Czynniki ludzkie w analizie rozwiązań bezpieczeństwa

Czynniki ludzkie w analizie rozwiązań bezpieczeństwa
funkcjonalnego
Autorzy:
mgr inż. Przemysław Kacprzak
dr hab. inż. Kazimierz Kosmowski, prof. nadzw. PG
Politechnika Gdańska
Wydział Elektrotechniki i Automatyki
V Sympozjum Klubu Paragraf 34 Ciechocinek 23.IV.2009
1
Zakres Prezentacji
•
•
•
•
•
•
•
•
•
•
Projektowanie systemów sterowania i zabezpieczeń oparte o analizę
zagrożeń i ocenę ryzyka,
Wybrane warstwy zabezpieczeniowo-ochronne w złożonym obiekcie
technicznym podwyższonego ryzyka,
Metoda analizy warstw zabezpieczeniowych LOPA
(ang. Layers of Protection Analysis),
Rola i zadania człowieka operatora w warstwach zabezpieczeniowych
obiektów krytycznych,
Czynniki ludzkie i organizacyjne wpływające na skuteczność działania
operatora,
Procedura ułatwiająca wybór metody analizy niezawodności człowieka,
Aspekty projektowania systemów alarmowych oraz interfejsu operatora z
uwzględnieniem czynników ludzkich,
Przykładowy obiekt – piec instalacji destylacji próżniowej,
Analiza zagrożeń oraz ocena ryzyka dla badanego obiektu
Podsumowanie.
2
Wprowadzenie
•
•
•
•
•
70 – 90% wypadków i awarii w przemyśle spowodowane jest przez szeroko
rozumiane błędy człowieka, uwarunkowane czynnikami ludzkimi i
organizacyjnymi,
Czynniki te należy rozpoznawać i odpowiednio kształtować w trakcie
projektowania warstw zabezpieczeniowych w obiektach przemysłowych
podwyższonego ryzyka,
Należy przy tym zwrócić szczególną uwagę na aspekty kognitywne człowieka
oraz sposób przetwarzania przez niego informacji i podejmowania decyzji,
Uwzględnianie aspektów kognitywnych ma kluczowe znaczenie zwłaszcza w
procesie projektowania interfejsu operatora oraz systemu alarmowego,
Odpowiedni projekt systemu alarmowego i interfejsu operatora HMI
(ang. Human Machine Interface) pozwoli ograniczyć prawdopodobieństwo
popełnienia przez niego błędu HEP (ang. Human Error Probability), a tym
samym ryzyko związane z eksploatacją obiektów przemysłowych
podwyższonego ryzyka.
3
Wybrane warstwy zabezpieczeniowo-ochronne w
obiekcie podwyższonego ryzyka i analiza LOPA
J
f i = f i × ∏ PFDij = f i I × PFDi1 × ...PFDiJ
c
fi
c
fi I
PFDij
I
- Metoda LOPA
j =1
- Częstość wystąpienia zdarzenia niebezpiecznego dla i-tego scenariusza
awaryjnego (stałe konsekwencje C),
- Częstość wystąpienia I zdarzenia inicjującego dla i-tego scenariusza
awaryjnego,
- Niezawodność dla i-tego scenariusza awaryjnego i j-tej warstwy,
4. System automatyki zabezpieczeniowej SIS
3. System alarmowy AS i interwencje operatorów
2. System pomiarów i sterowania BPCS
1. Instalacja
pomocnicze
technologiczna
i
układy
Rys. 2. Wybrane warstwy zabezpieczeniowe w
obiekcie podwyższonego ryzyka
4
Wybrane warstwy
zabezpieczeniowo-ochronne w obiekcie
podwyższonego ryzyka
•
•
•
4. System automatyki zabezpieczeniowej SIS
3. System alarmowy AS i interwencje operatorów
2. System pomiarów i sterowania BPCS
1. Instalacja technologiczna i układy
pomocnicze (zastosowane materiały)
BPCS (ang. Basic Process Control System) – system sterowania i pomiarów
oparty o systemy wizualizacyjne SCADA (ang. Supervisory Control and Data
Acquisition), który spełnia m. in. następujące funkcje: akwizycję, prezentowanie
i udostępnianie danych, archiwizację, raporty, kontrolę dostępu,
AS (ang. Alarm System) – system alarmowy informuje operatora o zagrożeniu
awarią. Informację prezentowane są operatorowi w postaci komunikatów,
danych wizualnych oraz dźwiękowych za pośrednictwem interfejsu maszyna –
człowiek HMI (ang. Human Machine Interface). W oparciu o otrzymane dane
operator musi dokonać analizy sytuacji i wykonać odpowiednie działania
zapobiegające możliwości wystąpienia awarii,
SIS (ang. Safety Instrumented System) – system automatyki
zabezpieczeniowej wykonujący założone funkcje bezpieczeństwa w przypadku
braku reakcji operatora na sygnały alarmowe lub w razie dużej dynamiki
obiektu uniemożliwiającej operatorowi reakcję w przewidzianym na to czasie.
5
Projektowanie systemów sterowania i zabezpieczeń
oparte o analizę zagrożeń i ocenę ryzyka
Ryzyko dla i-tego scenariusza awaryjnego przy założeniu stałych
skutków C,
fi I
- Częstość wystąpienia
zdarzenia niebezpiecznego
dla i-tego scenariusza
awaryjnego,
Ci
- Skutki (zdrowie personelu,
straty materialne, wpływ na
środowisko) dla i-tego
scenariusza awaryjnego,
RiC = f i I ⋅ Ci
Punkt startowy
Rys.1. Matryca ryzyka – niezależny system BPCS i AS
6
Rola i zadania człowieka operatora w warstwach
zabezpieczeniowych obiektów krytycznych
We współczesnych obiektach przemysłowych wzrasta ostatnio przekonanie, że
projektowanie systemów związanych z bezpieczeństwem w ramach warstw
zabezpieczeniowo-ochronnych powinno być zorientowane na człowieka-operatora.
Obiekt/Procesy
BPCS
System bezpieczeństwa
SIS/ESD
Zarządzanie/
Stan
Podejmowanie
Informacja
procesu
decyzji
Człowiek - operator wykonujący
działania w oparciu o HMI
Ręczne
załączenie/
Nadzór
Identyfikacja/
Zaburzenie
Ocena sytuacji/
Podjęcie decyzji/
Alarmy/
Działanie
Wskaźniki
System alarmowy
(AS)
Rys. 3. Zadania operatora w różnych
stanach obiektu
Identyfikacja/
Diagnostyka
Decyzja
Działanie
Sukces
Błąd
Błąd
Błąd
Rys. 4. Dekompozycja zadań 7
operatora w sytuacji alarmowej
Czynniki ludzkie i organizacyjne wpływające na
skuteczność działania operatora
Zarządzanie zasobami ludzkimi,
inwestycje w sprzęt oraz
infrastrukturę, rozwiązania kultury
bezpieczeństwa w kontekście zysków
ekonomicznych,
Czynniki które bardzo trudno
udowodnić jako przyczynę
wystąpienia poważnej awarii,
Wpływ środowiska w miejscu pracy,
aspekty psychologiczne oraz
czynniki kognitywne
wpływające na działanie operatora,
1. Organizacja
Zasoby kadrowe i
Organizacja przedsiębiorstwa
2. Zarządzanie/Nadzór
Błędy
utajone
Błędna korekta znanych problemów
Niewłaściwe planowanie zadań
Niewłaściwy lub błędny nadzór
Nadużycia
3. Przyczyny niebezpiecznych działań
Czynniki środowiskowe
Czynniki ludzkie
Błędy niezamierzone mają źródło
4. Niebezpieczne działania
w błędach utajonych lub
Błędy i nadużycia
ograniczeniach kognitywnych,
Wymienione czynniki powinny zostać uwzględnione możliwie szeroko
podczas projektowania warstw zabezpieczeniowo – ochronnych
zwłaszcza systemu alarmowego oraz interfejsu operatora.
Błędy
aktywne
8
Procedura ułatwiająca wybór metody
analizy niezawodności człowieka
•
Podział na zadania oraz
klasyfikacja potencjalnych błędów
człowieka jest zadaniem trudnym i
wymaga analizy i oceny przez
doświadczonych ekspertów,
•
Projektowanie systemu
wizualizacji SCADA/HMI w ramach
BPCS oraz AS wymaga analiz, a
następnie oceny proponowanych
rozwiązań w kontekście ich
implementacji na podstawie jednej
z istniejących metod analizy
niezawodności człowieka HRA
(ang. Human Reliability Analysis),
Wymagania
Analiza zadań operatora
i funkcji HMI
System wspomagania
decyzji
Alarmy/ Informacja/
P&ID/ ergonomia/ PSF
Czynniki wpływające na
działania operatora
Organizacja/ Nadzór
Model kognitywny
człowieka - operatora
SRK
Działania oparte o
doświadczenie, wprawę,
reguły i wiedzę
Procedury operacyjne i
alarmowe
Identyfikacja/
Decyzje/Działania
Wybór metody analizy
niezawodności
człowieka HRA
Oszacowanie HEP
TAK
KONIEC
NIE
Czy wymagania zostały
spełnione?
9
Identyfikacja zagrożeń
Analiza ryzyka
Ocena ważności scenariusza
Ocena ryzyka
Określenie zbioru sygnałów
Rozwiązanie AS
w ramach BPCS lub jako
IPL
S1. Tylko informacja
Definiowanie priorytetów
Dobór czujników i komunikacja
(analogowy/cyfrowy)
S2. Alarm przed wyzwoleniem
Wybór okresu
próbkowania
Wybór zakresu
Spodziewane
skutki
S3. Ryzyko strat
materialnych
Niskie
Wysokie
Definiowanie logiki programowej
Projekt interfejsu operatora HMI
Rozplanowanie przestrzenne i
liczba ekranów
Czynniki ludzkie
organizacyjne
Wymagania stawiane
operatorom
S4. Ryzyko szkody
w środowisku
Niskie
Funkcje wspomagania decyzji
Lista alarmów
i zalecanych działań człowieka
F2
N
N
C
L
C
C
C
P
C
C
C
P
S
S
Wysokie
S5. Ryzyko obrażeń
Niskie
Wysokie
Projekt wizualizacji P&ID
F1
Definiowanie procedur
działania
Analiza niezawodności
człowieka
Ergonomia
Rys.6. Wpływ parametrów ryzyka na
założenia projektowe AS
10
Rys. 5. Aspekty projektowania systemów
Baza danych sygnałów
pomiarowych/alarmowych
Kontrola dostępu
Rys. 5. Aspekty projektowania systemów
alarmowych z uwzględnieniem czynników ludzkich
Aspekty projektowania systemów alarmowych oraz
interfejsu operatora z uwzględnieniem czynników ludzkich
•
•
•
W procesach automatycznych niezbędna jest obecność człowieka, a więc
systemy te muszą być zorientowane na operatora,
Poprzez analizę zachowania człowieka można pomagać operatorom w
efektywnym wykonywaniu przez nich zadań, a także ograniczać
prawdopodobieństwo popełnienia przez nich zwłaszcza błędów aktywnych,
W trakcie projektowania systemów HMI wśród ważnych aspektów jakie
należy wziąć pod uwagę są m.in.: intuicyjny interfejs, ukrywanie hałaśliwych
i niepotrzebnych alarmów, eliminowanie „powodzi alarmowych”,
wielopoziomowość oprogramowania, systemy eksperckie wspomagające
proces podejmowania decyzji, ergonomia stanowiska pracy, dostarczanie
jedynie niezbędnych danych, wskazywanie przyczyn wystąpienia
zaburzenia.
11
Piec instalacji destylacji próżniowej
Spaliny
Do 900E26
Para
Komora Konwekcyjna
Wsad
Wężownice
Piec Próżniowy
900F2
Komora
Radiacji
Kolumna Próżniowa
900-C1
Palniki
12
Analiza zagrożeń oraz ocena ryzyka badanego obiektu
1.
2.
3.
4.
5.
Analiza raportu zagrożeń (HAZOP – ang. Hazard & Operability) odnośnie
do potencjalnych scenariuszy awaryjnych,
Analiza niezawodności człowieka badanego obiektu dla każdego
scenariusza,
Wyznaczenie wymaganego poziomu nienaruszalności bezpieczeństwa (SIL
– ang. Safety Integrity Level) dla pętli zabezpieczeniowych SIS dla każdego
przypadku – metoda LOPA,
Weryfikacja wyznaczonego poziomu SIL dla istniejącego układu SIS,
Poglądowy projekt HMI systemu sterowania i systemu alarmowego dla
badanego obiektu.
13
Podsumowanie
•
9
9
9
9
9
9
9
Aby zapewnić wymagany poziom bezpieczeństwa obiektu podwyższonego
ryzyka oraz ograniczyć błędy człowieka należy:
Na etapie projektowania przeprowadzić wnikliwą analizę zagrożeń i ocenę
ryzyka obiektu,
Wykonać projekt interfejsu operatorskiego,
Wykonać projekt instalacji zgodnie z zaleceniami normatywnymi,
We wszystkich elementach uwzględnić aspekty kognitywne człowieka (analiza
niezawodności człowieka) w kontekście analizy wpływu czynników ludzkich i
organizacyjnych,
Dokonać weryfikacji wszystkich istotnych elementów składowych systemów
związanych z bezpieczeństwem,
Przeprowadzać regularny audyt i dokonywać odpowiednich korekt systemu w
oparciu o aktualne dane niezawodnościowe i uaktualniane analizy,
Przewidzieć odpowiednio nadzorowany proces szkolenia pierwotnego i
cyklicznego operatorów.
14
Dziękujemy za uwagę
15