Jak zvládnout rizika technických děl

technickaz

Doc. RNDr. Dana Procházková, DrSc.
ČVUT v Praze

Předložený článek shrnuje základní poznatky o práci s riziky z pohledu požadavků na technologická zařízení, kterými se zajišťuje pro lidi bezpečný svět s potenciálem rozvoje [1]. Velká technologická / technická díla jsou víc než jen množina technických částí zařízení a součástek; jde o soubor vzájemně propojených otevřených systémů (tzv. systém systémů – SoS), který se nachází v dynamicky proměnném světě. Jejich požadované charakteristické rysy jsou: velký rozměr; velký výkon; použití více technologií; složení se z několika autonomních částí, které mohou pracovat samostatně a být vyvíjeny nezávisle; vysoká bezpečnost, tj. funkčnost a spolehlivost i nízké ohrožení chráněných aktiv vlastních i veřejných, a to za podmínek normálních, abnormálních i kritických [2]. V dané souvislosti rozlišujeme zabezpečený systém (systém ochráněný před všemi riziky) a bezpečný systém (systém, který je zabezpečený a při svých kritických podmínkách neohrožuje sebe, ani své okolí) [2].

Rizika a jejich zdroje

Technologická zařízení mohou poškodit vnitřní i vnější škodlivé jevy (pohromy), a to včetně chování lidí, kteří je vytváří a provozují [1-3]. Časté příčiny škod na technologickém zařízení a jeho okolí způsobují tzv. organizační havárie, které spočívají v tom, že se buď se nezváží všechny pohromy, anebo se podcení jejich velikost [2,4].

Protože složitá technologická zařízení jsou obvykle vybavena drahou technologií, dochází při odezvě na nouzové situace často ke konfliktu mezi provozními inženýry a bezpečnostními složkami zacílenými na ochranu lidí [2,4,5], protože inženýři jsou vzdělávání i cvičení ke zvládání normálních, abnormálních i kritických podmínek a k respektování ochrany technologií, protože provoz technologií jim poskytuje práci, tj. i obživu. Na základě pro-aktivního přístupu, který je vlastní projektovému a procesnímu řízení, se řešení konfliktů předem připravuje, a to: sestavením plánu pro řízení rizik, který je odsouhlasen předpokládanými zúčastněnými stranami.

V inženýrské praxi v rámci strategického řízení je riziko R chápáno jako pravděpodobná velikost ztrát, škod a újmy na chráněných aktivech, které jsou spojené s jistou pohromou o velikosti ohrožení Hv konkrétním objektu, a rozpočtené na jednotku plochy a času. Proto je riziko závislé na velikosti ohrožení (které představuje konkrétní pohroma v daném místě) a místní zranitelnosti.

Problematika určení správné velikosti ohrožení je zásadní, a její podcenění vede k vysokým ztrátám a škodám (příklad ze dne 11. 3. 2011: jaderná elektrárna Fukushima byla poničena tsunami, protože při stanovení ohrožení se vzala jen data od r. 1890; 30 km vzdálená jaderná elektrárna Onagawa odstavila bez ztrát, protože při stanovení ohrožení byla vzata v úvahu data od r. 896) [2,4].

Riziko je dáno vztahem:

ve kterém H  je ohrožení od sledované pohromy v místě / objektu;  A  jsou hodnoty sledovaných aktiv, i = 1,2,…,n;  Z– zranitelnosti aktiv, i = 1,2,…,n;  F je  ztrátová funkce, která závisí též na Pi  jsou pravděpodobnosti výskytu poškození aktiv (podmíněné pravděpodobnosti), O je zranitelnost ochranných opatření, S je sledované území / objekt, t je čas měřený od vzniku škodlivého jevu, T je čas, po který vznikají ztráty, t je perioda opakování pohromy o velikosti H.

Na základě současných znalostí přímé škody, ztráty a újmy na aktivech umíme určit, když vybereme určitý scénář pohromy [3]; neumíme správně určovat škody, ztráty a újmy spojené s vazbami a toky v systémech systémů, kterými jsou složitá technologická zařízení [2,4].

Pro práci s riziky se používá procesní model na obrázku 1. V případě, že monitoring technologického zařízení ukáže významné odchylky od požadavků na bezpečnost, tak se provádí korekce vyznačené na obrázku 1 zpětnými vazbami 1,2,3,4; přičemž postup dle 1 je nejlevnější; když nestačí, je třeba použít další možnosti.

Obr. 1 – Procesní model pro práci s riziky.

Při práci s riziky si je třeba uvědomit, že úkolem řízení rizika je najít optimální způsob, jak vyhodnocená rizika snížit na požadovanou společensky přijatelnou úroveň, případně je na této úrovni udržet [3]. Základní principy při práci s riziky jsou: být proaktivní; domýšlet možné důsledky; správně určovat priority veřejného zájmu; myslet na zvládnutí problémů; zvažovat synergie; a být ostražitý. V  případě, že sledované riziko není přijatelné, tak je třeba zvážit situaci a vybrat některou z dále uvedených činností: vyhnutí se riziku (tj. nezahájit nebo nepokračovat v činnostech, které jsou zdrojem rizika, když to jde – u přírodních pohrom to nejde); odstranění zdrojů rizik (tj. zabránění vzniku pohrom, když to jde – u přírodních pohrom to nejde); snížení pravděpodobnosti výskytu rizika, tj. výskytu větších pohrom (např. snížením množství nebezpečných chemických látek v podnicích, když to jde – u přírodních pohrom to nejde); snížení závažnosti dopadů rizika (tj. příprava zmírňujících opatření jako jsou varovací systémy, systémy odezvy a obnovy); sdílení rizika (tj. rozdělení rizika mezi zúčastněné a pojišťovny); či retence rizika.

Podle Mezinárodní organizace pro standardizaci kvalifikované řízení rizik [2,4] musí respektovat:

  1. Řízení rizik musí být nedílnou součástí systému řízení sledované entity.
  2. Řízení rizik musí být obsaženo v každém procesu rozhodování sledované entity.
  3. Řízení rizik se musí explicitně zabývat nejistou a neurčitostí v procesech a podmínkách sledované entity a jejího okolí.
  4. Řízení rizik musí být systematické a strukturované.
  5. Řízení rizik musí vycházet z nejlepších dostupných informací.
  6. Řízení rizik musí být dynamické a vhodně reagovat na různé změny.
  7. Řízení rizik musí být uzpůsobeno každé instituci.
  8. Řízení rizik musí mít na zřeteli vliv člověka (lidský faktor).
  9. Řízení rizik musí mít schopnost neustálého zlepšování.

Inženýrské přístupy spojené s vypořádáním rizik technických děl

V důsledku tradičního oddělování zdrojů rizik na rizika spojená s člověkem a rizika jiná se vyvinuly dvě oddělené disciplíny, a to: řízení a inženýrství zacílené buď na realizaci zabezpečených technických děl, anebo na bezpečnost technických děl [2,4]. Oba typy pracují s riziky a spoléhají na princip ochrana do hloubky (Defence-In-Depth), požadují řízení pomocí systému řízení bezpečnosti technického zařízení jako celku (SMS). Když se aplikují odděleně, vznikají zmatky ve stanovení priorit, což vede k existenci konfliktů a je nutno provádět optimalizaci opatření. Nesprávné priority přináší škody, např. v důkladně zabezpečeném objektu uhořeli lidé, protože při požáru nemohli objekt opustit; pilot Andreas z Germanwings mohl navést letadlo do horského masívu Alp, protože pancéřové dveře nešly zvenku otevřít aj.). Východiskem je použití konceptu integrální bezpečnosti, který vychází ze zvažování všech jevů, které mohou území i technologické zařízení poškodit (tzv. přístup  All-Hazard-Approach), který oba nástroje inherentně propojuje [2,4].

Na základě výše uvedených faktů jsou technická díla složité systémy, což znamená, že chování celku nelze odvodit z chování jednotlivých částí a za jistých podmínek dochází k výskytu neočekávaných jevů, které vedou ke zničení nebo selhání funkčnosti daného zařízení [2,4]. Proto se v praxi sledují specifické vlastnosti, jako:

  • interoperabilita (tj. schopnost technického zařízení jako celku plnit kvalitně dané úkoly za normálních, abnormálních i kritických podmínek),
  • integrita bezpečnosti (SIL), která se většinou sleduje ve spojení s lidskými chybami (při specifikaci, návrhu, instalaci, údržbě, modifikaci apod.),
  • kritičnost (tj. míra s jakou může dojít k úrazu osob, zničení materiálu, škodě či jiným ztrátám na aktivech – jde o prahovou hodnotu, pod níž je stav sledovaného zařízení žádoucí a opačně),
  • provozní spolehlivost, která zajišťuje, že systém plní stanovené požadavky a jeho provoz vyhovuje stanoveným podmínkám (rozkládá se na dvě základní vlastnosti, kterými jsou zranitelnost a odolnost).

Bezpečnost složitých technických děl

Problémy složitých technických děl, které způsobují neplánovaná a nežádoucí propojení [2,4,5], jsou důsledkem:

  • náhle vynořeného rysu chování, který nelze odvodit ze znalostí o chování komponent (jde o tzv. emergenci),
  • hierarchičnosti,
  • samo organizovanosti,
  • rozmanitých řídících struktur, což vše dohromady připomíná chaos.

Proto při zajištění bezpečnosti složitých technických děl je nutný mnoho oborový a mezioborový přístup [2,4,5], kterým se musí zařídit jejich:

  • existenci (schopnost zajistit rovnováhu),
  • efektivnost (schopnost vyrovnat se s nedostatkem zdrojů),
  • volnost (schopnost dobře zvládat výzvy z okolí),
  • bezpečí (schopnost ochránit se před jevy uvnitř i vně),
  • adaptaci (schopnost přizpůsobit se vnějším změnám),
  • a koexistenci (schopnost měnit své chování tak, aby chování reagovalo na chování a orientaci dalších systémů a aby je daný systém neohrožoval a ony neohrožovaly jeho).

Z hlediska současného poznání [2,4,5] před námi dnes stojí minimálně dva úkoly:

  • řešit problém funkčnosti souboru vzájemně propojených (tj. závislých) objektů a infrastruktur za normálních, abnormálních a kritických podmínek,
  • vyhledat kritické stavy složitého zařízení, které jsou nepředvídatelné, anebo jsou důsledkem závažné chyby obsluhy, a za jistých podmínek mohou přejít do vysoce nežádoucích, tj. vysoce nepřijatelných stavů, tj. do stavů, ve kterých je ohrožena samotná existence zařízení, anebo dokonce lidí, a které obvykle označujeme jako krizové.

Systém řízení bezpečnosti

Cílem práce s riziky je zajistit, aby technické dílo bylo bezpečným nebo alespoň zabezpečeným objektem [2,4]. Systém řízení bezpečnosti (SMS) technického díla má cíl zvyšovat bezpečnost a provádí to na základě snižování rizik na úroveň přijatelného rizika. Má široko akceptované priority [2,4], jak zvládnout nebezpečí, kterými jsou:

  • eliminovat zdroje nebezpečí,
  • redukovat (omezit) možné dopady, tj. možná nebezpečí pro chráněná aktiva,
  • zvládnout rizika,
  • lokalizovat a zmírňovat škody.

Základní hlediska pro řízení rizik technologických zařízení (TZ) [2,4] jsou:

  1. Jde o složitý socio-technologický systém typu SoS, který musí být bezpečný po celou dobu životnosti, a proto řízení rizik musí být zacíleno na integrální bezpečnost a být ve všech aspektech ucelené, systémové a proaktivní.
  2. Jde o složitý socio-technologický systém, který po celou dobu životnosti musí plnit kvalitně úkoly a ani při svých kritických podmínkách neohrozit sebe ani své okolí (tj. aplikuje All-Hazard-Approach, Defence-In-Depth, má program na neustálé zvyšování bezpečnosti a kultury bezpečnosti).
  3. Složitá technologická zařízení (jaderné elektrárny, dálnice, přehrady, velká letiště, velké výrobní celky apod.) jsou důležitá pro zajištění základních funkcí státu, a mnohá i celé EU, a proto se povinnosti při vypořádání rizik se rozdělují mezi všechny zúčastněné.

Zásady řízení rizik složitých technických děl

Z pohledu bezpečí a rozvoje lidí, území i státu je řízení rizik složitých technických děl a zařízení (TZ) důležité ve dvou oblastech:

A.    Oblast propojující veřejnou správu a management TZ.

B.     Oblast věcná zabývající se daty, metodami, materiálovými a technickými záležitostmi, organizačními, právními, finančními a personálními záležitostmi přímo v TZ.

Zásady pro řízení rizik TZ na úseku propojení veřejné správy a managementu TZ jsou stanoveny pro úrovně [4]:

A1 – politickou (parlament, vláda, veřejná správa);

A2 – strategickou (veřejná správa, vlastník, investor, provozovatel);

A3 – taktickou (veřejná správa, vlastník, investor, provozovatel);

A4 – operativní / funkční (provozovatel); a A5 – technickou  (provozovatel).

Výsledky kritické analýzy a posouzení autorky ukázaly počty zásad uvedené v tabulce 1; konkrétní zásady jsou v detailní publikaci [4].

Zásady pro řízení rizik TZ ve věcné oblasti na úsecích jsou pro úseky [4]:

B1 –  Koncepce TZ a způsob řízení TZ;

B2 – Požadavky na data, metody a techniky, které zajišťují kvalitní rozhodování a řízení TZ; B3 – Postupy pro správné umístění, kvalitní projekt, výstavbu a provoz TZ;

B4 – Zajištění kontinuity provozu TZ a podpory základních funkcí státu, tj. veřejného zájmu. Výsledky kritické analýzy a posouzení autorky ukázaly počty zásad uvedené v tabulce 2; konkrétní zásady jsou v detailní publikaci [4].

 

Tabulka 1 – Zásady pro řízení rizik TZ na úseku propojení veřejné správy a managementu TZ

Tabulka 2 – Zásady pro řízení rizik TZ ve věcné oblasti pro: vlastníka, investora, provozovatele, odborný management, zaměstnance, inspektory, kontraktory, participující odborníky a další zúčastněné

Protože zdrojů, sil a prostředků na bezpečnost, tj. na řízení rizik, není nikdy dostatek, je třeba z důvodů hospodárnosti postupovat následovně:

  • rizika určovat jen pomocí dat a metod, které zajistí kvalitní podklady pro rozhodování o vypořádání rizik na příslušné úrovni řízení,
  • na strategické úrovni řízení a inženýrského vypořádání rizik je nutné řešit rizika TZ tak, že ho chápeme jako SoS – jde o zajištění dlouhodobé existence a rozvoje TZ i jeho okolí,
  • na taktické a funkční úrovni řízení a inženýrského vypořádání rizik je nutné řešit rizika TZ způsobem zaměřeným na bezpečný systém,
  • na technické a funkční úrovni řízení a inženýrského vypořádání rizik lze řešit rizika TZ způsobem zaměřeným na zabezpečený systémjen tehdy, když výskyt možných škod v okolí systému je málo pravděpodobný, anebo škody jsou přijatelné (např. manipulace s nádrží s vysoce nebezpečnou látkou již do předmětné kategorie nepatří).

Závěr

Analýza současné situace ukazuje, že umíme systematicky zvládnout řadu nežádoucích procesů, tj. poruch a selhání, které dokážeme předem odhalit. Někdy se však vyskytne vzájemné propletení řady zdánlivě nesouvisejících faktorů a v důsledku nelinearit v systému vznikají velmi atypické havárie (černé labutě, dračí králové atd.). Proto nyní připouštíme, že složité kritické objekty jsou z různých důvodů čas od času v nestabilním stavu a vznikají organizační havárie, kaskády selhání bez zjevné příčiny, neobvyklé jevy apod., tj. připouštíme nejistoty náhodné i epistemické (znalostní) v jejich chování. Z důvodu zajištění bezpečnosti kritických objektů a ochrany lidí musíme připravovat řešení odezvy pro možné případy, kdy se realizují rizika z příčin, které nelze odhalit pravděpodobnostními přístupy, a budovat pro ně náhradní zdroje vody a energie, specifické systémy odezvy a specifický výcvik inženýrů a záchranářů.

 

Literatura

[1]     PROCHÁZKOVÁ, D. Strategické řízení bezpečnosti území a organizace. ISBN: 978-80-01-04844-3. Praha: ČVUT 2011, 483p.

[2]     PROCHÁZKOVÁ, D. Bezpečnost složitých technologických systémů. ISBN: 978-80-01-05771-1. Praha: ČVUT 2015, 208p.

[3]     PROCHÁZKOVÁ, D. Analýza a řízení rizik. ISBN: 978-80-01-04841-2. Praha: ČVUT, Praha, 2011, 405p.

[4]     PROCHÁZKOVÁ, D. Zásady řízení rizik složitých technologických zařízení. e-ISBN: 78-80-01-06182-4. Praha: ČVUT 2017, 364p. http://hdl.handle.net/10467/72582

[5]     PROCHÁZKOVÁ, D. Základy řízení bezpečnosti kritické infrastruktury. ISBN: 978-80-01-05245-7. Praha: ČVUT 2013, 223p.

Související články