Book.od.ua Книги для вашего бизнеса



Одесская библиотека бизнес литературы
полезные книги для бизнеса

8.13. Сложность, жесткое соединение и нормальные аварии. Часть Триннадцатая.

Например, программа запуска космических кораблей включала в себя вопросы обеспечения безопасности полетов, и в “Обзоре по готовности к полетам” было сделано заключение, что уплотнительные кольца (в 1986 году) и осколки пенопласта (в 2003 году) особой опасности не представляют. Вера менеджеров проектов в то, что в обоих этих случаях риск невелик, подкреплялась годами успешных полетов. А для инженеров, которые высказывались против запуска злосчастных шаттлов, оценки в “Обзоре по готовности к полетам” стали не просто моментом, на который можно было сослаться в ходе дискуссии; эти оценки создали барьер в форме прецедента, масштабы которого оценить очень трудно. Эти инженеры оказались в ситуации, когда им надо было без промедления наглядно продемонстрировать, что эти проблемы стали небезопасными. С каждым удачным полетом риски, которые явно выходили за рамки первоначальных ожиданий и прогнозов (конструкторы не предусмотрели последствий серьезного разрушения уплотнительных колец и того, что осколки пеноизоляции повредят теплозащитную плитку обшивки корабля), считались в организации все более приемлемыми; они считались невиновными вплоть до тех пор, пока их вина не была безоговорочно доказана.

Кто не рискует, тот не пьет шампанского

Наслаивая один уровень системы обеспечения безопасности на другой, вы непременно постепенно окажетесь в мире неоправданной самоуспокоенности. Вы никогда не достигнете той степени безопасности, как вы думаете, ведь в этом мире неизбежно будут точки взаимодействия, способные скрыть неудачу. И чем больше будет слоев, тем лучше будут замаскированы эти точки. Когда к какому-то критически важному компоненту системы добавляется два новых прибора, интенсивность отказов в один процент падает до одного на миллион — если риск сбоя каждого из трех устройств не зависит от риска двух других. Однако в реальной жизни такого практически не бывает, поскольку эти приборы включают одинаковые компоненты и узлы, во многом похожие по конструкции и зачастую связанные с одной и той же инструментальной системой или системой электроснабжения. В итоге добавление новых устройств может привести к тому, что они будут оказывать друг на друга негативное воздействие.

Приведу пример. На станции Fermi-1 компании Detroit Edison на экспериментальном ядерном реакторе-размножителе для защиты стальных конических сопел была установлена циркониевая пластина. Это была мера предосторожности, которую многие считали “суперпредусмотрительностью”. Но, как оказалось, эта суперпредусмотрительная мера чуть было не привела к катастрофе, потому что со временем пластина разболталась и начала блокировать поток охлаждающей воды. А поскольку эта дополнительная мера обеспечения безопасности была принята в последнюю минуту, уже после завершения основных конструкторских работ, пластина не была внесена ни в технические требования, ни в чертежи оборудования. Это привело к тому, что причину, по которой блокировалось поступление охлаждающей воды, выявить оказалось очень трудно. На счастье, аварийное отключение реактора произошло до того, как расплавилось большое количество тепловыделяющих элементов его активной зоны.

Станция Detroit не исчезла с лица земли, но в другом случае проблемы, связанные с обеспечением безопасности, закончились далеко не так счастливо. Подобно всем атомным электростанциям, Чернобыльский реактор, расположенный в нескольких десятках километров от Киева, был оснащен аварийными резервными генераторами на случай сбоя в работе основного источника питания. Были также и другие, дополнительные меры обеспечения безопасности, в частности, был добавлен еще один запасной источник питания, который забирал часть энергии у турбин электростанции, чтобы в случае необходимости снабжать систему током до тех пор, пока не заработают генераторы. Четвертый реактор собирались остановить на плановое техобслуживание — идеальный момент для операторов, которые намеревались протестировать это новое вспомогательное оборудование. Этот тест был направлен на то, чтобы проверить, сможет ли эта схема при необходимости генерировать электроэнергии достаточно для нормальной работы аварийного оборудования и охлаждающих насосов до тех пор, пока не будет подключена дизельная электростанция. Чтобы протестировать новую резервную систему, операторы станции отсоединили несколько отключающих устройств, срабатывающих при возникновении неисправности. В рамках проверки была также отключена аварийная система внутреннего охлаждения, а весь реактор переведен в режим половинчатой нагрузки. Но во время теста активная зона реактора начала нагреваться. Поскольку автоматические процессы были намеренно отключены, операторы попытались исправить ситуацию сами. Однако из-за отсутствия времени или должной подготовки они не смогли произвести аварийной остановки реактора. Реактор перестал быть стабильным.


Понравился материал? Поделитесь с друзьями!

<< Предыдущая статьяСледующая статья >>
8.12. Сложность, жесткое соединение и нормальные аварии. Часть Двеннадцатая. 8.14. Сложность, жесткое соединение и нормальные аварии. Часть Четырнадцатая.





Убедительная просьба при использовании любых материалов Одесской электронной бизнес-библиотеки ставить активную ссылку на наш сайт. По всем вопросам касательно сайта пожалуйста пишите на почту
      Карта сайта