BAB II

TEORI DASAR PROSES PENILAIAN KESELAMATAN

2.1 PENDAHULUAN

SAE ARP4761 dikeluarkan oleh SAE (Society for Automotive Engineers) International – The Engineering Society for Advancing Mobility Land Sea Air and Space.. Dokumen ini berisi panduan untuk menyusun proses penilaian keselamatan untuk sertifikasi pesawat-pesawat sipil terutama mengacu kepada FAR/JAR 25.1309. ARP sendiri adalah singkatan dari Aerospace Recommended Practice. Dalam bab ini akan dijelaskan mengenai teori dasar proses penilaian keselamatan berdasarkan SAE ARP4761.

2.2 PROSES PENILAIAN KESELAMATAN

Secara umum proses penilaian keselamatan terdiri atas tiga tahap. Pertama Functional Hazard Assessment (FHA) yang bertujuan untuk mengidentifikasi segala kondisi kegagalan yang berkaitan dengan fungsi yang terdapat pada sebuah pesawat atau sistem. Kedua adalah Preliminary System Safety Assessment (PSSA) yang bertujuan untuk menganalisis lebih lanjut segala hal yang mungkin menjadi penyebab terjadinya kegagalan yang diperoleh melalui proses FHA. Ketiga adalah System Safety Assessment (SSA) yang bertujuan untuk memastikan bahwa segala hal yang diperlukan untuk mencegah terjadinya kegagalan yang diperoleh pada tahapan PSSA telah sesuai dengan apa yang diperoleh dari tahapan FHA. Gambaran hubungan antara ketiga tahapan proses penilaian keselamatan tersebut ditunjukkan pada Gambar 2.1.

Gambar 2.1 Tahapan proses penilaian keselamatan SAE ARP4761 [Ref 2]

Proses penilaian keselamatan dimulai sejak awal pengembangan pesawat yaitu pada saat desain konsep. Pada saat ini tahap FHA dimulai yaitu membuat FHA pada tingkat pesawat. FHA untuk tingkat sistem mulai dilakukan ketika memasuki desain awal (preliminary design) pesawat. Selain itu, pada tahap ini tahap PSSA juga mulai dilaksanakan. Ketika pengembangan memasuki desain rinci (detailed design), tahap SSA dimulai. Tahap ini terus dilakukan sampai proses pengembangan memasuki pengujian.

2.2.1 Functional Hazard Assessment

Functional Hazard Assessment (FHA) adalah suatu pemeriksaan secara sistematis dan komprehensif yang bertujuan untuk mengidentifikasi dan mengklasifikasi kondisi kegagalan yang berhubungan dengan fungsi-fungsi pesawat beserta sistemnya. Proses FHA harus dapat mengidentifikasi segala macam kondisi kegagalan pada setiap fase terbang. Kemudian semua kondisi kegagalan yang telah diidentifikasi tersebut diklasifikasikan berdasarkan dampak yang dapat ditimbulkannya. Biasanya proses FHA ini mulai dilakukan pada saat permulaan proses perancangan pesawat. FHA dilakukan pada dua tingkatan, yaitu:

• FHA pada tingkat pesawat (Aircraft Level FHA)

Pemeriksaan secara kualitatif terhadap fungsi-fungsi dasar pesawat yang didefinisikan pada saat awal proses pengembangan pesawat.

• FHA pada tingkat sistem (System Level FHA)

Pemeriksaan secara kualitatif untuk mengidentifikasi kegagalan sistem atau kombinasinya yang dapat mempengaruhi fungsi pesawat.

Secara garis besar tahap pelaksanaan FHA adalah sebagai berikut.

1. Mengidentifikasi semua fungsi-fungsi dari pesawat maupun sistem.

2. Mengidentifikasi dan mendeskripsikan kondisi kegagalan yang berhubungan dengan setiap fungsi-fungsi tersebut.

3. Menentukan dampak dari kondisi kegagalan.

4. Mengklasifikasikan dampak dari kondisi kegagalan.

Secara umum, klasifikasi dampak dari kondisi kegagalan tersebut adalah Catastrophic, Hazardous, Major, Minor, atau No Safety Effect seperti yang menjadi kategori pada FAR maupun JAR. Untuk kriteria selengkapnya mengenai pengklasifikasian tersebut dapat dilihat pada Gambar 2.2 :

Gambar 2.2 Kriteria pengklasifikasian dampak kegagalan berdasarkan FAA dan JAA [Ref 2]

Hasil yang didapat dari proses FHA pada tingkat pesawat akan menjadi input bagi proses FHA untuk tingkat sistem. Sedangkan hasil yang didapat dari proses FHA pada tingkat sistem akan menjadi input bagi tahapan safety assessment process selanjutnya yaitu Preliminary System Safety Assessment (PSSA).

2.2.2 Preliminary System Safety Assessment

Preliminary System Safety Assessment (PSSA) adalah pemeriksaan sistematis terhadap rancangan sistem untuk melihat kegagalan-kegagalan apa saja yang dapat menyebabkan kegagalan fungsional yang berbahaya (functional hazard) yang diidentifikasi pada tahap FHA.

Tujuan PSSA adalah untuk membangun sebuah persyaratan keselamatan (safety requirements) dari sistem dan untuk menentukan apakah sebuah rancangan sistem yang diusulkan dapat memenuhi sasaran keselamatan yang diidentifikasi pada tahap FHA.

PSSA biasanya dilakukan dengan menggunakan berbagai metode antara lain: • Analisis Pohon Kesalahan/Fault Tree Analysis (FTA)

• Diagram Ketergantungan/Dependence Diagram (DD) • Analisis Markov/Markov Analysis (MA)

Analisis yang dilakukan dalam PSSA ini bersifat top-down dan harus dapat mengidentifikasi semua kegagalan yang terjadi pada tingkat yang lebih rendah. Kegagalan ini dapat memicu terjadinya kegagalan pada tingkat yang lebih tinggi dan yang paling tinggi (top event). Kegagalan pada tingkat yang paling tinggi ini diperoleh dari proses FHA. Proses identifikasi pada PSSA menggunakan salah satu dari tiga metode yang telah disebutkan di atas walaupun biasanya lebih sering menggunakan analisis pohon kesalahan (FTA).

2.2.3 System Safety Assessment

System Safety Assessment (SSA) adalah sebuah proses evaluasi secara sistematis dan komprehensif untuk mengkaji apakah sistem yang telah dirancang sudah memenuhi persyaratan keselamatan yang ditentukan oleh tahap PSSA dan apakah sistem tersebut telah memenuhi sasaran keselamatan yang ditentukan oleh tahap FHA. Analisis yang dilakukan dapat berupa analisis kualitatif maupun kuantitatif tergantung pada keadaan dan ketersediaan data. Beberapa proses dari SSA ini adalah sebagai berikut.

• Memverifikasi bahwa persyaratan desain yang didapat dari tahap FHA pada tingkat sistem telah dipenuhi.

• Memvalidasi bahwa klasifikasi dampak yang ditimbulkan oleh kegagalan sudah benar.

• Memverifikasi bahwa persyaratan keselamatan yang diturunkan dari Design Requirement & Objectives telah terpenuhi.

• Memverifikasi bahwa persyaratan desain yang didapat dari proses Common Cause Analysis (CCA) telah dipenuhi.

Untuk mengerjakan proses tersebut diperlukan beberapa metode untuk membantu proses evaluasi sistem. Metode yang digunakan biasanya sama dengan metode pada tahap PSSA yaitu Fault Tree Analysis (FTA), Dependence Diagram (DD) atau Markov Analysis (MA), meskipun yang sering digunakan adalah FTA.

2.3 METODE ANALISIS PENILAIAN KESELAMATAN 2.3.1 Fault Tree Analysis

Analisis Pohon Kesalahan (Fault Tree Analysis, FTA) adalah sebuah teknik analisis dari atas ke bawah (top-down), dimana kejadian yang tidak diharapkan yang disebut top event diidentifikasi terlebih dahulu. Setelah itu, semua kejadian yang dapat menyebabkan terjadinya kejadian puncak diidentifikasi. Hal tersebut dilakukan terus-menerus pada tingkat yang lebih rendah hingga mencapai tingkat dimana identifikasi lebih jauh tidak diperlukan.

FTA menggunakan logika Boolean untuk menunjukkan hubungan antara dampak kegagalan dengan modus kegagalan. Dua macam logika yang sering digunakan adalah AND dan OR. AND merepresentasikan kondisi dimana seluruh kejadian pada masukan (input) harus terjadi untuk menghasilkan keluaran (output) berupa kejadian pada tingkat yang lebih tinggi. Sedangkan OR merepresentasikan kondisi dimana satu atau lebih kejadian pada masukan harus terjadi untuk menghasilkan keluaran (output) berupa kejadian pada tingkat yang lebih tinggi.

Sebuah representasi grafis yang dinamakan pohon kesalahan (Fault Tree, FT) kemudian dibuat untuk melihat hubungan logis antara semua kejadian yang berkaitan dengan kejadian puncak. Gambar 2.3 memperlihatkan sebuah contoh pohon kesalahan.

+

+

+ +

Gambar 2.3 Contoh pohon kesalahan

Pohon kesalahan menggunakan banyak simbol-simbol untuk menunjukkan hubungan logis antar kejadian. Simbol-simbol yang biasa digunakan, ditunjukan pada Gambar 2.4 di halaman berikut.

Gerbang AND

Kejadian keluaran terjadi hanya jika semua kejadian masukan terjadi bersamaan

Gerbang OR

Kejadian keluaran hanya terjadi jika satu atau lebih kejadian masukan

Kesalahan dasar

Kesalahan atau kejadian dasar disebabkan oleh komponen yang probabilitasnya diketahui Kejadian antara

Kesalahan atau kejadian yang disebabkan kombinasi kejadian lain lewat gerbang logika

Kejadian yang tidak dikembangkan

Kesalahan yang tidak dibagi dalam kejadian dasar karena kurang atau tidak pentingnya informasi. Kejadian harus diperluas dan dikembangkan kemudian

Kejadian pemindahan

Seluruh bagian pohon dipindahkan ke tempat lain +

Gambar 2.4 Simbol-simbol pohon kesalahan

Dalam SAE ARP4761 langkah-langkah untuk membuat sebuah analisis pohon kesalahan (FTA) adalah sebagai berikut.

1. Mendefinisikan tingkat FTA.

2. Mendefinisikan ruang lingkup FTA.

3. Mendefinisikan kejadian yang tidak diharapkan (top event).

4. Mengumpulkan semua data system yang akan digunakan untuk analisis. 5. Membuat pohon kesalahan

Setelah pohon kesalahan sebagai representasi FTA selesai dibuat, kemudian dibuat sebuah evaluasi terhadap pohon kesalahan tersebut. Evaluasi pohon kesalahan dilakukan dengan dua langkah berikut ini.

1. Analisis Kualitatif

Pernyataan logika dibangun untuk kejadian puncak dalam bentuk kombinasi (union atau intersection) dari kejadian dasar.

2. Analisis Kuantitatif

Pernyataan logika ini digunakan untuk memperkirakan peluang kejadian puncak dalam bentuk peluang kejadian primer. Dengan mengetahui peluang kejadian dasar kita dapat mengetahui peluang kejadian puncak.

2.3.2 Dependence Diagram dan Markov Analysis

Diagram Ketergantungan (Dependence Diagram, DD) menggantikan logika FTA dengan jalur-jalur untuk menunjukkan hubungan kegagalan. Jalur paralel adalah sama dengan logika AND sedangkan jalur seri adalah ekivalen dengan logika OR. Gambar 2.5 menunjukan contoh sebuah Dependence Diagram.

Gambar 2.5 Contoh Dependence Diagram (DD) [Ref 2]

Analisis Markov cocok digunakan untuk menganalisis sistem yang memiliki redundansi, dimana bila salah satu unit redundannya mengalami kegagalan maka unit tersebut diasumsikan diganti atau diperbaiki. Langkah-langkah untuk membuat analisis Markov adalah sebagai berikut.

a. Membuat model Markov b. Menyusun persamaan c. Menyelesaikan persamaan

Gambar 2.6 menunjukkan contoh model Markov S3 l3 S4 S1 S2 l1 l2

Gambar 2.6 Contoh model Markov

Setelah membuat model Markov kemudian dilanjutkan dengan menyusun persamaan. Persamaan yang disusun berupa persamaan diferensial. Misalnya untuk tingkat keadaan 3 (S3) pada Gambar persamaannya menjadi:

) ( 3 3 ) ( 2 2 ) ( 1 1 ) ( 3 t P t P t P dt t dP

_λ

_λ

_λ

− + =

Secara sederhana peluang sebuah system untuk berada pada tingkat keadaan 3 pada waktu t adalah laju kegagalan dikalikan peluang yang masuk ke dalam tingkat keadaan 3 dikurangi laju kegagalan dikalikan peluang yang keluar dari tingkat keadaan 3. Setelah persamaan disusun, selanjutnya analisis dilanjutkan dengan menyelesaikan persamaan tersebut.

2.3.3 Failure Modes and Effects Analysis

Failure Modes and Effects Analysis (FMEA) adalah sebuah metode sistematis dari bawah ke atas (bottom-up) untuk mengidentifikasi modus kegagalan suatu sistem, item atau fungsi. FMEA juga menentukan dampak kegagalan pada tingkat yang lebih tinggi. FMEA digunakan untuk menganalisis dampak kegagalan yang dihasilkan oleh kegagalan tunggal. FMEA biasanya mencakup informasi sebagai berikut:

• identifikasi komponen atau fungsi • modus kegagalan

• dampak kegagalan

• kemungkinan untuk mendeteksi kegagalan • probabilitas terjadinya kegagalan

• tindakan untuk menanggulangi kegagalan • fase terbang dimana kegagalan itu terjadi.

Gambar 2.7 menunjukan contoh berkas FMEA.

Gambar 2.7 Contoh berkas FMEA [Ref 2]

Dalam FMEA ada satu istilah penting yaitu Prioritas Risiko (Risk Priority Number, RPN) atau kritikalitas (criticality). RPN menunjukkan kepentingan relative kegagalan terhadap aksi perbaikan dalam skala 1 sampai 10. Skala 1 menunjukkan prioritas terendah dan 10 menunjukkan prioritas tertinggi. RPN dapat diperoleh dengan mengalikan frekuensi kejadian, tingkat kepelikan dan peluang deteksi, kemudian hasilnya dibagi dengan 100.

2.3.4 Failure Modes and Effects Summary

Failure Modes and Effects Summary (FMES) adalah pengelompokan dari beberapa modus kegagalan tunggal yang menghasilkan dampak kegagalan yang sama.

2.3.5 Common Cause Analysis

Ketidak-bergantungan fungsi, sistem atau item kadang diperlukan untuk memenuhi persyaratan keselamatan suatu sistem. Oleh karena itu, diperlukan suatu instrument untuk meyakinkan ketidak-bergantungan tersebut. Common Cause Analysis (CCA) merupakan metode untuk memverifikasi hal ini. CCA dibagi menjadi tiga macam analisis:

• Zonal Safety Analysis (ZSA) • Particular Risks Analysis (PRA) • Common Mode Analysis (CMA) a. Zonal Safety Analysis (ZSA)

ZSA adalah analisis yang harus dilakukan pada setiap zona pada pesawat. Tujuan dari analisis ini adalah untuk memastikan bahwa pemasangan peralatan telah memenuhi persyaratan keselamatan, antara lain dalam hal:

a. instalasi dasar

b. interferensi antar sistem c. kesalahan perawatan. b. Particular Risks Analysis (PRA)

PRA adalah analisis yang memperhatikan dan mempertimbangkan faktor-faktor lain yang berada di luar sistem. Faktor-faktor tersebut antara lain:

i. api

ii. peralatan energi tinggi iii. cairan bocor

iv. hujan es batu, es, salju v. benturan burung

vi. serpihan karet yang terlepas dari ban vii. pelek ban yang lepas

viii. petir

ix. medan radiasi intensitas tinggi x. flailing shafts.

c. Common Mode Analysis (CMA)

CMA adalah analisis yang dilakukan untuk memverifikasi bahwa logika AND yang terdapat pada FTA/DD/MA benar-benar independen. Segala dampak dari rancangan, proses manufaktur, kesalahan perawatan dan kegagalan komponen sistem yang dapat menghilangkan sifat independen tersebut harus diperhatikan dan dianalisis. Common Mode Faults dapat dibagi ke dalam beberapa kategori yang harus dianalisis. Berikut ini beberapa

i. Hardware Error ii. Software Error iii. Hardware Failure

iv. Production/Repair Flaw

v. Situation Related Stress (e.g., abnormal flight conditions or abnormal system configurations)

vi. Installation Error vii. Requirements Error

viii. Environmental Factors (e.g., temperature, vibration, humidity, etc.) ix. Cascading Faults