Hazard & Risk Analysis je úvodním krokem rozhodování o zařazení výrobku do třídy bezpečnosti.
Výsledky HARA analýzy jsou rozhodující pro posouzení, zda výrobek může být vyvíjen v režimu "běžného" řízení kvality (QM-úroveň), nebo musí vývoj probíhat podle některé z úrovní ASIL A - D nebo SIL (podle typu standardu; dále uvádíme pro jednoduchost společné (A)SIL).
Systémová podpora (nejen) pro HARA
HARA nebo FMEA?
HARA i FMEA pracují s podobnými pojmy a hodnocením výrobku, ale jejich základ je v principu odlišný. Zásadní rozdíl mezi HARA a FMEA je v době realizace a podrobnosti analýzy. Z hlediska postupu zpracování HARA odpovídá standardu HAZOP (Hazard and operability study).
HARA analýzu provádíme v projektu na samém začátku, kdy není známa jeho detailní analýza. Základem posouzení jsou proto jeho potenciální dopady na provoz.
V rámci HARA analýzy je klíčovou otázkou: K jakému ohrožení může vlivem posuzovaného dílu dojít?
FMEA analýzu provádíme na základě detailní analýzy a vycházíme z možných selhání jednotlivých součástek a dílů, ze kterých se posuzovaný produkt skládá.
Klíčovou otázkou FMEA analýzy je: Co se může porouchat a co to může způsobit?
Pro FMEA a HARA je pro analýzu společné, že hodnocení probíhá v kontextu
- Hodnocení způsobených rizik. Příklad: Riziko vážného úrazu
- Posuzování rizikovosti na základě posouzení, jak často nastávají podmínky, kdy ohrožení může nastat.> Příklad: Jízda/provoz v noci
Jak provádět HARA analýzu
HARA analýzu zde popisujeme na základě standardu ISO 26262-3. Postup je ale shodný i pro jiné standardy, např. Mil Std 882D.
Základní kroky HARA analýzy jsou
- Identifikace produktu, pro který se HARA analýza provádí.
- Popis prostředí, ve kterém je využíván, zejména co je v jeho okolí a může být produktem ovlivněno
- Provozní režimy, ve kterých je využíván a četnost dané hrozby
- Jaké hrozby může v jednotlivých režimech způsobit
- Celkové posouzení (rating) hrozby dané součinem hrozby, pravděpodobnosti situace
Výsledkem analýzy jsou
- Návrhy opatření, které snižují hrozby
- Zařazení do třídy bezpečnosti ASIL / SIL (Podle typu použité normy)
Opatření musí mít praktické výstupy
Opatření, aby mělo smysl, se musí promítnout do konkrétních požadavků, které design splňuje. Typickými příkladem opatření je:
- Redundance, tj. zdvojení prvku, který může selhat.
- Bezpečnostní režim (Safety mode). Základem bezpečnostního režimu je rozpoznání závady, potenciální závady nebo rizika, že k závadě dojde a přepnutí do bezpečnostního režimu.
- Zvýšení spolehlivosti, tj. použití takových materiálů, dílů a výrobních postupů, u kterých je menší riziko, že selžou.
Pro HARA je užitečná systémová podpora
HARA analýza stejně jako FMEA nestojí osamoceně, ale je vytvářena v kontextu celého projektu, který ovlivňuje a do kterého zapadá:
Dokladování HARA
- Musí být dokumentováno, kdo se analýze podílel
- Na přezkoumání HARA jsou kladeny explicitní požadavky (musí být nezávislé), takže i řešitelé i posuzovatelé analýzy musí být doloženi
- Musí existovat důkazy, že skutečně proběhla - např. podle standardu ISO 26262 má být řízena systémem řízení procesů
- Požadavky musí být přezkoumatelné - musí pro ně existovat racionální zdůvodnění, že skutečně pomohou
Věcná provázanost
- Každé opatření, které z HARA vznikne, se stává safety požadavkem na výrobek, nebo výrobní postup
- Safety požadavky musí být součástí traceability systému a dokumentovány od svého vzniku až po jejich implementaci
- Traceability je oboustranná - musí tedy být možné i zpětně dohledat, jaké důvody v rámci HARA analýzy vedly k rozhodnutí daný požadavek vytvořit.