El supuesto a priori sobre la idoneidad y eficacia del uso de simuladores en el sistema de gestión de riesgos es el supuesto de que una parte significativa de los riesgos son causados por el "factor humano" o dependen del "factor humano". Esta suposición se basa en lo siguiente:
1. Según los datos disponibles (Rostekhnadzor, CSB, NTSB), la proporción del factor humano en los incidentes es del 35 al 70%
2. Si no se tiene en cuenta el error humano, el cálculo puede dar como resultado valores casi sin sentido relacionados con la seguridad, como un índice de confiabilidad igual a 10 ^ -39 años ^ -1. Por ejemplo, cualquier miembro del personal de mantenimiento que utilice instrucciones incorrectas para la configuración podría, en teoría, deshabilitar cualquier sistema de seguridad empresarial. La tabla contiene la información básica sobre las estimaciones de las tasas de error del operador, se puede ver que el operador es 99,99% perfecto cuando realiza trabajos de rutina, pero es completamente inútil en circunstancias extremas.
3. La importancia de tener en cuenta el "factor humano" ha sido ilustrada por varios accidentes en los que errores humanos críticos contribuyeron a una secuencia catastrófica de eventos.
4. Si bien el error humano es muy común y muy difícil de predecir, los datos existentes sobre las tasas de error del operador y del personal de mantenimiento (WASH 1400, Apéndice III) también indican un potencial significativo para este factor.
5. El American Petroleum Institute (API), basado en una encuesta a 200 gerentes de 11 empresas de 7 petroquímicas, estima la ganancia promedio de capacitar a un operador en CT en más de 100 mil dólares. en el año.
6. Otro libro proporciona los siguientes datos:
Estudiar | Resultado |
Guarnición (1989) | El error humano se estima en $ 563 millones por incidentes importantes en la industria química antes de 1984. |
Joshchek (1981) | El 80-90% de todos los incidentes en la industria química están asociados con errores humanos. |
Rasmussen (1989) | 190 . . :
: 32% : 30% (): 23% : 15% |
Butikofer (1986) | :
: 41% : 41% : 11% : 5% : 2% |
Uehara and Hoosegow (1986) | , — 58% |
Oil Insurance Association Report on Boiler Safety (1971) ( ) | 73% 67% . |
7. estima que la proporción de factores individuales o humanos en los accidentes de vuelo es del 66%. Armstrong (1939) cita cifras del Departamento de Estadísticas Comerciales, sobre la base de las cuales la proporción de errores de servicio en la aviación de transporte se determina en 41,47%, en la aviación deportiva - 52,18% y en aerolíneas de pasajeros - en 39,65%. Ruff y Struckhold (1944) determinan el porcentaje de accidentes debidos a discapacidad mental en al menos 50-60%. Estas cifras permiten concluir que el factor humano, como causa de los accidentes de vuelo, es de gran importancia.
8. “Se invita al escéptico a estudiar las estadísticas de accidentes. Demuestra que no son fallas técnicas, sino factores humanos los que son la causa de la mayoría absoluta de los desastres aéreos, y entre ellos, a su vez, los factores psicológicos están en primer lugar ".
9. Distribución de accidentes por los motivos indicados en el libro sobre la base de los datos disponibles para 1998-2000:
Grupo de razones | Porcentaje de accidentes,% |
Bajo nivel de organización del trabajo | 60 |
Mal funcionamiento del hardware | 25 |
Otros (violación de tecnología, baja calificación del personal, falta de equipo de seguridad) | quince |
También tenga en cuenta por separado:
- admisión de personas al trabajo sin una formación profesional adecuada;
- falta de formación del personal.
10. Las principales causas de accidentes en gasoductos, recogidas en el libro, con base en los datos disponibles para 1996-2001:
Causas | % del total |
Corrosión externa
|
28,9
|
incl. KRN
|
22,5 |
Daños mecanicos
|
19
|
Matrimonio de obras de construcción e instalación
|
21,9
|
incl. Defecto de soldadura
|
trece |
Defectos de tubería
|
11,4 |
Desastres naturales
|
9.5
|
11. Distribución de accidentes por los motivos indicados en el libro [a6] sobre la base de los datos disponibles para 1990-2002:
Causas | % del total |
Violación de las instrucciones de producción para el encendido de instalaciones que consumen gas. | 39 |
Violación de las reglas para la protección de los sistemas de distribución de gas
|
27 |
Daños por corrosión en gasoductos subterráneos | cinco |
Daño mecánico a gasoductos aéreos | 3 |
Violación de las instrucciones de uso de equipos de gas.
|
8 |
Violación de las reglas de seguridad en la industria del gas | 3 |
Manifestación de defectos de fábrica en tuberías y accesorios de gas. | cinco |
Rotura de uniones soldadas de un gasoducto de polietileno | 1 |
Otros | nueve |
Evaluación de errores del operador (documento WASH 1400)
Una consideración adicional requiere una breve descripción del proceso de gestión de riesgos.
- Tasa de error por actividad
- 10^-4 — , , ( , , )
- 10^-3 — ( ), ; ,
- 3*10^-3 — (, )
- 10^-2 — () , , (, , )
- 3*10^-3 — , , ,
- 3*10^-2 — ,
- 1/ — , ( ) ( ). — ( ), . 1/ , . , , . , ,
- 10^-1 — , ( ) (), , , ,
- -1 — , , , () () () () ()
- -1 — - ,
- 10 ^ -1 - El operador del monitor o el inspector auxiliar no pueden detectar el error inicial del operador. Nota: Esta alta tasa de error no es aplicable si hay un indicador de error continuo en el panel de alarma.
- 10 ^ -1 - El personal del otro turno no revisará el equipo a menos que se proporcione una directiva por escrito o una lista de verificación específica
- 5 * 10 ^ -1 - El monitor no detecta posiciones incorrectas de válvulas, etc. al realizar una inspección general, a menos que se utilice una lista de verificación específica
- 0.2-0.3 - Tasa de error típica para trabajos extenuantes del operador donde las acciones peligrosas ocurren muy rápidamente
Una descripción general del proceso de gestión de riesgos
La metodología propuesta para el uso de simuladores en el proceso de gestión de riesgos se basa en los siguientes documentos normativos:
- GOST R 51901.13-2005 (IEC 61025: 1990) ANÁLISIS DE ÁRBOL DE FALLOS. IEC 61025: Análisis de árbol de fallas (FTA) (MOD) de 1990;
- GOST R 51901.1-2002 Análisis de riesgos de sistemas tecnológicos. armonizado con la norma internacional IEC 60300-3-9: 1995 "Gestión de la fiabilidad - Parte 3: Guía de aplicación - Sección 9: Análisis de riesgos de los sistemas tecnológicos" - "Gestión de la fiabilidad. Parte. 3. Orientación para la aplicación. Sección 9. Análisis de riesgos de los sistemas tecnológicos ";
- GOST R 51901.11-2005 (IEC 61882: 2001) INVESTIGACIÓN DE PELIGRO Y FUNCIONAMIENTO. Manual aplicado. IEC 61882: 2001 Estudios de riesgos y operabilidad (estudios HAZOP) - Guía de aplicación (MOD).
Según los documentos anteriores, el término riesgo se define como “una combinación de la probabilidad de ocurrencia de un evento peligroso y sus consecuencias. El riesgo está presente en cualquier actividad humana. Puede relacionarse con la salud y la seguridad (considerando, por ejemplo, los efectos en la salud tanto inmediatos como a largo plazo de la exposición a sustancias químicas tóxicas). El riesgo puede ser económico, por ejemplo, resultando en la destrucción de equipos y productos debido a incendios, explosiones u otros accidentes. Puede tener en cuenta los impactos ambientales adversos ".
"Gestión de riesgos: acciones coordinadas para dirigir y controlar una organización en relación con los riesgos"
"El objetivo de la gestión de riesgos es controlar, prevenir o reducir la muerte de personas, reducir la morbilidad, reducir los daños, daños materiales y pérdidas consecuentes, así como prevenir impactos ambientales adversos".
"El proceso de gestión de riesgos cubre varios aspectos de la gestión de riesgos, desde la identificación y el análisis de riesgos, hasta la evaluación de su aceptabilidad y la identificación de oportunidades potenciales de mitigación de riesgos a través de la selección, implementación y control de acciones de gestión adecuadas". (Figura)
Figura X.1. Relación entre el análisis de riesgos y otras acciones de gestión de riesgos (GOST R 51901.1 - 2002)
“El proceso de gestión de riesgos se implementa comparando los resultados del análisis de riesgos con los criterios de riesgo aceptable. En general, la asignación de criterios de riesgo aceptable es una tarea bastante difícil, especialmente en los campos social, económico y político, y está fuera del alcance de estos estándares ".
“El análisis de riesgos es un proceso estructurado, cuyo propósito es determinar tanto la probabilidad como la magnitud de las consecuencias adversas de la acción, objeto o sistema investigado. Estos estándares consideran los daños a las personas, la propiedad o el medio ambiente como efectos adversos ".
El análisis puede cubrir áreas de especialización como el análisis de sistemas; Probabilidades y estadísticas; ciencias físicas, químicas, médicas (toxicología y epidemiología), ciencias sociales (economía, psicología y sociología) o biológicas; la influencia del factor humano, la ciencia de la gestión, etc.
Los peligros se pueden clasificar en las siguientes cuatro categorías principales: peligros naturales; peligros técnicos; peligros sociales; peligros relacionados con el estilo de vida (estas categorías no se excluyen mutuamente; por ejemplo, al analizar los peligros técnicos, a menudo es necesario tener en cuenta la influencia de factores de otras categorías). La naturaleza de las consecuencias puede ser: individual (impacto en las personas); profesional (impacto en los trabajadores); social (impacto general en la comunidad de personas); que provoquen daños materiales y pérdidas económicas (infracciones comerciales, multas, etc.); ambiental (impacto sobre la tierra, el aire, el agua, la flora, la fauna y el patrimonio cultural).
El paso inicial en el sistema de gestión de riesgos es el proceso de análisis de riesgos (GOST R 51901.1-2002), que cubre toda la gama de peligros, no solo el factor humano.
Como ejemplo, considere una bomba centrífuga que bombea agua de fuentes naturales. Considerando que el sistema se limita a los siguientes elementos: Figura X.
Para determinar la magnitud del riesgo, se deben identificar los peligros que causan el riesgo, así como las formas en que estos peligros se pueden realizar. Los peligros conocidos (posiblemente de accidentes anteriores) deben identificarse de forma clara y precisa. Deben utilizarse métodos formales para identificar peligros que no se consideraron previamente en el análisis:
- Investigación de peligros y problemas relacionados (HAZOP)
- . , , , - .
- ( « » (F)
- ( « ») ()
- ()
- (HRA)
HAZOP (GOST R 51901.11-2005 (IEC 61882: 2001)) es una forma de análisis de modo y efecto de falla (FMEA). Este es un procedimiento para identificar peligros potenciales en toda la instalación. El objetivo es definir el sistema y describir los peligros potenciales.
1. Identificar las fuentes de los peligros (explosiones, fugas, incendios, etc.)
2. Identificar las partes del sistema que pueden causar estas condiciones peligrosas
3. Limitaciones en el análisis. Por ejemplo, hay que decidir si incluirá el estudio del riesgo de sabotaje, sabotaje, guerra, error humano, rayos, terremotos, etc.
Una lista de verificación similar a la utilizada por Boeing es la principal herramienta para identificar los peligros: combustible convencional; Combustible de motor; Explosivos; Baterías recargables; Recipientes a presión; Mecanismos de resorte; Dispositivos de calentamiento; Bombas, sopladores, ventiladores; Mecanismos rotativos, etc.
Procesos y condiciones peligrosos: Aceleración; contaminación; corrosión; Eléctrico (fallas en el suministro de energía, inclusiones no deseadas, etc.); Explosiones; Incendios; Calefacción y refrigeración (baja, alta, diferencial); Fugas Humedad; Oxidación; Presión (baja, alta, diferencial); Radiación; Choque mecánico, etc.
De hecho, se analizan todos los equipos principales y todos los equipos auxiliares. Para cada línea y equipo en relación con variables de proceso tales como temperatura, presión, caudal, nivel y composición química, se utilizan palabras indicadoras (teniendo en cuenta la falla de todos los mecanismos de protección) (de acuerdo con la Tabla A.1).
Tabla A.1 - Palabras indicadoras HAZOP II
Tabla A.2 - Ejemplo de una hoja de trabajo de palabras indicadoras “no, no” HAZOP II
Figura X. Diagrama del proceso de investigación HAZOP (de GOST R 51901.11-2005)
Un análisis más detallado de las desviaciones identificadas y sus Las causas generalmente se realizan de acuerdo con las técnicas de “Árbol de fallas” (FTA), “Árbol de eventos”) (ETA) e “Influencia de factores humanos” (HRA).
FTA (IEC 61025) es un conjunto de técnicas cualitativas o cuantitativas, con la ayuda de las cuales aquellas condiciones y factores que pueden contribuir a un determinado evento indeseable (llamado ápice de eventos) se identifican por deducción, se construyen en una cadena lógica y se presentan en forma gráfica.
Dibujo. Análisis del diagrama de todas las posibles consecuencias de una falla o falla del sistema (análisis del "árbol de fallas" (FTA)
Figura. Análisis del diagrama de todas las posibles consecuencias de una falla o falla del sistema (análisis del "árbol de fallas" (FTA)
ETA es un tipo de análisis inductivo en el que la pregunta principal a plantearse es "¿qué pasa si ...?" Proporciona una relación entre la operación (o falla) de una variedad de sistemas de mitigación y un evento peligroso después de un solo evento desencadenante. El ETA es muy útil para identificar eventos que requieren un análisis más detallado utilizando el FTA (es decir, la parte superior de los árboles de fallas).
HRA. La evaluación se relaciona con la influencia del factor humano, es decir, los operadores y el personal de mantenimiento, en el funcionamiento del sistema y puede utilizarse para evaluar el impacto del error humano en la seguridad y el rendimiento. De hecho, se investiga el proceso de actividad del personal, partiendo de la identificación de un incidente, diagnóstico, toma de decisiones y finalizando con las acciones realizadas (Figura X390).
Evaluación de riesgos
Para cada evento final en el "árbol de eventos", se modelan los accidentes característicos de este evento final. Se simulan los procesos físicos de formación de situaciones de emergencia (salida, evaporación, formación de una nube explosiva, etc.) y procesos de emergencia (explosiones, incendios, dispersión de impurezas peligrosas en la atmósfera, etc.). Se determinan los límites de las posibles áreas afectadas. Se consideran soluciones que permitan reducir la masa o intensidad de la eyección, para reducir las posibles zonas de daño.
Con base en los resultados del modelado de los procesos físicos en cada evento de emergencia, se determina el impacto de los factores dañinos en las personas, la propiedad y el medio ambiente, se determinan las consecuencias de estos efectos y la probabilidad de estas consecuencias. El grado de destrucción de edificios y estructuras se determina, teniendo en cuenta su resistencia a cargas de ondas de choque, ignición de materiales bajo la influencia de cargas térmicas de un incendio, daños a personas bajo la influencia de factores dañinos de todos los tipos posibles de accidentes. Se determina el número esperado de víctimas y pérdidas del impacto negativo del accidente en las personas, la propiedad y el medio ambiente. Se determina el riesgo total de consecuencias negativas de todas las posibles fuentes de accidentes (elementos TS). Se determina el riesgo territorial para el personal del objeto investigado y para la población,así como riesgos individuales y sociales para las regiones seleccionadas. Se considera que las soluciones técnicas y las medidas organizativas reducen la probabilidad de consecuencias negativas.
Análisis de frecuencia: El propósito del análisis de frecuencia es determinar con más detalle la frecuencia de cada uno de los eventos no deseados o escenarios de accidentes identificados durante la etapa de identificación de peligros. Normalmente se utilizan tres enfoques principales:
- uso de datos operativos relevantes
- predecir tasas de eventos utilizando técnicas como diagramar (en lugar de dibujar) todas las posibles consecuencias de una falla o falla del sistema (“árbol de fallas”) y analizar un diagrama de las posibles consecuencias de un evento dado (“árbol de eventos”). En el caso de que las estadísticas no estén disponibles o no cumplan con los requisitos, es necesario obtener la frecuencia de los eventos analizando el sistema y sus condiciones de emergencia.
- uso de la opinión de expertos.
- - datos sobre confiabilidad de fuentes literarias: de pasaportes, especificaciones técnicas del producto, GOST, libros de referencia, artículos, informes;
- - datos de fiabilidad operativa recopilados de instalaciones en las que se ha realizado una evaluación de riesgos o una recopilación de datos específicos para determinar la fiabilidad.
Análisis de impacto. El análisis de consecuencias proporciona una determinación detallada de los resultados del impacto en las personas, la propiedad o el medio ambiente en caso de un evento indeseable. Para calcular los riesgos de seguridad (personas que trabajan o no), un análisis de las consecuencias es una estimación aproximada de la cantidad de personas que podrían morir, resultar lesionadas o gravemente heridas si ocurriera un evento indeseable.
Los eventos no deseados suelen consistir en situaciones tales como liberación de materiales tóxicos, incendios, explosiones, emisión de partículas de equipos destructivos, etc. Se requieren modelos de consecuencias para predecir el tamaño de los accidentes, desastres y otros fenómenos. El conocimiento del mecanismo de liberación de energía o material y los procesos posteriores que ocurren con ellos permite predecir con anticipación los correspondientes procesos físicos.
Existen muchos métodos para evaluar este tipo de fenómenos, que van desde enfoques analíticos simplistas hasta modelos informáticos muy complejos. Al utilizar técnicas de modelado, es necesario asegurarse de que sea apropiado para el problema que se va a abordar.
Por ejemplo:
- Cálculo de la sobrepresión de la explosión para gases inflamables, vapores de líquidos inflamables e inflamables. NPB 105-03
- NPB 105-03 "Determinación de categorías de locales, edificios e instalaciones al aire libre para riesgo de explosión e incendio"
Cálculo de riesgos. En la práctica, la identificación de un peligro de un sistema, equipo o actividad en particular puede resultar en un gran número de escenarios de accidentes potenciales.
No siempre es posible realizar un análisis cuantitativo detallado de las frecuencias y las consecuencias. En tales situaciones, puede ser aconsejable clasificar los escenarios cualitativamente, colocándolos en matrices de riesgo que indiquen diferentes niveles de riesgo. La cuantificación luego se concentra en escenarios que dan niveles más altos de riesgo.
La Tabla X proporciona un ejemplo de matriz de riesgos. La aplicación de la matriz de riesgos podría dar lugar a escenarios que se consideran fuente de riesgos bajos o insignificantes, que se reducen en un examen más detenido, ya que en un sentido colectivo no podrían convertirse en fuente de un nivel de riesgo significativo.
La matriz utiliza la siguiente clasificación de riesgo:
- B - valor de alto riesgo;
- - valor de riesgo medio;
- M - pequeña cantidad de riesgo;
- H es una cantidad insignificante de riesgo.
Para este ejemplo, la gravedad de la consecuencia se define de la siguiente manera:
- Catastrófico: la pérdida casi completa de una instalación o sistema industrial. Muchas muertes;
- Mayor: daño mayor a una instalación o sistema industrial. Varias muertes;
- Grave: lesión grave, enfermedad ocupacional grave, daño grave a una instalación o sistema industrial;
- Leve: lesión leve, enfermedad ocupacional leve o daño menor al sistema.
A pesar de que el GOST proporciona solo un ejemplo de matriz de riesgo, en las fuentes estudiadas se pueden encontrar otras técnicas, como un diagrama de "causa-efecto" o una curva de Farmer .
La Tabla X23 muestra un diagrama de causa-efecto basado en las probabilidades recibidas de incidentes y sus consecuencias. Por ejemplo, el evento de "avería de la bomba" corresponde al número esperado de fallos: 0,088 por 6 meses de funcionamiento (período de revisión de la bomba). La probabilidad de que una parada resulte en un "golpe de ariete" es 0.02. Las consecuencias de un golpe de ariete son pérdidas indicadas por parámetros de C0 a C4; son 1000 rublos si el equipo está dañado (con probabilidad P0 (1-P1)), y 5 * 10-7 rublos si se destruye toda la parte hidráulica (la probabilidad es igual a P0P1P2P3P4). Las pérdidas por tiempo de inactividad se estiman en 1000 rublos por hora. Por lo tanto, las pérdidas totales son
C0 = 1000 rublos + (2) (1000 rublos) = 3000 rublos;
C1 = 15.000 rublos + 24.000 rublos = 39.000 rublos, etc.
Conociendo los siguientes valores de los parámetros, determinaremos las posibles consecuencias para cada evento, luego presentaremos los resultados gráficamente en función de la probabilidad de que ocurra, mostrando en el gráfico una línea de riesgo constante, estimada en 300 rublos.
La figura muestra la curva de riesgo del agricultor, incluidas las líneas rectas trazadas correspondientes al riesgo de 300 rublos. Este tipo de programa es útil para definir criterios de diseño para eventos de accidentes con consecuencias conocidas y un nivel de riesgo aceptable.
Dibujo. Curva de riesgo del agricultor
Al concluir el análisis de riesgo, se verifican los resultados del análisis (posiblemente con la participación de otro grupo de expertos), los resultados del análisis se ajustan teniendo en cuenta los datos más recientes y la justificación documental (un informe en un formulario aprobado).
Los valores de riesgo resultantes se comparan con el valor de riesgo aceptable establecido por la ley o acordado con el Cliente y las partes interesadas (por ejemplo, el valor de un riesgo de incendio individual establecido por la Ley Federal No. 123-FZ no debe exceder 1E-6 por año cuando un individuo se coloca en el lugar más distante salida del edificio, estructura y estructura al punto.)
Si el riesgo excede al aceptable, se analizan todas las soluciones seleccionadas en las etapas previas del análisis y se seleccionan aquellas de ellas que permitan reducir su valor a uno aceptable con el menor costo. Se están desarrollando propuestas para el cliente para su implementación. Si el riesgo no supera el aceptable, se proporciona una justificación de la seguridad suficiente de la instalación.