Teori tentafrågor Flashcards
(35 cards)
Förklara kortfattat innebörden av latenta förhållanden (när det gäller epidemiologiska olycksmodeller) och ge minst två exempel på sådana förhållanden.
Latenta förhållanden är omständigheter som finns i ett system och har funnits i systemet under en lång tid. Det är först när en händelsekedja triggas av t.ex. en handling eller en avvikelse i hur systemet är tänkt att fungera (som i sig kan vara relativt harmlös) som det latenta förhållandet uppdagas.
Det är kombinationen av ett aktivt fel och ett latent förhållande som möjliggör olyckan.
Två exempel på latenta förhållanden är:
Överfyllnadsskydd är ur funktion (vilket ev. endast uppdagas om en tank överfylls och barriären (som Överfyllnadsskyddet utgör) är ur funktion.
Vattenbuffert för en sprinkleranläggning är tom (vilket endast blir ett problem om sprinkler aktiveras pga brand)
Beskriv kortfattat hur man genomför en Hazop? Använd och förklara i samband med detta begreppen analyspunkt, processparameter, avvikelse och led-/guideord. Använd gärna exempel i era förklaringar.
.1. Dela upp systemet i lämpliga sektioner
2. Välj en analyspunkt (nod) eller flera i sektionen
3. Identifiera relevanta processvariabler (tryck, temperatur, etc.)
4. Skapa processavvikelser (från normalt tillstånd) i
analyspunkterna – kombinera ledord (mer, mindre, även, etc.)
och processvariabel
5. Sök tänkbara orsaker till avvikelserna
6. Beskriv konsekvenserna för varje definierad orsak
7. Inkludera ”redan vidtagna åtgärder” och bedöm risken
(konsekvenser och sannolikhet) som tolerabel eller krav på
åtgärder.
Förklara kortfattat innebörden av blunt resp. sharp end i samband med systemiska olycksmodeller.
Sharp end utgörs av de personer och omständigheter som interagerar med den riskfyllda miljön (processer, energier, etc.). Dvs de är placerade när i tid och rum till den operationella verkligheten.
Blunt end är de faktorer, personer och beslut som påverkar sharp end (skapar förutsättningar för personer som agerar i sharp end) men som är avlägsna från sharp end i tid och rum (management, lagar, sociala normer, etc.)
Vad innebär inherent safety och nämn minst två strategier man kan använda för att uppnå inherent safety? Ge konkreta exempel på respektive strategi.
IPS 2010a 6.2.1 inneboende säkerhet.
Man bygger in säkerhet och robusthet i systemet som inte förlitar sig på några aktiva system. Exempel på strategier t.ex. begränsning av mängd farligt ämne eller invallningar. Man bygger in säkerhet i form av utnyttjande av naturlagar och annat som inte förlitar sig på en aktiv åtgärd. Säkerheten är inbyggd i utformningen.
- Intensifiera eller Minimera
- Ha så lite farliga ämnen som möjligt.
- Ersätt de farliga ämnena med mindre farliga
- Begränsa eller mildra effekterna
- Förenkla
- Undvik dominoeffekter/Separera
- omöjliggör felaktiga kopplingar
- tydlig status
- säkerhet vid felanvänding
Beskriv kortfattat hur man genomför en Hazop? Använd och förklara i samband med detta begreppen analyspunkt, processparameter, avvikelse och led-/guideord. använd gärna exempel i era förklaringar.
HAZOP (HAZard and OPerability study) är en systematisk riskgenomgång av processen.
Först definieras de olika analyspunkterna (noderna) i processen, såsom rörledningar, lagringstankar och reaktorer. För dessa noder bestäms sedan vilka storheter som kan påverkas, t.ex. flöden, nivåer eller temperaturen i en reaktor. Vid själva riskidentifieringsarbetet används sedan ett antal ledord för att beskriva avvikelser hos de olika noderna. Exempel på ledord är:
inget, lägre, högre, delvis, dessutom, motsatt, istället. Ledorden måste självfallet anpassas till den aktuella noden. För varje ledord söker man sedan efter orsaker och bestämmer
konsekvensen.
Analyspunkt: t.ex. badrum, kök, tvättstuga, etc.
Processparamter: t.ex. flöde, temperatur, ämne, etc.
Avvikelse: t.ex. mer, mindre, högre, annat än, motsatt, etc.
Led-guideord: t.ex. inget, lägre, högre, delvis, dessutom, motsatt, istället.
I verkligheten kan i princip ett oändligt antal riskscenarier inträffa men i en riskanalys måste man begränsa sig till att jobba med något som är “hanterbart”. Ange åtminstone tre strategier man kan använda för att reducera antalet scenarier man inkluderar i en riskanalys.
- Ta bort scenarier vars konsekvenser ej är signifikanta
– T.ex. om man är intresserad av risker för 3e man kan alla scenarier som ”endast” påverkar anställda tas bort. - Kombinera/gruppera scenarier som är redundanta eller liknar varandra (skapa ”scenariokluster”)
– T.ex. litet rörbrott på två olika ledningar där samma ämne flödar i samma tryck etc. kan grupperas som ett scenario - För parametrar som kan anta en mängd värden så begränsa till ett fåtal av dessa men inkludera både allvarliga och mindre allvarliga varianter
– T.ex. om ett hål på en tank kan variera från ytterst litet (1 cm2) till mycket stort (100 cm2) – välj t.ex. de två hålstorlekarna 10 cm2 resp. 80 cm2 - Ta endast hänsyn till de parametrar som har stor påverkan på konsekvenserna
– Känslighetsanalys är ett bra verktyg för att avgöra hur viktig en parameter är
– Bör parameterns värden varieras i två olika scenarier eller räcker det med en punktskattning av parametern?
» Vindhastighet – spelar 3 m/s jmf med 10 m/s någon roll för konsekvenserna som uppstår?
» Hålstorlek – spelar 5 kg/s jmf med 20 kg/s någon roll?
Beskriv kortfattat vad fenomenet Comman Cause Failures innebär och ange minst två vanligt förekommande typer av CCF (förklara gärna genom konkreta exempel).
CCF: ”A dependent failure in which two or more component fault states exist simultaneously, or within a short time interval, and are a direct result of a shared cause”
• Vanliga orsaker
– Gemensamma försörjningssystem –t.ex. samma elförsörjning till två säkerhetssystem
– Gemensam hårdvara/mjukvara – t.ex. känslighet för datavirus
– Likhet i utformning/design – t.ex. flera identiska
branddetektorer känsliga för förhöjda fukthalter
– Gemensamma procedurer/underhåll – två reservkraftaggregat tankas med fel bränsle
– Samlokalisering – t.ex. två back-up generatorer
placerade i källare
• Kvalitativa strategier för att reducera sannolikheten för CCF?
– Diversifiera
– Separera
– Bygg in säkerhetsmarginaler
En kommun har tagit fram acceptanskriterium för vilken total samhällsrisk (FN-Kurva) man kan acceptera kopplat till transport av farligt gods. Förklara varför det hade varit fel att använda dessa kriterier (utan modifiering) för att värdera risken kopplad till en specifik transportled i kommunen (t.ex. en 2 km lång vägsträcka).
Diskussionen kopplat till scaling (riskacceptansen kopplat till samhällsrisken för en enskild vägsträcka, t.ex. 2 km, är betydligt mindre än vad den är sammanlagt för alla vägsträckor i en kommun).
Ange de huvudsakliga skillnaderna mellan en sekventiell och en systemisk olycksmodell.
Systemiska försöker fånga in hela det sociotekniska systemet, dess beteende snarare än enskilda händelsekedjor.
Det är en kombination av olika faktorer och olyckor kan inträffa utan att något felfungerat.
Sekventiell kollar mer i närtid till olyckan (sharp end) medan i systemisk så kan orsakerna uppstått långt innan olyckan (blunt end)
En inledande händelse i en riskanalys för t.ex. ett händelseträd skulle kunna vara utsläpp av 2 kg klorgas per sekund med en frekvens på 1 gång på 1000år. Men att ett utsläpp skulle vara exakt 2 kg per s är ju inte särskilt trooligt - förklara kortfattat hur man bör tolka händelser av detta slag i en riskanalys.
Händelser/scenarier som specificeras på ett detaljerat sätt i en riskanalys (t.ex. 2 kg/s, 5 m/s i vindhastighet, etc.) representerar alltid en bakomliggande grupp/samling scenarier. 2 kg/s representerar kanske alla utsläpp mellan 1 kg/s och 3 kg/s (där frekvensen för scenariot handlar om frekvensen för samtliga utsläpp som kan inträffa med en källstyrka mellan 1 och 3 kg/s). 5 m/s i vindhastighet kanske motsvarar 3-8 m/s. (ett problem är dock att man i en del riskanalyser inte alltid är tydlig med vad resp. scenario representerar).
I riskanalyser kan man antingen använda sig av relativa riskmått eller absoluta riskmått. Förklara dessa två begrepp och ge ett exempel på ett mått i respektive kategori. Förklara även varför relativa riskmått i många fall är mindre osäkra.
Absoluta riskmått är mått som uttrycks i absoluta tal, t.ex. antal händelser per år, förväntat antal omkomna per år eller per incident. Relativa mått uttrycker endast risken i förhållande till en annan risk/aktivitet, t.ex. anläggningen har 2 ggr så stor risk som en annan anläggning, eller rökning är 5 ggr så riskfyllt som fallskärmshoppning.
Absoluta riskmått kräver att ”alla” parametrar och faktrorer som påverkar risken i ett system tas hänsyn till och kvantifieras. Men en del av dessa faktorer kan vara väldigt osäkra vilket gör att resultatet (de absoluta risknivåerna) också blir osäkra. Relativa riskmått handlar endast om att jämföra två situationer, t.ex. två i princip identiska lösningar men där endast någon lite del skiljer sig mellan de två lösningarna. Eftersom man endast är intresserad av skillnaden mellan lösningarna behöver endast sådant som skiljer sig mellan lösningarna kvantifieras (dvs färre osäkra parametrar behöver tas med i analysen).
Förklara kortfattat begreppet inherent safety och ge tre olika exempel på hur inherent safety kan uppnås.
Inherent safety handlar om att bygga system där faror och risker undviks snarare än att man bygger in en massa barriärer för att skydda olika skyddsvärden från de energier och skadeförlopp som kan påverka dem. Systemet ska vara byggt på ett sätt där själva ”naturlagarna” gör att skador inte är möjliga eller där olyckor som trots allt inträffar leder till små konsekvenser. Dvs det ska inte vara avhängigt att en barriär fungerar för att konsekvenserna ska vara små.
Exempel: Intensifiera/minimera (lagra inte några stora mängder av ett farligt ämne på ett industriområde), Ersätt/substituera (istället för att ett extremt explosivt ämne används i en process så används ett betydligt mindre farlig ämne men som i övrigt ger liknande positiva effekt på processen), Förenkla (designa ett flygplan som har en hög stabilitet i luften snarare än en modell som
är känslig för vissa positioner i luften men där en barriär byggs in för att reducera problemet kopplat till instabiliteten).
Förklara kortfatta vad lutningen av ett acceptansktiterium i en FN kurva säger om en beslutfattares riskpreferenser.
Mer lutning = Mindre acceptabelt ju fler som dör av en enskild händelse. (dödsfall/år)
Mindre lutning= Mer acceptabelt att fler dör till följd av en större händelse. (dödsfall/år)
Lutningen på acceptanskriteriet i en FN-kurva säger något om hur en beslutsfattare ser på förhållandet mellan olyckor med stora konsekvenser, resp. med mindre konsekvenser. För en lutning på -1 så är beslutsfattaren s.k. riskneutral. D.v.s. en olycka med 10 omkomna som sker var 10:e år är lika acceptabel/oacceptabel som en olycka med 1 omkommen men som sker 1 gång per år. Alltså anser en sådan beslutsfattare att förväntat antal omkomna per år är ett lämpligt beslutskriterium. Vid en högre lutning (-2, -3 etc.) straffas olyckor med många omkomna mycket hårdare än en olycka med få omkomna, dvs. Och vice versa för en lägre lutning (t.ex. -0,5).
Ange fyra framgångsfaktorer för att lyckas väl med riskidentifiering då metoden Hazop används.
∙ Sammansättning på analysgruppen (en grupp av personer som tillsammans har stora och kompletterande kunskaper och erfarenheter),
∙ Utförligt och korrekt underlag/information om systemet (dvs en tydlig/utförlig systembeskrivning, t.ex. riktningar, används som utgångspunkt),
∙ Tydlig planering under/ledning av genomförandet (alla ska komma till tals, undvika alltför långa sessioner, styra så det blir lagom mycket diskussioner)
∙ Systematiskt genomförande (så att hela anläggningen, eller den del av anläggningen som ska analyseras, täcks in)
Förklara kortfattat de två säkerhetsprinciperna inherently safe design och defence in depth (djupförsvar)? På vilket sätt kompletterar de varandra och finns det samtidigt potentiella motsättningar mellan de två (dvs där de två principerna ger motstridiga råd?)
Inherent safe
Genuint säkert p.g.a. att naturlagar, grundläggande kemiska och fysikaliska genskaper etc, gör att, oavsett vilka tekniska fel eller mänskliga misstag och t.o.m. medvetet felaktiga handlingar inkl. t.o.m. sabotage, som inträffar, så är processen, anläggningen eller verksamheten säker.
Vi får oftast nöja oss med “inherently safer”
Defence in depth????
successiva kompensationsåtgärder för att förhindra olyckor eller minska effekter av skador om ett fel eller en olycka inträffar vid en kärnkraftsanläggning
Identifiera två latenta förhållanden och två aktiva fel som du anser/tror bidrog till att incidenten “tappades i trappa av texi” kunde inträffa (som diskuterades under seminarium 2 och som beskrivs nedan). Förklara även kortfattat varför ett alltför stort fokus på aktiva fel kan leda till ett ineffektivt säkerhetsarbete.
Latenta förhållanden??:
Handtaget gick sönder vid belastning.
Det uppdagades att trappklättraren inte var med när de väl var på plats.
Bristande handkraft.
Aktiva fel??: Ingen lyfthjälp med i bilen. Beslut om att försöka ändå. Beslut om att inte invänta lyfthjälp eller annan resurs. Beslut om att inte köra tillbaka kunden.
Ett för stort fokus på aktiva fel gör att man missar det som ligger till grund för de aktiva felen som t.ex. arbetsförhållanden, stress, tidspress, arbetsmoral, arbetskultur i verksamheten, vad som hade hänt om han inte löste situationen (t.ex. missnöjd chef/samordnare).
Löser man det aktiva felet med beslutet och även lyfthjälpen så kommer olyckor fortfarande hända om resterande orsaker är oförändrade.
Sharp/blunt end är en modell som kan användas för att förstå och utreda olycksförlopp. Ge två typiska exempel på faktorer/förhållanden som återfinns i blunt end. Förklara även kortfattat fördelen med att utreda en lycka långt ut i blunt end som vad utmaningarna med att göra det kan vara.
Används som modell under systemisk metod. Sharp och blunt end finns på varsin sida på en triangel där blunt end representerar ledningen eller chefer i analysmodellen. Dvs de som bestämmer om, och hur saker i verksamheten skall utföras. Sharp end är de som faktiskt utför det som beslutats i blunt end. Det är den faktiska operatören, var vid vilken en olycka inträffar eller liknande.
Att titta på hela systemet när man utreder en olycka kommer ge flera olika svar på orsaken till olyckan. Ofta landar det i att flera olika faktorer samspelar varvid en olycka kan uppstå. Blunt end kan ge nya direktiv om utbildning, andra riktlinjer, systematisk olycksutredning internt, uppdatera information om verksamhet och se över dess validitet bara för att ge några exempel.
En annan svårighet är att effekterna av förändringarna inte kommer visa sig och det går inte att räkna på dem. Att man genomför en förändring i blunt end kommer ta flera år innan det visar effekt.
En riskanalys har genomförts för en 5 km lång vägsträcka. I projektet har det beslutats att man ska använda kriterierna som DNV tagit fram som utgångspunkt för att värdera samhällsrisken - Denna är dock anpassad för en 1 km lång vägsträcka. Förklara kortfattat hur du ska gå tillväga för att ändå kunna genomföra riskvärderingen.
Från föreläsning:
Mycket känsligt för tillämpningens ”skala” – t.ex. storleken på ett planområde,
längden på en transportled
– Stort område (t.ex. hela staden) jmf. med litet (t.ex. en detaljplan) ger större
samhällsrisk
– Lång transportled jmf med kort ger större samhällsrisk
– Blir speciellt kritiskt när risken ska värderas
Är väldigt känsligt för ”skalan” på tillämpningen
– Olika stora områden – ett stort område har en större
samhällsrisk jmf med ett litet
– Olika långa vägsträckor – t.ex. en 5 km vägsträcka utgör en
5 ggr så stor samhällsrisk jmf med 1 km vägsträcka
• Acceptanskriterier måste anpassas till skalan på tillämpningen
– Samma kriterium kan inte användas på olika stora
områden, olika långa vägsträckor, etc.
Till vad man kan använda exponentialfördelningen F(t)=1-e^-lamda*t i ett riskanalyssammanhang och vilka antaganden måste göras i samband med att den används?
Ofta vill vi kunna räkna ut hur sannolikt det är att olyckor/fel
uppstår under en given tidsperiod:
– Vad är sannolikheten att en pump felfungerar någon gång
under ett år?
– Hur ofta kan man förvänta sig att två oberoende
skyddssystem är ur funktion samtidigt?
• Exponentialfördelning är ett mycket användbart verktyg
Sannolikheten för fel under en viss tidsperiod givet en viss felfrekvens kan uppskattas med exponentialfördelningen
– Förutsättningar: Händelserna inträffar slumpmässigt
och med en konstant felfrekvens över tid (intensitet),
λ, över tid (s.k. homogen poissonprocess)
Förklara vad det innebär att använda en spridningsvinkel i en riskanalys som involverar spridning av giftiga gaser - Använd en skiss för att illustrera antagandet/förenklingen. Hur kan förenklingen göra att risken över- eller underskattas?
Genom att ansätta en cirkelsektor med en viss spridningsvinkel så beaktas spridning av ett gasmoln. Ofta satt till 15-20 grader.
Spridningsvinkeln kan komma att underskatta risken närmare utsläppskällan samt överskatta risken ju länge från utsläppskällan man befinner sig.
Vad är risk acheivement worth och vad används det till?
Komponenter som är kritiska för att systemet ska vara säkert bör inte utföras
underhåll på med systemet i drift – därför presentera effekt av försämringar i en
komponent
– T.ex. Risk achievement worth (RAW)
Relativ riskökning om en
komponent fallerar. Den
teoretiskt maximala
förändringen.
Underhållsfasen. Identifiera särskilt kritiska komponenter med teoretiskt stor inverkan på sannolikheten för toppändelsen.
Det finns olika former av barriärer, vilka är dessa och vad innebär de?
• Passiva barriärer – Beter sig likadant i normal drift som vid avvikelser • Mekaniska barriärer – Mekanisk princip för åtgärd • Instrumentella barriärer – Åtgärd via elektriska/ pneumatiska signaler • Administrativa barriärer – Mänsklig åtgärd enligt en instruktion
I förenklande riskanalyser som använder handberäkningar hanteras ofta konsekvenser på ett “diskret” sätt, d.v.s. inom en viss area antas alla omkomma och inom en annan area antas alla överleva. Förklara antagandet och motivera varför detta i många fall är ett rimligt antagande att göra. Beskriv även en situation där antagandet kan vara olämpligt att göra.
Antagandet bygger på en föreställning om att det riskavståndet blir som ett medelvärde för den totala effektzonen. Där sannolikheten för mortalitet sjunker efter LC50 avståndet. Ju närmare utsläppskällan man befinner sig så ökar sannolikheten för att dö. Detta ger en överskattning innanför LC50 avståndet för att kunna ta i beaktande de som även påverkas utanför LC50 avståndet. Överskattningen fungerar genom att på avståndet med 55% mortalitet innanför LC50 så överskattas dödstalet med 45%. Det ger en grov förenkling av förväntat antal döda utanför avståndet osv.
Förklara varför riskmatris kan vara olämpligt/utmanande att använda då man vill besluta om risken i ett system är acceptabelt eller inte.
Vanliga användningsområden:
– när analytikerna känner att de inte kan ange exakta
kvantitativa värden
– för att presentera en översikt av riskscenariers
allvarlighetsgrad/rangordning
– för att bestämma vilka scenarier som ska analyseras i mer detalj
– för att bestämma om risken är acceptabel (inte att
rekommendera)
• Nackdelar med riskmatriser:
• Beroende på hur man specificerar sina riskscenarier kan
risken bli acceptabel eller oacceptabel!!!
• Exempel:
– Antag att riskscenariot som klassats som en katastrof
är att ett flygplan kraschar under landning. 100
människor beräknas omkomma och den årliga
frekvensen är 0,001.
• Men vid en noggrannare analys kanske man inser att det
finns fyra olika flygplanstyper. Dessa skiljer sig åt med
avseende på frekvensen, därför betraktas de istället som
separata riskscenarier - inget fel i att göra så!!!
– Riskscenario 1: Krasch med flygplanstyp 1,
Frekvens: 0,0002 per år
– Riskscenario 2: Krasch med flygplanstyp 2,
Frekvens: 0,0003 per år
– Riskscenario 3: Krasch med flygplanstyp 3,
Frekvens: 0,00005 per år
– Riskscenario 4: Krasch med flygplanstyp 4,
Frekvens: 0,00045 per år
• (Summan av frekvenserna är 0,001, dvs samma som vi hade
tidigare)
Trots att ”systemet” är detsamma finns inga riskscenarier i det oacceptabla området!
