Aktuální vydání

celé číslo

08

2019

MSV 2019 v Brně

celé číslo

Vyšetřování významných havárií jako cesta cesta ke zlepšování bezpečnosti

Z vyšetřování závažných nehod, které se v nedávné době staly ve skladech kapalných uhlovodíků, vznikly vyšetřovací zprávy, jejichž závěry jsou pro zvýšení bezpečnosti v této oblasti promítány do platných mezinárodních norem. Článek souhrnně přibližuje nové poznatky v oboru minimalizace provozních rizik a požadavky a normy platné pro sklady kapalných uhlovodíků.
 
Letos je to šest let od doby, co se staly dvě velmi významné nehody v odvětví charakteristickém spojitými technologickými procesy (konkrétně ve skladech kapalných uhlovodíků). K první došlo v rafinerii firmy British Petrol (BP) v Texas City v USA (březen 2005, patnáct mrtvých, 180 zraněných), ke druhé v terminálu Buncefield ve Velké Británii (prosinec 2005, 43 zraněných). V obou případech proběhlo rozsáhlé vyšetřování, jehož konečné závěry byly zveřejněny až v roce 2010 a jsou postupně zaváděny do mezinárodních norem platných pro sklady kapalných uhlovodíků.
 

Významné nehody v provozech s kapalnými uhlovodíky

 
Nehody v provozech, kde se manipuluje s kapalnými uhlovodíky, jsou poměrně časté. Dostupné statistiky ukazují, že intenzita nehod roste (tab. 1), což je dáno také rostoucím počtem takovýchto provozů. V důsledku velkého počtu nehod se rovněž naskytlo mnoho příležitostí ke zlepšení současných provozů a k odstranění nejčastěji se opakujících „slabých míst“. Nehody v Buncefieldu a Texas City z roku 2005 byly detailně prošetřeny a díky tomu se začal měnit pohled na skladování
kapalných uhlovodíků.
 

Buncefield

Dne 11. prosince 2005 došlo ve skladišti a distribučním terminálu ropných produktů Buncefield poblíž města Hemel Hempstead ve Velké Británii k přeplnění zásobníku č. 912. Mrak par, který se utvořil z uniklého paliva, zakrátko explodoval za následného vzniku rozsáhlého požáru, při němž bylo zraněno více než 40 osob. Vyšetřování mj. ukázalo, že instalovaný servomechanický hladinoměr indikoval neměnnou polohu hladiny, ačkoliv zásobník byl v té době plněn benzinem. Na zásobníku byl současně nainstalován mechanický detektor horní mezní polohy hladiny, který ale také selhal a nevydal výstražný signál.
 

Texas City

Dne 23. března 2005 se ve výrobním závodě BP v Texas City stala závažná nehoda. V důsledku selhání systému pro signalizaci polohy hladiny operátor přeplnil nádrž separátoru. Při výstraze upozorňující na velký tlak v nádrži operátor otevřel cestu k pojistným ventilům, odkud potom následoval únik benzinu do okolí. Po iniciaci benzinové páry explodovaly, přičemž důsledkem byla smrt patnácti a zranění 180 pracovníků. Vyšetřování odhalilo zásadní selhání při vypracovávání návrhu jednotky; vzhledem k dalším třem nehodám, které ve stejné provozovně nastaly, byla zřejmě nefunkční kultura bezpečnosti.
 

Rozdílné příčiny, lidský faktor, podobné principy rozvoje nehod

 
Příčiny nehod jsou rozdílné. Zda bude správně určena příčina nehody, závisí jak na samotném mechanismu nehody, tak i na kvalitě vyšetřovacího týmu. Jestliže vyšetřovací tým není kvalitní, téměř vždy dospívá k závěru, že příčinou je selhání tzv. lidského činitele (viz vložený text Bezpečnost v automatizovaných systémech a lidský faktor).
 
Přes různost příčin jsou si samotné principy nehod souvisejících s kapalnými uhlovodíky i způsob jejich rozvoje podobné. Nehody ve skladech a výrobách kapalných uhlovodíků jsou charakterizovány:
  • velkou rychlostí šíření požáru,
  • velkou intenzitou hoření spojenou s vývinem značného množství tepla a vysokou teplotou plamene,
  • intenzivní výměnou plynů a uvolňováním velkého množství zplodin hoření,
  • možností výbuchu,
  • nebezpečím rozšíření požáru do okolních prostor; při postupující degradaci sousedních nádrží s hořlavými kapalinami může intenzita hoření skokově narůstat,
  • možností šíření požáru roztékáním hořících kapalin (sklon terénu, konstrukcí apod.),
  • nebezpečím úniku nebezpečných látek (samotné hořlavé kapaliny, vznikající toxické zplodiny hoření, odpadní vody při hašení a po něm).

Požadavky na sklady kapalných uhlovodíků

 
Krátce po nehodě v Buncefieldu byla ustavena pracovní skupina s názvem Buncefield Standards Task Group (BSTG), jejímž úkolem bylo přetransformovat ponaučení z této nehody do podoby účinných a v praxi tohoto průmyslového odvětví použitelných směrnic. Souběžně s činností BSTG pracovala také komise Buncefield Major Incident Investigation Board (MIIB), která měla vyšetřit, co se vlastně v Buncefieldu stalo.
 
Výsledkem práce komise MIIB bylo mj. několik zpráv. V první části zprávy, která se týká doporučení pro projektování a provoz zařízení pro skladování paliv (Recommendations on the design and operation of fuel storage sites [5]), je mj. doporučena tvorba systematických studií bezpečnosti se zaměřením na analýzu úrovně integrity bezpečnosti (SIL) a analýzu vrstev ochrany (LOPA).
 
Na základě závěrů komise MIIB a skupiny BSTG byla v roce 2009 britskou nezávislou organizací působící v oboru bezpečnosti a ochrany zdraví při práci U. K. Health and Safety Executive (HSE) vytvořena souborná norma HSE Safety and Environmental standards for fuel storage sites. Ta stanovuje požadavky na systematické posuzování rizik a úrovně integrity bezpečnosti, požadavky na ochranné prvky a systémy a požadavky na prvky omezující eskalaci nehody a její následky (kontejnmentový systém, valy, jímky).
 
Po nehodě v Texas City doporučila komise US – Chemical Safety and Hazard Investigation Board (CSB) zřídit ve firmě BP nezávislou vyšetřovací komisi, která by měla vyšetřit nehodu a úroveň kultury bezpečnosti v BP a navrhnout opatření, jež by zamezila opakování podobných situací.
 
Byl tedy ustaven tzv. Baker Panel (skupina vedená bývalým státním tajemníkem USA Jamesem Bakerem), který vydal tzv. Baker Report [8]. V této zprávě je kriticky zhodnocena situace ve firmě BP a jsou navržena opatření přínosná pro celé odvětví, a to především z hlediska politiky bezpečnosti a bezpečnostní kultury.
 
Na základě prvotních závěrů byla v roce 2008 vydána nová verze normy pro zápalné a hořlavé kapaliny NFPA 30:2008 Flammable and Combustible Liquids Code [3]. Ve verzi z roku 2008 je oproti té z roku 2000 kladen větší důraz na výstavbu podzemních skladovacích kapacit. Nadzemní zásobníky jsou povoleny pouze při splnění určitých podmínek, mezi kterými dominují tepelná ochrana proti požáru v okolí zásobníku, konstrukce zásobníku typu tzv. integrated secondary containment v kombinaci s ochrannými a havarijními jímkami (se záchytnými valy – liquid tight vault). Dále musí být sklad vybaven násobným (nezávislým) systémem pro měření polohy (výšky) hladiny s výstrahou na úrovni maximálně 90 %, s omezením průtoku na úrovni maximálně 95 % a s automatikou odstavení na úrovni maximálně 98 % celkového objemu nádrže.
 
Již v roce 2003 (dva roky před zmíněnými nehodami) byla publikována první norma IEC 61511 Functional safety – Safety instrumented systems for the process industry sector (Funkční bezpečnost – Bezpečnostní přístrojové systémy pro sektor průmyslových procesů). Norma přinesla do uvedených oborů společnou metodiku sledování funkční bezpečnosti včetně způsobu určení potřebné úrovně integrity bezpečnosti. Bohužel před uvedenými nehodami nebyla norma IEC 61511 ani v jednom z případů použita.
 

Základní principy bezpečnostních opatření – doporučení na základě výsledků vyšetřování havárií

 
Po uvedených haváriích proběhlo vyšetřování, jehož výsledkem vedle individuálních závěrečných zpráv je také stanovení obecné zásady k omezení rizik zahrnuté do platných norem. Je-li třeba charakterizovat nejdůležitější konkrétní nástroje umožňující zmenšit pravděpodobnost nehod ve skladech kapalných uhlovodíků, lze je rozdělit do těchto skupin:
  • pečlivá analýza rizik s analýzou úrovně integrity bezpečnosti a analýzou vrstev ochrany; analýza vlivu lidského činitele na zařízení,
  • automatiky odstavující sklad při dosažení kritických hodnot vybraných parametrů,
  • systém sledování hodnot klíčových parametrů (především polohy hladiny) s dostatečnou redundancí klíčových měřicích obvodů,
  • zálohování napájení klíčových měřicích obvodů a galvanické oddělení měřicího systému,
  • ochranné prvky pro omezení eskalace nehody (detektory, skrápění, kamery),
  • bezpečné odvedení kapaliny při přeplnění nádrže (nádrží),
  • druhý a třetí kontejnment, dostatečně dimenzované jímky (viz vložený text Základní požadavky na systém jímek),
  • dostatečná jímací kapacita pro hasební vodu,
  • dostatečné odstupové vzdálenosti mezi nádržemi,
  • vybavení velínů a pracovišť obsluhy,
  • dobrá kultura bezpečnosti a motivace zaměstnanců.

Situace v ČR

 
V České republice je povinnost vyšetřit příčiny havárie uvedena v zákoně č. 59/2006 Sb., o prevenci závažných havárií, v platném znění. Zde je jednoznačně uvedeno, že provozovatel musí závažnou havárii bezodkladně ohlásit příslušnému krajskému úřadu, České inspekci životního prostředí, orgánům veřejné správy a dotčeným obcím a do 24 hodin doručit písemné hlášení o závažné havárii.
 
Povinností vyšetřit závažnou havárii je vázán provozovatel havarované jednotky, který musí návrh konečné písemné zprávy o vzniku a dopadech závažné havárie (včetně přijatých a navrhovaných nápravných a preventivních opatření) doručit příslušnému krajskému úřadu ke schválení nejpozději do tří měsíců od vzniku závažné havárie.
 
Krajský úřad má následně možnost odevzdanou zprávu přijmout, nebo vrátit k přepracování. Krajský úřad má dále povinnost
vypracovat doporučení pro provozovatele týkající se budoucích preventivních opatření, která nejsou obsažena v konečné písemné zprávě o vzniku a dopadech závažné havárie a která povedou ke zlepšení bezpečnostní situace.
 
Informace o vyšetření havárie a o preventivních opatřeních krajský úřad předává dále ministerstvu vnitra a ministerstvu životního prostředí, která informují Evropskou komisi.
 
Orgány státní správy dále vkládají údaje o havárii do databáze MARS (Major Accident Reporting System), ve které lze najít stručné informace o závažných haváriích v zemích EU.
 
V současném systému sledování havárií lze nalézt několik slabin:
  1. Zprávy z vyšetřování havárie nebyly zveřejňovány až do přijetí zákona č. 488/2009 Sb. Zpětná vazba o příčinách nehod proto dosud nefunguje, přičemž se většinou stále dokola opakují nehody z nevelkého počtu typických příčin (např. selhání klíčového snímání polohy hladiny plovákovým hladinoměrem, pojezd s autocisternou nebo železniční cisternou během stáčení), které by bylo v obdobných provozech možné jednoduchými opatřeními eliminovat (např. druhým nezávislým měřidlem polohy hladiny, instalací trhacích spojek).
  2. Databáze MARS nemůže plnit funkci zpětné vazby (ani k tomu není určena), neboť obsahuje velmi málo údajů, u většiny záznamů nelze zjistit druh nebezpečné látky, průběh události, jméno ani např. stát provozovatele.
  3. Systém sám vykazuje některé interní nedostatky, které jsou však postupnými změnami legislativy odstraňovány. Například není jednoznačně stanoveno, které havárie se vlastně mají považovat za závažné, a tudíž podléhající ohlašovací povinnosti – mnoho provozovatelů je přesvědčeno, že to jsou havárie splňující kritéria v příloze 3 zákona č. 59/2006 Sb., o prevenci závažných havárií; to jsou ovšem kritéria pro oznamování havárií Evropské komisi. Hlásit by se měly všechny havárie, a to dokonce i ty, jejichž vznik bezprostředně hrozí.

Závěr

 
Častou příčinou nehod v odvětví se spojitými technologickými procesy je chybný návrh bezpečnostních systémů. Tak tomu bylo např. i v případě dvou velmi závažných nehod uvedených v článku. Z jejich vyšetřování vznikly vyšetřovací zprávy, které jsou převáděny do mezinárodních norem platných pro sklady kapalných uhlovodíků. V tomto ohledu je třeba zdůraznit, že vyšetřování nehody by mělo být především činností zaměřenou na vyhledávání faktů pro získání zkušeností, nikoliv primárně k přiřknutí viny nebo odpovědnosti. Vyšetřování by mělo být zaměřeno na identifikaci kořenových příčin ve sledu událostí vedoucích k havárii a na získání informace o tom, jak podobným haváriím v budoucnu zabránit.
 
Průmyslové podniky v České republice i všude v Evropě jsou pod silným tlakem veřejnosti, která je citlivá na případné bezpečnostní a environmentální hrozby, a také pod tlakem levné produkce z Východu, kde požadavky na zajištění bezpečnosti a ochrany životního prostředí mají marginální význam.
 
Významné informace ze zpráv o vyšetřování (např. doporučení a získaná ponaučení) je přes panující konkurenční tlak třeba poskytnout všem zainteresovaným subjektům, kterým by mohly být užitečné (např. uživatelům podobného technologického zařízení), s patřičným ohledem na ochranu důvěrných obchodních informací. Volné šíření získaných poznatků přispívá k tomu, že je možné je uplatnit ve všech příslušných zařízeních s veškerým personálem, a tím vlastně zvýšit konkurenceschopnost průmyslu jako celku.
 
Poděkování
Příspěvek byl podpořen z projektu 1M06047 – Centrum pro jakost a spolehlivost výroby.
 
Literatura:
[1] Požáry otevřených skladů hořlavých kapalin – Bojový řád jednotek požární ochrany – taktické postupy zásahu. Ministerstvo vnitra – generální ředitelství Hasičského záchranného sboru České republiky. Metodický list č. 41 P, 2006.
[2] KLETZ, T. A.: An Engineer‘s View of Human Error. Butterworth-Heinemann, 1991, ISBN 978-0852952658.
[3] NFPA 30:2008 Flammable and Combustible Liquids Code. NFPA, 2008.
[4] SKAUG, Ch.: Bezpečnostní funkce radarového měření hladiny přináší vyšší bezpečnost provozu. Automa, 2007, roč. 13, č. 11, s. 22–24, ISSN 1210-9592.
[5] Recommendations on the design and operation of fuel storage sites. Buncefield Major Incident Investigation Board (MIIB). Dostupné na <http://www.buncefieldinvestigation.gov.uk/index.htm>.
[6] IEC 61511 Functional safety – Safety Instrumented systems for the process industry sector.
[7] CHANG, J. – LIN, Ch.: A study of storage tank accidents. Journal of Loss Prevention in the Process Industries, 2006, 19, 1, pp. 51–59, ISSN 0950-4230.
[9] Základní principy OECD pro prevenci chemických havárií, havarijní připravenost a zásahy: Návod pro průmysl (včetně managementu podniků a pracovníky), správní úřady, obce a ostatní zainteresované subjekty. 2. vyd., Paris, France, OECD Environment, Health and Safety Publications, 2003.
 
Ing. Luboš Kotek, Ph.D.,
Ing. Marek Tabas, Ph.D.,
ústav výrobních strojů, systémů a robotiky,
Fakulta strojního inženýrství, VUT v Brně,
prof. Ing. František Babinec, CSc.,
Risk Consulting Brno
 
Tab. 1. Intenzita a místa výskytu významných nehod v provozech s kapalnými uhlovodíky
 

Bezpečnost v automatizovaných systémech a lidský faktor

 
Obecně lze říci, že v poslední době (a zejména v souvislosti se snahou o zmenšování počtu zaměstnanců) je význam technických prostředků zajišťujících bezpečnost přeceňován na úkor kvality obsluhy.
 
Tento přístup ovšem nekoresponduje s výsledky vyšetřování nehod, kdy je velmi často jako příčna nehody uveden „lidský faktor“. Někdy jsou takto označovány i nehody způsobené selháním zařízení (člověk to zařízení přece navrhoval a vyráběl), nebo chyby výrobních postupů (vždyť vedoucí zaměstnanec mající odpovědnost je také člověk). Za selháním „lidského faktoru“ bývá často složitá spleť kořenových příčin, které zůstanou při vyšetřování skryty. V této souvislosti je namístě poznámka k terminologii.
 
Pojem „lidský faktor“ (v češtině lépe „lidský činitel“) označuje soubor vlastností a schopností člověka posuzovaných především z hledisek psychologických, fyziologických a fyzických, která vždy určitým způsobem v dané situaci ovlivňují výkonnost, efektivnost a spolehlivost výrobního (zpracovatelského) systému.
 
Dále se však také používá termín „lidské činitele“ jako doslovný překlad amerického sousloví „human factors“, které má ovšem jednoznačný překlad – ergonomie. Tato záměna neustále prosakuje i do odborné literatury a poměrně často se vyskytuje také v platných normách; např. v ČSN IEC 60300-3-10:2001 se lze dočíst, že: „… návrhář má navrhovat s ohledem na lidské faktory tak, aby údržbu bylo možné provádět pokud možno efektivně a uživatelsky přívětivě“. Nebo jiný příklad: ČSN EN 14225-4:2005 s názvem Potápěčské obleky – Část 4: Obleky s vnitřním atmosférickým tlakem – Požadavky na lidské faktory a metody zkoušení, kde si čtenář správné znění jistě snadno doplní sám.
 

Základní požadavky na systém jímek

 

Záchytná jímka je vyhrazena k zachycení kapalin běžně uniklých v důsledku netěsností nádrže. Kapalina ze záchytné jímky je zpravidla svedena do havarijní jímky. Havarijní jímka, určená k zadržení uniklých kapalin při havarijních stavech, je dimenzována nejméně na užitný objem největší nádrže technologického zařízení, kontejneru nebo přepravního obalu, v nichž se vyskytuje hořlavá kapalina, která je sváděna do havarijní jímky, nejméně však na 10 % objemu všech nádrží do jímky sváděných. Dno havarijní jímky musí být vyspádováno do sběrné jímky.