Zespoły prowadzące badania poawaryjne mają poważny problem w procesie ustalania faktów, ponieważ instalacje w wyniku awarii są często kompletnie zniszczone, brak jest wielu danych procesowych, a bywa, że najważniejsi świadkowie już nie żyją. Dlatego też najlepszą strategią przełamania tych trudności jest dodatkowe wprowadzenie w proces badawczy wiedzy i informacji wynikających z dotychczasowych doświadczeń, które są dostępne w bazach danych o awariach, a także w standardach bezpieczeństwa procesowego.
    W artykule zaproponowano schemat postępowania do badania poważnych awarii procesowych, zwany modelem MART – Major Accident Risk Tree. Model MORT został procesowychuzupełniony o podstawowe zasady powstawania scenariusza awaryjnego według metodologii analizy warstw zabezpieczeń (AWZ, LOPA), wiedzę o przyczynach poważnych awarii procesowych oraz wiedzę o środkach bezpieczeństwa stosowanych w przemyśle procesowym. Diagram MART może być wykorzystany do wspomagania procesu badawczego, a także do formułowania zaleceń dla poprawy sprawności systemowego zarządzania bezpieczeństwem w przemysłach procesowych

.

Tab. 1. Zestawienie metod badań wypadków i awarii

Charakterystyka poważnych awarii procesowych
    Stosowane są różne definicje awarii procesowych, w literaturze tematu nie ma jednej ogólnie akceptowanej zgodnie z Ustawą Prawo Ochrony Środowiska, pod pojęciem poważnej awarii rozumie się zdarzenie, w szczególności emisję, pożar lub eksplozję, powstałe w trakcie procesu przemysłowego, magazynowania lub transportu, w których występuje jedna lub więcej niebezpiecznych substancji, prowadzące do natychmiastowego powstania zagrożenia życia lub zdrowia ludzi lub środowiska, lub powstania takiego zagrożenia z opóźnieniem. Zdarzenie takie w przemyśle procesowym ma dość typowy i powtarzalny przebieg. Jak wykazuje doświadczenie, najczęściej dochodzi do pożaru, a następnie wybuchu i skażenia toksycznego.
    Ciekawe są wnioski dotyczące przyczyn i źródeł poważnych awarii. Za poważne awarie odpowiadają przede wszystkim awarie mechaniczne, które dotyczą w pierwszej kolejności rurociągów. Jednakże wiele awarii mechanicznych jest związanych z niewłaściwą konserwacją lub brakiem nadzoru operacyjnego, co jednoznacznie wskazuje na powiązanie z błędami ludzkimi. Podobnie można interpretować błędy projektowe. O ile przyczyny techniczne czy procesowe można stosunkowo łatwo zidentyfikować, to błędy ludzkie i związane z nimi błędy organizacyjne, określane jako przyczyny pośrednie, są ukryte i trudne do identyfikacji. Powyższe dane jednoznacznie dowodzą, że istnieje konieczność ich ujęcia w badaniach poawaryjnych poprzez analizę systemu zarządzania bezpieczeństwem procesowym (SZBP).

Rys. 1. Ocena ryzyka i badania poawaryjne

Scenariusze awaryjne
    Operatorzy zakładów dużego ryzyka zobowiązani są do przeprowadzenia jego analizy. Taka analiza opiera się o tzw. scenariusze awaryjne, czyli przewidywane, możliwe rozwoje awarii technicznych lub/i wyniki błędów ludzkich prowadzące do strat materialnych i ludzkich. Badanie awarii procesowych jest z kolei odkrywaniem, co było przyczyną zaistniałego skutku. Ten różny kierunek rozwoju analizy jest zilustrowany na rys 1.
    W wielu modelach scenariuszy awaryjnych brany jest pod uwagę prosty model przepływu energii, zilustrowany na rys. 2. Jednakże w złożonych systemach technicznych symboliczna bariera z rys. 2 składa się z wielu warstw zabezpieczeń. Analizą i opisem takich warstw zajmuje się technika zwana Analizą Warstw Zabezpieczeń – AWZ.

Rys. 2. Model przepływu energii dla scenariusza awaryjnego lub wypadkowego

    Poważne awarie typowo są raczej związane z wystąpieniem złożonych wieloliniowych sekwencji zdarzeń, które zawierają zarówno awarie sprzętu i/lub aparatury, ukryte niebezpieczne warunki, jak również błędy i niedopatrzenia ludzkie oraz organizacyjne. W każdej takiej sekwencji zdarzeń można wyróżnić trzy różne fazy:
• faza odchyleń normalnych warunków operacyjnych do tzw. warunków nienormalnych, lub zmiany (zdarzenia inicjujące), których przyczynami źródłowymi są przede wszystkim błędy i niedopatrzenia w zarządzaniu bezpieczeństwem,
• faza utraty kontroli nad warunkami nienormalnymi (zdarzenia przejściowe), skutkujące utratą integralności mechanicznej i uwolnieniem energii chemicznej lub energii potencjalnej (zdarzenie szczytowe),
• faza powstawania niepożądanych skutków (zdarzenia wyjściowe).
Uproszczony mechanizm powstawania poważnej awarii przedstawia rys. 3.

Rys. 3. Mechanizm powstania poważnej awarii

Zdarzenia inicjujące
    Zdarzenia inicjujące to przyczyny, warunki lub zachowania, które rozpoczynają scenariusz awaryjny, czyli sekwencję zdarzeń awaryjnych. Zdarzenia takie zwykle są identyfikowane w trakcie zbierania dowodów i faktów w czasie postępowania poawaryjnego.
    Własne badania dotyczące zdarzeń inicjujących scenariusze awaryjne w instalacjach procesowych pozwoliły na klasyfikację tych zdarzeń w pięć głównych kategorii:
• przyczyny procesowe, gdzie wyodrębniono 14 przyczyn,
• przyczyny techniczne (11),
• przyczyny ludzkie (7),
• przyczyny organizacyjne (8),
• przyczyny zewnętrzne (8).

Zdarzenia warunkujące
    Zdarzenia warunkujące umożliwiają wystąpienie zdarzeń inicjujących, a także działanie niektórych warstw zabezpieczeń. Do typowych zdarzeń warunkujących zaliczamy obecność wrażliwych obiektów w strefie zagrożeń, możliwość wystąpienia niekorzystnego kierunku wiatru, a także wystąpienia źródła zapłonu.

Tab. 2. Typowe zdarzenia awaryjne występujące w przemyśle procesowym

Warstwy zabezpieczeń w instalacjach procesowych
    Warstwy zabezpieczające spełniają zasadniczą rolę w każdym scenariuszu awaryjnym. W instalacjach procesowych struktura tych warstw jest podobna; choć poszczególne stosowne środki bezpieczeństwa mogą być inne, to spełniają one trzy główne funkcje bezpieczeństwa:
• Warstwa 1: służy do zapobieganie uwolnieniom, często zwana warstwą kontrolną,
• Warstwa 2: chroni obiekt i ludzi przed skutkami uwolnienia, zwana warstwą bezpieczeństwa,
• Warstwa 3: przeciwdziałanie skutkom uwolnienia dla ludzi i środowiska, zwana warstwą łagodzenia.

    Charakterystycznymi cechami wielowarstwowego systemu zabezpieczeń są:
• sekwencyjne, szeregowe działanie każdej z warstw zabezpieczeń uruchamianych po niepowodzeniu warstwy poprzedniej,
• dobieranie liczby zabezpieczeń w każdej z warstw w zależności od skali występujących zagrożeń,
• inicjowanie działania określonej konfiguracji warstw zabezpieczeń w przypadku wystąpienia określonego zdarzenia inicjującego i warunkującego,
• niezależność każdej z warstw zabezpieczeń względem siebie i funkcjonowanie w innym obszarze warunków pracy instalacji procesowych,
• zdolność do redukcji poziomu ryzyka (prawdopodobieństwa i wielkości skutków) przez każdą z warstw zabezpieczeń.

    Warstwy bezpieczeństwa mogą być bardzo różnorodne, w zależności od złożoności procesu. Mogą to być jednofunkcyjne rozwiązania, odpowiednie dla prostych instalacji procesowej, urządzeń lub działania operatora, albo też wielofunkcyjne warstwy bezpieczeństwa, odpowiednie do złożonych socjotechnicznych systemów procesowych. Czyli mogą one występować pojedynczo, odnosząc się do poszczególnych czynników zagrożeń (np. nadciśnienia), lub też tworzyć systemy warstw bezpieczeństwa, wypełniając więcej niż jedną funkcję bezpieczeństwa.
    Warstwy bezpieczeństwa odniesione są zwykle w stosunku do występujących czynników zagrożeń, źródła energii lub sekwencji zdarzeń awaryjnych, spełniając określone funkcje bezpieczeństwa. Pod tym pojęciem rozumie się takie działania, których zadaniem jest osiągnięcie lub utrzymanie bezpiecznego stanu danego procesu w odniesieniu do specyficznego typu zagrożenia.
    Każda funkcja bezpieczeństwa w poszczególnych warstwach zabezpieczeń jest realizowana za pomocą różnych środków bezpieczeństwa. Stosowanie tych środków narzucają standardy projektowania, ale tylko wizja lokalna i analiza dostępnej dokumentacji technicznej po awarii może w pełni zidentyfikować rodzaj zastosowanego lub brakującego środka bezpieczeństwa.

MART – diagram logiczny badania awarii procesowych
    Model MART jest logicznym diagramem służącym do wspomagania analizy poważanych awarii występujących w przemyśle procesowym. Stanowi rozwinięcie modelu przyczynowo-skutkowego MORT, ze specyficznym zastosowaniem do badania poważnych awarii procesowych.
    Do budowy tej struktury wykorzystano zasady drzewa błędu, mechanizm powstawania awarii procesowej zgodne z koncepcją analizy warstw zabezpieczeń (AWZ) oraz wiedzę ekspercką wynikającą z dotychczasowych badań nad awariami w przemyśle procesowym.
    Analizę rozpoczyna się po zebraniu wszystkich dowodów, faktów, opinii i wstępnej ocenie strat, jakie powstały w wyniku awarii procesowej. W tym przypadku straty te dotyczą szerokiego spektrum różnego rodzaju szkód począwszy od utraty życia i zdrowia, poprzez szkody środowiskowe oraz różne szkody majątkowe. Należy wziąć również pod uwagę ewentualne przyszłe straty w postaci tzw. długoterminowych skutków, które mogą się ujawnić w przyszłości. Zadania te realizowane są w pierwszym etapie procesu badań poawaryjnych.
    Kolejnym etapem analizy jest ustalenie zasadniczych przyczyn tych strat. Model MART, na drugim poziomie drzewa zakłada, że straty te związane są z wystąpieniem określonego zdarzenia awaryjnego (ZA) lub niekorzystnego zdarzenia z założonym poziomem ryzyka, co graficznie identyfikuje wprowadzona bramka logiczna „AND”. Model MART zawiera listę kontrolną zdarzeń (tabela 2), z której wraz z zebranymi dowodami może stosunkowo łatwo wytypować odpowiednie zdarzenie awaryjne. Drugą główną przyczyną powstawania strat jest przyjęcie określonego poziomu ryzyka w prowadzonej działalności. Nie dotyczy to jedynie ryzyka związanego z poważnymi awariami, które dla zakładów dużego ryzyka jest ustalane w Programie Zapobiegania Poważnym Awariom (PZA), ale również ryzyka związanego z innymi dziedzinami działania zakładu, które mają powiązanie z ryzykiem utraty bezpieczeństwa, np. polityka finansowa, która dąży do maksymalizacji zysku, często wpływając na obniżenie wydatków związanych z bezpieczeństwem. Decyzje te leżą w zakresie kompetencji kierownictwa zakładu.

Rys. 4. Diagram MART do badania poważnych awarii procesowych  

     Dalszy poziom drzewa MART dotyczy zasadniczych kwestii przyczynowych, a mianowicie uzyskania odpowiedzi na dwa pytania:
• Co się wydarzyło w zdarzeniu awaryjnym ZA?
• Dlaczego zdarzenie ZA wystąpiło?
    Pierwsze pytanie określa zdarzenia związane z tzw. czynnikami kontrolnymi zapewnienia bezpieczeństwa, natomiast drugie dotyczy zdarzeń dotyczących sprawności systemu zarządzania bezpieczeństwem procesowym (SZBP). Można tu wykorzystać dodatkowo opis tego systemu, który znajduje się w Raporcie o Bezpieczeństwie danego zakładu dużego ryzyka. Symbol logiczny „AND” wskazuje, że jest konieczne rozpatrzenie obu tych zdarzeń. Jeśli zespół analityczny uzna, że dane funkcje bezpieczeństwa były niedostatecznie realizowane lub były niewystarczające, wówczas – podobnie jak w metodzie MORT – zdarzenia te oznaczane są „czerwoną wizytówkę” (ndst). Przeciwny wniosek prowadzi do „wizytówki zielonej” OK., a „wizytówka niebieska” mówi, że nie ma jednolitego zdania i wymagane są dodatkowe informacje „BRAK WIEDZY”.
    Dalsza analiza rozwija te dwie niezależne gałęzie drzewa błędu. W pierwszym przypadku czynniki kontrolne biorą pod uwagę model przepływu energii, stanowiący podstawę analizy AWZ (rys. 2). Źródłami zagrożeń są różnego rodzaju odchylenia procesowe i niewłaściwe zachowania ludzkie, które w konsekwencji prowadzą do uwolnienia energii chemicznej z dalszymi efektami fizycznymi i skutkami. Dalsza analiza dotyczy identyfikacji ludzi /lub obiektów, które były narażone w wyniku wystąpienia danego ZA oraz zasadniczego elementu kontrolnego jakim są bariery, a więc środki bezpieczeństwa przeznaczone do zapewnienia bezpieczeństwa. Oceny funkcjonowania tych barier dokonuje się podobnie, za pomocą stosowanego systemu kolorów.
    Zgodnie z zasadami drzewa MART dalsza analiza musi być prowadzona na tym samym poziomie, a więc musi dotyczyć czynników zarządzania. Oprócz wskazanych zdarzeń dotyczących elementów systemu zarządzania, szczególną uwagę należy zwrócić na zdarzenia typu „proces analiz zagrożeń” oraz na „kulturę bezpieczeństwa”. Wskazane znaki transferu Δ odsyłają do nowych drzew błędu, które w szczegółach analizują poszczególne dalsze przyczyny odpowiedzialne za te zdarzenia.
    Model MART, na następnym poziomie drzewa, dostarcza listę kontrolną, za pomocą której ustala się jakie zdarzenia inicjujące i warunkujące mogły zapoczątkować dane zdarzenie ZA. Przykłady zdarzeń inicjujących i warunkujących omówione zostały wcześniej. Podobnie prowadzi się identyfikację barier, które zawiodły na podstawie wiedzy eksperckiej w zakresie rodzajów barier technicznych i organizacyjnych, związanych z wystąpieniem danego zdarzenia ZA i ZI. Porównanie tych danych z wynikami oględzin i faktów pozwala na ocenę ich sprawności i przydzielenie odpowiednich wizytówek – kolorów. W barierach organizacyjnych wyróżnić trzeba m.in. bariery proceduralne, wśród których znajdują się różne procedury operacyjne, a także postępowanie w sytuacjach awaryjnych opisane w planach operacyjno-ratowniczych POR. Do innych ważnych zdarzeń zaliczamy nadzór operatora nad barierami, konserwację i inspekcję. W ten sposób, krok po kroku, uzyskujemy informacje na temat przyczyn technicznych i organizacyjnych odpowiedzialnych za konkretne zdarzenie awaryjne.

Rys. 5. Miejsce diagramu MART w procesie badań poawaryjnych

Miejsce metody MART w procesie badań poawaryjnych
    Miejsce i funkcje metody MART w procesie badań poawaryjnych pokazuje rys. 5.
    Technicznie posługiwanie się metodą MART, którą można również nazwać zmodyfikowaną metodą MORT, polega na systematycznym przeglądzie diagramu pokazanego na rys. 4. Służą oczywiście do tego zebrane dowody i fakty w pierwszym etapie prac zespołu poawaryjnego. Uzyskuje się w ten sposób początkowy model MART, który określa, co się wydarzyło i jaka była tego przyczyna. Model ten podlega weryfikacji w świetle zebranych dowodów i dalszych badań i studiów, które ostatecznie ustalają fakty. Analiza zmian w stosunku do początkowych ustaleń pozwala na opracowanie końcowego modelu MART, który stanowi podstawę do propozycji działań naprawczych i korekcyjnych.
    Wydaje się, że stosowanie diagramu MART może istotnie usprawnić i przyspieszyć proces analityczny, a jego oparcie o wiedzę ekspercką dotyczącą struktury warstw zabezpieczeń i przyczyn poważnych awarii procesowych uwiarygodnia wyniki analizy.

Warto zapamiętać
    Badania poawaryjne poważnych awarii procesowych są nie tylko wymagane przez prawo, ale służą do zapobiegania dalszym tego typu zdarzeniom.
    Celem badań powypadkowych oraz poawaryjnych jest rekonstrukcja wydarzeń bezpośrednio poprzedzających awarie i określenie przyczyn tego zdarzenia, przez zebranie dokładnych, wyczerpujących i istotnych informacji o awarii. Służą do tego liczne metody badań powypadkowych, natomiast dla awarii procesowych zwykle wykorzystuje się niektóre metody stosowane w analizach zagrożeń i ryzyka.
    Model drzewa MORT zalecany do badania wypadków przy pracy, który uwzględnia cały zespół przyczynowo--skutkowy zarówno w sferze technicznej, jak i organizacyjnej, może być również wykorzystany do badań awarii procesowych.
    Diagram MART jest logicznym diagramem służącym do wspomagania analizy poważanych awarii występujących w przemyśle procesowym i stanowi rozwinięcie modelu przyczynowo skutkowego MORT, z dodatkowo uwzględnionym specyficznym zastosowaniem do badania poważnych awarii procesowych.
    Stosowanie diagramu MART może istotnie usprawnić proces analityczny, a jego oparcie o wiedzę ekspercką dotyczącą struktury warstw zabezpieczeń i przyczyn poważnych awarii procesowych uwiarygodnia wyniki analizy.

Autorzy: Adam S. Markowski, Romuald J. Żyłła, Politechnika Łódzka, Katedra Inżynierii Bezpieczeństwa Pracy

Artykuł został opublikowany w magazynie "Chemia Przemysłowa" nr 5/2012

Źródło fot.: www.photogenica.pl