Hodnocení rizik (HRI), Metody analýzy rizik (MAR) sbírka pˇríklad˚ u
Obsah I
HRI
5
1 Pravdˇepodobnost - výpoˇcet a popis - nežádoucí události
5
2 Pˇríklady na Booleovu algebru
6
3 Pˇredbˇežná analýza ohrožení (PHA)
7
3.1
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7
3.2 Pˇríklad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7
4 Hazard and Operability Analysis (HAZOP)
10
4.1 Popis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10
4.2 Principy zkoumání . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
12
4.3 Pˇríklady . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
17
4.3.1
Hodnocení pˇríˇcin kolize cisterny ADR s vlakem na železniˇcním pˇrejezdu . . . . . .
17
4.3.2
HAZOP jednoduchého zaˇrízení na zpracování chemických látek . . . . . . . . . . .
20
4.3.3
HAZOP na postup výroby . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
22
4.3.4
HAZOP na systém automatické ochrany vlaku . . . . . . . . . . . . . . . . . . . . .
24
5 Analýza zp˚ usob˚ u, d˚ usledk˚ u (a kritiˇcnosti) poruch (FMEA/FMECA )
26
5.1 Popis metody . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
26
5.2 Cíle metody . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
26
5.3 Použití metody . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
27
5.4 Požadavky metody na vstupní informace . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
27
5.5 Postup metody FMEA, FMECA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
30
5.6 Kritiˇcnost poruchy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
31
5.7 Pˇríklady . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
31
5.7.1
FMECA cˇ ásti automobilové elektroniky s výpoˇctem RPN . . . . . . . . . . . . . . .
31
5.7.2
Kompaktní svítidlo sporáku . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
33
1
6 Analýza stromu poruchových stav˚ u (FTA )
35
6.1 ÚLOHA (Sestavení stromu poruch jednoduchého systému s tlakovým reaktorem) . . . . .
36
6.2 Analýza FTA - pˇríklad plynový sporák . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
38
6.3 Hodnocení kolize cisterny ADR s vlakem na železniˇcním pˇrejezdu pomocí metody FTA . .
41
7 Analýza stromu událostí (ETA)
46
7.1 Analýza ETA - Sestavení stromu událostí systému chemického reaktoru . . . . . . . . . . .
46
7.2 Analýza ETA velkého úniku stlaˇceného LPG ze skladovacího zásobníku . . . . . . . . . . .
49
8 Blokový diagram bezporuchovosti (RBD) ˇ 8.1 Rešení základních vazeb mezi prvky . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
53
˚ pomocí RBD 8.2 Složitˇejší metody ˇrešení systému
53
. . . . . . . . . . . . . . . . . . . . . . . . .
54
8.2.1
Metoda dekompozice systému . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
54
8.2.2
Inspekˇcní metoda
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
55
8.3 Použití metody RBD v sw ITEM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
56
8.3.1
Zadávání dat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
56
8.3.2
Výpoˇcetní cˇ ást . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
58
9 Analýza spolehlivosti cˇ lovˇeka (HRA)
60
9.1 Spolehlivost cˇ lovˇeka . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
60
9.1.1
Analýza spolehlivosti cˇ lovˇeka (HRA) . . . . . . . . . . . . . . . . . . . . . . . . . . .
60
9.1.2
Historické souvislosti
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
60
9.1.3
Lidská chyba
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
60
9.1.4
Tˇrídˇení metod HRA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
61
9.1.5
HRA proces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
61
9.2 TESEO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
67
9.2.1
Jednoduchý pˇríklad analýzy HRA metodou TESEO (pˇríklad 1) . . . . . . . . . . . .
68
9.3 THERP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
69
9.3.1
Pravdˇepodobnost lidské chyby metody THERP . . . . . . . . . . . . . . . . . . . . .
69
9.3.2
Základní, podmínˇené a spojené pravdˇepodobnosti . . . . . . . . . . . . . . . . . . .
69
9.3.3
Získávání HEP pro konkrétní úlohu . . . . . . . . . . . . . . . . . . . . . . . . . . . .
70
9.3.4
Strom pravdˇepodobností . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
70
9.3.5
PSFs metody THERP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
71
9.3.6
Model závislosti metody THERP . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
71
9.3.7
Jednoduchý pˇríklad analýzy HRA metodou THERP (pˇríklad 1) . . . . . . . . . . . .
72
9.3.8
Jednoduchý pˇríklad závislých úloh v metodˇe THERP (pˇríklad 2) . . . . . . . . . . .
72
9.4 HEART . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
73
9.4.1
Jednoduchý pˇríklad analýzy metodou HEART (pˇríklad 1) . . . . . . . . . . . . . . .
74
9.5 Shrnutí . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
75
9.5.1
Metody HRA druhé generace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
75
˚ 9.6 Pˇríklady výpoˇctu spolehlivosti cˇ lovˇeka pomocí ruzných metod HRA – Obsluha kávovaru .
77
2
10 Pˇríklad šíˇrení látek v prostˇredí Metodu Dow FEI
82
II
MAR
83
11 Metoda CCA
83
12 Metoda TA
84
13 Hazard Analysis and Critical Control Points (HACCP)
85
13.1 Postup provádˇení metody HACCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
85
14 Scenario Analysis (SA)
87
15 Metodu MA
88
16 Metodu CBA
89
17 Metodu pˇrepravy nebezpeˇcných vˇecí - vznik nehody a šíˇrení látky v prostˇredí
90
18 Brainstorming
91
18.1 Zásady metody . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
91
18.2 Varianty metody . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
92
18.3 Nevýhody metody . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
92
18.4 Pˇríklady . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
92
18.4.1 Téma: Jaký význam cítíte za slovem „riziko“. . . . . . . . . . . . . . . . . . . . . . .
92
18.4.2 Téma: Jaká udˇelat zabezpeˇcení zásobníku na nebezpeˇcnou kapalnou látku? . . . .
92
18.4.3 Téma: Jak informovat obyvatelstvo o úniku toxického plynu? . . . . . . . . . . . . .
92
19 Delphi
93
19.1 Postup metody Delphi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
93
19.2 Výhody . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
94
19.3 Nevýhody . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
94
˚ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19.4 Varianty dotazníku
95
19.5 Pˇríklad použití . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
95
ˇ 19.5.1 Rešená problematika . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
95
˚ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19.5.2 Výbˇer expertu
95
˚ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19.6 Pˇríklad vyhodnocení dotazníku
96
˚ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19.7 Zadání pˇríkladu
96
19.7.1 Pˇríklad 1 – Bezpeˇcnostní prvky letadla pro nouzové opuštˇení paluby . . . . . . . .
96
19.7.2 Pˇríklad 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
98
3
20 Root Cause Analysis (RCA)
99
20.1 Základní principy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 20.2 Provádˇení a dokumentace korektivní akce založené na metodˇe RCA . . . . . . . . . . . . . 101 20.3 Pˇríklady . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 20.3.1 Pˇríklad 1 – Startování auta. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 20.3.2 Pˇríklad 2 – Nehoda cisterny s nebezpeˇcnou kapalinou na rovném pˇrehledném úseku silnice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
4
ˇ Cást I
HRI 1
Pravdˇepodobnost - výpoˇcet a popis - nežádoucí události
5
2
Pˇríklady na Booleovu algebru
6
3
Pˇredbˇežná analýza ohrožení (PHA)
Preliminary Hazard Analysis – Pˇredbˇežná analýza ohrožení • Induktivní metoda – jejímž cílem je vlastní identifikace nebezpeˇcí, nebezpeˇcných situací a událostí, ˚ které mohou zpusobit pˇri dané cˇ innosti, u daného zaˇrízení nebo u systému poškození nebo újmu. • Nejˇcastˇeji se provádí v rané etapˇe vývoje projektu, kdy je k dispozici málo informací o podrobnos˚ pˇredcházet pˇred dalšími studiemi. tech návrhu nebo o provozních postupech, a muže ˚ nebo pˇri stanovení priorit nebezpeˇcí tam, kde • Je též užiteˇcná pˇri analyzování existujících systému okolnosti brání použití pokroˇcilejších metod. • Pˇri PHA se zpracovává seznam nebezpeˇcí a generických nebezpeˇcných situací uvažováním charakteristik, jako jsou: – používané nebo vytváˇrené materiály a jejich reaktivita, – použitá zaˇrízení, – provozní prostˇredí, – prostorové rozmístˇení, – rozhraní mezi souˇcástmi systému atd. • Vstupní informace pro analýzu – Úˇcel a cíle analýzy – Technický popis systému – technické požadavky, legislativa ˚ – Definice funkcí systému a jeho prvku – Funkˇcní cˇ lenˇení systému – Definice rozhraní systému – Údaje o prvcích systému • Postup provádˇení analýzy – pˇrípravná cˇ ást; ˚ systému, resp. systému jako celku; – vlastní PHA jednotlivých prvku – vyhodnocení analýzy.
3.1 3.2
Pˇríklad
Proved’te analýzu PHA pro systém tlakového hrnce na obrázku. Analýzu zpracujte do zjednodušeného pˇripraveného formuláˇre. 7
Obrázek 3.1: Zadání pˇríkladu 3.2. Bezpeˇcnostní opatˇrení tlakového hrnce ˇ 1. Pojistný ventil uvolnuje tlak v hrnci, aby nepˇrekroˇcil nebezpeˇcnou mez. 2. Termostat otevˇre obvod pˇres topnou spirálu, pokud teplota vzroste nad 250°C. 3. Tlakomˇer je rozdˇelen na zelenou a cˇ ervenou sekci. „Nebezpeˇcí“ je signalizováno, pokud je ukazatel v cˇ ervené sekci.
Tabulka 3.1: Tabulka pro analýzu PHA. Ohrožení
Pˇríˇcina
Následek
8
Pravdˇepodobnost ˚ nehody v dusledku ohrožení
Nápravná, preventivní opatˇrení
ˇ Rešení (PHA –- tlakový hrnec) ˇ Tabulka 3.2: Rešení pˇríkladu 3.2. Ohrožení
Pˇríˇcina
Následek
Pravdˇepodobnost ˚ nehody v dusledku ohrožení
Nápravná, preventivní opatˇrení
Zásah elektrickým proudem
Když se obsluha dotkne pˇrívodního kabelu, dojde vlivem ˚ vadné izolace vodiˇcu k uzemˇení pˇres operátora.
Mírný šok elektrickým proudem v závislosti na celkovém elektrickém odporu lidského tˇela. Celkový odpor bude záviset na faktorech jako je odpor obuvi, vlhkosti tˇela v místˇe kontaktu a na stavu izolace.
Nepravdˇepodobná
Požár
Vznikají jiskry v blízkosti hoˇrlavého materiálu v pˇrípadˇe, že proud prochází z kabelu v místˇe vadné izolace na jiný objekt.
Závažné poškození zaˇrízení a okolí.
Popálení
Obsluha se dotkne horkého povrchu tlakového hrnce nebo horkých ˚ uvnitˇr materiálu hrnce. Pára z bezpeˇcnostního ventilu popálí obsluhu.
Popáleniny prvního a druhého stupnˇe v závislotsi na dobˇe ˚ osoby kontaktu kuže s horkým povrchem nebo materiálem.
Extrémnˇe nepravdˇepodobná (V izolaci musí existovat porucha, musí generovat jiskry a hoˇrlavý materiál musí být umístˇen v blízkosti kabelu. Pravdˇepodobnost, že všechny tyto podmínky nastanou souˇcasnˇe je velmi nízká.) Pˇrimˇeˇrenˇe pravˇedpodobná
Použít izolaci, která je odolná proti poškození. Použít uzemnˇený kabel (tˇríkolíková vidlice). Pˇripojovat tlakový hrnec pouze do zásuvek, jejichž obvod je vybaven proudovým chrániˇcem. Stejná tˇri opatˇrení jako v pˇrípadˇe zásahu el. proudem. Neuchovávat žádné hoˇrlavé materiály v blízkosti zaˇrízení.
Výbuch
Termostat a bezpeˇcnostní ventil selže a nikdo si nevšimne, že tlakomˇer indikuje nebezpeˇcí.
Nˇekoli zranˇení nebo úmrtí. Ztráta zaˇrízení. Poškození okolí.
9
Nepravdˇepodobná
Používat ochranné ˚ pomucky v pˇrípadˇe potˇreby se hrnce dotknout. Používat tlakový hrnec mimo dosah dˇetí. Umístit kryt na bezpeˇcnostní ventil aby rozptýlil unikající páru a tak zabránit pˇrímému zasažení ˚ a spálení kuže. Používat pouze vysoce kvalitní termostaty a bezpeˇcnostní ventily. Použít vícenásovné zabezpeˇcení (napˇr. dva pojistné ventily)
4
Hazard and Operability Analysis (HAZOP)
Informace cˇ erpány z publikací [4]
4.1
Popis
Název je zkratkou pro Studii nebezpeˇcí a provozuschopnosti a jedná se o strukturované a systemat˚ procesu, ˚ postupu ˚ a systému. Jedná se o techniku ické posouzení plánovaných a existujících produktu, ˚ organizace. Od týmu sloužící k identifikaci rizik ve vztahu k lidem, zaˇrízení, prostˇredí a/nebo cílum provádˇejícího analýzu se rovnˇež oˇcekává, pokud je to možné, poskytnout ˇrešení pro ošetˇrení rizika. Metoda HAZOP je procesem kvalitativní techniky založené na použití vodících slov, která se dotazují jak návrhový zámˇer nebo provozní podmínky mohou nebo nemohou být dosaženy v každém jednotlivém kroku návrhu, procesu, postupu nebo systému. Je obecnˇe provádˇena mezioborovým týmem pracov˚ bˇehem souboru setkání. HAZOP je podobná metodˇe FMEA/FMECA v tom, že identifikuje zpusoby ˚ níku ˚ poruch v rámci procesu, systému nebo postupu jejich pˇríˇciny a dusledky. Liší se v tom, že tým posuzuje ˚ a podmínek a pracuje zpˇet k možným nechtˇené výstupy a odchylky od chtˇených/zamýšlených výstupu ˚ ˚ poruch. Zatímco FMEA/FMECA zaˇcíná své ˇrešení identifikací zpusob ˚ ˚ poruch. pˇríˇcinám a zpusob um u ˚ ˚ v chemickém prumyslu, ˚ Technika HAZOP byla puvodnˇ e vyvinuta pro analýzu systému pˇriˇcemž byla ˚ a složitých procesu. ˚ To zahrnuje mechanické a elektronpostupnˇe rozšíˇrena na ostatní typy systému ické systémy, postupy a softwarové systémy, a je dokonce smˇeˇrována ke zmˇenám v rámci organizace a ˚ právnických smluv nebo k jejich revizi. k návrhum Výhody metody: • poskytuje prostˇredky pro systematickou a zevrubnou analýzu a posouzení systému, procesu nebo postupu; ˚ vˇcetnˇe tˇech, kteˇrí mají opravdové zkušenosti z každoden• zahrnuje mezioborový tým pracovníku ního života a tˇech, kteˇrí mohou uskuteˇcnit urˇcitá protiopatˇrení a ošetˇrení rizika; • metoda generuje a navrhuje možná ˇrešení a akce na ošetˇrení rizika; ˚ procesu ˚ a postupu; ˚ • je aplikovatelná k širokému spektru systému, ˇ ˚ ˚ chyb cˇ lovˇeka; • umožnuje explicitní posouzení pˇríˇcin a dusledk u ˚ být použit k prokázání vzhledem ke své peˇclivosti • produkuje psaný záznam procesu, který muže Nevýhody metody: ˚ být cˇ asovˇe velmi nároˇcná a tedy rovnˇež velmi nákladná; • detailní analýza muže ˇ dokumentace nebo specifikace systému/procesu resp. • detailní analýza vyžaduje vysokou úroven postupu; ˚ se soustˇredit na nalezení detailních ˇrešení radˇeji než na pokoušení fundamentálních pˇred• muže ˚ (nicménˇe toto muže ˚ být zmírnˇeno fázovým pˇrístupem); pokladu • diskuse se mohou soustˇredit na detailní sporné body návrhu a ne na širší nebo externí sporné body; • je omezena pouze náznaky a neúplným návrhem a pouhým úmyslem návrhu, rovnˇež tak pˇredmˇetem a cíli, které jsou na zpracovatelský tým položeny; ˚ kteˇrí je mohou shledávat obtížnými pro to, aby byli • proces silnˇe spoléhá na expertízy konstruktéru, ˚ ve vlastním návrhu. vhodnˇe objektivní za úˇcelem nalezení problému Studie HAZOP se realizují ve cˇ tyˇrech základních postupných krocích znázornˇených na obrázku 4.1. 10
Stanovení rozsahu, cíl˚ u a odpovˇednosti
• Stanoví se rozsah platnosti a cíle • Stanoví se odpovˇednosti • Vybere se tým ↓ Pˇríprava
• Vypracuje se plán studie • Shromáždí se data ˚ • Dohodne se zpusob zápisu
• Odhadne se doba • Sestaví se cˇ asový plán ↓ Zkoumání
• Systém se rozdˇelí na cˇ ásti • Zvolí se nˇejaká cˇ ást a stanoví se cíl projektu • Pomocí vodicích slov se u každého prvku zjistí odchylky • Rozpoznají se následky a pˇríˇciny • Rozpozná se, zda existuje významný problém • Rozpoznají se mechanismy ochrany, detekce a indikace • Rozpoznají se možná opatˇrení k nápravˇe / zmírnˇení (volitelné) • Odsouhlasí se cˇ innosti • Totéž se opakuje u každého prvku a potom u každé cˇ ásti systému ↓ Dokumentace a další postup
• Zkoumání se zaznamená • Schválí se dokumentace • Vypracuje se zpráva o studii ˇ • Sleduje se jak jsou tyto cˇ innosti uplatnovány
• Studie se opakuje u jakýchkoliv cˇ ástí systému pokud je to nutné • Vypracuje se závˇereˇcná výstupní zpráva Obrázek 4.1: Kroky provádˇení studie HAZOP
11
4.2
Principy zkoumání
Základem studie HAZOP je „zkoumání pomocí vodicích slov“, což je zámˇerné vyhledávání odchylek od cíle projektu. Pro usnadnˇení zkoumání se systém rozdˇelí na cˇ ásti tak, aby mohl být pro každou cˇ ást pˇrimˇeˇrenˇe stanoven cíl projektu (projektovaná funkce). Velikost zvolené cˇ ásti zpravidla závisí na složitosti systému a na závažnosti nebezpeˇcí. Ve složitých systémech nebo v systémech, které pˇredstavují velké nebezpeˇcí, bývají tyto cˇ ásti zpravidla malé. V jednoduchých systémech nebo v systémech, které pˇredstavují malé nebezpeˇcí, použití vˇetších cˇ ástí cˇ asto urychluje studii. Cíl projektu pro danou cˇ ást ˚ které jsou nositeli význaˇcných vlastností dané cˇ ásti a které pˇredsystému se vyjádˇrí pomocí prvku, ˚ které se mají zkoumat, je do urˇcitého rozsahu stavují pˇrirozené rozdˇelení systému na cˇ ásti. Volba prvku, ˚ subjektivním rozhodnutím, jelikož muže existovat nˇekolik kombinací, kterými bývá možné dosáhnout ˚ též záviset na konkrétní aplikaci. Prvky mohou být samostatné kroky požadovaného úˇcelu, a volba muže nebo etapy postupu, jednotlivé signály a objekty zaˇrízení v ˇrídicím systému, mohou to být zaˇrízení nebo souˇcástky v procesu nebo v elektronickém systému atd. Tým HAZOP zkoumá každý prvek (a charak˚ vést k nežádoucím teristiku, pokud to má význam) z hlediska odchylky od cíle projektu, která muže ˚ následkum. Rozpoznání odchylek od cíle projektu se dosahuje procesem kladení otázek s použitím pˇredem stanovených „vodicích slov“. Role vodicího slova spoˇcívá ve stimulaci nápaditého myšlení, jeho ˚ a diskuse, cˇ ímž se maximalizují vyhlídky na úplnost studie. Záksoustˇredˇení na studii a vyvolání nápadu ladní klíˇcová slova a jejich významy jsou uvedeny v tabulce 4.1.
Tabulka 4.1: Základní vodicí slova a jejich všeobecný význam Vodicí slovo Význam ŽÁDNÝ, NENÍ ŽÁDNÝ, NE VYŠŠÍ NIŽŠÍ ˇ A TAKÉ, JAKOŽ I, A ROVNEŽ ˇ ˇ E ˇ CÁSTE CN ˇ OBRÁCENÝ, ZPETNÝ JINÝ NEŽ
Úplná negace cíle projektu (projektované funkce) ˚ kvantitativní plus Kvantitativní nárust, Kvantitativní pokles, kvantitativní minus ˚ kvalitativní plus Kvalitativní nárust, Kvalitativní pokles, kvalitativní minus Logický opak cíle projektu (projektované funkce) Úplná náhrada/zámˇena
Dodateˇcná vodicí slova vztahující se ke stanovenému cˇ asu (clock time) a k poˇradí nebo posloupnosti jsou uvedena v tabulce 4.2.
Tabulka 4.2: Dodateˇcná vodicí slova vztahující se ke stanovenému cˇ asu a k poˇradí nebo posloupnosti Vodicí slovo Význam ˇ ˇ PRED CASNÝ Vzhledem ke stanovenému cˇ asu ˇ ZPOŽDENÝ Vzhledem ke stanovenému cˇ asu ˇ PRED Vzhledem k poˇradí nebo posloupnosti PO Vzhledem k poˇradí nebo posloupnosti
V etapˇe plánování studie HAZOP má vedoucí studie navrhnout poˇcáteˇcní seznam vodicích slov, která se mají používat. Vedoucí studie má navržená vodicí slova vyzkoušet u daného systému a má potvrdit jejich pˇrimˇeˇrenost. Volba vodicích slov se má peˇclivˇe uvážit, jelikož vodicí slovo, které je pˇríliš specifické, ˚ omezit nápady a diskusi a vodicí slovo, které je pˇríliš obecné, nemusí efektivnˇe zamˇeˇrit pozornost muže ˚ ˚ odchylek a s nimi spojených vodicích slov jsou uvedeny v studie HAZOP. Nˇekteré pˇríklady ruzných typu tabulce 4.3. 12
Typ odchylky
Tabulka 4.3: Pˇríklady odchylek a s nimi spojených vodicích slov Vodicí slovo Pˇríklad interpretace pro Pˇríklad interpretace pro zpracovatelský pr˚ umysl programovatelný elektronický systém (PES)
Negace
ŽÁDNÝ, NENÍ ŽÁDNÝ
Kvantitativní ˚ nárust, kvantitativní plus
VYŠŠÍ
NIŽŠÍ Kvalitativní ˚ nárust, kvalitativní plus
A TAKÉ, JAKOŽ I, ˇ A ROVNEŽ ˇ ˇ E ˇ CÁSTE CN
Náhrada, zámˇena
OBRÁCENÝ, ˇ ZPETNÝ
JINÝ NEŽ
ˇ Cas
ˇ ˇ PRED CASNÝ
ˇ ZPOŽDENÝ
Poˇradí nebo posloupnost
ˇ PRED
PO
Žádné cˇ ásti zamýšleného cíle (funkce) se nedosáhlo, ˚ napˇr. žádný prutok ˚ napˇr. vyšší Kvantitativní nárust, teplota
Nejsou pˇredávána žádná data nebo ˇrídicí signály
Kvantitativní pokles, napˇr. nižší teplota Jsou pˇrítomny neˇcistoty Souˇcasnˇe se vykonává nˇejaká další operace/krok
Data jsou pˇredávána nižší rychlostí, než je zamýšleno Je pˇrítomen nˇejaký další nebo rušivý signál
Dosahuje se pouze nˇeco ze zamýšleného cíle, napˇr. k zamýšlené pˇrepravˇe kapaliny dochází pouze cˇ ásteˇcnˇe Toto vodicí slovo se používá napˇr. pro obrácený tok v potrubí a zpˇetnou chemickou reakci Dosáhlo se jiného výsledku, ˚ než byl puvodní cíl, napˇr. došlo k pˇrenosu nesprávného materiálu K nˇecˇ emu, napˇr. ke chlazení nebo filtraci, došlo relativnˇe dˇríve vzhledem ke stanovenému cˇ asu K nˇecˇ emu, napˇr. ke chlazení nebo k filtraci, došlo relativnˇe pozdˇe vzhledem ke stanovenému cˇ asu K nˇecˇ emu, napˇr. ke smˇešování nebo ohˇrevu, došlo v nˇejaké posloupnosti pˇríliš brzy K nˇecˇ emu, napˇr. ke smˇešování nebo ohˇrevu, došlo v nˇejaké posloupnosti pˇríliš pozdˇe
Data nebo ˇrídicí signály jsou neúplné
Data jsou pˇredávána vyšší rychlostí, než je zamýšleno
Zpravidla se systému PES netýká.
Data nebo ˇrídicí signály jsou nesprávné
Signály pˇricházejí pˇríliš brzy vzhledem ke stanovenému cˇ asu Signály pˇricházejí pˇríliš pozdˇe vzhledem ke stanovenému cˇ asu Signály pˇricházejí dˇríve, než bylo v nˇejaké posloupnosti zamýšleno Signály pˇricházejí pozdˇeji, než bylo v nˇejaké posloupnosti zamýšleno
˚ v jiných etapách Kombinace vodicí slovo – prvek/charakteristika mohou být ve studiích jiných systému, životního cyklu a pˇri použití jiných prezentací projektu interpretovány odlišnˇe. Nˇekteré kombinace nemusí mít pro danou studii smysluplnou interpretaci a nemá se na nˇe brát ohled. Interpretace všech kombinací vodicí slovo – prvek/charakteristika má být pˇresnˇe vymezena a dokumentována. Soustavu kombinací vodicí slovo/prvek lze považovat za matici, ve které vodicí slova urˇcují ˇrádky a prvky urˇcují sloupce. ˇ V každé takto vytvoˇrené bunce matice potom bude specifická kombinace vodicího slova a prvku. K úplnému rozpoznání všech nebezpeˇcí je nutné, aby prvky a s nimi sdružené charakteristiky pokrývaly všechny pˇríslušné aspekty cíle projektu a vodicí slova pokrývala všechny odchylky. Ne všechny kombi13
˚ nace budou dávat vˇerohodné odchylky, takže i když se uváží všechny kombinace vodicích slov a prvku, ˚ mít matice nˇekolik prázdných míst. Existují dvˇe možné posloupnosti, v nichž se mohou bunky ˇ muže matice zkoumat, a sice ‚sloupec po sloupci‘, tj. nejdˇrív prvek, nebo ‚ˇrádek po ˇrádku‘, tj. nejdˇrív vodicí slovo. Výsledky tˇechto zkoumání mají být v zásadˇe stejné. Analýza se má ˇrídit podle toku nebo posloup˚ k výstupum ˚ v logické posloupnosti. nosti týkající se pˇredmˇetu analýzy, pˇriˇcemž má postupovat od vstupu Síla technik rozpoznávání nebezpeˇcí, jako je HAZOP, spoˇcívá v systematickém procesu zkoumání krok za krokem. Existují dvˇe možné posloupnosti zkoumání: „nejdˇrív prvek“ a „nejdˇrív vodicí slovo“, jak je znázornˇeno na obrázcích 4.2 a 4.3.
14
Obrázek 4.2: Vývojový diagram postupu zkoumání HAZOP – Posloupnost „nejdˇrív prvek“
15
Obrázek 4.3: Vývojový diagram postupu zkoumání HAZOP – Posloupnost „nejdˇrív vodicí slovo“
16
4.3 4.3.1
Pˇríklady Hodnocení pˇríˇcin kolize cisterny ADR s vlakem na železniˇcním pˇrejezdu
Pˇríklad se zabývá hodnocením pˇríˇcin kolize cisterny ADR s vlakem na železniˇcním pˇrejezdu. Jedná se o aplikaci metody HAZOP s posloupností „nejdˇrív prvek“ na modelovou úlohu. Vybrány byly takové charakteristiky, které jsou reprezentativní a relevantní pro nadefinované prvky modelového systému.
17
18
Závory
Funkˇcní pohon
signalizace
signalizace
5
Zvuk /
Zvuková
Relé / pˇrepínání
Dobrá viditelnost
4
Svˇetelná signalizace
2
Svíticí žárovka
Svˇetelná signalizace
Svˇetelná signalizace
1
Charakteristika
3
Prvek
cˇ .
Jiný než
není žádný
žádný,
Jiný než
Jiný než
žádný, není žádný
Vodicí slovo
nefunkˇcnosti pohonu
Závory se nesklopí v ˚ dusledku
zvuk signalizace
Není slyšet
dvˇema svˇetly
Relé nepˇrepíná mezi
Není vidˇet na svˇetelnou signalizaci
Žárovka nesvítí
Odchylka
Bˇežné opotˇrebení
opotˇrebení
Bˇežné
Bˇežné opotˇrebení
krytu
Stav poˇcasí, snížená ˚ pruhlednost
Prasklé vlákno
Možné pˇríˇciny
Bez ˚ následku
˚ následku
Bez
Bez ˚ následku
Bez ˚ následku
Bez ˚ následku
Nejsou
Nejsou
Nejsou
Nejsou
Nejsou
Bezpeˇcnostní opatˇrení
Lepší stínˇení svˇetelné signalizace proti odlesku, atd. Zálohování
˚ (pˇri nefunkˇcní Bez následku svˇetelné signalizaci fungují jako záloha systémy závor a zvukové signalizace) ˚ (pˇri nefunkˇcní Bez následku svˇetelné signalizaci fungují jako záloha systémy závor
˚ (pˇri nefunkˇcních Bez následku závorách fungují jako záloha systémy svˇetelné a zvukové signalizace)
zvukové signalizaci fungují jako záloha systémy závor a svˇetelné signalizace)
˚ (pˇri nefunkˇcní Bez následku
Zálohování pohonu
Nejsou
Výmˇena za diodová svˇetla
˚ (pˇri nefunkˇcní Bez následku svˇetelné signalizaci fungují jako záloha systémy závor a zvukové signalizace)
a zvukové signalizace)
Požadovaná opatˇrení
Komentáˇre
Datum porady: 29.4.2010
Složení týmu: Následky
Datum: 29.4.2010
Referenˇcní výkres: Schéma železniˇcního pˇrejezdu
Uvažovaná cˇ ást: Srážka cisterny ADR s vlakem na železniˇcním pˇrejezdu
List cˇ .: 1 z 2
Název studie: Hodnocení pˇríˇcin kolize cisterny ADR s vlakem na železniˇcním pˇrejezdu
Tabulka 4.4: Pracovní výkaz analýzy HAZOP pˇríˇcin kolize cisterny ADR s vlakem na železniˇcním pˇrejezdu (list 1)
Signál zaregistrování pˇrijíždˇejícího
vlaku
Signál
zaregistrování pˇrijíždˇejícího vlaku
ˇ Cidlo zabezpeˇcovacího
systému
ˇ Cidlo
zabezpeˇcovacího systému
8
19
Napájení zabezpeˇcovacího systému
Dopravní cisterna ADR
10
11
9
Celistvost závor
Závory
7
Pohyb / pˇreprava
Napájení
Pˇrevod pohonu
Závory
6
Charakteristika
Prvek
cˇ .
Žádný, není žádný
Žádný, není žádný
Jiný než
Žádný, není žádný
Jiný než
Žádný, není žádný
Vodicí slovo
Nemožnost jízdy v místˇe pˇrejezdu
Nefunkˇcní svˇetelná i zvuková signalizace a závory
zkreslený signál o pˇrijíždˇejícím vlaku
Podává
vlaku
Nepodává signál o pˇrijíždˇejícím
Mechanické poškození
nefunkˇcnosti pˇrevodu pohonu
Závory se nesklopí v ˚ dusledku
Odchylka
Srážka s cisternou ADR na pˇrejezdu
podvod
Srážka s cisternou ADR na pˇrejezdu
cisternou ADR na pˇrejezdu
Srážka s
ADR na pˇrejezdu
Srážka s cisternou
Bez ˚ následku
Bez ˚ následku
Bˇežné opotˇrebení, pojistný
Bˇežné opotˇrebení
opotˇrebení
Bˇežné
mus
Bˇežné opotˇrebení, vandalis-
Bˇežné opotˇrebení, vandalismus, vlivy poˇcasí
Bˇežné opotˇrebení
Následky
Nejsou
Nejsou
Nejsou
Nejsou
Nejsou
Nejsou
Bezpeˇcnostní opatˇrení
˚ (pˇri Bez následku nefunkˇcních závorách fungují jako záloha systémy svˇetelné a zvukové signalizace)
Nejsou
Vlastní generátor napájení
˚ nˇekolika metru
Zálohování cˇ idel ve vzd.
Zálohování cˇ idel ve vzd. ˚ nˇekolika metru
Výztuhy závor
Nejsou
˚ (pˇri Bez následku nefunkˇcních závorách fungují jako záloha systémy svˇetelné a zvukové signalizace)
Požadovaná opatˇrení
Komentáˇre
Datum porady: 29.4.2010
Složení týmu: Možné pˇríˇciny
Datum: 29.4.2010
Referenˇcní výkres: Schéma železniˇcního pˇrejezdu
Uvažovaná cˇ ást: Srážka cisterny ADR s vlakem na železniˇcním pˇrejezdu
List cˇ .: 2 z 2
Název studie: Hodnocení pˇríˇcin kolize cisterny ADR s vlakem na železniˇcním pˇrejezdu
Tabulka 4.5: Pracovní výkaz analýzy HAZOP pˇríˇcin kolize cisterny ADR s vlakem na železniˇcním pˇrejezdu (list 2)
4.3.2
HAZOP jednoduchého zaˇrízení na zpracování chemických látek
Uvažuje se jednoduché zaˇrízení na zpracování chemických látek uvedené na obrázku 4.4. Látky A a B ˚ aby se slouˇcily a vytvoˇrily v reaktoru jsou nepˇretržitˇe dopravovány cˇ erpadlem ze svých zdrojových tanku, produkt C. Pˇredpokládejme, že látka A musí být v reaktoru vzhledem k látce B vždy v pˇrebytku, aby se zabránilo nebezpeˇcí výbuchu. Úplná prezentace projektu by zahrnovala mnoho dalších podrobností, ˚ míchání, dobu reakce, sluˇcitelnost cˇ erpadel A a B atd., ale jako je vliv tlaku, teploty reakce a reaktantu, pro úˇcely tohoto jednoduchého názorného pˇríkladu budou tyto podrobnosti ignorovány. Zkoumaná cˇ ást zaˇrízení je znázornˇena tuˇcnˇe.
Obrázek 4.4: Schéma jednoduchého toku ˇ Cást systému vybraná pro zkoumání je potrubí od zdrojového tanku obsahujícího látku A k reaktoru, vˇcetnˇe cˇ erpadla A. Cíl projektu pro tuto cˇ ást je nepˇretržitˇe pˇrepravovat látku A z tanku do reaktoru ˚ je uveden v záhlaví: rychlostí vˇetší, než je rychlost pˇrepravy látky B. Cíl projektu vyjádˇrený v podobˇe prvku Látka A
ˇ Cinnost Pˇreprava (rychlostí > B)
Zdroj Tank pro A
Místo urˇcení Reaktor
Každé z vodicích slov uvedených v tabulce 4.1 (plus jakýchkoliv jiných slov dohodnutých jako vhodná vodicí slova bˇehem pˇrípravných prací) se potom postupnˇe použije u každého prvku a výsledek se zazna˚ HAZOP. mená do pracovních výkazu Proved’te metodu HAZOP pro prvky „látka“ a „ˇcinnost“ podle tabulky 4.6. Poté, co jsou prozkoumána všechna vodicí slova u každého prvku pˇríslušného této cˇ ásti systému, by mohla být zvolena další cˇ ást (ˇreknˇeme pˇrepravní potrubí pro látku B) a proces by se mohl opakovat. ˚ Koneˇcnˇe by se tímto zpusobem prozkoumaly všechny cˇ ásti systému a výsledky by se zaznamenaly. 20
21
4
3
Nižší
Žádný, není žádný
1
2
Vodicí slovo
ˇ C.
Potrubí je cˇ ásteˇcnˇe ucpané, ˚ prusak, snížený výkon cˇ erpadla atd.
Výbuch
Žádná nejsou specifikována
Nepˇrijatelné
Zkontrolovat ˚ prutoky cˇ erpadlem a jeho charakteristiky pˇri oficiálním uvádˇení do provozu Zkontrolovat postup uvádˇení do provozu
JK
List cˇ .: 1 z 4 ˇ Císlo revize: Datum: 17. 12. 1998 LB, DH, EK, NE, MG, JK Datum porady: 15. 12. 1998 Pˇrepravní potrubí ze zásobního tanku A do reaktoru ˇ Látka: A Cinnost: Nepˇretržitá pˇreprava rychlostí vˇetší než B Zdroj: Tank pro Místo urˇcení: Reaktor A Odchylka Možné Následky Bezpeˇcnostní Komentáˇre Požadovaná Opatˇrení pˇríˇciny opatˇrení opatˇrení pˇridˇeleno Žádná látka A Zdrojový Žádný tok A Žádná nejsou Nepˇrijatelná Uvážit instalaci MG tank je do reaktoru specifikována situace poplachu plus prázdný Výbuch zablokování cˇ erpadla B pˇri nízké hladinˇe v tanku A
Pˇreprava Snížený ˚ A prutok látky (rychlostí A > B)
Látka A
Prvek
Název studie: Pˇríklad procesu Výkres cˇ .: Složení týmu: Uvažovaná cˇ ást: Cíl projektu:
Tabulka 4.6: Pracovní výkaz HAZOP pro pˇríklad 4.3.2
4.3.3
HAZOP na postup výroby
Uvažuje se malý dávkový proces pro výrobu bezpeˇcnostnˇe kritické plastikové souˇcástky. Souˇcástka má ˇ splnovat pˇrísnou specifikaci jak z hlediska materiálových vlastností, tak i barvy. Posloupnost zpracování je následující: 1. vezme se 12 kg prášku „A“; 2. nasype se do míchaˇcky; 3. vezme se 3 kg barvicího prášku „B“; 4. nasype se do míchaˇcky; 5. míchaˇcka se spustí; 6. míchá se 15 min; míchaˇcka se zastaví; ˚ po 5 kg; 7. smíchaná smˇes se nasype do tˇrí sáˇcku 8. míchaˇcka se vymyje; 9. do míchací nádoby se pˇridá 50 l pryskyˇrice; 10. do míchací nádoby se pˇridá 0,5 kg tužidla; 11. pˇridá se 5 kg smíchaného prášku („A“ a „B“); 12. míchá se 1 min; 13. smˇes se do 5 min vylije do formy. ˚ Provádí se studie HAZOP, aby se prozkoumaly zpusoby, jakými by mohla být vyrobena látka podle zadané specifikace. Jelikož se jedná o posloupnost postupu, používají se jako zkoumané cˇ ásti pˇri procesu HAZOP pˇríslušné instrukce postupu. Proved’te metodu HAZOP podle následující tabulky 4.7
22
23
4
3
2
Vezme se prášek A
A také, jakož i, a rovnˇež
S látkou „A“ se pˇridává další látka
Látka „A“ je kontaminována neˇcistotami
Specifikace barvy nemusí být splnˇena. Nemusí být dosaženo koneˇcné smˇesi.
Název studie: Postupy Název postupu: Malovýroba složky X Složení týmu: BK, JS, LE, PA Uvažovaná cˇ ást: Instrukce 1: Vezme se 12 kg prášku „A“ ˇ C. Prvek Vodicí Odchylka Možné Následky slovo pˇríˇciny 1 Vezme se Žádný, Žádný prášek Chyba Koneˇcná prášek A není „A“ se nevzal pracovníka látka žádný obsluhy neztuhne Bezpeˇcnostní opatˇrení Pracovník obsluhy má vidˇet, že je v míchaˇcce pˇríliš málo látky. Barva by též byla pˇríliš svˇetlá. Pˇred použitím se otestuje vzorek ze všech dodávek „A“
ˇ Císlo revize:
Úplná nepˇrítomnost látky „A“ se nepovažuje za pravdˇepodobnou
Komentáˇre
Zkontrolovat postupy zajištˇení kvality výrobce
Požadovaná opatˇrení Žádná
List cˇ .: 1 z 3 Datum: Datum porady:
BK
Opatˇrení pˇridˇeleno
Tabulka 4.7: Pˇríklad pracovního výkazu HAZOP pˇríkladu 4.3.3
4.3.4
HAZOP na systém automatické ochrany vlaku
Úˇcel systému Tato aplikace se týká zaˇrízení automatické ochrany vlaku (ATP), které je souˇcástí vlaku. Je to funkce používaná v mnoha vlacích metra a v nˇekterých vlacích na hlavních tazích. Zaˇrízení ATP monitoruje rychlost vlaku, srovnává ji s plánovanou bezpeˇcnou rychlostí vlaku a automaticky spouští nouzové brzdˇení, jestliže zjistí stav pˇrekroˇcení rychlosti. Ve všech systémech ATP existuje zaˇrízení jak ve vlaku, tak na trati, ˚ ˚ ATP, které se liší v pokterým se pˇredávají informace z trati do vlaku. Existuje mnoho ruzných systému ˚ drobnostech zpusobu, jakým plní základní požadavky. Popis systému Ve vlaku je jedna nebo více antén, které pˇrijímají signály z trat’ového zaˇrízení poskytujícího informace o bezpeˇcných rychlostech nebo o bodech zastavení. Tyto informace jsou pˇred pˇredáním programovatelnému elektronickému systému (PES) podrobeny urˇcitému zpracování. Další hlavní vstup do systému ˚ nebo z jiných prostˇredku ˚ mˇeˇrení skuteˇcné rychlosti vlaku. Hlavním výstupem sysPES je z tachometru tému PES je signál k bezpeˇcnostním relé, jako je relé ˇrídící nouzovou brzdu. Na obrázku 4.5 je uveden jednoduchý blokový diagram tohoto zaˇrízení.
Obrázek 4.5: Zaˇrízení ATP ve vlaku
24
25
4
3
2
Tachometr
Rychlost
A také, jakož i, a rovnˇež
Je indikováno mnoho rychlostí
Náhlé zmˇeny výstupu ˚ zpusobené prokluzováním kola
˚ být Muže pˇríˇcinou akce založené na nesprávné rychlosti
Název studie: Systém automatické ochrany vlaku ˇ Referenˇcní výkres cˇ .: Blokový diagram ATP Císlo revize: 1 Složení týmu: DJ, JB, BA Uvažovaná cˇ ást: Vstup z trat’ového zaˇrízení Cíl projektu: Pˇres antény poskytovat pro PES signál obsahující informace o bezpeˇcných rychlostech a bodech zastavení ˇ C. Prvek Charakteristika Vodicí Odchylka Možné Následky Bezpeˇcnostní Kom. slovo pˇríˇciny opatˇrení 1 Vstupní Amplituda Žádný, Žádný signál Porucha Uvažováno v samostatné signál není není vysílaˇce studii trat’ového zaˇrízení žádný detekován
Požadovaná opatˇrení Pˇrezkoumat výstup ze studie trat’ového zaˇrízení Zkontrolovat, zda se jedná o problém vyskytující se v praxi
List cˇ .: 1 z 2 Datum: Datum porady:
Tabulka 4.8: Pˇríklad pracovního výkazu HAZOP pro systém automatické ochrany vlaku
5
Analýza zp˚ usob˚ u, d˚ usledk˚ u (a kritiˇcnosti) poruch (FMEA/FMECA )
[5] ˚ ˚ a dusledk ˚ ˚ poruch FMEA (Failure Mode and Effects Analysis) = Analýza zpusob u u ˚ ˚ poruch systému, ˚ jejich pˇríˇcin • strukturovaná kvalitativní analýza, která slouží k identifikaci zpusob u ˚ ˚ a dusledk u
5.1
Popis metody
• Induktivní metoda – provádí kvalitativní analýzu od nižší k vyšší úrovni cˇ lenˇení systému. ˚ ˚ a dusledk ˚ ˚ poruch vyžaduje pro správné provedení seznam zaˇrízení systému • Analýza zpusob u u ˚ ˚ poruch, znalost funkcí celého systému nebo podnebo podniku, znalost funkcí zaˇrízení a zpusob u niku a znalost odezev na selhání zaˇrízení. ˚ ˚ a dusledk ˚ ˚ poruch FMEA vychází ze seznamu zaˇrízení. U každého zaˇrízení jsou • Analýza zpusob u u ˚ uvedeny potenciální poruchy a jejich možné nežádoucí úˇcinky. FMEA identifikuje primární zpusoby poruchy, které vedou k nehodˇe nebo k ní významnˇe pˇrispˇejí. Úˇcelem FMEA je identifikovat ˚ zpusoby poruch jednotlivých zaˇrízení a jejich následky. ˚ ˚ • Zkoumá jakým zpusobem mohou objekty na nižší úrovni selhat a jaký dusledek mohou mít tato selhání pro vyšší úrovnˇe systému (tomu pˇredchází dekompozice a stanovení úrovní systému).
5.2
Cíle metody
˚ ˚ a posloupnosti jevu ˚ pro každý zjištˇený zpusob ˚ • Posouzení dusledk u poruchy prvku, at’ má jakouko˚ liv pˇríˇcinu, a to na ruzných funkˇcních úrovních systému. ˚ • Urˇcení významnosti nebo kritiˇcnosti každého zpusobu poruchy vzhledem k požadované funkci ˚ ˚ na bezporuchovost nebo bezpeˇcnost procesu. systému s uvážením dusledk u 26
˚ ˚ poruch podle toho, jak snadno je lze zjistit, diagnostikovat, testovat,.. • Klasifikace zpusob u ˚ významnosti a pravdˇepodobnosti poruchy, jsou-li k dispozici potˇrebná data. • Odhady ukazatelu
5.3
Použití metody
• Nejvýznamnˇejší využití v etapˇe návrhu a vývoje, jako souˇcást pˇrezkoumání návrhu (metoda pˇredbˇežného varování). • Pˇri modifikaci a modernizaci systému. • Pˇri zmˇenách provozních podmínek. ˚ norem, pˇredpisu ˚ nebo uživatele. • Pˇri prokazování požadavku • Podklad pro: – návrh konstrukˇcních zmˇen, – požadavky na provedení zkoušek. • V období vznikajícího návrhu, konstrukce nebo projektu slouží FMEA k identifikaci a analýze všech ˚ které mohou nastat. potenciálnˇe možných poruchových stavu, • Cílem je odstranit nebo potlaˇcit poruchové stavy zmˇenou cˇ i úpravou konstrukˇcního ˇrešení = FMEA konstrukˇcní. ˚ jejichž • Pˇri návrhu procesu slouží k identifikaci a analýze všech jeho možných poruchových stavu, pˇríˇciny mohou spoˇcívat v navrhovaném postupu procesu. ˚ – Cílem je umožnit návrh nápravných opatˇrení k odstranˇení (potlaˇcení) poruchových stavu zmˇenou návrhu procesu = FMEA procesní (výrobní). • FMEA procesní by mˇela navazovat na provedenou FMEA konstrukˇcní a provádí se jako závˇereˇcná ve fázi schvalování technické pˇrípravy výrobního postupu. ˚ resp. jednotlivých operací • Rozšíˇrením analýz na vzájemné funkˇcní souvislosti jednotlivých dílu, ˚ vˇcetnˇe jejich analýzy z hlediska všech "zúˇcastnˇených" prvku ˚ (ˇclovˇek – stroj – materiál procesu, – prostˇredí) pˇri FMEA/FMECA procesní se dospˇelo k jejich komplexnˇejšímu pojetí, které je oznaˇcováno jako tzv. FMEA systémová (výrobková).
5.4
Požadavky metody na vstupní informace
• úˇcel a cíle analýzy • musí být pˇresnˇe vymezeno, k jakému úˇcelu je analýza provádˇena • technický popis systému – slovní popisy konstrukˇcního uspoˇrádání, podrobná výkresová dokumentace, schémata, grafy, ˚ systému jednoznaˇcná identifikace a popis funkce jednotlivých prvku ˚ • definice funkcí systému a jeho prvku ˚ ˚ – podrobný výˇcet všech duležitých funkcí systému a prvku • funkˇcní cˇ lenˇení systému ˚ až do požadované hloubky analýzy – cˇ lenˇení do funkˇcních subsystému 27
˚ být podobné konstrukˇcnímu uspoˇrádání, ale není to pravidlem – muže • definice rozhraní systému ˚ a prvku, ˚ kde dochází k interakci se „sousedními“ systémy nebo – vymezení hraniˇcních bodu ˚ s vnˇejším okolím, aby se prvky neopakovaly vícekrát v ruzných systémech
˚ ˚ dusledk ˚ ˚ a kritiˇcnosti poruch FMECA (Failure Mode, Effects and Criticality Analysis) = Analýza zpusob u, u ˚ ˚ poruch a pravdˇepodobnosti jejich nastoupení • rozšíˇrení metody FMEA o odhad kritiˇcnosti dusledk u
´C ˇ ´ISLO = VYZNAM ´ ´ RIZIKOVE · VYSKYT · ODHALITELNOST
Obrázek 5.1: Pˇríklad obsahu tabulky FMECA [?]. ˚ Napˇr. v automobilovém prumyslu stále používají zkratku FMEA, aˇckoli obsahem již používají nástroj FMECA. Tabulka 5.1: Hodnocení významu vady pˇri FMECA návrhu výrobku. Následek vady Význam vady Hodnocení ˇ Nebezpeˇcný Vada bez výstrahy ovlivnuje bezpeˇcnost výrobku 10 ˚ bez výstrahy nebo dodržování zákonných požadavku. ˇ Nebezpeˇcný Vada ovlivnuje bezpeˇcnost výrobku nebo 9 ˚ s výstrahou. s výstrahou zákonných požadavku Velmi vážný Nefunkˇcní výrobek se ztrátou hlavní funkce. 8 Funkˇcní výrobek se sníženou výkonností. Vážný 7 Zákazník je nespokojen. Funkˇcní výrobek s nefunkˇcní cˇ ástí zajišt’ující Stˇrední 6 pohodlí. Zákazník pocit’uje nepohodlí. Funkˇcní výrobek, ale cˇ ásti zajišt’ující pohodlí Nízký pracují na nižší úrovni. Zákazník pocit’uje urˇcitou 5 nepohodlnost. Ozdobné nebo tlumicí prvky neodpovídají. Velmi nízký 4 ˚ Vadu zaznamená vˇetšina zákazníku. Ozdobné nebo tlumicí prvky neodpovídají. Malý 3 ˚ erný zákazník. Vadu zaznamená prumˇ Ozdobné nebo tlumicí prvky neodpovídají. Velmi malý 2 Vadu zaznamená nároˇcný zákazník. 1 Žádný Žádný následek. 28
Tabulka 5.2: Pravdˇepodobnost výskytu vady. Pravdˇepodobnost výskytu vady Možný výskyt Velmi vysoká: vada je témˇeˇr nevyhnutelná 1–2 ze 2 1 ze 3 Vysoká: opakované vady 1z8 1 z 20 1 z 80 Stˇrední: obˇcasné vady 1 ze 400 1 z 2 000 Nízká: relativnˇe málo vad 1 z 15 000 1 ze 150 000 Vzdálená: vada je nepravdˇepodobná Ménˇe než 1 z 1 500 000
Hodnocení 10 9 8 7 6 5 4 3 2 1
Tabulka 5.3: Odhalitelnost vady pˇri FMECA návrhu výrobku. Odhalitelnost Pravdˇepodobnost odhalení vady pˇri posuzování návrhu Absolutnˇe Posuzování návrhu výrobku neodhalí možnou pˇríˇcinu nemožná vady ani následnou vadu nebo se posuzování neprovádí. Velmi vzdálená Velmi vzdálená možnost, že posuzování návrhu výrobku odhalí možnou pˇríˇcinu vady nebo následnou vadu. Vzdálená Vzdálená možnost, že posuzování návrhu výrobku odhalí možnou pˇríˇcinu vady nebo následnou vadu. Velmi malá Velmi malá možnost, že posuzování návrhu výrobku odhalí možnou pˇríˇcinu vady nebo následnou vadu. Malá Malá možnost, že posuzování návrhu výrobku odhalí možnou pˇríˇcinu vady nebo následnou vadu. ˚ erná ˚ erná možnost, že posuzování návrhu výrobku Prumˇ Prumˇ odhalí možnou pˇríˇcinu vady nebo následnou vadu. ˚ erná možnost, že posuzování návrhu Mírnˇe Mírnˇe nadprumˇ ˚ erná nadprumˇ výrobku odhalí možnou pˇríˇcinu vady nebo následnou vadu. Vysoká Vysoká možnost, že posuzování návrhu výrobku odhalí možnou pˇríˇcinu vady nebo následnou vadu. Velmi vysoká Velmi vysoká možnost, že posuzování návrhu výrobku odhalí možnou pˇríˇcinu vady nebo následnou vadu. Témˇeˇr jistá Posuzování návrhu výrobku témˇeˇr jistˇe odhalí možnou pˇríˇcinu vady nebo následnou vadu
Hodnocení 10 9 8 7 6 5 4
3 2 1
˚ • Hodnota rizikového cˇ ísla by mˇela sloužit ke stanovení poˇradí duležitosti jednotlivých možných vad vyvolaných urˇcitou pˇríˇcinou. Vzhledem k tomu, že jednotlivá dílˇcí kritéria jsou hodnocena v ˚ muže ˚ se rizikové cˇ íslo pohybovat v rozmezí od 1 do 1000. rozmezí od jednoho do deseti bodu, ˚ v tomto rozmezí nabývat pouze vybraných hod• Je však potˇreba si uvˇedomit, že rizikové cˇ íslo muže not, pˇriˇcemž jejich rozdˇelení není rovnomˇerné. • Možných kombinací jednotlivých dílˇcích hodnot je sice tisíc, ale nˇekterých hodnot rizikového cˇ ísla ˚ nelze dosáhnout a nˇekterá se mohou pˇri ruzných kombinacích opakovat. 29
Tabulka 5.4: Speciální pˇrípady rozdˇelení pˇri hodnocení rizika možných vad a potˇreba opatˇrení. ˇ ODHALI POTREBA CHARAKTERISTIKA VÝZNAM VÝSKYT ˇ TELNOST OPATRENÍ
5.5
1 1 10 10
1 1 1 1
1 10 1 10
1
10
1
1
10
10
10 10
10 10
1 10
Ideální, cílový stav Bezpeˇcnˇe ˇrízený proces Vada se nedostane k zákazníkovi ˚ dostat k zákazníkovi Vada se muže ˇ Castá snadno odhalitelná vada, která ale stojí peníze ˇ ˚ dostat Castá vada, která se muže k zákazníkovi ˇ Castá vada velkého významu Tady není v poˇrádku NIC
NE NE NE ANO ANO ANO ANO ANO
Postup metody FMEA, FMECA
Vlastní provádˇení metody FMECA zahrnuje cˇ tyˇri skupiny cˇ inností, první skupina samostatnˇe je metodou FMEA: ˚ 1. Identifikují se jakékoliv myslitelné poruchové stavy a analyzují se jejich možné projevy, dusledky a pˇríˇciny; provádˇení tohoto kroku analýzy vyžaduje stanovit: • místo a / nebo popis • projev ˚ • dusledek • pˇríˇcinu 2. Hodnotí se souˇcasný stav tzv. rizikovým cˇ íslem MR/P (míra rizika / priorita): • Bodová ohodnocení se nejˇcastˇeji získávají roztˇrídˇením výskytu, významu a odhalitelnosti vždy do deseti tˇríd podle zvolených klasifikaˇcních tabulek. Napˇr. pro cˇ initel „Význam“ je hodnota ˚ 10, resp. 9 pˇriˇrazena pˇrípadum, kdy vzniká bezpeˇcnostní riziko, hodnota 1 je pˇriˇrazena pˇrí˚ kdy má následek poruchového stavu (vady) jen malý význam pro koneˇcného uživatele padum, (napˇr. velmi malé omezení funkcí, rozeznatelné jen odborníkem). M R/P = Výskyt · Význam · Odhalitelnost Výskyt bodové ohodnocení pravdˇepodobnosti výskytu poruchového stavu, ˚ ˚ Význam bodové ohodnocení významu následku (tj. závažnosti z hlediska nepˇríznivých dusledk u pro zákazníka), Odhalitelnost bodové ohodnocení odhalitelnosti (tj. detekce) pˇríˇciny, resp. následku poruchového stavu pˇred dodáním zákazníkovi. 3. Navrhnou se opatˇrení k nápravˇe (zmˇena cˇ i úprava konstrukˇcního ˇrešení, návrhu výrobního pos˚ a odpovˇedností. tupu apod.) s vymezením termínu 4. Po realizaci opatˇrení k nápravˇe se provede opakovanˇe analýza podle 2. bodu postupu vˇcetnˇe hodnocení rizikovým cˇ íslem MR/P zlepšeného stavu. 30
5.6
Kritiˇcnost poruchy
˚ ˚ dané poruchy pˇri uvažování její cˇ etnosti • ohodnocení závažnosti dusledk u
5.7 5.7.1
Pˇríklady FMECA cˇ ásti automobilové elektroniky s výpoˇctem RPN
˚ Analyzovanou montážní sestavou je napájecí zdroj a pouze jeho propojení k bateriovým pˇrívodum. ˚ je pˇripojena dioda D1 a kondenzátor C9 spojující kladný pól baterie se zemí. K bateriovým pˇrívodum Dioda D1 má obrácenou polaritu, aby v pˇrípadˇe, že by byl k objektu pˇripojen záporný pól baterie, se toto záporné napˇetí zkratovalo na zem a objekt by byl ochránˇen pˇred poškozením. Kondenzátor C9 je urˇcen pro filtraci elektromagnetického rušení. ˚ zkratoval na zem, baterie by se též zkratovala na zem, což by vedlo Jestliže by se kterýkoliv z tˇechto dílu ˚ pˇešky“ k vybití baterie vozidla. Taková porucha je rozhodnˇe bez varování a porucha typu „vrat’ se domu ˚ ˚ je v automobilovém prumyslu považována za nebezpeˇcnou. Tudíž se klasifikace závažnosti pro zpusoby ˚ typu „zkrat“ rovná 10. poruch obou dílu ˚ pˇri jejich pˇríslušných namáháních po dobu života vozidla Výskyty byly vypoˇcteny z intenzit poruch dílu ˚ ˚ a potom byly pˇrizpusobeny stupnici používané v analýze FMEA v automobilovém prumyslu. ˚ mohl být pˇri zkoušce ihned zpozorován – objekt Detekce je velmi nízká, jelikož by zkrat jakýchkoliv dílu nefunguje. ˚ Pˇrerušení jakéhokoliv výše uvedeného dílu nezpusobí žádnou škodu objektu s výjimkou pˇrerušení diody, potom by nedošlo k ochranˇe obráceného pˇripojení baterie, zatímco pˇri pˇrerušení kondenzátoru nedojde k žádnému filtrování elektromagnetického rušení – je možné, že u jiných zaˇrízení ve vozidle dojde k šumovému rušení. ˚ V tabulce 5.5 je provedena cˇ ást analýzy pro diodu D1. Proved’te obdobným zpusobem analýzu pro kondenzátor C9.
31
32
C9
C9
Pˇrerušení
Zkrat
D1
D1
Potenciální zp˚ usob poruchy
Objekt / funkce
Nezasluhuje pozornost
Žádná ochrana proti pˇrepólování
pˇešky"
Vybití baterie, "vrat’ se ˚ domu
Zkrat +pólu baterie na -zem
Potenciální d˚ usledek poruchy
2
10
Z á v a ž n o s t
Vada kontaktování nebo prasklina v polovodiˇci
Vnitˇrní vada souˇcástky
materiálu
Vnitˇrní vada souˇcástky ˚ Pruraz
Potenciální pˇríˇcina / mechanismus poruchy
3
3
V ý s k y t
Hodnocení a validaˇcní zkoušky bezporuchovosti
jmenovitým zatížením
a validaˇcní zkoušky bezporuchovosti
Volba kvalitnˇejší souˇcástky s vyšším
Hodnocení
kvalitnˇejší souˇcástky s vyšším jmenovitým zatížením
ˇ Rízení návrhu ohlednˇe detekce
Volba
ˇ Rízení návrhu ohlednˇe prevence
2
1
D e t e k c e
12
30
RPN
Doporuˇcené opatˇrení
Provedené opatˇrení
Z á v a ž n o s t
V ý s k y t
D e t e k c e
RPN
Tabulka 5.5: FMEA cˇ ásti automobilové elektroniky s výpoˇctem RPN
5.7.2
Kompaktní svítidlo sporáku
Kompaktní svítidlo sporáku se skládá z následujících cˇ ástí: • Keramický plášt’ • Žárovka ˇ • Upevnovací spona • Podložka • Sklenˇená krytka • Pˇripojovací konektory a kontakty objímky • Závitový kroužek Popis funkce jednotlivých cˇ ástí a jejich identifikace jsou uvedeny v následující tabulce. Název zaˇrízení Keramický plášt’ Žárovka ˇ Upevnovací spona Podložka Sklenˇená krytka Pˇripojovací konektory a kontakty objímky
Funkce ˚ svítidla. Nosný díl všech prvku Osvˇetlení peˇcící trouby. Element upevnˇení svítidla v panelu. Pružný element pod sklenˇenou krytkou. Krytka svítidla. Vytváˇrí styk v objímce. Slouží pro ˚ pˇripojení vodiˇcu.
Identifikaˇcní cˇ íslo 1234-K1 25W/240V, T300 1234-R2 1234-R3 1234-B4 1234-R5, R6
Proved’te analýzu FMEA/FMECA do pˇripravené tabulky 5.6, využijte tabulek 5.1, 5.2 a 5.3 pro volbu hodnot významu (závažnosti), pravdˇepodbnosti (výskytu) a odhalitelnosti (detekce). Uved’te, která cˇ ást ˇ Vámi vyplnované tabulky je metodou FMEA a která metodou FMECA a proˇc.
33
Potenciální
zp˚ usob poruchy
Praskání, vyštipování.
Objekt /
funkce
Keramický plášt’
Svˇetlo nedrží v požadované pozici.
d˚ usledek poruchy
Potenciální
5
Z á v a ž n o s t
34 stˇeny dna.
Nevhodný materiál, nevhodná tloušt’ka
pˇríˇcina / mechanismus poruchy
Potenciální
3
t
V ý s k y
Volba kvalitnˇejšího materiálu, silnˇejší dno.
návrhu ohlednˇe prevence
ˇ Rízení
Zkoušky materiálu i výrobku.
návrhu ohlednˇe detekce
ˇ Rízení
1
D e t e k c e
15
RPN
Vhodnˇejší materiál
opatˇrení
Doporuˇcené
Zvolen ménˇe kˇrehký materiál
opatˇrení
Provedené
5
Z á v a ž n o s t
2
t
V ý s k y
1
D e t e k c e
10
RPN
Tabulka 5.6: FMEA/FMECA kompaktního svítidla sporáku
6
Analýza stromu poruchových stav˚ u (FTA ) ˚ byla vyvinuta pro potˇreby elektrotech• Analýza bezpeˇcnosti metodou stromu poruchových stavu ˚ dosažených niky, rozvíjena v letectví a široké použití nalezla v jaderné energetice. Na základˇe výsledku ˚ v jaderné energetice je dnes používána také v procesním prumyslu. Sestavení stromu poruchových ˚ pro kterýkoliv systém je velmi nároˇcné na cˇ as, znalosti a zkušenosti. stavu • Strom poruch je logický graf, který slouží k odhalení cest, kterými se mohou v systému šíˇrit poruchy. Jde o postup deduktivní, vychází se z pˇresnˇe definované koneˇcné poruchy - vrcholové události - tzv. „Top Event“ a hledají se pˇríˇciny nebo soubˇehy pˇríˇcin (rozvíjejí se scénáˇre), které mohou koneˇcnou ˚ událost zpusobit.
Pˇred zahájením analýzy je nutno ˇrešit tyto úkoly: 1. Pˇresnˇe definovat analyzovanou - tzv. vrcholovou událost (Top Event). Popis musí být pˇresný a pˇrimˇeˇrený, napˇr. vysoká teplota v reaktoru, pˇríliš vysoká hladina kapaliny v zásobníku. Naproti tomu se události typu „exploze reaktoru“ nebo „požár v procesu“ jeví jako pˇríliš neurˇcitý, vágní popis události. Opaˇcnˇe zase událost typu „netˇesnost ventilu“ se jeví pro tuto analýzu jako pˇríliš specifická, detailní. 2. Popis sledované události. Jaké okolnosti/podmínky musejí nastat, aby k takové události došlo. 3. Stanovit okolnosti, které se pˇri analýze nebudou brát do úvahy. Jsou to pˇrípady, které jsou nepravdˇepodobné, ˚ to být úˇcinek tornáda, blesku, porucha el. vedení atd. nebo se neuvažují. Muže 4. Stanovit fyzikální hranice systému. Které cˇ ásti systému (ještˇe) vezmete do úvah pˇri sestavování stromu poruch? 5. Popsat uvažovaný stav systému, které ventily jsou otevˇreny a které zavˇreny? Jaké jsou uvažované výšky hladin? Jedná se o normální provozní stav? ˇ podrobnosti analýzy. Je prvkem ventil nebo je ventil soubor prvku? ˚ 6. Definovat úroven ˚ Vychází se z vrcholové události, kterou analyzu• Vlastní sestavení stromu poruch má ˇradu kroku. jeme. V dalších krocích se hledají možnosti pˇredzvˇesti vrcholové události / poruchy v jednotlivých subsystémech. Tato fáze analýzy je nároˇcná na cˇ as, znalosti a zkušenosti. Postupuje se tak, že se hledají dílˇcí události, které pˇrispívají/vedou k vrcholové události. • Závažným krokem je posouzení logického vztahu mezi dílˇcími událostmi a událostí vrcholovou – pˇriˇrazení logického operátoru. Pokud k vrcholové události dojde jen v pˇrípadˇe souˇcasného výskytu všech dílˇcích událostí (paralelní ˇrazení), jde o logický operátor „AND“. Pokud má dílˇcí událost za následek vrcholovou událost, (sériové ˇrazení), jde o logický operátor „OR“. 35
6.1
ÚLOHA (Sestavení stromu poruch jednoduchého systému s tlakovým reaktorem)
Popis ˇrešeného problému: 1. Vrcholová událost - zniˇcení reaktoru vysokým tlakem. 2. Okolnosti vedoucí k výskytu - vysoký procesní tlak v reaktoru. 3. Neuvažované události - porucha míchadla, porucha el. vedení. 4. Hranice uvažovaného systému – viz. schéma zaˇrízení. 5. Uvažovaný stav - Solenoidový ventil je otevˇrený, nátok do reaktoru volný. ˚ • Generování stromu poruch vychází z vrcholové události. Nárustu tlaku v reaktoru brání dva subsystémy. Jde o regulaci pˇrívodu vstupního proudu do reaktoru na základˇe hodnoty tlaku a havarijní ˚ bezporuchový, signalizaci pˇrekroˇcení horní povolené hodnoty tlaku. Pokud je jeden ze systému lze vrcholové události pˇredejít. Pokud souˇcasnˇe selžou oba subsystémy, dojde k havárii. Poruchové ˚ se propojí logickým operátorem „AND“ (jsou ˇrazeny paralelnˇe - kterýkoliv stavy tˇechto subsystému z nich je schopen vrcholové události / poruše zabránit.). ˚ Poruchový stav • Generování stromu poruch pokraˇcuje rozborem dvou uvažovaných subsystému. subsystému signalizace bude vyvolán poruchou tlakového spínaˇce 1 nebo poruchou svˇetelné sig˚ muže ˚ vyvolat poruchu subsystému – odpovínalizace. To znamená, že kterýkoliv z uvedených prvku dající logický operátor bude „OR“. • Analogická situace je i v pˇrípadˇe poruchy subsystému regulace. Bezporuchový provoz vyžaduje bezporuchovost tlakového spínaˇce i solenoidového ventilu. Prakticky to znamená, že porucha kteréhokoliv prvku znamená poruchu subsystému. 36
˚ nejsou dále analyzovány. Úroven ˇ podrobnosti analýzy • Na této úrovni analýza konˇcí, poruchy prvku ˇ bývá ovlivnována jednak požadavky praxe a jednak požadavkem na kvantitativní ocenˇení stromu ˇ analýzy je potom ovlivnˇena dostupností údaju ˚ o spolehlivosti prvku. ˚ Prvkem je událostí. Úroven potom taková cˇ ást subsystému, jejíž spolehlivostní charakteristiky jsou známy, nebo se pˇredpokládá, že je lze získat.
• Dˇelení systému na prvky je vždy úˇcelovou záležitostí.
• Pokud jsou známy spolehlivostní charakteristiky, lze stanovit pravdˇepodobnosti poruchy jednotlivých ˚ Pˇredpokládejme, že pravdˇepodobnosti poruchy jednotlivých prvku ˚ systému byly stanoveny prvku. takto :
– tlakový spínaˇc 1 : P1 = 0,13
– svˇetelná signalizace : P2 = 0,04
– tlakový spínaˇc 2 : P3 = 0,13
– solenoidový ventil : P4 = 0,34
˚ • Použitím jednoduchých pravidel z oblasti matematické logiky (prunik a sjednocení nezávislých ˚ dostaneme koneˇcný výsledek. Pro subsystém signalizace dostaneme pravdˇepodobnost poruchy jevu) 0,17 a pro subsystém regulace dostaneme pravdˇepodobnost poruchy 0,47. Pravdˇepodobnost výskytu vrcholové události / havárie je potom P = 0,0799. 37
6.2
Analýza FTA - pˇríklad plynový sporák
Zadání • Plyn je uzavírán hlavním ventilem A. ˚ B a C, z nichž každý zavírá plyn do dvou • Uvnitˇr sporáku je plynové vedení rozdˇeleno do ventilu ˚ hoˇráku. • Každý hoˇrák má vlastní trysku, oznaˇcme je 1, 2, 3, 4. • Elektroinstalace zaˇcíná ve zdroji elektrického proudu. • Jiskra je zajišt’ována pomocí elektrického oblouku na každém hoˇráku, pˇrívod proudu je jedním okruhem, jiskˇrištˇe A, B, C, D jsou zapojena paralelnˇe. • Zaˇrízení je v cˇ ase zahájení zkoumání v provozuschopném stavu, neuvažujeme souˇcasné selhání elektrické a plynové cˇ ásti. 38
Obrázek 6.1: Schéma plynového sporáku
Úkol
˚ pro zadanou konfiguraci plynového sporáku. 1. Vytvoˇrte logickou strukturu stromu poruchových stavu 2. Vypoˇcítejte kvantitativnˇe pravdˇepodobnost nastoupení zadané vrcholové události, pokud je známo: • P (ucpání hlavního ventilu) = 2,1 · 10−3 [h−1 ]= P(A) • P (ucpání vnitˇrního ventilu) = 8 · 10−3 [h−1 ]= P(B) • P (ucpání trysky) = 2 · 10−2 [h−1 ] = P(C) • P (nefunkce jiskˇrištˇe) = 1,3 · 10−2 [h−1 ]= P(D) • P (pˇrerušení vnitˇrního vodiˇce) = 3 · 10−4 [h−1 ]= P(E) • P (pˇrerušení pˇrívodního vodiˇce) = 6 · 10−3 [h−1 ]= P(F)
• Jako vrcholovou událost uvažujte ten stav, kdy nelze zapálit ani jeden hoˇrák.
ˇ Rešení Ze zadání je zˇrejmé, že strom poruch se bude rozvíjet ve dvou vˇetvích - elektrické a plynové. ˚ zpusobí ˚ Selhání každého z tˇechto dvou obvodu funkˇcní selhání systému. ˚ bude dále ubírat, není pˇresnˇe stanoven, záleží na Smˇer, kterým se analýza stromu poruchových stavu zkušenostech a logickém úsudku ˇrešitele. 39
˚ plynového sporáku Obrázek 6.2: Strom poruchových stavu
40
Oznaˇcme jevy:
Hradla:
ucpání hlavního ventilu ucpání vnitˇrního ventilu ucpání trysky porucha elektrického oblouku pˇrerušení vnitˇrního vodiˇce pˇrerušení pˇrívodního vodiˇce vrcholová událost porucha pˇrívodu plynu porucha pˇrívodu el. proudu sporák nehází jiskru porucha rozvodu uvnitˇr sporáku ucpaná tryska
A B C D E F G0 G1 G2 G3 G4 G5
Kvalitativní rˇešení stromu poruchových stav˚ u ˚ zaˇcneme hledat deduktivnˇe, od vrcholové události: Pˇri hledání minimálních kritických ˇrezu G0 = G1 ∪ G2 G1 = G4 ∪ G5 ∪ A G2 = E ∪ F ∪ G3 G3 = D ∩ D ∩ D ∩ D G4 = C ∩ C ∩ C ∩ C G5 = B ∩ B G0 = G1 ∪ G2 = (G4 ∪ G5 ∪ A) ∪ (E ∪ F ∪ G3) = (C ∩ C ∩ C ∩ C ∪ B ∩ B ∪ A) ∪ (E ∪ F ∪ D ∩ D ∩ D ∩ D) G0 = G1∪G2 = (G4∪G5∪A)∪(E∪F ∪G3) = A ∪ B ∩ B ∪ C ∩ C ∩ C ∩ C ∪ E ∪ F ∪ D ∩ D ∩ D ∩ D ˚ tedy je: Nalezený výraz nelze zjednodušit, množina minimálních kritických ˇrezu P M KR = {A} , {B,B} , {C,C,C,C} , {D,D,D,D} , {E} , {F } Kvantitativní rˇešení stromu poruchových stav˚ u Pravdˇepodobnosti nastoupení jednotlivých událostí 4
P (G4 ) = P (C) = 1,6 · 10−7 2
P (G5 ) = P (B) = 6,4 · 10−5 4
P (G3 ) = P (D) = 2,8561 · 10−8 P (G2 ) = 1 − [1 − P (G3 )] · [1 − P (E)] · [1 − P (F )] = 6,29822 · 10−3 P (G1 ) = 1 − [1 − P (A)] · [1 − P (G4 )] · [1 − P (G5 )] = 2,16402 · 10−3 P (G0 ) = 1 − [1 − P (G1 )] · [1 − P (G2 )] = 8,4486 · 10−3
6.3
Hodnocení kolize cisterny ADR s vlakem na železniˇcním pˇrejezdu pomocí metody FTA
Pˇredstavte si jednoduchou situaci, kterou je možná kolize cisterny ADR s vlakem na železniˇcním pˇrejezdu. Vyberte takové charakteristiky, které jsou reprezentativní a relevantní pro systém vlak-pˇrejezdcisterna. Jako vrcholovou událost uvažujte, že dojde ke srážce vlaku a cisterny na pˇrejezdu. Vypracujte metodu FTA pro výše popsanou situaci. Zadávání dat Pro zadávání vstupních dat slouží graficky dobˇre zpracovaný systém hradel a událostí. Strom poruch zacˇ íná vrcholovou událostí (TOP GATE), která se dále cˇ lení deduktivní metodou na jednotlivé nižší úrovnˇe 41
˚ kolize cisterny ADR s vlakem na železniˇcním pˇrejezdu Obrázek 6.3: Strom poruchových stavu
42
˚ tedy systému. V první fázi zadávání je tˇreba nadefinovat podobu výsledného stromu poruchových stavu, provést kvalitativní analýzu. K tomu úˇcelu slouží položka menu „ADD“ nebo lze práci urychlit pomocí ˇ ikon na lištˇe. Znaky hradel a událostí odpovídají doporuˇceným znaˇckám dle CSN EN 61025. Možnosti zadávání hradel a událostí jsou zobrazeny na obrázku 6.4.
Obrázek 6.4: Zadávání kvalitativní podoby stromu poruch ˚ reprezentuje logickou strukturu jevu, ˚ které vedou ke vzniku vrcholové udáStrom poruchových stavu losti. Rozklad vrcholové události na primární a dále nerozvíjené události, vedoucí k jejímu vzniku, probíhá ˚ je v jednoduché formˇe uvepomocí strukturované analýzy. Pˇríklad takového stromu poruchových stavu den na obrázku 6.5, vzhledem k omezenému prostoru je rozvinuta pouze jedna událost a zbylé jsou ponechány ve formˇe hradel pˇrenosu.
˚ Obrázek 6.5: Pˇríklad (kvalitativního) stromu poruchových stavu 43
Obrázek 6.6: Zadávání obecných a specifických dat primární události Pokud již je kvalitativní cˇ ást analýzy provedena a jsou dostupná data, je možné pˇristoupit k zadávání kvantitativnímu. To se provádí dvojklikem na hradlo, ke kterému budou data zadávána. Tabulka zadᡠvání (viz obrázek 6.6) umožnuje mˇenit typ události (BASIC, UNDEVELOPED, CONDITIONAL, HOUSE, DORMANT), její jméno, cˇ íslo dílu, logický model dat (BASIC, WORKING HOUSE, FAILED HOUSE) a mezi jinými i popis události, který se zobrazí v grafice stromu poruch a usnadní tak orientaci v provádˇené analýze. Po kliknutí na záložku „Failure Model“ je možné zadávat modely poruchovosti komponenty. Jednotlivé modely mají unikátní, uživatelem definovaná jména a je možné je jednou nadefinovat a poté ˚ poruchových modelu ˚ je možno vybrat používat pro více komponent jako knihovnu dat. Z možností typu následující: • fixed,
• gamma,
• rate,
• beta,
• MTTF,
• binormal,
• dormant,
• chisquared,
• standby,
• poisson,
• weibull,
• uniform,
• lognormal,
• loguniform,
• normal,
• ET initiator.
Názvy odpovídají jednotlivým rozdˇelením náhodné promˇenné. Po zvolení typu rozdˇelení je analytik proveden postupem pro zadávání dat o poruchách, resp. opravách, které se na zaˇrízení provádˇejí. Jejich detailní okomentování není v tomto základním seznamovacím textu uvedeno. 44
Výpoˇcetní cˇ ást ˚ u komponent je možné pˇristoupit k vlastní analýze systému. Ta je Po vyplnˇení všech nezbytných údaju provedena automaticky – kliknutím na záložku „Analysis / perform“. Výsledky jsou zobrazeny formou tabulky, viz obrázek 6.7.
˚ analýzy stromu poruchových stavu ˚ Obrázek 6.7: Tabulky výsledku V první tabulce jsou zobrazeny vypoˇctené ukazatele spolehlivosti jako nepohotovost, frekvence poruch, stˇrední nepohotovost, oˇcekávaný poˇcet poruch, celková doba pˇrerušení provozu, celková doba ˚ provozu atd. Druhá tabulka zobrazuje výsledky analýzy duležitosti podle tˇrí rozdílných metodik (F-Vesely, BirnBaum a B-Proschan) a koneˇcnˇe tˇretí tabulka ukazuje kritické ˇrezy systému spolu s jejich základními parametry spolehlivosti.
45
7
Analýza stromu událostí (ETA)
[7] Strom událostí (ETA – Event Tree Analysis) je logický orientovaný diagram, který popisuje logický rozvoj ˚ Jedná se o induktivní systemscénáˇre od tzv. iniciaˇcní události smˇerem k možným závažným následkum. atický postup rozvíjející iniciaˇcní událost postupnými logickými kroky (možnými sekvencemi), kterými se berou do úvah tzv. bezpeˇcnostní funkce systému vˇcetnˇe úspˇešnosti takové funkce/zásahu. Výsledkem je logický graf rozvoje iniciaˇcní události a pravdˇepodobnostní hodnocení scénáˇre s ohledem ˚ na ruzné možné následky. Pokud se stane v provozu nˇejaká neoˇcekávaná událost (výpadek, nehoda), bývá systém vybaven tzv. bezpeˇcnostními systémy, které mají ochrannou funkci, tj. brání šíˇrení nehody, výpadku, události. V neposlední ˇradˇe má tuto funkci i obsluha zaˇrízení. Takové systémy mohou zasáhnout úspˇešnˇe nebo mohou i ony selhat. Metoda stromu událostí vyhodnocuje následky iniciaˇcní události s ohledem na reálné vlastnosti ˚ a spolehlivost cˇ lovˇeka. bezpeˇcnostních systému Rozlišují se dvˇe použití stromu událostí: • Pre-nehodová aplikace se zabývá systémy, které mohou zabránit vzniku nehodových událostí z ˚ tˇechto událostí, napˇr. úˇcinnost víceprvkového ochranného systému. prekurzoru ˚ nehodové události. Rovnˇež analýza • Post-nehodová aplikace se užívá ke zjištˇení koncových stavu lidské spolehlivosti používá techniku stromu událostí. Postup pˇri analýze pomocí stromu událostí 1. Identifikace sledované iniciaˇcní události 2. Identifikace bezpeˇcnostních funkcí bránících šíˇrení iniciaˇcní události 3. Sestavení stromu událostí ˚ 4. Vyhodnocení logického grafu a možných následku
7.1
Analýza ETA - Sestavení stromu událostí systému chemického reaktoru
• Exotermická reakce probíhající v reaktoru vyžaduje chlazení. Výpadek chlazení je nebezpeˇcný, je zdrojem rizika. Hrozí „tepelné ujetí“ reaktoru s následnou explozí. • Pˇredpokládejme, že u tohoto systému byla instalována signalizace (alarm) vysoké teploty upoˇ zornující operátora na vysokou teplotu v reaktoru. V systému byly identifikovány celkem 4 bezpeˇcnostní funkce, které mohou zabránit rozvoji iniciaˇcní události a tak koneˇcnému následku. ˇu ˚ dospˇejeme logickým rozborem vývoje • K identifikaci jednotlivých bezpeˇcnostních opatˇrení/stupn reálné situace. Pˇri zvyšování procesní teploty v reaktoru dojde k pˇrekroˇcení „horní dovolené teploty“ a je signalizována vysoká teplota. Prvním stupnˇem je signalizace (alarm) – „vysoká teplota“ v reakˇ pˇredstavuje monitorování stavu reaktoru operátorem, kterému pˇri bˇežné prohlídce toru. Druhý stupen rektoru neujde zvyšování teploty v reaktoru (na základˇe místního mˇeˇrení teploty). Tˇretím stupnˇem je možnost obnovení funkce chlazení zásahem operátora. Posledním krokem je možnost odstavení reaktoru zásahem operátora. 46
Obrázek 7.1: Sestavení stromu událostí systému chemického reaktoru Chronologická posloupnost bezpeˇcnostních funkcí : • Signalizace pro operátora " vysoká teplota" ˚ • Zjištˇení nárustu pˇri bˇežné prohlídce reaktoru • Zásah operátora – obnovení funkce chlazení • Operátor odstaví reaktor Pravdˇepodobnostní ocenˇení bezpeˇcnostních funkcí:
(vstupní údaje pro hodnocení scénáˇre)
˚ nepˇrijde. • Údaj B - alarm „vysoká teplota“ - 1 signál ze sta signálu ˚ obsluha nezjistí nárust ˚ • Údaj C - monitorování teploty operátorem pˇri kontrole - v 1 ze 4 pˇrípadu teploty. ˚ se nepodaˇrí obnovit funkci chlazení. • Údaj D - obnovení funkce chlazení - v 1 ze 4 pˇrípadu ˚ obsluhy se nepodaˇrí reaktor vˇcas odstavit. • Údaj E - odstavení reaktoru operátorem - v 1 z 10 zásahu ˚ systému a lidského cˇ initele). • (Jde o údaje o spolehlivosti prvku Úkol
Sestavte strom událostí pro iniciaˇcní událost výpadku chlazení reaktoru.
ˇ Rešení Signalizace „vysoká teplota“ je první bezpeˇcnostní funkcí a pravdˇepodobnost úspˇešné signalizace je vysoká. Graf se vˇetví a zvažuje se ovlivnˇení vývoje situace další bezpeˇcnostní funkcí. Pokud bylo zvýšení ˚ teploty v reaktoru úspˇešnˇe signalizováno, neovlivní další funkce (tj. monitorování teploty pˇri obchuzce) vývoj situace a graf se nevˇetví. Pokud však není zvýšení teploty signalizováno, má monitorování teploty ˚ operátorem zásadní význam, jde o duležitou bezpeˇcnostní funkci (i tato bezpeˇcnostní funkce má jistou pravdˇepodobnost úspˇechu a graf se vˇetví. Další postup vˇetvení grafu je analogický. 47
Obrázek 7.2: Strom událostí systému chemického reaktoru
48
Tabulka 7.1: Reprezentativní frekvence událostí Událost Frekvence nebo pravdˇepodobnost A: Velký výtok stlaˇceného LPG 0,0001/rok B: Okamžité zapálení u tanku 0,1 C: Vítr fouká smˇerem k obydlené oblasti 0,15 D: Zpoždˇená iniciace blízko obydlené oblasti 0,9 E: Spíš UVCE než zahoˇrení 0,5 F: Tryskavý plamen zasáhne tank s LPG 0,2
Zdroj dat FTA Expertní úsudek ˚ Data z vˇetrné ružice Expertní úsudek Historická data Geometrie umístˇení tanku
Tabulka 7.2: Koncové stavy sekvencí stromu událostí a jejich frekvence ˚ Koncové stavy sekvencí Sekvence vedoucí ke koncovým stavum Frekvence (za BLEVE ABF 2,0 · 10−6 = 2,0 · 1 −6 ¯ ¯ ¯ ¯ ¯ ¯ ¯ Zahoˇrení ABCDE F + AB CDE F 4,9 · 10 + 27,5 · 10−6 = 32,4 · 1 ¯ ¯ + AB ¯ CD ¯ EF ¯ Zahoˇrení a BLEVE ABCD EF 1,2 · 10−6 + 6,9 · 10−6 = 8,1 · 1 ¯ ¯ CDE ¯ UVCE ABCDE + AB 6,1 · 10−6 + 34,4 · 10−6 = 40,5 · 1 Místní tepelné nebezpeˇcí AB F¯ 8,0 · 10−6 = 8,0 · 1 ¯ D ¯ + AB ¯ C¯ D ¯ Bezpeˇcné rozptýlení ABC 1,4 · 10−6 + 7,6 · 10−6 = 9,0 · 1 Celkem všechny koncové stavy sekvencí = 100,0 · 1 ˚ je zˇrejmé z logického grafu. Spektrum koneˇcných možných stavu ˚ se získá jednoduchým výpoˇctem. Pravdˇepodobnost výskytu jednotlivých koneˇcných stavu Pˇríklad detailního výpoˇctu je patrný z následujících rovnic. ˚ / rok Odstavení = 0.2227 + 0.001688 + 0.0005625 = 0.2250 pˇrípadu ˚ / rok Ujetí = 0.02475 + 0.0001875 + 0.0000625 = 0.0250 pˇrípadu Pˇri generování scénáˇre se obvykle vychází z pˇredpokladu, že tato iniciaˇcní událost (napˇr. výpadek chlazení) lze oˇcekávat jednou za rok. Celý postup výpoˇctu se tak zjednoduší. Pokud lze iniciaˇcní událost oˇcekávat s jinou frekvencí, lze výsledky jednoduše pˇrepoˇcítat.
7.2
Analýza ETA velkého úniku stlaˇceného LPG ze skladovacího zásobníku
Jde o post-nehodovou analýzu velkého úniku stlaˇceného LPG z izolovaného skladovacího tanku. Potenciální následky zahrnují také BLEVE tanku, pokud by byl únik zapálen (bud’ okamžitˇe, nebo zpˇetným ˚ být látka unášena smˇerem k obydlené zášlehem). V pˇrípadˇe, že únik nebude zapálen okamžitˇe, muže oblasti s nˇekolika iniciaˇcními zdroji a explodovat (UVCE) nebo zahoˇret. Ostatní oblasti po vˇetru mají nižší pravdˇepodobnost iniciace. Data potˇrebná pro strom událostí jsou uvedena v tabulce. ˚ sekvencí stromu událostí, Údaje z této tabulky jsou použity k pˇredpovˇedˇení možných koncových stavu který je uveden na obrázku (Obrázek 7 .9). Tento strom událostí není vyˇcerpávající. Ne všechny koncové stavy sekvencí jsou dovedeny až do konce, nˇekteré jsou ukonˇceny na vstupu do specifických kon˚ Napˇríklad BLEVE muže ˚ mít tˇri další úˇcinky - tepelné úˇcinky, pˇretlakovou vlnu a sekventních modelu. rozlet trosek. V praxi by byly tyto úˇcinky prošetˇrovány ještˇe ve zvláštních modelech. ˚ sekvencí. Celkový souˇcet Z výsledného stromu událostí vyplývá celkem šest možných koncových stavu ˚ sekvencí (tj. 100,0e -6 / rok) musí být roven frekvenci iniciaˇcní události frekvencí všech koncových stavu ˚ ve 1e -4 / rok, což je splnˇeno. Tato kontrola je ovˇeˇrením správných konstrukˇcních a výpoˇcetních vztahu stromu událostí. Koncové stavy sekvencí stromu událostí a jejich frekvence Zadávání dat 49
Pˇri založení nové analýzy stromem událostí je automaticky pˇripraven pˇreddefinovaný strom událostí. ˇ Zahájení analytické práce je tedy usnadnˇeno a je možné pˇrímo zaˇcít vyplnovat rozhodovací diagram analýzy. Také další úpravy ETA jsou snadné a intuitivní. Ukázka zaˇcátku analýzy je zobrazena na obrázku 7.3.
Obrázek 7.3: Ukázka zadávání stromu událostí ˚ do stromu událostí jsou dvˇe – pomocí menu a pomocí ikon rychlého ovládání. Možnosti pˇridávání údaju Obˇe varianty jsou rovnocenné a zahrnují možnost pˇridat: • nulovou vˇetev,
• neúspˇešnou vˇetev,
• úspˇešnou vˇetev,
• rozhodovací sloupec.
Opakováním akce „pˇridat vˇetev“ se nadefinuje celý strom událostí. Kvantifikace se provádí ve dvou úrovních. ˚ Tyto parametry jsou definovány shodNejprve je tˇreba nadefinovat parametry spolehlivosti tzv. sloupcu. ˚ ným zpusobem, jako je popsáno u FTA – nadefinuje se model spolehlivosti a následnˇe hodnoty, se kterými bude tento model pracovat. Na výbˇer ITEM nabízí tyto modely (viz obrázek 7.4): • fixed,
• gamma,
• rate,
• beta,
• MTTF,
• binormal,
• dormant,
• chisquared,
• standby,
• poisson,
• weibull,
• uniform,
• lognormal,
• loguniform,
• normal,
• ET initiator.
Výpoˇcetní cˇ ást ˚ pro všechny události a rozhodovací vˇetve je již strom událostí Po nadefinování nezbytných parametru kompletní a je možné nechat provést jeho výpoˇcet. Pˇríklad hotového stromu událostí je uveden na obrázku 7.5. 50
˚ poruchovosti v ETA Obrázek 7.4: Možnost výbˇeru modelu
Obrázek 7.5: Ukázka kompletního stromu událostí ˚ v analýze stromu Jak je zˇrejmé již z obrázku 7.5, ITEM Toolkit upravuje popisky jednotlivých údaju ˚ událostí podle aktuálního prostoru, vymezeného popisku a v dusledku toho jsou nˇekteré delší názvy ˚ i vˇetví témˇeˇr neˇcitelné. Analýza se spustí kliknutím na ikonu „GO“ a po jejím provedení je možné sloupcu ˚ z ETA je uveden na nalézt výsledky pˇrehlednˇe zobrazené v záložce Results. Pˇríklad zobrazených výsledku obrázku 7.6. 51
˚ analýzy stromem událostí v softwaru ITEM Toolkit Obrázek 7.6: Ukázka zobrazení výsledku Výsledky jsou zobrazeny pro každý následek zvlášt’, je zobrazena výsledná pravdˇepodobnost nastoupení ˚ každé sekvence a provedena analýza duležitosti událostí, které se na nastoupení koncové události podílejí.
52
8
Blokový diagram bezporuchovosti (RBD)
Text vychází z [6]. Blokový diagram bezporuchovosti (RBD – Reliability Block Diagram) je obrazová reprezentace bezporuˇ chovosti systému. Znázornuje logické spojení (fungujících) souˇcástí potˇrebných pro úspˇešný provoz systému. ˚ na nˇemž jsou založeny postupy metody RBD, je pˇredpoklad, • Jedním ze základních pˇredpokladu, že souˇcásti (nebo bloky, které je reprezentují), mohou existovat pouze ve dvou stavech: pracují („použitelný“ stav), nebo mají poruchu („nepoužitelný“ stav). ˚ • Dalším duležitým pˇredpokladem je, že porucha (nebo oprava) libovolného bloku nesmí ovlivnit pravdˇepodobnost poruchy (nebo opravy) JAKÉHOKOLIV jiného bloku v systému, který se modeluje. ˚ bez opravy a v pˇrípadech, kdy nezáleží na poˇradí • Metoda RBD se má používat pˇredevším u systému vzniku poruch. ˚ výkonnosti systému a jejich mezí, a podZákladem je dobrá znalost systému a jeho funkcí, parametru mínek prostˇredí a provozu systému. Systém je rozˇclenˇen na jednotlivé prvky nebo logické bloky, vhodné pro úˇcely analýzy. Jednotlivé bloky mohou pˇredstavovat dílˇcí struktury systému, které lze dále znázornit v dalších RBD. Vazby mezi prvky jsou sériové, paralelní, výbˇerové. Blokový diagram bezporuchovosti popisuje logické vztahy, potˇrebné pro funkci systému. Nemusí tedy ˇ ˚ znázornovat zpusob, jakým je hardware systému fyzicky propojen. ˚ Pokud je možné systém používat ve více funkˇcních režimech nebo v ruzných provozních prostˇredích, je tˇreba zpracovat RBD pro všechny tyto pˇrípady, pokud to má smysl (= pokud není v daném pˇrípadˇe ˚ ostatním). možnost vzniku poruchy zanedbatelná oproti pˇrípadum
ˇ 8.1 Rešení základních vazeb mezi prvky FS = 1 − R S FS RS
je
pravdˇepodobnost poruchy systému, pravdˇepodobnost bezporuchového provozu.
Sériový model: RS = RA · RB RA,B
jsou
˚ systému S. pravdˇepodobnosti bezporuchového provozu jednotlivých prvku
Pravdˇepodobnost poruchy systému je tedy: FS = FA + FB − FA · FB Paralelní model: FS = FA · FB FA,B
jsou
˚ systému S. pravdˇepodobnosti poruch jednotlivých prvku
Pravdˇepodobnost bezporuchového provozu je tedy: RS = RA + RB − RA · RB 53
8.2 8.2.1
Složitˇejší metody rˇešení systém˚ u pomocí RBD Metoda dekompozice systému
• Jednotlivé cˇ ásti systému, které jsou tvoˇreny cˇ istˇe paralelní, cˇ i sériovou strukturou postupnˇe nahrazujeme fiktivními prvky, u nichž stanovíme pravdˇepodobnost bezporuchového stavu. ˚ být použita pouze pro systémy, kde jsou poruchy jednotlivých prvku ˚ nezávislé. • Tato metoda muže ˚ potom obdržíme výsledný vztah pro pravdˇepodobnost bez• Zpˇetným dosazením dílˇcích výrazu ˚ také obdržíme poruchového stavu systému a dosazením cˇ íselných hodnot pravdˇepodobností prvku výslednou pravdˇepodobnost pro systém.
Pˇríklad 1: postup metodou dekompozice systému
RI = 1 − [(1 − R2 ) · (1 − R3 )] RII = 1 − [(1 − R5 ) · (1 + R6 ) · (1 + R7 )] RIII = R8 · R9 · R10
RA = RI · R4 · RII
RB = 1 − [(1 − RA ) · (1 − RIII )]
RS = R1 · RB · R11 Pravdˇepodobnost poruchy systému pak bude: FS = 1 − R S 54
Pˇríklad 2: postup metodou dekompozice systému ˚ Pˇrepište postup výpoˇctu z pˇredchozího pˇríkladu pro pravdˇepodobnosti poruch jednotlivých prvku systému. Pˇríklad 3: postup metodou dekompozice systému Vypoˇctˇete celkovou pravdˇepodobnost poruchy systému na obrázku 8.1. Použijte zadané hodnoty pravdˇe˚ Uved’te, kde jsou slabá místa takového systému. podobnosti poruchy jednotlivých prvku.
Obrázek 8.1: Blokový diagram fiktivního systému F1 = 0,105 F2 = F3 = F6 = 0,237 F4 = F5 = F8 = 0,004 F7 = F10 = 0,118 F9 = 0,045 8.2.2
Inspekˇcní metoda
˚ vyjadˇrujících stavy jednotlivých prvku ˚ a dále • Stav systému vyjádˇríme jako logickou kombinaci jevu ˚ muže ˚ nastat. vyšetˇríme, s jakou pravdˇepodobností tato kombinace jevu ˚ a stavem systému. • Zkoumáme logické vazby mezi stavem jednotlivých prvku ˚ být i poru• Pˇredmˇetem zkoumání nemusí být pouze bezporuchový stav systému, stejnˇe tak to muže chový stav. 1. Pˇrevod logického výrazu do disjunktního tvaru. • Cílem je úprava logického výrazu do tvaru, který pˇredstavuje sjednocení ˇrady vzájemnˇe dis˚ protože jsme schopni snadno vyjádˇrit pravdˇepodobnost takto popsaného jevu. junktních jevu, • Je výhodné na zaˇcátku ˇrešení uspoˇrádat logický výraz vyjadˇrující stav systému tak, aby v nˇem byly sjednocované jevy uspoˇrádány zleva doprava podle složitosti, to znamená tak, aby první ˚ ˚ a poslední cˇ len prunik ˚ cˇ len ve výrazu vyjadˇroval prunik nejmenšího poˇctu jevu nejvyššího ˚ poˇctu jevu.
55
2. Pˇrímé vyjádˇrení pravdˇepodobnosti jevu • Založeno na znalosti vztahu pro výpoˇcet pravdˇepodobnosti sjednocení dvou nedisjunktních ˚ A a B. jevu • Pˇrímo vyjádˇríme pravdˇepodobnost zkoumaného stavu objektu jako pravdˇepodobnost nastoupení jevu popsaného pˇríslušným logickým výrazem. ˚ • Výraz upravíme tak, aby pˇredstavoval prosté sjednocení dvou jevu. ˚ jako souˇcet pravdˇepodobností tˇechto jevu ˚ • Vyjádˇríme pravdˇepodobnost tohoto sjednocení jevu ˚ zmenšený o pravdˇepodobnost jejich pruniku. • Opakujeme, dokud pravdˇepodobnost logického výrazu není vyjádˇrena jako prostý souˇcet ˚ ˚ jevu. ˚ pravdˇepodobností prunik u
Pˇríklad 1: postup inspekˇcní metodou
II
1
I
I 2
4
O
3
RS = R4 ∩ RII = R4 ∩ (RI ∪ R1 ) = R4 ∩ [(R2 ∩ R3 ) ∪ R1 ]
8.3
Použití metody RBD v sw ITEM
Pˇrevzato z [14].
8.3.1
Zadávání dat
˚ pˇrehlednˇe graficky Blokové diagramy bezporuchovosti jsou, podobnˇe jako stromy poruchových stavu, zpracovány. Logická struktura diagramu se zadává pomocí záložky „Add“ nebo ikonami na lištˇe. Jedˇ notlivé ikony znázornují vkládané objekty. Analytik má na výbˇer „blok“, „uzel“ a „propojení“ viz obrázek 8.2.
Obrázek 8.2: Zadávání blokového diagramu bezporuchovosti ˇ Bloky znázornují jednotlivé analyzované souˇcástky. Uzly jsou používány zejména jako poˇcáteˇcní a koncový uzel a po provedení analýzy jim jsou pˇriˇrazeny výsledky a propojení slouží k vyznaˇcení logických ˚ (znázornuje ˇ vazeb mezi bloky. Na výbˇer jsou dvˇe možnosti propojování bloku obrázek 8.3): • pˇrímé propojení – linka vede pˇrímo z jednoho bloku do druhého, 56
• ortogonální propojení – linka obsahuje pouze vodorovné a svislé úseky; toto propojení je vhodné ˚ pro zvýšení pˇrehlednosti analýzy složitých systému.
Obrázek 8.3: Ukázka RBD diagramu v ITEM Software Po vytvoˇrení logického modelu zapojení systému z pohledu spolehlivosti je možné vyplnit parametry ˚ Tabulka zadávání parametru ˚ je uvedena na obrázku 8.4. jednotlivých bloku.
˚ spolehlivosti do bloku RBD analýzy Obrázek 8.4: Zadávání parametru ˚ bloku (viz obrázek 8.4) je možné zmˇenit jméno bloku, uvést jeho popis, V tabulce editace parametru ˚ který se zobrazí i v grafickém vyjádˇrení RBD a také specifikovat model poruchovosti komponenty. Z typu ˚ je možno vybrat: poruchových modelu • fixed,
• standby,
• rate,
• weibull,
• MTTF,
• lognormal,
• dormant,
• normal, 57
• gamma,
• poisson,
• beta,
• uniform,
• binormal, • chisquared,
8.3.2
• loguniform.
Výpoˇcetní cˇ ást
˚ do modelu je možno pˇrejít k výpoˇctu. Tento je proveden auPo správném zadání známých parametru tomaticky pˇríkazem „Analysis / perform“ nebo zrychlenˇe kliknutím na ikonu „GO“. Pokud probˇehne ˚ objeví se pod jednotlivými bloky diagramu bezporuchovosti výsledek Q (poruanalýza bez problému, chovost) a w (frekvence poruch) a pod koncovým uzlem jsou tytéž ukazatele pro celý systém, znázornˇený blokovým schématem viz schéma na obrázku 8.5.
Obrázek 8.5: Výsledný ohodnocený RBD Detailní výsledky jsou zobrazeny v záložce „results“. Tabulárnˇe zde jsou uvedeny údaje o systému, jako je jeho nepohotovost, frekvence poruch, oˇcekávaný poˇcet poruch, M T BF , M T T R a další. Nˇekteré údaje jsou vlastnˇe duplikované (je uvedena pohotovost i nepohotovost), ovšem údaje si nepˇrekáží a usnadní ˚ V tabulkách výsledku ˚ je také analýza duležitosti ˚ ˚ práci pˇri vyhodnocování výsledku. jednotlivých bloku ˚ ˚ s ohodnocením jejich nepohotovosti a pomocí tˇrí ruzných metod výpoˇctu a pˇrehled kritických ˇrezu frekvence poruch. Všechny tyto tabulky jsou uvedeny na obrázku 8.6 .
˚ analýzy blokového diagramu bezporuchovosti Obrázek 8.6: Tabulky výsledku 58
˚ Software ITEM Toolkit umožAnalýza RBD slouží pˇredevším k modelování ménˇe rozsáhlých systému. ˇ nuje pˇrehlednˇe modelovat pomocí RBD i rozsáhlé systémy, limitujícím faktorem pˇrehlednosti analýzy ˚ bude velikost obrazovky a grafické reprezentace bloku.
59
Analýza spolehlivosti cˇ lovˇeka (HRA)1
9 9.1
Spolehlivost cˇ lovˇeka
Spolehlivost cˇ lovˇeka (Human Reliability) – schopnost cˇ lovˇeka splnit úkol jak je to požadováno, a tehdy, když je to požadováno (v definovaném cˇ asovém období a v pˇrípustných mezích). 9.1.1
Analýza spolehlivosti cˇ lovˇeka (HRA)
Analýza spolehlivosti cˇ lovˇeka - HRA (Human Reliability Analysis, v am. terminologii Human Reliability ˇ Assessment) je (CSN EN 62508): Systematický proces s cílem ohodnotit spolehlivost cˇ lovˇeka. HRA se snaží najít vyjádˇrení lidského chování uvnitˇr systému. Jde o predikci, která se snaží najít pˇríspˇevek lidských chyb za úˇcelem pˇredpovˇedi podstatných selhání systému. 9.1.2
Historické souvislosti
˚ HRA byl mnoho desetiletí pomˇernˇe pomalý a na okraji zájmu. Po nehodˇe Three Mile Vývoj nástroju ˚Island (1979) se do tohoto odvˇetví však vrhlo mnoho úsilí. To pˇrineslo existenci mnoha HRA nástroju ˚ nejvíce v oblasti jaderného prumyslu. V období 80.- 90. let 20. století se vývoj v oblasti HRA soustˇredil ˚ ˚ kvantifikace pravdˇepodobnosti vybraných událostí lidské chyby (HEP pˇredevším na hledání zpusob u Human Error Probability). Odhad pravdˇepodobnosti je definován následovnˇe: HEP =
poˇ cet nastal´ y cj chyb poˇ cet pˇ r´ ıleˇ z itost´ ı k chybˇ e
Pravdˇepodobnost úspˇešného provedení dané úlohy cˇ lovˇekem (HSP - Human Success Probability) je daná analogicky: HSP = 1 − HEP 9.1.3
Lidská chyba
Definice a chápání lidské chyby se s vývojem metod HRA mˇenili. Dodnes není široce pˇrijímaná jediná ustálená definice, a proto musíme vybrat tu, která nejvíce odpovídá souˇcasnému stavu oboru (zjednodušená definice dle Sträter, 2005): Lidská chyba je charakterizována nežádoucím nebo chybným stavem systému, jehož souˇcástí je interakce cˇlovˇek-stroj. Tato interakce pˇrináší potˇrebu mentálních nebo fyzické aktivity jedince a vede k situaci, kdy nejsou zcela nebo zˇcásti splnˇeny požadavky systému (nebo jeho cˇástí). V této definici cˇ lovˇek jako souˇcást systému vždy nese urˇcitý podíl na pˇríˇcinˇe (stejnˇe jako všechny jiné cˇ ásti systému nesou podíl na pˇríˇcinˇe) nežádoucího nebo chybného stavu systému. Jak bude vysvˇetleno dále, tato definice odpovídá souˇcasnému chápání spolehlivosti cˇ lovˇeka v moderních metodách HRA. Chyba z vynechání. Chyba z vynechání je obvykle oznaˇcována zkratkou EOM - z ang. výrazu error of omission. Jde o selhání vykonat nebo plnˇe dokonˇcit akci (nevykonání akce). 1 Autor: Ing. Radim Doležal
60
Chyba z pˇridání. Chyba z pˇridání je obvykle oznaˇcována zkratkou EOC - z ang. výrazu error of commission. Jde o chybu z vykonání špatné akce (která není vyžadována). Mnohdy je dˇelená do dvou kategorií: ˚ kvalitativní a kvantitativní chyba z pˇridání (Sträter, 2000). Jednotlivé zpusoby chápání chyby z pˇridání budou vysvˇetleny u patˇriˇcných HRA metod. Nepatˇriˇcná akce. Nepatˇriˇcná akce (extraneous act) je akce pˇridaná nebo vykonaná namísto požadované ˚ akce. Na rozdíl od EOC jde o odchylku zpusobenou vˇedomˇe nebo jinými okolnostmi než snahou o splnˇení požadovaného úkolu. Patˇrí sem i akt poškození systému nebo jeho souˇcásti (úmyslné, v hnˇevu apod.). ˚ Pˇríležitost k zotavení. Moment nebo cˇ asový interval kdy má cˇ lovˇek možnost napravit dˇríve zpusobe˚ být pˇríležitost k zotavení napˇr. pouze ihned po lidské chybˇe, nebo i nou chybu. Podle druhu akce muže po dlouhý interval v rámci celé sekvence úlohy. Zdali je tato pˇríležitost k zotavení cˇ lovˇekem rozpoznána je ovlivnˇeno tzv. faktory zotavení (recovery factors). 9.1.4
Tˇrídˇení metod HRA
Tˇrídˇení metod HRA je individuální a záleží tak na každém autorovi jak k nˇemu pˇristoupí. V souˇcasnosti ˇ jsou však odborníky pˇrijímány dva druhy tˇrídˇení, které se ve své podstatˇe doplnují. První tˇrídˇení je podle filozofie pˇrístupu (Spurgin, 2009):
Obrázek 9.1: Tˇrídˇení HRA metod podle filozofie pˇrístupu. ˚ ˚ Druhý zpusob tˇrídˇení, který je v souˇcasnosti nejvíce rozšíˇren používá tˇrídy ruzných generací. V odborné literatuˇre se tak setkáváme s metodami první generace, mezi které jsou nejˇcastˇeji ˇrazeny: THERP, HEART a SLIM. Hlavním zástupci metod druhé generace jsou MERMOS, CREAM, CESA a CAHR. 9.1.5
HRA proces
˚ Struktura aplikace ruzných metod HRA se v zásadˇe neliší. Již skoro dvˇe desetiletý známý HRA proces (Kirwan, 1994) lze jde uplatnit u všech tradiˇcních metod HRA. Je to i proto, že vychází z obecného rámce managementu rizika. Strukturou je velmi podobný dosud jediné pˇredstavené normˇe HRA analýzy: IEEE ˚ 1082 (IEEE STD 1082, 1997). V obrázku si mužeme všimnout urychlující vˇetve, která proces zjednodušuje - jde o pˇrípad, kdy si vystaˇcíme pouze s kvalitativní analýzou. 61
Obrázek 9.2: Tˇrídˇení HRA metod podle generací. Definice problému Tato cˇ ást vede k rozhodnutí, které lidské zásahy budou analyzovány. Zabývá se zhodnocením forem vlivu cˇ lovˇeka v rámci celého systému (Kirwan, 1994). Jsou dva základní problémy, s kterými se v této fázi musíme vypoˇrádat: Má být HRA ve své podstatˇe kvantitativní, nebo kvalitativní? Jak daleko má HRA zajít (do jaké šíˇre)? Má se zamˇeˇrit pouze na abnormální stavy (nehody, poruchy komponent) které vyžadují lidský zásah, nebo se zamˇeˇrit na potenciální chyby cˇ lovˇeka pˇri normálním provozu, které vedou ke zvýšení rizika? Komplexní pˇrístup vyžaduje obˇe. Definice problému je formální reakcí odborníka na požadavky praxe. Snaha o kvalifikovanou formulaci ˚ metod HRA. problému, který si vyžaduje analýzu pomocí nástroju ˚ (jejich poˇcet, charakter) pro analýzu spolehlivosti Analýza úkol˚ u Pˇredchozí krok nám urˇcil šíˇrku úkolu cˇ lovˇeka. V tomto kroku je potˇreba definovat, jaké akce cˇ lovˇeka by mˇely být provedeny pˇri jednotlivých úkolech, stejnˇe jako nástroje a informaˇcní rozhraní který by cˇ lovˇek mˇel použít (Kirwan, 1994). Je potˇrebné také identifikovat, které tréninkové procedury, schopností a znalostí jsou potˇreba. Jednotlivé druhy metod ˚ zaˇrazují do ruznˇ ˚ e rozvinutých formálních kategorií (napˇr. akce typu poHRA jednotlivé kroky úkolu zorování, interpretace, plánování, provedení). Všechny tyto informace spoleˇcnˇe urˇcují hloubku (rozsah) ˚ je kritická pro celý proces v ohledu zachycení druhu ˚ chování, analýzy HRA. Tato fáze analyzování úkolu ˚ které jsou zajímavé/duležité pro HRA zhodnocení. Zdali se týkají údržby, procesu monitorování veliˇcin, ˚ je užívána k uspoˇrádání zajišt’ování akcí ˇrízení, diagnostiky, pˇrípadnˇe simulace havárií. Analýza úkolu ˚ operátora pro další analýzu, podobnˇe jako vývojová schémata, diagramy nástroju ˚ a další zobrazení, úkolu ˚ ˚ a operací zúˇcastnˇených na zadaném procesu. Proto by která jsou použita ke znázornˇení ruzných stavu ˚ byly úkoly popsány pouze vágnˇe a další cˇ asti analýzy by nemohly mít bez této formy analýzy úkolu spolehlivé výsledky. ˚ dokonˇcena a definuje, jak by se s úkoly mˇelo Identifikace (lidských) chyb Pakliže je analýza úkolu ˚ „pokazit“. Tato identifikace chyb by mˇela zvážit zacházet, musí identifikace chyb zvážit, co se muže následující typy akcí: Chyba z vynechání (EOM), chyba z pˇridání (EOC), nepatˇriˇcná akce, pˇríležitost k zotavení chyb. Podle ˚ být tato identifikace plnˇe odborným odhadem z charakteru cˇ ásti úkolu až druhu metody HRA muže k sofistikovaným metodám, které ze zaˇrazení jednotlivého kroku úkolu do formální kategorie urˇcují z ˚ možné druhy chyb a pˇríležitostí k zotavení. Odborný odhad pak tabulek, nebo softwarových nástroju, ˚ slouží pouze k vylouˇcení nepravdˇepodobných scénáˇru. ˚ stát, dalším krokem Reprezentace Je-li definováno, co by operátor mˇel dˇelat a co „rozdílného“ se muže je reprezentace této informace do formy, která dovoluje kvantitativní ohodnocení dopadu lidské chyby na systém. Reprezentace vytváˇrí logický rámec pro identifikované lidské chyby. Typicky jsou užívány stromy poruch a událostí. 62
Obrázek 9.3: HRA proces. Kvantifikace Když je potenciál lidské chyby reprezentován, je dalším krokem kvantifikování odhadu pravdˇepodobnosti tˇechto chyb a celkový efekt chyby. Tato cˇ ást analýzy obvykle vypoˇcítává pravdˇepodob˚ nost lidské chyby – HEP, která je základní metrikou hodnocení spolehlivosti cˇ lovˇeka. Mužeme se setkat se zkratkami této fáze: HEQ – human errror quantification, nˇekdy taká HRQ – human reliability quantification. ˚ Pro metody HRA je vlastní obecný zpusob výpoˇctu pravdˇepodobnosti lidské chyby (jedné akce) podle vzorce ve formˇe: HEP = f (HEPBASIC ,F1 , . . . Fn ,R1 , . . . RM ), kde index n oznaˇcuje konkrétní PSF a index m faktory zotavení. Tento vzorec znamená, že jsou základní hodnoty lidské chybovosti HEPBASIC pro urˇcitý druh výkonu podle dané funkce metody modifikovány ˚ ovlivnujících ˇ ˚ zotavení (Ri ). numerickými vlivy faktoru výkon (Fi ), stejnˇe tak s numerickými vlivy faktoru ˚ být vyZhodnocení dopadu Když jsou chyby kvantifikovány a reprezentovány logickými stromy, muže ˇ rizika systému. Zároven ˇ v této fázi muže ˚ být urˇcena akceptovaná úroven ˇ rizika. poˇcítána celková úroven Vztah vypoˇcítaného rizika k této úrovni pak urˇcuje, zda riziko pˇrijmeme, nebo musíme hledat nástroje ˚ v nejhorší variantˇe vést k odstavení systému. Zhodnocení dopadu k redukci rizika. Toto zvážení muže neobsahuje pouze zhodnocení úrovnˇe rizika, ale také ukazuje, které události nejvíce pˇrispívají k této úrovni. Právˇe tyto události nebo jejich kombinace mohou být cílem vyšetˇrování a dalšího zlepšování. Redukce chyb Redukcí chyb myslíme pˇredevším redukci pravdˇepodobnosti chyby - toho lze dosáh˚ nout obecnˇe tˇremi základními zpusoby: 63
1. Pomocí identifikované pˇríˇciny lidské chyby, kdy se snažíme zmˇenou systému úplnˇe zamezit vzniku dané chyby. ˚ ovlivnujících ˇ 2. Zmˇenou identifikovaných faktoru výkon (PSF), které negativnˇe pˇrispívají k velikosti ˚ se snažíme snížit HEP na akceptovatelnou hladinu. HEP. Zlepšením faktoru 3. Zmˇenit procedury a interakci cˇ lovˇeka se systémem tak, aby obsahovaly více pˇríležitostí k zotavení. ˇ Tato pˇríležitost k zotavení následnˇe ovlivnuje výsledné HEP. ˚ než je dosaženo požadované úrovnˇe rizika. V mnoha pˇrípadech je potˇreba mnoha iteraˇcních kroku, ˚ ežnˇe. Na závˇer Dokumentace Celý proces analýzy spolehlivosti cˇ lovˇeka by mˇel být dokumentován prubˇ ˚ do bezpeˇcnosje tˇreba vypracovat dokumentaci, která shrnuje výsledky celého procesu. Velkou cˇ ást výstupu tní dokumentace získá zpracovatel ˇrízenými rozhovory a konzultacemi s vybranými pracovníky provo˚ a písemností. Tato dokumentace zároven ˇ dává zovatele a studiem pˇríslušných podnikových dokumentu urˇcitou záruku kvality a bezpeˇcnosti. Závˇery mohou být brány jako validní pouze bˇehem intervalu, ve kterém se všechny souˇcásti podílející na interakci cˇ lovˇeka se systémem podstatnˇe nemˇení. Pˇri zmˇenˇe ˚ zmˇenˇe ovládané technologie, odlišném fyzickém a spoleˇcensystému napˇr. po inovaci ovládacích prvku, ˚ je potˇreba ském prostˇredí, tréninkových procedur ale i podstatné zmˇenˇe charakteristik skupiny operátoru analýzu HRA patˇriˇcnˇe aktualizovat. ˇ ˇ Faktory ovlivnující výkon Faktory ovlivnující výkon (PSFs - Performance Shaping Factors, zˇrídka PIFs - Performance Influencing Factors) jsou charakteristiky vnˇejšího prostˇredí, úkolu a lidí, které utváˇrejí inˇ dividuální výkonnost (CSN EN 62508). Obvykle jsou dˇeleny na vnˇejší (prostˇredí) a vnitˇrní (individuální). ˚ ˚ ˚ Vnˇejší vlivy a individuální schopnosti jedince mužeme podle ruzných hledisek zaˇrazovat do ruzných ˚ ˚ Nutno podottˇríd tak, aby posuzování spolehlivosti cˇ lovˇeka zahrnovalo spektrum nejduležitˇ ejších vlivu. knout, že univerzální seznam PSFs neexistuje a každá metoda a každý autor k nim pˇristupuje s vlastním pojetím. Chápání jejich vlastností se tak cˇ asto pohybuje v paletˇe od naprosto kvalitativního, pˇres semikvantitativní až k plnˇe kvantitativnímu ocenˇení (napˇr. pˇri stanovení pravdˇepodobnosti lidské chyby). Celou situace dále stˇežuje vývoj metod HRA druhé generace, které zavádí vlastní obdobu PSF. Jde o kontext pˇribližující chybu (EFC - Error Forcing Context). EFC v nˇekterých metodách plnˇe nahrazuje všechny PSFs, u jiných autoˇri ponechávají tradiˇcní PSFs a k nim zavádˇejí dodateˇcné EFC. Problematika kontextu ˇ je rozvedena v následujících kapitolách - pro potˇreby této cˇ ásti tedy shrnme, že PSFs je pojem velmi individuální pro každou metodu HRA. V nˇekterých pˇrípadech znamená tradiˇcní faktory metod první ˚ spolu s kognitivními faktory a kontextem. generace a jindy oznaˇcuje už moderní klasifikaci faktoru Dalšími obdobami PSF s podobnou funkcí jsou napˇríklad i CPC (Common Performance Condition) v metodˇe CREAM nebo EPC (Error Producing Condition) v metodˇe HEART (a jejích následovnících). Nejˇcastˇejší vybrané PSFs jsou: ˇ ˇ se vymezuje vuˇ ˚ ci ostatním PSFs díky tomu, Stres Stres je jedním z nejˇcastˇeji zminovaných PSF. Zároven že jde spíše o reakci na souhrn všech ostatních PSFs. Využívání stresu jako PSF je tak obvykle zjednodušením ˚ a zámˇenou komplexní reakce mnoha jiných faktoru. ˚ být u jedince pˇresnˇe pˇredpovˇezen z daných Stres je jedineˇcná reakce organismu a jako takový nemuže ˚ Úkolem pracovníku ˚ lidských zdroju, ˚ podnikových psychologu ˚ a dalších, je vybrat na duležitá ˚ stresoru. ˇrídící místa takové jedince, jejichž psychika je stabilní a u nichž mužeme ˚ psychickou i fyzickou odezvu ˚ oˇcekávat v akceptovatelných mezích. To je také duvod, ˚ pˇri vystavení stresorum proˇc napˇr. pilota do˚ dˇelat pouze urˇcité procenta jedincu ˚ z celé pravních letadel, operátora velínu jaderné elektrárny muže populace. U tˇechto vybraných lidí by psychická a fyziologická odezva na stresory mˇela s urˇcitou nejistotou odpovídat naší teorii. Stres v kontextu lidského faktoru tedy chápeme jako tuto všeobecnou souhrnnou reakci organismu, ˚ ˚ mající jasné dusledky na lidský výkon. Tyto dusledky nesmíme brát pouze jako negativum. V praxi se 64
setkáváme s pozitivní rolí stresu - urˇcitého „vzrušení”, které udržuje pracovníky v pozoru, nutí je k akci. ˚ Odborníci studovali ruzné stupnˇe stresu a jejich vliv na ukazatel, který nazvali „efektivita výkonu“. Tento ˚ ˚ lidského výkonu - muže ˚ jít o bezchybvágní pojem lze chápat jako zobecnˇení mnoha ruzných ukazatelu ˚ v oblasti lidského výkonu byla v šedesátých letech vytvoˇrena nost, rychlost apod. Ze zkušeností praktiku teoretická kˇrivka zobrazující vztah mezi stresem a efektivitou výkonu. Odpovídá obecnˇe pˇrijímaným ná˚ že urˇcitá hladina stresu pro optimální výkon je pˇrínosná. Pokud však stres naroste do extrémních zorum, hodnot - efektivita výkonu klesá (tj. cˇ lovˇek více chybuje apod.).
Obrázek 9.4: Efektivita lidského výkonu v závislosti na stresu.
Dostupný cˇ as Jde pravdˇepodobnˇe o nejˇcastˇeji používaný PSF v metodách první generace. Základním pˇredpokladem o vlivu tohoto PSF na spolehlivosti cˇ lovˇeka bylo to, že pravdˇepodobnost správné reakce s cˇ asem roste. Tento pˇredpoklad odpovídá obecnému vnímání, že dˇríve nebo pozdˇeji cˇ lovˇek pˇri˚ ˚ ve specifickém jde na správnou odpovˇed’. Toto tvrzení potvrdilo mnoho ruzných vˇedeckých výzkumu ˇ byl také obˇcas považován za dominantní faktor, s kterým se dobˇre kvantifikuje HEP. prostˇredí. Cas Pozdˇejší výzkum ukázal, že kvantifikace vlivu dostupného cˇ asu se stává mnohem složitˇejší pˇri výskytu komplexní kombinace PSFs a jeho vliv na lidskou chybu není tak dominantní, jak se pˇredpokládalo. Analýzy založené na mylných pˇredpokladech o vlivu dostupného cˇ asu na spolehlivost cˇ lovˇeka tak z dnešního pohledu považujeme za zavádˇející.
Další PSFs s kterými se m˚ užeme cˇ asto setkat: • Organizaˇcní dostateˇcnost • Pracovní podmínky • Dostateˇcnost MMI a operativní podpory ˚ • Dostupnost procedur a plánu ˚ • Poˇcet simultánních cílu • Denní doba 65
• Dostateˇcnost zkušeností a tréninku • Kvalita spolupráce skupiny
66
9.2
TESEO
Nejjednodušší metoda s velmi nepˇresnými výsledky. Lze ji chápat jako „úvod do výpoˇctu odhadu spolehlivosti ˚ jsou to: cˇ lovˇeka“. K odhadu spolehlivosti lidského cˇ initele metoda využívá pˇet faktoru, • Typ realizované aktivity K1 . ˇ • Cas, který je k dispozici pro provedení aktivity K2 (stresový faktor bˇežných cˇ inností, pˇrípadnˇe stresový faktor mimoˇrádných cˇ inností). • Charakteristika personálu K3 (faktor operátorských kvalit). • Psychický stav personálu K4 (faktor úzkosti a stresu). • Místní pracovní podmínky K5 (ergonomický faktor). Výsledný odhad pravdˇepodobnosti lidské chyby pˇri realizaci dané aktivity se vypoˇcítá jako: HEP = K1 · K2 · K3 · K4 · K5 ˚ Ki lze získat z tabulek. Pokud souˇcin všech pˇeti fakKonkrétní numerické hodnoty jednotlivých faktoru ˚ dosáhne numerické hodnoty vˇetší než 1, pˇredpokládá se, že pravdˇepodobnost lidské chyby je rovna toru jedné. Tabulky vypadají napˇríklad takto: Typ cˇ innosti Jednoduchá, rutinní Vyžadující si pozornost, rutinní Neobvyklá
K1 0,001 0,01 0,1
Tabulka 9.1: Numerické hodnoty faktoru K1. Doba pohotovosti pro bˇežné cˇ innosti [s] 2 10 20
K2 10 1 0,5
Tabulka 9.2: Numerické hodnoty faktoru K2. Doba pohotovosti pro mimoˇrádné cˇ innosti [s] 3 30 45 60 Tabulka 9.3: Numerické hodnoty faktoru K2. Operátorovy kvality Pozornˇe zvolený, expert, dobˇre školený ˚ erné znalosti a školení Prumˇ Malé znalosti, chabé školení
K3 0,5 1 3
Tabulka 9.4: Numerické hodnoty faktoru K3.
67
K2 10 1 0,3 0,1
Faktor úzkosti a stresu Stav vážného nepˇredvídaného pˇrípadu Stav vážného potenciálnˇe nepˇredvídaného pˇrípadu Normální stav
K4 3 2 1
Tabulka 9.5: Numerické hodnoty faktoru K4. Ergonomický faktor Vynikající mikroklima, vynikající koordinovanost s provozem Dobré mikroklima, dobrá koordinovanost s provozem Rušené mikroklima, rušená koordinovanost s provozem Rušené mikroklima, chabá koordinovanost s provozem Špatné mikroklima, chabá koordinovanost s provozem
K5 0,7 1 3 7 10
Tabulka 9.6: Numerické hodnoty faktoru K5. 9.2.1
Jednoduchý pˇríklad analýzy HRA metodou TESEO (pˇríklad 1)
Zapnutí pˇreˇcerpávání do rezervní nádrže: uvažujeme operátora výroby (chemické, petrochemické apod.), ˚ sleduje stav hladiny v nádrži jedné z provozních kapalin. Pˇri urˇcité úrovni hladiny který jako jeden z úkolu má za úkol spustit pˇreˇcerpávání do druhé nádrže dˇríve než dojde k dosažení limitního stavu a zásahu bezpeˇcnostního systému. Vybíráme tyto charakteristiky: Typ aktivity: Vyžadující si pozornost, rutinní: Doba pohotovosti pro bˇežné cˇ innosti: Více než 60s: ˚ erné znalosti a školení: Operátorovy kvality: Prumˇ Faktor úzkosti a stresu: Normální stav: Ergonomický faktor: Dobré mikroklima, dobrá koordinovanost s provozem:
K1 K2 K3 K4 K5
HEP = K1 · K2 · K3 · K4 · K5 = 0,01 · 0,1 · 1 · 1 · 1 = 0,001
68
= 0,01 = 0,1 =1 =1 =1
9.3
THERP
Technika pro pˇredpovídání intenzity lidské chyby (Technique for Human Error Rate Prediction) je dodnes ˚ nejvíce využívanou technikou analýzy spolehlivosti cˇ lovˇeka v jaderném prumyslu. Metoda THERP je silnˇe spjatá s dokumentem Handbook of Human Reliability Analysis with Emphasis on Nuclear Power Plant Applications - Final Report z roku 1983. Její vývoj však trval již nˇekolik desetiletí pˇredtím. Teprve v této publikaci byla metoda THERP pˇredstavena ve své finální podobˇe s vhodnými pravidly. Tyto pravidla ˚ a jejich zduvodnˇ ení tvoˇrí zbytek náplnˇe Handbooku (o velikostí více jak 700 stránek). Celý Handbook pˇredstavuje ucelený souhrn informací a dlouholetých zkušeností s nasazením metody THERP, jejím ˚ použití v ruzných oblastech posuzování lidského výkonu v jaderných elektrárnách a celkovou filozofii ˚ autoru. ˚ pˇrístup sami autoˇri nepovažovali za perfektní, ale efektivní ve snaze zaˇclenit lidský faktor do Tento svuj tehdejších analýz PRA. 9.3.1
Pravdˇepodobnost lidské chyby metody THERP
˚ inherentní rozMetoda THERP považuje pˇredpovˇed’ lidského výkonu za velmi obtížnou disciplínu kvuli ˚ manitosti lidské cˇ innosti. Navzdory této rozmanitosti si metoda THERP dovoluje pˇredpovˇedˇet (s ruznými stupni nejistot) spolehlivost cˇ lovˇeka zahrnutého do úkolu na který je ˇrádné pˇripraven (tréninkem a školením). ˚ jako jsou Nejistota bude nejmenší, pokud budeme pˇredpovídat chování pˇri výkonech rutinních úkolu, testy, údržba, kalibrace a normální operace ˇrízení. S nejvˇetší nejistotou naopak bude pˇredpovídat chování ˚ v dusledku mimoˇrádné situace. Metoda využívá známé nástroje technické spolehlivosti (stromy událostí) ˇ se zmˇenami umožnující vˇetší variabilitu, zavádí nástroj PSF a reflektuje celkovou rozdílnosti lidského výkonu ve srovnání s provozem technického zaˇrízení. Základní pˇredpoklad metody THERP je, že celkové spojené HEP lze získat ze základní povahy úkolu, daného prostˇredí, stavu mysli cˇ lovˇeka plnícího úkol a dalších okolností. Povaze úkolu odpovídají základní pravdˇepodobnosti lidské chyby (BHEP), nebo nominální pravdˇepodobnosti (NHEP). Prostˇredí, stav mysli a další okolnosti pak charakterizují PSF. THERP je dále charakterizován tˇemito znaky: ˚ • Výsledky silnˇe závisí na detailní a správnˇe provedené analýze úkolu. ˚ používá strom událostí. • Pro hodnocení úkolu • Využívá faktory zotavení – jak ve stromˇe pravdˇepodobností, tak pˇri výpoˇctu HEP. ˚ • Dovoluje modelovat potenciální závislosti mezi ruznými úkoly. 9.3.2
Základní, podmínˇené a spojené pravdˇepodobnosti
ˇ ri typy pravdˇepodobností jsou duležité ˚ Ctyˇ pˇri provádˇení metody THERP. Jsou to: 1. Nominální pravdˇepodobnost lidské chyby (NHEP) – je pravdˇepodobnost lidské chyby bez pˇrihlížení k PSF nebo jiným úlohám. 2. Základní pravdˇepodobnost lidské chyby (BHEP) – jde o pravdˇepodobnost lidské chyby pˇri úloze uvažované jako izolovaná cˇ ást, neovlivnitelná jinými úlohami. 3. Podmínˇená pravdˇepodobnost lidské chyby (CHEP) – jde o pravdˇepodobnost specifické úlohy, pˇri daném selhání nebo úspˇechu jiné úlohy. Modifikace BHEP ovlivnˇením jinými úlohami a událostmi. Dvˇe úlohy jsou nezávislé, jestliže je podmínˇená pravdˇepodobnost stejná bez ohledu, zda došlo k selhání jiné úlohy. Jinak jsou úlohy závislé. 4. Spojená pravdˇepodobnost lidské chyby (JHEP) – jde o pravdˇepodobnost lidské chyby, pakliže všechny úlohy musí být vykonány správnˇe k dosažení výsledku. 69
Obrázek 9.5: Dvˇe lidské akce a výsledné scénáˇre ve stromu pravdˇepodobnosti. 9.3.3
Získávání HEP pro konkrétní úlohu
1. Tabulky Handbooku metody THERP. ˚ ˚ velínu ˚ jaderných Data do tˇechto tabulek byly získané z dostupných dat jaderného prumyslu, simulátoru ˚ patˇrících do chemického prumyslu ˚ elektráren, dalších provozu apod. Byly použity také data vhodných studií (vybraných autory) a nˇekterá data byla aproximována na základˇe podobnosti s jinou úlohou. Všechna data delší dobu upravována a konzultována mezi mnoha odborníky z oblasti lidského faktoru. THERP dále nabízí tyto metody: 2. Expertní úsudek. • pˇrímý odhad HEP. • nepˇrímý odhad HEP. • metoda párového porovnání (snaží se o eliminaci skuteˇcnosti, že cˇ lovˇek dokáže mnohem lépe odhadnout tyto ukazatele kvalitativnˇe, než kvantitativnˇe). • metoda postupného zaˇrazování (ranking). 3. Použití vlastních dat o chybovosti.
9.3.4
Strom pravdˇepodobností
Základním nástrojem reprezentace lidských cˇ inností v metodˇe THERP je strom pravdˇepodobností - nˇekdy nazýván také strom událostí HRA. Metoda se drží tradiˇcního binárního vˇetvení (tedy vˇetvení pouze do dvou vˇetví). Jednotlivé události jsou ve stromu reprezentováni uzlem a mohou znamenat nejen lidské akce, ale i další související události. Každá událost (uzel) má za výsledek dvˇe nové vˇetve (tj. úspˇech cˇ i neúspˇech) a každé této vˇetvi je pˇriˇrazena odpovídající pravdˇepodobnost výskytu. Tyto pravdˇepodobnosti jsou podmínˇené událostmi v pˇredchozích cˇ ástech stromu (diagramu). Strom pravdˇepodobností je užiteˇcný nástroj pro zpˇrehlednˇení sekvence akcí ˚ Umožnuje ˇ uvažovaných scénáˇru. snadný (i ruˇcní) výpoˇcet výsledných pravdˇepodobností jednotlivých ˚ Je také možné graficky znázornit pˇríležitosti k zotavení - faktory zotavení se tak promítnou scénáˇru. pˇrímo do struktury stromu. Pravidla výpoˇctu pravdˇepodobností ve stromu pravdˇepodobností shrnuje následující ilustraˇcní pˇríklad: ˚ (akcí). Úspˇech u prvního zásahu oznaˇcujeme a, neúspˇech A. Lidský výkon se sestává ze dvou zásahu Analogicky u druhého zásahu oznaˇcujeme úspˇech b, neúspˇech B. Tyto dvˇe lidské akce obecnˇe nabízí cˇ tyˇri možné výsledné scénáˇre - S1, S2, S3 a S4. Pravdˇepodobnost scénáˇre S1 se vypoˇcte: P (S1) = P (a) · P (b|a) 70
Obrázek 9.6: Kontinuum pozitivní závislosti zastoupené pˇeti diskrétními body. Analogicky lze urˇcit i vzorce pro další scénáˇre. ˚ být ve stromu reprezentován více uzly. PravdˇepodobNa pˇríkladu je vidˇet, že jeden lidský zásah muže ˚ však nemusí být stejné, protože se jedná o podmínˇené pravdˇepodobnosti výsledných vˇetví tˇechto uzlu nosti. V pˇríkladu se napˇr. P (b|a) = P (b|A) pouze v pˇrípadˇe, pokud jsou oba lidské zásahy (jako jevy) nezávislé. ˚ Výpoˇcet jednotlivých HEP (jevy A a B) ve stromˇe pravdˇepodobností mužeme vyjádˇrit obecnˇe napˇríklad takto: HEP = BHEP
Qn
i=1
P SF1
kde je numerická hodnota základní HEP a P SF1 jsou kvantifikované vlivy jednotlivých PSFs pˇríslušejících k úloze. Výpoˇcet celkové (spojené) pravdˇepodobnosti úspˇechu cˇ i neúspˇechu (JHEP) pak naprosto ˚ zotavení. závisí na struktuˇre stromu pravdˇepodobností a použitých faktoru 9.3.5
PSFs metody THERP
˚ Handbook metody THERP obsahuje vyˇcerpávající popis mnoha ruzných PSF. Je však tˇreba poznamenat, že vˇetšina je popsána pouze kvalitativnˇe a pouze nˇekolik nejvýznamnˇejších kvantitativnˇe za pomocí ˚ a tabulek. vztahu 9.3.6
Model závislosti metody THERP
˚ ˚ ke kterým Tento model je urˇcen pro kvalifikovaný odhad dusledku závislosti pˇri urˇcování HEP úkolu ˚ pohybovat v celém kontinuu od žádné k úplné. Tak nemáme dostatek dat. Skuteˇcná závislost se muže ˚ metody zdál zbyteˇcný a tak navržený model zjednodušuje toto kontinuum do velký rozsah se autorum ˚ Kromˇe krajních mezí odpovídajících úplné a žádné závislosti, jsou mezi nimi tˇri pˇeti diskrétních bodu. body. ˇ závislosti je tedy rozdˇelena do pˇeti kategorií: Úroven 1. Žádná závislost (ZD – Zero dependence) 2. Nízká závislost (LD – Low dependence) 3. Stˇrední závislost (MD – Moderate dependence) 4. Vysoká závislost (HD – High dependence) 5. Úplná závislost (CD – Complete dependence) Tˇechto pˇet diskrétních hodnot pozitivní závislosti v celém spektru zobrazili autoˇri takto: Autory metody THERP byl navržen následující kvantifikaˇcní model pro výpoˇcet pravdˇepodobnosti lidské chyby závislých úloh: 71
HEPN [HEPN −1 ] ZD = HEPN
HEPN [HEPN −1 ] LD =
1 + 19HEPN 20
HEPN [HEPN −1 ] M D =
1 + 6HEPN 7
HEPN [HEPN −1 ] HD =
1 + HEPN 2
HEPN [HEPN −1 ] CD = 1 Kde HEPN je HEP pro úkol N pˇri žádané závislosti k úloze N –1. Neexistují žádná pevná a rychlá pravidla pro rozhodnutí, který druh závislosti je vhodný pro danou situaci. Jde cˇ istˇe o kvalifikovaný úsudek. 9.3.7
Jednoduchý pˇríklad analýzy HRA metodou THERP (pˇríklad 1)
Zapnutí pˇreˇcerpávání do rezervní nádrže (stejné zadání jako u pˇríkladu výpoˇctu metodou TESEO). ˚ Tedy: Odhad Z tabulek je vybrán následující druh výkonu: „aktivita se znalostí písemných postupu“. pravdˇepodobnosti chyby z vynechání položky z instrukcí, pakliže jsou urˇceny písemných postupy (tabulka 20-7: Estimated probabilities of errors of omission per item of instruction when use of written procedures is specified). Konkrétní položka je krátký seznam (short list: < 10 items). BHEP = 0,001. Žádný faktor zotavení neuvažujeme, naopak je identifikován následující PSF: Velmi nízká hladina stresu: PSF1 = 2. Výsledná pravdˇepodobnost je vypoˇctena podle vzorce: HEP = min ((0,001 · 2) ,1) = 0,002 9.3.8
Jednoduchý pˇríklad závislých úloh v metodˇe THERP (pˇríklad 2)
Základem je pˇredchozí pˇríklad, analyzujeme lidskou chybu pˇri reakci na zásah bezpeˇcnostního systému. Tento zásah je indikován varovným signálním svˇetlem. Z tabulek je vybrán následující druh výkonu: Model reakce na signalizaci: odhad pravdˇepodobnosti chyby pro více signalizací v krátkém cˇ ase (tabulka 20-23: Annunciator response model: estimated HEPs for multiple annunciators alarming closely in time). Pro jedinou signalizaci je hodnota BHEP = 0,0001. Žádný faktor zotavení neuvažujeme, je identifikován ˇ uvažujeme vysokou následující P SF : optimální hladina stresu s numerickým vlivem P SF2 = 1. Zároven závislost úlohy k pˇredchozímu selhání identifikace vysoké hladiny nádrže. Výsledná pravdˇepodobnost je vypoˇctena podle vzorce: HEP2 |HEP1 =
1 + HEP1 1 + 0,0001 · 1 = ' 0,5 2 2
72
9.4
HEART
Technika posouzení a redukce lidské chyby (Human Error Assessment and Reduction Technique - HEART ) se liší od ostatních metod tím, že se nesnaží rozložit úlohu na souhrn podúloh, ale snaží se hodnotit a ˚ kvantifikovat úlohu jako celek. Metoda byla vyvinuta již v roce 1985 a zustala rozšíˇrena pˇredevším ve Velké Británii. Pˇrestože je hlavní cˇ ást metody úkolovˇe orientovaná, tak úkol je definován více globálnˇe, než v pˇrístupu podúloh jaký ukázal Swain a Guttman v metodˇe THERP (Spurgin, 2009). Pˇrístup HEART ˚ úloh (Generic Task Types - GTTs) spojených s provozem spoˇcívá v definování souboru osmi generických typu technologického systému. Jde tedy o velmi obecné typy úloh. Pro všechny úlohy je tabulkovˇe zadaná HEP s hodnotami 5tého a 95tého percentilu uvažovaného log-normálního rozdˇelení(Kirwan, 1994). Celá tabulka je níže: Generický typ úlohy
A B
C D E
F
G
H
Navrhované nominální HEP (hodnoty 5tého a 95tého percentilu)
Úplnˇe neznámá, vykonaná v rychlosti bez pˇredstavy o možných následcích Zmˇena nebo návrat systému do nového nebo jedineˇcného stavu bez provedení procedury nebo dohledu ˇ Komplexní úloha vyžadující vysokou úroven porozumˇení a schopností Velmi jednoduchá úloha provádˇená pˇrekotnˇe, nebo s nedostateˇcnou pozorností Rutinní, cˇ asto provádˇená zrychlená úloha ˇ vyžadující relativnˇe malou úroven schopností ˚ Obnova nebo posun systém do puvodního ˚ s nebo nového stavu dodržováním postupu, urˇcitou kontrolou Úplnˇe známá úloha, dobˇre navržená, cˇ asto provádˇená, rutinní úloha nastávající nˇekolikrát za hodinu, provádˇená na nejvyšší ˇ díky vysoké motivaci, možnou úroven dobrému tréninku a znalostem, plném ˚ ˚ selhání, s cˇ asem na vˇedomí dusledk u napravení potenciálních chyb, ale bez ˚ ˚ podstatných podpurných prostˇredku Správná reakce na požadavky systému, i když je možnost použití automatických pomocných (poradních) a zobrazovacích ˚ dovolujících správnou interpretaci systému stavu systému
0,55 (0,35 - 0,97) 0,26 (0,14 - 0,42)
0,16 (0,12 - 0,28) 0,09 (0,06 - 0,13) 0,02 (0,007 - 0,045)
0,003 (0,0008 - 0,007)
0,0004 (0,00008 - 009)
0,00002 (0,000006 - 0,0009)
Tabulka 9.7: Generické typy úloh (Williams, 1986) Metoda zavádí vlastní druh PSFs, tzv. podmínky vzniku chyb - Error Producing Condition (EPC), napˇrík˚ lad únavu, rozptýlení, prostorové uspoˇrádání apod. - celkovˇe 38 ruzných EPC (Spurgin, 2009). Kvantifikované hodnoty vlivu EPCs na pravdˇepodobnost mohou být upraveny pomocí korekˇcního faktoru, který ˇ zohlednuje dopad. Tato korekce je tzv. zhodnoceným pomˇerem vlivu (Assessed Proportional of Affect – APOA). Velikost APOA se pohybuje v rozmezí 0,0 - 1,0 a urˇcuje ho expertní úsudek. ˚ Jako pˇríklad mužeme uvést EPC s nejvˇetším negativním dopadem na HEP. Jde o: Neznalost situace, která je potenciálnˇe duležitá, ˚ ale nastává jen zˇrídka, nebo která je neobvyklá, pˇrípadnˇe nová. Její dopad je 73
pˇredpovˇezen podle tabulek na maximální hodnotu 17 (zvýší pravdˇepodobnost 17krát). Dalším pˇríkla˚ být EPC pohybující se svou závažností pˇribližnˇe uprostˇred tabulky: Operátorova nezkušenost dem muže (napˇr. novˇe kvalifikovaný pracovník, ne-expert v dané oblasti). Hodnota dopadu na HEP tohoto EPC je už pouze 3. ˚ HEP úlohy se poˇcítá podle následujících vzorcu: W Fi = [(EP Ci − 1) · AP OAi + 1,0]
HEP = GT T · W F1 · W F2 · W F3 · . . . atd. kde GT T EP Ci AP OAi W Fi
je navrhovaná nominální HEP spojená s generickým typem úlohy, jsou numerické hodnoty dopadu vybraných podmínek vzniku chyb, jsou zhodnocené pomˇery vlivu pro jednotlivé podmínky, jsou vážené vlivy podmínek.
˚ Ve vzorci si mužeme všimnout možnosti, že výsledná HEP výraznˇe pˇrekroˇcí hodnotu 1. V daném pˇrípadˇe ˚ ˚ uvažovat jako 1,0 - tedy jistý jev. tuto hodnotu musíme z jasných duvod u Další charakteristikou metody je fakt, že nemá vypracovaný vlastní model závislosti mezi úlohami. Metoda HEART je pomˇernˇe jednoduchá, pracuje s malým poˇctem tabulek a rychle se provádí. Je však velmi závislá na expertním úsudku - jak pˇri vybírání jednotlivých EPC, tak jejich APOA. I praktici, mající mnoho zkušeností s jinými metodami HRA mají problémy s ohodnocením úloh, podle jejich tabulek. Pakliže postupují s podobnou filozofií jako napˇr. v metodˇe THERP, tak výsledné HEP v nepˇrimˇeˇreném množství pˇrekraˇcují hodnotu 1 a dávají nevhodnˇe konzervativní výsledky. Užití metody HEART je tak pro ˚ vhodné jenom, pokud cˇ lovˇek dokáže pˇrijmout rozdílnou filozofii práce a expertního velkou cˇ ást praktiku ˚ kteˇrí tohoto nejsou schopni je tato metoda doporuˇcena pouze jako nástroj úsudku v metodˇe. U praktiku, pro identifikaci kritických úloh (screening). 9.4.1
Jednoduchý pˇríklad analýzy metodou HEART (pˇríklad 1)
Zapnutí pˇreˇcerpávání do rezervní nádrže: ˚ Vybereme tento druh úlohy (GT T ): Obnova nebo posun systém do puvodního nebo nového stavu do˚ s urˇcitou kontrolou: HEP B = 0,003. Identifikované PSF jsou: Malé nebo na sobˇe držováním postupu, ˚ (EP C1 = 3), Mála pˇríležitost k procviˇcení mysli a tˇela bez okamžitého závislé kontroly a testy výstupu omezení práce (EP C2 = 1,8). Pˇríslušné váhové faktory byly urˇceny: W F1 = 0,5; W F2 = 0,8. Výsledná pravdˇepodobnost lidské chyby je: HEP = (0,003) · [(3 − 1) · 0,5 + 1] · [(1,8 − 1) · 0,8 + 1] ' 0,01
74
9.5
Shrnutí
˚ Velkou roli hraje expertní úsudek pˇri výbˇeru správných druhý Metody HRA vychází ze stejných principu. lidského výkonu z tabulek. Stejnˇe tak pˇri identifikaci PSF. ˚ Tedy správné Na správném výsledky se kriticky podílí pˇredevším korektnˇe vypracovaná analýza úkolu. popsání lidského výkonu. Na ní následuje kvalitní dekompozice - tj. rozbití celého lidského výkonu na ˚ ˚ ruzných ˚ jednotlivé malé cˇ ásti (jednotlivé lidské úkony). Používají se bud’ vlastní zpusoby analýzy úkolu metod, nebo sofistikovanˇejší nástroje, napˇr. HTA. HTA (hierarchical task analysis) je široce používaná ˚ ˚ HTA metoda s mnoha ruznými variantami. Její problematika pˇresahuje tuto publikaci. Pˇríklad, jak muže vypadat ukazuje následující tabulka:
Cíl
1.
Rozpoznání situace a diagnóza správné procedury
1.A
1.B 1.C
1.D 1.E 2.
Bezpeˇcnostní 2.A procedura
2.B 2.C
2.D
2.E
9.5.1
Tabulka 9.8: Pˇríklad užití HTA. Kroky úkolu nebo Pˇrepoˇctená aktivity hodnota HEP Reakce na výstražné 0,014 signály
Zjištˇení stavu hlavního elektrického napájení Zjištˇení stavu bezpeˇcnostního elektrického napájení Zjištˇení stavu jednotky 2 Urˇcení bezpeˇcnostní procedury Odstavení jednotek 1 a 3 uzavˇrením ˚ bezpeˇcnostních ventilu mezi jednotkami 1, 2 a 3. Spuštˇení sanaˇcní jednotky. Spuštˇení diesel-generátoru (DG) do teplé rezervy. Kontrola stavu systému pˇred spuštˇením odsávání do sanace. Otevˇrení ventilu mezi jednotkou 2 a sanaˇcní jednotkou.
Dolní mez
Horní mez
0,004
0,0034
0,005
0,0005
0,05
0,005
0,0005
0,05
0,005 0,0025
0,0005 0,00025
0,05 0,025
0,006
0,005
0,008
0,006
0,005
0,008
0,02
0,009
0,0114
0,002
0,0002
0,02
0,006
0,005
0,008
Metody HRA druhé generace
Metodám analýzy spolehlivosti cˇ lovˇeka druhé generace se obecnˇe pˇriˇrazuje proti starším metodám pˇrede˚ vším vˇetší duraz na hledání kontextu a chyb z pˇridání (EOC). Skuteˇcným krokem kupˇredu je ale pˇredevším snaha o lepší pochopení kognitivní stránky chování cˇ lovˇeka. Metody druhé generace se tedy snaží podchytit stejné druhy lidského chování náchylné k chybˇe jako metody první generace, ale snaží se také najít druhy chování vyvolané zámˇerem (cílem) cˇ lovˇeka, které 75
jsou v konfliktu s tím, jak by úloha mˇela být správnˇe vyˇrešena. Tento zásadní rozdíl mezi dvˇema generacemi HRA ilustruje následující obrázek:
Obrázek 9.7: Rozdílný pˇrístup dvou generací metod HRA. ˇ ˇ Cervenˇ e podbarvený blok a z nˇej vystupující šipky znázornují fenomén, kdy je zámˇer bud’ v souladu (symbolizován znakem „=“) nebo v rozporu (symbolizován znakem „x“) s povahou úlohy. ˚ ˚ Metody druhé generace tak ruzným zpusobem obohacují tradiˇcní pˇrístup již zažitých a dlouhá léta používaných metod. Používají tradiˇcní pˇrístup obecného procesu HRA a zachovávají nástroj PSFs. Onu pˇridanou hodnotu bychom mohli nazvat „kognitivním rozmˇerem“. Ten bychom dále mohli rozdˇelit na kognitivní zatížení a vypoˇrádání. Problematika metod druhé generace bohužel pˇresahuje rámec tohoto textu.
76
9.6
Pˇríklady výpoˇctu spolehlivosti cˇ lovˇeka pomocí r˚ uzných metod HRA – Obsluha kávovaru
˚ Vaˇrení kávy je jedna z nejˇcastˇejších cˇ inností, kterou mužeme sledovat prakticky ve všech kulturách a na ˚ konkurovat pouze cˇ aj). Druh a zpusob ˚ ˚ všech místech na zemi (rozšíˇrenosti pití kávy muže vaˇrení, duvod ˚ ˚ ˚ ˚ a zpusob její konzumace má napˇríˇc spoleˇcností mnoho ruzných forem. Jedním z nejˇcastˇejších zpusob u vaˇrení kávy a pravdˇepodobnˇe nejmasovˇejším z hlediska objemu je vaˇrení pˇrekapáváním mleté kávy v papírových filtrech vaˇrící vodou do konvic v automatických kávovarech známých od 70. let 20. století. ˚ ˚ kvalitní kávy není nejlepší, ale pro svojí relativní jednoduchost Tento zpusob vaˇrení z hlediska milovníku se široce rozšíˇril po celém svˇetˇe. Tyto automatické kávovary se liší typ od typu od naprosto jednoduchých až po luxusní s mnoha funkcemi. Konvice na uvaˇrenou kávu se používají sklenˇené, ale i nerezové apod. Nˇekteré kávovary mají pouze spínání chodu, jiná dovolují nastavovat teplotu a rychlost proudˇení vody do konvice nebo funkci cˇ asovaˇce. Liší se provedení nádržek na vodu a indikace jejich naplnˇení. Existuje mnoho dalších rozdílností ˚ ve fyzické konstrukci kávovaru. Podmínky, za kterých se daný kávovar používá, mohou být také velmi rozdílné. Nˇekteˇrí lidé vaˇrí kávu ˚ eh bˇehem snídanˇe a jsou pˇrítomni bˇehem celého procesu. Mají tedy mnoho pˇríležitostí celý proces a prubˇ ˚ být pˇredpˇripravené vaˇrení spuštˇené vaˇrení kontrolovat a pˇrípadné chyby napravit. Opaˇcným pˇrípadem muže cˇ asovaˇcem, kdy není pˇrítomen nikdo, kdo by pˇrípadnˇe napravil chybnou pˇredchozí pˇrípravu. Lidé moˇ do kávovaru bud’ veˇcer pˇred spaním, ráno když jsou ještˇe rozespalí nebo v práci hou pˇripravovat nápln kdy jsou pod stresem a myslí na pracovní úkoly. Vzhledem k této široké škále rozdílností není možné vytvoˇrit jedinou platnou analýzu spolehlivosti cˇ lovˇeka pˇri vaˇrení kávy v kávovaru. Takovouto analýzu ˚ mužeme udˇelat, ale vždy bude platit pro jeden druh kávovaru, konkrétní situaci za které je vaˇrena a konkrétního cˇ lovˇeka, který ji vaˇrí. ˇ Konkretizování situace: Uvažujeme ranní vaˇrení kávy na starším kávovaru ve firemní kuchynce. Kávovar má pomalejší chod a první káva se v konvici objevuje až po dvou minutách od zapnutí. Pracovník obvykle není pˇrítomen celému procesu vaˇrení kávy, pouze jednou pˇrijde chod zkontrolovat. Jako úspˇešný lidský výkon budeme považovat uvaˇrení kávy vˇcas a bez žádných mimoˇrádných událostí. Pracovník tedy ˚ udˇelat nˇekteré druhy chyb, ale musí je napravit bˇehem jediné uvažované kontroly. Návod k obmuže sluze má pracovník k dispozici, ale neoˇcekáváme, že ho bude hledat. Pracovník bude postupovat podle zkušeností, které mu byly pˇredané ústní cestou, osvojováním technických zaˇrízení podobného typu a vlastních pozorování. Užití metody THERP (pro nedostatek dat podobných úloh budeme pravdˇepodobnost vypoˇcítávat z tabulek pro zapomenutí ústních instrukcí, pˇriˇcemž tuto hodnotu zmenšíme o faktor 3-5 (podle výhodnosti pro zaokrouhlení) pro uvažovanou jednoduchost úlohy a pˇredchozí zkušenosti). Protože jde o jednoduchý ilustraˇcní pˇríklad, tak nebudeme uvažovat závislosti mezi událostmi. Jednotlivé události (vˇcetnˇe výpoˇctu jejich pravdˇepodobnostních charakteristik) procesu vaˇrení kávy jsou: A Kontrola stavu vody v nádržce. Pravdˇepodobnost zapomenutí na stav vody je podle tabulek 0,01. Uvažujeme vliv ergonomie ukazatele stavu vody - stavomˇerná komora má cˇ ervený plovoucí ukazaˇ tel, který pˇri samotném vizuálním pohledu na kávovar upozornuje, že voda je nˇeco, cˇ emu je potˇreba vˇenovat pozornost - zlepšující faktor (/2). Pracovník je však pˇri vaˇrení pod velmi nízkou hladinou stresu (x2) - tedy celková pravdˇepodobnost je 0,01. B Možné napravení chyby zapomenutí na stav vody v nádržce pˇri kontrole. Uvažujeme stejnou pravdˇepodobnost jako v pˇredchozím pˇrípadˇe s jediným rozdílem, že pracovník již vˇenuje plnou pozornost (pˇri kontrole zjistil, že nˇeco není v poˇrádku). Pravdˇepodobnost je tedy 0,005. C Výmˇena filtru a nasypání nové kávy (uvažujeme úplnou závislost mezi filtrem a novou kávou a proto ˚ je mužeme sdružit do jediné podúlohy). Pravdˇepodobnost zapomenutí výmˇeny filtru a nasypání nové kávy je tabulkovˇe 0,01. Uvažujeme nízkou hladinu stresu (x2). Pravdˇepodobnost chyby je 0,02. 77
Obrázek 9.8: Kávovar D Možné napravení nevymˇenˇené náplnˇe. Vzhledem k tomu, že pˇredpokládáme ponechanou starou nᡠtak spoˇcívá úspˇešná kontrola v rozpoznání slabšího odstínu kávy a rozdílné vunˇ ˚ e. Pravdˇepodobpln, nost selhání této kontroly byla dosazena metodou párového srovnání jako 0,3. E Vypláchnutí konvice a zasunutí na správné místo. Uvažujeme, že na dnˇe filtraˇcního koše je ventil, který se otevˇre pouze pˇri stlaˇcení cˇ epem konvice ve správné poloze. Pravdˇepodobnost špatného zasunutí podle tabulky je 0,01. Uvažujeme nízkou hladinu stresu (x2). Pravdˇepodobnost chyby je 0,02. G Pˇreteˇcení filtraˇcního koše pˇri špatnˇe zasunuté konvici. Uvažujeme, že pˇri špatném zasunutí konvice ˚ v koši pˇretéci. Pravdˇepodobnost, že pracovník pˇrijde zkontrolovat nemá káva kam odtékat a muže ˚ tuto chybu napravit je 0,5. chod kávovaru dˇríve, než k pˇreteˇcení dojde a muže H Možné napravení špatného zasunutí. Uvažujeme stejnou pravdˇepodobnost jako v pˇrípadˇe G s jediným rozdílem, že pracovník již vˇenuje plnou pozornost (pˇri kontrole zjistil, že nˇeco není v poˇrádku). Pravdˇepodobnost je tedy 0,01. K Zapnutí kávovaru. Pravdˇepodobnost zapomenutí je 0,01. Spínaˇc má svˇetelnou indikaci, která zlepšuje pravdˇepodobnost /3 (pracovník má spojený správný chod kávovaru se svítící kontrolkou). Uvažujme nízkou hladinu stresu (x2). Pravdˇepodobnost chyby je 0,007. L Možné napravení nezapnutého kávovaru. Uvažujeme stejnou pravdˇepodobnost jako v pˇredchozím pˇrípadˇe s jediným rozdílem, že pracovník již vˇenuje plnou pozornost (pˇri kontrole zjistil, že nˇeco není v poˇrádku). Pravdˇepodobnost je tedy 0,003. Strom pravdˇepodobností pro obsluhu kávovaru vypadá následovnˇe: Celková pravdˇepodobnost úspˇechu pˇri vaˇrení kávy je:
PS = (a + Ab) (c + Cd) (e + Egh) (k + Kl) = (0,99 + 0,01 · 0,995) (0,98 + 0,02 · 0,7) (0,98 + 0,02 · 0,5 · 0,99) (0,993 + 0,007 · 0,997) = 0,98389074 Pokud jde o neúspˇešné vˇetve, tak F1, F2, F4 a F5 vedou k pˇrímému neúspˇechu pˇri vaˇrení kávy vˇcas: 78
Obrázek 9.9: Strom pravdˇepodobností pro úlohu vaˇrení kávy.
79
PF b = AB + (a + Ab) CD + (a + Ab) (c + Cd) EgH + (a + Ab) (c + Cd) (e + Egh) KL = 0,01 · 0,005 + (0,99 + 0,01 · 0,995) · 0,02 · 0,3 + (0,99 + 0,01 · 0,995) · (0,98 + 0,02 · 0,7) · 0,02 · 0,5 · 0,01 + (0,99 + 0,01 · 0,995) · (0,98 + 0,02 · 0,7) · (0,98 + 0,02 · 0,5 · 0,99) · 0,007 · 0,003 = 0,006169757 Vˇetev F3 vede k pˇreteˇcení smˇesi horké kávy a mleté kávy z filtraˇcního koše. Pracovník nebude schopen uvaˇrit kávu vˇcas a navíc ještˇe bude muset kávovar nároˇcnˇe cˇ istit. Pravdˇepodobnost této události je:
PF 3 = (a + Ab) (c + Cd) EG = (0,99 + 0,01 · 0,995) · (0,98 + 0,02 · 0,7) · 0,02 · 0,5 = 0,009939503 ' 1 · 10−2 Kontrolní souˇcet: SC = 0,98389 + 0,00616976 + 0,009939503 = 0,999999263 ' 1 Celková pravdˇepodobnost neúspˇechu pˇri vaˇrení kávy je: PF ' 1,6 · 10−2 Užití metody HEART: Uvažovanými typy úlohy by mohly být: D (Velmi jednoduchá úloha provádˇená pˇrekotnˇe, nebo s nedostateˇcnou pozorností), E (Rutinní, cˇ asto provádˇená zrychlená úloha vyžadující ˇ schopností), F (Obnova nebo posun systém do puvodního ˚ relativnˇe malou úroven nebo nového stavu ˚ s urˇcitou kontrolou). dodržováním postupu, ˚ ehu vaˇrení kávy - je Protože uvažujeme znalost postupu vaˇrení kávy a jednou kontrolu kávovaru v prubˇ expertnˇe vybrán typ úlohy F s nominální pravdˇepodobností 0,003 (0,0008 − 0,007). Jsou identifikovány tyto EPCs (Error Producing Condition - podmínka vzniku chyb) (s jejich maximálním dopadem na HEP (Human Error Probability - pravdˇepodobnost lidské chyby)): EPC1:
Nedostatek cˇ asu na zjištˇení chyby a její korekci (x 11).
EPC2:
Špatná, nejasná nebo chybnˇe oznaˇcená zpˇetná vazby od systému (x4).
EPC3:
Operátorova nezkušenost (napˇr. novˇe kvalifikovaný pracovník, neexpert v dané oblasti) (x3).
EPC4:
˚ ˚ pro kontrolu správnosti (x2,5). Absence ruznorodých vstupu
Na základˇe expertního úsudku byly urˇceny pro dané EPCs tyto APOAs (Assessed Proportional of Affect zhodnocený pomˇer vlivu): W Fi = [(EP Ci − 1) · AP OAi + 1,0] AP OA1 : 0,8 → W F1 = ((11 − 1) · 0,8) + 1 = 9 AP OA2 : 0,4 → W F2 = ((4 − 1) · 0,4) + 1 = 2,2 AP OA3 : 0,5 → W F3 = ((3 − 1) · 0,5) + 1 = 2 AP OA4 : 0,2 → W F4 = ((2,5 − 1) · 0,2) + 1 = 1,3 80
Výsledná pravdˇepodobnost selhání je: HEP = GT T · W F1 · W F2 · W F3 · W F4 = 0,003 · 9 · 2,2 · 2 · 1,3 = 0,15444 ' 0,16 kde GT T EP Ci AP OAi W Fi
je navrhovaná nominální HEP spojená s generickým typem úlohy, jsou numerické hodnoty dopadu vybraných podmínek vzniku chyb, jsou zhodnocené pomˇery vlivu pro jednotlivé podmínky, jsou vážené vlivy podmínek.
˚ ˚ Meze nejistoty mužeme pˇrepoˇcítat podle stejného vzorce a výslednou pravdˇepodobnost tedy mužeme zapsat: HEP ' 0,16 (0,04 − 0,36)
81
10
Pˇríklad šíˇrení látek v prostˇredí Metodu Dow FEI
82
ˇ Cást II
MAR 11
Metoda CCA
83
12
Metoda TA
84
13
Hazard Analysis and Critical Control Points (HACCP)
Informace cˇ erpány z publikací [18],[1],[2]. Metoda HACCP (Hazard Analysis and Critical Control Points – analýza nebezpeˇcí a kontrolní kritické ˚ analýza ohrožení a kritických kontrolních bodu, ˚ systém analýzy rizika a body, systém kritických bodu, ˚ je nástroj urˇcený k pˇredcházení rizikum ˚ ohrožujícím bezpeˇcnost potravin. kritických kontrolních bodu) Požadavky na systém HACCP jsou uvedeny v [18] do strany 7.
13.1
Postup provádˇení metody HACCP
• Sestavení týmu – má vedoucího, cˇ lenové týmu odbornˇe pokryjí celou ˇrešenou problematiku, zahrnuje i cˇ lena provozovatele potravináˇrského podniku • Vymezení cˇ innosti – Provozovatel podniku definuje všechny cˇ innosti, které provádí ve výrobˇe, zpracování a distribuci potravin a všecny musí být zahrnuty v plánu HACCP2 • Informace o potravinách – Spolehlivé informace o všech potravinách potˇrebné ke zhodnocení jejich bezpeˇcnosti. • Identifikace zamýšleného použití ˇ ˚ z hlediska možného ovlivnˇení zdraví – Zohlednuje se pˇredpokládaná cílová skupina spotˇrebitelu a nesprávného použití výrobku. • Sestavení proudového diagramu – Diagram pokrývá všechny fáze výroby, zpracování a distribuce v podniku. – Musí zahrnovat všechny operace vˇc. nakupovaných služeb, pˇrípravy surovin, nakládání s odpady, zpracování, distribuci a všechny další, které mohou mít vliv na bezpeˇcnost potravin. • Potvrzení proudového diagramu na místˇe – Diagram musí být potvrzen na místˇe za bˇežného provozu, pˇrípadnˇe upraven. • Analýza nebezpeˇcí – Musí být provedena a musí obsahovat veškerá nebezpeˇcí, ohrožující bezpeˇcnost potravin, která lze v rozumné míˇre pˇredpokládat. ˚ (CCP) • Stanovení kritických kontrolních bodu – Na základˇe definované metodiky musí být identifikovány kritické kontrolní body. Pro každé nebezpeˇcí musí existovat vhodné opatˇrení. • Stanovení kritických mezí – Pro každý stanovená kritický kontrolní bod jsou stanoveny hodnoty kritických mezí. Musí být mˇeˇritelné a dobˇre vyhodnotitelné. 2 Dokument vytvoˇ ˚ HACCP a stanovující zpusob ˚ rený na základˇe principu ovládání nebezpeˇcí významných pro porušení bezpeˇcnosti potravin
85
• Monitoring – Provádí povˇeˇrená osoba definovanými metodami v definovaných intervalech a sleduje stanovené kritické meze. • Stanovení nápravných opatˇrení – Nápravná opatˇrení musí existovat pro každé pˇrekroˇcení kritických mezí. Každé provedení nápravných opatˇrení je dokumentováno. • Ovˇeˇrovací postupy ˚ moni– Provádí se pravidelné ovˇeˇrování systému HACCP. Zahrnuje ovˇeˇrování metod a postupu toringu, správnost plánu HACCP, funkce systému. • Dokumentace – Veškeré postupy zavedení a provozu systému HACCP musí být dokumentovány. • Školení – Všichni zamˇestnanci podniku musejí být pravidelnˇe proškolováni dle systému HACCP.
86
14
Scenario Analysis (SA)
Informace cˇ erpány z publikací [15]. ˚ je název vyvinutého popisného modelu pro to, jak se eventuelnˇe muže ˚ zmˇenit Analýza pomocí scénáˇru ˚ být využita pro identifikaci rizik pˇri posouzení možných vývoju ˚ situace v budoucnosti budoucnost. Muže ˚ K tomuto úˇcelu muže ˚ být využit soubor scénáˇru ˚ (jako napˇríklad „nejlepší pˇría analýze jejich dopadu. ˚ ˚ a jepad“, „nejhorší pˇrípad“ a/nebo „oˇcekávaný pˇrípad“), který slouží k analýze potenciálních dusledk u jich pravdˇepodobností pro každý scénáˇr jako forma analýzy citlivosti v pˇrípadˇe, kdy analyzujeme riziko. ˚ je popsána pˇri zohlednˇení hlavních zmˇen v posledních 50-ti letech v oblasti Síla analýzy pomocí scénáˇru ˚ apod. Analýza pomocí scénáˇru ˚ nemuže ˚ pˇredtechnologií, preferencí zákazníka, spoleˇcenských názoru, ˚ posoudit dusledky ˚ povídat pravdˇepodobnosti takovýchto zmˇen, zato ale muže a pomoci organizaci vyvi˚ nout silná opatˇrení a odolnost potˇrebnou pro adaptaci na pˇredpokládané zmˇeny. Analýza pomocí scénáˇru ˚ být pomocná a užiteˇcná v rámci asistence pˇri procesu rozhodování a plánování strategií do bumuže ˚ být užiteˇcná pˇri posuzování existujících aktivit. Tato analýza muže ˚ hrát duleži˚ doucna. Stejnˇe tak muže ˚ být použit tou cˇ ást v jednotlivých tˇrech cˇ ástech posouzení rizika. V rámci analýzy a identifikace muže ˚ odrážejících „nejlepší pˇrípad“, „nejhorší pˇrípad“ a „oˇcekávaný pˇrípad“ za úˇcelem idensoubor scénáˇru ˚ stát a tifikace toho, co by se mohlo v daných podmínkách stát, pravdˇepodobnosti toho, že se to muže ˇ dusledk ˚ ˚ pro každý takový stanovený scénáˇr. samozˇrejmˇe úroven u Výhody: ˚ bere do úvahy velké množství možných budoucích událostí, které mohou být Analýza pomocí scénáˇru preferovány pro tradiˇcní pˇrístupy za úˇcelem spolehnutí se na vysoce-stˇrednˇe-málo možné pˇredpovˇedi, které pˇredpokládají, za využití historických dat, že budoucí události budou pravdˇepodobnˇe pokraˇco˚ a zkušeností z minulosti. Toto je duležité ˚ vat s ohledem na souvislosti, trendu zejména pro situace, kde existuje málo informací ze souˇcasnosti, na kterých by mohly být založeny pˇredpovˇedi nebo tam, kde je riziko posuzováno v dlouhodobých souvislostech. Tato „výhoda“ má nicménˇe související nevýhody, které jsou pˇredstavovány v nˇekterých pˇrípadech vysokou nejistotou a tedy urˇcitou nereálností posu˚ Hlavním problémem pˇri využití analýzy pomocí scénáˇru ˚ je dispozice dat a schopzovaných scénáˇru. ˚ resp. posuzovatelu ˚ k tomu, aby byli schopni vytvoˇrit realistické scénáˇre, jež jsou odpovínosti analytiku, ˚ sledovaných procesu. ˚ Nebezpeˇcí pˇri využití analýzy pomocí scénáˇru, ˚ jako dající možným výstupum rozhodovací nástroj, jsou v tom, že použité scénáˇre nemusí mít adekvátní základy, že použitá data mo˚ hou být spekulativní, a že nˇekteré nerealistické výsledky nemusí být nutnˇe jako takové být vubec zpozorovány. • Nejlepší scénáˇr – zahrnuje takové parametry problému, které z aktuálního pohledu vypadají nadnesené a které povedou k úspˇechu • Nejhorší scénáˇr – zahrnuje takové parametry problému, které z aktuálního pohledu vypadají podhodnocené • Nejpravdˇepodobnˇejší scénáˇr – nejpravdˇepodobnˇejší parametry problému, z aktuálního pohledu ˇrešitele
87
15
Metodu MA
88
16
Metodu CBA
89
17
Metodu pˇrepravy nebezpeˇcných vˇecí - vznik nehody a šíˇrení látky v prostˇredí
90
18
Brainstorming
Informace cˇ erpány z publikací [8],[10],[17]. • Poprvé použita v r. 1938 Alexem F. Osbornem, rozpracována 1953 v [16]. ˇ ˚ na dané téma – jde o kvantitu, ne kvalitu. Cím ˚ • Cílem je generování co nejvíce nápadu více nápadu, tím vˇetší pravdˇepodobnost, že se mezi nimi objeví skvˇelá myšlenka. • Skupinová technika. Pomáhá neformální prostˇredí, tým lidí, kteˇrí se znají – nebojí se, že se „shodí“ pˇred ostatními, dobrá nálada – podporuje „rozbíhavé“ myšlení. ˚ od jejich hodnocení. • Hlavní zásadou je pˇrísné oddˇelení tvorby nápadu ˚ ostatních, vymyslí více, než by vymysleli jed• Pˇredpokládá, že lidé ve skupinˇe na základˇe podnˇetu notlivˇe. ˚ prognostice. • Využití v managementu, podnikání, hledání optimálních postupu, • Formální struktura: mˇela by obsahovat pouze zapisovatele, který se nemusí úˇcastnit vymýšlení, ale zapisuje vše vyˇrcˇ ené. • V praxi jde o vyˇcerpávající a namáhavou metodu pro její úˇcastníky.
18.1
Zásady metody
1. Vysvˇetlení problému • Úˇcastníci jsou seznámeni s cílem setkání, ˇrešeným problémem a pravidly. ˚ se uskuteˇcnit krátká diskuse o problému. • Muže ˚ a jejich zápis 2. Vymýšlení nápadu • Vždy mluví jen jeden cˇ lovˇek. • Vyslovené nápady jsou zapisovány tak, aby na nˇe všichni úˇcastníci vidˇeli. • Pˇrijímají se všechny nápady. ˚ nˇekoho pˇrivést na dobrou • Nesmí být nikým komentovány – i zdánlivˇe hloupý nápad muže myšlenku. ˚ se kombinovat a doplnovat ˇ • Muže už vyslovené nápady. 3. Pˇrestávka • Nˇekolik minut, hodin až dní. ˚ • Zapomene se na to, kdo jednotlivé návrhy vyslovil – „odosobnˇení“ návrhu. ˚ 4. Vyhodnocení návrhu ˚ • Provádí stejná skupina úˇcastníku. ˚ (ne více než 5-6). • Je tˇreba mít urˇcena kritéria hodnocení návrhu ˚ • Návrhy jsou zaˇrazeny do skupin obdobných návrhu. • Výbˇer nejlepších k dalšímu zpracování. • Výbˇer „nejdivoˇcejších“ a úvahy jak jich využít. ˚ • Zhodnocení vybraných návrhu. ˚ • Duležité je se soustˇredit, jak nápady uskuteˇcnit, ne proˇc uskuteˇcnit nejdou. 91
18.2
Varianty metody
• Psaný brainstorming ˚ nápad. – List papíru putuje mezi úˇcastníky a každý na nˇej napíše svuj • Pingpongový brainstorming – Urˇcený pro dva úˇcastníky, kteˇrí stˇrídavˇe ˇríkají své nápady. Mohou reagovat na nápady druhého. • Brainstorming s etapou samostudia – Po seznámení s problémem je etapa, kdy se úˇcastníci snaží nastudovat nebo promyslet prob˚ lém samostatnˇe. Pak se pokraˇcuje spoleˇcnou etapou vymýšlení návrhu. • Gordonova metoda – Cílem je vytvoˇrit pouze jedno originální ˇrešení. Na poˇcátku nikdo kromˇe vedoucího pˇresnˇe neví, jaký problém se ˇreší. Probém se ˇreší ze široka a vedoucí téma postupnˇe zúžuje, až se nakonec najde ˇrešení.
18.3
Nevýhody metody
˚ – nejsou hodnoceni samostatnˇe za poˇcet nápadu, ˚ ale jako skupina dohromady 1. Motivace úˇcastníku ˚ to vést k nižšímu poˇctu nápadu. ˚ – muže 2. Obava z hodnocení – Úˇcasníci se obávají vyslovit své nápady i pˇres to, že jedním z pravidel metody je nehodnotit vzájemnˇe nápady. Obava roste s obtížností úkolu – pravdˇepodobností špatné odpovˇedi. 3. Blokování výkonu – Vždy mluví pouze jeden, ostatní mezitím mohou svou myšlenku zapomenout.
18.4
Pˇríklady3
Zopakujte si pravidla metody brainstorming, vysvˇetlete téma, stanovte zapisovatele, proved’te hledání ˚ vyhodnot’te získané návrhy. návrhu, 18.4.1
Téma: Jaký význam cítíte za slovem „riziko“.
Na základˇe pravidel metody brainstroming naleznˇete vhodné významy pojmu riziko. 18.4.2
Téma: Jaká udˇelat zabezpeˇcení zásobníku na nebezpeˇcnou kapalnou látku?
Na základˇe pravidel metody brainstroming navrhnˇete vhodná zabezpeˇcení zásobníku kapalné látky. 18.4.3
Téma: Jak informovat obyvatelstvo o úniku toxického plynu?
Na základˇe pravidel metody brainstroming navrhnˇete vhodné cesty informování veˇrejnosti o úniku toxického plynu.
3 Jeden z pˇ ˚ alespon ˇ cˇ ásteˇcnˇe vypracovat!!! ríkladu
92
19
Delphi
Informace cˇ erpány z publikací [3],[12]. Delphi – Metoda úˇcelových interview • Metoda slouží k pˇredvídání pˇrítomnosti a budoucnosti. • Kvalitativní, skupinová, iterativní4 metoda. • Využívá soubor vhodnˇe volených otázek, prodiskutovaných na úˇcelových pohovorech nebo for˚ ehu pohovoru a mou dotazníku. Otázky se dˇelí na dvˇe cˇ ásti. Pˇredem dané a variabilní – podle prubˇ postavení respondenta. ˇ • Posuzovatelé nepˇricházejí vzájemnˇe do styku – vyluˇcuje to vzájemné ovlivnování. ˚ stát a za jakých podmínek. • Vhodná pro analýzu rizik – odpoví, co se muže • Absence finanˇcního vyjádˇrení. ˚ jsou statisticky zpracovány a výsledky sdˇeleny posu• Iteraˇcní postup – výsledky kola rozhovoru ˚ ˚ stanovisko, pˇrípadnˇe upravili nebo potvrdili zovatelum. Ti jsou vyzváni, aby zaujali k výsledkum ˚ své puvodní stanovisko. Dochází tak k prosazení nejpodstatnˇejších hypotéz. Úˇcastníci ale nejsou ovlivnˇeni dominantními pˇríslušníky skupiny. Doporuˇcují se 2-3 kola, jinde 5, 7 nebo dokonce 9. • Používají se subvarianty metody. – Metoda anketní analýzy ˚ – Metoda scénáˇru – Metoda matic
19.1
Postup metody Delphi
• Vhodná volba témat výzkumu. Má zásadní vliv na to, kdy a jakého dosáhneme konsensu5 . ˚ (posuzovatelu) ˚ z dané problematiky. Cca 10 – 100 osob. Jejich oslovení a sezná• Výbˇer odborníku mení s tématem výzkumu. • 1. kolo – Varianta a) Sestavení jednoznaˇcných a zodpovˇeditelných otázek organizaˇcním týmem a rozes˚ lání posuzovatelum. Ti mohou pˇrípadnˇe nˇekteré oblasti doplnit. ˚ jsou zpracovány a na – Varianta b) Stanoví se základní okruhy problému. Reakce posuzovatelu ˚ jejich základˇe jsou vytvoˇreny konkrétní otázky, které jsou následnˇe rozeslány posuzovatelum do druhého kola. ˚ • Jsou vyhodnoceny odpovˇedi z 1. kola a je stanoven seznam zjištˇených problému. • 2. kolo ˚ – Seznam je odeslán posuzovatelum, ti mohou revidovat svoje odpovˇedi, pˇrípadnˇe znovu odpovˇedˇet. – Mohou také volit, kterou cˇ ást problematiky považují za podstatnˇejší a kterou za ménˇe podstatnou. 4 Provádí se opakovanˇ ˇ e, pˇriˇcemž výsledek jednoho kola ovlivnuje vstupy kola následujícího. 5 Shody mínˇ ení všech zúˇcastnˇených.
93
– V odpovˇedích zaˇcíná docházet k nˇejaké shodˇe. • Organizátoˇri následnˇe statisticky zpracují výsledky druhého kola. • 3. kolo ˚ – Výsledky jsou pˇredstaveny posuzovatelum. Ti znovu hodnotí s pˇrihlédnutím ke statistickým ˚ celé skupiny z minulého kola. výsledkum ˚ – Posuzovatelé, kteˇrí se odchylovali více jsou požádáni o zduvodnˇ ení svých odpovˇedí. – Zde se oˇcekává už jen drobné zlepšení shody. • Na základˇe odpovˇedí ze 3. kola jsou vytvoˇreny koneˇcné výsledky. • 4. kolo ˚ probˇehnout (ale nemusí) – Muže ˚ – Zbylá témata a jejich hodnocení jsou rozeslána posuzovatelum. ˚ dojít k poslednímu zpˇresnˇení odpovˇedí. – Muže ˚ • Poˇcet iterací v metodˇe Delphi závisí na stupni konsensu v jednotlivých kolech. Podle potˇreby muže být kol víc nebo ménˇe.
19.2
Výhody
˚ • anonymita posuzovatelu • vícekolové dotazování se zpˇetnou vazbou na pˇredchozí kolo • pˇrehledná prezentace odpovˇedí • schopnost prozkoumat bez emocí a objektivnˇe zvolenou problematiku • ideální pro získávání informací o budoucích obecných trendech, žádostivosti urˇcitého jevu a smˇerech k jeho dosažení ˇ • odstranuje pˇrekážky s dosahováním shody mezi posuzovateli v jedné lokalitˇe ˚ • je nezávislá na osobnostech posuzovatelu
19.3
Nevýhody
˚ stejnˇe jako struktura dotazníku jsou chápány jako nejzranitelnˇejší a též nejkri• výbˇer posuzovatelu, tizovanˇejší komponenty metody Delphi ˚ docházet k nedostateˇcnému zpˇetnému zhodnocení výsledku ˚ získaných metodou Delphi • muže • nˇekteré Delphi predikce jsou formulovány pro dlouhodobý cˇ asový horizont a jejich platnost tak ˚ být ovˇeˇrena prozatím nemuže • celý proces vyžaduje znaˇcné množství cˇ asu • problém s posuzovateli s extrémními názory, které radˇeji zmˇení, než aby je vysvˇetlili • možnost, že posuzovatelé nedojdou ke konsensu – shodˇe • možný výskyt extrémních hodnot • je tˇreba vytvoˇrit podrobný postup pro zodpovídání otázek • úspˇech závisí na vhodném výbˇeru dotazovaných 94
19.4
Varianty dotazník˚ u
˚ Tým odborníku
Hodnocení významnosti 1 2 3 4
Komentáˇre 5
Otázka 1 ˚ – Pokud problematiku hodnotí více typu ˚ odborníku, ˚ mohou se otázky na nˇe podle odbornosti Tým odborníku ˚ být uvedeno, pro jakou odbornost je dotazník urˇcen. lišit. Zde muže ˇ ˚ téma rozšíˇrit, zúžit, zduraznit ˚ Komentáˇre – Není nutné vyplnovat. Odborník zde muže nˇekterou cˇ ást. Kritérium Kritérium 1
Vysvˇetlující komentáˇr Vysvˇetlení kritéria 1
Souhlas / nesouhlas Souhlasím / nesouhlasím
Komentáˇr posuzovatele Mám k tomu poznámku
Souhlas / nesouhlas – Posuzovatel uvede, zda souhlasí cˇ i ne s takto formulovaným kritériem a jeho vysvˇetlením. Výroky z posuzované oblasti problematiky Bezpeˇcnostní manuál
19.5
˚ Duležitost
Dostupnost
nízká 1 2 3 4 5 vysoká
nízká 1 2 3 4 5 vysoká
4
3
Komentáˇr
Pˇríklad použití
Pˇrevzato z [11].
19.5.1
ˇ Rešená problematika
˚ ovlivnujících ˇ Aplikace metody Delphi pˇri expertním stanovení faktoru efektivnost e-learningu ve vzdˇelávání ˚ v malých a stˇredních podnicích pracovníku ˚ které jsou klíˇcové z hlediska jejich pozitivního Výzkumné šetˇrení bylo zamˇeˇreno na identifikaci faktoru, ˚ v malých a stˇredních podnicích a negativního vlivu na efektivnost e-learningu ve vzdˇelávání pracovníku (MSP). Delphi šetˇrení bylo tˇríkolové a probˇehlo v mˇesících bˇrezen až cˇ erven 2009. Vlastnímu šetˇrení pˇredcházela pˇrípravná fáze, ve které byl definován výzkumný problém, formulována výzkumná otázka a ˚ byl proveden výbˇer panelu expertu.
19.5.2
Výbˇer expert˚ u
• z univerzit (7 osob) ˚ (7 osob) • z malých a stˇredních podniku • ze vzdˇelávacích a poradenských pracovišt’ (4 osob) • z firem poskytujících e-learningové produkty (8 osob) Výbˇer na základˇe kritérií: ˚ nebo tvor• odborník má zkušenosti s e-learningem získané absolvováním e-learningových kurzu ˚ bou e-learningových kurzu, 95
• odborník má zkušenosti s implementací a realizací e-learningu pro segment malých a stˇredních ˚a podniku • odborník je akademik se vztahem k problematice vzdˇelávání dospˇelých a se zkušenostmi s e-learningem. ˇ ˇ dvˇe z uvedených kritérií souˇcasnˇe. Každý odborník musel splnovat apespon
19.6
Pˇríklad vyhodnocení dotazník˚ u Stupnice vlivu – xi Management
1 nejmenší vliv,. . . , nejvˇetší vliv 5
1
˚ ze Pozitivní motivace pracovníku strany vedení podniku Pˇredchozí zkušenosti majitele a managementu s e-learningem Pozitivní postoj majitele a managementu k e-learningu Zájem firmy o rozvoj a vzdˇelávání ˚ pracovníku ˚ Pozitivní motivace pracovníku zodpovˇedných za vzdˇelávání k využití e-learningu Zaˇclenˇení e-learningu do systému vzdˇelávání v organizaci Vhodná propagace této formy vzdˇelávání uvnitˇr podniku Výkonová, nátlaková motivace ze strany vedení podniku
2 3 4 ˚ od Poˇcet hlasu ˚ posuzovatelu – absolutní cˇ etnost ni 0 0 4 7
5
0
0
6
0
1
0
˚ er Prumˇ
Medián
8
4,21
4
4
9
4,16
4
3
9
6
4,05
4
1
3
9
6
4,05
4
0
1
3
13
2
3,84
4
0
3
3
8
5
3,79
4
0
1
7
10
1
3,58
4
2
4
6
4
3
3,1
3
19.7
Zadání pˇríklad˚ u
19.7.1
Pˇríklad 1 – Bezpeˇcnostní prvky letadla pro nouzové opuštˇení paluby
Zadání: Úkolem je zhodnotit možnosti únikových cest pro pasažéry z osobního dopravního letadla. Odhadnout ˚ dojít. Jak únikové cesty navrhnout co nejefektivnˇeji vzhledem situace, kdy k použití únikových cest muže ˚ Zvolit prioritní únikové cesty ze všech navržených. ke snaze minimalizovat ohrožení pasažéru. K vyˇrešení použijte metodu Delphi. ˇ Rešení: 1. Diskutujte o problematice únikových cest z letadla. ˚ byste k ˇrešení pˇrizvali. 2. Na základˇe prvotní diskuse stanovte, jaké druhy odborníku ˚ a do skupiny výzkumníku, ˚ provádˇejících a vyhodnocu3. Rozdˇelte se do zvolených skupin odborníku jících metodu Delphi. 96
Pˇrevzato z www.novinky.cz
Obrázek 19.1: Nouzové opuštˇení letadla 4. Na základˇe prvotní diskuse tým provádˇející metodu sestaví sadu témat (otázek) pro jednotlivé týmy ˚ a vytvoˇrí tabulku dle 19.1. odborníku ˚ Tým odborníku
Hodnocení významnosti 1 2 3 4
Komentáˇre 5
Otázka 1 Otázka 2 ... Tabulka 19.1: Modelová tabulka pro hodnocení metodou Delphi 5. Tabulku následnˇe vyplní každý odborník samostatnˇe, anonymnˇe a bez jakékoliv komunikace s os˚ pˇrípadnˇe doplnit ještˇe další otázky (témata), která jsou dle vlastního uvážení podtatními. Muže statná. ˚ napˇr. 6. Tým provádˇející metodu následnˇe všechny odpovˇedi vyhodnotí a zpracuje tabulku výsledku dle 19.2. ˚ Tým odborníku
Hodnocení významnosti ˚ – cˇ etnost hlasu ˚ odborníku 1 2 3 4
˚ er Prumˇ
Medián
5
Otázka 1 Otázka 2 ... Tabulka 19.2: Modelova tabulka pro celkové vyhodnocení. 7. Se zpracovanými výsledky (tabulkami) seznamte jednotlivé odborníky. ˚ 8. V následujícím kole znovu odpovˇezte na otázky do dotazníku 19.1, ted’ už se znalostí výsledku ˚ z prvního kola. Znovu anonymnˇe a nezávisle na ostatních. Otázky mohou být seˇrazeny podle duležitosti, jak jim byla pˇriˇrazena v kole prvním. 9. Výsledky jsou znovu zpracovány. Dochází ke zúžení témat na základˇe nejˇcastˇejších odpovˇedí a nejvyšších priorit. Ptáme se dále napˇr. už jen na polovinu otázek, které se v pˇredchozím hodnocení 97
umístily nejvýše. 10. S tˇemito výsledky jsou znovu seznámeni odborníci a je provedeno tˇretí kolo, které slouží ještˇe ˚ k dalšímu zpˇresnˇení výsledku. 11. V pˇrípadˇe potˇreby (široce zvolené téma, výsledky se ubírají jiným než požadovaným smˇerem) je možné provádˇet kol více, dokud nedojdeme k uspokojivému výsledku. 19.7.2
Pˇríklad 26
Zde by to chtˇelo vytvoˇrit pˇríklad takový, aby kromˇe tématu existovaly už i základní otázky (témata) – ˚ tedy hotový dotazník pro první kolo. S více studenty v hodinˇe pujde lépe vysvˇetlit, jak mohou dotazníky vypadat a jak s metodu zaˇcít provádˇet. Nedaˇrí se mi nˇekde takový vhodný pˇríklad najít, aby byl navíc z oblasti rizika.
6 Vymyslet pˇ ríklad cˇ ásteˇcnˇe vypracovaný. Dále ještˇe jeden pouze se zadáním pro rychlejší studenty.!!!!!!
98
20
Root Cause Analysis (RCA)
Informace cˇ erpány z publikací [9],[13]. ˚ (Root Analýza hlavní pˇríˇciny, analýza prvotních pˇríˇcin, analýza prvopˇríˇcin, analýza pˇríˇcin a následku Cause Analysis) ˚ a jevu ˚ v technice ale i jiných oborech tím, že problém nebo jev dokážeme Je to metoda ˇrešení problému ˇ analyzovat až do elementárních pˇríˇcin jeho vzniku a ty se potom pokoušíme podle potˇreby odstranovat nebo podporovat. Iterativní metoda, použitelná k neustálému zlepšování. Typicky se provádí poté, co událost nastala a je snaha zabránit tomu, aby událost nastala znovu. S dobrou znalostí lze provádˇet i pro predikci události. ˚ a pˇrístupu. ˚ Základní varianty jsou tyto: Metoda RCA má mnoho variant, nástroju • Bezpeˇcnostnˇe orientovaná RCA • Produkˇcní RCA • Procesní RCA • RCA orientovaná na poruchy • Systémová RCA Nástroje, použitelnépro provádˇení metody RCA: • metoda pˇeti „proˇc“ ˚ diagram“ nebo „Diagram pˇríˇciny a následku“) • diagram Rybí kost (též „Ishikawuv Pˇríklad použití metody pˇeti „proˇc“: 1. Proˇc se robot zastavil? Obvod se pˇretížil a spálila se pojistka. 2. Proˇc se obvod pˇretížil? Ložiska nebyla dostateˇcnˇe mazána a tak se zadˇrela. 3. Proˇc nebyla ložiska dostateˇcnˇe mazána? Olejová pumpa robotu nedodávala dostatek oleje. 4. Proˇc pumpa nedodávala dostatek oleje? Sání pumpy je ucpáno kovovými šponami. 5. Proˇc je sání ucpáno kovovými šponami? Protože na pumpˇe není filtr. Pˇríklad diagramu Rybí kost: 1. V hlavˇe rybí kosti je uveden problém, který ˇrešíme, ve formˇe otázky. 2. Hlavní kosti mají význam hlavních skupin pˇríˇcin. ˇ Casto se užívají typycké hlavní skupiny pˇríˇcin, které ale nemusejí nutnˇe vést k ˇrešení našeho problému. Jsou jimi: 99
Obrázek 20.1: Rybí kost • • • • • • •
lidé zaˇrízení materiál informace metody mˇeˇrení prostˇredí
3. Malé kosti jsou detailní položky pˇríˇcin. Po sestavení diagramu rybí kosti je vhodné projít jednotlivé cesty od nejdrobnˇejší pˇríˇciny až k ˇrešenému problému (rybí hlavˇe) i nazpátek. Pˇritom peˇclivˇe posuzovat, zda mají veškeré návaznosti logiku a pro ˇrešený problém smysl. Po nalezení hlavní pˇríˇciny je dobré ji v diagramu oznaˇcit. Nalezená hlavní pˇríˇcina nemusí být jediná.
20.1
Základní principy
ˇ 1. Primárním cílem metody RCA je identifikovat faktory, ovlivnující nebezpeˇcné následky události tak, abychom mohli identifikovat co musí být zmˇenˇeno, aby k události nedošlo znovu, pˇrípadnˇe aby následky byly pˇrijatelnˇejší. (Za úspˇech se považuje, když jsme si témˇeˇr jisti, že opakování události nenastane.) 2. Efektivitu metody RCA docílíme systematickým využívámím, obvykle jako souˇcásti vyšetˇrování. Závˇery a identifikované hlavní pˇríˇciny jsou zdokumentovány. Je tˇreba týmové spolupráce. ˚ existovat více než jedna hlavní pˇríˇcina. Je zapotˇrebí duslednost, ˚ 3. Muže aby byly odhaleny všechny. 4. Úˇcelem identifikace všech pˇríˇcin je snaha o jejich prevenci co nejjednodušší cestou a co nejlevnˇeji. Pokud jsou alternativy prevence stejnˇe efektivní, volí se ta jednodušší nebo levnˇejší. 5. Identifikace hlavních pˇríˇcin závisí na definici problému (události). Detailní a jasné popisy problematiky jsou vyžadovány. ˚ mezi jednotlivými faktory, hlavní pˇríˇcinou a pˇrípadnou prevencí muže ˚ 6. Pro lepší pochopení vztahu být sestavena sekvence událostí nebo cˇ asová linie. ˚ pomoci pˇretvoˇrit pohled na problematiku nebezpeˇcných událostí z „reakˇcního“ 7. Metoda RCA muže (reagujeme na nastalý problém) na „pˇredvídavý“ (ˇrešíme drobné problémy dˇríve, než se z nich ˚ v cˇ ase. stanou problémy velké). Vede také ke snížení frekvence výskytu problému 100
20.2
Provádˇení a dokumentace korektivní akce založené na metodˇe RCA
Metoda RCA (v krocích 3,4 a 5) tvoˇrí kritickou cˇ ást úspˇešné nápravy, protože smˇeˇruje nápravu na hlavní pˇríˇcinu problému. Nalezení hlavní pˇríˇciny problému není primární cíl, ale bez její znalosti není možné urˇcit, které nápravné opatˇrení bude efektivní. Postup metody spoˇcívá v následujících krocích: 1. Vˇecnˇe se definuje problém nebo popíše událost. Zahrou se kvalitativní i kvantitativní parametry ˚ (povaha, velikost, místo, cˇ as). nebezpeˇcných následku ˚ 2. Shromáždí se data a dukazy, popisující celou událost v cˇ ase až ke koneˇcnému selhání. Pro každý stav, chování, cˇ innost a neˇcinnost je upˇresnˇeno v cˇ asové ose co mˇelo být provedeno, pokud se to liší od toho co provedeno bylo. 3. Ptáme se „proˇc“ a identifikujeme pˇríˇciny spojené s každým krokem posloupnosti vedouckí k definovanému problému. „Proˇc“ se rozumí „Jaké byly faktory, které pˇrímo vedly k efektu?“. 4. Identifikují se nápravná opatˇrení, která s jistotou pˇredejdou opakování každého nebezpeˇcného úˇcinku. Ujistíme se, že každé nápravné opatˇrení, pokud by bylo použito pˇred vznikem nebezpeˇcné ˚ události, by vedlo ke snížení nebo zamezení následku. 5. Naleznou se ˇrešení, která budou efektivní, se souhlasem zainteresované instituce (podniku, skupiny), ˚ s pˇrimˇeˇrenou jistotou zabrání opakování, jsou pod kontrolou instituce, splní cíle a plány a nezpusobí nové neoˇcekávané problémy. 6. Provedou se doporuˇcená nápravná opatˇrení. 7. Pozorováním se zajistí efektivita realizovaných zlepšení. 8. Identifikují se další metodiky k ˇrešení problému, které mohou být užiteˇcné. ˚ 9. Identifikují se všechny další pˇrípady nebezpeˇcných následku.
20.3
Pˇríklady7
20.3.1
Pˇríklad 1 – Startování auta.
Pˇríjdete ráno k autu a chcete nastartovat. Po otoˇcení klíˇckem se ozve snaha o otoˇcení motorem, ale po chvíli je ticho a motor nenaskoˇcí. Analyzujte pˇríˇciny problému metodou RCA, pokuste se idetifikovat hlavní pˇríˇcinu a navrhnout nápravné opatˇrení tak, aby se situace pokud možno neopakovala. Ptejte se pedagoga na informace, popisující detaily situace, stav auta, prostˇredí kolem apod. 20.3.2
Pˇríklad 2 – Nehoda cisterny s nebezpeˇcnou kapalinou na rovném pˇrehledném úseku silnice
Došlo k nehodˇe cisteny, pˇrevážející nebezpeˇcnou kapalinu, na rovném pˇrehledném úseku silnice I. tˇrídy. ˇ c Cisterna sjela pˇres pravou krajnici do pˇríkopu, kde se pˇrevrátila na bok a náklad vytekl na pole. Ridiˇ nehodu pˇrežil, došlo pouze k lehkému zranˇení a je schopen odpovídat na dotazy. Ptejte se ˇridiˇce (pedagoga) na detaily nehody a chvil pˇred ní a pomocí metody RCA se pokuste stanovit hlavní pˇríˇciny nehody. Navrhnˇete nápravná opatˇrení, aby se takovémuto typu nehody pro pˇríštˇe zabránilo.
7 Jeden pˇ ˇ cˇ ásteˇcnˇe rozpracovat!!!!! ríklad alespon
101
Reference
[1] Hazard analysis and critical control point principles and application guidelines. http://www.fda.gov/Food/FoodSafety/HazardAnalysisCriticalControlPointsHACCP/HACCPPrinciplesApplicationG 85 [2] Postup zavádˇení HACCP :: HACCP. http://haccp.webnode.cz/postup-zavadeni-haccp/. 85 [3] Risk-management.cz. http://www.risk-management.cz/index.php?cat2=1&clanek=3727. 93 ˇ [4] Norma CSN EN 61882:2002 studie nebezpeˇcí a provozuschopnosti (studie HAZOP) – pokyn k použití, 2002. 10 ˇ [5] Norma CSN EN 60812:2007 techniky analýzy bezporuchovosti systém? – postup analýzy zp?sob? a d?sledk? poruch (FMEA), 2007. 26 ˇ [6] Norma CSN EN 61078:2007 techniky analýzy spolehlivosti – blokový diagram bezporuchovosti a booleovské metody, 2007. 53 ˇ [7] Norma CSN EN 62502:2011 techniky analýzy spolehlivosti – analýza stromu událostí (ETA), 2011. 46 [8] Brainstorming, February 2013. Page Version ID: 9439051. 91 [9] Root cause analysis, February 2013. Page Version ID: 538592519. 99
[10] (ach). Rozpútajte búrku nápadov – brainstorming. http://www.jeneweingroup.com/dokumenty/instore/brainstorm 91 ˇ [11] Dana Egerová and Jaroslav Mužík. Aplikace metody delphi pˇri expertním stanovení faktor? ovlivnujících efektivnost e-learningu ve vzdˇelávání pracovník? v malých a stˇredních podnicích. E+M Ekonomie s Management, 2010(2), 2010. 95 [12] Chia-Chien Hsu and Brian A. Sandford. The delphi technique: Making sense of consensus. Practical Assessment, Research & Evaluation, 12(10):1–8, 2007. 93 [13] Bob Hubbard. Root cause analysis | lean learning. http://bobsleanlearning.wordpress.com/tag/rootcause-analysis/. 99 [14] Jan Kamenický and Jaroslav Zajíˇcek. Softwarové nástroje spolehlivosti. Technická univerzita v Liberci, Liberec, 2012. 56 [15] Hannah Kosow and Martin Gassner. Methods of Future and Scenario Analysis. German Development Institute/Deutsches Institut für Entwicklungspolitik (DIE), 2008. 87 [16] Alex F Osborn. Applied imagination; principles and procedures of creative thinking. Scribner, New York, 1953. 91 [17] (pe). Jak má vypadat správný brainstorming? http://modernirizeni.ihned.cz/c1-59008320-jak-mavypadat-spravny-brainstorming. 91 [18] Ministerstvo zemˇedˇelství, Komoditní úsek, and Sekce potravináˇrských výrob Úˇrad pro potraviny. Všeobecné požadavky na systém analýzy nebezpeˇcí a stanovení kritických kontrolních bod? (HACCP) a podmínky pro jeho certifikaci, 2010. 85
102