Анализ вида и последствий отказа - АВПО (Failure Mode and Effects Analysis - FMEA) применяется для качественной оценки надежности и безопасности технических систем. Анализ вида и последствий отказа представляет собой метод, позволяющий идентифицировать тяжесть последствий видов потенциальных отказов и обеспечить меры по снижению рисков. Существенной чертой этого метода является рассмотрение каждой системы в целом и каждой составной ее части (элемента) на предмет того, каким образом он может стать неисправным (вид и причина отказа) и как этот отказ воздействует на технологическую систему (последствия отказа). Термин «система» здесь понимается как совокупность взаимосвязанных или взаимодействующих элементов (ГОСТ Р 51901.12-2007 ) и используется для описания аппаратных (технических) средств, программного обеспечения (и их сочетания) или процесса. В общем случае АВПО применяют к отдельным видам отказов и их последствиям для системы в целом.

Рекомендуется проводить АВПО на ранних стадиях разработки системы (объекта, продукции), когда устранение или уменьшение количества и (или) видов отказов и их последствий является экономически более эффективным. Вместе с тем принципы АВПО могут применяться на всех стадиях жизненного цикла системы. Каждый вид отказа рассматривают как независимый. Таким образом, эта процедура не подходит для рассмотрения зависимых отказов или отказов, являющихся следствием последовательности нескольких событий.

Анализ вида и последствий отказа является методом анализа индуктивного типа, по схеме «снизу-вверх», с помощью которого систематически, на основе последовательного рассмотрения одного элемента за другим, анализируются все возможные виды отказов или аварийные ситуации и выявляются их результирующие воздействия на систему. Отдельные аварийные ситуации и виды отказов элементов выявляются и анализируются для того, чтобы определить их воздействие на другие элементы и систему в целом. Метод АВПО можно выполнить более детально, чем анализ с помощью дерева отказов, поскольку при этом необходимо рассматривать все возможные виды отказов или аварийные ситуации для каждого элемента системы. Например, реле может отказать по следующим причинам: контакты не разомкнулись; запаздывание в замыкании контактов; короткое замыкание контактов на корпус, источник питания, между контактами и в цепях управления; дребезжание контактов; неустойчивый электрический контакт; контактная дуга; разрыв обмотки и пр.

Примерами общих видов отказов могут являться:

• ? отказ в процессе функционирования;
• ? отказ, связанный с несрабатыванием в установленное время;
• ? отказ, связанный с непрекращением работы в установленное время;
• ? преждевременное включение и др.

Дополнительно для каждой категории оборудования должен быть составлен перечень необходимых проверок. Например, для резервуаров и другого емкостного оборудования такой перечень может включать:

• ? технологические параметры: объем, расход, температуру, давление и т.д.;
• ? вспомогательные системы: нагрева, охлаждения, электропитания, подачи, автоматического регулирования и т.д.;
• ? особые состояния оборудования: ввод в действие, обслуживание во время работы, вывод из действия, смену катализатора и т.д.;
• ? изменения условий или состояния оборудования: чрезмерное отклонение величины давления, гидроудар, осадок, вибрация, пожар, механическое повреждение, коррозия, разрыв, утечка, износ, взрыв и др.;
• ? характеристики контрольно-измерительных приборов и средств автоматики: чувствительность, настройка, запаздывание и т.д.

Метод предусматривает рассмотрение всех видов отказов по каждому элементу. Анализу подлежат причины и последствия отказа (локальные -для элемента и общие-для системы), методы обнаружения и условия компенсации отказа (например, резервирование элементов или мониторинг объекта). Оценкой значимости влияния последствий отказа на функционирование объекта является тяжесть отказа. Пример классификации по категории тяжести последствий при выполнении одного из типов АВПО (в качественной форме) приведен в табл. 5.3 (ГОСТ Р 51901.12-2007).

Таблица 5.3

Классификация по тяжести отказов

Окончание

Карта проверки по результатам АВПО представляет собой изложение самого метода АВПО, а ее форма подобна используемой при выполнении других качественных методов, в том числе экспертных оценок, с отличием в большей степени детализации. Метод АВПО ориентирован на аппаратуру и механические системы, прост для понимания, не требует применения математического аппарата. Такой анализ позволяет установить необходимость внесения изменений в конструкцию и оценить их влияние на надежность системы. К недостаткам метода следует отнести значительные затраты времени на реализацию, а также то, что он не учитывает сочетания отказов и человеческого фактора.

Они могут применяться каждый по отдельности, либо во взаимосвязи друг с другом. Если выполняются все три вида FMEA – анализа, то их взаимосвязь может быть представлена следующим образом:

Основное применение FMEA – анализа связано с улучшением конструкции изделия (характеристик услуги) и процессов по его изготовлению и эксплуатации (предоставлению услуги). Анализ может применяться как по отношению к вновь создаваемым изделиям (услугам) и процессам, так и по отношению к уже существующим.

FMEA – анализ выполняется когда разрабатывается новое изделие, процесс, услуга, или проводится их модернизация; когда находится новое применение для существующего изделия, процесса или услуги; когда разрабатывается план контроля нового или измененного процесса. Также, FMEA может проводиться с целью планового улучшения существующих процессов, изделия или услуги, или исследования возникающих несоответствий.

FMEA – анализ выполняется в следующем порядке:

1. Выбирается объект анализа. Если объектом анализа является часть составного объекта, то необходимо точно определить ее границы. Например, если проводится анализ части процесса, то для этой части необходимо установить начальное событие и завершающее событие.

2. Определяются варианты применения анализа. FMEA может являться частью комплексного анализа, при котором применяются различные методы. В этом случае FMEA должен согласовываться с анализом системы в целом.

Основные варианты могут включать:

• анализ сверху-вниз. В этом случае объект анализа разбивается на части и FMEA начинают проводить с наиболее крупных частей.
• анализ снизу-вверх. Анализ начинают с наиболее мелких элементов, последовательно переходя к элементам более высокого уровня.
• анализ компонентов. FMEA выполняют для физических элементов системы.
• анализ функций. В этом случае выполняют анализ функций и операций объекта. Рассмотрение функций осуществляется с точки зрения потребителя (удобство и безопасность выполнения), а не конструктора или изготовителя.

3. Определяются границы, в пределах которых необходимо рассматривать несоответствия. Границами могут являться - период времени, тип потребителя, география применения, определенные действия и т.п. Например, несоответствия, выявляемые только при окончательном контроле и тестировании.

4. Разрабатывается подходящая таблица для регистрации информации. Она может изменяться в зависимости от учитываемых факторов. Наиболее часто применяется таблица следующего вида.

5. Определяются элементы, в которых возможно возникновение несоответствий (отказы). Элементы могут включать в себя различные компоненты, сборки, комбинации составных частей и пр. Если список элементов становится слишком большим и неуправляемым необходимо сократить границы FMEA.

В том случае если потенциальные отказы связаны с критическими характеристиками, дополнительно, при проведении FMEA, необходимо проводить анализ критичности отказов. Критические характеристики это нормативы или показатели, которые отражают безопасность или соответствие нормативным требованиям и нуждаются в особом контроле.

6. Для каждого элемента, выделенного на шаге 5, составляется список наиболее значимых видов отказов. Эту операцию можно упростить, если применять стандартный список отказов для рассматриваемых элементов. Если проводится анализ критичности отказов, то необходимо определить вероятность появления отказа для каждого из элементов. Когда определены все возможные виды отказов для элемента, тогда суммарная вероятность их возникновения должна составлять 100%.

7. Для каждого вида отказа, выявленного на шаге 6, определяются все возможные последствия, которые могут проявиться. Эту операцию можно упростить, если применять стандартный список последствий. Если проводится анализ критичности отказов, то необходимо определить вероятность возникновения каждого последствия. Когда определены все возможные последствия, вероятность их возникновения суммарно должна составлять 100% для каждого элемента.

8. Определяется рейтинг тяжести последствий для потребителя (S) - Severity . Рейтинг тяжести последствий обычно определяется по шкале от 1 до 10, где 1 означает незначительные последствия, а 10 катастрофические последствия. Если вид отказа имеет более одного последствия, то в FMEA таблицу вносится только наиболее тяжелое последствие для этого вида отказа.

9. Для каждого вида отказа определяются все потенциальные причины. Для этого может применяться причинно-следственная диаграмма Исикавы. Все потенциальные причины для каждого вида отказов заносятся в таблицу FMEA.

10. Для каждой причины определяется рейтинг вероятности ее возникновения (O) - Occurrence . Вероятность возникновения обычно оценивается по шкале от 1 до 10, где 1 означает крайне маловероятное событие, а 10 означает неизбежное событие. Значение рейтинга заносится в таблицу FMEA.

11. Для каждой причины определяются существующие методы контроля, которые применяются в данный момент, чтобы отказы не оказали влияния на потребителя. Эти методы должны предотвращать возникновение причин, снижать вероятность того, что произойдет отказ или обнаруживать отказ после проявления причины, но до того как причина оказала влияние на потребителя.

12. Для каждого метода контроля определяется рейтинг обнаружения (D) - Detection . Рейтинг обнаружения обычно оценивается по шкале от 1 до 10, где 1 означает, что метод контроля абсолютно точно обнаружит проблему, а 10 - не сможет обнаружить проблему (или контроля вообще не существует). Рейтинг обнаружения заносится в таблицу FMEA.

13. Рассчитывается приоритетное число риска (риск потребителя - RPN ) которое равно произведению

S * O * D . Это число позволяет ранжировать потенциальные отказы по значимости.

14. Определяются рекомендуемые действия, которые могут включать изменение проекта или процесса для снижения тяжести последствий или вероятности возникновения отказов. Также могут предприниматься дополнительные меры контроля, чтобы увеличить вероятность обнаружения отказов.

Испытания технологических процессов на завершенность.

Испытания конструкции на завершенность.

Эти испытания проводятся на первых опытных образцах изделия. Их цель - показать, что конструкция изделия удовлетворяет требованиям по надежности.

При этом не имеет значения, каким способом был построен опытный образец и какие усилия пошли на его отладку. Если требуемый уровень надежности изделия не достигнут, конструкция должна быть улучшена. Испытания продолжаются до тех пор, пока изделие не будет удовлетворять всем заданным требованиям.

На протяжении этих испытаний регистрируются отказы в начальный период эксплуатации изделия. С помощью этих данных достигается полная согласованность между конструкцией изделия и процессами, необходимыми для его изготовления, и определяется объем испытаний, необходимых для достижения требуемой надежности при доставке [ изделия потребителям.

Испытания проводятся также на первых образцах изделий. Эти I образцы работают в течение заданного периода (периода приработки). Характеристики их работы тщательно контролируются, измеряется убывающая интенсивность отказов. После периода приработки соби раются опытные данные, позволяющие измерить и проверить показа тели эксплуатационной надежности изделия и сравнить их с резуль| татами, полученными при испытании изделия на завершенность.I Наблюдения, проведенные во время этих испытаний, позволяют задать величину периода приработки изделия.

Испытания на долговечность. На протяжении этих испытаний регистрируются износовые отказы элементов изделия и строится их распределение. Полученные данные используются для устранения. причин тех отказов, возникновение которых приводит к неприемле мому снижению ожидаемого срока службы изделия. Испытания на долговечность ведутся на ряде образцов данного изделия. При этих испытаниях надо определить границу перехода от постоянной интен сивности отказов к возрастающей и построить распределение для каждого наблюдаемого вида отказов.

Одним из эффективных средств повышения качества технических объектов является анализ видов и последствий потенциальных отказов (Potential Failure Mode and Effects Analysis - FMEA). Анализ доводится на этапе проектирования конструкции или технологичecкого процесса (соответствующие этапы жизненного цикла изделия - разработка и подготовка к производству), а также при доработке и улучшении изделий, уже запущенных в производство. Целесообразно разделить этот анализ на два этапа: отдельный анализ нa этапе отработки конструкции и на этапе отработки технологического процесса.

Стандарт (ГОСТ Р 51814.2-2001. Системы качества в автомобилестроении. Метод анализа видов и последствий потенциальных дефектов) предусматривает и возможность использования метода FMEA при разработке и анализе других процессов, таких, как процессы продаж, обслуживания, маркетинга.

Основные цели анализа видов и последствий потенциальных отказов:

Выявление критичных отказов, связанных с опасностью для жизни людей и окружающей среды и разработка мероприятий
по снижению вероятности их возникновения и тяжести возмож ных последствий;

Выявление и устранение причин любых возможных отказов изделия для повышения его надежности.

При проведении анализа решаются следующие задачи:

Выявление возможных отказов объекта (изделия или процесса) и его элементов (при этом учитывается опыт изготовления и эксплуатации аналогичных объектов),

Изучение причин отказов, количественная оценка частоты их возникновения,

Классификация отказов по тяжести последствий и количественная оценка значимости этих последствий,

Оценка достаточности средств контроля и диагностики оценка возможности обнаружения отказа, возможность предотвращения отказа при практическом использовании этих средств,

Разработка предложений по изменению конструкции и технологии изготовления с целью снижения вероятности отказов и их критичности,

Разработка правил поведения персонала при возникновении критических отказов,

анализ возможных ошибок персонала.

Для проведения анализа формируется группа специалистов, имеющих практический опыт и высокий профессиональный уровень в области конструирования аналогичных объектов, знающих процессы производства компонентов и сборки объекта, " технологию контроля и диагностики состояния объекта, методы " обслуживания и ремонта. Используется метод мозгового штурма. При этом на этапе качественного анализа разрабатывается структурная схема объекта: объект рассматривается как система, состоящая из подсистем различного уровня, которые в свою " очередь состоят из отдельных элементов.

Анализируются возможные виды отказов и их последствия снизу вверх, т.е. от элементов к подсистемам, и затем к объекту в целом. При анализе учитывается, что каждый отказ может иметь несколько причин и несколько различных последствий.

На этапе количественного анализа экспертно, в баллах, оценивается критичность отказа с учетом вероятности его возникновения, вероятности его выявления и оценки тяжести возможных последствий. Риск отказа (приоритетное число риска) может быть найден по формуле: I

где значение О определяется в баллах в зависимости от вероятности отказа,- от вероятности выявления (обнаружения) отказа", зависит от тяжести последствий отказа.

Найденное значение.для каждого элемента по каждой причине и по каждому возможному последствию сравнивается с критическим. Критическое значение устанавливается заранее и выбирается в пределах от 100 до 125. Снижение критического, значения соответствует разработке более надежных изделий и процессов.

Для каждого отказа, у которого значение R превышает критическое, разрабатываются меры по его снижению путем доработки конструкции и технологии изготовления. Для нового варианта объекта критичность объекта R рассчитывается заново. При необходимости процедура доработки повторяется вновь.

Мощный инструмент анализа данных для повышения надежности

Уильям Гобл для InTech

Анализ видов и последствий отказов (от англ.: Failure Mode and Effects Analysis или FMEA) - это специальная техника оценки надежности и безопасности систем, разработанная в 60-х гг. прошлого столетия в США, в рамках программы создания ракеты «Минитмен». Целью ее разработки было обнаружение и устранение технических проблем в сложных системах.

Техника достаточно проста. Виды отказов каждого компонента той или иной системы перечисляются в специальной таблице и документируются - вместе с предполагаемыми последствиями. Метод систематический, эффективный и детальный, хотя иногда и считается затратным по времени, а также, склонным к повторяющимся действиям. Причина эффективности метода в том, что изучается каждый вид отказа каждого отдельного компонента. Ниже приведен пример таблицы, описанный в одном из исходных руководств по применению этого метода, а именно, в MIL-HNBK-1629.

В колонке №1 содержится название исследуемого компонента, в колонке №2 - идентификационный номер компонента (серийный номер или код). Вместе первые две колонки должны уникально идентифицировать исследуемый компонент. Колонка №3 описывает функцию компонента, а колонка №4 - возможные виды отказов. Для каждого вида отказа, как правило, используется одна строчка. Колонка №5 используется для записи причины отказа, в случае, когда это применимо. В колонке №6 описываются последствия каждого отказа. Остальные колонки могут отличаться в зависимости от того, какие версии FMEA применяются.

FMEA позволяет находить проблемы

Популярность метода FMEA росла на протяжении долгих лет, и он смог стать важной частью многих процессов разработки, особенно в автомобильной отрасли. Причиной этого стало то, что метод сумел продемонстрировать свою полезность и эффективность, несмотря на критику. Как бы то ни было, именно во время применения метода FMEA можно часто услышать крик вроде «О, нет», когда становится ясно, что последствия отказа того или иного компонента очень серьезны, и, главное, до этого они оставались незамеченными. Если проблема достаточно серьезна, записываются и корректирующие действия. Конструкция улучшается, для обнаружения, избегания или управления проблемой.

Применение в различных отраслях

Несколько вариантов техники FMEA используются в различных отраслях. В частности, FMEA используется для определения опасностей, которые необходимо учитывать во время проектирования нефтехимических предприятий. Эта техника отлично согласуется с другой хорошо известной техникой - Анализом опасностей и работоспособности (от англ.: Hazard and Operability Study или HAZOP). По сути, обе техники практически одинаковы, и являются вариациями списков компонентов системы в табличной форме. Основная разница между FMEA и HAZOP состоит в том, что HAZOP использует ключевые слова, чтобы помогать сотрудникам идентифицировать отклонения от нормы, в то время как FMEA основан на известных видах отказа оборудования.

Вариантом техники FMEA, используемой для анализа систем управления, является техника Анализа опасностей и работоспособности систем управления (англ.: Control Hazards and Operability Analysis или CHAZOP). В списке приведены известные виды отказов компонентов систем управления, таких как системы управления базовыми процессами, комбинации клапанов и приводов или различные преобразователи, а также записаны последствия этих отказов. Кроме того, приводятся описания корректирующих действий, в случае если отказ ведет к серьезным проблемам.

Пример использования FMEA

На этом рисунке схематически изображен упрощенный «реактор» с аварийной системой охлаждения. Система состоит из самотечного резервуара с водой, клапана управления, охлаждающего кожуха вокруг реактора, выключателя с датчиком температуры и источника питания. При нормальном режиме работы выключатель находится в активном (проводящем) положении, поскольку температура реактора находится ниже опасной зоны. Электрический ток проходит от источника через клапан и выключатель, и держит клапан в закрытом положении. Если температура внутри реактора становится слишком высокой, реагирующий на температуру выключатель размыкает цепь, и клапан управления открывается. Охлаждающая вода течет из резервуара, через клапан, затем через охлаждающий кожух и выходит через сток кожуха. Этот поток воды охлаждает реактор, понижая его температуру.

Вам нравится эта статья? Поставьте нам Like! Спасибо:)

Процедура FMEA требует создания таблицы, в которой перечислены все виды отказов для каждого из компонентов системы. Таблица «реактора» ниже служит примером использования техники FMEA, в результате которой идентифицированы критические компоненты, которые следует проверять на предмет необходимости в корректирующих действиях.

Создатель системы - несложного реактора в нашем случае - может рассмотреть возможность последовательной установки 2 выключателей, чувствительных к температуре. Можно использовать интеллектуальный преобразователь, соответствующий стандарту IEC 61508, и обладающей функцией автоматической диагностики и выходным сигналом. Сертифицированный преобразователь существенно упростит процедуру проверки, необходимую для обнаружения неисправностей. Наряду с одним стоком, можно установить второй, таким образом, засор одного из них не приведет к критическому отказу системы. Уровнемер в резервуаре может сообщить о недостаточном уровне воды. Возможно множество других изменений и усовершенствований в конструкции для предотвращения поломок.

Часть II

Эволюция метода FMEA

Метод FMEA был расширен в 70-х гг., и включил полуколичественные оценки (число от 1 до 10) серьезности, частоты происхождения и обнаружения отказов. К таблице добавили 5 колонок. Три колонки включили рейтинги, а четвертая - номер приоритета риска (от англ.: risk priority number или RPN), получаемый умножением трех чисел. Этот расширенный метод получил название «Анализ видов, последствий и критичности отказов» (от англ.: Failure Modes, Effects and Criticality Analysis или FMECA). Пример таблицы с результатами анализа FMECA по «простому реактору» показан ниже.

Техники FMEA продолжали эволюционировать. Некоторые из более поздних вариаций могут быть использованы не только для проектирования, но и для технологических процессов. Аналогично списку компонентов, создается список этапов процесса. Каждый шаг сопровождается описанием всех вариантов неправильного протекания процесса, что соответствует описанию возможных отказов того или иного компонента системы. Во всем остальном, эти вариации техники FMEA соответствуют друг другу. В литературе эти методы иногда называют «design FMEA», или DFMEA, и «process FMEA» или PFMEA. «Процессный» FMEA успешно продемонстрировал свою эффективность в обнаружении непредвиденных проблем.

Анализ отказов, их последствий и диагностики

Непрерывно развивающийся метод FMEA, кроме всего прочего, дал жизнь методу «Анализа отказов, их последствий и диагностики» (от англ.: Failure Modes Effects and Diagnostic Analysis или FMEDA). В конце 80-х гг. возникла необходимость моделировать автоматическую диагностику интеллектуальных устройств. Появилась новая архитектура на рынке контроллеров безопасности под названием «один из двух» с диагностическим выключателем (1oo2D), конкурировавшая с распространенной тогда тройной модульной архитектурой резервирования, называвшейся «два из трех» (2oo3). Поскольку безопасность и готовность новой архитектуры сильно зависели от реализации диагностики, ее количественная оценка стала важным процессом. В FMEDA это реализуется благодаря добавлению дополнительных колонок, показывающих частоту возникновения различных типов отказов и колонку с вероятностью обнаружения для каждой строки анализа.

Так же как и в случае с FMEA, в технике FMEDA перечисляются все компоненты и виды отказов, а также последствия этих отказов. В таблицу добавляются колонки, в которых перечисляются все варианты отказов системы, вероятность того, что диагностика позволит обнаружить конкретный отказ, а также, количественную оценку вероятности возникновения этого отказа. Когда анализ FMEDA завершается, высчитывается фактор «диагностического покрытия» на основе показателя частоты отказов, средневзвешенном относительно диагностического покрытия всех компонентов.

Показатели частоты отказов и распределения отказов необходимо иметь для каждого компонента, если есть необходимость провести анализ FMEDA. Поэтому требуется база данных компонентов, как видно из рисунка «Процесс FMEDA» (см. выше).

В базе данных компонентов должны быть учтены ключевые переменные, влияющие на уровень отказов компонентов. В число переменных включаются факторы окружающей среды. К счастью, существуют определенные стандарты, позволяющие характеризовать среду в процессных отраслях, благодаря чему можно создавать соответствующие профили. В таблице ниже показаны «Профили окружающей среды для процессных отраслей», взятые из второго издания Electrical and Mechanical Component Reliability Handbook, (www.exida.com).

Анализ данных по отказам полевого оборудования в FMEDA

Анализ конструкции может использоваться для создания теоретических баз данных отказов. Тем не менее, точную информацию можно получить, только если показатели частоты отказов компонентов, а также, виды отказов, основаны на данных, собранных на основе исследования реального полевого оборудования. Любая необъяснимая разница между частотами отказа компонентов, высчитанными на основе полевых данных, и на основе FMEDA, должна быть изучена. Иногда требует совершенствования процесс сбора полевых данных. Иногда может потребоваться модернизировать базу данных компонентов, дополнив ее новыми видами отказов и типами компонентов.

К счастью, некоторые сертификационные организации по функциональной безопасности изучают данные об отказах полевого оборудования при оценке большинства продуктов, благодаря чему, являются ценным источником данных о реальных отказах. В рамках некоторых проектов также собираются данные о полевых отказах с помощью конечных заказчиков. После более чем 10 млрд. часов (!) работы различного оборудования, давших огромный объем данных о видах и частоте отказов, собранный в рамках десятков исследований, сложно переоценить ценность базы компонентов FMEDA, особенно в аспекте функциональной безопасности. Итоговые данные FMEDA о продукте, как правило, используются для проверочных вычислений уровня целостности безопасности.

Техника FMEDA может использоваться для того, чтобы оценить эффективность проверочных испытаний различных функций безопасности, позволяющих определить, соответствует ли тот или иной дизайн определенному уровню целостности безопасности. Любое конкретное проверочное испытание позволяет определить те или иные потенциально опасные отказы - но не все. FMEDA позволяет определить, какие отказы определяются или не определяются проверочными испытаниями. Это реализуется добавлением другой колонки, где оценивается вероятность обнаружения каждого вида отказа компонента в ходе проверочного тестирования. При использовании этого детализированного, систематического метода становится очевидным, что некоторые потенциально опасные виды отказов не обнаруживаются во время проверочного тестирования.

Оборотная сторона медали

Основная проблема при использовании метода FMEA (или любой его вариации) это большие затраты времени. Многие аналитики жалуются на скучный и долгий процесс. Действительно, нужен строгий и сфокусированный куратор, для того, чтобы процесс анализа двигался вперед. Всегда необходимо помнить, что решение проблемы не является частью анализа. Проблемы решаются после того, как анализ будет закончен. Если следовать этим правилам, результатом станут достаточно быстрые улучшения в безопасности и надежности.

Доктор Уильям Гоббл (William Goble) является главным инженером и директором сертификационной группы по функциональной безопасности в exida, аккредитованном сертификационном органе. Более 40 лет опыта в электронике, разработке ПО и систем безопасности. Ph.D. в области количественного анализа надежности/безопасности систем автоматизации.

Методология FMEA, примеры

FMEA (Failure Mode and Effects Analysis) – это анализ видов и последствий отказов. Изначально разработанный и опубликованный военно-промышленным комплексом США (в форме стандарта MIL-STD-1629), анализ видов и последствий отказов является сегодня таким популярным, поскольку в некоторых отраслях промышленности разработаны и опубликованы специализированные стандарты, посвященные FMEA.

Несколько примеров таких стандартов:

• MIL-STD-1629. Разработан в США и является родоначальником всех современных стандартов FMEA.
• SAE-ARP-5580 – доработанный MIL-STD-1629, дополненный библиотекой некоторых элементов для автомобильной промышленности. Используется во многих отраслях.
• SAE J1739 - стандарт FMEA, описывающий Анализ Видов и Последствий потенциальных Отказов при проектировании (Potential Failure Mode and Effects Analysis in Design, DFMEA) и Анализ Видов и Последствий потенциальных Отказов в производственных и сборочных процессах (Potential Failure Mode and Effects Analysis in Manufacturing and Assembly Processes, PFMEA). Стандарт помогает определить и снизить риск, предоставляя соответствующие условия, требования, рейтинговые диаграммы и рабочие листы. Как стандарт этот документ содержит требования и рекомендации, направляющие пользователя в ходе выполнения FMEA.
• AIAG FMEA-3 – специализированный стандарт, используемый в автомобильной индустрии.
• Внутренние FMEA-стандарты крупных компаний-автопроизводителей.
• Исторически развивавшиеся во многих компаниях и отраслях процедуры, схожие с анализом видов и последствий отказов. Возможно, на сегодня это и есть «стандарты» FMEA наиболее широкого охвата.

Все стандарты анализа видов и последствий отказов (опубликованные или развившиеся исторически), в целом, очень схожи между собой. Приведённое ниже общее описание даёт общее представление о FMEA как методологии. Оно намеренно выполнено на не слишком глубоком уровне и охватывает большинство используемых в настоящее время подходов к FMEA.

Прежде всего, должны быть чётко определены границы анализируемой системы. Система может представлять собой техническое устройство, процесс или что угодно ещё, подлежащее FME-анализу.

Далее идентифицируются виды возможных отказов, их последствия и возможные причины возникновения. В зависимости от размера, природы и сложности системы определение видов возможных отказов может быть выполнено для всей системы в целом или для каждой её подсистемы индивидуально. В последнем случае последствия отказов на уровне подсистемы будут проявляться, как виды отказов на уровень выше. Идентификация видов и последствий отказов должна быть выполнена методом «снизу-вверх», до достижения верхнего уровня системы. Для характеристики видов и последствий отказов, определённых на верхнем уровне системы, используются такие параметры, как интенсивность, критичность отказов, вероятность возникновения и т.п. Эти параметры могут быть или рассчитаны «снизу-вверх» с нижних уровней системы, или явно заданы на её верхнем уровне. Эти параметры могут носить как количественный, так и качественный характер. В результате для каждого элемента системы верхнего уровня рассчитывается своя уникальная мера, вычисляемая из этих параметров по соответствующему алгоритму. В большинстве случаев эту меру называют «коэффициентом приоритетности риска», «критичностью», «уровнем риска» или другим подобным образом. Способы использования такой меры и методики её вычисления могут быть уникальными в каждом конкретном случае и являются хорошей отправной точкой для того, чтобы многообразие современных подходов к проведению анализа видов и последствий отказов (FMEA).

Пример применения FMEA в ВПК

Назначение параметра «Критичность» - демонстрация того, что требования к безопасности системы полностью выполнены (в простейшем случае это означает, что все показатели критичности находятся ниже заранее определенного уровня.

Аббревиатура FMECA (Failure Mode, Effects and Criticality Analysis) обозначает «Анализ видов, последствий и критичности отказов».

Основными показателями, используемыми для расчета значения Критичности, являются:

• интенсивность отказов (определенная с помощью расчёта наработок на отказ - MTBF),
• вероятность отказа (в процентах от показателя интенсивности отказов),
• время наработки.

Таким образом, очевидно, что параметр критичности имеет реальное точное значение для каждой конкретной системы (или её компонента).

Существует достаточно широкий спектр доступных каталогов (библиотек), содержащих вероятности отказов разных видов для различных электронных компонентов:

• FMD 97
• MIL-HDBK-338B
• NPRD3

Дескриптор библиотеки по конкретному компоненту, в общем случае, выглядит следующим образом:

Поскольку для расчета параметра критичности отказа необходимо знать значения показателя интенсивности отказов, в военно-промышленном комплексе перед применением методологии FME[C]A выполняют расчет наработок на отказ по методике MTBF, результаты которого и использует FME[C]A. Для элементов системы, показатель критичности отказа которых превышает установленные требованиями безопасности допуски, должен проводиться также соответствующий Анализ дерева отказов (FTA, Fault Tree Analysis) . В большинстве случаев анализ видов, последствий и критичности отказов (FMEA) для потребностей ВПК выполняется одним специалистом (являющимся экспертом по проектированию электронных схем или специалистом по контролю их качества) или очень небольшой группой таких специалистов.

FMEA в автомобилестроении

Для каждого Коэффициента (или Числа) приоритетности риска (Risk Priority Number, RPN) отказа, превышающего предопределенный уровень (часто равный 60 или 125), определяются и проводятся корректирующие действия. Как правило, определяются ответственные за реализацию таких мер, сроки их реализации и способ последующей демонстрации эффективности предпринятых корректирующих действий. После выполнения корректирующих мероприятий проводятся повторная переоценка значения Коэффициента приоритетности риска отказа и его сопоставление с предельной установленной величиной.

Основными показателями, используемыми для расчета значения Коэффициента приоритетности риска, являются:

• вероятность возникновения отказа,
• критичность,
• вероятность обнаружения отказа.

В большинстве случаев Коэффициент приоритетности риска выводится на базе значений указанных выше трех показателей (безразмерные значения которых лежат в границах от 1 до 10), т.е. является расчётной величиной, изменяющейся в подобных же границах. Однако, в случаях наличия фактических (ретроспективных) точных значений интенсивности возникновения отказов для конкретной системы, границы нахождения Коэффициента приоритетности риска могут быть многократно расширены, например:

В большинстве случаев анализ по методологии FMEA в автомобильной промышленности осуществляется внутренней рабочей группой представителей разных подразделений (НИОКР, производственных, сервисных, контроля качества).

Особенности методик анализа FMEA, FMECA и FMEDA

Методы анализа надёжности FMEA (анализ видов и последствий отказов), FMECA (анализ видов, последствий и критичности отказов) и FMEDA (анализ видов, последствий и диагностируемости отказов), хотя и имеют много общего, содержат несколько заметных различий

Тогда как FMEA - методология, позволяющая определить сценарии (способы), по которым продукт (оборудование), устройство противоаварийной защиты (ПАЗ), технологический процесс или система могут выйти из строя (см. стандарт IEC 60812 "Analysis techniques for system reliability - Procedure for failure mode and effects analysis (FMEA)"),

FMECA, в дополнение к FMEA, ранжирует идентифицированные виды отказов в порядке их важности (критичности) посредством вычисления одного из двух показателей - числа приоритетности риска (Risk Priority Number) или критичности (failure criticality) отказа,

а целью FMEDA является вычисление частоты (интенсивности) отказов (failure rate) конечной системы, в качестве которой может рассматриваться устройство или группа устройств, выполняющая более сложную функцию. Методология анализа видов, последствий и диагностируемости отказов FMEDA была сначала разработана для анализа электронных устройств, а впоследствии распространена на механические и электромеханические системы.

Общие понятия и подходы FMEA, FMECA и FMEDA

FMEA, FMECA и FMEDA используют общие базовые понятия компонентов, устройств и их компоновки (взаимодействия). Функция противоаварийной защиты (Safety Instrumented Function, SIF) состоит из нескольких устройств, которые должны обеспечить выполнение необходимой операции по защите машины, оборудования или технологического процесса от последствий опасности, сбоя. Примерами устройств ПАЗ могут служить преобразователь, изолятор, контактная группа и т.п.

Каждое устройство состоит из компонентов. Например, преобразователь может состоять из таких компонентов, как прокладки, болты, мембрана, электронная схема и т.д.

Сборка из устройств может рассматриваться, как одно комбинированное устройство, реализующее функцию ПАЗ. Например, привод-позиционер-клапан - это сборка устройств, которую совокупно можно рассматривать в качестве конечного элемента безопасности ПАЗ. Компоненты, устройства и сборки могут являться частями конечной системы для целей её оценки методами FMEA, FMECA или FMEDA.

Базовая методология, лежащая в основе FMEA, FMECA и FMEDA, может применяться до или во время проектирования, производства или окончательного монтажа конечной системы. Базовая методология рассматривает и анализирует виды отказов каждого компонента, являющегося частью каждого устройства, для оценки шанса отказа всех компонентов.

В случаях выполнения FME-анализа для сборки в дополнение к идентификации видов и последствий отказов должна быть разработана блок-схема (диаграмма) надёжности этой сборки для оценки взаимодействия устройств между собой (см. стандарт IEC 61078:2006 "Analysis techniques for dependability - Reliability block diagram and boolean methods").

Входные данные, результаты и оценки результатов выполнения FMEA, FMECA, FМEDA схематично показаны на картинке (справа). Увеличить картинку.

Общий подход определяет следующие основные шаги FME-анализа:

• определение конечной системы и её структуры;
• определение возможных сценариев для выполнения анализа;
• оценка возможных ситуаций комбинаций сценариев;
• выполнение FME-анализа;
• оценка результатов FME-анализа (в т.ч. FMECA, FMEDA).

Применение к результатам анализа видов и последствий отказов (FMEA) методики FMECA даёт возможность оценки связанных с отказами рисков, а методики FMEDA - возможность оценки надёжности.

Для каждого простого устройства разрабатывается таблица FME, которая затем применяется каждого определённого сценария выполнения анализа. Структура таблицы FME может варьироваться для FMEA, FMECA или FMEDA, а также в зависимости от природы конечной анализируемой системы.

Результатом выполнения анализа видов и последствий отказов является отчет, содержащий все выверенные (при необходимости, скорректированные рабочей группой экспертов) FME-таблицы и выводы / суждения / решения, касающиеся конечной системы. Если после выполнения FME-анализа конечная система модифицируется, процедуру FMEA необходимо выполнить повторно.

Различия оценок и результатов FME-, FMEC- и FMED-анализа

Хотя основные шаги при выполнении FME-анализа, в целом, одинаковы для FMEA, FMECA и FMEDA, оценка и результаты различаются.

Результаты выполнения анализа FMECA включают результаты FMEA, а также ранжирование всех видов и последствий отказов. Это ранжирование используется для определения компонентов (или устройств) с более высокой степенью влияния на надёжность конечной (целевой) системы, характеризуемую такими показателями безопасности, таких как средняя вероятность отказа по требованию (PFDavg), средняя опасная частота отказа (PFHavg).), среднее время наработки на отказ (MTTFs) или среднее время до опасного отказа (MTTFd).

Результаты FMECA могут использоваться для качественной или количественной оценки, и в обоих случаях они должны быть представлены матрицей критичности конечной системы, показывающей в графическом виде, какие компоненты (или устройства) оказывают большее / меньшее влияние на надежность конечной (целевой) системы.

Результаты FMEDA включают результаты FMEA и данные о надежности конечной системы. Они могут использоваться для проверки соответствия системы целевому уровню SIL, сертификации SIL или в качестве основания при расчете целевого SIL устройства ПАЗ .

FMEDA предоставляет количественные оценки таких показателей надежности, как:

• Safe detected failure rate (интенсивность диагностируемых / обнаруживаемых безопасных отказов) - частота (интенсивность) отказов конечной системы, переводящих её рабочее состояние из нормального в безопасное. Система или оператор ПАЗ уведомлены, целевая установка или оборудование защищены;
• Safe undetected failure rate (интенсивность недиагностируемых / необнаруживаемых безопасных отказов) - частота (интенсивность) отказов конечной системы, переводящих её рабочее состояние из нормального в безопасное. Система или оператор ПАЗ не уведомлены, целевая установка или оборудование защищены;
• Dangerous detected failure rate (интенсивность диагностируемых / обнаруживаемых опасных отказов) - частота (интенсивность) отказов конечной системы, при которой она будет оставаться в нормальном состоянии, когда возникнет необходимость, но система или оператор ПАЗ уведомлены для устранения проблемы или выполнения технического обслуживания. Целевая установка или оборудование не защищены, но проблема идентифицирована, и есть шанс устранить неисправность до того, как возникнет необходимость;
• Dangerous undetected failure rate (интенсивность недиагностируемых / необнаруживаемых опасных отказов) - частота (интенсивность) отказов конечной системы, при которой она будет оставаться в нормальном состоянии, когда возникнет необходимость, но система или оператор ПАЗ не уведомлены. Целевая установка или оборудование не защищены, проблема является скрытой, и единственным способом выявления и устранения неисправности является выполнение контрольного теста (проверки). При необходимости оценка FMEDA может выявить, какая часть недиагностируемых опасных отказов может быть идентифицирована с помощью контрольного теста. Другими словами, оценка FMEDA помогает обеспечить показатели Эффективности контрольного теста (Et) или Покрытия контрольного теста (PTC) при выполнении контрольного тестирования (проверки) конечной системы;
• Annunciation failure rate (интенсивность отказов-оповещений) - частота (интенсивность) отказов конечной системы, которая не повлияет на показатели безопасности при переводе её рабочего состояния из нормального в безопасное состояние;
• No effect failure rate (интенсивность отказов без последствий) - частота (интенсивность) любых других отказов, которые не приведут к переходу рабочего состояния конечной системы из нормального в безопасное или опасное.

Компания KConsult C.I.S. предлагает профессиональные услуги сертифицированных европейских инженеров-практиков по выполнению анализа FMEA, FMECA, FMEDA, а также внедрению методологии FMEA в повседневную деятельность промышленных предприятий.