Luento 3 Riskien kvalitatiivinen arviointi PSA:n pääpiirteet Vikapuuanalyysi Ahti Salo Teknillinen korkeakoulu PL 1100, 02015 TKK 1
Esimerkki Farmerin käyristä (1/2) Lähtökohtia Laitostyyppi hajoaa todennäköisyydellä p = 0,10 Hajotessaan laitos aiheuttaa 10 henkilön kuoleman Lasketaan riskiprofiilit, kun laitoksia n =1,2,5,10 kpl Binomijakauma Jos laitoksia n, niin niistä hajoaa täsmälleen x kpl todennäköisyydellä n p x n x (1 p ), missä 0 x n x Esimerkiksi jos n = 3, x = 1, niin 3 3! 0.10(1 0.10) 0.1 0.9 1 = 2! 1! = 0,243 1 3 1 2 Enintään x laitosta hajoaa todennäköisyydellä n i p (1 p ) i x i n i 2
Esimerkki Farmerin käyristä (1/2) Todennäköisyys sille, että kuolemia tulee yli c kpl on komplementtitapaus sille, että enintään c/10 laitosta hajoaa 1,000 n i Fn( c) = 1 p(1 p) i c/10 i Prob distributions n i Probabilities 0,800 0,600 0,400 0,200 n=1 n=2 n=5 n=10 0,000 0 10 20 30 40 50 Casualties 1,000 Cumulative probabilities Probabilities 0,800 0,600 0,400 0,200 n=1 n=2 n=5 n=10 Probabilities 0,700 0,600 0,500 0,400 0,300 0,200 0,100 0,000 Farmers curves 0 10 20 30 40 50 0,000 n=1 n=2 n=5 n=10 0 10 20 30 40 50 Casualties Casualties 3
Riskien arviointi 4
Riskiarvioinnin vaiheet (1/2) ❶ Vaarojen tunnistaminen ❶ Luonnonolosuhteista johtuvat ❷ Inhimillisistä järjestelmistä aiheutuvat Erottelu osin keinotekoinen (ks. Taulukko 2.2) Force majeur-tekijöitä ei kovin usein käsitellä» Esim. asteroidit liikenneriskien kannalta ❷ Esteiden tunnistaminen Esteet poistavat, estävät, rajoittavat ja vähentävät vaaroja, muuntavat näitä tai ennakoivat niiden toteutumista Esteet voivat olla joko» aktiivisia (so. nimenomaisesti esteeksi suunniteltuja) (vrt. tulvapadot)» passiivisia (so. esteinä muista syistä toimivia) (vrt. suomaastot) Samaa vaaraa voi estää yksi tai useampia esteitä ❸ Esteiden suorituskyvyn arviointi Vaara toteutuu, jos esteet pettävät tai vaatimukset ylittävät niiden suorituskyvyn Tällöin seurauksena vaaralle altistuminen 5
Riskianalyysin vaiheet (2/2) ❹ Altistumisen arviointi Määrittää, missä määrin henkilöt, tuotantovälineet, luonto ja muu ympäristö jne. altistuvat, jos järjestelmä pettää Kvalitatiisessa riskien arvioinnissa usein karkeita suuruusluokka-arvioita Kvantitatiivisessa riskien arvioinnissa altistuminen arvioidaan tarkemmin ja esitetään numeroin» Esim. kuinka paljon haitallisia ainesosia pääsee luontoon? ❺ Riskivaikutusten kuvaus Täsmentää, miten altistuminen johtaa haitallisiin seuraamuksiin» Esim. kuinka moni henkilö altistuu, mitä on kunkin altistumisen määrä, mitä vaikutuksia altistumisella on yksilö- ja kokonaistasolla» Voidaan tukeutua annosreaktiomalleihin (esim. 10 000 rem/hlö aiheuttaa tilastollisessa mielessä yhden syöpätapauksen) 6
7
Kvalitatiivinen riskianalyysi Tukeutuu riskien todennäköisyyksien ja seuraamusten sanalliseen luokitteluun Ei edellytä tarkkoja numeerisia arvioita Mahdollisia todennäköisyysarvioita» Lähes varma/luultava/mahdollinen/mahdollinen/ Epätodennäköinen/Lähes mahdoton Mahdollisia seuraamusarvioita» Katastrofaalinen/Kriittinen/ Marginaalinen/ Merkityksetön Voi antaa hyödyllistä näkemystä riskeistä Tärkeää suhtautua arvioihin kriittisesti Tuotetaan riskimatriisi Vaaraskenaariot positioidaan todennäköisyyksien ja seuraamusten suhteen Luokitellaan vaarojen tärkeys» Esim. High / Intermediate / Low / Trivial Riskienhallintatoimet voidaan suunnata tärkeimpiin 8
Riskimatriisin esittäminen Ayyub, Tables 2.13-2.15 9
Myönteiset seuraamukset 10
Luokittelut riskiarvioinnissa (1/2) Todennäköisyys (T) T = 0 T = 1 T = 2 T = 3 T = 4 T = 5 Ei mahdollinen Hyvin epätodennäköinen (kerran 100 vuodessa tai harvemmin) Epätodennäköinen (korkeintaan kerran 30 vuodessa) Lievästi todennäköinen (korkeintaan kerran 10 vuodessa) Melko todennäköinen (korkeintaan kerran 3 vuodessa) Hyvin todennäköinen (kerran vuodessa tai useammin) Henkilövahingot (H) H = 0 H = 1 H = 2 H = 3 H = 4 H = 5 Ei henkilövahinkoja Yhden henkilön lievä loukkaantuminen Yhden henkilön vakava loukkaantuminen tai usean henkilön lievä loukkaantuminen Usean henkilön vakava loukkaantuminen Yhden henkilön kuolema Usean henkilön kuolema 11
Luokittelut riskiarvioinnissa (2/2) Materiaalivahingot (M) M = 0 M = 1 M = 2 M = 3 M = 4 M = 5 Ei materiaalivahinkoja Vahingot alle 20 000 euro Vahingot alle 200 000 euro Vahingot alle 2 milj. euro Vahingot alle 10 milj. euro Vahingot yli 10 milj. euro Keskeytysvahingot (K) K = 0 K = 1 K = 2 K = 3 K = 4 K = 5 Ei keskeytysvahinkoja Toiminnan keskeytys alle 1 viikko Toiminnan keskeytys alle 1 kuukausi Toiminnan keskeytys alle puoli vuotta Toiminnan keskeytys alle 1 vuosi Toiminnan keskeytys yli 1 vuosi tai toiminnan lopettaminen Kokonaisriski R = T (H + M + K) Huom! tämä rinnastaa eri vahinkotyypit keskenään lineaarisesti - siirtymät eri luokkien välillä arvioitu tässä mielessä yhtä merkittäviksi 12
Esimerkki polttoainetankki 13
Vaaraskenaariot 14
Polttoainetankki (jatk.) 15
Polttoainetankki (jatk.) 16
Onnettomuusketjujen kvantifiointi 17
Tn-pohjainen turvallisuusanalyysi PSA (Probabilistic Safety Assessment) PRA (Probabilistic Risk Assessment) Kehitetty alkuaan ydinvoimalaitosten turvallisuustarkasteluihin (WASH-1400, GRS, jne.) Käytetty sittemmin lukuisissa eri yhteyksissä Soveltuu erittäin laajojen teknisten järjestelmien riskien analyysiin Tukeutuu osin muihin menetelmiin Vikapuut, tilamallit, tilastoanalyysit, tapahtumapuut Lisäksi tarvitaan myös fysikaalisia malleja» Esim. onnettomuuksien seurauksien arviointi PSA:n tavoitteet Tunnistaa teknisen järjestelmän häiriöistä johtuvat erilaiset onnettomuudet Tuottaa kvantitatitiiviset arviot onnettomuuksien esiintymistodennäköisyyksistä ja/tai taajuuksista Tunnistaa onnettomuuksista johtuvat vahingolliset seuraukset Arvioi seurauksien suuruutta kvantitatiivisesti 18
Määritelmiä Onnettomuus Alkuhäiriöstä (alkutapahtumasta) liikkeellelähtevä, turvallisuustoimintojen erilaisten vikayhdistelmien kautta epätoivottuun seuraukseen johtava tapahtumasarja Alkutapahtuma Prosessin häiriö tai vika, jonka hoitaminen vaatii turvallisuustoimenpiteitä (esim. prosessin pysäyttämisen), ja joka ilman onnistuneita turvallisuustoimenpiteitä johtaa epätoivottuihin seurauksiin Turvallisuustoiminto Alkutapahtuman edelleenkehittymisen estävä tai sitä lieventävä toiminto Turvallisuusjärjestelmä Tekninen järjestelmä, joka toteuttaa turvallisuustoiminnon Onnettomuusketju Tietystä alkutapahtumasta alkava onnettomuus, josta tiettyjen turvallisuustoimintojen vikojen tai toimimattomuuden kautta päädytään epätoivottuun seuraukseen 19
PSA-tasoja Taso 1 Sisältää vain onnettomuusketjujen esiintymistaajuuden arvioinnin Taso 2 Sisältää tason 1 lisäksi sisältää eri seurausten suuruuden arvioinnin (esim. ympäristöön karkaavan myrkkymäärän arviointi) Taso 3 Sisältään tasojen 1 ja 2 lisäksi sisältää fysikaalisten seurausten aiheuttamien terveys-, ympäristö- yms. haittojen kvantitatiivisen arvioinnin 20
Tulipalo kemikaalivarastossa (1/2) Onnettomuus Kemikaalivarastossa syttyneen tulipalon aiheuttama vahingollinen tapahtuma Mahdollisia alkutapahtuma Palonalku, joka johtuu esimerkiksi» varomattomasta tulenkäsittelystä» staattisen sähkön aiheuttamasta kipinästä» varastossa toimivan laitteen viasta» jne. Turvallisuustoimintoja Palon sammuttaminen sprinklereillä Palon varhainen havaitseminen ja sammutus henkilökunnan toimesta Automaattinen palohälytys ja sammupalokunnan toteuttama sammutus Turvallisuusjärjestelmiä Sprinklerijärjestelmä Palohälytysjärjestelmä Palokunta Jne. 21
Tulipalo kemikaalivarastossa (2/2) Mahdollisia onnettomuusketjuja Staattisen sähkön aiheuttama palo, joka etenee sprinklerijärjestelmän toimimattomuuden takia, mutta jonka automaattisen palohälytyksen kutsuma palokunta sammuttaa tietyn ajan kuluessa Staattisen sähkön aiheuttama palo, joka tuhoaa varaston sprinklerijärjestelmän ja automaattisen palohälytyksen toimimattomuuden takia jne. PSA tasoja Taso 1 - Lasketaan eri palo-onnettomuusketjujen esiintymistaajuudet Taso 2 - Arvioidaan lisäksi kunkin onnettomuusketjun seurausten suuruus» Esim. automaattisen sammutusjärjestelmän sammuttama palo (taajuus x krt per vuosi) aiheuttaa pienet vesivahingot eikä myrkkypäästöjä synny» Esim. kaikkien turvallisuustoimintojen epäonnistuttua varasto räjähtää, mistä seuraa paineaalto ja erittäin suuri myrkkypäästö Taso 3 Edellisten lisäksi arvioidaan mm. myrkkypäästöjen lyhyt- ja pitkäaikaisia ympäristön asukkaille aiheutuvia terveyshaittoja 22
Onnettomuustn:ien määrittäminen (1) Millä tn:llä tietty onnettomuusketju esiintyy tietyn ajanjakson kuluessa? = Tn. sille, että ajanjaksolla ❶ esiintyy alkutapahtuma ja ❷ turvallisuustoiminnot eivät toimi alkutapahtuman esiintyessä ❶ Alkutatapahtumien tunnistaminen ja järjestelmävasteen määritteleminen Lähtökohtana alkutatapahtumien (initiating events, IE) tunnistaminen ja järjestelmävasteen kuvaaminen Voidaan käyttää kvalitatiisivia tunnistusmenetelmiä (käydään läpi myöhemmin) Mitkä turvallisuustoiminnot tai onnettomuuksien etenemistä estävät keinot ovat käytettävissä ko. alkutapahtuman yhteydessä? f = f P( F IE, F, K, F ) f F IE i IE i 1 i 1 i= 1 alkutapahtuman esiintymistaajuus :nnen turvallisuustoiminnon vikatapahtuma P( F IE, F, K, F ) = i i = = i n 1 i 1 :nnen turvallisuustoiminnon ehdollinen vikaantumistn 23
Onnettomuustn:ien määrittäminen (2) ❷ Onnettomuuden etenemisen kuvaaminen Kuvataan sopivalla loogisella/rakenteellisella mallilla» Sisältää turvallisuustoimintojen onnistumisten ja vikaantumisten aiheuttamat onnettomuuden kulun haarautumat Käytetään usein tapahtumapuuanalyysiä ❸ Turvallisuustoimintojen luotettavuusanalyysi Kuvataan sopivalla loogisella (tai rakenteellisella) mallilla turvallisuustoimintojen vikaantumiset niiden osien vikaantumisten avulla Sovelletaan usein vikapuuanalyysiä ❹ Mallin kvantifiointi Johdetaan perustapahtumien esiintymistodennäköisyydet/-taajuudet perustuen tilastotietoihin, komponenttimalleihin ja asiantuntija-arvioihin Lasketaan onnettomuusketjujen todennäköisyydet ja -taajuudet noudattaen tapahtuma- ja vikapuumallien logiikkaa ja todennäköisyyslaskun sääntöjä 24
Tapahtumapuuanalyysi Tapahtumapuu Esittää annetusta alkutapahtumasta seuraavat onnettomuusketjut loogisena puuna Etenee alkutapahtumasta aikajärjestyksessä esiintyvien turvallisuustoimintojen tilojen kautta lopputiloihin On yleensä binäärinen so. turvallisuustoiminnoilla on kaksi tilaa (onnistunut = Success ja epäonnistunut = Failure) Myös ei-binääristen tapahtumapuiden käyttö mahdollista Haarautumistodennäköisyydet ehdollisia (ehtona aiemmin onnistuneet tai epäonnistuneet toiminnot) 25
26
Tapahtumapuun rakentaminen (1/2) Alkutapahtumien määrittely Tarvittavien turvallisuustoimintojen määrittely Turvallisuustoimintojen tilojen määrittely Alustava tapahtumapuu Riippuvuuksien ja aikatekijöiden huomioonotto Lopullinen tapahtumapuu 27
Esimerkki tapahtumapuusta Turvallisuus- Turvallisuus- Turvallisuustoiminto 1 toiminto 2 toiminto 3 A B C Onnettomuusketju Success Success x Success Failure xc Success xb Failure Alkutapahtuma, x Failure xbc Success Success xa Failure Failure Failure Success Failure xac xab xabc 28
Tapahtumapuun rakentaminen (2/2) Periaatteita Tapahtumapuun haarojen todennäköisyydet lasketaan vikapuilla Riippuvuuksien (esim. usealla tuvallisuustoiminnolla on yhteisiä osia) huomioonotto tärkeää» Vikapuulaskenta ottaa yleensä riippuvuudet huomioon» Esim. jos A:n epäonnistuessa toiminnot B ja C eivät enää vaikuta tilanteeseen ja B:n epäonnistuessa C:llä ei ole merkitystä, niin saadaan Turvallisuus- Turvallisuus- Turvallisuustoiminto 1 toiminto 2 toiminto 3 A B C Onnettomuusketju Success Success x Alkutapahtuma, x Success Failure xc Success xb Failure Failure xa Haarautumistodennäköisyydet ehdollisia (ehtona aiemmin onnistuneet tai epäonnistuneet toiminnot) Haettava kompromissi vikapuu- ja tapahtumapuumallien välillä 29
Vikapuuanalyysi Tavoite Löytää valittuihin järjestelmävikoihin vaikuttavat viat ja vikayhdistelmät (ml. ihmisen toimintovirheet) Mahdollistaa onnettomuusmahdollisuuksien yksityiskohtaisen tutkimisen sekä vaihtoehtoratkaisujen kvantitatiivisen vertailun Periaate Järjestelmäviasta (huipputapahtumasta) lähtien etsitään sen toteutumisen mahdollistavia tekijöitä Rakennetaan graafinen esitys tekijöistä ja niiden välisistä kytkennöistä Osoittaa vaaran kannalta tärkeät vikakombinaatiot sekä pienimmät vikakombinaatiot ja yhteisviat, jotka aiheuttavat järjestelmävian Rajoituksia ja puutteita Ei sovellu hyvin huipputapahtuman seurausten analysointiin Osittaisvikojen tutkiminen vaikeaa Vikojen keskinäisiä vaikutuksia, aikariippuvuuksia ja ulkopuolisia tapahtumaketjuja vaikea huomioida Ei anna hyvää kuvaa järjestelmän kokonaisturvallisuustasosta Huipputapahtuman määrittely vaikuttaa lopputulokseen 30
Vikapuu Esittää järjestelmän vikatapahtuman (=huipputapahtuma) ja perustapahtumien (= komponenttien vikatapahtumat) väliset yhteydet loogisten kytkentöjen (= vikapuun porttien) avulla Porttityypit AND = ulostulo toteutuu, kun kaikki sisäänmenot toteutuvat OR = ulostulo toteutuu, kun yksikin sisäänmeno toteutuu NOT = ulostulo toteutuu, kun sisäänmeno ei toteudu K/N = ulostulo toteutuu, kun K kpl N:stä sisäänmenosta toteutuu Käsittely Boolen-algebran lausekkeilla 31
32
33