- невозможность учета циклических (мостиковых) связей между элементами системы;
- невозможность представления в графах и учета в методах и алгоритмах технологии ДО последовательных связей элементов (исходных событий);
- методически вся технология ДО ориентирована только на так называемую "обратную" логику рассуждений, т.е. на построение графических сценариев отказов системы и возникновения аварийных состояний, что бывает крайне затруднительно, часто приводит к ошибкам при постановке задач, а порой просто не реализуемо на практике.
Основная причина затруднений при использовании обратной логики рассуждений состоит в том, что специалисты, как правило, лучше знают условия нормального, правильного функционирования системы (прямая логика рассуждений), чем условия ее неработоспособности или аварии. Фактически, приходится вручную строить две структурные модели. Сначала мысленно определить логические условия работоспособности рассматриваемого системного объекта, а затем мысленно инвертировать эти условия, и только потом графическими средствами представить полученную логическую функции неработоспособности, отказа, неготовности или аварии системы виде дерева отказа.
Большинство из отмеченных выше ограничений метода и средств технологии ДО обусловлены тем, что теория, и программные комплексы ДО не реализуют всех возможностей основного аппарата моделирования – алгебры логики
В целях преодоления указанных недостатков и ограничений технологии ДО в Российской Федерации и за рубежом выполняются разработки других методов, технологий и ПК, основанных на альтернативных подходах. В США это метод GO-схем, в России - общий логико-вероятностный метод (ОЛВМ), предусматривающий использование схем функциональной целостности (СФЦ). Оба метода были разработаны примерно в одно и то же время в организациях, связанных с Вооруженными силами США и СССР. В США GO-метод стал применяться в гражданских отраслях с середины 80-х годов. В РФ ОЛВМ, технология и ПК автоматизированного структурно-логического моделирования начали применяться для анализа надежности и безопасности АСУТП на стадии проектирования.
Анализ состояния и результатов отказа (FMEA) (Failure Mode and Effects Analysis) [8]- индуктивный метод, основная цель которого состоит в том, чтобы оценить частоту и последствия отказа компонента.
Когда ошибки в методах эксплуатации или действиях оператора существенны, могут оказаться более подходящими другие методы.
Метод FMEA может потребовать более длительного времени, чем
использование дерева дефектов, потому что для каждого компонента рассматривается каждый вид отказа. Некоторые отказы имеют очень низкую вероятность возникновения. Если эти отказы не подвергнуты глубокому анализу, то это решение желательно зарегистрировать в документации.
Метод построения деревьев событий [1,7,12,15] представляет собой графический способ прослеживания последовательности отдельных возможных инцидентов, например, отказов или неисправностей каких-либо элементов технологического процесса или системы с оценкой вероятности каждого из возможных событий и вычисления суммарной вероятности главного события, приводящего к выходу из строя системы или причинения вреда окружающей среде, жизни и здоровью людей или ущербу их имуществу.
Дерево событий строится, начиная с заданных исходных событий, т.е. каких-то отказов в системе, которые могут привести к аварии. Затем прослеживаются возможные пути развития последствий этих событий в зависимости от отказов или срабатываний элементов системы обеспечения безопасности.
Построение дерева событий позволяет проследить за последствиями каждого возможного исходного события и вычислить максимальную вероятность главного события от каждого из таких исходных событий. Основное в этом анализе - не пропустить какое-либо из возможных исходных событий и не упустить из рассмотрения возможные промежуточные события. Но основная ценность метода дерева событий связана с возможностью на проектном уровне выявить различные последовательности событий, приводящих к главному событию, и тем самым определить возможные последствия каждого из исходных событий. Анализ вероятности главного события обычно проводится другим методом, в какой-то мере представляющим собой инверсию дерева событий, а именно, методом деревьев отказов.
Такой анализ может дать достоверную величину вероятности главного события только в том случае, если достоверно известны вероятности исходных и промежуточных событий. Но это общее и непременное условие любого вероятностного анализа безопасности.
Метод дерева событий прост по форме и легко интерпретируется, он представляет собой мощный инструмент представления события, которое включает в себя многочисленные неисправности самой системы и неисправности систем поддержки, а также действия оператора. Дерево событий начинается с исходного события и ветвей, ведущих к последующим отказам и/или неудачным исходам в работе основного оборудования. Так же как и дерево неисправностей, дерево событий представляет собой "живую" компьютерную логическую модель, которую можно быстро изменить, чтобы узнать, какова чувствительность по риску к изменениям в конструкции или функционировании физической системы. При квантификации дерева событий используются данные, заложенные в метод анализа дерева неисправностей, или данные из других источников о частоте реализации опасных ситуаций.
В общем случае, как деревья отказов, так и деревья событий являются лишь наглядной иллюстрацией к простейшим вероятностным моделям. Однако они представляют значительный интерес для специалистов, связанных с эксплуатацией, обслуживанием и надзором технических объектов. Имея такую схему, специалист, даже не обладая основательными знаниями по теории вероятностей, может не только найти наиболее критический вариант развития событий, но и оценить ожидаемый риск, если соответствующее дерево событий или отказов дополнено статистическими данными. Кроме того, на рынке коммерческих программ (не говоря о специализированных) уже давно имеются программные комплексы для автоматизированного построения деревьев отказов и деревьев событий сложных систем.
Методы Деревьев Событий (ДС) являются разделом технологии ДО и применяются для графического представления и анализа последовательностей функциональных событий "успешной и неуспешной" работы подсистем, представляемых деревьями отказов.
Несмотря на то, что данный метод не позволяет строить сценарии фазы инициирования аварий, тем не менее, он может быть полезен при приближенной оценке частот реализации инициирующих событий на различных объектах.
Метод дерева событий хорошо приспособлен для анализа исходных событий, которые могут приводить к различным эффектам. Каждая ветвь дерева событий представляет собой отдельный эффект (последовательность событий), который является точно определенным множеством функциональных взаимосвязей.
Основная процедура анализа дерева событий включает четыре стадии:
1. Определение перечня исходных событий.
2. Определение «безопасных действий» для каждого исходного события.
3. Построение дерева событий.
4. Описание общей последовательности событий.
Важной частью метода является первая стадия — определение перечня исходных событий. Как правило, для этих целей используют методы, описанные выше.
К «безопасным действиям» относятся ответные действия, направленные на устранение влияния реализовавшегося исходного события. Они включают:
• работу системы защиты, включая системы автоматического отключения;
• работу сигнализации, предупреждающую персонал о происшедших событиях;
• действия персонала, выполняемые по сигналу тревоги или в соответствии с технологическим регламентом;
• защитные и сдерживающие методы, направленные на ограничение влияния исходных событий.
Исследователь должен определить все безопасные действия, которые могут изменить результат реализации исходного события, причем в той хронологической последовательности, в которой их предусмотрено принимать. Успех или неуспех безопасных действий включается в дерево событий.
На первом шаге построения дерева событий перечисляются исходное событие и безопасные действия. Исходное событие записывается в левой части листа, а безопасные действия в хронологическом порядке — в верхней части листа. Далее исследователь должен определить, как успех или неуспех безопасного действия влияет на ход развития процесса. Если такое влияние существует, то в структуру дерева событий включается точка ветвления, в которой добавляется восходящий участок в случае успеха или нисходящий — в случае неуспеха безопасного действия. Если безопасное действие не влияет на развитие процесса, горизонтальная линия продолжается до следующего безопасного действия. Каждая точка ветвления создает новые пути развития процесса, которые также должны быть исследованы.
Последним этапом процедуры построения дерева событий является общее описание последовательности событий, которые приводят к аварии и должны представлять множество всех последствий, сопровождающих исходное событие.
При анализе событий дерева должны быть учтены все возможные варианты истечения, распространения и трансформации разрушительного воздействия потоков энергии и вещества, высвободившихся в результате происшествия. Иначе говоря, сумма безусловных вероятностей (Р) появления всех событий на каждом из трех уровней этого дерева должна составлять единицу.
Во-вторых, все события данного дерева и входящие в него ветви, воспроизводящие условия причинения ущерба людским, материальным и природным ресурсам, должны быть разделены между собой по правилам деления понятий, принятым в формальной логике. Это означает, что возможные исходы должны делиться следующим образом: