Oceny Ryzyka Poważnych Awarii Przemysłowych - MANHAZ

Rozdział I

Oceny ryzyka poważnych awarii przemysłowych 11

OCENY RYZYKA POWAŻNYCH AWARII PRZEMYSŁOWYCH

Spis treści

1. POWAŻNE AWARIE PRZEMYSŁOWE.................................................................................................... 12

1.1. SPECYFIKA POWAŻNYCH AWARII........................................................................................................ 12

1.2. MECHANIZMY POWSTAWANIA POWAŻNYCH AWARII .......................................................................... 13

2. GRUPY ZAGADNIEŃ ROZPATRYWANYCH W OCENACH RYZYKA POWAŻNYCH AWARII. 21

2.1. SCENARIUSZE ZDARZEŃ AWARYJNYCH ...................................................................................................... 22

2.2. PRAWDOPODOBIEŃSTWO .................................................................................................................... 23

2.3. SKUTKI ............................................................................................................................................... 24

2.4. OCENY RYZYKA POWAŻNYCH AWARII, PEŁNA LISTA ZADAŃ .............................................................. 25

2.5. UWAGI O STOSOWANIU QRA.............................................................................................................. 29

2.6. ANALIZY RYZYKA W KONTEKŚCIE RAPORTU BEZPIECZEŃSTWA.......................................................... 31

2.7. WYMAGANE ELEMENTY ANALIZ RYZYKA POWAŻNYCH AWARII CHEMICZNYCH. ................................ 32

Bibliografia ................................................................................................................................................. 32

Poradnik metod ocen ryzyka związanego z niebezpiecznymi instalacjami procesowymi

12 Oceny ryzyka poważnych awarii przemysłowych

1. Poważne awarie przemysłowe

Z każdym rodzajem działalności ludzkiej jest związane ryzyko (rozumiane jako prawdopodobieństwo,

potocznie-możliwość) wystąpienia niepożądanych zdarzeń zagrażających zdrowiu i życiu człowieka oraz jego

otoczeniu. Działając nigdy nie można uzyskać zerowego poziomu zagrożenia, chyba że ta działalność zostanie

wyeliminowana. Istnieje przy tym jednak możliwość, że eliminując działalność spowoduje się jedynie zmianę

źródła zagrożenia. Jest to podstawowa koncepcja w dziedzinie oceny ryzyka i sterowania nim.

W życiu codziennym każdy człowiek nieustannie dokonuje ocen sytuacji i podejmuje decyzje, czy ryzyko

związane z określonym działaniem jest usprawiedliwione. Decyzje takie są zwykle dokonywane w warunkach

wysokiego poziomu niepewności informacji i wiążą się z wartościowaniem, które nie zawsze może być

wyrażone przez dobrze zdefiniowane kryteria ilościowe. Ma to miejsce w przypadkach, gdy ryzyko podejmowane

jest dobrowolnie (palenie papierosów, uprawianie niebezpiecznych dyscyplin sportowych, itp.).

Z drugiej strony istnieje ryzyko niezależne od wyboru ludzkiego (katastroficzne zjawiska przyrodnicze, wypadki

przy pracy, katastrofy przemysłowe itp.). W takich sytuacjach procesy decyzyjne muszą być oparte na jawnych

przesłankach wspartych ocenami ilościowymi. Należy pamiętać przy tym, że ludzie skłonni są akceptować różny

poziom ryzyka w zależności od tego, czy jest ono podejmowane dobrowolnie czy też niezależnie od ich woli.

Można wyróżnić następujące główne grupy źródeł ryzyka niedobrowolnego:

− ciągła emisja substancji toksycznych przez zakłady przemysłowe, zanieczyszczenie powietrza, wody i

gleby;

− środowisko pracy - stan maszyn i urządzeń, podwyższone stężenie substancji szkodliwych;

− awarie przemysłowe - pożary, eksplozje i uwolnienia substancji toksycznych w wyniku przetwarzania,

transportowania i składowania materiałów niebezpiecznych;

− oddziaływanie zjawisk naturalnych (trzęsień ziemi, huraganów, powodzi i aktywności wulkanicznej)

zwiększające ryzyko pochodzące od zakładów przemysłowych;

− działalność agrarna na dużą skalę - nawozy sztuczne, środki owado- i chwastobójcze mogą skazić wody

gruntowe, rzeki i glebę. W niektórych przypadkach lokalne duże zapotrzebowanie na wodę powoduje

osuszenie i erozję gleby;

− urbanizacja i związana z nią infrastruktura są źródłem zagrożenia środowiska przez skażenie wód

gruntowych, zanieczyszczenie powietrza przez środki transportu oraz generowanie i składowanie dużej

ilości odpadów.

Strategie sterowania poziomem różnych rodzajów ryzyka istotnie zależą od ich natury.

1.1. Specyfika poważnych awarii

Różne systemy człowiek - obiekt techniczny wykorzystujące różne technologie i ukierunkowane na realizację

odmiennych grup zadań, stwarzają na ogół różniące się między sobą kategorie zagrożeń, co prowadzi do

rozwoju również różniących się między sobą sposobów kontroli bezpieczeństwa i zarządzania ryzykiem tych

systemów. Obrazuje to rysunek 1.1.

Trzy kategorie zdarzeń przedstawione na tym rysunku różnią się w sposób oczywisty wyborem strategii kontroli

źródeł zagrożeń i bezpieczeństwa. Są to:

1. Bezpieczeństwo zawodowe, związane z częstymi wypadkami, ale najczęściej na małą skalę. W tym

przypadku strategie kontroli bezpieczeństwa wynikają z analiz statystycznych zdarzeń.

2. Ochrona przed średnio groźnymi i niezbyt częstymi wypadkami. Obecny poziom zarządzania ryzykiem w

tym przypadku jest wynikiem najczęściej usprawnień konstrukcyjnych lub zasad obsługi, będących

wynikiem wdrożenia zaleceń analiz przyczyn zaistnienia indywidualnych wypadków.



Rys. 1.1. Zdarzenia awaryjne, model zachowania się człowieka w aspekcie ocen niezawodności i

bezpieczeństwa systemu

3. Ochrona przed bardzo rzadkimi i nie akceptowalnymi przez ogół społeczeństwa poważnymi awariami

(katastrofami) przemysłowymi. Zarządzanie ryzykiem polega tu na zapewnieniu wielostopniowych barier

chroniących przed uwolnieniem dużych ilości energii lub substancji niebezpiecznych. Ocena przyjętych

rozwiązań wymaga zastosowania przede wszystkim zintegrowanych analiz predykcyjnych (biorących pod

uwagę wszystkie możliwe czynniki wpływające na bezpieczeństwo systemu) a w mniejszym stopniu oparcia

się na faktach z odnotowanych już awarii.

W celu przeprowadzenia analizy zagrożeń systemu należy:

1) zrozumieć istotę danego systemu;

2) określić zakres i cel analizy;

3) wybrać i zastosować metodę analizy;

4) ocenić wyniki analizy.

Ocena bezpieczeństwa systemów wymaga zazwyczaj przeprowadzenia wielu analiz zagrożeń w całym okresie

użytkowania systemu. Zakres i cel każdej wymaganej analizy może być inny, np. wstępna analiza zagrożeń

może być wymagana w fazie koncepcji w celu dostarczenia wstępnej oceny zagrożeń, z jakimi będzie się można

spotkać w późniejszych (kolejnych) fazach okresu użytkowania systemu. Można także sporządzać specjalne

analizy dla określenia zagrożeń, które mogą wystąpić w czasie opracowywania systemu, montażu, eksploatacji,

konserwacji lub likwidacji. Można też jednocześnie analizować cały system lub tylko jedną jego część. Tam,

gdzie przeprowadza się analizy zagrożeń podsystemów, powinno się także przeprowadzić analizę całego

systemu w celu określenia potencjalnych zagrożeń na styku podsystemów.

Pomijając zakres, cel lub zastosowaną metodę, analiza zagrożeń jest tylko pewnym narzędziem inżynierskim.

Ma ona stanowić pomoc w podejmowaniu decyzji w celu ulepszenia całego systemu.

1.2. Mechanizmy powstawania poważnych awarii

Odnotowano wiele poważnych awarii stałych obiektów przemysłowych i katastrof transportowych z udziałem

niebezpiecznych substancji. Ich analizy pozwalają skonstruować podstawowy schemat powstawania takich

awarii i katastrof. Należy przy tym zaznaczyć, że zwykle bezpośrednie przyczyny zdarzeń są dobrze

udokumentowane. Mniej wiadomo natomiast o przyczynach pierwotnych. Błędy ludzkie są często wskazywane

jako główne elementy sprawcze zdarzeń bezpośrednich, determinujące cały scenariusz awaryjny wtedy, gdy

zdarzenia pierwotne: niewłaściwy sprzęt lub niewłaściwy dobór środków zapobiegawczych jest bardziej istotny

dla powstania awarii.

Można zatem przyjąć ogólny schemat powstania i rozwoju sytuacji awaryjnej (rysunek. 1.2). Elementy diagramu

logicznego z tego rysunku wyznaczają grupy zdarzeń występujące w ciągach awaryjnych. Przy tym:



Przyczyny pierwotne przedstawiają podstawowe uwarunkowania powstania zdarzenia i zwykle odnoszą się do

rozwiązań konstrukcyjnych i zasad obsługi instalacji poniżej przyjętych norm i/lub założeń projektowych.

Przyczyny bezpośrednie postrzegane zwykle jako zdarzenia początkujące scenariusze awaryjne. Są to

niewłaściwe działania ludzi, uszkodzenie sprzętu lub zdarzenia zewnętrzne prowadzące do odstępstw od stanów

nominalnych instalacji przewidzianych założeniami projektowymi.

Instalacja w stanie awaryjnym może się zdarzyć w wyniku wystąpienia niebezpiecznych zmian w wartości

parametrów eksploatacyjnych, niesprawności sprzętu powstałej przy przeprowadzaniu remontów i konserwacji lub

utraty szczelności w wyniku błędnych działań.

Utrata kontroli nad rozwojem sytuacji powstaje, gdy działania naprawcze ekip remontowych, systemów

sterowania oraz systemów bezpieczeństwa nie są w stanie skorygować niebezpiecznego trendu w wartościach

parametrów wyznaczających obszar bezpiecznej pracy, co ostatecznie prowadzi do uszkodzeń instalacji lub uwolnień

awaryjnych.

Niepowodzenie uniknięcia sytuacji awaryjnej wywołuje najczęściej wystąpienie lub eskalację zdarzeń, którym

towarzyszy znaczne uwolnienie substancji toksycznych i/lub energii. Ostateczne skutki zależą od podjętych działań

ratowniczych.

W każdej z grup można wyróżnić bardziej subtelną strukturę podziału przyczyn zdarzeń tabele 1.1-1.6.

Istnieje oczywista potrzeba systematycznej oceny wszystkich wymienionych wyżej czynników wpływających na

bezpieczeństwo. Istotnymi elementami tej oceny jest:

− zdefiniowanie procesu, określenie wymogów technologicznych odnośnie prowadzenia procesu i wybór

instalacji,

− ocena procesu z punktu widzenia potencjalnych zagrożeń chemicznych, uwzględniająca odchylenia od

założonych parametrów,

− wybór środków bezpieczeństwa, wdrożenie i utrzymanie tych środków.

Instalacje w

niebezpiecznym stanie

Awaryjne uwolnienie

niebezpiecznych substancji

Skutki działalności gospodarczej na

człowieka i środowisko

Niewłaściwie

kontrolowana sytuacja

Zdarzenia eskalujące

i nieskuteczność działań

zaradczych

Bezpośrednie przyczyny uszkodzeń sprzętu i uwolnień niebezpiecznych

substancji

Pierwotne przyczyny uszkodzeń sprzętu i uwolnień niebezpiecznych substancji

Rys 1.2. Podstawowy schemat rozwoju sytuacji awaryjnej


Tabela 1.1. Przyczyny zdarzeń pierwotnych

NIEWŁAŚCIWA KONSERWACJA

- niewłaściwa ocena potrzeb konserwacji

- niewłaściwe procedury przeprowadzania konserwacji


BŁĘDY PRZY ODDAWANIU DO UŻYTKU INSTALACJI I JEJ EKSPLOATACJI

- błędy procedury odbioru instalacji

- nieodpowiednia dokumentacja

- niewłaściwa instalacja sprzętu

- dodatkowe zagrożenia, powstałe w czasie budowy instalacji i produkcji urządzeń

- nieprawidłowości przy produkcji urządzeń i ich montowaniu

NIEWŁAŚCIWY TRANSPORT SUROWCÓW

NIEWŁAŚCIWY DOBÓR PROCESÓW TECHNOLOGICZNYCH I ROZWIĄZAŃ KONSTRUKCYJNYCH

INSTALACJI

- niewłaściwe normy i specyfikacje techniczne

- niewystarczająca ochrona przed zagrożeniami zewnętrznymi

- niewłaściwe podstawowe założenia projektowe instalacji

- niewłaściwe usytuowanie przestrzenne elementów instalacji

- niewystarczająca kontrola realizacji fazy projektowej

- niewłaściwe założenia i dobór procesów technologicznych

- niewłaściwa wstępna ocena procesów technologicznych

- niewłaściwy projekt końcowy instalacji

ZASTOSOWANIE NIEWŁAŚCIWYCH LUB NIEODPOWIEDNICH PROCEDUR OBSŁUGI INSTALACJI

- niewłaściwe specyfikacje zadań

- niewłaściwe lub błędne procedury realizacji zadań

- niewłaściwe przyzwyczajenia w realizacji zadań

- instrukcje lub procedury trudne do zrozumienia

- czynniki wpływające na realizację zadań (zewnętrzne i wewnętrzne)

- brak formalnych zasad wprowadzania i aktualizacji procedur

- niewystarczające przeglądy (audity) procedur

NIEODPOWIEDNIE INFORMOWANIE

- nieodpowiednie lub fałszywe informacje

- niemożliwość uzyskania właściwych informacji

- błędne przetwarzanie informacji przez urządzenia lub obsługę

- nieodpowiednie kanały komunikacji

- błędne rozwiązywanie problemów, niewłaściwe decyzje

- nieodpowiednie zasady przekazywania i przyjmowania informacji

- niewłaściwy sposób reagowania na informacje

- utrata informacji przy komunikowaniu się



Tabela 1.1. cd. Przyczyny zdarzeń pierwotnych

NIEODPOWIEDNIA OBSADA PERSONELU REALIZUJĄCEGO ZADANIA

- nieodpowiednie kwalifikacje i cechy wrodzone

- niewłaściwe rozwiązanie w obszarze oddziaływania człowiek-maszyna

- przeciążenie personelu i wymagany krótki oceny czas realizacji zadań

- niewystarczające szkolenia i sprawdziany w stosowaniu procedur bezpieczeństwa

- niewystarczające szkolenia i brak umiejętności w zakresie wykonywanego zadania

- błędne formy szkolenia

- niewłaściwa reakcja na popełnione błędy

- nieodpowiednie środowisko pracy

BŁĘDY W ZARZĄDZANIU

- niewystarczające zarządzanie, w tym brak odpowiedniej kadry

- braki w koordynowaniu działań i określaniu zakresu odpowiedzialności personelu

- błędy w kierowaniu, koordynowaniu i definiowaniu zakresu obowiązków

- nieumiejętność dostrzegania alternatywnych rozwiązań i wyboru właściwych działań

- zmiany wprowadzane w konstrukcji i eksploatacji instalacji nie są wystarczająco

analizowane w aspekcie bezpieczeństwa instalacji

NIEWYSTARCZAJĄCE ROZWIĄZANIA ORGANIZACYJNE

- nieodpowiednia strategia i taktyka

- nieodpowiednie zaopatrzenie w zasoby

- niewłaściwe rozwiązania organizacyjne i kultura współpracy

- niewłaściwe rozwiązania organizacyjne w odniesieniu do błędów ludzkich

- nieodpowiednie programy i kontrola zarządzania

INNE NIEDOCIĄGNIĘCIA ORGANIZACYJNE DOTYCZĄCBEZPIECZEŃSTWA

- nieodpowiednie szkolenia, świadomość zagadnień bezpieczeństwa i mechanizmy motywacyjne

- nieodpowiednie procedury i normy zakładowe/ branżowe

- niewłaściwa lokalizacja i urządzenia instalacji

- niewystarczające doświadczenie w stosowaniu przyjętych technologii

Tabela 1.2 przedstawia grupy zdarzeń bezpośrednich, często postrzegane jako zdarzenia początkujące scenariusze

awaryjne


Tabela 1.2. Bezpośrednie przyczyny zdarzeń awaryjnych


NIEWŁAŚCIWE DZIAŁANIE OPERATORA, BŁĘDY EKIPY KONSERWUJĄCEJ LUB INNEGO PERSONELU

- działania oparte na niepełnej lub niewłaściwej informacji lub błędnych wykazach przetwarzania informacji

- błędy w wykonaniu zadań

- niewłaściwe zakończenie zadania

- działania nie podjęte lub pominięte

- działania generujące nieodpowiednią informację lub reakcję

- błędna analiza informacji kontrolnych lub raportów

NIESPRAWNE LUB NIEWŁAŚCIWE PROCESY LUB URZĄDZENIA

- gwałtowne uszkodzenie instalacji prowadzące do utraty jej podstawowych funkcji

- uszkodzenia stopniowo narastające lub uszkodzenia częściowe

- uszkodzenia sprzętu prowadzące do częściowej niesprawności instalacji lub do poważnej awarii

- niesprawność urządzeń/systemów przy wykonaniu zadań na żądanie

- niesprawność sprzętu powstała w wyniku błędów konstrukcyjnych

NIEODPOWIEDNIE LUB NIESPRAWNE SYSTEMY KONTROLNE

- gwałtowne uszkodzenie systemów kontrolnych

- częściowe lub stopniowo narastające uszkodzenie takich systemów

- niesprawność systemów kontrolnych przy wykonywaniu zadań na żądanie

- niewłaściwa instalacja systemów kontrolnych

- niewłaściwe użycie systemów kontrolnych przez operatora

- niesprawność systemów kontrolnych powstała w wyniku błędów konstrukcyjnych

USZKODZONE/NIEWŁAŚCIWE SYSTEMY MONITORINGU

Uszkodzenia bezpośrednio powodujące utratę integralności instalacji

- uszkodzone lub brakujące elementy

- nieodpowiedni system inspekcji

- niewykrycie uszkodzeń przed rozruchem

- uszkodzenie podpór lub obejm

- nieprawidłowa konstrukcja / instalacja

- wadliwa produkcja lub montaż urządzeń

- niewłaściwe materiały konstrukcyjne

- niewłaściwy sposób wykonania połączeń spawów, uszczelnień, itp.

ODCHYLENIA OD ZAŁOŻEŃ PROJEKTOWYCH

- stosowanie urządzeń dla celów i w warunkach poza zakresem specyfikacji projektowych

- modyfikacje w fazie budowy niezgodne z założeniem projektowym

- modyfikacje w czasie prac remontowych lub przy zmianach, przebudowie instalacji,

niezgodne z pierwotnymi założeniami projektowymi

CZYNNIKI ZEWNĘTRZNE

- nieprzewidziane zagrożenia zewnętrzne

- ekstremalne zjawiska przyrodnicze

- poważne awarie przemysłowe, katastrofy transportowe poza obszarem instalacji

- sabotaż



Zaburzenia pracy instalacji (tabela 1.3) są zwykle używane przez przeprowadzających analizy bezpieczeństwa

dla identyfikowania specyficznych przyczyn awarii.

Tabela 1.3. Instalacja w niebezpiecznym stanie awaryjnym

NIEBEZPIECZNE TRENDY W WARUNKACH EKSPLOATACJI

- podciśnienie

- nadciśnienie w wyniku eksploatacji

- nadciśnienie wywołane źródłami wewnętrznymi

- nadciśnienie w wyniku parowania cieczy

- cieplna rozszerzalność materiałów procesowych

- wysoka temperatura z bezpośredniego źródła

- wysoka temperatura w wyniku zmian przy grzaniu lub chłodzeniu

- wysoka temperatura w wyniku zmian w procesie mieszania

- wysoka temperatura w wyniku zaistnienia niekontrolowanych reakcji egzotermicznych

- niska temperatura ścian (zwykle ekstremalnie niska)

- niebezpieczne trendy w innych parametrach eksploatacyjnych

ZMIANY CHARAKTERU PLANOWANYCH UPUSTÓW SUBSTANCJI POZA INSTALACJĘ

- zmiana składu

- upust awaryjny

- zmiana fazy lub wystąpienie dodatkowej fazy substancji procesowej

- zmiana prędkości, kierunku wypływu lub całkowitej ilości uwolnionej substancji

INSTALACJA USZKODZONA W WYNIKU EKSPLOATACJI LUB PRAC KONSERWACYJNYCH

- poluzowania, odłączenia w wyniku działań obsługi

- poluzowania w wyniku wibracji

- korozja

- pęknięcie lub zmęczenie materiałów w wyniku obciążeń mechanicznych lub cieplnych

- zmienność wewnętrznych obciążeń

- erozja i zmniejszenie grubości

- dystorcja lub starzenie się w wyniku reakcji chemicznych lub rozszerzalności cieplnej

- zmienność zewnętrznych obciążeń

- uderzenie wodne i wdarcie się obcej fazy

- uderzenia i zmiany w wyniku nadmiernych naprężeń lub sił

- inne szoki cieplne, fale ciśnieniowe i zmienne przepływy

- zmiany poza granicami tolerancji w wyniku zmęczenia materiałowego, tarcia

NIEPLANOWANE OTWARCIE INSTALACJI

- wadliwe położenie zaworu

- wadliwy stan systemu bezpieczeństwa

- uszkodzenia urządzeń odcinających

- upust z urządzeń bezpieczeństwa

- uszkodzony sprzęt

- nieplanowane otwarcie umożliwiające wpływ lub wypływ


Tabela 1.4. Eskalacja zdarzeń

NIEODPOWIEDNIE REAGOWANIE

- nieodpowiednie przygotowanie służb informacyjnych

- niewłaściwa ochrona pracowników

- niewłaściwe odseparowanie ludzi, zakładu od źródeł zagrożeń zewnętrznych

- niewystarczające działania informacyjne służb ratowniczych na terenie zakładu

- niewystarczające działania informacyjne służb ratowniczych poza zakładem

POGORSZENIE SYTUACJI W WYNIKU WYBUCHU

- powstanie warunków sprzyjających wybuchom

- wybuchy rozprężających się par wrzącej cieczy (BLEVE)

- wybuchy pyłowe

- wybuchy w pomieszczeniach zamkniętych lub częściowo zamkniętych

- wybuch fizyczny, wybuch fazy stałej

- wybuchy elektryczne

- wybuchy par na zewnątrz instalacji

- uszkodzenia elektryczne

- uszkodzenia uszczelnień hydraulicznych

ESKALACJA W WYNIKU POŻARU

- dodatkowe uwolnienie substancji niebezpiecznych w wyniku pożaru

- zapalenie się ognisk uprzednio wygaszonego pożaru

- zwiększenie prędkości rozprzestrzeniania się pożaru

- systemy gaśnicze nie są w stanie ugasić pożaru

- systemy gaśnicze nie zostały włączone

- brak kontroli źródeł zapłonu

- powstanie znacznych ilości mieszaniny palnej

- nastąpił zapłon substancji palnych przed ich uwolnieniem

NIESKUTECZNOŚĆ ŚRODKÓW ZARADCZYCH PO UWOLNIENIU

- koncentracja uwolnionych substancji nie zmniejsza się wystarczająco szybko

- niewłaściwe środki zaradcze

- brak środków zaradczych

- podjęcie nieodpowiednich działań natychmiast po uwolnieniu

NIEWYSTARCZAJĄCE DZIAŁANIA INTERWENCYJNE

- nieodpowiednie działanie interwencyjne

- nieodpowiednia pomoc poszkodowanym


UWOLNIENIA SUBSTANCJI TOKSYCZNYCH

- akumulacja uwolnienia

- dodatkowe uwolnienie substancji toksycznych w wyniku pożaru, wybuchów lub procesów parowania

- niezahamowanie przebiegu reakcji produkujących substancje toksyczne

- niewystarczające oczyszczanie awaryjnych upustów

- nie spowodowane zmniejszenie koncentracji uwolnionej substancji



Tabela 1.5 podsumowuje drogi możliwych nie planowanych uwolnień substancji niebezpiecznych.

Tabela 1.5. Uwolnienie niebezpiecznych substancji

UTRATA ZNACZNEJ ILOŚCI SUBSTANCJI PROCESOWYCH

- uwolnienie odnotowane ale nie przeprowadzono działań ograniczających ilości uwolnionej substancji

- nie wykryto znacznych uwolnień substancji

UWOLNIENIE SUBSTANCJI W WYNIKU PĘKNIĘCIA LUB ZRZUTU AWARYJNEGO

- przekroczenie mechanicznych parametrów projektowych

- pęknięcie wadliwej lub zużytej instalacji

- wypływ do atmosfery przez niezgodne z projektem otwarcie instalacji

- zmiany w planowych zrzutach, zrzuty lub upusty awaryjne

Tabela 1.6. Utrata kontroli rozwoju sytuacji awaryjnej

DZIAŁANIA KOREKCYJNE SYSTEMÓW STEROWANIA NORMALNĄ PRACĄ SĄ NIEWYSTARCZAJĄCE

- uszkodzenie systemów zwiększa zagrożenie

- niewłaściwe miejsce systemów sterowania

- nieodpowiednie lub uszkodzone systemy sterowania

- nie ma systemów sterowania lub są odłączone

- niewłaściwe odczyty lub wskazania

UTRATA PRZEZ OPERATORA KONTROLI ROZWOJU SYTUACJI

- nieodpowiednia lub niemożliwa reakcja operatora

- działania operatora przewidziane instrukcją nie zmieniają przebiegu zdarzeń

- niewłaściwe zidentyfikowanie problemu

- działania operatora powodują lub powiększają zagrożenie

- operator nie podjął działań

SYSTEMY BEZPIECZEŃSTWA NIE ZAPOBIEGAJĄ ROZWOJOWI SYTUACJI AWARYJNEJ

- uszkodzenie systemów bezpieczeństwa powoduje lub zwiększa niebezpieczeństwo

- nieodpowiedniość systemu bezpieczeństwa

- nie ma systemów bezpieczeństwa lub są odłączone

- niewłaściwe użycie systemów bezpieczeństwa

- niedostateczna, niewłaściwa lub niemożliwa reakcja operatora

- niewłaściwa diagnoza problemu

- działanie operatora pogarsza sytuację

- operator nie podjął działania

- operator nie zapobiegł rozwojowi sytuacji awaryjnej

PRZEPROWADZANIE NAPRAW NIE WYSTARCZA, ABY OPANOWAĆ PRZEBIEG SYTUACJI

AWARYJNEJ

- niewłaściwe działania naprawcze

- działania naprawcze zwiększają zagrożenie

- niewłaściwe odłączenie urządzeń dla przeprowadzenia naprawy

- niepodjęcie działań naprawczych

- działania naprawcze nie wystarczają



Dla zapewnienia bezpiecznej eksploatacji i minimalizacji skutków poważnych awarii obiektów przemysłowych,

w tym instalacji chemicznej wprowadza się:

− środki zapobiegawcze w zakresie doboru procesu technologicznego oraz rozwiązań konstrukcyjnych, zasad

kontroli przebiegu procesu i obsługi operatorskiej oraz innych rozwiązań z zakresu zarządzania

bezpieczeństwem; tak rozumiane środki zapobiegawcze wyznaczają obszar bezpiecznej pracy obiektu,

− środki zaradcze związane z realizacją funkcji bezpieczeństwa obiektu mające na celu zapobieganie rozwojowi

sytuacji awaryjnych i minimalizację ich skutków.

Środki zaradcze to głównie procedury awaryjne obsługi instalacji oraz systemy bezpieczeństwa. Nie można

środków zaradczych rozpatrywać oddzielnie, ale jedynie w powiązaniu z przytoczonymi środkami zapobiegania

awariom.

Obszar bezpiecznej eksploatacji dowolnej instalacji wyznaczają:

(a) systemy związane z przebiegiem procesu,

(b) systemy sterowania przebiegiem procesu i dokonujące korekt tego przebiegu w zakresie pewnych

przedziałów odchyleń parametrów procesu i zmian reżimów pracy systemów normalnej eksploatacji,

(c) zasady obsługi operatorskiej przyjęte rozwiązania organizacyjne dotyczące prowadzenia procesu, a także

remontów i konserwacji.

Systemy bezpieczeństwa odgrywające istotną rolę w kontroli rozwoju sytuacji awaryjnej są rozumiane jako środki

techniczne, które obok działań operatorskich są niezbędne do wypełnienia funkcji bezpieczeństwa. Z tego powodu

konieczne jest dla odpowiedniego wyboru systemów bezpieczeństwa przeprowadzenie pełnej analizy ryzyka

instalacji uwzględniającej uwarunkowania wynikające z (a) - (c). Taka analiza ryzyka powinna wskazać na

dominujące scenariusze awaryjne instalacji oraz główne czynniki determinujące te scenariusze. Dopiero na

podstawie tych informacji można odpowiednio dobrać rodzaj i parametry ważnych urządzeń technicznych oraz

zasady postępowania operatora w aspekcie ich wagi dla bezpieczeństwa instalacji.

2. Grupy zagadnień rozpatrywanych w ocenach ryzyka poważnych awarii

Jak już wspomniano w punkcie 1.1. w razie poważnych awarii przemysłowych wnioskowanie oparte jedynie na

zdarzeniach, które miały miejsce w przeszłości daje niepełny obraz ryzyka, ponieważ:

− warunki (w odniesieniu do technologii, zasad i kultury bezpieczeństwa, geograficznych charakterystyk

lokalizacji obiektu) charakterystyczne dla określonego zdarzenia mogą wykluczać jego wystąpienie w

innych sytuacjach;

− dla pewnych złożonych obiektów i działalności, np. związanych z cyklami paliwowymi wytwarzania

energii dane statystyczne są znikome;

− dotychczasowe doświadczenie, w większości przypadków odzwierciedla tylko pewne aspekty całego

spektrum możliwych scenariuszy awaryjnych;

− wpływ rozwoju technologii, szczególnie na dziedzinie bezpieczeństwa technicznego, nie jest brany pod

uwagę, gdy wnioskuje się jedynie na podstawie zdarzeń z przeszłości.

Wyważona ocena bezpieczeństwa i ryzyka poważnych awarii obiektów przemysłowych, charakteryzujących się

wbudowanymi cechami bezpieczeństwa wymaga stosowania metodyk predykcyjnych takich jak

Probabilistyczne Oceny Bezpieczeństwa, znane w terminologii angielskiej jako Probabilistic Safety Assessment

(PSA).

Zostały one po raz pierwszy opracowane na potrzeby kompleksowych analiz bezpieczeństwa instalacji

jądrowych. Metodyki PSA dostarczają strukturalnego i logicznego podejścia do wyznaczania wiarygodnych,

potencjalnych scenariuszy awaryjnych instalacji, ocen ich prawdopodobieństw i skutków. W ostatnim

dwudziestoleciu wypracowano odpowiednie standardy metodyk PSA. Po pewnych modyfikacjach, a także pod

zmienioną nazwą Ilościowe Oceny Ryzyka (QRA), metodyki PSA zostały adaptowane do analiz instalacji

chemicznego przemysłu procesowego, platform wydobywczych na morzu i przemysłu kosmicznego.

Modyfikacje i adaptacje były konieczne ze względu na fundamentalne różnice pomiędzy energetyką jądrową

(gdzie mamy do czynienia w zasadzie z jednym niebezpiecznym procesem) a innymi rodzajami niebezpiecznej

działalności, w szczególności w przemyśle chemicznym, gdzie może współistnieć jednocześnie lub zachodzić



kolejno wiele procesów niebezpiecznych. W wielu krajach (szczególnie w Holandii, Wielkiej Brytanii i USA)

zakres zastosowań QRA jest znaczny i stale się rozszerza.

W analizach PSA przyjmuje się, że ryzyko R, to uporządkowana trójka

R = (S,P,C), (2.1)

gdzie:

S - scenariusz wypadku, zwykle opisany jako ciąg następujących po sobie zdarzeń,

P - prawdopodobieństwo zajścia S,

C - odpowiednia miara skutków wywołanych przez S.

Oceny ryzyka metodami QRA umożliwiają rozważenie wszystkich elementów zarządzania ryzykiem, w celu

wypracowania najlepszych całościowych działań gwarantujących, że istotne kryteria bezpieczeństwa odnośnie

ryzyka są spełnione przez analizowaną instalację lub działalność. Wiąże się to z identyfikacją źródeł zagrożeń,

określeniem możliwych scenariuszy awaryjnych S, oceną prawdopodobieństwa P wystąpienia takich scenariuszy

i ich potencjalnych skutków C, wyznaczeniem profilu ryzyka instalacji i porównanie z obowiązującym

kryterium w tym zakresie. Na podstawie takich rozważań można ocenić skuteczność podejmowanych środków

zaradczych zarówno na terenie samej instalacji, jak również poza tym terenem.

2.1. Scenariusze zdarzeń awaryjnych

Określenie możliwych scenariuszy (ciągów) zdarzeń awaryjnych wiąże się z koniecznością odpowiedzi na

następujące pytania:

− "co się stanie gdy" określone urządzenie zawiedzie,

− "co się stanie gdy" zostanie popełniony błąd (np. obsługi),

− "co się stanie gdy" wystąpi powódź, silny wiatr, bardzo niska temperatura, pożar lub wybuch na

zewnątrz obiektu?

QRA wymaga wyczerpującej wiedzy o obiekcie i stosowania modeli logicznych, aby odpowiedzieć zadowalająco

na to pytanie. Podstawowymi elementami postępowania w tym wypadku są:

1. Szczegółowe zapoznanie się z obiektem, jego systemami, ich budową, zasadami funkcjonowania i

wzajemnymi zależnościami. Ważna jest przy tym znajomość procedur obsługi, przeglądów, prób i innych

aspektów istotnych dla prawidłowego funkcjonowania systemów obiektu.

2. Identyfikacja "zdarzeń początkujących (ZP) tj. tych zdarzeń, które mogą zapoczątkować scenariusz

wypadku. Ogólnie wszystkie zdarzenia początkujące mogą być podzielone na dwie główne klasy:

zdarzenia "wewnętrzne" i zdarzenia "zewnętrzne". Należy jednak zaznaczyć, że taka klasyfikacja jest

bardziej historyczna niż logiczna. Zdarzenia wewnętrzne to te, które wynikają z niesprawnego funkcjonowania,

ewentualnie uszkodzenia pojedynczego urządzenia lub całych systemów. Włącza się przy tym w tę

klasę zdarzenia wynikające z błędów obsługi operatorskiej, konserwacji, przeglądów urządzeń, itp.

Zdarzenia zewnętrzne spowodowane są przez inne przyczyny, komplementarne do ww. W związku z

wagą właściwego wyboru zdarzeń początkujących dla ich wyznaczenia stosuje się często różnorodne

procedury formalne systematycznej selekcji. Jej pierwszym krokiem jest określenie niepożądanego

skutku, np. uwolnienie substancji niebezpiecznych. Drugim krokiem jest identyfikacja wszystkich

możliwych źródeł tych substancji na terenie analizowanego obiektu. Trzecim krokiem jest określenie

stanów eksploatacyjnych obiektu, które wpływają na wielkość uwolnień. Czwarty krok to ustalenie

wszystkich "barier" zabezpieczających przed uwolnieniem substancji niebezpiecznych z ich potencjalnych

źródeł. Na końcu ustala się możliwe mechanizmy naruszenia tych barier.

3. Analiza możliwych odpowiedzi obiektu na zdarzenia początkujące. Zadanie to pociąga za sobą konstrukcję

odpowiednich modeli logicznych (zwykle drzew zdarzeń), które wyrażają odpowiedzi obiektu poprzez

możliwe warianty progresji zdarzeń. Progresja zdarzeń jest zdefiniowana jako ciąg kolejno po sobie

następujących zdarzeń po zdarzeniu początkującym. Każde zdarzenie łatwo powiązać z wypełnieniem lub

niewypełnieniem zadań funkcjonalnych ważnych z punktu widzenia bezpieczeństwa obiektu. Z tego

powodu w analizie ryzyka używa się najczęściej terminu funkcjonalne drzewo zdarzeń, na określenie

modelu odpowiedzi obiektu w postaci drzewa, gdzie punkty rozgałęzienia związane są z pytaniem, czy

została wypełniona określona funkcja bezpieczeństwa, np:


Zachodzi zdarzenie 1

(początkujące)


(spełniona funkcja 1)



(spełniona funkcja 2)

(tak) (tak) nie ma znaczenia

(nie) (tak)

Identyfikator gałęzi

Oczywiście konstrukcję funkcjonalnych drzew zdarzeń musi poprzedzić identyfikacja zbioru wszystkich zadań

funkcjonalnych ważnych dla bezpieczeństwa obiektu. Często zbiór ten nazywa się zbiorem funkcji

bezpieczeństwa.

Ogólnie funkcje bezpieczeństwa można zdefiniować jako grupy działań mających na celu uniknięcie

uszkodzenia instalacji i/lub powstrzymanie uwolnienia niebezpiecznych substancji do otoczenia.

Przy tym próbuje się ustanowić pewną strukturę hierarchiczną tych funkcji. Na przykład kontrolowanie reakcji w

reaktorze chemicznym można uznać za najważniejszą, bo od tego zależy przede wszystkim ilość ciepła jaka

musi być odprowadzona z instalacji. Następnymi w kolejności mogą być funkcja odprowadzenia ciepła oraz

funkcja zapewnienia nieprzekroczenia ciśnienia krytycznego instalacji oraz funkcja ograniczenia dyspersji

groźnych substancji w otoczeniu. Realizacja tych podstawowych funkcji bezpieczeństwa zależy od typu obiektu,

jego budowy, przedziałów czasowych wymaganej reakcji obiektu (tuż po zajściu ZP lub w dalszym horyzoncie

czasu). Stąd w zależności od tych czynników można wprowadzać pogrupowanie działań i funkcji

bezpieczeństwa bardziej odzwierciedlające specyfikę obiektu.

Klasyfikacja funkcji bezpieczeństwa ma istotny wpływ na sposób grupowania ZP. Dostarcza ona również

strukturalnego podejścia do procesu definiowania i grupowania systemów obiektu z punktu widzenia

wypełniania zadań określonych przez funkcje bezpieczeństwa.

2.2. Prawdopodobieństwo

Odpowiedź na drugie pytanie "Jakie jest prawdopodobieństwo zajścia różnorodnych scenariuszy wypadku"

wymaga analizy funkcjonalnego drzewa zdarzeń. Punkty rozgałęzienia w funkcjonalnym drzewie zdarzeń

związane są z wypełnieniem lub niewypełnieniem zadania funkcjonalnego przez odpowiednie systemy obiektu

lub obsługę.

Do oszacowania prawdopodobieństwa zajścia różnorodnych scenariuszy wypadku wymagana jest analiza

ilościowa funkcjonalnego drzewa zdarzeń. Systemy, które są związane z wykonaniem funkcji bezpieczeństwa

nazywa się systemami bezpieczeństwa. Minimalny zespół wymagań dla spełnienia przez system bezpieczeństwa

funkcji bezpieczeństwa nazywa się kryterium sukcesu tego systemu. Przy tym należy pamiętać:

− ta sama funkcja bezpieczeństwa może być spełniona przez różne systemy w zależności od rodzaju ZP,

− może istnieć kilka różnych systemów spełniających tę samą funkcję bezpieczeństwa,

− różne systemy spełniające tę samą funkcję bezpieczeństwa mogą różnić się co do zasad konstrukcji i

działania (jest to najlepsze rozwiązanie z punktu widzenia wymogów rezerwowania systemów

bezpieczeństwa),

− kryteria sukcesu określonego systemu bezpieczeństwa mogą zależeć od ZP (np. inne wymagania dla

małego wypływu, a inne dla dużych katastroficznych rozszczelnień instalacji).

Funkcjonalne drzewo zdarzeń jest podstawą do stworzenia systemowego drzewa zdarzeń, w którym

odpowiednie zadania funkcjonalne zostają zastąpione przez zadania systemów, obsługi, itp.

Przyporządkowanie systemów funkcjom bezpieczeństwa i określenie odpowiednich kryteriów sukcesu jest w

dużej mierze oparte na szczegółowej identyfikacji tzw. wbudowanych cech bezpieczeństwa systemu (systemów i

elementów oraz ich charakterystyk funkcjonalnych, przewidzianych przez projekt w celu zapobiegania

(nie)


A

B

C


rozwojowi sytuacji awaryjnej). Należy jednak pamiętać, że w pewnych sytuacjach systemy uczestniczące w

normalnej eksploatacji obiektu mogą być również wykorzystywane do realizacji funkcji bezpieczeństwa.

Powyższe uwarunkowania świadczą o tym, że tzw. systemowe drzewa zdarzeń nie powstają przez prostą

zamianę nagłówków w funkcjonalnych drzewach zdarzeń zamieniających funkcje bezpieczeństwa na

przyporządkowane im systemy bezpieczeństwa.

Wyznaczenie prawdopodobieństwa ciągu awaryjnego (gałęzi w systemowym drzewie zdarzeń) wymaga

określenia prawdopodobieństwa niewypełnienia funkcji przez systemy bezpieczeństwa (przy zadanych

kryteriach sukcesu) oraz oceny błędów operatora. Pierwsze z tych zadań wiąże się bezpośrednio z zagadnieniem

teorii niezawodności systemów technicznych.

Istnieje wiele metod stosowanych w analizach niezawodności. Metodyką najczęściej obecnie stosowaną w

analizach QRA jest analiza drzew błędów. Drzewo błędów (w zależności od kontekstu często nazywane również

drzewem uszkodzeń lub drzewem niesprawności) jest modelem określającym logiczne związki pomiędzy

uszkodzeniami elementarnych składowych systemu, błędami obsługi a zajściem określonego zdarzenia

jednoznacznego z niewypełnieniem odpowiedniej funkcji przez system.

Bardzo ważnym zagadnieniem w konstrukcji zarówno drzew zdarzeń jak również drzew błędów jest

modelowanie zdarzeń, błędów zależnych. Zależności są rezultatem oddziaływań między systemami lub ich

elementami, wynikających z zasad konstrukcyjnych obiektu lub pochodzą z uwarunkowań zewnętrznych dla

urządzeń - (obsługa operatorska - środowisko pracy - produkcja i instalowanie) - tzw. zdarzenia zewnętrzne

(powodzie, pożary, itp.). Nieadekwatność modelowania zdarzeń zależnych może spowodować niedocenianie

ryzyka, sięgające kilku rzędów wielkości.

Oddziaływanie człowiek-maszyna jest również jednym z istotnych czynników określających niezawodność

systemów i bezpieczeństwo obiektu. W okresie rozwoju i "dojrzewania" metodyk QRA rozwinęło różne techniki

modelowania tzw. czynnika ludzkiego (Human Factor). Istnieje wiele sposobów stosowanych w praktyce do

oceny błędów ludzkich i analiz błędów ludzkich (HRA). Jednym z najbardziej znanych jest THERP (Technique

for Human Error Prediction) opracowany przez A. D. Swaina.

Wynikiem analiz drzew zdarzeń i drzew awarii jest:

− pogrupowanie wszystkich możliwych ciągów zdarzeń ze względu na przyjętą klasyfikację skutków

(kategorie uszkodzeń obiektu lub charakterystyki uwolnień substancji szkodliwych),

− określenie ciągów dominujących w każdej grupie,

− obliczenie prawdopodobieństwa występowania każdej grupy ciągów.

Należy pamiętać, że termin "prawdopodobieństwo uszkodzenia" implikuje dwa pojęcia: częstotliwość i niepewność.

Częstotliwość jest miarą tego jak często określone zdarzenie zachodzi, podczas gdy niepewność jest

odbiciem stopnia ufności w odniesieniu do określonej wartości tej częstotliwości. Odpowiednie reprezentowanie

niepewności jest jednym z głównych zadań QRA. Stwarza to bowiem możliwość przedstawienia stanu wiedzy

na każdym etapie analizy QRA, ułatwia logiczną i spójną analizę zarówno zdarzeń częstych jak i rzadkich.

Oczywiście liczba danych jakimi dysponujemy określa poziom ufności odnośnie oszacowań odpowiednich

częstotliwości.

2.3. Skutki

Określenie skutków nie jest wyłącznie procesem deterministycznym, ponieważ istnieje zawsze pewien stopień

niepewności "losowej" w ich określeniu. Na przykład liczby ofiar katastrof samolotowych mogą znacznie się

różnić między sobą. Wypadkowi określonej kategorii można przypisać pewien zakres tzw. poziomów

zniszczenia i każdemu poziomowi możemy przypisać określony poziom ufności, który jest odzwierciedleniem

naszej aktualnej wiedzy o zjawisku. Typowym zadaniem analizy probabilistycznej oceny skutków jest

dostarczenie wiarygodnych wartości oczekiwanych skutków i określenie przedziałów ufności dla uzyskanych

wyników.

Realistyczna ocena skutków wymaga w ogólności modelowania wszystkich możliwych zjawisk fizycznych i

chemicznych towarzyszących procesom awaryjnym. To z kolei pociąga konieczność stosowania odpowiednio

zaawansowanych programów komputerowych i wiarygodnych zestawów (bibliotek) danych.


Należy wyróżnić następujące etapy w obliczania skutków:


- oceny źródeł uwolnień dla każdego scenariusza awaryjnego:

⋅ rodzaj substancji;

⋅ jej stan fizyczny;

⋅ masa i prędkość masowa wypływu uwolnionej substancji;

⋅ przedział czasowy uwolnienia;

- obliczenie dyspersji uwolnionej substancji i wyznaczenie koncentracji tej substancji w środowisku

w funkcji czasu i położenia;

- obliczenie skutków skażeń toksycznych, pożarów i wybuchów.

Ze względu na złożoność zjawisk fizycznych zachodzących w stanach awaryjnych złożonych obiektów

technicznych oraz niejednokrotnie brak dostatecznego materiału doświadczalnego mogącego potwierdzić

słuszność hipotez przy analizie tych zjawisk posługujemy się techniką drzewa zdarzeń. Punkty rozgałęzień tego

drzewa nie są wyznaczone przez stan pracy, czy też uszkodzenie odpowiedniego systemu, ale modelują nasz stan

wiedzy o możliwości zachodzenia różnorodnych zjawisk fizycznych. Każdej gałęzi w drzewie

fenomenologicznym przyporządkowane jest odpowiednie prawdopodobieństwo wyrażające stopień ufności co

do możliwości rozwoju zjawisk przez wybraną gałąź. Modele: wypływów awaryjnych substancji, dyspersji tych

substancji w otoczeniu, pożarów i wybuchów oraz oddziaływania substancji toksycznych są stosowane w celu

oceny skutków poszczególnych scenariuszy awaryjnych. Odpowiednie programy komputerowe pozwalają

wyznaczyć historię ciśnienia, temperatury, koncentracji uwolnionej substancji czy innych istotnych wielkości od

momentu zaistnienia zdarzenia początkującego. Nie są do uniknięcia przy tym niepewności ocen wynikające z

przyjętych założeń, niepewności parametrów modeli oraz stochastycznej natury rozpatrywanych zjawisk (np. w

modelowaniu dawka - skutki dla zdrowia). Należy brać to pod uwagę przy porównywaniu otrzymanych ocen

ryzyka z przyjętym kryterium ilościowym.

Metodyki QRA pozwalają ocenić wpływ błędów modeli obliczeniowych i danych wejściowych, niepewność co

do charakteru przebiegu procesów fizycznych oraz metodologicznie uwzględniać oceny ekspertów w

zagadnieniach niedostatecznie wspartych przez dane doświadczalne i analizy teoretyczno obliczeniowe. W

modelowaniu scenariuszy awaryjnych dopuszcza się zarówno zdarzenia wewnętrzne (związane z procesami

zachodzącymi w obiektach jak również zdarzenia zewnętrzne (pożary, powodzie, zagrożenia spowodowane

sąsiadującymi szlakami komunikacyjnymi, ekstremalnymi zjawiskami przyrodniczymi itp.).

Ostatecznym rezultatem analiz QRA w pełnej skali są zależności skutków mierzonych np. liczbą zgonów

natychmiastowych i zgonów w wyniku chorób przewlekłych w funkcji ich prawdopodobieństwa

(częstotliwości). Na te zależności naniesione są błędy (przedziały niepewności) uzyskanych wyników.

Poza bezpośrednią oceną ryzyka analizy QRA dostarczają ogromnej ilości informacji, które mogą być wykorzystane

również w:

a) Ustaleniu słabych elementów rozwiązań konstrukcyjnych i proceduralnych dotyczących normalnej

eksploatacji i sytuacji awaryjnej.

b) Przygotowaniu raportów bezpieczeństwa instalacji.

c) Szybkiej ocenie rozwiązań alternatywnych proponowanych ze strony nadzoru technicznego,

użytkownika i projektanta.

d) Ewaluacji incydentów rejestrowanych w historii eksploatacyjnej obiektu.

e) Systemach komputerowych wspomagania personelu eksploatacyjnego dla optymalizacji pracy

obiektu z zachowaniem odpowiednich marginesów bezpieczeństwa.

f) Szkoleniu personelu w zakresie spodziewanej oceny reakcji obiektu na różnorodne scenariusze

zdarzeń awaryjnych, zwłaszcza w obszarze, w którym doświadczenie wynikające z eksploatacji

zakładu (instalacji) jest znikome.

2.4. Oceny ryzyka poważnych awarii, pełna lista zadań

Wykonanie pełnej analizy QRA wybranego obiektu jest przedsięwzięciem skomplikowanym, wymagającym

dużego wysiłku grupy specjalistów reprezentujących różne dziedziny wiedzy. Analiza ta musi być wykonywana

w ścisłej współpracy z personelem technicznym obiektu przy dostępie do odpowiednio szczegółowej doku-



mentacji obiektu. Poniżej został przedstawiony schematycznie zakres zadań koniecznych do wykonania

całościowej analizy QRA (tabela 2.1).

Ostatecznym rezultatem analiz PSA w pełnej skali są funkcje h(c) wyznaczające dla każdej kategorii skutków c

mierzonych np. ilością zgonów natychmiastowych i zgonów w wyniku chorób przewlekłych w częstotliwości

ich prawdopodobieństwa wystąpienia. Na te zależności naniesione są błędy (przedziały niepewności)

uzyskanych wyników.

Wszystkie warianty metod PSA i QRA przyjmują, że dla obliczenia funkcji h(c) określającej prawdopodobieństwo

(częstość występowania) wystąpienia skutków c można zastosować następujący algorytm:

1. Wartość tej funkcji w punkcie c = cv jest wartością prawdopodobieństwa Pr(c) wystąpienia skutku cv:

hv=Pr(c=cv ). (2.2)

2. Prawdopodobieństwo wystąpienia skutków cv można wyrazić przez prawdopodobieństwo warunkowe

wystąpienia określonych kategorii uwolnień substancji rj, j=1,2,... Każda kategoria uwolnień opisana jest

przez parametry takie jak ilość i rodzaj uwolnionej substancji, prędkość masową wypływu substancji,

właściwości palne, wybuchowe i toksyczne oraz ewentualnie inne wielkości (np. miejsce uszkodzenia, przez

które wydobywa się substancja), które w sposób istotny mogą wpłynąć na potencjalną wielkość i rodzaj

skutków dla człowieka i środowiska:

gdzie:

Pr (cv) = ∑ Pr (cv,, rj) = ∑ Pr (cv /rj) Pr(rj), (2.3)

j∈Nr , j∈Nr ,

Nr jest zbiorem indeksującym wszystkie kategorie uwolnień,

Pr(cv/rj) oznacza prawdopodobieństwo warunkowe wystąpienia skutków cv przy założonym zajściu uwolnienia

rj..

3. Prawdopodobieństwo wystąpienia kategorii uwolnień rj można wyrazić przez prawdopodobieństwa zajścia

zdarzeń początkujących ai, i=1,... generujących ciągi zdarzeń awaryjnych prowadzące do uszkodzenia

obiektu, a w konsekwencji do uwolnień substancji niebezpiecznych:

gdzie:

Pr (rj) = ∑ Pr (rj /ai) Pr(ai), (2.4)

i∈Na

Na jest zbiorem indeksującym grupy zdarzeń początkujących,

Pr(rj/ai) oznacza prawdopodobieństwo warunkowe wystąpienia skutków cv przy założonym zajściu uwolnienia

rj.

Poszczególne etapy analiz QRA identyfikują zarówno możliwe kategorie skutków jak również pozwalają

wyznaczyć występujące w przedstawionych wyżej zależnościach prawdopodobieństwo warunkowe, co

ostatecznie prowadzi do wyznaczenia poszukiwanej funkcji h(c).

W ogólności skutki c, rozpatrywane w QRA, mogą być opisane przez wskaźniki szkód. Przykładem tego jest

zespół wskaźników opracowany na potrzeby wdrażania rozporządzenia władz federalnych Szwajcarii,

dotyczącego poważnych awarii przemysłowych, przedstawiony w tabeli 2.3.


Tabela 2.1 Zakres pełnej analizy QRA

Ustalenia co do przedmiotu i zakresu analiz


Cele analizy ryzyka, w tym punkty końcowe analiz

Opis obiektu i zebranie informacji o obiekcie i jego otoczeniu na potrzeby analiz

Identyfikacja zagrożenia.

Identyfikacja źródeł zagrożeń

Identyfikacja stanów eksploatacyjnych obiektu ważnych dla ocen zagrożenia

Wybór zdarzeń początkujących ciągi awaryjne

Określenie funkcji bezpieczeństwa

Wyznaczenie związków pomiędzy funkcjami bezpieczeństwa a systemami obiektu i

procedurami postępowania realizującymi te funkcje

Określenie kryteriów sukcesu wypełnienia funkcji bezpieczeństwa przez systemy obiektu i

działania operatorskie

Pogrupowanie zdarzeń początkujących ze względu na kryterium wymagań systemów i

działań operatorskich

Selekcja zdarzeń początkujących generujących scenariusze awaryjne dominujące ze względu

na wielkość zagrożeń.

Opracowanie modeli scenariuszy (ciągów) awaryjnych

Opracowanie modeli funkcjonalnych i systemowych ciągów zdarzeń (drzewa zdarzeń)

Opracowanie modeli do analiz niezawodności systemów występujących w definicji ciągów

zdarzeń (drzewa uszkodzeń itp.)

Opracowanie modeli analiz błędów ludzkich popełnianych w normalnych stanach

eksploatacyjnych obiektu oraz w stanach awaryjnych

Ocena zależności pomiędzy systemami / elementami /działaniami operatorskimi:

generowanych przez zasady funkcjonowania obiektu

powstałych w wyniku procesów fizycznych lub przyjętych zasad obsługi w normalnych

stanach eksploatacyjnych i awaryjnych

Przygotowanie banków danych do analiz ilościowych

Ocena częstotliwości występowania zdarzeń początkujących

Opracowanie baz danych o częstotliwości uszkodzeń elementów systemów

Opracowanie (dobór) baz danych dotyczących prawdopodobieństwa błędów ludzkich

Opracowanie (dobór) banków danych fizykochemicznych związków niebezpiecznych

(wybuchowość, palność, toksyczność)

Analiza ilościowa ciągów zdarzeń awaryjnych - obliczenie prawdopodobieństwa

wystąpienia tych ciągów

Pogrupowanie ciągów według kryterium uszkodzenia obiektu lub charakterystyki uwolnień

Wyznaczanie prawdopodobieństw zajść ciągów awaryjnych

Określenie zdarzeń dominujących (uszkodzeń sprzętu, działań operatorskich) dla każdej

grupy ciągów

Analiza błędów oceny prawdopodobieństwa ciągów awaryjnych

Wyznaczenie kategorii uwolnień substancji niebezpiecznych

1. Obliczenie uwolnień frakcji ciekłej i gazowej substancji niebezpiecznych

2. Określenie i analiza ilościowa zjawisk fizycznych towarzyszących uwolnieniom



Tabela 2.1 Zakres pełnej analizy QRA c.d.

Ocena skutków

Ocena warunków atmosferycznych

Opis topografii otaczającego terenu

Obliczenie rozprzestrzeniania się uwolnień w środowisku

Obliczenie rozkładu stężeń substancji niebezpiecznych

Modelowanie zależności dawka-skutki i obliczenie skutków dla zdrowia w wypadku

uwolnień substancji toksycznych

Obliczenie skutków pożarów, wybuchów w wypadku uwolnień substancji palnych lub

eksplozji materiałów wybuchowych

Ocena ryzyka

Wyznaczenie jakościowych wskaźników ryzyka

Oszacowanie błędów analizy

Ocena wielkości ryzyka, w aspekcie zarządzania ryzykiem

Tabela 2.3. Wskaźniki szkód dla poważnych awarii przemysłowych

Wskaźnik Opis

Ludzie i istoty żywe

n1 = liczba zgonów i przypadki ciężkiego

inwalidztwa

n2 = liczba rannych

Zgony natychmiastowe i odległe

Ciężko i lekko ranni, a także liczba osób cierpiących z powodu

długotrwałych dolegliwości

n3 = liczba ewakuowanych Liczba osób ewakuowanych na okres powyżej l roku

n4 = współczynnik alarmu

n5 = liczba padłych zwierząt domowych

n6 = powierzchnia zdegradowanego

ekosystemu

n7 = powierzchnia skażonej gleby

n8= powierzchnia obszarów skażonej wody

gruntowej

Iloczyn czasu trwania alarmu lub stan niepokoju i liczba osób,

których to dotyczy

Liczba padłych dużych zwierząt domowych i dziko żyjących,

takich jak: konie, krowy, owce, jelenie, kozice, itd. Liczba

małych zwierząt, takich jak: kury,. koty, zające lub lisy

uwzględniona jest ze współczynnikiem 0.01. Ryby są

uwzględnione przez współczynnik ne

Podstawy życia

Powierzchnia ekosystemu, którego naturalna równowaga została

naruszona. W wypadku skażeń wód powinna być włączona strefa

nadbrzeżna, jak również tereny łowieckie - w wypadku

zdziesiątkowania zwierząt drapieżnych. Powierzchnia obszarów

skażonych ważnych ekosystemów, chronionych prawem powinna

być uwzględniona z mnożnikiem 10.

Powierzchnia obszaru, który stał się nieurodzajny, nie nadający

się do zamieszkania, nieużyteczny lub wymagający zastosowania

specjalnych środków rekultywacji.

Suma powierzchni stref ochronnych wód gruntowych typów,

które zostały skażone w taki sposób i w takim rozmiarze, że

zagraża to przeniknięciem skażeń do wód gruntowych.


Tabela 2.3 c.d.

n9 = koszty

Dobra materialne

W przypadku n1=1 mamy do czynienia z ryzykiem indywidualnym.


Wszystkie szkody bezpośrednie i pośrednie, takie jak np. straty w

obszarach zamieszkania, inne straty w dobrach materialnych,

koszty leczenia, ewakuacji, procesów sądowych, itp.

Jeżeli powyższe wyrażenia dla h(c) wyznaczymy jako funkcje zmiennych położenia (x,y) to możemy określić

kontury izolinie ryzyka. W przypadku ryzyka indywidualnego IR(x,y)

gdzie:

x,y - współrzędne określające położenie.

IR(x,y) = ∑IRj (x,y), (2.5)

j∈Nr

Wartość ryzyka indywidualnego IR x,y,j wyraża równanie:

IRj (x,y) j = Pr(rj) P f,j (x,y), (2.6)

gdzie :

Pr(rj) - jest prawdopodobieństwem występowania j tego przypadku uwolnienia substancji, energii,

P f,j (x,y) - jest prawdopodobieństwem tego, że dany przypadek i spowoduje wypadek śmiertelny w lokalizacji

x,y.

Komentarza wymaga parametr P f,j . Wartość tego parametru zależy od wielu czynników a mianowicie:

1.kierunku wiatru; jeśli wiatr nie przemieszcza strefy efektu toksycznego w kierunku osiedli czy zabudowań

ludzkich to nie będzie skutków śmiertelnych.

2.możliwości zastosowania środków zmniejszających skutki, np. maski gazowe czy wczesna ewakuacja

ludzi z zagrożonego terenu.

3. indywidualna odporność osobnicza człowieka

4. prędkość wiatru i stabilność atmosferyczna. Ocena powyższych parametrów w praktyce jest dość trudna,

szczególnie w odniesieniu do pkt 2 i 3.

Znając rozkład ryzyka indywidualnego IR(x,y) oraz gęstość zaludnienia d(x,y) możemy obliczyć ryzyko grupowe

- prawdopodobieństwa tego że N ludzi zginie w różnych przypadków zdarzeń awaryjnych, opisanych zbiorem

Nr

N=∑ IR(x,y) d(x,y), (2.7)

gdzie: sumowanie rozciąga się po wszystkich punktach (x,y), dla których IR(x,y) i d(x,y) jest różne od zera.

2.5. Uwagi o stosowaniu QRA

1. Poza bezpośrednią oceną ryzyka analizy QRA dostarczają ogromnej ilości informacji, które mogą być

wykorzystane w celu zapobiegania poważnym awariom. Dotyczy to:

a) przygotowania raportów bezpieczeństwa i planów postępowania w stanach awaryjnych;



b) ustalenia słabych elementów rozwiązań konstrukcyjnych i proceduralnych dotyczących normalnej

eksploatacji i sytuacji awaryjnej;

c) szybkiej oceny rozwiązań alternatywnych proponowanych ze strony nadzoru technicznego, użytkownika i

projektanta;

d) ewaluacji incydentów rejestrowanych w historii obiektu eksploatacyjnego;

e) komputerowych systemów wspomagania personelu eksploatacyjnego i w celu optymalizacji pracy obiektu

z zachowaniem odpowiednich marginesów bezpieczeństwa;

f) szkolenia personelu w zakresie spodziewanej oceny reakcji obiektu na różnorodne scenariusze zdarzeń

awaryjnych, zwłaszcza w obszarze, w którym doświadczenie wynikające z eksploatacji zakładu

(instalacji) jest znikome.

Z punktu widzenia przemysłu i większości organizacji nadzoru, te cechy QRA dostarczają racjonalnych

podstaw do wykorzystania wyników analiz QRA w rankingu elementów technicznych i proceduralnoorganizacyjnych

wpływających na bezpieczeństwo analizowanego obiektu. W ogólności mniejsze znaczenie

mają bezwzględne wartości ocen ryzyka, które są najczęściej obarczone niepewnością wynikającą z

przyjmowanych założeń, modeli obliczeniowych oraz ich parametrów i danych. W przeciwieństwie do innych

podejść w analizie bezpieczeństwa, gdzie w ramach pewnych metodyk przyjmuje się milcząco (w sposób

bardziej lub mniej uświadomiony) ich ograniczone stosowanie, metodyki QRA pozwalają ocenić zakres

niepewności uzyskiwanych oszacowań ryzyka.

2. Doświadczenie wskazuje, że nie można w prosty sposób zautomatyzować całego procesu ocen ryzyka w

ramach QRA przez zastosowanie odpowiedniego pakietu programów komputerowych i banków danych.

Problemy powstają przy:

- identyfikacji zbioru zdarzeń początkujących ciągi zdarzeń o poważnych skutkach;

- modelowaniu przebiegu tych ciągów zdarzeń, np. za pomocą drzew zdarzeń;

- tworzeniu modeli dla ocen niezawodności systemów technicznych i błędów ludzkich - etap

niezbędny dla oceny prawdopodobieństwa wystąpienia scenariuszy awaryjnych;

- identyfikacji specyficznych problemów, które wpływają na niezawodność i bezpieczeństwo, tj.

czynniki ludzkie czy też błędy mające wspólną przyczynę.

Zwykle prowadzący analizy wykorzystują duży zakres wiedzy technicznej i swoich doświadczeń w doborze

modeli, danych i o samych obliczeniach. Tak np. dobór odpowiedniej metody identyfikacji zagrożeń może być

bardzo trudny w wypadku braku odpowiedniego doświadczenia, gdyż określenie właściwej, najlepszej

techniki w tym zakresie zależy od wielu czynników nie zawsze bardzo oczywistych.

Czynniki, które wpływają na wybór technik analiz, to:

− cel analizy;

− rodzaj dostępnych informacji;

− cechy charakterystyczne analizowanego problemu;

− sposób postrzegania zagrożeń wynikających z analizowanej instalacji lub działalności;

− dostępność zasobów finansowych i ludzkich.

Głównymi metodami stosowanymi dla obliczeń prawdopodobieństwa scenariuszy awaryjnych/zdarzeń są

drzewa uszkodzeń i drzewa zdarzeń. Przy słabej znajomości systemu, techniki obliczeniowe nawet bardzo

zaawansowane nie wpłyną na poprawę uzyskiwanych ocen prawdopodobieństw (częstości zdarzeń). Wybór

niewłaściwych parametrów niezawodnościowych lub nieodpowiedni wybór typu uszkodzenia (naprawialne/nienaprawialne)

może istotnie wpłynąć na końcowe wyniki oceny częstości zdarzeń. Podobne uwagi

można sformułować w odniesieniu do sposobu modelowania skutków zdarzeń.

3. Istotne jest dokładne określenie zakresu i stopnia szczegółowości analizy, wpływa to bowiem istotnie na

koszty i czas prowadzenia takich analiz oraz oczywiście na liczbę ekspertów w to zaangażowanych.

Szczegółowe analizy QRA powinny być stosowane rzadko i to tylko w zakresie niezbędnym do osiągnięcia

zamierzonych celów. Nawet proste techniki ocen ryzyka, jeżeli nie będą odpowiednio zastosowane, mogą

dostarczyć olbrzymią liczbę szczegółowych informacji trudną do bezpośredniego praktycznego

wykorzystania. Dlatego bardzo istotna jest umiejętność:

− przełożenia ogólnych celów analizy na dobrze zdefiniowane cele szczegółowe;

− opracowania zakresu niezbędnych prac;



− zrozumienia typu i źródeł potrzebnych informacji;

− oszacowania czasu i kosztów analizy;

− otrzymania wyników w oparciu o techniki dopasowane do celów analiz;

− oceny sensowności otrzymywanych wyników;

− przedstawienia wyników w formie użytecznej dla praktycznych zastosowań.

4. Kompleksowa ocena ryzyka to złożony problem obejmujący wiele dyscyplin i zwykle pojedynczy ekspert lub

mała grupa nie mają wystarczającej wiedzy i doświadczenia, żeby prowadzić analizy ryzyka złożonych

instalacji. Jeżeli nie dysponuje się pełnym zestawem informacji poszukuje się ich w już przeprowadzonych

analizach podobnych instalacji lub dokonuje się "ekstrapolacji" stosowanych tam parametrów i danych aby

oddać specyfikę analizowanego przypadku.

5. Odpowiednie wsparcie komputerowe jest niezbędne dla efektywnego zbierania informacji, ich

przechowywania oraz przygotowania przetwarzania koniecznych danych na każdym etapie oceny ryzyka.

6. Szczegółowe oceny ryzyka, takie jak QRA, wymagają różnych typów informacji. Informacje specyficzne

dla instalacji to:

− własności charakterystyczne stosowanych substancji/preparatów chemicznych, opisane np. w kartach

charakterystyk bezpieczeństwa tych substancji.

− chemizm procesu - dokumentacja stosowanej technologii, łącznie z marginesem bezpieczeństwa i

nominalnymi parametrami pracy;

− diagramy procesu, łącznie z ilościami substancji i masowymi prędkościami przepływu;

− przyjęte systemy bezpieczeństwa: pasywne takie jak obudowa bezpieczeństwa lub aktywne takie jak

układy odcinające, itp.;

− plany instalacji, łącznie z usytuowaniem przestrzennym istotnych jej elementów;

− diagramy rurociągów i systemów zasilania w energię elektryczną oraz systemów kontrolnopomiarowych;

− specyfikacja techniczna urządzeń;

− procedury eksploatacji/obsługi;

− zasady prowadzenia przeglądów i konserwacji;

− wykonane wcześnie audyty i przeglądy bezpieczeństwa;

− historia eksploatacyjna instalacji.

Bazy danych niezbędne do ocen ryzyka obejmują zwykle:

− strumień uszkodzeń urządzeń;

− prawdopodobieństwo wystąpienia błędów ludzkich;

− własności fizyko-chemiczne substancji, łącznie z toksycznością, palnością;

− dane o liczbie zatrudnionych w poszczególnych częściach zakładu, a także o ludności zamieszkującej

w pobliżu zakładu i o obiektach użyteczności publicznej, terenach chronionych, itp.;

− informacje o warunkach meteorologicznych;

− informacje o pobliskich szlakach wodnych, drogowych, kolejowych i portach lotniczych.

2.6. Analizy ryzyka w kontekście raportu bezpieczeństwa

Raport bezpieczeństwa jest kluczowym elementem strategii zapobiegania awariom i zarządzania

bezpieczeństwem instalacji.

Raport bezpieczeństwa powinien składać się z części opisowej i części analitycznej. Część opisowa powinna

zawiera syntezę wszystkich ważnych informacji o budowie instalacji oraz zasadach jej eksploatacji i obsługi.

Opis ma być na tyle szczegółowy, aby można było w następnej części, analitycznej, udowodnić, że producent

zastosował niezbędne środki dla zapobiegania poważnym awariom.

W części analitycznej powinny być przedstawione i poddane ocenie wbudowane cechy bezpieczeństwa obiektu

służące zapobieganiu poważnym awariom i ograniczeniu ich skutków. Taka ocena powinna być uzupełniona

analizą ryzyka, zawierającą oceny odpowiedzi instalacji na różne możliwe zaburzenia/odstępstwa parametrów

procesowych od wartości nominalnych i/lub na postulowane niesprawności systemów instalacji lub ich

elementów.



2.7. Wymagane elementy analiz ryzyka poważnych awarii chemicznych.

Przy obliczaniu ryzyka na potrzeby raportu bezpieczeństwa musimy mieć pewność, że otrzymane oszacowania

są zachowawcze. Tę zachowawczość można ocenić na podstawie przyjmowanych założeń lub przez odniesienie

do danych doświadczalnych lub awarii już odnotowanych i przeanalizowanych.

Zgodnie z obowiązującymi przepisami w znakomitej większości krajów Unii Europejskiej i szerzej - w krajach

OECD obliczenia miar ryzyka nie są niezbędnym elementem analiz na potrzeby raportów bezpieczeństwa lub

analogicznych materiałów mających dokumentować poziom bezpieczeństwa instalacji podlegających rygorom

przepisów dotyczących poważnych awarii przemysłowych. Wynika to z konstrukcji prawa jak również jest

związane z istotnymi trudnościami zebrania wiarygodnych danych do przeprowadzenia obliczeń

prawdopodobieństwa wystąpienia różnorodnych scenariuszy awaryjnych, które mogą wystąpić w analizowanej

instalacji (patrz rozdział VIII). Takie obliczenia są konieczne w sytuacji, gdy ww. przepisy posługują się

pojęciem ryzyka akceptowalnego. Projekty regulacji prawnych w Polsce w zakresie poważnych awarii

przemysłowych nie przewidują takiego rozwiązania.. W tej sytuacji przyjęto, że analizy ryzyka na potrzeby

raportu bezpieczeństwa powinny obejmować następujące obszary:

- identyfikację źródeł zagrożeń,

- wybór awaryjnych scenariuszy oceny prawdopodobieństwa ich wystąpienia oraz ustalenie

potencjalnych uszkodzeń instalacji, błędów obsługi lub oddziaływań zewnętrznych prowadzących

do poważnych awarii,

- obliczenie źródeł uwolnień i transportu skażeń w środowisku dla reprezentatywnych scenariuszy

awaryjnych,

- obliczenie potencjalnych skutków poważnych awarii dla pracowników zakładu, ludzi

zamieszkujących lub pracujących w sąsiedztwie instalacji oraz dla środowiska,

- ocenę skuteczności dostępnych środków zapobiegania poważnym awariom i minimalizacji ich

skutków.

Niniejszy poradnik nie porusza metodyk wyznaczania miar ryzyka oraz określania czy obliczone ryzyko jest

akceptowalne.

Bibliografia

1. AIChE/CCPS (1985), Guidelines for Hazard Evaluation Procedures. Center for Chemical Process Safety,

American Institute of Chemical Engineers, New York (ISBN 0-8169-0347-6).

2. AIChE/CCPS (1988a). Guidelines for Safe Storage and Handling of High Toxic Hazard Materials. Center

for Chemical Process Safety, American Institute of Chemical Engineers, New York (ISBN 0-8169-0400-6).

3. AIChE/CCPS (1988b). Guidelines for Vapour Release Mitigation. Center for Chemical Process Safety,

American Institute of Chemical Engineers, New York (ISBN 0-8169-0401-4).

4. Amendola, A. (1986). "Uncertainties in Systems Reliability Modelling: Insight Gained through European

Benchmark Exercises," Nuclear Engineering and Design, Vol. 93, pp. 215-225, Amsterdam, Holland:

Elsevier Science Publishers.

5. Arendt, J. S. et al. (1989). A Manager's Guide to Quantitative Risk Assessment of Chemical Process

Facilities. JBF Associates, Inc., Knoxville, Tenn., Report No. JBFA-119-88, prepared for the Chemical

Manufacturers Association, Washington, D.C.: January.

6. Ballard, G. M. (1987). "Reliability Analysis-Present Capability and Future Developments." SRS Quarterly

Digest, System Reliability Service, UK Atomic Energy Authority, Warrington, England, pp. 3-11, October.

7. Batsone, R. J. (1987). Proceedings of the International Symposium on Preventing Major Chemical

Accidents. Washington, D.C. (J. L. Woodward, ed.). American Institute of Chemical Engineers, New York

(ISBN 0-8169-0411-1). Feb. 3-5.

8. Borysiewicz, M., et al., (1997), "Katastrofy przemysłowe", Bezpieczeństwo pracy i ergonomia, t.2, CIOP,

ISBN 83-901740-6-5.

9. Borysiewicz, M., Markowski, A. S., (2000) "Podstawy modelowania dyspersji gazów w środowisku",

Zapobieganie stratom w przemyśle, Materiały IX Sympozjum "Programy Komputerowe dla raportów

bezpieczeństwa i planów operacyjno-ratowniczych, Politechnika Łódzka, ISBN 7283-001-0.



10. Box, G. E. P. and Hunter, J. S., (1961). "The 2 k-p Fractional Factorial Designs. Part I," Technometrics 3(3),

311-346, August.

11. Boyen, V. E. et al. (1988). "Process Hazards Management." Document developed by Organization Resource

Counselors, Inc. (ORC) [submitted to OSHA for future rulemaking on process hazards management],

Washington, D.C.

12. Bretherick, L. (1983). Handbook of Reactive Chemical Hazards, 2nd edition. London: Butterworths (ISBN

0-408-70927-8).

13. Carpenter, B. Fł. and Sweeny, H. C. (1961). "Process Improvement with 'Simplex' Self-Directing

Evolutionary Operation." Chemical Engineering 72(14), I 17-12fi.

14. CCPS (1989). Guidelines for Chemical Process Quantitative Risk Analysis, Center for Chemical Process

Safety of the American Institute of Chemical Engineers, New York.

15. DeHart. R. and Gaincs, N. (1987). "Episodic Risk Management at Union Carbide." AIHE Spring National

Meeting, Symposium on Chemical Risk Analysis, Houston. American Institute of Chemical Engineers, New

York.

16. Dow (1987). Fire and Explosion Index-Hazard Classification Guide. 6-th edition. CEP l Technical Manual,

American Institute of Chemical Engineers. New York.

17. Freeman. R. A. (1983). "Problems with Risk Analysis in the Chemical Industry." Plant/Operations Progress

2(3), 185-90.

18. Freeman, R. A. et al. (1986). "Assessment of Risks from Acute Hazards at Monsanto". 1986 Annual

Meeting, Society for Risk Analysis. Nov. 9-12, Boston, MA. Society for Risk Analysis. 8000 West Park Drive.

Suite 400. McLean, VA 22102.

19. Gibson, S. B. (1980). "Hazard Analysis and Risk Criteria." Chemical Engineering; Progress (November),

46-50.

20. Goyal, R. K. (1985). "PRA= Two Case Studies from the Oil Industry." Paper presented at Session SA of

Reliability'85, Symposium Proceedings, July 10-12, 1985; Vol. 2, p. 5A/3. Jointly sponsored by National

Centre of Systems Reliability. Warrington, England and Institute of Quality Assurance, London, England.

21. Hawksley. J. L. (1984), Some Social, Technical and Economical Aspects of the Risks of Large Chemical

Plants. Chemrawn III, World Conference on Resource Material Conversion, The Hague, June 25-29.

22. Health and Safety Executive (1978). Canvey-An Investigation of Potential Hazards from the Operations in

the Canvey Islandl/Thurrock Area. 195 pp, HMSO, London, UK.

23. Health and Safety Executive (1981). Canvey-A Second Report, 13U pp, HMSO, London, U K.

24. Helmers, E. N. and L. C. Schaller (1982). "Calculated Process Risk and Hazards Management." AIChE

Meeting, Orlando, FL, Feb. 20-Mar. 3. American Institute of Chemical Engineers, New York.

25. IChemE (1985). Nomenclature of Hazard and Risk Assessment in the Process Industries. Institution of

Chemical Engineers, UK (ISBN (1-85295-IR4-1).

26. ICI (Imperial Chemical Industries) (1985). The Mond Index, 2nd edition. ICI PLC, Explosion Hazards

Section Technical Department, Winnington, Northwick, Cheshire CW8 4DJ, England.

27. IPPT PAN (1996), "Komputerowe modelowanie rozprzestrzeniania się skażeń w atmosferze, ISBN 83-

903847-5-2.

28. .Joschek, K. T. (1983). "Risk Assessment in the Chemical Industry." Plant/Operations Progress 2 (1,

January), 1-5.

29. Kaplan, S. and B. J. Garrick (1981). "On the Quantitative Definition of Risk." Risk Analysis 1(1), 11-27.

30. Kilgo, M. B. (1988). "An Application of Fractional Factorial Experimental Designs." Quality Engineering,

1, 19-23. American Society for Quality Control and Marcel Dekker, New York.

31. Lees, F. P. (1980). Loss Prevention in the Process Industries, 2 Volumes. Butterworths, London and Boston

(ISBN 0-0408-10604-2).

32. Long, D. E. (1969). "Simplex Optimisation of the Response from Chemical Systems." Anal. Chim. Acta 46,

193-206.

33. Markowski, A. S. i inni (2000), "Zapobieganie stratom w przemyśle", cz.III Zarządzanie bezpieczeństwem

procesowym, Politechnika Łódzka, ISBN 83-87198-99-4.

34. Markowski, A. S., Borysiewicz, M., (2000) "Ocena i wybór oprogramowania dla modelowania efektów

fizycznych i skutków uwolnień niebezpiecznych substancji do otoczenia", Zapobieganie stratom w

przemyśle, Materiały IX Sympozjum "Programy Komputerowe dla raportów bezpieczeństwa i planów

operacyjno-ratowniczych”, Politechnika Łódzka, ISBN 7283-001-0.

35. Marshall, V. C. (1987). Major Chemical Hazards. Halsted Press, Division of John Wiley & Sons, Inc. New

York (ISBN 0-470-20813-9).

36. Mudan, K. S. (1987). "Hazard Ranking for Chemical Processing Facilities." ASh1E Winter Annual Meeting,

Boston, MA. Dec. 13-18. American Society of Mechanical Engineers, New York.



37. Nelder, J.A. and Mead, R. (1964). "A Simplex Method for Function Minimization." The Computer Journal

7, 308-313.

38. New Jersey (1988). "Toxic Catastrophe Prevention Act Program." State of New Jersey. N.J.A.C. 7:31-1, 2,

3, 4 and 6. New Jersey Register, Monday, June 20, 1988. 20 N.J.R. 1402.

39. NFPA 325M (1984). Fire Hazard Properties of Flammable Liquids. Gases, and Volatile Solids. National

Fire Protection Association, Quincy, MA 02269.

40. NUREG (1983). PRA Procedures Guide: A Guide to the Performance of Probabilistic Risk Assessment for

Nuclear Power Plants. 2 volumes, NUREG/CR-2300, U.S. Nuclear Regulatory Commission, Washington,

D.C. (available from NTIS).

41. NUREG (1984). PRA Status Review in the Nuclear Industry, NUREG-1050, Nuclear Regulatory

Commission, Washington D.C. September, 1984 (available from NTIS).

42. NUREG (1985). Probabilistic Safety Analysis Procedures Guide, NUREG/CR-2815. Nuclear Regulatory

Commission, Washington D.C. August, 1985 (available from NTIS).

43. 0rmsby, R. W. (1982). "Process Hazards Control at Air Products." Plum/Operations Progress 1, 141-144.

44. Pilz. V. (1980). "What is Wrong with Risk Analysis''" 3rd International Symposium on Loss Prevention and

Safety Promotion in the Process Industries, Basle, Switzerland, 6/448-454. Swiss Society of Chemical

Industries, September 15-19.

45. Prugh, R. W. (1980). "Application of Fault free Analysis." Chemical Engineering Progress July, 59-67.

46. Rijnmond Public Authority (1982). A Risk Analysis of 6 Potentially Hazardous Industrial Objects in the

Rijnmond Area-A Pilot Study. D. Reidel, Dordrecht, the Netherlands and Boston, MA (ISBN 90-277-1393-

6).

47. Rosenhlum, G. R. et al. (1983). "Integrated Risk Index Systems." Proceedings of the Society for Risk

Analysis. Plenum Press, New York, 1985.

48. Spendley, W. et al. (1962). "Sequential Application of Simplex Designs in Optimisation and Evolutionary

Operation." 7'echnornetrics 4(4). November.

49. TNO (1979). Methods for the Calculation of the Physical Effects of the Escape of Dangerous Material:

Liquids and Gases, 2 Volumes. P.O. Box 342, 7300 AH Apeldoorn, The Netherlands.

50. USCIP Working Party (1985). "Standard Plan for the Implementation of Hazard Studies I: Refineries".

Union des Chambres Syndicales de L'Industrie de Petrole (UCSIP), Paris, France.

51. US EPA (1980). "Chemical Selection Method: An Annotated Bibliography": Toxic Integration Information

Series. EPA 560/TIIS-80-001, November (available from NTIS).

52. US EPA (1981). "Chemical Scoring System Development," by R. H. Ross and P. Lu, Oak Ridge National

Laboratory. Interagency Agreement No: 79-D-X9856, June (available from NTIS).

53. Van Kuijen, C. J. (1987). "Risk Management in the Netherlands: A Qualitative Approach". UNIDO

Workshop on Hazardous Waste Management and Industrial Safety, Vienna, June 22-26.

54. Warren Centre (1986). Hazard Identification and Risk Control for the Chemical and Related Industries-

Major Industrial Hazards Project Report (D. H. Slater, E. R. Corran, and R. M. Pitblado, eds.). University of

Sydney, NSW 2006, Australia (ISBN 0949269 29 8). Technical Papers (ISBN 0949269 37 9).

55. World Bank (1985). Manual of Industrial Hazard Assessment Techniques. Office of Environmental and

Scientific Affairs. World Bank, Washington, D.C.


Oceny Ryzyka Poważnych Awarii Przemysłowych - MANHAZ

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?