Odborná skupina pro spolehlivost Použití ordinálních a semikvantitativních postupů ve spolehlivosti Jaroslav Zajíček
Obsah 1. Úvod management rizika 2. Výskyt a analýza nekvantitativních postupů - matice rizika - analýza FMECA - stanovení rizika v metodách funkční bezpečnosti 3. Závěr
Úvod management rizika Tento projekt je spolufinancován z ESF a státního rozpočtu ČR. Příležitost pro mladé výzkumníky CZ.1.07/2.3.00/30.0016
Přístupy: identifikace rizika kvalitativní Úvod analýza, posuzování a řízení rizika kvalitativní (ordinální, diagram), semikvantitativní, kvantitativní Přístup kvalitativní semikvantitativní kvantitativní rychlost přesnost, kvalita
Výskyt nekvantitativních přístupů 1. Matice kritičnosti / rizika 2. Analýza FMECA - vyčíslení rizikového čísla RPN 3. Funkční bezpečnost - určení úrovně rizika - týká se zdraví a života osob
Matice rizika - dvourozměrná - hodnotí se dva faktory pravděpodobnost a následky - nemá ustálenou podobu, návrh matice není zpravidla podložen výpočtem
Matice rizika - Hodnoty na svislé i vodorovné ose by při návrhu matice měly mít slovním popisům přiřazeny zástupné hodnoty pravděpodobnosti (resp. intenzity) a následků - Na základě zástupných hodnot lze odpovídajícím způsobem navrhnout obarvení matice Hodnotící stupeň Pravděpodobnost Následky 1 0,0005 2 0,005 3 0,05 4 0,15 5 0,5 nedefinováno Úrovně závažnosti Četnost výskytu důsledku poruchy 1 2 3 4 Nevýznamná Nízká Kritická Katastrofická 5: Častý výskyt 0,5 1,5 4,5 13,5 4: Pravděpodobný výskyt 0,15 0,45 1,35 4,05 3: Občasný výskyt 0,05 0,15 0,45 1,35 2: Velmi slabý výskyt 0,005 0,015 0,045 0,135 1: Nepravděpodobný výskyt 0,0005 0,0015 0,0045 0,0135 Legenda Zanedbatelné Přípustné Nežádoucí Nepřípustné
FMECA výpočet RPN - normy umožňují vytvořit vlastní hodnotící stupnice na základě hodnocených objektů - výpočet rizikového čísla RPN se nemění Způsob analýzy výpočtu: přiřazení zástupných hodnot bodovým stupňům (zástupné hodnoty slouží k vyčíslení rizika plně kvantitativním způsobem) výpočet rizika ze zástupných hodnot pro všechny variace bodových ohodnocení faktorů stanovení intervalu kvantitativního rizika pro jednotlivá RPN RPN=10 (1,1,10); (1,10,1); (10,1,1); (1,2,5); (1,5,2); (2,1,5); (2,5,1); (5,1,2); (5,2,1)
FMECA příklad stupnic Kvalitativní popis Klasifikace Četnost Pravděpodobnost Velice slabá: Porucha je nepravděpodobná Nízká: Poměrně málo poruch Střední: Občasné poruchy Vysoká: Opakující se poruchy Velmi vysoká: Porucha je téměř nevyhnutelná 1 2 3 4 5 6 7 8 9 10 0,010 na tisíc vozidel/objektů 0,1 na tisíc vozidel/objektů 0,5 na tisíc vozidel/objektů 1 na tisíc vozidel/objektů 2 na tisíc vozidel/objektů 5 na tisíc vozidel/objektů 10 na tisíc vozidel/objektů 20 na tisíc vozidel/objektů 50 na tisíc vozidel/objektů 100 na tisíc vozidel/objektů 1,0E-05 1,0E-04 5,0E-04 1,0E-03 2,0E-03 5,0E-03 1,0E-02 2,0E-02 5,0E-02 1,0E-01 Následky Kritéria Klasifikace Žádné Žádný zjistitelný důsledek. 1 Velmi málo významné Málo významné Velmi nízké Nízké Střední Vysoké Velmi vysoké Nebezpečné s varováním Nebezpečné bez varování Skřípající a chrastící objekt není ve shodě s požadavky na správné uložení a opracování. Vadu zpozorují nároční zákazníci (méně než 25 %). Skřípající a chrastící objekt není ve shodě s požadavky na správné uložení a opracování. Vadu zpozoruje 50 % zákazníků. Skřípající a chrastící objekt není ve shodě s požadavky na správné uložení a opracování. Vadu zpozoruje většina zákazníků (více než 75 %). Vozidlo je provozuschopné/objekt je provozuschopný, ale objekt (objekty) zajišťující pohodlí je provozuschopný (jsou provozuschopné) se sníženými technickými parametry. Zákazník je poněkud nespokojen. Vozidlo je provozuschopné/objekt je provozuschopný, ale objekt (objekty) zajišťující pohodlí není provozuschopný (nejsou provozuschopné). Zákazník je nespokojen. Vozidlo je provozuschopné/objekt je provozuschopný, ale se sníženou úrovní technických parametrů. Zákazník je velmi nespokojen. Vozidlo není provozuschopné/objekt není provozuschopný (ztráta základní funkce). Velmi vysoká klasifikace závažnosti, když potenciální způsob poruchy, který na sebe upozorňuje varováním, ovlivňuje bezpečný provoz vozidla a/nebo znamená nesoulad s vládními předpisy. Velmi vysoká klasifikace závažnosti, když potenciální způsob poruchy, který na sebe neupozorňuje varováním, ovlivňuje bezpečný provoz vozidla a/nebo znamená nesoulad s vládními předpisy. 2 3 4 5 6 7 8 9 10
ČSN EN 60812:2006 Rizikové číslo RPN
Funkční bezpečnost účel a základní filosofie Účelem je řízení rizika na úroveň, která je společností přijatelná úroveň přijatelného rizika. Důsledky nežádoucích událostí mohou být obecně ekonomického, environmentálního nebo bezpečnostního charakteru. Funkční bezpečnost je zaměřena na bezpečnost osob.
Funkční bezpečnost ČSN EN 61508-5:2011, Funkční bezpečnost elektrických/elektronických/ programovatelných elektronických systémů souvisejících s bezpečností Část 5: Příklady metod určování úrovní integrity bezpečnosti. ČSN EN 62061:2005, Bezpečnost strojních zařízení Funkční bezpečnost elektrických, elektronických a programovatelných elektronických řídicích systémů souvisejících s bezpečností. ČSN EN ISO 13849-1:2006, Bezpečnost strojních zařízení Bezpečnostní části ovládacích systémů Část 1: Všeobecné zásady pro konstrukci. SIRF 400 - směrnice německého drážního úřadu Účelem je řízení rizika na úroveň, která je společností přijatelná úroveň přijatelného rizika. Funkční bezpečnost je zaměřena na bezpečnost osob.
Funkční bezpečnost přístupy - ČSN EN 61508-5
Funkční bezpečnost přístupy - ČSN EN 62061
Funkční bezpečnost přístupy - ČSN EN ISO 13849-1
Funkční bezpečnost přístupy SIRF 400
Kvalitativní porovnání značení úrovní a jejich kvantitativní vyjádření IEC 61508-5 IEC 62061 ISO 13849-1 SIRF 400 Požadavek na průměrnou frekvenci nebezpečné poruchy bezpečnostní funkce [h -1 ] žádné bezpečnostní požadavky - SAS 0 žádné speciální bezpečnostní a požadavky >1E-5 to <1E-4 a >3E-6 to <1E-5 b SIL 1 SIL 1 >1E-6 to <3E-6 c SAS 1 >1E-7 to <1E-6 SIL 2 SIL 2 d SAS 2 >1E-8 to <1E-7 SIL 3 SIL 3 e SAS 3 >1E-9 to <1E-8 SIL 4 SAS 4 jediný bezpečnostní systém není dostatečný b
Kvantitativní porovnání Založeno na porovnání výsledků daných modelů s plně kvantitativním výpočtem rizika. Předpoklady: - kvantitativní výpočet rizika by při daných faktorech byl dán vztahem: Riziko = Pravděpodobnost Následek Riziko = (Pravděpodobnost výskytu Pravděpodobnost vystavení Pravděpodobnost vyhnutí se) Následek Riziko = (Pravděpodobnost výskytu Pravděpodobnost vystavení Pravděpodobnost vyhnutí se) (Počet zranění Závažnost zranění) - hodnotící stupnice odpovídají geometrickým posloupnostem
Kvantitativní porovnání způsob simulace 1. Na základě výpočtu rizika pro všechny varianty vstupních faktorů je zjištěn interval rizika, který odpovídá dané úrovni funkční bezpečnosti. 2. Jsou testovány překryvy intervalů rizika. 3. Body 1 a 2 jsou provedeny pro všechny varianty dané celočíselné kvocienty faktorů v intervalu <2; 20>.
Počet vstupních faktorů: 4 Kvantitativní porovnání Množství testovaných variant: 19 4 = 130 321 ČSN EN 61508-5 Rozsah překrytí Počet překrývajících se dvojic kategorií SIL 0 1 2 3 4 5 6 Jedna (sousední) kategorie SIL 0 0 0 14 82 2 114 128 111 Dvě kategorie SIL 2 169 16 107 26 263 27 773 60 007 - Tři kategorie SIL 2 995 4 695 50 819 57 508 14 304 - - Čtyři kategorie SIL 58 236 14 490 41 143 16 452 - - - Pět kategorií SIL 108 870 0 21 451 - - - - Šest kategorií SIL 124 922 5 399 - - - - - Význam zvýrazněné buňky: U 4 695 variací kvocientů se 1 dvojice intervalů rizika překrývá, dvojice je od sebe vzdálena 3 kategorie SIL. Příklad může být například situace, kdy minimum intervalu rizika úrovně SIL 4 může být nižší než maximum intervalu rizika úrovně SIL 1.
Kvantitativní porovnání ČSN EN 62061 Vzhledem k tomu, že se bodová ohodnocení pravděpodobnostních parametrů Fr, Pr a Av sčítají do jediného výsledného parametru Cl, je zde pravděpodobné použití geometrických stupnic se stejným kvocientem Q. Součet tedy vyplývá ze vztahu: Počet vstupních faktorů: 4 Množství testovaných variant: 19 2 = 361 Q Fr Q Pr Q Av = QFr + Pr + Av Rozsah překrytí Počet překrývajících se dvojic kategorií SIL 0 1 2 3 Jedna (sousední) kategorie SIL 0 11 15 335 Dvě kategorie SIL 4 79 278 - Tři kategorie SIL 298 63 - -
Kvantitativní porovnání Počet vstupních faktorů: 3 Množství testovaných variant: 19 3 = 6 859 ČSN EN ISO 13849-1 Rozsah překrytí Počet překrývajících se dvojic kategorií SIL 0 1 2 3 4 Jedna (sousední) kategorie SIL 2 109 0 4 750 0 0 Dvě kategorie SIL 6 459 400 0 0 - Tři kategorie SIL 6 859 0 0 - - Čtyři kategorie SIL 6 859 0 - - -
Kvantitativní porovnání SIRF 400 Tento přístup využívá 5 hodnotících faktorů rizika. Z důvodu vysokých časových nároků na provedení simulací byly kvocienty generovány pouze na intervalu <2; 15>, a to opět celočíselné. Tato varianta je časově 5x méně náročná oproti původnímu intervalu <2; 20>. Počet vstupních faktorů: 5 Množství testovaných variant: 14 5 = 537 824 Rozsah překrytí Počet překrývajících se dvojic kategorií SIL 0 1 2 3 4 Jedna (sousední) kategorie SIL 12 32 636 18 020 519 124 Dvě kategorie SIL 80 110 68 610 47 973 341 131 - Tři kategorie SIL 387 187 73 301 77 336 - - Čtyři kategorie SIL 519 147 18 677 - - -
Cílem článku bylo: Závěr - představit postupy nekvantitativního stanovení rizika, - vzájemně je porovnat, - testovat, zda za jistých předpokladů jsou metody konzistentní s plně kvantitativním přístupem Nejvíce robustní je stanovení potřebné úrovně SIL dle ISO 13849-1. To je způsobeno především tím, že do modelu vstupují pouze 3 faktory, které mohou nabývat pouze 2 možných stavů, a intervaly rizika pro jednotlivé kategorie SIL jsou tedy užší. Použití plně kvantitativních přístupů posuzování a řízení rizika je mnohem efektivnější a prokazatelnější oproti zkoumaným metodám, a to i za předpokladu, že pro kvantitativní analýzu nejsou k dispozici přesná vstupní data a je třeba pracovat s expertními odhady.
Děkuji za pozornost