RAMS i LCC w branŜy kolejowej

Transkrypt

Łukasz Faber
Warsztaty „Rola IRIS w branŜy kolejowej”
JN: Jak się ma IRIS do dobrego wyrobu kolejowego, który musi
być jednocześnie niezawodny i bezpieczny?
JN: Ale tak praktycznie, co dał wam IRIS, a czego nie dało ISO,
Certyfikaty, Świadectwa?
LF: Sprawdzono jak produkujemy, instalujemy, sprawdzono jak
utrzymujemy, sprawdzono jak serwisujemy, to aspekty równie
waŜne co tworzenie…
JN: A co z ISO - nie sprawdziło się?
LF: ISO mają juŜ nawet „przedszkola” (?) … W IRIS sprawdzili nas
specjaliści z branŜy kolejowej, moŜemy się porównać z firmami
branŜy kolejowej nie tylko w Polsce. Audit trwał wiele dni.
Dociekania auditorów i szczegółowe pytania świadczące o ich
wiedzy i doświadczeniu kolejowym … to zrobiło na mnie duŜe
wraŜenie.
2
© Bombardier Inc. or its subsidiaries. All rights reserved.
LF: IRIS wymaga stosowania norm CENELEC…
Plan prezentacji
Niezawodność a LCC
Niezawodność a bezpieczeństwo
3
LCC nowość dla kolei w Polsce?
IRIS
International Railway Industry Standard
RAMS
Reliability, Availability, Maintainability, Safety
LCC
Life Cycle Cost
4
Definicje
Co to jest LCC? - Łączny koszt ponoszony w cyklu Ŝycia wyrobu
Co to jest analiza LCC? - Analiza ekonomiczna mająca na celu:
– określenie kosztu cyklu Ŝycia
– identyfikację najbardziej kosztochłonnych elementów
– próbę optymalizacji
KOSZT CYKLU śYCIA = KOSZnabycia+ KOSZTposiadania
LCC
Koszt nabycia
5
Koszt posiadania
Definicja
Definicja:
LCC
6
Koszt
nabycia
Koszt
posiadania
Koszt obsługi
profilaktycznej
Koszt obsługi
korekcyjnej
Koszt
wycofania
Koszt
eksploatacji
KOSZT CYKLU śYCIA = KOSZTnabycia+ KOSZTposiadania
koszt zakupu
koszt instalacji testów i odbiorów
koszt szkoleń
koszt eksploatacji (np. materiałów eksploatacyjnych, energii)
koszt konserwacji, przeglądów *
koszty wymian i napraw *
koszt likwidacji
* Koszt materiałów, koszty logistyczne, koszty części zamiennych oraz roboczogodziny
7
LCC to łączny koszt ponoszony
w cyklu Ŝycia wyrobu.
Co
wybrać?
System A: LCC 4 999 999 PLN
Sprawdzę
cenę !!!
8
Obrazek z: Alejka.pl
System B: LCC 5 500 000 PLN
System A: Cena: 1 000 000 PLN; LCC 4 999 999 PLN
Czy moŜna dokonać wyboru systemu na podstawie LCC?
Czy system A jest lepszy? NiŜsza cena, niŜsze LCC ?
Dlaczego w Polsce o wyborze systemu decyduje głównie cena?
Co się kryje za LCC systemu A?
Co się kryje za LCC systemu B?
Kiedy moŜna porównać LCC systemu A i LCC systemu B ?
- Jednakowy zakres analizy LCC ?
- Jednakowe załoŜenia ?
- Czy Klient wie co kryje się za LCC?
- A co z niezawodnością, bezpieczeństwem, komfortem?
9
System B: Cena: 1 500 000 PLN; LCC 5 500 000 PLN
Niezawodność – pojęcia i definicje
(dependability)
ZESPÓŁ WŁAŚCIWOŚCI, KTÓRE OPISUJĄ
GOTOWOŚĆ WYROBU/SYSTEMU DO PRACY
w przedziale czasu lub na liczbę zadziałań
NIEUSZKADZALNOŚĆ
PODATNOŚĆ
NA OBSŁUGĘ
PODATNOŚĆ
NA UTRZYMANIE
10
NIEZAWODNOŚĆ
Nieuszkadzalność –
prawdopodobieństwo, Ŝe dany wyrób będzie wykonywać
Ŝądane funkcje w ustalonych warunkach przez określony
czas.
MTBF jest to średni czas między awariami
MTTF jest to średni czas do awarii
11
R
Gotowość (Dostępność) zdolność wyrobu do znajdowania się w stanie
umoŜliwiającym wypełnienie wymaganych funkcji
A - wyraŜona w procentach lub jako prawdopodobieństwo:
Np.:
A = 99,9997 %
A = 0,999997
12
A
Podatność na utrzymanie (obsługiwanie) –
Prawdopodobieństwo, Ŝe określone działania zostaną
przeprowadzone
MTTR - średni czas naprawy
MTBM - średni czas pomiędzy przeglądami
MTTM - czas trwania przeglądu
Koszty obsługi
Koszty utrzymania
13
M
Poprawne stosowanie elementów (wartości elektryczne, mechaniczne,
środowiskowe, jakość elementów)
Odpowiednie marginesy wytrzymałości
Zapobieganie niekorzystnym interakcjom, uwzględniając przedziały
tolerancji
Projektowanie nadmiarowych struktur niezawodnościowych
Testy niezawodnościowe
Uwzględnianie czynnika ludzkiego
14
Metody poprawy niezawodności na etapie projektowania zapobieganie uszkodzeniom
„Przyjazne” rozwiązania konstrukcyjne – budowa modułowa,
unikanie nierozbieralnych konstrukcji, ergonomiczne rozwiązania,
Dobra diagnostyka, dobry dostęp do interfejsu diagnostycznego
Zdefiniowanie czynności utrzymaniowych (dokumentacja
utrzymaniowa, DTR)
Zdefiniowanie czynności naprawczych (dokumentacja serwisowa,
DTR)
15
Metody poprawy podatności utrzymaniowej (MTTR) na etapie
projektowania
LCC
Parametry
RAM
16
Sposób
utrzymania i
obsługiwania
LCC to analiza ekonomiczna łącząca w sobie RAM i pieniądze.
koszt zakupu
CENA
koszt instalacji testów i odbiorów
CENA (?)
koszt szkoleń
CENA (?)
koszt eksploatacji (np. materiałów eksploatacyjnych, energii)
koszt konserwacji, przeglądów *
RAM
koszty wymian i napraw *
RAM
koszt likwidacji
* Koszt materiałów, koszty logistyczne, koszty części zamiennych oraz roboczogodziny
Koszty logistyczne co to takiego?
17
LCC to łączny koszt ponoszony
w cyklu Ŝycia wyrobu.
Co
wybrać?
System A: LCC 4 999 999 PLN
System jeden czy
klika, kilkanaście?
Części zamienne,
Magazyny, Ludzie…
18
System B: LCC 5 500 000 PLN
Gdynia Gł. Osob.
Trakiszki
LCC E 30?
E65
CE65
A kto to moŜe
wiedzieć?
CE59
E59
E75
E20
Rzepin
Otwock
E20
E59
E30
LCC E30
???
Bęzelin
Legnica
Psary
Częstochowa
E65
Hrubieszów
E59
E30
Chorzów B.
El. Rybnik
Z.A. Kędzierzyn
El. Łaziska
Zabrzeg
śywiec
19
Niekrasów
Sławków
Rudnik n. Sanem
Staszów
E30
Szczecin Gł.
Optymalizacja kosztów eksploatacji
LCC systemu o duŜym zasięgu
20
Cel analiz LCC ???:
1. UŜytkownik, klient – wymagania dla LCC,
decyzja o zakupie związana z LCC:
MoŜliwość porównania systemów
Wybór najlepszej koncepcji
Dane wejściowe do analizy ekonomicznej duŜych projektów, gdzie
aspekty przyszłego utrzymania i serwisowania są istotne dla klienta
2. Dostawca, producent – wymagania dla LCC jako wymaganie na
produkt
Ocena róŜnych koncepcji rozwiązań (optymalizacja rozwiązań)
Ocena róŜnych strategii uŜytkowania i obsługi (związek z RAM)
Dla klienta oszacowanie kosztów, jakie będzie musiał ponieść
21
Forma wyników analizy LCC:
Wyniki w jednostce monetarnej, roboczogodzinach, ilości zuŜytej
energii
Wyniki jako wartość procentowa w odniesieniu do kosztów nabycia
NPV - bieŜącej wartości netto przyszłych przepływów pieniądza
22
Wyniki w jednostce monetarnej,
Bezpieczeństwo - brak nieakceptowalnego poziomu ryzyka
Ryzyko – kombinacja prawdopodobieństwa i skutków
określonego zdarzenia niebezpiecznego
ZagroŜenie – zdarzenie niebezpieczne - warunki, które mogą
prowadzić do wypadku
System bezpieczny – system, którego działanie jest wolne od
nieakceptowalnego poziomu ryzyka
HR – intensywność zagroŜeń
THR - tolerowana intensywność zagroŜeń
SIL – Poziom nienaruszalności bezpieczeństwa – liczba, która
wskazuje wymagany stopień zaufania, Ŝe system spełni określone
funkcje bezpieczeństwa w odniesieniu do uszkodzeń
systematycznych
23
S
Pomiędzy czerwcem 1985r., a styczniem 1987r. sterowane
komputerowo urządzenie do radioterapii typu Therac-25,
spowodowało potęŜne przedawkowanie promieniowania co
najmniej 6 osób.
24
Przykład:
Therac-25 słuŜył do punktowych, precyzyjnych naświetlań
zmian nowotworowych na skórze za pomocą strumienia
elektronów o wysokiej energii (gdy zmiany były płytkie) lub
promieni Roentgena (zmiany połoŜone głębiej).
Therac-25 był sterowany całkowicie przez oprogramowanie
komputera. Therac-25 wykorzystywał częściowo
oprogramowanie z poprzednich maszyn, przy czym
zrezygnowano z części niezaleŜnych układów sprzętowych na
rzecz funkcji kontrolnych w oprogramowaniu.
25
Producent (AECL) przeprowadził analizę bezpieczeństwa (FTA)
rozwaŜając róŜne zagroŜenia (np. przedawkowanie), lecz prawie
całkowicie pominął w niej oprogramowanie.
Producent podjął pewne działania juŜ w 1985r. po wystąpieniu
pierwszego przypadku poparzenia, lecz błędnie zdiagnozował
jako przyczynę zdarzenia usterkę mikroprzełącznika i
wprowadził zmiany konstrukcyjne deklarując poprawę
bezpieczeństwa o 5 rzędów wielkości.
26
Dochodzenie wykazało, Ŝe przyczyną był „wyścig” w przepływie
informacji w oprogramowaniu, który umoŜliwiał w pewnych
okolicznościach (zbyt szybka i rutynowa obsługa urządzenia)
podanie nadmiernej dawki wysokoenergetycznych elektronów
bezpośrednio pacjentowi .
27
Bezpieczeństwo wczoraj i dziś:
System SUP:
ZaleŜności realizowane na drodze przekaźnikowej – system
geograficzny, wzajemne kontrole stanów przekaźników w
cyklu pracy
Moduły logiczne przekaźnikowe (programowane wtykowo) –
realizacja zaleŜności
Moduły wykonawcze przekaźnikowe,
Grupa centralna – zaleŜności stykowe dla realizacji poleceń
Pulpit komputerowy – traktowany jako niegodny zaufania
System Ebilock 950 wersja 4:
Struktura dwukanałowa
Zdywersyfikowane oprogramowanie
Logika zaleŜnościowa w oprogramowaniu
Bezpieczna transmisja
…
28
Bezpieczeństwo wczoraj i dziś:
System SUP:
wzajemne kontrole stanów przekaźników w cyklu pracy
wykrycie uszkodzeń w danym cyklu albo następnych
cyklach pracy
Schematy i testy (niewzbudzenie, nieodwzbudzenie)
Oprogramowanie traktowane jako dodatek
Projektowanie aplikacji systemu „w rękach” projektanta srk
System Ebilock 950 wersja 4:
Analizy FMEA, FTA, RAM
Dowód bezpieczeństwa zgodny z PN-EN 50129
Testy środowiskowe, funkcjonalne, bezpieczeństwa
Oprogramowanie bezpieczne zgodne z PN-EN 50128
Projektowanie i aplikacja rozdzielone
29
PN-EN 50126:2002/AC Zastosowania kolejowe –
Specyfikowanie i wykazywanie Nieuszkadzalności, Gotowości,
Obsługiwalności i Bezpieczeństwa (RAMS) – Część 1:
Wymagania podstawowe i procesy ogólnego przeznaczenia
PN-EN 50128:2002 Zastosowania kolejowe – Łączność
sygnalizacja i systemy sterowania – Programy dla kolejowych
systemów sterowania i zabezpieczenia
PN-EN 50129:2007 Zastosowania kolejowe Systemy łączności,
przetwarzania danych i sterowania ruchem, Elektroniczne
systemy sterowania ruchem związane z bezpieczeństwem
30
Podstawowe normy CENELEC:
SIL
Urządzenia muszą być bezpieczne
SIL nie odnosi się tylko do urządzenia
Ryzyka:
SIL spowszedniał… nie jest juŜ chwytliwym tematem. Wyroby muszą
być bezpieczne…?
SIL „łatwo” się określa z tabelki ?
Po określeniu SIL cała reszta jest „znana” ?
SIL uŜywany jest w celach marketingowych ?
Określając z góry SIL tworzy się wyroby niefunkcjonalne ?
Określając z góry SIL tworzy się wyroby zgodne z tym SIL na papierze ?
31
Bezpieczeństwo dziś:
ANALIZA RYZYKA
1. Definicja systemu
2. Identyfikacja zagroŜeń
3. Analiza skutków
4. Ocena ryzyka
5. Przypisanie THR
KONTROLA ZAGROśEŃ
1. Analiza przyczynowa
2. Analiza wspólnej przyczyny (CCF)
3. Przydział SIL
32
Skąd się
bierze
SIL?
Analiza ryzyka to
odpowiedzialność
Władz Kolejowych (w
Polsce UTK).
Kontrola zagroŜeń
to odpowiedzialność
Producentów,
Dostawców Urządzeń.
33
Sterowanie Intensywnością uszkodzeń.
ANALIZA RYZYKA
1. Definicja systemu
2. Identyfikacja zagroŜeń
3. Analiza skutków
4. Ocena ryzyka
5. Przypisanie THR
34
Określić system
Lista zagroŜeń
Powaga skutków
Powaga skutków / częstość
Ilościowy współczynnik
Identyfikacja zagroŜeń polega na analizowaniu funkcji systemu
pod kątem potencjalnych zagroŜeń.
NaleŜy uwzględnić czy do zagroŜeń moŜe prowadzić dana funkcja
oraz czy do zagroŜeń moŜe prowadzić brak lub błędne wykonanie
danej funkcji.
35
Określenie definicji systemu to sprecyzowanie funkcji, które ma
realizować dany system.
Dodatkowo w celu oceny ryzyka naleŜy określić scenariusze mogące
prowadzić do wypadków po wystąpieniu zagroŜeń.
Dodatkowo w celu oceny ryzyka naleŜy określić częstość zagroŜenia
(prawdopodobieństwo) wystąpienia zagroŜenia i wypadku.
36
Analiza skutków polega na określeniu potencjalnych skutków zagroŜeń
(skutków potencjalnych wypadków, będących konsekwencją zagroŜeń).
Jeśli nie - naleŜy wdroŜyć minimalizowanie tego ryzyka.
THR określa się więc dla funkcji systemu na podstawie Analizy Ryzyka
(dla zagroŜeń związanych z realizacją danej funkcji).
NaleŜy określić daną funkcję na poziomie systemu (do wyznaczenia THR).
37
Ocena ryzyka ma na celu określenie czy dane ryzyko jest akceptowane /
nieakceptowane.
Częstotliwość
wystąpienia zagroŜenia
Ocena ryzyka
Częste
NiepoŜądane
Nietolerowane
Nietolerowane
Nietolerowane
Prawdopodobne
Tolerowane
NiepoŜądane
Nietolerowane
Nietolerowane
Sporadyczne
Tolerowane
NiepoŜądane
NiepoŜądane
Nietolerowane
Mało prawdopodobne
Nieistotne
Tolerowane
NiepoŜądane
NiepoŜądane
Nieprawdopodobne
Nieistotne
Nieistotne
Tolerowane
Tolerowane
NiemoŜliwe
Nieistotne
Nieistotne
Nieistotne
Nieistotne
Nieistotne
Marginalne
Krytyczne
Katastrofalne
Powaga konsekwencji
38
W tabeli przestawiono matrycę słuŜącą do oceny ryzyka dla kaŜdego
z zagroŜeń – na podstawie Tablicy 6, PN-EN 50126.
1. Analiza przyczynowa, przydział funkcji
2. Analiza wspólnej przyczyny (CCF)
3. Przydział SIL
39
KONTROLA ZAGROśEŃ
Co to jest
system?
SYSTEM
PODSYSTEM
PODSYSTEM
PODSYSTEM
PODSYSTEM
ELEMENT
ELEMENT
ELEMENT
40
Podział systemu:
1. Lista zagroŜeń i THR-y
2. Rozdziel / alokuj THR do kluczowych
funkcji lub podsystemów
3. Alokacja to podział:
- moŜna dokonać alokacji poprzez
dzielenie „po równo” np. 5 / 5
- albo określić inny podział np. 3 / 7.
41
Jak określić THR i SIL dla systemu /
podsystemu / elementu:
3. Określ, który podsystem realizuje jakie funkcje
4. Lista THR-ów związana z podsystemami
5. Określ SIL dla podsystemu z tabeli THR >> SIL
42
Jak określić THR i SIL dla systemu / podsystemu / elementu:
43
THR [1/h] dla funkcji
SIL
10-9 ≤ THR < 10-8
4
10-8 ≤ THR < 10-7
3
10-7 ≤ THR < 10-6
2
10-6 ≤THR < 10-5
1
6. Zbuduj podsystem z elementów
7. SIL dla elementu pozostaje niezmieniony
8. Stwórz podsystem z elementów (FR-y), aby spełnić THR
44
45
Podstawowe problemy/błędy:
Określenie THR dla urządzenia
Czy zatem wszystkie funkcje są równie waŜne i krytyczne?
Określenie SIL dla urządzenia
Czy zatem wszystkie funkcje są równie waŜne i krytyczne?
SIL ma mieć juŜ „wszystko”. Czy przekaźnik ma SIL, czy drąg ma
SIL, czy sterownik ma SIL, …
CO TO ZNACZY SIL ???
46
Podstawowe problemy / błędy:
Określenie SIL bez THR
(wyznaczenie SIL bez analizy ryzyka), jaki przyjąć wtedy THR ?
Czy nie okaŜe się, Ŝe wartość jest za wysoka?
SIL -4 >> THR < 10-8 = ?= SIL-4
0,9 x 10-8 0,9 x 10-8 0,9 x 10-8
2,7 x 10-8 = ?= SIL-4
System zaleŜnościowy
47
Licznik osi ???
Wypadki na przejazdach
Błąd kierowcy
Błąd urządzeń
0,9 x 10-8 >>> 12 000 lat
12 000 lat
1 200 lat
120 lat
48
Sprzęt, kontrole, zakleszczanie
10-6
SIL-4 >>> THR 0,9 x 10-8 ?
SIL-4 >>> THR 0,9 x 10-8 ?
Błąd urządzeń = zagroŜenie
0,9 x 10-8 >>> 12 000 lat
Zły czas i miejsce
Brak moŜliwości uniknięcia wypadku
Wypadek
49
50
Czy określenie SIL zapewnia wystarczające bezpieczeństwo?
Czy moŜna zapewnić wystarczające bezpieczeństwo bez SIL?
Co tak naprawdę decyduje o bezpieczeństwie urządzeń?
Czy moŜna wymagać SIL dla przekaźników, wyłączników,
elementów elektronicznych?
Kwestie nadal otwarte:
LCC stanowi kryterium wyboru, ale przy znanych i moŜliwych do
porównania załoŜeniach
Wzrost niezawodności moŜe w znaczący sposób wpływać na LCC
W pogoni za obniŜeniem LCC odpowiednie bezpieczeństwo musi
być zagwarantowane
Czy określenie tylko SIL nie spowodowało, Ŝe świadomość czym
jest odpowiednie bezpieczeństwo jest zbyt mała, a ewentualną
dyskusję skutecznie kończy się stwierdzeniem
„Ale musi być SIL-4”…
51
WNIOSKI:
52
DZIĘKUJĘ ZA UWAGĘ

RAMS i LCC w branŜy kolejowej

Transkrypt

Podobne dokumenty

zal 3 do zarzadzenia - informacja o dłużniku

Mała Firma ALL INCLUSIVE „Energiczniej! W biznesie, w

Sygnalizacje przejazdowe BT ZWUS w Polsce i na rynkach

Inżynier Bezpieczeństwa ds. Systemów Sterowania Ruchem

Save to PDF

KOSZT CYKLU ŻYCIA PRODUKTU A PRZETARGI: WAŻNE JAK SIĘ

Programista JAVA