A систем може се дефинисати као скуп међусобно зависних компоненти комбинованих на начин да обављају дату функцију под одређеним условима. Машина је опипљив и посебно јасан пример система у овом смислу, али постоје и други системи, који укључују мушкарце и жене у тиму или у радионици или фабрици, који су далеко сложенији и није их тако лако дефинисати. Безбедност указује на одсуство опасности или ризика од незгоде или штете. Да би се избегла двосмисленост, општи концепт ан нежељена појава биће запослен. Апсолутна сигурност, у смислу немогућности да дође до мање или више несрећног инцидента, није достижна; реално, мора се тежити веома малој вероватноћи нежељених појава, а не нулти.

Дати систем се може сматрати сигурним или небезбедним само у односу на перформансе које се од њега заправо очекују. Имајући ово на уму, ниво безбедности система се може дефинисати на следећи начин: „За било који дати скуп нежељених појава, ниво безбедности (или небезбедности) система је одређен вероватноћом да ће се ове појаве десити током датог период". Примери нежељених појава које би биле од интереса у овој вези укључују: вишеструке смртне случајеве, смрт једне или више особа, тешке повреде, лаке повреде, штету по животну средину, штетне утицаје на жива бића, уништавање биљака или зграда и веће или ограничене материјалне или материјалне штете.

Сврха анализе система безбедности

Циљ анализе безбедности система је да се утврде фактори који имају утицај на вероватноћу нежељених појава, да се проуче начин на који се те појаве дешавају и, на крају, да се развију превентивне мере за смањење њихове вероватноће.

Аналитичка фаза проблема може се поделити на два главна аспекта:

1. идентификација и опис типови дисфункције или неприлагођености
2. идентификацију секвенце дисфункција које се комбинују једна са другом (или са „нормалнијим“ појавама) да би на крају довеле до саме нежељене појаве и процене њихове вероватноће.

Када се проуче различите дисфункције и њихове последице, аналитичари безбедности система могу усмерити своју пажњу на превентивне мере. Истраживања у овој области ће се заснивати директно на ранијим налазима. Ово истраживање превентивних средстава прати два главна аспекта анализе безбедности система.

Методе анализе

Анализа безбедности система се може спровести пре или после догађаја (а приори или апостериори); у оба случаја, коришћени метод може бити директан или обрнут. А приори анализа се одвија пре нежељене појаве. Аналитичар узима одређени број таквих појава и покушава да открије различите фазе које до њих могу довести. Насупрот томе, а постериори анализа се спроводи након што се десила нежељена појава. Његова сврха је да пружи смернице за будућност и, посебно, да извуче закључке који би могли бити корисни за било коју накнадну априорну анализу.

Иако се може чинити да би априорна анализа била много вреднија од апостериорне анализе, будући да претходи инциденту, ове две су заправо комплементарне. Која метода се користи зависи од сложености укљученог система и онога што је већ познато о предмету. У случају опипљивих система као што су машине или индустријски објекти, претходно искуство обично може послужити за припрему прилично детаљне а приори анализе. Међутим, чак и тада анализа није нужно непогрешива и сигурно ће имати користи од накнадне а постериори анализе засноване у суштини на проучавању инцидената који се дешавају током операције. Што се тиче сложенијих система који укључују особе, као што су радне смене, радионице или фабрике, накнадна анализа је још важнија. У таквим случајевима претходно искуство није увек довољно да омогући детаљну и поуздану а приори анализу.

Апостериори анализа се може развити у априорну анализу пошто аналитичар иде даље од појединачног процеса који је довео до дотичног инцидента и почиње да разматра различите појаве које би разумно могле довести до таквог инцидента или сличних инцидената.

Други начин на који апостериори анализа може постати априорна анализа је када се нагласак не ставља на појаву (чија је превенција главна сврха тренутне анализе), већ на мање озбиљне инциденте. Ови инциденти, као што су технички застоји, материјална штета и потенцијалне или мање незгоде, које су саме по себи релативно малог значаја, могу се идентификовати као знаци упозорења озбиљнијих појава. У таквим случајевима, иако се спроводи након појаве мањих инцидената, анализа ће бити а приори анализа у погледу озбиљнијих догађаја који се још нису догодили.

Постоје две могуће методе проучавања механизма или логике иза низа два или више догађаја:

1. усмеравају, Или индуцтиве, метода почиње са узроцима да би се предвидели њихови ефекти.
2. преокренути, Или дедуктивни, метода посматра последице и ради уназад ка узроцима.

Слика 1 је дијаграм контролног кола за које су потребна два дугмета (Б₁ и Б₂) да се притисне истовремено да би се активирао релејни калем (Р) и покренула машина. Овај пример се може користити за илустрацију, у практичном смислу, усмеравају преокренути методе које се користе у анализи безбедности система.

Слика 1. Контролно коло са два дугмета

Директна метода

У директна метода, аналитичар почиње тако што (1) наводи грешке, дисфункције и неприлагођености, (2) проучава њихове ефекте и (3) утврђује да ли ти ефекти представљају претњу по безбедност или не. У случају слике 1, могу се појавити следеће грешке:

• прекид жице између 2 и 2´

• ненамерни контакт код Ц₁ (или Ц₂) као резултат механичког блокирања

• случајно затварање Б₁ (или Б₂)

• кратки спој између 1 и 1´.

Аналитичар тада може закључити последице ових грешака, а налази се могу приказати у облику табеле (табела 1).

Табела 1. Могуће дисфункције управљачког кола са два дугмета и њихове последице

* Појава са директним утицајем на поузданост система
** Појава одговорна за озбиљно смањење нивоа безбедности система
*** Опасна појава коју треба избегавати

Погледајте текст и слику 1.

У табели 1 последице које су опасне или могу озбиљно да смање ниво безбедности система могу се означити конвенционалним знаковима као што је ***.

Белешка: У табели 1 прекид жице између 2 и 2´ (приказано на слици 1) доводи до појаве која се не сматра опасном. Нема директног утицаја на безбедност система; међутим, вероватноћа да се деси такав инцидент има директан утицај на поузданост система.

Директна метода је посебно прикладна за симулацију. На слици 2 приказан је аналогни симулатор дизајниран за проучавање безбедности кола за контролу притиска. Симулација контролног кола омогућава да се потврди да, све док нема грешке, коло је у стању да обезбеди тражену функцију без кршења безбедносних критеријума. Поред тога, симулатор може дозволити аналитичару да уведе грешке у различите компоненте кола, посматра њихове последице и тако разликује она кола која су правилно пројектована (са мало или без опасних грешака) од оних која су лоше пројектована. Ова врста безбедносне анализе се такође може извести помоћу рачунара.

Слика 2. Симулатор за проучавање прес-контролних кола

Реверзна метода

У обрнути метод, аналитичар ради уназад од непожељне појаве, инцидента или несреће, ка различитим претходним догађајима како би утврдио који би могли да доведу до појаве које треба избећи. На слици 1, крајња појава коју треба избегавати је ненамерно покретање машине.

• Покретање машине може бити узроковано неконтролисаним активирањем намотаја релеја (Р).

• Активација завојнице може, заузврат, бити резултат кратког споја између 1 и 1´ или ненамерног и истовременог затварања прекидача Ц₁ и Ц₂.

• Ненамерно затварање Ц₁ може бити последица механичког блокирања Ц₁ или од случајног притиска на Б₁. Слично размишљање важи и за Ц₂.

Налази ове анализе могу бити представљени дијаграмом који подсећа на дрво (због тога је обрнути метод познат као „анализа стабла грешака“), као што је приказано на слици 3.

Слика 3. Могући ланац догађаја

Дијаграм прати логичке операције, од којих су најважније операције „ИЛИ“ и „И“. Операција „ИЛИ“ означава да [Кс₁] ће се догодити ако се догоди или [А] или [Б] (или обоје). Операција „И“ означава да пре [Кс₂] може да се деси, мора да се деси и [Ц] и [Д] (види слику 4).

Слика 4. Представљање две логичке операције

Реверзна метода се врло често користи у априорној анализи опипљивих система, посебно у хемијској, ваздухопловној, свемирској и нуклеарној индустрији. Такође се показало изузетно корисним као метод за истраживање индустријских несрећа.

Иако су веома различите, директна и обрнута метода су комплементарне. Директна метода се заснива на скупу кварова или дисфункција, а вредност такве анализе стога у великој мери зависи од релевантности различитих дисфункција узетих у обзир на почетку. Гледано у овом светлу, чини се да је обрнути метод систематичнији. С обзиром на то које врсте несрећа или инцидената могу да се десе, аналитичар може теоретски применити ову методу да би вратио на све дисфункције или комбинације дисфункција које могу да доведу до њих. Међутим, пошто сва опасна понашања система нису нужно позната унапред, могу се открити директном методом, примењеном симулацијом, на пример. Када се ови открију, опасности се могу детаљније анализирати обрнутим методом.

Проблеми анализе безбедности система

Горе описане аналитичке методе нису само механички процеси које је потребно само аутоматски применити да би се дошли до корисних закључака за побољшање безбедности система. Напротив, аналитичари се у свом раду сусрећу са бројним проблемима, а корисност њихових анализа зависиће у великој мери од тога како ће их решавати. Неки од типичних проблема који се могу појавити су описани у наставку.

Разумевање система који се проучава и услова његовог рада

Основни проблеми у било којој анализи безбедности система су дефиниција система који се проучава, његова ограничења и услови под којима би требало да функционише током свог постојања.

Ако аналитичар узме у обзир подсистем који је превише ограничен, резултат може бити усвајање низа насумичних превентивних мера (ситуација у којој је све усмерено на спречавање одређених одређених врста догађаја, док се подједнако озбиљне опасности игноришу или потцењују). ). Ако је, пак, систем који се разматра сувише свеобухватан или уопштен у односу на дати проблем, то може резултирати претераном недореченошћу концепта и одговорности, а анализа можда неће довести до доношења одговарајућих превентивних мера.

Типичан пример који илуструје проблем дефинисања система који се проучава је безбедност индустријских машина или постројења. У оваквој ситуацији, аналитичар може бити у искушењу да узме у обзир само стварну опрему, занемарујући чињеницу да њоме управља или контролише једна или више особа. Поједностављење ове врсте понекад важи. Међутим, оно што треба анализирати није само машински подсистем већ цео систем радник-плус-машина у различитим фазама животног века опреме (укључујући, на пример, транспорт и руковање, монтажу, тестирање и подешавање, нормалан рад , одржавање, растављање и, у неким случајевима, уништавање). У свакој фази машина је део специфичног система чија се сврха и начини функционисања и квара потпуно разликују од оних у систему у другим фазама. Стога мора бити пројектован и произведен на такав начин да омогући обављање тражене функције под добрим безбедносним условима у свакој од фаза.

Уопштено говорећи, што се тиче студија безбедности у фирмама, постоји неколико системских нивоа: машина, радна станица, смена, одељење, фабрика и фирма у целини. У зависности од тога који системски ниво се разматра, могући типови дисфункције — и релевантне превентивне мере — су прилично различите. Добра политика превенције мора узети у обзир дисфункције које се могу јавити на различитим нивоима.

Услови рада система могу се дефинисати у смислу начина на који систем треба да функционише и услова околине којима може бити подложан. Ова дефиниција мора бити довољно реална да омогући стварне услове у којима ће систем вероватно радити. Систем који је веома безбедан само у веома ограниченом радном опсегу можда неће бити толико безбедан ако корисник није у стању да одржи прописани теоретски радни опсег. Безбедан систем стога мора бити довољно робустан да издржи разумне варијације у условима у којима функционише, и мора толерисати одређене једноставне, али предвидиве грешке од стране оператера.

Моделирање система

Често је потребно развити модел како би се анализирала сигурност система. Ово може изазвати одређене проблеме које вреди испитати.

За концизан и релативно једноставан систем као што је конвенционална машина, модел је скоро директно изведен из описа компоненти материјала и њихових функција (мотори, пренос, итд.) и начина на који су ове компоненте међусобно повезане. Број могућих начина квара компоненти је на сличан начин ограничен.

Посебан проблем представљају модерне машине као што су рачунари и роботи, који садрже сложене компоненте попут микропроцесора и електронских кола са интеграцијом веома великих размера. Овај проблем није у потпуности решен у смислу моделирања или предвиђања различитих могућих начина квара, јер у сваком чипу има толико елементарних транзистора и због употребе различитих врста софтвера.

Када је систем који се анализира људска организација, интересантан проблем са којим се сусреће у моделирању лежи у избору и дефинисању одређених нематеријалних или неу потпуности материјалних компоненти. Одређена радна станица може бити представљена, на пример, системом који се састоји од радника, софтвера, задатака, машина, материјала и окружења. (Можда ће се показати да је тешко дефинисати компоненту „задатка“, јер се не рачуна прописани задатак, већ задатак како се заиста извршава).

Приликом моделирања људских организација, аналитичар може одлучити да разбије систем који се разматра на информациони подсистем и један или више акционих подсистема. Анализа кварова у различитим фазама информационог подсистема (прикупљање, пренос, обрада и коришћење информација) може бити веома поучна.

Проблеми повезани са више нивоа анализе

Проблеми повезани са више нивоа анализе често се развијају јер почевши од нежељене појаве, аналитичар може да ради назад ка инцидентима који су временом све удаљенији. У зависности од нивоа анализе, природа дисфункција које се јављају варира; исто важи и за превентивне мере. Важно је бити у стању да одлучи на ком нивоу анализу треба зауставити и на ком нивоу треба предузети превентивну акцију. Пример је једноставан случај удеса који је резултат механичког квара изазваног поновљеним коришћењем машине у ненормалним условима. Ово је можда узроковано недостатком обуке оператера или лошом организацијом рада. У зависности од нивоа анализе, потребна превентивна акција може бити замена машине другом машином која може да издржи теже услове употребе, коришћење машине само у нормалним условима, промене у обуци особља или реорганизација рад.

Ефикасност и обим превентивне мере зависе од нивоа на коме се она уводи. Превентивно деловање у непосредној близини нежељене појаве ће вероватно имати директан и брз утицај, али њени ефекти могу бити ограничени; с друге стране, радећи уназад у разумној мери у анализи догађаја, требало би да буде могуће пронаћи типове дисфункције који су уобичајени за бројне незгоде. Свака превентивна акција предузета на овом нивоу биће много ширег обима, али њена ефикасност може бити мање директна.

Имајући у виду да постоји више нивоа анализе, могу постојати и бројни обрасци превентивног деловања, од којих сваки носи свој удео у раду превенције. Ово је изузетно важна тачка и потребно је само да се вратимо на пример несреће која се тренутно разматра да би се схватила чињеница. Предлагање да се машина замени другом машином способном да издржи теже услове употребе ставља терет превенције на машину. Одлука да се машина користи само у нормалним условима значи стављање терета на корисника. На исти начин, терет се може ставити на обуку особља, организацију рада или истовремено на машину, корисника, функцију обуке и организациону функцију.

За било који дати ниво анализе, несрећа се често чини као последица комбинације неколико дисфункција или неприлагођености. У зависности од тога да ли се предузимају мере за једну или другу дисфункцију, или за неколико истовремено, усвојени образац превентивног деловања ће се разликовати.

Назад