Risk identification Risk analysis

Risk Management Process Denne risk management prosessen er hentet fra AS/NZS 4360

Risk identification To hovedoppgaver: Identifikasjon av hasarder (hva kan gå galt?) Årsaksanalyse (hvordan kan dette skje)? Årsaksanalyse er en naturlig del av en top-down fremgangsmåte. Sentral metode for årsaksanalyse: Feiltreanalyse (FTA). Sentrale metoder for identifikasjon av hasarder er, som gjennomgått i forrige time, HazOp og FMEA/FMECA.

Feiltreanalyse (FTA) Utviklet i Bell Telephone Laboratories i 1962. I dag den mest brukte analysemetoden i risikoanalyse og pålitelighetsanalyse. Størst suksess innen romfartsindustri og kjernekraftverk. Grafisk metode som starter med en hendelse direkte relatert til en identifisert hasard som ”topphendelse” og som så forsøker å beskrive/illustrere de mulige årsaker til at topphendelsen inntreffer (”bakover” i tid). Logiske diagrammer Statisk bilde. Basis for både kvalitativ og kvantitative analyser Kan anvendes i både design og drift fase

Konstruksjon av feiltreet Deduktiv metode: Arbeider oss ”nedover”. Finner årsakene? Knytter sammen årsaker med logiske porter (AND og OR). Feilkategorier: Primary fault: Komponent feiler i et miljø og under betingelser den er designet for. Secondary fault: Komponent feiler under betingelser den ikke var designet for. Command fault: Komponent utfører sin funksjon som tenkt, men under feil omstendigheter (feil kommando). Når en konstruerer et feiltre kan det ofte være nyttig klassifisere feil til ulike klasser.

FTA - Basisnotasjon Eller-port: Hendelsen over inntreffer dersom minst en av de under intreffer Feilhendelse som ikke er analysert til bunns. Og-port: Hendelsen over inntreffer bare dersom alle hendelsene under inntreffer Overføring ”Inn” Inngangs-/basishendelse: Brukes på ”bunnen” av treet IEC 1025 Overføring ”Ut” Feilhendelse som er forklart av andre feilhendelser.

FTA - Eksempel Eller Og Tap av oppvarming Mangel på brennstoff Mangel på elektrisitet Og Mangel på fast brennstoff Mangel på flytende brennstoff

FTA - resultat Gir en liste over mulige kombinasjoner av årsaker (årsakskjeder) som gir en uønsket hendelse. Minimale kuttmengder En kuttmengde i et feiltre er en mengde av basishendelser som ved å inntreffe sikrer at TOPP- hendelsen inntreffer. En kuttmengde sies å være minimal hvis den ikke kan reduseres Finner sannsynligheten for at den uønskede hendelsen vil inntreffe i løpet av en bestemt tidsperiode Kuttmengde (cut set): kombinasjon av elementer, som ved å feile samtidig fører til at systemet feiler. Minimal kuttmengde: ingen delmengde av kuttmengden vil føre at systemet feiler. Stimengde (tie set): kombinasjon av elementer, som ved å fungere sikrer at systemet fungerer Minimal stimengde: ingen delmengde av stimengden vil føre til at systemet fungerer.

FTA Fordeler og begrensninger Kan gjennomføres av en analytiker (vanligvis en gruppe på 2-4 personer). Analysearbeidet krever: Grundig kjennskap til systemets virkemåte. Kjennskap til feilmodene i systemet og feilmodenes effekt på systemet -> FMEA. Gir klar og oversiktlig bilde av hvilke kombinasjoner av feil og andre hendelser som kan lede til en bestemt uønsket hendelse. Feiltreet er grafisk og enkelt å formidle. Brukes gjerne til å kople sammen resultater fra hasardidentifikasjon som er gjort på flere detaljnivåer Men, gir kun et statisk bilde av feilkombinasjonene. Håndterer ikke avhengige feil (common cause failures).

FTA - Bemerkninger Illustrerer godt effekten av barrierer/manglende barrierer Kritikalitet av enkelthendelser blir tydelig Kan knytte sammen effekten av forskjellige typer hendelser Menneskelige feil, maskinfeil,... Kan bli store og komplekse, og er ikke nødvendigvis enkle å konstruere Finnes verktøy for effektiv tegning, og det er foreslått forskjellige måter å generere dem manuelt på Ikke så godt egnet til å analysere/modellere dynamiske fenomener, dvs. fenomener hvor tidsforløpet er viktig

Risk Analysis To hovedaktiviteter: Konsekvensanalyse (analysere, evaluere og dokumentere konsekvensene til uønskede hendelser). Anslå sannsynligheten for uønskede hendelser. Sentral metode for konsekvensanalyse: Hendelsestreanalyse (ETA)

Hendelsestreanalyse (ETA) Tar utgangspunkt i hendelser som kan påvirke systemet og kartlegger de mulige videre hendelsesforløp for å bestemme deres mulige konsekvenser. Disse hendelsene inkluderer både hendelser assosiert med forventet operasjon av systemet og feiltilstander. Ser ”fremover” i tid. Fokus på ”barrierer”, dvs. spesielle egenskaper et system har til å stoppe en potensielt farlig utvikling.

ETA - Eksempel System: Trykksensor Alarm relay Sirene Trykksensor Fungerer Aktiv Fungerer Feiler Inaktiv Fungerer Fungerer Feiler Inaktiv For høyt trykk Feiler Inaktiv Feiler Fungerer Inaktiv Fungerer Feiler Inaktiv Fungerer Feiler Inaktiv Feiler Inaktiv

ETA fordeler og begrensninger Kan være vanskelig å velge hvilke hendelser som skal være med og i hvilken rekkefølge. Kan angi tidsaspekter. Kan angi sannsynligheter. Også subjektive sannsynligheter. Kan bli store og uoversiktlige. Men mulig å kutte av (irrelevante) grener.

Sammenheng mellom metodene? ”Top-down” FTA HazOp bakover forover ”Bottom-up” FMEA ETA

Klassifisering av hasarder Vi er utsatt for hasarder mer eller mindre kontinuerlig i hverdagen vår. Assosiert med hver av disse hasardene er det en gitt risiko som bestemmer alvorligheten av en hasard og som gir oss muligheten til å vurdere om dette er en akseptabel risiko eller ikke. Muligheten for å bli slått ned av lynet. Feil på bilbremser. Signalfeil på toglinje. Muligheten for å tråkke på en tegnestift. Dette er mulige hasarder vi kan være utsatt for, men som vi forholder oss til på svært forskjellige måter. Det er derfor nødvendig å kunne klassifisere hasarder! Hendelse/situasjon som potensielt kan medføre skade på mennesker eller miljø kalles en hasard. Situasjoner som kan med før potensiell fare Eks: - Bli slått ned av lynet. - Autopilot fungerer ikke som den skal.. - Feil på bremser. - Signalfeil på toglinje. - Motta feil informasjon om kjøreretning. Hvis en hasard medførte en uønsket hendelse ville vi kalle det en ulykke, mens potensialet for at en slik ulykke skal inntreffe kalles en hasard.

Noen nye begreper Hasard: Ulykke: Nesten-ulykke: Hendelse/situasjon som potensielt kan medføre fare på mennesker eller miljø. Når en hasard resulterer i en uønsket hendelse som forårsaker virkelig fare kaller vi det en ulykke. Ulykke: Uønsket hendelse, eller sekvens av hendelser, som forårsaker døde eller skadde mennesker, miljømessig eller materiell skade. Hovedmålet til en hasardanalyse er å identifisere sekvenser av hendelser som kan resultere i ulykker. Nesten-ulykke: Uønsket hendelse, eller sekvens av hendelser, som under andre omstendigheter ville forårsaket døde eller skadde mennesker, miljømessig eller materiell skade.

Klassifisering av hasarder En hasards alvorlighet (risiko) bestemmes av de ulykker den kan medføre. Risiko er relatert til to faktorer: De potensielle konsekvensene av ulykken som kan inntreffe. Frekvens/sannsynlighet for at ulykken skal inntreffe. Risiko er altså en kombinasjon av frekvensen / sannsynligheten for en spesifikk uønsket hendelse og dens konsekvenser. Risiko kan både vurderes kvalitativt og kvantitativt. Ved en kvantitativ vurdering kan nummeriske estimater av både frekvens / sannsynlighet og konsekvens kombineres for å finne et enkelt mål for risiko. Eks: Feil i en spesiell komponent vil sannsynligvis medføre en eksplosjon som kan drepe 100 mennesker. Det er estimert at komponenten vil feile en gang per 10000 år, dvs at sannsynligheten for at komponenten feiler pr år er gitt ved 1/10000 = 0.0001. Risiko = 100 * 0.0001 = 0.01 drepte pr år.

Klassifisering av hasarder Både alvorlighet av konsekvenser og sannsynlighet / frekvens vil i virkeligheten kunne anta et stort antall mulige verdier (i praksis kontinuerlig). Det er derfor vanlig å dele opp alvorlighet av konsekvenser og sannsynligheter / frekvenser opp i klasser for å forenkle bruken av standarder og retningslinjer. Anbefalinger eller krav er da basert på disse klassene i stedet for de nummeriske verdiene av størrelsene. Klassifiseringene som benyttes vil ofte variere mye mellom industrier og definisjonene som benyttes på klassene vil ofte være nært relatert til de områdene de benyttes.

Konsekvensklassifisering - Luftfart Catastrophic: Umuliggjør sikker flyging og landing. Hazardous: Omfattende reduksjon i ”safety-margin”. Major: Signifikant reduksjon i ”safety-margin”. Minor: Mindre reduksjon i ”safety-margin”. No effect: Påvirker ikke safety. Vi ser at konsekvensene klassifiseres etter hvilken påvirkning de har på fly og mannskap.

Konsekvensklassifisering - Military Catastrophic: Flere døde Critical: En død, flere alvorlig skadde. Marginal: En alvorlig skadd, flere lettere skadde. Negligible: Maksimalt en lettere skadd. Mer generelle definisjoner som klassifiserer etter antall skadde eller døde.

Sannsynlighetsklassifisering Sannsynligheten / frekvensen for en hasard skal inntreffe kan uttrykkes på forskjellige måter, både kvalitativt og kvantitativt. I kontinuerlige kontrollsystemer vil frekvens / sannsynlighet ofte uttrykkes som antall feil per år eller time. I systemer som benyttes periodevis (eks. ”shut-down” systemer) vil frekvens /sannsynlighet ofte uttrykkes som antall feil per demand, dvs. antall feil delt på totalt antall ganger systemet er blitt benyttet.

Sannsynlighetsklassifisering - Luftfart Prob. per operating hour Probable Frequent > 10-3 per hour Reasonably probable 10-3 _ 10-5 per hour Improbable Remote 10-5 _ 10-7 per hour Extremely remote 10-7 _ 10-9 per hour Extremely improbable < 10-9 per hour Sannsynligheten / frekvensen assosiert med hasarder innen luftfart uttrykkes i antall feil som inntreffer per flytime. Sannsynlighetene er delt inn i tre hovedklasser; probable, improbable og extremely improbable. Disse er igjen delt inn i fem underklasser.

Frekvensklassifisering - Military Over systemets levetid! Frequent: Mer eller mindre kontinuerlig. Probable: Ofte Occasional: Flere ganger. Remote: Vil forekomme en eller annen gang. Improbable: Usannsynlig, men kan tenkes å forekomme. Incredible: Ekstremt usannsynlig at hendelsen noen gang vil inntreffe.

Risikoklassifisering Alvorlighet av konsekvenser hvis hasard inntreffer Risiko-klassifisering Frekvens/sann-synlighet for hasard

Oppgaver uke 4 Kap 3: 15, 17, 20 og 21. Kap 4: 3, 4 og 6 Gjennomgås på tirsdag neste uke.