Cijferwaarden voor oorzaken en beveiligingslagen

Oorzaken

Oorzaken kunnen gebeurtenissen of toestanden zijn. Het is aan de gebruiker om de juiste keuze te maken.

Gebeurtenissen worden gekenmerkt door een gemiddelde frequentie van voorkomen, een waarde uitgedrukt in de eenheid aantal keer per jaar. Bijvoorbeeld, de uitval van een pomp is een gebeurtenis en de frequentie zou kunnen zijn: 1 maal per jaar.

Toestanden worden gekenmerkt door de fractie van de tijd dat ze bestaan, een dimensieloze waarde dus. Toestanden vindt men vaak terug in de oorzakenbomen als zogenaamde enabling conditions. Dit zijn randvoorwaarden die aanwezig moeten zijn om het scenario toe te laten. Uitval van koeling op een reactor kan bijvoorbeeld aanleiding geven tot een massale warmteproductie en een hoge druk. Veronderstel dat dit alleen kan gebeuren als de reactor een bepaalde reactiestap doorloopt en dat de reactor zich slechts in 10% van de tijd in deze fase bevindt. Een enabling condition voor dit scenario zou dan zijn dat de reactor zich in deze bewuste reactiestap moet bevinden. Als de koeling eenmaal in de tien jaar wegvalt en de reactor is slechts 10% van de tijd in de kritische reactiefase, dan is de waarschijnlijkheid van de massale warmteproductie eenmaal in de honderd jaar.

Enabling condition: Reactor in kritische fase

Enabling condition: Reactor in kritische fase

Beveiligingslagen

Net zoals oorzaken, kunnen ook beveiligingslagen gekenmerkt worden door verschillende soorten betrouwbaarheden.

De betrouwbaarheid van beveiligingslagen die slechts af en toe worden aangesproken, wordt gekenmerkt door een PFD-waarde. PFD staat voor probability of failure on demand en is een dimensieloze grootheid. Een PFD-waarde van 10-2 betekent dat als de beveiligingslaag 100 keer moet werken, verwacht kan worden dat de maatregel 1 maal zal falen, of anders gezegd, dat de kans op falen wanneer de beveiligingslaag moet werken, 0,01 bedraagt. Beveiligingssystemen zijn voorbeelden van beveiligingslagen die slechts af en toe worden aangesproken (dat zou althans de bedoeling moeten zijn). Men noemt dit soort beveiligingslagen low demand-beveiligingslagen. Zoals geïllustreerd in onderstaande figuur, bepalen de frequentie van de eerste gebeurtenis en de PFD-waarde van de beveiligingslaag de frequentie van de tweede gebeurtenis.

Low demand-beveiligingslaag

Low demand-beveiligingslaag

Andere beveiligingslagen werken continu of worden zeer vaak aangesproken. Men spreekt van continuous demand- en high demand-beveiligingslagen. Regelkringen zijn voorbeelden van high of continuous demand-beveiligingslagen. De betrouwbaarheid van deze beveiligingslagen wordt doorgaans uitgedrukt aan de hand van een faalfrequentie. Een faalfrequentie is het aantal keren per tijdseenheid (doorgaans per jaar) dat de beveiligingslaag faalt.

Op condities volgen continuous demand-beveiligingslagen, op gebeurtenissen die vaak optreden high demand-beveiligingslagen. Het is zeer belangrijk om weten dat bij de berekening van een scenario GEEN rekening wordt gehouden met de waarschijnlijkheid van de toestand of gebeurtenis die een high of continuous demand-beveiligingslaag voorafgaat. Men kan ze dan ook weglaten en de oorzakenboom onderaan laten starten met een continuous demand-beveiligingslaag. Dit komt eigenlijk overeen met een begin-gebeurtenis gelijk aan het falen van de continuous demand-beveiligingslaag. De volgende figuren illustreren dit.

Continuous demand-beveiligingslaag

Continuous demand-beveiligingslaag

High demand-beveiligingslaag

High demand-beveiligingslaag

Continuous demand-beveiligingslaag als begingebeurtenis

Continuous demand-beveiligingslaag als begingebeurtenis

Beschouw opnieuw het eerder vermelde voorbeeld van de debietscontrole op de toevoer van reagens A. De waarschijnlijkheid van de gebeurtenis “te hoog debiet van reagens A naar reactor” is gelijk aan de faalfrequentie van de beveiligingslaag “debietscontrole van reagens A”. Met de waarschijnlijkheid van de conditie “continue toediening van reagens A naar reactor” wordt geen rekening gehouden.

Daarom geeft Planop de mogelijkheid om de toestand of frequente gebeurtenis ook helemaal weg te laten. Dit wordt vaak toegepast bij controlemaatregelen, indien de gecontroleerde conditie vanzelfsprekend is, zoals geïllustreerd wordt in de volgende figuur.

Continuous demand-beveiligingslaag als initiële oorzaak

Continuous demand-beveiligingslaag als initiële oorzaak

Voor high demand-beveiligingslagen die een menselijke handeling inhouden, kan de betrouwbaarheid ook gekenmerkt worden door een PFD-waarde. Denk bijvoorbeeld aan een operator die een bepaalde handeling moet verrichten. Men kan de betrouwbaarheid van de operator op twee manieren kenmerken. Ofwel wordt de betrouwbaarheid uitgedrukt in het aantal keren per jaar dat hij een fout maakt ofwel drukt men de betrouwbaarheid uit in het aantal keren dat hij een fout maakt per aantal handelingen. De volgende figuren illustreren deze beide mogelijkheden.

Betrouwbaarheid operator uitgedrukt als PFD

Betrouwbaarheid operator uitgedrukt als PFD

Betrouwbaarheid operator uitgedrukt als faalfrequentie

Betrouwbaarheid operator uitgedrukt als faalfrequentie

Een beveiligingslaag kan naast een faalfrequentie of een PFD-waarde nog gekenmerkt worden door een derde waarde: de onbeschikbaarheid. De onbeschikbaarheid is de fractie van de tijd dat de beveiligingslaag niet in werking is. De onbeschikbaarheid is het product van de faalfrequentie en de tijd nodig om een faling te detecteren en de beveiligingslaag te herstellen. De onbeschikbaarheid wordt gebruikt als men wil dat het resultaat van het falen van de beveiligingslaag geen gebeurtenis maar wel een toestand is (bijvoorbeeld om in een EN-poort gecombineerd te worden met een gebeurtenis).

Continuous demand-beveiligingslaag met onbeschikbaarheid

Continuous demand-beveiligingslaag met onbeschikbaarheid

Een voorbeeld zal dit illustreren. Veronderstel dat een vat wordt gevoed door een gasstroom onder hoge druk. Vóór de stroom aan het vat wordt toegediend, wordt de druk verlaagd door een drukreduceerventiel. Bij het falen van het drukreduceerventiel komt het vat onmiddellijk onder de maximale voedingsdruk te staan. Dit is dus een gebeurtenis. Volgende figuur geeft de combinatie van beveiligingslagen en oorzaken voor dit voorbeeld weer. In dit geval moet de faalfrequentie van het drukreduceerventiel gebruikt worden.

Beveiligingslaag met faalkans geeft gebeurtenis

Beveiligingslaag met faalkans geeft gebeurtenis

In het geval van een vloeistofstroom daarentegen, moet het vat eerst volledig gevuld zijn vooraleer de maximale voedingsdruk van 20 bar op het vat wordt uitgeoefend. Wanneer het drukreduceerventiel faalt, geeft dit aanleiding tot de toestand “Voedingsstroom van 20 bar aan ingang van vat” (dus na het drukreduceerventiel). Deze toestand moet gecombineerd worden via een EN-poort met de gebeurtenis “Vat volledig gevuld met vloeistof” om aanleiding te geven tot de gebeurtenis “Voedingsdruk 20 bar op vat”. In dit geval zal men aan het drukreduceerventiel dus een onbeschikbaarheid moeten toekennen, omdat wat erop volgt een toestand is.

Een beveiligingslaag met een onbeschikbaarheid heeft een conditie tot gevolg

Een beveiligingslaag met een onbeschikbaarheid heeft een conditie tot gevolg