| Metoda i źródło | Opis | Narzędzie wspierające | Zastosowanie | Zalety | Wady |
|---|---|---|---|---|---|
| LOPA (Layers of Protection Analysis) [1], [5] | Jest to częściowo ilościowa metoda określania poziomów ochrony i podejmowania decyzji, czy istniejące zabezpieczenia są odpowiednie. | THESIS BowTieXP, LOPAWorks® 3 | Wprowadzona w 1993 r. Metoda została opracowana początkowo dla przemysłu chemicznego, ale jest również stosowana w przemyśle naftowym i gazowym. | Pomaga w ukierunkowaniu wykorzystania zasobów, w celu ochrony najbardziej krytycznych zasobów i zidentyfikować te procesy, systemy, których zabezpieczenie jest niewystarczające. Wymaga mniej czasu i zasobów niż FTA czy oceny ilościowe, ale bardziej rygorystyczna niż zwykła subiektywna ocena jakościowa. | W przypadku prostych problemów, niskiego ryzyka, może być nadmiarowa. Z kolei w przypadku bardzo złożonych systemów może być zbyt uproszczona; przed rozpoczęciem, analiza wymaga ustalenia kryteriów tolerancji ryzyka; Ukierunkowana na ocenę pojedynczej pary przyczyna-skutek w trakcie pojedynczej analizy, przez co nie pokrywa zależności pomiędzy różnymi ryzykami i zabezpieczeniami. Nie sprawdza się w złożonych systemach, gdzie występują różne skutki dla różnych przedsiębiorstw, uczestników procesu. |
Layers of Protection Analysis (LOPA)
LOPA została pierwotnie opracowana dla przemysłu chemicznego, ale jest również wykorzystywana w przemyśle naftowym i gazowym. Metoda została wprowadzona przez amerykańskie Centrum Bezpieczeństwa Procesu Chemicznego (Centre for Chemical Process Safety – CCPS) w 1993 roku [5]. Jest to „półilościowa” („semi-quantitative”) metoda służąca określeniu zabezpieczeń – poziomów ochrony („protecion layers”) oraz służąca ocenie, czy istniejące zabezpieczenia są odpowiednie, lub czy wymagane są dodatkowe [2]. Metoda jest często wykorzystywana przy planowaniu działań redukcji ryzyka a jej złożoność, stopień skomplikowanie jest oceniany jako niski (załącznik C, tabela C.2 w [2]). LOPA może być stosowana tylko jako metoda jakościowa, w celu szybkiego przeglądu zabezpieczeń, jednak zwykle stosuje się podejście „półilościowe”, w celu bardziej rygorystycznego, dokładniejszego podejścia np. po przeprowadzeniu analiz HAZOP czy PHA [1]. Innym zastosowaniem tej metody jest przypisanie wymagań odnośnie poziomów integralności bezpieczeństwa (Safety Integrity Level – SIL) dla systemów zabezpieczeń (tzw. Safety Instrumented Systems) w procesach infrastruktur krytycznych (np. w branży petrochemicznej, chemicznej, nuklearnej), jak opisano w standardach serii IEC 61508 i IEC61511. W tym miejscu warto wspomnieć o koncepcji „niezależnej warstwy ochronnej” (Independent Protection Layer – IPL), która została wprowadzona w CCPS i zdefiniowana jako „urządzenie, system lub działanie, które jest w stanie zapobiec realizacji określonego scenariusza i wystąpienia niepożądanych skutków, niezależnie od przyczyny, czy też od innej warstwa ochronnej (innych z zabezpieczeń) związanej ze scenariuszem [1]. Warstwy IPL obejmują: właściwości konstrukcyjne, zabezpieczenia fizyczne, blokady i systemy wyłączające, alarmy i ręczną interwencję, fizyczną ochronę po zdarzeniu, systemy reagowania kryzysowego (procedury i działania kontrole nie stanowią IPL). Punktem wyjścia tej metody jest zestaw zdarzeń inicjujących (initiating events), które prowadzą do jednego lub więcej scenariuszy obejmujących określone konsekwencje. Następnie wdrażana jest jedna lub więcej warstw ochronnych (zabezpieczenia) w celu kontroli lub zmniejszania, łagodzenia skutków tych zdarzeń. Zabezpieczenia są często przedstawione na diagramie Bow-Tie, jak pokazano na rysunku poniżej.
Diagram Bow-Tie wykorzystany w metodzie LOPA (na podstawie [5]) Metoda LOPA obejmuje następujące działania [1]:
• Identyfikacja przyczyn inicjujących wystąpienie niepożądanych skutków, poszukiwanie danych na temat możliwego poziomu ich częstości i konsekwencji;
• Wybór pojedynczej pary przyczyna-skutek;
• Identyfikacja zabezpieczeń – warstw ochrony (protection layers), które po wystąpieniu przyczyny zapobiegają przejściu do niepożądanych skutków;
• Identyfikacja niezależnych warstw ochrony (IPL);
• Szacowanie prawdopodobieństwa niepowodzenia, niezadziałania każdej niezależnej warstwy ochrony (IPL);
• Powiązanie częstości wystąpienia przyczyny z prawdopodobieństwem niepowodzenia każdego IPL w celu oszacowania częstości wystąpienia niepożądanych konsekwencji;
• Porównanie obliczonego poziomu ryzyka z poziomami tolerancji ryzyka w celu ustalenia, czy wymagane są kolejne zabezpieczenia. Główne zalety LOPA [1], [5]:
• Pomaga skoncentrować wykorzystanie zasobów na najbardziej krytycznych warstwach ochrony;
• Wymaga mniej czasu i zasobów niż analiza drzewa błędów (FTA) lub w pełni ilościowa ocena ryzyka, ale jest bardziej rygorystyczna niż subiektywne, jakościowe oceny;
• Często ujawnia problemy bezpieczeństwa procesów, które nie zostały zidentyfikowane we wcześniejszych jakościowych analizach zagrożeń;
• Identyfikuje działania, systemy, procesy, których zabezpieczenia są niewystarczające;
• Skupia się na najpoważniejszych konsekwencjach;
• Pozostaje w zgodnie z IEC 61511. Główne braki metody [1], [5]:
• Skupia się na jednej parze przyczyna-skutek i jednym scenariuszu na raz; nie uwzględnia się złożonych interakcji między ryzykami lub zabezpieczeniami;
• Nie stosuje się jej do bardzo złożonych scenariuszy, w których występuje wiele par przyczyna-skutek, lub gdy istnieje wiele różnych skutków dotykających różnych interesariuszy;
• Ilościowo ocenione ryzyka mogą nie uwzględniać błędów, konsekwencji w wielu systemach jednocześnie w wyniku jednej przyczyny, występujących tylko pod pewnymi warunkami (tzw. common mode failures);
• Wymaga ustalenia kryteriów tolerancji ryzyka przed rozpoczęciem realizacji analizy LOPA.
