрены: выдача газообразного аммиака на всас первой ступени турбокомпрессоров, установленных в крупнотоннажном агрегате аммиака, два аммиачных поршневых компрессора цикла хранения (подача каждого 323 м3/ч, один —с электроприводом, второй —с дизелем), включаемых в работу при отключении компрессоров; факельная установка производительностью 500 кг/ч; два предохранительных клапана пропускной способностью 4200 м3/ч каждый; два дыхательных клапана для защиты хранилища при создании вакуума. Изотермическое хранилище имеет систему сигнализации и блокировки по давлению газообразного аммиака и уровню жидкого аммиака. Жидкий аммиак с температурой не выше —30 С поступает в нижнюю часть резервуара, выводится также оттуда и центробежными насосами направляется потребителям.
Технология работ заключается в принудительной подаче жидкого аммиака из цеха 1-6 (корпус 522) в изотермическую емкость 1001-F1. К межстенному пространству постоянно подключена дыхательная емкость с избыточным давлением азота 10-15 мм вод. ст.. Из нижней части изотермической емкости 1001-F центробежными насосами 1002-J/JA, включенными параллельно, жидкий аммиак подается потребителям в цех №5 (корпус 531). Газообразный аммиак из верхней части изотермической емкости 1001-F под действием перепада давлений поступает обратно в цех 1-6 (корпус 522). Регулирование и поддержание регламентного технологического режима по давлению газообразного аммиака в изотермической емкости 1001-F автоматически осуществляется автономными аммиачными компрессорными установками 1001-J/JA. Для контроля и управления технологическим процессом предусмотрен комплекс КИП и А с выводом сигналов на пульт дистанционного управления.
Хранилище оборудовано необходимым набором приборов и устройств безопасности (предохранительные клапана, автоматические задвижки и отсекатели, сигнализация КИП и А, факел нейтрализации аварийных выбросов, аварийный насос и аварийные резервуары).
Самая крупная авария на однотипном изотермическом хранилище произошла в 1990 г. на Ионавском производственном объединении "Азот" в Литве.
Наиболее подробное описание этой аварии приводится в [5, 94]. В [94] сделан анализ причин возникновения аварии и рекомендованы меры по недопущению подобных случаев в будущем: «С целью упрощения строительных работ, экономии материалов и трудовых затрат на изотермическом резервуаре были изменены конструкции верхней и нижней плит железобетонного фундамента, колонн, фундамента, толщина ограждающей стенки, что уменьшило несущую способность верхней железобетонной плиты и прочностные характеристики ограждающей железобетонной стенки. Тепловую изоляцию днища под окрайкой внутреннего резервуара выполнили по первичному проекту, в котором выравнивающий слой предусматривался из перлита. В выданном после монтажа стенки измененном проекте выравнивающий слой был из кварцевого песка, который и использовали только под днищем внутреннего резервуара без окрайки шириной 1,5—2 м. На одном листе нижнего пояса внутреннего резервуара ультразвуковым методом обнаружено расслоение металла длиной до 800 мм, шириной 60 мм и глубиной до 4,5 мм с выходом на поверхность. После закрепления анкера ниже дефектного места решили восстановить анкерную полосу с помощью накладки. Это свидетельствует о том, что анкер остался в ненагруженном состоянии.
В связи с неудовлетворительной работой турбокомпрессоров в процессе эксплуатации разрешили выдачу холодного аммиака на изотермическое хранилище с температурой — 28С. При замене предохранительных клапанов в январе 1989 г. дублирующее устройство их переключения не установили, однако отключающая арматура после аварии найдена в открытом положении.
К 20 марта 1989 г. один из турбокомпрессоров находился на длительном ремонте, а второй в 10 ч этого дня остановили для кратковременного ремонта. Пуск поршневого компрессора для отсоса газообразного аммиака задержался из-за затруднений с открытием задвижки на подаче охлаждающей воды. В изотермическом хранилище находилось около 7000 т жидкого аммиака, давление (по показаниям начальника отделения) составляло 0,007 МПа. Аппаратчик приступил к операциям по прекращению приема холодного аммиака, отключению газообразного аммиака от компрессора и открытию сброса газообразного аммиака на факел Подачу жидкого продукта перевели на склад теплового аммиака под давлением, прекратили залив железнодорожных цистерн холодным аммиаком.