Analiza drzewa błędów (fault tree analysis)

ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM

GENERAL ISSUES IN SCOPE OF RISK MANAGEMENT

2. METODY WYKORZYSTYWANE W OCENIE RYZYKA 89

2.6. Analiza drzewa błędów (fault tree analysis)

117 Źródło: opracowanie własne.

Pożar w serwerowni

ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM

Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003

Informacjami wyjściowymi z zastosowanej metody są:

1. logiczna analiza ryzyka, uwzgledniająca różne decyzje, które mogą być brane pod uwagę,

2. wynik oczekiwanej wartości dla każdej możliwej ścieżki.

Największymi atutami przedstawianej metody są:

1. wyraźne, graficzne przedstawienie szczegółów problemu decyzyjnego, 2. możliwość wybrania najlepszej drogi podjęcia decyzji.

Ograniczenia metody:

1. duże drzewa decyzyjne mogą być skomplikowane i trudne do prześle-dzenia,

2. występuje niebezpieczeństwo nadmiernego upraszczania sytuacji w celu sformułowania diagramu.

2.6. Analiza drzewa błędów (fault tree analysis)

To jedna z metod QRA: Qualitative Risk Assessment (jakościowa metoda oceny), czyli definiujących konsekwencje, prawdopodobieństwo i poziom ryzy-ka poprzez określenia: duże, średnie i małe – bez wartości liczbowych¹¹⁸. Do tego rodzaju zalicza się także metody: drzewa decyzji i drzewa zdarzeń. Wszyst-kie metody QRA bazują na konstruowaniu drzewa logicznego. Pokazuje ono powiązane poszczególne przyczyny określonego zdarzenia (i jego konsekwen-cje). Dane pokazujące liczbę zdarzeń niepożądanych mogą być wykorzystywane w drzewach w celu obliczenia prawdopodobieństwa wystąpienia danej przy-czyny i konsekwencji.

Metodę uznaje się wtedy za mieszaną: ilościową i jakościową¹¹⁹. Technika polega na pokazaniu głównego zdarzenia i rozrysowania w formie diagramu wszystkich czynników mogących doprowadzić do jego powstania. Po rozryso-waniu należy rozważyć metody redukcji bądź eliminacji potencjalnych zagro-żeń/ich źródeł. Metoda ta jest pomocna przy identyfikowaniu potencjalnych przyczyn i rozwoju sytuacji i wyliczaniu prawdopodobieństwa wystąpienia zda-rzenia.

118 ISO/IEC 31010 Risk Management – Risk Assessment Techniques, pkt 5.3.1.

119 Patrz: AS/NZS 4360:2004 Risk Management, s. 18-19.

Informacjami wyjściowymi z zastosowanej metody są:

1. logiczna analiza ryzyka, uwzgledniająca różne decyzje, które mogą być brane pod uwagę,

2. wynik oczekiwanej wartości dla każdej możliwej ścieżki.

Największymi atutami przedstawianej metody są:

1. wyraźne, graficzne przedstawienie szczegółów problemu decyzyjnego, 2. możliwość wybrania najlepszej drogi podjęcia decyzji.

Ograniczenia metody:

1. duże drzewa decyzyjne mogą być skomplikowane i trudne do prześle-dzenia,

2. występuje niebezpieczeństwo nadmiernego upraszczania sytuacji w celu sformułowania diagramu.

2.6. Analiza drzewa błędów (fault tree analysis)

118 ISO/IEC 31010 Risk Management – Risk Assessment Techniques, pkt 5.3.1.

119 Patrz: AS/NZS 4360:2004 Risk Management, s. 18-19.

CZĘŚĆ I

ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM

Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003

Rys. 10. Przykład analizy drzewa błędów¹²⁰

Metodę tę stosuje się w fazie projektowania systemu, w celu wskazania jego słabych punktów. Służy ona także do przeanalizowania rzeczywistej sytuacji – pozwala wówczas pokazać, jak poszczególne zdarzenia, połączone w całość, miały wpływ na powstanie/rozwój sytuacji. Dzięki tej metodzie uzyskujemy przedstawione w formie graficznej zdarzenie oraz ścieżki rozwoju do niego prowadzące, wraz z prawdopodobieństwem ich wystąpienia. Prostotą, ale i ograniczeniem tej metody jest to, iż rozważa tylko dwie opcje: zadziałało/nie zadziałało lub wydarzyło się/nie wydarzyło się.

Tworząc drzewo błędów, rozpoczyna się od pierwszego zidentyfikowanego zdarzenia, które stanowi górę diagramu, a następnie porządkuje w sposób lo-giczny zdarzenia mające wpływ na zaistnienie wydarzenia. Zdarzenia są powią-zane za pomocą dwóch rodzajów tzw. bramek: „i” albo „lub”, w zależności od ich zależności logicznych. Bramka „lub” przedstawia sytuację, w której następ-ne wydarzenie nastąpi, gdy zaistnieje przynajmniej jedno ze zdarzeń „wycho-dzących”. Bramka „i” przedstawia sytuację, w której następne wydarzenie na-stąpi tylko i wyłącznie wtedy, gdy zaistnieją wszystkie zdarzenia „wchodzą-ce”¹²¹.

120 Źródło: opracowanie własne.

121 Na podstawie: P. T. Mitkowski, Ocena ilościowa ryzyka: analiza drzewa błędu (konsekwen-cji), materiały dydaktyczne, Politechnika Poznańska.

WYPADEK

ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM

Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003 Rys. 11. Przykładowe drzewo logiczne wykorzystywane w analizie drzewa błędów¹²² 2.7. Analiza drzewa zdarzeń (event tree analysis)

Drzewa zdarzeń są tworzone po analizie drzewa błędów. Analizują zdarzenia, które wynikają z pojedynczego zdarzenia w postaci prostych bramek logicznych.

Drzewo zdarzeń pozwala na analizę możliwego skutku konkretnego zdarzenia inicjującego¹²³.

Analiza ta przekształca prawdopodobieństwo różnych zdarzeń w możliwe wyniki. Używana jest do wyliczania, modelowania i pozycjonowania scenariuszy następstw podążających za głównym zdarzeniem. Pokazuje rozwój danej sytua-cji w zależności od wybranego scenariusza. Pracę rozpoczyna się od możliwych przyczyn, celem jest określenie finalnego zagrożenia i określenie jego poziomu.

Metoda ta jest użyteczna w analizie systemów zabezpieczających i procedur awaryjnych (procedur reagowania w sytuacjach niekorzystnych dla rozpatry-wanego podmiotu).

122 Źródło: opracowanie własne na podstawie: P. T. Mitkowski, Ocena ilościowa ryzyka: analiza drzewa błędu (konsekwencji) materiały dydaktyczne. W przywołanym przykładzie definicja pojęcia „efekt” jest tożsama z przywołaną definicją pojęcia „konsekwencje”. Patrz: rozdział 1 Zarządzanie ryzykiem według normy ISO 31000, podrozdział 1.1 Norma ISO 31000:2009 – za-kres i przeznaczenie, s. 19.

123 Zdarzenie inicjujące – zdarzenie początkowe w całym łańcuchu zdarzeń, prowadzące do kolejnych, sekwencyjnie występujących zdarzeń niekorzystnych. Źródło: J. Wolanin, Zarys teorii bezpieczeństwa obywateli, DANMAR, Warszawa 2005, s. 174.

Rys. 11. Przykładowe drzewo logiczne wykorzystywane w analizie drzewa błędów¹²² 2.7. Analiza drzewa zdarzeń (event tree analysis)

Drzewa zdarzeń są tworzone po analizie drzewa błędów. Analizują zdarzenia, które wynikają z pojedynczego zdarzenia w postaci prostych bramek logicznych.

Drzewo zdarzeń pozwala na analizę możliwego skutku konkretnego zdarzenia inicjującego¹²³.

Metoda ta jest użyteczna w analizie systemów zabezpieczających i procedur awaryjnych (procedur reagowania w sytuacjach niekorzystnych dla rozpatry-wanego podmiotu).

CZĘŚĆ I

ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM

Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003

Rys. 12. Przykład analizy drzewa zdarzeń¹²⁴

2.8. Ocena niezawodności człowieka (human reliability analysis)¹²⁵

Ocena niezawodności człowieka dotyczy analizy ryzyka pod kątem błędów popełnianych przez ludzi i wpływu tych błędów na wydajność analizowanego systemu. Możliwość popełnienia błędu przez człowieka istnieje właściwie w każdym procesie decyzyjnym, zwłaszcza gdy czas na podjęcie decyzji jest zbyt krótki. Znaczenie tzw. czynnika ludzkiego zostało zaobserwowane w różnych przypadkach, w których błędy popełniane przez człowieka prowadziły do zda-rzeń o konsekwencjach dotkliwych dla rozpatrywanego podmiotu. Przypadki tego rodzaju są ostrzeżeniem dla osób dokonujących oceny ryzyka przed ogra-niczaniem się do oceny, która skupia się wyłącznie na wyposażeniu, maszynach czy oprogramowaniu, ale nie uwzględnia czynnika ludzkiego. Ocena ryzyka, która ignoruje możliwość popełnienia błędu przez ludzi, a uwzględnia jedynie zawodność wyposażenia, nie może być traktowana jako pełna. Metoda HRA jest przydatna w określaniu błędów, które mogą wpływać negatywnie na

124 Źródło: opracowanie własne.

125 ISO/IEC 31010 Risk Management – Risk Assessment Techniques, annex B.20.

WNIOSKI

ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM

Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003

dajność prowadzonych procesów, wskaże również miejsca, gdzie można wpro-wadzić działania korygujące, które zapobiegną tym błędom.

Rys. 13. Przykład oceny niezawodności człowieka¹²⁶

126 Źródło: opracowanie własne.

ZAGROŻENIE EPIDEMIĄ

Czy choroba jest śmiertelna?

Czy na analizowanym obszarze stwierdzono przypadki zachorowań?

DZIAŁANIA PROFILAKTYCZNE

Sprawdzić czy istnieje szczepionka przeciwko danej chorobie

Transport chorych do wcześniej przygotowanych szpitali Zorganizować wsparcie medyczne z innych placówek pomocy medycznej

Odseparowanie chorych od zdrowych obywateli

dajność prowadzonych procesów, wskaże również miejsca, gdzie można wpro-wadzić działania korygujące, które zapobiegną tym błędom.

Rys. 13. Przykład oceny niezawodności człowieka¹²⁶

126 Źródło: opracowanie własne.

ZAGROŻENIE EPIDEMIĄ

Czy choroba jest śmiertelna?

Czy na analizowanym obszarze stwierdzono przypadki zachorowań?

DZIAŁANIA PROFILAKTYCZNE

Sprawdzić czy istnieje szczepionka przeciwko danej chorobie

Poinformować ludność o zagrożeniu

Poinformować ludność o czynnościach profilaktycznych

PRZYGOTOWANIE INFRASTRUKTURY

Sprawdzić dostępność łóżek szpitalnych Sprawdzić stany magazynowe szczepionki Przygotować procedury działał interwencyjnych Przygotować sprzęt i materiały medyczne

DZIAŁANIA INTERWENCYJNE

Transport chorych do wcześniej przygotowanych szpitali Zorganizować wsparcie medyczne z innych placówek pomocy medycznej

Odseparowanie chorych od zdrowych obywateli

CZĘŚĆ I

ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM

Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003

Metodę HRA można wykorzystać pod kątem jakościowym i ilościowym.

Spojrzenie jakościowe polega na identyfikacji możliwości wystąpienia błędów człowieka i ich przyczyn. Dzięki temu można podjąć działania zmniejszające prawdopodobieństwo ich wystąpienia. Wykorzystanie pod kątem ilościowym polega na dostarczaniu danych – np. statystycznych, dotyczących błędów po-pełnianych przez ludzi.

Danymi wejściowymi do metody analizy ryzyka metodą HRA są doświadcze-nia z występowadoświadcze-nia w praktyce różnych rodzajów błędów.

Proces oceny ryzyka metodą HRA obejmuje następujące etapy:

1. określenie rodzaju problemu – co ma być badane/oceniane,

2. analiza zadań – w jaki sposób proces jest wykonywany i w jaki sposób można wesprzeć to zadanie,

3. analiza błędów ludzkich – jakie błędy mogą wystąpić i jak można im za-pobiec,

4. przedstawienie powiązań zadania z innymi elementami systemu (sprzęt, oprogramowanie, środowisko) i określenie ich relacji,

5. oddzielenie błędów ważnych od tych, które nie wymagają szczegółowej analizy,

6. ocena błędów pod kątem prawdopodobieństwa wystąpienia,

7. ocena skutków – które błędy lub zadania są najbardziej wrażliwe, czyli które z nich mają największy wpływ na wysokość ryzyka,

8. redukcja błędów – jak można uzyskać większą niezawodność prowa-dzonych działań,

9. dokumentowanie – wszystkie działania muszą zostać udokumentowa-ne.

Największe atuty metody HRA:

1. stanowi formalny mechanizm w ocenie roli błędów człowieka,

2. może pomóc w zmniejszeniu prawdopodobieństwa wystąpienia zdarzeń niekorzystnych wynikających z błędów popełnianych przez człowieka.

Ograniczenia metody HRA:

1. złożoność i różnorodność osobowości ludzi sprawia, że trudno określić proste przyczyny wystąpienia błędów człowieka, co wiąże się z trudnością oszacowania prawdopodobieństwa wystąpienia tych błę-dów, które doprowadzą do zdarzenia niekorzystnego,

CZĘŚĆ I

ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM

Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003

2. działania ludzi nie zawsze są czarno-białe, dobre lub złe – metoda ta nie uwzględnia „małych” lub „nieistotnych” błędów.

2.9. Analiza muchy (bow tie analysis)¹²⁷

Analiza muchy jest prostym, schematycznym sposobem opisywania i analizowania ścieżek rozwoju zdarzenia od przyczyny do konsekwencji. Kon-centruje się na barierach między przyczynami i zdarzeniem oraz zdarzeniem i jego konsekwencjami.

Metoda ta służy do zobrazowania zagrożenia wraz z zakresem możliwych przyczyn i konsekwencji danego zdarzenia. Schemat muchy można skonstruo-wać, wychodząc od możliwych błędów drzewa zdarzeń (patrz pkt 2.7 niniejsze-go rozdziału), jednakże najczęściej taki schemat sporządza się podczas burzy mózgów (brainstorming)¹²⁸. Jest on stosowany, gdy sytuacja nie gwarantuje pełnej złożoności drzewa błędów. Metoda muchy jest przydatna w przypad-kach, w których istnieje wiele ścieżek/przyczyn zdarzenia niekorzystnego. Me-toda ta jest uważana za prostszą do zrozumienia niż drzewa błędów czy drzewa zdarzeń (patrz pkt 2.6 i 2.7 niniejszego rozdziału), co powoduje, że stanowi uży-teczne narzędzie komunikacyjne.

Wymaganą informacją wejściową w analizie ryzyka metodą muchy są infor-macje na temat przyczyn i konsekwencji zdarzenia, jak również czynników, któ-re mogą zapobiec zdarzeniu lub złagodzić jego przebieg.

Tworzenie diagramu bow tie rozpoczyna się od zdefiniowania zdarzenia nie-korzystnego, które generuje zagrożenie oraz od zdefiniowania samego zagro-żenia. Diagram w swoim centralnym punkcie przedstawia niepożądane zdarze-nie/zagrożenie. Po lewej stronie przedstawiona jest ścieżka pokazująca drzewo zdarzeń, które doprowadziły do jego zaistnienia, a po prawej jego konsekwen-cje. Zasoby wskazują, w których momentach zostały uruchomione środki zarad-cze systemu. Wskazując zarówno przyczyny, jak i konsekwencje, należy pamię-tać o różnych ich klasach (np. ludność, środowisko, gospodarka itp.)¹²⁹.

127 IEC/ISO 31010 Risk Management – Risk Assessment Techniques, annex B.21.

128 IEC/ISO 31010 Risk Management – Risk Assessment Techniques, annex B.1.

129 Patrz szerzej: L. Fabbri, M. Struckl, M. Wood, Guidance on the Preparation of a Safety Report to Meet the Requirements of Directive 96/82/EC as Amended by Directive 2003/105/EC (Seveso II), European Communities, 2005, s. 17-24.

2. działania ludzi nie zawsze są czarno-białe, dobre lub złe – metoda ta nie uwzględnia „małych” lub „nieistotnych” błędów.

2.9. Analiza muchy (bow tie analysis)¹²⁷

127 IEC/ISO 31010 Risk Management – Risk Assessment Techniques, annex B.21.

128 IEC/ISO 31010 Risk Management – Risk Assessment Techniques, annex B.1.

CZĘŚĆ I

ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM

Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003

W praktyce tworzenie diagramu trwa niekiedy wiele godzin. Praca nad nim może polegać na zadawaniu ukierunkowanego zestawu pytań zespołowi eks-pertów, którzy mają codziennie styczność z zagrożeniem. Pytania powinny być zadawane przez osobę mającą doświadczenie w tworzeniu diagramów tego typu. Odpowiedzi na pytania pozwolą na zbudowanie całego diagramu. Analiza muchy opiera się na technice burzy mózgów, jednak jest to metoda sformali-zowana, wymaga racjonalnego, analitycznego spojrzenia na mechanizmy rzą-dzące danym ryzykiem.

Obecnie istnieją narzędzia informatyczne, które wspomagają i ułatwiają stworzenie diagramu. Jeżeli takie właśnie oprogramowanie jest używane, wie-dza ekspercka na temat ryzyka może być ograniczona.

Efektem analizy ryzyka metodą muchy jest schemat przedstawiający główne szlaki ryzyka oraz bariery, które mają zapobiegać skutkom zagrożenia lub łago-dzić je.

Zaletą tej metody jest łatwość w zrozumieniu i przejrzysta forma pokazania zdarzenia. Wymaga ona zrozumienia przyczyn i skutków ryzyka oraz barier i kontroli, które mogą mu zapobiec, zmniejszyć je lub stymulować. W rezultacie otrzymujemy główne ścieżki rozwoju ryzyka.

Ograniczenia metody:

1. nie może posłużyć do opisu zdarzenia mającego kilka przyczyn (jedno-cześnie),

2. może nadmiernie upraszczać skomplikowane sytuacje.

CZĘŚĆ I

ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM

Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003

Rys. 14. Przykład analizy muchy¹³⁰

2.10. Metoda konserwacji ukierunkowana na niezawodność – RCM (reliability

W dokumencie Zarządzanie ryzykiem (Stron 73-81)