Dieser Artikel befasst sich mit „Maschinen“-Gefahren, die spezifisch für das Zubehör und die Hardware sind, die in industriellen Prozessen im Zusammenhang mit Druckbehältern, Verarbeitungsgeräten, leistungsstarken Maschinen und anderen an sich riskanten Vorgängen verwendet werden. Dieser Artikel befasst sich nicht mit Gefahren für Arbeitnehmer, die die Handlungen und das Verhalten von Personen betreffen, wie z. B. Ausrutschen auf Arbeitsflächen, Stürze von Erhebungen und Gefahren durch die Verwendung gewöhnlicher Werkzeuge. Dieser Artikel konzentriert sich auf Maschinengefahren, die für ein industrielles Arbeitsumfeld charakteristisch sind. Da diese Gefahren alle Anwesenden bedrohen und sogar eine Bedrohung für Nachbarn und die äußere Umgebung darstellen können, ähneln die Analysemethoden und die Mittel zur Vorbeugung und Kontrolle den Methoden, die verwendet werden, um mit Risiken für die Umwelt durch industrielle Aktivitäten umzugehen.
Maschinengefahren
Hardware von guter Qualität ist sehr zuverlässig, und die meisten Ausfälle werden durch Sekundäreffekte wie Feuer, Korrosion, Missbrauch usw. verursacht. Dennoch kann Hardware bei bestimmten Unfällen hervorgehoben werden, da eine fehlerhafte Hardwarekomponente oft das auffälligste oder sichtbar prominenteste Glied in der Kette von Ereignissen ist. Obwohl der Begriff Hardware weit gefasst verwendet wird, wurden anschauliche Beispiele für Hardwareausfälle und deren unmittelbares „Umfeld“ bei der Unfallverursachung an Industriearbeitsplätzen entnommen. Typische Kandidaten für die Untersuchung von „Maschinen“-Gefahren sind unter anderem:
- Druckbehälter und Rohre
- Motoren, Maschinen, Turbinen und andere rotierende Maschinen
- chemische und nukleare Reaktoren
- Gerüste, Brücken usw.
- Laser und andere Energiestrahler
- Schneid- und Bohrmaschinen usw.
- Schweißausrüstung.
Auswirkungen von Energie
Hardware-Gefahren können falsche Verwendung, Konstruktionsfehler oder häufige Überlastung umfassen, und dementsprechend kann ihre Analyse und Minderung oder Vermeidung ziemlich unterschiedliche Richtungen verfolgen. Im Zentrum von Hardwaregefahren stehen jedoch oft physikalische und chemische Energieformen, die sich der menschlichen Kontrolle entziehen. Daher besteht eine sehr allgemeine Methode zur Identifizierung von Hardwaregefahren darin, nach den Energien zu suchen, die normalerweise mit dem eigentlichen Ausrüstungs- oder Maschinenteil gesteuert werden, z. B. einem Druckbehälter, der Ammoniak oder Chlor enthält. Andere Methoden gehen vom Zweck oder der beabsichtigten Funktion der tatsächlichen Hardware aus und suchen dann nach den wahrscheinlichen Auswirkungen von Fehlfunktionen und Ausfällen. Beispielsweise setzt eine Brücke, die ihre Hauptfunktion nicht erfüllt, Personen auf der Brücke der Gefahr des Herunterfallens aus; andere Auswirkungen des Einsturzes einer Brücke sind die sekundären Auswirkungen von herunterfallenden Gegenständen, entweder strukturellen Teilen der Brücke oder auf der Brücke befindlichen Gegenständen. Weiter unten in der Folgenkette können sich abgeleitete Auswirkungen auf Funktionen in anderen Teilen des Systems ergeben, die davon abhängig waren, dass die Brücke ihre Funktion ordnungsgemäß erfüllt, wie z. B. die Unterbrechung des Notfallfahrzeugverkehrs bei einem anderen Vorfall.
Neben den Konzepten „kontrollierte Energie“ und „bestimmungsgemäße Funktion“ müssen gefährliche Stoffe durch Fragen wie „Wie könnte der Wirkstoff X aus Behältern, Tanks oder Rohrsystemen freigesetzt und wie könnte der Wirkstoff Y hergestellt werden?“ behandelt werden. (eine oder beide können gefährlich sein). Agent X könnte ein unter Druck stehendes Gas oder ein Lösungsmittel sein, und Agent Y könnte ein extrem giftiges Dioxin sein, dessen Bildung durch die „richtigen“ Temperaturen in einigen chemischen Prozessen begünstigt wird, oder es könnte durch schnelle Oxidation infolge eines Feuers entstehen . Die möglichen Gefahren summieren sich jedoch zu weit mehr als nur den Risiken gefährlicher Stoffe. Es können Bedingungen oder Einflüsse vorliegen, die zulassen, dass das Vorhandensein einer bestimmten Hardware zu schädlichen Folgen für Menschen führt.
Industrielle Arbeitsumgebung
Maschinengefährdungen beinhalten auch Belastungs- oder Belastungsfaktoren, die auf Dauer gefährlich sein können, wie z. B. die folgenden:
- extreme Arbeitstemperaturen
- hohe Intensitäten von Licht, Lärm oder anderen Reizen
- schlechtere Luftqualität
- extreme Arbeitsanforderungen oder Arbeitsbelastungen.
Diese Gefahren können erkannt und Vorkehrungen getroffen werden, da die gefährlichen Bedingungen bereits vorhanden sind. Sie hängen nicht davon ab, dass eine strukturelle Änderung in der Hardware zustande kommt und ein schädliches Ergebnis bewirkt, oder dass ein besonderes Ereignis Schäden oder Verletzungen verursacht. Auch Langzeitgefahren haben konkrete Quellen im Arbeitsumfeld, müssen aber durch Beobachtung von Arbeitern und Arbeitsplätzen identifiziert und bewertet werden, statt nur Hardwarekonstruktion und -funktion zu analysieren.
Gefährliche Hardware- oder Maschinengefahren sind in der Regel Ausnahmefälle und in einem soliden Arbeitsumfeld eher selten anzutreffen, lassen sich aber nicht ganz vermeiden. Mehrere Arten von unkontrollierter Energie, wie z. B. die folgenden Risikostoffe, kann die unmittelbare Folge eines Hardwarefehlers sein:
- schädliche Freisetzung von gefährlichen Gasen, Flüssigkeiten, Stäuben oder anderen Stoffen
- Feuer und Explosion
- hohe Spannungen
- Herabfallende Gegenstände, Geschosse usw.
- elektrische und magnetische Felder
- schneiden, einfangen usw.
- Verdrängung von Sauerstoff
- Kernstrahlung, Röntgenstrahlen und Laserlicht
- Überschwemmung oder Ertrinken
- Strahl heißer Flüssigkeit oder Dampf.
Risikoagenten
Verschieben von Objekten. Herunterfallende und umherfliegende Gegenstände, Flüssigkeitsströme und Flüssigkeits- oder Dampfstrahlen, wie die aufgeführten, sind oft die ersten äußeren Folgen von Hardware- oder Geräteausfällen und machen einen großen Teil der Unfälle aus.
Chemikalien. Chemische Gefahren tragen auch zu Arbeitsunfällen bei und beeinträchtigen die Umwelt und die Öffentlichkeit. Bei den Unfällen in Seveso und Bhopal wurden Chemikalien freigesetzt, von denen zahlreiche Mitglieder der Öffentlichkeit betroffen waren, und viele Industriebrände und -explosionen setzen Chemikalien und Dämpfe in die Atmosphäre frei. Verkehrsunfälle mit Benzin- oder Chemielieferwagen oder anderen Gefahrguttransporten vereinen zwei Risikoagenten – sich bewegende Gegenstände und chemische Stoffe.
Elektromagnetische Energie. Elektrische und magnetische Felder, Röntgen- und Gammastrahlen sind alle Manifestationen des Elektromagnetismus, werden aber oft getrennt behandelt, da sie unter ziemlich unterschiedlichen Umständen auftreten. Die Gefahren des Elektromagnetismus haben jedoch einige allgemeine Züge: Felder und Strahlung durchdringen den menschlichen Körper, anstatt sich nur an der Anwendungsstelle zu berühren, und sie können nicht direkt wahrgenommen werden, obwohl sehr große Intensitäten eine Erwärmung der betroffenen Körperteile verursachen. Magnetfelder werden durch den Fluss von elektrischem Strom erzeugt, und starke Magnetfelder sind in der Nähe von großen Elektromotoren, Lichtbogenschweißgeräten, Elektrolysegeräten, Metallarbeiten usw. zu finden. Elektrische Felder gehen mit elektrischer Spannung einher, und selbst die gewöhnlichen Netzspannungen von 200 bis 300 Volt verursachen über mehrere Jahre die Ansammlung von Schmutz, das sichtbare Zeichen der Existenz des Feldes, ein Effekt, der auch im Zusammenhang mit Hochspannungsleitungen, Fernsehbildröhren bekannt ist , Computermonitore und so weiter.
Elektromagnetische Felder sind meistens eher in der Nähe ihrer Quellen zu finden, aber elektromagnetisch Strahlung ist ein Fernreisender, wie Radar und Funkwellen beispielhaft zeigen. Elektromagnetische Strahlung wird gestreut, reflektiert und gedämpft, wenn sie den Raum durchquert und auf dazwischenliegende Objekte, Oberflächen, verschiedene Substanzen und Atmosphären und dergleichen trifft; seine Intensität wird daher auf verschiedene Weise reduziert.
Die allgemeinen Merkmale der elektromagnetischen (EM) Gefahrenquellen sind:
- Es werden Instrumente benötigt, um das Vorhandensein von EM-Feldern oder EM-Strahlung zu erkennen.
- EM hinterlässt keine primären Spuren in Form von „Kontaminationen“.
- Gefährliche Wirkungen treten normalerweise verzögert oder langfristig auf, aber in schweren Fällen werden sofortige Verbrennungen verursacht.
- Röntgen- und Gammastrahlen werden durch Blei und andere schwere Elemente gedämpft, aber nicht gestoppt.
- Magnetfelder und Röntgenstrahlen werden sofort gestoppt, wenn die Quelle stromlos gemacht oder das Gerät ausgeschaltet wird.
- Elektrische Felder können nach dem Abschalten der Erzeugungssysteme lange Zeit bestehen bleiben.
- Gammastrahlen stammen aus nuklearen Prozessen, und diese Strahlungsquellen können nicht ausgeschaltet werden, wie dies bei vielen EM-Quellen der Fall ist.
Radioaktive Strahlung. Die mit nuklearer Strahlung verbundenen Gefahren sind von besonderer Bedeutung für Arbeiter in Kernkraftwerken und in Anlagen, die mit Kernmaterialien arbeiten, wie z. B. der Brennstoffherstellung und der Wiederaufbereitung, dem Transport und der Lagerung radioaktiver Stoffe. Nukleare Strahlungsquellen werden auch in der Medizin und in einigen Industriezweigen zur Messung und Kontrolle verwendet. Eine häufigste Verwendung ist in Feuermeldern/Rauchmeldern, die einen Alpha-Partikel-Emitter wie Americium verwenden, um die Atmosphäre zu überwachen.
Nukleare Gefahren konzentrieren sich hauptsächlich auf fünf Faktoren:
- gamma Strahlen
- Neutronen
- Betateilchen (Elektronen)
- Alphateilchen (Heliumkerne)
- Verschmutzung.
Die Gefahren ergeben sich aus der radioaktiv Prozesse bei der Kernspaltung und dem Zerfall radioaktiver Stoffe. Diese Art von Strahlung wird von Reaktorprozessen, Reaktorbrennstoffen, Reaktormoderatormaterial, von möglicherweise entstehenden gasförmigen Spaltprodukten und von bestimmten Baumaterialien emittiert, die durch die Einwirkung radioaktiver Emissionen aus dem Reaktorbetrieb aktiviert werden.
Andere Risikoagenten. Andere Klassen von Risikostoffen, die Energie freisetzen oder emittieren, umfassen:
- UV-Strahlung und Laserlicht
- Infrasound
- hochintensiver Klang
- Vibration.
Auslösen der Hardware-Gefahren
Beide plötzlich und allmählich Verschiebungen vom kontrollierten – oder „sicheren“ – Zustand in einen Zustand mit erhöhter Gefahr können durch die folgenden Umstände eintreten, die durch geeignete organisatorische Mittel wie Benutzererfahrung, Ausbildung, Fähigkeiten, Überwachung und Gerätetests kontrolliert werden können:
- Verschleiß und Überlastung
- Einwirkung von außen (Feuer oder Stoß)
- Alterung und Versagen
- falsche Versorgung (Energie, Rohstoffe)
- unzureichende Wartung und Reparatur
- Steuerungs- oder Prozessfehler
- Missbrauch oder falsche Anwendung
- Hardware-Ausfall
- Störung der Barriere.
Da ein ordnungsgemäßer Betrieb eine unsachgemäße Konstruktion und Installation nicht zuverlässig kompensieren kann, ist es wichtig, den gesamten Prozess von der Auswahl und Konstruktion über die Installation, Verwendung, Wartung und Prüfung zu berücksichtigen, um den tatsächlichen Zustand und Zustand der Hardware zu bewerten.
Gefahrenfall: Der Druckgastank
Gas kann in geeigneten Behältern zur Lagerung oder zum Transport enthalten sein, wie die Gas- und Sauerstoffflaschen, die von Schweißern verwendet werden. Gas wird oft unter hohem Druck gehandhabt, was eine große Steigerung der Speicherkapazität, aber auch ein höheres Unfallrisiko mit sich bringt. Das wichtigste Zufallsphänomen bei der Druckgasspeicherung ist die plötzliche Entstehung eines Lochs im Tank mit folgenden Folgen:
- die Einschlussfunktion des Tanks hört auf
- das eingeschlossene Gas erhält unmittelbaren Zugang zur umgebenden Atmosphäre.
Die Entwicklung eines solchen Unfalls hängt von diesen Faktoren ab:
- die Art und Menge des Gases im Tank
- die Situation des Lochs im Verhältnis zum Tankinhalt
- die anfängliche Größe und die nachfolgende Wachstumsrate des Lochs
- Temperatur und Druck des Gases und der Ausrüstung
- die Bedingungen in der unmittelbaren Umgebung (Zündquellen, Personen usw.).
Der Tankinhalt kann fast sofort oder über einen bestimmten Zeitraum freigesetzt werden und zu verschiedenen Szenarien führen, vom Ausbruch von freiem Gas aus einem geborstenen Tank bis hin zu mäßigen und ziemlich langsamen Freisetzungen bei kleinen Löchern.
Das Verhalten verschiedener Gase im Leckagefall
Bei der Entwicklung von Freisetzungsberechnungsmodellen ist es am wichtigsten, die folgenden Bedingungen zu bestimmen, die das potenzielle Verhalten des Systems beeinflussen:
- die Gasphase hinter dem Loch (gasförmig oder flüssig?)
- Temperatur und Windverhältnisse
- das mögliche Eindringen anderer Substanzen in das System oder deren mögliches Vorhandensein in seiner Umgebung
- Barrieren und andere Hindernisse.
Schwierig sind die genauen Berechnungen für einen Freisetzungsprozess, bei dem verflüssigtes Gas als Strahl aus einem Loch austritt und dann verdampft (bzw. zunächst zu einem Tröpfchennebel wird). Auch die Angabe der späteren Ausbreitung der entstehenden Wolken ist ein schwieriges Problem. Es müssen die Bewegungen und die Ausbreitung von Gasfreisetzungen berücksichtigt werden, ob das Gas sichtbare oder unsichtbare Wolken bildet und ob das Gas aufsteigt oder in Bodennähe bleibt.
Während Wasserstoff im Vergleich zu jeder Atmosphäre ein leichtes Gas ist, ist Ammoniakgas (NH3mit einem Molekulargewicht von 17.0) steigt in einer gewöhnlichen luftähnlichen Sauerstoff-Stickstoff-Atmosphäre bei gleicher Temperatur und gleichem Druck auf. Chlor (Cl2, mit einem Molekulargewicht von 70.9) und Butan (C4H10, mol. wt.58) sind Beispiele für Chemikalien, deren Gasphasen selbst bei Umgebungstemperatur dichter als Luft sind. Acetylen (C2H2, mol. Gew. 26.0) hat eine Dichte von etwa 0.90 g/l, die der von Luft (1.0 g/l) nahekommt, was bedeutet, dass in einer Arbeitsumgebung austretendes Schweißgas keine ausgeprägte Tendenz hat, nach oben zu schweben oder nach unten zu sinken; daher kann es sich leicht mit der Atmosphäre vermischen.
Aus einem Druckbehälter als Flüssigkeit freigesetztes Ammoniak kühlt jedoch zunächst durch seine Verdunstung ab und kann dann über mehrere Schritte entweichen:
- Unter Druck stehendes, flüssiges Ammoniak tritt als Strahl oder Wolke aus dem Loch im Tank aus.
- Auf den nächsten Oberflächen können sich Meere aus flüssigem Ammoniak bilden.
- Das Ammoniak verdunstet und kühlt dadurch sich selbst und die nähere Umgebung.
- Ammoniakgas tauscht allmählich Wärme mit der Umgebung aus und äquilibriert sich mit Umgebungstemperaturen.
Selbst eine Wolke aus leichtem Gas steigt möglicherweise nicht sofort aus einer Flüssiggasfreisetzung auf; es kann zunächst einen Nebel bilden – eine Tröpfchenwolke – und in Bodennähe bleiben. Die Bewegung der Gaswolke und die allmähliche Vermischung/Verdünnung mit der umgebenden Atmosphäre hängt von Wetterparametern und der umgebenden Umgebung ab – umschlossenes Gebiet, offenes Gebiet, Häuser, Verkehr, Anwesenheit der Öffentlichkeit, Arbeiter und so weiter.
Tankausfall
Die Folgen eines Tankausfalls können Feuer und Explosion, Erstickung, Vergiftung und Erstickung sein, wie die Erfahrung mit Gaserzeugungs- und Gashandhabungssystemen (Propan, Methan, Stickstoff, Wasserstoff usw.), mit Ammoniak- oder Chlortanks und mit Gasschweißen zeigt ( mit Acetylen und Sauerstoff). Was tatsächlich die Bildung eines Lochs in einem Tank auslöst, hat einen starken Einfluss auf das „Verhalten“ des Lochs – das wiederum den Gasausfluss beeinflusst – und ist entscheidend für die Wirksamkeit von Präventionsbemühungen. Ein Druckbehälter ist so konstruiert und gebaut, dass er bestimmten Einsatzbedingungen und Umwelteinflüssen standhält und für die Handhabung eines bestimmten Gases oder vielleicht einer Auswahl von Gasen geeignet ist. Die tatsächlichen Fähigkeiten eines Tanks hängen von seiner Form, Materialien, Schweißung, Schutz, Verwendung und Klima ab; Daher müssen bei der Bewertung seiner Eignung als Behälter für gefährliche Gase die Spezifikationen des Konstrukteurs, die Geschichte des Tanks, Inspektionen und Tests berücksichtigt werden. Zu den kritischen Bereichen gehören die Schweißnähte, die bei den meisten Druckbehältern verwendet werden; die Punkte, an denen Zubehör wie Einlässe, Auslässe, Halterungen und Instrumente mit dem Schiff verbunden sind; die flachen Enden zylindrischer Tanks wie Eisenbahntanks; und andere Aspekte noch weniger optimaler geometrischer Formen.
Schweißnähte werden visuell, durch Röntgenstrahlen oder durch zerstörende Probenprüfung untersucht, da diese örtliche Mängel zB in Form von Festigkeitsminderungen aufdecken können, die die Gesamtfestigkeit des Behälters gefährden oder sogar Auslöser für akute Tankschäden sein können Fehler.
Die Tankfestigkeit wird durch die Geschichte der Tanknutzung beeinflusst – in erster Linie durch die normalen Verschleißprozesse und die branchen- und anwendungstypischen Kratzer und Korrosionsangriffe. Andere historische Parameter von besonderem Interesse sind:
- gelegentlicher Überdruck
- extreme Erwärmung oder Abkühlung (intern oder extern)
- mechanische Einwirkungen
- Vibrationen und Stress
- Stoffe, die im Tank gelagert oder durch ihn hindurchgegangen sind
- Substanzen, die bei der Reinigung, Wartung und Reparatur verwendet werden.
Das Konstruktionsmaterial – Stahlblech, Aluminiumblech, Beton für drucklose Anwendungen usw. – kann durch diese Einflüsse in einer Weise geschädigt werden, die nicht immer ohne Überlastung oder Zerstörung der Ausrüstung während des Tests überprüft werden kann.
Unfallfall: Flixborough
Die Explosion einer großen Cyclohexanwolke in Flixborough (Großbritannien) im Jahr 1974, die 28 Menschen tötete und umfangreiche Anlagenschäden verursachte, ist ein sehr aufschlussreicher Fall. Auslöser war der Ausfall einer provisorischen Ersatzleitung in einem Reaktorblock. Der Unfall wurde durch den Ausfall eines Beschlags „verursacht“, bei näherer Untersuchung stellte sich jedoch heraus, dass der Ausfall auf eine Überlastung zurückzuführen war und die provisorische Konstruktion tatsächlich nicht für den vorgesehenen Zweck geeignet war. Nach zweimonatiger Betriebszeit wurde das Rohr durch einen leichten Druckanstieg von 10 bar (106 Pa) Cyclohexangehalt bei ca. 150°C. Die beiden Bälge zwischen dem Rohr und den nahe gelegenen Reaktoren brachen und 30 bis 50 Tonnen Cyclohexan wurden freigesetzt und bald entzündet, wahrscheinlich durch einen Ofen in einiger Entfernung vom Leck. (Siehe Abbildung 1.) Eine sehr lesbare Darstellung des Falls findet sich in Kletz (1988).
Abbildung 1. Temporäre Verbindung zwischen Tanks in Flixborough
Hazard Analysis
Die Methoden, die entwickelt wurden, um die Risiken zu ermitteln, die für ein Gerät, einen chemischen Prozess oder einen bestimmten Vorgang relevant sein können, werden als „Gefahrenanalyse“ bezeichnet. Diese Methoden stellen Fragen wie: „Was kann möglicherweise schief gehen?“ "Könnte es ernst sein?" und "Was kann man dagegen tun?" Verschiedene Methoden zur Durchführung der Analysen werden oft kombiniert, um eine angemessene Abdeckung zu erreichen, aber kein solches Set kann mehr tun, als ein kluges Team von Analysten bei ihren Feststellungen zu leiten oder zu unterstützen. Die Hauptschwierigkeiten bei der Gefahrenanalyse sind folgende:
- Verfügbarkeit relevanter Daten
- Einschränkungen von Modellen und Berechnungen
- neue und unbekannte Materialien, Konstruktionen und Verfahren
- Systemkomplexität
- Grenzen der menschlichen Vorstellungskraft
- Einschränkungen bei praktischen Prüfungen.
Um unter diesen Umständen brauchbare Risikobewertungen zu erstellen, ist es wichtig, den Umfang und den Grad der „Ambitioniertheit“ der jeweiligen Analyse angemessen zu definieren; Beispielsweise ist klar, dass man für Versicherungszwecke nicht die gleiche Art von Informationen benötigt wie für Konstruktionszwecke oder für die Planung von Schutzsystemen und den Bau von Notfalleinrichtungen. Im Allgemeinen muss das Risikobild ausgefüllt werden, indem empirische Techniken (z. B. Statistik) mit deduktivem Denken und einer kreativen Vorstellungskraft gemischt werden.
Verschiedene Tools zur Risikobewertung – sogar Computerprogramme zur Risikoanalyse – können sehr hilfreich sein. Die Gefährdungs- und Betriebsfähigkeitsstudie (HAZOP) und die Fehlermöglichkeits- und -einflussanalyse (FMEA) sind gängige Methoden zur Ermittlung von Gefährdungen, insbesondere in der chemischen Industrie. Ausgangspunkt der HAZOP-Methode ist das Nachzeichnen möglicher Risikoszenarien anhand eines Satzes von Leitwörtern; Für jedes Szenario müssen wahrscheinliche Ursachen und Folgen identifiziert werden. In der zweiten Stufe versucht man, Mittel und Wege zu finden, um die Wahrscheinlichkeiten zu reduzieren oder die Folgen der als inakzeptabel beurteilten Szenarien abzumildern. Eine Übersicht über die HAZOP-Methode findet sich in Charsley (1995). Die FMEA-Methode stellt eine Reihe von „Was-wäre-wenn“-Fragen für jede mögliche Risikokomponente, um alle möglichen Ausfallarten gründlich zu bestimmen und dann die Auswirkungen zu identifizieren, die sie auf die Systemleistung haben können; Eine solche Analyse wird in dem später in diesem Artikel vorgestellten Demonstrationsbeispiel (für ein Gassystem) veranschaulicht.
Fehlerbäume u Ereignisbäume und die Modi der logischen Analyse, die Unfallverursachungsstrukturen und Wahrscheinlichkeitsrechnungen eigen sind, sind in keiner Weise spezifisch für die Analyse von Hardware-Gefahren, da sie allgemeine Werkzeuge für Systemrisikobewertungen sind.
Verfolgung von Hardware-Gefahren in einer Industrieanlage
Um mögliche Gefahren zu erkennen, können Informationen zu Konstruktion und Funktion eingeholt werden bei:
- eigentliche Geräte und Anlagen
- Ersatz und Modelle
- Zeichnungen, elektrische Diagramme, Rohrleitungs- und Instrumentierungsdiagramme (P/I) usw.
- Prozessbeschreibungen
- Kontrollsysteme
- Betriebsarten und Phasen
- Arbeitsaufträge, Änderungsaufträge, Wartungsberichte usw.
Durch die Auswahl und Verarbeitung solcher Informationen machen sich Analysten ein Bild vom Risikoobjekt selbst, seinen Funktionen und seiner tatsächlichen Verwendung. Wo Dinge noch nicht gebaut sind – oder für eine Inspektion nicht verfügbar sind – können wichtige Beobachtungen nicht gemacht werden und die Bewertung muss vollständig auf Beschreibungen, Absichten und Plänen beruhen. Eine solche Bewertung mag ziemlich schlecht erscheinen, aber tatsächlich werden die meisten praktischen Risikobewertungen auf diese Weise durchgeführt, entweder um eine behördliche Genehmigung für Anträge auf Neubauten zu erhalten oder um die relative Sicherheit alternativer Konstruktionslösungen zu vergleichen. Für die Informationen, die nicht in den formalen Diagrammen gezeigt oder mündlich durch Interviews beschrieben wurden, werden reale Prozesse konsultiert, und um zu überprüfen, ob die aus diesen Quellen gesammelten Informationen sachlich sind und tatsächliche Bedingungen darstellen. Dazu gehören die folgenden:
- tatsächliche Praxis und Kultur
- zusätzliche Ausfallmechanismen/Konstruktionsdetails
- „Schleichenpfade“ (siehe unten)
- häufige Fehlerursachen
- Risiken durch externe Quellen/Raketen
- besondere Belastungen oder Folgen
- Vorfälle, Unfälle und Beinahe-Unfälle.
Die meisten dieser zusätzlichen Informationen, insbesondere Schleichpfade, sind nur von kreativen, erfahrenen Beobachtern mit beträchtlicher Erfahrung erkennbar, und einige der Informationen wären mit Karten und Diagrammen fast unmöglich zu verfolgen. Schleichwege bezeichnen unbeabsichtigte und unvorhergesehene Wechselwirkungen zwischen Systemen, bei denen der Betrieb eines Systems den Zustand oder Betrieb eines anderen Systems auf andere Weise als die funktionalen beeinflusst. Dies geschieht typischerweise, wenn funktional unterschiedliche Teile nahe beieinander liegen oder (zum Beispiel) eine austretende Substanz auf darunter liegende Geräte tropft und einen Ausfall verursacht. Eine andere Wirkungsweise eines Schleichweges kann das Einbringen falscher Substanzen oder Teile in ein System mit Hilfe von Instrumenten oder Werkzeugen während des Betriebs oder der Wartung beinhalten: Die beabsichtigten Strukturen und ihre beabsichtigten Funktionen werden durch die Schleichpfade verändert. Von Gleichtaktfehler Eins bedeutet, dass bestimmte Bedingungen – wie Überschwemmungen, Blitzschlag oder Stromausfall – mehrere Systeme gleichzeitig stören können, was möglicherweise zu unerwartet großen Stromausfällen oder Unfällen führen kann. Im Allgemeinen versucht man, Sneak-Path-Effekte und Gleichtaktfehler durch geeignete Layouts und die Einführung von Abstand, Isolierung und Diversität in den Arbeitsabläufen zu vermeiden.
Ein Gefahrenanalyse-Fall: Gaslieferung von einem Schiff zu einem Tank
Fig. 2 zeigt ein System zur Lieferung von Gas von einem Transportschiff zu einem Lagertank. Ein Leck kann überall in diesem System auftreten: Schiff, Übertragungsleitung, Tank oder Ausgangsleitung; Angesichts der beiden Tankreservoirs könnte ein Leck irgendwo in der Leitung stundenlang aktiv bleiben.
Abbildung 2. Übertragungsleitung für die Lieferung von Flüssiggas vom Schiff zum Lagertank
Die kritischsten Komponenten des Systems sind die folgenden:
- der Lagertank
- die Rohrleitung oder der Schlauch zwischen Tank und Schiff
- sonstige Schläuche, Leitungen, Ventile und Anschlüsse
- das Sicherheitsventil am Speicher
- die Notabsperrventile ESD 1 und 2.
Ganz oben auf dieser Liste steht ein Lagertank mit einem großen Vorrat an Flüssiggas, weil es schwierig ist, kurzfristig ein Leck aus einem Tank zu schließen. Der zweite Punkt auf der Liste – die Verbindung zum Schiff – ist kritisch, da Leckagen in Rohren oder Schläuchen und lockere Verbindungen oder Kupplungen mit verschlissenen Dichtungen sowie Abweichungen zwischen verschiedenen Schiffen Produkt freisetzen können. Flexible Teile wie Schläuche und Faltenbälge sind kritischer als starre Teile und erfordern regelmäßige Wartung und Inspektion. Sicherheitsvorrichtungen wie das Druckentlastungsventil auf der Oberseite des Tanks und die beiden Notabschaltventile sind von entscheidender Bedeutung, da sie sich darauf verlassen müssen, latente oder sich entwickelnde Fehler aufzudecken.
Bisher war die Rangfolge der Systemkomponenten hinsichtlich ihrer Bedeutung in Bezug auf die Zuverlässigkeit nur allgemeiner Natur. Nun wird zu analytischen Zwecken auf die besonderen Funktionen des Systems hingewiesen, wobei die Hauptaufgabe natürlich darin besteht, Flüssiggas vom Schiff zum Lagertank zu bewegen, bis der angeschlossene Schiffstank leer ist. Die überwiegende Gefahr ist ein Gasleck, wobei die möglichen beitragenden Mechanismen einer oder mehrere der folgenden sind:
- undichte Kupplungen oder Ventile
- Tankbruch
- Rohr- oder Schlauchbruch
- Tankausfall.
Anwendung der FMEA-Methode
Die zentrale Idee des FMEA-Ansatzes oder der „Was-wäre-wenn“-Analyse besteht darin, für jede Komponente des Systems ihre Fehlermodi explizit aufzuzeichnen und für jeden Fehler die möglichen Folgen für das System und die Umwelt zu finden. Bei Standardkomponenten wie Tanks, Rohren, Ventilen, Pumpen, Durchflussmessern usw. folgen die Ausfallarten allgemeinen Mustern. Im Fall eines Ventils könnten die Fehlermodi beispielsweise die folgenden Bedingungen umfassen:
- Das Ventil kann nicht bei Bedarf schließen (durch ein „geöffnetes“ Ventil wird weniger gepumpt).
- Das Ventil ist undicht (es gibt einen Restfluss durch ein „geschlossenes“ Ventil).
- Das Ventil kann nicht auf Anforderung öffnen (die Ventilstellung pendelt).
Bei einer Pipeline würden Fehlermodi Elemente berücksichtigen wie:
- einen reduzierten Durchfluss
- ein Leck
- ein Fluss wurde aufgrund einer Verstopfung gestoppt
- ein Bruch in der Leitung.
Die Auswirkungen von Lecks scheinen offensichtlich, aber manchmal sind die wichtigsten Auswirkungen möglicherweise nicht die ersten Auswirkungen: Was passiert beispielsweise, wenn ein Ventil in halb geöffneter Position festsitzt? Ein Absperrventil in der Druckleitung, das bei Bedarf nicht vollständig öffnet, verzögert den Tankfüllvorgang, eine ungefährliche Folge. Wenn jedoch der Zustand „Hängendes Halboffen“ gleichzeitig mit einer Schließanforderung zu einem Zeitpunkt auftritt, an dem der Tank fast voll ist, kann es zu einer Überfüllung kommen (es sei denn, das Notabsperrventil wird erfolgreich aktiviert). In einem ordnungsgemäß ausgelegten und betriebenen System die Wahrscheinlichkeit, dass beide Ventile festsitzen gleichzeitig wird eher gering gehalten.
Offensichtlich kann ein Sicherheitsventil, das nicht bei Bedarf arbeitet, eine Katastrophe bedeuten; Tatsächlich könnte man mit Fug und Recht sagen, dass latente Ausfälle alle Sicherheitseinrichtungen ständig gefährden. Überdruckventile können beispielsweise aufgrund von Korrosion, Schmutz oder Farbe (typischerweise aufgrund schlechter Wartung) defekt sein, und im Fall von Flüssiggas können solche Defekte in Kombination mit dem Temperaturabfall bei einem Gasleck Eis und damit Eis erzeugen den Materialfluss durch ein Sicherheitsventil reduzieren oder vielleicht stoppen. Wenn ein Druckentlastungsventil bei Bedarf nicht funktioniert, kann sich in einem Tank oder in angeschlossenen Tanksystemen Druck aufbauen, der schließlich andere Lecks oder einen Tankbruch verursachen kann.
Der Einfachheit halber sind die Instrumente in Fig. 2 nicht gezeigt; natürlich gibt es Instrumente für Druck, Durchfluss und Temperatur, die wesentliche Parameter für die Überwachung des Systemzustands sind, wobei relevante Signale an Bedienkonsolen oder an eine Leitwarte zu Steuerungs- und Überwachungszwecken übertragen werden. Außerdem werden andere als die für den Materialtransport vorgesehenen Versorgungsleitungen - für Strom, Hydraulik usw. - und zusätzliche Sicherheitseinrichtungen vorhanden sein. Eine umfassende Analyse muss auch diese Systeme durchgehen und nach den Ausfallarten suchen und Auswirkungen dieser Komponenten auch. Insbesondere die Detektivarbeit zu Gleichtakteffekten und Schleichwegen erfordert, dass man sich ein umfassendes Bild von Hauptsystemkomponenten, Steuerungen, Instrumenten, Betriebsmitteln, Bedienern, Arbeitsplänen, Wartung und so weiter macht.
Beispiele für zu berücksichtigende Gleichtakteffekte im Zusammenhang mit Gassystemen werden durch Fragen wie diese angesprochen:
- Werden Ansteuersignale für Druckventile und Notabsperrventile auf einer gemeinsamen Leitung (Kabel, Kabelkanäle) übertragen?
- Teilen sich zwei gegebene Ventile dieselbe Stromleitung?
- Wird die Wartung nach einem vorgegebenen Zeitplan von derselben Person durchgeführt?
Selbst ein hervorragend konzipiertes System mit Redundanz und unabhängigen Stromleitungen kann unter mangelhafter Wartung leiden, wenn beispielsweise ein Ventil und sein Sicherheitsventil (in unserem Fall das Notabsperrventil) nach a in einem falschen Zustand belassen wurden Prüfung. Ein markanter Gleichtakteffekt bei einem Ammoniak-Handhabungssystem ist die Leckage selbst: Ein mäßiges Leck kann alle manuellen Eingriffe an Anlagenkomponenten ziemlich umständlich – und verzögert – aufgrund des Einsatzes des erforderlichen Notfallschutzes machen.
Zusammenfassung
Die Hardwarekomponenten sind sehr selten die schuldigen Teile in der Unfallentwicklung; vielmehr gibt es Ursachen in anderen Gliedern der Kette zu finden: falsche Konzepte, schlechte Konstruktionen, Wartungsfehler, Bedienerfehler, Managementfehler und so weiter. Es wurden bereits mehrere Beispiele für die spezifischen Bedingungen und Handlungen gegeben, die zu einer Fehlerentwicklung führen können; Eine breite Sammlung solcher Agenten würde Folgendes berücksichtigen:
- Kollision
- Korrosion, Ätzen
- übermäßige Belastungen
- ausfallender Support und gealterte oder verschlissene Teile
- minderwertige Schweißarbeiten
- Raketen
- fehlende Teile
- Überhitzung oder Kälte
- Vibration
- falscher Baustoff verwendet.
Die Kontrolle der Hardware-Gefahren in einer Arbeitsumgebung erfordert die Überprüfung aller möglichen Ursachen und die Beachtung der Bedingungen, die sich bei den tatsächlichen Systemen als kritisch herausstellen. Die daraus resultierenden Auswirkungen auf die Organisation von Risikomanagementprogrammen werden in anderen Artikeln behandelt, aber wie die vorstehende Liste deutlich zeigt, kann die Überwachung und Kontrolle von Hardwarebedingungen bis hin zur Auswahl von Konzepten und Designs für die erforderlich sein ausgewählte Systeme und Prozesse.