Анализ видов и последствий отказов компонентов технической и функциональной структур проектируемой системы является первым этапом проектного исследования надежности и безопасности. Общепринятой международной аббревиатурой для обозначения анализа видов и последствий отказов является FMEA (failure mode and effect analysis). Этот вид анализа относится к классу предварительного качественного и упрощенного количественного анализа на стадии проектирования. Если проводятся количественные оценки, то употребляется термин FMECA (failure mode, effect and criticality analysis – анализ видов, последствий и критичности отказов). Первые опыты проведения FMEA относятся к аэрокосмическим проектам 60-х годов СССР и США. В 80-х годах процедуры FMEA стали внедряться в автомобильной промышленности США в Ford Motor Company. В настоящее время анализ видов и последствий отказов является обязательным этапом проектной оценки надежности и безопасности объектов космической, авиастроительной, атомной, химико-технологической, газо-нефтеперерабатывающих и др. отраслей. В областях, где этот этап не является обязательным, возникают опасные инциденты, приводящие к большим экономическим и экологическим потерям и угрожающие жизни и здоровью людей. Достаточно вспомнить драматические события обрушения публичных московских зданий, построенных по проектам, где дефект лишь одного элемента несущей конструкции (штифта, колонны) привел к катастрофическим последствиям.

Можно выделить три основные цели проведения FMEA

• выявление потенциально-возможных видов отказов компонентов системы и определение их влияния на систему в целом и возможно окружающую среду
• классификация видов отказов по уровням критичности или по уровням критичности и частоте возникновения (FMECA)
• выдача рекомендаций по пересмотру проектных решений с целью компенсации или устранения опасных видов отказов

FMEA является наиболее стандартизованной областью “надежностных” исследований. Процедура проведения и вид входной/выходной документации регламентируется соответствующими стандартами. Международно признанными являются документы:

· MIL-STD-1629 Style FMECAs - руководство по проведению анализа видов и последствий отказов, оценки критичности, выявлению узких мест конструкций с точки зрения ремонтопригодности и живучести. Первоначально был ориентирован на военные применения.

· SAE J1739, AIG-FMEA3, FORD FMEA – пакет документов, регламентирующих проведение анализа видов и последствий отказов для объектов автомобильной промышленности, включая стадии проектирования и изготовления

· SAE ARP5580 – руководство по проведению FMEA как коммерческих, так и военных проектов, объединяющее положения MIL-STD-1629 и автомобильных стандартов. Введено понятие групп эквивалентных отказов, т.е. отказов, порождающих одинаковые последствиями и требующих проведения одинаковых корректирующих действий.

Общим для всех стандартов является то, что они регламентируют лишь последовательность и взаимосвязь этапов анализа, оставляя проектировщику свободу действий при конкретной реализации каждого этапа. Так, допускается произвольная настройка структуры таблиц FMEA, определение шкал частот возникновения отказов и тяжести последствий, введение дополнительных признаков классификации отказов и пр.

Этапы выполнения FMEA:

· построение и анализ функциональной и/или технической структур объекта

· анализ условий эксплуатации объекта

· анализ механизмов отказов элементов, критериев и видов отказов

· классификация (перечень) возможных последствий отказов

· анализ возможных способов предотвращения (уменьшения частоты) выделенных отказов (последствий отказов)

Техническая структура объекта анализа обычно имеет древовидное, иерархическое представление (рис.3). Возможные виды отказов перечисляются для компонентов нижнего уровня (листьев дерева), а их последствия оцениваются с точки зрения влияния на подсистемы следующего уровня (родительские узлы дерева) и объект в целом.

Рис.3. Иерархическое представление объекта анализа

На рис.4. приведен фрагмент таблицы FMEA, содержащий данные анализа видов и последствий отказов оборудования химико-технологического объекта.

Рис.4. Фрагмент таблицы FMEA.

При выполнении количественных оценок проектных решений по FMEA виды отказов компонентов принято характеризовать тремя параметрами: частота возникновения, степень обнаружения, тяжесть последствий. Так как анализ носит предварительный характер, то обычно используют балльные экспертные оценки этих параметров. Например, в ряде документов предлагаются следующие классификации видов отказов по частоте (таблица 2), по степени обнаружения (таблица 3), по тяжести последствий (таблица 4).

Таблица 2. Классификация отказов по частоте.

FMEA-анализ (Failure Mode and Effects Analysis) - техноло­гия анализа возможности возникновения и влияния дефектов на потребителя; FMEA проводится для разрабатываемых продук­ции и процессов с целью снижения риска потребителя от потен­циальных дефектов.

В настоящее время область применения FMEA широка. Основными задачами FMEA являются определения:

· возможных отказов (дефектов) продукции или процесса ее изготовления, их причин и последствий;

· степени тяжести последствий для потребителей, вероятностей возникновения дефектов и выявления их до поступления к потребителю;

· обобщенной оценки качества (надежности, безопасности) объекта анализа и сравнение его с предельно допустимым значением;

· мероприятий по улучшению объекта анализа.

Объектами FMEA-анализа могут быть:

· процесс производства продукции (FMEA-анализ процесса производства);

· конструкция изделия (FMEA-анализ конструкции):

· процесс эксплуатации изделия (FMEA-анализ процесса эксплуатации);

· бизнес-процессы (документооборот, финансовые процессы и пр.) (FMEA-анализ бизнес процессов)

Проведение FMEA процесса производства начи­нается на стадии технической подготовки производства (разра­ботки и планирования техпроцесса, заказа необходимого про­изводственного и контрольного оборудования) и заканчивается на стадии монтажа производственного оборудования. Целью FMEA процесса является обеспечение выполнения всех требо­ваний к качеству процесса производства и сборки путем кор­ректировки технологических операций с повышенным риском.

FMEA-анализ проводится, как правило, для нового, разработанно­го процесса. Иногда полезно проводить такой анализ и для дей­ствующих процессов, в особенности если для них нет достовер­ной статистики по дефектам и несоответствиям и не используются статистические методы управления, а сбои процесса достаточно часты, то есть система, в рамках которой выполняется этот про­цесс, неустойчива. Выявленные в ходе анализа потенциальные причины дефектов и несоответствий позволят хотя бы «начерно» определить, почему система неустойчива. Выработанные кор­ректирующие мероприятия должны обязательно предусматри­вать внедрение статистических методов регулирования, в пер­вую очередь на тех операциях, для которых выявлен повышен­ный риск.

FMEA конструкции может проводиться как для разрабатывае­мой конструкции, так и для существующей. В рабочую группу по проведению анализа обычно входят представители отделов раз­работки, планирования производства, сбыта, обеспечения каче­ства, представители опытного производства. Целью анализа явля­ется выявление потенциальных дефектов изделия, вызывающих наибольший риск потребителя и внесение изменений в конструк­цию изделия, которые бы позволили снизить такой риск.

FMEA процесса эксплуатации обычно проводится в том же составе, как и FMEA конструкции. Целью проведения такого анализа служит формирование требований к конструкции изде­лия, обеспечивающих безопасность и удовлетворенность потребителя, то есть подготовка исходных данных, как для процесса разработки конструкции, так и для последующего FMEA-анализа конструкции.

Технология проведения FMEA

FMEA в настоящее время является одной из стандартных тех­нологий анализа качества изделий и процессов, поэтому в про­цессе его развития выработаны типовые формы представления результатов анализа и типовые правила его проведения. Как и другие формы функционального анализа, он включает два ос­новных этапа:

1 этап - построение компонентной, структурной, функцио­нальной и потоковой моделей объекта анализа;

2 этап - исследование моделей, при котором определяются:
- потенциальные дефекты для каждого из элементов компонентной модели объекта;

- потенциальные причины дефектов ;

- потенциальные последствия дефектов для потребителя;

- возможности контроля появления дефектов ;

- параметр тяжести последствий для потребителя В ;

- параметр частоты возникновения дефекта А;

- параметр вероятности необнаружения дефекта Е ;

- параметр риска потребителя RPZ = В А Е - этот параметр показывает, в каких отношениях друг к другу в настоящее время находятся причины возникновения дефектов; дефекты с наибольшим коэффициентом приоритета риска (RPZ ≥100) подлежат устранению в первую очередь.

Результаты анализа заносятся в таблицу (рис. 12). Вы­явленные «узкие места», компоненты объекта, для которых RPZ будет больше 100, подвергаются изменениям, т. е. разрабаты­ваются корректирующие (или предупреждающие) мероприятия.

1) исключить причину возникновения дефекта. При помощи изменения конструкции или процесса уменьшить возможность возникновения дефекта (уменьшается параметр А);

2) воспрепятствовать возникновению дефекта. При помощи статистического регулирования помешать возникновению де­фекта (уменьшается параметр А);

3) снизить влияние дефекта. Снизить влияние проявления де­фекта на заказчика или последующий процесс с учетом измене­ния сроков и затрат (уменьшается параметр В);

4) облегчить и повысить достоверность выявления дефекта. Облегчить выявление дефекта и последующий ремонт (уменьша­ется параметр Е).

По степени влияния на повышение качества процесса или изделия корректирующие мероприятия располагаются следую­щим образом:

Изменение структуры объекта (конструкции, схемы и т.д.);

Изменение процесса функционирования объекта (последо­вательности операций и переходов, их содержания и др.);

Улучшение системы менеджмента качества.

Часто разработанные мероприятия заносятся в последую­щую графу таблицы FMEA-анализа. Затем пересчитывается по­тенциальный риск RPZ после проведения корректирующих ме­роприятий. Если не удалось его снизить до приемлемых преде­лов (малого риска RPZ<40 или среднего риска RPZ<100), разрабатываются дополнительные корректирующие мероприя­тия и повторяются предыдущие шаги.

По результатам анализа для разработанных корректирую­щих мероприятий составляется план их внедрения. Определяется:

В какой временной последовательности следует внедрять эти мероприятия и сколько времени потребует проведе­ние каждого мероприятия, как скоро после начала его проведения проявится запланированный эффект;

Кто будет отвечать за проведение каждого из этих мероприятий, и кто будет конкретным его исполнителем;

Где (в каком структурном подразделении организации) они должны быть проведены;

Из какого источника будет производиться финансирование проведения мероприятия (статья бюджета предпри­ятия, др. источники).

В настоящее время FMEA-анализ очень широко применяется в промышленности Японии, США, активно внедряется в странах ЕС.

Методы Тагути

Известный японский ученый Г. Тагути в 1950-1980-е годы предложил ряд методов оптимизации проектирования продукции и производства, которые позволяют су­щественно улучшить их качество и широко используются в ряде стран, особенно в Японии и США. К числу наиболее авторитетных фирм, использующих методы Тагути, относятся Toyota, Ford, General Electric, AT&T.

В основе методов Тагути лежат известные статистические методы (статистическое планирование экспери­ментов и др.). Не все математические предпосыл­ки, лежащие в основе его методов, признаются специалистами бесспорным. Однако, поскольку методы Тагути являются многоступенчатыми, предполагают ряд проверок и корректировок, эти недостатки не снижают их эффективности.

К числу наиболее известных идей Тагути относятся:

1. Качественными считаются только такие изделия, характеристики которых полностью совпадают с их номинальными значениями по чертежу. Любое отклонение приводит к потерям в стоимостном выражении, пропорциональ­ным квадрату этого отклонения. Эта зависимость потерь от отклонений от номинала была названа функцией потерь качества (ФПК) и используется
для выбора допусков на продукцию, обеспечивающих равенство потерь про­-
изводителя и потребителя.

2. При проектировании изделие и процесс производства можно сделать робастными, то есть устойчивыми, нечувствительными к различным помехам при
эксплуатации и производстве изделия. Главная ответственность за качество
лежит на разработчике изделия, а не на организаторах производства.

3. Критерием правильности проектирования является предсказуемость моде-­
ли объекта проектирования, которая оценивается отношением сигнал/шум
и минимизацией дисперсии выходной характеристики объекта (рассчиты-­
вается с помощью дисперсионного анализа).

4. Проектирование изделия и процесса производства следует производить
в 3 этапа: системное проектирование; параметрическое или оптимальное
проектирование; проектирование допусков.

5. Для идентификации параметров изделия и процесса следует использовать статистическое планирование экспериментов.

Тагути ввел трехстадийный подход к установлению номинальных значений параметров изделия и процесса и допусков на них: системное проектирование, параметрическое проектирование и проектирование допусков.

ВОПРОСЫ ДЛЯ САМОПРОВЕРКИ

1. Назовите цель и значение Метода Структурирования Функции

Качества (СФК);

2. В чем заключается суть метода СФК?;

3. На каких этапах создания продукции используют метод СФК?;

4. Какой достигается эффект при использовании метода СФК?;

5. Для чего проводится FMEA-анализ?;

6. Перечислите основные задачи FMEA- анализа.

7. Перечислите объекты FMEA-анализа.

8. Какие этапы включает FMEA-анализ?;

9. Какие изделия считаются качественными с точки зрения Тагути?;

Лекция 4. Общепринятые методы анализа риска(продолжение).

Анализ сценариев

Наименование метода «анализ сценариев» дано процессу разработки описательных моделей развития событий. Метод может быть использован для идентификации риска путем рассмотрения возможных событий в будущем и исследования их значимости и последствий. Наборы сценариев, отражающих, например, «лучший случай», «худший случай» и «ожидаемый случай», могут быть использованы для анализа возможных последствий и их вероятности для каждого сценария.

Возможности метода анализа сценариев можно проиллюстрировать, рассматривая основные изменения за прошлые 50 лет в технологиях, предпочтениях потребителей, социальных отношениях и т. д. В процессе анализа сценариев трудно прогнозировать вероятность таких изменений в будущем, однако можно анализировать последствия, помочь организациям использовать преимущества и обеспечить устойчивость к прогнозируемым изменениям.

Анализ сценариев может быть полезен в принятии решений и планировании будущих стратегий, а также при рассмотрении существующих видов деятельности. Данный метод может быть использован для всех элементов оценки риска. На этапах идентификации и анализа риска наборы сценариев, отражающих, например, лучший, худший и наиболее вероятный случай, могут быть использованы для установления того, что может произойти в конкретных обстоятельствах, а также для анализа потенциальных последствий и их вероятности для каждого сценария.

Метод анализа сценариев может быть использован для прогнозирования возможных угроз и их развития во времени и может быть применен для всех типов риска в краткосрочной и долгосрочной перспективе.

В краткосрочной перспективе при наличии достоверных данных вероятные сценарии могут быть экстраполированы на основе существующих данных. В долгосрочной перспективе с учетом низкой достоверности данных анализ сценариев позволяет определить общий характер развития событий.

Анализ сценариев полезен в ситуации, когда имеются значительные различия между положительными и отрицательными результатами, в том числе во времени и для различных групп или организаций.

Структура метода анализа сценариев может быть формализованной или произвольной.

После формирования группы, установления каналов обмена информацией, определения исследуемых проблем и области применения метода необходимо идентифицировать характер возможных изменений.

Следует также исследовать основные тенденции и оценить вероятное время изменений на основе экспертногопрогноза.

Исследуемые изменения могут включать в себя:

Внешние изменения (такие как изменения технологий);

Решения, которые необходимо принять в ближайшем будущем и которые могут привести к различным результатам;

Потребности причастных сторон и возможные изменения;

Изменения в макросреде (обязательных требований, демографии и т. д.), некоторые из которых неизбежны, другие возможны.

Иногда изменения могут произойти вследствие другого опасного события. Например, изменение климата приводит к изменениям потребительского спроса на продукты питания, что влияет на то, какие продукты питания выгодно экспортировать, а какие - выращивать в своем регионе.

Затем следует составить перечень локальных факторов и макрофакторов или тенденций и ранжировать сначала по значимости, затем по неопределенности. Особое внимание следует уделять факторам, которые являются наиболее значимыми и более неопределенными.

Ключевые факторы или тенденции наносят на карту напротив друг друга, чтобы показать и выявить области разработки сценариев.

Обычно предлагают набор сценариев, каждый из которых соответствует вероятному изменению параметров.

Затем для каждого сценария составляют описание перехода от исходной ситуации к рассматриваемому сценарию. Описание может включать вероятные детали, которые могут быть очень полезны для сценария.

Далее сценарии могут быть использованы для исследования или оценки исходной проблемы. При проведении исследований необходимо учитывать все существенные, но прогнозируемые факторы (например, используют шаблоны). Затем следует исследовать выполнение политики или деятельности при реализации этого сценария и оценить результаты предварительного исследования сценария с использованием вопросов «что, если», основанных на предположениях моделей.

После проведения оценки вопросов или предположений относительно каждого сценария может стать очевидным, что именно необходимо изменить и как это сделать наиболее целесообразным и безопасным образом. Могут быть также определены основные индикаторы, указывающие на появление возможных изменений.

Мониторинг основных индикаторов и предпринятые ответные меры позволяют обеспечить возможность внесения изменений в запланированные стратегии.

Так как сценарии охватывают только отдельные части возможного развития будущих событий, важно удостовериться, что учтены вероятности появления конкретных сценариев, т. е. определить структуру риска. Например, если используют сценарии лучшего случая, худшего случая и наиболее вероятного случая, необходимо предпринять несколько попыток для их квалификации и оценить вероятность появления каждого сценария.

Анализ первопричины (RCA)

Анализ потерь, составляющих основную долю ущерба, направленный на предотвращение их повторного возникновения, обычно называют анализом первопричины (RCA), анализом первопричины отказа (RCFA) или анализом потерь. Метод RCA используют для исследования потерь вследствие различных видов отказов, в то время как анализ потерь главным образом применяют для исследования финансовых или экономических потерь от внешних воздействующих факторов или катастроф. Метод RCA направлен на выявление первичных причин отказа без рассмотрения их внешних проявлений. Очевидно, что корректирующие действия не всегда эффективны и зачастую требуют их постоянного улучшения. Метод RCA обычно применяют для оценки основной составляющей потерь, однако его можно применять для анализа более общих потерь с целью выявления возможностей постоянного улучшения.

Метод RCA имеет много направлений применения:

В области безопасности метод RCA используют для исследования несчастных случаев в области охраны труда и производственной безопасности;

В технологических системах для анализа надежности и технического обслуживания используют анализ отказов;

RCA производства применяют для контроля качества производственных процессов;

RCA процессов применяют для исследования бизнес-процессов;

RCA систем, представляющий собой комбинацию перечисленных видов RCA, применяют при анализе сложных систем в системах управления изменениями менеджмента риска и в системном анализе.

После принятия решения о применении метода RCA формируют группу экспертов для проведения анализа и разработки рекомендаций. Специализация экспертов главным образом зависит от целей анализа и особенностей отказа.

Методы проведения анализа могут существенно различаться, однако основные этапы метода RCA аналогичны и включают:

Формирование группы;

Установление области применения и целей метода RCA;

Сбор данных и объективных свидетельств об отказе или потерях;

Проведение структурированного анализа для определения первопричины;

Верификацию положительного результата от внедрения рекомендаций.

Применяют следующие структурированные методы анализа:

Метод «5 почему», состоящий в многократном повторении вопроса «почему?», для исследования пяти уровней глубины причины отказа;

Анализ видов и последствий отказов;

Анализ дерева неисправностей;

Диаграмма Исикавы или «рыбий скелет»;

Анализ Парето;

Составление карты первопричины.

Оценку причин часто начинают с исследования первоначально очевидных физических причин, далее изучают причины, связанные с человеческим фактором, и уже затем переходят к изучению скрытых причин управления или основных причин. Для того чтобы применение корректирующих действий было эффективным, вовлеченные стороны должны иметь возможность управлять выявленными в процессе анализа причинными факторами или устранить их.

Анализ дерева неисправностей (FTA)

Анализ дерева неисправностей FTA - метод идентификации и анализа факторов, которые могут способствовать возникновению исследуемого нежелательного события (называемого конечным событием).

С помощью дедукции исследуемые факторы идентифицируют, выстраивают их логическим образом и представляют на диаграмме в виде дерева, которое отображает эти факторы и их логическую связь с конечным событием.

Факторами, указанными в дереве неисправностей, могут быть события, связанные с отказами компонентов оборудования, ошибками человека или другими событиями, которые могут привести к нежелательному событию.

Метод дерева неисправностей может быть использован для определения качественной оценки при идентификации причин отказа и путей, приводящих к конечному событию, и количественной оценки при вычислении вероятности конечного события, если известны значения вероятностей начальных событий.

Данный метод может быть использован на стадии проектирования системы для идентификации причин отказа, и, следовательно, выбора варианта проекта. Метод FTA может быть использован на стадии производства для идентификации видов основных отказов и относительной значимости путей, приводящих к конечному событию. Дерево неисправностей может быть также использовано для анализа сочетания событий, приведшего к возникновению исследуемого отказа.

Пример дерева неисправностей:

Для проведения количественного анализа необходимы данные об интенсивности или вероятности отказа всех основных событий, указанных в дереве неисправностей.

Выделяют следующие этапы разработки диаграммы дерева неисправностей:

Определение конечного события, которое необходимо проанализировать. Это может быть отказ или более общие последствия отказа. После того как последствия отказа проанализированы, в дерево неисправностей может быть включена часть, относящаяся к сокращению интенсивности и последствий отказа;

Идентификация возможных причин или видов отказов, приводящих к конечному событию, начиная с конечного события;

Анализ идентифицированных видов и причин отказа для определения того, что конкретно привело к отказу;

Последовательная идентификация нежелательного функционирования системы с переходом на более низкие уровни системы, пока дальнейший анализ не станет нецелесообразным. В технической системе это может быть уровень отказа компонентов. События и факторы на самом низком уровне анализируемой системы называют базисными событиями;

Оценка вероятности базисных событий (если применимо) и последующий расчет вероятности конечного события. Для обеспечения достоверности количественной оценки следует показать, что полнота и качество входных данных для каждого элемента достаточны для получения выходных данных необходимой достоверности. В противном случае дерево неисправностей недостаточно достоверно для анализа вероятности, но может быть полезным для исследования причинно-следственных связей.

Анализ дерева событий (ЕTA)

Метод ETA является графическим методом представления взаимоисключающих последовательностей событий, следующих за появлением исходного события, в соответствии с функционированием и нефункционированием систем, разработанных для смягчения последствий опасного события. Метод ETA может быть применен для качественной и/или количественной оценки.

Пример дерева событий:

На рисунке показаны расчеты для дерева событий.

Метод ETA может быть использован для моделирования, вычисления и ранжирования (с точки зрения риска) различных сценариев инцидента после возникновения начального события.

Метод ETA может быть применен на всех стадиях жизненного цикла продукции или процесса. Данный метод может быть использован на качественном уровне при мозговом штурме, определении сценариев и последовательностей событий, которые могут возникнуть после начального события, и при определении воздействия на результат различных видов обработки риска, барьеров или средств управления, предназначенных для снижения нежелательных последствий.

При оценке приемлемости средств управления наиболее целесообразно применение метода ETA для количественного анализа.

Построение дерева событий начинают с выбора начального события. Это может быть инцидент, такой как взрыв пыли, или такое событие, как отказ системы энергоснабжения. Далее перечисляют имеющиеся функции или системы, направленные на смягчение последствий. Для каждой функции или системы чертят линии для отображения ее исправного состояния или отказа. Вероятность отказа может быть оценена и назначена для каждой такой линии. Данную условную вероятность оценивают, например, с помощью экспертных оценок или анализа дерева неисправностей. Таким образом изображают различные пути развития событий от начального события.

Следует учитывать, что вероятности на дереве событий являются условными вероятностями, например, вероятность срабатывания разбрызгивателя системы пожаротушения, полученная при испытаниях в нормальных условиях, будет отличаться от вероятности срабатывания этой системы при возгорании, вызванном взрывом.

Каждая ветвь дерева представляет собой вероятность того, что все события на этом пути произойдут. Поэтому вероятность результата вычисляют как произведение отдельных условных вероятностей и вероятности начального события при условии независимости событий.

Анализ причин и последствий

Анализ причин и последствий является сочетанием методов дерева неисправностей и дерева событий.

Данный метод начинают с рассмотрения критического события и анализа его последствий посредством применения сочетания логических элементов ДА/НЕТ. Эти элементы представляют собой условия, при которых система, разработанная для снижения последствий начального события, находится в работоспособном состоянии или в состоянии отказа. Причины условий или отказов анализируют с помощью метода дерева неисправностей.

Метод анализа причин и последствий первоначально был разработан как инструмент проверки надежности систем, критических для обеспечения безопасности, который использовали для более полного понимания отказов системы. Так же как метод анализа дерева неисправностей, данный метод используют для отображения логики отказа, приводящего к критическому событию, однако, дополнительно к функциональным возможностям дерева неисправностей, этот метод позволяет провести анализ последовательности появления отказов. Метод также позволяет учесть время запаздывания при анализе последствий, что невозможно при использовании метода дерева событий.

Метод используют для анализа различных вариантов работы системы после возникновения критического события в зависимости от поведения ее подсистем (например, аварийных систем). Если такие варианты могут быть охарактеризованы количественно, то могут быть оценены вероятности возможных последствий критического события.

Анализ видов, последствий и критичности отказов

Изучается каждый основной компонент системы с целью определения путей его перехода в аварийное состояние. Анализ является преимущественно качественным и проводится по принципу «снизу вверх» при условии появления аварийных состояний «одно за раз».

Анализ видов, последствий и критичности отказов существенно более детален, чем анализ с помощью «дерева неисправностей», так как выявляются все возможные виды отказов или аварийные ситуации для каждого элемента системы.

Например, реле может отказать по следующим причинам:

– контакты не разомкнулись или не сомкнулись;

– запаздывание в замыкании или размыкании контактов;

– короткое замыкание контактов на корпус, источник питания, между контактами и в цепях управления;

– дребезг контактов (неустойчивый контакт);

– контактная дуга, генерирование помех;

– разрыв обмотки;

– короткое замыкание обмотки;

– низкое или высокое сопротивление обмотки;

– перегрев обмотки.

Для каждого вида отказа анализируются последствия, намечаются методы устранения или компенсации отказов и составляется перечень необходимых проверок.

Например, для баков, емкостей, трубопроводов этот перечень может быть следующим:

– переменные параметры (расход, количество, температура, давление, насыщение и т. д.);

– системы (нагрева, охлаждения, электропитания, управления и т. д.);

– особые состояния (обслуживание, включение, выключение, замена содержимого и т. д.);

– изменение условий или состояния (слишком большие, слишком малые, гидроудар, осадок, несмешиваемость, вибрация, разрыв, утечка и т. д.).

Используемые при анализе формы документов подобны применяемым при выполнении предварительного анализа опасностей, но в значительной степени детализированы.

Анализ критичности предусматривает классификацию каждого элемента в соответствии со степенью его влияния на выполнение общей задачи системой. Устанавливаются категории критичности для различных видов отказов:

Метод не дает количественной оценки возможных последствий или ущерба, но позволяет ответить на следующие вопросы:

– какой из элементов должен быть подвергнут детальному анализу с целью исключения опасностей, приводящих к возникновению аварий;

– какой элемент требует особого внимания в процессе производства;

– каковы нормативы входного контроля;

– где следует вводить специальные процедуры, правила безопасности и другие защитные мероприятия;

– как наиболее эффективно затратить средства для предотвращения
аварий.

7.3.3. Анализ диаграммы всех возможных
последствий несрабатывания или аварии системы
(«дерево неисправностей»)

Данный метод анализа представляет собой совокупность приемов количественного и качественного характера для распознавания условий и факторов, которые могут привести к нежелательному событию («вершинному событию»). Учтенные условия и факторы выстраивают в графическую цепь. Начиная с вершины, выявляются причины или аварийные состояния следующих, более низких функциональных уровней системы. Анализируются многие факторы, включая взаимодействия людей и физические явления.

Внимание концентрируется на тех воздействиях неисправности или аварии, которые имеют непосредственное отношение к вершине событий. Метод особенно полезен для анализа систем с множеством областей контакта и взаимодействий.

Представление события в виде графической схемы приводит к тому, что можно без особого труда понять поведение системы и поведение включенных в него факторов. В связи с громоздкостью «деревьев» их обработка может потребовать применения компьютерных систем. Из-за громоздкости за­трудняется также проверка «дерева неисправностей».

В первую очередь метод используется при оценке риска для оценки вероятностей или частот неисправностей и аварий. В п 7.4 дано более детальное изложение метода.

7.3.4. Анализ диаграммы возможных последствий события
(«дерево событий»)

«Дерево событий» (ДС) – алгоритм рассмотрения событий, исходящих от основного события (аварийной ситуации). ДС используется для определения и анализа последовательности (вариантов) развития аварии, включающей сложные взаимодействия между техническими системами обеспечения безопасности. Вероятность каждого сценария развития аварийной ситуации рассчитывается путем умножения вероятности основного события на вероятность конечного события. При его построении используется прямая логика. Все значения вероятности безотказной работы P очень малы. «Дерево» не дает численных решений.

Пример 7.1. Допустим, путем выполнения предварительного анализа опасностей (ПАО) было выявлено, что критической частью реактора, т. е. подсистемой, с которой начинается риск, является система охлаждения реактора; таким образом, анализ начинается с просмотра последовательности возможных событий с момента разрушения трубопровода холодильной установки, называемого инициирующим событием, вероятность которого равна P(A) (рис. 7.1), т. е. авария начинается с разрушения (поломки) трубопровода – событие A .
Далее анализируются возможные варианты развития событий (B , C , D и E ), которые могут последовать за разрушением трубопровода. На рис. 7.1 изображено «дерево исходных событий», отображающее все возможные альтернативы.
На первой ветви рассматривается состояние электрического питания. Если питание есть, следующей подвергается анализу аварийная система охлаждения активной зоны реактора (АСОР). Отказ АСОР приводит к расплавлению топлива и к различным, в зависимости от целостности конструкции, утечкам радиоактивных продуктов.

Для анализа с использованием двоичной системы, в которой элементы либо выполняют свои функции, либо отказывают, число потенциальных отказов равно 2N – 1, где N – число рассматриваемых элементов. На практике исходное «дерево» можно упростить с помощью инженерной логики и свести к более простому дереву, изображенному в нижней части рис. 7.1.

В первую очередь представляет интерес вопрос о наличии электрического питания. Вопрос заключается в том, какова вероятность P B отказа электропитания и какое действие этот отказ оказывает на другие системы защиты. Если нет электрического питания, фактически никакие действия, предусмотренные на случай аварии с использованием для охлаждения активной зоны реактора распылителей, не могут производиться. В результате упрощенное «дерево событий» не содержит выбора в случае отсутствия электрического питания, и может произойти большая утечка, вероятность которой равна P A (P B ).

В случае, если отказ в подаче электрической энергии зависит от поломки трубопровода системы охлаждения реактора, вероятность P B следует подсчитывать как условную вероятность для учета этой зависимости. Если электрическое питание имеется, следующие варианты при анализе зависят от состояния АСОР. Она может работать или не работать, и ее отказ с вероятностью P C 1 ведет к последовательности событий, изображенной на рис. 7.1.

Рис. 7.1. «Дерево событий»

Следует обратить внимание на то, что для рассматриваемой системы возможны различные варианты развития аварии. Если система удаления радиоактивных материалов работоспособна, радиоактивные утечки меньше, чем в случае ее отказа. Конечно, отказ в общем случае ведет к последовательности событий с меньшей вероятностью, чем в случае работоспособности.

Рис. 7.2. Гистограмма вероятностей для различных величин утечек

Рассмотрев все варианты «дерева», можно получить спектр возможных утечек и соответствующие вероятности для различных последовательностей развития аварии (рис. 7.2). Верхняя линия «дерева» является основным вариантом аварии реактора. При данной последовательности предполагается, что трубопровод разрушается, а все системы обеспечения безопасности сохраняют работоспособность.

Мощный инструмент анализа данных для повышения надежности

Уильям Гобл для InTech

Анализ видов и последствий отказов (от англ.: Failure Mode and Effects Analysis или FMEA) - это специальная техника оценки надежности и безопасности систем, разработанная в 60-х гг. прошлого столетия в США, в рамках программы создания ракеты «Минитмен». Целью ее разработки было обнаружение и устранение технических проблем в сложных системах.

Техника достаточно проста. Виды отказов каждого компонента той или иной системы перечисляются в специальной таблице и документируются - вместе с предполагаемыми последствиями. Метод систематический, эффективный и детальный, хотя иногда и считается затратным по времени, а также, склонным к повторяющимся действиям. Причина эффективности метода в том, что изучается каждый вид отказа каждого отдельного компонента. Ниже приведен пример таблицы, описанный в одном из исходных руководств по применению этого метода, а именно, в MIL-HNBK-1629.

В колонке №1 содержится название исследуемого компонента, в колонке №2 - идентификационный номер компонента (серийный номер или код). Вместе первые две колонки должны уникально идентифицировать исследуемый компонент. Колонка №3 описывает функцию компонента, а колонка №4 - возможные виды отказов. Для каждого вида отказа, как правило, используется одна строчка. Колонка №5 используется для записи причины отказа, в случае, когда это применимо. В колонке №6 описываются последствия каждого отказа. Остальные колонки могут отличаться в зависимости от того, какие версии FMEA применяются.

FMEA позволяет находить проблемы

Популярность метода FMEA росла на протяжении долгих лет, и он смог стать важной частью многих процессов разработки, особенно в автомобильной отрасли. Причиной этого стало то, что метод сумел продемонстрировать свою полезность и эффективность, несмотря на критику. Как бы то ни было, именно во время применения метода FMEA можно часто услышать крик вроде «О, нет», когда становится ясно, что последствия отказа того или иного компонента очень серьезны, и, главное, до этого они оставались незамеченными. Если проблема достаточно серьезна, записываются и корректирующие действия. Конструкция улучшается, для обнаружения, избегания или управления проблемой.

Применение в различных отраслях

Несколько вариантов техники FMEA используются в различных отраслях. В частности, FMEA используется для определения опасностей, которые необходимо учитывать во время проектирования нефтехимических предприятий. Эта техника отлично согласуется с другой хорошо известной техникой - Анализом опасностей и работоспособности (от англ.: Hazard and Operability Study или HAZOP). По сути, обе техники практически одинаковы, и являются вариациями списков компонентов системы в табличной форме. Основная разница между FMEA и HAZOP состоит в том, что HAZOP использует ключевые слова, чтобы помогать сотрудникам идентифицировать отклонения от нормы, в то время как FMEA основан на известных видах отказа оборудования.

Вариантом техники FMEA, используемой для анализа систем управления, является техника Анализа опасностей и работоспособности систем управления (англ.: Control Hazards and Operability Analysis или CHAZOP). В списке приведены известные виды отказов компонентов систем управления, таких как системы управления базовыми процессами, комбинации клапанов и приводов или различные преобразователи, а также записаны последствия этих отказов. Кроме того, приводятся описания корректирующих действий, в случае если отказ ведет к серьезным проблемам.

Пример использования FMEA

На этом рисунке схематически изображен упрощенный «реактор» с аварийной системой охлаждения. Система состоит из самотечного резервуара с водой, клапана управления, охлаждающего кожуха вокруг реактора, выключателя с датчиком температуры и источника питания. При нормальном режиме работы выключатель находится в активном (проводящем) положении, поскольку температура реактора находится ниже опасной зоны. Электрический ток проходит от источника через клапан и выключатель, и держит клапан в закрытом положении. Если температура внутри реактора становится слишком высокой, реагирующий на температуру выключатель размыкает цепь, и клапан управления открывается. Охлаждающая вода течет из резервуара, через клапан, затем через охлаждающий кожух и выходит через сток кожуха. Этот поток воды охлаждает реактор, понижая его температуру.

Вам нравится эта статья? Поставьте нам Like! Спасибо:)

Процедура FMEA требует создания таблицы, в которой перечислены все виды отказов для каждого из компонентов системы. Таблица «реактора» ниже служит примером использования техники FMEA, в результате которой идентифицированы критические компоненты, которые следует проверять на предмет необходимости в корректирующих действиях.

Создатель системы - несложного реактора в нашем случае - может рассмотреть возможность последовательной установки 2 выключателей, чувствительных к температуре. Можно использовать интеллектуальный преобразователь, соответствующий стандарту IEC 61508, и обладающей функцией автоматической диагностики и выходным сигналом. Сертифицированный преобразователь существенно упростит процедуру проверки, необходимую для обнаружения неисправностей. Наряду с одним стоком, можно установить второй, таким образом, засор одного из них не приведет к критическому отказу системы. Уровнемер в резервуаре может сообщить о недостаточном уровне воды. Возможно множество других изменений и усовершенствований в конструкции для предотвращения поломок.

Часть II

Эволюция метода FMEA

Метод FMEA был расширен в 70-х гг., и включил полуколичественные оценки (число от 1 до 10) серьезности, частоты происхождения и обнаружения отказов. К таблице добавили 5 колонок. Три колонки включили рейтинги, а четвертая - номер приоритета риска (от англ.: risk priority number или RPN), получаемый умножением трех чисел. Этот расширенный метод получил название «Анализ видов, последствий и критичности отказов» (от англ.: Failure Modes, Effects and Criticality Analysis или FMECA). Пример таблицы с результатами анализа FMECA по «простому реактору» показан ниже.

Техники FMEA продолжали эволюционировать. Некоторые из более поздних вариаций могут быть использованы не только для проектирования, но и для технологических процессов. Аналогично списку компонентов, создается список этапов процесса. Каждый шаг сопровождается описанием всех вариантов неправильного протекания процесса, что соответствует описанию возможных отказов того или иного компонента системы. Во всем остальном, эти вариации техники FMEA соответствуют друг другу. В литературе эти методы иногда называют «design FMEA», или DFMEA, и «process FMEA» или PFMEA. «Процессный» FMEA успешно продемонстрировал свою эффективность в обнаружении непредвиденных проблем.

Анализ отказов, их последствий и диагностики

Непрерывно развивающийся метод FMEA, кроме всего прочего, дал жизнь методу «Анализа отказов, их последствий и диагностики» (от англ.: Failure Modes Effects and Diagnostic Analysis или FMEDA). В конце 80-х гг. возникла необходимость моделировать автоматическую диагностику интеллектуальных устройств. Появилась новая архитектура на рынке контроллеров безопасности под названием «один из двух» с диагностическим выключателем (1oo2D), конкурировавшая с распространенной тогда тройной модульной архитектурой резервирования, называвшейся «два из трех» (2oo3). Поскольку безопасность и готовность новой архитектуры сильно зависели от реализации диагностики, ее количественная оценка стала важным процессом. В FMEDA это реализуется благодаря добавлению дополнительных колонок, показывающих частоту возникновения различных типов отказов и колонку с вероятностью обнаружения для каждой строки анализа.

Так же как и в случае с FMEA, в технике FMEDA перечисляются все компоненты и виды отказов, а также последствия этих отказов. В таблицу добавляются колонки, в которых перечисляются все варианты отказов системы, вероятность того, что диагностика позволит обнаружить конкретный отказ, а также, количественную оценку вероятности возникновения этого отказа. Когда анализ FMEDA завершается, высчитывается фактор «диагностического покрытия» на основе показателя частоты отказов, средневзвешенном относительно диагностического покрытия всех компонентов.

Показатели частоты отказов и распределения отказов необходимо иметь для каждого компонента, если есть необходимость провести анализ FMEDA. Поэтому требуется база данных компонентов, как видно из рисунка «Процесс FMEDA» (см. выше).

В базе данных компонентов должны быть учтены ключевые переменные, влияющие на уровень отказов компонентов. В число переменных включаются факторы окружающей среды. К счастью, существуют определенные стандарты, позволяющие характеризовать среду в процессных отраслях, благодаря чему можно создавать соответствующие профили. В таблице ниже показаны «Профили окружающей среды для процессных отраслей», взятые из второго издания Electrical and Mechanical Component Reliability Handbook, (www.exida.com).

Анализ данных по отказам полевого оборудования в FMEDA

Анализ конструкции может использоваться для создания теоретических баз данных отказов. Тем не менее, точную информацию можно получить, только если показатели частоты отказов компонентов, а также, виды отказов, основаны на данных, собранных на основе исследования реального полевого оборудования. Любая необъяснимая разница между частотами отказа компонентов, высчитанными на основе полевых данных, и на основе FMEDA, должна быть изучена. Иногда требует совершенствования процесс сбора полевых данных. Иногда может потребоваться модернизировать базу данных компонентов, дополнив ее новыми видами отказов и типами компонентов.

К счастью, некоторые сертификационные организации по функциональной безопасности изучают данные об отказах полевого оборудования при оценке большинства продуктов, благодаря чему, являются ценным источником данных о реальных отказах. В рамках некоторых проектов также собираются данные о полевых отказах с помощью конечных заказчиков. После более чем 10 млрд. часов (!) работы различного оборудования, давших огромный объем данных о видах и частоте отказов, собранный в рамках десятков исследований, сложно переоценить ценность базы компонентов FMEDA, особенно в аспекте функциональной безопасности. Итоговые данные FMEDA о продукте, как правило, используются для проверочных вычислений уровня целостности безопасности.

Техника FMEDA может использоваться для того, чтобы оценить эффективность проверочных испытаний различных функций безопасности, позволяющих определить, соответствует ли тот или иной дизайн определенному уровню целостности безопасности. Любое конкретное проверочное испытание позволяет определить те или иные потенциально опасные отказы - но не все. FMEDA позволяет определить, какие отказы определяются или не определяются проверочными испытаниями. Это реализуется добавлением другой колонки, где оценивается вероятность обнаружения каждого вида отказа компонента в ходе проверочного тестирования. При использовании этого детализированного, систематического метода становится очевидным, что некоторые потенциально опасные виды отказов не обнаруживаются во время проверочного тестирования.

Оборотная сторона медали

Основная проблема при использовании метода FMEA (или любой его вариации) это большие затраты времени. Многие аналитики жалуются на скучный и долгий процесс. Действительно, нужен строгий и сфокусированный куратор, для того, чтобы процесс анализа двигался вперед. Всегда необходимо помнить, что решение проблемы не является частью анализа. Проблемы решаются после того, как анализ будет закончен. Если следовать этим правилам, результатом станут достаточно быстрые улучшения в безопасности и надежности.

Доктор Уильям Гоббл (William Goble) является главным инженером и директором сертификационной группы по функциональной безопасности в exida, аккредитованном сертификационном органе. Более 40 лет опыта в электронике, разработке ПО и систем безопасности. Ph.D. в области количественного анализа надежности/безопасности систем автоматизации.

Касса