У попередньому розділі ми розглянули основні поняття, пов'язані з ризиком. Метою цього розділу є представити процес та методологію управління ризиками, переважно використовуючи визначення стандартів IEC 50 (191) та IEC 60508.

2.1. Пов’язані поняття

Управління ризиками означає систематичне застосування принципів, процедур та практики управління, пов’язаних з аналізом ризиків, оцінкою ризиків та завданнями управління ризиками. Як видно з малюнка нижче, управління ризиками складається з оцінки та кроків зменшення/регулювання ризиків.

глава

Аналіз ризику - це систематичне використання наявної інформації для виявлення небезпек. Аналіз ризиків узагальнює визначення обсягу аналізу, виявлення пов'язаних з ним небезпек та оцінку ризиків.

Оцінку ризику можна поділити на підпроцеси аналізу та оцінки ризиків.

Під ідентифікацією небезпеки мається на увазі процес визнання існування та характеристика небезпеки.

Оцінка ризику - це процедура, яка використовується для визначення обсягу аналізованих ризиків. Оцінка ризику складається з наступних етапів: частотний аналіз, аналіз наслідків та їх інтеграція. Другим етапом оцінки ризику є оцінка ризику: процес, за допомогою якого прийнятність ризику оцінюється на основі аналізу ризику.

Контроль ризику: означає процес прийняття рішень, пов’язаний з управлінням ризиками та/або зменшенням ризику.

Безперервне управління ризиками (CRM) - це широко застосовувана техніка, яка може бути використана, наприклад, для управління проектами з елементами ризику. CRM - це повторюваний та адаптивний процес, усі дії якого ґрунтуються на попередньому, використовуючи інформацію, розкриту на попередніх етапах, постійно знижуючи ризик. Методологія складається з наступних етапів, як показано на малюнку нижче:

Визначення ризику: Цей крок визначає небажані послідовності подій, наслідки яких можуть становити ризик.

Діяльність з аналізу ризиків визначає ймовірність виникнення несприятливих подій та тяжкість їх наслідків, а також досліджує потенційні інструменти, придатні для управління ризиком протягом бажаного періоду часу.

План зменшення ризику (план): Визначте необхідні кроки зменшення ризику.

Трек: Постійний моніторинг виконання вимог, визначених на попередньому кроці, тобто постійне порівняння показників результативності та їх цільових значень.

Контроль: За необхідності внесіть відповідні виправлення, повторно виміряйте вплив втручань.

Діяльність спілкування, навмисного та документування повинна виконуватися в кінці кожного кроку. Документи, що стосуються управління ризиками, розглянуті на малюнку нижче.

На малюнку нижче показано процес управління технічними ризиками з точки зору вхідної та вихідної інформації.

Вхідні дані: Типові вхідні документи для управління ризиками:

План та політика управління ризиками (плани та політики): План управління ризиками, система вимог до оцінки ризиків, очікуваний процес розробки системи, дані, цільові та граничні значення очікуваних вимог.

Технічні вхідні дані: Критерії ефективності, можливі варіанти, змінні рішення та їх обмеження, вимоги, базові схеми проектування.

Вхідні дані, необхідні для аналізу ризиків альтернативних рішень: Інформація про дизайн, емпіричні знання.

2.2. Життєвий цикл управління ризиками згідно з IEC 61508

Статистика щодо причин нещасних випадків показує, що значна частина причин аварій вже була включена у виріб під час проектування та виготовлення виробу. Це визнання також передбачає, що запобігання несправностям та підтримання необхідного рівня безпеки повинні стосуватися всього життєвого циклу виробу. Мета цієї глави - надати огляд найважливіших видів діяльності з аналізу життєвого циклу згідно з IEC 61508. Взаємозв'язок між 16-етапною діяльністю стандартного управління ризиками показано на малюнку нижче.

Першим кроком у методології, який насправді пов’язаний з аналізом ризиків, є Попередній аналіз небезпеки, метою якого є виявлення небезпек. На цьому етапі повинні бути визначені варіанти відмов, які можуть призвести до аварій. Наприклад, необхідно дослідити, які саме збої можуть виникнути в гальмівній системі, і ці несправності в певних ситуаціях - напр. на високій швидкості транспортного засобу - які аварії вони можуть спричинити. Четвертим кроком є ​​визначення загальних вимог безпеки, пов’язаних із цими надзвичайними ситуаціями. Метою п'ятого кроку є призначення загальних вимог безпеки до даної технічної підсистеми, процесу, точніше до пов'язаних з ними небезпек, наприклад, формулювання вимог щодо обробки небезпек через відсутність гальмівної сили щодо гальмівної системи .

Діяльність щодо проектування життєвого циклу об’єднана на етапах 6-8 процесу. Шостий елемент діяльності охоплює проектну діяльність для забезпечення дотримання вимог, що стосуються встановлення, експлуатації та обслуговування системи. Одне з таких питань полягає у визначенні того, як часто потрібно обслуговувати гальмівну систему. Сьомий крок - це реєстрація перевірки (перевірки) системи безпеки, яка у зв’язку з нашим прикладом прагне відповісти на питання, як забезпечити, щоб наша гальмівна система була достатньо міцною та надійною навіть у часовому інтервалі між технічним обслуговуванням та інспекціями. Восьмий елемент визначає вимоги до передачі та введення в експлуатацію системи. Запис норм, пов'язаних з передачею та запуском хімічного заводу, є очевидним прикладом цього кроку, який також ілюструє, що на розвиток стандарту IEC 61508 більше вплинула переробна промисловість, ніж автомобільна промисловість.

Завдання, пов'язані з розробкою власноруч важливої ​​системи безпеки, включені в кроки 9-11.

Основою для розробки систем, що мають важливе значення для безпеки, є розробка функцій безпеки, які гарантують, що дана підсистема не може сприяти неадекватній безпеці…. тобто вони забезпечують досягнення заданого значення SIL. Підсистема, яка називається системою, пов'язаною з безпекою (SRS), необхідною для реалізації даної функції безпеки, тобто для досягнення заданого рівня безпеки, називається системою безпеки. Дев'ятий і десятий кроки стосуються проектування, аналізу та впровадження цих систем. Для систем з компонентами E/E/PE застосовується дев'ятий крок, а для підсистем без таких компонентів застосовується десятий крок.

IEC 61508 фокусується головним чином на компонентах E/E/PE, розділяючи дев'ятий крок на подальші підкроки.

Стандарт також розглядає той факт, що крім розробки функцій безпеки існують інші засоби зменшення ризику. Наслідуючи наш приклад, наприклад, обмеження швидкості транспортного засобу також підходить для зменшення ризиків можливої ​​несправності гальмівної системи. Вимоги до таких зовнішніх засобів зменшення ризику викладені в пункті 11.

Застосування додаткових етапів (12-16) фіксує вимоги, що стосуються монтажу, введення в експлуатацію, перевірки та технічного обслуговування системи після побудови системи.

Часто передбачається, що під час експлуатації, розробки та виробництва система потребуватиме модифікації або експлуатації в модифікованому середовищі. Наприклад, у випадку нашого прикладу гальмівної системи, можливо, що в майбутньому вага та продуктивність постраждалих транспортних засобів збільшаться, тому очікування щодо продуктивності гальмівної системи також можуть зрости. Технічні характеристики, що стосуються цієї ситуації, викладені в кроці 15. Діяльністю, викладеною в пункті 16, пов’язаною з демонтажем та утилізацією, не можна нехтувати і в автомобільній промисловості, просто подумайте про екологічну небезпеку гуми, акумуляторів та відходів.

IEC 61508 також детальніше описує життєвий цикл E/E/PE (підсистем), але в той же час викладає загальноприйняті технічні характеристики на дев'ятому етапі (див. Малюнок нижче).

Стандарт також включає вимоги до аналізу програмних компонентів. З них крок 9.4 інтеграції слід виділити окремо, він стосується інтеграції апаратних та програмних компонентів у зв’язку з проблемами, пов’язаними з взаємозв’язком підсистем, наприклад аналізуючи ризик того, чи гарантує код належну роботу на певному цільовому обладнанні.

Дуже важливо підкреслити, що основною метою цієї схеми життєвого циклу безпеки є слугувати керівництвом щодо діяльності з управління ризиками та їх документування. Таким чином, цей посібник важливий не лише з точки зору привернення уваги до завдань планування, аналізу та моніторингу, які можуть бути пов’язані з управлінням ризиками під час розробки та застосування, але також служить контрольним переліком, гарантуючи, що лише в обґрунтованих та задокументованих випадках планування крок, тобто лише у випадку, коли аналізи не виявили жодного неприйнятного ризику, який слід вирішити.

2.3. Управління ризиками відповідно до ISO 26262

Стандарт IEC 61508 в основному стосується спеціальних виробничих/дрібномасштабних технологій, у випадках, коли перевірка безпеки також виконується і повторюється в системі. На відміну від цього, ISO 26262 застосовується до дорожніх транспортних засобів масового виробництва вагою менше 3500 кг. У цьому випадку перевірка безпеки виконується під час розробки. МЕК 61508 базується на моделі «керованого процесу/обладнання», в якій можна використовувати пристрої для зменшення ризику. ISO 26262 використовує модель "безпечно спроектованої системи", тобто застосовується підхід, згідно з яким безпека повинна бути вбудована в систему, тобто функції управління та безпеки не розділяються або лише дуже важко розділити. Відповідно до цього стандарту визначення ризику включає всі складові дорожньої ситуації, включаючи водія автомобіля та тих, хто бере участь у ситуації.

Сила моделі життєвого циклу ISO 26262 полягає в тому, що вона зосереджена на управлінні безпекою та культурі безпеки, оскільки у випадку дуже складних систем аварії є скоріше наслідками факторів, пов’язаних з роботою та культурою організації, тобто проектуванням, виробництвом та експлуатації.

Відповідна культура безпеки

Відповідальність не простежується.

Процес забезпечує відстеження рішень щодо безпеки.

Вартість та термін мають перевагу над безпекою та якістю.

(Функціональна) безпека має найвищий пріоритет.

Реактивне ставлення до безпеки (велике тестування в кінці розробки продукту; керівництво втручається лише в тому випадку, якщо є проблема).

профілактичне та рефлексивне ставлення (проблеми безпеки та якості визначаються та вирішуються на якнайшвидшій стадії життєвого циклу товару).

Систематичних циклів безперервного розвитку не існує.

Він інтегрований у кожен процес, частиною якого є постійний розвиток.

Змістові рамки примітки не дозволяють детально описувати вимоги стандарту.

У наступному підрозділі ми представляємо метод відмов та техніку аналізу впливу, широко застосовувану в автомобільній промисловості, як техніку, яка успішно підтримує діяльність з управління ризиками на основі систематичного та постійного вдосконалення.

2.4. Режим відмов та аналіз впливу (FMEA)

FMEA зазвичай дозволяє проводити описовий аналіз з основою для збору інформації, необхідної для оцінки ризику, в таблицю даних або електронну таблицю. Ключовими результатами аналізу є номер пріоритету ризику (RPN), на основі якого ми оцінюємо досліджувану конструкцію або процес. RPN - це складний показник, який включає перспективи як виробника, так і замовника. Його значення дається добутком трьох балів (тяжкості, захворюваності, виявлення) (див. Малюнок нижче):

R P N = s ú l y o s s á g × e l õ f o r d u l á s × f e l d e r í t é s