Rozvoj v oboru dopravního inženýrství CZ.1.07/2.3.00/09.0144 KA1 - Analýza dopravních nehod a konfliktů
stránka
Autor
Název příspěvku Nástroje na posuzování funkční bezpečnosti
str. 2
Ing. Famfulík Jan, Ph.D.
str. 21
Ing. Křivda Vladislav, Ph.D.
str. 36
Ing. Křivda Vladislav, Ph.D.
Videoanalýza konfliktních situací jako nástroj pro snižování dopravní nehodovosti Simulace provozu v silniční dopravě za účelem předcházení nebezpečných situací
str. 55
Ing. Míková Jana, Ph.D.
Management funkční bezpečnosti
str. 76
Ing. Richtář Michal
Analýza rizik (FMEA)
1
Nástroje na posuzování funkční bezpečnosti Ing. Jan Famfulík, Ph.D. – Institut dopravy, Fakulta strojní, VŠB-TU Ostrava
1. Úvod Funkční bezpečnost podle norem schválených IEC (ČSN EN 61508 - Funkční bezpečnost
elektrických/elektronických/programovatelných
elektronických
systémů
-
Functional safety of electrical/electronic/programmable electronic systems a ČSN EN 61511 Funkční bezpečnost – Bezpečnostní přístrojové systémy pro sektor průmyslových procesů) představuje mezinárodně platný bezpečnostní standard pro zařízení, kde elektrické, elektronické a programovatelné elektronické jednotky plní bezpečnostní funkce. Jinými slovy se jedná o tu část bezpečnosti, která závisí na správné činnosti zařízení a řídicích systémů, které zajišťují její bezpečnost. Hodnoty + rizika
Řízené zařízení (EUC)
Ochranný systém
Systém řízení
bezpečnostní funkce
bezpečnostní funkce
Obr. 1: Riziko a bezpečnostní funkce k jeho zmenšení
Zdroj: [2]
Hlavním cílem správné aplikace funkční bezpečnosti je snížení rizika možnosti zranění lidí, poškození výroby nebo narušení životního prostředí. Problémem je navrhnout takový systém, který by zabránil vzniku nebezpečných poruch, popř. je kontroloval při jejich výskytu. Ve většině případů se bezpečnost zajišťuje prostřednictvím několika ochranných systémů založených na různých technických principech (např. mechanických, hydraulických, pneumatických, elektrických, elektronických, programovatelných elektronických). Dodatečně zajišťovat bezpečnost procesu, zejména po mimořádné události, je už velmi nákladné. 2
Principy výše uvedené normy lze chápat jako správnou metodu řízení zaměřeného na funkční bezpečnost. Norma ČSN EN 61508 vychází z modelu na Obr. 1. Výchozí je řízené zařízení, které spolu se svým řídicím systémem vytváří určité hodnoty (např. systém automatického vedení vlaku u hnacích vozidel), ale které je současně zdrojem nebezpečí pro své okolí.
2. Vybrané základní pojmy v oblasti funkční bezpečnosti Bezpečnostní funkce (safety function) – funkce, kterou má být realizován bezpečnostním systémem nebo vnějšími prostředky pro snížení rizika, která je určena pro zajištění nebo udržení bezpečného stavu z hlediska konkrétní nebezpečné události. Bezpečnostní přístrojová funkce (safety instrumented control function) – bezpečnostní přístrojová funkce se stanoveným SIL fungující v průběžném (trvalém) režimu, která je nezbytná k prevenci vzniku nebezpečného stavu a/nebo ke snížení jeho důsledků. Bezpečný stav (safe state) – stav procesu, při kterém je dosaženo bezpečnosti. Bezporuchovost (reliability) – schopnost objektu plnit požadovanou funkci v daných podmínkách a v daném časovém okamžiku. Tato funkce je charakterizována takovými parametry, jako jsou střední doba mezi poruchami MTBF (Mean Time Between Failures), intenzita poruch apod. Diagnostické pokrytí (diagnostic coverage) – podíl na snížení pravděpodobnosti nebezpečných poruch hardwaru v důsledku provádělí automatických diagnostických testů. Funkční bezpečnost (functional safety) – část celkové bezpečnosti týkající se EUC a systému řízení EUC závislá na správném fungování E/E/PE systémů souvisejících s bezpečností, systémech souvisejících s bezpečností založených na jiných technických principech a vnějších prostředcích pro snížení rizika. Integrita bezpečnosti (safety integrity) - střední pravděpodobnost, že bezpečný přístrojový systém uspokojivě provádí požadované bezpečnostní funkce za stanovených podmínek ve stanovené době. Intenzita poruch (failure rate) – podmíněná pravděpodobnost, že porucha nastane za nekonečně malý okamžik dt za podmínky, že do okamžiku t jev nenastal.
3
Kontrolní (periodická) zkouška (proof test) – priodická zkouška prováděná pro zjišťování poruch v systému souvisejícím s bezpečností tak, aby v případě potřeby mohl být tento systém vrácen do stavu, který co nejvíce odpovídá stavu novému. Náhodná porucha hardwaru (random hardware failure) – náhodně se vyskytující porucha, která je výsledkem jednoho nebo více možných mechanismů postupného zhoršování v hardwaru. Pohotovost (availability) – schopnost výrobku být ve stavu schopném plnit požadovanou funkci v daných podmínkách v daném časovém okamžiku nebo v daném časovém intervalu, za předpokladu, že jsou zajištěny požadované vnější prostředky; pohotovost je zde určována zejména bezporuchovostí a udržovatelností. Porucha, selhání (failure) – ukončení schopnosti funkční jednotky plnit požadovanou funkci. Přípustné riziko (tolerable risk) – riziko, které je přijatelné v daných souvislostech založených na běžných hodnotách společnosti. Riziko procesu – riziko existující pro konkrétní nebezpečné události, pro proces, základní systém řízení procesu a s ním spojené otázky lidského faktoru, Řízené zařízení (Equipment Under Control – EUC) - zařízení, stroj, přístroj nebo instance použité pro spojité i nespojité výrobní, dopravní nebo jiné činnosti. SIF – bezpečnostní přístrojová funkce (Safety Instrumented Function): bezpečnostní funkce se stanovenou úrovní integrity bezpečnosti, která je nezbytná k dosažení funkční bezpečnosti – jedná se buď o bezpečnostní přístrojovou ochrannou funkci, nebo o bezpečnostní přístrojovou regulační funkci. SIL - úroveň integrity bezpečnosti (Safety Integrity Level): diskrétní úroveň pro stanovení požadavků na integritu bezpečnosti bezpečnostních přístrojových funkcí, které mají být přiděleny do bezpečnostních přístrojových systémů; celkem jsou čtyři úrovně integrity bezpečnosti – nejvyšší je 4, nejnižší 1. SIS – bezpečnostní přístrojový systém ( Safety Instrumented System): přístrojový systém, který se používá k realizaci jedné nebo několika bezpečnostních přístrojových funkcí; SIS může, ale nemusí obsahovat software.
4
Společná porucha (common cause failure) – porucha, která má za následek poruchu systému a která je výsledkem jedné nebo více událostí, které způsobily současné poruchy dvou nebo více samostatných kanálů u vícekanálového systému. Spolehlivost (dependability) - schopnost plnit bezpečně a pohotově požadované funkce; tento požadavek musí být zohledňován ve všech fázích životního cyklu daného systému, počínaje stanovením koncepce systému přes definici systému, formulování požadavků na systém, návrh systému, jeho integraci, ověření, validaci až po následný provoz a údržbu. Subsystém – celek složený z jedné součásti nebo jakékoliv skupiny součástí, přičemž může mít více než jeden kanál; (kompletní E/E/PE systém související s bezpečností tvoří několik samostatných subsystémů, které jsou složeny dohromady a realizují uvažovanou bezpečnostní funkci). Systematická porucha (systematic failure) – porucha, kterou jednoznačně způsobila určitá příčina a kterou je možné odstranit jen změnou návrhu (konstrukce), výrobního procesu apod. Systém řízení EUC (EUC control system) – systém reagující na signály z procesu a/nebo od operátora a vytvářející výstupní signály, které způsobují, že EUC pracuje požadovaným způsobem. Validace, potvrzení platnosti (validation) – potvrzení zkoumáním a poskytnutím objektivního důkazu, že určité požadavky pro specifické zamýšlené použití byly splněny. Vnější prostředky pro snížení rizika (external risk reduction facility) – opatření snižující nebo omezující rizika, která jsou samostatná a odlišitelná od E/E/PE systémů souvisejících s bezpečností nebo systémů souvisejících s bezpečností založených na jiných technických principech a které tyto systémy nevyužívají. Zbytkové riziko (residual risk) – riziko nebezpečných událostí, jež zůstává po přidání ochraných vrstev. Životní cyklus systému (system lifecycle) – činnosti probíhající v časovém intervalu od vymyšlení systému do okamžiku, kdy už systém není použitelný – je vyřazen z provozu a zlikvidován.
5
3. Kvantitativní metody hodnocení rizika Požadavky na bezpečnostní funkce musíme přidělit přístrojovým systémům bezpečnosti a jejich ochranným vrstvám, přičemž musíme dodržet všechny požadavky na proces přiřazení těchto bezpečnostních funkcí. Pro každou nebezpečnou událost se musí stanovit nutné snížení rizika, přičemž toto snížení může být určeno kvantitativním a/nebo kvalitativní způsobem.
4. Problém určení meze přijatelnosti rizika S problémem snížení rizika souvisí otázka, jaké riziko je přijatelné. Principiálně musí být přijatelnost rizika založená na všeobecně uznávaných zásadách. Například norma ČSN EN 50126 doporučuje použití následujících principů: Princip ALARP Tento princip je používán ve Velké Británii. Zkratka ALARP znamená „co nejnižší rozumně dosažitelné riziko“ a označuje, že se vývojář musí snažit dosáhnout co nejnižšího rizika a u hazardních stavů, kde se nepodaří dosáhnout všeobecně uznávané hodnoty, může být riziko uznáno (není-li hodnota příliš vysoká), pokud se prokáže, že jej nelze rozumným způsobem dále snížit. Prokázání lze opřít o použití nejnovějších technických prostředků, platných standardů apod. Princip GAMAB Tento princip je používán ve Francii, říká, že nové zařízení musí být při celkovém hodnocení nejméně tak bezpečné, jako kterýkoli stávající ekvivalentní systém. Je zde ponechána určitá volnost, některý jednotlivý parametr může být u nového zařízení mírně horší, ale nesmí jít o parametr zásadní a celkově musí jít o snížení rizika oproti stávajícímu stavu. Princip MEM Tento princip je používán v Německu. Zkratka MEM znamená „minimální endogenní úmrtnost – Rm“, což je úmrtnost způsobená technologickými příčinami, např. pracovními stroji, dopravou ale i sportem a jinými aktivitami ve volném čase. Nepatří sem nemoci či vrozené vady apod. Tato endogenní úmrtnost je minimální pro věkovou skupinu 5 až 15 let ve vyspělých zemích a byla stanovena hodnota: Rm = 2 x 10-4 úmrtí/(osoba x rok). Hazardní stavy nového zařízení, by neměly tato číslo významně zvýšit. Akceptovaná hodnota je např.
6
Rz = 10-5 úmrtí/(osoba x rok). Aplikací zvoleného principu získáme pro dané zařízení tzv. tolerovanou četnost rizik. U zařízení posuzovaných podle ČSN EN 61508 nejčastěji používá postup založený na principu ALARP.
5. ALARP koncepce nejnižšího rozumně možného a přijatelného rizika Princip ALARP je konkrétní metoda pro dosažení přípustného rizika. Kategorizace rizika je ohodnocena do třech různých stupňů následovně [2]: a) dané riziko je tak velké, že je nutné jej zcela odmítnout, b) dané riziko je mezi dvěma předchozími stavy a už bylo sníženo na nejnižší možnou úroveň, s přihlédnutím na přínosy, které plynou z jeho přijetí a se zvážením nákladů na jakékoliv jeho další snížení, c) dané riziko je tak malé (nebo bylo provedeno tak malým), že je bezvýznamné. I.
II.
nepřípustná oblast
přípustná oblast (oblast ALARP)
III. přijatelná oblast
IV.
třída rizika
všeobecně přijatelná oblast (prokazování ALARP není nutné) vzrůstající riziko a společenský zájem
zanedbatelné riziko
Obr. 2 Model ALARP
Zdroj: [2]
V případě a) princip ALARP vyžaduje snížení jakéhokoliv rizika na co nejnižší možnou úroveň nebo na co nejnižší rozumně proveditelnou úroveň. Je-li riziko někde mezi těmito dvěma extrémy, tzn. mezi nepřijatelnou oblastí a oblastí všeobecně přijatelnou, a v případě, že 7
byl použit princip ALARP, potom je výsledné riziko u konkrétní aplikace rizikem přípustným. Tato třípásmová metoda je uvedena Obr. 2. Z Obr. 2 je patrné, že nad určitou úrovní se riziko považuje za nepřípustné a za žádných okolností ho nelze ospravedlnit. Jestliže takovéto riziko existuje, mělo by být sníženo tak, aby se dostalo do buď „přípustné, přijatelné“ nebo „všeobecně přijatelné“ oblasti, nebo s ním spojené nebezpečí musí být odstraněno. Pod úrovní nepřípustná oblast, se nachází přípustná a přijatelná oblast – oblast ALARP, kde je možné provádět dané činnosti. Provádět dané činnosti je dovoleno za předpokladu, že s nimi spojená rizika byla snížena na co nejnižší rozumně proveditelnou úroveň. Všeobecně platí, že čím vyšší je riziko, tím více úsilí se dá očekávat k jeho snížení. Riziko, jež bylo tímto způsobem sníženo, se pokládá za riziko snížené na úroveň, která je „nejnižší rozumně možná“ (ALARP). Poslední úrovní je všeobecně přijatelná oblast, není nutné podrobně prokazovat ALARP, přesto je nutné věnovat pozornost tomu, aby se riziko na této určité úrovni udrželo. Jedním ze způsobů, jak lze dosáhnout cíle přípustného rizika, je stanovení určitého počtu následků, jimž se přiřadí přípustné četnosti. Toto slaďování následků a jim přiřazených četností by mělo být ve formě diskusí a dohod mezi zainteresovanými stranami. Pro zohlednění koncepce ALARP může být toto slaďování provedeno prostřednictvím tříd rizik viz Obr. 2. Klasifikace tříd a výklad rizika je uveden v Tab. 1. Pro každou charakteristickou situaci nebo srovnatelnou dopravního průmyslu je nutné sestavit Tab. 2, která zahrnuje široký rozsah sociálních, politických a ekonomických činitelů. Každému následku by měla odpovídat určitá četnost a v tabulce by měly být uvedeny třídy rizika. Tab. 1: Výklad tříd rizika dle ČSN EN 61508‐5 Třída rizika
Zdroj: [2]
Výklad rizika
Třída I.
Nepřípustné riziko
Třída II.
Nežádoucí riziko, přípustné pouze v případě, že snížení rizika je neproveditelné nebo v případě, že náklady jsou výrazně neúměrné dosaženému zlepšení.
Třída III.
Přípustné riziko v případě, že náklady na snížení rizika by přesáhly dosažené zlepšení.
Třída IV.
Zanedbatelné riziko
8
Tab. 2: Příklad klasifikace rizika nehod dle koncepce ALARP Zdroj: [2] Četnost
Následek Katastrofální
Kritický
Nepodstatný
Zanedbatelný
Častá
I
I
I
II
Pravděpodobná
I
I
II
III
Příležitostná
I
II
III
III
Málo častá
II
III
III
IV
Nepravděpodobná
III
III
IV
IV
Neuvěřitelná
IV
IV
IV
IV
Poznámka: Tuto tabulku je nutné brát pouze jako příklad toho, jak by taková tabulka mohla být vyplněna.
6. Využití diagramu rizika pro stanovení míry integrity bezpečnosti V případě použití této kvalitativní metody, je nutné zavést z důvodů zjednodušení omezený počet parametrů, jež ale charakterizují základní vlastnosti nebezpečné situace v případě selhání nebo nedostupnosti systémů souvisejících s bezpečností. U každého se čtyř rizikových parametrů se provede jeho klasifikace, parametry se dále vzájemně kombinují pro rozhodnutí o tom, jaká úroveň integrity bezpečnosti se systémům přiřadí (Tab. 3). Čím je vyšší úroveň integrity bezpečnosti, tím účinněji dochází ke snížení rizika. Diagram rizika obecné schéma Parametry uvedené na Obr. 3 a jejich vyhodnocování jsou potřebné pro každou charakteristickou situaci nebo dané srovnatelné oblasti průmyslu. Použití parametrů rizika C, F a P vede na několik výstupů X1, X2,X3,…Xn. Každý z těchto výstupů je mapován do jedné ze tří stupnic (W1,W2,a W3). Každý stupeň těchto stupnic vyznačuje nutnou integritu bezpečnosti, kterou musí uvažovaný E/E/PE systém související s bezpečností splňovat. Mapování do W1,W2 nebo W3 dovoluje přispět i dalším opatřením pro snížení rizika. Posunutí stupnic u W1,W2,a W3 je nutné z důvodu možností tří různých úrovní snížení rizika, které jsou zajištěny dalšími opatřeními. Stupnice W3 poskytuje minimální snížení rizika zajišťované od jiných opatření (tj. největší pravděpodobnost nežádoucího výskytu), stupnice W2 střední přínos a stupnice W1 maximální přínos. Pro konkrétní mezilehlý výstup diagramu rizika (tj. X1, X2,X3,…nebo X6) a pro konkrétní stupnici W (tj. W1,W2 nebo W3) poskytuje 9
koncový výstup diagramu rizika úroveň integrity bezpečnosti E/E/PE systému souvisejícího s bezpečností (tj. 1, 2, 3 nebo 4) a u daného systému je mírou požadovaného snížení. Toto snížení rizika spolu s dalšími sníženími rizika získanými od jiných opatření, která jsou zároveň zohledněna mechanizmem stupnic W, poskytuje nutné snížení rizika pro danou situaci. Tab. 3: Vzorové údaje pro sestavení diagramu rizika Zdroj: [2] Rizikový parametr C1 C2 Následek (C)
Četnost a doba vystavení v nebezpečné oblasti (F)
C3 C4 F1
Klasifikace Menší zranění Zranění jedné nebo více osob s trvalými následky, smrt jedné osoby Smrt několika osob Smrt velkého počtu osob
F2
Vzácné až častější vystavení v nebezpečné oblasti Časté až trvalé vystavení v nebezpečné oblasti
P1 P2
Možné za určitých podmínek Téměř nemožné
W1 W2 W3
Velmi malá pravděpodobnost Malá pravděpodobnost Poměrně vysoká pravděpodobnost
Možnost se nebezpečné události vyhnout (P)
Pravděpodobnost nežádoucího výskytu (W)
10
Pozn. Systém klasifikace je vytvořen pro posouzení zranění nebo smrti osob. Pro hodnocení materiálních škod a škod na životním prostředí je nutné vytvořit jiné klasifikační schémata. Musíme brát v úvahu následky nehod a jejich vyléčení. Parametr zohledňuje: -četnost a dobu, po kterou jsou osoby vystaveny nebezpečí. Parametr zohledňuje: - upozornění obsluhy, že systém selhal - možnost zabránit nebezpečné události za určitých podmínek - dostatečná doba k zabránění nebezpečné události Účelem činitele W je odhad četnosti nežádoucího výskytu bez přidání jakýchkoliv systémů souvisejících s bezpečností, ale včetně všech vnějších prostředků pro snížení rizika. V případě malých zkušeností s EUC se může odhad činitele W provést výpočtem. Pak musíme provést předpověď nejhoršího případu.
Obr. 3: Diagram rizika Zdroj: [2]
7. Příklad využití diagramu rizika pro stanovení míry integrity bezpečnosti Metoda diagramu rizika byla použita pro určení úrovně rizika u modulu automatického vedení vlaku (AVV). Systém automatického vedení vlaku (AVV) je určen pro automatizaci řízení kolejových vozidel na tratích Českých drah. Soubor zařízení systému AVV se skládá z funkční (mobilní), traťové a datové části [1]. Mobilní část systému AVV tvoří řídicí počítač, snímače signálů traťových informačních bodů, zadávací klávesnice a displej na stanovišti strojvedoucího. Jádrem řídicího počítače jsou výkonné mikroprocesory. Traťovou část tvoří soubor adresných traťových informačních bodů. Adresná informace je kódována v zabezpečeném kódu a je přenášena na vozidlo pomocí stejnosměrného magnetického pole. Datová část (tzv. Route Map) obsahuje popisy tratí a data z jízdních řádů vlaků a je uložena v mobilní části zařízení (v paměťovém poli řídicího počítače). Systém AVV poskytuje mimo funkce ručního řízení vozidel ještě funkci řízení vozidla s automatickou regulací rychlosti jízdy (základní režim řízení vozidla) a funkci automatického cílového brzdění a vedení vlaku. Tento systém také umožňuje optimalizovat spotřebu trakční energie při jízdě vlaku. 11
Systém automatického vedení vlaku realizuje řadu dílčích funkcí. Jednotlivé funkce, resp. jejich selhání, představují různou míru rizika. Proto je nutné provést analýzu rizika jednotlivých funkcí systému, která umožní identifikovat funkce AVV, u kterých v důsledku poruchy je riziko v nepřípustné oblasti [1]. Po provedení analýzy je nutné u některých funkcí provést redukci rizika pomocí dalších technických opatření. Je nutné např. zvýšit diagnostické pokrytí pro identifikaci náhodných poruch hardware, nebo systém navrhnout jako redundantní. Navržené technické opatření vedoucí k redukci rizika jsou klasifikovány pomocí stupně úrovně integrity bezpečnosti (SIL). Úroveň bezpečnosti bezpečnostních funkcí (Safety Integry Level – SIL) je vyjádřena číslem z intervalu 1 až 4 Vyšší číslo značí vyšší úroveň integrity bezpečnosti. Čím nebezpečnější mohou být důsledky poruchy bezpečnostních funkcí, tím vyšší musí být stanovená úroveň bezpečnosti. Příklad klasifikace úrovně rizika a stanovení parametru úrovně integrity bezpečnosti jsou uvedeny v Tab. 4 a na Obr. 4. Při hodnocení úrovně rizika je nutné zahrnout i vliv lidského činitele, v tomto případě strojvedoucího. Tab. 4: Vzorové údaje pro sestavení diagramu rizika Zdroj: Autor
Funkce:
4_CRV
Regulace záporného poměrného tahu na základě požadavku (hl. jízdní páka, modul ARR).
Příčina poruchy:
LOG_01
Ztráta signálu při přenosu a zpracování v bloku logiky.
Diagram rizika – parametry rizika Parametr
Kategorie
Následek (C)
C3
Režim vyžádání (F)
F2
Možnost vyhnutí nebezpečné události (P)
P1
Pravděpodobnost výskytu (W)
W1
Zdůvodnění Porucha může v krajním případě způsobit vykolejení vozidla (zranění osob – C2) nebo projetí návěsti Stůj, nebezpečí srážky vozidel (smrt několika osob – C3). Volí se závažnější následek. Funkce regulace záporného poměrného tahu je trvalá funkce modulu UniAVV. Není-li funkce regulace záporného poměrného tahu k dispozici (vlak nebrzdí), strojvedoucímu je tato situace signalizována (tlak v hlavním potrubí), může situaci zabránit (použití rychlobrzdy) a má k tomu dostatečný čas (účinek rychlobrzdy je vyšší než při provozním brzdění). Velmi malá pravděpodobnost z důvodu využití elektronických systémů.
12
W3
W2
W1
C1
C2
F1 F2
C3
F1 F2
C4
F1 F2
P1 P2 P1 P2 P1 P2 P1 P2
Obr. 4: Příklad přiřazení úrovně integrity bezpečnosti (SIL) funkci systému AVV
Z Obr. 4 vyplývá, že pro posuzovanou funkci je dostačující pro snížení rizika technické opatření na úrovni integrity bezpečnosti SIL1.
8. Kvalitativní metody důkaz bezpečnosti Postup použití kvantitativní metody bude demonstrován pro snímač magnetických informačních bodů (MIB), který je součástí modulu automatického vedení vlaku a jeho funkcí je přenos informace o okamžité poloze vlaku.
9. Použitá architektura a výpočetní model Tolerovaná intenzita nebezpečí (THR) je dle ČSN EN 50129 předpokládaná pravděpodobnost režimu poruchy, které má být dosaženo z hlediska požadavku integrity bezpečnosti. Stanovena je pravděpodobností nebezpečné poruchy za hodinu (u režimu provozu s vysokým nebo trvalým vyžádáním). Výpočet THR je založen na těchto předpokladech: • intenzity poruch součástí jsou během inherentní doby života (životnosti) systému konstantní, 13
• každý kanál (u vícekanálové architektury) má stejné diagnostické pokrytí a intenzitu poruch. Tento předpoklad je splněn, pokud jsou oba kanály konstrukčně shodné, jsou stejně zatížené a splňují podmínku funkční i procesní nezávislosti. V souladu s definicí je THR určeno vztahem:
PFDSYS tC
THR =
[h ] −1
(1.)
kde: PFDSYS je pravděpodobnost vzniku nebezpečné poruchy [-] tC
je inherentní doba života systému (subsystému), t.j. plánovaná životnost [h]
Architektura 1oo1 – tuto architekturu tvoří jediný kanál, kde jakákoliv nebezpečná porucha znamená poruchu bezpečnostní funkce. Odolnost proti vadám hardware N=0. Kanál
Diagnostika
Obr. 5: Blokové schéma architektury 1oo1
Výpočtový model pro architekturu 1oo1 vychází z Obr. 5.
λDU
λDD
Intenzita nebezpečných
Intenzita nebezpečných -1
diagnostikovaných poruch
nediagnostikovaných poruch [h ]
[h-1]
λD [h-1]
Obr. 6: Blokové schéma bezporuchovosti 1oo1
Uvažujeme, že kanál je složen ze dvou bloků, kde jeden blok má intenzitu nebezpečných nediagnostikovaných poruch λDU, a druhý blok intenzitu nebezpečných diagnostikovaných poruch λDD. Celková intenzita nebezpečných poruch λD je daná vztahem:
λ D = λ DD + λ DU kde:
[h ] −1
(2.)
λD je intenzita nebezpečných poruch [h-1], 14
λDD je intenzita nebezpečných diagnostikovaných poruch [h-1], λDU je intenzita nebezpečných nediagnostikovaných poruch [h-1]. Každý blok bude jistou mírou přispívat k ekvivalentní době prostoje kanálu tce, tj. k době, kdy z důvodu poruchy kanálu nemůže být požadovaná bezpečnostní funkce realizována. První blok představuje příspěvek doby, po kterou může vzniknout nebezpečná diagnostikována porucha během intervalu diagnostického testu tD. Druhý blok představuje příspěvek vzniklý dobou, po kterou nemáme možnost zjistit poruchu kanálu vlivem působení nediagnostikované nebezpečné poruchy. Ekvivalentní doba prostoje se stanoví dle vztahu:
t ce = (
λ λDD ⋅ t D ) + ( DU ⋅ t c ) λD λD
[h]
(3.)
kde: tce je ekvivalentní doba prostoje kanálu [h] tD je interval provádění periodických diagnostických testů, zaměřených na zjištění nebezpečné diagnostikované poruchy [h] tc je inherentní doba života systému (subsystému) [h]. Pravděpodobnost vzniku nebezpečné nediagnostikované poruchy je za předpokladu konstantní intenzity poruch během inherentní doby života systému dána vztahem:
PFDSYS =1 − e −tce ⋅λDU 10.
[-]
(4.)
Stanovení intenzity nebezpečných poruch
Stanovení intenzity nebezpečných poruch bude provedeno zkouškou spolehlivosti v provozních podmínkách. Zkoušky spolehlivosti se provádějí podle tzv. zkušebních plánů, které představují soubor pevných pravidel definující průběh a způsob ukončení zkoušky na zkušebním vzorku. Lze rozlišit dva základní typy zkušebních plánů: • •
r-plán – zkušební plán cenzurovaný počtem poruch, t-plán – zkušební plán cenzurovaný dobou trvání zkoušky. Provedení zkoušky spolehlivosti elektronických systémů se nejčastěji provádí podle
t-plánů, kdy pro dobu zkoušky je vymezen určitý čas. Zkouška spolehlivosti podle tplánu Zkouška je limitována zvolenou dobou zkoušky a náhodnou veličinou je počet poruch, které se u zkoušených výrobků vyskytnou. Výrobky po poruše se buď nenahrazují, nahrazují 15
nebo opravují. Souboru údajů, které získáme t-plánem, se označují jako cenzurované sobory II. typu nebo cenzurované dobou trvání zkoušky. Zkoušku spolehlivosti podle t-plánu lze využít i v případech, kdy je pro zkoušku vymezen pouze malý počet výrobků, nebo v průběhu zkoušky nedojde k žádné poruše zkoušených výrobků. Konfidenční úroveň zkoušky spolehlivosti Ukazatelé spolehlivosti, získané zkouškou spolehlivosti, mohou být vyjádřeny ve formě konkrétních hodnot parametrů určitého typu rozdělení náhodné veličiny, nebo formou číselných charakteristik náhodné veličiny, např. střední hodnota. Mohou být vyjádřeny jako bodový nebo intervalový odhad. Bodový odhad představuje jedinou číselnou hodnotu parametru spolehlivosti. Vychází z konkrétních dat náhodného výběru, a proto pro různé výběry se tato hodnota bude lišit. Přesnost bodového odhadu vzrůstá s rostoucím rozsahem výběru, tedy s rostoucím počtem výrobků, které jsou pro zkoušku spolehlivosti k dispozici. Naproti tomu intervalový odhad charakterizuje ukazatel spolehlivosti celé populace, tedy všech vyrobených výrobků. Tento odhad představuje interval, ve kterém se ukazatel spolehlivosti s předem stanovenou pravděpodobností nachází. Konfidenční úroveň tedy představuje pravděpodobnost, s jakou se daný ukazatel spolehlivosti nachází v předem stanovených mezích, t.j. v konfidenčním intervalu. Konfidenční interval pak představuje interval, ve kterém se nachází ukazatel spolehlivosti, a z hlediska jeho mezí může být konstruován jako oboustranný, nebo jednostranný (má pouze jednu mez).
16
f( θ )
0,9
0,05
0,05
TD
TS
TH
θ [h]
Obr. 7: Oboustranný konfidenční interval f( θ )
f( θ )
0,95
0,95
0,05
0,05
TD
θ [h]
TH
θ [h]
Obr. 8: Jednostranný konfidenční interval (levostranný, pravostranný)
Vyhodnocení zkušebních plánů Cílem vyhodnocení zkušebních plánů je stanovení parametrů rozdělení základního souboru, a to z odhadu zjištěného při zkoušce. Při odhadu parametru rozdělení a stanovení potřebného rozsahu zkoušky se s výhodou využije statistika, která vyjadřuje vztah mezi parametry odhadu a základního soboru. Pro tuto statistiku platí, že je odvozena z chí-kvadrát rozdělení, která vznikla součtem kvadrátů normovaných normálních rozdělení.
17
Pak lze stanovit např. dolní mez parametru základního souboru, kterým může být střední hodnota, jako:
TSD = TˆSD ≥ kde:
2 ⋅ TAKU
(5.)
χ 22ν ,C
TSD
– dolní odhad střední hodnoty [h],
TAKU
–
akumulovaný pracovní čas zkoušky [h],
χ 22ν ,1−α – hodnota chí-kvadrát rozdělení pro 2ν stupňů volnosti na úrovni ν C
konfidence 1 - α, – počet stupňů volnosti: ν = (r + 1), r – počet poruch při zkoušce, – hladina významnosti (pravděpodobnost, že hodnota ukazatele spolehlivosti leží uvnitř stanovených mezí).
Vyhodnocení zkoušky spolehlivosti snímače MIB Vstupní požadavky na vyhodnocení zkoušky dle ČSN EN 61508: -
konfidenční úroveň minimálně 70%, jednostranná dolní mez, (ČSN EN 61508-2, čl.7.4.7.4),
-
minimální doba zkoušky 1 rok, (ČSN EN 61508-2, čl.7.4.7.9),
-
systém je kategorizován jako TYP A, (ČSN EN 61508-2, čl.7.4.3.1.2), Prokázání intenzity nebezpečných poruch snímačů magnetických informačních bodů
(MIB) je provedeno provedením ověřovací zkoušky spolehlivosti, vycházející z dat z provozu těchto snímačů u elektrických jednotek řady 471. Započitatelná porucha při zkoušce spolehlivosti byla určena jako chybné přečtení kódu místního informačního bodu. Tato porucha může způsobit vznik nebezpečné události. Ve zkoušce spolehlivosti bylo zahrnuto 12 kusů snímačů MIB, každý byl v provozu déle než jeden rok. U snímačů zařazených do zkoušky spolehlivosti se po dobu jejího trvání nevyskytla žádná započitatelná porucha. Ověřovací zkouška spolehlivosti je provedena podle t-plánu, je tedy cenzurovaná dobou trvání zkoušky. Akumulovaný pracovní čas zkoušky TAKU představuje součet doby činnosti jednotlivých snímačů MIB u sledovaných vozidel a je tedy dán: 12
TAKU = ∑ ti = 142 656 h i =1
18
Hodnota chí-kvadrát rozdělení χ 22ν ,1−α je určena pro počet stupňů volnosti 2ν =2, konfidenční úroveň 0,7. Dolní odhad střední doby do poruchy pro výše uvedenou zkoušku je pak dán: 2 ⋅ 142656 TSD ≥ = 118 488 h 2,408 Za předpokladu exponenciálního rozdělení pravděpodobnosti dob do poruchy platí mezi střední hodnotou TS a intenzitou nebezpečných poruch λD vztah: 1 [h-1] λD = (6.) TS Potom dolní odhad intenzity nebezpečných poruch λD je dán: 1 λD ≤ = 8,44 ⋅ 10 −6 h −1 118488 Výpočet THR snímače Je použita architektura 1oo1, požadavky odpovídající integritě bezpečnosti na úrovni SIL 2 (stanovené s využitím diagramu rizika) jsou uvedeny v Tab. 5 a skutečně dosažené hodnoty v Tab. 6. Tab. 5: Požadavky na snímač MIB Požadavek SIL:
SIL2
Požadavek THR (dle ČSN EN 50129, tab. A1):
10-7 až 10-6
Odolnost proti vadám hardware:
0
Posouzení snímače MIB je provedeno dle výpočtových vztahů odpovídajících modelu architektury 1001. Tab. 6: Dosažené hodnoty snímače MIB Hodnota
Název parametru
parametru
Poznámky
Intenzita nebezpečných poruch λD [h-1]
8,44E-06
Intenzita nebezpečných diagnostikovaných poruch λDD [h-1]
8,36E-06
Intenzita nebezpečných nediagnostikovaných poruch λDU [h-1]
8,44E-08
Interval diagnostického testu t [h]
12
Při zapnutí řízení vozidla
Inherentní doba života subsystému tc [h]
50000
Životnost subsystému
Ekvivalentní doba prostoje tce [h]
5,12E+02
Pravděpodobnost nebezpečných poruch PFDSYS [-]
4,31E-03
Tolerovaná intenzita nebezpečí THR [h-1]
8,62E-08
Zkouška spolehlivosti
Poznámka: Inherentní doba života systému (subsystému) tC představuje celkovou životnost AVV uváděnou výrobcem. 19
11.
Závěr
Při posuzování funkční bezpečnosti se používají kvantitativní i kvalitativní metody. Prvně jmenované metody se uplatní zejména v počátečních etapách životního cyklu výrobku, kdy zpravidla chybí číselné charakteristiky spolehlivosti vyvíjeného systému, hledá se vhodná architektura, to vše s ohledem na provedené analýzy rizika. Jakmile jsou tyto fáze ukončeny, je nutný přechod ke kvantitavním metodám. U technických systémů, které jsou v naprosté většině případů složeny z více objektů, má z hlediska funkční bezpečnosti velký význam jak počet a uspořádání prvků, které systém tvoří, tak také kvalita jejich provedení a vazby mezi jednotlivými částmi systému. Blokové diagramy bezporuchovosti (RBD – Reliability Block Diagram) se využívají k zobrazení funkčního modelu systému, na jehož základě je možné určit vybrané ukazatele spolehlivosti. Tato metody byla použita k hodnocení parametrů snímače MIB. Na rozdíl od výše uvedeného blokového diagramu bezporuchovosti, který vychází z provozuschopného stavu systému, se metoda stromu poruch FTA zabývá hodnocením poruchových stavů systémů. Hodnocení funkční bezpečnosti s využitím FTA obvykle využívá konstantních, na čase nezávislých, hodnot pravděpodobností. Použití této metody je vhodné pro složité komplexní systémy, kdy mohou být do hodnocení zahrnuty také vnější vlivy působící na systém, např. chyba lidského faktoru, provádění údržby a oprav.
Literatura [1] FAMFULÍK, J. KRZYŽANEK, R. MÍKOVÁ, J. Analýza rizika modulu automatického vedení vlaku UniAVV. Dílčí řešitelská zpráva projektu FT – TA4/036. Ostrava, 2009. [2] ČSN EN 61508 Funkční bezpečnost elektrických/elektronických/programovatelných elektronických systémů. Český normalizační institut, Praha, 2002. [3] FAMFULÍK, J.; MÍKOVÁ, J. Příspěvek k analýze rizika modulu automatického vedení vlaku. In „Perner´s Contacts“, vol. 2009, č. 3, s 67-74, ISSN 1801-674X Dostupné na:
.
Kontakt Ing. Jan Famfulík, Ph.D., Institut dopravy, Fakulta strojní, VŠB‐TU Ostrava 17. listopadu 15, 708 33 Ostrava‐Poruba, Tel.: +420 59 732 4553 [email protected]
20
Videoanalýza konfliktních situací jako nástroj pro snižování dopravní nehodovosti Ing. Vladislav Křivda, Ph.D. – Katedra dopravního stavitelství, Fakulta stavební, VŠB-TU Ostrava
1. Úvod Bezpečnost silničního provozu je jedním z významných problémů moderní společnosti. Dopravní nehodovost, tragická daň pohodlnosti a rychlosti dnešního života, je stále diskutována na všech úrovních. Bohužel nutno konstatovat, že v mnoha případech se nebezpečné lokality v silničním provozu řeší, až v době, kdy už je příliš pozdě a dojde k vážné dopravní nehodě. Je nutné si uvědomit, že dochází jednak k újmě lidské (zranění, pozůstalí) a jednak k újmě ekonomické (cena lidského života ukončeného dopravní nehodou se dnes již pohybuje přes 10 milionů Kč, přičemž některé zdroje uvádějí až 3 mil. $). Vývoj dopravní nehodovosti v České republice, jak je ukázán v tabulce 1 a na obrázcích 1 a 2, je zpracován na základě údajů systému počítačové evidence nehod v silničním provozu Policejního prezidia České republiky (viz [1]). Od 1. 1. 1979 podléhají statistickému sledování všechny nehody v silničním provozu, které byly dopravní policii nahlášeny. Od 1. 1. 2001 jsou však ve statistice vedeny pouze dopravní nehody, které byly Policii České republiky nahlášeny. Povinnost hlásit dopravní policii nehodu je až při škodě převyšující 20.000 Kč, nebo dojde-li ke zranění nebo usmrcení, nebo ke škodě na majetku třetí osoby. Od 1. 7. 2006 se hranice povinnosti hlásit dopravní nehodu zvýšila na 50.000 Kč a od 1. 1. 2009 na 100.000 Kč [1]. Z uvedeného je zřejmé, že srovnávací statistiky dopravní nehodovosti za jednotlivé roky jsou mnohdy značně zkreslené (viz například výrazné snížení počtu dopravních nehod v roce 2009). Dále je nutno podotknout, že pro účely statistických přehledů se za usmrcenou osobu považuje osoba, která zemře na místě nehody, při převozu do nemocnice nebo nejpozději do 24 hodin po dopravní nehodě.
21
Tab. 1 Vývoj dopravní nehodovosti v ČR v letech 1993 – 2009 Rok 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009
Počet nehod 152 157 156 242 175 520 201 697 198 431 210 138 225 690
Lehce zraněno 26 821 29 590 30 866 31 296
211 516 185 664 190 718 195 851 196 484 199 262 187 965 182 736 160 376 74 815
30 155 29 225 28 747
Těžce zraněno 5 629 6 232 6 298 6 621 6 632
Usmrceno 1 355 1 473 1 384 1 386 1 411
6 152 6 093
1 204 1 322
27 063 28 297 29 013 30 312 29 543
5 525 5 493 5 492 5 253 4 878
1 336 1 219 1 314 1 319 1 215
27 974 24 231 25 382 24 776 23 777
4 396 3 990 3 960 3 809 3 536
1 127 956 1 123 992 832 Zdroj: [1] – upraveno
Zdroj: [1]
Obr. 1 Vývoj dopravní nehodovosti v ČR v letech 1980 – 2009
22
Zdroj: [1]
Obr. 2 Vývoj dopravní nehodovosti v ČR v letech 1990 – 2009
Dopravním nehodám je tedy potřeba pokud možno předcházet. Mnohdy stačí odstranit drobné skryté faktory, které se za určitých podmínek mohou projevit jako faktory dopravních nehod. Jinými slovy: dopravní projektant nikdy nemůže s naprostou jistotou své dopravní řešení považovat za naprosto bezpečné a vyhovující. Právě sledování konfliktních situací jej může ujistit o jeho nezávadnosti. Problematikou sledování a hodnocení chování účastníků silničního provozu se autor zabývá již přes deset let a o některých zkušenostech a výsledcích pojednává tento text.
2. Pojem „Konfliktní situace“ Na úvod si ovšem nejprve definujme pojem Konfliktní situace. Jde o takový okamžik a situace v silničním provozu, kdy vzniká (nebo může vzniknout) pro některé jeho účastníky větší než obvyklá míra nebezpečí. Každé dopravní nehodě předchází konfliktní situace. Dopravní nehoda je vlastně důsledek takové konfliktní situace, kdy se nepodařilo míru nebezpečí střetu vozidla s okolím odvrátit. Konfliktní situace jsou tedy potenciální nehodové situace. První zmínka týkající se sledování konfliktních situací [2] sahá do 60. let 20. století. Již v roce 1968 pánové S. R. Perkins a J. J. Harris z General Motors vyvinuly metodu sledování konfliktních situací na křižovatkách. Prováděli vizuální pozorování a záznam situací, odehrávajících se na vstupních ramenech křižovatek. Zaznamenávali takové situace, kdy došlo buď k prudkému brzdění (evidováno rozsvícením brzdových světel) nebo k prudkému 23
vybočení z jízdního pruhu jednoho z účastníků konfliktu. Šlo o pozorování tzv. „skoronehod“, tj. situací hrozících bezprostředně střetem dvou účastníků provozu. V 70. letech 20. století uvedeným postupem se zabývali dále Bennet, Baker, Hayward, Rustam a Sabey. Inspirován výše uvedenou metodikou vyvinul v roce 1972 vlastní metodiku sledování konfliktních situací doc. Ing. Jan Folprecht, Ph.D. (tehdy Ústav silniční a městské dopravy v Praze) [7]. Zvolil tři stupně závažnosti konfliktních situací: -
1. nejnižší stupeň – situace, které lze považovat za potenciální konfliktní situace, tj., kdy jde o porušování dopravních předpisů v té chvíli osamoceným účastníkem dopravy (tzn. bez přítomnosti jiných, které by mohla taková akce ohrozit) 2. stupeň – situace, kdy lze pozorovat narušení plynulosti provozu, tzn. anomálie, které nevyvolávají násilnou reakci, ale váhání, agresivita či prosté chybné jednání je zřejmé a má za následek reakci dalších účastníků 3. nejvyšší stupeň – situace, kdy jedině prudká úhybná akce (ostré brzdění nebo náhlé vybočení) zamezí střetu
V ostatních případech již dojde k dopravní nehodě, což je mnohdy označováno jako 4. stupeň závažnosti.
3. Statická metoda sledování konfliktních situací Pozorované konfliktní situace začal doc. Folprecht zaznamenávat trojmístným klasifikačním symbolem, který je složen z číslice (udává účastníky konfliktní situace), písmene (resp. písmen – udává způsob vzniku konfliktní situace) a opět číslice (udává závažnost konfliktní situace). První znak trojmístného klasifikačního symbolu obsahuje tyto kategorie [2]: -
1 ... chodec, 2 ... automobil, 3 ... tramvaj, 4 ... chodec x automobil 5 ... chodec x tramvaj 6 ... automobil x automobil 7 ... automobil x tramvaj 8 ... tramvaj x tramvaj 9 ... jiný (cyklista, ...)
Druhý znak klasifikačního symbolu může obsahovat jeden nebo více znaků a to podle potřeby co nejpodrobněji popsat způsob vzniku konfliktní situace. Obsah tohoto symbolu se neustále vyvíjí (viz např. [2], [3], [6] a [12]), resp. může být doplněn podle potřeby. Jako příklad si uveďme některé z nich: -
B ... možnost střetu s protijedoucím 24
-
D ... možnost střetu najetím zezadu č ... vjezd (vstup) na červenou ch ... zavinil chodec v ... zavinilo vozidlo
Třetí znak klasifikačního symbolu označuje závažnost konfliktu podle stupňů uvedených výše, tzn. čísly 1 až 3, resp. 4 (dopravní nehoda). Uveďme si příklad klasifikačního symbolu – 4v2, kde číslo 4 označuje konfliktní situaci mezi chodcem a automobilem (znak 4), kterou zavinil řidič automobilu (znak v) a která si nevyžádala násilnou reakci (znak 2). Postup při sledování konfliktních situací Folprechtovou videoanalýzou lze rozdělit do tří kroků [2]: 1. Pořízení videozáznamu vybraného místa z co nejvýše možného stanoviště. Je vhodné využít časovou značku (pro lepší orientaci během následného vyhodnocování) a audiozáznam (slovní komentář pořízený běhen pořizování videozáznamu, který opět pomůže při následném vyhodnocování). Statistický průkazný soubor konfliktních situací lze získat již z jednohodinového záznamu. 2. Vyhodnocení obrazového záznamu se provádí v zatemněné místnosti, přičemž je vhodné, aby záznam sledovalo více osob současně. Urychlí se tak zpracování a výsledky vyhodnocování jsou objektivnější). Doba sledování obrazovky by neměla přesáhnout 3 hodiny, poté se již snižuje pozornost. Záznam je možno pozastavit, zpomalit a opakovat. 3. Posledním krokem je analýza získaných dat a návrh opatření. Výsledné počty jednotlivých druhů konfliktních situací lze sčítat v rámci jejich kategorií a jejich četnost vztahovat k intenzitám dotyčných (nebo veškerých) dopravních proudů. Zanesením značek do půdorysného schématu dotyčné lokality (viz také obrázky v další části tohoto příspěvku) se velmi dobře ozřejmí místa jejich kumulací a tím i jejich příčiny. Z toho lze pak vyvodit i formu možných opatření, které by uvedenému chování zabránily. Jako veličinu, která dá určitou představu o míře nebezpečnosti provozu na daném místě, použil doc. Folprecht ukazatel relativní konfliktnosti kR, který udává počet konfliktních situací na 100 vozidel, resp. na 100 chodců. Ukazatel relativní konfliktnosti kR se určí takto:
kR =
PKS .100 [KS / 100 vozidel ] I
kde: -
PKS – počet konfliktních situací (KS) za hodinu (pouze konfliktní situace, které se odehráli mezi dvěma více účastníky) [KS.h-1] I – hodinová intenzita v jednotkových vozidlech [j.v./h]
Nutno podotknout, že autor tohoto textu učinil po dohodě s autorem výše uvedené metodiky změnu jejího názvu. Komplikovaný, byť výstižný název „Sledování a hodnocení 25
chování účastníků silničního provozu pomocí videoaparatury“ byl změněn na „Folprechtova videoanalýza konfliktních situací“. Rovněž se začalo hovořit o této metodě jako tzv. statické videoanalýze a to z důvodu vzniku tzv. dynamické videoanalýze (viz dále). S laskavým svolením doc. Folprechta autor tohoto textu využívá Folprechtovu videoanalýzu v rámci své odborné i pedagogické činnosti a dále tuto metodiku rozvíjí (viz další kapitola). Využití a přínos Folprechtovy videoanalýzy konfliktních situací je zcela jednoznačný. S její pomocí lze přenést reálnou dopravní situaci z ruchu ulice do klidu kanceláře dopravního inženýra a tam ji analyzovat kolektivně a také opakovaně a třeba i zpomaleně. Eliminují se tak rušivé vlivy silničního provozu (hluk, prach, emise, vibrace, intenzita provozu atp.) a počasí (teplota, vítr, déšť atp.). Ze záznamu se dají zjišťovat a zaznamenávat také další základní charakteristiky dopravního provozu v daném místě, tj. zejména intenzita a složení dopravních proudů apod.
4. Nové pohledy na členění konfliktních situací Jako každá metodika, tak i Folprechtova videoanalýza konfliktních situací si vyžádala v jistých směrech inovaci (např. [3] a [6]). Drtivá většina pozorování byla prováděna na křižovatkách různých typů. Jako první bylo nutno přistoupit k rozlišení, zda ke konfliktní situaci došlo v souvislosti s provozem na dané křižovatce anebo byla ovlivněna dopravní situací v blízkém okolí sledované křižovatky. Podle příslušnosti k místu vzniku byly konfliktní situace rozděleny následovně: -
vlastní konfliktní situace – konfliktní situace, které souvisí přímo s provozem na křižovatce (resp. sledovaném místě), s její stavebním uspořádáním apod., nevlastní konfliktní situace – konfliktní situace, které jsou ovlivněny jinými situacemi vzniklými mimo sledované místo a nesouvisejícími přímo se samotným místem (např. vliv jiné blízké křižovatky).
Mnohé situace byly takového rozsahu, že vyvolaly další (svým charakterem mnohdy odlišné) konfliktní situace, které by se za normálních okolností vůbec neudály. Konfliktní situace bylo tedy potřeba rozčlenit dále na: -
prvotní konfliktní situace – konfliktní situace, které nejsou vyvolány jinou situací, následné konfliktní situace – konfliktní situace, které jsou vyvolány jinou situací (zpravidla prvotní nebo jinou následnou).
26
Další změnu prodělal rovněž samotný ukazatel relativní konfliktnosti kR, který ve své původní podobě nezohledňuje závažnosti sledovaných konfliktních situací. Byl tedy zaveden nový koeficient nazvaný jako ukazatel vážené relativní konfliktnosti kRV, který se určí takto: kR =
PKS .K Z .100 [KS / 100 vozidel ] I
KZ je pak koeficient závažnosti konfliktní situace a lze jej určit například takto: -
závažnost konfliktní situace stupně 1 ... KZ = 1 závažnost konfliktní situace stupně 2 ... KZ = 3 závažnost konfliktní situace stupně 3 ... KZ = 6
a pro všechny typy konfliktních situací pak: n
KSi
.K Zj
PKS1.K Zj + PKS 2 .K Zj + K + PKSn .K Zj
.100 [KS / 100 voz.] I I i ...... počet konfliktních situací stejného typu (i= 1, 2, ..., n) k RV =
kde
∑P i =1
.100 =
j ...... závažnost konfliktní situace (j = 1 nebo 2 nebo 3) (KZ1 = 1, KZ2 = 3, KZ3 = 6 – viz dříve) Uveďme si několik příkladů z mnoha měření, která byla v rámci sledování konfliktních situací provedena. Snad nejsledovanějším místem podrobeným pozorování je křižovatka na Prokešově náměstí v Ostravě (Sokolská třída – ul. 30. dubna). Výhodou byla možnost využití blízké radniční věže, ze které byl z výšky 72,59 m pořizován videozáznam. Již v roce 1997 (kdy tato křižovatka byla průsečná) provedl autor metodiky (doc. J. Folprecht) první měření – viz obr. 3. Vysledovaný ukazatel relativní konfliktnosti se tehdy pohyboval v rozmezí okolo 2,5 KS/100 vozidel.
Zdroj: [2], [8]
Obr. 3 Sledování konfliktních situací na Prokešově náměstí – rok 1997
27
V roce 1998 byla křižovatka přestavěna na malou okružní křižovatku a byla tedy provedena srovnávací měření (autor Ing. V. Křivda, Ph.D.) a to v letech 1999 a 2003 (obr. 4). Ukazatel relativní konfliktnosti se výrazně snížil na hodnoty cca 0,3 KS/100 vozidel. Více viz [3].
Zdroj: [2], [3]
Obr. 4 Sledování konfliktních situací na Prokešově náměstí – rok 1999 a 2003
Další měření byla provedena v letech 2006 a 2007 (autoři Ing. V. Křivda, Ph.D. a Ing. L. Šíma) – viz obr. 5. Zde byl sledován nárůst počtu konfliktních situací na cca 5 KS/100 vozidel. Tyto situace byly však většinou nevlastní, tzn. byly ovlivňovány provozem na asi 150 m blízké světelně řízené křižovatce.
Zdroj: [2], [9]
Obr. 5 Sledování konfliktních situací na Prokešově náměstí – rok 2006 a 2007
V roce 2010 byly pro účely videoanalýzy konfliktních situací pořízeny další dva záznamy na výše zmíněné křižovatce na Prokešově náměstí a dále na těchto okružních křižovatkách: -
okružní křižovatka Jeremenkova-Přemyslovců, Nový Jičín, okružní křižovatka Přemyslovců-Sokolovská-Palackého, Nový Jičín, okružní křižovatka Msgr. Šrámka-Sokolovská-Štefánikova, Nový Jičín, okružní křižovatka Sokolovská-Bezručova-Zborovská-gen. Hľaďo, Nový Jičín, 28
-
okružní křižovatka Máchova-Zborovská-Karla Kryla, Nový Jičín, okružní křižovatka na ul. Hřbitovní u OD Tesco, Valašské Meziříčí, okružní křižovatka v areálu nákupní zóny u OD Tesco, Valašské Meziříčí, okružní křižovatka Hulince-Masarykova-Hřbitovní, Valašské Meziříčí, okružní křižovatka Rožnovská-Masarykova-Nádražní, Valašské Meziříčí, okružní křižovatka Masarykova-Zašovská-Vsetínská-Křižná, Valašské Meziříčí, okružní křižovatka Žerotínova-Vsetínská-Sokolská, Valašské Meziříčí, okružní křižovatka U Nádraží-Orlovská-Hlavní třída-U Motelu-OstravskáŽelezničářů, Havířov, okružní křižovatka Železničářů-U Nádraží, Havířov, okružní křižovatka na silnici I/56 u OD Tesco, okružní křižovatka Ryšavého-Pod Chodovem-Roztylská-U Kunratického lesa, PrahaChodov, okružní křižovatka Havlíčkova-Polepská-Jaselská-U Křižovatky-Dukelských hrdinů, Kolín, okružní křižovatka na ul. Pražská u OD Lidl, Kolín.
Na výše uvedených křižovatkách byly pořízeny videozáznamy, které jsou v současné době analyzovány. V době zpracování tohoto textu ještě výsledky videoanalýzy nebyly k dispozici, dokončení se předpokládá na období podzim/zima 2010. Videozáznamy byly pořízeny za finanční podpory projektu výzkumu a vývoje č. CG911-008-910 „Vliv geometrie stavebních prvků na bezpečnost a plynulost provozu na okružních křižovatkách a možnost predikce vzniku dopravních nehod“ Ministerstva dopravy ČR [12]. Výsledky videoanalýz budou součástí závěrečné zprávy tohoto projektu. Jako další příklady sledovaných lokalit, kde byla využita Folprechtova videoanalýza (mnohé z nich v rámci bakalářských a diplomových prací na Fakultě strojní a Fakultě stavební, VŠB-TU Ostrava), si jmenujme například (výběr): -
křižovatka Nádražní-Mariánskohorská, Ostrava, křižovatka Sokolská třída-Českobratrská, Ostrava, ul. Českobratrská v úseku ulic Nádražní a Sokolská tř., Ostrava, křižovatka Výškovická-Čujkovická-Volgogradská, Ostrava, křižovatka Jejkovského brána-Smila Osovského-Bedřicha Václavka-Soukenická, Třebíč, průtah městem Otrokovice (silnice I/55), křižovatka Hladnovská-Michálkovická-Keltičkova, Slezská Ostrava, ul. Ostravská v úseku mezi křižovatkami Hlavní třída-Janáčkova-FrýdlantskáOstravská a J. Opletala-Ostravská-17. listopadu, Frýdek-Místek, křižovatka Slezská-Staroměstská, Frýdek-Místek, křižovatka silnic I/55 a II/432 u města Hodonín, 29
-
průtah městem Hlučín (silnice I/56), úsek mezi křižovatkami Opavská-OstravskáCelní a Opavská-Čs. armády, průtah městem Bílovec (silnice I/47), křižovatka Dolní-Kralická (U Rodenů), Prostějov, křižovatka 17. listopadu-Bedřicha Nikodéma, Ostrava-Poruba, křižovatka 17. listopadu-Rudná, Ostrava-Poruba, křižovatka Francouzská-Polská, Ostrava-Poruba, křižovatka Nad Porubkou-rampa F (k ul. Rudná), Ostrava-Poruba/Svinov, křižovatka Závodní-Moravská, Ostrava-Hrabůvka, křižovatka Studentská-Opavská, Ostrava-Poruba, přechody pro chodce na ul. Rožnovská ve Frenštátě pod Radhoštěm, křižovatka Lázeňská-8. května-tř. A. Kašpara-Dr. Březiny, Bludov, křižovatka Porubská-Nábřeží SPB, Ostrava-Poruba, křižovatka Polanecká-výjezd na okružní křižovatku Rudná-dálnice D1, OstravaSvinov, křižovatka Výstavní-Železárenská-Průmyslová, Ostrava.
Videozáznamy vybraných konfliktních situací z některých výše uvedených lokalit lze nalézt na internetových
stránkách
http://kds.vsb.cz/krivda/di-ks
[11],
kde
budou
postupně
doplňována.
5. Dynamická metoda sledování konfliktních situací. Další inovace Folprechtovy videoanalýzy spočívala v její přeměně ze „statické“ na „dynamickou“ metodiku v roce 2007 (autoři doc. Ing. Jan Foprecht, Ph.D., Ing. Martin Blatoň a Ing. Vladislav Křivda, Ph.D.). Bylo nutné si uvědomit, že konfliktní situace nevznikají pouze na relativně malém prostoru (mějme na mysli např. křižovatku, přechod pro chodce atp.), ale také v reálném silničním provozu (např. na silnicích v extravilánu). Celá situace pak probíhá na větším prostoru, resp. delší dobu (např. při nebezpečném předjíždění). Toto vedlo k novému postoji sledování konfliktních situací a tedy k návrhu dynamické metody sledování konfliktní situací s využitím původní Folprechtovy videoanalýzy, která však musela být částečně upravena (viz dále). Rovněž měřící stanoviště již není statické, ale měření je prováděno z měřícího vozidla upraveného pro zřizování videozáznamu. Smyslem dynamické metody je tedy vztahovat konfliktní situace na intenzitu a parametry dopravní cesty (šířkové, směrové, rychlostní). Třímístný klasifikační symbol byl oproti původní statické metodě z větší části změněn ([10], [5], [4]). První část symbolu, která klasifikuje konfliktní situaci podle typu pozemní komunikace, je tvořena číslicí a to následovně: 30
-
dvoupruhová pozemní komunikace (intravilán) ... 1, čtyřpruhová směrově rozdělená pozemní komunikace (intravilán) ... 2, čtyřpruhová směrově nerozdělená pozemní komunikace (intravilán) ... 3, dvoupruhová pozemní komunikace (extravilán) ... 4, čtyřpruhová směrově rozdělená pozemní komunikace (extravilán) ... 5, čtyřpruhová směrově nerozdělená pozemní komunikace (extravilán) ... 6, dálnice (extravilán) ... 7.
Druhá část klasifikačního symbolu je tvořena písmeny s indexy a klasifikuje konfliktní situaci podle způsobu vyvolání konfliktu. Zde bylo potřeba rozdělit konfliktní situace jednak na konflikty provozní a jednak na konflikty vyvolané chybnou silniční infrastrukturou. K provozním konfliktům řadíme například tyto (výběr; viz obrázek 6): -
nedodržení maximální povolené rychlosti ... Pv nedání přednosti v jízdě ... Ppj nebezpečné předjíždění ... Ppř nebezpečné zastavení ... Pz jízda na červenou ... Pč agresivita ... Pa
Konflikty vyvolané chybnou silniční infrastrukturou jsou například tyto (výběr; viz obrázek 7): -
KS vyvolané svislými dopravními značkami ... Ssz KS vyvolané vodorovným dopravním značením ... Svz KS vyvolané stavebním uspořádáním ... Ssu KS vyvolané technickým stavem pozemní komunikace ... Sts
Třetí, poslední část klasifikačního symbolu zůstává zachována podle původní Folprechtovy videoanalýzy, tzn., že číslem (od 1 do 3, resp. 4) je označena závažnost konfliktní situace (viz výše).
31
Zdroj: [4], [5] ‐ upraveno
Obr. 6 Provozní konflikty (výběr)
Zdroj: [4], [5] ‐ upraveno
Obr. 7 Konflikty vyvolané chybnou silniční infrastrukturou (výběr)
Tato metoda je však zatím ve vývinu a tudíž není k dispozici mnoho přijatelných výsledků. Dovoluji si zde uvést výsledky (viz obrázky 8 a 9) získané pomocí dynamické 32
videoanalýzy na komunikacích v České republice a na Slovensku (viz [10] a[5]) na následujících trasách: -
Karviná – Žilina, Karviná-Hranice – Ostrava-Poruba, Ostrava-Poruba – Karviná-Hranice, Ostrava – Nošovice, Bratislava – Nitra.
Zdroj: [4], [5] ‐ upraveno
Obr. 8 Počet některých konfliktních situací zjištěných dynamickou videoanalýzou
Zdroj: [4], [5] ‐ upraveno
Obr. 9 Hodnoty koeficientu vážené relativní konfliktnosti na jednotlivých úsecích zjištěných dynamickou videoanalýzou
33
6. Závěr Závěrem nutno opět zopakovat, že je vhodné podrobit každé problémové místo v silniční síti analýze skrytých faktorů, které nelze z projektu či naopak z analýzy dopravní nehodovosti odhalit. Je zcela vhodné provádět sledování konfliktních situací na nově budovaných křižovatkách, přechodech pro chodce atp. Právě Folprechtova videoanalýza konfliktních situací má dobré využití při zvyšování bezpečnosti silničního provozu.
Literatura [1] Přehled o nehodovosti na pozemních komunikacích v České republice za rok 2009. Ředitelství služby dopravní policie Policejního prezidia České republiky, Praha, duben 2010. Dostupné on-line z URL http://www.policie.cz/clanek/statistika-nehodovosti178464.aspx (citováno 3. 8. 2010). [2] Folprecht, Jan; Křivda, Vladislav. Organizace a řízení dopravy I. 1. vyd. Ostrava: VŠB - Technická univerzita Ostrava, 2006. 158 s. ISBN 80-248-1030-1 [3] Křivda, Vladislav. Posouzení účinnosti okružních křižovatek. Disertační práce. Institut dopravy, Fakulta strojní, VŠB - Technická univerzita Ostrava. ISBN 80-248-0207-4 (autoreferát). 2003 [4] Křivda, Vladislav. Dynamická metoda sledování konfliktních situací. Silniční obzor č. 11/2007. ss 300-302. ISSN 0322-7154 [5] Křivda, Vladislav; Blatoň, Martin. Sledování konfliktních situací z plovoucího vozidla. Perner's Contact - srpen 2007, č. II, roč. druhý. Elektronický odborný časopis o technologii a logistice v dopravě. ISSN 1801-674X [6] Křivda, Vladislav. New Findings in the Sphere of the Conflict Situations Analysis on the Czech Republic Road Traffic. ss. 161-169, Sborník vědeckých prací FS. Ostrava: VŠB-TU Ostrava, 2009, ISBN 978-80-248-1633-3, ISSN 1210-0471
[7] Folprecht, Jan. Metoda sledování a hodnocení konfliktních situací v silniční dopravě a její význam pro zvyšování bezpečnosti provozu. Mezinárodní vědecká konference při příležitosti 50 let působení VŠB v Ostravě. Sekce 19: Doprava. VŠB-TU Ostrava, 1995, 419 s. [8] Folprecht, Jan; Doskočil, Milan. Analýza konfliktních situací křižovatek: Sokolská – Českobratrská; Sokolská – 30. dubna; Michálkovická – Hladnovská. Institut dopravy, FS, VŠB-TU Ostrava, 1997, 13 s. [9] Šíma, Ladislav. Návrh úprav organizace a řízení dopravy na Sokolské třídě v Ostravě v úseku 30. dubna – Českobratrská. Diplomová práce, VŠB – Technická univerzita Ostrava, 2007 [10] Blatoň, Martin. Sledování konfliktních situací z plovoucího vozidla v silničním provozu. Diplomová práce, Institut dopravy, Fakulta strojní, VŠB – Technická univerzita Ostrava, 2007, 69 s. 34
[11] Křivda, Vladislav. Videoanalýza konfliktních situací jako nástroj pro snižování dopravní nehodovosti. Elektronická příloha. Dostupné z [12] Vliv geometrie stavebních prvků na bezpečnost a plynulost provozu na okružních křižovatkách a možnost predikce vzniku dopravních nehod. Projekt výzkumu a vývoje č. CG911-008-910 Ministerstva dopravy ČR. Řešitel Katedra dopravního stavitelství, Fakulta stavební, VŠB Technická univerzita Ostrava. 2009 – 2010
Kontakt Ing. Vladislav Křivda, Ph.D., ING‐PAED IGIP Katedra dopravního stavitelství, Fakulta stavební, VŠB‐TU Ostrava L. Podéště 1875/17, 708 33 Ostrava‐Poruba, Tel.: +420 59 732 1315 [email protected], http://kds.vsb.cz/krivda
35
Simulace provozu v silniční dopravě za účelem předcházení nebezpečných situací Ing. Vladislav Křivda, Ph.D. – Katedra dopravního stavitelství, Fakulta stavební, VŠB-TU Ostrava
1. Úvod Navrhování křižovatek pozemních komunikací sebou nese mnoho důležitých kroků, které projektant, resp. dopravní inženýr musí provést. Kromě samotného projektu musí být provedeno kapacitní posouzení, průjezdnost vlečnými křivkami a mnoho dalších úkonů. Vyhovuje-li jedna křižovatka na jednom místě, nelze očekávat, že bude vyhovující na místě jiném. Kromě charakteristických znaků křižujících se dopravních proudů (intenzita, rychlost atp.), ovlivňují vlastní plynulost a bezpečnost provozu další skryté faktory. Mnohdy stačí nepatrná úprava geometrie křižovatky, která může výrazně, a to pozitivně či negativně, změnit celkovou situaci. Vždy je vhodné navrhnout variantní řešení dané problémové (resp. nově budované) křižovatky – např. stavební úpravy, úprava přednosti v jízdě, osazení křižovatky světelným signalizačním zařízením, přestavba na okružní křižovatku atp. (příp. jejich kombinace). Pro alespoň základní představu, jak bude provoz na upravené křižovatce vypadat, je vhodné a pro zběhlého projektanta relativně jednoduché, provést simulaci v některém speciálním software k tomu určenému.
2. Software pro simulaci provozu v silniční dopravě Speciálních programů, určených pro simulování silničního provozu, je na trhu celá řada. Některé z nich nabízejí několik typů simulací, některé se soustřeďují na konkrétní problémy. V následujícím textu si krátce představíme pouze některé z nich a to především ty, které se využívají na Katedře dopravního stavitelství Fakulty stavební, VŠB-TU Ostrava.
36
SOFTWAROVÝ BALÍK PTV VISION PTV VISION je softwarový balík pro dopravní plánování a provozní analýzy od německé společnosti PTV. V tomto balíku je obsaženo několik částí jako například [1]: ‐
VISUM – systém dopravních informací a plánování pro soukromou i hromadnou dopravu, grafické editování sítě, analýza, ohodnocení, rozdělení, prognóza a kalkulace dopadu,
‐
INTERPLAN
–
grafický
plánovač
jízdních
řádů
a optimalizace rozvrhu vozidel a personálu, ‐
VISSIM – mikroskopická simulace dopravního proudu pro jednotlivé dopravní pohyby s podporou 3D animace,
‐
VAP – sestavování vývojových diagramů pro řízení světelné signalizace a proměnného dopravního značení,
‐
P2 – návrh nastavení světelné signalizace pro izolovaný a koordinovaný provoz.
Program PTV VISSIM bude podrobněji popsán dále.
ZDROJ: [1]
Obr. 1 Různé druhy simulací podle PTV VISION.
AutoTURN Program AutoTURN (viz Obr. 2) je analytický CAD software pro sledování a simulace pohybů vozidel. Používá se k vyhodnocení standardních nebo specializovaných pohybů silničních vozidel při projektování silnic, dálnic a dalších míst. Nabízí databázi norem a směrnic pro jednotlivé státy pro určování poloměrů, křivek, výšek a bočních odstupů atp. [2]. Tento software vytváří vlečné křivky zvoleného vozidla (resp. jízdní soupravy), dokáže řešit couvání, otáčení na místě apod.
ParkCAD Program ParkCAD (viz Obr. 3) je nadstavba programu AutoCAD určena k návrhu parkovišť na zadané kritéria (délka parkoviště, šířka parkovacích míst, poloměry ostrůvku atp.) [2].
37
ZDROJ: [2]
Obr. 2 Manévr jízdní soupravy v programu AutoTURN.
ZDROJ: [2]
Obr. 3 Návrh parkoviště, vč. simulace jízdy vozidla v programu ParkCAD.
Další software pro simulaci (výběr): ‐ ‐
Aimsun – obdoba výše zmíněného software PTV VISION, LISA+ (viz Obr. 4) – návrh světelné signalizace na křižovatkách, vč. koordinace a preference městské hromadné dopravy.
Zdroj: [3]
Obr. 4 Návrh signálního plánu a koordinace v programu LISA+.
3. Mikrosimulace v prostředí PTV VISSIM Software PTV VISSIM je součástí softwarového balíku PTV VISION a je určen k tvorbě mikrosimulací v silniční dopravě. Podívejme se nejprve na některé základní funkce tohoto programu. Jako první je vždy nutné definovat dopravní síť (resp. křižovatku) pomocí jízdních 38
pásů a tzv. konektorů (komunikace spojující jízdní pásy; používá se jich především k přejíždění z jednoho jízdního pásu do druhého). Pro každý jízdní pás je definován jeho číslo a název, délka v metrech, počet a šířka jízdních pruhů, stoupání atp. Rovněž lze již zde definovat pro jaký typ vozidel, resp. účastníků silničního provozu (ze skupiny osobní vozidla, nákladní vozidla, autobusy, resp. tramvaje, chodce a cyklisty) je konkrétní jízdní pás určen. Dále lze definovat typ provozu: ‐ ‐ ‐ ‐ ‐
městský provoz, extravilán (jízda jen v pravém pruhu, levý pro předjíždění – EU), extravilán (jízda v obou pruzích – USA), chodník, pruh pro cyklisty.
Zakreslená dopravní síť může být zobrazena buď ve 2D (viz Obr. 5) nebo 3D zobrazení (viz Obr. 6).
ZDROJ: [4], [5]
Obr. 5 Definování 2D dopravní sítě.
ZDROJ: [4], [5]
Obr. 6 Definování 3D dopravní sítě.
Poté je nutné určit místa, kudy do dopravní sítě vstupují dopravní proudy. Pro každý dopravní proud je definováno jeho složení, tj. podíl osobních a nákladních vozidel a autobusů v procentech a průměrnou rychlost jejich pohybu. Dále se nadefinuje intenzita dopravních proudů v jednotlivých časových úsecích (viz Obr. 7).
39
Především na křižovatkách je nutné určit směrování dopravních proudů, vč. procentuálních podílů odbočujících a přímo jedoucích vozidel (viz Obr. 8).
ZDROJ: [4], [5]
Obr. 7 Definování vjezdů vozidel.
ZDROJ: [4], [5]
Obr. 8 Definování trasy.
U křižovatek je z důvodu bezpečnosti a plynulosti provozu nutné určit pravidla přednosti v jízdě. Toho se dá dosáhnout například definováním tzv. kolizních ploch (viz obr. 9, kde je příklad tvorby kolizních ploch na okružní křižovatce). Zelená barva znamená směr, který má přednost v jízdě, červená barva pak směr, který naopak přednost v jízdě dává. Složitějším problémem je pak návrh křižovatky se světelných signalizačním zařízením, jak je vidět na Obr. 10. Do situace lze vložit konkrétní návěstidla například na výložnících, což ve 3D zobrazení již dává poměrně skutečný pohled na křižovatku. Tvorba signálního plánu na základě výpočtu mezičasů, délek zelených, délky cyklu atp. je samozřejmostí. Aby bylo ze všech úhlů pohledu vidět, jaký světelný signál na všech návěstidlech v jednom okamžiku svítí, je v místě zastavení vozidel (resp. chodců) barevný pruh (resp. kvádr), určující konkrétní signál (viz Obr. 10 vpravo dole).
40
ZDROJ: [4], [5]
Obr. 9 Definování kolizních ploch.
ZDROJ: [4], [5]
Obr. 10 Návrh světelné signalizace.
Výsledkem je poté možnost spuštění simulace a to opět buď ve 2D (viz Obr. 11) nebo 3D zobrazení (viz Obr. 12).
ZDROJ: [4], [5]
Obr. 11 Simulace ve 2D.
ZDROJ: [4], [5]
Obr. 12 Simulace ve 3D.
Program PTV VISSIM umožňuje provádět různé analýzy, například rychlosti dopravního proudu v různých místech křižovatky (viz Obr. 13), délky front čekajících vozidel (viz Obr. 14) apod.
41
300
250
vzdutie
200
150
100
50
18 0 30 0 42 0 54 0 66 0 78 0 90 0 10 20 11 40 12 60 13 80 15 00 16 20 17 40 18 60 19 80 21 00 22 20 23 40 24 60 25 80 27 00 28 20 29 40 30 60 31 80 33 00
60
0
čas v s
ZDROJ: [6] ZDROJ: [6]
Obr. 14 Délka fronty čekajících vozidel.
Obr. 13 Rychlost na křižovatce.
Samozřejmě, že výše prezentované příklady tvoří pouze zlomek toho, co software PTV VISSIM nabízí. Umožňuje kromě simulace provozu na křižovatkách, také simulaci provozu na parkovištích, zastávkách a nádražích hromadné osobní dopravy (vč. tramvajové), vkládání 3D objektů atp. (viz Obr. 15 až 17).
ZDROJ: [4], [5] ZDROJ: [4], [5], [7]
ZDROJ: [4], [5]
Obr. 15 Parkoviště.
Obr. 16 Hromadná doprava.
Obr. 17 3D objekty.
4. Simulace silničního provozu na stykové křižovatce Ukažme si na několika příkladech, jak lze pomocí simulačního softwaru PTV VISSIM provést simulaci silničního provozu na stykové křižovatce s nelomenou předností.
42
Samozřejmě, že jde pouze o teoretické možnosti, jelikož některé úpravy (především stavební) by v praxi byly mnohdy těžko proveditelné. Níže uvedené simulace byly provedeny na zjednodušeném modelu neřízené tříramenné křižovatky Opavská – Studentská v Ostravě-Porubě (Obr. 18). Hlavní pozemní komunikací je silnice I/11 (ul Opavská), která je začátkem důležité spojnice z Ostravy do Opavy. Po této komunikaci je vedena mj. tranzitní doprava s vysokým podílem těžkých nákladních automobilů a jízdních souprav. Vedlejší komunikací je ulice Studentská, která vede do areálu studentských kolejí a k areálům VŠB-TUO a Fakultní nemocnice.
Zdroj: [8], [9] – upraveno
Obr. 18 Křižovatka Opavská – Studentská v Ostravě‐Porubě.
Obě dvě komunikace jsou řešeny jako dvoupruhové obousměrné směrově nerozdělené. Na křižovatce nejsou žádné odbočovací pruhy, pouze vedlejší komunikace má rozšířený vjezd. Maximální dovolená rychlost je 50 km/h, nicméně na hlavní pozemní komunikaci je překračována a tudíž průměrná rychlost dopravního proudu je cca 60 km/h. Intenzity ve špičkové hodině jsou patrny z Obr. 19.
Obr. 19 Pentlogram intenzit dopravy ve špičkové hodině na křižovatce Opavská – Studentská v Ostravě‐Porubě (ve voz/h).
43
Zdroj: autor
V původním (současném) uspořádání křižovatky (bez odbočovacích pruhů) a při současné organizaci dopravy (přednost v jízdě mají vozidla jedoucí po ul. Opavské) dochází především v době špičky ke vzniku front čekajících vozidel. V první řadě jde o dopravní proud odbočující vlevo z ul. Opavské od Ostravy do ul. Studentské (viz Obr. 20 – pozice 1), kdy byť jediné vozidlo dávající přednost v jízdě protijedoucím vozidlům znemožní pohyb celého dopravního proudu po ul. Opavské od Ostravy na Opavu. Pokud řidič tohoto odbočujícího vozidla zastaví co nejblíže středu vozovky, lze jeho vozidlo (jde-li o osobní automobil) objet druhým vozidlem zprava, ale pouze za cenu výrazného snížení rychlosti a s maximální opatrností.
Zdroj: autor s využitím [5]
Obr. 20 Původní tvar křižovatky Opavská – Studentská v Ostravě‐Porubě (viz Animace 1 [10]).
Větší problémy vznikají na vedlejší komunikaci, kde opět chybí samostatné jízdní pruhy pro odbočování (viz Obr. 20 – pozice 2). Samotný vjezd této komunikace je sice rozšířen, ale pouze na délku cca jednoho osobního vozidla (navíc dochází často k situacím, kdy vlevo odbočující řidič nezastaví co nejblíže ke středu vozovky a tím nezanechá vpravo dostatek prostoru pro vozidlo jedoucí za ním, které by mohlo odbočit doprava). Jak je vidět takto zatížená křižovatka způsobuje řadu problémů a z toho plynoucích konfliktních situací. Výše byly uvedeny pouze dva problémy, více jich lze vysledovat buď vlastním pozorováním, nebo simulací ve speciálním software. Vzhledem k tomu, že tištěná podoba tohoto textu neumožňuje zobrazit animaci, byly vytvořeny internetové stránky http://kds.vsb.cz/krivda/di-vissim [10], kde lze nalézt různé animace, které znázorňují provoz na křižovatce nasimulovaný v programu PTV VISSIM [5]. Provoz na současné křižovatce Opavská-Studentská v Ostravě-Porubě lze nalézt pod označením Animace 1 [10]. Pro další simulaci byl vložen odbočovací pruh, který slouží k odbočení vlevo z ul. Opavské (od Ostravy) do ul. Studentské – viz Obr. 21 (viz také [10] – Animace 2). Po této úpravě pak již nedochází k omezení pohybu na hlavní komunikaci směrem na Opavu. 44
Zdroj: autor s využitím [5]
Obr. 21 Vložení odbočovacího pruhu pro odbočení vlevo z ul. Opavské od Ostravy na ul. Studentskou (viz Animace 2 [10]).
Problém vedlejší komunikace však stále vyřešen není. Je nutné vedlejší komunikaci rozšířit na takovou šířku, aby zde bylo možné vybudovat dva odbočovací jízdní pruhy (jeden pro odbočování vpravo a druhý pro odbočování vlevo), jak je vidět na Obr. 22 (viz také [10] – Animace 3). Závisí rovněž na délce těchto odbočovacích pruhů, ale jak je vidět ze simulace, tak již touto stavební úpravou dochází k jistému zlepšení provozu na křižovatce, což se pozitivně projeví jak na její kapacitě, tak na její bezpečnosti.
Zdroj: autor s využitím [5]
Obr. 22 Vytvoření dvou odbočovacích pruhů na vedlejší komunikaci (viz Animace 3 [10]).
Podívejme se, jak bude vypadat situace, kdybychom silniční provoz na takto upravené křižovatce navíc řídili pomocí světelného signalizačního zařízení (viz Obr. 23 a Animace 4 [10]). Na obrázku jsou mj. vidět stopčáry, které nabývají různého tvaru (kvádr, čára) a barvy podle toho, jaký signál zobrazuje příslušné návěstidlo (signální skupina SG). Konkrétní návěstidlo a jeho typ (plný kruhový signál, šipka) lze znázornit v reálném tvaru, jak je vidět na obrázku vpravo. Barevné stopčáry mají svůj význam v případě pohledu na křižovatku, kdy není zřetelně vidět na návěstidlo. Během běhu simulace lze zobrazit signální plán, který ukazuje na časové ose jednotlivé signály na všech návěstidlech s tím, že aktuální stav je v tomto signálním plánu zcela vpravo (na Obr. 23 je toto místo označeno červenou šipkou).
45
Zdroj: autor s využitím [5]
Obr. 23 Osazení křižovatky světelným signalizačním zařízením (viz Animace 4 [10]).
Pro řízení křižovatky bylo zvoleno třífázové řízení o délce cyklu 89 s (viz Obr. 24). V první fázi mají volno dopravní proudy jedoucí přímo po ul. Opavské (od Ostravy i od Opavy, tj. SG1 a SG2 na Obr. 23). Do druhé fáze pokračuje směr přímo od Ostravy (SG2) a dále směr vlevo od Ostravy (SG3) a směr vpravo z ul. Studentské (SG4). V poslední třetí fázi pokračuje směr vpravo z ul. Studentské (SG4) a dále zde má volno směr vlevo z ul. Studentské (SG5). Délky zelených pro jednotlivé signální skupiny SG jsou patrny z Obr. 24. Na Obr. 23 je znázorněna situace, kdy dochází k přepínání třetí fáze (SG4 a SG5 – 3s žlutý signál) na fázi první (SG1 a SG2 – 2s červenožlutý signál).
Zdroj: autor s využitím [5]
Obr. 24 Signální plán křižovatky se světelným signalizačním zařízením.
Při sledování simulace (viz [10] – Animace 4) lze konstatovat, že toto řešení křižovatky je opět příznivé pro plynulost a bezpečnost provozu, přičemž lze předpokládat, že kapacitně bude křižovatka výkonnější než křižovatka bez světelného signalizačního zařízení z předchozího příkladu, což je nutné samozřejmě prověřit výpočtem podle příslušné normy, resp. technických podmínek. V simulaci je vidět, že nedochází k výraznému hromadění
46
vozidel před křižovatkou. Všechna vozidla čekající před návěstidlem projedou v průběhu trvání prvního zeleného signálu. Jak bude vypadat situace na křižovatce, přestavíme-li ji na křižovatku okružní, si ukážeme na následujících příkladech. Nejprve si proveďme simulaci na okružní křižovatce s jednopruhovým okružním pásem o velkém průměru 30 m (viz Obr. 25 a Animace 5 [10]). Tato jednoduchá okružní křižovatka řeší oproti stykové křižovatce v současném uspořádání (podle Obr. 20) problém levého odbočení z ul. Opavské od Ostravy do ul. Studentské, ovšem na úkor jistého omezení dopravního proudu od Opavy. Intenzity tohoto levého odbočení však nejsou příliš vysoké a tudíž není tento problém závažný.
Zdroj: autor s využitím [5]
Obr. 25 Přestavba na okružní křižovatku (viz Animace 5 [10]).
Větším problémem je stále výjezd z ul. Studentské (oběma směry). Ten je stále omezován provozem na ul. Opavské, byť nyní pouze dopravním proudem od Opavy směrem na Ostravu. Intenzita tohoto dopravního proudu je poměrně vysoká a vlivem zpomalení na okružní křižovatce dochází k jeho zhuštění. V tomto dopravním proudu poté řidič jedoucí z ul. Studentské může mít problém nalézt vhodnou mezeru mezi vozidly pro vjetí na okružní pás. Celkově lze však říci, že provoz na okružní křižovatce je plynulejší a bezpečnější než na křižovatce stykové. Problém výjezdu z ul. Studentské lze částečně vyřešit vložením spojovací větve (tzv. bypasu), který umožní odbočení vpravo směrem na Ostravu a to bez vjetí na vlastní okružní pás okružní křižovatky (viz Obr. 26 a Animace 6 [10]).
Zdroj: autor s využitím [5]
Obr. 26 Okružní křižovatka se spojovací větví (viz Animace 6 [10]).
47
Zkusme nyní zaexperimentovat a nasimulalovat provoz na okružní křižovatce, kterou osadíme světelným signalizačním zařízením (v České republice řízení provozu světelnou signalizací na okružní křižovatce není obvyklý, v zahraničí je to však mnohdy běžné) – viz Obr. 27 (viz také [10] – Animace 7). Simulace ukázala, že jde o řešení zajímavé a z hlediska plynulosti provozu a bezpečnosti vhodné (lze zde nalézt spojení výhod okružní a světelné křižovatky). Provoz by byl na křižovatce řízen pomocí světelného signalizačního zařízení pouze v době dopravní špičky, v době dopravního sedla by byla již dostatečná neřízená křižovatka okružní. Jde však o řešení prostorově i finančně relativné náročné. Navíc by bylo nutné ověřit kapacitnost tohoto řešení a také vzájemného vlivu světelně řízené křižovatky 17. listopadu – Opavská vzdálené cca 400 m od sledované křižovatky.
Zdroj: autor s využitím [5]
Obr. 27 Okružní křižovatka se světelným signalizačním zařízením (viz Animace 7 [10]).
Závěrem lze říci, že simulací provozu na křižovatce Studentská – Opavská v OstravěPorubě, bylo prokázáno, že se jako vhodné řešení problému jeví úprava křižovatky na světelnou (viz Obr. 23). Samozřejmě, že výše uvedené příklady úprav jsou pouze některé z mnoha možných, navíc jde o teoretické zjednodušené návrhy. Vždy je potřeba zohlednit prostorové a finanční možnosti a rovněž ověřit návrhy kapacitními výpočty.
5. Simulace provozu na neřízené křižovatce po změně přednosti v jízdě V této kapitole provedeme analýzu provozu na stykové křižovatce, kde došlo ke změně vedení hlavní pozemní komunikace. Jde o neřízenou křižovatku Nad Porubkou – Rudná (rampa F), která leží na hranici městských obvodů Ostrava-Poruba a Ostrava-Svinov (viz Obr. 28).
48
Zdroj: [8], [9] – upraveno
Obr. 28 Křižovatka Nad Porubkou – Rudná (rampa F) v Ostravě‐Porubě/Svinově.
Ulice Nad Porubkou je městskou komunikací a komunikace, označována jako rampa F, je přípojnou komunikací k ulici Rudná, což je silnice I/11 (vedoucí z Havířova do Opavy). Tato křižovatka je poměrně vytíženou křižovatku a to především ve špičkových hodinách (viz pentlogram na Obr. 29).
Zdroj: [11]
Obr. 29 Pentlogram intenzit dopravy ve špičkové hodině na křižovatce Nad Porubkou – Rudná (rampa F) v Ostravě‐Porubě/Svinově (ve voz/h).
Dne 1. 3. 2009 došlo na křižovatce ke změně organizace dopravy. Před tímto datem byla hlavní pozemní komunikací ul. Nad Porubkou (tzv. „nelomená přednost“). Po tomto datu došlo ke změně na tzv. „lomenou přednost“ (hlavní pozemní komunikací je vedena od rampy F na ul. Nad Porubkou směrem do Poruby a naopak). Došlo zde také ke změně dopravního značení na vedlejší komunikaci z původní značky P4 (Dej přednost v jízdě!) na rampě F na značku P6 (Stůj, dej přednost v jízdě!) na ul. Nad Porubkou (směr Svinov). Dále zde byla snížena nejvyšší dovolená rychlost na hlavní i vedlejší pozemní komunikace na 30 km/h. Kapacitní posouzení této křižovatky před i po změně organizace dopravy lze nalézt v [11]. Na sledované křižovatce byla hlavní pozemní komunikace vedena původně po ul. Nad Porubkou (viz Obr. 30 a [10] – Animace 8). Provoz na této komunikaci byl víceméně plynulý, problém nastal pouze v případě, kdy nějaké vozidlo odbočovalo vlevo od Svinova směrem na 49
ul. Rudnou. Vzhledem k nedostatečné šířce jízdního pruhu a absence odbočovacího pruhu bránilo toto vozidlo (při dávání přednosti v jízdě protijedoucím vozidlům) pohybu za ním jedoucím vozidlům, která hodlala pokračovat křižovatkou přímo.
Zdroj: autor s využitím [5]
Obr. 30 Vedení hlavní pozemní komunikace po ul. Nad Porubkou (viz Animace 8 [10]).
Větším problémem byla situace na vedlejší komunikaci (rampa F z ul. Rudné). V době dopravní špičky je tato komunikace silně zatížena s tím, že drtivá většina vozidel (95 %) pak pokračuje křižovatkou vlevo do Poruby (mnoho řidičů jedoucích po ul. Rudné do Poruby si takto zkracují cestu, než aby museli projíždět silně zatíženými křižovatkami Rudná – 17. listopadu a 17. listopadu – Vřesinská). Vzhledem k tomu, že jde o tzv. proud třetího stupně podřazenosti, vznikali na této komunikaci dlouhé fronty čekajících vozidel (délka fronty až 93,9 m a střední doba zdržení 73,9 s [11], což odpovídá stupni E úrovně kvality dopravy – tzv. nestabilní stav). Po změně vedení hlavní pozemní komunikace z ul. Nad Porubkou (od Poruby) vpravo na ulici Rudná (rampa F) došlo k výraznému zlepšení situace na komunikaci vedené z ul. Rudné (viz Obr. 31 a [10] – Animace 9). Oba dopravní proudy vedené po této komunikace jsou proudy prvního stupně podřazenosti, a tudíž zde již nevznikají žádné fronty čekajících vozidel.
Zdroj: autor s využitím [5]
50
Obr. 31 Křižovatka s „lomenou předností“ – hlavní pozemní komunikace z ul. Nad Porubkou (od Poruby) vpravo na ulici Rudná, rampa F (viz Animace 9 [10]).
Problém se však „přesunul“ na ul. Nad Porubkou a to na obě ramena. Vozidla jedoucí od Poruby přímo do Svinova (34 % z celkového počtu vozidel jedoucích z Poruby) brání pohybu vozidlům odbočujících na ul. Rudnou (opět zde šířkové poměry a chybějící odbočovací pruh neumožňující objíždějí vozidel dávající přednost v jízdě1). Na vedlejší komunikaci (tj. ul. Nad Porubkou od Svinova) je problém ještě markantnější, jelikož se zde vyskytuje jak dopravní proud 2. stupně (od Svinova do Poruby), tak 3. stupně (od Svinova na ul. Rudnou). Výpočtem však bylo zjištěno, že oproti původnímu řešení došlo při tomto uspořádání křižovatky, ke zkrácení délky fronty na vedlejší komunikaci na 14,9 m a střední doba zdržení se snížila na 10,8 s [11]), což bylo potvrzeno i simulací. Lze tedy konstatovat, že z hlediska výkonnosti křižovatky jde o pozitivní řešení (viz [11]). Podívejme se nyní, spíše jen pro zajímavost, jak by situace na křižovatce vypadala poté, kdybychom hlavní komunikaci vedli z ul. Nad Porubkou (od Svinova) vlevo na ul. Rudná. Je samozřejmě zřejmé (především při pohledu na pentlogram intenzit – viz Obr. 29), že toto řešení je absolutně nesmyslné a proto nebude dále komentováno (viz Obr. 32 a [10] – Animace 10).
Zdroj: autor s využitím [5]
Obr. 32 Křižovatka s „lomenou předností“ – hlavní pozemní komunikace z ul. Nad Porubkou (od Svinova) vlevo na ulici Rudná, rampa F (viz Animace 10 [10]).
Řešením problematického provozu na sledované křižovatce může být zavedení řízení pomocí světelného signalizačního zařízení (viz Obr. 33 a [10] – Animace 11).
1
Pozn.: Někteří řidiči objíždějí stojící vozidlo vpravo po chodníku.
51
Zdroj: autor s využitím [5]
Obr. 33 Návrh světelného signalizačního zařízení (viz Animace 11 [10]).
Pro řízení křižovatky bylo zvoleno třífázové řízení o délce cyklu 90 s (viz Obr. 34). V první fázi mají volno dopravní proudy jedoucí Poruby (SG1) v druhé fázi proudy jedoucí od Svinova (SG2) a ve třetí proudy jedoucí od ul. Rudná (SG3). Délky zelených pro jednotlivé signální skupiny SG jsou patrny z Obr. 34.
Zdroj: autor s využitím [5]
Obr. 34 Signální plán křižovatky se světelným signalizačním zařízením.
Při sledování simulace (viz [10] – Animace 11) se jeví návrh světelného signalizačního zařízení jako vhodné pro plynulost a především pro bezpečnost provozu. Opět lze předpokládat, že kapacitně bude křižovatka výkonnější než křižovatka bez světelného signalizačního zařízení (nutné prověřit výpočtem podle příslušné normy, resp. technických podmínek)2. V simulaci je vidět, že nedochází k výraznému hromadění vozidel před křižovatkou, vozidla čekající před návěstidlem projedou v průběhu trvání prvního zeleného signálu.
2
Pozn.: Na ul. Nad Porubkou směrem do Poruby je umístěn přechod pro chodce. Vzhledem k nepatrným (téměř nulovým) intenzitám chodců na tomto místě nebyl tento přechod v simulacích řešen.
52
6. Závěr Výše uvedené příklady ukázaly, že pro základní představu o provozu na buď nově navrhované, nebo na upravované křižovatce, lze s výhodou použít nějaký speciální simulační program. Tímto způsobem lze poměrně velmi rychle provést drobnou, příp. i složitější úpravu a to i bez zdlouhavých složitých propočtů. Díky tomu lze mnohdy vysledovat nějaký problém, který je třeba vyřešit. Lze tak učinit dříve, než až v době, kdy by taková úprava již byla buď technicky či finančně náročná, příp. nemožná. Je však samozřejmé, že podrobné a kvalitní posouzení konečného řešení, především z hlediska kapacity, je vždy nezbytné. Závěrem nutno podotknout, že článek si nekladl za cíl nalézt optimální řešení provozu na sledovaných křižovatkách. To by bylo úkolem podrobnějšího zkoumání a přesných kapacitních výpočtů.
Literatura [1] Internetové stránky firmy CityPLAN. Dostupné z (cit. srpen 2010) [2] Internetové stránky firmy VARS. Dostupné z <www.vars.cz> (cit. srpen 2010) [3] Internetové stránky firmy SCHLOTHAUER & WAUER. Dostupné z (cit. srpen 2010) [4] Křivda, Vladislav. Představení softwaru PTV VISSIM. Prezentace do předmětů Software v dopravě a Městské komunikace a křižovatky. Ostrava: Katedra dopravního stavitelství, FAST, VŠB-TUO, 2010. Dostupné ze síťového disku FAST, VŠB-TUO <S:\Dopravní\MKK\ Studijní materiály\VISSIM.pdf> [5] PTV VISSIM. Software. Licence FAST, VŠB-TU Ostrava [6] Gavulová, Andrea. Využitie softvérov pre dopravné plánovanie a projektovanie. Workshop: Aktuální trendy ve výuce dopravního stavitelství, Ostrava, 2007 [7] 3D objekty pro 3D modelování, vyhledávač Google.cz. Dostupné z (cit. srpen 2010) [8] Mapový server [on-line]. Statutární město Ostrava. Dostupný z (cit. srpen 2010) [9] Mapy Česká republika [on-line]. Internetový portál Google. Dostupný z (cit. srpen 2010) [10] Křivda, Vladislav. Simulace provozu v silniční dopravě za účelem přecházení nebezpečných situací. Elektronická příloha. Dostupné z 53
[11] Křivda, Vladislav. Posouzení výkonnosti stykové křižovatky po změně přednosti v jízdě. Perner's Contact - srpen 2009, ss. 69-80, č. II, roč. čtvrtý, 14/2009 [17. 08. 2009]. Elektronický odborný časopis o technologii a logistice v dopravě. Dostupné na WWW: . ISSN 1801-674X
Kontakt Ing. Vladislav Křivda, Ph.D., ING‐PAED IGIP Katedra dopravního stavitelství, Fakulta stavební, VŠB‐TU Ostrava L. Podéště 1875/17, 708 33 Ostrava‐Poruba, Tel.: +420 59 732 1315 [email protected], http://kds.vsb.cz/krivda
54
Management funkční bezpečnosti Ing. Jana Míková, Ph.D. – Institut dopravy, Fakulta strojní, VŠB-TU Ostrava
1. Úvod Management funkční bezpečnosti lze chápat jako ucelený soubor přístupů, názorů, zkušeností a metod zajišťující účinnou realizaci technických požadavků, které jsou zaměřeny na dosažení a udržení funkční bezpečnosti E/E/E/PE systémů souvisejících s bezpečností. Lze tedy říci, že „Management funkční bezpečnosti zajišťuje, jsou-li bezpečnostní přístrojové systémy použity, musí být schopny dovést nebo udržet proces v bezpečném stavu. Problematika managementu funkční bezpečnosti je řešena v normě IEC 61508-1 Funkční bezpečnost
elektrických/elektronických/programovatelných
elektronických
systémů
(Functional safety of electrical/electronic/programmable electronic systems).
2. Management funkční bezpečnosti cíle Prvním cílem managementu funkční bezpečnosti je stanovení managementových a technických činností prováděných během fází životního cyklu celkové bezpečnosti (obr. č. 1), bezpečnosti E/E/PES a bezpečnosti softwaru, které jsou nutné pro dosažení požadované funkční bezpečnosti E/E/PE systémů souvisejících s bezpečností. Dalším cílem managementu funkční bezpečnosti je stanovení odpovědnosti osob, oddělení a organizací zodpovědných za každou fázi životního cyklu celkové bezpečnosti, bezpečnosti E/E/PES a bezpečnosti softwaru nebo za činnosti v každé fázi prováděné. Organizace nebo jednotlivci, kteří mají celkovou odpovědnost za jednu nebo několik fází životního cyklu celkové bezpečnosti, bezpečnosti E/E/PES nebo bezpečnosti softwaru stanovují, pokud jde o ty fáze, za které mají celkovou odpovědnost, všechny managementové i technické činnosti nutné k tomu, aby E/E/PE systémy související s bezpečností dosáhly a udržely si požadovanou funkční bezpečnost. Přitom je nutné zabezpečit: •
Způsob a strategii dosažení funkční bezpečnosti spolu s prostředky pro hodnocení jejího dosažení i komunikační prostředky v organizaci používané pro zajištění podpory bezpečné práce.
55
•
Identifikaci osob, oddělení a organizací odpovědných za provádění a kontrolování fází životního cyklu celkové bezpečnosti, bezpečnosti E/E/PES nebo bezpečnosti softwaru. Kde je to vhodné i povolujících nebo regulačních orgánů z oblasti bezpečnosti.
•
Použité fáze životního cyklu celkové bezpečnosti, bezpečnosti E/E/PES nebo bezpečnosti softwaru.
•
Způsob členění informací a rozsah dokumentovaných informací.
•
Vybraná opatření a techniky použité pro splnění požadavků.
•
Činnosti týkající se odhadu funkční bezpečnosti.
•
Postupy zajišťující nepřetržité sledování podnětů a doporučení týkajících se E/E/PE systémů souvisejících s bezpečností vycházejících z: a) analýzy nebezpečí a rizik, b) odhadu funkční bezpečnosti, c) ověřovacích činností, d) činností potvrzování platnosti, e) managementu konfigurace.
•
Postupy zajišťující, že strany nebo osoby účastnící se jakýchkoliv činností životního cyklu celkové bezpečnosti, bezpečnosti E/E/PES nebo bezpečnosti softwaru jsou pro provádění těchto činností, za které jsou zodpovědné, kvalifikované. Je nezbytné stanovit zejména: a) výcvik personálu zaměřený na diagnostiku, odstraňování poruch a zkoušení systému, b) výcvik provozního personálu, c) opakování výcviku v pravidelných intervalech.
•
Postupy zajišťující, že se nebezpečné události budou analyzovat a budou přijata příslušná doporučení a opatření pro minimalizaci pravděpodobnosti jejich opakovaného výskytu.
•
Postupy analyzující výkonnost provozu a údržby. Vytvořit postupy pro: a) zjišťování systematických vad, které by mohly ohrozit funkční bezpečnost, včetně postupů používaných během preventivní údržby a zjišťujících opakovaně se vyskytující vady, 56
b) posuzování, zda jsou míry četnosti vyžádání a intenzity poruch během provozu a údržby v souladu s předpoklady stanovenými při návrhu systému. •
Požadavky na periodické prověrky funkční bezpečnosti včetně: a) četnosti prověrek funkční bezpečnosti, b) stupně nezávislosti vyžadované od osob za tyto prověrky (audity, revize) odpovědných, c) dokumentačních a sledovacích činností.
•
Postupy pro inicializaci modifikaci systémů souvisejících s bezpečností.
•
Požadované postupy a orgány pro schvalování modifikací.
•
Postupy pro udržování správných informací o potencionálních nebezpečích a systémech souvisejících s bezpečností.
•
Postupy managementu konfigurace E/E/PE systémů souvisejících s bezpečností během fází životního cyklu celkové bezpečnosti, bezpečnosti E/E/PES nebo bezpečnosti softwaru. Z důvodu zabezpečení managementu funkční bezpečnosti všechny výše uvedené činnosti
se musejí provést a jejich postup monitorovat ve všech použitých fázích životního cyklu celkové bezpečnosti. Stanovené požadavky na E/E/PE systémy související s bezpečností se musí úředně prověřit příslušnými organizacemi a musí být dosaženo dohody. O této dohodě musí být sepsán protokol a archivován.
57
1
Koncepce
2
Definice celkového předmětu
3
Analýza nebezpečí a rizik
4
Požadavky celkové bezpečnosti
5 Přiřazení bezpečnostních požadavků
9 E/E/PE systémy
Plánování
6 celkového 7 potvrzení 8 provozu a údržby
platnosti celkové bezpečnosti
související s bezpečností
celková instalace a uvedení do provozu
10
Systémy založené na jiných Realizace
11
Vnější prostředí pro snížení rizika Realizace
Realizace
12
Celková instalace a uvedení do provozu
13
Potvrzení platnosti celkové bezpečnosti
14
Celkový provoz, údržba a opravy
16
Vyřazení z provozu nebo likvidace
zpět k příslušné fázi životního cyklu celkové bezpečnosti 15
Vyřazení z provozu nebo likvidace
Obr. 1: Životní cyklus celkové bezpečnosti Poznámka: Činnosti týkající se managementu funkční bezpečnosti je nutné použít tam, kde jsou v příslušných fázích životního cyklu celkové bezpečnosti, bezpečnosti E/E/PES a softwaru vyžadovány.
3. Konfigurace managementu bezpečnosti během fází životního cyklu bezpečnosti Při stanovování managementu funkční bezpečnosti je nutné postupovat podle ČSN EN 61508-1, kap. 6. Je nutné provést tyto kroky: I.
začlenění managementu funkční bezpečnosti v organizační struktuře organizace s přihlédnutím k plánovaným fázím životního cyklu celkové bezpečnosti,
58
II.
stanovit managementové a technické činnosti s přihlédnutím k plánovaným fázím životního cyklu celkové bezpečnosti, a vytvořit organizační strukturu projektu funkční bezpečnosti.
III.
vytvořit postupy zajišťující, že nebezpečná událost bude analyzována a následně přijata opatření pro minimalizaci jejího opakovaného výskytu,
IV.
stanovit používané komunikační prostředky v organizaci pro zajištění podpory managementu funkční bezpečnosti, členění informací a rozsah dokumentovaných informací.
Ad I.) V prvním kroku je nejprve nutné provést začlenění managementu funkční bezpečnosti do stávající organizační struktury podniku s přihlédnutím k plánovaným fázím životního cyklu. Na Obr. 2, 3, 4 jsou uvedeny možné příklady začlenění managementu funkční bezpečnosti na konkrétní organizační strukturu podniku.
Pracovníci odpovědni za funkční bezpečnost
Obr. 2: Začlenění managementu funkční bezpečnosti do organizační struktury Liniově‐štábní
Na Obr. 2 je zobrazeno začlenění managementu funkční bezpečnosti v liniově – štábní organizační struktuře. Základ této organizační struktury tvoří útvary v čele s liniovými 59
vedoucími, kteří mají k dispozici štábní útvary s odborníky a specialisty různých profesí. Štábní útvary připravují podklady pro kvalifikovaná rozhodnutí liniových vedoucích. V rámci této organizační struktury je možno začlenit pracovníky managementu funkční bezpečnosti jako vedoucí liniových útvarů.
Pracovníci odpovědni za funkční bezpečnost
Obr. 3: Začlenění managementu funkční bezpečnosti do organizační struktury funkcionální (funkční)
Obr. 3 ukazuje možné začlenění managementu funkční bezpečnosti ve funkcionální (funkční) organizační struktuře. Tato organizační struktura se používá u malých firem, kde existují velmi specializované odborné útvary podle funkcí řízení v čele s vedoucími pracovníky. V rámci této organizační struktury je možno začlenit pracovníky managementu funkční bezpečnosti jako vedoucí specializovaných odborných útvarů. Poslední příklad začlenění managementu funkční bezpečnosti je uveden na Obr. 4, který znázorňuje divizionální organizační strukturu. Tato organizační struktura je tvořena specializovanými útvary podle objektů. Objekty mohou být výrobky, území nebo odběratelé. Aktivity potřebné k produkci výrobků jsou sloučeny do jedné organizační jednotky s vysokou autonomií – divize.
Pracovníci odpovědni za funkční bezpečnost
Obr. 4: Začlenění managementu funkční bezpečnosti do organizační struktury divizionální
60
Dále je nutné v prvním kroku vytvořit „Plán bezpečnosti“, který představuje postup pro posuzování funkční bezpečnosti. Postup musí být definován a stanovován tak, aby bylo možné rozhodnou, zda bezpečný přístrojový systém dosáhl: • funkční bezpečnosti, • bezpečnostní integrity. Ad II.) V druhém kroku je nutné stanovit managementové a technické činnosti s přihlédnutím k plánovaným fázím životního cyklu celkové bezpečnosti, a vytvořit organizační strukturu projektu funkční bezpečnosti. Při stanovení managementových a technických činností se musí brát v úvahu: • Osoby a jednotlivci mající celkovou odpovědnost za fáze životního cyklu celkové bezpečnosti musí být informovány o své činnosti. • Osoby a jednotlivci mající celkovou odpovědnost za fáze životního cyklu celkové bezpečnosti musí: - být schopné vykovávat činnosti, - mít kvalifikační požadavky. Minimální požadavky na kvalifikaci musí být v souladu s ČSN EN 61511 – 1. Výcvik, zkušenosti a kvalifikace je nutné zdokumentovat. Mezi základní požadavky na kvalifikaci pracovníků mající celkovou odpovědnost za fáze životního cyklu celkové bezpečnosti patří: • technická znalost, školení a praxe odpovídající příslušnému procesu, • technická
znalost,
školení
a
praxe odpovídající
vhodné
použité
(elektrotechnika, elektronika nebo programovatelná technika), • technická znalost bezpečnosti, • znalost zákonných bezpečnostních regulačních požadavků, • odpovídající dovednosti managementu a zkušenosti s vedením lidí, • porozumění potencionálním důsledkům událostí, • znalost úrovně integrity bezpečnosti bezpečnostních přístrojových funkcí, • inovace, komplexnost aplikace techniky.
61
techniky
Stanovení managementových a technických činností požadovaných od osob, oddělení, organizačních nebo jiných odpovědných jednotek musí být aktualizováno během celého cyklu bezpečnosti a zahrnuto nejen do organizační struktury, ale i do: • oddílu v plánu kvality nazvaného „plán bezpečnosti“, nebo • odděleného dokumentu nazvaného „plán bezpečnosti“ nebo • několika dokumentů obsahujících postupy společnosti nebo pracovní návodky. Na Obr. 5 a 6 jsou uvedeny možné příklady organizační struktury projektu a managementové a technické činnosti. V rámci realizačního týmu projektu jsou stanoveny managemntové funkce a činnosti, jednotlivým pracovníkům jsou stanoveny tzv. týmové role v projektu. Mezi základní týmové role projektu patří: •
VŘP – vedoucí řešitel projektu funkční bezpečnosti: je osoba mající celkovou odpovědnost za fáze životního cyklu celkové bezpečnosti. Pro realizaci a monitorování cílů funkční bezpečnosti stanovuje a zavádí managementové a technické činnosti, postupy, osoby, oddělení nebo organizační jednotky tvořící tým projektu funkční bezpečnosti. Zodpovídá za modifikaci systémů souvisejících s bezpečností. Dále zodpovídá, že se nebezpečné události budou analyzovat a budou přijata příslušná doporučení a opatření pro minimalizaci pravděpodobnosti jejich opakovaného výskytu.
•
KP – koordinátor projektu: koordinuje managementové a technické činnosti pracovníků projektu funkční bezpečnosti v jednotlivých fázích životního cyklu celkové bezpečnosti.
• Tým posuzující funkční bezpečnost: jsou osoby a jednotlivci posuzující celkovou bezpečnost. Všechny tyto osoby a jednotlivci (nebo organizace) musí být nezávislými osobami. Nezávislost znamená, že tyto osoby se nepodílejí na projektu funkční bezpečnosti. Posuzují zejména: -
stanovené požadavky a postupy celkové bezpečnosti v jednotlivých fázích životního cyklu celkové bezpečnosti,
-
provádí audity a revize funkční bezpečnosti,
-
posuzuje, zda určené osoby, oddělení nebo organizační jednotky odpovídají za: 9 analýzy nebezpečí a posouzení rizik, 62
9 verifikace činností, 9 validace činností, 9 činností po poruchách a haváriích, -
závislosti a nezávislosti osob podílejících se na celkové bezpečnosti Obr. 7.
Obr. 5: Schéma uspořádání realizačního týmu (management funkční bezpečnosti) projektu funkční bezpečnosti
• VŘE – vedoucí řešitel fáze životního cyklu funkční bezpečnosti: je osoba mající celkovou odpovědnost za jednu nebo více fází životního cyklu celkové bezpečnosti. Zodpovídá za managementová a technické činnosti, kontroluje postupy činností a nezávislost pracovníků týmu. • DŘE – dílčí řešitel fáze životního cyklu funkční bezpečnosti: je osoba provádějící managementové a technické činnosti v projektu funkční bezpečnosti.
63
Obr. 6: Schéma organizační struktury projektu funkční bezpečnosti
Ad III.) V následujícím kroku je nutné vytvořit postupy zajišťující, že nebezpečná událost bude analyzována a následně přijata opatření pro minimalizaci jejího opakovaného výskytu. Tyto postupy zajišťují nepřetržité sledování podnětů a doporučení týkajících se E/E/PE systémů souvisejících s bezpečností vycházejících z: • analýzy nebezpečí a rizik, • odhadu funkční bezpečnosti, • ověřovacích činností, • činností potvrzování platnosti, 64
• managementu konfigurace.
Koordinátor projektu
řídí a koordinuje projekt funkční bezpečnosti
ZO
Fáze 4 Vedoucí projektu
osoba odpovědná za fázi životního cyklu FB
ZO
Tým posuzující funkční bezpečnost
osoba, osoby posuzující funkční bezpečnost
NO
Pracovníci útvarů a oddělení
osoby podílející se na činnostech projektu
ZO
Dodavatelé a jiné organizační jednotky
organizace dodávající komponenty na projekt
ZO
Dodavatelé a jiné organizační jednotky
organizace posuzující funkční bezpečnost
NO
managementové činnosti
technické činnosti
managementové činnosti
Legenda: ZO (závislá osoba) osoba, oddělení nebo organizace, která se podílí na činnostech probíhajících během konkrétní fáze životního cyklu bezpečnosti, nebo mají za tyto činnosti přímou odpovědnost. NO (nezávislá osoba) osoba, oddělení nebo organizace, která je oddělena od činnosti probíhajících během konkrétní fáze životního cyklu bezpečnosti, které jsou předmětem posuzování funkční bezpečnosti nebo validace, a která nemá za tyto činnosti přímou odpovědnost.
Obr. 7: Posouzení závislosti a nezávislosti osob podílejících se na celkové funkční bezpečnosti
Ad IV.) V posledním kroku je nezbytné stanovit používané komunikační prostředky v organizaci pro zajištění podpory managementu funkční bezpečnosti, členění informací a rozsah dokumentovaných informací. Stanovení komunikace mezi osobami, odděleními, organizačními a jinými jednotkami podílejícími se na celkové funkční bezpečnosti je znázorněno na Obr. 8. 65
Obr. 8: Komunikační vazby mezi pracovníky realizačního týmu
66
4. Management funkční bezpečnosti – Identifikace a kompetence osob, oddělení a organizací odpovědných za provádění a kontrolování fází životního cyklu celkové bezpečnosti Při stanovování a hodnocení managementu funkční bezpečnosti je nutné postupovat podle ČSN EN 61508-1. Zejména je nutné stanovit a průběžně hodnotit: •
kompetence a odpovědnost osob, oddělení a organizačních i jiných jednotek podílejících se na plánování, realizaci a vyhodnocení plánovaných fází životního cyklu funkční bezpečnosti v tzv. týmu návrhu projektu,
•
kvalifikaci osob odpovědných za jakoukoliv činnost v rámci plánovaných fází životního cyklu funkční bezpečnosti dle ČSN EN 61508-1, příloha B,
•
při posuzování kompetence osob, oddělení a organizačních i jiných jednotek zahrnutých do činností životního cyklu funkční bezpečnosti musí být předkládány minimálně následující požadavky: -
technická znalost, školení a praxe odpovídající aplikaci příslušného procesu,
-
technická znalost, školení a praxe odpovídající vhodné použité techniky (např. elektrotechnika, elektronika nebo programovatelná elektronika,
-
technická znalost, školení a praxe odpovídající senzorům a koncovým členům,
-
technická znalost bezpečnosti,
-
znalost zákonných bezpečnostních regulačních požadavků,
-
odpovídající dovednosti managementu a zkušenosti ve vedení přiměřené jejich roli v činnostech životního cyklu funkční bezpečnosti,
•
-
porozumění potencionálním důsledkům událostí,
-
úroveň integrity bezpečnosti bezpečnostních přístrojových funkcí,
-
inovace a komplexnost aplikace a techniky.
výcvik, zkušenosti a kvalifikace všech osob, oddělení a organizačních i jiných jednotek zahrnutých do činností životního cyklu funkční bezpečnosti musí být organizaci dokumentováno.
67
5. Management funkční bezpečnosti stanovení fázi životního cyklu celkové bezpečnosti Management funkční bezpečnosti před zahájením projektu musí stanovit použité fáze životního cyklu celkové bezpečnosti. Při stanovení použitých fází je nutné postupovat podle ČSN EN 61508-1. Zejména je nutné posoudit: •
rozsah plánovaných a použitých fází životního cyklu funkční bezpečnosti vzhledem k velikosti a složitosti a výrobku nebo systému,
•
použité fáze životního cyklu funkční bezpečnosti se posuzují ve vztahu k ČSN EN 61508-1, tabulka l. Pro všechny stanovené fáze životního cyklu funkční bezpečnosti je nutné posoudit: -
cíle, kterých má být dosaženo,
- předmět dané fáze, - výstupy požadované pro splnění fáze životního cyklu.
6. Management bezpečnosti
funkční
bezpečnosti
posuzování
funkční
Posuzování funkční bezpečnosti se řídí dle ČSN EN 61511-1. Zejména je nutné posoudit: •
zda stádia životního cyklu funkční bezpečnosti, ve kterých se činnosti posouzení funkční bezpečnosti provádějí, jsou identifikovány během bezpečnostního plánování v tzv. „plánu bezpečnosti“.
•
zda postup pro posuzování funkční bezpečnosti je definován a stanovován tak, aby bylo možné rozhodnout, zda bezpečný přístrojový systém dosáhl funkční bezpečnosti a bezpečnostní integrity.
•
zda postup pro posuzování funkční bezpečnosti obsahuje: - předmět posouzení funkční bezpečnosti, - kdo se zúčastní posouzení funkční bezpečnosti, - dovednosti, odpovědnosti a orgány týmu pro posouzení funkční bezpečnosti, - informace, která bude vydána jako výsledek činnosti posouzení funkční bezpečnosti, - identita všech dalších bezpečnostních orgánů účastnících se posouzení, - prostředky požadované na dokončení činností spojených s posouzení funkční bezpečnosti, 68
- úroveň nezávislosti týmu pro posouzení, - prostředky, kterými bude posouzení funkční bezpečnosti po modifikacích revalidováno. •
zda je postup pro posuzování funkční bezpečnosti uveden v „plánu bezpečnosti“.
•
zda v postupu pro posuzování funkční bezpečnosti je stanoven tým pro posuzování funkční bezpečnosti. Tým pro posuzování funkční bezpečnosti je povinen zpracovat: - technickou expertizu výrobku, - provozní expertizu potřebnou pro konkrétní instalaci.
•
zda členem týmu pro posuzování funkční bezpečnosti je nejméně jedna starší kompetentní nezávislá osoba na týmu návrhu projektu a je uvedena v organizační struktuře organizace, respektive organizační struktuře projektu.
•
pokud je tým pro posuzování funkční bezpečnosti početnější, posoudit zda je v tomto týmu více než jedna starší kompetentní osoba nezávislá na týmu návrhu.
•
zda před provedením odhadu funkční bezpečnosti byl plán odhadu funkční bezpečnosti schválen osobami odhad provádějící a osobami odpovědnými za management funkční bezpečnosti těch fází životního cyklu funkční bezpečnosti, pro které se odhad provádí.
•
zda po odhadu funkční bezpečnosti bylo vydáno doporučení pro přijetí, přijetí s výhradami (kvalifikované přijetí s bližším vymezením) nebo odmítnutí.
•
zda osoby provádějící odhad funkční bezpečnosti mají pro tuto činnost kvalifikaci. Při posuzování kvalifikace osob pro výkon pracovních úkolů je nutné vzít v úvahu tyto faktory: - inženýrské znalosti vhodné pro danou aplikační oblast, - inženýrské znalosti vhodné pro danou techniku (např. elektrické, elektronické, programovatelné elektronické, softwarové), - inženýrské znalosti o bezpečnosti pro danou techniku, - znalosti právního a regulačního rámce souvisejícího s bezpečností, - následky v případě poruchy E/E/PE systémů souvisejících s bezpečností, čím větší následky, tím přísnější by měla být specifikace a posuzování kvalifikace, - úrovně integrity bezpečnosti E/E/PE systémů souvisejících s bezpečností, čím vyšší úrovně integrity, tím přísnější by měla být specifikace a posouzení kvalifikace, 69
- originalita (neobvyklost) návrhu, postupů nebo aplikace, čím novější nebo méně vyzkoušené návrhy, postupy nebo aplikace, tím pečlivější a přísnější by měla být specifikace a posuzování kvalifikace. - předchozí zkušenosti a jejich význam pro provádění konkrétních úkolů a používání dané technologie, čím vyšší jsou požadované kvalifikační úrovně, tím užší by měla být způsobilost mezi kvalifikacemi získanými na základě dřívější zkušenosti a kvalifikacemi požadovanými pro konkrétní plánované úkoly. •
zda stádia životního cyklu bezpečnosti, ve kterých se činnosti posouzení funkční bezpečnosti provádějí, byly identifikovány během plánování bezpečnosti.
•
zda posouzení funkční bezpečnosti bylo provedeno dle ČSN EN 61511 – 1. Počet, velikost a rozsah platnosti činností spojených s posuzováním funkční bezpečnosti by měly záviset na konkrétních okolnostech. Rozhodnými činiteli by měly být: - velikost projektu, - stupeň složitosti, - úroveň integrity bezpečnosti, - trvání projektu, - následky v případě poruchy, - stupeň normalizace vlastností návrhu, - regulační požadavky na bezpečnost, - předchozí zkušenosti s podobnými návrhy.
•
zda tým pro posouzení funkční bezpečnosti před zjištěním přítomnosti nebezpečí potvrdil, že: - posouzení nebezpečí a rizika bylo provedeno, - doporučení vyplývající z posouzení nebezpečí a rizika použitá na bezpečný přístrojový systém byla zavedena nebo vyřešena, - změněné postupy návrhu projektu byly provedeny a řádně zavedeny.
70
7. Aplikace managementu funkční bezpečnosti u provozovatele Hlavním cílem aplikace funkční bezpečnosti u provozovatele je vybudování bezpečnostních přístrojových systémů pro snížení rizika tak, aby splňovaly stanovené požadavky bezpečnostních funkcí a integrity bezpečnosti. Mezi základní kroky patří: 1.
Celková instalace a uvedení do provozu Cílem je instalace a uvedení do provozu systémů souvisejících s bezpečností. Instalační činnosti a činnosti spojené s uvedením do provozu se musí provádět podle příslušných plánů, které obsahují podrobné informace o těchto činnostech.
2.
Potvrzení platnosti celkové bezpečnosti Aby mohly být systémy související s bezpečností uvedeny do provozu, musí být potvrzena platnost, že tyto systémy splňují specifikaci požadavků celkové bezpečnosti z hlediska požadavků na celkové bezpečnostní funkce a požadavků na celkovou integritu bezpečnosti. Všechny činnosti pro potvrzování platnosti se provádí podle příslušného plánu a vede se o nich podrobná dokumentace. Pokud se vyskytnou neshody mezi očekávanými a skutečnými výsledky, provede se analýza, pomocí níž se rozhodne, zda se bude v potvrzování platnosti pokračovat nebo se zažádá o změnu a přejde se zpět k předchozí části potvrzování platnosti.
3.
Management funkční bezpečnosti Pokud systémy související s bezpečností uvádíme do provozu, musí být stanoven management funkční bezpečnosti, tzn.: • Organizace mající celkovou odpovědnost za celkovou bezpečnost, stanovují odpovědnosti. • Management funkční bezpečnosti zajišťuje, jsou-li bezpečnostní přístrojové systémy použity, dovést nebo udržet proces v bezpečném stavu. • Osoby a jednotlivci (u uživatele) mající odpovědnost za celkovou bezpečnost stanovují: - managementové činnosti, - technické činnosti. • Managementové i technické činnosti musí být: - v souladu s ČSN EN 61511 – 1, - začleněny do organizační struktury firmy. • Osoby a jednotlivci mající celkovou odpovědnost za fáze životního cyklu celkové bezpečnosti musí: 71
- být schopné vykovávat činnosti, - mít kvalifikační požadavky. • Pro realizaci a monitorování cílů funkční bezpečnosti se stanovují a zavádějí: - činnosti, - postupy, - osoby, oddělení nebo organizační jednotky. • Osoby, oddělení nebo organizační jednotky odpovídají za: - analýzy nebezpečí a posouzení rizik, - posouzení a audit, - verifikaci činností, - validaci činností, - činnosti po poruchách a haváriích. • Činnosti, postupy a určené osoby, oddělení a organizační jednotky musí být uvedeny: - v PLÁNU BEZPEČNOSTI, - začleněny do organizační struktury. 4.
Celkový provoz, údržba a opravy K zajištění provozu, údržby a oprav musí být zpracován: • plán údržby systémů souvisejících s bezpečností, • postupy pro provoz, údržbu a opravy systémů souvisejících s bezpečností, • postupy pro provoz a údržbu softwaru. Každý takovýto plán musí obsahovat tyto údaje: • provedení postupů, • provádění údržbových plánů, • periodické provádění prověrek funkční bezpečnosti, • potřebnou dokumentaci (např. dokumentace o čase a příčinách vyžádání systémů s příslušnou odezvou těchto systémů při jejich vystavení tomuto vyžádání i vad, které jsou zjištěny během údržby). Na následujícím obrázku je uveden příklad modelu provozních a údržbových činností.
72
Sled činností pro opravu odhalených provozních vad
Sled činností pro vyloučení neodhalených vad
Normální provoz Systém plánování údržby
Vada/porucha
Anomálie provozu Omezení provozu během anomálie
Vede k analýze poruch a vyžádání (modifikace)
Provozní postup
Omezení provozu během anomálie
Žádost o údržbu
Žádost o údržbu
Povolení k zahájení prací
Povolení k zahájení prací
Diagnóza a oprava Provozní omezení během údržby
Pravidelná zkouška
Opakované potvrzení platnosti
Provozní omezení během údržby
Diagnóza a oprava vyhověl
Hlášení o údržbě
nevyhověl
Opakované potvrzení platnosti
Povolení k ukončení prací
Hlášení o údržbě
Návrat do normálního provozu
Povolení k ukončení prací Vede k analýze poruch a vyžádání (modifikace)
Obr. 9: Příklad modelu provozních a údržbových činností
5.
Celková modifikace a zdokonalování Tato fáze celkové bezpečnosti se věnuje zajištění přijatelné funkční bezpečnosti systémů
souvisejících s bezpečností jak během, tak i po realizaci modifikační nebo zdokonalovací 73
fáze. Fáze modifikace a zdokonalování systému se může zahájit teprve po vydání oprávněné žádosti, ve které se musí podrobně určit: • zjištěná nebezpečí, • navržená změna, • důvody pro provedení změny. Nejčastějšími důvody pro vydání této žádosti jsou např. zkušenosti se systematickou poruchou, nižší než stanovená funkční bezpečnost, nová legislativa apod. Musí se provést analýza dopadů, která musí obsahovat odhad vlivu navržené modifikace nebo zdokonalovacího zásahu na funkční bezpečnost jakéhokoli bezpečnostního systému. O provedených modifikacích a zdokonaleních se vytvoří chronologická dokumentace, která obsahuje: • žádost o modifikaci nebo zdokonalení systému, • analýzu dopadů, • nové ověření a potvrzení platnosti údajů a výsledků, • záznamy o úpravě všech souvisejících dokumentů. 6.
Vyřazení z provozu nebo likvidace Cílem požadavků v této poslední fázi je zajištění přijatelné funkční bezpečnosti systémů
souvisejících s bezpečností za okolností, které nastávají během a po činnostech spojených s vyřazením EUC z provozu nebo jeho likvidaci. Fáze vyřazení z provozu nebo likvidace se zahajuje po vydání oprávněné žádosti na základě výsledků analýzy dopadů. Je vypracován plán, který obsahuje postupy pro: • ukončení provozu systémů souvisejících s bezpečností, • demontáž těchto systémů. Pokud existují jakékoliv činnosti spojené s vyřazením nebo likvidací ovlivňující funkční bezpečnost systému, musí tyto činnosti iniciovat návrat zpět k příslušné fázi životního cyklu celkové bezpečnosti.
Literatura: [1] ČSN EN 51508 - 1 Funkční bezpečnost elektrických/elektronických/programovatelných elektronických systémů souvisejících s bezpečností, část 1: Všeobecné požadavky [2] ČSN EN 61508-4 Funkční bezpečnost elektrických/elektronických/programovatelných 74
elektronických systémů související s bezpečností – Část 4: Definice a zkratky. [3] ČSN EN 61508-6 Funkční bezpečnost elektrických/elektronických/programovatelných elektronických systémů související s bezpečností – Část 6: Metodické pokyny pro použití IEC 61508-2 a IEC 61508-3. [4] ČSN EN 51511 – Funkční bezpečnost – Bezpečnostní přístrojové systémy pro sektor průmyslových procesů
Kontakt Ing. Jana Míková, Ph.D., Institut dopravy, Fakulta strojní, VŠB‐TU Ostrava 17. listopadu 15, 708 33 Ostrava‐Poruba, Tel.: +420 59 732 4553 [email protected]
75
Analýza rizik (FMEA) Ing. Michal Richtář – Institut dopravy, Fakulta strojní, VŠB-TU Ostrava
Úvod Historie řízení rizik začala počátkem 50. let dvacátého století. Velké průmyslové společnosti si začaly kupovat pojistné krytí podle skutečného vystavení rizikům. Jejich cílem bylo dosáhnout vysokých slev pojistného vytvořením podmínek pro snížení podnikatelských rizik a přijímáním preventivních opatření ve vztahu k poznanému potenciálnímu nebezpečí. Vyprofiloval se nový obor lidské činnosti „rizikové inženýrství“ zaměřené na minimalizaci rizik. Jeho význam v současné době podtrhuje i úsilí normalizačních institucí standardizovat pojmy a činnosti zahrnuté pod pojmem „Management rizik“. Úlohy se ujala technická normalizační komise ISO TC 176, která je nejen shodou okolností i nositelem prací na normách Managementu jakosti. Tato vazba je logická a pochopitelná, neboť řada požadavků systémů managementu jakosti směřuje k minimalizaci zvláště technologických rizik. Zůstává však řada rizik, které nejsou systémy jakosti pokryty zcela (lidská, politická, legislativní, sociální, ekonomická, přírodní, kriminální, požární….). V rámci integrovaných systémů managementu je přirozenou snahou dostat i tato rizika pod kontrolu a cíleně je v podniku řídit. Management rizik je dnes plnoprávná moderní disciplína patřící do oblasti manažerských znalostí a dovedností. Již s ohledem na stále se zpřísňující legislativní podmínky podnikání patří mezi základní nástroje manažerského rozhodování. Praxe ukazuje, že podcenění této disciplíny může vést k vysokým finančním ztrátám a v extrémních případech i k přerušení kontinuity podnikání.[1]
1. Principy řízení rizik Management rizik je souhrn preventivních činností sloužících k poznání, ocenění a minimalizaci rizik v podnikové praxi.
76
Účinný management rizik v sobě musí vždy zahrnovat: – ANALÝZU RIZIK (risk analysis), – HODNOCENÍ RIZIK (risk evaluation), – ŘÍZENÍ RIZIK (risk control). Analýza rizik Je systematické použití dostupných informací k identifikaci potenciálního nebezpečí, odhadu rizika s ohledem na ochranu oprávněného zájmu společnosti z hlediska ochrany života, zdraví, majetku a životního prostředí. Hodnocení rizika Je proces, při kterém se utváří úsudek o přijatelnosti rizika na základě analýzy rizika a při kterém se berou v úvahu faktory jako sociálně – ekonomická hlediska a hlediska vlivu na životní prostředí. Řízení rizika Je proces rozhodování pro zvládnutí a/nebo snížení rizika, realizace rozhodnutí, jeho prosazení a opakované hodnocení s použitím výsledků posuzování rizika jako vstupních údajů. Posuzování rizika Analýza rizika spolu s hodnocením rizika se nazývá dohromady posuzování rizika (risk assessment). Analýza, hodnocení a řízení se dohromady nazývá management rizika.[1]
77
Obr. 1 Složky managementu rizika
Proces managementu rizika porovnává výsledky analýzy rizika s kritérii přijatelnosti (sociální, ekonomická, politická, legislativní…). Posuzuje možná řešení, rozhoduje a realizuje opatření ke snížení rizika a sleduje jejich účinnost. Proces analýzy rizika Analýza rizik je týmová činnost. Pracovníci týmu musí být kompetentní, musí znát metody využitelné pro analýzu rizik, musí mít příslušnou odbornou způsobilost a to vše musí být specifikováno a zaznamenáno. Vlastní práce pak probíhá v následujících krocích: 1. Stanovení rozsahu platnosti - důvody (cíle, kritéria úspěšnosti), -
definice systému (popis, rozhraní, prostředí, energie, materiály, informační toky, provozní podmínky…),
-
zdroje informací (právní, normativní, organizační, lidské…),
-
předpoklady a omezení,
-
požadované výstupy a rozhodnutí (kompetence).
2. Identifikace nebezpečí a počáteční vyhodnocení následků 78
Zde se vychází z předcházejících zkušeností s podobnými problémy. Na základě výsledků se volí z následujících postupů: -
zavedení nápravných opatření,
-
ukončení analýzy,
-
pokračování odhadem rizika.
3. Odhad rizika Nelze vždy plně kvantifikovat díky nedostatku informací o systému, poruchách a lidském faktoru. Analyzují se všechny možné příčiny. -
analýza četností (odhad pravděpodobnosti výskytu na základě údajů z minulosti, simulací a analýz, znaleckých posudků),
-
analýza následků (závažnost následků spojených s nebezpečím se posuzuje z pohledu pravděpodobného dopadu s ohledem na podobné události z minulosti, popis následků, existující opatření ke zmírnění následků, možné pozdější a sekundární škody),
-
výpočet rizik (předpověď úmrtnosti, nemocnosti, grafy, statisticky vyjádřené očekávané ztráty na životech, výrobní náklady a škody na životním prostředí, vrstevnicový graf rozdělení pravděpodobnosti rizika),
-
odhad nejistot (analýza citlivosti na změny parametrů zvoleného modelu).
4. Odhad rizika Vlastní výpočet rizik vychází z matematického vyjádření rizika jako funkce více proměnných. R = f(p1, p2,... pn) Proměnné jsou nejčastěji dvě – pravděpodobnost výskytu, a velikost následků. U analýzy FMEA jsou však proměnné tři – navíc je pravděpodobnost odhalení.
79
Obr. 2 Stanovení hranice přijatelnosti rizika
Proces hodnocení rizika Je-li obecně stanovena hranice přijatelnosti rizika, je možné všechna vyšetřená rizika rozdělit do dvou skupin – přijatelná rizika a nepřijatelná rizika. Na otázku, kde však leží ona hranice přijatelnosti, neexistuje jednoznačná odpověď. Stanovení této hranice je pro každý podnikatelský subjekt jedinečné a neopakovatelné. Stanovení hranice přijatelnosti je subjektivní a je ovlivněno mnoha faktory. Je to ryze manažerská úloha. Proces řízení rizika Cílem je poznaná počáteční rizika eliminovat (zcela vyloučit), redukovat (snížit) a převést (např. pojištěním) na úroveň zbytkového (akceptovatelného) rizika. I zbytková rizika by měla být poznána a v maximální míře pochopeny jejich možné následky. Není možné a mnohdy ani vhodné vyloučit všechna rizika. Rizika se také mění s časem, a proto analýza rizik není jednorázová činnost, ale kontinuální proces.[1]
80
Obr. 3 Proces managementu rizika
Mezi metody eliminace a redukce rizik lze kromě jiných zařadit všechny preventivní opatření a metody zlepšení řazené v logickém sledu a zaměřené na: -
konstrukci výrobku,
-
bezpečnost,
-
varovný systém,
-
organizaci práce.
Konstrukční opatření nám umožňují zabudovat požadavek bezpečnosti přímo do výrobku. Nelze-li rizika konstrukčními opatřeními snížit, nastupují bezpečnostní opatření, poté systémy varování a organizační opatření. Opatření ke snížení rizik jsou vždy spojena s náklady, proto by i rozhodování o přijetí konkrétního opatření mělo vycházet z porovnání nákladů na krytí ztrát s náklady na zavedení příslušných opatření. Dále platí zásada, že čím dříve jsou opatření v životním cyklu projektu, výrobku či procesu nasazeny, tím jsou efektivnější a méně nákladná. Ochrana života a životního prostředí musí mít však vždy prioritu před ekonomickými hledisky. Rizika, která nemohou být eliminována, jsou v závislosti na finančních možnostech firmy buď ponechána ve zbytkových rizicích a firma je vědomě nese, nebo mohou být přenesena na pojišťovací společnosti. Existují však mnohá rizika, která nelze přenést. Jsou to především ta rizika, která nelze bezprostředně vyčíslit: 81
-
redukovaná životnost výrobku,
-
ztráta image,
-
ztráta klientely a podílu na trhu,
-
ztráta investic v marketingu a výzkumu,
-
ztráta kvalifikovaného personálu,
-
následky nové legislativy,
-
následky reakce okolí.
Základem Analýzy rizik technologických systémů je odpověď na 3 otázky (Obr. 2.4), a to směrem k výskytu problémů, jejich pravděpodobnost výskytu a případné následky a dopady, jestliže problém nastane.
Obr. 4 Základní otázky analýzy rizika
Cílem Analýzy rizik technologických systémů je připravit podklady pro zabránění nebo snížení: -
ztrát na životě
-
vzniku úrazů (onemocnění)
-
škod na majetku a následných finančních ztrát
-
negativních vlivů na životní prostředí. 82
Uplatnění analýzy rizika Analýza rizika se uplatní v několika stádiích vlastního procesu. 1. Ve stádiu návrhu a vývoje lze vysledovat následující cíle: -
identifikace hlavních prvků a faktorů přispívajících k riziku
-
poskytnutí vstupních údajů pro návrh a vývoj a posouzení přiměřenosti
-
identifikace a vyhodnocení bezpečnostních opatření
-
poskytnutí vstupních údajů pro posuzování přijatelnosti
-
poskytnutí informací pro návrh postupů za normálních a nouzových podmínek
-
vyhodnocení rizika s ohledem na požadavky (zákazník, legislativa, standardy…)
-
vyhodnocení alternativních koncepcí.
2. Ve stádiu výroby, prodeje, instalace, použití, provozu, údržby jsou cíle analýzy rizik: -
sledování a vyhodnocení zkušeností a prověření skutečného provedení se stanovenými požadavky
-
poskytnutí vstupních údajů pro optimalizaci za normálních podmínek i v nouzových podmínkách
-
aktualizace informací o rizikových součástech systémů
-
poskytnutí informací o významnosti rizika pro operativní rozhodování
-
vyhodnocení organizačních změn, technologických a provozních postupů
-
zaměření na výcvik.
3. Ve stádiu likvidace jsou cíle následující: -
vyhodnocení rizik při likvidaci a zajištění splnění požadavků
-
poskytnutí vstupních údajů pro likvidaci
2. Metody analýzy rizika Jako základ pro vstup do problematiky analýzy rizik je s výhodou možno použít standardy např. ČSN IEC 300-3-9 Management spolehlivosti. Norma při své aplikaci poskytuje vstupní údaje pro činnosti v rámci managementu a analýzy rizik. Riziko Je komplexní veličinou tvořenou kombinací následků nebezpečí a pravděpodobnosti výskytu nebezpečného jevu (události, děje). 83
Metody a postupy používané k analýzám a hodnocení rizika, lze dělit podle různých kritérií. Existuje tedy řada metod, např. PHA, What - If, FTA, ETA, FMEA, FMECA, PHA, HAZOP, RBD, atd. Dělení metod a postupů Metody a postupy používané k analýzám a hodnocení rizika lze dělit podle různých kritérií: • podle aplikovaného přístupu na: – systematické metody (HAZOP, FMEA, ….) – nesystematické metody (PHA, What - If, ….) •
podle způsobu vyjádření výsledků na: – kvantitativní metody (FTA, ETA, …. ) – kvalitativní metody (FMEA, FMECA, ….)
•
podle stupně podrobnosti analýzy rizika a schopnosti kvantifikace míry rizika na: – srovnávací metody (Checklist Analysis, ….) – analytické metody založené na deterministickém přístupu (PHA, HAZOP, FTA, ETA, RBD, ……) – analytické metody založené na pravděpodobnostním přístupu (FTA, ETA, RBD, ……)
Systematické a nesystematické metody (dle aplikovaného přístupu) Nesystematické metody: – Bezpečnostní audit (Safety Review – SR); – Relativní klasifikace (RR – Relative Ranking); – Indexové metody (Dow´s Fire and Explosion Index (F&EI), Rapid Ranking, – Předběžná analýza nebezpečí (PHA – Preliminary Hazard Analysis); – Analýza „Co-když“ (WI – What-If Analysis); Systematické metody: -
Studie nebezpečí a provozuschopnosti (HAZOP – Hazard Operability Studies)
-
Analýza způsobů a důsledků poruch (FMEA – Failure Mode and Effect Analysis)
Kvalitativní a kvantitativní metody (dle způsobu vyjádření výsledků) Kvalitativní metody 84
-
Rizika jsou vyjádřena v určitém rozsahu (například jsou obodována v intervalu 1 až 10, nebo určena pravděpodobnostní hodnotou v intervalu 0 až 1)
-
Úroveň je určována obvykle kvalifikovaným odhadem.
-
Jsou jednoduché a rychlé, ale více subjektivní.
-
Obvykle přináší problémy v oblasti zvládání rizik, při posuzování přijatelnosti finančních nákladů nutných k eliminaci hrozby, která může být kvalitativní.
Kvantitativní metody -
Jsou založeny na matematickém výpočtu rizika z frekvence výskytu hrozby a jejího dopadu.
-
Nejčastěji je vyjádřeno riziko ve formě roční předpokládané ztráty
-
Kvantitativní metody jsou více exaktní než kvalitativní. Jejich provedení sice vyžaduje více času a úsilí, poskytují však vyjádření rizik, které je pro jejich zvládání výhodnější.
-
Nevýhodou je jejich náročnost na provedení a zpracování výsledků a vysoce formalizovaný postup, jenž může vést k tomu, že nebudou postihnuta některá specifika posuzovaného subjektu.
Srovnávací metody Postupy této kategorie jsou zaměřeny zejména na identifikaci zdrojů rizik. Pracují většinou na základě porovnávání a aplikování provozních zkušeností získaných z provozu nebezpečných zařízení (doplněné prohlídkou zařízení) s cílem odhalit slabiny nebezpečného zařízení a seřadit systémy, skupiny, uzly podle subjektivního posouzení jejich potenciálně možného podílu na příčinách a průběhu nebezpečné události. Zástupci: -
Bezpečnostní audit (SA/SR – Safety Audit/Safety Review),
-
Analýza (procesu/systému) kontrolním seznamem (CA – (Checklist Analysis),
-
Relativní klasifikace (RR – Relative Ranking),
-
Dow and Mond Hazard Indices. 85
Analytické metody založené na deterministickém přístupu Jde o postupy a metody, které jsou zaměřeny na identifikaci zdrojů rizik, analyzují příčiny vzniku nebezpečných událostí a scénáře jejich rozvoje. Pro definované nebezpečné události se vytváří seznam poruch systémů, komponent a chyb obsluhy, které k těmto událostem vedou. Výsledky dávají dobrou představu o chování nebezpečného zařízení, neumožňují však stanovit pravděpodobnost výskytu nebezpečných jevů, pravděpodobnosti selhání pro bezpečnost důležitých komponent, systémů a zásahů obsluhy. Zástupci: -
Předběžná analýza nebezpečí (PHA – Preliminary Hazard Analysis),
-
Studie nebezpečí a provozuschopnosti (HAZOP – Hazard Operability Studies),
-
Analýza způsobů a důsledků poruch (FMEA – Failure Mode and Effect Analysis),
-
Analýza stromu událostí (ETA – Event Tree Analysis),
-
Analýza stromu poruch (FTA – Failure Tree Analysis),
-
Analýza spolehlivosti lidského činitele (HRA – Human Realiability Analysis).
Analytické metody založené na pravděpodobnostním přístupu Skupina metod, které jsou jediné schopny hodnotit rizika kvantitativně (číselně). Na základě provedených analýz vzniku a rozvoje nebezpečné události se sestavuje seznam všech primárních jevů (poruch komponent, systémů, chyb obsluhy, nepříznivých externích vlivů atd.), které samostatně nebo v kombinacích vedou ke vzniku nebezpečné události. K primárním jevům jsou přiřazeny pravděpodobnosti jejich výskytu a vypočítává se pravděpodobnost vzniku nebezpečné události. Zástupci: -
Kvantitativní Analýza stromu poruch/událostí – (FTA, ETA),
-
Metody a postupy, založené na využití aparátu (teorie) blokových diagramů (RBD), orientovaných grafů a Markovových procesů (MA).
86
Obr. 5 Obecná charakteristiky nejpoužívanějších metod ve spolehlivosti
3. Některé základní metody stanovení a analýzy rizik Check List (kontrolní seznam) Kontrolní seznam je postup založený na systematické kontrole plnění předem stanovených podmínek a opatření. Seznamy kontrolních otázek (checklists) jsou zpravidla generovány na základě seznamu charakteristik sledovaného systému nebo činností, které souvisejí se systémem a potenciálními dopady, selháním prvků systému a vznikem škod. Jejich struktura se může měnit od jednoduchého seznamu až po složitý formulář, který umožňuje zahrnout různou relativní důležitost parametru (váhu) v rámci daného souboru. Safety Audit (bezpečnostní kontrola) Bezpečnostní kontrola je postup hledající rizikové situace a navržení opatření na zvýšení bezpečnosti. Metoda představuje postup hledání potenciálně možné nehody nebo provozního problému, který se může objevit v posuzovaném systému. Formálně je používán připravený seznam otázek a matice pro skórování rizik. What – If Analysis (analýza co – když) 87
Analýza toho, co se stane když, je postup na hledání možných dopadů vybraných provozních situací. V podstatě je to spontánní diskuse a hledání nápadů, ve které skupina zkušených lidí dobře obeznámených s procesem klade otázky nebo vyslovuje úvahy o možných nehodách. Není to vnitřně strukturovaná technika jako některé jiné (např. HAZOP a FMEA). Namísto toho po analytikovi požaduje, aby přizpůsobil základní koncept šetření určitému účelu. Preliminary Hazard Analysis – PHA (předběžná analýza ohrožení) Předběžná analýza ohrožení – též kvantifikace zdrojů rizik je postup na vyhledávání nebezpečných stavů či nouzových situací, jejich příčin a dopadů a na jejich zařazení do kategorií dle předem stanovených kritérií. Koncept PHA ve své podstatě představuje soubor různých technik, vhodných pro posouzení rizika. V souhrnu se nejčastěji pod touto zkratkou jedná o následující techniky posuzování: what-if; what-if/checklist; hazard and operability (HAZOP) analysis; failure mode and effects analysis (FMEA); fault tree analysis; kombinace těchto metod; ekvivalentní alternativní metody. Process Quantitative Risk Analysis – QRA (analýza kvantitativních rizik procesu) Kvantitativní posuzování rizika je systematický a komplexní přístup pro predikci odhadu četnosti a dopadů nehod pro zařízení nebo provoz systému. Analýza kvantitativních rizik procesu je koncept, který rozšiřuje kvalitativní (zpravidla verbální) metody hodnocení rizik o číselné hodnoty. Algoritmus využívá kombinaci (propojení) s jinými známými koncepty a směřuje k zavedení kritérií pro rozhodovací proces, potřebnou strategii a programy k efektivnímu zvládání (řízení) rizika. Vyžaduje náročnou databázi a počítačovou podporu. Hazard Operation Process – HAZOP (analýza ohrožení a provozuschopnosti) HAZOP je postup založený na pravděpodobnostním hodnocení ohrožení a z nich plynoucích rizik. 88
Jde o týmovou expertní multioborovou metodu. Hlavním cílem analýzy je identifikace scénářů potenciálního rizika. Experti pracují na společném zasedání formou brainstormingu. Soustřeďují se na posouzení rizika a provozní schopnosti systému (operability problems). Pracovním nástrojem jsou tabulkové pracovní výkazy a dohodnuté vodicí výrazy (guidewords). Identifikované neplánované nebo nepřijatelné dopady jsou formulovány v závěrečném doporučení, které směřuje ke zlepšení procesu. Event Tree Analysis – ETA (analýza stromu událostí) Analýza stromu událostí je postup, který sleduje průběh procesu od iniciační události přes konstruování událostí vždy na základě dvou možností – příznivé a nepříznivé. Metoda ETA je graficko - statistická metoda. Názorné zobrazení systémového stromu událostí představuje rozvětvený graf s dohodnutou symbolikou a popisem. Znázorňuje všechny události, které se v posuzovaném systému mohou vyskytnout. Podle toho jak počet událostí narůstá, výsledný graf se postupně rozvětvuje jako větve stromu. Failure Mode and Effect Analysis – FMEA (analýza selhání a jejich dopadů) Analýza selhání a jejich dopadů je postup založený na rozboru způsobů selhání a jejich důsledků, který umožňuje hledání dopadů a příčin na základě systematicky a strukturovaně vymezených selhání zařízení. Metoda FMEA slouží ke kontrole jednotlivých prvků projektového návrhu systému a jeho provozu. Představuje metodu tvrdého, určitého typu, kde se předpokládá kvantitativní přístup řešení. Využívá se především pro vážná rizika a zdůvodněné případy. Vyžaduje aplikaci počítačové techniky, speciální výpočetní program, náročnou a cíleně zaměřenou databázi. Fault Tree Analysis – FTA (analýza stromu poruch) Analýza stromu poruch je postup založený na systematickém zpětném rozboru událostí za využití řetězce příčin, které mohou vést k vybrané vrcholové události. 89
Metoda FTA je graficko analytická popř. graficko statistická metoda. Názorné zobrazení stromu poruch představuje rozvětvený graf s dohodnutou symbolikou a popisem. Hlavním cílem analýzy metodou stromu poruch je posoudit pravděpodobnost vrcholové události s využitím analytických nebo statistických metod. Proces dedukce určuje různé kombinace hardwarových a softwarových poruch a lidských chyb, které mohou způsobit výskyt specifikované nežádoucí události na vrcholu. Human Reliability Analysis – HRA (analýza lidské spolehlivosti) Analýza lidské spolehlivosti je postup na posouzení vlivu lidského činitele na výskyt pohrom, nehod, havárií, útoků apod. či některých jejich dopadů. Koncept analýzy lidské spolehlivosti HRA směřuje k systematickému posouzení lidského faktoru (Human Factors) a lidské chyby (Human Error). Ve své podstatě přísluší do zastřešující kategorie konceptu předběžného posuzování PHA. Zahrnuje přístupy mikroergonomické (vztah “člověk-stroj”) a makroergonomické (vztah systému “člověk - technologie”). Analýza HRA má těsnou vazbu na aktuálně platné pracovní předpisy především z hlediska bezpečnosti práce. Uplatnění metody HRA musí vždy tvořit integrovaný problém bezpečnosti provozu a lidského faktoru v mezních situacích různých havarijních scénářů, tzn. paralelně a nezávisle s další metodou rizikové analýzy. Probabilistic Safety Assessment – PSA (metoda pravděpodobnostního hodnocení) Metoda stanovuje příspěvky jednotlivých zranitelných částí k celkové zranitelnosti celého systému. Metodika PSA se skládá z pochopení systému zařízení a ze shromáždění relevantních dat o jeho chování při provozu; identifikace iniciačních událostí a stavů poškození zařízení; modelování systémů a řetězců událostí pomocí metodiky založené na logickém stromu; hodnocení vztahů mezi událostmi a lidskými činnostmi; vytvoření databáze dokumentující spolehlivost systémů a komponent. Tato technologie se používá např. k modelování scénářů hypotetických jaderných havárií, které vedou k tavení aktivní zóny a k odhadnutí četnosti takových havárií. 90
As Low As Reasonably Practicable – ALARP (Co nejnižší rozumně dosažitelné riziko) Zkratka ALARP znamená „co nejnižší rozumně dosažitelné riziko“ a označuje, že se vývojář musí snažit dosáhnout co nejnižšího rizika a u hazardních stavů, kde se nepodaří dosáhnout všeobecně uznávané hodnoty, může být riziko uznáno (není-li hodnota příliš vysoká), pokud se prokáže, že jej nelze rozumným způsobem dále snížit. Prokázání lze opřít o použití nejnovějších technických prostředků, platných standardů apod. Kategorizace rizika je ohodnocena do třech různých stupňů následovně: a) dané riziko je tak velké, že je nutné jej zcela odmítnout, b) dané riziko je mezi dvěma předchozími stavy a už bylo sníženo na nejnižší možnou úroveň, s přihlédnutím na přínosy, které plynou z jeho přijetí a se zvážením nákladů na jakékoliv jeho další snížení, c) dané riziko je tak malé (nebo bylo provedeno tak malým), že je bezvýznamné.
Obr. 6 Princip metody ALARP
4. Analýza FMEA Je metoda původně vyvinutá pro ministerstvo obrany USA, dále byla vylepšována v oblasti automobilového
průmyslu.
FMEA
je
metoda
určená
pro
zjišťování
závažnosti
potencionálních způsobů poruch a poskytování vstupu pro opatření k jejich zmírnění. V některých aplikacích se do analýzy FMEA zahrnuje také odhad pravděpodobnosti výskytu 91
způsobů poruch jako zdokonalení prováděné analýzy. V rámci aplikace metody FMEA se uvažuje způsob, jakým by mohlo dojít k poruše zařízení a účinky poruchy. Před použitím analýzy je nutné provést hierarchické rozčlenění systému (hardwaru se softwarem či procesu) na základní prvky. Analýza začíná od prvků na nejnižším stupni. Důsledek způsobu poruchy na nižším stupni se potom může stát příčinou poruchy pro způsob poruchy objektu na následujícím vyšším stupni. Při analýze se postupuje způsobem zdola nahoru, dokud není zjištěn konečný důsledek pro systém. Pro lepší informaci o vztahu jednotlivých poruch je vhodné analýzu FMEA dále rozšířit o analýzu FTA. Rizika jsou vyjádřena v určitém rozsahu (například jsou obodována v intervalu 1 až 10, nebo určena pravděpodobnostní hodnotou v intervalu 0 až 1). Úroveň je určována obvykle kvalifikovaným odhadem. Je to induktivní metoda pro kvalitativní analýzu bezporuchovosti a bezpečnosti systému od nižší k vyšší úrovni členění systému a určení, jakým způsobem mohou objekty na nižší úrovni selhat a jaký důsledek mohou mít tato selhání pro vyšší úrovně systému. Využití metody
metoda předběžného varování – v etapě návrhu a vývoje systému, návrh konstrukčních změn systému, požadavky na provedení zkoušek, informace pro návrh diagnostických postupů, systému údržby apod.
Klasifikace závažnosti poruchy Závažnost je posouzení významnosti důsledku způsobu poruchy pro provoz objektu. Klasifikace závažnosti důsledků silně závisí na aplikaci analýzy FMEA a je nutné uvážit několik faktorů: -
povahu systému ve vztahu k možným důsledkům pro uživatele nebo životní prostředí vyplývajícím z poruchy technické charakteristiky systému nebo procesu smluvní požadavky kladené zákazníkem obecné bezpečnostní požadavky vyplývající z vládních nařízení nebo požadavky vyplývající ze záruky; Tab. 1 Klasifikace závažnosti poruchy
92
Klasifikace četnosti poruchy Dalším krokem je stanovení četnosti výskytu poruchy. Opět je nutno v nastaveném hodnocení stupnice, obvykle 1 -10, ohodnotit míru četnosti výskytu poruchy komponenty. Tab. 2 Klasifikace četnosti poruchy
Klasifikace odhalitelnosti poruchy Posledním krokem je stanovení odhalitelnosti výskytu poruchy. Opět je nutno jakýmsi expertním odhadem v nastaveném hodnocení stupnice, ohodnotit míru odhalitelnosti výskytu poruchy komponenty. 93
Tab. 3 Klasifikace odhalitelnosti poruchy
Vyhodnocení analýzy Vlastní výpočet významnosti rizika vychází z matematického vyjádření rizika jako funkce více proměnných - RPN (Risk Priority Number). RPN = f (p1, p2, ... pn) Proměnné jsou nejčastěji dvě – velikost následků a pravděpodobnost výskytu. Určení významnosti rizika RPN = závažnost poruchy x četnost poruchy U analýzy FMEA jsou však proměnné tři – navíc je zde zakomponována pravděpodobnost odhalení poruchy, tak jak byla představena výše. RPN = závažnost poruchy x četnost poruchy x odhalitelnost poruchy Výsledkem aplikace je návrh a realizace opatření vedoucích ke snížení možnosti vzniku definovaných vad a rizik.
94
Obr. 7 Příklad obecného formuláře pro FMEA analýzu
Provedení analýzy FMEA Vlastní provedení FMEA analýzy lze shrnout do několika přehledných kroků: 1. Analýza bez technických opatření. 2. Určení nutných opatření ke snížení rizika. - provádění automatických diagnostických testů - návrh omezení architektury systému 3. Analýza s technickými opatřeními. 4. Posouzení redukce rizika.
95
Modul UniAVV - Srovnání Risk Priority Number (RPN) 500 450 400 Σ RPN [-]
350 300 250 200 150 100 50
O JV 5* _R C 11 B _C RV 9_ CR V
4_
3_
CR
V
B RC
3_
V
B
CR 1_
V
1_
CR
RC
B 6_
RC
RV
2_
10
_C
V
V
CR 7_
CR
V 5_
4_
CR
V
B RC
CR 2_
5_
8_
CR
V
0
číslo funkce
bez opatření
s opatřeními
Obr. 8 Porovnání hodnot RPM před a po provedení opatření
5. Závěr Funkční bezpečnost představuje mezinárodně platný bezpečnostní standard pro zařízení, které plní bezpečnostní funkce. Hlavním cílem správné aplikace standardu funkční bezpečnosti je snížení rizika možnosti zranění lidí, poškození výroby nebo narušení životního prostředí. Problémem je navrhnout takový systém, který by zabránil vzniku nebezpečných poruch, popř. je kontroloval při jejich výskytu. Nedílnou součástí funkční bezpečnosti je také problematika vlastní analýzy rizik. Metod pro analýzu rizik je celá řada, ale aktuálně se prosazuje analýza FMEA, často ve spojitosti s metodou FTA. FMEA analýza představuje systémový přístup k prevenci nejakosti a rizik. Umožňuje odhalit riziko možných vad a stanovit priority opatření ke zlepšení. Optimalizuje návrh, což se projeví ve snížení počtu změn ve fázi realizace a vytváří cenné informační databáze o produktu či procesu. Náklady na její provedení jsou nižší než náklady, které by mohly vzniknout při výskytu vad 96
Literatura http://www.komora-khk.cz/business/documents/?soubor=moduly/5-jakost/12neustale-zlepsovani/12-2-fmea.pdf [1]
[2] FAMFULÍK J., KRZYŽANEK R., MÍKOVÁ J. Analýza rizika modulu automatického
vedení vlaku UniAVV. Dílčí řešitelská zpráva projektu FT – TA4/036. Ostrava, 2009. [3] ČSN EN 61508 Funkční bezpečnost elektrických/elektronických/programovatelných
elektronických systémů. Český normalizační institut, Praha, 2002.
Kontakt Ing. Michal Richtář Institut dopravy, Fakulta strojní, VŠB‐TU Ostrava 17. listopadu 15, 708 33 Ostrava‐Poruba, Tel.: +420 59 732 1229 [email protected]
97