در بسیاری از سناریوهای حادثه، رویداد آغازین (مانند سوراخ شدن خط لوله) ممکن است طیف وسیعی از نتایج احتمالی را در بر داشته باشد، از هیچ تا رخ دادن یک فاجعه. در بیشتر سیستمهایی که خوب طراحی شدهاند، تعدادی از توابع ایمنی (Safety Function) یا موانع برای جلوگیری یا کاهش عواقب احتمالی رویدادهای آغازین تعبیه شده است. توابع ایمنی ممکن است شامل تجهیزات فنی، مداخلات انسانی، اقدامات اضطراری و ترکیبی از این موارد باشد. نمونههایی از توابع ایمنی فنی عبارتند از: سیستم های تشخیص حریق و گاز، سیستمهای خاموشی اضطراری (ESD)، سیستمهای توقف خودکار قطار، سیستمهای اطفا حریق، دیوار آتش و سیستمهای تخلیه. نتایج و پیامدهای یک رویداد آغازین براساس چگونگی پیشرفت این حادثه و تحتتاثیر نقص عملکرد توابع ایمنی، خطاهای انسانی نسبت به رویداد آغازین و همچنین با عوامل مختلفی مثل شرایط آب و هوا و زمان روز تعیین میشود. روند پیشرفت حادثه را می توان به بهترین نحو توسط یک روش استقرایی تجزیه و تحلیل کرد. رایجترین روش، آنالیز درخت رویداد (ETA) است که میتوان از آن در ارزیابی و مدیریت ریسک پروژه نیز استفاده کرد. در ادامه با این روش بیشتر آشنا خواهیم شد.
تجزیه و تحلیل درخت رویداد (ETA) چیست؟
نباید این روش را با روشهای درخت خطا و درخت تصمیم اشتباه بگیرید، آنالیز درخت رویداد یا ETA (به انگلیسی: Event Tree Analysis) یک نمودار درختی با روابط منطقی است که از یک رویداد آغازین شروع میشود و یک توالی زمانی منظم از شروع رویداد تا نتایج و پیامدهای بالقوه آن را فراهم میکند. یعنی به ترتیب نشان میدهد که بعد از رویداد آغازین چه اتفاقاتی میتواند بیفتد. در بسط دادن درخت رویداد، ما رویدادهای احتمالی را همراه با گسترش رویداد آغازین و فرض شکست یا موفقیت توابع ایمنی بسط میدهیم. وقوع هر رویداد در درخت منوط به وقوع رویدادهای قبلی در زنجیره رویدادهاست. نتایج هر رویداد اغلب باینری فرض میشوند (درست یا نادرست – بله یا خیر)، اما ممکن است شامل چندین نتیجه نیز باشد (به عنوان مثال به شکل زیر دقت کنید.)
مثال از انواع خروجی در درخت رویداد
با مطالعه تمام وقایع تصادفی مربوطه (که با تجزیه و تحلیل اولیه خطر، HAZOP یا روشهای دیگری مانند طوفان فکری مشخص میشوند)، میتوان از ETA برای شناسایی همه سناریوها و توالیهای احتمالی حادثه در یک سیستم پیچیده استفاده کرد. و همچنین میتوان نقاط ضعف طراحی و فرایند را شناسایی کرد و احتمال هر یک از نتایج مختلف ناشی از یک واقعه تصادفی را تعیین کرد. ساختار شکست ریسک میتواند در این زمینه برای شما مفید باشد
ETA بخشی طبیعی در آنالیز و مدیریت ریسک است اما ممکن است به عنوان ابزاری برای نشان دادن اثربخشی سیستمهای محافظتی در کارخانه نیز مورد استفاده قرار گیرد. همچنین از تجزیه و تحلیل درخت رویداد برای ارزیابی قابلیت اطمینان انسانی استفاده میشود، به عنوان مثال به عنوان بخشی از روش پیشبینی میزان خطای انسانی (THERP).
ETA بسته به اهداف تجزیه و تحلیل ممکن است کیفی، کمی یا هر دو باشد. در برنامه ارزیابی ریسک کمی، درختان رویداد ممکن است به طور مستقل استفاده شوند یا از طریق FTA دنبال شوند.
یک درخت رویداد ساده برای وقوع انفجار در یک مکان فرضی
آنالیز درخت رویداد ETA معمولاً در شش مرحله انجام میشود:
شناسایی (و تعریف) رویدادی تصادفی (اولیه یا آغازین) که ممکن است منجر به عواقب ناخواسته شود
شناسایی توابع ایمنی که برای مقابله با رویداد احتمالی طراحی شدهاند
ایجاد درخت رویداد
بسط درخت از طریق توالی رویدادهای ناشی از حادثه (دنباله حوادث)
محاسبه احتمالات / فراوانی برای نتایج شناساییشده
گردآوری و ارائه نتایج حاصل از تجزیه و تحلیل
یک درخت رویداد ساده برای انفجار (گرد و غبار) در شکل بالا نشان داده شده است. به دنبال انفجار رویداد آغازین در شکل بالا، ممکن است:
آتش سوزی رخ دهد یا ندهد
سیستم آب پاش عمل کند یا نکند
سیستم هشدار نصب شده ممکن است عملکرد داشته باشد یا نداشته باشد
رویداد آغازین
انتخاب یک رویداد آغازین برای انجام و شروع تجزیه و تحلیل درخت رویداد بسیار مهم است. رویداد آغازین معمولاً به عنوان اولین انحراف قابل توجه از وضعیت طبیعی سیستم که ممکن است منجر به خرابی یا حادثه شود، تعریف میشود. رویداد آغازین ممکن است یک نقص فنی یا برخی خطاهای انسانی باشند و ممکن است توسط تکنیکهایی مانند FMECA شناسایی شوند. برای اینکه آنالیز درخت رویداد نتایج بهتری داشته باشد، رویداد آغازین باید منجر به توالیهای مختلفی از پیامدها شود. اگر رویداد آغازین منجر به ایجاد تنها یک توالی از پیامد شود، FTA روش مناسب تری برای تحلیل مسئله خواهد بود. (پیشنهاد میکنیم مقاله ارزیابی ریسک به روش FMEA چیست را مطالعه نمایید)
رویداد آغازین، اغلب به عنوان یک رویداد مهم احتمالی که از قبل در مرحله طراحی وجود داشته شناسایی و پیش بینی میشود. در چنین مواردی معمولاً موانع و عملکردهای ایمنی برای مقابله با این رویداد در نظر گرفته میشود. بسته به نوع و کاربرد، ممکن است رویدادهای آغازین را کمی متفاوت تعریف کنند. برای آنالیز ایمنی، به عنوان مثال یک راکتور اکسیداسیون، یک تحلیلگر ممکن است “نشت آب خنک کننده به راکتور” را به عنوان یک رویداد اولیه انتخاب کند و در عین حال یک تحلیلگر دیگر “پارگی خط لوله آب خنک کننده” را به عنوان رویداد آغازین انتخاب کند. هر دوی اینها به یک اندازه درست هستند.
یک رویداد تصادفی ممکن است عواقب مختلفی به دنبال داشته باشد، عواقب بالقوه را میتوان با طیفی از پیامدها نشان داد
هنگام تعریف یک رویداد تصادفی باید به پرسشهای زیر پاسخ دهیم:
چه نوع حادثهای است؟ (به عنوان مثال، نشتی، آتشسوزی)
این رویداد کجا رخ میدهد؟ (به عنوان مثال، در اتاق کنترل)
چه زمانی این رویداد رخ میدهد؟ (به عنوان مثال ، در هنگام کار عادی، در طول تعمیر و نگهداری)
در کاربردهای عملی، گاهی اوقات بحث در مورد آنچه که باید رویداد تصادفی تلقی شود وجود دارد به عنوان مثال، آیا ما باید با نشت گاز، آتش سوزی یا انفجار شروع کنیم!!! هر زمانی که امکان پذیر باشد، باید همیشه با اولین انحراف قابلتوجهی شروع کنیم که ممکن است منجر به عواقب ناخواسته شود.
یک رویداد تصادفی ممکن است توسط موارد زیر رخ دهد:
نقص سیستم یا تجهیزات
خطای انسانی
اختلال در فرآیند
واقعه تصادفی معمولاً “پیش بینی شده” است. طراحان سیستم توابع ایمنی را با هدف پاسخ به این رویداد تصادفی به وسیله قطع زنجیره توالی یا با کاهش عواقب حادثه طراحی کردهاند.
برای هر رویداد تصادفی باید موارد زیر را شناسایی کنیم:
پیشرفت (های) احتمالی حادثه
وابستگی های سیستم
پاسخهای مشروط سیستم به رویدادها
توابع ایمنی در آنالیز درخت رویداد
توابع ایمنی (به عنوان مثال موانع، سیستمهای ایمنی، رویهها و اقدامات اپراتور) که به رویداد آغازین پاسخ میدهند، به عنوان وضعیت دفاعی سیستم در برابر وقوع رویداد آغازین تلقی میشود.
توابع را میتوان در گروه های زیر طبقه بندی کرد:
سیستمهای ایمنی که به طور خودکار به رویداد اولیه پاسخ میدهند (به عنوان مثال سیستمهای خاموش کننده خودکار)
آژیر خطری که هنگام وقوع حادثه به اپراتور (ها) هشدار میدهند (به عنوان مثال سامانههای اعلام حریق)
دستورالعملهای اپراتور پس از هشدار
موانع یا روشهای مهار که به منظور محدود کردن اثرات رویداد آغازین در نظر گرفته شده است
تحلیلگر باید به ترتیب توالی فعال شدن، همه موانع و توابع ایمنی را که بر عواقب یک رویداد آغازین تأثیر دارد را شناسایی کند. زنجیرههای احتمالی وقایع و گاهی اوقات نیز توابع ایمنی، ممکن است تحت تأثیر عوامل مختلف خطرزا (حوادث یا حالتها) قرار بگیرند مانند:
احتراق یا عدم اشتعال در نشت گاز
انفجار یا عدم انفجار
چه زمانی از روز است
جهت باد به سمت جمعیت است یا نه
شرایط هواشناسی
شامل نشت گاز/مایع هست یا خیر
ساخت درخت رویداد
درخت رویداد، توالی زمانی و زنجیره وقایع پس از رویداد اولیه را نشان میدهد. از رویداد آغازین شروع میشود و از طریق موفقیتها و / یا شکست توابع ایمنی که نسبت به رویداد آغازین واکنش نشان میدهند، پیش میرود. عواقب یا پیامدها رویدادهایی هستند که به طور واضح مشخص شدهاند و از رویداد آغازین ناشی میشوند.
دنبالهای از رویدادها در درخت رویداد
نمودار معمولا از چپ به راست رسم و از رویداد آغازین شروع میشود. هر تابع ایمنی، گرهی در درخت رویداد نامیده میشود و یا به صورت توصیف یک رویداد و یا یک سوال، که معمولا با دو پیامد به شکل باینری (درست یا غلط – بله یا خیر) فرموله میشود. در هر گره، درخت به دو شاخه تقسیم میشود: شاخه بالایی حاکی از آن است که توصیف رویداد در جعبه بالا صحیح است و شاخه پایینی حاکی از آن است که اشتباه است. اگر شرح هر گره را بگونهای فرموله کنیم که بدترین نتیجه همیشه در شاخه بالایی باشد، نتایج معمولا به ترتیب نزولی از بدترین به بهترین حالت رتبهبندی میشوند.
توابع ایمنی باید با یک جمله (منفی) توصیف شود، به عنوان مثال، ” تابع ایمنی X کار نمیکند” که این بدان معنی است که وقتی رویداد تصادفی مشخص شده رخ میدهد، مانع X قادر به انجام عملکرد (های) مورد انتظار خود نیست.
رویدادهای تکمیلی را باید با جملههایی (در بدترین حالت) توصیف کرد، به عنوان مثال:
گاز مشتعل میشود
باد به سمت منطقه مسکونی میوزد
خروجیهای یک رویداد منجر به وقایع دیگر میشود. روند توسعه تا رسیدن به پیامدها ادامه دارد. اگر نمودار بیش از حد بزرگ باشد که در یک صفحه ترسیم نشود، میتوان شاخهها را جدا و آنها را در صفحات مختلف ترسیم و صفحات را توسط نمادهای انتقال به یکدیگر مرتبط کرد. برای یک زنجیره از n رویداد، ۲ به توان n شاخه درخت وجود خواهد داشت. در بسیاری از موارد ممکن است با حذف شاخههای غیرممکن تعداد کاهش یابد.
شرح توالی رویداد نتیجه
آخرین مرحله در بخش کیفی تجزیه و تحلیل، توصیف توالیهای مختلف ناشی از رویداد آغازین است. یک یا چند توالی ممکن است نشان دهنده بهبودی ایمنی سیستم و بازگشت به عملکرد عادی یا خاموش شدن خودکار باشد. توالیهای پر اهمیت از نقطه نظر ایمنی، مواردی هستند که منجر به حادثه میشوند.
تحلیلگر باید تلاش کند تا پیامدهای حاصل را به روشی و بدون ابهام توصیف کند. وقتی عواقب توصیف میشوند، تحلیلگر میتواند آنها را با توجه به اهمیت آنها درجه بندی کند. ساختار نمودار، که به وضوح پیشرفت حادثه را نشان میدهد، به تحلیلگر کمک میکند تا مشخص کند که آیا روشهای اضافی یا سیستمهای ایمنی در محافظت در برابر این حوادث موثر هستند یا نه. بعضی اوقات، تقسیم نتایج نهایی آنالیز درخت رویداد ETA به دستههای مختلف همانطور که در شکل زیر نشان داده شده است، ممکن است مفید واقع شود. در این مثال، از دستههای زیر استفاده میشود (پیشنهاد میکنیم مقاله ریسک چیست را مطالعه نمایید):
خطر جانی
آسیب مادی
آسیب محیطی
در هر گروه، عواقب رتبهبندی میشوند. برای گروه “خطر جانی”، زیر مجموعههای ۰، ۱-۲، ۳-۵، ۶-۲۰ و بالاتر از ۲۰ پیشنهاد میشود. برای دستههای “آسیب مادی” و “آسیب زیست محیطی” زیرشاخههای ناچیز (N)، کم (L) ، متوسط (M) و زیاد (H) در نظر گرفته شده است. این دستهها باید برای هر موضوع خاص باز تعریف شود. اگر ما قادر به قرار دادن نتایج در یک گروه واحد نیستیم، میتوانیم یک توزیع احتمال را برای زیرشاخهها ارائه دهیم. به عنوان مثال نتیجه یک زنجیره رویداد ممکن است این باشد که کسی با احتمال ۵۰٪ کشته نشود ، ۱ تا ۲ نفر با احتمال ۴۰٪ و ۳ تا ۵ نفر با احتمال ۱۰٪ کشته شوند. اگر ما علاوه بر این بتوانیم فراوانی را تخمین بزنیم، تخمین نرخ تلفات مهلک FAR مربوط به رویداد آغازین، راحت خواهد بود.
مثال جداکننده دریایی با درخت رویداد
بخشی از قسمت پردازش را در تأسیسات تولید نفت و گاز دریایی در نظر بگیرید. مخلوطی از روغن، گاز و آب حاصل از چاههای مختلف با یک مَنیفولد یا چندراهه، جمع شده و به دو قطار فرآیند یکسان هدایت میشود. گاز، روغن و آب در چندین جدا کننده از هم جدا میشوند. سپس گاز حاصل از قطارهای فرآیند در یک منیفولد جمع شده و از طریق کمپرسورها به خط لوله صادرات گاز منتهی میشود. روغن روی تانکرها بارگیری میشود و آب تمیز مجدداً به مخزن تزریق میشود.
طرح جداکننده گاز مرحله اول
میزان فشار لازم برای فعال سازی سه لایه محافظ سیستم ایمنی در شکل زیر نشان داده شده است. ما بسته به عملکرد یا عدم کارکرد این سه سیستم ایمنی، پیامدهای متفاوتی خواهیم داشت، بنابراین سیستم برای روش آنالیز درخت رویداد یا همان ETA مناسب است. رویداد آغازین “انسداد خط خروجی گاز” است. یک درخت رویداد احتمالی برای این رویداد آغازین در شکل زیر ارائه شده است.
میزان فشار لازم برای فعال سازی سه لایه محافظ ایمنی فرآیند
استفاده از تجزیه و تحلیل درخت رویداد برای رویداد آغازین “انسداد خط خروجی گاز”
همانطور که مشخص است، چهار نتیجه بسیار متفاوت بدست آمد. مهمترین نتیجه “پارگی یا انفجار جدا کننده” است و در صورت احتراق گاز ممکن است منجر به از بین رفتن کامل تاسیسات شود. با این وجود احتمال این نتیجه بسیار کم است زیرا راپچر دیسک یک وسیله بسیار ساده و قابل اعتماد است. دومین نتیجه مهم “نشت گاز از راپچر دیسک است.” اهمیت این نتیجه به نوع طراحی سیستم بستگی دارد، اما در صورت احتراق گاز ممکن است برای برخی از تأسیسات بسیار حیاتی باشد. نتیجه بعدی “شعله ور شدن گاز نشت کرده” معمولاً یک رویداد غیر بحرانی است، اما منجر به ضرر اقتصادی و توقف تولید خواهد شد. آخرین نتیجه “خاموش شدن کنترل شده” است که فقط منجر به توقف تولید میشود. استفاد از آنالیز حساسیت نیز میتوانید مفید باشد.
مزایا و معایب روش آنالیز درخت رویداد ETA
مثبت:
به دنبال یک رویداد اولیه میتوان زنجیرههایی از رویدادها را مجسم کرد
توابع ایمنی و توالی فعال سازی آنها مشخص میشود
مبنای خوبی برای ارزیابی نیاز به روشهای جدید / بهبود یافته و توابع ایمنی است
منفی:
هیچ استانداردی برای نمایش گرافیکی درخت رویداد وجود ندارد
در هر تجزیه و تحلیل فقط یک رویداد آغازین قابل بررسی است
به راحتی میتوان از وابستگیهای ظریف سیستم چشم پوشی کرد
دیدگاه شما