BAB III Penerapan Prosedur Penilaian Keselamatan pada Pesawat WiSE 8
3.1. Pendahuluan Pada tahap pelaksanaan tugas akhir ini, dilakukan penerapan penilaian keselamatan pada suatu proses pengembangan pesawat WiSE 8. Penerapan ini bertujuan untuk memenuhi Germanischer Lloyd section 11
dimana kondisi kegagalan yang
teridentifikasi pada sistem dievaluasi sehingga requirement keselamatan dapat sesuai dengan sasaran tingkat keselamatan dari sistem yang dianalisis. Fungsi-fungsi dan desain sistem pesawat dievaluasi agar dalam menjalankan fungsinya tersebut resiko kegagalan yang relevan telah diketahui dan dipertimbangkan. Penilaian keselamatan ini menggunakan beberapa panduan langkah – langkah yaitu dari SAE ARP 4761(Guideline and method for conducting the safety assessment on civil airborne systems and equipment), form-form dari Germanischer Lloyd 2001 (Guidelines for Classification and construction of Wing in Ground Craft-WIG Craft) dan probability quantitative safety objective system pada FAR 23.1309. Prosedur yang dilakukan sesuai dengan panduan yang telah disebutkan, dengan beberapa batasan untuk mempermudah penerapan dan analisis. Batasan dan asumsi yang digunakan yaitu : a. pengevaluasian terhadap fungsi dan system pesawat, secara praktis difokuskan kepada fungsi dan sistem yang berpengaruh terhadap keselamatan terutama pada kategori efek 1 dan 2 (chatastropic dan hazardous/severe major) b. beberapa tahap penilaian keselamatan dilewatkan dengan pertimbangan arsitektur sistem dengan tingkat kompleksitas yang sederhana dan data konfigurasi sistem data manufaktur, maintenance dan instalasi yang didapat belum tersedia. c. beberapa nilai eksak dalam penerapan penilaian keselamatan digunakan dengan data yang sebenarnya.
18
3.2.Deskripsi desain WiSE 8 Pesawat WiSE 8 merupakan pesawat yang memanfaatkan fenomena “bantalan udara“ (aircushion) yang ditimbulkan oleh sayap pada kondisi terbang rendah untuk melaju dengan bahan bakar yang lebih efisien
dibandingkan dengan pesawat yang
terbang tinggi. Pesawat WiSE 8 ini dirancang dengan jarak tempuh 270nm (500km) dan hanya dioperasikan pada day time serta pada kondisi cuaca yang baik. Kecepatan jelajah ratarata pesawat ini adalah 80kts (150km/jam) dengan cruise altitude 3 meter diatas permukaan (air) dan dengan jarak lepas landas dan mendarat yang relatif pendek yaitu masing – masing 500 meter.
3.4.1. Mission profile Misi yang dilakukan pesawat ini tidak tercantum dengan eksplisit pada dokumen desain. Namun dengan pertimbangan analisis prestasi yang ada pada preliminary design maka diasumsikan misi yang dilakukan yaitu : a. engine start b.taxi c. take off d.cruise e. gliding f. landing g.taxi h.engine off
Gambar 3.1 Profil Terbang
19
Penilaian keselamatan pada pesawat ini dilakukan sebatas pada misi yang berpengaruh pada keselamatan terutama yang memiliki kemungkinan yang lebih besar yaitu pada fase tinggal landas, terbang jelajah dan mendarat
3.4.2. Fiture Design Pesawat WiSE 8 Konfigurasi desain pesawat didasarkan pada desain pesawat dengan Wing in Surface/Ground Effect, dimana konfigurasi ini berbeda dengan konfigurasi pesawat umumnya. Secara grafis geometri pesawat WiSE 8 diperlihatkan pada gambar 3.2 dalam bentuk iseometric view dan gambar 3.3 dalam bentuk three view drawing.
Gambar 3.2 Isometric View Pesawat WiSE 8
20
Gambar 3.3 Three View Drawing Pesawat WiSE 8
21
Pesawat WiSE 8 yang dirancang berisikan 8 tempat duduk ini memiliki bentuk sayap dengan aspek ratio yang rendah, memiliki pontoon untuk memberikan kestabilan lateral diatas air, fuselage dan hull yang khusus didesain untuk operasi diatas air, menggunakan mesin berpropeler dan ekor dengan konfigurasi V.
3.3.FHA Tahap awal dalam pelaksanaan penilaian keselamatan adalah tahap Functional Hazard Assessment (FHA). Pada tahap ini dilakukan pengidentifikasian terhadap kondisi kegagalan yang muncul pada misi pesawat dan mengkategorikan efek yang timbul., sehingga diperoleh persyaratan keselamatan. Sebelum melakukan pengidentifikasian kondisi kegagalan berikut ini adalah daftar fungsi dan sistem pesawat WiSE 8 dalam 2 fase terbang untuk memfokuskan pengidentifikasian terhadap kondisi kegagalan.
Tabel 3.1 Daftar Fungsi Pesawat (saat tinggal landas) Daftar Fungsi Fase Terbang
No Fungsi
1.1
Tinggal landas
1.2
1.3
1.4
Fungsi
System Subsystem
ID
Engine Fuel and Control Fuel Engine Sistem Kendali Terbang Manuver Pesawat Kendali Aileron Kendali Elevator Kendali Flight Rudder Deteksi Informasi terhadap sikap Sistem avionic Sistem Inersia (Gyro System) dan ketinggian pesawat Air Data System Radio Altimeter Standby Air Speed Indicator GPS Electrical Power Distribution Mengadakan dan menyalurkan Communication VHF Communication komunikasi Portable VHF Radio Radar Transponder
Menaikan Kecepatan Pesawat
22
Tabel 3.2 Daftar Fungsi Pesawat (saat mendarat) Daftar Fungsi Fase Terbang
No Fungsi
2.1
Mendarat
2.2
2.3
2.4
System Subsystem
Fungsi
ID
Menurunkan Kecepatan Pesawat Engine Fuel and Control Fuel Engine Sistem Kendali Terbang Manuver Pesawat Kendali Aileron Kendali Elevator Kendali Flight Rudder Deteksi Informasi terhadap sikap Sistem avionic Sistem Inersia (Gyro System) dan ketinggian pesawat Air Data System Radio Altimeter Standby Air Speed Indicator GPS Electrical Power Distribution Mengadakan dan menyalurkan Communication VHF Communication komunikasi Portable VHF Radio Radar Transponder
Tabel 3.3 Daftar Fungsi Pesawat (saat terbang jelajah) Daftar Fungsi Fase Terbang
No Fungsi
Terbang jelajah
3.1
3.2
3.3
Fungsi
System Subsystem
ID
Sistem Kendali Terbang Kendali Aileron Kendali Elevator Kendali Flight Rudder Sistem avionic Deteksi Informasi terhadap sikap Sistem Inersia (Gyro System) dan ketinggian pesawat Air Data System Radio Altimeter Standby Air Speed Indicator GPS Electrical Power Distribution Mengadakan dan menyalurkan Communication VHF Communication komunikasi Portable VHF Radio Radar Transponder
Manuver Pesawat
23
Tahap selanjutnya akan dijelaskan hasil penerapan proses FHA untuk level pesawat. Identifikasi fungsi dan kondisi kegagalan akan diperoleh pada proses tersebut.
3.4.1. Level Pesawat Identifikasi Fungsi Gambat 3.4 berikut
memperlihatkan diagram sederhana fungsi pesawat (Aircraft
Function)
Gambar 3.4 Diagram Functional Tree Pesawat
Untuk fungsi level 1 dan 2 fungsi pesawat diatas, diidentifikasi kondisi kegagalan yang terjadi pada tiap fase terbang pesawat dan tiap kondisi kegagalan dijelaskan juga efek terhadap pesawat atau kru/pilot serta penumpang. Selanjutnya klasifikasi efek kondisi kegagalan tersebut sesuai dengan FAR 23.1309. Hasil pengidentifikasian ini diperlihatkan pada tabel 3.3.
24
Tabel 3.4 Form FHA level pesawat Fungsi Menaikan Pesawat
Kondisi Kegagalan
Fase Misi
Kecepatan Hilang kemampuan untuk Take Off menaikkan kecepatan pesawat a
b
Manuver Pesawat
Hilang kemampuan untuk Take Off menaikan kecepatan pesawat yang tidak terdeteksi Hilang kemampuan untuk Take Off menaikan kecepatan pesawat yang diketahui
Efek Kegagalan
Klasifikasi
lihat bawah
Pesawat tidak dapat mencapai Major kecepatan lift off, mengakibatkan pesawat bergerak dengan ketinggian yang kurang Pesawat tidak dapat mencapai Nosafety kecepatan lift off, pilot memutuskan effect untuk membatalkan misi
Hilang kemampuan pesawat Take off/ Pilot tidak dapat mengarahkan gerak Major dalam melakukan manuver Landing/Cr pesawat sesuai dengan diinginkan Catasthropic uise dan berusaha untuk segera mendarat. Hilang sebagian kemampuan Take off/ Major Pilot tidak dapat melakukan salah pesawat dalam melakukan Landing/Cr Catasthropic satu bentuk manuver yang diperlukan manuver (salah satu kendali uise saat itu sehingga dapat menyebabkan tidak bekerja) loss control dari pesawat
Deteksi Data Sikap dan Kegagalan indikator ketinggian Take off/ Ketinggian Pesawat Landing/Cr uise a
b
Kegagalan indikator Take off/ Pilot tidak dapat mengetahui Major ketinggian yang terdeteksi Landing/Cr informasi tentang ketinggian terbang, uise sehingga pilot memilih untuk menjalan misi dengan kemampuan visual Misleading/Malfunction Take off/ Pilot tidak mengetahui informasi Catastrophic indikator ketinggian tanpa Landing/Cr ketinggian yang salah namun misi adanya pemberitahuan uise tetap berjalan.
Kegagalan seluruh sikap pesawat
indikator Take off/ Pilot tidak mengetahui informasi yang Catastrophic Landing/Cr benar tentang sikap pesawat dan Hazardous uise melanjutkan misi dengan kemampuan visual pilot sehingga dapat mengakibatkan loss control dari pesawat
kemampuan untuk Take off/ Pilot tidak dapat menerima informasi Catastrophic Menyediakan dan Hilang menyalurkan komunikasi menyalurkan komunikasi dengan Landing/Cr yang penting dalam menjalankan ATC dan aircraft lain uise misinya dan dapat membahayakan pesawat (loss) Menurunkan Pesawat
Kecepatan Hilang kemampuan menurunkan Landing kecepatan pesawat saat landing
Pilot tidak dapat menurunkan kecepatan pesawat saat landing sehingga pilot memutuskan mematikan engine, dan pesawat melakukan gliding
Minor
Berdasarkan FHA, persyaratan keselamatan yang diperoleh akibat efek kondisi kegagalan tersebut maka didapatkan preliminary aircraft fault tree. Persyaratan keselamatan dapat diketahui nilai maksimumnya sehingga dapat diturunkan probabilitas persyaratannya untuk level lebih rendah. Fault tree ini sebagai input dan akan divalidasi
25
Remark
lagi pada FHA level sistem karena dapat memperlihatkan top event dari fungsi level sistem yang akan dianalisis.
Loss of Aircraft 1 st Level
Hilang kemampuan pesawat dalam melakukan manuver 1 E-9
2nd Level
Hilang kemampuan kendali LateralDirectional(aileronRudder)
Hilang kemampuan deteksi data sikap dan ketinggian
Hilang kemampuan kendali Height/ Elevator
Hilang kemampuan menyediakan dan menyalurkan komunikasi 1 E-9
1 E-9
Hilang tenaga elektronik
Kegagalan alat deteksi data sikap dan ketinggian
Kegagalan peralatan komunikasi (Communication Devices)
Gambar 3.5 Preliminary Aircraft Fault Tree
3.4.2.
Level Sistem Dari Aircraft Fault Tree diperoleh top event sebagai input pada FHA level
sistem. Untuk contoh kasus top event diatas yaitu “hilang kemampuan pesawat dalam melakukan manuver”, dideskripsikan sistem yang melakukan fungsi mengendalikan arah terbang yaitu sistem kendali terbang.
a. Sistem Kendali Terbang (Flight Control System) Sistem Kendali Terbang bertujuan untuk menggerakkan pesawat agar bermanuver pada saat melakukan misinya. Berikut adalah table FHA Sistem Kendali Terbang dalam melaksanakan fungsi mengendalikan arah terbang pesawat :
26
Tabel 3.5 FHA Worksheet Sistem Kendali Aileron Functional Hazard Analysis Worksheet Sistem : Kendali Terbang SubSistem : Kendali Aileron No Kondisi Kegagalan 1
Kegagalan Kendali Lateral dengan adanya Pemberitahuan
Aplikasi yang tidak disengaja
a
3
Misi/Fase
Efek Kegagalan
Klasifikasi
Kegagalan Kendali Lateral a Kegagalan Kendali Take off/ Pilot mengetahui kegagalan setelah aileron Hazardous Lateral tanpa Landing/C didefleksikan namun sikap pesawat tidak berubah(tidak terjadi roll) sehingga pilot tidak ruise Pemberitahuan dapat mengendalikan pesawat untuk melakukan b
2
Function : Manuver Pesawat
manuver dan memilih untuk menurunkan kecepatan dan berhenti di runway Take off/ Pilot tidak dapat mengendalikan pesawat untuk Hazardous Landing/C melakukan manuver dan memilih untuk menurunkan kecepatan dan berhenti segera di ruise runway
Take off/ Landing/C ruise
Aileron terdefleksi Take off/ Setelah melaksanakan manuver (control wheel Hazardous namun terjadi locking/ Landing/C digerakkan) pilot tidak dapat menormalkan posisi aileron sehingga pilot berusaha untuk mengubah ruise Jamming defleksi rudder untuk mengimbangkannya
Asimetris Defleksi Aileron a
sudut defleksi aileron Take off/ Saat melaksanakan manuver(control wheel Major kanan dan kiri berbeda Landing/C digerakkan) pilot merasakan perbedaan pada roll ruise
ke kanan dan ke kiri. Pilot kesulitan dalam menormalkan posisi aileron
Tabel 3.6 FHA Worksheet Sistem Kendali Elevator Functional Hazard Analysis Worksheet Sistem : Kendali Terbang SubSistem :Kendali Elevator/Height Kondisi Kegagalan No 1
2
Function : Mengendalikan Arah Terbang Misi/Fase
Efek Kegagalan
Klasifikasi
Kegagalan Kendali Elevator
Take off Pilot tidak dapat mengendalikan Catasthropic /Landing pesawat untuk melakukan manuver saat lepas/menyentuh permukaan air sehingga akan mengakibatkan hilang kendali pesawat Aplikasi yang tidak disengaja Take off /Landing a Kendali Elevator terdefleksi Take off Setelah melakukan manuver elevator Catasthropic dan terjadi lock/Jamming /Landing tidak kembali ke posisi normal, pilot tidak dapat mengendalikan pesawat sehingga pesawat loss control
27
Tabel 3.7 FHA Worksheet Sistem Kendali Rudder Functional Hazard Analysis Worksheet Sistem : Kendali terbang SubSistem :Kendali Rudder No 1
Function : Mengendalikan Arah Terbang
Kondisi Kegagalan
Misi/Fase
b
Kegagalan Kendali dengan Pemberitahuan
tidak berubah sehingga pilot tidak dapat mengendalikan sikap yaw pesawat
Rudder Take off/ Pilot tidak dapat mengendalikan pesawat Hazardous adanya Landing/ untuk melakukan manuver dan memilih
Aplikasi yang tidak disengaja
a
Cruise
untuk menurunkan kecepatan dan berhenti segera di runway
Take off/ Landing/ Cruise
Kendali Rudder terdefleksi dan Take off/ Setelah melakukan manuver rudder tidak Hazardous Landing/ kembali ke posisi normal, pilot sulit terjadi lock/Jamming Cruise
3
Klasifikasi
Kegagalan Kendali Rudder a Kegagalan Kendali Rudder Take off/ Pilot mengetahui kegagalan ketika kendali Hazardous Landing/ rudder didefleksikan namun sikap pesawat tanpa pemberitahuan Cruise
2
Efek Kegagalan
mengendalikan pesawat sehingga pilot berusaha untuk mengubah defleksi aileron untuk mengimbangkannya
Asimetris Defleksi Rudder a
sudut defleksi rudder kanan Take off/ Saat melaksanakan manuver(control wheel Major Landing/ digerakkan) pilot merasakan perbedaan dan kiri berbeda Cruise
pada yaw ke kanan dan ke kiri. Pilot kesulitan dalam menormalkan posisi rudder
Dari data FHA Sistem Kendali Terbang diperoleh persyaratan keselamatan sebagai input pada PSSA Sistem Kendali Terbang, yaitu : 1) kegagalan kendali aileron/lateral selama misi tinggal landas/mendarat tidak boleh lebih dari 1E-7. 2) kegagalan akibat aplikasi yang tak sengaja kendali aileron/lateral selama misi tinggal landas/mendarat tidak boleh lebih dari dari 1E-7. 3) kegagalan kendali elevator selama tinggal landas/mendarat kurang dari 1E-9. 4) kegagalan akibat aplikasi yang tak sengaja kendali elevator selama misi tinggal landas/mendarat kurang dari 1E-9. 5) kegagalan kendali rudder selama tinggal landas/mendarat kurang dari 1E-7. 6) kegagalan akibat aplikasi yang tak sengaja kendali rudder selama misi tinggal landas/mendarat kurang dari 1E-7.
28
b. Sistem Electrical Power Sistem Electrical Power bertujuan untuk menyediakan tenaga listrik untuk alat– alat elektronik dan avionik di dalam pesawat agar dapat bekerja dengan baik. Tabel 3.8 adalah table FHA Sistem Electrical Power. Tabel 3.8 FHA Sistem Electrical Power Sistem Electrical Power Fase Kondisi Kegagalan Efek Kegagalan Klasifikasi Remark Alat-alat elektronik Catasthro Take off/ Hilang Landing/ kemampuan untuk pesawat tidak dapat pic mendistribusikan bekerja Cruise mengakibatkan loss electrical power sistem avionik Pilot merubah switch Minor Menghasilkan Take off/ Hilang power listrik dari Landing/ kemampuan electrical power generator power generator ke Cruise power battery /backup power untuk menghasilkan listrik Alat-alat elektronik Catasthro Take off/ Hilang Landing/ kemampuan APU pesawat tidak dapat pic bekerja untuk Cruise mengakibatkan loss menghasilkan listrik setelah sistem avionik power generator gagal
No Fungsi 1 Distribusi Electrical Power
2
Dari data FHA Sistem Electrical Power diperoleh persyaratan keselamatan sebagai input pada PSSA yaitu : 1). kegagalan distribusi electrical power tidak boleh lebih dari 1E-9. 2). kegagalan power generator untuk menghasilkan listrik tidak boleh lebih dari 1E-5. 3). kegagalan APU untuk menghasilkan listrik setelah power generator gagal kurang dari 1E-9. c. Sistem Avionik Sistem Avionik adalah sistem-sistem elektronik yang berfungsi untuk mengindikasikan sikap dan kondisi pesawat ketika menjalankan misinya. Tabel 3.9 adalah table FHA Sistem avionik
29
Tabel 3.9 FHA sistem avionik Sistem Avionik No Fungsi Fase Kondisi Kegagalan Efek Kegagalan Klasifikasi Remark 1 Mendeteksi Take off/ Hilang kemampuan pilot berusaha Hazardous sikap pesawat Landing/ untuk mendeteksi untuk Cruise sikap pesawat mengendalikan sikap pesawat dengan kemampuan visual 2
Mendeteksi ketinggian pesawat
berusaha Hazardous Take off/ Hilang kemampuan Pilot Landing/ untuk mendeteksi mengendalikan ketinggian pesawat ketinggian pesawat Cruise dengan kemampuan visual
Dari data FHA Sistem Avionik diperoleh persyaratan keselamatan sebagai input pada PSSA yaitu : 1). kegagalan kemampuan untuk mendeteksi sikap pesawat tidak boleh lebih dari 1E-7. 2). kegagalan kemampuan untuk mendeteksi ketinggian pesawat tidak boleh lebih dari 1E-7 d. Sistem Komunikasi Sistem Komunikasi adalah sistem-sistem yang berfungsi untuk menediakan dan menyalurkan komunikasi. Tabel 3.11 adalah table FHA Sistem Komunikasi. Tabel 3.10 FHA Sistem Komunikasi Sistem Komunikasi No Fungsi Fase Kondisi Kegagalan Efek Kegagalan Klasifikasi Remark 1 melakukan Take off/ Hilang kemampuan Pilot tidak dapat Catasthropi komunikasi Landing/ untuk melakukan berkomunikasi c dengan ATC Cruise komunikasi dengan ATC dan pesawat maupun Pesawat lain lain
Dari data FHA Sistem Komunikasi diperoleh persyaratan keselamatan sebagai input pada PSSA yaitu : 1). kegagalan kemampuan untuk melakukan komunikasi tidak boleh lebih dari 1E-9.
30
3.4.PSSA 3.4.1. Sistem Kendali Terbang Proses PSSA ini menerangkan tentang penilaian dan analisis yang dilakukan pada tahap desain konsep dan preliminary design. 3.4.1.1.
Diskripsi Sistem Pesawat WiSE 8 hanya memiliki satu control surface untuk kendali
ketinggian/elevator. Pesawat menggunakan kendali lateral-directional terintegrasi yang digerakan dari control wheel dan mekanisme kendali menghasilkan perbandingan yang bervariasi antara defleksi aileron dan defleksi rudder. Control Wheel
Control Yoke
Pulley and Cable
Elevator
Pulley and Cable
Rudder
Aileron
Gambar 3.6 Diagram Sistem Kendali Terbang
3.4.1.2. PSSA Sistem Kendali Terbang Input PSSA berdasarkan requirement keselamatan yang diturunkan dari FHA level pesawat dan sistem, yaitu : 1. kegagalan kendali aileron selama misi tinggal landas/mendarat kurang dari 1E-7 2. kegagalan akibat aplikasi yang tak sengaja kendali aileron selama misi tinggal landas/mendarat kurang dari 1E-9 3. kegagalan kendali elevator selama tinggal landas/mendarat kurang dari 1E-7
31
4. kegagalan akibat aplikasi yang tak sengaja kendali elevator selama misi tinggal landas/mendarat kurang dari 1E-9 5. kegagalan kendali rudder selama tinggal landas/mendarat kurang dari 1E-7 6. kegagalan akibat aplikasi yang tak sengaja kendali rudder selama misi tinggal landas/mendarat kurang dari 1E-9 7. sistem kendali terbang harus didesain agar menghindari ancaman umum (common cause) yang terjadi (seperti putus kabel mekanik, defleksi struktur dan lain-lain)
Pada gambar 3.7 diperlihatkan bentuk dari FTA PSSA sistem kendali terbang. Probabilitas
persyaratan
diperoleh
dari
penurunan
sistem
diatasnya.
Dengan
menggunakan analisis langsung (direct analysis) pada Fault Tree, probabilitas level bawahnya dapat ditentukan.
Untuk probabilitas kejadian dengan AND-gate seperti pada gambar dibawah, adalah P(hilang kemampuan kendali lateral-directional) = P(kegagalan kendali aileron) * P(kegagalan kendali rudder). 1E-7 = P(A) * P(B) Dengan berasumsi probabilitas A dan B adalah sama maka diperoleh : P(A) = 3.16E-4 P(B) = 3.16E-4
Untuk probabilitas kejadian dengan OR-gate dan langsung (tanpa gate) seperti pada gambar 3.7 (sisi kanan), maka P(Hilang kemampuan kendali ketinggian) = P(Kegagalan kendali elevatotor) 1E-9 = P(kegagalan kendali elevator)
FTA PSSA sistem lain yang dianalisis dapat dilihat pada bagian akhir laporan ini. Yaitu pada lampiran 1. Fault Tree sistem sebagai top event hingga level rendah sistem diperlihatkan untuk menurunkan persyaratan keselamatan item/sistem pada level bawah dari sistem diatasnya.
32
FTA Sistem Kendali Terbang
Gambar 3.7 PSSA Sistem Fault Tree Analysis
Dengan FMEA, diperoleh
reliability requirement dari item kritis yang
kemudian pada proses SSA, akan dianalisis secara bottom–up untuk memverifikasi reliability requirement item memenuhi persyaratan keselamatan yang diperoleh dari analisis FTA PSSA. Untuk sistem-sistem yang lain, dapat dilihat analisis FTA PSSA pada lampiran 2.
3.5.SSA System Safety Assessment merupakan langkah terakhir pada proses penilaian keselamatan dimana terdapat seluruh hasil pelaksanaan FHA dan PSSA. Proses SSA pada penerapan penilaian keselamatan untuk pesawat WiSE 8 ini belum dapat dilaksanakan karena spesifikasi detail sistem yang diidentifikasi belum tersedia dalam desain WiSE 8. Oleh karena itu pelaksanaan penilain keselamatan hanya dapat dilakukan hingga tahap PSSA. 33
34
