Forside | | Indhold | | Forrige | | Næste |

Industrielle fejlforbindelser til vandforsyningsnet

2 Risikoterminologi/metoder

2.1 Overordnede begreber i teknisk risikoterminologi
2.2 Begreber i risikoanalysen
      2.2.1 Opdeling af fejl
      2.2.2 Definition af begreber
2.3 Metoder
      2.3.1 Bayesian Belief Networks / Causal Probabilistic Networks
      2.3.2 FMEA – Fejlmåde og effektanalyse
      2.3.3 HAZOP - "Hazards and operability study"
      2.3.4 Fejltræsmetoden
2.4 Kemisk/teknisk risikoanalyse
      2.4.1 Grundlæggende risikobegreber – Almengyldige definitioner

I dette kapitel beskrives de grundlæggende begreber benyttet i teknisk risikoanalyse samt diverse metoder. Det skal bemærkes, at dette er afsnit der er kopieret fra rapporten ”Kvantificering af sandsynligheder for fejl i regnvandsanlæg og gråvandsanlæg”. Pointen med dette er, at det er meningen, at denne rapport skal kunne læses selvstændigt og derfor er det nødvendigt med en beskrivelse af terminologien og metoder. Desuden foretages en sammenligning af terminologien benyttet i henholdsvis teknisk og kemisk risikoanalyse.

2.1 Overordnede begreber i teknisk risikoterminologi

Fire hovedbegreber

Måden, hvorpå man kan analysere og derpå reducere eller måske helt fjerne risici primært i forbindelse med drift af et teknisk anlæg, er at foretage en detaljeret risikoanalyse af det tekniske anlæg.

Risikoanalysen er dog kun en del af hele risikoværktøjet. Generelt opdeles risikoterminologien i fire begreber:

  • Risikoanalyse
    Risikoanalyse er den objektive analyse af sammenhænge. Risikoanalysen lokaliserer evt. risici og strukturerer disse, således at det store overblik opnås.
  • Risikovurdering
    Risikovurderingen er den politiske holdning til risikoanalysen. Risikovurderingen afgør, hvilke risici det politiske system er villig til at acceptere.
  • Risikohåndtering
    Risikohåndtering er et led efter risikovurderingen og omhandler love, bekendtgørelser, forbud, påbud, straffe og økonomiske styremidler m.v.
  • Risikokommunikation
    Risikokommunikationen er et af de vigtigste led i risikoterminologien. Formålet er at skabe forståelse for risici i forbindelse med det tekniske anlæg, da det er vigtigt, at forståelsen findes på alle niveauer, således at evt. fejl kan håndteres og måske helt undgås.

Sammenhængen mellem begreberne er beskrevet i figur 2.1.

2.2 Begreber i risikoanalysen

I dette afsnit vil alle begreber, som benyttes i forbindelse med en teknisk risikoanalyse blive defineret og forklaret.

2.2.1 Opdeling af fejl

Opdeling af fejl
Fejlene kan opdeles i to grupper:

  1. Projekteringsfejl/udførelsesfejl
  2. Komponentfejl
    • Primær fejl (normalt belastet)
    • Sekundær fejl (overbelastet)
      • Nabokomponent
      • Omgivelser
      • Betjening

Hvis det aktuelle anlæg overholder de retningslinier, som anbefales ved design falder de mulige fejl ind under gruppen ”komponentfejl”. Hvis retningslinierne ikke er overholdt hører fejlene til gruppen ”projekteringsfejl/udførelsesfejl”.

Komponentfejl

Som det fremgår, kan komponentfejl opdeles i primær fejl og sekundær fejl, hvor primær fejl beskriver en fejl på en komponent i normalt belastet tilstand, mens en sekundær fejl beskriver en fejl på en komponent i overbelastet tilstand eller forårsaget af andre faktorer (eksterne).

Komponentfejl - primærfejl

En primær fejl kan forårsages af slid, tilstopning, korrosion eller komponenten kan blive defekt. Måden at forebygge/behandle en primær fejl på er ved præventiv vedligeholdelse eller ved reparation.

Komponentfejl - sekundærfejl

En sekundær fejl kan opstå ved, at en nabokomponent fejler eller ved at omgivelser påvirker komponenten f.eks. ved en elafbrydelse eller ved fejlbetjening af anlægget, eller at komponenten generelt er overbelastet set i forhold til komponentens design belastning.

Projekteringsfejl/
konstruktionsfejl

Selvom der udarbejdes et regelsæt for bygning af teknisk anlæg, er der ingen garantier for, at denne anvisning overholdes, og derfor er det nødvendigt at betragte projekteringsfejl og udførelsesfejl. Der vil altid være nogen, som mener, at de kan bygge anlægget bedre end retningslinierne og dermed se bort fra specifikke krav til anlægget.

2.2.2 Definition af begreber

Opdeling af risikoanalysen

Risikoanalyse er et begreb, som defineres på mange forskellige måder. Derfor er det vigtigt at præcisere, hvordan opbygningen af risikoanalysen i forbindelse med et teknisk anlæg fortolkes. Følgende begreber bliver benyttet til beskrivelsen af risikoanalysen:

  • Fejlkombination

Fejlkombination

Beskriver antallet af fejl samt rækkefølgen af fejl, der kan ske i et anlæg før en given uønsket konsekvens indtræffer.

  • Sandsynlighedsniveau

Sandsynlighedsniveau
Sandsynlighedsniveauet beskriver sandsynligheden for, at en fejl opstår. Sandsynlighedsniveauet kan angives på 2 former:

  • Hyppighed - angives som en fejlrate pr. år.
    For at angive denne sandsynlighed, er det nødvendigt, at der er adgang til historiske data omhandlende hyppigheden af svigt og længden af reparationstiden efter et svigt. Disse data kan skaffes på forskellig vis. I det tilfælde, hvor det er et allerede eksisterende anlæg, anvendes erfaringer fra anlægget om, hvor ofte en given komponent har været defekt eller af anden grund ikke har opfyldt sin funktion. For det tilfælde, at det er tale om et anlæg, der endnu ikke har været i drift, må der indsamles erfaringer fra andre tilsvarende anlæg eller fra generel viden om de enkelte komponenters effektivitet fra fagbøger m.v.. I sådanne tilfælde er det vigtigt at benytte data med et vist forbehold, da komponenten sandsynligvis ikke er benyttet i et anlæg af samme størrelse eller under samme forhold. Der vil altid knytte sig en stor usikkerhed til disse tal. Derfor er det klart at foretrække at benytte tal fra tidligere erfaringer fra samme type anlæg som det undersøgte.
  • Brøkdel - fejlen angives som en brøkdel dvs. antallet af fejl af en samlet mængde. F.eks. antallet af defekte pumper ud af en større mængde.
  • Sikkerhedsniveau

Sikkerhedsniveau

Sikkerhedsniveauet er en sandsynlighed, der beskriver produktet af sandsynlighederne for en fejlkombination. Afhængig af antallet af fejl i fejlkombinationen og sandsynlighedsniveauet fejlene har, opnås et sikkerhedsniveau, som altid angives pr. tidsenhed.

  • Konsekvens

Konsekvens

Konsekvensen af en uønsket hændelse kan opgøres forskelligt, f.eks. som udgiften i forbindelse med rensning af ledningsnettet efter forureningen eller antal personer eller husstande, der eksponeres af forureningen m.v.. Konsekvens kan ligesom sandsynlighedsniveauet enten angives kvalitativt eller kvantitativt.

Risiko

  • Risiko
    Definitionen på risiko er nok den vigtigste af alle:

Risiko udtrykker kombinationen af sandsynligheden for en hændelse og den uønskede konsekvens af hændelsen. Den uønskede konsekvens er en kombination af omfanget af eksponeringen i form af antal personer, der rammes samt alvoren af eksponeringen.

I regnvands- og gråvandsrapporterne blev konsekvensen kun udtrykt som antal personer, der eksponeres og ikke alvoren af denne eksponering. En uønsket konsekvens er i princippet udtryk for samfundets tab af værdier, som tab af menneskeliv, skader, omkostninger, ulemper, m.v.. Idealet i denne sammenhæng ville være at inddrage alvoren af de sygdomme, som eksponering kunne give anledning til; men der forelå ikke videngrundlag for at inddrage dette i de tidligere undersøgelser. I forbindelse med analyse på industrianlæg er det nødvendigt at inddrage konsekvensen alvorlighed, da denne kan variere meget afhængig af den specifikke situation, f.eks. varierende fra en ulempe i form af uacceptabel lugt og smag til regulær giftighed forbundet med en kemikalieforurening.

Figur 2.1: Overbliksbillede af de forskellige begreber, der benyttes i risikoterminologien og deres indbyrdes sammenhæng.

Figur 2.1:
Overbliksbillede af de forskellige begreber, der benyttes i risikoterminologien og deres indbyrdes sammenhæng.

På figur 2.1 ses et overblik over de enkelte begreber, der benyttes i forbindelse med risikoterminologien.

Beskrivelse af sammenhængen vist på figur 2.2

Som det fremgår af figuren er der ikke en fast rækkefølge i hvordan begreberne benyttes. Det er ikke så firkantet, at risikoanalysen er først, dernæst risikovurderingen, risikohåndteringen og til sidst risikokommunikationen. Der vil oftest være et overlap mellem disse fire begreber. Risikoanalysen kan fortolkes på forskellig vis afhængig af om, der vælges en kemisk indgangsvinkel eller en teknisk. Den benyttede fortolkning af risikoanalysen i denne rapport fremgår ligeledes af figuren. Øverst er problemanalysen placeret. Dernæst deler diagrammet sig i to strenge – identifikation af uønskede hændelser og identifikation af fejl, der fører til de uønskede hændelser. For hver af de identificerede uønskede hændelser bestemmes konsekvensen samtidig med, at sandsynligheden for hver enkelt fejl i fejlkombinationerne, der fører til de uønskede hændelser bestemmes. Dernæst udvælges en analysemetode; altså en præsentationsmetode, som fejlkombinationerne og dermed resultaterne kan struktureres på. Til sidst udregnes risikoen som produktet mellem de to grene – konsekvensen og sandsynligheden.

Risikovurderingen, risikohåndteringen samt risikokommunikationen inddrages undervejs i analysen, når det skønnes nødvendigt. I forbindelse med problem analyse inddrages specielt risikokommunikation, problemformulering, hvor folk, der arbejder med det tekniske anlæg inddrages i analysen. Det er vigtigt at have et så godt kendskab til det tekniske anlæg som muligt.

Sandsynligheden i teknisk risikoanalyse er at opfatte som et udtryk for, hvor hyppigt en fejl kan ske; f.eks. for et givent anlæg 10-3 pr. år = hvert tusinde år, eller blandt 1000 anlæg 1 gang pr. år. Risikoen udtrykkes da som antallet af mennesker, som udsættes for urent vand i deres vandhane samt alvoren ved denne eksponering, og hvor sjældent det vil ske.

2.3 Metoder

Forskellige analyse og resultatspræsenta-tionsmetoder

Før en uønsket hændelse kan kvantificeres, er det en forudsætning, at den er identificeret. Der findes flere mere eller mindre anerkendte analyse-/præsentationsmetoder, når der er tale om risikoanalyse/vurdering. Selve analysen ved alle metoder ligner hinanden, eller indeholder de samme elementer, men fremgangsmåden og resultatpræsentationen er meget forskellig. I dette underafsnit vil følgende udvalgte metoder kort blive beskrevet:

  • Bayesian Belief Networks / Causal Probabilistic Networks
  • FMEA
  • HAZOP
  • Fejltræsmetoden

Der vil primært blive fokuseret på fejltræsmetoden, da denne er valgt som den bedst egnede præsentationsmetode for den aktuelle problemstilling.

2.3.1 Bayesian Belief Networks / Causal Probabilistic Networks

Bayesian Belief Networks

Ved Bayesian Networks betragtes et teknisk anlæg som bestående af et antal komponenter, som kan befinde sig i givne tilstande. Tilstanden af en given komponent kan udtrykkes som sandsynligheder betinget af andre komponenters tilstand. På denne måde er det muligt at opbygge et netværk bestående af indbyrdes afhængige komponenter/hændelser, som kaldes et Bayesiansk eller Kausalt Netværk (“Bayesian Belief Networks” eller “Causal Probabilistic Networks”).

Følgende fordele kan nævnes ved Bayesianske Netværk:

  • Grafisk opstilling
  • Gode muligheder for at beskrive indbyrdes afhængigheder
  • Lagdelt kompleksitet (overblik kræver ikke detail kendskab og omvendt)
  • Et godt værktøj findes (også som programkomponenter til opbygning af specielle versioner)
  • Meget let at tilføje og fjerne komponenter
  • Meget let at omdefinere en komponents tilstand
  • Indbygget metodik til håndtering af usikre sandsynligheder (lille data grundlag)

Bayesian Belief Networks metoden er særlig velegnet til komplekse tekniske systemer med stor indbyrdes afhængighed mellem fejlene. Store netværk kan være vanskelige at håndtere. Ved mindre indbyrdes afhængighed opnås som regel et lettere tilgængeligt overblik ved fejltræsmetoden (beskrives nedenfor).

2.3.2 FMEA – Fejlmåde og effektanalyse

FMEA er en forkortelse af det engelske udtryk Failure Mode and Effect Analysis.

Definition af FMEA

FMEA er en metode, hvor enhver potentiel fejlmulighed analyseres for at bestemme dens effekt på systemet og for at klassificere fejlen efter, hvor alvorlig den er. Målet er at identificere de kritiske områder i systemet, hvor ændringer er nødvendige for at reducere sandsynligheden for fejl. Metoden gør brug af standardskemaer som hjælp til analysen og som dokumentation. Der gennemgås de fejlmåder, der findes for hver komponent.

For hver fejlmåde beskrives, hvilken effekt denne har for den betragtede anlægsdel, samt hvilke årsager, der findes for denne fejlmåde. Desuden noteres, hvordan fejlmåden opdages, og om der er mulighed for at gribe ind og rette fejlen. Til sidst noteres om fejlmåden er af så alvorlig karakter, at den skal indgå i den videre analyse, eller om den skal udelades. Herved dannes en systematisk dokumentation, hvor de væsentlige fejlmåder for komponenterne er beskrevet. Ligeledes er det muligt på et senere tidspunkt at redegøre for, hvorfor en given fejlmåde ikke er medtaget i analysen.

2.3.3 HAZOP - "Hazards and operability study"

Definition af HAZOP

HAZOP er forkortelse af det engelske udtryk HAZards and Operability study.

Formål med HAZOP

HAZOP-metoden er en kvalitativ risikoanalysemetode, hvilket vil sige, at man søger at kortlægge hvilke typer af fejl, der kan opstå i forbindelse med en eksisterende proces og ved ændringen af en eksisterende proces. Analysen tager højde for sikkerhedsspørgsmål i forbindelse med processen og dennes funktionalitet. HAZOP-metoden er baseret på brainstorming i mødeform, og har i mange år været anvendt til at bestemme risici i forbindelse med nuklear og kemiske anlæg, og har vist sig at være et stærkt og struktureret værktøj til også at identificere og bedømme risici i forbindelse med andre typer af projekter.

Fremgangsmåden i HAZOP

Følgende faser er indeholdt i en HAZOP-analyse:

  • Først fastsættes et sæt af ledeord, som under analysen kobles med parametre i processen.
  • Efter opstilling af ledeord koblet med en parameter gennemgås alle afvigelser for det givne system. Det vigtigste i dette trin er at have en god forståelse for processen, for derved at kunne identificere de væsentlige afgivelser.
  • Når man for hver type ledeord og for en given parameter har identificeret de mulige afgivelser skal årsagerne til afvigelserne bestemmes. Disse er typisk årsager, der kan relateres til nogle mekaniske komponenter i processen, funktionsmåder af processen, eller eksterne påvirkninger.
  • Når årsagerne er bestemt listes herefter konsekvensen af afvigelsen. Afhængigt af, om konsekvensen for en afvigelse er betydelig eller ej går man videre til den næste fase i HAZOP-analysen.
  • Den afsluttende fase i analysen er at foreslå nogle modforanstaltninger for at undgå de uønskede konsekvenser.

Alle faserne i HAZOP-analysen kan indtastes i et såkaldt HAZOP-skema.

2.3.4 Fejltræsmetoden

Definition på fejltræsmetoden

En fejltræsanalyse er en metode, som baserer sig på analyse af en type uheld (en uønsket konsekvens) ad gangen. Der kan således for et teknisk anlæg være adskillige fejltræer, som alle fører til hver sin uønskede konsekvens/uheld. Resultatet af en fejltræsanalyse er, at der for hvert fejltræ er angivet alle kombinationer af individuelle fejl, som kan føre til den uønskede konsekvens i fejltræets logiske struktur. Fejltræsmetoden er velegnet som analysemetode ved kvantificering af uønskede hændelser for et givent teknisk anlæg.

To forskellige fremgangsmåder

Der kan benyttes to forskellige fremgangsmåder ved opbygning af et fejltræ /4/ og /5/:

  1. Den konvergerende (induktiv) fremgangsmåde
  2. Den divergerende (deduktiv) fremgangsmåde

Den konvergerede fremgangsmåde

Den konvergerende fremgangsmåde/analyse starter forneden af træet med et sæt af komponentfejl og fortsætter op gennem træet ved at identificere mulige konsekvenser. Metoden kan kaldes ”hvad sker, hvis…-metoden”.

Den divergerede fremgangsmåde

Den divergerende fremgangsmåde/analyse kan kaldes ”hvad kan forårsage dette…-metoden”. Fejltræet startes i toppen med en uønsket konsekvens og forgrener sig nedad visende årsagerne til denne konsekvens. På denne måde bliver begivenheder på et niveau i fejltræet hele tiden uddybet i underbegivenheder, der befinder sig et eller flere niveauer lavere.

Der er her valgt at benytte den divergerende fremgangsmåde til beskrivelse af fejltræer opbygget udfra en principskitse af det anbefalede regnvandsanlæg.

Fejltræets byggeelementer

For at bygge et fejltræ benyttes nogle standardiserede byggeelementer. Der er to slags:

  • Forbindelsesled (”gates”)
  • Begivenheder (”events”)

Forbindelsesled gør det muligt at starte i bunden af fejltræet og følge fejllogikken op gennem fejltræet og vise sammenhængen mellem de enkelte begivenheder, som benyttes til at beskrive den uønskede konsekvens.

Begivenhedselementerne er opdelt efter følgende princip:

  • Primære fejl
  • Sekundære fejl
    • Nabokomponent
    • Omgivelser
    • Betjening

    Foruden disse er der indført to elementer, som beskriver en konsekvens og en tilstand.

    Primær fejl

    Primære fejl er symboliseret som vist på Figur 2.2.

    Figur 2.2: Primær fejl symboliseret ved en cirkel. Beskrivelsen af fejlen står i cirklen, mens det lille nummer nederst i cirklen henviser til et nummer, hvor fejlen er yderligere uddybet.

    Figur 2.2:
    Primær fejl symboliseret ved en cirkel. Beskrivelsen af fejlen står i cirklen, mens det lille nummer nederst i cirklen henviser til et nummer, hvor fejlen er yderligere uddybet.

    Som det fremgår er en primær fejl symboliseret ved en cirkel, hvor fejlen er angivet inde i cirklen (”defekt magnetventil”). Nummeret, som står skrevet i cirklen, henviser til, at det er en primær fejl (”P” for primær), og at det er fejl nummer 1 indenfor kategorien primære fejl. Nummeret skal benyttes som henvisning til en mere detaljeret beskrivelse af fejlen.

    Sekundær fejl

    Sekundære fejl er underopdelt i tre grupper – nabokomponenter, omgivelser og betjening. På henholdsvis Figur 2.3, 2.4 og 2.5 ses det element, der symboliserer nabokomponent, omgivelser og betjening.

     Figur 2.3: Sekundær fejl af typen nabokomponent. Beskrivelsen af fejlen står i elementet, mens det lille nummer nederst i cirklen henviser til et nummer, hvor fejlen er yderligere uddybet.
    Figur 2.3:
    Sekundær fejl af typen nabokomponent. Beskrivelsen af fejlen står i elementet, mens det lille nummer nederst i cirklen henviser til et nummer, hvor fejlen er yderligere uddybet.

    Figur 2.4: Sekundær fejl af typen omgivelser. Beskrivelsen af fejlen står i elementet, mens det lille nummer nederst i cirklen henviser til et nummer, hvor fejlen er yderligere uddybet.  
    Figur 2.4 :
    Sekundær fejl af typen omgivelser. Beskrivelsen af fejlen står i elementet, mens det lille nummer nederst i cirklen henviser til et nummer, hvor fejlen er yderligere uddybet.

    Figur 2.5: Sekundær fejl af typen betjening. Beskrivelsen af fejlen står i elementet, mens det lille nummer nederst i cirklen henviser til et nummer, hvor fejlen er yderligere uddybet.
    Figur 2.5:
    Sekundær fejl af typen betjening. Beskrivelsen af fejlen står i elementet, mens det lille nummer nederst i cirklen henviser til et nummer, hvor fejlen er yderligere uddybet.

    I de enkelte elementer er der angivet den specifikke fejl. Det røde nummer er opbygget således, at ”S” står for sekundær, mens a, b og c står for henholdsvis nabokomponent, omgivelser og betjening. Det sidste nummer er nødvendigt, da der forefindes flere fejl end en enkelt i de forskellige undergrupper.

    Konsekvens-elementet

    Den næstsidste elementtype, som skal beskrives, er konsekvenselementet. Alle de før omtalte fejl fører til en eller anden konsekvens. Derfor er det nødvendigt at indføre et konsekvenselement. Dette er angivet i Figur 2.6.

    Figur 2.6: Konsekvenselement. Konsekvensen står beskrevet i elementet, mens den røde skrift henviser til et nummer, hvor konsekvensen er yderligere uddybet.
    Figur 2.6:
    Konsekvenselement. Konsekvensen står beskrevet i elementet, mens den røde skrift henviser til et nummer, hvor konsekvensen er yderligere uddybet.

    Som det fremgår er konsekvenselementet symboliseret ved et rektangel, hvor konsekvensen (”spildevand i kælder”) er angivet inde i elementet. Nummeret, som står skrevet inde i elementet, henviser til, at det er en konsekvens (”K” for konsekvens), og at det er konsekvens nummer 4.

    Den sidste elementtype, som benyttes til opbygning af fejltræer, er tilstandselementet. Dette element beskriver en tilstand i anlægget som f.eks. at der er regnvand i regnvandstanken. Det er jo ikke overraskende, at denne situation opstår, men for at bevare logikken i fejltræerne, er det vigtigt, at denne er angivet. Et tilstandselement er angivet på Figur 2.7.

    Figur 2.7: Tilstandselement. Tilstanden står skrevet i elementet, mens den røde skrift henviser til et nummer, hvor tilstanden er yderligere uddybet.
    Figur 2.7:
    Tilstandselement. Tilstanden står skrevet i elementet, mens den røde skrift henviser til et nummer, hvor tilstanden er yderligere uddybet.

    Forbindelses-elementet I denne beskrivelse af fejltræer benyttes kun forbindelseselementet, der er vist på Figur 2.8.  

    Figur 2.8
    Figur 2.8:
    Forbindelseselement ”eller”.

    Og-/eller-elementet

    Forbindelseselementet benyttes i de tilfælde, hvor fejltræet deler sig i to eller flere grene. Der kan både benyttes et ”eller”-element, som er vist på Figur 2.9 eller et ”og”-element. I beskrivelsen af fejltræ til det anbefalede regnvandsanlæg benyttes kun ”eller”-elementet. Der er ikke benyttet elementet ”og”, fordi dette er formuleret som en sekvens af begivenheder. Dette kunne også være fremstillet med et ”og”, fordi ”sekvens” ikke skal opfattes som sekvens i tid, men som en vægtning af et sæt af hændelser. F.eks. kan de to fremstillinger angivet på Figur 2.9 opfattes som udtryk for det samme:

    Figur 2.9: To fremstillinger, der symboliserer det samme. Forskellen er, at der i den ene fremstilling er benyttet elementet ”og”, mens dette ikke er benyttet i den anden fremstilling.
    Figur 2.9:
    To fremstillinger, der symboliserer det samme. Forskellen er, at der i den ene fremstilling er benyttet elementet ”og”, mens dette ikke er benyttet i den anden fremstilling.

    Betragtes figur 2.9 er pointen, at begge begivenheder skal ske samtidig, for at en given konsekvens optræder. Hvis der opstår en defekt ved sikringen ved hovedkloakken og der ikke samtidig sker opstuvning i hovedkloakken, betyder det intet, at sikringen ikke virker. At begge begivenheder skal indtræffe samtidig, kan beskrives på begge de i Figur 2.9 viste måder.

    Dette er grundelementerne til opbygning af et fejltræ. Vendes kort tilbage til begreberne, der benyttes til at beskrive risikoanalysen, mere specifikt sikkerhedsniveauet, som tidligere blev defineret som produktet af sandsynlighederne for en fejlkombination, hvilket er korrekt, når der kun betragtes en fejlkombination. Når der er tale om hele fejltræet og sandsynligheden for, at hovedkonsekvensen indtræffer, må man tage højde for alle de fejlkombinationer, som fører til hovedkonsekvensen. Derfor er man nødt til i beregningerne at tage hensyn til de to forbindelsesled, der benyttes i konstruktionen af et fejltræ. Efter en gennemgang af byggeelementerne benyttet til opbygning af et fejltræ, fremgår det, at der er to forskellige forbindelsesled. Disse to led skal behandles forskelligt, når sandsynligheden for hovedkonsekvensen skal bestemmes.

    Fremgangsmåde ved ELLER-forbindelsesled

    Ved et ELLER-forbindelsesled skal sandsynlighederne for de indgående komponenter adderes.

    Fremgangsmåde ved OG-forbindelseled

    Ved et OG-forbindelsesled multipliceres sandsynlighederne.

    Uafhængighed fejlene indbyrdes

    Dette er under forudsætning af, at de indtrufne fejl og hændelser er uafhængige. I virkeligheden vil det ikke altid være sådan, da fejlene kan påvirke hinanden og dermed forøge sandsynligheden for, at fejl nummer 2 i fejlsekvensen sker oftere.

    Følgende kan opsummeres vedr. fejltræsmetoden:

    Fordele ved fejltræer

    Fordele ved fejltræer:

    • Brugbar for komplekse systemer
    • Inkluderer kun komponentfejl, som fører til den uønskede konsekvens
    • Giver en god forståelse for, hvordan systemet kan fejle
    • Overskuelig til brug ved præsentation af systemets fejlmuligheder
    • Menneskelige fejl kan let inddrages
    • Risikoen for den uønskede konsekvens kan let udregnes
    • Følsomhedsanalyser kan udføres

    Ulemper ved fejltræer

    Ulemper ved fejltræer:

    • Tidsperspektivet er ikke medtaget – alle fejl skal ske samtidigt
    • Der er ikke mulighed for at gå tilbage i fejltræet

    2.4 Kemisk/teknisk risikoanalyse

    I de tidligere afsnit i denne rapport samt i rapporterne ”Vurdering af hygiejniske risici ved håndtering af urent vand i huse”, PH-Consult for Miljøstyrelsen, 1999 og ”Kvantificering af sandsynligheder for fejl i regnvandsanlæg og gråvandsanlæg”, PH-Consult for Miljøstyrelsen, 2002 er den tekniske indgangsvinkel til risikoanalysen benyttet. I denne rapport, hvor der arbejdes med industrianlæg, er det naturligt at fokusere en del mere på konsekvensen udtrykt i alvoren ved en eksponering. Dette bevirker ligeledes, at det bliver aktuelt at betragte risikoanalyse fra en mere kemisk (toksikologisk) indgangsvinkel.

    Der har sideløbende med udarbejdelse af denne rapport foregået et arbejde i Miljørisikorådet under ATV (Akademiet for de Tekniske videnskaber) med det formål at udarbejde en terminologi indenfor risiko. I dette arbejde, hvor PH-Consult ved Professor Poul Harremoës har deltaget, er der foretaget en sammenligning af de benyttede begreberne indenfor både kemisk og teknisk risikoterminologi. Nogle af de generelle nøglebegreber, som er gældende indenfor både teknisk og kemisk risikoanalyse, vil blive gengivet i de følgende underafsnit. For yderligere detaljer henvises til rapporten ”Risikoterminologi – Oplæg til fælles forståelse og bedre dialog”, Miljørisikorådet.

    2.4.1 Grundlæggende risikobegreber – Almengyldige definitioner

    Aktiviteter, begivenheder og tilstande, samt kemiske og biologiske substanser (risikokilder) kan udgøre en trussel mod mennesker, miljø og genstande (samlet betegnet objekter). Risikokilder kan være samfundsskabte såvel som naturlige.

    Uheld/ulykker hvor der frigives energi og/eller substanser, samt emissioner/udledninger af substanser kan føre til eksponering af objekter og derved med en vis sandsynlighed føre til uønskede konsekvenser/effekter, så som ulempe, gene, sygdom, ødelæggelse, lemlæstelse og død.

    Objekt (object)

    Objekt

    Objekter er de eksponerede mennesker, miljøer og/eller genstande.

    Risikokilde (risk source)

    Risikokilde

    En risikokilde er en aktivitet, begivenhed, tilstand eller substans, som potentielt kan medføre uønskede konsekvenser/effekter.

    Det er vigtigt at skelne mellem forskellige niveauer af risikokilder.

    Den grundlæggende risikokilde (niveau 1) er den substans eller den kraft/energi, hvis iboende egenskaber potentielt kan medføre konsekvenser/effekter.

    Det andet niveau er den naturlige eller samfundsskabte proces, hvori substansen eller energien indgår eller dannes og hvorfra den enten via en hændelse (se definition af hændelse i efterfølgende afsnit) eller via en emission, udledning eller frigivelse kan medføre, at objekterne bliver eksponeret for substansen/energien.

    Det tredje niveau (relevant for miljø og sundhedsvurderinger) er det konkrete emissions-, udlednings- eller frigivelsessted af substansen, f.eks. fra en fabriksskorsten. Niveauet kan i nogen udstrækning sidestilles med den nedenfor definerede hændelse (anvendt ved analyse af teknisk risiko). En meget væsentlig forskel mellem hændelse og frigivelse/emission/udledning er, at sidstnævnte typisk er (semi)-kontinuert, dvs. længerevarende.

    Man kan sammenligne de tre niveauer med debatten om forureningsbekæmpelse vha. rensning kontra renere teknologi. Ved rensning prøver man at fjerne problemet ved udledningen; f.eks. med et filter på skorstenen. Det er et eksempel på forureningsbekæmpelse på tredje niveau. Ved renere teknologi forsøger man derimod at løse problemet tættere på den grundlæggende risikokilde. Det kan f.eks. gøres ved helt at fjerne det kemiske stof ved substitution (niveau 1) eller ved recirkulering/indkapsling af processen (på niveau to), således at stoffet ikke undslipper til miljø og arbejdsmiljø.

    Hændelse (event)
    Hændelse

    En (uønsket) hændelse er den enkeltstående begivenhed eller den række af sammenfaldende omstændigheder, der medfører et uheld eller en ulykke med efterfølgende frigivelse af substanser og/eller energi.

    Uheld/ulykker er typiske for tekniske risikoanalyser/-vurderinger. En hændelse er sædvanligvis akut/kortvarig, mens konsekvenserne/effekterne heraf kan være af længerevarende karakter. Som det fremgår af definitionen er der ofte en række af årsager/omstændigheder, der forårsager en ulykke eller et uheld. En grafisk afbildning, som viser et forløb af enkelthændelser/årsager kan kaldes et hændelsestræ.

    Fare (hazard)

    Fare

    Muligheden for at en risikokilde kan medføre en (uønsket) konsekvens/effekt.

    Eksponering (exposure)

    Eksponering

    Eksponering er udtryk for det omfang, i hvilket objektet (eller objekterne) udsættes for en substans eller en energi.

    Man kan også sige det omfang i hvilket objektet/objekterne udsættes for en grundlæggende risikokilde (niveau 1).

    Konsekvens (consequence)/effekt (effect)
    Konsekvensen/effekten er det resultat, der kan blive følgen af en eksponering derved at faren bringes til udfoldelse.

    Konsekvens og effekt anses for synonymer og kan således benyttes i flæng. Der er dog tendens til at konsekvens benyttes i forbindelse med teknisk risiko, mens effekt benyttes i forbindelse med miljø- og sundhedsmæssig risiko. Indenfor den tekniske risiko skelner man af og til mellem de to begreber, f.eks.: konsekvensen er størrelsen af den radioaktive sky, mens effekten er ’konsekvensen’ heraf på f.eks. mennesker.

    Årsagssammenhæng (cause-effect relationship)
    Dette er udtryk for en konstateret sammenhæng mellem årsag og den gennem sammenhængen forbundne konsekvens/effekt

    Årsagssammenhængen er broen mellem på den ene side, årsagskomplekset og på den anden side konsekvens/effekt komplekset. Årsagssammenhængen er bindeleddet mellem årsag og konsekvens/effekt og dermed den motiverende faktor for hele problemstillingen. Uden en konstateret årsagssammenhæng er problemstillingen ren spekulation. Årsagssammenhængen kan være dokumenteret på meget forskelligt niveau, fra veldokumenteret til hypotetisk. Årsagssammenhængen kan opfattes som en beskrivelse af en naturlov (en kausalitet) som den ene yderlighed, eller som en rent empirisk sammenhæng (en association) som den anden yderlighed - i praksis ofte en blanding.

    Alvor (severity)
    Alvoren er udtryk for den vægt, som konsekvensen/effekten tillægges på grundlag af grad og type

    Omfang (extent) af konsekvens/effekt
    Omfanget af en konsekvens/effekt er et mål for udbredelsen af konsekvensen/effekten

    Omfang kan dække over flere forhold:

    - Det kan være antallet af objekter, der bliver ramt af en konsekvens/effekt
    - Udbredelsen af effekttypen på det enkelte objektet

    Hyppighed/frekvens (frequency)
    Hyppighed/frekvens er udtryk for antal udfald per tidsenhed.

    F.eks. antal uheld pr. år eller antal eksponeringer per dag.

    Sandsynlighed
    Der er to mulige definitioner af sandsynlighed:

    1. Sandsynlighed (probability)
    Sandsynligheden er lig med en forventet frekvens (se definition af frekvens ovenfor)

    2. Sandsynlighed (probability)
    Sandsynligheden er den forventede brøkdel af et givet udfald i en population

    Bemærk, at en sandsynlighed er udtryk for et forventet udfald af en fremtidig observation. Vi prøver at forudsige noget om et fænomen.

    Risiko (risk)
    Der er to principielt forskellige opfattelser af begrebet risiko:

    1. Risiko (risk)
    Udtrykker en kombination af:
    - sandsynligheden for konsekvenser/effekter på de betragtede objekter (evt. objekt)
    - alvoren og
    - omfanget af konsekvenserne/effekterne under givne omstændigheder.

    2. Risiko (risk) Udtrykker:
    - sandsynligheden for en given konsekvens/effekt af en given alvor i et givent omfang under givne omstændigheder.

    Som det vil fremgå nedenfor er ’under givne omstændigheder’ meget centralt. Man er nødt til meget nøje at beskrive, hvilket system (herunder bl.a. rum og tid) man kigger på, når man udtaler sig om risiko. Når man har gjort det ligger f.eks. opgørelse af intensitet, varighed og frekvens af eksponeringen for toksiske stoffer implicit i ’under givne omstændigheder’.

    Den anden risikodefinition kan kaldes en "specificeret sandsynlighed", fordi der specifikt kigges på én effekt i et givet omgang. I denne betydning er risiko altså lig med en sandsynlighed. I daglig tale og imellem fagfolk indenfor miljø- og sundhedsmæssig risikoanalyse/-vurdering er det ofte underforstået, at risiko anvendes synonymt med sandsynlighed.

    Ovenstående er et udsnit af de generelle termer, som er defineret i rapporten ”Risikoterminologi –Oplæg til fælles forståelse og bedre dialog, Miljørisikorådet”.


    Forside | | Indhold | | Forrige | | Næste | | Top |