О концепциях техногенной безопасности

Аннотация

Б.Г. Волик О концепциях техногенной безопасности Сопоставляются два известных подхода к оценке уровня и обеспечению техногенной безопасности систем: абсолютной безопасности и приемлемого риска. Приводятся доводы о несостоятельности противопоставления этих концепций. Предлагается усилить влияние требования безопасности через учет стоимости жизни или утраченного здоровья в оценках экономической эффективности проектируемых систем – важнейшего показателя качества выбираемых систем автоматизации.

Введение

Проблема обеспечения безопасности человека, вовлеченного в том или ином виде в функционирование потенциально опасных объектов или вынужденного в силу каких-либо обстоятельств находиться в зоне действия поражающих факторов, сопровождающих аварии на таких объектах, т.е. так называемой техногенной безопасности, несмотря на прогресс технических и других средств защиты остается актуальной. Число жертв на объектах металлургических, химических и энергетических производств, различных транспортных систем не убывает.

Проблема техногенной безопасности имеет несколько сторон: техническую, экономическую, юридическую, нравственную. Она еще ждет многосторонней, комплексной разработки. Однако важны и частные результаты, раскрывающие отдельные вопросы проблемы и способствующие повышению безопасности проектируемых объектов.

В решении проблемы техногенной безопасности главенствующее положение занимают две концепции: детерминистская концепция абсолютной безопасности и вероятностная концепция – концепция приемлемого риска.

По-видимому, первая концепция зародилась еще на заре технической революции и основывается на жестком нормативном подходе, суть которого составляют логический анализ источников возможных исходных событий аварий (аварийных ситуаций) на объекте, моделирование развития их поражающих факторов и выработка системы обязательных мер (противоаварийная защита, технологические вспомогательные средства, инструкции, обучение персонала), направленных на уменьшение возможных потерь. Хорошо известны системы мер по пожарной безопасности, электробезопасности, радиационной безопасности, безопасности движения судов в воздухе и на море.

Вторая концепция – вероятностная, разрабатывается в последние два десятилетия и особенно активно после Чернобыльской трагедии. Суть ее составляют: количественная оценка степени опасности (риска) жизни человека, применение имитационного моделирования для выявления возможных путей перехода аварийных ситуаций в аварии, сопровождаемые поражающими факторами, установление приемлемых уровней риска.

Обе концепции применяются в промышленно развитых странах [1], хотя отношение к ним различное. Однако в отечественной литературе [2, 3] намечается противопоставление этих подходов в пользу второго, вероятностного подхода.

Сопоставление концепций абсолютной, безопасности и приемлемого риска

Поскольку проблема буквально жизненно важна, представляется необходимым взвесить все за и против.

Достоинства концепции абсолютной безопасности в том, что она эволюционно развивалась и вобрала вековой опыт для классов традиционных объектов, тем более что этот опыт зачастую является результатом трагических исходов аварий. Поскольку меры обеспечения безопасности в рамках этого подхода устанавливаются как обязательные и подкрепляются лицензированием, то их выполнение сравнительно легко контролируется. И что самое важное, таким образом гарантируется некоторый уровень безопасности, который приобретает для проектировщиков, изготовителей и эксплуатационников опасных объектов юридическую силу.

Главный недостаток концепции абсолютной безопасности в отсутствие количественной оценки безопасности и, соответственно, чувствительности к особенностям каждого конкретного объекта. Считается, что если совокупность предписанных мер обеспечения безопасности для объекта, принадлежащего к заданному классу, выполнена, то как бы обеспечивается абсолютная безопасность. Заметим, что специалисты-системщики никогда так не считали, так как, надежность технических средств конечна, а действия операторов не безошибочны.

В действительности в классе любых объектов происходят конструктивные и технологические изменения, влияние которых на безопасность без количественного анализа трудно оценить, и истинная эффективность набора обязательных мер по обеспечению безопасности остается неопределенной. Таким образом, нормативный подход концепции абсолютной безопасности, с одной стороны, обеспечивает некоторый, точно не известный, уровень безопасности, а с другой стороны, позволяет недопустимо формально подойти к решению столь важной проблемы.

Вторая, вероятностная концепция безопасности, опирается на оценки показателя безопасности – риска жизни человека. Под риском жизни понимается вероятность гибели человека на заданном отрезке времени от неблагоприятных (катастрофических) факторов окружающей среды. В случае неблагоприятных факторов аварий технических объектов риск принято называть техногенным. Современное состояние теории вероятностных процессов и накопленный опыт, например, в теории надежности объектов технической природы, позволяют создавать количественные модели оценки риска [4, 8]. Для этого, по крайней мере, необходимы данные о значениях вероятностей возникновения исходных событий аварий (аварийных ситуаций) и готовности (коэффициенте готовности или, лучше, оперативной готовности) средств (систем) защиты. Таким образом, преодолевается главный недостаток концепции абсолютной безопасности. Но анализ техногенного риска сопряжен с трудностями, присущими любым методам, опирающимся на имитационное моделирование. Это достоверность исходных данных, полнота и адекватность моделей истинным процессам перехода объекта в аварийные состояния.

При сопоставлении рассматриваемых подходов надо учитывать, что и концепция абсолютной безопасности, и вероятностная концепция пока не содержат убедительных решений двух важных проблем анализа безопасности. Первая – неопределенность, точнее неперечислимость исходных событий аварий для объектов сложной структуры. Вторая – неопределенность в оценке достаточности принятых мер безопасности. Остановимся на этих проблемах.

1 – область исправных состояний; 2 – область работоспособных состояний с различным объемом неисправностей; 3 – область неработоспособных состояний

Безопасность [5] – это свойство объекта, определяемое характером и размером последствий изменений состояния работоспособности объекта, ошибками человека-оператора, накоплениями отклонений от номинальных режимов функционирования. Картину изменений состояния работоспособности объекта удобно представлять [6] графом (рисунок). Переходы сверху вниз отображают снижение уровня работоспособности, а снизу вверх – его восстановление. Переходы слева направо соответствуют накоплениям отклонений от номинальных режимов функционирования (параметрическим отклонениям) в пределах неизменного уровня работоспособности, а справа налево – компенсации параметрических отклонений. Восстановление и компенсация обеспечиваются средствами (системами) диагностики, технического обслуживания и ремонта.

В поле возможных состояний работоспособности отметим три характерные области. Первая (верхняя) – множество исправных состояний номинальной работоспособности с различным объемом параметрических отклонений. Вторая (средняя) – множество работоспособных состояний с разным объемом неисправностей. Третья (нижняя) – множество неработоспособных состояний, переходы в которые отличаются разным объемом потерь.

Двойными кружками на рисунке выделены состояния, переходы в которые сопровождаются выходом поражающих факторов (взрывная волна, механические удары, отравляющие вещества, недопустимый уровень радиации и т.п.). Опасные состояния могут располагаться во второй и третьей областях поля состояний. К сожалению, для многих объектов сложной структуры отсутствуют методы, гарантирующие полноту перебора таких состояний и путей перехода в них. Достаточно высокая степень перебора состояний достигается для случаев одиночных отказов. Одиночный отказ – отказ любого одного элемента объекта. Выделение на стадии разработки объекта исходных событий аварий, порождаемых кратными отказами (отказами двух и более элементов объекта), требует огромных усилий. Хотя вероятности их возникновения значительно меньше, чем одиночных, и для анализа технико-экономических потерь ими, как правило, можно пренебречь, для анализа же безопасности этого нельзя делать. По крайней мере не следует считать, что если учтены все одиночные отказы, то удалось обеспечить высокий уровень безопасности. Статистика аварий показывает, что именно при кратных отказах наиболее высока вероятность переходов объекта в опасные состояния.

Именно по причине принципиальной неперечислимости опасных состояний для многих объектов, как это сделано в атомной энергетике, введены понятия проектные аварии и запроектные аварии. К числу проектных аварий относят такие аварии, исходные события (отказы, сбои, нештатные отклонения контролируемых координат технологических процессов), пути переходов и конечные состояния которых удается выявить посредством построения деревьев событий [4, 6] и моделирования процессов. К числу запроектных аварий относят те, по которым не удается априори выявить условия возникновения и пути переходов в пространстве состояний работоспособности объекта, но которые возможны, например, при кратных отказах.

С позиций специалистов по автоматизации такая классификация аварий означает, что для первой категории аварийных ситуаций возможно построить автоматическую защиту (средства, обеспечивающие перевод объектов в безопасные состояния с минимальными технико-экономическими потерями), а для второй категории остается полагаться на способности человека-оператора, его профессиональную подготовку и качество его рабочего места.

История развития противоаварийных защит показывает, что список выявленных опасных состояний, исходных событий и переходов в них пополняется, к сожалению, постфактум трагических событий, посредством расшифровок черных ящиков (подсистем автоматической регистрации событий). Но даже из-за указанной неопределенности в путях перехода в опасные состояния не всегда удается предусмотреть достаточный объем записей черного ящика для установления картины переходов в опасные состояния, как это имело место при анализе аварии на реакторе 4-го блока Чернобыльской АЭС.

Таким образом, начальный этап анализа безопасности – выявление перечня опасных состояний, исходных событий и путей перехода в них в обеих концепциях практически одинаково выполняется и в одинаковой мере не преодолевается феномен неопределенности.

Об оценке достаточности принимаемых мер безопасности

Достаточность принимаемых мер обеспечения безопасности в рамках концепции абсолютной безопасности оценивается только практикой.

Совсем иначе обстоит дело в рамках вероятностной концепции. Как уже отмечалось, достаточность мер безопасности здесь оценивается через величину приемлемого риска. Опасения авторов статьи [3] в том, что установление приемлемого риска станет делом легализованного произвола чиновничьего аппарата, конечно следует учитывать. Но надо учитывать и известное предложение [7] опираться в выборе приемлемого риска на уровень бытового риска. Так авторы [7], взяв за основу оценку бытового риска конца восьмидесятых годов 10^-4 (вероятность гибели человека от всевозможных поражающих факторов окружающей среды в течение одного года), предлагали установить для атомных электростанций приемлемый риск на уровне 10^-7, т.е. ужесточить требование безопасности на три порядка. Это предложение – очень важный довод в пользу концепции приемлемого риска. Важным рычагом повышения безопасности, который может быть применен в рамках вероятностной концепции, является учет уровня риска при оценках экономической эффективности объектов. Рассмотрим эту возможность на примере выбора систем автоматизации, например, подсистем противоаварийной защиты. Интуитивно ясно, что экономические последствия аварий проявляются не только в непосредственных потерях оборудования и какой-то части продукции, но и в выведении из экономического оборота некоторой части ресурсов общества (окружающей объект среды и людских). Для анализа экономических потерь от аварий необходимо ввести стоимостной компенсационный эквивалент потери здоровья и жизни человека. Конечно, жизнь бесценна! Но общество вынуждено ради собственного же блага создавать и эксплуатировать опасные объекты. Введение стоимостного эквивалента потери жизни создает дополнительный барьер введению в эксплуатацию слишком опасных объектов, и будет стимулировать сокращение числа людей, обслуживающих такие объекты, т.е. увеличение объема автоматизации, а также совершенствование систем противоаварийной защиты и рабочих мест операторов.

Для систем, управляющих технологическими объектами, в [6] на основе моделей жизненного цикла комплексов объект – управляющая система получены выражения сравнительной и абсолютной экономической эффективности автоматизации. Для целей учета экономической стороны безопасности достаточно рассмотреть сравнительную оценку – оценку экономического эффекта () перехода от некоторого базового (начального) уровня автоматизации (например, только ручного управления) к другому (i-му) уровню, имеющему более совершенные средства, в том числе и противоаварийной защиты:

где – математическое ожидание приведенной (к единому моменту времени) суммарной целевой отдачи на отрезке (0,t) от замены базового варианта системы i-м вариантом; – математическое ожидание приведенных суммарных затрат, связанных с переходом от базового варианта к i-му варианту системы.

где – изменение приведенной к выбранному единому моменту времени суммарной прибыли от эксплуатации объекта автоматизации, обусловленной заменой базового варианта системы на i-й вариант; – изменение потерь (предотвращенного ущерба), соответственно, от брака продукции (Б), поломок оборудования и выведенных из пользования вследствие аварий строений и территорий (О), компенсационных выплат за потерю здоровья и жизней людей (Ж).

где – приведенные дополнительные капитальные затраты (например на совершенствование пред аварийной защиты), связанные с переходом от базового варианта к i-му;– дополнительные приведенные эксплуатационные затраты на интервале (0,t), связанные с переходом от базового варианта к i–му варианту.

Экономически i–й вариант системы предпочтительнее базового варианта при условии

где Т° – заданный интервал эксплуатации.

Источники экономического эффекта: дополнительная прибыльвыпуска продукции большего объема и (или) лучшего качества; уменьшение потерь ΔП от брака продукции, поломок оборудования, компенсационных выплат вследствие возможных потери здоровья и гибели людей.

Выражения (1)–(4) связывают величины предотвращенного ущерба от аварий, прибыли и затрат на все мероприятия, включая вложения в совершенствование системы защиты. Совместно с моделями оценки риска по совокупности проектных аварий они позволяют выбрать оптимальный вариант проектируемой системы по величине экономического эффекта при ограничении на величину риска (уровня приемлемого риска) или оптимальный вариант по величине риска при ограничении на величину экономического эффекта.

Выводы

Из рассмотрения концепций обеспечения техногенной безопасности вытекают некоторые практические рекомендации.

1.  Проблема техногенной безопасности относится к той категории проблем, где революционный подход к смене концепций вряд ли оправдан. Неопределенность в оценке исходных событий аварий потенциально опасных объектов с возможными потерями жизней людей, причастных к их эксплуатации, не преодолевается в рамках новой концепции приемлемого риска. Поэтому следует применять обе концепции, рассматривая концепцию абсолютной безопасности как гарантию некоторого минимального уровня мер защиты. Оценку достаточности таких мер, особенно для объектов с новой технологией, а также сравнение альтернативных систем мер защиты следует проводить, опираясь на оценки риска жизни людей.
2.  В нормировании приемлемого риска следует опираться на уровень бытового риска, который должен определяться компетентными государственными органами.
3.  В оценку экономической эффективности объектов, в том числе управляющих систем, необходимо ввести стоимостную оценку ущерба здоровью и жизни людей, связанных с их эксплуатацией и ликвидацией последствий аварий, а также оценку выводимой из экономического оборота территории.
4.  Для объектов с возможными запроектными авариями особое значение приобретает техническое обслуживание и текущие ремонты, позволяющие удерживать объекты в первой области (см. рисунок), где неопределенность с выявлением опасных состояний объекта минимальна.
5.  Поскольку третья область состояний (рисунок) содержит опасные состояния, как правило, с наиболее тяжелыми последствиями, то следует стремиться максимально снижать вероятность переходов из первой области в третью посредством расширения второй области (частично неисправных, но работоспособных состояний), используя развитую диагностику состояний, резервирование и реконфигурацию структуры объектов и управляющих систем при отказах отдельных элементов.

Принцип единичного отказа (объект должен сохранять, хотя бы частичную, работоспособность при отказе любого одного элемента объекта), применяемый в практике проектирования атомных электростанций, по существу является одной из форм реализации этой рекомендации.

Список литературы

1. Махутов H.A., Петров В.П. и др. Современное состояние проблем безопасности в промышленно развитых странах. Проблемы безопасности при чрезвычайных ситуациях. М.: ВИНИТИ, 1994. Вып. 4. С. 2–36.
2. Кузьмин И.И., Шапошников Д.А. Концепция безопасности: от риска нулевого – к приемлемому. Вестн. РАН. 1994. Т. 64. N2. 5. С. 402–408.
3. Андриенко А.Я., Портнов-Соколов Ю.П. Формирование риска при обеспечении безопасности сложных технических систем // Приборы и системы управления. 1996. №. 12. С. 11–14.
4. Хенли Э.Дж., Кумамото X. Надежность технических систем и оценка риска. М.: Машиностроение, 1984.
5. Теория управления, терминология. Сборник рекомендуемых терминов. М.: Наука, 1988, выпуск 107.
6. Волик Б.Г., Буянов Б.Б., Лубков Н.В. и др. Методы анализа и синтеза структур управляющих систем. М.: Энергоатомиздат, 1988.
7. Бабаев H., Кузьмин И. Абсолютная безопасность или приемлемый риск // Комму–нист. 1989. №. 7. С. 75–81.
8. Рябинин И.А. Концепция логико-вероятностной теории безопасности // Приборы и системы управления. 1993. №. 10. С. 17–21.