Sif80as: Empiri i programvareutvikling Samling 3 Høsten 2002 Risikoanalyse Siv Hilde Houmb
Innhold Generelt om sikkerhetsstrying og risikoanalyse Grovanalyse HazOp FTA FMEA/FMECA
Sikkerhetsstyring Risikoanalysens plass i sikkerhetsstyring Alle systematiske tiltak en bedrift iverksetter for å oppnå og opprettholde et sikkerhetsnivå i overenstemmenlse med de målene en har satt seg.
Sikkerhetsstyring forts. Spesifisere mål og akspetkriterier for risiko Kartlegge hvordan man ligger an Korrigere kursen Risikoanalyse
Risikoanalyse Norsk Standard NS5814 ”Krav til risikoanalyser” I prosjekteringsfasen kan risikoanalyser benyttes Som ”design”-verktøy Som et ”kontoll”-verktøy I driftsfasen kan risikoanalyser benyttes Analysere effekten av forandringer Analysere årsaker til oppståtte problemer
Risk Management Process (sikkerhetsstyringsprosess)
Grovanalyse Preliminary Hazard Analysis Hva er det? Systematisk kartlegging av farer Hvor kommer det fra? Bygger på metodikk utviklet av det amerikanske forsvaret Formål Avdekke potensielle farer tidlig i prosjektutviklingen
Grovanalyse forts. Hvorfor? Eliminere, minimalisere eller kontrollere farene Dess tidlig det oppdages – dess billigere blir det antakelig å reparere...
Metodebeskrivelse Grovanalyse gjennomføres i tidlig design-fase Grovanalyse gjennomføres ved å liste opp farer, mulige årsaker, effekter, alvorligheten av potensielle utlykker og mulige forebyggende tiltal. Tre faser Innsamling av nødvendig informasjon Gjennomføring av analysen Dokumentasjon av resultatene
Innsamling av nødvendig info. Skaff til veie informasjon om systemet du skal analysere Systembeskrivelse Design-dokumenter Prosessbeskrivelse Tidligere erfaringer med liknende systemer Tidligere analyser gjennomført på systemet
Gjennomføring av analysen Identifiser farer Identifiser kritiske hendelser og hendelser som kan føre til en uønsket konsekvens Identifiser designkriterier eller alternativer som kan elimenere eller redusere farene
Dokumentasjon av resultatene Bruk grovanalyseskjema Identifiserer farer Årsaker Potensielle konsekvenser Forbedrende eller forebyggende tiltak
Grovanalyseskjema
Fordeler og begrensninger Utgjør et nødvendig første skritt i en risiko/sikkerhetsanalyse Gir anbefalinger om risikoreduserende tiltak/konstruksjonsendriger Rask og enkel metode Og kan utføres av nesten hvem som helst...
HazOp Hazard and Operability Analysis Forstudie risikoanalyse Fullstendig risikoanalyse Hva er det? Strukturert brainstorming ved bruk av ledeord (guidewords) og sjekklister Hvor kommer det fra? Prosessindustrien
HazOp forts. Formål Identifisere mulige sikkerhetsmessige eller operasjonelle problemer som kan oppstå under drift eller vedlikehold av prosessanlegget Når? Utføres vanligvis i prosjekteringsfasen av et prosessanlegg Når design på det nærmeste er fastlåst og i alle senere faser
HazOp forts. Hvem? HazOp-gruppe HazOp leder Sekretær 4 – 6 fagspesialister
HazOp forts. Sukssesskriterier Fullstendig og nøyaktig system og prosessbeskrivelse Gruppens tekniske dyktighet og innsikt Gruppens evne til å konsentrere seg om de alvorlige farene som blir identifisert
Ledeord
Ledeord og prosessparametre
Metodebeskrivelse 5 trinn (faser) Definere hensikten, angrepsmåte og spillerom for studien Eks. Sjekke driftens sikkerhetsprosedyrer Viktig med fokus. Hva skal undersøkes, er det de ansattes sikkerhet eller tap av produksjon? Valg av medlemmer Gruppen bør bestå av 4 – 7 personer Erfaren HazOp-leder Felteksperter (prosessteknikk, dirftsteknikk osv.)
Metode forts. Forberede studiet Anskaffe nødvendig data Omforme dataene, og planlegge studiesekvensen Dette gjøres av lederen og det er derfor viktig at vedkomne vet hva han/hun gjør Velger ut lederord og hvordan systemet skal ”angripes”
Metode forts. Arrangere nødvendige møter Utføre analysen Ikke for lange (maks 3 timer), heller flere Utføre analysen Kombinere ledeord i en bestemt rekkerfølge Mer informasjon trengs Utvikling av dens årsaker og konsekvenser Dokumentering av resultatene HazOp-tabell (rapportskjema)
Rapportskjema
Fordeler og begrensinger HazOp er avhengig av en god HazOp-leder Ikke konkurrere med medlemmene Ta seg tid til å høre på alle Ikke la noen komme på defensiven Sammensetningen av medlemmene Ikke send stedfortredere Sett av tid Settet av ledeord!
Fordeler og begrens. forts. HazOp avdekker ukjente farer! men tar ikke hensyn til ikke forutsette farer Kreativ aktivitet
Feiltreeanalyse (FTA) I dag den mest brukte analysemetoden i risikoanalyse og pålitelighetsanalyse Størt suksess innen romfartsindustri og kjernekraftverk Kvalitativ og kvantitative analyser Hvor kommer det fra? Bell Telephone Laboratories i 1962
FTA fort. Hensikt? Illustrere (ved hjelp av et logisk diagram) sammenhengen mellom en uønsket hendelse i et system og årsakene til denne hendelsen Årsakene kan innebefatte miljøfaktorer, menneskelige feilhandlinger, normale hendelser og rene komponentfeil Når? Designfasen Driftsfasen
FTA forts. Hva får vi? En liste over mulige kombinasjoner av årsaker som gir uønsket hendelse Sannsynnlighet for at den uønskede hendelsen vil inntrekke i løpet av en bestemt tidsperiode
Feiltresymboler
Metodebeskrivelse 5 trinn (faser)efinisjon av problem og randbetingelser Konstruksjon av feiltreet Bestemmelse av minimal kutt- og stimengde Kvalitativ analyse av feiltreet Kvantitativ analyse av feiltreet
Definisjon av problem og randbetingelser Definisjon av den uønskede hendelsen (TOPP-hendelsen) som skal analyseres Hva, hvor og når Definsjon av randbetingelsene for analysen Definisjon av systemets fysiske grenser Definisjon av initial-betingelser (hvilken tilstand er systemet i når TOPP-hendelsen oppstår) Avgrensing mht eksterne belastninger Fastsettelse av detaljeringsnivå
Konstruksjon av feiltreet Deduktiv metode Arbeider oss ”nedover” Hva er årsakene? Knytter sammen årsaker med logiske porter
Minimal kutt- og stimengder Basis for kvalitativ og kvantitativ analyse En kuttmengde i et feiltre er en mengde av basishendelser som ved å inntreffe sikrer at TOPP- hendelsen inntreffer. En kuttmengde sies å være minimal hvis den ikke kan reduseres uten å miste status som kuttmengde En stimengde er en mengde av basishendelser som ved ikke å inntreffe sikrer at TOPP- hendelsen ikke inntreffer.
Ressursbehov Kan gjennomføres av en analytiker (vanligvis en gruppe på 2-4 personer) Analysearbeidet krever Grundig kjennskap til systemets virkemåte Kjennskap til feilmodene i system og feilmodenes effekt på systemet -> FMEA
Fordeler og begrensninger Klar og oversiktlig bilde av hvilke kombinasjoner av feil og andre hendelser som kan lede til en bestemt uønsket hendelse Feiltreet er grafisk og enkelt å formidle Gir kun et statisk bilde av feilkombinasjonene Håndterer ikke avhengige feil (common cause failure) Mer informasjon http://www.ipk.ntnu.no/fag/SIO3050/notater/Feiltre%20og%20intervalloptimalisering.pdf
FMEA/FMECA Feilmodi- og feileffektsanalyse En av de første systematiske metodene for å analysere feil i tekniske systemer Utviklet på slutten av 50-tallet for militære systemer Pålitelelighets-, vedlikeholdes- og risikoanalyse av tekniske systemer Bilfabrikker krever bl.a. at underleverandørene dokumenterer sikkerhet (safety) i sine produkter ved bruk av FMECA FMECA Rangerer i tillegg alvorligheten til de ulike feilmodiene
FMECA forts. Hensikt Når? Identifisere deler eller egenskaper ved systemet som bør forberedes for å møte fastsatte krav til sikkerhet eller pålitelighet Når? Konstruksjonsfasen (designfasen)
Metodebeskrivelse Kvalitativ analyse 3 trinn (faser) Forberede analysen Fastlegge randbetingelser Utføre og dokumentere resultatene i FMECA skjema
FMECA skjema
Fordeler og begrensninger Svært effektiv for systemer som mest sannsynlig vil svikte pga feil i enkeltkomponenter Analyseprosessen har stor verdi fordi man tvinges til å tenke igjennom og dokumentere alle feilmuligheter
Fordeler og begrensinger forts. Ingen god analysemetode for systemer der fellesfeil (Common cause failures) ansees som et betydlig problem Tar mye tid Avhengig av analytikeres kunnskaper
Oppgave To og to grupper sammen Sett sammen HazOp-gruppe Ta utgangspunkt i et av prosjektene Utfør HazOp som beskrevet i boken 5 trinns prosess Lag ett feiltre for en av avvikene