Afhankelijkheden

Bij de berekening van een enkelvoudig scenario mogen enkel oorzaken en beveiligingslagen in rekening gebracht worden die onderling onafhankelijk zijn.

Afhankelijkheden en hun effect in LOPA

Beveiligingslagen zijn onderling afhankelijk wanneer een gemeenschappelijke fout denkbaar is die beide beveiligingslagen zou uitschakelen. Als twee beveiligingslagen een gemeenschappelijke fysische component hebben, kunnen ze niet als onafhankelijk beschouwd worden bij de toepassing van LOPA.

Een andere voorstelling van de gebeurtenissen zal veel duidelijk maken. De keten in onderstaande figuur kan ook voorgesteld worden via de klassieke voorstelling in een logisch diagramma via een EN-poort. Dit wil zeggen dat gebeurtenis B maar optreedt als gebeurtenis A zich voordoet, beveiligingslaag M1 faalt EN beveiligingslaag M2 faalt.

Logisch diagramma voor beveiligingslagen

Logisch diagramma voor beveiligingslagen

De frequentie van gebeurtenis B kan bepaald worden door de waarschijnlijkheden te vermenigvuldigen (X*Y*Z), maar enkel als deze drie toestanden onafhankelijk zijn van elkaar. Indien bijvoorbeeld M1 en M2 niet onafhankelijk zijn van elkaar (ten gevolge van een gemeenschappelijke fout), dan is de kans dat ze beide falen niet X*Y, maar groter (meer waarschijnlijk). Deze kans is zeker kleiner dan X of Y, zodat we als conservatieve waarde de laagste van deze twee kunnen nemen. Voor het geheel rekenen we dan dat de waarschijnlijkheid van gebeurtenis B gelijk is aan X*Z (of Y*Z indien dit lager is). Dit is wat Planop ook doet: bij een afhankelijkheid wordt de slechtste van de twee beveiligingslagen niet meegerekend.

Veronderstel in onderstaand voorbeeld dat het hoog debietalarm gegenereerd wordt door het controlesysteem dat ook het debiet van reagens A controleert. De beveiligingslagen “Hoog debietalarm initieert corrigerende actie van operator” en “Debietcontrole van reagens A” zijn dus niet onafhankelijk. Men kan een faalfrequentie toekennen aan de debietcontrole en een PFD-waarde aan het hoog debietalarm, maar beide waarden mogen niet vermenigvuldigd worden om de waarschijnlijkheid van de gebeurtenis “Te hoog debiet van reagens A naar reactor” te bepalen.

Afhankelijke beveiligingslagen tellen niet mee in LOPA

Afhankelijke beveiligingslagen tellen niet mee in LOPA

Beveiligingslagen kunnen ook afhankelijk zijn van oorzaken. Beschouw bijvoorbeeld een reactor die is uitgerust met een systeem voor het injecteren van een killing agent dat de reactie stillegt wanneer de druk te hoog oploopt. Stel echter dat deze beveiligingslaag enkel werkt wanneer er een goede menging is in de reactor, dus wanneer de roerder van de reactor werkt. Het uitvallen van de roerder zou op zich ook een oorzaak kunnen zijn voor het versnellen van de reactie door de accumulatie van reagentia of door verminderde koeling. Het noodstopsysteem van de reactor zal dus bij uitval van de roerder en de daaropvolgende stijging van de druk geactiveerd worden, maar zal niet tot het gewenste effect leiden. De beveiligingslaag mag dus niet in rekening gebracht worden bij de berekening van het scenario “Faling reactor door uitval van de roerder”.

Omgaan met afhankelijkheden in Planop

Het is niet de bedoeling om één van de afhankelijke beveiligingslagen weg te laten uit de oorzakenboom (in dit geval het hoog debietalarm). Het is immers de bedoeling om zoveel mogelijk beveiligingslagen te identificeren en te documenteren. Ook al zijn de controle en de alarmering afhankelijk en mogen zij voor LOPA niet gecombineerd worden, toch blijft de alarmering als beveiligingslaag zijn waarde behouden en is het belangrijk dat deze beveiligingslaag goed uitgevoerd en onderhouden wordt (door middel van instructies, opleiding, inspectie, enz.). Beide beveiligingslagen moeten gespecificeerd worden maar hun onderlinge afhankelijkheid moet gedocumenteerd worden in Planop.

Het Planop-programma zal met deze informatie dan rekening houden bij de berekeningen.