האם ניתן היה לחזות מראש את אירוע פיצוץ הצ'אלנג'ר?
בתאריך 28 בינואר 1986 התכנסו במרכז החלל קנדי שבפלורידה אלפי צופים כדי לחזות בהמראתה של מעבורת החלל צ'אלנג'ר. 73 שניות לאחר ההמראה התפוצצה המעבורת והביאה למותם של שבעה אסטרונאוטים ולמבוכה רבה בסוכנות החלל.
בחקירה post mortem התברר שהסיבה לאירוע הייתה כשל באטם אשר נסדק כתוצאה מהטמפרטורה הנמוכה ששררה ביום השיגור. כתוצאה מכך, גזים לוהטים נפלטו וחיממו את מכל הדלק הנוזלי הגדול שבגחון המעבורת, וגרמו לפיצוצו. (מקור: ויקיפדיה)
מצבי כשל רבים מתחילים באירוע שולי ההולך ומתפתח לתקלה חמורה. שיטת ניתוח המבוססת על חשיבה המצאתית לחיזוי כשלים מסייעת לחזות כשלים כאלה.
ניתוח כשלים – מצב קיים
מרבית הכלים המוכרים לחיזוי כשלים מבוססים על גישות סטטיסטיות והסתברותיות כמו FMEA, HAZOP, FTA. תהליך העבודה מורכב מארבעה שלבים בסיסיים: זיהוי ותיעוד אירועי כשל פוטנציאליים (אטם דולף למשל), הערכה של ההסתברות לקיום עבור כל אירוע, הערכת הנזק הצפוי כתוצאה מהתממשות האירוע וחישוב תוחלות הנזק. זיהוי כשל פוטנציאלי גורר כמובן פעולות מקדימות לצמצום הסיכון ע"י טיפול בסיבות השורש להיווצרותו.
לשיטות החיזוי ההסתברותיות מספר מגבלות: קשה לחזות את כל האירועים האפשריים, הערכת ההסתברויות הנה סובייקטיבית, קשה לחזות שרשרת של אירועים, ואת ההשלכות מכך, לא ניתן לחזות את מועד התרחשותם, ולא ניתן לחזות שימוש החורג ממעטפת הביצועים של המערכת.
כפועל יוצר, תקלות הנובעות מאירועים אנקדוטיים, או מאירועי שרשרת (אירוע משני גורר תגובה המחריפה אותן) לא יבואו לידי ביטוי מושלם בשיטות ההסתברותיות.
מגבלה נוספת באה מעולם הפסיכולוגיה. התהליך הקיים מבוסס ברובו על הצגת שאלות כמו ״מה יקרא אם?״. כדי לענות על שאלות אלה, על מתכנן המערכת לחצות חסמים פסיכולוגיים ולהתגבר על מנגנוני הכחשה הקיימים אצל כל בן אנוש, ביחוד אם הוא מעורב בתכנון המערכת או בתחזוקתה.
העוסקים ב HAZOP מכירים צד נוסף: הישיבות הארוכות והמשעממות מוציאות שם רע לתהליך, חוסר רצון לשתף פעולה, חוסר ידע בתחום (כגון בנושא חומרים ותהליכים) ומכאן שטחיות מקצועית.
מגבלות אלו יצרו לחץ לפיתוח כלי חיזוי חדשים.
שיטת החבלה – להפוך את כיוון המחשבה
קשה לדרוש ממהנדס לחשוף את חולשותיה של מערכת אותה תכנן בעצמו. אבל קל יותר לדרוש ממנו לתכנן תקלה שתגרום לתופעה בלתי רצויה (כמו תאונה), אשר לא תתגלה בבדיקות אבי הטיפוס ובדיקות האיכות השגרתיות לאורך תהליך הפיתוח והיצור.
שיטת החבלה עובדת על הרעיון הפשוט לכאורה של היפוך הבעיה. במקום לסכום הסתברויות לאירועי כשל היפותטיים, ממציאים דרכים יצירתיות לגרימת תקלות חמורות אשר יביאו לנזק משמעותי. היפוך הבעיה חוסם את מנגנוני ההכחשה הנפוצים (המוצר שלי חסין לתקלות, הסיכוי לתקלה הוא אפסי, אף פעם לא קרה לנו דבר כזה, זו הפעם הראשונה שאני שומע על תופעה כזו, המהנדסים שלנו הם הטובים ביותר בתחומם …).
היפוך הבעיה משחרר כוחות חשיבה יצירתיים והמצאתיים שהם התקפיים ואפילו אגרסיביים באופיים ("בואו נמצא דרך מקורית לייצר תקלה במערכת, בואו נעשה זאת מבלי שהחבר'ה מ QC יגלו אותנו. כיצד נגרום לתקלה חוזרת? כיצד נייצר תקלה שתתרחש ברגע הכי קריטי?…").
שיטת החבלה או בשמה הרשמי antisipatory Failure Determination (בקיצור AFD) היא אחד מכלי החשיבה של טכניקת ה- TRIZ . טכניקת TRIZ פותחה ע"י היינריך אלטשולר לפני יותר משישים שנה. היא נחשבת כיום לגישה הפורייה ביותר ליצירת רעיונות המצאתיים.
בעזרת ה- AFD ניתן לחזות כשלים בשלבי תכנון של מערכות, לנתח את הגורמים לכשל, ולשפר את המערכת לשם מניעת תקלות.
כיצד עובדת שיטת החבלה?
תהליך החשיבה שעומד מאחורי שיטת החבלה הוא פשוט, אך הוא מצריך הכרות עם טכניקות לחשיבה המצאתית שיטתית. התהליך מורכב משלושה שלבים:
שלב 1: היפוך הבעיה
מזהים אירוע חמור אותו רוצים למנוע (למשל התפוצצות של מיכל האמוניה, זיהום שיביא למפגע רב נפגעים, פשיטת רגל של חברה גדולה, חריגה חמורה מתקנים וכדומה) ומנסחים שאלה הפוכה: "כיצד ניתן להביא להתרחשותו של האירוע?".
שלב 2: המצאת מנגנוני ההרס
בעזרת טכניקות לחשיבה יצירתית ממציאים תרחישים אפשריים להתרחשות האירוע, ומנסחים מהם תנאי הקיום ההכרחיים שיגרמו להתרחשות. (לדוגמה: תרחיש אפשרי לשריפת יער הוא יום קייצי, רוחות, הימצאות של חומר בערה (קוצים למשל) והמצאות גורם מבעיר (כמו שבר בקבוק המשמש כעדשה).
שלב 3: בדיקת ההשערות ואימותן
בוחנים אם המשאבים הקיימים בשטח מספקים את תנאי הקיום של התרחיש המומצא. ברגע שתנאי הקיום ההכרחיים מתקיימים בשטח, ניתן להסיק שהאירוע יתרחש בוודאות גבוהה מאוד. בדוגמה של שריפת חורש כל התנאים עלולים להמצא בשטח, לכן השריפה תתרחש בוודאות גבוהה.
פצצת זמן מתקתקת מקרה בוחן
הדוגמה הבאה מתארת גורם סיכון חמור שהיה נסתר במשך 10 שנים והתגלה הודות לגישה הייחודית של שיטת החבלה. מדובר בפצצה מתקתקת שהייתה גורמת לנזק חמור (מוות של עשרות ואולי מאות אנשים) בוודאות של 100%, אך התממשותו הייתה רק עניין של זמן.
מפעל תעשייתי קטן ממוקם כמה מאות מטרים מבית הספר האזורי בעיירה תעשייתית שלווה סמוך לדטרויט. ריח לא נעים של גז צהבהב הנפלט מידי פעם ממתקני המפעל מדאיג מאוד את הורי התלמידים. ועד ההורים פנה להנהלת המפעל וביקש הבהרות לגבי הסיכון של הגז הנפלט. מהנדסי החברה טענו בתוקף שדליפת הגז אינה מסוכנת על אף ריחו הלא נעים.
וועד ההורים לא הסתפק בתשובה הצפוייה ופנה ליועץ חיצוני שהתבקש לבדוק אם ישנו חשש למפגע בטיחותי כלשהו. היועץ נעזר בשיטת החבלה וביקש לשקול את התרחיש הגרוע ביותר: התפוצצות של מיכל הגז שהכיל מעל 100 טון גז מסוג S1.
היועץ ניסח את הבעיה ההפוכה כך: כיצד לגרום באופן מכוון לפיצוץ מיכל הגז S1?
מהנדסי החברה היו מאוד מסויגים וחשבו שהתרחיש מופרח ואין טעם בכל התהליך. אך בדיקה קצרה ב Google הראתה שאחת הדרכים לגרום לפיצוץ של גז S1 היא לערבבו עם גז מסוג S2.
היועץ פנה למהנדסי המתקן וביקש לדעת אם ישנו גז מסוג S2 בסביבה. הם כמובן הכחישו שקיים גז מסוג S2 בסביבה, אולם לאחר התעקשות נוספת התברר שמיכל של גז S2 אכן קיים, אך הוא ממוקם במרחק של כמה מאות מטרים ואינו מחובר למיכל S1. יתרה מזו, מהנדסי המתקן טענו בתוקף ששני התהליכים נפרדים ואינם קשורים, ולכן גז S2 לעולם לא יתערבב עם גז S1.
בשלב זה היועץ ניסח בעיה חדשה: כיצד להפגיש את שני הגזים ולגרום לפיצוץ של אחד המכלים. אחת ההשערות למפגש אפשרי בין S1 לבין S2 היא קיום של צינור המחבר בין שני המכלים.
על פי שיטת ה AFD, לאחר ניסוח השערה לתרחיש, יש לצאת לשטח ולמצוא את המשאבים ההכרחיים לקיומה.
בבדיקה מעמיקה מול מהנדסים וותיקים שהיו שותפים בהקמת המפעל, התברר שלמכלים S1 ו- S2 יש קו אוורור המחובר למתקן איוורור משותף (scrubber). עוד התגלה שעל קו האוורור מותקן מגוף הנמצא במצב נורמלי פתוח. התברר שסגירת המגוף תגרום למעבר גז ממיכל S2 למיכל S1 (בגלל הפרש לחצים). הסתבר כי המגוף הותקן שנים רבות קודם לכן, במהלך הקמת המפעל, ושימש להפרדה בעת בדיקת תהליך האוורור. לאחר התייצבות התהליך הוחלט שפירוק המגוף יקר מידי והוא נותר מותקן. המגוף לא נשא כל שלט אזהרה ואיש מהעובדים לא ידע שסגירתו עלולה לגרום לפיצוץ. אם מישהו היה סוגר בטעות את המגוף הייתה נוצרת ראקציה כימית, והפיצוץ היה מעיף את בית הספר.
התגלה המשאב הנדרש למימוש התרחיש שיביא לפיצוץ המתקן.
היועץ, ביחד עם מהנדסי המפעל, החליטו לרתך את המגוף כדי למנוע כל אפשרות לסגירתו. בכך מנעו פיצוץ אפשרי.
הפרויקט הקצר נמשך 3 ימים. הפתרון עצמו לקח 30 דקות (ריתוך המגוף).
בהמשך, צוותי ההנדסה המקומיים הוכשרו בטכניקת החבלה, וביצעו עשרות פרויקטים לזיהוי כשלים אפשריים. מסיבות מובנות, החברה לא דיווחה על אירועים שנמנעו, וזוהי אחת הבעיות הנוספות שמקשות על חיזוי תקלות וסיכונים.
ניתן ללמוד את שיטת החבלה בסדנה בת 3 ימים.
לפרטים נוספים: