При экспоненциальном законе распределения времени восстановления и времени между отказами для расчета показателей надежности систем с восстановлением используют математический аппарат марковских случайных процессов. В этом случае функционирование систем описывается процессом смены состояний. Система изображается в виде графа, называемого графом переходов из состояния в состояние.
Случайный процесс в какой либо физической системе S , называется марковским , если он обладает следующим свойством: для любого момента t 0 вероятность состояния системы в будущем (t > t 0 ) зависит только от состояния в настоящем
(t = t 0 ) и не зависит от того, когда и каким образом система пришла в это состояние (иначе: при фиксированном настоящем будущее не зависит от предыстории процесса - прошлого).
|
t < t 0 |
t > t 0 |
Для марковского процесса «будущее» зависит от «прошлого» только через «настоящее», т. е. будущее протекание процесса зависит только от тех прошедших событий, которые повлияли на состояние процесса в настоящий момент.
Марковский процесс, как процесс без последействия, не означает полной независимости от прошлого, поскольку оно проявляется в настоящем.
При использовании метода, в общем случае, для системы S , необходимо иметь математическую модель в виде множества состояний системы S 1 , S 2 , … , S n , в которых она может находиться при отказах и восстановлениях элементов.
При составлении модели введены допущения:
Отказавшие элементы системы (или сам рассматриваемый объект) немедленно восстанавливаются (начало восстановления совпадает с моментом отказа);
Отсутствуют ограничения на число восстановлений;
Если все потоки событий, переводящих систему (объект) из состояния в состояние, являются пуассоновскими (простейшими), то случайный процесс переходов будет марковским процессом с непрерывным временем и дискретными состояниями S 1 , S 2 , … , S n .
Основные правила составления модели:
1. Математическую модель изображают в виде графа состояний, в которой
а) кружки (вершины графа S 1 , S 2 , … , S n ) – возможные состояния системы S , возникающие при отказах элементов;
б) стрелки – возможные направления переходов из одного состояния S i в другое S j .
Над/под стрелками указываются интенсивности переходов.
Примеры графа:
S0 – работоспособное состояние;
S1 – состояние отказа.
«Петлей» обозначаются задержки в том или ином состоянии S0 и S1 соответствующие:
Исправное состояние продолжается;
Состояние отказа продолжается.
Граф состояний отражает конечное (дискретное) число возможных состояний системы S 1 , S 2 , … , S n . Каждая из вершин графа соответствует одному из состояний.
2. Для описания случайного процесса перехода состояний (отказ/ восстановление) применяют вероятности состояний
P1(t), P2(t), … , P i (t), … , Pn(t) ,
где P i (t) – вероятность нахождения системы в момент t в i -м состоянии.
Очевидно, что для любого t
(нормировочное условие, поскольку иных состояний, кроме S 1 , S 2 , … , S n нет).
3. По графу состояний составляется система обыкновенных дифференциальных уравнений первого порядка (уравнений Колмогорова-Чепмена).
Рассмотрим элемент установки или саму установку без резервирования, которые могут находится в двух состояниях: S 0 -безотказное (работоспособное), S 1 - состояние отказа (восстановления).
Определим соответствующие вероятности состояний элемента Р 0 (t ): P 1 (t ) в произвольный момент времени t при различных начальных условиях. Эту задачу решим при условии, как ужу отмечалось, что поток отказов простейший с λ = const и восстановлений μ = const , закон распределения времени между отказами и времени восстановления – экспоненциальный.
Для любого момента времени сумма вероятностей P 0 (t ) + P 1 (t ) = 1 – вероятность достоверного события. Зафиксируем момент времени t и найдем вероятность P (t + ∆ t ) того, что в момент времени t + ∆ t элемент находится в работе. Это событие возможно при выполнении двух условий.
В момент времени t элемент находился в состоянии S 0 и за время t не произошло отказа. Вероятность работы элемента определяется по правилу умножения вероятностей независимых событий. Вероятность того, что в момент t элемент был и состоянии S 0 , равна P 0 (t ). Вероятность того, что за время t он не отказал, равна е -λ∆ t . С точностью до величины высшего порядка малости можно записать
Поэтому вероятность этой гипотезы равна произведению P 0 (t ) (1- λ ∆ t ).
2. В момент времени t элемент находится в состоянииS 1 (в состоянии восстановления), за время ∆ t восстановление закончилось и элемент перешел в состояниеS 0 . Эту вероятность также определим по правилу умножения вероятностей независимых событий. Вероятность того, что в момент времени t элемент находился в состоянииS 1 , равна Р 1 (t ). Вероятность того, что восстановление закончилось, определим через вероятность противоположного события, т.е.
1 – е -μ∆ t = μ· ∆ t
Следовательно, вероятность второй гипотезы равна P 1 (t ) ·μ· ∆ t /
Вероятность рабочего состояния системы в момент времени (t + ∆ t ) определяется вероятностью суммы независимых несовместимых событий при выполнении обеих гипотиз:
P 0 (t +∆ t )= P 0 (t ) (1- λ ∆ t )+ P 1 (t ) ·μ ∆ t
Разделив полученное выражение на ∆ t и взяв предел при ∆ t → 0 , получим уравнение для первого состояния
dP 0 (t )/ dt =- λP 0 (t )+ μP 1 (t )
Проводя аналогичные рассуждения для второго состояния элемента – состояния отказа (восстановления), можно получить второе уравнение состояния
dP 1 (t )/ dt =- μP 1 (t )+λ P 0 (t )
Таким образом, для описания вероятностей состояния элемента получена система двух дифференциальных уравнений, граф состояний которого показан на рис.2
dP 0 (t )/ dt = - λ P 0 (t )+ μP 1 (t )
dP 1 (t )/ dt = λ P 0 (t ) - μP 1 (t )
Если имеется направленный граф состояний, то систему дифференциальных уравнений для вероятностей состояний Р К (к = 0, 1, 2,…) можно сразу написать, пользуясь следующим правилом: в левой части каждого уравнения стоит производная dP К (t )/ dt , а в правой – столько составляющих, сколько ребер связано непосредственно с данным состоянием; если ребро оканчивается в данном состоянии, то составляющая имеет знак плюс, если начинается из данного состояния, то составляющая имеет знак минус. Каждая составляющая равна произведению интенсивности потока событий переводящего элемент или систему по данному ребру в другое состояние, на вероятность того состояния, из которого начинается ребро.
Систему дифференциальных уравнений можно использовать для определения ВБР электрических систем, функции и коэффициента готовности, вероятности нахождения в ремонте (восстановлении) нескольких элементов системы, среднего времени пребывания системы в любом состоянии, интенсивности отказов системы с учетом начальных условий (состояний элементов).
При начальных условиях Р 0 (0)=1; Р 1 (0)=0 и (Р 0 +Р 1 =1), решение системы уравнений, описывающих состояние одного элемента имеет вид
P 0 (t ) = μ / (λ+ μ )+ λ/(λ+ μ )* e ^ -(λ+ μ ) t
Вероятность состояния отказа P 1 (t )=1- P 0 (t )= λ/(λ+ μ )- λ/ (λ+ μ )* e ^ -(λ+ μ ) t
Если в начальный момент времени элемент находился в состоянии отказа (восстановления), т.е. Р 0 (0)=0, Р 1 (0)=1 , то
P 0 (t) = μ/ (λ +μ)+ μ/(λ +μ)*e^ -(λ +μ)t
P 1 (t) = λ /(λ +μ)- μ/ (λ +μ)*e^ -(λ +μ)t
Обычно в расчетах показателей надежности для достаточно длительных интервалов времени (t ≥ (7-8) t в ) без большой погрешности вероятности состояний можно определять по установившимся средним вероятностям -
Р 0 (∞) = К Г = Р 0 и
Р 1 (∞) = К П =Р 1 .
Для стационарного состояния (t →∞) P i (t) = P i = const составляется система алгебраических уравнений с нулевыми левыми частями, поскольку в этом случае dP i (t)/dt = 0. Тогда система алгебраических уравнений имеет вид:
|
|
Так как Кг есть вероятность того, что система окажется работоспособной в момент t при t , то из полученной системы уравнений определяетсяP 0 = Кг .,т.е вероятность работы элемента равна стационарному коэффициенту готовности, а вероятность отказа – коэффициенту вынужденного простоя:
lim P 0 (t ) = Кг = μ /(λ+ μ ) = T /(T + t в )
lim P 1 (t ) = Кп = λ /(λ+ μ ) = t в /(T + t в )
т.е., получился тот же результат, что и при анализе предельных состояний с помощью дифференциальных уравнений.
Метод дифференциальных уравнений может быть использован для расчета показателей надежности и невосстанавливаемых объектов (систем).
В этом случае неработоспособные состояния системы являются «поглощающими» и интенсивности μ выхода из этих состояний исключаются.
Для невосстанавливаемого объекта граф состояний имеет вид:
Система дифференциальных уравнений:
При начальных условиях: P 0 (0) = 1; P 1 (0) = 0 , используя преобразование Лапласа вероятности нахождения в работоспособном состоянии, т. е. ВБР к наработке t составит .
Анализ видов и последствий отказов компонентов технической и функциональной структур проектируемой системы является первым этапом проектного исследования надежности и безопасности. Общепринятой международной аббревиатурой для обозначения анализа видов и последствий отказов является FMEA (failure mode and effect analysis). Этот вид анализа относится к классу предварительного качественного и упрощенного количественного анализа на стадии проектирования. Если проводятся количественные оценки, то употребляется термин FMECA (failure mode, effect and criticality analysis – анализ видов, последствий и критичности отказов). Первые опыты проведения FMEA относятся к аэрокосмическим проектам 60-х годов СССР и США. В 80-х годах процедуры FMEA стали внедряться в автомобильной промышленности США в Ford Motor Company. В настоящее время анализ видов и последствий отказов является обязательным этапом проектной оценки надежности и безопасности объектов космической, авиастроительной, атомной, химико-технологической, газо-нефтеперерабатывающих и др. отраслей. В областях, где этот этап не является обязательным, возникают опасные инциденты, приводящие к большим экономическим и экологическим потерям и угрожающие жизни и здоровью людей. Достаточно вспомнить драматические события обрушения публичных московских зданий, построенных по проектам, где дефект лишь одного элемента несущей конструкции (штифта, колонны) привел к катастрофическим последствиям.
Можно выделить три основные цели проведения FMEA
- выявление потенциально-возможных видов отказов компонентов системы и определение их влияния на систему в целом и возможно окружающую среду
- классификация видов отказов по уровням критичности или по уровням критичности и частоте возникновения (FMECA)
- выдача рекомендаций по пересмотру проектных решений с целью компенсации или устранения опасных видов отказов
FMEA является наиболее стандартизованной областью “надежностных” исследований. Процедура проведения и вид входной/выходной документации регламентируется соответствующими стандартами. Международно признанными являются документы:
· MIL-STD-1629 Style FMECAs - руководство по проведению анализа видов и последствий отказов, оценки критичности, выявлению узких мест конструкций с точки зрения ремонтопригодности и живучести. Первоначально был ориентирован на военные применения.
· SAE J1739, AIG-FMEA3, FORD FMEA – пакет документов, регламентирующих проведение анализа видов и последствий отказов для объектов автомобильной промышленности, включая стадии проектирования и изготовления
· SAE ARP5580 – руководство по проведению FMEA как коммерческих, так и военных проектов, объединяющее положения MIL-STD-1629 и автомобильных стандартов. Введено понятие групп эквивалентных отказов, т.е. отказов, порождающих одинаковые последствиями и требующих проведения одинаковых корректирующих действий.
Общим для всех стандартов является то, что они регламентируют лишь последовательность и взаимосвязь этапов анализа, оставляя проектировщику свободу действий при конкретной реализации каждого этапа. Так, допускается произвольная настройка структуры таблиц FMEA, определение шкал частот возникновения отказов и тяжести последствий, введение дополнительных признаков классификации отказов и пр.
Этапы выполнения FMEA:
· построение и анализ функциональной и/или технической структур объекта
· анализ условий эксплуатации объекта
· анализ механизмов отказов элементов, критериев и видов отказов
· классификация (перечень) возможных последствий отказов
· анализ возможных способов предотвращения (уменьшения частоты) выделенных отказов (последствий отказов)
Техническая структура объекта анализа обычно имеет древовидное, иерархическое представление (рис.3). Возможные виды отказов перечисляются для компонентов нижнего уровня (листьев дерева), а их последствия оцениваются с точки зрения влияния на подсистемы следующего уровня (родительские узлы дерева) и объект в целом.
Рис.3. Иерархическое представление объекта анализа
На рис.4. приведен фрагмент таблицы FMEA, содержащий данные анализа видов и последствий отказов оборудования химико-технологического объекта.
Рис.4. Фрагмент таблицы FMEA.
При выполнении количественных оценок проектных решений по FMEA виды отказов компонентов принято характеризовать тремя параметрами: частота возникновения, степень обнаружения, тяжесть последствий. Так как анализ носит предварительный характер, то обычно используют балльные экспертные оценки этих параметров. Например, в ряде документов предлагаются следующие классификации видов отказов по частоте (таблица 2), по степени обнаружения (таблица 3), по тяжести последствий (таблица 4).
Таблица 2. Классификация отказов по частоте.
F MEA анализ на сегодняшний день признан одним из наиболее эффективных инструментов для повышения качества и надежности разрабатываемых объектов. Он направлен в первую очередь на предупреждение появления возможных дефектов, а также на снижение размера ущерба и вероятности его появления.
Анализ видов и последствий отказов FMEA с целью снижения рисков успешно применяется во всем мире на предприятиях различных отраслей. Это универсальный метод, применимый не только для каждого объекта производства, но и практически для любой деятельности или отдельных процессов. Везде, где есть риск возникновения дефектов или отказов, FMEA анализ позволяет оценить потенциальную угрозу и выбрать наиболее приемлемый вариант.
Терминология FMEA
Основными понятиями, на которых опирается концепция анализа, являются определения дефекта и отказа. Имея общий результат в виде негативных последствий, они, тем не менее, существенно отличаются. Так, дефект является негативным результатом прогнозируемого использования объекта, в то время как отказ - это незапланированное или ненормальное функционирование в процессе производства или эксплуатации. Кроме того существует также термин несоответствие, означающий невыполнение запланированных условий или требований.
Негативным результатам, вероятность которых анализирует метод FMEA , выставляются оценки, которые условно можно разделить на количественные и экспертные. К количественным оценкам относят вероятность возникновения, вероятность обнаружения дефекта, измеряемые в процентах. Экспертные оценки выставляются в баллах для вероятности возникновения и обнаружения дефекта, а также для его значимости.
Итоговыми показателями анализа являются комплексный риск дефекта, а также приоритетное число риска, являющиеся общей оценкой значимости дефекта или отказа.
Этапы анализа
В кратких чертах метод FMEA анализа состоит из следующих этапов:
- 1. Формирование команды
- 2. Выбор объекта анализа. Определение границ каждой части составного объекта
- 3. Определение вариантов применения анализа
- 4. Выбор типов рассматриваемых несоответствий исходя из ограничений по срокам, типу потребителей, географическим условиям и т.д.
- 5. Утверждение формы, в которой будут предоставлены результаты анализа.
- 6. Обозначение элементов объекта, в которых могут возникать отказы или дефекты.
- 7. Составление списка наиболее значимых возможных дефектов для каждого элемента
- 8. Определение возможных последствий для каждого из дефектов
- 9. Оценка вероятности возникновения, а также тяжести последствий для всех дефектов
- 10. Вычисление приоритетного числа риска для каждого дефекта.
- 11. Ранжирование потенциальных отказов/дефектов по значимости
- 12. Разработка мероприятий по снижению вероятности возникновения или тяжести последствий, путем изменения проекта или процесса производства
- 13. Перерасчет оценок
При необходимости п. 9-13 повторяются до тех пора, пока не будет получен приемлемый показатель приоритетного числа риска для каждого из значимых дефектов.
Виды анализа
В зависимости от стадии разработки продукта и от объекта анализа метод FMEA делится на следующие виды:
- SFMEA или анализ взаимодействия между собой отдельных элементов целой системы
- DFMEA анализ — мероприятие для предупреждения запуска в производство недоработанной конструкции
- PFMEA анализ позволяет отработать и довести до применимого состояния процессы
Цели применения FMEA анализа
Используя метод FMEA анализа на производственном предприятии можно добиться следующих результатов:
- снижение себестоимости продукции, а также улучшение ее качества путем оптимизации производственного процесса;
- сокращение послепродажных затрат на ремонт и сервисное обслуживание;
- уменьшение сроков подготовки производства;
- сокращение количества доработок продукции после старта производства;
- рост удовлетворенности потребителя и, как следствие, повышение репутации производителя.
Особенность состоит в том, что анализ видов и последствий отказов FMEA в краткосрочном периоде может не дать ощутимых финансовых преимуществ или вовсе быть затратным. Однако в стратегическом планировании он играет решающую роль, так как, проведенный лишь на стадии подготовки к производству, впоследствии будет приносить экономическую выгоду на протяжении всего жизненного цикла продукта. Кроме того, затраты от негативных последствий дефектов, зачастую, могут быть выше, чем конечная стоимость продукта. В пример можно привести авиационную промышленность, где от надежности каждой детали зависят сотни человеческих жизней.
Изучается каждый основной компонент системы с целью определения путей его перехода в аварийное состояние. Анализ является преимущественно качественным и проводится по принципу «снизу вверх» при условии появления аварийных состояний «одно за раз».
Анализ видов, последствий и критичности отказов существенно более детален, чем анализ с помощью «дерева неисправностей», так как выявляются все возможные виды отказов или аварийные ситуации для каждого элемента системы.
Например, реле может отказать по следующим причинам:
– контакты не разомкнулись или не сомкнулись;
– запаздывание в замыкании или размыкании контактов;
– короткое замыкание контактов на корпус, источник питания, между контактами и в цепях управления;
– дребезг контактов (неустойчивый контакт);
– контактная дуга, генерирование помех;
– разрыв обмотки;
– короткое замыкание обмотки;
– низкое или высокое сопротивление обмотки;
– перегрев обмотки.
Для каждого вида отказа анализируются последствия, намечаются методы устранения или компенсации отказов и составляется перечень необходимых проверок.
Например, для баков, емкостей, трубопроводов этот перечень может быть следующим:
– переменные параметры (расход, количество, температура, давление, насыщение и т. д.);
– системы (нагрева, охлаждения, электропитания, управления и т. д.);
– особые состояния (обслуживание, включение, выключение, замена содержимого и т. д.);
– изменение условий или состояния (слишком большие, слишком малые, гидроудар, осадок, несмешиваемость, вибрация, разрыв, утечка и т. д.).
Используемые при анализе формы документов подобны применяемым при выполнении предварительного анализа опасностей, но в значительной степени детализированы.
Анализ критичности предусматривает классификацию каждого элемента в соответствии со степенью его влияния на выполнение общей задачи системой. Устанавливаются категории критичности для различных видов отказов:
Метод не дает количественной оценки возможных последствий или ущерба, но позволяет ответить на следующие вопросы:
– какой из элементов должен быть подвергнут детальному анализу с целью исключения опасностей, приводящих к возникновению аварий;
– какой элемент требует особого внимания в процессе производства;
– каковы нормативы входного контроля;
– где следует вводить специальные процедуры, правила безопасности и другие защитные мероприятия;
– как наиболее эффективно затратить средства для предотвращения
аварий.
7.3.3. Анализ диаграммы всех возможных
последствий несрабатывания или аварии системы
(«дерево неисправностей»)
Данный метод анализа представляет собой совокупность приемов количественного и качественного характера для распознавания условий и факторов, которые могут привести к нежелательному событию («вершинному событию»). Учтенные условия и факторы выстраивают в графическую цепь. Начиная с вершины, выявляются причины или аварийные состояния следующих, более низких функциональных уровней системы. Анализируются многие факторы, включая взаимодействия людей и физические явления.
Внимание концентрируется на тех воздействиях неисправности или аварии, которые имеют непосредственное отношение к вершине событий. Метод особенно полезен для анализа систем с множеством областей контакта и взаимодействий.
Представление события в виде графической схемы приводит к тому, что можно без особого труда понять поведение системы и поведение включенных в него факторов. В связи с громоздкостью «деревьев» их обработка может потребовать применения компьютерных систем. Из-за громоздкости затрудняется также проверка «дерева неисправностей».
В первую очередь метод используется при оценке риска для оценки вероятностей или частот неисправностей и аварий. В п 7.4 дано более детальное изложение метода.
7.3.4. Анализ диаграммы возможных последствий события
(«дерево событий»)
«Дерево событий» (ДС) – алгоритм рассмотрения событий, исходящих от основного события (аварийной ситуации). ДС используется для определения и анализа последовательности (вариантов) развития аварии, включающей сложные взаимодействия между техническими системами обеспечения безопасности. Вероятность каждого сценария развития аварийной ситуации рассчитывается путем умножения вероятности основного события на вероятность конечного события. При его построении используется прямая логика. Все значения вероятности безотказной работы P очень малы. «Дерево» не дает численных решений.
Пример 7.1.
Допустим, путем выполнения предварительного анализа опасностей (ПАО) было выявлено, что критической частью реактора, т. е. подсистемой, с которой начинается риск, является система охлаждения реактора; таким образом, анализ начинается с просмотра последовательности возможных событий с момента разрушения трубопровода холодильной установки, называемого инициирующим событием, вероятность которого равна P(A)
(рис. 7.1), т. е. авария начинается с разрушения (поломки) трубопровода – событие A
.
Далее анализируются возможные варианты развития событий (B
, C
, D
и E
), которые могут последовать за разрушением трубопровода. На рис. 7.1 изображено «дерево исходных событий», отображающее все возможные альтернативы.
На первой ветви рассматривается состояние электрического питания. Если питание есть, следующей подвергается анализу аварийная система охлаждения активной зоны реактора (АСОР). Отказ АСОР приводит к расплавлению топлива и к различным, в зависимости от целостности конструкции, утечкам радиоактивных продуктов.
Для анализа с использованием двоичной системы, в которой элементы либо выполняют свои функции, либо отказывают, число потенциальных отказов равно 2N – 1, где N – число рассматриваемых элементов. На практике исходное «дерево» можно упростить с помощью инженерной логики и свести к более простому дереву, изображенному в нижней части рис. 7.1.
В первую очередь представляет интерес вопрос о наличии электрического питания. Вопрос заключается в том, какова вероятность P B отказа электропитания и какое действие этот отказ оказывает на другие системы защиты. Если нет электрического питания, фактически никакие действия, предусмотренные на случай аварии с использованием для охлаждения активной зоны реактора распылителей, не могут производиться. В результате упрощенное «дерево событий» не содержит выбора в случае отсутствия электрического питания, и может произойти большая утечка, вероятность которой равна P A (P B ).
В случае, если отказ в подаче электрической энергии зависит от поломки трубопровода системы охлаждения реактора, вероятность P B следует подсчитывать как условную вероятность для учета этой зависимости. Если электрическое питание имеется, следующие варианты при анализе зависят от состояния АСОР. Она может работать или не работать, и ее отказ с вероятностью P C 1 ведет к последовательности событий, изображенной на рис. 7.1.
Рис. 7.1. «Дерево событий»
Следует обратить внимание на то, что для рассматриваемой системы возможны различные варианты развития аварии. Если система удаления радиоактивных материалов работоспособна, радиоактивные утечки меньше, чем в случае ее отказа. Конечно, отказ в общем случае ведет к последовательности событий с меньшей вероятностью, чем в случае работоспособности.
Рис. 7.2. Гистограмма вероятностей для различных величин утечек
Рассмотрев все варианты «дерева», можно получить спектр возможных утечек и соответствующие вероятности для различных последовательностей развития аварии (рис. 7.2). Верхняя линия «дерева» является основным вариантом аварии реактора. При данной последовательности предполагается, что трубопровод разрушается, а все системы обеспечения безопасности сохраняют работоспособность.
Мощный инструмент анализа данных для повышения надежности
Уильям Гобл для InTech
Анализ видов и последствий отказов (от англ.: Failure Mode and Effects Analysis или FMEA) - это специальная техника оценки надежности и безопасности систем, разработанная в 60-х гг. прошлого столетия в США, в рамках программы создания ракеты «Минитмен». Целью ее разработки было обнаружение и устранение технических проблем в сложных системах.
Техника достаточно проста. Виды отказов каждого компонента той или иной системы перечисляются в специальной таблице и документируются - вместе с предполагаемыми последствиями. Метод систематический, эффективный и детальный, хотя иногда и считается затратным по времени, а также, склонным к повторяющимся действиям. Причина эффективности метода в том, что изучается каждый вид отказа каждого отдельного компонента. Ниже приведен пример таблицы, описанный в одном из исходных руководств по применению этого метода, а именно, в MIL-HNBK-1629.
В колонке №1 содержится название исследуемого компонента, в колонке №2 - идентификационный номер компонента (серийный номер или код). Вместе первые две колонки должны уникально идентифицировать исследуемый компонент. Колонка №3 описывает функцию компонента, а колонка №4 - возможные виды отказов. Для каждого вида отказа, как правило, используется одна строчка. Колонка №5 используется для записи причины отказа, в случае, когда это применимо. В колонке №6 описываются последствия каждого отказа. Остальные колонки могут отличаться в зависимости от того, какие версии FMEA применяются.
FMEA позволяет находить проблемы
Популярность метода FMEA росла на протяжении долгих лет, и он смог стать важной частью многих процессов разработки, особенно в автомобильной отрасли. Причиной этого стало то, что метод сумел продемонстрировать свою полезность и эффективность, несмотря на критику. Как бы то ни было, именно во время применения метода FMEA можно часто услышать крик вроде «О, нет», когда становится ясно, что последствия отказа того или иного компонента очень серьезны, и, главное, до этого они оставались незамеченными. Если проблема достаточно серьезна, записываются и корректирующие действия. Конструкция улучшается, для обнаружения, избегания или управления проблемой.
Применение в различных отраслях
Несколько вариантов техники FMEA используются в различных отраслях. В частности, FMEA используется для определения опасностей, которые необходимо учитывать во время проектирования нефтехимических предприятий. Эта техника отлично согласуется с другой хорошо известной техникой - Анализом опасностей и работоспособности (от англ.: Hazard and Operability Study или HAZOP). По сути, обе техники практически одинаковы, и являются вариациями списков компонентов системы в табличной форме. Основная разница между FMEA и HAZOP состоит в том, что HAZOP использует ключевые слова, чтобы помогать сотрудникам идентифицировать отклонения от нормы, в то время как FMEA основан на известных видах отказа оборудования.
Вариантом техники FMEA, используемой для анализа систем управления, является техника Анализа опасностей и работоспособности систем управления (англ.: Control Hazards and Operability Analysis или CHAZOP). В списке приведены известные виды отказов компонентов систем управления, таких как системы управления базовыми процессами, комбинации клапанов и приводов или различные преобразователи, а также записаны последствия этих отказов. Кроме того, приводятся описания корректирующих действий, в случае если отказ ведет к серьезным проблемам.
Пример использования FMEA
На этом рисунке схематически изображен упрощенный «реактор» с аварийной системой охлаждения. Система состоит из самотечного резервуара с водой, клапана управления, охлаждающего кожуха вокруг реактора, выключателя с датчиком температуры и источника питания. При нормальном режиме работы выключатель находится в активном (проводящем) положении, поскольку температура реактора находится ниже опасной зоны. Электрический ток проходит от источника через клапан и выключатель, и держит клапан в закрытом положении. Если температура внутри реактора становится слишком высокой, реагирующий на температуру выключатель размыкает цепь, и клапан управления открывается. Охлаждающая вода течет из резервуара, через клапан, затем через охлаждающий кожух и выходит через сток кожуха. Этот поток воды охлаждает реактор, понижая его температуру.
Вам нравится эта статья? Поставьте нам Like! Спасибо:)
Процедура FMEA требует создания таблицы, в которой перечислены все виды отказов для каждого из компонентов системы. Таблица «реактора» ниже служит примером использования техники FMEA, в результате которой идентифицированы критические компоненты, которые следует проверять на предмет необходимости в корректирующих действиях.
Создатель системы - несложного реактора в нашем случае - может рассмотреть возможность последовательной установки 2 выключателей, чувствительных к температуре. Можно использовать интеллектуальный преобразователь, соответствующий стандарту IEC 61508, и обладающей функцией автоматической диагностики и выходным сигналом. Сертифицированный преобразователь существенно упростит процедуру проверки, необходимую для обнаружения неисправностей. Наряду с одним стоком, можно установить второй, таким образом, засор одного из них не приведет к критическому отказу системы. Уровнемер в резервуаре может сообщить о недостаточном уровне воды. Возможно множество других изменений и усовершенствований в конструкции для предотвращения поломок.
Часть II
Эволюция метода FMEA
Метод FMEA был расширен в 70-х гг., и включил полуколичественные оценки (число от 1 до 10) серьезности, частоты происхождения и обнаружения отказов. К таблице добавили 5 колонок. Три колонки включили рейтинги, а четвертая - номер приоритета риска (от англ.: risk priority number или RPN), получаемый умножением трех чисел. Этот расширенный метод получил название «Анализ видов, последствий и критичности отказов» (от англ.: Failure Modes, Effects and Criticality Analysis или FMECA). Пример таблицы с результатами анализа FMECA по «простому реактору» показан ниже.
Техники FMEA продолжали эволюционировать. Некоторые из более поздних вариаций могут быть использованы не только для проектирования, но и для технологических процессов. Аналогично списку компонентов, создается список этапов процесса. Каждый шаг сопровождается описанием всех вариантов неправильного протекания процесса, что соответствует описанию возможных отказов того или иного компонента системы. Во всем остальном, эти вариации техники FMEA соответствуют друг другу. В литературе эти методы иногда называют «design FMEA», или DFMEA, и «process FMEA» или PFMEA. «Процессный» FMEA успешно продемонстрировал свою эффективность в обнаружении непредвиденных проблем.
Анализ отказов, их последствий и диагностики
Непрерывно развивающийся метод FMEA, кроме всего прочего, дал жизнь методу «Анализа отказов, их последствий и диагностики» (от англ.: Failure Modes Effects and Diagnostic Analysis или FMEDA). В конце 80-х гг. возникла необходимость моделировать автоматическую диагностику интеллектуальных устройств. Появилась новая архитектура на рынке контроллеров безопасности под названием «один из двух» с диагностическим выключателем (1oo2D), конкурировавшая с распространенной тогда тройной модульной архитектурой резервирования, называвшейся «два из трех» (2oo3). Поскольку безопасность и готовность новой архитектуры сильно зависели от реализации диагностики, ее количественная оценка стала важным процессом. В FMEDA это реализуется благодаря добавлению дополнительных колонок, показывающих частоту возникновения различных типов отказов и колонку с вероятностью обнаружения для каждой строки анализа.
Так же как и в случае с FMEA, в технике FMEDA перечисляются все компоненты и виды отказов, а также последствия этих отказов. В таблицу добавляются колонки, в которых перечисляются все варианты отказов системы, вероятность того, что диагностика позволит обнаружить конкретный отказ, а также, количественную оценку вероятности возникновения этого отказа. Когда анализ FMEDA завершается, высчитывается фактор «диагностического покрытия» на основе показателя частоты отказов, средневзвешенном относительно диагностического покрытия всех компонентов.
Показатели частоты отказов и распределения отказов необходимо иметь для каждого компонента, если есть необходимость провести анализ FMEDA. Поэтому требуется база данных компонентов, как видно из рисунка «Процесс FMEDA» (см. выше).
В базе данных компонентов должны быть учтены ключевые переменные, влияющие на уровень отказов компонентов. В число переменных включаются факторы окружающей среды. К счастью, существуют определенные стандарты, позволяющие характеризовать среду в процессных отраслях, благодаря чему можно создавать соответствующие профили. В таблице ниже показаны «Профили окружающей среды для процессных отраслей», взятые из второго издания Electrical and Mechanical Component Reliability Handbook, (www.exida.com).
Анализ данных по отказам полевого оборудования в FMEDA
Анализ конструкции может использоваться для создания теоретических баз данных отказов. Тем не менее, точную информацию можно получить, только если показатели частоты отказов компонентов, а также, виды отказов, основаны на данных, собранных на основе исследования реального полевого оборудования. Любая необъяснимая разница между частотами отказа компонентов, высчитанными на основе полевых данных, и на основе FMEDA, должна быть изучена. Иногда требует совершенствования процесс сбора полевых данных. Иногда может потребоваться модернизировать базу данных компонентов, дополнив ее новыми видами отказов и типами компонентов.
К счастью, некоторые сертификационные организации по функциональной безопасности изучают данные об отказах полевого оборудования при оценке большинства продуктов, благодаря чему, являются ценным источником данных о реальных отказах. В рамках некоторых проектов также собираются данные о полевых отказах с помощью конечных заказчиков. После более чем 10 млрд. часов (!) работы различного оборудования, давших огромный объем данных о видах и частоте отказов, собранный в рамках десятков исследований, сложно переоценить ценность базы компонентов FMEDA, особенно в аспекте функциональной безопасности. Итоговые данные FMEDA о продукте, как правило, используются для проверочных вычислений уровня целостности безопасности.
Техника FMEDA может использоваться для того, чтобы оценить эффективность проверочных испытаний различных функций безопасности, позволяющих определить, соответствует ли тот или иной дизайн определенному уровню целостности безопасности. Любое конкретное проверочное испытание позволяет определить те или иные потенциально опасные отказы - но не все. FMEDA позволяет определить, какие отказы определяются или не определяются проверочными испытаниями. Это реализуется добавлением другой колонки, где оценивается вероятность обнаружения каждого вида отказа компонента в ходе проверочного тестирования. При использовании этого детализированного, систематического метода становится очевидным, что некоторые потенциально опасные виды отказов не обнаруживаются во время проверочного тестирования.
Оборотная сторона медали
Основная проблема при использовании метода FMEA (или любой его вариации) это большие затраты времени. Многие аналитики жалуются на скучный и долгий процесс. Действительно, нужен строгий и сфокусированный куратор, для того, чтобы процесс анализа двигался вперед. Всегда необходимо помнить, что решение проблемы не является частью анализа. Проблемы решаются после того, как анализ будет закончен. Если следовать этим правилам, результатом станут достаточно быстрые улучшения в безопасности и надежности.
Доктор Уильям Гоббл (William Goble) является главным инженером и директором сертификационной группы по функциональной безопасности в exida, аккредитованном сертификационном органе. Более 40 лет опыта в электронике, разработке ПО и систем безопасности. Ph.D. в области количественного анализа надежности/безопасности систем автоматизации.
Открытие бизнеса
