Historia
“Katastrofa promu Challenger, do której doszło w Stanach Zjednoczonych, nad stanem Floryda, o godzinie 16:39 UTC w dniu 28 stycznia 1986. Zespół wahadłowca „Challenger” rozpadł się na skutek uszkodzenia pierścienia uszczelniającego w silniku prawej rakiety dodatkowej na paliwo stałe, które powstało w 1. sekundzie lotu.”
Początki
Na początku projektu promu kosmicznego National Aeronautics and Space Administration zdefiniował ryzyko jako „prawdopodobieństwo (jakościowe) utraty zdolności personelu, losowych błędów systemu lub jego uszkodzenia lub utraty sprzętu lub mienia”. NASA odpowiednio polegała na kilku technikach określania niezawodności i potencjalnych problemów projektowych – tak podsumował sprawę Komitet Krajowej Rady ds. Badań Naukowych USA ds. przeglądu krytyczności wahadłowca i audytu analizy zagrożeń w raporcie ze stycznia 1988 r. Raport Post-Challenger Evaluation of Space Shuttle Risk Assessment and Management , jak zauważono w raporcie, analizy „nie uwzględniały względnych prawdopodobieństw szczególnego niebezpiecznego stanu wynikającego z trybów awarii, błędów ludzkich lub sytuacji zewnętrznych”, więc nie mierzyły ryzyka. Szkolenia FMEA jakie znamy dzisiaj nie były w tym czasie oczywiśćie praktykowane.
Raport NRC stwierdził, że analiza trybów i skutków awarii (FMEA) była sercem wysiłków NASA w celu zapewnienia niezawodności. FMEA, przeprowadzony przez wykonawcę budującego każdy element lub podsystem wahadłowy, został przeprowadzony na całym sprzęcie lotniczym i sprzęcie naziemnym, który współpracował z sprzętem lotniczym. Jego głównym celem było zatwierdzanie sprzętu o kluczowym znaczeniu dla wydajności i bezpieczeństwa misji.
Polecany artykuł: FMEA – Czym jest Metoda analizy przyczyn i skutków wad?
Elementy, które nie spełniały określonych wymagań projektowych, niezawodnościowych i bezpieczeństwa określonych przez najwyższe kierownictwo NASA i których awaria mogła zagrozić utrwacie załogi, pojazdu lub misji, stanowiły krytyczną listę systemów (CIL).
Chociaż FMEA / CIL po raz pierwszy postrzegano jako narzędzie projektowe, NASA używa go teraz również podczas operacji i zarządzania, do analizowania problemów, oceny, czy działania naprawcze są skuteczne, określania, gdzie i kiedy konieczna jest inspekcja i konserwacja, oraz ujawniania trendów w awarie.
Po drugie, NASA przeprowadziła w tym czasie analizy zagrożeń, przeprowadzone wspólnie przez inżynierów wahadłowców oraz organizacje bezpieczeństwa i operacji NASA. Korzystali z FMEA / CIL, różnych przeglądów projektów, analiz bezpieczeństwa i innych badań. Rozważono nie tylko tryby awarii zidentyfikowane w FMEA, ale także inne zagrożenia związane z działaniami misji, interfejsami załogi i środowiskiem. Po zidentyfikowaniu zagrożeń i ich przyczyn inżynierowie i menedżerowie NASA musieli podjąć jedną z trzech decyzji: wyeliminować przyczynę każdego zagrożenia, kontrolować przyczynę, jeśli nie można jej wyeliminować, lub zaakceptować zagrożenia, których nie można kontrolować.
NASA przeprowadziła również elementarna analizę funkcjonalną interfejsu (EIFA), aby spojrzeć na prom bardziej jako kompletny system. Zarówno analizy FMEA, jak i analizy zagrożeń skoncentrowane były tylko na poszczególnych elementach promu: główne silniki promu kosmicznego na orbicie, reszta orbitera, zbiornik zewnętrzny i rakiety na paliwo stałe. EIFA oceniła zagrożenia w powiązaniu elementów ze sobą.
Aby również zbadać wahadłowiec jako system, NASA przeprowadziła jednorazową ocenę funkcji krytycznych w 1978 r., która miała za zadanie szukać wielu awarii kaskadowych. Informacje ze wszystkich tych badań przyczyniły się w jeden sposób do ogólnej oceny bezpieczeństwa misji.
Komitet NRC miał kilka uwag krytycznych. W praktyce FMEA była wyłączną podstawą niektórych decyzji dotyczących zmian w inżynierii oraz wszystkich zwolnień i uzasadnień inżynieryjnych dotyczących zachowania pewnych cech konstrukcyjnych wysokiego ryzyka. Jednak w raporcie NRC zauważono, że analizy zagrożeń dla niektórych ważnych podsystemów wysokiego ryzyka „nie były aktualizowane przez wiele lat, nawet pomimo tego, że nastąpiły zmiany w projekcie lub wystąpiły niebezpieczne awarie”. Na jednym schemacie postępowania, raport zauważył: „ „Analiza zagrożeń zgodnie z wymaganiami” to ślepa uliczka z danymi wejściowymi, ale bez danych wyjściowych w odniesieniu do decyzji o zatwierdzeniu danego elementu. ”
Komitet NAC doszedł do wniosku, że „izolacja analizy zagrożeń w ramach dotychczasowego procesu oceny ryzyka i zarządzania NASA może być postrzegana jako odzwierciedlająca słabość całej organizacji bezpieczeństwa w przeszłości”
