Invloed van menselijk falen op de betrouwbaarheid van een dieselelectrische voortstuwings-installatie van een onderzeeboot + Bijlagen

Oinivb3d va merek iTaDe

op ds

:brothe v

eeir

eDeDecttrösc vooi

e3n onderzeebòo

Nli&veb E3V. IDem 4ij

Tecmce Umverü1te

IDDft

SaMmsomdes

Nevesbu

VOORWOORD

De opleiding tot scheepsbouwkùndig ingenieur aan de facülteit der Maritierne Techniek, oude stiji, van de Technische Universiteit te Deift wordt door de student afgerond met een drietal opdraçhten nl.:

- scriptie,

- cursuswerk,

- afstudeeropdracht.

lflhet kader van de Iaatste opdracht, zie hoofdstuk i van de bijiage,, is dit versiag tot stand gekomen.

Evenals de eerste twee is oök de derde opdracht in nauwe same nwerking met Nevesbu B.V. uitgevoerd

Nevesbu B'V. :heeft ook hier zowel de opdracht als de uitwerkingsrogelijkheden

geboden.

Daarnaast hebben de volg.e.nde. bedrijven hun redewerking verleend: in de vorm van

ideeën en / of begeleiding:

- Instituut voor Zintuig Fysiologie,

Technische Universiteit Deift.

In het bi jzondór wil ¡k Dr ir. AA. Ham van Nevesbu B.V. bedanken voor zijn persoonlijke begeleiding, waardoor ¡k dit versiag vóór dé gestelde datum met veel plezier heb kunnen voltooien.

Copyrights: Reproduction, utilization or disclusure to third parties in any form is not allowed without written consent.

8.\. Nederlandse Vèrenlgde INVLOED VAN MENSEUJK FALEN OP Sh.nr. :2 Scheepsbouw Bureaus. DE BETROUWBAARH EID VAN EEN Pev.

P;o. Box 16350, 2500 ai, DIESELELECTPISCHE VOORTSÎIJWINGS- Date : July 30, 1987

i

Nevesbu

B.V. Nederlandse Verenlgde Scheepsbouw Bureaus,

RO. Box 16350,2500BJ,

The Hague. The Netherlands.

INH. UD Voorwoord Samenvatting 1. 'Inleiding 2.1. 2.i..1. 2.1L2. 2.2. 2.2.1. 2.2.2. 2.2.2.1. 2.2.2.2. 2.22.3. 2.2.2.4. 2.2.3. 2.2.4. 2.2.4.1. 2.2.4.2. 3.1. .3.2. 3.2.1. 3.2.1.1. 3.2.1.2; 3.2.1.3.. 3.2.1.4. 3.2.2. 3.2.2.1. 3.2.2.2. 3.2.2.3. 3.3.. 3.3.1.

INVLOED VAN MENSEUJK FALEN OP DE BETROUWBAARHEID VANEEN

DIESELELECTRISCHE VOORTSTIJWINGS-INSTALLAI1E VAN EEÑ ONDERZEEBOOT.

Voorwaarden en beperkirigen analyse renselijk falen

Oorzaken van menselijk falen 'Niet opvolgen van de voorschriften

Falende aandacht Faaldata

Menselijke fouten

In:Ioed op grootte van de kansen

Persoonhijke factorefl

Stressöre n

Afhankelijkheid menselijk talen

Tusse ntijds. herstellen met geheugenwerking Beperki'ngen faaldata' "Handbcok"

Bepalen van de lnvloed van menselijk falen

Gebeurtenissenboom-analyse Foutenboorn-analyse

Quantificeren invloed van rnenselijk falen Voortstuwingssysteem

Reg elen' voortstuwingssysteern Vaarsnetheid wijzigen

Voortstuwingsautomatiek "'Manoeuvreren" Voortstuwi'ngsawtomatiek"VaarTt"

Voortstuwingsautomatiek "Hand"

FaaIresultaten gedwrende vaarsnelheid wijzigen Overgang onde rwaterbedrljf - snulverbedrljf

Overgang naar snuiverbedrijf Overgang naar onderwaterbedrijf

Faalresultate n gedu rende overgang van onderwater-,

naar snuiverbedrijf

Reageren op storingen en alarmen Storingen / alarmen

Sh.nr. :3 Rev.

Date July 30, 1987

Proj. 2354

i

_{Copyrights: 'Reproduction, utilization or disclusure lÒ third partiòs in any form is not' allowed without}

I

'written consent.

I

I

i

I

i

_pag. 2 5 6 8 9 9 10 10 12 12 13 13 14 17 17 19 20 20 23 23 26 28 28 36 39 43 45 45 50 53 55 56

I

I

i,

I

i

'i

I

i

I

I

I

i

I

i

i

i

I

i

I

i

Nevesbu

BV. Nederlandse Verenlgde Scheepsbouw Bureaus, P.O. Box 16350.2500 BJ,

The Hague. TheNetherlands.

INVLOED VAN MENSEUJK FALEN OP

DE BETROUWBAARHEID VAN EEN DIESELELECTRISCHE VOORTSTUWINGS-INSTALLA11E VAN EEN' ONDERZEEBOOÎ.

Sh. nr. Rev. Date Proj.

3.3.a Uit te voeren acties na storingen / alarmen

3 3 3 Faaldata van menselijk talen tijdens stonngen I alarmen

3.3.4. Quantificeren van rnenselijk talen tijdens storingen / alarmen

3.3.5. Faalresultaten gedurende storings-,. en alarmbehandeling

4. Coflclusies Literatuu rlijst Bij lage :4 July 30, 1987 2354 56 57 60 62

Copyrights: Reproduction, utilization or disclusure tothird parties in any form is not allowed without

I

written consent.

I

I

i

64 65

Nevesbu

B.V. Nederlandse Verenigde Scheepsbouw Büreaús,

RO. Box 16350. 250OBJ

The Hague, The Netherlands.

SAMEN VATTING

In dit rapport is de :invtòed van rnenselijk talan op de betrouwbaarheid / niet-beschikbaarheid van ee n dieselelectnsche voortstuwi ngsinstallatie van een

onderzeeboot, gedurende een opgestelde missie, bepaa!d.

Dit isgebeurd met behuip van: - Betrouwbaarheidstechnieken:

- gebeurtenissenbomen,

- foutenbomen.

- Faalgegevens uit het "Handbook of Human Reliability Analysis" [1].

De beschikbare faaldata voor menselijkfalen zijn alleen toepasbaar voor het uitvoerer van taken conform procedures.

Uit de resultaten btijkt dat de mens ten opzichte van technische installaties faalgevoelig is.

De mens za! vaak falen, echter zulks, via in de procedure ingebouwde contrôles; of via

terugkoppelingen vanuit de technische instatlatie, bemerken en de fout hierna

herstellen. De kans dat dezelfde fout nogrnaals. gemaakt wordt, za! door

geheugenwerking(leereffèct) kleiner worden.

De uiteindelijke kans op menselijk talen zal: daten, echter doordat handelingen vaker

uitgevoerd moeten worden, neemt de tijd die nodig is orn een procedure in het gehe I

uit te voeren, toe In hoeverre dit invloed heeft op de gevolgschade en I of reparatie tijden, is niet met de gebruikte faaldata te quantificeren.

Uit de grote negatieve ¡nvloed van menselijk falen op de betruwbaarheid van

systemen met redundantie blijkt de noodzaak van het automatisch in bedrijf stellen van het back-up systeern als het in bedrijfzijnde systeem heeft gefaald, in plaats vah het opstarten "met de hand" vanaf het CentraalBedienings. Paneel (CBP).

INVLOED VAN MENSEL]JK FALEN OP Sh. nr.

DE BETROUWBAARHEID VAN EEN Rev.

:\

DIESELELECTRISCHE VOORTSTUWINGS- Date : Ji.

INSTALLA11E VAN EEN ONDERZEEBOOT. Proj. : 2&.

Copyrights: Reproduction, utilization or disclusure to third parties in any form is not allowed without written consent.

i

Nevesbu

1. INLEIDING

De afgelopen jaren zijn er methodieken ontwikkeld voor het uitvoeren van

risico-analyses en betrouwbaarheidsberekeningen welke o.a. zijn toegepast in de lucht-en ruimtevaart lucht-en lucht-energietechniek.

Echter in deze analyses wordt de invloed van menselijk faten vaak niet beschouwd.

In dit rapport is nagegaan in hoeverre de bedenaar van het Centraal Bedienirigs Paneel (CBP) invloed heeft op de betrouwbaarheid van een dieselelectrische

voortstuwingsinstallatie van ee:n onderzeeboot, zie [6].

Het onderzoek beperkt zich tot de invloed van falen door de bedienaar van het CBP, gedurende de uitvoering van taken, op het voortstuwlngssysteem

Bij het quantificeren van deze invloed is uitgegaan van het feit dat de bedienaar goed opgeleid, getraind en gemotiveerd is. Er worden alleen handelingen, conform

procedures, verricht, als dit voorgeschreven wordt door noodprocedures (alarm-, en storings- behandeling) of als er orders gegeven worden (snelheidsveranderingen of overgangen van onderwater- naar snuiverbedrijf en vice versa).

De kans dat een procedure zonder talen Wordt voltooid, is o.a. bepaald metbehulp van:

Gebeurtenissenborneri: met deze techniek kunnen de gevolgen van het laien

van verschi ilènde handelingen worden gecatalogiseerd.

Het aantal gevoigen is tot drie beperkt:

- Procedure goed en binnen de gesteide tijd afgerond. Procedure fout en / of niet binnen de gesteide tijd afgerond

- Door rnenselijk laten treedt schade aan de installatie op.

Faagegevens: orn de kans van falen van elke stap in de procedure te kunnen bepalen zijn faalgegevens nodig. Deze zijn ontteend aan één databank:

"Handbook of Human Reliability Analysis" [1]

De invloed van het menseiijk falen op de betrouwbaarheid van het

voortstuwings-systeem is bepaald m.b.v.:

Foutenbornen: met deze techniek wordt de verzarneling van minimale

deeiverzamelingen bepaald. Een minimale deelverzameling van een foutenboom is een combinatie van basisgebeurtenissen die nodig en voidoende zijn voor het plaatsvinden van de topgebeurtenis van de foutenboom

De kans dat een vereiste procedure niet zonder menselijk talen wordt voltooid, wordt hier als een basisgebeurtenis beschouwd.

Copyrights: Reproduction, utilization or disciusure to third parties in any form is not allowed without written consent.

B.V. Nederlandse Verenlgde INVLOED VAN MENSEUJK FALEN OP Sh.nr. :6

Scheepsbouw Bureaus. DE BETROUWBAARHEID VAN EEN Rev.

P.O. Box 16350. 2500BJ. DÈSELELEC1ThSCHE VOOlTSTUWlNGS- Date July 30, 1987

Nevesbu

De volgende berekeningen zijn uitgevoerd:

Het gemiddeld, aantal malen dat de vaarsnelheid niet correkt wordt gewijzigd gedurende een mi'ssie.

Het gemlddeld aantal malen dat de overgang van onderwater- naar snuiverbedrijf

gedu rende een missie niet òorrekt wordt uitgevoerd.

De waarschijntijkheid dat er niet correkt gereageerd wo.rdt op een binnenkomend

alarm en lof storingssignaal.

Dewaarschijnlijkheiddat systnien met redundantie, na falen van hetin bedrijf zijnde gedeelte, door menselijk falen geheel buiten bedrijf gesteld worden.

Copyrights: Reproduction, utilization ordisciusure to third parties in any form is not allowedwithout written consent.

B.V. Nederlandse Verenlgde INVLOED VAN MENSELIJK FALEN OP Sh nr. :7 Scheepsbouw Bureaus. DE BETROUWBAARHEID VAN 'EEN Rev.

RO.Box16350,2500BJ, DIESELELECTRISCHE VOORTSTU WINGS- Date July 30, 1987

Nevesbu

BV. Nederlondse Verenigde

Scheepsbouw Bureaus, PLO. Box 16350, 2500BJ, The Hague. The Netherlands.

INYLOED VAN MENSEUJK FALEN OP DE BETPOUWBAARHEID VAN EEN

DIESELELECTRISCHE VOORISTUWINGS-INSTALLA11E VAN EEN ONDERZEEBOOT.

Sh. nr. Rev. Date Proj. _I

2. VOORWAARDEN EN BEPERKINGEN ANALYSE MENSELIJK FALEN

Menselijk gedrag is veel gecompliceerder dan het gedrag van een maòhine of systeem.

Het gevoig hiervan. is, dat een foutenanalyse van menselijk gedrag op dit moment

alleen maar uitvoerbaar is wanneer het gaat orn eenvoudige handelingen, by letten op een alarmsignaal, bedienen van een toetsenbord

Eris sprake van een storing door menselijk falen wanneerde bedienaars van technische systemen door foute, of juist niet uitgevoerde handelingen een

noodzakelijke (niet altijd voldoende) bijdrage hebben geleverd aan het ontstaan van die storing.

Menseiijke betrouwbaarheid is de Waarschijnlijkheid dat een operator een vereist aantal handelingen op het juiste tijdstip op een juiste wijze uitvoert

Gegevens over de betrouwbaarheid van menselijk gedrag in practijksituaties zijn schaars.

Gegevens kamen uit ongevaisrapporten, falende personen moeteri vaak zeit rapporteren, dus gegevens zijn niet erg betrouwbaar

Bijna-ongevallen worden vaak nletgerapporteerd; hierdoor worden fouten in menseiijk gedrag vaak onderschat.

Laboratorium-experimenten geven vaak overschattingen van de kansen op menseiijk falen, omdat ze gericht zijn op die situaties, waarin rnenselijk talen waarschijnIijkis

De faalkans is afhankelijk van de: taak die verricht moet worden, omstandigheden waaronder deze stressoren,

persoonlijke factoren.

taak vefticht moet worden, aanwezigheid van

I

Copyrights: Reproduction, utilization ordisciusure to third parties ¡n any form is not allowed without written consent.

Nevesbu

B;V. Nederiandse Vereñlgde Scheepsbouw Bureaus.

P.O. Box 16350, 2500BJ.

The Hague. The Netherlands.

2.1. OORZAKEN VAN MENSELIJK FALEN

Er zijn veel oorzaken aan te wijzen voor het menseiijk falen. Echter, de belangrijkste oorzaken voor het menseiijk laien zijn:

het niet opvoigen van de voorschriften;

fende

archt.

i

(( Ii

2.1.1. NIET OPVOLGEN VAN DE VOORSCH'RIFTEN

Uitonderzoeken o.a. ¡n nucleaire opwerkingsfabrieken, in hetverkeer en bij de

Nederlandse Spoorwegen is gebieken, dat de beiangrijkste factor bij het ontstaan van rnenseiijk falen is: het niet opvolgen van voorschriften.

Het niet opvolgen van voorschriftenis zò'n algerneen verschijnset dat in [1] de

voigende ste.iregei wordt gehanteerd:

Als er geen betere statistische gegevens bekend zijn, moet men er van uitgaan, dat een voorschrift niet vaker dan in 99% van de gevallen wordt opgevolgd

Het niet opvoigen van de voorschriften kan als voigt worden onderverdóeld:

voorschriften: onduideiijk of onjuist 35 %;

personeel onvoidoende bekend met voorschnften 30%,

siordigheid (vermoeldheid en tijdsdruk) 33 %;

overige 2%.

Deze kans op menselijk faien ¡s in deze studie niet als een gegeven gebruikt Dit getal is genoemd orn aan te geven dät a priori de mens als een relatief zeer onbetrouwbaar onderdeei in een systeem beschouwd moet worden. Kleinere aalkansen moeten, door o.a. statistisch rnateriaal, gerechtvaardigd worden.

INVLOED VAN MENSELJJK FALEN OP DE BETROUWBAÀRHEID VAN EEN DIESELELECTRISCHE VOORISTUWINGS-INSTALLA11E VAN EEN ONDERZEEBOOT.

Sh.nr. :9

Rev.

Copyrights: Reproduction, utilization ordisclusure to third parties In any form isnot allowedwithout writtenconsent.

Nevesbu

2.1.2. FALENDE AANDACHT

Via het mechanisme van aandachtsfixatie kunnen kleine en grote storingen /defecten afhankelijk worden.

Een kleine storing / defect is een falen van een component welke:

- snel te repareren is,

- sneltevervangenis,

- voor de prestaties van het systeem. minder belangrijk is.

De kans dat het optreden van een grote storing / defect wordt herkend, wordt door deze afhankelijkheid verwaarloosbaar t o y de kans dat er (ten onrechte) wordt verondersteld dat de kleine storing I defect ¡s opgetreden.

Dit. komt voor, wan neer men heeft léren leven met kleine storingen zonder deze te

redresseren.

Kans op tijdige diagnose van een storing is kleiner, naarmate de waarschijnlijkheid van de storing kleiner is.

(De practijk wijst uit dat 20% van de onderdelen van een installatie verantwoordelijk is voor 80% van de storingen.)

De ervaringen. met voorgaande storingen brengt de bedienaar van technische

instaltaties een volgorde van analyseren bij, die is gebaseerd op frequentie van voorkomen van storingen in plaats van op belangrijkheid

Het frequentie-effect komt bij zowel routinematig contróleren van procesinformatie, als ook storingsdiagnoses voor

Als gevoig van het frequentie-effect kan de kans, op détectie of niet-identificatie van een zeldzame storing, toe nemen met een factor 30, zie [2]

2.2. FAALDATA

Uit [2] en [4] blijkt dat de beste en toegankelijke brön van faaldata van menselijk falen het "Handbook of Human Reliability Analysis" [1] is.

De faalkansen hebben betrekking op operators in de regelzaal van een kernenergiecentrale.

De faaldata zijn gebaseerd op:

- Laboratorium-experimenten voor soortgelijke handelingen,

- Databanken o.a. The Air Data Store (Munger, 1962), welke gernodificeerd zijn voor taken van personeel in de regelzaal van een kernenergiecentrale

- Interviews met o.à. ervaren operators en psychologen

Copyrights: Reproduction, utilization or disciusure to third parties in any form is not allowed without written consent.

B.V. Nederlandse Verenlgde INVLOED VAN MENSEUJK FALEN OP Sh. nr. 10

Scheepsbouw Bureaus. DE BETROUWBAARHEID VAN EEN Rev.

P.O. Box 16350. 2500 BJ. DIESELELECTRISCHE VOORTSTUWINGS- Date July 30, 1987

Nevesbu

De regelzaal van een kernenergiecentrale is wat werkomgeving en werkdruk betreft te vergelijken met een moderne onderzeóbootcentrale.

Belangrijkste overeenkomsten zijn:

Centrale is gesitueerd in een relatief rustige en afgezonderde ruimte.

Werkzaamheden bestaan uit het beWaken en regelen van sterk geautomatiseerde

systemen.

- Door de vele ingebouwde beveiligingen is de kans dat kleine fouten snel leiden tot

catastrof ale gevolgen, klein.

Ten opzichte van een kernenergiecentrale heeft een onderzeebootcentrale de volgende extra stressoren:

Beperking van beweging, I _/

tijdens het werk in de centrale,

''

- na het werk, de operator kan niet naar huis en de recreatiemogelijkheden zijn beperkt (mededoordat vaak stute in acht genomen moet worden).

De onderzeeboot zeif beweegt.

- De omgevingsdruk is aan verandenngen onderhevig.

- Bedreigingen van buitenaf.

De te bedienen en te bewaken instàllatie aan boord van een onderzeeboot is veel minder in een stationaire toestand dan een kernenergiecentrale.

De kans op rnenselijk falen wordt hierdoor kleiner (minder gelegenheid orn zich te vervelen).

C-Verder wordt de kans op menselijk falen vergroot als:

Systeem verschillende alarmeringen heeft, dia met elkaar een aantal verschillende storingen kunnen weergeven.

De storing zeldzaam is.

Operator geen specifieke opleiding ontvangt.

Meer verschillende alarrneringspatronen kunnen voorkornen,

De individüele alarmeringen minder diagnostisch zijn voor de storingsoorzaak.

Uitgangspunt is dat de onderzeebootbernanning bestaat uit speciaal getraind marine-personeel, welke is opgeleid orn de veronderstelde taken onder alle ornstandigheden goed te kunnen uitvoeren Verder is verondersteld dat de bedieningspanelen en de verschillende alarmpresentaties ergonomisch goed zijn ontworpen, zodat er geen toeslagen op de faaldata van het "Handbook of Human Reliability Analysis" [1] van toepassing zijn.

Copyrights: Reproduction, utilization or disciüsure to third parties in any form ¡s not allowed withoUt

written consent.

B.V. Nederlandse Verenlgde INVLOED VAN MENSEUJK FALEN OP Sh.nr. :11

Scheepsbouw Bureaus. DE BEIROUWBAARHEID VAN :EEN Rev.

P.O. Box 16350.2500 BJ, DIESELELECIRISCHE VOORTSTUWINGS- Date : July

Nevesbu

2.2.1. MENSELIJKE FOUTEN

Door middel van het, ontleden van rnenselijk handelen in kleine deeltjes (analyse in

taakdelen) is het mogelijk orn de kans op mensehjke fouten te schatten

Ten aanzien van de fouten, die een operator kan maken bij uitvoering van bepaalde handelingen, kan de volgende indeling gemaakt worden, zie [3]:

1 Verzuim-fout.: een persoon verricht een handeling (of sen reeks van

handelingen) niet of niet binnen de vastgestelde tijd.

2 Keuze-fout: ' een persoon kiest een verkeerde manipulator (schakelaar,

regelaar enz.)

of, indicator (display, meter, recorder enz.).

3 Behandelings-fout: een persoon maakt een fout bij de gekozen manipulator of

indicator (o.a. leesfouten)'.

4 Volgorde-fout: een persoon voert de handelingen uit in de verkeerde

volgorde.

5 Extra actie: een persoon introduceert een ongewenste handeling.

De extra actie is een bijzondergeval, omdat niet- of zeermoeilijk- te voorspellen is

welke extra aòties geintroduceerd zullen worden1 en wat de rnogelijke gevolgen

hiervan kunnen zijn.

2.2.a INVLOED OP GROOUE VAN DE KANSEN

De kans dat menselijk falen daadwerkelijk ptaatsvindt, wordt in grote mate beïnvloed

doorde volgendefactoren:

Persoonlijke factoren.

Aanwezigheid van stressoren. Afhankelijkheid van gebeurtenissen.

Tussentijds herstellen met geheugenwerking.

Copyrights: Reproduction, utilization or disclûsûre to third parties in any form is not atlowedwithout written consent.

B.V. Nederlandse Verenlgde PNVLOED VAN MENSEUJK FALEN OP Sh.nr. : 12 Scheepsbouw Bureaus,

RO. Box '16350, 25001BJ,

DE BETROUWBAARHEID VAN EEN DIESELELECT1ISCHE

VOORISTUWINGS-Rev.

Date July 30, 1987

Nevesbu

2.2.2.1. PERSOONLIJKE FACTOREN

Door persoonhijke factoren is de kans op menseIijk falengedurende het itvoeren van. een zaak afhankelijk van zowel welke operator, als 00k wanneer de operator deze taak uitvoert.

Uitgangpunt is dat het voor de grootte van de faalkans niet uitmaakt welke operator de taak uitvoert, dus de invloed van factoren zoals verschillen in ervaring en opleiding wordt verwaarloosd

Deinvloed van: factoren zoals fitheid en problemen in de. privésfeer is zeer

tijds-afhankelijk Mede hierdoor is deze invloed niet te quantificeren en in dit rapport niet in

beschouWing genomen.

2.2.2.2. STRESSOREN

De aanwezigheid van stressoren kan eengroteinvl.oed ,hebben op menselijk gedrag,

Er zijn twee soorten stressoren te onderscheide.n:

psychologische stressoren plotselinge gebeurterissen hogé sneiheden

te veel informatie tegelijk extreme consequerities. bedreiging monotoon werk zinloos werk vigilantie afleiding fysiologische stressoren vermoeidheid slaapg.brek

tijdstip van de dag

pun dorst temperatuur vochtigheid g - krachten vibrati e

copyrights: Reproduction, utilization or disciusure to third parties in any form is not aiiowed without written consent.

7

B.V. Nederlandse Verenlgde INVLOED VAN MENSEUJK FALEN OP Sh.nr. : 13 Scheepsbouw Bureaus. DE BETROUWBAARHEID VAN:EEN Rev.

P;O. BOX 16350. 2500BJ, DIESELELECTRISCHE VOOPTSTUWINGS- Date : July

Nevesbu

lawaai

extreme druk drukveranderingen beperking van beweging

ongunstige werk-rusttijdverhouding

Er is sprake van vigilantie als aan één of meer van de volgende vootwaarden is voldaan:

- taak Wordt langduriguitgevoerd (langer dan één üur);

- taakbestaat uit het detecteren van zeldzaam voorkomende signalen, of de te detecteren signalen zijn moeilijk detecteerbaar.

BijvoorbeeId:

Het opsporen van afwijkingen in een computer gestuurde procesinstallatie, Na één uurneemt de faalkans toe met een factor 10, zie[2].

De moeilijkheid van het quantificeren van stressor-effécten is, dat deze effecten niet

altijd een algemene in1 vloed hebben in die zin, dat ze de uitvoering van alle deeltaken

niet in gelijke mate bemoeilijken.

By.

Invloed slaapgebrek : op het herkennen van een eenvoudig signaal

tegen een achtergrond van cuis - zeernegatief,;

pp het herkennen van een gecompliceerd patroon zonder ruis - geen invloed

Een benadering, die ondere andere in [1] is toegepast, ¡s: allekansen met een constante factor te vergroten bij aanwezigheid van een of meerdere stressoren

2.2.2.3. AFHANKELIJKHEIDMENSELIJK FALEN

Tijdens het uitvoeren van een taak is het optreden van nienselijk falen, .het niet, of fout uitvoeren van een of meerdere handelingen, zelden als een onafhankelijke

gebeurtenis te beschouwen

Er zijn twee soorten afhankelijkheidte onderscheiden:

- positieve afhankelijkheid: - fout uitvoeren van handeling 1 vergroot de kans op fout uitvoeren handeling 2;

Copyrights: Reproduction1 tilization or'disclusure to third parties in any form is not allowed without written consent.:

By, Nederlandse Verenigde INVLOED VAN MENSEUJK FALEN OP Sh.nr. : 14 Scheepsbouw BUreaus. DE BETROUWBAÄRHEID VAN EEN Rev.

P.O. Box 1635O25O0BJ, DÌESELELECTPISCHE VOORTSTU WiNGS- Dote : July 30,, 1987

I

Nevesbu

correct uitvoeren van handeling i verkleint dé kans op fout üitvoeren van handeling 2;

negatieve afhankelijkheid: - fout uitvoeren van handeling i verkleint de kans op fout uitvoeren handeling 2;

correct uitvoeren van handeling i vergroot de kans op fout uitvoeren van handeling 2.

Afhanketijkheid bij menselijkfalen kan zichop twee manieren manifesteren: 1 - Meerdere operators zijn verantwoordelijk voor het uitvoeren van een taak.

Werken in teamverband is gebaseerd op het vertrouwen, dat elk lid vàn het team het werk waarvoor hij verantwoordelijk is, goed zal doen (de Juiste man op de juiste plaats), en dus weinig fouten zal mäken.

Door dit vertrouwen en doordat het opsporen van weinig voorkomende foutende stressor "vigilantie" in de hand zal werken, is de kans dat een genomen beslissing van een operator wordt gewijzigd door een andere operator, relatief klein.

2 - Eón operator verricht meerdere handelingen.

Als er geen foutmelding door het systeem gegenereerd wordt, zat een operator gedurende. de uitvoering van een aantal handelingen voortborduren op eerder door hem genomen beslissingen.

Bij menselijk falen is de invloed van positieve afhankelijkheid dus het meest van

belang.

In de literatuur [1] wordt de volgende onderverdeling van afhankelijkheid aangehouden:

adi Er is van "geen afhankelijkheid" (ZD) sprake, als het met succes uitvoeren van een taak geen invloed heeft opde kans, dat opvolgende taken met succes worden uitgevoerd,

Bij menselijk fälen komt honderd procent onafhankelijkheid bijna niet voor.

ad2 Zelfs een zeer geringe afhankelijkheid heeft invloed op de kans dat opvolgende taken met succes worden uitgevoerd. In deze toestand is er

spräke van "matige afhankelijkheid" LD). Het verschil tussen "geen afhankelijkheid" en "zwakke afhankelijkheid" is klein, zie figuur 1.

"Zwakke afhankelijkheid" kamt voor als twee operators pas sinds een korte tijd met elkaar sarnenwerken en nag niet op elkaar zijn ingespeeld. Na

langere samenwerking zal matige afhankelijkheid ontstaan.

Copyrights: Reproduction, utilization ordisclusure to third parties in anyform ¡s not allowed without written consent

i - Onafhankelijk - Zero Dependence (ZD)

2 - Zwakke afhankelijkheid - Low Dependence (LD)

3 - Matige afhankelijkheid - Moderate Dependence (MD)

4 - Sterke afhankelijkheid - High Dependence (HD)

5 - Volledige afhankelijkheid - Complete Dependence (CD) By. Nederlandse Verenlgde INVLOED VAN MENSEUJK FALEN OP Sh.nr. :15 Stheepsbouw Bureaus. DE BETROUWBAARHEID VAN EEN Rev.

P.O. Box 16350e 2500 BJ. DIESELELECTRISCHE VOORTSTUWINGS- Date July 30, 1987

The Hague, The Netherlands. INSTALLA11E VAN EEN ONDERZEEBOOT. Proj. 2354

I

I

I

I

i

I

I

I

I

Nevesbu

ad3 In de toestand dat er een duidelijke relatie is tussen de uitvoering van een

taak en de uitvoering van daarop volge nde taken, is er sprake van een "matige afhankelijkheid" (MD).

"Matige afhankelijkheid" komt voor als twee operators al: een langere tijd met elkaar samen hebben gewerkt en voildig op elkaar zijn ingespeeld..

ad4 Als het met succes uitvoeren van een taak een zeer grote invloed heeft op de uitvoering:van daarop volgende taken, maar er is flog geen volledige

afhankelijkheid,.dan iser sprake van: "sterke afhankelijkheid" (HD). Het niveau van afhanklijkheid van "sterke afhankelijkhéid" is gelegen halverwege "geen afhankelijkheid" en "volledige afhankelijkheid" (CD),

zie figuur 1.

"Sterke afhankelijkheid" komt voor als er tussen de verschillende operators een duidelijk verschil in rang is (Als er sprake is van een stresssituatie kan hier zelfs volledige afhankelijkheid ontstaan)

ad5 Bij "volledige afhankelijkhéid" is het met succes uitvoeren van taken. verzekerd als de voorgaande taak ook met succes is volbracht.

"Volledige afhankelijkheid" komt voor als er twee schakelaars steeds als éen

unit worden bediend.

ZDLD

tt

+

t

t

Figuur 1: Mate van afhankelijkheid

In hoofdstuk 2 van de bijlage is een aantal voorbeelden opge,nornen, inclusief een

rekenvoorbeeld, die het belang van onderkenning van afhankelijkheid van menselijk falen onderstreept.

Copyrights: Reproduction, utilization or disciusure to third parties In any form is not allowed without writtenconsent.

B.V. Nederlandse Verenlgde INVLOED VAN ,MENSEUJK FALEN OP Sh.nr. 16

Scheepsbouw Bureaus DE BETI?OUWBAARHEID VAN EEN Rev.

P.O. Box16350. 25O0BJ, DIESELELECTRISCHE VOOPISTUW1NGS- Date : July 30, 1987

The Hague, The Netherlands. 1NSTALLA11E VAN EEN ONDERZEEBOOT. Proj. 2354

MD HD CD

15. 50 100

Nevesbu

2.2.2.4. TUSSENTIJDS HERSTELLEN: MET GEHEUGENWERKING.

Er bestaat de mogelijkheid dat dó operator, terwijl hij bezig is met een reeks van handelingen een,door hem zeif of door jemand anders, gemaakte fout ontdekt en derhalve terugspringt naar een "startpunt" orn van daaruit de reeks van handelingen opnieuw uit te voeren en zo het falen te herstellen..

Dit heeft consequenties voor de kansen op bepaalde gevolgen:

- Het totaal aantal uit te voeren handelingen wordt g roter, dus wordt de kans op fouten groter.

- _{Door de herstelrnogelijkheden zal de kans orn op succes uit te komen, toenemen}

Door geheugenwerking (leerproces) zal de kans op succes nog meertoenernen. De kans op menselijk falen tijdens het uitöeren van een. handeling ¡s tijdens het herstellen afhankelijk van de voorgeschiedenis en zal lager zijn dan bij het voor de eerste keer doorlopen van het proces.

2.2.3. BEPERKINGEN FAALDATA "HANDBOOK"

De beperkingen van de faaldata ontleend aan het "Handbook oÍ Human Reliability Analysis" [1] zijn:

k Het ¡s voor de betrouwbaarheidsanalyse van belang orn een faalkans te hebben zonder dat herstellen heeft plaatsgevonden. Vaak vindt falen plaats, maar herstelt de operator direct zijn fout en wordt zulk falen verder door niets of niemand

gedetecteerd. 0m de data in het algemeen toe te kunnen passen is het belangrijk te weten in welke situatie de gerneten faalkans tot stand is gekomen. Dit is in het "Handbook" niet gespecificeerd; de consequentie hiervan is, dat de hier gegeven faaldata te optimistisch kunnen zijn.

B. De meeste faaldata in het "Handbook" zijn extrapolaties van menselijke faalkansen van taken buiten kernenergiecentrales.

Situationeel betreffen deze taken o.a.:

- proces-industrie,;

laboratorium experimenten;

- simulators van kernenergiecentrales.

Copyrights: Reproduction1 utilization or disciusure to third parties ¡n any form is not allowedwithout written consent.

B.V. Nederlandse Verenigde INVLOED VAN' MENSEUJK FALEN OP Sh.nr. :17 ScheepsbouwBureaus,

P.O. Box 16350.2500 BJ.

DE BETROUWBAARHEID VAN EEN DIESELELECTRISCHE

VOORTSTUWINGS-Rev.

Date : July 30, 1987

Nevesbu

De geöxtrapoleerde data werden verkregen door mensen, die vertrouwd waren met een bepaalde taak de faalkans te laten schatten, waarbij dan de overeen-komstige bekende data van buiten de kerncentrales als basis werden gebruikt. De geèxtrapoleerde data zijn dus mede het gevoig van vermoedens, waardoor van zuiver statistische informatie geen sprake meer is.

C. In het "Handbook" is, op grond van statistische gegevens, verondersteld: Menselijke faalkansen zijn lognormaal verdeeld,zie figuur 2.

De gemiddelde faalkans - HEP (Human Error Probability) is gelijk aan de

mediaan.

M.b.v. de foutenbreedte (Error Factor - EF) kunnen de 5% - en de 95% - betrouwbaarheidsgrenzen worden afgeleid:

Pr [ F 5 %] = HEP/EF Pr [ F 50 %] = HEP tijd p-Pr [ F 95 %] = faalkans HEPx EF

figuur 2: lognormale kansverdeling, het uitvoeren van de handeling gebeurt met

een vaste frequentie

Copyrights: Reproduction, utilization or disciusure to third parties in any form is not allowed without written consent.

mediaan / foute nbreedte (EF)

--> 5%,

mediaan x foutenbreedte (EF) --> 95%.

De standaard afwijking a 4.2 1.00-0.90- F(t) f(t) 0.80-F(t) 0.70-

/

HEP - Human Error Probability EF -Error Factor

,.

0.60 -Pr[F95%]=4 --> a4.2 0.50 f(t) Pr [ F 5 %] 0.40= 0.30= 0.20=

_I

/

0.10= 0.00 _-

ItlIlIllIllIll 11111111111

B.V. Nederlandse Verenlgde INVLOED VAN MENSEUJK FALEN OP Sh. nr. :18 Scheepsbouw Bureaus,

P.O. Box 16350.2500 SJ,

DE BETROUWBAARHEID VAN EEN DIESELELECTRISCHE

VOOPISTUWINGS-Rev.

Dote July 30, 1987

i

Nevesbu

De foutenbreedte behorende bij de faaldata van [1] is wat orde van grootte betreft kleiner of gelijk aan de foutenbreedtes behorende bij de faaldata welke gebruikt zijn voor de bepaling van de betrouwbaarheid van een dieselelectrische

voortstuwiñgsi nstallatie van een onderzeeboot [6].

D. In het "Handbook" is geen onde rscheid gemaakt ¡n bepaalde denkniveaus. Deze

niveaus variören van een niveau, waarbij de nens onbewust, zonder actief nadenken, bepaalde handelingen uitvoert tot dat, waarbij de mens actief en inventief nadenkt.

In de Iiteratuur [5] worden dne denkniveaus onderscheiden:

skill-based niveau ervaring;

rUlebased niveau procedures, geen ervaring nodi; - knowledge- based ni Veau zeif nieuwe / weinig voorkomende

problemen oplossen.

De faatkansen. zullen voor dezelfde handeling van niveau tot niveau verschillen.

Ondanks de beperkingen zijn de faaldata goed toepasbaar gebleken orn de

betrouwbaarheid van een operator in een regelzaal van een kerncentrale te kunnen

bepalen.

In het "Handbook" worden de kansen gegeven dat een bedienaarbepaalde instructies

niet, of onjuist uitvoert. Omdat aan bobrd van een ornderzeeboot de bedienaar van een

instaliatie geacht wordt te handelen conform procedures kunnen de faaldata worden toegepast.

2.2.4. BEPALEN VAN DE INVLOED VAN MENSELIJK FALEN

0m de invloed van menselijk falen op de betrouwbaarheid van een technische

installatie te bepalen kornen twee, in :betroüwbaarheidsstudies veel gebruikte,, methodieken in aanmerking::

Faalwijze-en-effect-analyse, dit IS een methode waarbij van componentntveau

naar een ongewenste gebeurtenis wordt geredeneerd.

Hierbij wordt o.a gebruikgemaakt van gebeurtenissenbomen, orn zo de kans op menselijk laien en de invloed hiervan op het voortstuwingssysteern te bepalen. Foutenboorn-analyse; dit jS eenmethodewaarbij van een ongewenste gebeurtenis naar componentniveau wordt geredeneerd.

Een methode waarbij wordt verondersteld, dat een ongewenste gebeurtenis reeds ¡s opgetreden, orn zo door deductie de invloed van menselijk falen te bepalen.

Copyrights: Reproduction, utilization or disciusure to third parties in any form is not allowed without written consent.

B.V. Nederlandse Verenlgde INVLOED VAN MENSEUJK FALEN OP Sh.nr. :19 Scheepsbouw Bureaus. DE BETROUWBAARHEID VAN EEN Pev.

PO. Box 16350. 2500BJ. DIESELELECTRISCHE VOORTSTUWINGS- Date : JUly 30, 1:987

Nevesbu

2.2.4.1. GEBEURTENISSENBOOM-ANALYSE

De invloed van rnenselijk falen kan worden bepaald met behulp van gebeurtenissenbornen.

Een gebeurtenissenboorn is een schematische weergave van combinaties van gebeurtenissen, waarin alle mogelijke gevolgen van een gegeven gebeurtenis worden gepresenteerd.

Met deze techniek zijn ook de gevolgen van bet falen van een of meerdere

subsystemen van ee n dieselelectrische voortstuwi ngsi nstallatie bepaald, zie [6].

Nadelen van deze methode:

Het aantal vrijheidsgraden bij menselijk falen is t o y falende "hardware" componenten vele malen groter.

De gebeurtenissenbomen zullen hierdoor sterk groeien en zullen door de grootte onoverzichtelijk en onhandelbaar zijn.

Omdat de beschikbare tijd slechts een beperkte omvang van het onderzoek toelaat is er een aantal vereenvoudigingen en aannames ingevoerd.

Het vaststellen wanneer er van menselijk falen sprake is, is arbitrair.

By.: Als een handeling te laat ¡s uitgevoerd, hoeveel te laat is dan nog acceptabel.

Voordelen van daze methode:

Alle cambi naties van gebeurtenissen kamen op een overzichtelijke wijze tot stand,

De kans op vergeten van combinaties is klein,

- Niet zinvolle combinaties zijn eenvaudig te locäliseren.

De methode geeft inzicht in welkecombinaties van gebeurtenissen leiden tot analoge gevolgen.

In dit onderzoek zijn de kansen, dat procedures succesvol: worden uitgevoerd, bepaald

m.b.v. gebeurtenissenbomen

2.2.4.2. FOUTENBOOM-ANALYSE

Een andere methode, zie [7], veronderstelt het optreden van een ongewenste gebeurtenis. Vanuit het gegeven dat deze gebeurtenis is opgetreden, wordt door deductie, met behuip van foutenbomen, de invloed van menselijk talen bepaald.

Een foutenboom is een schematische weergave van combinaties van oorzaken, die tot een bepaalde ongewenste gebeurtenis aanleiding kunnen geven.

Deze deductie is onder te verdelen in de volgende fasen:

Copyrights: Reproduction, utilization or disciusure to third parties in any form is not allowed without written consent.

B.V. Nedertandse Verenigde INVLOED VAN MENSEUJK FALEN OP Sh.nr. :20 Siheepsböuw Bureaus. DE BETROWWBAARHEID VAN EEN Rev.

RO Box 16350, 2500BJ. DIESELELECTRISCHE VOOPTSTUWINGS- Date : July 30, i987

Nevesbu

- Bepaling van de gebeurtenissen die direct verantwoordelijk zijn voor h'et optreden van de ongewenste gebeur7tenis, zie figuur 4.

DIRECT DOOR MENSEN

BEIN VLO ED BAA R

SCHAK ELAAR NIET INGE-DRUKT GEB i AANTAL MENSELIJKE HANDELINGEN NODIG VOOR HET OPTREDEN

VAN DEZE GEBEURTENIS.

GEB2

Figuur 4: Foutenboom

Vaststellen van degebeurtenissen waarop de mens direct invloed heeft,en hoeveel menselijke handelingen er nodig zijn orn deze gebeurtenis op te laten treden.

Wat is de kans dat déze handelingen worden uitgevoerd:, en is de grootte van deze kan s beïnvloed door:

- Onder welke werkomstandigheden deze handelingen zijn uitgevoerd. - Is er sprake van afhankelijkheid.

- Is er sprake van tussentijds 'herstellen met geheugenwerking.

Erkunnen twee soorten bngewenste gebeurtenissen w rden ondsrscheiden:

- Een gebeurtenis die het voortstuwingssysteem zodanig beïnvloedt dat de missie al dan niet tijdelijk als gedegenereerd moet worden beschouwd, zie [61.

Copyrights: Reproduction, utilization or disciusure to third parties in any form is not allowed without written consent. ONGEWENSTE GEBEURTENIS TREEDT OP KLEP NIET OPEN GE-DRAAI D AÄNIAL MENSELIJKE HANDELINGEN NODIG VOOR HET OPTR EDEN VAN DEZE GEBEURTENIS. M/ CHINE ZELF FAALT GEB3 Q) > C

By. Nederlandse Verenlgde INVLOED VAN MENSEUJK FALEN OP Shnr. : 21

Scheepsbouw Bureaus. DE BETROUWBAARH EID VAN EEN Rev.

P.O Box 16350, 2500BJ, DIESELELECTRISCHE VOORTSTU WINGS- Date : July '30, 1987

Nevesbu

B.V. NederlandseVerenlgde

Scheepsbouw Bureaus. 'PO BÓ 16350,2500BJ. The Hague. The Netherlands.

INVLOEDVAN MENSEUJK FALEN OP

DE BETROUWBAARH EID VAN EEN DIESELELECTRISCHE VOORTSTUWINGS-.INSTALLAÌ1E: VAN EEN ONDERZEEBOOT.

Sh.nr. :22

Rev.

Dote : July 3O 1987

Proj. : 2354

- _{Een gebeurtenis die hetvoortstuwingssysteem zodanig beïnvloedt datde missie} al dan niet tijdelijk afgebroken moet worden, zie [6].

Het optreden van deze ongewenste gebeurtenissen kan tijdens twee bedrijfssituaties plaatsvinden:

- Alle autornatieken beschikbaar.

- Eén of meerdere automatieken niet beschikbar.

Nadelen van deze methode:

Orn de totale invlóed van menselijkfälen op de voortstuwingsinstallatie te bepalen

moeten alle relevante onge.wenste gebeurtenissen. beschouWd: Worden.

Gevaren:

Het vergeten. van een aantal van deze ongewenste gebéurtenissen, zie figuur 4:; niveau 1

Het vergeten van een aantal direct verantwoordelijke gebeurtenissen,

zie figuur 4; niveaU .2.

Voordelen van deze methode:

- In welke mate een situatie ongewenst is.doet nietter zake, erWordt een

gedefi nieerdesituatie verande rsteld.

- Er zijn op voorhandgeen vereenvoudigingen en aannames nodig

In dit onderzoek is deinvloed van menselijk falen op dé betrouwbaarheid van Systemen met redundante componenten bepaald m b y foutenbomen

Copyrights: Reproduction, utilization or disclusure to third parties in any form is not allowedwithout written consent.

I

I

i

I

I

I

I

I

I

Nevesbu

3. QUANTIFICEREN IN VLOED VAN MENSELIJK FALEN

0m de voortstuwingsinstallàtie van eenonderzeeboot gedurende de missie steeds in de gewenste toestand te brengen en te houden moet de bedi'enaar van het centraal bedieningspaneel (CBP) een aantal handelingen conform vastgestelde, beschreven

proöedures verriöhten1

De uit te voeren handelingen zijn onder te verdelen in twee hoofdcategorien:

i - Regelen van het voortstuwingssysteem, nadat hiertoe een order isgegevén.

2 - Reageren op storingen / alarmen, zodanig dat de storingen za weirig: mogelijk

nadelige gevolgen hebben voor de veUigheid en :het voortstuwingssysteem,

en dat storingen / alarmen aan de juiste personen worden gemeld.

Uitgangspunt is dat handelingen van de twee hoofdcategoriöen onafhankelijk van elkaar worden uitgevoerd.

3.1. VOORTSTUWINGSSYSTEEM

Het voortstuwingssysteem is in een aantal subsystemen opgedeeld, zie figuur 5, Deze opdeng kamt overeen met de opdeling in [6].

De volgende subsystemen zijn gedurende de gehele missie als vouedig geautomatiseerde systemen te beschouwen:

-A

B C D E F G K Transrnissiesysteem Arm àtu u r Shu ntveld Aan loopweerstand Chopper Batterijsystee n

Koe Iwate rsystee m

UitIaatgassensysteem

- automatiek)

* _{Continu in bedrijf}

* VST

_{Sm.o. HEM auto.}

* _VST. * _{VST, Vent. auto.}

*VST

* LDA. * _{Continu in bedrijf} * DSS.

B.V. Nédertandse Verenlgde INVLOED VAN MENSEUJK FALEN OP Sh. nr. :23 Scheepsbouw Bureaus. DE BETROWWBAARHEID VAN EEN Rev.

P.O. Box 16350, 2500BJ. DIESELELECTRISCHE VOORISTU WINGS- Date : July 30, 1987

The Hague4 The Netherlands ÌNSIALLA11E VAN EEN ONDERZEEBOOT ProJ : 2354

Copyrights: Reproduction, utilization or disciusure to third parties ¡n any form, is not allowed without

I

written consent.

I

i

I

i

I

I

I

Nevesbu

B.V. Nedertandse Verenlgde Scheepsbouw Bureaus.

PO Box 16350, 25008W

The Hague. The. Netherlands.

De. subsystemen die gedurende de missie wi een aantai handeiingen van de bedienaar van het CBP vereisen, zijn:

H Manoeuvreerbord * VST. Dieseigenerator * .DSS. LDA.

j

. Luchtinlaatsysteem * LIN. BATFERU HULP SYSTEMEN BATTERIJSYSTEEM achter/stiiurboord DIESELGEN. stuurboord LUCHTINLAAT SYSTEEM *ÚnATGASSEN J:SYSTEEM IDIESELGEN. bakboord 4 ,HOOFDBATFERU achter DIESELGEN. midden

:UERJJSySTEEM voor! bakboord

.BATTERIJ HULP

SYSTEMEN

:HØDBPflRU

voor

INVLOED VAN. MENSEUJK FALEN OP DE BETROUWBAARHEID VAÑ EEÑ DIESELELEC1ThSCHE VOORTSTU WINGS-INSTALÌA11E VAN. EEN OÑDERZEEBOÒT.

p,, I AANLOOP-1WEERSTAND CHOPPER Sh. nr. Rev. Date Proj. 24 July 30, 1987 2354 KOEL WATER SYSTEEM

Fìguu.r 5: Schema dieseielectrische vortstUwingsinstaIIatie van een onderzeeboot

Copyrights: Reproduction, utilization or disclusure to thir.d parties in any form is not allowed without

written consent. 4 CHOPPER ENERGIESTROOM AANLOOP-WEERSTAND ARMATUUR voor HOOFD

-p, MANOEUVREER- SHUNTVELD TRANSM 155 lE BORD ELECTRO SYSTEEM

MOTOR.

ARMATIJUR

Nevesbu

Uitgangspunt is dat de vólgende autornatieken qontinu beschikbaar zijn:

*

DS,S - Diesel Start Stop autornatiek. *

LIN - Luchtinlaat autornatiek.

* _{Ventilatie aanloopweerstanden automatiek.} * _{Smeerolie hoofdeléctrornotor automatiek.}

Uitval van deze automatieken is in dit onderzoek niet relevant, orndat dan de bediening van de componenten hoofdzakelijk locaal moet gebeuren

*

LDA - Laadautomatiek.

Uitval van dit autornatiek wordt in dit onderzoek niet beschouwd. Er wordt tijdens dit "noodbedrijf" een voortdurend bijstellen van de laadstroom vereist orn het

ladingsverloop conform de "Batterijvoorschriften" te laten, geschieden.

Door de complexiteit van dezeprocedures, het karakter van de door de bedienaar te ondernemen acties en de gegeven nauwkeurigheid van de faalgegevens (zie hoofdstuk 2) is het niet haalbaar orn hiervan faalkansen te berekenen

* _{VST - Voortstuwingsautomatiek}

Het voortstuwingsautomatiek kent drie: bedrijfskeuzes: "MANOEUVREREN!'

"VAART".

"HAND", deze keuze komt overeenmet de situatie dat het automatiek

niet beschikbaar is.

Orndat gedurende alle drie de. bedrijfskeuzes het voortstuwingssysteem volledig

vanaf het CBP te bedienen Is, zijn al deze keuzes in deze studie opgenomen

Er moet alleeneen aantal handelingen door de bedienaar van het CBP worden uitgevoerd gedurende:

wijzigingen van dè vaarsnelhéid (zie ad.1}

- overgangen onderwaterbedrijf {zie ad 2} van / naar snuiverbedrijf {zie ad 3) storings- en alarmbehandeling

ad.1 Vaarsnelheid:

De vaarsnelheid van een onderzeeboot is te beinvloeden door wijzigen van de:

Schakelconfiguratie batterijen in serie of parallel geschakeld. ankers in serié of parallel geschakeld.

veld in serie of parallel met anker geschakeld.

Veldstroorn regelbaar door middel van een chopper.

Copyrights: Reproduction,, utilization or disclusurò to third parties ¡n any form is not allowed without

written consent.

B.V. Nederlandse Verenlgde INVLOED VAN MENSEUJK FALEN OP Sh..nr. :25 Scheepsbouw Bureaus. DEBETROUWBAARH EID VAN EEN Rev.

P.O. Box16350. 25001BJ. DIESELELEC1ThSCHE VOORISTU WINGS- Date : July 30, 1987

Nevesbu

B.V. Nederlandse Verenlgde INVLOED VAN MENSEUJK FALEN. OP Sh. nr. 26 Scheepsbouw BureaUs. DE BETPOUWBAAPHEID VAN EEN Rev.

P.O. Box iÓ350. 2500 BJ. DIESELELECRISCHE VOORISTUWINGS- DOte JUly 30. 1987

The Hague, The Netherlands. INSTALLAÌ1E VAN EEN ONDERZEEBOOI. Proj. 2354

De tijdens de missie gebruikte schakelconfiguraties zijn: ZSL - zeer tangz. sluipvaart batterijen parallel,

ankers in serie,

shuntveld in serie met ankers

ST - stapvaart als ZSL maar

shuntveld parallel met ankers. KV - kruisvaart als ST maar

ankers parallel. HV - hogevaart als KV maar

batteri jen in serie. ad.2 Onderwaterbedrijf:

Gedurende het onderwaterbedrijf leyeren de batterijen de energie voor de

voortstuwi ng. ad.3 Snuiverbedrijf:

Gedurende hetsnuiverbedrijf, waarbij de onderzeeboot dicht onder het zeewateroppervlak vaart, worden de batterijen weer opgeladen m.b.v. alle

drie de dieselgeneratoren.

De luchttoevoer komt tot stand d m y een luchtlnlaatlelding (snulvermast) waarvan de top boyen het zeewateroppervlak uitsteekt.

De uitlaatgassen worden via hei uitlaatgassensysteem afgevoerd.

3.2. REGELEN VOORTSTUWINGSSYSTEEM

Het regelen van het voortstuwingssysteem bestaat uit een aantal menselijke

handelingen, zodanig dat het systeem van een gegeven bedrijfstoestand overgaat in een andere bedrijfstoestand.

De handellngen moeten conform procedures, zie figuur 6, worden ultgevoerd

Uitgangspunt is dat gedurende het uitvoeren van een order orn de bedrijfstoestand van het voortstuwingssysteem te wjzgen geen storings- en alarmbehandehng

noodzakelijk is.

De kans dat de toestandswijziging niet tot stand komt, kan .het best bepaald worden met behulp van een gebew rte nissenboom-analyse.

Copyrights: Reproduction, utilization or disciusure to third parties in any form is not allowed without writtenconsent.

Nevesbu

order uit

JMeldt dat order is uitgevoerd

¿

Order is wel of nièt correct

uitg evoe rd.

2

Q)

Figuur 6: "Procedure bedrijfstoestandswijziging"

Tijdens de. missie is er sprake van twee bedrijfstoestandswijziggen:

- Het wijzigen van de vaarsnelhéid.

- De overgang van onderwaterbedrijf naar snuiverbedrijf en vice versa.

Het bepalen van de kans dat een wijziging in de bedrijfstoestand, door menselijk talen, niet succesvol! uitgevoerd wordt, is pertoestandswijziging in de volgende stappen uitgevoerd:

- Hoe vaak deze handellngen moeten worden ultgevoerd (aan de hand van een cpgesteld missieprofiel, zie [6]).

Welkehandelingen uitgevoerdrnoeten worden en ¡n welke voIgorde(aan de hand

van gesch reven procedures).

- Wat de gevolgen zijn van menselijk talen met betrekking tot het

voorttuwings-systeem (rn.b.v. gebeurtenissenbomen).

Hoe groot de kansen zijnop menselijk talen (aan de hand van faaldata, zie [1]).

Copyrights: Reproduction, utilization or disciusure to third parties in anyform is not allowed without written consent.

Officier van de wacht Geeft order

D) Q) o O)

i

ti

Bedienaar Bevestigt order

B.V. Nedertandse Verenlgde INVLOED VAN MENSEUJK FALEN OP Sh. nr. 27 Scheepsbouw BUreaUs. DE BETROUWBAARHEID VAN ÈEN Rev.

P:O. Box 16350.2500 BJ, DIESELELECTRISCHE VOORTSTUWINGS- Date July 30, 198:7

The Hague. The Netherlands INSFALLA11E VAN EEN ONDERZEEBÖOT. Proj. 2354

I

I

I

I

I

I

I

I

I

I

I

I

I

I

I

Nevesbu

3;2.1. VAARSNELHEID WIJZIGEN

Uit het missieprofiel, zie [6] is het aantal. malen dat d vaarsnelheid gewijzigd wordt, af

teleidèn: - Tijdens opmars - Tijdens patrouille - Tijdens retourtocht 60. maal 60 maal 108 maal 108 maal 10 maal 10 maal 60 maal 60 maal van ST naar KV van KV naar ST van ZSL naar ST van ST.naar ZSL van. ST v KV naar HV van HV naar ST van. ST naar KV van .KV naar ST - Tijdens totale missie 476 maal snelheid veranderen

Nb. Tijdens dé missie kamen de bedrijfstoestanden !'stoph' en "achteruitvaart" niet voor.

Het voortstuwlngsautomatiek ke ntdrie bedrijfskeuzes: - "Manoeuvreren"..

Vaste toere ntalle n, bijbehorende vaarmode wordt aUtomatisch ingesteld. "Vaart".

Instelbaar toerental, bijbehorende vaarmode wordt automatisch ingesteld.

- "Hand".

Ofwel voortstuwingsaütornatiek niet beschikbaar.

Instelbaar toerental, de gewenste vaarmode moet met de hand ingesteld worden.

3.2.1.1. VOORTSTUWINGSAUTOMATIEK "MANOEUVREREN"

Uitgangspunten:

- BlJ aanvang van de missie zijn alle Systemen lfl de gewenste toestand gebracht Voortstuwingsautornatiek is d.rn.v. de schakelaar "AUTO" :ingeschakeld,

de voortstuwi ngsautomatiekkeuze: is, nadat éénrnaal een manoeuvreerschakelaar

is ingedrukt, aùtomatisôh "Manoeuvreren". - Alle automatieken zijn beschikbaar

- Er treedt .geen falen van componenten of subsystemen op.

Copyrights: Reprodúction, utilization or disciusure to third parties in any form is not allowed without written consent

+

B.V. Nederlandse Verehlgde INVLOED VAN MENSEUJK FALEN OP Sh.nr. :28 Scheepsboúw Bureaus. DE BETROUWBAARHEID VAN EEN Rev.

P.O. Box 635O. 25oe:BJ. DIESELELECTRISCHE VOORTSTUWINGS- Date : July 30, 1987

i

Nevosbu

Het aantal rnenselijke handelingen nodig orn de vaarsnelheid te veranderen als de

voortstuwi ngsautomatiekkeuze "Manoeuvreren" is, is weergegeve n in tabe I

i

Tabel 1: Vaarsnelheid wijzigen, voortstuwi ngsautomatiekkeuze "Manoeuvreren" MAN - Manoeuvreerbòrd.

De handelingen die uitgevoerd moeten worden, kunnen worden weergegeven met

behuip van: een stroomschema, zie figuur 7.

Een gebeurtenis Gebeurtenis 1.1. Gebeurtenis 1.2. Gebeurtenis 1.3. Gebeurtenis 2. Gebeurtenis' 3.1. Gebeurtenis 3.2. Gebeurtenis 3.3.

wordt als falen van een handeling gedefiniëerd. Orde r niet gehoord.

Order fout verstaan.

Herhalen ordér niet gecontroleerd.

Verkeerde s hakelaar ingedrukt.

De kans dat het indrukken van de schakelaar vergeten wordt is in deze procedure verwaarloosbaar t..o.v. de.andere kansen

Melding order uitgevoerd vergetert. Off. v.d.wacht niet attent op melding.

MeIdkg niet goed gehoord

Copyrights: Reproduction, utilization or disclusure to third parties in any form is not allowedwithout written consent.

VMRSNELHEIDWUZ1GEN

Stap ,.Systeem Paneel CBP Schakelaar Signalering Acfle MAN VSI Voortstuwing VOLLE KRACHT

HALVE KRACHT LANGZAAM ZEERLANGZkAM SLUIPVAART ZEER:LANGZSLV Alle zijn automatieken Drukschakelaar irwkken

andere systemen c.q hulpsystemen welke van lang

voorvaarsnelheidveranderingen worden door bediend:

BV. Nederlandse Verenlgde INVLOED VANMENSEUJK FALEN OP Sh.nr. :29 Scheepsbouw Bureaus. DE BETROUWBAARHÈID VAÑ EN Rev.

P.O. Box 16350,2500BJ. DIESELELECTRISCHE VOORTSTUWINGS- Date : July 30, 1987

The Hague. The Netherlands. INSTALLATIE VAN EEN ONDERZEEBOOT. Proj. : 2354

I

Uit dit stroomscherna is een gebeurtenissenboorn afte leiden, zie figuur 8.1

i

I

I

i

I

I

I

I

i

I

I

I

I

i

I

I

I

i

I

I

Noesbu

Wens vaarsnelheldveranderen

1

Off. v.d. wacht geeft order orn vaarsnelheld te veranderen, en geeft gewenste;manoeuvreer-keuze op + Bedienäarhoortorder en herhaalt gewenste manouevreerkeuze

<ls.order

gohoord? 4H order goedverstaan? Figuur 7.1: Stroomscherna Niet gehoord Fout verstaan nee neo

Off. vid. wacht controleert of bedlénaar gewenste manoeuvreerkeuze herhaalt Vergeten GEBEURTENIS i Vaarsnelheid veranderen Voortstuwingsautomatiekkeuze "Manoeuvreren"

Copyrights: Reproduction, utilization or disclusùre to third parties in any form is not allowed without written consent.

<Wordt

herhalen Wòrdt herhalen gecontroleerd? gecontroleerd?

ija neo ja

A, fig 7.2 _{P (verkeerde B, fig 7.3} rnanoeuvreer

schakelaar ingedruktl I

ONDERZEEBOOT NEEMT GEEN ANDERE SNELHEID

MN

handéling rnogelijke fouten

Uitvoering ver-keerde order

Nederlandse Verenlgde IN VLOED'VAN MENSEUJK FALEN OP Sh. nr. 30 Scheepsboww Bureaus. DE BETROUWBAARHEID VAN. EEN 'Rev.

P.O.Box 16350.2500BJ, DIESELELECTRISÒHE VOORISTU WINGS- Date July 30, 1987

The' Hague. TheNetherlands. IÌNSTALLAÌ1E VAN EENONDERZEEBOOT. Proj. :2354

C,

Nevesbu

B.V, Nedertandse Verenigde Scheepsbouw Bureaus. PLO. Box 16350, 50O BJ. The Hague. TheNetherlands.

4

ls;júiste:schakelaar ingedrukt?

V

- Bèdienaarmeldt aan Vergeten door off. v.d. wacht dat order bedienaarc.q

isuitgevoerth(order Worth hierbif oW v.d wacht herhaald)

<Is

order good verstaan? nee

A, fig 71

Is off. y. d. wacht

attentop melding?

IN VLOEDVAN MENSEUJK FALEN OP

DE BETROUWBAARHEID VAN EEN DIESELELECTRISCHE

VOORTSTUWINGS-!INSTALI..AflE VAN EN ONDERZEEBOOT.

neo, (kansdat.de bedienaar falen herstèlt is verwaarloo5baar).

p

Isoff. y d. wacht attent op melding?

+ io

Off. vid. wacht vergelijkt gemelde keuze rnòtgéwenste keuze + Ismeldinggoed ontvangen? V ONDERZEEBOOTNEEMT GEWENSTE SNELHEID AAN Sh. nr. Rev. Date ProJ nee GEBEURTENIS 2 GEBEURTENIS 3 Foutverstaan

Copyrights: Reproduction, utilization or disclûsure to third: parties in any form is notalloWed without written consent. 31 July 30, 1987 2354 B, p,, fig 7.3

Figuur 7.2: Stroomschema Vaarsneiheid veranderen

VoortstuwingsautomatiekkeUze "Manoeuvreren' Indrukken Manoeuvreorschákelaar Foute knop 'nee flee

Nevesbu

B, flg7.1, 7.2

Bedienaar meidtaan

off. vd. wacht datorder

is uitgevoerd (order wordthierbij herhaald)

<Is

order goedverstaan? ja

<Is

off, y. d. wacht attOnt op melding? flee Vergeten door bedienaar c.q. off. vd wacht nee nee ONDEAZEEBOOT NEEMT ONGEWENSTE SNELHE!D MN lsoff y. d.wâcht attent op melding?

4

ja

Ott. v.d. wacht vergelijkt gemelde keuze met gewenste keuze Ismelding goed ontvangen? nee GEBEURTENIS3 Fout verstaañ 0" C, fig 7.1

B.V., Nederlandse Verenlgde INVLOED VAN MENSEUJKFALEN OP Sh.nr. 32

Scheepsbouw Bureaus. DE BETROWWBAARHEID VAN EEN Rev.

P.O. Box 16350, 2500BJ, DIESELELECTRISCHE VOORTSTUWINGS- Date July 30, 1;987

The Hague. The Netherlands, INSTALLA11E VAN EEÑ OÑDERZEEBOOT. Proj. 2354

Figuur 7.3: Stroornschema Vaarsnelheid veranderen

Voortstuwingsautomatiekkeuze "Manoeuvreren"

Copyrights: Reproduction, utilization or disciLisure to third parties in any form is not allöwedwithout written consent.

I

I

I

I

i

I

I

I

I

i

I

I

i

i

I

1

i

i

i

I

Nevesbu

Wens vaarsnoihoid vránderon Ja :1 I Sneiheidswijziging succesvol uitgevoerd. Niet gemeld Ongewenste snelhoids-vorandering. Terugnaar 11.

Terug naar 3.1.

Ongewanste snoihoids-verandering Melding niet gehoord.

Terug near 3.1.

Ongowensle sneihelds-verandoring. Niet gemeld

Terug near 1.1.

Ongowonsto sneiheids-verandoring. Terugnaar 1.1. Terug near 31.

Ongewenste

snelheids-verandering. Melding niet gehoord. Terug near 3.1.

P Ongewenste

sneiheids-verandering. Niet gemeld.

Torug near 1.1.

Goon snelheidswijziglng

Figuur 8.1: Gebeurtenissenboom Vaarsnelheid veranderen

Voortstuwingsautomatiekkeuze "Manoeuvreren"

0m de gebeurtenissenboomte reduceren worden de combinaties van gebeurtenissen gegroepeerd tot twee gevolgen:

- Snelhêidswijziging succesvol uitgevoerd,

Snelheidswijziging niet tijdig succesvol uitgevoerd

Als 'het gevolg "snelheidswijziging succesvol uitgevoerd" tot stand komt met

behuip van één of meerterugkoppelingen naar vorige gebeurtenissen, dan

wordt het Uiteindelijke gevoig loch als "snelheidswijziging niet tijdig

succesvol uitgevoerd" beschouwd

Copyrights: Reproduction, utilization or disciusureto third parties in any form is notallowed Without written consent. e Q.

h

o a

Ih

50 >a

h

eb e5

6'

3e e

I

>e.

5> OE

O 1.1 1.2 1.3 2 3.1 3.2 3.3

By. Nederlandse Verenlgde INVLOED VAN MENSEIJJK FALEN OP Sh.nr.. :33

Scheepsbouw Bureaus. DE BETROUWBAAPHEID VAN EEN Rev.

P.O. Box 1ó350 2500 Bi. DÌESELELECTPISCHE VOORTSTU WINGS- Ddte : JUly 30, 1987

The Hague, The Netherlands. INSTALLA1ÌE VAN EEN ONDERZEEBOOT. Proj. : 23

Sneiheidswijziglng succeovoi

neo uitgavoerth

Torug naar3.1.

Sneiheidswijzlging succesvol uitgovoerd. Melding niel gehoord. Terug naar 3.1.

i

I

i

i

I

I

i

i,

Nevesbu

Wens vaarsnelhetd veranderen flee

f

Na deze reductie isde gebeurtenissenboorndari als volgtsamen te stellen, zie figuür 8.2,

Snelheidswllziging succesvol

uitgevoerd.

SnelheidsWijziglng niet tijdig 6uccesvoIuitgevoerd.

Figuur 8.2: Gebeurtenissenboom Vaarsnelhèid veranderen

Voortstuwingsawtomatiekkeuze "Manoeuvreren"

Kansen op menselijk faIen (HEP - Human Error Probability)

Gebeürtenis I

Order wordt door de bedienaar niet goed ontvangen, gegeven dat het herhalen

van de order voorgeschreven is. HEP - 0.001

Gebeurtenis2

Verkeerde schakelaarkiezen. Door de lay-oUt van het paneelis de kansdateen. verkeerde schakelaar wordt ingedrukt afhankelijk van de positie van de schakelaar op het paneel. In figuur 9 is een gedeelte van het CBP getekend. Er is

verondersteld dat indien een schakelaar van een groep moet worden ingedrukt,

lnderdaad een schakelaar van de juiste groep wordt gekozen. Afhankelijk van,, of

er één of meerdere schakelaars tot zo'n groep behoren is de kansdat een verkeerde schakelaar wordt ingedrukt al of niet te verwaarlozen.

Copyrights: Reproduction, utilization or disciusure to third parties in any form is not allowed without written consent. -C_a,

p

SB

w2

-c8

aU

w 1 2

B.V. Nederländse, Verenlgde INVLOED VAN MENSELIJK FALEN OP Sh.nr. :34

Scheepsbouw Bureaus. DE BETROUWBAAPHEID VAN EEN Rev.

P.O. Box 16350, 2500BJ, DIESELELECTRISCHE VOORTSTUWINGS- Date : July. 30, 1987

The Hague. The Netherlands. INSTALLAÌ1E VAN EEN ONDERZEEBOOT. Proj. : 2354

I

la

I

I

I

I

I

I

1

I

I

I

I

i

Nevesbu

Groep I

Groep 2

Groep3

Groep 4

Verkeerde schakelaar Ingednikt van groep i en 2 HEP - 0.005

Verkeerde SCI) akelaar ingedrukt van groep 3 en 4 HEP - verwaarioosbaar Figuur 9: Gedeelte van het voortstuwingspaneel.

HEP - 0.005 - als een groep bestaat uit meerdere schakelaars.

HEP - verwaarloosbaar - voor aparte geplaatste schakelaars. Gebeürtenis 3

Contrôle van de gewenste vaarsnelheid door de officiervan de wacht, waarbij:matige afhankelijkheid wordt verondersteld, (zie hoofdstuk 2, pag. 4 van de bijiage).

HEP-0.15

Stressore n

Het aantal malen dat de vaarsnelheid gewijzigd moet worden is relatief klein (gerniddeld eens in de drie uur), dit verhoogd de kans op falen

St ressorf actor - 2.

Met gebruik van de faaldata wordt de faalkans per snelheidswijziging:

- Voortstuwingsautomatiekkeuze "Manoeuvreren"

P('M) = P { Door rnenselijkfalen komt gewenste vaarsnelheid niet / niet binnen een gestelde.tijd tot stand;

voortstuwi ngsautomatiekkeuze "Manoeüvreren"}

P { geb. 1} = 0.001

P { geb2}

=0005

Stressorfactor = 2

_/

Totaal = P (M) = Stressorfactor[i - P {succes};J=

=2x[1 -{(1 -0.001)x(1 -0.005)}] =0.012

Copyrights: Reproduction, utilization ordisciusure to third parties in any form is not allowedwithout writtenconsent..

B.V, Nederlandse Verenigde INVLOEDVAN MENSEUJK FALENIOP Sh. nr. : 35 Scheepsbouw Bureaus,

P.O.Box 635O25OOBJ.

DE BETROUWBAARHEID VAN EEN DIESELELECTRISCHE

VOORTSTUWINGS-Rev.

Date Ju The Hague, The Netherlands. IÑSTALLA11E VAÑ EEN ONDERZEEBOOT. Proj. : 2

I

Nevesbu

3.2.1 2. VOORTSTUWINGSAUTOMATIEK "VAART"

Uitgangspunten:

- BiJ aanvang van de missie zijn alle Systemen in de gewenste toestand gebracht.

Voortstuwingsautomatiek isd.m.v. de schakelaar "AUTO" ingeschakeld, de voortstuwingsautornatiekkeuze is "Vaart" (alleen vooruit mogelijk).

Via de keuze "cavitatieloos" worden de snelheidswijztgingen zodanig geregeld dat er geen cavitatie aan de schroef optreedt.

- Alle auto matieken zijn besôhikbaar.

- Er treedt geen talen van .cornponenten of subsystemen op.

Het aantal menselijke handelingen nodig om de vaarsnelheid te veranderen als de voortstuwingsautomatiekkeuze "Vaart" is, is weergegeven in tabel 2.

Tabel 2: Vaarsnelheid wijzigen, voòrtstuwingsautomatiókkeuze "Vaart"

Een gebeurtenis wordt als het talen van een handelinggedefinieerd,:

Gebeurtenis 1 Order wordt niet goed ontvangen. Gebeurtenis 2.1 Toerental / min. niet goed ingevoerd.

Gebeurtenis 2.2 Gewenste toerental I miii. vergeten. Gebeurtenis 2.3 Knop "EXECUTE" niet ingedrukt.

De kans dat het een verkeerde schakelaar ingedrukt wordt IS t o y

de andere kansen te verwaarlozen, zie hfdstk 3.2.1.1. geb. 2.

Copyrights: Reproduction, utilization ordisciusure to third parties in any form is not allowed without written consent.

VAARSNELHEID WLZIGEN

Step Systeem Paneel CBP &hakelaar Signalering Ache

i 2 MAN MAN VSI Voortstuwing VSI Voortstuwiflg + 2 + IO -2 - 10 EXECUTE ÎOEREN/ MIN Sneiheid vermeerdering J geeert 1 SneIheidvermindeng jgewenst

J

Drukschakélaar indrukken Alle andere systernenc.q. zijnvoor vaarsnelheidverandengen automatieken bediend

Alnaargelang het verschil tuss&i het vorige

I ingestelde toerental.enihetnieuwgewenste

toerental moeten én of Iweeschakelaars eenaantal rnaal worden ingedrukt huipsysternen welke van belang

worden door

B.V. Nederlandse Verenlgde INVLOED VAN MENSEUJK FALEN OP Sh. nr. 36 Scheepsbouw Bureaus. DE BETROU WBAARHEID VAN EEN Rev.

P.O.Boxi'ó350 2500 BJ. DIESELELECTRISCHE VOORTSTUWINGS- Date July 30, 1987

The Hague. The Netherlands. IÑSTALLATIE VAN EEN ONDERZEEBOOT. Proj. 2354

I

I

I

I

I.

I

I

I

I

i

i

I.

I

I

I

I

I

I

I

i

I

I

Nevesbu

Gebeurtenis 2.4 Gebeurtenis 3

Verkeerd display aflezen.

De kans dat een drië-cijferig digitaal display verkeerd afgelezen

wordt is t.o.v. de andere kansen verwaarloosbaar.

Geen contrôle van gewenste vaarsnelheid door off y d wacht

Opmerking gebeurtenis 2.1.

Debedienaar verricht twee van elkaar afhankelijke handelingen:.

- aflezen display "VOORINSTELLING",

- invoeren toerental.

Als het gewenste toerental ingevoerd wordt zal de waarde op het display

"voorinstelling" veranderen Indien de bedienaar naar het verkeerde display kijkt, zal zijn aandacht toch gevestigd worden op het zich steeds wijzigendë display.

De bedienaar controleert het invoeren van het gewenste toerental met behúlp van het jüiste display,

Er is dus sprake van het uitvoeren van een handeling met voortdurende terugkoppeling met onmiddellijke herstelmogelijkheid

Hierdoor mag de kans van deze gebeurtenis verwaarloosd worden.

De samen te stellen get.eurtenisser.bobmwordt op analoge wijze als ¡n hoofdstuk 32.1.1 . gereduceerd en is weergegeven in figuur 10.

Wons vaarsnòiheid veranderen

nee

f

Snilheidswijzlging succesvolultgevoerd.

Snelheidswijzlging niel lijdig succesvol uitgevoerd.

oe

coc

Oo

.5

w>

'Es

ÖO

iRE

E ØC WW (32> 0 .

-

2

5C

COO)

_C5

0>,N

o.i

_O.W ØjlflO)

>6ì

,c .; .g2_O"8

0D

(3o.c W (3 1 2.1 2.2 2.3 2.4 3

B.V. Nederlandse Verenlgde INVLOED VAN MENSEUJK FALEN OP Sh.nr. :37 Scheepsbouw Biireaus. DE BETROUWBAARHEID VAN EEN Rev.

P.Q.'Box1635C). 2500 BJ. DIESELELECTRISCHE VOORISTUWINGS- Dafe July 30, 1987

The Hague. The Netherlands. INSTALLA11E VAN EEN ONDERZEEBOOT. ProJ 2354

I

ja

Figuur 1O: Gebeurtenissenboorn Vaarsnelheid veranderen

I

Voortstuwingsautomatiekkeuze "Vaart"

I

Copyrights: Reproduction, utilization or disc!usure to third parties in any form is not allowed without

I

written consent.

I

i

i

I

i

I

i

I

i

I

I

I

Nevesbu

B.V. Nederlandse Verenlgde

ScheepsbouwBureaus P.O. Box 1ó35O25dOBJ.

The Hague.The Netherlands

Kansen op menselijk talen (HEP- Human Error Probability)

Gebeurtnis i

Order wordt door de bedienaar niet goed ontvangen, gegeven dat het herhalen van de order voorgeschreven is.

HEP - 0.001

Gebeurtenis 2.2

Tijdenshet uitvoeren van de orderwordt het opgegeventoerental/ min. vergeten

en: er wordt een verkeerd toerental / min. ingesteld.

HEP-0.002

Gebeurtenis 2.3

Een handelingwordt vergeten, gegevendat erna elke handeling geen aparte contrôle is of de handeling indérdaad is uitgevoerd.

HEP- 0.003 - per handeling, als het aantal handelingen 10

Gebeûrtenis 2,4

Verkeerd display aflezen, gegeven dat de lay-out van het paneel goed is. HEP - 0.0005

Gebeurtenis3

Contrôle van de gewenste vaarsnelheid door de officier van de wacht, waarbij matige afhankelijkheid wordt verondersteld, (zie hoofdstuk 2, pag. 4 van de bijiage).

HEP-0.15

Stressoren

Het aantal malen dat de vaarsnelheid gewijzigd moet worden, is relatief klein (gemiddeld eens in de drie uur), dit verhoogt de kans op falen

Stressorfactor - 2.

Met gebruik van de faaldata wordt de faalkans per snelheidswijziging:

- Voortstuwingsautomatiekkeuze "Vaart" P(V) P { geb.i} P { geb.2.2} P { geb.2.3} Stressorfactor Totaal = P (V)

INVLOED VAN MENSEUJK FALEN OP DE BETROUWBAAPHEID VAN EEN

DIESELELECTRISCHE

VOORISIUWINGS-INSTALLAT1EVAN EEN ONDERZEEBOOT.

Sh.nr. :38

Rev.

Date Proj.

= P { Door menselijk Jalen kamt gewenste vaarsnelheid niet I

niet binnen eèn gestelde tijd tot stand; vbortstuwgsautómatiekkeuze "Vaart"} = 0.001 = 0.002 = 0.003

=2

= Stressorfactor [1 - P {succes}1 =

= 2x [i -«i - OMOT) x (1-0.002) x (1 - 003) }] =OE012

Copyrights: Reproduction, utiiization or disclusure to third parties in any form is not allowed without written consent.

Nevesbu

B.V. Nederlandse Vererdgde Scheepsbouw Bureaus,

P.O. Box 16350,2500BJ,

The Hague. The Netherlands.

INVLOED VAN MENSEUJK FALEN OP

DE BETROUWBAARHEID VAN EEN DIESELELEC11?ISCHE VOORTSTUWIÑGS-INSTALLAT1E VAN EEN ONDERZEEBOOT.

3.2.1.3. VOORTSTUWINGSAUTOMATIEK "HAND"

Uitgangspunten:'

Bij aanvang van de missie zijn alle Systemen ¡ri degewenste toestand gebraòht. Voortstuwingsautomatiek is dm.v. de schakelaar "VOORTST HAND"

uit-geschakeld.

Uitgangstoestand: Vaarrichtingkeuzeschakelaar "UIT". Snelheidkeuzeschakeiàar "UIT'.

Batterijkeuzeschakeiaar Pl en P2 "IN".

HEM keuze "BEIDE". Chopper keuze "B B".

(Schaketstanden welke schade aan het etectrisöh circuit kunnen toebrengen

worden geblokkeerd door het verg rendelkast-hand automatiek VG KH).

Alle andere automatieken zijn beschikbaar.

'Er treedt geen laien van componenten of subsystemen ap,

Het 'aantal menselijke handelingen nodig omde vaarsnelheid te veranderen als de voortstuwingsautomatiekkeuze "Hand" is, is weergegeven in tabel 3.

Omdat, in tegenstelling tot de situatie dat het voortstuwingsautomatiek wel beschikbaar is, de handelingen die voor de verschillende vaarsnelheidswijzigingen nodig zijn, niet voor iede.re veranderirg identiek zijn, valt tabel 3 in zes delen uiteen:

Tabel Sh. nr. Rev. Date Proj. 39 July 3O 1987 :2354

Het overschakelòn van de ene vaarmode naar een andere vaarmode verloopt volgens een vaste procedure, zie [6].

i -

Regel de chopper zodanig dat de ankerstroom nul, of i.g.v. ZSL minimaal is.

i -

Vaarrichti ngkeuzesöhakelaars uitschakelen. 2 - Snelheidkeüzesòhakelaars zonodig uitschakelen. 3 - Batterijkeuzeschakelaars zonodig uitschakeIen

C., 1 - Batterijkeuzeschakelaars zonodig inschaketen. r

2-

Shuntschakelaar inschakelen, niet bij keuze ZSL.

3 - Snelheidkeuzeschakelaars irischakelen.

Copyrights: Reproductior utilization or disciusure to third parties ¡n any form is not aliowed without

written consent. 3.1. Versnetlen ZSL - 2kn --> ST -

4kn

3.2. ST - 4kn

-->KV

-

9kn

3.3. ST - 4kn.

-->HV

- l6kn (via KV)

3.4.

Vertragen HV

- 16kn

-->ST

-

4kn

3.5. KV - 9kn

-->ST

-

4kn

3.6. ST - 4kn --> ZSL -

2kn