Анализ причин и последствий. Анализ форм и последствий отказов (FMEA)
(Failure Mode and Effect Analysis - FMEA-анализ) представляет собой технологию анализа возможности возникновения дефектов и их влияния на потребителя. FMEA-анализ проводится для разрабатываемых продуктов и процессов с целью снижения риска потребителя от потенциальных дефектов.
Объектами FMEA-анализа могут быть:
Конструкция изделия;
Процесс производства продукции;
Бизнес-процессы (документооборот, финансовые процессы и т.д.);
Процесс эксплуатации изделия.
Этапы FMEA-анализа.
Этап 1 - построение моделей объекта анализа.
Различают компонентную, структурную, функциональную и потоковую модели объекта анализа
Этап 2 - исследование моделей.
В ходе исследования моделей определяются:
Потенциальные дефекты, для каждого из элементов компонентной модели объекта;
Потенциальные причины дефектов.
Этап 3 - экспертный анализ моделей.
На основании мнений экспертов определяются следующие параметры:
1) тяжесть последствий для потребителя
2) частоту возникновения дефекта
3) вероятность необнаружения дефекта
4) риск потребителя
Этап 4 - выработка корректирующих мероприятий
Этап 5 - реализация мероприятий.
Этап 6 - повторный анализ.
74. Анализ последствий и причин отказов
Анализ последствий и причин отказов (Failure Mode and Effect Analysis - FMEA-анализ) представляет собой технологию анализа возможности возникновения дефектов и их влияния на потребителя. FMEA-анализ проводится для разрабатываемых продуктов и процессов с целью снижения риска потребителя от потенциальных дефектов.
FMEA-анализ не предусматривает изучение экономических показателей, в том числе затрат, связанных с низким, качеством; его задача - выявить те дефекты, которые обусловливают наибольший риск для потребителя, определить их потенциальные причины и выработать корректирующие воздействия до того, как эти дефекты проявятся, и таким образом предупредить затраты на их исправление.
Объектами FMEA-анализа могут быть:
конструкция изделия;
процесс производства продукции;
бизнес-процессы (документооборот, финансовые процессы и т.д.);
процесс эксплуатации изделия.
FMEA -анализ конструкции может проводиться как для разрабатываемой конструкции, так и для существующей. В рабочую группу по проведению анализа обычно входят представители отделов разработки, планирования производства, сбыта, обеспечения качества, представители опытного производства. Целью анализа является выявление потенциальных дефектов изделия, вызывающих наибольший риск потребителя, и внесение изменений в конструкцию изделия, которые позволят снизить такой риск.
FMEA -анализ процесса производства обычно осуществляется ответственными службами планирования производства, обеспечения качества или производства с участием соответствующих специализированных отделов изготовителя, а при необходимости - потребителя. FMEA-анализ процесса производства начинается на стадии технической подготовки производства и заканчивается до начала основных (монтажно-сборочных и т.п.) работ. Его целью является обеспечение выполнения всех требований к качеству процесса производства и сборки путем внесения изменений в план процесса для технологических процессов с повышенным риском.
FMEA -анализ бизнес-процессов обычно проводится в подразделениях, выполняющих данный бизнес-процесс. Помимо представителей этих подразделений в проведении анализа обычно принимают участие представители службы обеспечения качества, подразделений, являющихся внутренними потребителями результатов бизнес-процесса, и подразделений, участвующих в выполнении этапов бизнес-процесса. Целью этого анализа является обеспечение качества выполнения запланированного бизнес-процесса. Выявленные в ходе анализа потенциальные причины дефектов и несоответствий позволяют определить причину неустойчивости системы. Выработанные корректирующие мероприятия обязательно должны предусматривать использование статистических методов, в первую очередь для тех операций, где выявлен повышенный риск.
FMEA
FMEA -анализ процесса эксплуатации обычно проводится тем же составом, что и FMEA-анализ конструкции. Целью проведения этого анализа является формирование требований к конструкции изделия, направленных на безопасность и удовлетворение потребителя, т.е. подготовка исходных данных как для процесса разработки конструкции, так и для последующего FMEA-анализа конструкции.
При экспоненциальном законе распределения времени восстановления и времени между отказами для расчета показателей надежности систем с восстановлением используют математический аппарат марковских случайных процессов. В этом случае функционирование систем описывается процессом смены состояний. Система изображается в виде графа, называемого графом переходов из состояния в состояние.
Случайный процесс в какой либо физической системе S , называется марковским , если он обладает следующим свойством: для любого момента t 0 вероятность состояния системы в будущем (t > t 0 ) зависит только от состояния в настоящем
(t = t 0 ) и не зависит от того, когда и каким образом система пришла в это состояние (иначе: при фиксированном настоящем будущее не зависит от предыстории процесса - прошлого).
|
t < t 0 |
t > t 0 |
Для марковского процесса «будущее» зависит от «прошлого» только через «настоящее», т. е. будущее протекание процесса зависит только от тех прошедших событий, которые повлияли на состояние процесса в настоящий момент.
Марковский процесс, как процесс без последействия, не означает полной независимости от прошлого, поскольку оно проявляется в настоящем.
При использовании метода, в общем случае, для системы S , необходимо иметь математическую модель в виде множества состояний системы S 1 , S 2 , … , S n , в которых она может находиться при отказах и восстановлениях элементов.
При составлении модели введены допущения:
Отказавшие элементы системы (или сам рассматриваемый объект) немедленно восстанавливаются (начало восстановления совпадает с моментом отказа);
Отсутствуют ограничения на число восстановлений;
Если все потоки событий, переводящих систему (объект) из состояния в состояние, являются пуассоновскими (простейшими), то случайный процесс переходов будет марковским процессом с непрерывным временем и дискретными состояниями S 1 , S 2 , … , S n .
Основные правила составления модели:
1. Математическую модель изображают в виде графа состояний, в которой
а) кружки (вершины графа S 1 , S 2 , … , S n ) – возможные состояния системы S , возникающие при отказах элементов;
б) стрелки – возможные направления переходов из одного состояния S i в другое S j .
Над/под стрелками указываются интенсивности переходов.
Примеры графа:
S0 – работоспособное состояние;
S1 – состояние отказа.
«Петлей» обозначаются задержки в том или ином состоянии S0 и S1 соответствующие:
Исправное состояние продолжается;
Состояние отказа продолжается.
Граф состояний отражает конечное (дискретное) число возможных состояний системы S 1 , S 2 , … , S n . Каждая из вершин графа соответствует одному из состояний.
2. Для описания случайного процесса перехода состояний (отказ/ восстановление) применяют вероятности состояний
P1(t), P2(t), … , P i (t), … , Pn(t) ,
где P i (t) – вероятность нахождения системы в момент t в i -м состоянии.
Очевидно, что для любого t
(нормировочное условие, поскольку иных состояний, кроме S 1 , S 2 , … , S n нет).
3. По графу состояний составляется система обыкновенных дифференциальных уравнений первого порядка (уравнений Колмогорова-Чепмена).
Рассмотрим элемент установки или саму установку без резервирования, которые могут находится в двух состояниях: S 0 -безотказное (работоспособное), S 1 - состояние отказа (восстановления).
Определим соответствующие вероятности состояний элемента Р 0 (t ): P 1 (t ) в произвольный момент времени t при различных начальных условиях. Эту задачу решим при условии, как ужу отмечалось, что поток отказов простейший с λ = const и восстановлений μ = const , закон распределения времени между отказами и времени восстановления – экспоненциальный.
Для любого момента времени сумма вероятностей P 0 (t ) + P 1 (t ) = 1 – вероятность достоверного события. Зафиксируем момент времени t и найдем вероятность P (t + ∆ t ) того, что в момент времени t + ∆ t элемент находится в работе. Это событие возможно при выполнении двух условий.
В момент времени t элемент находился в состоянии S 0 и за время t не произошло отказа. Вероятность работы элемента определяется по правилу умножения вероятностей независимых событий. Вероятность того, что в момент t элемент был и состоянии S 0 , равна P 0 (t ). Вероятность того, что за время t он не отказал, равна е -λ∆ t . С точностью до величины высшего порядка малости можно записать
Поэтому вероятность этой гипотезы равна произведению P 0 (t ) (1- λ ∆ t ).
2. В момент времени t элемент находится в состоянииS 1 (в состоянии восстановления), за время ∆ t восстановление закончилось и элемент перешел в состояниеS 0 . Эту вероятность также определим по правилу умножения вероятностей независимых событий. Вероятность того, что в момент времени t элемент находился в состоянииS 1 , равна Р 1 (t ). Вероятность того, что восстановление закончилось, определим через вероятность противоположного события, т.е.
1 – е -μ∆ t = μ· ∆ t
Следовательно, вероятность второй гипотезы равна P 1 (t ) ·μ· ∆ t /
Вероятность рабочего состояния системы в момент времени (t + ∆ t ) определяется вероятностью суммы независимых несовместимых событий при выполнении обеих гипотиз:
P 0 (t +∆ t )= P 0 (t ) (1- λ ∆ t )+ P 1 (t ) ·μ ∆ t
Разделив полученное выражение на ∆ t и взяв предел при ∆ t → 0 , получим уравнение для первого состояния
dP 0 (t )/ dt =- λP 0 (t )+ μP 1 (t )
Проводя аналогичные рассуждения для второго состояния элемента – состояния отказа (восстановления), можно получить второе уравнение состояния
dP 1 (t )/ dt =- μP 1 (t )+λ P 0 (t )
Таким образом, для описания вероятностей состояния элемента получена система двух дифференциальных уравнений, граф состояний которого показан на рис.2
dP 0 (t )/ dt = - λ P 0 (t )+ μP 1 (t )
dP 1 (t )/ dt = λ P 0 (t ) - μP 1 (t )
Если имеется направленный граф состояний, то систему дифференциальных уравнений для вероятностей состояний Р К (к = 0, 1, 2,…) можно сразу написать, пользуясь следующим правилом: в левой части каждого уравнения стоит производная dP К (t )/ dt , а в правой – столько составляющих, сколько ребер связано непосредственно с данным состоянием; если ребро оканчивается в данном состоянии, то составляющая имеет знак плюс, если начинается из данного состояния, то составляющая имеет знак минус. Каждая составляющая равна произведению интенсивности потока событий переводящего элемент или систему по данному ребру в другое состояние, на вероятность того состояния, из которого начинается ребро.
Систему дифференциальных уравнений можно использовать для определения ВБР электрических систем, функции и коэффициента готовности, вероятности нахождения в ремонте (восстановлении) нескольких элементов системы, среднего времени пребывания системы в любом состоянии, интенсивности отказов системы с учетом начальных условий (состояний элементов).
При начальных условиях Р 0 (0)=1; Р 1 (0)=0 и (Р 0 +Р 1 =1), решение системы уравнений, описывающих состояние одного элемента имеет вид
P 0 (t ) = μ / (λ+ μ )+ λ/(λ+ μ )* e ^ -(λ+ μ ) t
Вероятность состояния отказа P 1 (t )=1- P 0 (t )= λ/(λ+ μ )- λ/ (λ+ μ )* e ^ -(λ+ μ ) t
Если в начальный момент времени элемент находился в состоянии отказа (восстановления), т.е. Р 0 (0)=0, Р 1 (0)=1 , то
P 0 (t) = μ/ (λ +μ)+ μ/(λ +μ)*e^ -(λ +μ)t
P 1 (t) = λ /(λ +μ)- μ/ (λ +μ)*e^ -(λ +μ)t
Обычно в расчетах показателей надежности для достаточно длительных интервалов времени (t ≥ (7-8) t в ) без большой погрешности вероятности состояний можно определять по установившимся средним вероятностям -
Р 0 (∞) = К Г = Р 0 и
Р 1 (∞) = К П =Р 1 .
Для стационарного состояния (t →∞) P i (t) = P i = const составляется система алгебраических уравнений с нулевыми левыми частями, поскольку в этом случае dP i (t)/dt = 0. Тогда система алгебраических уравнений имеет вид:
|
|
Так как Кг есть вероятность того, что система окажется работоспособной в момент t при t , то из полученной системы уравнений определяетсяP 0 = Кг .,т.е вероятность работы элемента равна стационарному коэффициенту готовности, а вероятность отказа – коэффициенту вынужденного простоя:
lim P 0 (t ) = Кг = μ /(λ+ μ ) = T /(T + t в )
lim P 1 (t ) = Кп = λ /(λ+ μ ) = t в /(T + t в )
т.е., получился тот же результат, что и при анализе предельных состояний с помощью дифференциальных уравнений.
Метод дифференциальных уравнений может быть использован для расчета показателей надежности и невосстанавливаемых объектов (систем).
В этом случае неработоспособные состояния системы являются «поглощающими» и интенсивности μ выхода из этих состояний исключаются.
Для невосстанавливаемого объекта граф состояний имеет вид:
Система дифференциальных уравнений:
При начальных условиях: P 0 (0) = 1; P 1 (0) = 0 , используя преобразование Лапласа вероятности нахождения в работоспособном состоянии, т. е. ВБР к наработке t составит .
Испытания технологических процессов на завершенность.
Испытания конструкции на завершенность.
Эти испытания проводятся на первых опытных образцах изделия. Их цель - показать, что конструкция изделия удовлетворяет требованиям по надежности.
При этом не имеет значения, каким способом был построен опытный образец и какие усилия пошли на его отладку. Если требуемый уровень надежности изделия не достигнут, конструкция должна быть улучшена. Испытания продолжаются до тех пор, пока изделие не будет удовлетворять всем заданным требованиям.
На протяжении этих испытаний регистрируются отказы в начальный период эксплуатации изделия. С помощью этих данных достигается полная согласованность между конструкцией изделия и процессами, необходимыми для его изготовления, и определяется объем испытаний, необходимых для достижения требуемой надежности при доставке [ изделия потребителям.
Испытания проводятся также на первых образцах изделий. Эти I образцы работают в течение заданного периода (периода приработки). Характеристики их работы тщательно контролируются, измеряется убывающая интенсивность отказов. После периода приработки соби раются опытные данные, позволяющие измерить и проверить показа тели эксплуатационной надежности изделия и сравнить их с резуль| татами, полученными при испытании изделия на завершенность.I Наблюдения, проведенные во время этих испытаний, позволяют задать величину периода приработки изделия.
Испытания на долговечность. На протяжении этих испытаний регистрируются износовые отказы элементов изделия и строится их распределение. Полученные данные используются для устранения. причин тех отказов, возникновение которых приводит к неприемле мому снижению ожидаемого срока службы изделия. Испытания на долговечность ведутся на ряде образцов данного изделия. При этих испытаниях надо определить границу перехода от постоянной интен сивности отказов к возрастающей и построить распределение для каждого наблюдаемого вида отказов.
Одним из эффективных средств повышения качества технических объектов является анализ видов и последствий потенциальных отказов (Potential Failure Mode and Effects Analysis - FMEA). Анализ доводится на этапе проектирования конструкции или технологичecкого процесса (соответствующие этапы жизненного цикла изделия - разработка и подготовка к производству), а также при доработке и улучшении изделий, уже запущенных в производство. Целесообразно разделить этот анализ на два этапа: отдельный анализ нa этапе отработки конструкции и на этапе отработки технологического процесса.
Стандарт (ГОСТ Р 51814.2-2001. Системы качества в автомобилестроении. Метод анализа видов и последствий потенциальных дефектов) предусматривает и возможность использования метода FMEA при разработке и анализе других процессов, таких, как процессы продаж, обслуживания, маркетинга.
Основные цели анализа видов и последствий потенциальных отказов:
Выявление критичных отказов, связанных с опасностью для жизни людей и окружающей среды и разработка мероприятий
по снижению вероятности их возникновения и тяжести возмож ных последствий;
Выявление и устранение причин любых возможных отказов изделия для повышения его надежности.
При проведении анализа решаются следующие задачи:
Выявление возможных отказов объекта (изделия или процесса) и его элементов (при этом учитывается опыт изготовления и эксплуатации аналогичных объектов),
Изучение причин отказов, количественная оценка частоты их возникновения,
Классификация отказов по тяжести последствий и количественная оценка значимости этих последствий,
Оценка достаточности средств контроля и диагностики оценка возможности обнаружения отказа, возможность предотвращения отказа при практическом использовании этих средств,
Разработка предложений по изменению конструкции и технологии изготовления с целью снижения вероятности отказов и их критичности,
Разработка правил поведения персонала при возникновении критических отказов,
анализ возможных ошибок персонала.
Для проведения анализа формируется группа специалистов, имеющих практический опыт и высокий профессиональный уровень в области конструирования аналогичных объектов, знающих процессы производства компонентов и сборки объекта, " технологию контроля и диагностики состояния объекта, методы " обслуживания и ремонта. Используется метод мозгового штурма. При этом на этапе качественного анализа разрабатывается структурная схема объекта: объект рассматривается как система, состоящая из подсистем различного уровня, которые в свою " очередь состоят из отдельных элементов.
Анализируются возможные виды отказов и их последствия снизу вверх, т.е. от элементов к подсистемам, и затем к объекту в целом. При анализе учитывается, что каждый отказ может иметь несколько причин и несколько различных последствий.
На этапе количественного анализа экспертно, в баллах, оценивается критичность отказа с учетом вероятности его возникновения, вероятности его выявления и оценки тяжести возможных последствий. Риск отказа (приоритетное число риска) может быть найден по формуле: I
где значение О определяется в баллах в зависимости от вероятности отказа,- от вероятности выявления (обнаружения) отказа", зависит от тяжести последствий отказа.
Найденное значение.для каждого элемента по каждой причине и по каждому возможному последствию сравнивается с критическим. Критическое значение устанавливается заранее и выбирается в пределах от 100 до 125. Снижение критического, значения соответствует разработке более надежных изделий и процессов.
Для каждого отказа, у которого значение R превышает критическое, разрабатываются меры по его снижению путем доработки конструкции и технологии изготовления. Для нового варианта объекта критичность объекта R рассчитывается заново. При необходимости процедура доработки повторяется вновь.
Мощный инструмент анализа данных для повышения надежности
Уильям Гобл для InTech
Анализ видов и последствий отказов (от англ.: Failure Mode and Effects Analysis или FMEA) - это специальная техника оценки надежности и безопасности систем, разработанная в 60-х гг. прошлого столетия в США, в рамках программы создания ракеты «Минитмен». Целью ее разработки было обнаружение и устранение технических проблем в сложных системах.
Техника достаточно проста. Виды отказов каждого компонента той или иной системы перечисляются в специальной таблице и документируются - вместе с предполагаемыми последствиями. Метод систематический, эффективный и детальный, хотя иногда и считается затратным по времени, а также, склонным к повторяющимся действиям. Причина эффективности метода в том, что изучается каждый вид отказа каждого отдельного компонента. Ниже приведен пример таблицы, описанный в одном из исходных руководств по применению этого метода, а именно, в MIL-HNBK-1629.
В колонке №1 содержится название исследуемого компонента, в колонке №2 - идентификационный номер компонента (серийный номер или код). Вместе первые две колонки должны уникально идентифицировать исследуемый компонент. Колонка №3 описывает функцию компонента, а колонка №4 - возможные виды отказов. Для каждого вида отказа, как правило, используется одна строчка. Колонка №5 используется для записи причины отказа, в случае, когда это применимо. В колонке №6 описываются последствия каждого отказа. Остальные колонки могут отличаться в зависимости от того, какие версии FMEA применяются.
FMEA позволяет находить проблемы
Популярность метода FMEA росла на протяжении долгих лет, и он смог стать важной частью многих процессов разработки, особенно в автомобильной отрасли. Причиной этого стало то, что метод сумел продемонстрировать свою полезность и эффективность, несмотря на критику. Как бы то ни было, именно во время применения метода FMEA можно часто услышать крик вроде «О, нет», когда становится ясно, что последствия отказа того или иного компонента очень серьезны, и, главное, до этого они оставались незамеченными. Если проблема достаточно серьезна, записываются и корректирующие действия. Конструкция улучшается, для обнаружения, избегания или управления проблемой.
Применение в различных отраслях
Несколько вариантов техники FMEA используются в различных отраслях. В частности, FMEA используется для определения опасностей, которые необходимо учитывать во время проектирования нефтехимических предприятий. Эта техника отлично согласуется с другой хорошо известной техникой - Анализом опасностей и работоспособности (от англ.: Hazard and Operability Study или HAZOP). По сути, обе техники практически одинаковы, и являются вариациями списков компонентов системы в табличной форме. Основная разница между FMEA и HAZOP состоит в том, что HAZOP использует ключевые слова, чтобы помогать сотрудникам идентифицировать отклонения от нормы, в то время как FMEA основан на известных видах отказа оборудования.
Вариантом техники FMEA, используемой для анализа систем управления, является техника Анализа опасностей и работоспособности систем управления (англ.: Control Hazards and Operability Analysis или CHAZOP). В списке приведены известные виды отказов компонентов систем управления, таких как системы управления базовыми процессами, комбинации клапанов и приводов или различные преобразователи, а также записаны последствия этих отказов. Кроме того, приводятся описания корректирующих действий, в случае если отказ ведет к серьезным проблемам.
Пример использования FMEA
На этом рисунке схематически изображен упрощенный «реактор» с аварийной системой охлаждения. Система состоит из самотечного резервуара с водой, клапана управления, охлаждающего кожуха вокруг реактора, выключателя с датчиком температуры и источника питания. При нормальном режиме работы выключатель находится в активном (проводящем) положении, поскольку температура реактора находится ниже опасной зоны. Электрический ток проходит от источника через клапан и выключатель, и держит клапан в закрытом положении. Если температура внутри реактора становится слишком высокой, реагирующий на температуру выключатель размыкает цепь, и клапан управления открывается. Охлаждающая вода течет из резервуара, через клапан, затем через охлаждающий кожух и выходит через сток кожуха. Этот поток воды охлаждает реактор, понижая его температуру.
Вам нравится эта статья? Поставьте нам Like! Спасибо:)
Процедура FMEA требует создания таблицы, в которой перечислены все виды отказов для каждого из компонентов системы. Таблица «реактора» ниже служит примером использования техники FMEA, в результате которой идентифицированы критические компоненты, которые следует проверять на предмет необходимости в корректирующих действиях.
Создатель системы - несложного реактора в нашем случае - может рассмотреть возможность последовательной установки 2 выключателей, чувствительных к температуре. Можно использовать интеллектуальный преобразователь, соответствующий стандарту IEC 61508, и обладающей функцией автоматической диагностики и выходным сигналом. Сертифицированный преобразователь существенно упростит процедуру проверки, необходимую для обнаружения неисправностей. Наряду с одним стоком, можно установить второй, таким образом, засор одного из них не приведет к критическому отказу системы. Уровнемер в резервуаре может сообщить о недостаточном уровне воды. Возможно множество других изменений и усовершенствований в конструкции для предотвращения поломок.
Часть II
Эволюция метода FMEA
Метод FMEA был расширен в 70-х гг., и включил полуколичественные оценки (число от 1 до 10) серьезности, частоты происхождения и обнаружения отказов. К таблице добавили 5 колонок. Три колонки включили рейтинги, а четвертая - номер приоритета риска (от англ.: risk priority number или RPN), получаемый умножением трех чисел. Этот расширенный метод получил название «Анализ видов, последствий и критичности отказов» (от англ.: Failure Modes, Effects and Criticality Analysis или FMECA). Пример таблицы с результатами анализа FMECA по «простому реактору» показан ниже.
Техники FMEA продолжали эволюционировать. Некоторые из более поздних вариаций могут быть использованы не только для проектирования, но и для технологических процессов. Аналогично списку компонентов, создается список этапов процесса. Каждый шаг сопровождается описанием всех вариантов неправильного протекания процесса, что соответствует описанию возможных отказов того или иного компонента системы. Во всем остальном, эти вариации техники FMEA соответствуют друг другу. В литературе эти методы иногда называют «design FMEA», или DFMEA, и «process FMEA» или PFMEA. «Процессный» FMEA успешно продемонстрировал свою эффективность в обнаружении непредвиденных проблем.
Анализ отказов, их последствий и диагностики
Непрерывно развивающийся метод FMEA, кроме всего прочего, дал жизнь методу «Анализа отказов, их последствий и диагностики» (от англ.: Failure Modes Effects and Diagnostic Analysis или FMEDA). В конце 80-х гг. возникла необходимость моделировать автоматическую диагностику интеллектуальных устройств. Появилась новая архитектура на рынке контроллеров безопасности под названием «один из двух» с диагностическим выключателем (1oo2D), конкурировавшая с распространенной тогда тройной модульной архитектурой резервирования, называвшейся «два из трех» (2oo3). Поскольку безопасность и готовность новой архитектуры сильно зависели от реализации диагностики, ее количественная оценка стала важным процессом. В FMEDA это реализуется благодаря добавлению дополнительных колонок, показывающих частоту возникновения различных типов отказов и колонку с вероятностью обнаружения для каждой строки анализа.
Так же как и в случае с FMEA, в технике FMEDA перечисляются все компоненты и виды отказов, а также последствия этих отказов. В таблицу добавляются колонки, в которых перечисляются все варианты отказов системы, вероятность того, что диагностика позволит обнаружить конкретный отказ, а также, количественную оценку вероятности возникновения этого отказа. Когда анализ FMEDA завершается, высчитывается фактор «диагностического покрытия» на основе показателя частоты отказов, средневзвешенном относительно диагностического покрытия всех компонентов.
Показатели частоты отказов и распределения отказов необходимо иметь для каждого компонента, если есть необходимость провести анализ FMEDA. Поэтому требуется база данных компонентов, как видно из рисунка «Процесс FMEDA» (см. выше).
В базе данных компонентов должны быть учтены ключевые переменные, влияющие на уровень отказов компонентов. В число переменных включаются факторы окружающей среды. К счастью, существуют определенные стандарты, позволяющие характеризовать среду в процессных отраслях, благодаря чему можно создавать соответствующие профили. В таблице ниже показаны «Профили окружающей среды для процессных отраслей», взятые из второго издания Electrical and Mechanical Component Reliability Handbook, (www.exida.com).
Анализ данных по отказам полевого оборудования в FMEDA
Анализ конструкции может использоваться для создания теоретических баз данных отказов. Тем не менее, точную информацию можно получить, только если показатели частоты отказов компонентов, а также, виды отказов, основаны на данных, собранных на основе исследования реального полевого оборудования. Любая необъяснимая разница между частотами отказа компонентов, высчитанными на основе полевых данных, и на основе FMEDA, должна быть изучена. Иногда требует совершенствования процесс сбора полевых данных. Иногда может потребоваться модернизировать базу данных компонентов, дополнив ее новыми видами отказов и типами компонентов.
К счастью, некоторые сертификационные организации по функциональной безопасности изучают данные об отказах полевого оборудования при оценке большинства продуктов, благодаря чему, являются ценным источником данных о реальных отказах. В рамках некоторых проектов также собираются данные о полевых отказах с помощью конечных заказчиков. После более чем 10 млрд. часов (!) работы различного оборудования, давших огромный объем данных о видах и частоте отказов, собранный в рамках десятков исследований, сложно переоценить ценность базы компонентов FMEDA, особенно в аспекте функциональной безопасности. Итоговые данные FMEDA о продукте, как правило, используются для проверочных вычислений уровня целостности безопасности.
Техника FMEDA может использоваться для того, чтобы оценить эффективность проверочных испытаний различных функций безопасности, позволяющих определить, соответствует ли тот или иной дизайн определенному уровню целостности безопасности. Любое конкретное проверочное испытание позволяет определить те или иные потенциально опасные отказы - но не все. FMEDA позволяет определить, какие отказы определяются или не определяются проверочными испытаниями. Это реализуется добавлением другой колонки, где оценивается вероятность обнаружения каждого вида отказа компонента в ходе проверочного тестирования. При использовании этого детализированного, систематического метода становится очевидным, что некоторые потенциально опасные виды отказов не обнаруживаются во время проверочного тестирования.
Оборотная сторона медали
Основная проблема при использовании метода FMEA (или любой его вариации) это большие затраты времени. Многие аналитики жалуются на скучный и долгий процесс. Действительно, нужен строгий и сфокусированный куратор, для того, чтобы процесс анализа двигался вперед. Всегда необходимо помнить, что решение проблемы не является частью анализа. Проблемы решаются после того, как анализ будет закончен. Если следовать этим правилам, результатом станут достаточно быстрые улучшения в безопасности и надежности.
Доктор Уильям Гоббл (William Goble) является главным инженером и директором сертификационной группы по функциональной безопасности в exida, аккредитованном сертификационном органе. Более 40 лет опыта в электронике, разработке ПО и систем безопасности. Ph.D. в области количественного анализа надежности/безопасности систем автоматизации.
Лекция 4. Общепринятые методы анализа риска(продолжение).
Анализ сценариев
Наименование метода «анализ сценариев» дано процессу разработки описательных моделей развития событий. Метод может быть использован для идентификации риска путем рассмотрения возможных событий в будущем и исследования их значимости и последствий. Наборы сценариев, отражающих, например, «лучший случай», «худший случай» и «ожидаемый случай», могут быть использованы для анализа возможных последствий и их вероятности для каждого сценария.
Возможности метода анализа сценариев можно проиллюстрировать, рассматривая основные изменения за прошлые 50 лет в технологиях, предпочтениях потребителей, социальных отношениях и т. д. В процессе анализа сценариев трудно прогнозировать вероятность таких изменений в будущем, однако можно анализировать последствия, помочь организациям использовать преимущества и обеспечить устойчивость к прогнозируемым изменениям.
Анализ сценариев может быть полезен в принятии решений и планировании будущих стратегий, а также при рассмотрении существующих видов деятельности. Данный метод может быть использован для всех элементов оценки риска. На этапах идентификации и анализа риска наборы сценариев, отражающих, например, лучший, худший и наиболее вероятный случай, могут быть использованы для установления того, что может произойти в конкретных обстоятельствах, а также для анализа потенциальных последствий и их вероятности для каждого сценария.
Метод анализа сценариев может быть использован для прогнозирования возможных угроз и их развития во времени и может быть применен для всех типов риска в краткосрочной и долгосрочной перспективе.
В краткосрочной перспективе при наличии достоверных данных вероятные сценарии могут быть экстраполированы на основе существующих данных. В долгосрочной перспективе с учетом низкой достоверности данных анализ сценариев позволяет определить общий характер развития событий.
Анализ сценариев полезен в ситуации, когда имеются значительные различия между положительными и отрицательными результатами, в том числе во времени и для различных групп или организаций.
Структура метода анализа сценариев может быть формализованной или произвольной.
После формирования группы, установления каналов обмена информацией, определения исследуемых проблем и области применения метода необходимо идентифицировать характер возможных изменений.
Следует также исследовать основные тенденции и оценить вероятное время изменений на основе экспертногопрогноза.
Исследуемые изменения могут включать в себя:
Внешние изменения (такие как изменения технологий);
Решения, которые необходимо принять в ближайшем будущем и которые могут привести к различным результатам;
Потребности причастных сторон и возможные изменения;
Изменения в макросреде (обязательных требований, демографии и т. д.), некоторые из которых неизбежны, другие возможны.
Иногда изменения могут произойти вследствие другого опасного события. Например, изменение климата приводит к изменениям потребительского спроса на продукты питания, что влияет на то, какие продукты питания выгодно экспортировать, а какие - выращивать в своем регионе.
Затем следует составить перечень локальных факторов и макрофакторов или тенденций и ранжировать сначала по значимости, затем по неопределенности. Особое внимание следует уделять факторам, которые являются наиболее значимыми и более неопределенными.
Ключевые факторы или тенденции наносят на карту напротив друг друга, чтобы показать и выявить области разработки сценариев.
Обычно предлагают набор сценариев, каждый из которых соответствует вероятному изменению параметров.
Затем для каждого сценария составляют описание перехода от исходной ситуации к рассматриваемому сценарию. Описание может включать вероятные детали, которые могут быть очень полезны для сценария.
Далее сценарии могут быть использованы для исследования или оценки исходной проблемы. При проведении исследований необходимо учитывать все существенные, но прогнозируемые факторы (например, используют шаблоны). Затем следует исследовать выполнение политики или деятельности при реализации этого сценария и оценить результаты предварительного исследования сценария с использованием вопросов «что, если», основанных на предположениях моделей.
После проведения оценки вопросов или предположений относительно каждого сценария может стать очевидным, что именно необходимо изменить и как это сделать наиболее целесообразным и безопасным образом. Могут быть также определены основные индикаторы, указывающие на появление возможных изменений.
Мониторинг основных индикаторов и предпринятые ответные меры позволяют обеспечить возможность внесения изменений в запланированные стратегии.
Так как сценарии охватывают только отдельные части возможного развития будущих событий, важно удостовериться, что учтены вероятности появления конкретных сценариев, т. е. определить структуру риска. Например, если используют сценарии лучшего случая, худшего случая и наиболее вероятного случая, необходимо предпринять несколько попыток для их квалификации и оценить вероятность появления каждого сценария.
Анализ первопричины (RCA)
Анализ потерь, составляющих основную долю ущерба, направленный на предотвращение их повторного возникновения, обычно называют анализом первопричины (RCA), анализом первопричины отказа (RCFA) или анализом потерь. Метод RCA используют для исследования потерь вследствие различных видов отказов, в то время как анализ потерь главным образом применяют для исследования финансовых или экономических потерь от внешних воздействующих факторов или катастроф. Метод RCA направлен на выявление первичных причин отказа без рассмотрения их внешних проявлений. Очевидно, что корректирующие действия не всегда эффективны и зачастую требуют их постоянного улучшения. Метод RCA обычно применяют для оценки основной составляющей потерь, однако его можно применять для анализа более общих потерь с целью выявления возможностей постоянного улучшения.
Метод RCA имеет много направлений применения:
В области безопасности метод RCA используют для исследования несчастных случаев в области охраны труда и производственной безопасности;
В технологических системах для анализа надежности и технического обслуживания используют анализ отказов;
RCA производства применяют для контроля качества производственных процессов;
RCA процессов применяют для исследования бизнес-процессов;
RCA систем, представляющий собой комбинацию перечисленных видов RCA, применяют при анализе сложных систем в системах управления изменениями менеджмента риска и в системном анализе.
После принятия решения о применении метода RCA формируют группу экспертов для проведения анализа и разработки рекомендаций. Специализация экспертов главным образом зависит от целей анализа и особенностей отказа.
Методы проведения анализа могут существенно различаться, однако основные этапы метода RCA аналогичны и включают:
Формирование группы;
Установление области применения и целей метода RCA;
Сбор данных и объективных свидетельств об отказе или потерях;
Проведение структурированного анализа для определения первопричины;
Верификацию положительного результата от внедрения рекомендаций.
Применяют следующие структурированные методы анализа:
Метод «5 почему», состоящий в многократном повторении вопроса «почему?», для исследования пяти уровней глубины причины отказа;
Анализ видов и последствий отказов;
Анализ дерева неисправностей;
Диаграмма Исикавы или «рыбий скелет»;
Анализ Парето;
Составление карты первопричины.
Оценку причин часто начинают с исследования первоначально очевидных физических причин, далее изучают причины, связанные с человеческим фактором, и уже затем переходят к изучению скрытых причин управления или основных причин. Для того чтобы применение корректирующих действий было эффективным, вовлеченные стороны должны иметь возможность управлять выявленными в процессе анализа причинными факторами или устранить их.
Анализ дерева неисправностей (FTA)
Анализ дерева неисправностей FTA - метод идентификации и анализа факторов, которые могут способствовать возникновению исследуемого нежелательного события (называемого конечным событием).
С помощью дедукции исследуемые факторы идентифицируют, выстраивают их логическим образом и представляют на диаграмме в виде дерева, которое отображает эти факторы и их логическую связь с конечным событием.
Факторами, указанными в дереве неисправностей, могут быть события, связанные с отказами компонентов оборудования, ошибками человека или другими событиями, которые могут привести к нежелательному событию.
Метод дерева неисправностей может быть использован для определения качественной оценки при идентификации причин отказа и путей, приводящих к конечному событию, и количественной оценки при вычислении вероятности конечного события, если известны значения вероятностей начальных событий.
Данный метод может быть использован на стадии проектирования системы для идентификации причин отказа, и, следовательно, выбора варианта проекта. Метод FTA может быть использован на стадии производства для идентификации видов основных отказов и относительной значимости путей, приводящих к конечному событию. Дерево неисправностей может быть также использовано для анализа сочетания событий, приведшего к возникновению исследуемого отказа.
Пример дерева неисправностей:
Для проведения количественного анализа необходимы данные об интенсивности или вероятности отказа всех основных событий, указанных в дереве неисправностей.
Выделяют следующие этапы разработки диаграммы дерева неисправностей:
Определение конечного события, которое необходимо проанализировать. Это может быть отказ или более общие последствия отказа. После того как последствия отказа проанализированы, в дерево неисправностей может быть включена часть, относящаяся к сокращению интенсивности и последствий отказа;
Идентификация возможных причин или видов отказов, приводящих к конечному событию, начиная с конечного события;
Анализ идентифицированных видов и причин отказа для определения того, что конкретно привело к отказу;
Последовательная идентификация нежелательного функционирования системы с переходом на более низкие уровни системы, пока дальнейший анализ не станет нецелесообразным. В технической системе это может быть уровень отказа компонентов. События и факторы на самом низком уровне анализируемой системы называют базисными событиями;
Оценка вероятности базисных событий (если применимо) и последующий расчет вероятности конечного события. Для обеспечения достоверности количественной оценки следует показать, что полнота и качество входных данных для каждого элемента достаточны для получения выходных данных необходимой достоверности. В противном случае дерево неисправностей недостаточно достоверно для анализа вероятности, но может быть полезным для исследования причинно-следственных связей.
Анализ дерева событий (ЕTA)
Метод ETA является графическим методом представления взаимоисключающих последовательностей событий, следующих за появлением исходного события, в соответствии с функционированием и нефункционированием систем, разработанных для смягчения последствий опасного события. Метод ETA может быть применен для качественной и/или количественной оценки.
Пример дерева событий:
На рисунке показаны расчеты для дерева событий.
Метод ETA может быть использован для моделирования, вычисления и ранжирования (с точки зрения риска) различных сценариев инцидента после возникновения начального события.
Метод ETA может быть применен на всех стадиях жизненного цикла продукции или процесса. Данный метод может быть использован на качественном уровне при мозговом штурме, определении сценариев и последовательностей событий, которые могут возникнуть после начального события, и при определении воздействия на результат различных видов обработки риска, барьеров или средств управления, предназначенных для снижения нежелательных последствий.
При оценке приемлемости средств управления наиболее целесообразно применение метода ETA для количественного анализа.
Построение дерева событий начинают с выбора начального события. Это может быть инцидент, такой как взрыв пыли, или такое событие, как отказ системы энергоснабжения. Далее перечисляют имеющиеся функции или системы, направленные на смягчение последствий. Для каждой функции или системы чертят линии для отображения ее исправного состояния или отказа. Вероятность отказа может быть оценена и назначена для каждой такой линии. Данную условную вероятность оценивают, например, с помощью экспертных оценок или анализа дерева неисправностей. Таким образом изображают различные пути развития событий от начального события.
Следует учитывать, что вероятности на дереве событий являются условными вероятностями, например, вероятность срабатывания разбрызгивателя системы пожаротушения, полученная при испытаниях в нормальных условиях, будет отличаться от вероятности срабатывания этой системы при возгорании, вызванном взрывом.
Каждая ветвь дерева представляет собой вероятность того, что все события на этом пути произойдут. Поэтому вероятность результата вычисляют как произведение отдельных условных вероятностей и вероятности начального события при условии независимости событий.
Анализ причин и последствий
Анализ причин и последствий является сочетанием методов дерева неисправностей и дерева событий.
Данный метод начинают с рассмотрения критического события и анализа его последствий посредством применения сочетания логических элементов ДА/НЕТ. Эти элементы представляют собой условия, при которых система, разработанная для снижения последствий начального события, находится в работоспособном состоянии или в состоянии отказа. Причины условий или отказов анализируют с помощью метода дерева неисправностей.
Метод анализа причин и последствий первоначально был разработан как инструмент проверки надежности систем, критических для обеспечения безопасности, который использовали для более полного понимания отказов системы. Так же как метод анализа дерева неисправностей, данный метод используют для отображения логики отказа, приводящего к критическому событию, однако, дополнительно к функциональным возможностям дерева неисправностей, этот метод позволяет провести анализ последовательности появления отказов. Метод также позволяет учесть время запаздывания при анализе последствий, что невозможно при использовании метода дерева событий.
Метод используют для анализа различных вариантов работы системы после возникновения критического события в зависимости от поведения ее подсистем (например, аварийных систем). Если такие варианты могут быть охарактеризованы количественно, то могут быть оценены вероятности возможных последствий критического события.
