Текст ГОСТ Р 27.013-2019 Надежность в технике. Методы оценки показателей безотказности
ГОСТ Р 27.013-2019
(МЭК 62308:2006)
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
НАДЕЖНОСТЬ В ТЕХНИКЕ
Методы оценки показателей безотказности
Dependability in technics. Reliability assessment methods
ОКС 03.120.30
Дата введения 2020-07-01
Предисловие
1 ПОДГОТОВЛЕН Закрытым акционерным обществом «Научно-исследовательский центр контроля и диагностики технических систем» (ЗАО «НИЦ КД») на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 119 «Надежность в технике»
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 28 ноября 2019 г. N 1274-ст
4 Настоящий стандарт является модифицированным по отношению к международному стандарту МЭК 62308:2006* «Безотказность оборудования. Методы оценки безотказности» (IEC 62308:2006 «Equipment reliability — Reliability assessment methods», MOD) путем внесения технических отклонений, объяснение которых приведено во введении к настоящему стандарту.
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. — .
Международный стандарт разработан Техническим комитетом по стандартизации ТС 56 Международной электротехнической комиссии (МЭК).
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).
Сведения о соответствии ссылочных национальных и межгосударственных стандартов международным стандартам, использованным в качестве ссылочных в примененном международном стандарте, приведены в дополнительном приложении ДА
5 ВВЕДЕН ВПЕРВЫЕ
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Введение
В настоящем стандарте приведены процедуры, предназначенные для использования при оценке безотказности объектов на основе данных об аналогичных объектах, данных эксплуатации, испытаний, полученных от поставщиков компонентов. Такие оценки предназначены для использования на ранних этапах проектирования оборудования, таких как выбор архитектуры системы, а также бизнес-решений, таких как оценка стоимости гарантий или технического обслуживания. Кроме того, оценки могут быть использованы для первоначального анализа безопасности, например, анализа FTA. Часто современные системы имеют настолько высокую безотказность, что оценка или подтверждение их показателей безотказности с помощью испытаний являются очень сложными, поэтому данные эксплуатации предыдущих аналогичных объектов часто являются единственным способом получения первоначальной оценки показателей безотказности. Изготовители использовали этот подход в течение многих лет как «принцип подобия». Использование данных о ранее изготовленной и поступившей на рынок аналогичной продукции требует, чтобы данные об аналогичных объектах были документированы. Данный метод является современной альтернативой классическому, но уже устаревшему руководству по прогнозированию.
Полученные оценки следует рассматривать как предварительные оценки вероятности того, что выбранные структура, блоки, компоненты и политика технического обслуживания объекта позволяют выполнить цели, установленные в области безотказности объекта. Оценки могут быть использованы, например, для принятия решения о переходе к следующему этапу разработки объекта, увеличению затрат или переходу к поставкам и приемке продукции. В настоящем стандарте описано использование результатов оценки безотказности, а также приведен перечень стандартов МЭК, которые используют эти результаты в качестве входов.
Подход к оценке безотказности, приведенный в настоящем стандарте:
— поощряет изготовителя оборудования рассматривать всю информацию относительно безотказности оборудования, которая связана с влиянием процессов проектирования и изготовления, а также вариантами выбора компонентов. Это отличается от более традиционных методов, которые концентрируют внимание на безотказности компонентов как самой существенной составляющей безотказности оборудования;
— поощряет изготовителя оборудования определять и использовать процессы, которые являются наиболее эффективными для изготовления оборудования;
— описывает непрерывную процедуру, в которой оценки показателей безотказности могут быть обновлены при появлении большего количества информации в процессе жизненного цикла оборудования. Эта информация может быть использована для улучшения безотказности оборудования и результативности процесса оценки показателей безотказности.
В настоящем стандарте приведено описание трех подходов при оценке безотказности, а именно: анализа подобия, анализа долговечности и прогноза по справочным данным. В стандарте не приведена информация об оценке показателей безотказности систем программного обеспечения, однако стандарт может быть использован для оценки показателей безотказности систем аппаратных средств, содержащих встроенное программное обеспечение.
В настоящем стандарте ссылки на международные стандарты заменены ссылками на национальные и межгосударственные стандарты.
1 Область применения
В настоящем стандарте установлены методы оценки показателей безотказности на основе данных эксплуатации и данных испытаний компонентов и модулей объекта. Методы применимы при анализе назначения, безопасности и бизнеса, высокой целостности и сложности объекта. В стандарте приведены пояснения о необходимости оценок показателей безотказности на ранних стадиях жизненного цикла объекта, а также показаны способы и этапы их использования. Кроме того, в стандарте детально описаны методы оценки показателей безотказности и долговечности и данные, необходимые для определения этих оценок. Чтобы оценить показатели долговечности (ресурс, показатели износа), использован метод анализа физики процессов, приводящих к отказу.
В стандарте подробно рассмотрены три способа определения оценки:
— анализ подобия;
— модели анализа долговечности;
— методы определения оценок по справочным данным.
В разделе 6 приведено введение в оценку показателей безотказности, в разделе 7 — управление процессом. В разделе 8 указаны необходимые данные, источники и типы оценок. В разделе 9 приведены детали методов оценки.
Приложения А и В содержат дополнительную информацию, обеспечивающую понимание анализа подобия и анализа долговечности.
Настоящий стандарт применим к определению оценок показателей безотказности и долговечности при разработке требований к конструкции, модификации конструкции и инженерного сопровождения объекта.
_______________
Стандарт может быть использован для оценки показателей безотказности систем аппаратных средств, содержащих встроенное программное обеспечение.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ 27.002 Надежность в технике. Термины и определения
ГОСТ IEC 61508-3 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 3. Требования к программному обеспечению
ГОСТ Р 27.003 Надежность в технике. Управление надежностью. Руководство по заданию технических требований к надежности
ГОСТ Р 27.012 (МЭК 61882:2016) Надежность в технике. Анализ опасности и работоспособности (HAZOP)
ГОСТ Р 27.015 (МЭК 60300-3-15:2009) Надежность в технике. Управление надежностью. Руководство по проектированию надежности систем
ГОСТ Р 27.202 Надежность в технике. Управление надежностью. Стоимость жизненного цикла
ГОСТ Р 27.302 Надежность в технике. Анализ дерева неисправностей
ГОСТ Р 27.606 Надежность в технике. Управление надежностью. Техническое обслуживание, ориентированное на безотказность
ГОСТ Р 27.607 Надежность в технике. Управление надежностью. Условия проведения испытаний на безотказность и статистические критерии и методы оценки их результатов
ГОСТ Р 50779.27 (МЭК 61649:2008) Статистические методы. Распределение Вейбулла. Анализ данных
ГОСТ Р 50779.28 (МЭК 61710:2013) Статистические методы. Степенная модель. Критерии согласия и методы оценки
ГОСТ Р 51901.1 Менеджмент риска. Анализ риска технологических систем
ГОСТ Р 51901.5 (МЭК 60300-3-1:2003) Менеджмент риска. Руководство по применению методов анализа надежности
ГОСТ Р 51901.6 (МЭК 61014:2003) Менеджмент риска. Программа повышения надежности
ГОСТ Р 51901.12 (МЭК 60812:2006) Менеджмент риска. Метод анализа видов и последствий отказов
ГОСТ Р 51901.14 (МЭК 61078:2006) Менеджмент риска. Структурная схема надежности и булевы методы
ГОСТ Р 53392 Интегрированная логистическая поддержка. Анализ логистической поддержки. Основные положения
ГОСТ Р МЭК 60300-1 Менеджмент риска. Руководство по применению менеджмента надежности
ГОСТ Р МЭК 61160 Проектный менеджмент. Документальный анализ проекта
ГОСТ Р МЭК 61165 Надежность в технике. Применение марковских методов
ГОСТ Р МЭК 61508-1 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 1. Общие требования
ГОСТ Р МЭК 61508-2 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 2. Требования к системам
ГОСТ Р МЭК 61508-4 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 4. Термины и определения
ГОСТ Р МЭК 61508-5 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 5. Рекомендации по применению методов определения уровней полноты безопасности
ГОСТ Р МЭК 61508-6 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 6. Руководство по применению ГОСТ Р МЭК 61508-2 и ГОСТ Р МЭК 61508-3
ГОСТ Р МЭК 61508-7 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 7. Методы и средства
Примечание — При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя «Национальные стандарты» за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.
3 Термины и определения
В настоящем стандарте применены термины по ГОСТ 27.002, а также следующие термины с соответствующими определениями:
3.1 анализ долговечности (durability analysis): Анализ реакции оборудования на усилия, возникающие при эксплуатации, техническом обслуживании, транспортировании, хранении и других действиях в процессе жизненного цикла оборудования для оценки и прогнозирования его безотказности и среднего ресурса.
3.2 жизненный цикл (life-cycle): Продолжительность времени, охватывающая все стадии жизненного цикла: от стадии концепции и определения до стадии распоряжения.
_______________
См. также ГОСТ Р МЭК 60300-1.
3.3 анализ подобия (similarity analysis): Сопоставление исследуемых элементов оборудования (в соответствии с его структурой) с элементами предыдущих моделей оборудования, для которых имеются данные о надежности при эксплуатации.
4 Сокращения
В настоящем стандарте применены следующие сокращения:
ASIC — проблемно-ориентированная интегральная микросхема;
BITE — встроенное испытательное оборудование;
COT — готовое коммерческое (приобретаемое) изделие;
FEA — анализ конечного элемента;
FFOP — период эксплуатации, свободный от отказов;
FITS — отказ за миллиард часов;
FMEA — анализ видов и последствий отказов;
FMECA — анализ видов, последствий и критичности отказов;
FRACAS — система действий по записям, анализу и устранению отказов;
FTA- анализ дерева неисправностей;
HALT — ускоренные испытания на долговечность (форсированные ресурсные испытания);
IC — интегральная схема;
LCC — стоимость жизненного цикла;
LRU — непосредственно заменяемая единица;
MCTF — математическое ожидание количества циклов до отказа;
MTBF — средняя наработка между отказами;
MTBUR — средняя наработка между периодами восстановления;
MTTF — средняя наработка до отказа;
MTTR — среднее время восстановления;
MTTSC — среднее время до вызова сервисной службы;
MTTSI — среднее время до прерывания на техническое обслуживание;
MTTWC — средняя продолжительность гарантийного периода;
RBD — структурная схема надежности;
RCM — техническое обслуживание, ориентированное на безотказность;
RET — испытания на повышение надежности;
SRU — покупной заменяемый элемент.
5 Обозначения
В настоящем стандарте применены следующие обозначения:
— постоянная интенсивность отказов в случае экспоненциального распределения;
t — рассматриваемый период времени;
f (t) — плотность распределения (вероятностей);
F (t) — (интегральная) функция распределения;
R (t) — вероятность безотказной работы;
Т* — наработка.
6 Введение в оценку безотказности
6.1 Предварительные замечания
Показатели безотказности объекта часто оценивают для решения ряда задач, включая следующие:
a) установление целей и требований;
b) сопоставление нескольких вариантов;
c) идентификация и определение приоритетности задач;
d) проверка актуальности цели;
e) оптимизация технической поддержки (например, обеспечение запчастями);
f) подготовка исходных данных для другого анализа (например, анализа безопасности);
g) ранжирование областей улучшения с наилучшим соотношением цена — результативность.
Показатель безотказности может быть задан различными способами, например в виде:
— накопленного процента отказов;
— установленной интенсивности отказов;
— вероятности безотказной работы;
— параметра потока отказов;
— мгновенной интенсивности отказов;
— MTTF;
— MTBF.
Процедура, установленная в настоящем стандарте, предназначена для специалистов в области анализа надежности, менеджмента риска, проектирования, обеспечения безопасности и безотказности, логистической поддержки и основана на методе оценки мгновенной интенсивности отказов на ранних этапах создания объекта. Процедура оценки ресурса для объектов с отказами, вызванными износом, также включена.
6.2 Описание метода оценки показателей безотказности
6.2.1 Общая информация
Вероятность безотказной работы является показателем, который не может быть оценен по данным единственного объекта. Это случайный или вероятностный показатель, поэтому его следует оценивать по информации о суммарной наработке (например, в часах, циклах работы и т.д.) и количеству наблюдаемых отказов. Результаты оценки представляют в форме доверительного утверждения, такого как «с уровнем доверия 80% истинная вероятность успешного выполнения задачи объектом составляет не менее X и не более Y» или в виде продолжительности безотказной работы с вероятностью от 0,963 до 0,995. Объяснение понятий «уровень доверия» и «доверительный интервал» приведено в ГОСТ Р 50779.27.
В соответствии с классическим определением вероятность безотказной работы — это вероятность того, что объект выполняет установленные функции в течение заданной наработки в заданных условиях. Несмотря на то, что этот показатель является полезной мерой для объектов, изготавливаемых малой серией и ориентированных на выполнение определенной задачи, таких как космический корабль, этот показатель для указанных объектов редко подходит, его, как правило, применяют для объектов из большой совокупности, а не к функционированию единственной системы или выполнению единственной задачи. Установления единственной характеристики, такой как средняя наработка до отказа (MTTF), недостаточно для объекта, интенсивность отказов которого зависит от времени (т.е. является непостоянной).
_______________
Точное определение см. в ГОСТ 27.002.
6.2.2 Показатели безотказности при постоянной интенсивности отказов
Общее выражение вероятности безотказного выполнения функции для единичного объекта R(t) имеет следующий вид:
, (1)
где — мгновенная интенсивность отказов.
Другое очень полезное (общее) выражение:
, (2)
где f(t) — плотность распределения наработки до отказа. На основе (1) для мгновенной интенсивности отказов справедливо выражение:
. (3)
Очень полезно еще одно общее выражение для MTTF:
. (4)
Если является постоянной во времени, ее можно обозначить . В этом случае наработка до отказа подчиняется экспоненциальному распределению и, следовательно:
, (5)
, (6)
, (7)
(часто MTTF обозначают ). (8)
Соотношения (5)-(8) справедливы только в случае, когда является константой.
Другой полезной, но сложной величиной является полная накопленная наработка объекта, иногда обозначаемая T*. В случае постоянной интенсивности отказов со статистической точки зрения нет никаких различий между работой одного объекта в течение 1000000 ч или 1000000 объектов в течение 1 ч. Во всех случаях при появлении одного отказа точечная оценка интенсивности отказов для совокупности равна 10 отказов за час работы объекта.
Постоянная интенсивность отказов означает, что параметр не зависит от времени. У постоянной интенсивности отказов существует много полезных свойств, одно из которых состоит в том, что значение математического ожидания распределения наработки до отказа объекта равно . Для невосстанавливаемых объектов (компонентов) это значение представляет собой математическое ожидание наработки до отказа объекта MTTF. Это означает, что в среднем 63% объектов откажут за наработку от 0 до MTTF, а 37% — после MTTF. Другим полезным свойством постоянной интенсивности отказов является то, что она может быть оценена по совокупности как доля сокращения количества не отказавших объектов в единицу времени. Однако экспоненциальное распределение является единственным распределением, для которого интенсивность отказов — константа, а средняя наработка не равна , если интенсивность отказов не постоянна.
Для восстанавливаемых изделий под MTTF иногда ошибочно понимают ресурс объекта, а не величину, обратную к постоянной интенсивности отказов. Если у объекта MTTF=1000000 ч, это не означает, что объект функционирует так долго (дольше средней человеческой жизни). Скорее это означает, что в среднем один из объектов отказывает каждые 1000000 часов работы, т.е. при работе 1000000 объектов в среднем каждый час отказывает один из них. В этом случае, если отказы объекта действительно подчиняются экспоненциальному распределению, то после 1000000 часов эксплуатации в среднем откажет 63% объектов. Объекты, отказы которых действительно подчиняются экспоненциальному распределению, за пределами их срока службы практически не встречаются, но постоянная интенсивность отказов и MTTF могут в некоторых случаях быть хорошим приближением для показателей, характеризующих свойства отказов объекта.
Таблица 1 — Пример показателей в случае постоянной интенсивности отказов
Мера постоянной интенсивности отказов |
Эквивалент среднего ресурса |
Определение |
Использование |
Постоянная интенсивность отказов при использовании времени |
MTTF |
Общее количество отказов, деленное на общую наработку всей совокупности |
Стандартный показатель для прогноза, когда время является параметром |
Постоянная интенсивность отказов при использовании количества циклов или расстояния вместо времени |
Математическое ожидание количества циклов или расстояния, км MCTF |
Общее количество отказов, деленное на общее количество циклов работы объекта или расстояние, например, в километрах |
Стандартный показатель для прогноза, когда использование количества циклов или расстояния является более подходящим, чем время. Эти единицы измерения иногда преобразовывают в единицы измерения времени с помощью параметров эксплуатации или требований к обязанностям персонала |
Постоянная интенсивность ремонта/ восстановления |
MTTR |
Общее количество ремонтов/восстановлений, деленное на общую наработку совокупности |
Полезный показатель оценки ремонтной базы или очереди на выполнение ремонта |
Постоянная интенсивность замены |
MTTR |
Общее количество замен, деленное на общую наработку совокупности |
Используют вместо постоянной интенсивности отказов, когда анализ отказов не доступен; полезный показатель для анализа гарантийного ремонта |
Постоянная интенсивность обслуживания или обращений потребителей |
MTTSC |
Общее количество обращений клиентов в сервисную службу, деленное на общую наработку объектов совокупности в эксплуатации |
Восприятие потребителем постоянной интенсивности отказов; показатель полезен для определения потребностей в техническом обеспечении |
Постоянная интенсивность гарантийных претензий |
MTTWC |
Общее количество гарантийных претензий, деленное на гарантийную наработку объектов совокупности |
Полезный показатель для оценки стоимости гарантийных услуг и установления запасов запчастей |
Постоянная интенсивность прерывания для сервисного обслуживания |
MTTSI |
Общее количество прерываний, деленное на общую наработку объектов совокупности |
Восприятие потребительское постоянной интенсивности отказов; может быть показателем готовности |
Существует несколько эквивалентных способов выражения постоянной интенсивности отказов (см. таблицу 1). Например, постоянная интенсивность отказов, равная 1% в год, эквивалентна 1,1·10 ч, 1100 FIT, 0,01 отказов на объект в год; 1,1 отказов за миллион часов, и 10 отказов на 1000 объектов в год (предполагая замену 9,95 отказов на 1000 незаменяемых объектов в год).
6.2.3 Восстанавливаемые и невосстанавливаемые объекты
Установления единственной величины MTTF не достаточно для объекта, у которого интенсивность отказов зависит от времени.
В настоящем стандарте рассмотрен анализ подобия для случаев постоянной и непостоянной интенсивности отказов. В ГОСТ Р 50779.27, ГОСТ Р 50779.28 и ГОСТ Р 27.607 приведены детали статистических методов в случае непостоянной интенсивности отказов, включая анализ Вейбулла.
Возможна ситуация, когда восстанавливаемые объекты, возвращаемые в эксплуатацию после отказа, восстановлены не до состояния нового объекта и таким образом параметр потока отказов является непостоянным. В ГОСТ Р 27.607 приведено руководство для непостоянной интенсивности отказов и непостоянного параметра потока отказов. Показатель MTTF должен быть использован в случае невосстанавливаемых объектов, а показатель MTBF должен быть использован в случае восстанавливаемых объектов.
Рекомендуется устанавливать вероятность отказа F(f) объекта вместо MTBF или MTTR; однако MTTF используют для невосстанавливаемых объектов, а MTBF — для восстанавливаемых объектов.
6.2.4 Методы оценки безотказности
Для оценки показателей безотказности обычно используют следующие методы:
— анализ подобия;
— анализ долговечности;
— методы определения оценок по справочным данным.
Основным достоинством оценки показателей безотказности является идентификация основных вкладов в отказ системы, а не точность абсолютного прогноза. Идентификация источников ненадежности помогает ранжировать приоритетность действий и позволяет выполнять модификации конструкции объекта на ранней стадии его создания. Это особенно важно, если компоненты, блоки и проектные решения использованы по результатам эксплуатации предыдущих моделей объекта. В этом случае метод позволяет определить оценку интенсивности отказов, когда улучшения не выполнены. Точность любого прогноза зависит от качества данных и их близости к рассматриваемой конструкции объекта, условиям и особенностям его использования.
Если новую технологию не рассматривают, оценка безотказности должна быть основана на соответствующих доступных данных эксплуатации. Данные могут быть получены из многих источников. В порядке предпочтения они следующие:
— то же самое или аналогичное оборудование, используемое в тех же самых или аналогичных условиях эксплуатации физической среды и технического обслуживания;
— данные, полученные в результате анализа физики процессов, приводящих к отказу, при наличии анализа условий окружающей среды, в которой объект будет использован;
— данные испытаний и эксплуатации компонент или блоков, полученные от поставщиков;
— данные производства объекта или общих источников данных. Такие данные следует использовать с большой осторожностью и с меньшим доверием при оценке безотказности до тех пор, пока они не будут заменены более доступными данными.
Существует много общих и промышленных источников данных, которые могут быть использованы при оценке безотказности.
В настоящем стандарте приведено много альтернативных методов оценки безотказности, которые позволяют получить данные об интенсивности отказов по информации об оборудовании или его частях. При выборе методологии для конкретного применения анализ и обоснование точности и ограничений применения должны быть документированы. Это обоснование должно включать факторы неопределенности и уверенности, соответствующие результатам применяемого метода оценки.
В настоящем стандарте не рассмотрены проблемы программного обеспечения, он только включает методы, применяемые для аппаратных средств. Однако стандарт может быть использован для аппаратных средств со встроенным программным обеспечением. Безотказность встроенного программного обеспечения и его взаимодействия с аппаратными средствами необходимо учитывать, поскольку она влияет на исходную информацию о безотказности объекта.
7 Процесс управления оценкой безотказности
7.1 Цель оценки безотказности
7.1.1 Общие положения
Существует много причин для оценки определения безотказности объекта. На рисунке 1 показаны некоторые примеры деятельности, которая требует определения оценки безотказности в качестве входных данных. Например, для расчета необходимых запчастей при эксплуатации объекта необходимо знание интенсивности отказов объекта и допустимого периода простоя.
Рисунок 1 — Методы, использующие в качестве входных данных оценку безотказности
В таблице 2 приведены стандарты на методы, использующие в качестве входных данных оценку безотказности.
Таблица 2 — Стандарты, устанавливающие методы оценки безотказности
Метод |
Соответствующий стандарт |
Методы анализа надежности. Руководство по методологии |
ГОСТ Р 51901.5 |
FTA |
ГОСТ Р 27.302 |
FMEA |
ГОСТ Р 51901.12 |
RBD |
ГОСТ Р 51901.14 |
Требования |
ГОСТ Р 27.003 |
Анализ проекта |
ГОСТ Р МЭК 61160 |
Моделирование готовности |
ГОСТ Р 51901.14 |
Обеспечение запчастями |
ГОСТ Р 53392 |
План программы технического обслуживания, ориентированного на безотказность |
ГОСТ Р МЭК 60300-1 |
Анализ риска |
ГОСТ Р 51901.1 |
Техническое обслуживание, ориентированное на безотказность |
ГОСТ Р 27.606 |
Надежность программного обеспечения |
ГОСТ Р 27.015 |
LCC |
ГОСТ Р 27.202 |
Оценки безопасности |
ГОСТ Р 27.012 |
Марковские методы |
ГОСТ Р МЭК 61165 |
Функциональная безопасность |
ГОСТ Р МЭК 61508-1, ГОСТ Р МЭК 61508-2, ГОСТ Р МЭК 61508-3, ГОСТ Р МЭК 61508-4, ГОСТ Р МЭК 61508-5, ГОСТ Р МЭК 61508-6, ГОСТ Р МЭК 61508-7 |
Прогнозирование безотказности |
[1] |
Оценка безотказности необходима для выполнения следующих задач:
a) оценка целевого значения показателя безотказности — оценку безотказности используют для того, чтобы оценить вероятность того, что система может достичь целевого значения показателя безотказности (технико-экономическое обоснование);
b) сопоставление конструкций и объектов — при проектировании обычно существуют варианты конструкции. При проведении анализа преимуществ и недостатков этих вариантов важной исходной информацией являются соответствующие оценки безотказности. Эти варианты могут даже повлиять на структуру системы, например, количество и уровень резервирования. Поскольку анализ вариантов системы выполняют на ранних этапах проектирования, оценка показателей безотказности может быть предварительной. Однако она все равно полезна (даже при отсутствии точных значений), так как позволяет сопоставить и ранжировать варианты конструкции;
c) метод идентификации и ранжирования по возможностям улучшения безотказности. Деятельность по улучшению безотказности должна быть направлена на области с самыми высокими возможностями улучшения. Оценка показателя безотказности позволяет определить эти возможности количественно, идентифицируя безотказность различных единиц и прогнозируя значение показателя безотказности после выполнения действий по повышению надежности объекта;
d) логистическое обеспечение — оценка безотказности является ключевым элементом при принятии решения о выборе политики обеспечения запчастями и оценке затрат на выполнение политики гарантийного обслуживания. Она может также быть использована для первоначальной оценки стоимости жизненного цикла объекта;
e) определение периода времени для выявления отказа и типов функционального тестирования при выполнении задач технического обслуживания;
f) оценка безотказности выполнения целевой задачи — задачи могут иметь много этапов с различной конфигурацией оборудования, при первой оценке безотказности для задачи в целом могут быть использованы различные модели безотказности системы.
Важным фактором оценки безотказности является то, на какой стадии жизненного цикла объекта оценивают безотказность. Для оценки безотказности объекта необходимо начать оценивать безотказность на ранних стадиях жизненного цикла объекта и обновлять эти оценки, как только становится доступным больший объем информации, например, по результатам испытаний. Также, если полученная оценка безотказности является не приемлемой, то деятельность по улучшению объекта должна быть начата на возможно более ранних стадиях жизненного цикла объекта, что обеспечивает повышение безотказности. Таким образом, оценка и мониторинг повышения безотказности (см. ГОСТ Р 51901.6) имеют решающее значение для правильного использования оценок безотказности.
Оценку показателей безотказности, как правило, используют:
— для принятия бизнес-решений;
— принятия решений относительно структуры системы;
— принятия решений относительно конструкции оборудования;
— анализа безопасности;
— планирования и мониторинга программы надежности.
7.1.2 Бизнес-решения
Примеры бизнес-решений, в большей степени основанных на результатах оценки безотказности, включают решения относительно гарантийных обязательств, стоимости технического обслуживания и соглашения об участии в прибылях, плановых обновлениях конструкции, обеспечения запчастями, графика технического обслуживания, составления бюджета и обеспечения необходимым персоналом. Применимые меры могут быть выражены в терминах стоимости, таких как сервисная задержка и отмена технического обслуживания или загруженность оператора технического обслуживания.
Так как бизнес-решения часто включают патентную собственность, а также конфиденциальную информацию о затратах, отчеты об оценке безотказности для этих решений необходимо тщательно контролировать и хранить отдельно от результатов для других целей. Кроме того, порядок предоставления этой информации бизнес-партнерам (например, потребителю, поставщику, пользователю) должен быть предметом бизнес-соглашений.
До выбора метода оценки безотказности необходимо рассмотреть несколько критериев, включающих:
— желаемое использование оценки (зачем);
— период жизненного цикла системы для выполнения оценки (когда);
— организацию, которая может наилучшим образом выполнить оценку безотказности (кто);
— объект, для которого необходимо выполнить оценку надежности (что);
— факторы, которые необходимо рассмотреть при выборе соответствующего метода оценки безотказности (как).
7.1.3 Решения относительно структуры системы
Структура системы представляет собой описание структуры высокого уровня в терминах функций системы, выбранной для удовлетворения требований к конструкции системы. Это описание высокого уровня гарантирует, что цели системы понятны всем заинтересованным сторонам, все соответствующие факторы учтены в конструкции, все элементы конструкции определены и понятны на соответствующем уровне, все элементы конструкции оценены правильно, а альтернативные решения рассмотрены.
Примерами решений относительно структуры системы, для которых необходимы результаты оценки, являются следующие:
— создание отказоустойчивой конструкции и встроенного тестирования; например, определение метода, области или частоты тестирования;
— функциональное распределение аппаратных средств высшего уровня и/или программного обеспечения;
— распределение функций между модулями (блок-схемы);
— потребности в резервировании;
— использование средств технического обслуживания для прогнозирования.
7.1.4 Решения относительно конструкции оборудования
Примеры решений относительно конструкции оборудования, которые должны быть основаны на оценках безотказности, включают (но не ограничены):
— конструкцию системы, сопоставление технологий аппаратных средств, например, цифровой процессор, цифровая логическая матрица по сравнению с аналоговой;
— сопоставление альтернативных структурных схем;
— сопоставление использования рабочего цикла или допустимых альтернативных электрических напряжений;
— выбор или устранение некоторых компонентов;
— решение относительно уровня интеграции компонентов (ASIC-прерывание);
— сопоставление технологий упаковки и сборки, например монтаж поверхности через отверстие;
— сопоставление методов управления параметрами окружающей среды, например, демпфирование вибрации и охлаждение;
— своевременная идентификация и коррекция недостатков конструкции, основанных на данных эксплуатации и испытаний аналогичных компонентов, модулей и конструкций.
Так же как и в случае с решениями относительно структуры системы оценки безотказности следует использовать для обоснования решений относительно конструкции оборудования.
7.1.5 Оценка безопасности
Оценка безопасности представляет собой дисциплину, обеспечивающую идентификацию опасностей системы и их причин, а также оценку риска. Оценка безопасности касается оценки безотказности функций и компонентов, связанных с безопасностью. Выходом оценки безотказности является интенсивность отказов, которую часто используют в различных видах анализа для оценки безопасности, например:
— анализ дерева неисправностей (FTA);
— марковский анализ;
— анализ дерева событий (ETA);
— FMEA;
— FMECA.
Общие и промышленные источники данных часто используют для получения основных данных об интенсивности отказов при оценке безопасности системы. Однако в настоящем стандарте приведено много альтернативных методов оценки безотказности, которые позволяют получить данные об интенсивности отказов оборудования или его части такого же функционального уровня. (Для анализа безопасности систем возможность оценивать безотказность установленных функций особенно важна.)
Примечание — Вопросы функциональной безопасности рассмотрены в стандартах серии ГОСТ Р МЭК 61508.
7.1.6 Планирование и мониторинг программы надежности
Результаты оценки безотказности могут быть использованы в качестве результата на различных стадиях жизненного цикла объекта (проектировании, разработке, производстве, обслуживании). Планирование программы надежности должно включать выполнение оценки безотказности по результатам действий, выполняемых на различных стадиях жизненного цикла (примеры включают планирование сборки с отбраковкой, планирование испытаний на безотказность и планирование испытаний для контроля безотказности). Количественные показатели безотказности, такие как MTTF, MTBF, продолжительность безотказной работы, время до отказа, цели управления повышением надежности и требования надежности для приемки объекта должны быть идентифицированы. Документация должна быть разработана так, чтобы обеспечить проведение достаточного анализа и/или испытаний для определения показателей с точностью и достоверностью, необходимыми для принятия решений по планированию программы надежности и своевременного выполнения обновления оценок. Для сокращения необходимого объема выборки могут быть использованы статистики Байеса, если обоснование априорного распределения является приемлемым с технической точки зрения.
На рисунке 2 показаны стадии жизненного цикла продукции и необходимость оценок безотказности на каждой стадии процесса в качестве входных и выходных данных.
Рисунок 2 — Стадии жизненного цикла продукции
Ключевые стадии жизненного цикла включают следующее:
— стадия концепции и определения.
Стадия концепции и определения представляет собой стадию жизненного цикла, на которой устанавливают потребность в объекте и цели его создания. На этой стадии закладывают основу надежности объекта и составляющие стоимости жизненного цикла. Решения, принятые на этой стадии, оказывают наибольшее влияние на функционирование объекта и затраты на его содержание, но часто этой стадии уделяют очень мало внимания;
— проектирование и разработка.
Стадия проектирования и разработки представляет собой стадию жизненного цикла, на которой создают структуру, аппаратные средства и/или программное обеспечение системы. Соответствующую информацию об объекте определяют и документируют для облегчения последующего изготовления и сборки аппаратных средств, кодирования программного обеспечения, его копирования и интеграции системы. Выполняют детальное проектирование и квалификацию после начального проектирования, когда определяют и задают размеры компонентов, выполняют анализ напряжений, разрабатывают планы производства и программное обеспечение;
— стадия изготовления.
Стадия изготовления представляет собой стадию жизненного цикла, на которой объект изготавливают, устанавливают программное обеспечение, выполняют сборку компонентов системы;
— стадия монтажа.
Стадия монтажа представляет собой стадию жизненного цикла, на которой объект устанавливают на место, предназначенное для эксплуатации. Действия включают установку системы, интеграцию функций технического обслуживания и подготовку объекта с установленным аппаратным и программным обеспечением к эксплуатационным испытаниям. После монтажа (установки) системы или готового объекта проводят демонстрацию их функционирования в фактических условиях эксплуатации до приемки в эксплуатацию;
— стадия эксплуатации и технического обслуживания.
Стадия эксплуатации и технического обслуживания представляет собой стадию жизненного цикла, на которой объект используют в соответствии с его назначением для выполнения установленных функций при эксплуатации. При необходимости выполняют техническое обслуживание объекта для обеспечения его непрерывной работы и выполнения его производственных функций;
— распоряжение (вывод из эксплуатации).
Стадия распоряжения представляет собой стадию жизненного цикла, на которой использование объекта закончено, его выводят из эксплуатации, демонтируют, перерабатывают или (если применимо) размещают на хранение.
Методологии оценки безотказности, описанные в настоящем стандарте, могут быть использованы на всех стадиях жизненного цикла системы, пока доступна необходимая техническая информация. Однако в силу особенностей жизненного цикла системы существуют ситуации, когда в соответствии с типом и качеством доступной технической информации некоторые методы прогнозирования безотказности являются более предпочтительными. Например, данные эксплуатации, необходимые для прогнозирования безотказности, обычно становятся доступными на стадии изготовления/технического обслуживания. Иногда при обслуживании анализ выполнения сервисного обслуживания все более и более заменяет другие методы оценки безотказности при наличии достоверных данных. Однако данные эксплуатации аналогичных систем при обслуживании или данные поставщиков о компонентах системы могут быть использованы для прогноза безотказности на более ранних стадиях жизненного цикла.
7.2 Документация
Результаты оценки безотказности необходимо записывать с достаточной четкостью для понимания, использования, анализа применяемых ограничений и неопределенности результатов.
Документация о результатах оценки безотказности должна включать два типа информации, а именно:
a) описание системы;
b) процесс оценки и его результаты.
Описание системы должно включать следующую информацию:
1) описание оборудования — краткое описание физических характеристик системы;
2) описание границы системы — описание границ системы. Блок-схемы позволяют показать границы исследуемой системы;
3) описание использования системы — описание основных и второстепенных функций системы. Описание должно включать типовую задачу функционирования системы;
4) описание окружающей среды — описание условий эксплуатации системы;
5) описание интерфейсов с другим оборудованием — описание должно определять оборудование, взаимодействующее с системой на входе и выходе и при обслуживании системы. Описание при необходимости может включать описание оборудования, расположенного вблизи от установленной системы;
6) описание стандартной конструкции или версий объекта — документация должна относиться к установленному стандарту конструкции системы;
7) описание уровней подготовки и обучения персонала;
описание политики технического обслуживания — описание должно включать режимы технического обслуживания для каждой функции системы или режима эксплуатации.
Детали выполнения оценки должны быть зарегистрированы и включать:
— обоснование выбора метода;
— процесс выбора источников данных;
— описание методов вычисления;
— полученные интенсивности отказов;
— описание всех использованных предположений;
— детали консультаций, полученных в процессе деятельности (например, у пользователя, специалиста по техническому обслуживанию, проектировщика);
— результаты оценки;
— выводы и рекомендации.
Отчеты должны быть управляемыми и доступными.
8 Необходимые данные
8.1 Исходные данные
Данные, используемые для оценки безотказности, должны быть получены из заслуживающих доверия источников, данные необходимо контролировать и обновлять, они должны быть доступны и использованы в соответствии с последовательностью технологического процесса. Данные могут быть получены из результатов испытаний оборудования, подсистем или компонентов, от поставщиков приобретаемых объектов, данных технического обслуживания объекта и других источников данных. Анализ точности и полноты используемых данных должен быть отражен в документации по оценке безотказности.
8.2 Источники и типы данных
Источники данных, которые могут быть использованы в качестве входных данных в процессе оценки надежности, должны быть описаны. Как правило, данные производства и обслуживания объекта более предпочтительны, чем данные, полученные из общих промышленных источников, при условии, что совокупность данных является достаточной для проведения достоверного статистического анализа. Конкретные данные, полученные непосредственно от поставщиков оборудования и комплектующих и оценки компонентов в процессе производства, являются более предпочтительными, чем общие промышленные данные, поскольку определенная информация об интенсивности отказов системы, подсистемы или части системы неявно отражает процессы проектирования и изготовления конкретного поставщика оборудования. Следует учитывать, что в случае приобретаемых компонентов, доступными данными могут быть только данные поставщиков, которые должны быть использованы как все другие данные о компонентах.
Описание процесса оценки на основе статистических обоснований, которое определяет, как данные должны быть отобраны, используя наиболее подходящий источник данных для конкретного применения оценки, должно быть сделано до выполнения оценки надежности.
Данные включают:
a) данные обслуживания аналогичного оборудования и его аналогичных применений;
b) данные обслуживания компонентов и подсистем аналогичного оборудования и его аналогичных применений;
c) данные квалификационных испытаний компонентов и подсистем;
d) данные испытаний по проверке качества компонентов и подсистем;
e) данные проектировщиков об испытаниях в процессе разработки;
f) данные функциональных испытаний и приемочных испытаний при производстве;
g) данные испытаний и переработки.
Примеры данных из других источников включают:
1) данные изготовителей компонентов (включая приобретаемые компоненты);
2) данные, полученные из производства и соответствующих баз данных;
3) данные справочников и руководств.
Типы информации могут включать:
— вид отказа;
— механизм отказа;
— место отказа;
— действия по техническому обслуживанию;
— выявление отказа и подтверждение его наличия (данные встроенного испытательного оборудования);
— влияние или критичность отказа, включая потерю способности функционирования и все последствия вторичных повреждений/разрушений;
— режимы эксплуатации и условия окружающей среды, которые номинально должны воздействовать на объект, в условиях которых произошел отказ;
— наработку до отказа оборудования или подсистемы в часах или циклах;
— корректирующие воздействия для отказа;
— результаты анализа отказов, включая анализ первопричин;
— общее описание совокупности в часах или циклах;
— данные прогноза — информация о том, как объект может отказать.
Важно выбрать данные, которые позволяют вычислять соответствующие назначенные показатели надежности.
Несмотря на то, что желательно иметь данные описанного выше типа для оценки безотказности объекта, они не всегда доступны.
В [2] приведена более подробная информация о сборе данных.
8.3 Сбор, хранение и поиск данных
Данные обычно объединяют в большую базу данных, в противоположность отдельной базе данных по оценке безотказности. Если это сделано должным образом, все соответствующие данные, включая полученный опыт, доступны персоналу, занимающемуся проектированием и изготовлением объекта для использования в настоящем и будущем. При использовании для оценки безотказности данных эксплуатации необходимо знать точность данных и полноту выполнения процесса сбора данных, т.е. необходим хорошо действующий контролируемый процесс сбора данных. Например, при использовании данных эксплуатации для прогноза интенсивности критичного отказа и анализа безопасности необходимо гарантировать, что источник данных является действующим, полным и обеспечен процессом сбора данных, позволяющим собрать все подходящие данные.
Следует понимать ограничения в области применения, регистрации данных и точности регистрируемых данных. С точки зрения анализа данных, очевидно, что наработка до отказа объекта является очень небольшой, если продолжительность испытаний не позволяет обнаружить отказы. Тот же анализ дает результаты, если отказы обнаружены, но не достоверно зарегистрированы. В частности, достоверность данных важна при определении безопасности объекта, для этого часто используют два отказа, из которых первый может быть не показательным.
При определении области применения процедуры сбора данных внимание должно быть уделено способности процедуры обнаруживать и регистрировать отказы, которые последующий анализ данных может использовать для прогноза. Описание процедур, которые гарантируют контролируемость и повторяемость сбора данных, должно быть документировано.
9 Методы оценки безотказности
9.1 Введение
Оценка безотказности должна быть выполнена с использованием документированных, контролируемых и повторяемых методов, которые могут включать исследования или испытания. Для оценки безотказности рекомендуется использовать сбор данных эксплуатации, если данные обладают необходимым качеством (см. 8.2). Такие методы должны быть подвергнуты некоторой форме валидации. Документация должна включать результаты валидации, выполненной для указания точности и ограничений каждого метода. Эта информация может быть использована для определения применимости метода оценки в конкретной ситуации. Непрерывную валидацию каждого метода оценки следует проводить с использованием данных, непосредственно поступающих из эксплуатации. Реальная корреляция между прогнозируемым и фактическим значениями показателя безотказности может быть обоснованием выбора конкретного метода определения всех последующих оценок с учетом всех проверенных улучшений процесса. Детали руководства по управлению валидацией оценки безотказности и ее улучшением приведены в 11.2.
К объекту может быть применено несколько методов. На практике может быть полезно применить несколько методов к единственному объекту для определения достоверной оценки безотказности. Должна быть разработана документация по обоснованию выбора конкретных методов оценки. Процесс обоснования также должен быть приведен, он должен включать достоверные статистические данные, которые могут продемонстрировать, что источник данных и метод оценки применимы к рассматриваемому объекту. На рисунке 3 приведена схема процесса оценки безотказности, а также его улучшения.
Рисунок 3 — Схема процесса оценки безотказности и его улучшения
9.2 Анализ подобия
9.2.1 Краткий обзор анализа подобия
Анализ подобия включает использование данных о показателях функционирования оборудования в эксплуатации для сопоставления вновь разработанного оборудования с оборудованием-прототипом и оценки безотказности проектируемого объекта, если условия применения и нагрузки объектов аналогичны. В приложении А приведены руководящие принципы анализа подобия в форме примеров применения этого метода.
Хотя концепция анализа подобия основана на аналогичности конструкции, важно идентифицировать различия в конструкции объектов для дальнейшего анализа и испытаний. Это делает методологию эффективной. Анализ подобия, выполненный на стадии концепции или на ранних стадиях проектирования, позволяет использовать опыт эксплуатации аналогичных объектов и учесть проблемы, устраненные в новой конструкции, приводящие к улучшению безотказности объекта.
Сопоставление аналогичного оборудования может быть сделано для готового объекта, подсистем или компонентов с использованием одних и тех же данных эксплуатации, но с применением различных алгоритмов и коэффициентов в различных аспектах исследования. Сравнение с аналогичным оборудованием также может быть выполнено при функционировании объекта, что позволяет обеспечить основу получения данных об интенсивности отказов для анализа безопасности или принятия решений о структуре системы.
Сопоставляемыми признаками могут быть:
a) режимы эксплуатации и условия окружающей среды (результаты измерений и установленные значения);
b) свойства конструкции;
c) процесс проектирования;
d) опыт проектировщиков при разработке аналогичных конструкций;
e) производственные процессы, включая контроль качества;
f) опыт изготовителя по производству аналогичных компонентов и работе с аналогичными процессами;
g) особенности встроенного тестирования и изоляции отказов;
h) проверка и техническое обслуживание процессов;
i) компоненты и материалы;
j) данные или другие показатели технологической зрелости;
k) качество процесса оценки безотказности.
Для каждого из упомянутых признаков необходимо провести сравнение нескольких признаков более низкого уровня. Например, показателями режима эксплуатации и условий окружающей среды могут быть установившаяся температура, влажность, изменения температуры, электрическая мощность, рабочий цикл, механическая вибрация и т.п. Конструктивные особенности оборудования могут включать количество компонентов (выделенных в соответствии с делением объекта на основные компоненты), несколько схем сборки, размер, вес материалов и т.д.
Анализ подобия должен включать необходимые алгоритмы или методы количественного определения сходств и различий между оцениваемым оборудованием и оборудованием-прототипом.
Если анализ подобия готового объекта невозможен из-за отсутствия оборудования-прототипа, достаточно близкого по аналогии или доступного для непосредственного сравнения с вновь разработанным оцениваемым оборудованием, то анализ подобия может быть проведен на более низком уровне (например, на уровне подсистем, модулей или компонентов). Анализ на более низком уровне может включать структурированное сравнение элементов нового оборудования с аналогичными элементами различных прототипов, для которых доступны данные о безотказности.
Для облегчения выполнения анализа подобия и составления отчета о результатах анализа в 9.2.2 приведен перечень сведений, которые рекомендуется приводить в отчете.
9.2.2 Отчет о результатах анализа подобия
В отчет об оценке безотказности объекта при использовании метода анализа подобия рекомендуется включать следующие сведения:
общая информация:
— дата проведения анализа;
— ФИО специалиста, выполнившего анализ;
— согласования (при необходимости);
— стадия программы;
— использование результатов;
ссылки:
— документ, содержащий применимый план оценки надежности;
— документ, устанавливающий процедуру оценки надежности (альтернативно процедура может быть включена в аналитическую часть документированного отчета);
— архив данных объекта-прототипа;
идентификация исследуемого объекта:
— наименование нового объекта;
— количество частей нового объекта;
— наименования объектов-прототипов;
— количество частей каждого объекта-прототипа;
анализ:
— уровень анализа (LRU, SRU, уровень функционирования и т.д.);
— сводка данных о каждом объекте-прототипе;
— сравниваемые признаки с учетом параметров использования и эксплуатации;
— основа для количественного определения различий исследуемого признака;
— алгоритм или метод(ы) вычисления;
— идентифицированные элементы новой конструкции без аналогичного объекта-прототипа и способ их оценки;
результаты:
— оценки показателей надежности (MTTF, интенсивность отказов и т.д.);
— ожидаемая изменчивость показателя(ей) надежности;
— показатель(и) надежности (если применимо).
9.3 Анализ долговечности
9.3.1 Краткий обзор анализа долговечности
Оценку долговечности используют для определения оценки ресурса компонентов (если интенсивность отказов зависит от времени), лимитирующих объект. Оценка долговечности может включать анализ и испытания или их комбинацию. Это структурированный процесс, который, при необходимости, может включать следующие основные этапы:
a) определение влияния эксплуатационных нагрузок и условий окружающей среды на оборудование в течение его жизненного цикла, включая доставку, обработку, хранение, эксплуатацию и техническое обслуживание (должны быть определены экстремальные типичные или средние значения);
b) определение функций, связывающих воздействующие нагрузки с границами, определенными в соответствии с физикой процессов, приводящих к отказу, например, замыкание электролиний, вибрационные резонансы и демпфирование;
c) определение величины и расположения значимых нагрузок с использованием, например, FEA;
d) определение вероятных мест, механизмов и моделей отказа с использованием, например, FEA;
e) определение периода времени, в течение которого объект может выдерживать существенные нагрузки с использованием соответствующих моделей физики процессов, приводящих к отказу и появлению разрушений объекта, например, уравнения экстремальных нагрузок Аргениуса, обратных степенных законов и т.д. (анализ нагрузок и анализ износа в условиях типичных/средних нагрузок);
f) составление отчета о результатах в виде перечня мест, механизмов и режимов отказа, упорядоченных в соответствии с ожидаемой наработкой до отказа.
Результаты применения методов ускоренных испытаний являются рекомендованными данными испытаний, как входные данные оценки долговечности или валидации модели разрушения, если это применимо.
Процесс оценки долговечности должен обеспечивать определение оценки, как минимум, долгосрочных воздействий термальных, вибрационных и электрических напряжений. Возможность воздействия других факторов, таких как влажность, должна быть включена при необходимости. Желательно, чтобы оценка обеспечивала оценку воздействия нескольких факторов одновременно. С этой целью могут быть полезны модели физики процессов, приводящих к отказу.
Необходимую информацию часто можно найти в результатах испытаний и руководстве по проектированию поставщиков модулей и компонентов.
В некоторых случаях может быть трудно обеспечить оценку безотказности оборудования, содержащего много устройств с большим количеством отказов каждого. В таких случаях оценка долговечности может быть эффективно использована на более низком уровне для анализа определенных режимов и механизмов отказа внутри оборудования, которые не могут быть описаны постоянной интенсивностью отказов. Результаты такого анализа могут затем быть использованы в качестве части анализа более высокого уровня для оценки показателя безотказности оборудования в целом. Долговечность, прежде всего, связана с процессами износа, и таким образом она, как правило, не характеризуется постоянной интенсивностью отказов.
Перечень сведений, который может быть использован для выполнения эффективной оценки долговечности и составления отчета о результатах, приведен в 9.3.2; более детальная информация приведена в приложении В.
9.3.2 Отчет о результатах оценки долговечности
В отчет об оценке безотказности объекта при использовании анализа долговечности рекомендуется включать следующие сведения:
общая информация:
— дата проведения анализа;
— ФИО аналитиков;
— согласования, если это необходимо;
— стадия программы;
— использование результатов;
ссылки:
— документ, содержащий применимый план оценки надежности;
— документ, устанавливающий процедуру оценки долговечности (альтернативно эта процедура может быть включена в аналитическую часть отчетного документа);
идентификация об исследуемом объекте:
— наименование исследуемого объекта;
— количество исследуемых частей объекта;
анализ:
— идентификация применимых нагрузок при эксплуатации, использовании и/или воздействии окружающей среды;
— идентификация функций пересчета и использованных для их определения источников данных (испытания, аналитические исследования или их комбинация);
— идентификация величины и местоположения нагрузок;
— определение вероятных мест, механизмов и режимов отказа;
— определение среднего ресурса с использованием соответствующей модели разрушения объекта;
результаты:
— определение воздействия проанализированных видов отказов на показатели безотказности объекта в целом;
— определение средней изменчивости результатов оценки.
9.4 Испытания и анализ чувствительности
9.4.1 Обзор испытаний и анализа чувствительности
Если в интенсивности отказов объекта доминирует несколько хорошо изученных видов отказа, то структурированный процесс ускоренных испытаний может обеспечить оценку безотказности объекта.
Испытания при ступенчатом изменении нагрузки приобретают популярность как испытания на чувствительность. Целью таких испытаний является получение отказов за короткое время для определения механизмов возможных отказов. Эти испытания дают информацию о запасах прочности конструкции относительно эксплуатационных нагрузок и воздействий окружающей среды. Испытания выполняют на небольшой выборке почти готового объекта или его подсистемы. В некоторых случаях упомянутые испытания называют HALT (форсированные ресурсные испытания), RET (испытания на повышение надежности) и т.п.
По отношению к воздействию нагрузок и среды к конструкции объекта может быть применен принцип малых приращений путем проведения анализа физики процессов, приводящих к отказу, или испытаний, в частности, испытаний со ступенчатым изменением нагрузки. Оба метода обеспечивают определение чувствительности конструкций и идентификацию вероятных режимов отказов, несмотря на то, что все отказы могут быть оценены для реальных условий эксплуатации. Этот анализ и испытания не всегда могут обеспечивать определение оценки безотказности, но могут быть очень полезны для обеспечения повышения надежности объекта.
Испытания при ступенчатом изменении нагрузки проводят, подвергая единицы продукции относительно низким уровням нагрузки и увеличивая затем уровни нагрузки ступенчатым способом до тех пор, пока не произойдет хотя бы одно из следующих событий:
— достигнуты уровни нагрузки, значительно превышающие ожидаемые при эксплуатации;
— все испытанные единицы продукции отказали и не могут быть восстановлены;
— начинают происходить или доминировать нерелевантные отказы объекта, поскольку на более высоких уровнях нагрузки проявляются новые механизмы отказа. Нерелевантные отказы — это отказы, не связанные с конструкцией испытываемого объекта, такие как отказ испытательного оборудования, повреждение органов управления или дефекты при производстве испытываемой единицы продукции.
Испытания при ступенчатом изменении нагрузки не всегда являются источником количественных данных, но они идентифицируют режимы отказов и оценивают пределы возможностей конструкции. Данные таких испытаний могут быть использованы для исключения режимов отказа при оценке безотказности, если испытания показали, что режим отказа больше не соответствует конструкции или если соответствующие границы возможностей конструкции достигнуты.
Для выполнения эффективного анализа чувствительности и составления отчета о его результатах в 9.4.2 приведен перечень рекомендуемых сведений.
9.4.2 Отчет о результатах испытаний и анализа чувствительности
В отчет об оценке безотказности объекта при использовании испытаний и анализа чувствительности рекомендуется включать следующие сведения:
общая информация:
— дата проведения анализа;
— ФИО аналитиков;
— согласования, если это необходимо;
— стадия программы;
— использование результатов;
ссылки:
— документ, содержащий применимый план оценки безотказности;
— документ, устанавливающий процедуры испытаний и анализа чувствительности (альтернативно процедура может быть включена в аналитическую часть отчетного документа);
идентификация исследуемого объекта:
— наименование объекта;
— количество частей нового объекта;
анализ:
— достигнутые режимы отказа;
— идентифицированные параметры эксплуатации и использования объекта;
— методы испытаний и их обоснование;
— результаты испытаний;
— статистический метод преобразования результатов испытаний для использования при определении оценок показателей надежности;
результаты:
— влияние режимов отказов на показатели безотказности объекта;
— средняя изменчивость оценок показателей безотказности.
9.5 Оценка прогнозируемых показателей безотказности по справочным данным
9.5.1 Краткий обзор прогноза по справочным данным
Если не могут быть получены лучшие данные, то может быть использован прогноз по данным справочников. Необходимо помнить, что поскольку справочные данные основаны на данных эксплуатации и испытаний широкой сферы продукции, они представляют собой средние значения по результатам эксплуатации объектов в различных областях применения. Из-за задержки по времени, связанной со сбором, анализом и публикацией, данные часто относятся к устаревшим компонентам. Поэтому следует определить актуальность справочника и определить дату пересмотра прогноза. Кроме того, справочные данные не учитывают область применения и условия работы исследуемого объекта, а также его конструкцию и процесс сборки. Поэтому данные об аналогичных объектах и данные поставщиков о компонентах или модулях всегда являются предпочтительным дополнением справочных данных.
Прогноз по справочным данным выполняют, следуя инструкциям, приведенным в справочниках, выбранных для использования, или в программном обеспечении, используемом для выполнения прогноза.
Ожидается, что для каждого применения будет выбран соответствующий справочник. Пользователи справочника должны обеспечить применимость и учесть срок действия данных.
В [1] приведено руководство по использованию данных об интенсивности отказов для прогнозирования безотказности компонентов электронного оборудования.
Индустриальные ассоциации и компании всех отраслей промышленности имеют собранные и изданные сборники данных, которые полезны для определения оценок надежности и риска.
Точность любого прогноза зависит от качества данных и близости соответствующего им объекта к конструкции исследуемого объекта, его использованию и окружающей среде. Поэтому общие сборники данных должны быть использованы с большой осторожностью и с низким доверием. Лучший источник данных может быть получен от поставщика объекта. Для выполнения эффективного прогноза по справочным данным и составления отчета о результатах рекомендуется использовать сведения, перечисленные в 9.5.2. Более полезно выполнить для исследуемого объекта анализ нагрузки его части, чем сделать анализ на основе справочных данных, поскольку анализ нагрузки части объекта позволяет учесть особенности конструкции и соответствующие условия окружающей среды.
9.5.2 Отчет о результатах прогноза по справочным данным
В отчет об оценке безотказности объекта при использовании метода прогнозирования по справочным данным рекомендуется включать следующие сведения:
общая информация:
— дата проведения анализа;
— ФИО аналитиков;
— согласования, если это необходимо;
— стадия программы;
— использование результатов;
ссылки:
— документ, содержащий применимый план оценки безотказности;
— справочник по прогнозированию надежности;
— документ, устанавливающий процедуру прогнозирования безотказности;
— применимость;
— срок действия;
— изменения по отношению к методу, установленному в справочнике (если применимо); (альтернативно, процедура может быть включена в аналитическую часть отчета);
— методы, используемые для прогнозирования по справочным данным (если это применимо);
идентификация исследуемого объекта:
— наименование нового объекта;
— количество частей нового объекта;
анализ:
— уровень, на котором выполнен прогноз;
— применимые входные данные для метода прогнозирования по справочным данным;
— показатели использования и эксплуатации объекта;
результаты:
— прогнозируемые показатели безотказности (MTTF, интенсивность отказов и т.д.);
— средняя изменчивость оценок показателей безотказности;
— показатели безотказности (если применимо);
— перечень всех предположений, сделанных при прогнозировании (факторы окружающей среды, рабочие циклы, факторы качества и т.д.).
9.6 Ограничения результатов оценки безотказности
Ограничения и неопределенность должны быть определены количественно (если это возможно). Уровень значимости, основанный на (генеральной) совокупности исходных данных, и соответствующие доверительные интервалы должны быть детализированы, чтобы можно было выделить все источники неопределенности и ограничения результатов оценки безотказности. Если ограничения и неопределенности не могут быть определены количественно, они должны быть кратко описаны в достаточных деталях для пользователя, чтобы он мог их понять и соответственно применить.
В тех случаях, когда известна интенсивность отказов (как исходные данные для анализа безопасности системы или модели затрат) следует использовать только количественные данные.
Неопределенность возникает как результат изменчивости производственных процессов, компонент и материалов, например, изменчивости выходов компонент или свойств материалов, что влияет на появление отказов оборудования. Неопределенность также возникает, когда взаимосвязи факторов не полностью известны; например, если не известно фактическое количество часов эксплуатации для определения оценки MTTF и эта оценка может быть определена только по оценкам для частей объекта, то уровень доверия соответствующей оценки в результате снижается.
Если оценка безотказности значимо отличается от показателя, наблюдаемого при эксплуатации аналогичного оборудования в условиях аналогичного применения, то меру неопределенности результатов зафиксируют в процессе валидации, описанном в 11.2. Результат деятельности по валидации может затем быть использован при выборе наиболее подходящего метода оценки при выполнении анализа, в дальнейшем это обеспечивает более полное понимание процесса.
10 Выбор метода оценки безотказности
Входные данные являются важным критерием при выборе методов оценки безотказности, но существуют также другие факторы, которые влияют на выбор метода:
— технология.
Технология может влиять на выбор метода оценки безотказности несколькими способами. Если технология изготовления объекта аналогична применяемой при изготовлении предыдущих моделей объекта, могут быть применены методы оценки безотказности, использующие полученные ранее данные или результаты ранее проведенного анализа. Если технология изготовления объекта является новой, может возникнуть необходимость разработки новых моделей;
— последствия отказа системы.
Часто желаемая прецизионность оценки безотказности зависит от социальных или бизнес-последствий отказа системы. Обычно при высоком риске необходим более точный прогноз, если риск включает технический, социальный и бизнес-риск. Риски, связанные с финансовыми потерями, — это риски, вызванные задержками приемки продукции, штрафами, вызванными отклонениями от обязательных требований, задержками поставки на рынок, потерей доверия потребителей, судебными издержками, нарушением безопасности, конфиденциальности и защиты информации. Социальный риск связан с возможностью нанесения вреда здоровью человека и экологии;
— критичность отказа.
Отказ элемента системы не обязательно вызывает отказ системы. Последствия отказов каждого элемента могут зависеть от условий и изменяться от отказа системы в целом до незначительного ухудшения работы. Вероятность возникновения каждого вида отказа также является различной. Важно затратить больше ресурсов на оценку тех видов отказов, последствия которых являются более существенными и/или которым соответствует высокая вероятность реализации;
— доступные ресурсы.
Выбор метода прогнозирования безотказности может зависеть от доступных ресурсов, включая время, бюджет и информацию. Для некоторых методов прогнозирования безотказности могут потребоваться недоступные техническая информация или данные, например, полученные ранее или данные эксплуатации и испытаний. Временные или бюджетные ограничения могут препятствовать сбору необходимых данных. Уровень квалификации и осведомленность персонала о некоторых типах прогноза могут повлиять на выбор метода прогнозирования безотказности;
— внешние воздействия.
Внешние воздействия могут влиять на выбор метода прогнозирования безотказности. В организации может быть установлен метод прогнозирования безотказности, используемый для всех объектов или всех объектов определенного типа. Альтернативно потребители и проверяющие могут потребовать использовать конкретный тип метода прогнозирования безотказности или могут потребовать обеспечить прецизионность оценки, которая может быть получена только при использовании некоторых методов. Кроме того, предубеждения за или против определенных методов прогнозирования со стороны заказчиков или разрабатывающих организаций могут влиять на выбор метода прогнозирования безотказности. Доступная информация об условиях и параметрах эксплуатации может ограничить применение методов прогнозирования безотказности. Выбор показателя безотказности также ограничивает применимые методы прогнозирования безотказности, так как некоторые методы применимы только для определенных показателей, например для постоянной интенсивности отказов. Техническая информация, полученная от поставщика, может подходить только для определенных методов прогнозирования безотказности, или поставщик может иметь возможность выполнять только определенные методы прогнозирования безотказности;
— качество и доступность данных.
Данные о безотказности часто являются неточными, поскольку данные о предыдущих испытаниях и/или эксплуатации системы не всегда известны точно, и данные, собранные для конкретной системы или оборудования, не всегда применимы в других случаях, например, когда окружающая среда, особенности производства, определение отказа или какой-либо другой фактор или комбинация факторов отличаются. Эта потенциальная погрешность должна быть выявлена и учтена при выборе метода оценки безотказности;
— требования контракта.
Требования безотказности, установленные в контрактах, часто предусматривают выплату штрафа за невыполнение установленных требований. Поставщики высоконадежного оборудования часто способны выполнить эти требования путем небольших доработок конструкции или производственного процесса, но, как правило, испытывают трудности и затрачивают немалые средства на демонстрацию выполнения требований потребителю. Часто невозможно организовать подтверждение безотказности, которое сочетает разумные риски для обеих сторон с разумной продолжительностью испытаний. В этих случаях приемка по показателям безотказности может быть основана на накопленных данных об использовании ранее установленных аналогичных систем или, возможно, на данных гарантийного периода, когда затраты на устранение отказа и/или перепроектирование объекта несет поставщик. Оценка безотказности часто является частью такой демонстрации. Желательно, чтобы источник данных и метод оценки безотказности были согласованы этими двумя сторонами, в противном случае последуют переговоры о различных значениях интенсивности отказов, когда каждая сторона будет стремиться получить результат в свою пользу.
11 Улучшение процесса оценки безотказности
11.1 Общие положения
Предыдущие результаты оценки безотказности могут быть использованы для улучшения процесса оценки безотказности и являются источником информации для улучшения оборудования на всех стадиях его жизненного цикла.
11.2 Результаты валидации оценки безотказности
Виды валидации:
a) сравнение результатов расчета оценок безотказности, например MTTF, MTBUR, доверительных интервалов, наработок до отказа и т.д. с данными эксплуатации объектов;
b) сопоставление прогнозируемых на основе оценки безотказности мест, режимов и процессов возникновения отказа с данными эксплуатации объекта;
c) проверка того, что все зафиксированные отказы являются правомерными;
_______________
Отказы возникли в режимах и условиях функционирования объекта, предусмотренных документацией.
d) сопоставление условий окружающей среды при эксплуатации и техническом обслуживании с предполагаемыми ранее при определении оценок безотказности.
Перечисления a) и d) должны быть учтены. Может случиться (см. a)), что внезапный скачок напряжения в линии электропитания (независимый отказ), являющийся следствием отказа единственного компонента, может привести к появлению многих других (вторичных) отказов. Если не было каких-либо особых причин регистрации зависимых отказов, то такие отказы обычно исключают. Могут быть исключены также и другие типы отказов. Например, если окружающая температура при работе составных частей оборудования выходит за пределы, предусмотренные конструкторской документацией, это может привести к отказу оборудования, такой отказ, возможно, тоже должен быть исключен. Следует отметить, что подавляющее большинство причин отказов высоконадежных элементов оборудования, как правило, не имеет отношения к конструкции или безотказности оборудования.
Следует проявлять внимательность при сопоставлении прогнозируемых оценок с результатами наблюдений (см. b)). Почти всегда прогнозируемые и наблюдаемые оценки не совпадают даже приблизительно, несмотря на то, что результаты прогноза могут быть близки к реальности. Это происходит потому, что прогноз дает значения математического ожидания, тогда как наблюдения являются случайными значениями. Например, если сбалансированную монету бросить 10 раз, то шанс того, что в результате половины бросков монета упадет решкой вверх, будет довольно маленьким (например, менее 25%). Разумеется, что в повторных сериях из 10 бросков доля серий, состоящих точно из пяти решек и пяти орлов, будет приближаться к 50%.
График разработки отчетов о результатах валидации должен быть документирован.
11.3 Улучшение процесса оценки безотказности
Для улучшения процесса оценки безотказности на основе результатов оценки безотказности необходимо рассмотреть следующее (см. рисунок 3):
— улучшение процесса сбора данных;
— улучшение выбора соответствующего источника данных и применяемого метода оценки;
— необходимость модификации уравнений, алгоритмов и методов вычислений;
— внедрение методов оценки безотказности, разработанных в академических, промышленных, исследовательских организациях, при условии, что они применимы для исследуемого объекта;
— идентификацию видов оборудования — прототипа для моделирования при проведении анализа подобия;
— улучшенное руководство по интерпретации результатов оценки для эффективного принятия решений.
Должны быть разработаны процессы сбора и анализа данных или системы регистрации реальных данных, данных об объектах, возвращенных потребителем, и данных эксплуатации для улучшения процессов проектирования и изготовления при улучшении оборудования, например, FRACAS, повышение надежности и статистическое управление процессами. Документированные процессы должны быть основаны на данных о процессах и дополнительной информации для улучшения процессов оценки безотказности, вместо их замены или отмены.
Приложение А
(справочное)
Примеры анализа подобия
Примечание — В данном приложении приведена информация, помогающая понять применение метода анализа подобия для оценки безотказности. Приведен пример применения метода анализа подобия.
А.1 Как использовать данное приложение
Выбор наиболее подходящего метода оценки безотказности для любого заданного применения зависит от типа объекта, целей в области безотказности и доступных данных. Кроме того, существует много способов выполнения анализа подобия. Должны быть выбраны наиболее подходящий метод и способ его выполнения и внедрения.
Данное приложение включает описание необходимых данных (см. А.2.2), пример применения метода (см. А.2.3), использование результатов и ограничения (см. А.2.4), улучшение процесса оценки безотказности (см. А.2.5).
Несмотря на то, что в приведенном примере вычисляют MTTF, метод также может быть использован для оценки показателей безотказности.
А.2 Пример анализа подобия
А.2.1 Общие положения
Ниже приведено два варианта анализа подобия. Эти два варианта представляют собой анализ подобия низкого и высокого уровней. Главное различие этих вариантов состоит в том, что для анализа подобия высокого уровня необходимо подобие на уровне системы. Чтобы показать универсальность метода анализа подобия, пример анализа подобия на высоком уровне выполнен на уровне заменяемых элементов, пример анализа подобия низкого уровня выполнен на уровне функции, хотя любой вариант метода может быть применен на любом уровне.
А.2.2 Данные
А.2.2.1 Данные о безотказности в эксплуатации
Сбор и анализ данных эксплуатации является основой методологии анализа подобия. Данные о безотказности объекта в эксплуатации, как правило, включают количество отказов в эксплуатации, информацию о причинах отказов или видах отказа и количество часов эксплуатации.
Первые два вида сведений могут быть получены из базы данных организации, поддерживающей информацию о деятельности по восстановлению объекта. База данных должна идентифицировать оборудование (готовое изделие или подсистему), ремонтируемые или заменяемые компоненты и описание эксплуатации для персонала по техническому обслуживанию объекта для идентификации типа отказа готового объекта. Отказы готового объекта в целом могут быть следствием отказов аппаратных средств, программного обеспечения, неверного использования потребителем, дефектов конструкции, ошибок производства и других причин. Эти данные используют для вычисления распределения отказов объекта или компонентов.
Данные о часах в эксплуатации, собранные потребителем, регистрируют или оценивают по типовым показателям использования. Такие отчеты поддерживают в соответствии с практикой организации. Эти данные, объединенные с информацией об отказах, описанной выше, используют для вычисления интенсивности отказов в эксплуатации и MTTF объектов или подсистем.
А.2.2.2 Данные о характеристиках объекта
Данные о характеристиках объекта получают на основе данных об эксплуатации готовых и разрабатываемых объектов. Данные включают всю документацию, относящуюся к объекту, а также информацию, определяющую процесс проектирования, производственный процесс и среду использования готового объекта. Примерами такой документации являются документы, устанавливающие требования к объекту, перечень электрических и механических составных частей и чертежи. Эти данные используют для идентификации характерных различий нового объекта и объекта-прототипа. Перечень возможных характерных различий приведен в таблице А.1.
А.2.3 Методы
Примечание — Этапы процесса, электронные таблицы и вычисления, используемые в примерах метода анализа подобия, описаны ниже. На рисунке А.1 показана общая блок-схема этого процесса.
А.2.3.1 Виды физических моделей
Анализ подобия использует виды физических моделей, описанные ниже для сопоставления новых объектов и объектов-прототипов или подсистем-прототипов.
Первые пять видов моделей, указанных ниже, являются типовыми на уровне компонент, количественно характеризуют отказы объекта в эксплуатации, вызванные отказами компонент. Следующие два вида моделей относятся к процессам проектирования и производства. Дополнительные виды моделей могут быть использованы для определенного оборудования, не относящегося к категориям части или процесса. В приведенном ниже примере отказы, связанные с производством компонент, категоризированы по производственным процессам (категория 6), неправильному использованию, а повышенные нагрузки компонент категоризированы по процессам проектирования (категория 7). Примерами физической модели являются следующие категории:
модели вида 1: модели для пассивных частей низкой сложности (резисторов, конденсаторов и редукторов);
модели вида 2: модели для пассивных частей высокой сложности (трансформаторов, кварцевых генераторов и пассивных фильтров);
модели вида 3: модели для соединений (разъемов, печатных плат, паяных соединений, гибких лент, паяных стыков);
модели вида 4: модели для полупроводников низкой сложности (дискретных, линейных и цифровых интегральных схем);
модели вида 5: модели для полупроводников высокой сложности [процессоров, программируемых вентильных матриц памяти и эксплуатации, проблемно-ориентированных интегральных схем (ASIC)];
модели вида 6: модели для производственного процесса;
модели вида 7: модели для процесса проектирования;
модели вида 8: модели для других причин отказа, определенных пользователем при описании процессов, приводящих к отказу, которые не вписываются в категории 1-7 или которые аналитик хочет выделить отдельно из-за высокой частоты их реализации.
Примеры — режимы отказа с ограниченным ресурсом, например, лампы или выключатели, некоторые виды аппаратных средств или модификации программного обеспечения, выполненные как корректирующие или предупреждающие действия.
А.2.3.2 Этапы процесса
А.2.3.2.1 Общие положения
На рисунке А.1 приведена блок-схема этапов процесса анализа подобия. Ниже приведено описание каждого этапа процесса со ссылками (в качестве примера) на таблицы А.2 и А.3.
a) Этап 1. Сопоставление нового оборудования с оборудованием, для которого существуют данные эксплуатации. Сопоставление может быть сделано на уровне объекта в целом или на уровне составных частей. Если сопоставление выполняют с несколькими объектами-прототипами или их составными частями, то оставшиеся этапы должны быть выполнены отдельно для каждого объекта-прототипа или составной части.
Выходом этапа является идентификация одного или нескольких объектов или составных частей, достаточно близких по аналогии к новому оборудованию или его составным частям, и имеющим, как предполагается, сопоставимые уровни безотказности. Достаточное подобие определяют на основе знаний аналитика об исследуемом оборудовании, теории надежности и его опыта работы с процессом. Опыт работы с процессом может показать, что если количество различий превышает установленное значение, то результаты оценки безотказности являются неприменимыми.
b) Блок принятия решений. Если между новым объектом и объектом-прототипом выявлена высокая степень подобия на уровне объекта в целом или на уровне составных частей, то должен быть выбран анализ подобия высокого уровня. В этом случае выполняют этапы 2Н-5Н (см. ниже). Оставшиеся этапы процесса и уравнения анализа подобия высокого уровня приведены в А.2.3.2.2.
Если выявлено недостаточное подобие для выполнения анализа подобия высокого уровня, может быть применен анализ подобия низкого уровня. Для выполнения анализа подобия низкого уровня выполняют этапы 2L-5L, если сопоставление на этапе 1 показало, что данные эксплуатации группы объектов-прототипов имеют достаточную аналогию с новым объектом. Для проведения анализа подобия низкого уровня высокий уровень подобия не требуется, но более высокие уровни подобия улучшают точность оценки и снижают ее изменчивость. Остальные этапы процесса и уравнения анализа подобия низкого уровня приведены в А.2.3.2.3.
А.2.3.2.2 Этапы процесса анализа подобия высокого уровня
Этап 2Н. Идентификация всех характерных различий нового объекта и объекта-прототипа в целом или его составных частей. Перечень описаний и примеров различий приведен в А.2.3.1. Каждое различие приведено в первом столбце таблицы А.2.
На содержание таблицы А.2 влияет количество используемых объектов-прототипов или, если анализ выполняют на заменяемых элементах прототипов составных частей объекта или функций. Если анализируют несколько объектов-прототипов, для каждого объекта-прототипа должна быть заполнена отдельная таблица. Если анализ выполняют на уровне составных частей или на уровне функций, то для каждого объекта-прототипа составной части должна быть заполнена отдельная таблица.
Этап 3Н. Оценивают каждое характерное различие, идентифицированное на этапе 2Н по отношению к ожидаемым различиям показателя безотказности нового объекта и объекта-прототипа. Это различие определяют количественно относительно отдельных видов физических моделей, определенных в А.2.3.1.
На данном этапе дают описание каждого вида моделей для каждого характерного различия, как показано в таблице А.2. Если не ожидается воздействий на конкретное характерное различие в данном виде моделей, то никакой вход не нужен («1» означает «принято»). Входов, которые возможно улучшат безотказность, меньше одного, а входов, которые возможно ухудшат безотказность, больше одного.
Запись, соответствующая характерному различию в таблице А.2 в виде «комбинация А2 в ASIC», означает комбинацию нескольких отдельных компонентов в единственной ASIC.
Этап 4Н. Внесение данных об отказах в процессе эксплуатации объекта-прототипа или его составных частей в таблицу А.2. Данные об отказах в процессе эксплуатации, описанные в А.2.2.1, должны быть собраны в форме процентов для определения распределения вида отказа в соответствии с видом физической модели развития отказа и общей интенсивностью отказов.
Для оценки распределения вида отказа причины всех отказов в процессе эксплуатации объекта в целом или его составных частей должны быть отнесены к видам физических моделей. Количество отказов каждого вида делят на общее количество отказов объекта в целом для определения процентного вклада отказов каждого вида в общее количество отказов. Полученные проценты вводят в строку таблицы А.2 с наименованием «Распределение вида отказов объекта-прототипа». Общую интенсивность отказов для объекта в целом или его составных частей вводят в соответствующее место в нижней части таблицы А.2.
Этап 5Н. Определяют результаты в таблице А.2 для вычисления прогнозируемого показателя безотказности. Выполняемые вычисления включают следующее:
a) вычисление значения в строке «Влияние по физическим моделям» для каждого вида физических моделей в виде произведения значений по всем характерным различиям;
b) вычисление значения в строке «Интенсивность отказов по видам моделей» для каждого вида физических моделей в виде произведения «Влияние по физическим моделям» и «Распределение вида отказа объекта-прототипа»;
c) вычисляют «Отношение интенсивностей отказов» как сумму всех значений в строке «Интенсивность отказов по видам моделей»;
d) вычисляют «прогнозируемую интенсивность отказов» для нового объекта в целом или его составной части как произведение показателей «Интенсивность отказов объекта-прототипа» и «Отношение интенсивностей отказов».
В таблице, представляющей анализ подобия высокого уровня, выполнены расчеты в соответствии с (А.1):
Интенсивность отказов нового объекта , (А.1)
где — интенсивность отказов в эксплуатации объекта-прототипа в целом или его составной части;
— доля распределения вида отказа для вида моделей N;
— коэффициент различий между исследуемым объектом и объектом-прототипом в целом или их составными частями для вида моделей N;
N — номер вида физической модели, который принимает значения от 1 до 7.
Уравнение (А.1) основано на предположении о том, что не существует дополнительных видов физических моделей, определенных пользователем. Если такие виды существуют, то максимальное значение N увеличивают на количество дополнительных видов моделей, определенных пользователем.
Несмотря на то, что в таблице не показаны интенсивности отказов отдельных видов моделей, они могут быть вычислены. Для этого нормализуют значение «Интенсивность отказов по видам моделей», считая общую сумму равной 1,0, и умножают значение нормализованной категории на показатель «Прогнозируемая интенсивность отказов».
А.2.3.2.3 Этапы анализа подобия низкого уровня
Этап 2L. После того, как групп(ы) объектов в эксплуатации отобраны, определяют интенсивность отказов по видам моделей. Интенсивности отказов по видам моделей могут быть применены непосредственно к новому объекту; однако могут быть случаи, когда интенсивность отказов должна быть умножена на соответствующий коэффициент, например, окружающая среда нового объекта отличается от среды объекта-прототипа. В таких случаях интенсивность отказов может быть умножена на соответствующий коэффициент с описанием коэффициента и его обозначением в отчете об оценке.
Выходом этого этапа являются интенсивности отказов по видам моделей с примененным коэффициентом. Эти значения вводят в таблицу А.3 в строку «Ожидаемые интенсивности отказов по видам моделей».
Если используют данные объекта-прототипа для новых функций объекта, то необходимо составить отдельную таблицу для каждого набора данных объекта-прототипа. Если используют несколько объектов-прототипов, то данные могут быть собраны в единственную таблицу или для каждого объекта-прототипа выполняют отдельный анализ с отдельными таблицами.
Этап 3L. Определяют количество компонентов для каждого из функциональных уровней, указанных в первом столбце таблицы А.3. Соответствующие компонентам значения указывают в соответствующем компоненту виде моделей и вносят в таблицу.
Этап 4L. Определяют перечень различий процессов проектирования и изготовления нового эксплуатируемого оборудования. В таблице А.1 показан перечень возможных различий, которые необходимо рассмотреть для процессов проектирования и производства.
Индивидуальные коэффициенты различий (множители) отдельно перемножают для определения комплексного коэффициента интенсивности отказов для интенсивности отказов при изготовлении и при проектировании. В таблице А.4 в качестве примера показаны выявленные коэффициенты, соответствующие процессам и продукции, которую они изготавливают.
Общие коэффициенты процессов вводят в ячейки в столбцах для вида моделей 6 (производственный процесс) и категорией вида моделей 7 (процесс проектирования) таблицы А.3.
В приведенном описании предполагается, что интенсивность отказов является постоянной (экспоненциальное распределение). Если интенсивность отказов не является постоянной, распределение наработок может быть описано распределением другого типа, например распределением Вейбулла. В этом случае интегральная функция распределения F(t) должна быть вычислена с учетом конкурирующих рисков. Другой метод состоит в использовании моделирования методом Монте-Карло (см. ГОСТ Р 27.607, ГОСТ Р 50779.27 и [3]).
Этап 5L. Выполняют вычисления с помощью таблицы А.3. Для расчетов используют выражения (А.2) и (А.3), приведенные ниже. При этом:
— вычисляют значения в строке «сумма по видам моделей» для 1-5, добавляя значения для каждого уровня, указанные в столбце 1;
— вычисляют значения в строке «общая интенсивность отказов по видам моделей» для:
— видов моделей 1-5, умножая значения в строке «сумма по видам моделей» на значения в строке «ожидаемая интенсивность отказов по видам моделей»;
— видам моделей 6 и 7, умножая значения в строке «коэффициент процесса» на значения в строке «ожидаемая интенсивность отказов по видам моделей»;
— вычисляют значения в строке «общей интенсивности отказов объекта», складывая все записи в строке «общая интенсивность отказов по видам моделей». Эту интенсивность отказов можно затем использовать для вычисления MTTF или других показателей безотказности.
Общая интенсивность отказов объекта:
. (А.2)
Общая интенсивность отказов функции:
, (А.3)
где — значение, соответствующее L-й функции и C-му виду моделей;
— общее количество составных частей в объекте
;
L — один из уровней декомпозиций, указанных в первом столбце таблицы А.3;
C — один из видов физических моделей, указанных в таблице А.3;
n — количество функций при оценке;
— ожидаемые интенсивности отказов для C-го вида моделей;
— коэффициент, соответствующий процессу изготовления;
— коэффициент, соответствующий процессу проектирования;
— ожидаемая интенсивность отказов вида моделей 6 (процесса производства);
— математическое ожидание интенсивности отказов вида моделей 7 (процесса проектирования).
Приведенные выше математические выражения основаны на предположении о том, что не существует дополнительных видов физических моделей, определенных пользователем. Дополнительные виды моделей, определенные пользователем, рассматривают также как виды моделей компонентов (категории 1-5).
Интенсивность отказов функций, показанная в таблице А.3, не включает интенсивность отказов процессов (виды моделей 6 и 7). Хотя это не показано в таблице, может быть выполнено распределение интенсивности отказов процесса по функциям. Для этого существует два метода:
a) распределение на основе сложности объекта, т.е. в соответствии с количеством составных частей, каналов и общей интенсивностью отказов компонент;
b) распределение на основе априорных знаний о проблемах, с которыми сталкиваются в аналогичных объектах.
Методы распределения интенсивности отказов процессов могут быть различны для процессов производства и проектирования. Также может быть использована комбинация этих методов, т.е. распределение на основе количества составных частей, а затем на основе априорных знаний.
А.2.4 Область применения и ограничения метода
Результаты метода анализа подобия могут быть применены непосредственно к решениям о конструкции оборудования, бизнес-решениям, решениям о структуре системы и по оценке безопасности. Применение этих результатов в качестве входа при оценке безопасности зависит от целей анализа безопасности, а также от уровня, на котором выполняют оценку безотказности.
А.2.5 Улучшение процесса
После того, как для объекта получены данные эксплуатации объекта, их сопоставляют с результатами оценки надежности. Противоречия исследуют для внесения изменений в процесс. Эти изменения могут относиться к процессу сбора и анализа данных или непосредственно к процессу, установленному в плановой документации.
Таблица А.1 — Пример характерных различий
Физический объект |
Процесс |
Окружающая среда |
|
Критические компоненты |
Использование CAD |
Наличие охлаждения |
|
Ухудшение функционирования |
Использование САМ |
Неактивированные факторы |
|
Отклонения и отказы |
Управление документацией |
Рабочий цикл |
|
Долговечность |
Обучение (подготовка) потребителя |
Чувствительность ESD |
|
Электрическое напряжение |
Анализ напряжения и допустимых условий эксплуатации |
Условия применения в эксплуатации |
|
Средний ресурс |
ESS, MASS |
Условия восстановления и ремонта |
|
Ложные срабатывания |
Надзор за эксплуатацией |
Условия использования |
|
Локализация неисправности |
FMEA |
||
Функциональные изменения |
FRACA/FRB |
||
Режимы эксплуатации |
Анализ дерева неисправностей |
||
Новое программное обеспечение |
Проверка заявленной надежности |
||
Процент ранее использованных программных средств |
Материалы |
||
Потеря мощности |
Качество материалов |
||
Факторы безопасности |
Устаревание составных частей |
||
Плановое техническое обслуживание |
Качество составных частей |
||
Технологическая зрелость |
Отбраковка составных частей |
||
Точки проверки (испытаний) |
Изготовление прототипа |
||
Объем |
Вторые поставщики |
||
Вес |
Моделирование |
||
Программное обеспечение |
|||
SPC |
|||
Временной анализ |
|||
Анализ наихудшей ситуации |
|||
CAD — автоматизированное проектирование; CAM — автоматизированное производство; ESD — электростатический разряд; ESS — проверка нагрузки окружающей среды; HASS — отбраковка при воздействии существенно усиленной нагрузки; |
FMEA — анализ видов и последствий отказов; FRACA — анализ видов, последствий и критичности отказов; FRB — комиссия по анализу отказов; SPC — статистическое управление процессами |
Рисунок А.1 — Пример блок-схемы анализа подобия
Таблица А.2 — Пример таблицы анализа подобия высокого уровня
_______________
В таблице рассмотрен абстрактный объект. Пример приведен для иллюстрации применения метода.
Идентификация объекта: Модель YYY |
Категории физических моделей |
Иденти- Модель ZZZ |
|||||||
Характерные |
Вид |
Вид |
Вид |
Вид |
Вид |
Вид |
Вид |
Вид |
|
различия (описание категорий) |
моделей 1 |
моделей 2 |
моделей 3 |
моделей 4 |
моделей 5 |
моделей 6 |
моделей 7 |
моделей 8 |
Примеча- |
1) Объединение двух PWB в один |
0,9 |
||||||||
2) Сокращение количества составных частей в А4 |
0,8 |
0,6 |
|||||||
3) Применение А1 к монтажу поверхности |
0,8 |
||||||||
4) Выполнение RET на новом объекте |
0,8 |
||||||||
5) Объединение А2 в ASIC |
0,89 |
0,98 |
0,85 |
1,2 |
|||||
6) |
|||||||||
7) |
|||||||||
|
|||||||||
9) |
|||||||||
10) |
|||||||||
Влияние по физическим моделям |
0,712 |
1 |
0,882 |
0,51 |
1,2 |
0,8 |
0,8 |
1 |
|
Распределение видов отказа объекта- |
10,0% |
10,0% |
10,0% |
20,0% |
20,0% |
20,0% |
10,0% |
0,0% |
|
Интенсивность отказов по видам моделей |
0,0712 |
0,1 |
0,0882 |
0,102 |
0,24 |
0,16 |
0,08 |
0 |
|
Отношение интенсивностей отказов |
0,8414 |
Интенсивность отказов объекта-прототипа (миллион часов) = 50,77
Прогнозируемая интенсивность отказов (миллион часов) = 42,718
MTBF объекта-прототипа (ч) = 19697
Прогнозируемая MTBF (ч) = 23409
Таблица А.3 — Пример таблицы анализа подобия низкого уровня
Таблица А.4 — Пример таблицы коэффициентов различий процесса
Характерное различие |
Воздействие интенсивности отказов изготовления |
|
1 |
Монтаж поверхности в зависимости от сборки |
0,8 |
2 |
Внедренная HASS |
0,8 |
3 |
Значение на 25% больше среднего |
1,25 |
4 |
||
5 |
||
6 |
||
7 |
||
8 |
||
9 |
||
10 |
||
Итого |
0,8 |
|
Характерное различие |
Влияние интенсивности отказов проекта |
|
1 |
Внедренная HALT |
0,8 |
2 |
Пропущенный внутренний анализ проекта |
1,125 |
3 |
||
4 |
||
5 |
||
6 |
||
7 |
||
8 |
||
9 |
||
10 |
||
Итого |
0,9 |
Приложение В
(справочное)
Анализ долговечности
Примечание — В данном приложении приведена информация, помогающая пользователю понять применение метода анализа долговечности для оценки безотказности.
В.1 Описание и использование анализа долговечности
Анализ долговечности представляет собой структурированный анализ объекта на основе реакции оборудования на нагрузки при эксплуатации, техническом обслуживании, транспортировании, хранении и другой деятельности в процессе жизненного цикла для оценки среднего ресурса.
В соответствии с определением результаты анализа долговечности устанавливают в виде предполагаемой наработки до отказа, а не в виде интенсивности отказов или MTTF. Результатами анализа долговечности является продолжительность работы конкретного объекта до отказа, а не частота, с которой группа объектов в среднем отказывает.
Обычно анализ надежности направлен на оценку случайных наработок до отказа, которые будут происходить у оборудования в течение его периода эксплуатации. Предполагается, что эти отказы являются восстанавливаемыми в результате ремонта и могут быть вызваны множеством причин, таких как дефекты оборудования, неправильное использование, повреждения, вызванные несоответствующими условиями эксплуатации, несоответствующим техническим обслуживанием и т.д. С другой стороны, в процессе анализа долговечности исследуют отказы, вызванные износом определенных компонентов конструкции.
Основные этапы анализа долговечности:
a) определение режимов эксплуатации и условий окружающей среды;
b) анализ нагрузок;
c) моделирование повреждений.
Каждый из этих этапов рассмотрен ниже.
В.2 Анализ долговечности
В.2.1 Определение режимов эксплуатации и условий окружающей среды
Анализ долговечности связан с определением реакций оборудования на определенные нагрузки, которым подвергается оборудование в течение жизненного цикла. Поэтому анализ долговечности начинают с определения типов, величин и источников всех условий, в которых оборудование необходимо эксплуатировать, хранить или в которых оборудованием управляют.
Режимы эксплуатации включают:
— электрические нагрузки для функционирования оборудования;
— установившуюся температуру при самонагревании;
— изменения температуры в результате включения и выключения оборудования;
— вибрацию в процессе эксплуатации;
— требования к влажности с учетом влажности и конденсации;
— другие нагрузки, которые могут привести к отказам.
Нагрузки со стороны окружающей среды включают:
— установившуюся температуру окружающей среды;
— изменения в обеспечении необходимых условий, таких как обеспечение электропитания, охлаждения и т.п.;
— изменения окружающей температуры;
— окружающую влажность;
— окружающие химические загрязнители;
— механический удар при обработке;
— электромагнитное поле;
— отказы, вызванные техническим обслуживанием;
— механическую вибрацию при транспортировании;
— другие условия окружающей среды, которые могут привести к отказам объекта.
Некоторые сведения о перечисленных условиях могут быть получены от потребителя, другие могут быть получены из конструкторских документов или аналогичных публикаций. Невозможно определить количество всей необходимой информации относительно условий окружающей среды и режимов эксплуатации. В таких случаях может потребоваться техническое обоснование. Если условие известно или может возникнуть с высокой вероятностью, как правило, его лучше рассмотреть, чем проигнорировать.
Многие из соответствующих условий могут возникнуть на определенных этапах ожидаемого ресурса оборудования, таких как хранение, отгрузка и т.д. Важно знать или достоверно оценить продолжительность воздействия каждого из условий.
В.2.2 Анализ нагрузок
Описанные условия могут привести к нагрузкам, сокращающим ресурс оборудования. Анализ нагрузок предусматривает определение величины и воздействия нагрузок. В некоторых случаях нагрузки могут быть одинаковыми по всему оборудованию, например, температура может быть одинаковой, если окружающая температура является постоянной, а оборудование не выделяет или выделяет небольшое количество тепла при работе. В большинстве случаев нагрузки различны во времени и пространстве. Почти во всех случаях способность различных элементов оборудования противостоять нагрузкам различна.
Обычно анализ нагрузок проводят с использованием некоторого типа автоматизированного анализа, такого как анализ конечных разностей или конечных элементов. Результаты такого анализа обычно бывают представлены графически с выделенными областями наибольших воздействий нагрузок.
В.2.3 Моделирование разрушения
В.2.3.1 Общие положения
После идентификации типов, мест воздействия и величины нагрузок определяют их влияние на возникновение отказа, вызванного износом. Для этого используют модели процессов разрушения. Модели разрушения представляют собой математические уравнения, позволяющие спрогнозировать период времени, в течение которого объект может противостоять данной нагрузке до отказа, вызванного износом. (Модели разрушения также используют в форсированных испытаниях для анализа состояния объекта за более длительное время на низком уровне нагрузки на основе его состояния по истечении более короткого времени с более высоким уровнем нагрузок.)
Модели разрушения полезны для прогноза отказа, вызванного износом, возникшим под влиянием накопленных повреждений при работе объекта или при нарушении окружающих условий. Эти модели не применимы к отказам, вызванным превышением допустимых нагрузок.
Самыми строгими моделями разрушения являются модели, описывающие физику процессов, приводящих к отказу на уровне структуры или молекулярном уровне. Такие модели называют структурной моделью закрытой формы, составной моделью или моделью физики процессов, приводящих к отказу. Пример такой модели в области диффузии приведен в [4].
Другим типом модели разрушения является эмпирическая модель. Эмпирические модели не основаны на описании изменений структуры, они математически описывают данные, собранные в процессе испытаний и эксплуатации. Эти модели можно рассматривать как аппроксимирующую кривую, хотя знание физики процессов, приводящих к отказу, часто применяют при построении такой кривой. Примерами моделей этого типа являются некоторые из моделей, разработанных для испытаний на влияние влажности. Следует помнить однако, что большая часть таких моделей разрушения разработана с использованием некоторого уровня эмпиризма.
Модели разрушения изменяются от очень простых до очень сложных. Обычно более простые модели охватывают более широкий диапазон случаев, а более сложные модели соответствуют узкому набору ситуаций. Кроме того, некоторые более сложные модели могут быть трудны при использовании. Техническое обоснование должно описывать выбор самой простой модели, дающей удовлетворительные результаты. Возможно, лучшим советом в этом отношении является следующий [5]:
«……может существовать два или более истинных соотношений различных форм. Единственным разумным способом действий в этом случае является выбор соотношения, которое наиболее легко дает ответы на поставленные вопросы».
Различные формы модели разрушения доступны для анализа долговечности, необходимо рассмотреть все разумные модели. В данном приложении представлены три общих формы моделей:
a) модель Аррениуса;
b) обратный степенной закон;
c) модель Эйринга.
Большинство популярных используемых в настоящее время моделей разрушения представляют собой варианты одной из этих трех моделей. Эти и другие модели описаны во многих публикациях (см. например [6]-[10]).
Эмпирические значения коэффициентов моделей оценивают по результатам испытаний, проводимых по каждой новой технологии, составной части, поставляемых поставщиками. Данные могут быть получены от поставщиков компонент или из литературных источников.
В.2.3.2 Модель Аррениуса
В 1889 году (см. [11]) разработана модель, описывающая инверсию сахарозы. Модель представляет собой уравнение зависимости интенсивности процесса от температуры:
, (В.1)
где r — интенсивность реакции;
— константа;
— энергия активации в электроновольтах;
_______________
Обычно энергию активации указывают в электроновольтах, но иногда ее указывают в калориях или килоджоулях на моль 1 eV=23 килокалорий/моль = 96,5 килоджоулей/моль.
k — константа Больцмана (8617×10 eV/K);
T — температура реакции в K.
Произведение интенсивности реакции и времени, в течение которого происходит реакция, является постоянным для всех значений из области применения, т.е. для двух различных температур реакции и :
. (В.2)
Таким образом, для данного механизма наработку до отказа (если — константа) можно представить в виде
. (В.3)
Если постоянная А и энергия активации неизвестны, их можно определить путем проведения ускоренных испытаний при более высокой температуре, чем ожидаемая при использовании. Это позволяет определить коэффициент ускорения для уравнения Аррениуса:
, (В.4)
где индексы u и t соответствуют значениям при использовании и при испытаниях.
Уравнение Аррениуса описывает процессы с выделением тепла, такие как отвердевание, химические реакции, многие процессы отказа полупроводника, аккумулятора и т.п.
Уравнение Аррениуса применимо ко многим физическим процессам, приводящим к отказу, но в каждом случае значение энергии активации различно.
В.2.3.3 Обратный степенной закон
Обратный степенной закон описывает ресурс системы, который обратно пропорционален воздействующей нагрузке. Общая форма этого закона:
, (В.5)
где — время до реализации события (такого как отказ);
A — постоянная характеристика объекта;
S — воздействующая нагрузка;
n — показатель степени характеристики объекта.
Для различных применений разработаны различные формы обратного степенного закона. Одной из наиболее распространенных форм является закон Кофин-Мансона для испытаний на усталость [12], [13]:
, (В.6)
где — количество циклов до отказа;
A — константа, соответствующая материалу;
— диапазон пластической деформации;
B — константа, соответствующая материалу.
Это уравнение модифицировано для различных ситуаций (см. [14]-[19]). Оно применимо при механической циклической усталостной нагрузке в условиях постоянной температуры и при усталостной механической нагрузке, возникающей под воздействием циклического изменения температуры. Если общая воздействующая нагрузка выходит за границы диапазона упругих напряжений, для испытаний их на усталость применяют упрощенный коэффициент ускорения для изотермических испытаний на усталость
, (В.7)
где индексы u и t соответствуют использованию и испытаниям. Значения могут возникнуть из-за смещения при изгибе, растяжении, сжатии или других механических нагрузках. Аналогично упрощенный коэффициент ускорения для испытаний на усталость в условиях циклически изменяющейся температуры имеет вид:
, (В.8)
где — диапазоны применяемых циклических изменений температуры. Некоторые ограничения использования уравнения (В.7) указаны в [17], для уравнения (В.8) — в [19].
Приближенные значения, определенные на основе испытаний, приведены в таблице В.1, обычно используют для показателя В в уравнениях (В.7) и (В.8).
Таблица В.1 — Значения показателя В в уравнениях (В.7) и (В.8)
Металл |
2-3 |
Электронные паяные соединения |
1-3 |
Пластиковые герметики для микроэлектроники |
4-8 |
Слои пассивирования для микроэлектроники |
12 |
Образование кройеров на микросхемах |
7 |
Усталостные отказы Al-Au |
4-7 |
Графики обратного степенного закона на логарифмической бумаге (по обеим осям) представляет собой прямую линию с угловым коэффициентом В. Эту линию называют кривой S-N.
В.2.3.4 Модель Эйринга
В уравнениях Аррениуса и обратного степенного закона есть единственное напряжение. В модели [20] Эйринга имеется два члена, характеризующих нагрузку, один из которых представляет собой температуру. Общая форма уравнения Эйринга имеет вид:
, (В.9)
где — показатель ресурса объекта;
A и B — константы;
S — воздействующая нагрузка;
— показатель степени Аррениуса.
Воздействующая нагрузка S может быть любой, существующей в сочетании с температурой. Она может быть использована в преобразованном виде 1/S, InS и т.п. Две часто используемых нагрузки — влажность и напряжение. S также может быть дополнительным температурным элементом, таким как диапазон циклических изменений температуры или частота изменений температуры. Примером уравнения Эйринга является отношение температуры и влажности Пека для электронных микросхем [21], [22]:
, (В.10)
где — наработка до отказа;
A — константа;
RH — относительная влажность в процентах;
n — константа;
— показатель степени Аррениуса.
Значения n и определяют опытным путем, они могут отличаться в различных испытаниях. Обычно n=3,0 и 0,9 eV. Коэффициент ускорения имеет вид:
. (В.11)
В этом случае модель Эйринга представляет собой произведение обратного степенного закона для влажности и уравнения Аррениуса для температуры.
В.2.3.5 Выбор соответствующей модели разрушения
Модели разрушений по своим свойствам неточны. Наиболее эффективные модели обычно представляют собой компромисс между крайностями:
a) попыткой описания ситуации наиболее полно, в результате модели становятся очень сложными, имеют дефицит данных и становятся непригодными;
b) наиболее простым описанием, в результате модель является очень неточной.
В [23] приведено три правила выбора и использования моделей:
— основные предположения должны быть четко установлены, реалистичны и узнаваемы;
— необходимые данные должны отражать действительность и допускать возможность сбора;
— конечный результат должен быть представлен в упорядоченном виде и четко представлять решение практической задачи.
Три общих формы моделей, представленные выше, являются наиболее распространенными, используемыми в форсированных испытаниях, но они, конечно, не являются единственными. Часто необходимо использовать преобразование воздействия S для точного описания процесса, приводящего к отказу. Ниже приведены некоторые обычно используемые преобразования
A(1/S), A+B lnS, , A+B/S, 1/(A+BS), A+BS. (В.12)
В приведенных рассуждениях предполагалось, что воздействующие нагрузки полностью определены и постоянны. Многие модели описывают только единственную нагрузку и игнорируют воздействие других нагрузок, воздействующих одновременно. В действительности ситуация всегда является более сложной. Условия эксплуатации каждого объекта включают много воздействий, которые изменяются по интенсивности и диапазону в процессе эксплуатации.
В.3 Отчет о результатах анализа долговечности
Как правило, результаты анализа долговечности представляют в виде отчета, включающего перечень отказов, расположенных в хронологическом порядке от самого раннего до самого позднего. С точки зрения прогнозирования безотказности представляют интерес только самые первые наработки до отказа. Потому что анализ долговечности прогнозирует отказы, вызванные износом, которые по определению являются общей причиной, когда все объекты отказывают в результате износа за короткий промежуток времени (конкурирующие риски). Другое использование для результатов анализа долговечности, такое как принятие решений по проектированию и структуре оборудования, может потребовать использования более длинного перечня.
Тип информации, представленной в отчете об анализе долговечности, установлен нечетко. Как минимум, для каждого отказа должна быть включена следующая информация:
a) наработка до отказа. Как правило, это значение точечной оценки, однако распределения некоторых наработок до отказа могут быть известны. Наработка может быть определена при использовании модели Вейбулла. Часто поставщики заявляют наработку, соответствующую данному проценту отказов, например В10 (10% отказавших) и В50 (средний ресурс);
b) место отказа. Желательно знать, какой элемент конструкции откажет. Кроме того, что это полезные входные данные для анализа безопасности, эта информация может быть полезна проектировщикам при улучшении конструкции;
c) процесс, приводящий к отказу. Эта информация также полезна для анализа безопасности и улучшения конструкции;
d) нагрузки, возникающие в результате отказа. Эта информация может быть использована для оценки изменений режимов эксплуатации и условий окружающей среды для увеличения наработки до отказа.
Приложение ДА
(справочное)
Сведения о соответствии ссылочных национальных и межгосударственных стандартов международным стандартам, использованным в качестве ссылочных в примененном международном стандарте
Таблица ДА.1
Обозначение ссылочного национального, межгосударственного стандарта |
Степень соответствия |
Обозначение и наименование соответствующего международного стандарта |
ГОСТ 27.002-2015 |
NEQ |
IEC 60050-191:1990 «Международный электротехнический словарь. Часть 191. Надежность и качество услуг» |
ГОСТ IEC 61508-3-2018 |
IDT |
IEC 61508-3:2010 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 3. Требования к программному обеспечению» |
ГОСТ Р 27.003-2011 |
NEQ |
IEC 60300-3-4:2007 «Управление надежностью. Часть 3-4. Руководство по применению. Руководство по заданию технических требований к надежности» |
ГОСТ Р 27.012-2019 |
MOD |
IEC 61882:2016 «Исследования опасности и работоспособности (HAZOP). Руководство по применению» |
ГОСТ Р 27.015-2019 |
MOD |
IEC 60300-3-15:2009 «Менеджмент надежности. Часть 3-15. Руководство по применению. Проектирование надежности системы» |
ГОСТ Р 27.202-2012 |
NEQ |
IEC 60300-3-3:2004 «Менеджмент надежности. Часть 3-3. Руководство по применению. Стоимость жизненного цикла» |
ГОСТ Р 27.302-2009 |
NEQ |
IEC 61025:2006 «Анализ дерева неисправностей (FTA)» |
ГОСТ Р 27.606-2013 |
NEQ |
IEC 60300-3-11:2009 «Управление общей надежностью. Часть 3-11. Руководство по применению. Техническое обслуживание, направленное на обеспечение надежности» |
ГОСТ Р 27.607-2013 |
NEQ |
IEC 60300-3-5:2001 «Управление общей надежностью. Часть 3-5. Руководство по применению. Условия испытания надежности и принципы статистических испытаний» |
ГОСТ Р 50779.27-2017 (МЭК 61649:2008) |
MOD |
IEC 61649:2008 «Анализ Вейбулла» |
ГОСТ Р 50779.28-2007 (МЭК 61710:2013) |
MOD |
IEC 61710:2013 «Степенная модель. Критерии согласия и методы оценки» |
ГОСТ Р 51901.1-2002 |
MOD |
IEC 60300-3-9:1995 «Управление надежностью. Часть 3. Руководство по применению. Раздел 9. Анализ риска технологических систем» |
ГОСТ Р 51901.5-2005 |
MOD |
IEC 60300-3-1:2003 «Управление общей надежностью. Часть 3-1. Руководство по применению. Методы анализа для определения общей надежности. Руководство по методологии» |
ГОСТ Р 51901.6-2005 |
MOD |
IEC 61014:2003 «Программы повышения надежности» |
ГОСТ Р 51901.12-2007 |
MOD |
IEC 60812:2006 «Техника анализа надежности систем. Метод анализа вида и последствий отказа» |
ГОСТ Р 51901.14-2007 |
MOD |
IEC 61078:2006 «Методы анализа надежности систем. Структурная схема надежности и булевы методы» |
ГОСТ Р МЭК 60300-1-2017 |
IDT |
IEC 60300-1:2014 «Менеджмент надежности. Часть 1. Руководство по управлению и применению» |
ГОСТ Р МЭК 61160-2015 |
IDT |
IEC 61160:2006 «Анализ проекта» |
ГОСТ Р МЭК 61165-2019 |
IDT |
IEC 61165:2006 «Применение марковских методов» |
ГОСТ Р МЭК 61508-1-2007 |
IDT |
IEC 61508-1:2010 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 1. Общие требования» |
ГОСТ Р МЭК 61508-2-2012 |
IDT |
IEC 61508-2:2010 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 2. Требования к электрическим, электронным, программируемым электронным системам, связанным с безопасностью» |
ГОСТ Р МЭК 61508-4-2012 |
IDT |
IEC 61508-4:2010 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 4. Определения и сокращения» |
ГОСТ Р МЭК 61508-5-2012 |
IDT |
IEC 61508-5:2010 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 5. Рекомендации по применению методов определения уровней полноты безопасности» |
ГОСТ Р МЭК 61508-6-2012 |
IDT |
IEC 61508-6:2010 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 6. Руководство по применению IEC 61508-2 и IEC 61508-3» |
ГОСТ Р МЭК 61508-7-2012 |
IDT |
IEC 61508-7:2010 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 7. Методы и средства» |
Примечание — В настоящей таблице использованы следующие условные обозначения степени соответствия стандартов: — IDT — идентичные стандарты; — MOD — модифицированные стандарты; — NEQ — неэквивалентные стандарты. |
Библиография
[1] |
МЭК 61709:2017 |
Компоненты электрические. Надежность. Стандартные условия для интенсивностей отказов и модели напряжений для преобразования (Electronic components — Reliability — Reference conditions for failure rates and stress models for conversion) |
[2] |
РД 50-204-87 Методические указания. Надежность в технике. Сбор и обработка информации о надежности изделий в эксплуатации. Основные положения |
|
[3] |
V.Loll, From Reliability Prediction to a Reliability Budget, Proceedings of the Annual Reliability and Maintainability Symposium, 1998 |
|
[4] |
Fick, Uber Diffusion, Poggendorff’s Annalen, vol. 94, p.59, 1855 |
|
[5] |
W.Weibull. Statistical Design of Fatigue Experiment//Journal of Applied Mechanics, pp.109-113, March, 1952 |
|
[6] |
D.Kececioglu and J.Jacks. The Arrhenius, Eyring. Inverse Power Law and Combination Models in Accelerated Life Testing//Reliability Engineering, vol.8, pp.1-9, 1984 |
|
[7] |
D.S.Peck and O.D. Trapp. Accelerated Testing Handbook//Technology Associates, Portola Valley, CA, 1987 |
|
[8] |
W.Nelson. Accelerated Testing: John Wiley & Sons, New York, 1990 |
|
[9] |
D.J.Klinger. On the Notion of Activation Energy in Reliability: Arrhenius, Eyring and Thermodynamics. Proceedings of the Reliability and Maintainability Symposium, pp.295-300, 1991 |
|
[10] |
J.M.Hu, D.Barker, A.Dasgupta and A.Arora. Role of Failure Mechanism Identification in Accelerated Testing. Proceedings of the Reliability and Maintainability Symposium, pp.181-188, 1992 |
|
[11] |
S.Arrhenius, Z.Physik//Chem. vol.4, 1889 |
|
[12] |
L.F.Coffin, Jr. A Study of the Effects of Cyclic Thermal Stresses on a Ductile Metal//Transactions of the ASME, vol.76, 5p. 931-950, 1954 |
|
[13] |
S.S.Manson. Fatigue: A Complex Subject-Some Simple Approximations//Experimental Mechanics, vol. 5, no. 7, pp.193-226, 1965 |
|
[14] |
L.F.Coffin, Jr. The Effect of Frequency on the Cyclic Strain and Low Cycle Fatigue Behavior of Cast Udimet 500 at Elevated Temperature//Metallurgical Transactions, vol. 2, pp.3105-3113, 1971 |
|
[15] |
W.Engelmaier. Fatigue Life of Leadless Chip Carrier Solder Joints During Power Cycling//IEEE Transactions on Components, Hybrids, and Manufacturing Technology, vol. CHMT-6, no.3, 1985 |
|
[16] |
D.R.Olsen and H.M.Berg. Properties of Bond Alloys Relating to Thermal Fatigue//IEEE Transactions on Components, Hybrids, and Manufacturing Technology, vol. CHMT-2, 1979 |
|
[17] |
H.D.Solomon. Low Cycle Fatigue of Surface Mounted Chip Carrier/Printed Wiring Board Joints. Proceedings of the 39th Electronic Components Conference, IEEE, pp.277-292, 1989 |
|
[18] |
J.K.Hagge. Predicting Fatigue Life of Leadless Chip Carriers Using Manson-Coffin Equations, Proceedings of the IEPS, pp.199-208, 1982 |
|
[19] |
C.F.Dunn and J.W.McPherson. Temperature-Cycling Acceleration Factors for Aluminum Metallization Failure in VLSI Applications. Proceedings of the 28th International Reliability Physics Symposium, IEEE, pp. 252-258, 1990 |
|
[20] |
S.Glasstone, K.J.Laidler and H.E.Eyring. The Theory of Rate Processes, McGraw-Hill, New York, 1941 |
|
[21] |
D.S.Peck. Comprehensive Model of Humidity Testing Correlation, Proceedings of the 24th International Reliability Physics Symposium, IEEE, pp. 44-50, 1986 |
|
[22] |
D.S.Peck and W.R.Thorpe, Highly Accelerated Stress Test History, Some Problems and Solutions. Tutorial Notes, 28th Reliability Physics Symposium, IEEE, pp.4.1-4.27, 1990 |
|
[23] |
F.Jensen. How to Succeed in Modeling, Quality and Reliability//Engineering International, vol.15, p.159, 1999 |
УДК 658.562.012.7:65.012.122:006.354 |
ОКС 03.120.30 |
Ключевые слова: надежность, показатель надежности, анализ долговечности, стадии жизненного цикла, анализ подобия, наработка до отказа, структурная схема надежности, техническое обслуживание, ориентированное на безотказность, интенсивность отказов, функция распределения, вероятность безотказной работы |
Электронный текст документа
и сверен по:
, 2019
Утвержден и введен в действие
Приказом Федерального агентства
по техническому регулированию
и метрологии
от 21 сентября 2021 г. N 987-ст
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
НАДЕЖНОСТЬ В ТЕХНИКЕ
АНАЛИЗ ВИДОВ И ПОСЛЕДСТВИЙ ОТКАЗОВ
Dependability in technics.
Failure modes and effects analysis
(IEC 60812:2018, Failure modes and effects analysis
(FMEA and FMECA), MOD)
ГОСТ Р 27.303-2021
(МЭК 60812:2018)
ОКС 03.120.01,
03.120.30,
21.020
Дата введения
1 января 2022 года
Предисловие
1 ПОДГОТОВЛЕН Закрытым акционерным обществом «Научно-исследовательский центр контроля и диагностики технических систем» (ЗАО «НИЦ КД») на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 119 «Надежность в технике»
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 21 сентября 2021 г. N 987-ст
4 Настоящий стандарт является модифицированным по отношению к международному стандарту МЭК 60812:2018 «Анализ видов и последствий отказов (FMEA и FMECA)» (IEC 60812:2018 «Failure modes and effects analysis (FMEA and FMECA)», MOD) путем внесения технических отклонений, которые выделены в тексте курсивом.
Международный стандарт разработан Техническим комитетом МЭК 56.
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).
Сведения о соответствии ссылочных национальных стандартов международным стандартам, использованным в качестве ссылочных в примененном международном стандарте, приведены в дополнительном приложении ДА
5 ВЗАМЕН ГОСТ Р 51901.12-2007 (МЭК 60812:2006)
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)
Введение
Анализ видов и последствий отказов (FMEA) является систематизированным методом исследования объекта или процесса, в основе которого лежит выявление возможных отказов, а также влияния этих отказов на функционирование объекта или процесса, окружающую среду и персонал. В настоящем стандарте описана методология выполнения FMEA.
Целью выполнения FMEA является поддержка принятия решений, направленных на снижение вероятности отказов и значимости их последствий. Применение FMEA помогает улучшить работу объекта либо непосредственно, либо с помощью других методов, использующих результаты FMEA. Применение FMEA способствует повышению безотказности, снижению воздействия на окружающую среду, снижению закупочных и эксплуатационных расходов, повышению деловой репутации и т.п.
Метод FMEA может быть адаптирован для применения во всех отраслях промышленности и организациях любого вида. Метод FMEA применим к оборудованию, программному обеспечению, процессам, действиям человека и их различным сочетаниям.
Метод FMEA может быть выполнен несколько раз в течение срока службы объекта или процесса. Предварительный анализ может быть проведен на ранних стадиях жизненного цикла (на ранних этапах проектирования), затем при наличии количества информации может быть проведен более детальный анализ. Метод FMEA может быть выполнен с учетом существующих средств контроля или рекомендованных методов, направленных на снижение вероятности и/или значимости последствий отказов. В случае анализа замкнутого цикла метод FMEA позволяет оценить эффективность всех воздействий на отказы.
Метод FMEA может быть адаптирован к различным ситуациям и применен различными способами в зависимости от поставленных целей.
Виды отказов могут быть ранжированы в соответствии с их значимостью. При ранжировании могут быть учтены не только последствия или критичность отказа, но и другие важные характеристики. При использовании ранжирования отказов метод называют анализом видов, последствий и критичности отказов (FMECA). В настоящем стандарте под FMEA следует понимать также и FMECA.
Настоящий стандарт содержит общее руководство по планированию, выполнению, документированию и поддержке метода FMEA путем:
a) описания принципов анализа;
b) рассмотрения этапов анализа;
c) представления примеров документации;
d) представления примеров применения метода.
Метод FMEA может быть использован при сертификации продукции или страховании. Например, метод FMEA может быть использован при анализе безопасности для целей регулирования, но, поскольку настоящий стандарт является общетехническим, он не содержит специального руководства по применению FMEA в области анализа безопасности.
Метод FMEA должен соответствовать применимым законодательным требованиям и требованиям в области риска.
Основными пользователями настоящего стандарта являются руководители и участники анализа.
В настоящем стандарте ссылки на международные стандарты заменены ссылками на межгосударственные и национальные стандарты.
1 Область применения
В настоящем стандарте приведено описание планирования, выполнения, документирования и поддержки применения метода анализа видов и последствий отказов (FMEA), включая анализ видов, последствий и критичности отказов (FMECA).
Анализ видов и последствий отказов (FMEA) направлен на выявление способов отказа объектов или процессов и способов предотвращения таких отказов в дальнейшем. FMEA представляет собой систематизированный метод идентификации видов отказов и их последствий для объекта или процесса на локальном и глобальном уровне. Этот метод может включать в себя определение причин отказов. Виды отказов могут быть ранжированы для использования при принятии решений об их устранении. Если ранжирование отказов включает в себя определение и учет значимости и других важных показателей последствий отказов, то анализ называют анализом видов, последствий и критичности отказов (FMECA).
Настоящий стандарт применим к оборудованию, программному обеспечению, процессам, включая действия человека, и их взаимодействию в любом сочетании.
FMEA может быть использован при анализе безопасности, выполнения законодательных и других требований, однако настоящий стандарт не содержит специального руководства по применению FMEA в области анализа безопасности.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ ISO 13849-1-2014 Безопасность оборудования. Элементы систем управления, связанные с безопасностью. Часть 1. Общие принципы конструирования
ГОСТ 27.002 Надежность в технике. Термины и определения
ГОСТ Р 22.0.12-2015 Безопасность в чрезвычайных ситуациях. Международные термины и определения
ГОСТ Р 27.013 Надежность в технике. Методы оценки показателей безотказности
ГОСТ Р 27.302 Надежность в технике. Анализ дерева неисправностей
ГОСТ Р 27.606 Надежность в технике. Управление надежностью. Техническое обслуживание, ориентированное на безотказность
ГОСТ Р 55.0.01 Управление активами. Национальная система стандартов. Общее представление, принципы и терминология
ГОСТ Р 51897 Менеджмент риска. Термины и определения
ГОСТ Р 51901.14 Менеджмент риска. Структурная схема надежности и булевы методы
ГОСТ Р 57273 Устойчивое развитие производственных сетей. Общие положения
ГОСТ Р ИСО 31000 Менеджмент риска. Принципы и руководство
ГОСТ Р ИСО/МЭК 31010 Менеджмент риска. Методы оценки риска
ГОСТ Р МЭК 61165 Надежность в технике. Применение марковских методов
ГОСТ Р МЭК 61508-1 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 1. Общие требования
ГОСТ Р МЭК 61508-2 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 2. Требования к системам
ГОСТ Р МЭК 61508-3 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 3. Требования к программному обеспечению
ГОСТ Р МЭК 61508-4 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 4. Термины и определения
ГОСТ Р МЭК 61508-5 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 5. Рекомендации по применению методов определения уровней полноты безопасности
ГОСТ Р МЭК 61508-6 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 6. Руководство по применению ГОСТ Р МЭК 61508-2 и ГОСТ Р МЭК 61508-3
ГОСТ Р МЭК 61508-7 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 7. Методы и средства
ГОСТ Р МЭК 62061 Безопасность оборудования. Функциональная безопасность систем управления электрических, электронных и программируемых электронных, связанных с безопасностью
ГОСТ Р МЭК 62502 Менеджмент риска. Анализ дерева событий
ГОСТ Р МЭК 62508 Менеджмент риска. Анализ влияния на надежность человеческого фактора
Примечание — При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя «Национальные стандарты» за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.
3 Термины, определения и сокращения
3.1 Термины и определения
В настоящем стандарте применены термины по ГОСТ Р 51897, [1], а также следующие термины с соответствующими определениями:
3.1.1 вид отказа (failure mode): Способ и особенности возникновения отказа <1>.
———————————
<1> См. также ГОСТ 27.002.
Примечания
1 Вид отказа может представлять собой нарушение функции или ее утрату или другое изменение состояния.
2 Видами отказа оборудования могут быть, например: для клапана — «клапан не открывается» или для двигателя — «двигатель не запускается».
3 Вид отказа, связанного с действиями человека, представляет собой утрату функции объекта в результате действий человека (совершенных или не совершенных).
3.1.2 последствия отказа (failure effect): Результаты воздействия отказа на объект (явления, процессы, события и состояния) внутри или вне границ отказавшего объекта.
Примечания
1 В некоторых случаях может потребоваться рассмотрение отдельных видов отказов и их последствий.
2 Последствия отказа также охватывают последствия внутри или вне границ отказавшего процесса.
3.1.3 система (system): Набор взаимодействующих элементов, сформированный для достижения одной или нескольких поставленных целей <1>.
———————————
<1> См. также [2].
Примечания
1 Систему иногда рассматривают как объект или как предоставляемые услуги.
2 На практике значение этого термина часто разъясняется с помощью ассоциативного существительного, например система летательного аппарата. Слово «система» часто опускают, используя синоним; например, вместо термина «система летательного аппарата» используют термин «самолет», хотя он не подчеркивает то, что объект является системой.
3.1.4 объект (item): Любая часть, элемент, устройство, подсистема, функциональная единица, аппаратура или система, рассматриваемые самостоятельно.
Примечания
1 Объект может быть отдельной деталью, компонентом, устройством, функциональным блоком, оборудованием, подсистемой или системой.
2 Объект может представлять собой аппаратное обеспечение, программное обеспечение, персонал или любую их комбинацию.
3 Объект часто состоит из элементов, каждый из которых может быть рассмотрен отдельно.
4 В [1] введен в качестве английского синонима термин «сущность», который не всегда может быть применен.
5 Определение в [1] больше похоже на описание. В настоящем стандарте использован термин «объект». Определение термина по [1] приведено в качестве примечания 1.
3.1.5 процесс (process): Совокупность взаимосвязанных и/или взаимодействующих действий, преобразующих входы в выходы.
3.1.6 иерархический уровень (hierarchy level): Уровень деления системы, объекта или процесса на составные части в соответствии с их структурой.
Примечания
1 Иерархический уровень также называют контрактным уровнем (см. [1]).
2 Верхний и нижний иерархические уровни соответствуют верхнему и нижнему уровням структуры системы соответственно. Средний иерархический уровень соответствует одному из уровней между высшим и низшим уровнями.
3.1.7 элемент (element): Неделимая (в соответствии с иерархической структурой) часть системы, объекта или процесса, для которой должны быть идентифицированы виды отказов <2>.
———————————
<2> См. также ГОСТ 27.002.
3.1.8 сценарий (scenario): Возможная последовательность заданных ситуаций и обстоятельств, которые могут возникнуть при функционировании системы, объекта или процесса.
Примечания
1 Ситуации и обстоятельства могут включать действия или факторы вне границ исследуемого объекта или процесса, которые могут повлиять на работу объекта или процесса.
2 Физические ситуации и обстоятельства охватывают все факторы окружающей среды, такие как температура, влажность, освещенность, ударные нагрузки, наличие загрязнения, уровни излучений.
3 Организационные ситуации и обстоятельства включают такие факторы, как уровень квалификации, физические и психологические нагрузки персонала.
3.1.9 причина отказа (failure cause): Совокупность обстоятельств (явлений, процессов, событий и состояний), приводящая к отказу.
Примечания
1 Причина отказа может возникнуть при установлении требований, в процессе проектирования, изготовления, монтажа, эксплуатации или обслуживания объекта.
2 Примерами причины отказа могут быть загрязнение или недостаточная смазка, что приводит к такому виду отказа, как заклинивание подшипника.
3 Причины отказа процесса могут охватывать ошибки человека, такие как чрезмерная нагрузка, нарушение памяти, неверное понимание, ошибочные предположения.
3.1.10 механизм отказа (failure mechanism): Процесс, приводящий к отказу.
Примечание — Процесс может быть физическим, химическим, логическим, психологическим или их комбинацией.
3.1.11 правдоподобность (появления события) (likelihood): Характеристика возможности и частоты появления события.
Примечания
1 Термин «правдоподобность» часто используют в качестве характеристики возможности появления события, которая может быть определена или оценена объективно или субъективно, качественно или количественно и описана с использованием терминов общих или математических (вероятность или частота события за заданный период времени).
2 Английский термин «правдоподобность» не имеет прямого эквивалента в некоторых языках; вместо него часто применяют термин «вероятность».
3.1.12 значимость (последствий) (severity): Относительный ранг возможных или фактических последствий отказа или неисправности <1>.
———————————
<1> См. также [3].
Примечание — Значимость может быть определена для любых последствий.
3.1.13 метод обнаружения (detection method): Способ, позволяющий выявить вид отказа или его зарождение.
3.1.14 средства контроля (control): Предусмотренные конструкцией объекта встроенные устройства или самостоятельное оборудование, которые способны предотвратить отказ, снизить вероятность его возникновения или изменить его последствия.
Примечание — Средства контроля также могут быть отнесены к компенсационному обеспечению.
3.1.15 критичность (вида отказа) (criticality): Уровень значимости, определяемый при ранжировании отказов, с использованием установленных критериев оценки.
Примечания
1 Критерии оценки критичности обычно относятся к последствиям отказа для верхнего уровня иерархии системы, объекта или процесса.
2 Мера критичности обычно сочетает значимость последствий, по крайней мере с одной другой характеристикой вида отказа.
3 Конкретное значение критичности зависит от метода оценки, определенного при анализе и подробно рассмотренного в настоящем стандарте.
4 Критичность относится к виду отказа, а не к причинам отказа (если последние определены).
3.1.16 обработка (вида отказа) (treatment): Действия, направленные на изменение вероятности и/или последствий вида отказа.
Примечания
1 Обработку иногда называют снижением вероятности или последствий отказа.
2 Обработка может включать действия по устранению причины отказа, изменению вероятности возникновения отказа и/или последствий отказа.
3.1.17 ошибка человека (human error): Несоответствие между действиями человека, предпринятыми или невыполненными, и действиями, выполнение которых предполагается или необходимо.
Пример — Выполнение неверного действия; невыполнение требуемого действия; ошибка в расчетах, неверное прочтение значения.
3.1.18 резервирование (redundancy): Способ обеспечения надежности системы за счет использования нескольких способов выполнения функции <2>.
———————————
<2> См. также ГОСТ Р 27.002.
Примечание — Способы выполнения функции могут быть преднамеренно различными для снижения возможности возникновения отказов общего вида.
3.1.19 отказы по общей причине (common cause failures): Отказы нескольких объектов, возникающие вследствие одного события, которые без рассмотрения причин считались бы независимыми.
Примечания
1 Отказы по общей причине также могут быть «отказами общего вида».
2 Возможность возникновения отказов по общей причине снижает результативность резервирования системы.
3.1.20 отказы общего вида (common mode failures): Отказы различных объектов (внутри системы), характеризующиеся одним и тем же видом отказа.
Примечания
1 У отказов общего вида могут быть различные причины.
2 Отказы общего вида могут быть также отказами по общей причине.
3 Возможность возникновения отказов общего вида снижает результативность резервирования системы.
3.1.21 тестируемость (объекта) (testability): Степень, до которой объект может быть проверен в процессе и после функционирования для обнаружения и выделения отказов или неисправностей.
3.2 Сокращения
В настоящем стандарте применены следующие сокращения:
APPN — значение приоритетности альтернативного риска;
CCF — отказы по общей причине;
COTS — покупная продукция;
CSU — компонент программного обеспечения;
DC — диагностический охват;
EMI — электромагнитные помехи;
EMP — электромагнитный импульс;
ESD — аварийное отключение;
ETA — анализ дерева событий;
FIT — количество отказов в единицу времени;
FTA — анализ дерева неисправностей;
FMEA — анализ видов и последствий отказов;
FMECA — анализ видов, последствий и критичности отказов;
FMEDA — анализ видов, последствий и выявления отказов;
MTBF — средняя наработка между отказами;
MTTR — среднее время восстановления;
OEM — изготовитель оригинального оборудования;
RBD — структурная схема надежности;
RCM — техническое обслуживание, ориентированное на безотказность;
RPN — ранг приоритетности риска;
SFF — доля безопасных отказов;
SIL — уровень полноты безопасности;
SOD — значимость, возникновение и обнаруживаемость.
4 Общие положения
4.1 Цель и задачи
FMEA — метод, в котором объект или процесс разбивают на элементы и для каждого элемента по очереди идентифицируют и анализируют виды отказов и их последствия. Анализ позволяет выявить все необходимые улучшения путем устранения неблагоприятных последствий или снижения их вероятности и/или значимости. Целью добавления к FMEA анализа критичности является обеспечение возможности ранжирования видов отказов для их обработки. Применение FMEA позволяет обеспечить:
— идентификацию видов отказов, оказывающих нежелательное влияние на работу системы, например прерывающих или значительно ухудшающих работу объекта или влияющих на безопасность пользователя и других лиц;
— улучшение конструкции и изготовление объекта или процесса экономически эффективным способом за счет улучшений на ранних этапах программы проектирования и разработки;
— идентификацию риска в рамках процесса менеджмента риска (ГОСТ Р ИСО 31000);
— выполнение установленных законодательных и обязательных требований путем демонстрации того, что выявленные виды риска идентифицированы и учтены;
— основу для применения других видов анализа надежности (в приложении D рассмотрена взаимосвязь FMEA с другими методами анализа надежности);
— разработку и поддержку программы испытаний на безотказность;
— основу планирования программ технического обслуживания и ремонта, таких как техническое обслуживание, ориентированное на безотказность (ГОСТ Р 27.606);
— ключевой процесс системы управления активами (ГОСТ Р 55.0.01).
FMEA — метод анализа последствий единичных отказов. Если FMEA используют для анализа отказов взаимозависимых объектов, то он может быть рассмотрен с ограничениями (5.3.6 и 5.3.7.2).
4.2 Функции, обязанности и компетентность персонала
Метод FMEA требует, чтобы выполняющие его лица (например, команда FMEA) приняли на себя ответственность за следующее:
— управление процессом выполнения FMEA;
— определение формы FMEA и его адаптацию с учетом особенностей применения;
— идентификацию и анализ видов отказов и их последствий для объекта или процесса;
— определение необходимой обработки видов отказов;
— составление отчета об FMEA, включая предложения и рекомендации.
В настоящем стандарте предполагается, что в выполнении FMEA участвуют аналитик, специалисты, руководитель и заинтересованные стороны, функции и обязанности которых описаны ниже.
а) Аналитик
Лицо, ответственное за анализ применимости FMEA, управление адаптацией FMEA, обеспечение правильного и последовательного выполнения FMEA и взаимодействие с руководителями и другими заинтересованными сторонами. Аналитик должен быть компетентен в области FMEA и должен иметь соответствующие технические знания для рассмотрения работы других компетентных сотрудников, участвующих в выполнении анализа.
Примечание — При выполнении FMEA в команде FMEA функции отвода члена команды может выполнять ведущий заседаний (далее — фасилитатор).
б) Специалисты
Лица, обладающие соответствующими знаниями и опытом для рассмотрения всех аспектов исследуемого объекта или процесса, включая, при необходимости, социальные, экономические и экологические аспекты.
в) Руководитель
Лицо, ответственное за определение цели FMEA, использование ресурсов, утверждение адаптации анализа, разработку предложений и рекомендаций по обработке видов отказов. Функции руководителя FMEA может выполнять руководитель, имеющий полномочия на выполнение проекта.
г) Заинтересованные стороны
Люди или организации, которые могут затронуть, быть затронутыми или чувствовать себя затронутыми решением или действием. Заинтересованными сторонами могут быть потребители (например, владельцы контрактов), органы власти (например, регулирующие органы), пользователи (например, изготовители и специалисты по техническому обслуживанию), поставщики (например, поставщики услуг, компонентов) и лица, которые могут пострадать в результате отказов.
4.3 Особенности применения использованных терминов
Для удобства в настоящем стандарте термин «анализ видов и последствий отказов», сокращенно «FMEA», использован в качестве общего термина для всех вариантов применения или степени адаптации анализа, включая FMECA.
Термины «объект» или «процесс» использованы для обозначения объекта анализа FMEA. Объект или процесс могут быть частью более крупной системы, для которой необходимо применение нескольких видов FMEA.
Примеры терминов, относящихся к верхнему, среднему и нижнему иерархическим уровням, приведены в таблице 1. Термины в таблице 1 не являются исчерпывающими. Например, программное обеспечение может быть встроено в аппаратную систему или система может содержать человеческий фактор.
Таблица 1
Примеры терминов, относящихся
к иерархическим уровням системы
Исследуемый объект |
Верхний уровень |
Средний уровень |
Нижний уровень |
Аппаратные средства |
Объект в сборе |
Блок, составная часть |
Компонент |
Программное обеспечение |
Пакет программ |
Программный модуль |
Функция |
Процесс |
Процесс в целом |
Задача |
Этап задачи |
5 Методология FMEA
5.1 Общие положения
На рисунке 1 показана блок-схема действий, выполняемых в процессе FMEA. Действия включают три этапа: планирование, выполнение и документирование. Действия обычно выполняют последовательно, но возможны итерации (повторения), например в ситуациях, когда FMEA является частью программы разработки или когда анализируемая система является объектом изменения.
Рисунок 1 — Общая методология FMEA (до адаптации)
FMEA должен быть выполнен в соответствии со всеми законодательными требованиями, распространяющимися на область применения FMEA, и типом соответствующих рисков.
В случае, когда в настоящем стандарте дана ссылка на запись/идентификацию/определение/описание/состояние/документ/некоторую информацию, это означает, что информация должна быть включена в соответствующую документацию FMEA, например в отчет об FMEA, в план FMEA, документацию после завершения FMEA, такую как план последующих действий.
Действия, показанные на рисунке 1, должны быть адаптированы по отношению к области применения FMEA. Это означает, что не все перечисленные действия всегда должны быть выполнены. В приложении A приведены общее руководство и примеры адаптации метода.
5.2 Планирование FMEA
5.2.1 Общие положения
Планирование FMEA включает в себя рассмотрение следующих вопросов: зачем должен быть выполнен анализ, какие объекты или элементы процесса должны быть исследованы, какие сценарии использованы и как анализ должен быть выполнен наиболее эффективно и результативно. При необходимости следует консультироваться с руководителями и заинтересованными сторонами, чтобы их цели и интересы были правильно поняты и учтены при выполнении анализа.
Результатом этапа планирования является план применения FMEA в конкретных условиях. План FMEA определяет:
— цели и область применения анализа (5.2.2);
— границы объекта анализа и используемые сценарии (5.2.3);
— критерии принятия решений для обработки видов отказов (5.2.4);
— способы документирования и записей об анализе (5.2.5);
— способ выделения ресурсов для анализа (5.2.6).
План может также включать описание факторов, влияющих на анализ, таких как:
— взаимосвязи с основными этапами проекта для определения времени, необходимого для получения результатов анализа;
— методологии или документация, необходимые для понимания функции объекта или последовательности действий процесса;
— требования контракта;
— предыдущий опыт и доступная информация.
План FMEA может быть самостоятельным документом или частью документа более высокого уровня, такого как план разработки проекта или план управления разработкой системы.
5.2.2 Определение целей и области применения анализа
При определении целей и области применения анализа устанавливают основы анализа и выбирают подход к FMEA, при котором результаты анализа соответствуют его целям.
Результатом этих действий должно быть следующее:
— установление цели, определяющей причины выполнения анализа.
Пример — Исследование робастности возможной конструкции; определение средств улучшения процесса и процедур уменьшения количества отказов; выявление возможностей повышения безотказности; идентификация рисков; выполнение договорных требований; предложение требований к программам технического обслуживания и поддержки;
— установление целей, определяющих конечную результативность FMEA способом, позволяющим оценить результаты анализа как успешные или неуспешные.
Формулировка целей должна быть включена в план FMEA.
В некоторых случаях может оказаться целесообразным проведение более официальных консультаций с заинтересованными сторонами и подробное документирование решений и результатов анализа.
5.2.3 Идентификация границ и используемых сценариев
5.2.3.1 Общие положения
Объект анализа, его границы и условия использования должны быть описаны так, чтобы гарантировать, что область применения анализа будет понятна как пользователям FMEA, так и аналитикам. Это обеспечивает то, что важные аспекты не упущены в результате неверных предположений относительно области применения анализа. Это описание должно становиться более подробным по мере выполнения планирования и может включать в себя диаграммы, такие как технологические схемы, функциональные блок-схемы, структурные схемы надежности, функционально-иерархические структурные схемы или ссылки на документы, их содержащие.
Для больших или сложных систем (например, железная дорога) может потребоваться разделить систему на подсистемы (например, подвижной состав, система сигнализации, диспетчерский пункт), для каждой из которых FMEA выполняют отдельно. Деление системы может соответствовать физическим или функциональным границам и может зависеть от договорных требований или организационных факторов. Деление системы должно быть выполнено так, чтобы объем каждого FMEA был управляемым и каждый FMEA был логически связан со всеми другими, что позволяет учесть влияние подсистем друг на друга и на систему в целом. Особое внимание следует уделять интерфейсам <1> между подсистемами. Границы подсистем должны быть четко установлены.
———————————
<1> Интерфейс — совокупность средств, методов и правил, обеспечивающих взаимодействие.
5.2.3.2 Определение уровня применения и подхода FMEA
FMEA может быть применен на всех уровнях иерархии объекта или процесса (таблица 1). Варианты выполнения FMEA могут быть различными в зависимости от цели и стадии жизненного цикла. В приложении A приведены общее руководство и примеры FMEA.
Пример — На ранних стадиях разработки объекта FMEA может быть применен к верхним или средним уровням иерархии объекта, при этом причины отказов рассматривают как отказы элементов на следующем, более низком уровне. На более поздних этапах разработки объекта рассматривают элементы самого низкого уровня иерархии, соответствующего целям анализа. Идентифицируют все виды отказов, связанные с такими элементами, и их влияние на следующий, более высокий уровень. FMEA всегда определяет влияние видов отказов на высший уровень иерархии в пределах области применения анализа.
5.2.3.3 Определение границ объекта анализа
Границы, взаимосвязи, зависимости и интерфейсы между объектом, исследуемым FMEA, и другими частями системы, включая интерфейсы с человеком, должны быть определены. Определение границ должно включать входы и выходы объекта или процесса и четко устанавливать, какие интерфейсы относятся к области определения анализа, а какие нет.
Границы объекта зависят от условий и могут зависеть от таких факторов, как конструкция или предполагаемое использование. Может возникнуть необходимость в явном размещении объектов или этапов процесса за границами исследований для сокращения объема FMEA или потому, что детальные знания о границах не могут быть получены.
По возможности следует определять границы объектов в каждом FMEA для облегчения выполнения анализа и объединения с другими соответствующими исследованиями. В некоторых случаях полезно определить границы объекта с функциональной точки зрения, чтобы ограничить количество связей с другими объектами или процессами вне анализа. Это часто имеет место, если объект или процесс является функционально сложным с множеством взаимосвязей внутри и/или вне границ.
5.2.3.4 Определение используемых сценариев
При выполнении FMEA его всегда необходимо рассматривать в условиях одного или нескольких установленных сценариев использования объекта. Используемые сценарии, к которым должен быть применен FMEA, необходимо определить в соответствии с целями анализа и достаточно подробно описать для облегчения идентификации всех соответствующих отказов. Сценарии могут включать определенные состояния вне установленных нормальных условий использования объекта.
Пример — Сценарии при анализе оборудования могут иметь вид «нормальная работа» или «хранение», при анализе процесса — «ночная смена» или «экстренное реагирование».
Описание сценария обычно включает в себя физические условия окружающей среды, такие как внешние условия в сочетании с условиями, создаваемыми другими объектами или действиями в непосредственной близости от исследуемого объекта. Другие соответствующие факторы включают в себя организационные ограничения, такие как уровни компетентности персонала, физические или психологические стрессы, которые могут влиять на поведение человека.
Все внутренние и внешние факторы, которые могут повлиять на виды и последствия отказов, должны быть установлены так, чтобы они могли быть рассмотрены при анализе.
Должен быть установлен контрольный журнал для документов, используемых при определении сценариев.
5.2.4 Определение критериев принятия решений для обработки видов отказов
Критерии для определения того, по каким видам отказов необходима обработка, и приоритеты действий должны быть определены до проведения анализа. Эти критерии должны учитывать цели анализа, все юридические или договорные требования и мнения заинтересованных сторон относительно того, что является приемлемым. Критерии должны обеспечивать последовательный и обоснованный выбор режимов отказов, по которым необходима обработка. Кроме того, критерии должны указывать, когда рекомендованная обработка является достаточной. Критерии принятия решений относительно отказов, по которым необходима обработка, должны быть утверждены и одобрены руководством проекта.
Виды последствий, относящихся к анализу, должны быть определены (например, последствия, связанные с экономическими воздействиями, физическим ущербом, психологическими травмами или нематериальными последствиями, такими как потеря репутации).
Критерии принятия решений зависят от области применения FMEA и должны регулярно пересматриваться, например, с учетом опыта эксплуатации. Обработка видов отказов может быть рекомендована как часть FMEA или как часть последующих действий.
Решение о необходимости обработки видов отказов и приоритеты обработки обычно учитывают значимость воздействия отказа на цели и функции системы в целом, а также относительные преимущества вариантов обработки и затраты на их выполнение.
В некоторых случаях может быть выполнен формальный анализ критичности, когда каждому виду отказа присваивают ранг критичности. Критерии определения критичности включают в себя:
— значимость влияния отказа на цели и функции системы или высший уровень, относящийся к предмету анализа;
— вероятность того, что отказ может возникнуть и привести к последствиям указанной значимости;
— возможность своевременного обнаружения отказа для смягчения или предотвращения его последствий.
Значимость и вероятность отказа или значимость, вероятность и обнаруживаемость отказа могут быть объединены для определения меры критичности. Это может быть сделано с использованием матрицы, графика или значений приоритетности риска (RPN). Не существует единого универсального метода анализа критичности. В приложении B приведено два наиболее распространенных метода. Они могут быть использованы без изменений или адаптированы к условиям организации.
Примечание 1 — Метод, используемый для анализа критичности, может варьироваться в зависимости от особенностей проекта, даже в пределах одной организации, хотя предпочтителен последовательный подход к анализу критичности.
Анализ критичности особенно полезен, когда существуют ограничения на варианты обработки, связанные с затратами, техническими сложностями или ограничениями по времени.
Анализ критичности может оказаться бесполезным, если необходимо выполнить обработку по всем выявленным видам отказов или если недостаточно информации для получения обоснованных оценок значений критичности. Кроме того, в некоторых случаях анализ критичности может быть неэффективным.
Примечание 2 — Критичность можно рассматривать в соответствии с риском. Руководство по анализу риска приведено в ГОСТ Р ИСО/МЭК 31010.
План FMEA должен включать детали критериев принятия решений и, если необходим анализ критичности, метод определения критичности. Критерии принятия решений также должны быть подробно описаны в отчетах об FMEA.
5.2.5 Определение требований к документации и записям
5.2.5.1 Общие положения
Целью является документирование в логической последовательности всей информации, использованной и разработанной в процессе FMEA. Таким образом, анализ и полученные по его результатам выводы и рекомендации должны быть понятными и однозначными. Документация FMEA должна обеспечивать возможность проверки, четкую прослеживаемость и включать:
— описание способов использования результатов;
— обоснование решений, принятых на основе анализа;
— обоснование адаптации анализа, включая метод, используемый для оценки и ранжирования критичности;
— перечень источников информации, используемых при выполнении FMEA, с проверяемыми ссылками на источники;
— свидетельства соответствия нормативным и договорным обязательствам.
Результаты FMEA могут быть входными данными для других видов анализа или представлять собой отдельный отчет FMEA.
Форма документации FMEA должна быть установлена при планировании FMEA. Форма отчета о результатах FMEA должна соответствовать стандартам и процедурам организации с учетом целей, сложности и объема FMEA. Документация, разрабатываемая при выполнении FMEA, может представлять собой комбинацию баз данных, электронных документов и отчетов на бумаге. Средства обеспечения прослеживаемости в таких разнородных средах должны быть определены.
Поскольку FMEA является итеративным методом, документацию разрабатывают постепенно в течение срока службы исследуемого объекта или процесса. Документацию FMEA необходимо обновлять в установленные сроки. Например, на ключевых этапах проекта, при появлении новой информации, по мере продвижения работ по проектированию, при определении и выполнении действий по улучшению, при получении данных обратной связи и опыта использования объекта. Пересмотр документации FMEA необходимо контролировать в соответствии с процессом управления документацией в организации. Опыт и результаты, полученные при выполнении FMEA, должны быть использованы в будущем при разработке новых проектов.
5.2.5.2 Содержание отчета об FMEA
Отчет об FMEA, как минимум, должен включать:
— описание анализируемой системы, объекта или процесса вместе с соответствующими ограничениями, функциональной схемой и чертежами, которые определяют структуру объекта (процесса);
— четкое описание области применения и границ с указанием конкретных исключений;
— критерии, используемые для определения необходимости обработки;
— предположения, сделанные в отношении анализируемых объекта или процесса и соответствующих используемых сценариев;
— детальное описание методологии, лежащей в основе анализа;
— идентификацию заинтересованных сторон и вовлеченного персонала;
— описание метода проведения анализа критичности, которое должно быть достаточно подробным и обеспечивать независимую проверку;
— источники данных и других применимых материалов (с указанием их статуса, даты выпуска/пересмотра), на которых должен быть основан FMEA;
— определение видов отказов, их последствий и, при необходимости, их критичности и причин. Описание видов и последствий отказов не должно содержать ссылки на документы, не указанные в отчете;
— краткое изложение результатов и рекомендуемой обработки видов отказов, если такие рекомендации получены, включая рекомендации относительно будущего анализа, если это необходимо. Документация FMEA может включать только краткое изложение рекомендуемой обработки. Такая обработка затем должна быть выполнена в соответствии с планом действий, не относящимся к документации FMEA;
— ограничения и недостатки FMEA, которые должны быть устранены при выполнении FMEA в будущем;
— изменения проекта, которые уже были включены в объект в результате FMEA, и все нерешенные проблемы. В некоторых случаях никакие действия не могут быть предприняты, даже если в результате FMEA рекомендована обработка видов отказов. В таких случаях обоснование невозможности выполнения действий должно быть зафиксировано в документации по управлению действиями, а документация FMEA должна быть обновлена после принятия окончательного решения. Необходимы мониторинг и анализ возможного воздействия невыполнения рекомендованной обработки;
— записи об анализе, которые могут быть включены в качестве приложения к отчету в виде рабочих листов. Если эти записи обширны или используют базы данных, должны быть даны ссылки, указывающие, где можно найти соответствующую информацию.
Сбор и хранение информации, ее поддержка и обеспечение доступа к ней могут потребовать значительных затрат для организации, следует заботиться о том, чтобы все разработанные документы повышали ценность FMEA. Возможны любые форматы отчетов FMEA, выбранный формат часто определяет полученную информацию, сделанные оценки и процесс, используемый для получения результатов. В приложении C приведены примеры рабочих листов FMEA.
5.2.6 Определение ресурсов для анализа
5.2.6.1 Информационные ресурсы
Для выполнения FMEA обычно требуется следующая информация:
— исследуемый объект или процесс, его цели и функции в системе в целом;
— элементы объекта или процесса и их характеристики, изготовление и функции;
— логические, физические и функциональные связи между элементами, например структурные схемы надежности, функциональные блок-схемы, технологические карты, чертежи системы, версии программного обеспечения, структура и процессы управления. Эта информация, возможно, уже была собрана при проведении соответствующего анализа надежности (приложение D);
— уровень резервирования и особенности запасного оборудования, резервированные оборудование или процессы, или параллельно работающие составные части;
— положение и значимость объекта или процесса для организации (если это возможно);
— входы и выходы объекта или процесса и их элементов;
— взаимодействия с другими связанными объектами или процессами и с окружающей средой, в которой работает объект;
— все изменения структуры объекта для различных режимов работы;
— общие базы данных, содержащие виды отказов, событий, относящихся к их возникновению, и интенсивности отказов;
— данные эксплуатации;
— данные предыдущего анализа FMEA по тем же или аналогичным объектам или процессам, если это необходимо.
Информация, относящаяся к функциям, характеристикам и работе, необходима для всех уровней рассматриваемых объектов или процессов, вплоть до самого высокого уровня в пределах области применения FMEA, что позволяет при выполнении анализа должным образом учитывать виды отказов, влияющие на все функции.
Сбор информации продолжают в процессе FMEA, так как анализ часто показывает, где необходима дополнительная информация. Информация должна быть достоверной и понятной всем участникам.
Основная информация об исследуемом объекте или процессе может быть представлена в виде информационного пакета до начала анализа, аналитик, выполняющий FMEA, должен иметь доступ ко всей соответствующей информации.
5.2.6.2 Персонал
Для выполнения FMEA необходимы специалисты, компетентные в области технических аспектов исследуемого объекта или процесса, а также видов и последствий его отказов, имеющие соответствующие полномочия.
Необходимые навыки и компетенции включают в себя:
— умение применять метод FMEA;
— понимание технических аспектов исследуемого объекта или процесса, а также видов и последствий его отказов;
— навыки фасилитатора (при выполнении анализа командой).
Для работы может потребоваться междисциплинарная группа, подход и состав которой зависят от целей анализа.
Пример — В случае информационной системы в команде могут участвовать системный инженер и эксперт по программному обеспечению.
При проведении анализа также могут быть необходимы дополнительные знания о конкретной продукции или услуге. В этом случае в анализе также должны участвовать другие лица с соответствующими компетенциями.
5.2.6.3 Физические ресурсы
Физические ресурсы обычно необходимы для распределения информации и работ в процессе анализа среди реальных или виртуальных членов команды или заинтересованных сторон. К физическим ресурсам относятся выделенные конференц-залы, аудиовизуальная поддержка для виртуальных обсуждений и общие информационные системы, включая существующие базы данных FMEA и т.д. Такие ресурсы следует выбирать на основе экономической целесообразности и ценности с точки зрения качества, полезности (при начальном и повторном использовании) и своевременности результатов анализа.
5.3 Выполнение FMEA
5.3.1 Общие положения
Этапы выполнения анализа установлены в 5.3.2 — 5.3.9.
5.3.2 Деление объекта или процесса на элементы
Для выполнения FMEA объект анализа подразделяют на элементы в соответствии со следующими правилами:
— систему можно разделить на функциональные блоки;
— объекты аппаратного обеспечения могут быть разделены на более мелкие и менее сложные составные части или компоненты;
— процессы могут быть представлены в виде последовательности действий, или этапов;
— программное обеспечение может быть разделено на программные модули или функции;
— отдельные интерфейсы могут быть идентифицированы в виде связей между элементами, между элементом и пользователем или элементом и средой.
Примечание 1 — Объект анализа может представлять собой комбинацию аппаратных средств, программного обеспечения и/или процессов.
Примечание 2 — Люди могут являться элементом системы, механизмы возникновения ошибок человека при работе могут быть учтены в анализе причин аппаратного и/или программного отказа.
Соответствующий уровень детализации анализа зависит от особенностей и желаемых результатов анализа. В целом большое количество уровней деления объекта FMEA обеспечивает эквивалентный уровень детализации возможных видов и последствий отказов, а также более подробные стратегии обработки, но в этом случае анализ потребует больше времени.
5.3.3 Определение функций и стандартов функционирования каждого элемента
Для формирования основы FMEA необходимо четкое установление всех функций каждого элемента. При анализе каждую функцию элемента следует рассматривать отдельно.
Для каждой идентифицированной функции должен быть определен стандарт функционирования, что позволяет определить, что является отказом, и, следовательно, определить виды отказов. Функцию каждого элемента можно вывести на основе функциональных требований или других доступных источников.
Выбранный стандарт функционирования должен отражать уровень работы, необходимый для выполнения элементом его функций в условиях использования объекта или процесса, а не его возможности. Стандарт функционирования должен быть однозначным и, по возможности, использовать количественные величины.
5.3.4 Идентификация видов отказов
Для каждого элемента объекта или процесса должны быть установлены ситуации, в которых элемент или процесс может перестать соответствовать критериям своего работоспособного состояния. Элемент может иметь несколько видов отказа. Каждый вид отказа должен быть описан отдельно. Анализ должен быть направлен на выявление всех возможных видов отказа, относящихся к целям анализа.
В зависимости от цели и области применения анализа для определения видов отказов каждого элемента в процессе жизненного цикла объекта рассматривают следующее:
— применение;
— режим работы;
— соответствующие функциональные требования;
— нагрузки, возникающие под воздействием экологических факторов, и тенденции их изменения;
— психологические стрессы и социальные изменения;
— рабочие нагрузки при хранении, транспортировке и техническом обслуживании;
— нагрузки в процессе утилизации и ликвидации.
Как правило, информация о виде отказа может быть получена из следующих источников:
— для новых объектов и процессов могут быть использованы данные о других объектах и процессах с аналогичной функцией и структурой, работающих в близких условиях;
— для существующих элементов и процессов виды отказов могут быть известны из предыдущего FMEA. Однако следует провести проверку для выявления различий в использовании элементов, которые могут привести к различным видам отказов (A.2.1);
— опыта эксплуатации;
— эксплуатационных и экологических испытаний внутри установленных границ или за их пределами;
— контрольных перечней общих видов отказов для установленных типов элементов;
— баз данных о техническом обслуживании и ремонте;
— базы данных об инцидентах и авариях;
— знаний, относящихся к области исследований.
5.3.5 Идентификация методов обнаружения отказов и существующих средств контроля
5.3.5.1 Общие положения
Для каждого вида отказов должны быть идентифицированы существующие методы обнаружения отказов и средства контроля.
Средства контроля представляют собой устройства, используемые для предотвращения или уменьшения вероятности возникновения вида отказа или смягчения его последствий, в то время как методы обнаружения отказа представляют собой способы идентификации вида отказа, неисправности или инцидента <1>.
———————————
<1> См. ГОСТ Р 22.0.12-2015 (пункт 2.1.15).
Раннее обнаружение отказа или признаков его приближения может позволить операторам, специалистам по техническому обслуживанию, пользователям и другим лицам вмешаться и уменьшить вероятность неблагоприятных воздействий или их последствия. В конкретных приложениях контроль и обнаружение могут иметь различные значения, хотя обычно эти понятия близки. В приложениях E и F приведены соответствующие рекомендации и примеры.
Если рассмотренные средства контроля или методы обнаружения являются неподходящими, следует определить новые или улучшенные средства контроля и методы обнаружения отказов и сформировать рекомендации по их обработке (5.3.9).
5.3.5.2 Методы обнаружения
Обнаружение отказа может принимать различные формы в зависимости от типа выполняемого FMEA.
Пример — Методы обнаружения могут включать в себя следующее: предупреждающие световые или звуковые сигналы; индикаторы, калибры, мониторинг; испытания на безотказность в процессе разработки; статистическое управление процессами; скрининг нагрузок и напряжений для обеспечения безотказности; эксплуатационные испытания на работоспособность; аудит; контроль; диагностику.
Если более одного вида отказов может быть обнаружено с помощью одних и тех же средств, следует описать способы устранения неоднозначности, чтобы ни один из видов отказа не остался невыявленным и, при необходимости, можно было предпринять правильные действия.
5.3.5.3 Средства контроля
Должны быть перечислены особенности конструкции и существующие средства, способные предотвратить или уменьшить вероятность возникновения вида отказа или изменить его влияние, и описаны способы их функционирования.
Пример — Средства контроля могут включать следующее: резервирование элементов или системы, позволяющее продолжать работу в случае отказа одного или нескольких элементов; соблюдение технических или других стандартов: наличие альтернативных средств работы при обнаружении проблемы; требования к материалам; регулировка машины; техническое обслуживание; конструкция объекта или процесса, учитывающая человеческий фактор.
5.3.6 Идентификация локальных и конечных последствий видов отказов
Последствие отказа является следствием возникновения вида отказа в соответствии со сценарием, определенным для анализа. Одни и те же последствия могут быть вызваны одним или несколькими видами отказов одного или нескольких элементов объекта или процесса.
Влияние вида отказа на элемент может быть идентифицировано на локальном уровне (локальное последствие) вместе с влиянием на высшем уровне исследуемого объекта (глобальное или конечное последствие). Последствия на промежуточных уровнях также могут быть определены, если это необходимо.
Примечание 1 — Локальный уровень может означать анализируемый объект или его физическое местоположение.
При рассмотрении относительной значимости отказов важна идентификация конечных последствий. Идентификация локальных последствий дает информацию, которая может помочь при разработке альтернативных методов обработки отказов. В некоторых случаях не может быть локальных последствий, кроме вида отказа как такового.
В дополнение к последствиям, влияющим на функцию объекта, процесса или системы в целом, могут быть и другие последствия, например связанные с безопасностью, окружающей средой или соответствием требованиям. Их обоснованность должна быть установлена в плане FMEA.
Примечание 2 — Для идентификации конечных последствий вида отказа может потребоваться использование других видов анализа, например анализа дерева событий (ГОСТ Р МЭК 62502).
Последствия отказов должны быть описаны достаточно подробно, чтобы пользователь FMEA мог делать выводы об их значимости. Последствия отказов могут быть выведены на основе знаний об объекте или процессе, их функций, взаимодействий и месте в анализируемой иерархии. Часто для упрощения анализа последствия отказа подразделяют на группы в зависимости от значимости или особенностей.
Зафиксированное описание последствий отказа должно включать информацию, позволяющую точно оценить тяжесть и значимость возможных последствий. Способы регистрации последствий и типы последствий, которые следует учитывать, должны соответствовать описанным в плане FMEA.
Поскольку FMEA исследует конечные последствия, рассматривая элемент за элементом или функцию за функцией, то последствия, возникающие в результате множественных отказов, обычно не идентифицируют. Однако в некоторых ситуациях, таких как анализ дополнительных или защитных свойств, отказ, не имеющий немедленно обнаруживаемых последствий (т.е. не выявленный), может привести к последствиям высшего уровня после второго отказа, который в противном случае не был бы важен. Эти события должны быть записаны для дальнейшего исследования или анализа.
Пример — Отказ защитного устройства приводит к неблагоприятным последствиям только в случае отказа защитного устройства и отказа объекта, для защиты которого оно предназначено. Последствия таких множественных отказов указывают в отчете об анализе.
Примечание 3 — Анализ дерева неисправностей (ГОСТ Р 27.302) можно использовать для исследования влияния сочетаний отказов или для понимания дополнительных функций и взаимосвязей между защищенными и защитными объектами.
5.3.7 Идентификация причин отказов
5.3.7.1 Общие положения
Понимание того, как возникает отказ, полезно для определения наилучшего способа снижения вероятности отказа или его последствий. Этапы FMEA не включают метод полного анализа причин отказов. В некоторых случаях полезно определить физический, логический или психологический механизм отказа, однако это не всегда необходимо для достижения целей анализа.
Пример — Идентификация того, что протечка (вид отказа) связана с процессом коррозии, может привести к рекомендации по замене материала.
Примечание — Методы более детального анализа причин отказов приведены в анализе корневой причины (см. [4]).
Степень, до которой необходимо исследовать причины отказов, зависит от результативности затрат. Например, больше усилий можно посвятить анализу причин видов отказов, которые оказывают существенное влияние на функции и цели, чем видов отказов, оказывающих меньшее влияние.
При выявлении причин отказа следует учитывать условия использования. Следует рассмотреть причины, связанные с аппаратным и программным обеспечением, человеческим фактором и интерфейсами между ними.
5.3.7.2 Отказы по общей причине и отказы общего вида
В процессе FMEA необходимо рассмотреть возможные источники отказов по общей причине (CCF). Отказ по общей причине — это отказ, когда несколько (более одного) элементов отказывают одновременно или в течение достаточно короткого периода времени. Поэтому отказы по общей причине противоречат фундаментальному предположению о том, что рассматриваемые в FMEA виды отказов являются независимыми. Отказ по общей причине является частным случаем, когда причина связана с самими элементами.
Пример 1 — Причиной отказа источника питания является неправильное номинальное значение для ожидаемой высокой температуры работы компонента. Таким образом, когда возникает высокая температура, более одного источника питания отказывают в течение короткого периода времени.
Примечание — Объект или процесс, в котором использованы резервирование или множественные средства контроля для поддержания функции или снижения последствий в случае отказа, подвержен отказам по общей причине.
Если средство контроля может отказать по той же причине, что и элемент, для контроля состояния которого его используют, то такой отказ по общей причине следует включить в качестве причины отказа таким же образом, как и другие причины, а обоснование его включения следует привести в документации.
Отказы общего вида возникают в нескольких элементах, отказавших одним и тем же способом (с одним и тем же видом отказа) по одной и той же либо по разным причинам. Часто возникают проблемы, когда потеря функции связана с резервированными объектами, изготовленными по одной и той же технологии и имеющими одинаковую конструкцию.
Пример 2 — Использование компонентов с недостаточной номинальной емкостью (конденсаторов) с несоответствующей интенсивностью отказов из-за повышенного напряжения может привести к короткому замыканию (отказ общего вида) в резервных элементах.
Отказ общего вида должен быть идентифицирован и обработан в процессе анализа, если соответствующий элемент относится к области применения анализа. Источники и последствия отказов общего вида могут быть лучше исследованы с помощью таких методов, как анализ дерева неисправностей (ГОСТ Р 27.302).
5.3.7.3 Человеческий фактор
Персонал можно рассматривать как элемент объекта или процесса, который имеет свои виды отказов, или ошибку человека можно идентифицировать как причину отказа аппаратного, программного или технологического элемента, включая их взаимодействия.
Анализ причин ошибок человека, как правило, более сложен, чем анализ причин отказа аппаратного или программного обеспечения, поскольку в этом случае существует гораздо больше механизмов отказов, каждый из которых имеет много возможных причин. Отказ от рассмотрения ряда психологических механизмов может привести к чрезмерно упрощенному и неправильному определению причины и, следовательно, к неправильной стратегии ее устранения.
Пример 1 — Вид отказа «действие не выполнено» может произойти потому, что человек отвлекся, сделал ошибочные предположения, или из-за недостатка знаний о последовательности действий. Если какое-либо действие не выполнено по невнимательности или халатности, дополнительное обучение может быть бесполезным или даже контрпродуктивным.
Примечание 1 — Причины ошибок человека и факторы, влияющие на его деятельность, приведены в ГОСТ Р 62508. Таксономия видов, механизмов и причин ошибок человека, а также формальные методы, которые могут быть использованы для анализа ошибок человека, приведены в [4].
Примечание 2 — Человек может совершить как преднамеренную, так и непреднамеренную ошибку.
Процедуры устранения ошибок человека направлены на уменьшение вероятности возникновения ошибок. Поскольку устранить ошибку может быть сложно, цель состоит в том, чтобы сделать объект или процесс более устойчивым к ошибкам человека.
Пример 2 — В процессе движения поезда, а также для хорошей видимости сигналов могут быть предусмотрены блокировки, предотвращающие подачу машинистом ошибочных сигналов об опасности, независимо от причины ошибки.
5.3.8 Оценка значимости вида отказов
5.3.8.1 Общие положения
В плане FMEA должно быть установлено, следует ли учитывать относительную значимость видов отказов и как это следует делать.
Ранжирование может быть выполнено либо в процессе анализа каждого вида отказа, так как для каждого вида отказа анализируют его последствия, либо после идентификации всех видов отказов. Результатом является перечень всех видов отказов, ранжированных в порядке актуальности их обработки. При ранжировании необходимо учитывать экономическую эффективность обработки отказов, простоту ее выполнения и влияние обработки на другие части системы.
5.3.8.2 Определение значимости последствий отказа на высшем уровне системы
Значимость последствий, определяемая для каждого вида отказа, должна отражать значимость его влияния на высший уровень системы, объекта (конечные последствия) или на цели процесса. Определение высшего уровня в условиях анализа должно быть четко установлено.
Пример 1 — Анализ объекта может быть выполнен изготовителем для анализа его конструкции; в этом случае значимость последствий может быть представлена через влияние на характеристики объекта в целом. Этот же объект может быть проанализирован в составе группы объектов; в этом случае значимость последствий связана с влиянием на характеристики группы.
Пример 2 — Анализ процесса или процедуры может быть выполнен для оценки их воздействия на небольшое подразделение или группу или как часть более крупного анализа.
Примечание — Степень влияния может оказаться более значительной на низких уровнях иерархии объекта, если резервирование и средства контроля учитывают только на более высоких уровнях иерархии системы.
Чтобы обеспечить согласованность приоритетов видов отказов в процессе FMEA, значимость последствий необходимо оценивать, используя четко установленную общую шкалу, которая охватывает типы последствий (5.2.4), установленные в плане. В приложении B приведена более подробная информация.
5.3.8.3 Оценка вероятности возникновения вида отказа
Вероятность возникновения каждого вида отказа должна быть определена, если она необходима в качестве входных данных для анализа критичности (приложение B) или если результаты анализа используют в качестве входных данных в других методах анализа надежности (приложение D).
При оценке вероятности возникновения вида отказа следует учитывать технические, человеческие, организационные и экологические факторы, которые могут влиять на отказ и вероятность его возникновения.
При оценке вероятности возникновения вида отказа должен быть четко установлен период времени, для которого сделаны оценки. Выбранный период времени должен соответствовать целям FMEA.
Пример — Обычно используемые периоды времени включают: гарантийный период; ожидаемую продолжительность полезного использования объекта; установленный период использования объекта или процесса; продолжительность смены.
Вероятность возникновения вида отказа может быть оценена с использованием различных методов и источников данных, включая:
— данные испытаний компонентов на стойкость или лабораторно рассчитанных интенсивностей ошибок человека;
— доступные базы данных о видах отказов, интенсивностях отказов, вероятностях отказов или неготовности;
— данные об отказах в процессе эксплуатации;
— данные мониторинга работы человека;
— данные об отказах аналогичных объектов с сопоставимым использованием.
Примечание — Существуют базы данных о видах отказов обычно используемых компонентов оборудования (например, [5], ГОСТ Р 27.013), о видах ошибок человека (например, [6]), методах оценки надежности человеческого фактора (например, ГОСТ Р МЭК 62508), об оценке отказов аналогичных объектов (например, [7]).
5.3.8.4 Оценка других параметров критичности
Если необходимо провести анализ критичности, можно оценить и другие параметры, кроме вероятности и значимости последствий. Например, общим дополнительным параметром, используемым при оценке критичности, является рейтинг «обнаруживаемости». Вид отказа, в котором отказ или признаки будущего отказа могут быть легко обнаружены, обычно менее важен, чем вид отказа, который невозможно обнаружить до возникновения неблагоприятных последствий. В приложении B приведены примеры, в которых при анализе критичности использован рейтинг обнаруживаемости.
Примечание — В некоторых случаях применения FMEA, особенно в автомобильной отрасли, обнаруживаемость имеет другое значение и является частью идентификации возможного вида отказа в процессе выполнения программы разработки.
Аналогично при ранжировании критичности вида отказа может быть использован дополнительный параметр, отражающий результативность существующих средств контроля.
5.3.9 Идентификация действий
5.3.9.1 Общие положения
В зависимости от области применения FMEA, возможные действия для видов отказа, требующих обработки (5.2.4), должны быть идентифицированы, оценены и документированы. В некоторых случаях только способы обработки, которые сразу становятся очевидными, документируют как часть FMEA, а выбор окончательного решения является целью дальнейшего анализа и компромиссных решений за пределами FMEA.
Также может потребоваться детальное применение FMEA в области, вызывающей особую озабоченность, или выполнение анализа причин отказов до разработки рекомендаций.
Обоснование рекомендаций по возможной обработке должно быть основано на критериях принятия решения (5.2.4), согласованных с планом FMEA, и должно быть документировано. При определении способа обработки отказов следует проявлять осторожность при интерпретации факторов, используемых при определении критичности вида отказа.
При определении способа обработки не следует устанавливать уровень точности, не совместимый с данными и используемыми методами, даже если была проведена полная количественная оценка FMECA.
5.3.9.2 Варианты обработки
Обработка вида отказа может включать изменение конструкции объекта или процесса, действий во время эксплуатации или технического обслуживания оборудования.
Как правило, внесение изменений на этапе проектирования менее затратно, особенно в отношении изменения оборудования.
Пример 1 — Изменения в конструкции включают: замену компонентов на более безотказные; внедрение систем резервирования или резервного копирования; эргономичное проектирование оборудования или процессов для снижения вероятности ошибок; применение новых или улучшенных способов, с помощью которых объект, операторы, пользователи могут обнаружить отказ; а также применение устройств, обеспечивающих безопасность или ограничивающих последствия отказа.
В процессе работы могут быть выполнены действия по обнаружению вида отказа или признаков будущего отказа для его предотвращения или снижения его последствий.
Пример 2 — Для аппаратных средств возможные способы обработки отказа включают в себя изоляцию, снижение нагрузки, изменение маршрута и активацию функций подавления. Для процессов возможные способы обработки отказа включают проверки и регулировки в процессе работы.
Программы технического обслуживания также могут быть использованы в качестве средства контроля и должны быть разработаны структурированным образом на основе результатов FMEA.
Примечание — Процесс разработки таких программ — это техническое обслуживание, ориентированное на безотказность (см. ГОСТ Р 27.606).
Обработка отказа может привести к одному или нескольким из следующих действий:
— устранению вида отказа;
— снижению вероятности возникновения вида отказа;
— устранению или уменьшению последствий вида отказа.
Для определения того, какие виды отказов требуют обработки, должны быть использованы критерии принятия решения (5.2.4).
В некоторых случаях никакие действия не могут быть предприняты, даже если обработка была идентифицирована в процессе FMEA.
Следует также рассмотреть возможность удаления средств контроля, которые неэффективны или излишни.
Документация должна включать, как минимум, краткое изложение всех сделанных рекомендаций.
Если рекомендации приняты и введены новые средства контроля или методы обнаружения отказов, может возникнуть необходимость пересмотра анализа для проверки:
— возникновения новых видов или последствий отказов;
— приемлемости критичности конкретных видов отказов.
Изменения в документации на объект или процесс, которые должны быть учтены при следующем пересмотре FMEA, должны быть идентифицированы.
5.4 Документирование FMEA
Анализ должен быть документирован и представлен в соответствии с планом FMEA (5.2.5) <1>.
———————————
<1> Существуют коммерческие пакеты программ для разработки отчета о результатах FMEA. Для отчета о простом анализе с небольшим количеством участников может быть полезно использование электронных таблиц. Для составления отчета о более сложном анализе с несколькими источниками информации и сложными требованиями к отчету может быть полезна реляционная база данных.
Приложение A
(справочное)
ОБЩИЕ РЕКОМЕНДАЦИИ ПО АДАПТАЦИИ FMEA
A.1 Общие положения
A.1.1 Обзор
Адаптация позволяет сформировать экономически эффективный способ достижения целей FMEA и включает в себя принятие решений:
— о границах анализируемых системы, объекта или процесса;
— о начальной точке анализа в иерархии объекта;
— об уровне детализации при делении объекта анализа на элементы;
— о рассматриваемых этапах анализа;
— об уровне детализации на каждом этапе анализа;
— о применимости ранжирования видов отказов на основе их критичности и используемом методе оценки.
В целом выбор зависит от таких факторов, как:
— цель анализа (например, улучшение или модификация объекта или процесса, создание свидетельств о надежности ([8]) для демонстрации соответствия установленным требованиям, планирование технического обслуживания или материально-технического обеспечения, обеспечение безопасности);
— степень, в которой процесс или объект являются новыми или инновационными;
— наличие соответствующих данных (например, об эксплуатации аналогичных объектов, данных испытаний);
— необходимость выполнения обработки отказа или передачи выполнения этих действий другой стороне, не участвующей в FMEA;
— юридические или договорные требования;
— зрелость конструкции объекта или проекта;
— стадия жизненного цикла, на которой выполняют FMEA.
В общем случае должен быть выполнен анализ того, что для некоторых объектов, процессов или их элементов не требуется применение FMEA в любой форме, это особенно важно, если нет четкой идентификации преимуществ выполнения анализа или если более полезно применение других видов анализа надежности. FMEA приобретает экономическое значение, например, в результате влияния на конструкцию, эксплуатацию и представление информации для разработки экономически эффективных предупреждающих и корректирующих программ технического обслуживания. Если результаты анализа не могут повлиять на эти факторы, тогда применение FMEA может быть неоправданным.
Примечание — Во многих случаях готовые объекты или элементы, приобретаемые у конкретных поставщиков, могут быть рассмотрены в виде «черного ящика» и могут быть удовлетворительно проанализированы лишь в отношении интерфейсов, входов и выходов.
Примеры вариантов адаптации в конкретных отраслях промышленности приведены в A.3. Общие положения по применению FMEA приведены в приложении E.
A.1.2 Начальная точка FMEA в структуре объекта
Выбор начальной точки для адаптации FMEA зависит от цели, стадии анализа и способа достижения наилучших результатов (5.2.3.2).
Подход, когда начальная точка анализа находится на верхнем или среднем уровне структуры объекта, а в качестве причин видов отказов рассматривают лишь отказы элементов на следующем, более низком уровне, в настоящем стандарте назван подходом «сверху вниз» или нисходящим подходом.
Подход, когда начальной точкой анализа являются элементы самого низкого уровня структуры объекта, связанные с достижением целей, в настоящем стандарте назван подходом «снизу вверх» или восходящим подходом.
Нисходящий подход обычно используют на ранних этапах проектирования, и, следовательно, он может давать неполные по глубине и охвату результаты из-за преднамеренного ограничения области применения или отсутствия необходимой информации. Тем не менее раннее применение анализа (с использованием оценок там, где это необходимо) может оказать положительное влияние на надежность и стоимость объекта. Если FMEA продолжается до завершения разработки, FMEA должен быть завершен с использованием детализованного подхода «снизу вверх» и должен соответствовать целям FMEA.
Примечание 1 — В настоящем стандарте термин «нисходящий» использован для описания подхода выполнения FMEA и соответствует применению анализа дерева неисправностей.
Примечание 2 — Если область применения анализа является более обширной, чем внутренняя работа объекта (например, включает внешние события, такие как пожар, наводнение или влияние оператора), или продолжение разработки маловероятно (например, возможности выполнения анализа ограниченны), то более полезным, чем FMEA, может быть анализ дерева неисправностей.
Обзор особенностей нисходящего и восходящего подходов приведен в таблице A.1. Приведенные в таблице особенности позволяют понять особенности данных подходов.
Таблица A.1
Особенности нисходящего и восходящего подходов FMEA
Подход FMEA |
Особенности |
Нисходящий |
Чаще всего подход понимают как функциональный анализ, фокусирующий усилия на наиболее важных требованиях или функциях объекта или процесса. Применим на ранних стадиях разработки, когда известны только функциональные требования на верхнем уровне объекта. Помогает более детально определить структуру объекта, полезен для более поздних FMEA (которые затем могут стать восходящими), особенно для сложных систем. Может быть применен в случаях, когда исследуют конкретные последствия и нужны только конкретные виды отказов. Может быть экономически эффективен, если анализ сконцентрирован на конкретных элементах или функциях. Позволяет оценить потерю объектом функции, но ограничивается оценкой того, как могут происходить заранее определенные события отказа, без идентификации всех отказов, которые могут произойти. Требуется обоснование оценки точки, в которой продолжение анализа на более низких уровнях структуры объекта не даст или почти не даст полезной информации для достижения цели анализа. Может обеспечивать определение требований на более низких уровнях структуры объекта. |
Восходящий |
Подход чаще всего применяют в тех случаях, когда отдельные элементы объекта или процесса рассматривают на самом детальном уровне, а последствия их отказа анализируют на заданных более высоких уровнях структуры. Обеспечивает большую уверенность в том, что все возможные виды отказов рассмотрены, так как делается мало предположений относительно покупных составных частей или составных частей в сложных одноразовых модулях (их рассматривают как черный ящик). Хорошо подходит для определения всех возможных последствий при разработке совершенно нового расположения компонентов, использования существующих элементов в новой среде или в новой области применения. Часто используют для новых конструкций, когда влияние на верхний или более высокий уровень неизвестно. Не требует знания функциональных требований верхнего уровня объекта, поскольку потерю функции на верхнем уровне объекта выводят путем распространения последствий отказа компонента вверх по иерархической структуре объекта. Может значительно увеличить объем FMEA и, следовательно, усилия, необходимые для выполнения анализа. |
A.1.3 Степень детализации при выполнении анализа
FMEA может быть выполнен с разной степенью детализации для получения дополнительной информации, например для анализа возможных вариантов восстановления или для оказания помощи в выполнении соответствующих видов анализа при эксплуатации, техническом обслуживании или поддержке логистической программы. Глубина и объем FMEA зависят от сложности исследуемых системы, объекта или процесса.
A.1.4 Ранжирование видов отказа
Расширение FMEA для включения анализа критичности может быть полезно, если требуется мера значимости конкретного вида отказа. Такая информация об относительной значимости может быть использована при планировании очередности действий по оценке и обработке отказов. Если все виды отказов должны быть обработаны определенным образом (например, если это необходимо в соответствии с обязательными требованиями), то проведение анализа критичности может быть бесполезным.
При определении очередности обработки отказов не следует рассматривать только значимость или критичность отказа. Также следует рассмотреть, например, экономическую эффективность доступных методов обработки, простоту их выполнения и их влияние на другие части системы.
При оценке параметров, таких как значимость и вероятность, могут быть использованы количественные или качественные шкалы.
— Количественные шкалы могут быть полезны при наличии соответствующих данных эксплуатации, испытаний или прогноза, позволяющих для конкретных видов отказов назначить интенсивность или вероятность отказов.
— Качественные шкалы могут быть полезны в ситуации, когда отказы должны быть ранжированы по значимости, но подробная информация недоступна или объект недостаточно определен для применения соответствующих количественных данных.
Обзор общих характеристик качественных и количественных оценок критичности для подходов FMEA сверху вниз и снизу вверх приведен в таблице A.2.
Таблица A.2
Применение общих подходов FMEA
Подход FMEA |
Качественный анализ |
Количественный анализ |
Нисходящий |
Обычно анализ проводят на ранней стадии разработки объекта, когда такой подход может быть экономически эффективным, поскольку он позволяет останавливать анализ при достижении уровня, на котором дальнейшее деление конструкции объекта невозможно или знание вида отказа недоступно по какой-либо другой причине. Примером является проверка достоверности низкой стоимости, которая определена режимом поддержки изготовителя оригинального оборудования для зрелого объекта, который имеет некоторое соответствие с ожидаемыми видами отказов в исследуемой конструкции. Это может быть сделано с помощью нисходящего анализа, показывающего прослеживаемость определенных задач технического обслуживания и видов отказов, количество которых сокращено или является контролируемым. Нисходящий подход на ранних этапах проектирования может не включать даже качественную оценку, если цель состоит в изучении и понимании только видов отказов и их последствий. |
В целом совместим с проектированием новых объектов, у которых структура известна, а обработка направлена на выявление возможностей улучшения конструкции путем ранжирования видов отказов и их последствий. Такая форма анализа обеспечивает прослеживаемость видов отказов, их последствий и возможного значения смягчающих действий, но может быть более трудной для выполнения. В целом применение оправдано, когда необходимы поддающиеся проверке выходы, такие как возможность регулировки, представление или демонстрация положительных результатов приложенных усилий. |
Восходящий |
Обычно применяют к существующим сложным и часто устаревшим объектам, когда фактические количественные данные о работе объекта могут быть не доступны. Может быть использован в тех случаях, когда значительная модификация объекта требует интеграции нового оборудования в процессе проектирования, а для количественного анализа данные не доступны. Поощряет начинать анализ с уровня детализации, который удовлетворяет цели анализа (например, предотвращать применение FMEA к покупным элементам, когда усилия не способствуют пониманию и существует мало вариантов конструкции). |
Как правило, полезен при завершении проектирования объекта для демонстрации соответствия требованиям к конструкции и как подробный материал для использования в других видах анализа, таких как анализ безопасности или материально-технического обеспечения. Такая форма анализа может быть продолжительной, дорогостоящей и, как правило, оправдана только в случае большого объема производства или существенного влияния отказа конкретного объекта, когда применение процесса FMEA скорее всего приведет к возврату вложенных усилий. |
В приложении B приведено подробное руководство по методам анализа критичности.
Содержание таблицы A.1 является общим. В некоторых случаях может потребоваться более детальное рассмотрение. Например, системы, критически важные для безопасности, могут требовать наличия доказательств того, что они были разработаны или выбраны способом, обеспечивающим прозрачность идентификации, анализа, оценки и обработки вероятности и значимости отказа. FMEA может быть настроен для отображения, например, прослеживаемости смягчения или обработки последствий отказов вместе с доказательством того, что используемый метод соответствует условиям применения. Дальнейшее рассмотрение вопросов, связанных с общими типами применения FMEA, приведено в приложении E.
A.2 Факторы, влияющие на адаптацию FMEA
A.2.1 Повторное использование данных (информации) анализа аналогичного объекта.
Повторное использование данных предыдущего анализа позволяет сократить усилия и время FMEA. Тем не менее данные должны быть пригодны для нового анализа. Пригодность данных предыдущего анализа для проводимого FMEA может быть оценена путем рассмотрения следующих вопросов:
— Конструкции ранее и вновь исследуемого объекта (процесса) аналогичны или совпадают?
— Данные об аналогичных объектах или процессах соответствуют целям анализа?
— Условия использования и эксплуатации исследуемого объекта и объекта-аналога совпадают?
Примечание — Объекты серийного производства, которые могут быть приобретены для использования несколькими потребителями и, возможно, в различных отраслях, могут не иметь данных FMEA, имеющихся у изготовителя. В этих случаях FMEA может принести небольшую пользу, за исключением случаев, когда есть уверенность в предлагаемой изготовителем программе технического обслуживания. Кроме того, приобретенный объект можно рассматривать в виде «черного ящика» и исследовать на самом низком уровне иерархии объекта.
FMEA может быть одним из методов, применяемых как часть программы обеспечения надежности; в этом случае могут быть использованы данные применения других методов анализа (см. приложение D).
A.2.2 Зрелость <1> конструкции объекта и разработки проекта
———————————
<1> Определение термина «зрелость» см. в ГОСТ Р 57273.
Зрелость относится как к разработке проекта (то есть к развитию проекта в процессе жизненного цикла объекта), так и к конструкции объекта. Зрелость конструкции объекта и проекта рассматривают вместе, поскольку они связаны.
На этапе разработки концепции, когда формируется структура объекта, нисходящий функциональный FMEA обеспечивает возможность идентификации видов отказов высокого уровня, что помогает при выборе структуры объекта. По мере перехода от стадии концепции к детальному проектированию при выборе существующих конструкций элементов объекта может быть применен восходящий подход. Начальная точка восходящего подхода обычно зависит от выбора начальной точки в иерархии объекта, выбранной посредством нисходящего функционального анализа или декомпозиции структуры объекта.
Конструкции приобретаемых объектов часто создаются в течение длительного периода времени в результате этапов модификации и улучшения надежности. Зрелые конструкции могут не иметь доступной документации об FMEA, например потому, что конструкция объекта разработана до общего осознания значения FMEA или без использования процессов улучшения, основанных на FMEA. Тем не менее зрелые конструкции могут иметь известные показатели безотказности и соответствующие программы технического обслуживания, которые обеспечивают непрерывное функционирование объекта. Выполнение подробного FMEA для таких объектов может оказывать лишь незначительное влияние на конструкцию или программу технического обслуживания.
Для незрелых конструкций часто характерно применение недавних инноваций в структуре объекта, применение новых материалов и деталей для достижения улучшенных характеристик и/или экономической эффективности. Изготовители оборудования могут иметь доступный официальный FMEA для включения в общий анализ объекта. Отсутствие FMEA для таких конструкций может быть причиной выполнения дополнительных действий, таких как экологические испытания для обеспечения требуемых значений параметров. Незрелая конструкция может возникнуть в результате использования как зрелых, так и незрелых компонентов, это может влиять на трудоемкость выполнения анализа.
A.2.3 Степень инноваций
Анализ и обработка видов отказов, связанных с технологическими инновациями, могут поддерживаться всеми четырьмя комбинациями форм FMEA и различных форм, используемых при переходе проекта со стадии концепции и определения конструкции на стадию полномасштабной разработки объекта.
Пример — Технологическая инновация может быть новой технологией процесса, новым применением существующей технологии или новым процессом.
Зрелые технологии похожи по своей природе на зрелые конструкции. Длительная эволюция зрелых технологий может мешать разработке, включающей функциональные описания объекта и его элементов. Таким образом, полезным способом установления преимуществ FMEA является оценка возможного влияния на конструкцию, изменение или определение возможных значений показателей безотказности и ремонтопригодности, а также верификация технического обслуживания и связанных с ним потребностей в поддержке.
A.3 Примеры адаптации FMEA для объектов и процессов
A.3.1 Общие положения
Чтобы показать адаптацию FMEA на практике, ниже приведено несколько примеров. Для каждого примера описаны предмет анализа и условия применения, объяснены причины адаптации FMEA. Для примеров, содержащих анализ критичности, рассмотрены только причины выбора метода. В приложении B приведена подробная информация о методах анализа критичности.
A.3.2 Пример адаптации FMEA для анализа офисного оборудования
Предметом исследования является новая конструкция офисного оборудования, включающая интегрированное аппаратное и программное обеспечение, которую необходимо оценить на этапах предварительного и детального проектирования. Конструкция объекта была основным вариантом установленного семейства продукции. Использованы элементы нового дизайна и новые технологии. Компания поддерживает базу данных о безотказности, которая включает данные, например, о нагрузке, виде и механизме отказа, структуре объекта и другую соответствующую информацию для всех существующих деталей. Все элементы объекта соединены последовательно для выполнения требуемой функции верхнего уровня.
FMEA был проведен в рамках программы безотказности для анализа конструкции объекта и процесса его производства. Прогнозирование и сокращение количества появлений вида отказа на стадии проектирования очень важно для разработки конкурентоспособной продукции. Организация имеет значительный опыт эксплуатации продукции данного семейства. Поэтому при выполнении FMEA могут быть использованы такие данные для устранения технических недостатков продукции и процесса на стадии проектирования.
Восходящий FMEA выбран из-за простоты и в соответствии с целью программы по обеспечению функциональности и безотказности системы, основанной на полном понимании работы элементов низкого уровня в условиях использования, установленных заказчиком. Кроме того, конструкция объекта представляет собой смесь существующих и новых технологий. Даже при использовании существующей технологии изменение условий эксплуатации может привести к различным видам отказов, поэтому был применен восходящий FMEA.
В FMEA включен анализ критичности, поскольку он позволяет ранжировать отказы по значимости последствий и вероятности их возникновения. Поскольку цикл проектирования был коротким, FMEA использован для разработки рекомендаций по распределению ресурсов для проверки согласованности параметров элементов в конструкции, так как не было возможности для проверки и анализа всех комбинаций. Существует значительный опыт эксплуатации аналогичной продукции для поддержки данного типа FMEA и обеспечения его достоверности.
Критичность была определена с использованием качественного метода RPN (см. приложение B), поскольку метод прост в применении и является достаточно всесторонним. Стандартные таблицы, определяющие шкалы измерений категорий значимости и вероятности отказов, разработаны для обеспечения согласованности в применении и оценке. Использование стандартных таблиц для оценки параметров критичности позволило легко сопоставить FMEA для различных типов продукции.
A.3.3 Пример адаптации FMEA для распределенной энергосистемы
С помощью FMEA необходимо выявить недостатки конструкции для обеспечения работоспособности и отказоустойчивости системы распределенного энергоснабжения. Анализ был также первым шагом к полному анализу готовности системы. Система распределенного энергоснабжения — новый проект в данном семействе продукции. В новом проекте использован основной вариант более ранних проектов с известной и понятной технологией. Структура системы неоднородна, но с одинаковыми функциями. FMEA должен быть выполнен на стадии детального проектирования, во время которого новые данные о конструкции и аспектах работы системы доступны из других видов анализа надежности и инженерных исследований.
Выбран нисходящий подход FMEA. Сначала было выполнено детальное определение функций системы. Это позволило определить отклонения от этих функций для поддержки анализа причин отказов на более низком уровне. Функциональные возможности системы охарактеризованы посредством разработки нисходящего FMEA, в котором проведена декомпозиция функции системы для идентификации видов отказов, их причин и последствий.
FMEA также включал анализ критичности, поскольку поддающаяся количественному определению информация о возникновении вида отказа и его последствиях необходима для последующего использования метода анализа готовности. В первом цикле FMEA использован качественный метод RPN, а когда стало доступно больше деталей проекта для количественной оценки вероятности возникновения отказов, были использованы фактические оценки интенсивности отказов.
A.3.4 Пример адаптации FMEA для медицинских процессов
Многие организации здравоохранения в нескольких странах в рамках своей аккредитации обязаны регулярно оценивать свои процедуры для определения недостатков системы. Цель состоит в идентификации частей процесса и сокращении неблагоприятных событий в области здравоохранения. FMEA — признанный способ выполнения этих требований. FMEA может быть применен к любой медицинской процедуре (например, составление необходимой дозы, введение лекарственного препарата, выполнение операции и анестезии).
В данном примере рассмотрен FMEA медицинской процедуры, в которой процедура может быть простой, но люди могут совершать ошибки и могут быть неспособны выполнить действия в соответствии с назначением из-за причин, связанных с оборудованием или окружающей средой.
Начало и конец исследуемой процедуры должны быть четко определены, а выполняемые задачи разделены на этапы, для которых определяют каждый вид отказов.
При применении FMEA в медицине рекомендуемые адаптации чаще всего включают добавление проверок и сопоставлений, а не изменение проекта процедуры в целом.
Может потребоваться выполнение вспомогательного FMEA для таких ситуаций, когда, например, отказ оборудования может привести к невозможности правильного выполнения этапа процесса или когда один этап описанной процедуры фактически выполняют в несколько этапов.
Обычно при применении FMEA к медицинской процедуре рассматривают все виды отказов с серьезными последствиями для пациентов. При проведении анализа критичности обычно используют метод RPN. Причина этого состоит в том, что возможные отказы, которые легко обнаруживают до возникновения неблагоприятных последствий, менее важны, чем виды отказов, которые остаются скрытыми до тех пор, пока не возникнут неблагоприятные последствия.
Количественный анализ интенсивности ошибок человека обычно сложен и может быть ненадежным. Простой метод, такой как RPN, или матрица критичности — это часто все, что необходимо для обеспечения полезных оценок критичности и определения приоритетов улучшения процесса.
A.3.5 Пример адаптации FMEA для электронных систем управления
FMEA применяют на стадии концепции и детального проектирования электронных систем управления для обеспечения безопасности, таких как система торможения поездов и предотвращения столкновений. Обычно такие системы являются вариантами ранее разработанных систем. Отличие новых систем от существующих, как правило, связано со структурой системы и используемой технологией.
Целью FMEA является демонстрация характеристик безопасности системы. По этой причине выбран подход FMEA «снизу вверх», этот подход позволяет аналитику систематически доказывать, что определенные меры способны надлежащим образом смягчить все идентифицированные сценарии ошибочных действий системы независимо от того, какой элемент нижнего уровня отказал.
FMEA ориентирован на анализ возможностей снижения риска отказов системы. Это обязательная часть анализа, выполняемого для систем, связанных с безопасностью. Последствия отказов обычно классифицируют независимо от того, считают их безопасными или нет. Для выбора обоснованного решения область применения описания последствий должна быть понятной. Например: если уровень слишком сосредоточен на локальных последствиях, то аналитик может не вывести критичность последствий для системы в целом; если уровень системы слишком обширен, анализ может быть не способен проследить отказ до конечных последствий.
Такой подход к FMEA вызывает дискуссию по ряду вопросов. Например, обычно дискуссии возникают о видах отказов, влияющих на возможности системы диагностики без нарушения ее основных функций. Другой аспект — это реакция на действия, направленные на смягчение последствий отказа (то есть в какой степени действия по смягчению последствий отказа могут быть учтены, если они происходят слишком редко для обнаружения зарождающегося отказа).
Методы, используемые в FMEA, варьируются от специальных электронных таблиц до специализированных баз данных, которые применяют RBD для встраивания видов отказов в модели функционирования объекта. Например, подсистемы могут ссылаться на экземпляры компонентов с определением присущих видов отказов, когда различные виды отказов могут привести к одним и тем же последствиям, которые тесно связаны с некоторым способом классификации.
A.3.6 Пример адаптации FMEA для гидроблока насоса
Основной FMEA должен быть выполнен для получения информации о предварительной конструкции гидроблока насоса для газового котла. Функции гидроблока включают функцию насоса (расход, давление), функцию отводного клапана (переключение работы котла с режима центрального отопления на режим независимого горячего водоснабжения), сброс воздуха из контура центрального отопления (отдельно сброс воздуха из жидкости), герметичность в условиях давления в системе, возможность подключения к внешним гидравлическим разъемам и т.д. Организация имеет значительный опыт работы с аналогичными объектами, исследуемый насос представляет собой существующий объект с небольшими изменениями в конструкции.
FMEA необходимо выполнить так, чтобы наилучшим образом использовать команду разработчиков. С учетом разработки предварительной конструкции и опыта работы проектировщиков логической отправной точкой для FMEA выбрана идентификация функций верхнего уровня объекта. Для идентификации видов отказов (функция за функцией) был использован семинар. Принятие процесса FMEA состоялось при участии в семинаре соответствующих специалистов, где они высказали свои опасения. Цель — исследование и фокусировка на технических компромиссах для известных видов отказов и их причин, а не проведение исчерпывающего FMEA.
Данные, собранные в ходе семинара, представлены в виде последовательности видов отказов составных частей и их причин. Например, в случае проблемы, связанной с утечками, последствия могут варьироваться от неудовлетворенности потребителя до появления воды на полу, внешних утечек, невыполнения обязательств и т.д. В этом случае вид отказа может быть утечкой, составная часть — компонентом X, а причиной — усталостная трещина под воздействием высокого давления.
A.3.7 Пример адаптации FMEA для ветряной турбины ветроэлектрической установки
FMEA выполнен для поддержки детального проектирования ветряной турбины ветроэлектрической установки (далее — турбина).
Область применения FMEA охватывает турбину в целом, включая такие подсистемы, как структура, ступица, силовая передача, система управления и т.п. Цель, основанная на опыте предыдущих разработок, — поддержка разработки турбины нового поколения. В данном проекте необходимо оценить весь спектр последствий на каждом уровне системы путем ранжирования видов отказов на основе риска.
Принят подход снизу вверх для каждой из отдельных взаимозависимых подсистем, при котором учитывались последствия взаимодействия подсистем, что в конечном итоге привело к последствиям на уровне системы в целом. Начальной точкой выбрана структура системы/подсистемы, например, с элементами ввода-вывода, элементами управления, коробкой передач, двигателями, координирующими устройствами, электродвигателями, датчиками, блоками питания, преобразователями сигналов, подшипниками.
Использован подход снизу вверх, поскольку необходимо тщательное изучение всех возможных воздействий на уровне подсистем и систем, как с точки зрения безотказности и готовности, так и с точки зрения безопасности. Анализ критичности использован для определения отказов, требующих большего внимания. Метод анализа критичности RPN выбран из-за его простоты.
Приложение B
(справочное)
МЕТОДЫ АНАЛИЗА КРИТИЧНОСТИ
B.1 Общие положения
Методы анализа критичности обеспечивают способ ранжирования видов отказов. В данном приложении приведены только те методы, которые объединяют параметры: вероятность отказа, последствия отказа и (в случае ранга приоритетности риска) обнаруживаемость отказа.
Примечание — Использование единственного параметра для ранжирования значимости не классифицируют как анализ критичности.
Существует много способов объединения названных параметров для определения характеристики критичности.
В данном приложении приведено четыре метода: матрица критичности, график критичности, ранг приоритетности риска и альтернативный ранг приоритетности риска.
Рассматриваемые виды последствий, шкалы, используемые для каждого параметра, и метод их объединения для определения критичности необходимо установить на этапе планирования. Описанные методы носят общий характер и должны быть адаптированы для применения в отношении условий и целей анализа.
B.2 Шкалы определения параметров критичности
B.2.1 Общие положения
Параметры критичности могут быть выражены качественно, количественно или полуколичественно.
— Параметры критичности могут быть выражены качественно с использованием упорядоченных описательных категорий. Например, «незначительный», «крупный» или «катастрофический» (для значимости последствий); или «частый», «редкий» или «маловероятный» (для вероятности возникновения отказа).
— Параметры критичности могут быть выражены количественно с использованием эмпирических или других данных в форме интенсивности отказов или вероятности отказов, а также количественных оценок, таких как экономические или финансовые издержки в результате отказа. Шкалы отношений устанавливают в соответствии с диапазоном данных в установленных единицах.
— Если данные позволяют давать только описательные или порядковые оценки, параметры критичности могут быть выражены с использованием порядковых шкал, иногда называемых шкалами ранжирования. Если числовые значения делений шкалы связаны с рангами вероятности и значимости последствий или диапазоном интенсивности отказов и диапазонами финансовых затрат, такой подход иногда называют полуколичественным.
Точки на шкале соответствуют области применения. Для качественного, количественного и полуколичественного подходов точки соответствуют описательным категориям, числовым оценкам и рангам/диапазонам соответственно.
При разработке шкал для измерения параметров критичности следует использовать наилучшую имеющуюся информацию, чтобы избежать предвзятых результатов. Полезная система классификации может уже существовать в организации и должна быть рассмотрена для применения.
B.2.2 Определение шкалы
Диапазон шкалы должен простираться от самых тяжелых до самых благоприятных последствий из области исследований, от самой высокой до самой низкой вероятности и от самой высокой до самой низкой степени обнаруживаемое, присущей рассматриваемым видам отказов.
Точки делений на принятой шкале должны иметь четкое и точное определение, имеющее смысл для анализа и способствующее последовательной и точной оценке. Определения должны соответствовать имеющимся данным и быть выражены в терминах, понятных тем, кто проводит анализ.
Для количественных данных могут быть более подходящими логарифмические, а не линейные шкалы, как для последствий, так и для вероятности. Точки на шкалах при использовании для качественных и полуколичественных подходов должны быть определены соответствующим образом.
Пример — Предполагается, что затраты, связанные с катастрофическими отказами, на несколько порядков, а не в несколько раз выше, чем затраты, связанные с обычным отказом.
Выбор категорий (или диапазонов) с помощью качественных и полуколичественных шкал должен быть основан на рассмотрении смысла выбранных параметров. Должно быть выбрано достаточное количество категорий, допускающее классификацию и адекватное деление всей совокупности последствий. Как правило, требуется не менее трех категорий для обеспечения достаточной дифференциации всей рассматриваемой совокупности последствий. Большое количество категорий может быть неудобно, поскольку это может потребовать чрезмерных усилий для правильной категоризации, хотя последующая обработка может не существенно отличаться между категориями.
Примечание — Рекомендуется использовать от трех до десяти категорий.
Выбор описаний категорий и значений каждой из них должен быть тщательно рассмотрен с учетом способа их использования. Следует проявлять осторожность при составлении словесных описаний и числовых или буквенных обозначений при использовании качественного подхода, поскольку они сами по себе могут влиять на выбор, сделанный в процессе анализа. Для каждой из шкал должна быть разработана таблица, определяющая значение используемых слов и обозначений.
B.2.3 Оценка вероятности
Вероятность отказа может быть выражена количественно, полуколичественно или качественно.
При количественном подходе значения вероятности могут быть получены для конкретных видов отказов, они могут быть выведены на основе общих источников данных или оценены с использованием данных эксплуатации аналогичных объектов в сопоставимых условиях и областях применения.
Обычно при наличии количественных данных они, как правило, связаны с отказами объекта или процесса в целом, а не с конкретными видами отказов элементов. Оценка вероятности вида отказа может быть получена путем декомпозиции вероятности отказа объекта в целом на вероятности возможных видов отказов. Кроме того, может быть сделана корректировка для представления вероятности того, что вид отказа приведет к конкретным последствиям (обычно определенной значимости).
Примечание — Если в качестве показателя используют интенсивность отказов, то, если не указано иное, этот подход предполагает, что интенсивность отказов постоянна и, следовательно, это может быть неприемлемым в некоторых ситуациях. Кроме того, хотя интенсивность отказов объекта может быть получена из конкретных данных, условная вероятность видов отказов и вероятность того, что конкретный уровень последствий соответствует данному виду отказа, также часто получают из другого набора источников данных или на основе выводов и заключений.
Если используют диапазоны/категории вероятности, описания могут быть сделаны с использованием эмпирических данных, экспертных заключений команды разработчиков или на основе других источников данных. Важно, чтобы была использована соответствующая шкала, позволяющая применять точную оценку относительной частоты видов отказов и ее соответствие имеющимся данным.
Чтобы облегчить точное и согласованное применение, следует учитывать следующее.
a) При использовании количественных показателей, таких как вероятность или частота, единицы измерений должны быть четко указаны.
Пример 1 — Если используют значение в процентах, то указывают величину, относительно которой определяют процент, например процент объектов, отказавших в течение года.
b) Количественные пояснения описания категории, соответствующей диапазону вероятностей, ожидаемых для данного применения, должно быть приведено (по возможности) для общего понимания.
Пример 2 — Для технических систем с высокой безотказностью частота вида отказа элемента может составлять один отказ за несколько лет, а для менее надежных систем частота вида отказа объекта может составлять несколько отказов за год.
Описание вероятности для редких отказов должно быть реалистичным и применимо к наихудшему случаю.
B.3 Назначение критичности с использованием матрицы или графика
B.3.1 Общие положения
Для обеспечения возможности определения ранга критичности взаимосвязь параметров критичности может быть представлена несколькими способами. Вероятность и последствия отказа могут быть представлены с помощью непрерывных шкал или категорий, а затем объединены для визуального представления в форме графика или матрицы. График или матрицу критичности затем используют для определения приоритетности обработки.
Значение каждого ранга критичности и его связь с соответствующей обработкой необходимо обсудить и согласовать с заинтересованными сторонами до проведения анализа при планировании FMEA. Это дает четкое и однозначное понимание способа обработки вида отказа и возможного влияния такого решения на бизнес. Невозможность выполнения этого сводит на нет значение анализа критичности и может привести к существенным затратам времени и средств из-за излишних действий или неадекватной обработки отказов. Количество необходимых рангов критичности определяют требования организации и область применения анализа.
B.3.2 Матрица критичности
Анализ матрицы критичности формирует меру значимости путем объединения значений вероятности и последствий. Матрицу критичности также называют матрицей риска. Значения по каждому параметру формируют в виде матрицы, а ранг критичности присваивают каждой ячейке матрицы. Ранг критичности может быть связан с уровнем обработки, которую применяют к соответствующему виду отказа. Для видов отказов с низким рангом обработка может включать «бездействие». На рисунке B.1 показан пример качественной матрицы критичности
Рисунок B.1 — Пример качественной матрицы критичности
Примечание 1 — Примером четырех уровней категорий критичности (как на рисунке B.1) являются:
Категория X: «Недопустимый риск»;
Категория 1: «Нежелательный риск»;
Категория 2: «Приемлемый риск»;
Категория 3: «Несущественный риск».
В некоторых случаях вид отказа может привести к ряду различных последствий в зависимости от обстоятельств. В этом случае должны быть указаны последствия, которым соответствует вероятность. В такой ситуации полезно рассмотреть критичность нескольких возможных последствий.
В матрице на рисунке B.1 риск, соответствующий каждой категории критичности, возрастает от нижнего правого угла матрицы до верхнего левого. Однако обработка каждого вида отказа зависит только от классификации критичности (то есть цвета или кода критичности), а не от положения ячейки матрицы.
Примечание 2 — Использование термина «приемлемый риск» не означает, что дальнейшая обработка является нежелательной.
Матрица, представленная на рисунке B.1, является только примером, ее не следует рассматривать как обязательную форму матрицы критичности. Фактическая форма матрицы зависит от конкретной ситуации. Если количество диапазонов вероятности, категорий значимости и последствий различно, то форма матрицы будет отличаться от представленной на рисунке B.1. Если критичность, соответствующая комбинациям вероятности и значимости последствий, отличается от приведенной на рисунке B.1, кодирование также будет иным.
Матрица не обязательно ограничена двумя измерениями, ее можно расширить, добавив третий параметр или, теоретически, столько других параметров, сколько требуется. Однако сложность и усилия, необходимые для описания правильной и управляемой многомерной матрицы, могут быть значительными и неэффективными, поскольку каждая комбинация параметров требует оценки.
Матрица критичности должна быть выверена так, чтобы видам отказов с одинаковой значимостью соответствовали одинаковое значение критичности и одинаковая обработка. Кроме того, если категории значимости последствий или вероятности основаны на количественных или полуколичественных оценках, следует рассмотреть вопрос о приемлемости различных вариантов обработки, применяемых к видам отказов по обе стороны от границы критичности.
B.3.3 График критичности
На рисунке B.2 показаны примеры простых графиков вероятности и последствий с назначенными рангами критичности. В этом случае как вероятность, так и значимость последствий представляют собой непрерывные количественные шкалы.
Рисунок B.2 — Примеры графиков критичности
Границы между диапазонами не обязательно должны быть прямыми (пример B) или кривыми (пример A). В соответствии с требованиями обработки выявленных видов отказов граница может быть ступенчатой (пример C) или комбинацией прямых и кривых линий.
Примечание 1 — В примере B границы диапазонов представляют собой линии одинакового уровня риска. Если для вероятности и последствий использована линейная шкала, границы будут кривыми. Если использованы логарифмические шкалы, границы будут прямыми.
Примечание 2 — Если для вероятности использована линейная шкала, вероятность может принимать значение, равное нулю. Это может привести к ошибочным рангам критичности для высоких последствий и низкой вероятности отказов.
На практике гладкие границы диапазонов имеют смысл только в том случае, если вероятность может быть выражена количественно, а последствия отказов изменяются непрерывно (например, финансовые последствия) и могут быть полностью определены.
График критичности не обязательно должен быть ограничен двумя параметрами, при необходимости он может быть расширен до трех параметров. Однако сложность и усилия, необходимые для формирования правильных границ, могут быть значительными и неэффективными с точки зрения затрат.
В случаях, когда для значимости последствий может быть использована количественная шкала, имеющая различные значения или диапазоны значений, график критичности все еще применим, но границы значений критичности почти наверняка будут ступенчатыми. Это приводит к аналогичному представлению в матрице критичности.
B.4 Назначение критичности с использованием ранга приоритетности риска
B.4.1 Общие положения
Ранг приоритетности риска (RPN) выводят путем объединения полуколичественных оценок, выполненных по порядковым шкалам, со значениями для последствий, вероятности и обнаруживаемости. В данном методе эти параметры соответственно обозначают значимость последствий (S), вероятность возникновения отказа (O) и обнаруживаемость отказа (D), что в некоторых приложениях приводит к тому, что этот метод также называют методом «SOD». Приведено два метода оценки RPN.
B.4.2 Ранг приоритетности риска
Общая формула ранга приоритетности риска (RPN) — это произведение рангов значимости последствий, вероятности возникновения отказа и обнаруживаемости отказа RPN = S x O x D.
Диапазон значений RPN зависит от диапазона шкал этих трех параметров, обычно используют порядковые шкалы от 1 до 10, при этом значения RPN изменяются в диапазоне от 1 до 1 000.
Примечание 1 — В некоторых приложениях FMEA параметр обнаружения не используют, тогда RPN изменяется от 1 до 100.
Примечание 2 — Особенности применения определяют количеством точек на шкале, так чтобы можно было использовать менее 10 точек.
Значения S, O и D определяют с помощью таблиц рангов, в которых для каждого уровня параметра дано описательное предложение, которое помогает аналитику точно и последовательно выбирать ранг.
Обнаруживаемость D может представлять собой среднюю вероятность, с которой вид отказа будет обнаружен во время работы до того, как возникнут существенные последствия отказа. Это число обычно ранжируют в обратном порядке по отношению к значимости последствий и вероятности возникновения отказа: чем выше значение обнаружения, тем меньше вероятность обнаружения. Следовательно, более низкая вероятность обнаружения приводит к более высокому RPN и более высокому рангу вероятности возникновения вида отказа.
Пример 1 — В данном примере рассмотрена ветряная турбина. Типичная шкала ранга значимости последствий может иметь следующий вид.
Таблица B.1
Описание рангов значимости
Ранг значимости последствий (S) |
Описание |
1 |
Отсутствие влияния на генерацию электроэнергии; посещение необходимо в течение следующих 14 дней; предупреждающий сигнал тревоги не вызывает остановку турбины; возможно, отказ вызван отказом компонент |
2 |
Кратковременная потеря генерации электроэнергии; посещение, необходимо в ближайшие 14 дней; остановка турбины, но удаленно перенастраиваемая; возможно, отказ вызван отказом компонент |
….. |
|
8 |
Потеря генерации электроэнергии в течение более длительного периода (от 2 до 4 недель); замена значительного количества компонент, требующих обслуживания |
9 |
Потеря генерации электроэнергии в течение более продолжительного периода времени (более четырех недель); замена значимых компонент, требующих существенного обслуживания |
10 |
Инцидент с обеспечением безопасности; потеря всей структуры; общая потеря производительности на несколько месяцев |
Пример 2 — В данном примере рассмотрена ветряная турбина. Типичная шкала ранга вероятности возникновения отказа может иметь следующий вид.
Таблица B.2
Описание рангов вероятности
Ранг вероятности возникновения отказа (O) |
Описание |
1 |
Возникновение вида отказа в течение года у одной машины из 10 000 |
2 |
Возникновение вида отказа в течение года у одной машины из 2000 |
….. |
|
8 |
Возникновение вида отказа один раз в год на каждой машине |
9 |
Возникновение вида отказа на каждой машине один раз в течение четырех месяцев |
10 |
Возникновение вида отказа на каждой машине один раз в месяц |
Пример 3 — В данном примере рассмотрена ветряная турбина. Типичная шкала ранга обнаруживаемости отказов может иметь следующий вид.
Таблица B.3
Описание рангов обнаруживаемости отказов
Ранг обнаруживаемости отказа (D) |
Описание |
1 |
Вид отказа всегда обнаруживают до появления последствий |
2 |
Вид отказа очевиден, и обычно его обнаруживают до появления последствий |
….. |
|
8 |
Вид отказа может быть обнаружен только при проверке, например при выборочном контроле |
9 |
Вид отказа трудно обнаружить, и поэтому он почти неизбежно приводит к появлению последствий |
10 |
Объекты не могут быть проверены, вид отказа не может быть обнаружен, например из-за недоступности |
Затем виды отказа упорядочивают в соответствии с их RPN, более высокий приоритет обычно присваивают более высоким значениям RPN. В дополнение к значению RPN на решение об обработке может повлиять значимость последствий вида отказа, а это означает, что если существуют виды отказов с аналогичными или идентичными RPN, то в первую очередь необходимо рассматривать виды отказов с высокой значимостью последствий.
Примечание 3 — В некоторых ситуациях последствия с RPN, значение которого превышает определенный порог, неприемлемы, в других ситуациях большое значение придают высокой значимости последствий независимо от значения RPN.
Ранговый порядок RPN зависит от способа определения шкалы. При формировании заключений на основе значений RPN или сравнения его значений следует учитывать следующие характеристики данного метода, в противном случае могут быть получены неверные решения:
a) шкала RPN не является непрерывной.
Пример 4 — При работе с тремя шкалами с делениями от 1 до 10 разработано только 120 из 1 000 доступных значений.
b) количественные соотношения между значениями не имеют смысла.
Примечание 4 — В результате того, что шкалы являются порядковыми, а значения на шкалах значимости последствий, вероятности возникновения и обнаруживаемости отказов одинаковы, значения RPN могут мало отличаться, но соответствовать различным ситуациям. Например, значения: S = 6, O = 4 и D = 2 приводят к RPN, равному 48, а S = 6, O = 5 и D = 2 дают RPN, равный 60. Последний RPN стоит лишь немного выше, в то время как O = 5 может, например, соответствовать во много раз большей вероятности возникновения отказа, чем O = 4.
c) RPN может быть чувствительным к небольшим изменениям в значении одного из параметров.
Примечание 5 — Небольшое изменение одного из параметров оказывает явно гораздо большее влияние на значение RPN, когда другие параметры велики, чем в случае, когда они малы (пример: 9 x 9 x 3 = 243 и 9 x 9 x 4 = 324 против 3 x 4 x 3 = 36 и 3 x 4 x 4 = 48).
Хорошей практикой использования RPN является проведение тщательного анализа значений исходных параметров до формирования заключения об оценке критичности и определения действий по обработке.
B.4.3 Альтернативный метод ранга приоритетности риска
Так называемый альтернативный метод RPN (ARPN) является модифицированной версией обычно используемого метода RPN, описанного в B.4.2, который был разработан с целью обеспечения более последовательной оценки критичности, когда параметры могут быть определены количественно в логарифмическом масштабе [9].
Для ARPN точки на шкалах параметров определяют так, чтобы значения количественных шкал измерений сохранялись. Затем используют логарифмическую шкалу, где каждое значение, соответствующее точке на шкале, умножают на постоянный коэффициент (например, 10 или квадратный корень из 10). Один и тот же коэффициент должен быть использован для каждой из шкал значимости последствий, вероятности возникновения и обнаружения отказов. В результате количество делений на шкалах параметров определяется исследуемым диапазоном и может быть больше или меньше используемых обычно десяти делений для RPN (см. B.4.2).
Таблицы, определяющие ранг значимости последствий, вероятности возникновения и обнаружения отказов, должны устанавливать значение, соответствующее рангу, в дополнение к описательному предложению.
Пример 1 — Пример относится к железнодорожной отрасли. Шкала вероятности возникновения отказов может быть тарирована на основе умножения на 10 или на квадратный корень из 10, который равен приблизительно 3. В последнем случае значения двух соседних делений шкалы представляют собой величины одного порядка. Соответствующие деления шкалы вероятности возникновения данного вида отказа объекта могут иметь вид, приведенный в таблице B.4.
Таблица B.4
Описание рангов вероятности возникновения отказа
Ранг вероятности возникновения отказа (O) |
Описание |
1 |
Интенсивность отказов составляет не более одного отказа за 100000 лет |
2 |
Интенсивность отказов составляет более одного отказа за 100000 лет, но не более одного отказа за 30000 лет |
3 |
Интенсивность отказов составляет более одного отказа за 30000 лет, но не более одного отказа за 10000 лет |
4 |
Интенсивность отказов составляет более одного отказа за 10000 лет, но не более одного отказа за 3000 лет |
Пример 2 — Пример относится к железнодорожной отрасли. Шкала для показателя потенциальной опасности (например, значимости последствий), связанной с железнодорожной промышленностью, основана на использовании квадратного корня из 10, с округлением (приближенно 3).
Таблица B.5
Описание ранга значимости последствий
Ранг значимости последствий (S) |
Описание |
1 |
Несущественная возможность опасности, травмы не ожидают |
2 |
Легкие травмы у одного человека |
….. |
|
6 |
Критический, один смертельный исход или много людей с тяжелыми травмами |
7 |
Катастрофический с несколькими смертельными случаями |
8 |
Катастрофический с большим количеством смертельных случаев |
Пример 3 — Пример относится к железнодорожной отрасли. Шкала для показателя предотвращения последствий (например, вероятности обнаружения отказа) в железнодорожной отрасли основана на использовании квадратного корня из 10 с округлением (приближенно 3).
Таблица B.6
Описание ранга обнаруживаемости отказа
Ранг обнаруживаемости отказа (D) |
Описание |
1 |
Предотвращение последствий почти всегда возможно, например, с помощью независимой технической системы |
2 |
Избежать последствий часто возможно благодаря благоприятным условиям |
3 |
Избежать последствий возможно только иногда из-за неблагоприятных условий |
4 |
Избежать последствий практически невозможно |
Иногда шкалы значимости последствий, вероятности возникновения или обнаружения отказа не имеют значений, соответствующих точкам шкалы (в дополнение к описанию). В этом случае аналитик все равно должен убедиться, что соседние уровни приблизительно отличаются на фиксированный множитель по отношению друг к другу. Это может быть сделано посредством выводов с учетом того, что увеличение или уменьшение на один уровень должно означать увеличение или уменьшение, например, значимости последствий или вероятности обнаружения отказа в 10 или в корень квадратный из 10 раз, в зависимости от выбранного множителя.
Устанавливая параметры для вида отказа, целесообразно добавить уровни параметров S, O и D для вида отказа, а не умножать их, поскольку тарированные шкалы параметров являются логарифмическими. Таким образом:
ARPN = S + O + D.
Аналогично B.4.2 виды отказов затем могут быть упорядочены в соответствии с ARPN, более высокий приоритет обычно соответствует более высокому значению ARPN. В дополнение к значению ARPN на решение об обработке может влиять значимость последствий вида отказа, что означает, что если существуют виды отказов с аналогичным или идентичным ARPN, то в первую очередь необходимо рассмотреть виды отказа, имеющие высокую значимость последствий.
Примечание 1 — В некоторых ситуациях действия с ARPN, значение которого превышает определенный порог, невозможны, в других приложениях большое значение имеет высокая значимость последствий, независимо от значения ARPN.
Подход APRN удовлетворяет требованиям непрерывной шкалы критичности и монотонного отображения риска, соответствующего каждому виду отказа, с его RPN. Кроме того, небольшие изменения уровней параметров критичности приводят лишь к небольшим изменениям RPN, что означает, что ARPN менее чувствителен, чем RPN (B.4.2). Следует отметить, что значения ARPN обычно ниже, чем значения RPN для одних и тех же входных значений параметров критичности.
Пример 4 — Идентифицированный вид отказа, который все еще считается приемлемым, может иметь соответствующие значения S = 5, O = 5 и D = 5 и RPN, равный 125, при использовании обычного метода RPN. При использовании альтернативного метода RPN для тех же данных ARPN = 15.
Примечание 2 — Если для всех трех параметров доступны количественные данные, более уместно просто рассчитать риск, перемножив значения без установления полуколичественных диапазонов на шкалах.
Приложение C
(справочное)
ПРИМЕР ОТЧЕТА ОБ FMEA
C.1 Общие положения
В данном приложении приведены варианты отчета о результатах анализа блока питания путем создания рабочих таблиц и диаграмм из информационной базы данных.
В целом полный отчет должен содержать цели анализа и описывать результаты анализа в соответствии с целями. Поскольку примеры, приведенные в приложении C, являются рабочими таблицами и диаграммами, сгенерированными на основе базы данных, они составляют только часть отчета FMEA (5.2.5.2). В полный отчет FMEA должна быть включена информация, описанная в 5.2.5.2, отчет должен быть понятен всем, кто не связан с выполнением анализа. Дополнительная информация может быть представлена на отдельных листах отчета FMEA.
Дополнительные примеры форм рабочих таблиц для различных применений FMEA приведены в приложении F. Единого формата отчета не существует, поскольку отчет об FMEA зависит от целей и особенностей анализа.
Примечание 1 — Фактическая форма отчета может отличаться от форм, показанных в примерах.
Существуют коммерческие пакеты программ для разработки отчета о результатах FMEA.
Примечание 2 — Для простого анализа с небольшим количеством участников может быть полезно использование электронных таблиц. Для более сложного анализа с несколькими источниками информации и сложными требованиями к отчету может быть полезна реляционная база данных для управления несколькими взаимосвязями между видами отказов, функциями, объектами, компонентами и причинами отказов.
C.2 Пример разработки отчета с использованием информационной базы данных для FMEA блока питания
На рисунке C.1 показано, как можно структурировать информационную базу данных. Если доступна информационная база данных, то FMEA может быть файлом, который связывает следующие базы данных:
— перечень спецификаций;
— перечень составных частей (ведомость материалов);
— перечень видов отказов, соответствующих компонентам и продукции организации;
— перечень возможных действий по обработке отказов (база данных о действиях).
Рисунок C.1 — База данных информационной системы
для поддержки разработки отчета об FMEA
Преимущество использования базы данных состоит в том, что информацию не нужно вводить несколько раз и легче поддерживать FMEA в рабочем состоянии, по мере продвижения разработки и появления изменений.
Полный набор полей для отчета об FMEA, которые можно заполнить из информационной базы данных, показан в таблице C.1 на примере источника питания, показанного на рисунке C.2. За счет выбора различных комбинаций полей можно создавать различные рабочие таблицы FMEA (таблицы C.2 — C.5) и диаграммы (рисунок C.3).
Для источника питания в процессе FMEA оценивают возможное воздействие отказа внутри устройства только на пользователя. Показанные результаты действительны в любых условиях окружающей среды, указанных в техпаспорте. Данный FMEA отражает только опасности, возникающие в процессе использования источника питания, а не на других стадиях жизненного цикла.
Рисунок C.2 — Схема источника питания типа XYZ
Таблица C.1
Пример полей, выбранных для отчета об FMEA источника питания
на основе информации базы данных
Описание отчета об FMEA |
Чертеж объекта |
FMEA компонента |
FMEA части |
FMECA с RPN |
RPN FMECA с матрицей критичности |
|
Рисунок C.2 |
Таблица C.2 |
Таблица C.3 |
Таблица C.4 |
Таблица C.5 |
Рисунок C.3 |
|
Дело N |
Строка |
|||||
Компоненты |
Строка |
Строка |
Столбец |
|||
Перечень составных частей |
Строка |
|||||
Виды отказов |
Столбец |
Столбец |
Столбец |
|||
Локальное последствие |
||||||
Глобальное (окончательное) воздействие |
Столбец |
Столбец |
Столбец |
|||
Значимость последствий |
Столбец |
Столбец |
||||
Вероятность возникновения отказов |
Столбец |
|||||
Вероятность обнаружения отказа |
Столбец |
|||||
Возможный CCF |
Столбец |
|||||
Действия по обработке (из базы данных действий) |
Столбец |
|||||
Определение значимости последствий |
||||||
Определение вероятности появления отказа |
||||||
Определение обнаруживаемости отказа |
||||||
Ссылки на отчеты |
Столбец |
|||||
Диаграммы/рисунки, чертежи |
Да |
|||||
Матрица критичности |
Да |
|||||
Анализ дерева неисправностей |
||||||
Примечание 1 — Строка (колонка) указывает выбранное поле и должна быть отображена в строке (колонке) отчета FMEA. «Да» указывает на выбранный тип рисунка. Примечание 2 — Вторая строка этой матрицы относится к последующим различным рабочим таблицам FMEA и матрице критичности (рисунок), приведенной в приложении C. |
Таблица C.2
Пример отчета об FMEA компонента
Отчет FMECA N XX Дата: гггг.мм.дд Последнее обновление: гггг.мм.дд Анализируемый объект: блок питания типа XYZ Фасилитатор: NN1 Аналитическая группа: NN2, NN3, NN4, NN5, NN6, NN7 Одобрено: NN8 |
|||||
Компонент |
Вид отказа |
Глобальные последствия |
Тяжесть последствий |
Срок выполнения действий |
Ссылка на отчеты (нажмите на иконку, чтобы увидеть отчет) |
C1 |
s/c |
Питание отсутствует |
2 |
Отсутствует |
Недоступно |
C2 |
s/c |
Перегорел предохранитель Питание отсутствует |
2 |
Отсутствует |
Недоступно |
C3 |
s/c |
В шкафу 230 В |
4 |
Ответственный NN3 Дата ггммдд. |
Иконка — Отчет по предохранительным конденсаторам |
C4 |
s/c |
В шкафу 230 В |
4 |
Ответственный NN3 Дата ггммдд. |
Иконка — Отчет по предохранительным конденсаторам |
L1 |
o/c |
Питание отсутствует |
2 |
Отсутствует |
Не доступно |
L2 |
o/c |
Нейтраль отключена Питание отсутствует |
4 |
Ответственный NN4 Дата ггммдд. |
Иконка — Отчет вероятности отказа L2 |
Выключатель «фазы» |
o/c |
Питание отсутствует |
2 |
Отсутствует |
Недоступно |
Выключатель «нейтрали» |
o/c |
Нейтраль отключена Питание отсутствует |
4 |
Ответственный NN4 Дата ггммдд. |
Пока отсутствует |
Выключатель «земли» |
o/c |
Нейтраль отключена Питание отсутствует |
4 |
Ответственный NN4 Дата ггммдд. |
Пока отсутствует |
Паяные соединения |
o/c |
Нейтраль отключена Питание отсутствует |
4 |
Ответственный NN5 Дата ггммдд. |
Иконка — Отчет об испытаниях на прочность припоя |
Примечание — Ранг значимости последствий может варьироваться от воздействия на чувства пользователя до опасности для его здоровья. В рамках данного FMEA решение о предпринятых действиях основывалось исключительно на ранге значимости последствий. |
Таблица C.3
Пример отчета о составных частях с возможными отказами
по общей причине
Отчет FMECA N XX Дата: гггг.мм.дд Последнее обновление: гггг.мм.дд Анализируемый объект: блок питания типа XYZ Фасилитатор: NN1 Аналитическая группа: NN2, NN3, NN4, NN5, NN6, NN7 Одобрено: NN8 |
||
Линия перечня составных частей — тип-изготовитель |
Обозначение |
Вид отказа |
#15 конденсатор — тип XYZ, значение XYZ, напряжение XY, поставщик XYZ |
C1, C2, C3, C4 |
s/c |
#71 катушка — тип XYZ, номинал XYZ, поставщик XYZ |
L1, L2 |
o/c |
# 83 выключатель — тип XYZ, номинал XYZ, ожидаемый срок службы XYZ, поставщик XYZ |
Выключатель питания |
o/c |
Данный перечень создан из перечня составных частей и показывает, какие виды отказов необходимо обрабатывать при использовании. Этот выбор обычно делают для определенного типа устройств, разработанных организацией, информация об их выборе (5.3.4) должна быть доступна и присоединена к отчету. Примечание — В данном примере перечислены компоненты одного типа с одним и тем же видом отказа. Часто основные причины видов отказов в процессе основного FMEA не анализируют. Поэтому изучение базы данных для определения компонентов, у которых возможны отказы по общей причине, может помочь и сэкономить время при поиске возможных отказов по общей причине. |
Таблица C.4
Пример отчета об FMECA с использованием анализа
критичности RPN
Отчет FMECA No. XX дата: гггг.мм. последнее обновление: гггг.мм.дд Анализируемый объект: блок питания типа XYZ Фасилитатор NN1 Группа анализа: NN2, NN3, NN4, NN5, NN6, NN7 Одобрение NN8 |
||||||
Значимость последствий |
Вероятность возникновения отказа |
Вероятность обнаружения отказа |
RPN |
Компонент |
Вид отказа |
Глобальные последствия |
4 |
3 |
5 |
60 |
L2 |
o/c |
Отказ o/c нейтрали индикаторная лампа «вкл.» |
4 |
3 |
5 |
60 |
Паяные соединения |
o/c |
Отказ o/c нейтрали индикаторная лампа «выкл.» |
4 |
2 |
5 |
40 |
Включение «нейтрали» |
o/c |
Отказ o/c нейтрали индикаторная лампа «выкл.» |
4 |
3 |
3 |
36 |
C3 |
s/c |
230 В на корпусе |
4 |
3 |
3 |
36 |
C4 |
s/c |
230 В на корпусе |
3 |
2 |
5 |
30 |
Включение «земли» |
o/c |
Отсутствует безопасное заземление |
2 |
3 |
1 |
6 |
C1 |
s/c |
Питание отсутствует |
2 |
3 |
1 |
6 |
C2 |
s/c |
Питание отсутствует |
2 |
2 |
1 |
4 |
Включение фазы |
o/c |
Питание отсутствует |
2 |
2 |
1 |
4 |
L1 |
o/c |
Питание отсутствует |
Примечание — Данный FMECA создан для оценки RPN. Он исследует обновленную схему, которая также включает выключатель питания, который включает все три контакта питания и индикаторную лампу, показывающую, что устройство включено. |
Таблица C.5
Пример отчета FMECA с использованием матрицы критичности
глобальных последствий
Отчет FMECA N XX Дата: гггг.мм.дд Последнее обновление: гггг.мм.дд Анализируемый объект: блок питания типа XYZ Фасилитатор: NN1 Аналитическая группа: NN2, NN3, NN4, NN5, NN6, NN7 Одобрено: NN8 |
||
N строки |
Компонент |
Глобальные последствия |
#1 |
C1 |
Питание отсутствует |
#2 |
C2 |
Питание отсутствует |
#3 |
C3 |
230 В на корпусе |
#4 |
C4 |
230 В на корпусе |
#5 |
L1 |
Питание отсутствует |
#6 |
L2 |
Нейтраль не подключена, питание отсутствует |
#7 |
Выключатель фазы |
Питание отсутствует |
#8 |
Выключатель нейтрали |
Нейтраль не подключена, питание отсутствует |
#9 |
Выключатель заземления |
Нейтраль не подключена, питание отсутствует |
#10 |
Паяное соединение |
Нейтраль не подключена, питание отсутствует |
Примечание — В данном примере отчета показана та же функция безопасности, которая включена в матрицу критичности. Схема разработана в виде двумерного изображения без учета обнаруживаемости для оценки последствий для пользователя. |
Рисунок C.3 — Матрица критичности для отчета FMECA
в соответствии с таблицей C.5, разработанная в виде
двумерного изображения, без учета обнаруживаемости
Приложение D
(справочное)
СВЯЗЬ FMEA С ДРУГИМИ МЕТОДАМИ АНАЛИЗА НАДЕЖНОСТИ
Сочетание FMEA с другими методами анализа надежности может повысить его результативность.
Например:
— Для определения области применения и в качестве помощи при разработке FMEA может быть использован метод структурной схемы надежности (RBD). Результаты FMEA могут быть впоследствии использованы для пересмотра или обновления RBD.
Примечание 1 — В отличие от FMEA RBD рассматривает успешную работу системы.
— Для выбора важных объектов сложной системы для FMEA может быть использован анализ дерева неисправностей (FTA) с соответствующей вершиной событий.
Примечание 2 — Как и в случае FMEA, FTA рассматривает отказ системы.
— Результаты (нижнего уровня) FMEA могут определять основные события для FTA, и эти события должны быть включены в качестве основных событий FTA.
— Информация, полученная в результате анализа первопричин, может помочь в идентификации причин отказов процесса ([4]).
— В дополнение к FMEA, который обычно учитывает только независимые отказы, можно использовать более подробные методы анализа, такие как FTA, RBD, анализ дерева событий (ETA), марковский анализ, сети Петри для учета взаимозависимости событий отказов (порядок появления отказов, условная вероятность возникновения отказов, резервирование, исключение возникновения, отказы по общей причине).
— FMEA может быть использован поэтапно в сочетании с другими методами анализа надежности в процессе разработки объекта или процесса. На стадии концепции FMEA может быть объединен с RBD и FTA для рассмотрения отказов на функциональном уровне. В процессе детального проектирования FMEA может быть разработан на более детальном уровне. Для выбранных критических компонентов или процессов FMEA может быть выполнен на наиболее детальном уровне.
— Прогнозирование безотказности и анализ результатов испытаний или отказов в эксплуатации могут быть использованы для определения количественной оценки вероятности в FMEA.
Примечание 3 — Ссылки на другие стандарты анализа надежности, которые могут быть применимы: RBD (ГОСТ Р 51901.14); FTA (ГОСТ Р 27.302); ETA (ГОСТ Р МЭК 62502); Марковский анализ (ГОСТ Р МЭК 61165); Сети Петри ([10]); прогнозирование безотказности см. в [7] и ГОСТ Р 27.013.
Результаты FMEA обеспечивают информацию о критических аспектах проекта сложного объекта или процесса, эта информация в процессе разработки может быть использована в качестве входных данных или может быть объединена с данными:
— анализа технического обслуживания;
— устранения неисправностей при техническом обслуживании;
— анализа тестируемости;
— определения и спецификации контрольных примеров и анализа результатов испытаний (тестирования);
— анализа логистической поддержки;
— анализа безотказности выполнения целевой задачи;
— анализа готовности;
— оценки последствий изменения конструкции (проекта);
— документации об обязательных целях (например, одобрение безопасности для конкретной системы или для определенного типа систем).
Приложение E
(справочное)
ПРИКЛАДНЫЕ АСПЕКТЫ ПРИМЕНЕНИЯ FMEA
E.1 Общие положения
В данном приложении рассмотрено общее применение FMEA и конкретные вопросы, которые необходимо рассмотреть при проведении FMEA в соответствии с общей методологией, приведенной в настоящем стандарте, и руководством по адаптации, приведенным в приложении A. Рассмотренные варианты применения не являются исчерпывающими.
Обсуждаемые варианты применения FMEA могут включать определенные требования в отношении анализа критичности (например, безопасности) или могут обеспечивать совместимость с конкретными стандартами (например, FMECA в рамках технического обслуживания, ориентированного на безотказность). Также рассмотрено использование FMEA для сложных систем (например, безотказность и готовность по модулям и компонентам).
E.2 FMEA программного обеспечения
FMEA программного обеспечения аналогично FMEA аппаратного обеспечения, процедур и функций. Для программного обеспечения обычно устанавливают, что:
— ошибка программного обеспечения — это ошибка в программном коде,
— программная ошибка — это проблема с выполнением процедуры/функции,
— отказ программного обеспечения — это полная или частичная деградация конкретной функции программного обеспечения.
Дефекты в программном обеспечении (обычно называемые «ошибками») могут привести к отказу программного обеспечения. Последствия такого отказа для функций программного обеспечения и выхода программного обеспечения могут быть проанализированы, как и для любого другого объекта. Вероятность отказа можно оценить как количество случаев активации функции, содержащей «ошибку», деленное на общее количество выполнения функции, но поскольку эта информация обычно недоступна, количественный анализ редко возможен. Состояния отказа в программном обеспечении часто являются неустойчивыми и в некоторых случаях могут быть устранены путем переустановки программного обеспечения. Все отказы программного обеспечения связаны с проектом, независимо от того, были ли они вызваны неверной интерпретацией требований, ошибками в кодах, нехваткой памяти, наличием разомкнутых циклов, синтаксическими ошибками и т.п.
Программное обеспечение может быть проанализировано сверху вниз или снизу вверх. Как и оборудование, программное обеспечение разбивают на несколько уровней, например пакет программ, программные модули и функции кода (таблица 1). Для каждого элемента анализ должен рассматривать вход, выполнение и выход. Выполнение зависит от начальных условий до ввода данных, например положения в структуре меню, содержимого регистров и памяти (ОЗУ, а также ПЗУ). На более низких уровнях отказы могут возникать во входных данных (например, неверные или поврежденные данные), в начальных условиях (например, неправильная позиция в меню, неверное или поврежденное содержимое памяти) или из-за неправильной работы (например, ошибок в алгоритмах). Отказы на уровне системы часто связаны с выходными данными (например, поврежденные выходные данные или неверные данные). Наконец, выход программного обеспечения может вызвать проблемы взаимодействия с аппаратным обеспечением, например проблемы синхронизации. Анализ обычно фокусируется на видах отказов, связанных с программным обеспечением, однако причины, показатели и последствия отказов могут быть связаны с соответствующим аппаратным обеспечением. Поэтому в анализе должны участвовать как аналитики, знающие программное обеспечение, так и аналитики, знающие аппаратное обеспечение.
Глубина и область применения FMEA программного обеспечения могут быть различны. FMEA может быть ограничен только программными компонентами или модулями. При запуске на раннем этапе разработки программного обеспечения FMEA может быть направлен на функции программного обеспечения, необходимые для работы системы, и на возможные ошибки или отказы, которые могут стать причиной отказа функции в одном или нескольких видах отказа. Такой анализ выполняют в начале разработки программного обеспечения и используют в качестве источника информации для создания контрольных примеров программного обеспечения. По мере разработки системы влияние программных ошибок, сбоев или отказов может быть определено лучше, а также определены обстоятельства или их комбинации, которые могут вызвать отказ.
Ключевые причины отказов могут представлять собой ошибки программиста («ошибки»), а также причины, связанные с состоянием аппаратных средств. Для выполнения FMEA необходимо определить, может ли единичный отказ программного обеспечения стать причиной неприемлемых локальных последствий (помимо конечных/глобальных последствий), например:
— переменная принимает непредусмотренное значение;
— сообщение содержит непредусмотренные данные или затрачивает на выполнение неожидаемое время;
— модуль дает неожидаемые выходы.
Затем анализируют каждый вид отказа для (конечных) последствий системы. Это правило, основанное на анализе сложных единичных последствий, которые зависят от времени и состояния системы. Перед выполнением FMEA для программного обеспечения необходимо провести отдельный анализ спецификации требований. Поскольку программная ошибка или сбой часто приводят к нежелательным последствиям для аппаратного обеспечения, сначала необходимо выполнить FMEA для аппаратного обеспечения, чтобы установить влияние системы. В этом случае последствия для системы программного обеспечения могут основываться на последствиях для системы аппаратного обеспечения.
Следующий перечень основан на примерах, приведенных в [11]. FMEA программного обеспечения также должно учитывать условия эксплуатации, например:
— аппаратные отказы, вызывающие отказ памяти;
— периферические отказы карты памяти (например, отказы аналоговых/цифровых преобразователей или устройств ввода-вывода);
— отказ источника питания, например сброс из-за падения напряжения питания;
— электромагнитные помехи (EMI), электромагнитные импульсы (EMP);
— неправильно обработанные неверные входные данные, включая ошибки загрузки.
Примеры причин отказа на уровне системы:
— неправильное использование вызовов операционной системы;
— неверная синхронизация, например коллизия данных из-за изменения времени передачи данных;
— прерывание обработки и неадекватный анализ;
— неадекватная или отсутствующая обработка исключений.
Примеры ошибок программирования (причины отказов):
— ошибки проектирования и выполнения (например, при кодировании, масштабировании, разработке алгоритмов);
— неадекватное обнаружение ошибок (например, нарушение границ, указатели вне диапазона);
— неадекватное определение допустимого диапазона;
— непреднамеренная перезапись в памяти;
— неадекватная обработка ошибок программного обеспечения (например, неожиданная ситуация).
Примеры видов отказов:
— неправильная точка выхода, превышение времени, неожиданное взаимодействие ввода-вывода;
— недостающие данные, неверные данные, неверная синхронизация данных, особые данные;
— ненормальное завершение, пропущенные события, неверные логика, синхронизация/порядок;
— остановка, аварийный отказ, зависание, медленная реакция, отказ запуска, ошибочные сообщения.
Если анализ выполняют с использованием электронной таблицы, обычно можно использовать следующие столбцы:
a) иерархия системы и компонентов;
b) обозначения компонентов;
c) виды отказов
d) причины отказов;
e) последствия неготовности отказавшей функции (при восстановлении программного обеспечения);
f) смягчающее обеспечение проекта (меры по восстановлению проекта, альтернативные пути, защита от отказов);
g) компенсационное обеспечение;
h) закрытие вопроса;
i) окончательное снижение неготовности функции в результате идентификации вида отказа.
На рисунке E.1 показан пример модели отказа программного обеспечения.
Рисунок E.1 — Общая модель отказа программного обеспечения
для компонента программного обеспечения
По мере разработки конструкции аппаратного обеспечения анализ рассматривает систему в целом, включая программное и аппаратное обеспечение, и направлен на функции системы и их цепочки.
FMEA аппаратного обеспечения изменяется вслед за программной частью, анализ может разрастись до нежелательных размеров при поиске цепочки последствий, приводящих к отказу системы, и оценке влияния их деградации или значимости их потери на работу системы. При анализе смешанной аппаратно-программной системы предпочтительной практикой является отслеживание функции системы по ветвям сверху вниз для идентификации компонентов программного обеспечения, их возможных ошибок или неисправностей и возможных видов отказов, а также их причин.
Следует помнить, что FMEA одновременно исследует только один вид отказов, он не предназначен для рассмотрения функциональных зависимостей, последовательностей событий (отказов) или комбинаций событий. Отказ аппаратного обеспечения может быть причиной отказа программного обеспечения, а с точки зрения FMEA отказ программного обеспечения является следствием отказа аппаратного обеспечения.
FMEA программного обеспечения — один из методов (помимо тестирования), который помогает повысить безотказность программного обеспечения. Тестирование также может быть использовано в качестве обработки видов отказов, которые считаются критическими.
E.3 FMEA процесса
Для процессов и процедур общая методология FMEA такая же, как и для аппаратного и программного обеспечения. Начальной точкой анализа является схема работы процесса, структура деления работ или анализ задач. Процесс подразделяют на элементы, которые являются этапами процесса. Уровень декомпозиции выбирают в соответствии с областью применения анализа. Функцию каждого этапа или его предполагаемого выхода определяют с помощью описания функции, достаточно специфичного, чтобы был ясен уровень работы, представляющий собой отказ. Как и в случае FMEA аппаратного и программного обеспечения, варианты отказа функций процесса должны быть перечислены в качестве видов отказов в FMEA процесса. Последствия отказа, механизмы и возможные причины отказа также должны быть определены. Механизмы и причины отказов часто охватывают как ошибки человека, так и отказы оборудования. Анализ критичности может быть применен так же, как описано в общем руководстве FMEA.
FMEA процесса впервые был применен к производственным процессам, но теперь его применяют более широко. Например, его широко используют при анализе медицинских процедур в здравоохранении.
E.4 FMEA при проектировании и разработке
FMEA — неотъемлемая часть процесса проектирования, от концепции до разработки системы. FMEA — итеративный процесс, он начинается, как только появляется предварительная информация о проекте на высшем уровне системы, и распространяется на более низкие уровни иерархии системы по мере поступления большого количества информации. Адаптация FMEA (приложение A) должна гарантировать, что он вносит существенный вклад в решения организации в отношении осуществимости и адекватности подхода к разработке проекта.
Целью FMEA в процессе проектирования является идентификация видов отказов внутри системы и возможных критических отказов, которые могут быть устранены или сокращены с помощью проектных решений как можно раньше.
В дополнение к ориентации на надежность FMEA поддерживает усилия по сопровождению, техническому обслуживанию и анализу риска.
E.5 FMEA в рамках технического обслуживания, ориентированного на безотказность
Для разработки успешной программы технического обслуживания, ориентированного на безотказность, необходимо четкое понимание функций объекта, отказов и последствий с точки зрения целей организации при эксплуатации объекта.
FMEA и метод анализа критичности подходят для применения к техническому обслуживанию, ориентированному на безотказность, если анализ структурирован таким образом, что соответствует требованиям стандарта технического обслуживания, ориентированного на безотказность (ГОСТ Р 27.606).
Для структурирования анализа необходимо, чтобы все виды отказов были четко связаны с потерей функции на соответствующем уровне иерархии объекта и чтобы такие аспекты, как «средства обнаружения» отказов, были согласованы с потенциальными задачами технического обслуживания.
E.6 FMEA для систем управления, связанных с безопасностью
E.6.1 Общие положения
Применительно к безопасности FMEA используют в различных ситуациях. Метод FMEA является одной из альтернатив при планировании функций, связанных с безопасностью, или анализе риска.
Пример 1 — Некоторые стандарты (например, ГОСТ Р МЭК 62061 и ГОСТ Р МЭК 61508 (все части)) требуют применения определенных форм анализа при установлении подходящих методов обработки риска, при создании функций, связанных с безопасностью, или при разработке устройств для использования таких функций. FMEA — один из методов, который можно использовать при планировании функций, связанных с безопасностью.
Применительно к безопасности FMEA классифицирует виды отказов функции, связанной с безопасностью, на безопасные и опасные. Классификация может быть различной в зависимости от условий использования, структуры системы, окружающей среды.
Пример 2 — Для многих систем безопасным состоянием (неизменным безопасным состоянием системы) является обесточенное состояние (выключенное состояние). Отказ тормозной системы воздушного судна можно считать безопасным отказом, когда самолет находится на земле, но этот отказ становится опасным отказом при взлете или посадке (переменное безопасное состояние системы (см. [12]).
Некоторые стандарты безопасности требуют, чтобы единичные отказы были обнаружены так, чтобы это приводило к безопасному состоянию или сохранению безопасного состояния за счет функциональной избыточности (резервирования), напрямую не приводило к небезопасному состоянию.
При ранжировании действий применительно к безопасности действия по проектированию должны в первую очередь рассматривать последствия отказов и не должны использовать экономические компромиссы. Следовательно, при проектировании действия должны быть направлены:
— на снижение вероятности опасных отказов;
— распознавание или обнаружение появления опасных отказов и соответствующее реагирование на них;
— оповещение пользователя о безопасном состоянии устройства;
— устранение или снижение вероятности отказов, вызванных ошибками или непониманием человека.
E.6.2 FMEA при планировании применительно к безопасности
FMEA может быть применен на уровне системы на этапе планирования разработки применительно к безопасности. Виды и последствия отказов всех компонентов системы и их взаимодействие систематически оценивают для определения их влияния на безопасность системы.
FMEA также может быть применен в других точках проекта, где при определении методов обработки для повышения безопасности могут быть использованы идентификация риска и анализ влияния риска на функции, связанные с безопасностью. Целью FMEA в области безопасности является поиск всех элементов, связанных с функцией безопасности, и всесторонняя идентификация источников вреда. Методы, способствующие комплексной идентификации, включают в себя контрольные перечни, исследования и использование экспертных оценок в широком диапазоне.
Меру риска, основанную на тяжести вреда и качественной оценке вероятности опасного события, используют для определения требуемой целостности безопасности систем управления электрических, электронных и программируемых электронных, связанных с безопасностью в соответствии с ГОСТ Р МЭК 62061.
Вероятность нанесения вреда учитывает:
— частоту и продолжительность воздействия опасности на людей;
— вероятность возникновения опасного события;
— возможность избежать или ограничить возможный вред.
Эти три фактора наряду со значимостью последствий используют для создания класса необходимого снижения риска при применении. Такие классификации используют в нескольких стандартах, связанных с безопасностью.
Примечание — В ГОСТ Р МЭК 61508 (все части) и ГОСТ Р МЭК 62061 использован термин SIL (уровень целостности безопасности) для такой классификации.
Пример — В ГОСТ Р МЭК 62061 для наивысшей категории снижения риска требуется уровень SIL3, который эквивалентен интенсивности отказов функции управления безопасностью от 10-8 до 10-7 в час.
E.6.3 Анализ критичности, включающий диагностику
Дополнительный уровень детализации включен в так называемый анализ видов, последствий и диагностики отказов (FMEDA).
Примечание 1 — Метод FMEDA также используют для систем, не связанных с безопасностью.
Способность системы или подсистемы обнаруживать внутренние отказы, предпочтительно с помощью автоматической онлайн-диагностики, имеет решающее значение для достижения и сохранения правильного функционирования сложных систем и систем, которые не могут в полной мере использовать все функциональные возможности в нормальных условиях, таких как редкие запросы системы аварийного отключения (система ESD). При оценке целостности системы, связанной с безопасностью, всем анализируемым компонентам добавляют количественные данные об интенсивности отказов (интенсивность отказов и распределение видов отказа). Кроме того, количественно определяют способность системы обнаруживать внутренние отказы.
Если анализируемые компоненты являются электронными устройствами, интенсивность отказов должна иметь соответствующую сопроводительную документацию для обоснования ее оценки, в идеале из опыта эксплуатации на местах. Интенсивность отказов для каждого компонента определяют на основе сведений из баз данных, для которых доказана их пригодность для данной цели. Кроме того, распределения видов отказов могут быть выведены из аналогичных источников или из стандартов (например, [7]), их, как правило, приводят в процентах от общего количества.
Примечание 2 — Интенсивность отказов часто указывают в виде количества отказов в единицу времени (FIT). FIT означает 10-9 отказов в час.
Примечание 3 — Распределение видов отказов соответствует доле общей интенсивности отказов компонента, которая может быть приписана каждому из видов отказов.
Во многих случаях также указывают интенсивность отказов для отказов, которые не влияют на функцию безопасности, или отказов составных частей, которые не являются частью функции безопасности, но эти интенсивности не влияют на дальнейшие вычисления.
При оценке электронного устройства анализ учитывает каждый электрический компонент и его влияние на функцию безопасности, что позволяет сделать вывод о том, какое влияние оказывает отказ на функцию безопасности.
Отказы обычно делят на безопасные отказы, опасные обнаруженные отказы, опасные необнаруженные отказы и отказы, которые не влияют на функцию безопасности. Для проверки полноты оценки иногда целесообразно перечислить компоненты, которые не влияют на функцию безопасности.
Решение о том, является ли опасный отказ обнаруженным или необнаруженным, определяется значением диагностического охвата, которое может быть выведено на основе соответствующей диагностической схемы и оценки ее результативности. Значение прибавляют к оценке, сумма характеризует качество устройства для использования в рамках функции безопасности. Полученные значения также могут быть использованы для расчета интенсивности отказов или других показателей безотказности функции безопасности или показателей качества функции безопасности, таких как доля безопасных отказов (SFF) или общий диагностический охват (DC). Определение значений этих характеристик зависит от условий, для которых они определены.
Результатом является ранг значений вероятности отказа, который позволяет оценить общий риск, соответствующий отказу функции безопасности в случае возникновения ее запроса.
При недостатке информации о возможных видах отказов и их распределении по электрическим компонентам FMEA снова является подходящим методом сбора информации о возможных видах отказов. Исходя из этого могут быть начаты практические эксперименты или теоретические обсуждения для определения этих значений.
Примечание 4 — Данный метод и возможности исключения ошибок описаны в ГОСТ ISO 13849-1.
E.7 FMEA для сложных систем с распределением безотказности
E.7.1 Общие положения
FMEA может быть использован для сложных и ответственных систем, от оборонного и аэрокосмического сектора до водоснабжения, канализации, транспорта, связи, производства и распределения электроэнергии. В этих системах требования к показателям готовности, ремонтопригодности и безотказности могут быть распределены по элементам системы. Адаптированный FMEA может быть проведен с рассмотрением характеристик отказа каждого элемента для понимания влияния на систему таких конструктивных особенностей, как использование общих компонентов и резервирования.
E.7.2 Оценка критичности для невосстанавливаемых систем с распределенной вероятностью отказа
В процессе FMEA для сложной, не восстанавливаемой системы частоты возникновения, вероятности, интенсивности отказов или другие соответствующие показатели могут быть распределены для каждого последствия на уровне системы. Это распределение можно сравнить с приемлемым риском системы, распределенными вероятностями и значимостью в матрице риска.
Локальные последствия каждого отказа на самом низком уровне иерархии системы можно привести к последствиям на более высоком уровне и, наконец, на уровне системы. Эти фактические оценки риска затем можно сопоставить с согласованным уровнем приемлемого риска. Если критичность превышает допустимое значение, необходимо проследить ее появление до той составной части системы, откуда она возникает.
Оценки вероятностей отказов можно сравнить с допустимыми пределами для каждого уровня значимости, чтобы определить составные части или компоненты на более низком уровне с чрезмерной критичностью. Затем выполняют инженерные действия для снижения критичности компонентов путем снижения вероятности отказа или другие меры смягчения последствий отказа. Этот процесс показан на рисунке E.2.
Рисунок E.2 — Распределение вероятностей отказа в системе
Часто предполагается, что если критичность компонента более низкого уровня не превышает приемлемый уровень, то никаких действий предпринимать не нужно. Это особенно неверно, когда имеется много аналогичных компонентов, которые могут оказывать одинаковое воздействие на подсистемы или систему. Общее суммарное воздействие отказов всех компонентов, имеющих одинаковую вероятность и значимость последствий, не должно превышать допустимую вероятность отказов сборочной единицы, в которой они находятся. Эта мера гарантирует, что определенная критичность на уровне системы не будет превышена.
E.7.3 Оценка критичности для восстанавливаемых систем с распределением показателя неготовности
Требования к готовности для восстанавливаемых систем распределяют по показателям надежности, таким как среднее время между отказами (MTBF) для безотказности и среднее время восстановления (MTTR) для ремонтопригодности системы. Показатель неготовности системы обычно используют для оценки критичности системы. Оценка коэффициента неготовности аналогична оценке вероятности отказа (ненадежности). Коэффициент неготовности распределяют по подсистемам и сборочным единицам, он имеет два измерения, поскольку зависит от двух показателей, MTBF и MTTR.
Процесс распределения на уровне системы, подсистемы, сборочных единиц аналогичен распределению в E.7.2, за исключением того, что вместо вероятности появления вида отказа, для вида отказа выводят коэффициент неготовности системы, подсистемы и сборочных единиц. Виды отказов, вызывающие неприемлемый уровень неготовности, должны быть обработаны.
Приложение F
(справочное)
ПРИМЕРЫ ПРИМЕНЕНИЯ FMEA В РАЗЛИЧНЫХ ОТРАСЛЯХ ПРОМЫШЛЕННОСТИ
F.1 Общие положения
Приведенные ниже примеры представляют собой фрагменты рабочих таблиц FMEA с кратким объяснением области применения.
Примечание — Приведенные фрагменты являются частью рабочих таблиц FMEA и содержат только краткие описания. Это означает, что в примере отсутствует полное рассмотрение целей и границ FMEA, даже если они крайне важны для анализа.
F.2 Применение к процессу заказа лекарств
В таблице F.1 приведена выдержка из таблиц FMEA процесса заказа лекарственного средства в аптеке. В примере показан один этап процесса с видами, последствиями и причинами отказов.
Таблица F.1
Фрагмент FMEA процесса заказа лекарственного средства
в аптеке
Этап процесса |
Функция |
Вид отказа |
Последствие отказа |
Механизм отказа |
Причина отказа |
Готовое лекарственное средство |
Лекарственное средство с правильным действием, составом и концентрацией подготовлено |
Неправильный препарат |
Зависит от выбранного препарата |
Неправильный выбор (правильное намерение) |
Препараты выглядят одинаково |
Неправильно прочитанный рецепт |
Неясное написание рецепта |
||||
Рецепт допускает неоднозначное понимание |
Использование сокращений |
||||
Неправильная концентрация |
Завышенная доза |
Ошибка расчета |
Невнимательность |
||
Недостаточная доза |
Недостаток знаний |
Неясное написание рецепта |
|||
Неправильно прочитанный рецепт |
Недостаток опыта |
||||
Неправильный разбавитель |
Возможная токсичность разбавителя |
Неправильный выбор (неверное намерение) |
Отсутствие знаний Недоступность правильного разбавителя |
||
Неправильный выбор (правильное намерение) |
Внешняя схожесть емкостей (упаковок) |
F.3 Применение к производственному процессу распыления краски
В таблице F.2 показана выдержка из таблиц FMEA производственного процесса распыления краски. В примере показан один этап процесса с видами, последствиями и причинами отказов.
Таблица F.2
Фрагмент FMEA этапа распыления краски в производственном
процессе
Этап процесса |
Функция |
Вид отказа |
Последствие отказа |
Механизм отказа |
Причина отказа |
Аэрозольное распыление краски |
Нанесение гладкой пленки толщиной 75 мкм |
Краска слишком густая |
Плохой внешний вид. Деталь забракована |
Слишком много краски |
Распылитель расположен слишком близко Отказ регулятора краски |
Эффект апельсиновой корки |
Плохой внешний вид |
Капли краски высыхают до слияния |
Слишком мало воздуха Температура при распылении слишком высокая Слишком широкий веер распыления Слишком большое расстояние до распылителя |
F.4 Применение к водяному насосу
F.4.1 Общие положения
Ниже приведен простой пример FMEA для выделения информации, используемой на каждом этапе анализа для отдельного водяного насоса с расчетной скоростью потока 600 л/мин, который подает охлаждающую воду в теплообменник. Скорость потока 400 л/мин обеспечивает идеальные условия охлаждения. Анализ представлен в виде описательной части, но может быть записан в табличной форме или в форме базы данных.
F.4.2 Функция объекта
Функции насоса:
1) подача воды в первичный теплообменник с производительностью 400 л/мин +/- 30 л/мин;
2) хранение воды с утечкой менее 0,01 л/час.
Примечание — Насос имеет дополнительные конструктивные возможности для обеспечения требуемого обслуживания (критерий мощности в зависимости от нагрузки). В данном примере, если насос не достигает своей полной проектной мощности, выход ниже максимума может не отражать потерю функции.
F.4.3 Виды отказов объекта
Виды отказов насоса для функции 1:
A. Подача воды в первичный теплообменник с интенсивностью менее 370 л/мин;
B. Подача воды в первичный теплообменник с интенсивностью более 430 л/мин.
Виды отказов насоса для функции 2:
A. Утечка воды с интенсивностью более 0,01 л/ч, но менее или равной 1 л/ч;
B. Утечка воды с интенсивностью более 1 л/ч.
Примечание — Виды отказов часто просто противоположны требуемой функции (например, функции 1), но часто могут быть расширены до включения установленных уровней, на которых происходит потеря функции (например, функции 2). Обычно это имеет значение только в том случае, если с каждым уровнем связаны различные последствия.
F.4.4 Последствия отказа объекта
Последствия видов отказов насоса 1A:
— локальные: нет;
— конечные: остановка процесса (из-за недостаточного охлаждения).
Последствия видов отказов насоса 1B:
— локальные: нет;
— конечные: продукт не соответствует спецификации (из-за чрезмерного охлаждения).
Последствия видов отказов насоса 2A:
— локальные: нет;
— конечные: химическое загрязнение (вода испаряется, выделяя химические вещества).
Последствия видов отказов насоса 2B:
— локальные: нет;
— конечные: остановка процесса (переполнение емкости, повреждение электрооборудования).
Примечание — В результате такого анализа в емкости может быть размещено устройство, подающее сигнал о переполнении емкости. Анализ такого аварийного сигнала показал, что его отказ сам по себе не имеет последствий, но приводит к остановке процесса в случае утечки.
F.5 Применение FMEA с анализом критичности к сложной невосстанавливаемой системе
В данном примере использованы значения вероятности отказа. На рисунке F.1 показана иерархическая структура электронной системы, состоящей из четырех последовательных подсистем, каждая из подсистем имеет две сборочные платы с различными последовательными электронными компонентами. На рисунке F.1 также показано распределение значений вероятности отказа в системе, подсистемах и сборочных единицах.
Рисунок F.1 — Иерархия последовательной электронной системы,
ее подсистем и сборочных единиц с указанием значений
вероятности отказа F(t)
В таблице F.3 показаны распределение и оценка значений вероятности отказа для различных категорий критических видов отказов этой системы. Данные таблицы F.3 показывают, что виды отказов в категориях III (основные) и II (критические) превышают допустимые уровни, их необходимо исследовать. Чтобы выяснить, какие из подсистем/сборочных единиц вносят наибольший вклад в проблему, необходимо рассмотреть распределение вероятности отказа для сборочных единиц/элементов.
Таблица F.3
Распределение и оценка значений вероятности отказа
для различных категорий критичности видов отказов
для электронной системы, представленной на рисунке F.1
Критичность |
V Незначительная |
IV Малая |
III Средняя |
II Критическая |
I Катастрофическая |
Распределение вероятности отказа |
<= 0,1 |
<= 0,08 |
<= 0,012 |
<= 0,0072 |
<= 0,0008 |
Оценка вероятности отказа |
0,06 |
0,05 |
0,03 |
0,01 |
0,0002 |
В качестве примера в таблице F.4 показаны распределение и оценка значений вероятности отказа для подсистемы 2. Информация в таблице F.4 показывает, что виды отказов в основных и критических категориях превышают значения, соответствующие распределению вероятности отказа. Вывод состоит в том, что для снижения вероятности отказа системы и приведения критичности системы к допустимому риску необходимо смягчить последствия критических и основных режимов отказов в подсистеме 2 в сборочных единицах 3 и 4.
Таблица F.4
Распределение и оценка значений вероятности отказа
для различных категорий критичности видов отказов подсистемы
2 системы, представленной на рисунке F.1
Критичность |
V Незначительная |
IV Малая |
III Средняя |
II Критическая |
I Катастрофическая |
Распределение вероятности отказа |
<= 0,03 |
<= 0,02 |
<= 0,0052 |
<= 0,0047 |
<= 0,00007 |
Оценка вероятности отказа |
0,006 |
0,002 1 |
0,029 |
0,008 |
0,00002 |
Это распределение и оценка вероятности отказа для четырех подсистем и соответствующих им сборочных единиц завершены. Если вероятность отказа является неприемлемой, могут быть предприняты действия для повышения безотказности таких сборочных единиц и достижения сбалансированного результата. После определения новых показателей сборочных единиц эти значения можно пересчитать на уровне системы, используя методы структурной схемы надежности или дерева неисправностей. Следует проявлять осторожность при использовании идентичных компонентов на уровне сборочных единиц, чтобы выявить возможные общие виды отказов этих компонентов.
F.6 Применение к программному обеспечению для расчета уровня сахара в крови
В таблице F.6 показан FMEA для определения сахара в крови с помощью глюкометра, в ней показаны режимы, причины и локальные последствия отказов. Из таблицы видно, как рассматривают этапы мониторинга и различных используемых компонентов для определения видов, последствий и причин отказов глюкометра. Один из очень важных видов отказов глюкометра заключается в том, что при установке микропроцессора программное обеспечение возвращается к заводским настройкам. Если заводские настройки указаны в единицах измерений США, а пользователь изменил их на европейские, то может возникнуть угроза для жизни пользователя.
F.7 Применение к устройству управления автомобильными подушками
В таблице F.7 представлена небольшая часть обширного FMEA, выполненного для подушек безопасности автомобиля. Анализируемое устройство представляет собой источник питания и его соединения (только) с аккумулятором, как показано на рисунке F.2.
Рисунок F.2 — Часть схемы подушки безопасности автомобиля
Схема включает диод D1 на линии с положительным выходом батареи и конденсатор C1, соединяющий положительную линию с землей. Диод D1 устанавливают так, чтобы если батарея подключена в обратном направлении, ток не может течь по цепи. Конденсатор C1 предназначен для фильтрации напряжения.
Если в C1 произойдет короткое замыкание, положительная сторона батареи станет напрямую соединена с землей, что приведет к перегоранию D1 и к размыканию цепи D1. В этом случае схема управления подушками безопасности станет неработоспособной. Такой отказ считают опасным, в результате чего ему соответствует уровень значимости последствий S = 10. Вероятности возникновения отказов рассчитаны по интенсивностям отказов составных частей, в соответствующих нагрузках в течение срока службы транспортного средства, а затем сопоставлены с 10-балльной шкалой, что привело к выбору O = 3. Вероятность обнаружения признана низкой, поскольку если отказ произойдет во время управления автомобилем, водитель не узнает об отказе. Таким образом, выбрано значение D = 10.
Кроме того, разомкнутая цепь с любой стороны C1 позволяет цепи управления воздушной подушкой работать, но влияет на способность C1 фильтровать входное напряжение в цепи. Отказ размыкания цепи D1 также приводит к отключению цепи управления подушкой безопасности, так как ток не может поступать от батареи. Отказ в виде короткого замыкания D1 позволяет цепи управления подушкой безопасности работать, но при этом нет защиты от обратного тока.
В таблице F.7 столбцы «рекомендуемое действие», «ответственность и целевая дата завершения», а также «результаты обработки» не заполнены. Это отражает ситуацию, когда команда FMEA передает частично выполненный FMEA команде проектировщиков. Затем команда проектировщиков должна рассмотреть риски и предложить действия и сроки. FMEA можно затем завершить, заполнив столбец «результаты обработки».
F.8 Применение к техническому обслуживанию и поддержке Hi-Fi системы
Пульт дистанционного управления — это небольшое устройство, которое позволяет пользователю управлять системой Hi-Fi на расстоянии с помощью инфракрасной связи или радиосвязи. Цель этого примера — показать, как различные FMEA могут быть применимы к одному и тому же объекту. Был выбран очень простой объект и в качестве примеров приведены различные FMEA в сильно сокращенном виде для экономии места. Примеры FMEA системы, конструкции, процесса и технического обслуживания для одного и того же объекта — пульта дистанционного управления системы Hi-Fi показаны в таблицах F.8 — F.11 соответственно. FMEA системы разработан на ранней стадии разработки проекта для рассмотрения общей планировки высшего уровня (структуры) объекта. FMEA конструкции исследует проектные решения. FMEA процесса рассматривает производственные процессы, а FMEA технического обслуживания — простоту ремонта объекта (ремонтопригодность).
Этот пример иллюстрирует различия между указанными типами FMEA для одного и того же объекта. Использован индекс приоритетности RPN.
F.9 Применение к системе управления, связанной с безопасностью
F.9.1 Электронная схема
FMEA выполняют для оценки риска, соответствующего безопасности пользовательского интерфейса объекта. Приведен пример анализа видов, последствий и диагностики отказов (FMEDA) для электронной схемы. Пример не завершен; в нем определены виды, последствия и диагностические возможности отказов основных элементов цепи электропитания, в которой использован линейный регулятор внутреннего напряжения в устройстве. Фрагмент FMEDA приведен в таблице F.12.
F.9.2 Автоматизированная система управления поездом
Автоматизированная система управления поездом — это бортовая система, которая останавливает поезд и удерживает его в случае, если путь занят другим поездом. Если стоп-сигнал подан в туннеле, необходимо, чтобы поезд все еще мог перемещаться, чтобы в случае пожара люди, находящиеся в поезде, имели возможность спастись. В данном FMEA рассмотрен риск для здоровья пассажиров.
Если автоматизированная система управления поездом в результате отказа не может остановить поезд при необходимости, может произойти столкновение. С другой стороны, опасно, если автоматизированная система управления поездом не позволяет поезду выйти из туннеля в случае пожара.
Эти опасности являются взаимно обратными, поскольку в одном случае правильно остановить поезд, а в другом — наоборот.
В таблице F.5 показана взаимосвязь видов отказов автоматизированной системы управления поездом, опасностей, безопасных и опасных отказов.
Таблица F.5
Опасности и безопасные/опасные отказы автоматизированной
системы управления движением поездов
Опасности, контролируемые автоматизированной системой управления поездом |
Виды отказов автоматизированной системы управления поездом |
|
Вид отказов 1 (например, короткое замыкание) |
Вид отказов 2 (например, отключение) |
|
Отказ, не позволяющий избежать столкновения |
Опасный отказ |
Безопасный отказ |
Пожар в тоннеле |
Опасный отказ |
Опасный отказ |
F.10 FMEA, включающий человеческий фактор
В таблице F.13 показан FMEA процесса использования кофеварки [8]. В этом FMEA оценивают поведение человека и соответствующие виды риска. FMEA включает в себя анализ возможного взаимодействия между вовлеченным человеком, оборудованием и средой для определения видов отказов и вариантов смягчения их последствий. Для более четкого исследования полезно разделять риски для людей и оборудования.
Факторы, связанные с человеком, можно разделить на положительные (предотвращающие отказ или уменьшение значимости последствий) и отрицательные (вызывающие отказ или ошибочные реакции). Люди также могут пострадать, и в некоторых случаях логично различать вред для оборудования и окружающей среды и вред для человека. Пример в таблице F.13 включает человека как источник отказов.
В поле «Категория внимания» различаются периоды, в процессе которых человек ведет себя некорректно. В поле «Психологический анализ причин ошибок» приведены управляющие слова для причин ошибок. Время, в течение которого появляются эти категории ошибок, зависит от количества периодов, в течение которых они могут возникнуть. Это может повлиять на вероятность возникновения ошибки такого типа.
С левой стороны оценивают необходимые обстоятельства для ошибки. В поле «Вид ошибки человека» удобно различать разные группы людей, а также уменьшать или увеличивать значение вероятности в зависимости от размера группы, для которой эта ошибка может быть присуща. Здесь можно провести различие между взрослыми (A) и детьми (C), женщинами и мужчинами (F/M), инвалидами (D) и пожилыми людьми (O) или не указанными лицами (G).
В данном случае было принято решение добавить баллы риска для оборудования и человека, чтобы получить значение риска для системы. Контрмеры также классифицируют таким образом, чтобы различать возможные способы действий: возможность предотвращения возникновения ошибки (O), возможность избежать этого путем инструктажа персонала (I), наличие системы управления, устраняющей события (M), наличие предупреждения людей (E).
Использование таких методов в высокой степени зависит от области применения.
F.11 Процесс маркировки и изоляции электронного компонента
В таблице F.14 приведен фрагмент FMEA процесса, выполняемого для изоляции и маркировки электронного компонента: так называемый внутренний процесс.
Таблица F.6
Фрагмент таблицы FMEA процесса мониторинга уровня сахара
в крови (1 из 2)
Конечный объект: глюкометр Срок эксплуатации: 5 лет |
Объект: Программное обеспечение Редакция: 0.6 |
Подготовлено: NN Дата: 2015-07-31 |
Обновлено: Кем: |
|||||
Этап |
Используемый объект |
Функция |
Вид отказа |
Механизм |
Причина |
Локальные последствия |
Метод обнаружения |
Компенсационное обеспечение |
Установка прибора |
Глюкометр |
Измерение времени с момента приема последней дозы, данные утреннего среднего значения |
Неверная установка времени |
Перепутаны 12 ч и 24 ч |
Неправильное отображение утренних показаний Пользователь может рассчитать время с последней дозы неправильно |
Только если время превышает 12 ч. |
Показывать на дисплее AM/PM. Показывать на дисплее время с момента последней дозы |
|
Калибровка |
Набор кодирования для партии тест-полосок |
Неправильное кодирование |
Неправильное кодирование |
Ошибка при чтении |
Ложно высокий или низкий (ошибка до 30%) уровень сахара в крови |
Показания дисплея не совпадают со значениями кодирования, легко ошибиться при чтении |
Повторная калибровка каждой партии с образцом раствора |
|
Укол пальца |
Ланцет |
Отбор проб крови |
Недостаточно крови |
Пальцы холодные, недостаточная глубина укола |
Ложно низкие показания |
Нет |
||
Перенесение крови на тест-полоску |
Тест-полоски |
Сбор крови и реагирование на нее |
Неисправная тест-полоска |
Просрочена дата полоски |
Закончились непросроченные полоски |
Ложно высокие или низкие показания |
Проверка даты на полоске |
Рекомендация пользователю проверять дату перед использованием полоски |
Неверная реакция |
Полоски хранятся при слишком высокой/низкой температуре или высокой влажности |
Экстремальные условия окружающей среды |
Ложно высокие или низкие показания |
Нет |
||||
Образец крови загрязнен |
На уколотом пальце содержатся остатки сахара |
Руки не вымыты |
Ложно высокие показания |
Нет |
Инструкция для пользователя |
|||
Образец крови загрязнен |
На пальце содержатся остатки крема для рук |
Руки не вымыты |
Ложно низкие показания |
Инструкция для пользователя |
||||
Вставление тест-полоски в прибор |
Тест-полоска, глюкометр |
Применение считывающего устройства к полоске |
Полоска не вставлена достаточно глубоко |
Неопытный пользователь |
Ложно низкие показания |
Отображение сообщения об ошибке |
Инструкция для пользователя |
|
Отсутствие какого-либо сигнала |
Индикаторы высокий/низкий |
Индикация слишком высокого или низкого уровня сахара в крови |
Не выявлен |
Слишком слабая индикация |
Звуковая сигнализация, различная для высоких и низких показаний |
|||
Считывание показаний |
Измерительный прибор |
Измерение электрического сигнала на электроде и отображение уровня сахара в крови |
Отображаются неверные показания |
Некоторые сегменты в изображении чисел теряются; например, 8 читается как 6 |
Низкий заряд батареи |
Ложно высокие или низкие показания |
Индикатор низкого уровня заряда батареи |
|
Слишком густая кровь |
Субъект обезвожен |
Ложно высокие показания |
Отсутствует |
|||||
Отображаются неверные единицы измерения |
Неправильная установка единиц измерения пользователем |
Недостаток знаний |
Ложно высокие или низкие (в зависимости от направления ошибок в 10 раз) показания |
Индикатор единиц измерения, пациент обучен распознавать неправильные показания и проводить повторную калибровку в соответствии со стандартным решением |
Изображение единиц измерения большими буквами, рекомендация по модификации программного обеспечения, чтобы единицы измерения были жестко подключены |
|||
Неправильные единицы |
При потере заряда батареи установки сбрасываются и восстанавливаются заводские настройки |
Преднамеренное изменение при замене батареи |
Ложно высокие или низкие (в зависимости от направления ошибок в 10 раз) показания |
|||||
Непреднамеренное изменение при падении напряжения на батарее |
Ложный максимум или минимум (в зависимости от направления ошибок) в 10 раз |
|||||||
Американец, покупающий счетчик в Европе, не замечает разные единицы (или наоборот) |
Ложно высокие или низкие (в зависимости от направления ошибок в 10 раз) показания |
|||||||
Отображается правильное число/единицы, ошибка при чтении |
Недостаточно четкое отображение показаний |
Эргономичный дисплей для легкого чтения |
||||||
Примечание — Единица измерения уровня сахара в крови — мг/дл в США и ммоль/л в Европе. Между числовыми значениями существует коэффициент, приближенно равный 10. |
Таблица F.7
Фрагмент таблицы FMEA автомобильной электронной детали FMEA
Элемент/функция |
Возможный вид отказа |
Возможные последствия отказа |
S |
Возможная причина/механизм отказа |
Детальное описание причины/механизма отказа |
O |
Текущие превентивные контрольные меры при проектировании |
Текущие контрольные меры по обнаружению при проектировании |
D |
RPN |
Рекомендуемые действия |
Ответственный и итоговая дата завершения |
Результаты обработки отказа |
|||||||
Подсистема |
Сборочная единица |
Компонент |
Локальное воздействие |
Конечное воздействие |
Предпринятые действия |
S |
O |
D |
RPN |
|||||||||||
Источник питания |
||||||||||||||||||||
V1 |
||||||||||||||||||||
D1 |
Короткое замыкание |
Нет защиты от обратного тока |
Элемент не соответствует спецификации |
2 |
Дефект компонента с вероятностью короткого замыкания 80% |
Физическое разрушение |
3 |
Выбор компонента более высокого качества и рейтинга |
Оценка и испытания на безотказность |
10 |
60 |
|||||||||
D1 |
Открытый |
Нет напряжения на элементе |
Элемент неработоспособен |
10 |
Дефект компонента с вероятностью короткого замыкания 20% |
Отказ соединения или трещина полупроводника |
3 |
Выбор компонента более высокого качества и рейтинга |
Оценка и испытания на безотказность |
10 |
300 |
|||||||||
C1 |
Короткое замыкание |
Полюс аккумулятора замыкает на землю, D1 перегорел |
На элементе нет напряжения. Элемент неработоспособен |
10 |
Дефект компонента с вероятностью короткого замыкания 10% |
Разрушение или трещина диэлектрика |
3 |
Выбор компонента более высокого качества и рейтинга |
Оценка и испытания на безотказность |
10 |
300 |
|||||||||
C1 |
Открытый |
нет фильтрации |
Элемент не соответствует спецификации |
2 |
Дефект компонента с вероятностью короткого замыкания 90% |
Диэлектрик открыт, протекает, отсутствует или треснул |
2 |
Выбор компонента более высокого качества и рейтинга |
Оценка и испытания на безотказность |
10 |
40 |
|||||||||
Обозначения: S = значимость, O = охват, D = обнаруживаемость. Примечание — Это частично заполненная таблица FMEA. Команда проекта должна рассмотреть риски и предложить действия и сроки. В результате FMEA заполняют столбцы «результаты обработки отказа». |
Таблица F.8
Фрагмент таблицы FMEA пульта дистанционного управления
системой Hi-Fi
Компонент |
Функция |
Вид отказа |
Локальные последствия |
Глобальные последствия |
Значимость |
Вероятность |
Обнаруживаемость |
RPN |
Действия по обработке отказа |
Клавиатура |
Возможность выбора управляющего действия при применении от 20 до 50 нажатий пальцев |
Клавиши под передней панелью, предотвращающие какое-либо усилие большого пальца |
Клавиши не могут быть нажаты |
Пульт дистанционного управления не может управлять Hi-Fi |
4 |
3 |
2 |
24 |
Печатная плата крепится к верхней панели для уменьшения проблем с допуском |
РСВ |
Интерпретация команд с клавиатуры и передача управляющего воздействия на светодиод в течение 100 мс |
Разрушение паяных соединений и контактов из-за механического резонанса |
Некоторые сигналы не могут быть переданы на светодиод |
Пульт дистанционного управления не может управлять некоторыми функциями Hi-Fi |
4 |
2 |
5 |
40 |
Поддержка при увеличении резонансных частот |
Дисплей |
Визуальное отображение выбранного действия управления в течение 100 мс после выбора |
Дисплей смещается от передней панели пульта дистанционного управления из-за слабого крепления |
Дисплей болтается |
Требуется ремонт |
3 |
2 |
3 |
18 |
Большая площадь приклеивания |
Таблица F.9
Фрагмент таблицы FMEA конструкции для пульта дистанционного
управления системой Hi-Fi
Компонент |
Функция |
Вид отказа |
Локальные последствия |
Глобальные последствия |
Значимость |
Вероятность |
Обнаруживаемость |
RPN |
Действия по обработке отказа |
Клавиатура |
Преобразование кинетической энергии в электрический сигнал |
Неустранимое жидкое загрязнение |
Высокое контактное сопротивление |
Не работает |
4 |
5 |
5 |
100 |
Пластиковое покрытие под клавишами |
Печатная плата |
Обработка и передача сигналов |
Неустранимое жидкое загрязнение |
Высокое контактное сопротивление |
Не работает |
4 |
5 |
5 |
100 |
Пластиковое покрытие под клавишами |
Дисплей |
Отображение сигнала с печатной платы |
Высокое сопротивление разъема |
Плохой контакт |
Пустой дисплей |
4 |
2 |
5 |
40 |
Спецификация разъема и производственные испытания |
Таблица F.10
Фрагмент таблицы FMEA процесса для пульта дистанционного
управления системой Hi-Fi
Этап |
Функция |
Возможные проблемы |
Локальные последствия |
Глобальные последствия |
Значимость |
Вероятность |
Обнаруживаемость |
RPN |
Действия по обработке отказа |
Пайка разъема для клавиатуры |
Формирование связи между клавиатурой и печатной платой |
Избыточный флюс |
Высокое сопротивление |
Прерывистое соединение |
4 |
2 |
4 |
32 |
Отсутствие флюсов |
Пайка полупроводникового компонента |
Формирование связи между компонентом и печатной платой |
Крепежная стойка |
Нет подключения компонента к печатной плате |
Низкая доходность, что приводит к высоким издержкам производства |
2 |
2 |
2 |
8 |
Планировка печатной платы |
Приклеивание ЖК-дисплея к передней панели |
Крепление ЖК-дисплея на передней панели |
Малая площадь приклеивания |
Слабая адгезия |
Отделение ЖК-дисплея от передней панели |
4 |
4 |
5 |
80 |
Анализ методом конечных элементов |
Таблица F.11
Фрагмент таблицы FMEA технического обслуживания для пульта
дистанционного управления системой Hi-Fi
Компонент |
Функция |
Вид отказа |
Локальные последствия |
Глобальные последствия |
Значимость |
Вероятность |
Обнаруживаемость |
RPN |
Действия по обработке отказа |
Клавиатура |
Оценка работоспособности клавиатуры |
Короткий соединительный кабель между клавиатурой и дисплеем |
Сложно смотреть на экран и управлять клавишами одновременно |
Время на проведение технического обслуживания увеличилось Риск возникновения ошибки увеличился |
3 |
5 |
5 |
75 |
Сервисный кабель |
Печатная плата |
Замена печатной платы |
Процесс снятия, требующий откручивания винтов |
Винтовое отверстие разрушено |
Требуется новая передняя панель |
4 |
4 |
4 |
64 |
Металлическая вставка |
Дисплей |
Замена неисправного дисплея |
Невозможно отделить дисплей от передней панели без повреждений |
Новая передняя панель |
Высокая стоимость ремонта |
4 |
2 |
4 |
32 |
Безотказность дисплея |
Таблица F.12
Фрагмент таблицы FMEDA электронной схемы в системе контроля
безопасности (1 из 2)
Принципиальная электрическая схема: ПЕРЕЧЕНЬ деталей: Создано: (кем) Отзыв от: База данных по интенсивности и распределению: для конкретной компании (пример) Дата анализа: |
||||||||
Наименование |
Компонент |
Функция |
Интенсивность отказов [FIT] |
Вид отказа |
Вид отказа |
Последствие |
Поведенческое последствие S: Безопасное D: Опасное |
Диагностическое покрытие |
F50 |
Предохранитель |
Защита от короткого замыкания на входе |
25 |
Не открывается |
50% |
Нештатная работа |
Воздействие отсутствует |
— |
Преждевременное открытие |
10% |
Выходы обесточены |
S |
— |
||||
Медленное открытие |
40% |
Не влияет на функцию безопасности |
Последствие отсутствует |
— |
||||
D12 |
Диод подавления |
Защита от высокого напряжения |
7 |
Короткое замыкание |
95% |
F50 перегорел |
S |
— |
Обрыв цепи |
5% |
Отсутствуют последствия для функции безопасности |
Последствие отсутствует |
— |
||||
R100 |
Резистор, SMD |
Ограничение тока, защита от высокого напряжения |
0,2 |
Короткое замыкание |
5% |
Нет текущих ограничений — отказ |
D |
60% |
Обрыв |
65% |
Выходы обесточены |
S |
— |
||||
Изменение параметра |
30% |
Функция еще поддерживается |
Последствие отсутствует |
— |
||||
C13 |
Конденсатор керамический, HDC/MDC |
Защита от высокого напряжения |
2 |
Короткое замыкание |
50% |
F50 перегорел |
S |
— |
Обрыв |
30% |
Работа не в штатном режиме (защита отсутствует) |
Последствие отсутствует |
— |
||||
Изменение емкости |
20% |
Функция еще поддерживается |
Последствие отсутствует |
— |
||||
D25 |
Малый диод, сигнал менее 0,1 Вт |
Мостовой выпрямитель |
1 |
Короткое замыкание |
50% |
F50 перегорел |
S |
— |
Обрыв |
35% |
Отсутствие правильного выпрямления в случае подачи переменного тока |
S |
— |
||||
Изменение параметра |
15% |
Функция еще поддерживается |
Последствие отсутствует |
— |
||||
C2 |
Электролитический конденсатор, алюминиевый электролит, не твердый электролит |
Сглаживающий конденсатор |
5 |
Короткий |
53% |
F50 перегорел |
S |
— |
Открытый |
35% |
Работа с источником постоянного тока не в нормальном режиме |
Последствие отсутствует |
— |
||||
Утечка электролита |
10% |
Не влияет на функцию безопасности |
Последствие отсутствует |
— |
||||
Уменьшение емкости |
2% |
Функция еще поддерживается |
Последствие отсутствует |
— |
||||
IC18 |
Регулятор, мощность более 1 Вт, небольшая сложность |
Регулятор напряжения используется с R100 в качестве источника тока |
25 |
Неисправно работает, слишком сильно |
30% |
Нет регулирования -> переключение выхода |
D |
0% |
Неисправно работает, слишком слабо |
30% |
Выходы обесточены |
S |
— |
||||
Короткое замыкание |
15% |
Нет регулирования -> перегрузки по току на реле (разнообразные) |
Последствие отсутствует |
— |
||||
Обрыв |
15% |
Выходы обесточены |
S |
— |
||||
Смещение |
5% |
Функция еще поддерживается |
Последствие отсутствует |
— |
||||
Функционирование |
5% |
Функция еще поддерживается |
Последствие отсутствует |
— |
||||
— сумма интенсивностей отказов, умноженных на уровень распределения (%) всех компонентов с поведением D и DC = 0%. — сумма интенсивностей отказов, умноженных на уровень распределения (%) всех компонентов с поведением D и DC > 0%. . — сумма интенсивностей отказов, умноженных на уровень распределения (%) всех компонентов с поведением S. — сумма интенсивностей отказов, умноженных на уровень распределения (%) всех компонентов, отказ которых не вызывает последствий. — сумма интенсивностей отказов всех компонентов. SFF (доля безопасных отказов) = {(общая интенсивность безопасных и опасных отказов) — (общая интенсивность опасных не обнаруженных отказов)}/(общая интенсивность опасных и безопасных отказов) = (25,03 + 7,510) — 7,504)/(7,510 + 25,03) = 25,036/32,54 = 77,8%. Примечание — Распределение представляет процент вида отказов от общего количества отказов. |
Таблица F.13
Выписка из FMEA для кофеварки
Категория «Внимание» |
Возможность ошибки (интенсивность ошибок) |
Анализ причин психологических ошибок |
Анализ последствий |
||||||||||||||||||||||||||||||
Усталость, монотонная работа |
Высокая (0,1 и более) |
x |
x |
x |
x |
x |
|||||||||||||||||||||||||||
Рутинная работа, отдых |
Достаточно высокая (от 0,01 до 0,000001) |
x |
x |
||||||||||||||||||||||||||||||
Позитивные действия |
Низкая (0,000001 и менее) |
x |
x |
||||||||||||||||||||||||||||||
Суматоха, паника |
Высокая (0,1 и более) |
x |
x |
x |
x |
x |
|||||||||||||||||||||||||||
Стадия работы |
Действие |
Связанная среда |
Поврежденное оборудование |
Взаимосвязь |
Вид ошибки человека |
Категория людей |
Руководящие слова |
Анализ последствий (опасностей) |
Оценка возникновения |
Оценка степени значимости |
Оценка риска |
Классификация контрмер |
Контрмера (корректирующее действие) |
||||||||||||||||||||
Восприятие |
Решение |
Действие |
Оборудование |
Человек |
Система |
Оборудование |
Человек |
Оборудование |
Человек |
Оборудование |
Человек |
Система = Человек + Оборудование |
|||||||||||||||||||||
Трудно увидеть или услышать |
Неправильное восприятие |
Нет понимания |
Недопонимание |
Недостаточное знание |
Медленное понимание |
Ошибочное понимание |
Нет исполнения |
Забыто исполнение |
Ненадлежащее исполнение |
Чрезмерное исполнение |
Слишком позднее исполнение |
Слишком раннее исполнение |
Различное исполнение |
Неверный порядок исполнения |
|||||||||||||||||||
Разогревание |
Включение прибора, размещение кофейника на плите |
Спешка/неаккуратность |
Неисправленность датчика температуры |
И |
Кофе оставлен на плите на слишком продолжительное время |
G |
X |
Нарушение |
Вторичный ущерб, причиненный пожаром |
Пожар |
2 |
1 |
4 |
4 |
8 |
4 |
12 |
0 |
Резервное время для очищения плиты и посуды |
||||||||||||||
Использование |
Наполнение чашки кофе |
Усталость |
Отсутствует |
И |
Кофе разлит |
G |
x |
X |
Отсутствует |
Ожоговая травма/рана |
— |
1 |
2 |
1 |
3 |
1 |
6 |
7 |
0 |
Резервное время для контакта с потребителем |
|||||||||||||
Очистка |
Удаление старого кофе |
Спешка |
Отсутствует |
ИЛИ |
Разлит горячий кофе |
G |
X |
Отсутствует |
Ожоговая травма/рана |
— |
1 |
2 |
1 |
4 |
1 |
8 |
9 |
0 |
Резервное время для очищения |
||||||||||||||
Ручное очищение |
Спешка |
Наличие острых углов и краев |
И |
Касание края голыми руками |
G |
X |
Отсутствует |
Ожоговая травма/рана |
— |
1 |
2 |
2 |
4 |
2 |
8 |
10 |
W |
Разрешить только автоматическое очищение |
|||||||||||||||
Хранение |
Хранение |
Холодная окружающая среда |
Трещины из-за замерзания воды |
— |
Вода не удалена |
G |
x |
x |
Опасность |
Отсутствует |
Нет готовности |
4 |
4 |
4 |
2 |
16 |
8 |
24 |
W |
Предупреждение в инструкции по эксплуатации |
|||||||||||||
Примечание 1 — Категория человека — G: не указано M: мужчина; A: взрослый; F: женщина; C: ребенок; O: пожилой человек; I: инвалид. Примечание 2 — Классификация контрмер — O: Меры по предотвращению возникновения ущерба; S: Меры по предотвращению распространения ущерба; W: Меры по предупреждению повреждения; E: Обучение пользователей безопасному использованию; M: Анализ системы управления безопасностью. |
Таблица F.14
Фрагмент таблицы FMEA процесса маркировки и изоляции
электронного компонента
Требование к функции процесса |
Возможный отказ |
Возможные последствия отказа |
S |
Возможная причина/механизм отказа |
O |
Текущие средства контроля процесса |
D |
RPN |
Рекомендуемые действия |
Ответственный и срок выполнения |
Действие выполнено |
Новый S |
Новый O |
Новый D |
Новый RPN |
Маркировка |
Размытость |
Расшифровка печати не может быть выполнена |
8 |
Лазерное управление не применимо |
2 |
Визуальная проверка в начале работы — цикл проверки каждый лист/лот |
2 |
32 |
Отсутствует |
||||||
Сдвиги, смещение |
Плохой внешний вид |
8 |
Смещение положения |
2 |
Тестовая маркировка каждого первого листа/партии |
1 |
16 |
Отсутствует |
|||||||
Противоположное направление |
Плохой внешний вид |
8 |
Продукт установлен в противоположном направлении |
2 |
Направление продукта оценивается по общей частоте распознавания изображений |
1 |
16 |
Отсутствует |
|||||||
Поломка |
Преграда и черпание |
Плохой размер продукта |
8 |
Зазор при установке подложки на эксклюзивный инструмент слишком велик |
4 |
Содержание эксклюзивного инструмента самоконтроля |
2 |
64 |
Введение нового очистителя, проверенного при вводе в эксплуатацию |
Производственная технология произведена 31 января 2003 г. |
Введение нового очистителя, проверенного при введении. Проверка размера продукта. Cpk: 2,58 |
7 |
2 |
2 |
28 |
Внешний вид продукта становится больше |
Плохой размер продукта |
8 |
Шлифовальный круг изношен |
4 |
Измерение размера в выборке Цикл отбора проб: 4 шт. Каждые пять листов |
2 |
64 |
Введение нового очистителя, проверенного при вводе в эксплуатацию |
Производственная технология произведена 31 января 2003 г. |
Введение нового очистителя, проверенного при введении |
7 |
2 |
2 |
28 |
|
Удаление неровностей |
Заграждение (преграда) не снято |
Плохой размер продукта |
8 |
Зажимное приспособление не выдерживает тряски |
1 |
Самопроверка |
2 |
16 |
Отсутствует |
||||||
Обозначение S = значимость, O = возникновение, D = обнаруживаемость |
Приложение ДА
(справочное)
СВЕДЕНИЯ О СООТВЕТСТВИИ ССЫЛОЧНЫХ НАЦИОНАЛЬНЫХ
И МЕЖГОСУДАРСТВЕННЫХ СТАНДАРТОВ МЕЖДУНАРОДНЫМ СТАНДАРТАМ,
ИСПОЛЬЗОВАННЫМ В КАЧЕСТВЕ ССЫЛОЧНЫХ В ПРИМЕНЕННОМ
МЕЖДУНАРОДНОМ СТАНДАРТЕ
Таблица ДА.1
Обозначение ссылочного национального, межгосударственного стандарта |
Степень соответствия |
Обозначение и наименование ссылочного международного стандарта |
ГОСТ ISO 13849-1-2014 |
IDT |
ISO 13849-1:2006 «Безопасность оборудования. Элементы систем управления, связанные с безопасностью. Часть 1. Общие принципы конструирования» |
ГОСТ 27.002-2015 |
NEQ |
IEC 60050-192:2015 «Международный электротехнический словарь. Часть 192. Надежность» |
ГОСТ Р 22.0.12-2015/ИСО 22300:2012 |
IDT |
ISO 22300:2012 «Социальная безопасность. Терминология» |
ГОСТ Р 27.302-2009 |
NEQ |
IEC 61025:2006 «Анализ дерева неисправностей» |
ГОСТ Р 27.606-2013 |
NEQ |
IEC 60300-3-11:2009 «Управление надежностью. Техническое обслуживание, ориентированное на безотказность» |
ГОСТ Р 55.0.01-2014/ИСО 55000:2014 |
IDT |
ISO 55000:2014 «Управления активами. Общее представление, принципы и терминология» |
ГОСТ Р 51897-2011/Руководство ИСО 73:2009 |
IDT |
ISO Guide 73:2009 «Менеджмент риска. Словарь. Руководство по использованию в стандартах» |
ГОСТ Р 51901.14-2007 (МЭК 61078:2006) |
MOD |
IEC 61078:2006 «Методы анализа надежности систем. Структурная схема надежности и булевы методы» |
ГОСТ Р 57273-2016 (CWA 16768:2014) |
NEQ |
CWA 16768:2014 «Структура создания ценности устойчивого развития в производственных сетях» |
ГОСТ Р ИСО 31000-2019 |
IDT |
ISO 31000:2018 «Менеджмент риска. Принципы и руководство» |
ГОСТ Р ИСО/МЭК 31010-2011 |
IDT |
IEC 31010:2009 «Менеджмент риска. Методы оценки риска» |
ГОСТ Р 27.013-2019 (МЭК 62308:2006) |
MOD |
IEC 62308:2006 «Безотказность оборудования. Методы оценки безотказности» |
ГОСТ Р МЭК 61165-2019 |
IDT |
IEC 61165:2006 «Применение марковских методов» |
ГОСТ Р МЭК 61508-1-2012 |
IDT |
IEC 61508-1:2010 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 1. Общие требования» |
ГОСТ Р МЭК 61508-2-2012 |
IDT |
IEC 61508-2:2010 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 2. Требования к системам» |
ГОСТ Р МЭК 61508-3-2012 |
IDT |
IEC 61508-3:2010 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 3. Требования к программному обеспечению» |
ГОСТ Р МЭК 61508-4-2012 |
IDT |
IEC 61508-4:2010 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 4. Термины и определения» |
ГОСТ Р МЭК 61508-5-2012 |
IDT |
IEC 61508-5:2010 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 5. Рекомендации по применению методов определения уровней полноты безопасности» |
ГОСТ Р МЭК 61508-6-2012 |
IDT |
IEC 61508-6:2010 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 6. Руководство по применению ГОСТ Р МЭК 61508-2 и ГОСТ Р МЭК 61508-3» |
ГОСТ Р МЭК 61508-7-2012 |
IDT |
IEC 61508-7:2010 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 7. Методы и средства» |
ГОСТ Р МЭК 62061-2013 |
IDT |
IEC 62061:2005 «Безопасность оборудования. Функциональная безопасность систем управления электрических, электронных и программируемых электронных, связанных с безопасностью» |
ГОСТ Р МЭК 62502-2014 |
IDT |
IEC 62502:2010 «Аналитические методы надежности. Анализ дерева событий (ETA)» |
ГОСТ Р МЭК 62508-2014 |
IDT |
IEC 62508:2010 «Анализ влияния на надежность человеческого фактора» |
Примечание — В настоящей таблице использованы следующие условные обозначения степени соответствия стандартов: — IDT — идентичные стандарты; — MOD — модифицированные стандарты; — NEQ — неэквивалентные стандарты. |
БИБЛИОГРАФИЯ
[1] |
МЭК 60050-192 Международный электротехнический словарь. Часть 192. Надежность (Dependability management — Part 192: Guidance for management and application) |
[2] |
ISO/IEC/IEE 15288:2015 Разработка систем и программного обеспечения. Процессы жизненного цикла системы (Systems and software engineering — System life cycle processes) |
[3] |
EH 13306:2010 Техническое обслуживание и ремонт. Терминология технического обслуживания и ремонта (Maintenance — Maintenance terminology) |
[4] |
МЭК 62740 Анализ коренных причин (RCA) (Root cause analysis (RCA)) |
[5] |
MIL-HDBK-338B, Electronic reliability design handbook, Defense Quality and Standardization Office (DLSC-LM), Fort Belvoir, Virginia 22060-6221, October 1998 |
[6] |
Bell, J., and Holroyd, J., Review of human reliability assessment methods, Research Report RR 679 for Health and Safety Executive, Sudbury: HSE Books, 2009 |
[7] |
МЭК 61709 Компоненты электрические. Надежность. Стандартные условия для интенсивностей отказов и модели напряжений для преобразования (Electric components — Reliability — Reference conditions for failure rates and stress models for conversion) |
[8] |
МЭК 62741 Демонстрация требований к надежности. Пример надежности (Demonstration of dependability requirements — The dependability case) |
[9] |
Braband, J., Improving the Risk Priority Number concept, Journal of System Safety, 3, 2003, p. 21 — 23 |
[10] |
МЭК 62551 Методы анализа надежности. Метод сети Петри (Analysis techniques for dependability — Petri net techniques) |
[11] |
Ozarin, N., Understanding, planning and performing Failure Modes & Effects Analysis on software, Tutorial, RAMS Conference, 2016 |
[12] |
Yoshimura, I., Sato, Y., Safety achieved by the Safe Failure Fraction (SFF) in IEC 61508, IEEE Transactions on Reliability, Vol. 57, No. 4, 662 — 669, Dec. 2008 |
УДК 62-192:658.51.011:658.562:623:006.354 |
ОКС 03.120.01, 03.120.30, 21.020 |
Ключевые слова: отказ, вид отказа, последствия отказа, критичность отказа, вероятность отказа, анализ видов и последствий отказов; анализ видов, последствий и критичности отказов |
ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ
НАЦИОНАЛЬНЫЙ
СТАНДАРТ
РОССИЙСКОЙ
ФЕДЕРАЦИИ
ГОСТР
27.015—
2019
(МЭК 60300-3-15: 2009)
Надежность в технике
УПРАВЛЕНИЕ НАДЕЖНОСТЬЮ
Руководство по проектированию надежности систем
(IEC 60300-3-15:2009, Dependability management —
Part 3-15: Application guide — Engineering of system dependability, MOD)
ш
Издание официальное
Москва
Стандартинформ
2019
Предисловие
1 ПОДГОТОВЛЕН Закрытым акционерным обществом «Научно-исследовательский центр контроля и диагностики технических систем» (ЗАО «НИЦ КД») на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 119 «Надежность в технике»
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 28 ноября 2019 г. № 1275-ст
4 Настоящий стандарт является модифицированным по отношению к международному стандарту МЭК 60300-3-15:2009 «Менеджмент надежности. Часть 3-15. Руководство по применению. Проектирование надежности системы» (IEC 60300-3-15:2009 «Dependability management — Part 3-15: Application guide — Engineering of system dependability». MOD) путем внесения технических отклонений, объяснение которых приведено во введении к настоящему стандарту.
Международный стандарт разработан Техническим комитетом по стандартизации ТС 56 Международной электротехнической комиссии (МЭК).
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).
Сведения о соответствии ссылочных национальных и межгосударственных стандартов международным стандартам, использованным в качестве ссылочных в примененном международном стандарте. приведены в дополнительном приложении ДА
5 ВВЕДЕН ВПЕРВЫЕ
Правипа применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ежегодном (по соспюянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www gost.ru)
©Стандартинформ, оформление. 2019
Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии II
Рисунок 1 — Стадии жизненного цикла системы |
Технические процессы проектирования состоят из последовательности действий, выполняемых на каждом этапе жизненного цикла, предназначенных для достижения целей функционирования и надежности системы. Обеспечение надежности системы не совершается в изоляции. Его выполняют совместно с другими техническими действиями (например, проектированием структуры системы) и вспомогательными мероприятиями (например, по обеспечению качества) для реализации функций системы в соответствии с их предполагаемым применением. В приложении А описана типовая последовательность процессов жизненного цикла системы.
Ключевыми действиями процесса жизненного цикла системы являются следующие:
a) определение требований, идентифицирующее требования пользователей и ограничения в области применения системы;
b) анализ требований, преобразующий представление пользователей о применении системы в технические требования к проектированию системы и включающий в себя разработку рабочего профиля. продолжительности эксплуатации и проекта системы в соответствии с ее целевой задачей;
c) разработка структуры, синтезирующей решение, удовлетворяющее требованиям к системе 8 соответствии со сценариями ее эксплуатации, с выделением функций аппаратного, программного обеспечения и человеческого фактора;
d) проектирование и оценка функций, определяющие практические средства реализации функций для облегчения поиска компромиссов и оптимизации;
e) создание системы проектной документации, охватывающей сведения о системе, включая данные о надежности проектируемой системы;
0 проектирование системы и подсистем, обеспечивающее выполнение требуемых функций системы и подсистем;
д) создание элементов системы и подсистем в форме аппаратного и программного обеспечения:
h) интеграция системы и подсистем в соответствии со структурой, предусмотренной проектом;
i) верификация системы, подтверждающая, что установленные требования к конструкции выполнены;
j) установка (монтаж), обеспечивающая системе возможность работать с требуемой производительностью в заданных условиях;
k) валидация и ввод в эксплуатацию, обеспечивающие объективные свидетельства того, что система соответствует функциональным требованиям;
l) эксплуатация системы, обеспечивающая оказание системой соответствующих услуг;
т) техническое обслуживание, обеспечивающее возможность эксплуатации системы;
п) улучшение функционирования системы, обеспечивающее ее дополнительными возможностями;
р) вывод из эксплуатации и демонтаж системы, завершающие существование системы.
6.1.3 Применение процесса на протяжении жизненного цикла системы
Процесс — это интегрированный набор взаимосвязанных и взаимодействующих действий, которые преобразуют входы в выходы. Процессы используют в качестве моделей для организации функций (например, системы менеджмента качества (СМК). менеджмента проекта)], коммерческих операций (например, соглашение о поставках, цепочка поставок), технического планирования и разработки (например. разработка продукции, оценка системы). В настоящем стандарте рассмотрены технические процессы обеспечения надежности систем.
На рисунке 2 приведен пример модели процесса. В контексте проектирования первичные входы обычно предоставляют собой набор требований или формализованных ожиданий потребителя. Выходы могут состоять из технических данных, описывающих желаемое решение, такое как спецификация, изготовление продукции или предоставление услуг. Существуют другие входы, связанные с процессом
контроля и реализации цели. Процесс трансформирует или конвертирует первичные входы в желаемые выходы. Это преобразование зависит от условий, устанавливаемых соответствующими механизмами и влияющими факторами. Некоторые влияющие факторы являются контролируемыми (например рабочие процедуры для активации процесса), другие могут быть неконтролируемыми, (например погодные условия или неожиданные климатические изменения). Для осуществления преобразований необходимы механизмы в виде методов и инструментов. Ниже приведена модель процесса, используемая для описания технических процессов в настоящем стандарте.
Воздействующие факторы (процедуры, правила, ограничения)
_I_
Входы
(данные.
материалы.
требования)
Выходы (обработанные данные, продукция, услуги)
Процесс
Т
Обеспечивающие механизмы (человеческие и материальные ресурсы, инструменты и методы)
Рисунок 2 — Пример модели процесса
Технические процессы используют для двух целей:
a) выполнение конструкторских задач и проведение реконструкций в процессе создания концепции и разработки системы;
b) выполнение действий эксплуатации, технического обслуживания и распоряжения в отношении системы.
Применение технических процессов является одновременно рекурсивным и итеративным до достижения желаемого решения. Это относится ко всем стадиям жизненного цикла системы. Взаимодействие технических процессов не зависит от размера системы и ее структуры. Действия процесса, такие как определение требований, анализ требований и проектирование структуры системы являются техническими подходами «сверху вниз» для получения желаемого решения (т. е. декомпозиции системы вплоть до ее составляющих элементов); вместе с тем интеграция и верификация являются подходами «снизу вверх» к разработке конфигурации системы и валидации ее работоспособности (т. е. создание сначала элементов, а затем системы в целом). Переход от подхода «сверху вниз» к подходу «снизу вверх» происходит при завершении установки системы в начале ввода ее в эксплуатацию. Это называют моделью «V» в инженерной практике, она описана в ГОСТ Р 57193.
Примечание — Для получения дополнительной информации о модели «V» см. ГОСТ Р ИСО/МЭК ТО 15271.
В ГОСТ Р ИСО/МЭК 12207 установлены границы процессов жизненного цикла программного обеспечения. Приведено описание процессов, действий и задач, которые могут быть применены при приобретении программного продукта или услуги и при установке, разработке, эксплуатации, техническом обслуживании и распоряжении программных продуктов. Этот документ может быть использован самостоятельно или вместе с ГОСТ Р 57193.
Типовые примеры применения процесса на каждой стадии жизненного цикла системы приведены в приложении А. Знание типа системы и среды ее применения имеет важное значение для использования процессов на стадиях жизненного цикла соответствующей системы и в соответствии с установленными требованиями к проекту.
6.2 Достижение надежности системы
6.2.1 Цель
Достижение надежности — это действие, направленное на выполнение цели в области надежности и отражает результаты успешного решения задачи. Действия, необходимые для достижения надеж-
ности системы, могут быть выполнены с помощью эффективных инженерных усилий, знаний и опыта, примененных на соответствующих стадиях жизненного цикла системы. Целью является обеспечение необходимого уровня надежности для кахздой функции системы. Достижение надежности системы является важной целью проектирования, требует координации и демонстрации при приемке системы. Приемка системы обычно предусмотрена конкретным соглашением и представляет собой проверку выполнения требований потребителя. Конечной целью является удовлетворение ожиданий пользователей системы.
6.2.2 Критерии достижения надежности системы
Необходимой надежности системы достигают путем создания системы с соответствующими свойствами и показателями надежности. Критерии достижения надежности системы должны отражать:
a) четкое понимание целей работы системы:
b) глубокое понимание условий эксплуатации:
c) результативное выполнение принципов надежности в рабочей структуре;
d) условия использования:
e) применение соответствующих процессов при изготовлении системы;
0 использование знаний и опыта для экономически эффективного внедрения системы.
Эти критерии могут быть выполнены путем концентрации на ключевых факторах, влияющих на надежность системы. Важными критериями являются критерии, связанные с процессом применения системы и реализацией целей системы. Для пояснения значения надежности системы необходимы соответствующие обоснования. Критерии следует рассматривать при планировании и выполнении проекта. Пользователь должен адаптировать соответствующие действия в области надежности для обеспечения соответствия системы требованиям проекта с точки зрения жизненного цикла системы.
1) Политика менеджмента надежности. Данный критерий влияет на рабочую инфраструктуру, распределение соответствующих ресурсов, распределение ответственности и лидерство надежности проекта. Значение политики в области надежности отражает ориентацию потребителя на стратегию и обязательства, совместные усилия и систематический процессный подход для эффективного применения принципов менеджмента надежности, описанных с ГОСТ Р МЭК 60300-1. Политику менеджмента надежности в соответствии с ГОСТРМЭК 60300-1 применяют ко всем техническим процессам, описанным в настоящем стандарте;
2) база знаний в области надежности. Данный критерий влияет на точность интерпретации потребностей рынка, адекватность соответствующей информации, необходимой для инициирования проекта, применение имеющихся стандартов, спецификаций и конкурентных факторов при заключении контрактов и обоснование надежности для представления объективных свидетельств. Значение базы знаний в области надежности определяет конкурентные преимущества и технологическое лидерство при работе с новыми вызовами в вопросах надежности систем;
3) структура конструкции. Данный критерий влияет на использование технологий применения системы. подбор оборудования, программного обеспечения и человеческих ресурсов для реализации функций системы, интеграции системы, ее работы, обеспечения улучшения и обновления системы. Проектирование структуры системы устанавливает взаимосвязанную и конструктивную схему интеграции и реализации системы. Это облегчает возможность улучшения, расширения возможностей экономически эффективной работы и обеспечения качества услуг. Соответствующее использование технологий позволяет находить компромиссные решения путем придания системе дополнительных свойств и расширения технических ограничений применения системы;
4) координация цепочки поставок. Данный критерий влияет на решения о закупках, аутсорсинге и привлечении субподрядчиков, верификацию и валидацию процедур и документов, процессы мониторинга и гарантии. Значимость менеджмента поставок основана на сотрудничестве покупателя и поставщика и обмене между ними соответствующей информацией в процессе закупок и приобретения. Цепочка поставок обеспечивает необходимую связь для отслеживания важной информации. Координация цепочки поставок способствует улучшению административного процесса, сокращению затрат на снабжение и стимулирует поставки качественных продукции и услуг;
5) вспомогательные системы. Данный критерий связан с использованием методов и инструментов. целесообразностью проектной производительности, потребностями в профессиональной подготовке. введением новой продукции и разработкой стратегий технического обслуживания и материально-технического обеспечения системы. Значение вспомогательных систем видят в улучшении процессов проектирования и поставки и эффективном использовании методов и средств ускорения решения про-
блем. Вспомогательные системы не всегда являются технически сложными, требующими специальных навыков для их понимания и использования. Некоторые из методологий представляют собой просто контрольные перечни и инструкции по принятию решений для операторов и специалистов по техническому обслуживанию при эксплуатации системы. Дополнительная информация о вспомогательных системах приведена в ГОСТ Р 57193,
6) обратная связь с потребителем и управление информацией. Данный критерий влияет на отношения потребителя в части удовлетворенности и лояльности, обеспечение потребителя качественными услугами, на точность записей об инцидентах, выбор данных для анализа, результативное выполнение корректирующих и предупреждающих действий, установление тенденции изменения производительности системы и хронологических записей о показателях надежности системы. Значение информации об обратной связи состоит в возможности установления тенденций в работе системы, определении областей, требующих внимания и обеспечении объективных свидетельств для верификации и валидации.
6.2.3 Методология обеспечения надежности системы
Выбор методов можно начать с совершенствования критериев и понимания их значения для обеспечения надежности системы. Цель заключается в использовании методов обеспечения надежности системы при ее создании. Обеспечение надежности направлено на придание соответствующей надежности функциям системы.
Существует два подхода к обеспечению надежности функций системы:
a) нисходящий подход к синтезу надежности системы на основе установленных требований к системе и рыночной информации для разработки структуры системы;
b) восходящий подход обеспечения надежности функций системы, основанный на правилах проектирования надежности, отказоустойчивости, снижения риска.
Оба подхода включают определение свойств надежности и определение значений соответствующих показателей. Свойства надежности являются основополагающими для оценки и достижения целевой надежности системы.
Свойства надежности, которые имеют отношение к функционированию системы, зависят от времени. Они могут быть количественно определены и выведены на основе данных наблюдений соответствующих инциденту. Примеры включают процент продолжительности работоспособного состояния системы, вероятность успешного выполнения функции системы в эксплуатации с продолжительностью работы без отказов для демонстрации безотказности и завершение восстановления системы в рамках запланированного простоя, чтобы показать целесообразность действий технического обслуживания.
Однако не все свойства надежности можно легко продемонстрировать в силу временных и стоимостных ограничений, технических ограничений или по другим причинам, связанным с проектом. Примеры включают сложные системы с высокой безотказностью, новые системы при ограниченных данных эксплуатации, программные системы для использования в новых условиях применения и некоторые приобретаемые объекты, без данных эксплуатации о безотказности. В этих случаях необходимо применять другие методы для обеспечения уверенности при использовании и гарантии надежности. Следует отметить, что данные наблюдений о надежности системы являются стохастическими. Они могут включать косвенные оценки других свойств, кроме оцениваемых, которые могут быть получены непосредственно на основе измерений. Типичные методы включают исследования безотказности, ремонтопригодности. моделирование тестовых случаев, модели зрелости и программы повышения надежности.
Количественные значения часто нуждаются в интерпретации. Определение интенсивности отказов по результатам измерений может быть непонятно без объяснения соответствующих условий. В то время как интенсивность отказов может быть использована (как показатель) для сопоставления альтернативных проектных решений, при этом использованные предположения крайне важны для объяснения и обоснования полученных результатов. Это позволяет применить статистические методы для определения предположительных и доверительных границ возможных рисков. В примере из бизнеса среднее время между отказами копировального аппарата может быть не слишком значимым для владельца бизнеса, но количество некачественных копий за месяц использования аппарата будет сказываться на финансовых потерях.
В приложении В приведены примеры применимых методов обеспечения надежности системы. Для выбора соответствующих методов необходимо знание рабочих функций системы и условий применения, описанных в приложении С. Для эффективного применения методов следует сосредоточиться на критических вопросах решения технических задач. Ограничения этих методов при их конкретном применении следует учитывать для правильной интерпретации результатов.
6.2.4 Реализация функций системы
Функции системы могут быть реализованы с использованием аппаратного и программного обеспечения. человеческого фактора или любой их комбинации, обеспечивающей выполнение целей функционирования системы. Ниже описаны общие вопросы, касающиеся выбора и применения этих элементов для успешного обеспечения надежности.
a) Аппаратное обеспечение представляет собой оборудование, широко используемое в конструкции системы. Оно может состоять из механических, электрических, электронных, оптических и других физических компонентов. Они используются в различных конфигурациях для реализации функций аппаратного обеспечения. Большая часть электронной продукции включает в себя элементы аппаратного обеспечения, которые являются относительно изученными при применении. Правила разработки четко установлены. Электронная продукция демонстрирует работоспособность в контролируемых условиях процесса производства. Качество и надежность продукции могут быть установлены соответствующими программами гарантии. Также имеется достаточно большое количество баз данных об испытании и эксплуатации электронной продукции, включающей аппаратные средства, полезные для обеспечения безотказности системы. Однако некоторые виды продукции с активными электронными компонентами чувствительны к различным условиям применения Физические свойства таких компонентов доминируют среди отказов элементов аппаратного обеспечения, а также причин феномена детской смертности. Конструкция, упаковка и проверка, соответствующие надлежащей безотказности, могут помочь значительно снизить количество отказов. Некоторые элементы аппаратного обеспечения могут изнашиваться в процессе эксплуатации или использования, в то время как другие могут иметь ограниченный срок хранения. Эти проблемы обеспечения безотказности могут быть решены путем осуществления профилактического планового технического обслуживания. Структура аппаратных систем является иерархической. Стратегия технического обслуживания может быть разработана собственными силами на основе функционального проектирования и представлять собой стратегию замены простейших сборочных элементов. Это облегчает техническое обслуживание конструкции и логистическое обеспечение системы и способствует улучшению показателей готовности системы;
b) программное обеспечение состоит из закодированных инструкций, компьютерных программ, установленных правил и процедур работы системы. Закодированные команды используются в программном обеспечении, осуществляющем управление выполнением функций системы. Программные коды трудно проверить на наличие ошибок кодирования без фактического выполнения компьютерных операций. Сбой программного обеспечения, приводящий к отказу системы, обусловлен активацией скрытой ошибки в программном обеспечении. Аккуратность при создании программного обеспечения необходима для минимизации возможного проявления непреднамеренных ошибок в разработке. Используемые подходы включают предотвращение отказов, устранение отказов и обеспечение отказоустойчивости. Они являются формализованными методами создания программного обеспечения. Хотя программное обеспечение не изнашивается, его функции могут ухудшаться вследствие введенных изменений. Поскольку программное обеспечение создается при участии человека, контроль за его созданием сосредоточен на условиях разработки программного обеспечения. Использование методологии «моделей зрелости» как основы для разработки программного обеспечения может быть способом обеспечения надежности функций программного обеспечения. Вопросы программного обеспечения и версии для его обновления должны быть под контролем процесса управления конфигурацией системы для поддержания совместимости функций и повышения надежности системы в эксплуатации;
c) человеческий фактор (взаимодействие человека с функционирующей системой) можно рассматривать как часть функций системы или как функции конечного пользователя системы. Роль человека в работе системы может быть полезна вследствие способности человека смягчать текущую ситуацию или управлять ею. Однако большая часть промышленных инцидентов и изученных крупных аварий может быть следствием ошибок человека как первичной причины неисправности системы или нарушения ее работы. Системы, разработанные для работы человека или использующие труд человека, должны включать человеческий фактор в проект системы, чтобы минимизировать риск возникновения критических отказов. потери свойств, нарушения безопасности или появления угроз для безопасности. Надежность может быть обеспечена путем учета человеческого фактора в правилах проектирования и упрощения задач, выполняемых человеком при работе. Изучение человеческого фактора включает сбор междисциплинарной информации о возможностях и ограничениях человека для применений, включающих взаимодействия «человек—система». Инженерные аспекты состоят в применении информации о человеческом факторе при проектировании инструментов, машин, систем, задач, производственных заданий и окружающей среды для безопасного, комфортного и результативного использования чело-
веком. Обучение и образование человека являются важными обязательными требованиями для функционирования любой системы, требующей взаимодействия с человеком. Стандартизация в вопросах, связанных с человеческим фактором, облегчает интеграцию системы, повышает функциональную совместимость элементов системы и улучшает работоспособность и надежность в целом.
Большая часть функций системы в существующей электронной продукции использует комбинацию программных и аппаратных элементов в конструкции системы. Они предлагают широкий спектр свойств конструкции для различных применений. Надежность функций системы обеспечивают включение правил разработки и использование установленных процессов при применении системы. Компромиссный вариант конструкции может быть найден путем комбинации соответствующих технологий. отвечающих установленным требованиям конкретного применения. Экономический эффект для массового производства может быть получен при использовании модульного принципа компоновки и стандартизации. Система может включать автоматизированные функции самоконтроля и повышения результативности работы в виде встроенных тестов или других схем мониторинга. Вмешательство человека в функции системы может быть обусловлено только требованиями безопасности и охраны или социальными и экономическими причинами. В приложении D приведены контрольные перечни для аппаратного обеспечения, программного обеспечения и человеческого фактора.
6.2.5 Способы определения достижения надежности системы
Существует три общих подхода для определения того, что целевая надежность системы достигнута. Они служат разным целям и обладают различной точностью. На практике обычно используют комбинацию этих подходов:
a) демонстрация — работа системы в реальных условиях в течение времени, превышающего запланированное, что обеспечивает демонстрацию надежности работы системы. Типичные примеры включают:
— хронологию показателей надежности системы в условиях эксплуатации;
— документальную демонстрацию надежности;
— показатели готовности в течение гарантийного периода;
b) логический вывод состоит в применении статистических методов с использованием данных наблюдений соответствующих функций системы на основе установленных критериев и предположений, позволяющих перейти к числовым значениям, характеризующим свойства системы (показатели надежности. характеристики). Типичные примеры включают:
— прогнозирование состояния системы с заданной конфигурацией;
— применение моделирования;
— применение моделей зрелости;
— верификация испытаний системы;
c) прогрессивные свидетельства представляют собой объективные доказательства, полученные в контрольных точках разработки проекта на основе аргументов. Типичные примеры включают:
— безотказность и техническое обслуживание;
— программу повышения надежности.
6.2.6 Объективные свидетельства достижения надежности системы
Ниже приведены ключевые утверждения о характеристиках надежности системы для использования в качестве объективных свидетельств при приемке системы и продукции на этапах жизненного цикла системы. Для аудита и договорных целей объективные свидетельства необходимо документировать и заверять.
a) Утверждение о свойствах надежности и условиях эксплуатации системы, отражающее ожидания пользователей в коммерческой спецификации или предложении, основанном на информации об исследовании рынка. Это утверждение обеспечивает информацию для начала планирования проекта и разработки требований к надежности системы.
b) Заявление о характеристиках работы системы в спецификации надежности системы. Это заявление обеспечивает информацию для установления цели проектирования в области надежности и структуры системы.
c) Заявление о характеристиках безотказности и ремонтопригодности для каждой функции системы в требованиях функционального проектирования. Это заявление обеспечивает информацию для выбора технологии, принятия решений об изготовлении или приобретении комплектующих и установления требований к закупкам.
d) Заявление о характеристиках надежности и ремонтопригодности системы при эксплуатации и техническом обслуживании. Это заявление обеспечивает информацию для планирования и ло-12
гистического обеспечения, контрактного технического обслуживания и специальных потребностей в обучении.
e) Заявление о соответствующих характеристиках и показателях надежности для приемки продукции. верификации соответствия и валидации результатов работы системы. Это заявление формирует основу для выполнения контрактных соглашений в соответствие с требованиями контракта на поставку продукции.
f) Все отчеты о надежности проекта, содержащие данные анализа надежности, статус испытаний и результаты демонстрации. Эти данные обеспечивают информацию для анализа проекта, изменений проекта, обновления процедур, корректирующих и предупреждающих действий для улучшения проекта.
6.3 Оценка надежности системы
6.3.1 Цель оценки надежности системы
Оценкой является оценка статуса или результатов конкретных действий или проблем в области надежности. Цель оценки состоит в определении способа решения проблемы. Результаты используют для объяснения и обоснования рекомендуемых действий. Процесс оценки облегчает выявление возможных альтернатив или вариантов решения проблемы. Это способствует выбору компромиссных проектных решений и предпочтительной закупаемой продукции. Оценка надежности системы должна соответствовать потребностям конкретного проекта и улучшению процесса.
6.3.2 Виды оценок
Оценка может быть объективной или субъективной. Объективная оценка представляет собой результаты непосредственных измерений объекта. Субъективная оценка присваивает значение свойству, особенности или качеству. Например, оценив качество функции программного обеспечения при применении системы, можно догадаться, как программное обеспечение разработано. Рассмотрение процесса проектирования формирует субъективное мнение об оценке. Цель — обеспечить уверенность пользователя программного обеспечения в его адекватности при применении. Не может быть уверенности в оценке, до тех пор. пока не будет запущено программное обеспечение для определения его качества в реальной работе. Это обеспечивает демонстрацию объективных свидетельств. В инженерной практике используют объективные и субъективные оценки, которые дополняют друг друга.
Ниже приведены основные цели проекта, связанные с оценкой надежности системы в основных точках принятия решения на стадиях жизненного цикла системы.
a) Идентификация рынка — определение потребностей рынка для обоснования инвестиций в разработку новой системы или модернизацию существующей системы для обеспечения конкурентности системы. Анализ рынка важен для обоснования основных инвестиций, включающих обязательства в отношении ресурсов Действия по разработке системы включают идентификацию возможностей и ресурсов, оценку новой технологии для реального применения, анализ конкурентоспособности и ожиданий пользователя системы, определение степени обеспечения технического обслуживания, необходимого для поддержки и эксплуатации новой или усовершенствованной системы, а также определения ограничений по времени эксплуатации и стоимости при выходе системы на рынок, обеспечение соблюдения обязательных требований и определения экологических последствий внедрения системы. Первоначальную структуру и конфигурацию системы следует рассмотреть на соответствие сценариям эксплуатации системы. Стоимость жизненного цикла системы должна быть проверена на предмет возврата инвестиций. Ключевые оценки надежности для идентификации рынка включают в себя:
— прогнозирование надежности системы для удовлетворения ожидаемых потребностей рынка;
— оценку новых технологий, подходящих для применения в системе, влияющих на показатели надежности;
— идентификацию критических вопросов надежности, влияющих на удобство обслуживания и работоспособность системы;
— оценки надежности продукции потенциальных поставщиков и субподрядчиков;
— гарантию технического обслуживания, готовности и безопасности до тех пор, пока система не будет выведена из эксплуатации.
b) Проектирование и разработка системы — создание конструкции системы и оценка альтернативных вариантов. После выбора конструкции следует разработка системы. Это является одним из основных объектов инвестиций капитала и ресурсов. Действия по разработке системы включают анализ требований, конструирование конфигурации, проектирование и оценку технологии, субподрядные
работы и выбор поставщиков, изготовление и интеграцию системы, квалификационные испытания и верификацию, установку и транспортирование. Ключевыми оценками надежности на стадии проектирования и разработки являются:
— оценка функций системы, влияющих на показатели надежности;
— оценка структуры системы для оптимизации конфигурации системы с точки зрения безотказности;
— оценка доступности технического обслуживания.
— моделирование и оценка показателей готовности для определения критических неисправностей системы, уменьшения количества отказов и потребностей сопровожцения при эксплуатации;
— верификация и анализ проблем безотказности для выбора корректирующих действий;
— оценка программ надежности поставщиков и субподрядчиков;
— оценка производства приобретаемой продукции, влияющей на повышение безотказности;
— оценки гарантийных стимулов и требований логистической поддержки при обеспечении безотказности.
c) Изготовление и производство системы. Целью является выполнение решений о приобретении и разработке элементов подсистем и выполнение обязательств по выделению ресурсов для изготовления и интеграции системы. Ключевыми оценками надежности на стадии изготовления и производства являются:
— оценка элементов системы и приобретаемой продукции на соответствие требованиям надежности для интеграции подсистем;
— оценка соответствия подсистем требованиям надежности;
— оценка процесса обеспечения качества;
— оценка результатов испытаний подсистем для интеграции системы;
— оценка результатов испытаний системы для подготовки к приемке системы.
d) Приемка системы в эксплуатацию. Целью является демонстрация потребителю готовности системы для приемки. Приемка системы означает передачу ответственности за эксплуатацию системы потребителю. С этого момента начинается гарантийный период (система отвечает ожиданиям конечных пользователей). Ключевыми оценками надежности на стадии приемки системы являются:
— оценка работы системы путем наблюдения за эксплуатацией системы и ведения записей об инцидентах;
— оценка потребностей в подготовке кадров и компетентности операторов и специалистов по техническому обслуживанию у потребителя;
— создание координационного центра для сбора данных и анализа данных об инцидентах для определения изменений показателей надежности и критичности неисправностей системы, требующих немедленных корректирующих действий;
— оценка технического обслуживания системы в эксплуатации и эффективности логистического обеспечения;
— выполнение процедур управления изменениями проекта и управления конфигурацией.
e) Улучшение системы. Целью является обоснование инвестиций для улучшения и модернизации существующей системы. Эти действия включают действия, аналогичные мероприятиям по проектированию и разработке новой системы и модернизации части системы. Для обеспечения функциональной совместимости и возможности улучшения работы системы следует рассмотреть вопросы преемственности существующей системы. Ключевыми оценками надежности системы на стадии улучшения системы являются:
— анализ стоимости и получаемых преимуществ для выполнения изменений;
— оценка влияния на показатели надежности изменений, связанных с добавлением новых свойств;
— реакция потребителей на предлагаемые изменения;
— оценка риска и значения улучшений.
О Вывод системы из обращения или эксплуатации. Целью является изъятие системы из эксплуатации. Ключевыми оценками надежности на стадии вывода из эксплуатации являются:
— оценка стоимости вывода системы из эксплуатации;
• оценка выполнения обязательных и экологических требований при выводе системы из эксплуатации.
6.3.3 Методология оценки надежности системы
Методология оценки надежности связана с вопросами, касающимися процессов, подходов и стратегий.
Методология оценки надежности охватывает два важных процесса верификации и валидации:
a) верификация — процесс подтверждения результатов оценки. Верификацию следует проводить для поддержки решений в главных точках принятия решений на каждой стадии жизненного цикла системы;
b) валидация — процесс, обеспечивающий объективные свидетельства того, что система соответствует фактическим требованиям и ожиданиям пользователя.
Способы оценки часто являются уникальными с учетом различных ситуаций реализации проекта. Они включают в себя сочетание следующих подходов:
1) аналитического подхода включающего в себя такие действия, как анализ проектирования, моделирование системы, проверка соответствия стандартам и оценка соответствия спецификации;
2) экспериментального подхода включающего в себя такие действия, как испытания и техническая оценка функций системы, сборочных единиц приобретаемой продукции, интеграции подсистем, и приемка реальной системы;
3) консультативного подхода, включающего в себя такие действия, как анализ экспертов, использование наилучшей промышленной практики, консультации с поставщиками об информации о продукции. опрос потребителей и обратная связь с пользователями, участие в цепочке поставок, разработка инфраструктуры и улучшение;
4) договорного подхода, включающего в себя такие действия, как установление приемлемых границ риска для воздействия на окружающую среду при эксплуатации системы, для разработки продукции в конкретных регионах, переработки побочных продуктов и утилизации отходов, разработка экономических стимулов и социальных преимуществ в контрактных соглашениях и соблюдение изменений обязательных требований.
Стратегии требований оценки должны быть направлены на два основных аспекта проектирования надежности систем:
a) применение — аспект относится к соответствию специальным применениям проекта, отвечающим договорным требованиям. Необходимые действия направлены на оценку и анализ надежности системы в главных точках принятия решений жизненного цикла системы. Методы, разработанные для оценки, как правило, используют для валидации приобретаемой продукции и валидации системы или подсистем;
b) технология — аспект связан с оценкой технологий в стратегии проектирования и схемами сопровождения системы для облегчения обеспечения надежности работы системы. Основные оценки направлены на оценку технологических приемов, которые могут быть использованы при проектировании системы и определение жизнеспособности вспомогательных систем непрерывного сопровождения эксплуатации системы. Вопросы, касающиеся оценки и устаревания технологий, должны быть частью стратегии определения оценок.
6.3.4 Значимость и последствия оценки
Оценка является предпосылкой и ключевым входом для принятия решений по проекту. Усилия по оценке должны быть рациональными и оправданными. Решения, принимаемые на основе оценок, должны быть выполнены в течение разумных сроков для достижения ожидаемого значения или преимуществ проекта. Это создаст необходимую уверенность в поддержке решений, принимаемых при проектировании. Следующие ключевые вопросы, которые показывают значение оценки, приведены для иллюстрации. Приведены типичные примеры, подчеркивающие их существенное влияние на выходы проекта:
a) время выполнения оценки важно для получения значимых результатов. Значимость оценки существенно снижается, если результаты оценки недоступны во время принятия главных решений. Например, прогнозирование безотказности, проведенное в процессе проектирования системы, может обеспечить важное понимание для отбора технологии, проектирования структуры, определения конфигурации и выбора элементов и компонентов системы для выполнения функций системы. Прогнозирование после завершения разработки проекта имеет ограниченное значение, если система скомпонована и готова к изготовлению;
b) обоснование стоимости оценки до начала ее определения целесообразно для планирования и результативного менеджмента проекта. Например, процесс PDCA в системах менеджмента качества, как правило, используют в качестве основы для планирования деятельности по определению оценок. Анализ инвестиций, связанный с оценкой, имеет решающее значение для обоснования крупных капитальных затрат и новых приобретений;
c) обеспечение поддержки инфраструктуры необходимо для выполнения методов оценки. Оно может включать изменение технических и организационных процедур для выполнения которых требуются время и усилия. Например, любая организация стремится к переходу от процесса модели зрелости программного обеспечения к процессу интеграции модели зрелости программного обеспечения. Для достижения признанного статуса и сертификации производства необходима корректировка технических ресурсов и методов управления;
d) планирование непредвиденных расходов помогает избежать неожиданных результатов проектирования или незапланированных задержек. Это может оказать влияние на распределение ресурсов, перераспределение работы, цепочки поставок, поставки продукции поставщиками и влияет на выполнение обязательств по вводу в эксплуатацию и приемке системы потребителем. Например, в основных точках принятия решений должны быть предусмотрены планы непредвиденных расходов, как часть процесса оценки, таких как проведение идентификации альтернативных поставщиков в случае нарушений. допущенных поставщиками, проведение технических проверок работ на критических проектах для удовлетворения целей поставок и изучение способов устойчивого финансирования капитальных вложений.
6.4 Измерение надежности системы
6.4.1 Цель
С инженерной точки зрения измерение надежности системы представляет собой процесс, при выполнении которого показателю надежности присваивают количественное значение. Количественное значение выводят на основе наблюдаемых данных о временных показателях и количестве появлений инцидентов, что характеризует надежность системы. Процесс оценки включает в себя следующие действия:
a) определение типа и цели измерений в соответствии с контрактом, при эксплуатации или в конкретных условиях, таких как оценка продукции для количественного определения свойств надежности;
b) определение соответствующих данных и особенностей источников, данных для измерений;
c) использование эффективных вспомогательных систем, облегчающих процесс измерения, например, применение систем сбора данных, записей об отказах, результатах анализа и корректирующих действий, вопросников для обследования или других приемов;
d) интерпретация результатов измерений для установления тенденций изменения показателей работы, определение критических вопросов и рекомендуемых действий управления с объяснением и обоснованием;
e) документирование результатов измерений для хранения записей и объективных свидетельств аудита качества:
О в [1] установлен процесс измерений, применимый к проектированию систем и программного обеспечения.
6.4.2 Классификации
Существует четыре общих класса измерений надежности для удовлетворения потребностей конкретного проекта.
a) Измерения присущих системе свойств надежности. Целью измерения является присвоение значения, характеризующего присущие системе свойства надежности. Этот класс измерений полезен для сопоставления свойств надежности проектов системы с различной структурой и конфигурацией. Процесс измерения выполняют на стадии концепции и определения системы для определения показателей надежности альтернативных вариантов. Цель направлена на обеспечение свидетельств возможности соответствия системы целям в области надежности для контрактных предложений или запросов. Количественные значения могут быть установлены в виде вероятности работоспособного состояния, среднего времени между отказами, ресурса или интенсивности отказов, которые количественно характеризуют готовность или безотказность системы. Измерения обычно выполняют методами прогнозирования в соответствии с ГОСТ Р 27.301.
b) Измерения надежности системы для оценки работы и эксплуатации. Целью измерений является присвоение количественного значения показателю надежности системы в эксплуатации. Этот класс измерений полезен для оценки надежности на стадии проектирования и разработки, когда приобретаемую продукцию и подсистемы испытывают для проверки адекватности работы. Эти измерения используют на стадии эксплуатации и технического обслуживания системы для определения соответствия установленным целям эксплуатации и обеспечения надежности. Процесс измерений проводят путем
Содержание
1 Область применения………………………………………………………..1
2 Нормативные ссылки………………………………………………………..1
3 Термины и определения……………………………………………………..2
4 Обеспечение надежности системы при проектировании………………………………3
5 Менеджмент надежности системы………………………………………………5
6 Выполнение обеспечения надежности системы…………………………………….6
Приложение А (справочное) Процессы жизненного цикла системы и их применение………….19
Приложение В (справочное) Методы разработки и обеспечения надежности системы…………27
Приложение С (справочное) Руководство по условиям применения систем…………………32
Приложение D (справочное) Контрольные перечни для обеспечения надежности систем………36
Приложение ДА (справочное) Сведения о соответствии ссылочных национальных и
межгосударственных стандартов международным стандартам, использованным
в качестве ссылочных в примененном международном стандарте…………..41
Библиография……………………………………………………………..43
испытаний приобретаемой продукции, подсистем и интегрированной системы дпя верификации и ва-пидации работы системы и отслеживания ее состояния в эксплуатации. Данными измерений являются данные квалификационных испытаний продукции, результаты испытаний поставщиками подсистем, данные приемочных испытаний, записи и отчеты об эксплуатации и инцидентах. Числовые значения могут быть представлены в виде вероятности безотказной работы, вероятности отказа, продолжительности безотказной работы (наработки до первого отказа), ресурса, процента безотказной работы, частоты и продолжительности простоев.
c) Измерения надежности системы для улучшения ее работы. Целью является присвоение значений для количественного и качественного определения степени удовлетворенности потребителя или для определения значимости для потребителя улучшения системы. Это косвенные измерения, которые помогают определить влияние существенных свойств надежности на работу системы. Этот класс измерений направлен на поиск прямой и обратной связи с потребителем о работе системы или на определение значения обслуживания системы на этапе эксплуатации и технического обслуживания. Процесс измерений проводят посредством обследования пользователей, аудита, оценки рыночной цены, прямых контактов и диалога с потребителями и поставщиками. Обследования удовлетворенности потребителей направлены на выявление вопросов, волнующих потребителя. Разработку функций качества, как правило, используют для оценки работы системы, определения потребностей потребителей их преобразования в соответствующие технические требования и определения последующих действий в соответствии с этими требованиями. Значения могут быть установлены по шкале от 1 до 5 включительно для обозначения рейтингов от «плохо» до «превосходно».
d) Измерения надежности системы для определения экспозиции риска. Целью измерений является назначение количественного значения экспозиции риска, когда систему используют для охраны и безопасности. Это косвенное измерение для определения критичности свойств надежности, влияющих на работу функций системы. Этот класс измерений выполняют на стадии концепции и определение системы для выявления критических функций и элементов системы для конкретного применения системы или выполнения системой установленной задачи. Процесс оценки включает в себя определение вреда или угрозы, путем назначения их значимости и частоты возникновения. Классификация рисков может быть установлена качественно путем кпассификации событий, на катастрофические, критические, крупные, мелкие или незначительные. Значения вероятности присваивают для указания серьезности ситуации, например, один критический отказ за 10 лет. В ГОСТ Р 51901.1 установлены методы оценки риска, влияющего на надежность работы системы. Подобный метод использован в стандартах серии ГОСТРМЭК 61508 (см. также ГОСТ IEC 61508-3) по уровням безопасности для ранжирования функций безопасности (см. также ГОСТР МЭК 61508-1).
6.4.3 Источники измерений
Измерения показателей надежности системы могут быть выполнены путем испытания при моделировании условий эксплуатации, когда могут быть собраны соответствующие данные, или в реальной эксплуатации. Показатели надежности системы также можно оценивать с помощью прогнозирования на основе хронологических данных эксплуатации аналогичных систем или сведений из баз данных надежности при знании конфигурации системы и функций, составляющих систему элементов.
Данные измерений, связанные с надежностью, также могут быть получены из других источников, таких как программы испытаний поставщиков, данных технического обслуживания, сведений о гарантийных обязательствах и опросов потребителей. Важно, чтобы достоверность данных, используемых для оценки надежности, была проверена.
6.4.4 Вспомогательные системы
Достоверность данных для измерения надежности имеет важное значение для обеспечения точности. убедительности и непротиворечивости процесса получения и сбора данных. Это гарантирует, что соответствующие данные правильно использованы при анализе данных, что позволяет правильно интерпретировать результаты анализа. Проект системы сбора данных и ее форматы должны быть простыми и понятными для сбора соответствующей информации. Использование записей автоматизированных баз данных и доступ к интерактивной веб-информации повышает целесообразность применения системы сбора данных. Существуют различные, используемые в инженерной практике системы экономически эффективного сбора данных и облегчения измерений надежности. Эти системы являются неотъемлемой частью инфраструктуры системы менеджмента надежности. В зависимости от их конкретных функций эти системы могут быть классифицированы как вспомогательные системы для облегчения разработки надежности. Типичные вспомогательные системы, как правило, используют для сбора данных, записей об инцидентах, анализа проблем и корректирующих действий. Они включают в себя:
Введение
В современных условиях системы становятся все более сложными. Надежность является важным атрибутом системы, который влияет на бизнес-стратегии, связанные с приобретением системы и соотношением стоимость—результат при функционировании системы. Надежность системы в целом является результатом сложного взаимодействия элементов системы, условий эксплуатации, интерфейсов «человек—машина», служб поддержки и других влияющих факторов.
В настоящем стандарте приведены рекомендации по проектированию системы в целом для достижения целей в области надежности. В стандарте представлены приемы проектирования, основанные на применении научных знаний и соответствующих технических дисциплин для достижения требуемой надежности системы.
Рассмотрены четыре основных аспекта проектирования надежности:
— процесс.
— достижение цели.
— оценка.
— измерение.
Методы проектирования охватывают технические процессы, которые применяют на различных стадиях жизненного цикла системы. Методы проектирования, описанные в настоящем стандарте, представлены последовательностью действий, обеспечивающих достижение целей на каждой стадии жизненного цикла системы.
Настоящий стандарт применим к системам, включающим аппаратное обеспечение, программное обеспечение и человека. Во многих случаях функция может быть реализована путем использования приобретаемых готовых составных частей и комплектующих. Система может быть связана с другими системами в форме сети. Границы, отделяющие систему от других объектов и от сети, можно выделить на основе определения их применения. Например, приобретаемый цифровой таймер может быть использован для синхронизации работы компьютера, компьютер как система может быть связан с другими компьютерами в бизнес-офисе в локальной сети. Условия использования применимы ко всем видам систем. Примерами таких систем являются системы управления при производстве электроэнергии, отказоустойчивые вычислительные системы и системы технического обслуживания.
Руководство по проектированию надежности разработано для универсальных систем, без выделения систем по видам их применения. Большая часть систем, как правило, являются восстанавливаемыми на всех стадиях жизненного цикла в соответствии с экономической целесообразностью и особенностями применения. Невосстанавливаемые системы, такие как спутники связи, оборудование дистанционного зондирования и мониторинга и устройства для одноразового использования, рассматривают в качестве специальных систем. Они требуют идентификации области применения, условий эксплуатации и дополнительной информации о специальных характеристиках для выполнения задачи системы. Невосстанавливаемые подсистемы и компоненты рассмотрены как элементы одноразового использования. Выбор применимого способа проектирования надежности конкретной системы осуществляется через процесс отработки проекта в системе менеджмента надежности.
Настоящий стандарт является одним из стандартов на системы надежности (см, ГОСТ Р МЭК 60300-1 и ГОСТ Р 51901.3). В настоящем стандарте приведены ссылки на применимые к системам действия управления проектом. Они включают в себя определение надежности элементов, задачи, относящиеся к системе и руководящие принципы анализа менеджмента надежности и отработки проекта в части надежности.
В настоящем стандарте ссылки на международные стандарты заменены ссылками на национальные стандарты.
ГОСТ P 27.015—2019 (МЭК 60300-3-15:2009)
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Надежность в технике
УПРАВЛЕНИЕ НАДЕЖНОСТЬЮ
Руководство по проектированию надежности систем
Dependability In technics Dependability management Guide for engineering of system dependability
Дата введения — 2020—07—01
1 Область применения
Настоящий стандарт представляет собой руководство по проектированию системы, устанавливающее процесс обеспечения надежности системы на стадиях жизненного цикла.
Настоящий стандарт применим при разработке новой системы и для усовершенствования существующих систем, включающих взаимодействия аппаратных средств, программного обеспечения и человека
Настоящий стандарт также применим к поставщикам подсистем и комплектующих, которые изучают информацию о системе и критерии интеграции системы. В стандарте приведены методы оценки надежности системы и проверки результатов достижения целей в области надежности.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ 27.002-2015 Надежность в технике. Термины и определения
ГОСТ IEC 61508-3 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 3. Требования к программному обеспечению
ГОСТ Р 27.014 Надежность в технике. Управление надежностью. Руководство по установлению требований к надежности систем
ГОСТ Р 27.301 Надежность в технике. Управление надежностью. Техника анализа безотказности. Основные положения
ГОСТ Р 27.606 Надежность в технике. Управление надежностью. Техническое обслуживание, ориентированное на безотказность
ГОСТ Р 51901 1 Менеджмент риска Анализ риска технологических систем ГОСТ Р 51901.3 Менеджмент риска. Руководство по менеджменту надежности ГОСТ Р 51901.6 (МЭК 61014:2003) Менеджмент риска. Программа повышения надежности ГОСТ Р 51901.16 (МЭК 61164:2004) Менеджмент риска. Повышение надежности. Статистические критерии и методы оценки
ГОСТ Р 53392 Интегрированная логистическая поддержка. Анализ логистической поддержки. Основные положения
ГОСТ Р 53613 (МЭК 60721-2-2:1988) Воздействие природных внешних условий на технические изделия Общая характеристика. Осадки и ветер
ГОСТ Р 53614 (МЭК 60721-2-3:1987) Воздействие природных внешних условий на технические изделия. Общая характеристика. Давление воздуха
Издание официальное
ГОСТ Р 53615 (МЭК 60721-2-4:1987) Воздействие природных внешних условий на технические изделия. Общая характеристика. Солнечное излучение и температура
ГОСТ Р 57193 Системная и программная инженерия. Процессы жизненного цикла систем ГОСТ Р ИСО 10007 Менеджмент организации. Руководящие указания по управлению конфигурацией
ГОСТ Р ИСО/МЭК 12207 Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств
ГОСТ Р ИСО/МЭК 15026 Информационная технология. Уровни целостности систем и программных средств
ГОСТ Р МЭК 60300-1 Менеджмент риска. Руководство по применению менеджмента надежности ГОСТ Р МЭК 61508-1 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 1. Общие требования
ГОСТ Р МЭК 61508-2 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 2. Требования к системам
ГОСТ Р МЭК 61508-4 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 4. Термины и определения
ГОСТ Р МЭК 61508-5 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 5 Рекомендации по применению методов определения уровней полноты безопасности
ГОСТ Р МЭК 61508-6 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 6. Руководство по применению ГОСТ Р МЭК 61508-2 и ГОСТ Р МЭК 61508-3
ГОСТ Р МЭК 61508-7 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 7. Методы и средства
ГОСТ ИСО/МЭК ТО 15271 Информационная технология Руководство по применению ГОСТ Р ИСО/МЭК 12207 (Процессы жизненного цикла программных средств)
Примечание — При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя «Национальные стандарты» за текущий год Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия) Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку
3 Термины и определения
В настоящем стандарте применены термины по ГОСТ 27.002. а также следующие термины с соответствующими определениями:
3.1 система (system): Набор взаимосвязанных объектов, рассматриваемый для определенной цели как единое целое, отделенный от других объектов1).
Примечания
1 Систему, как правило, оформляют в виде набора выполняемых ею функций
2 Систему рассматривают отделенной воображаемой поверхностью, которая пересекает связи системы с окружающей средой и другими внешними системами
3 Для работы системы могут требоваться внешние ресурсы (те ресурсы, находящиеся вне границ системы)
4 Структура системы может быть иерархической, например система, подсистемы, компоненты ит.д 1
3.2 подсистема (subsystem): Система, которая является частью более сложной системы21.
3 3 рабочий профиль (operating profile): Полный набор задач, выполнение которых необходимо для достижения цели эксплуатации системы.
Примечания
1 Конфигурации и сценарии эксплуатации системы влияют на режимы эксплуатации системы
2 Рабочий профиль является последовательностью необходимых задач, которые должны быть выполнены системой для достижения цели ее эксплуатации Рабочий профиль представляет конкретные сценарии работы системы в эксплуатации
3.4 функция (function): Элементарное действие, выполняемое системой, которое в сочетании с другими элементарными действиями (функциями системы) позволяет системе выполнить задачу.
3.5 элемент (element): Комбинация компонентов, которые составляют базовый блок, необходимый для выполнения отдельной функции31.
Примечания
1 Элемент может включать компоненты аппаратного и/или программного обеспечения, информацию и/или человека.
2 Для некоторых систем информация и данные являются важной частью работы системы
3.6 целостность (integrity): Способность системы поддерживать свою форму, сохранять стабильность и работоспособное состояние при работе и использовании.
4 Обеспечение надежности системы при проектировании
4.1 Общие сведения
Надежностью называют свойство системы сохранять во времени способность выполнять требуемые функции в соответствии с заданными целями и условиями применения (см. также 3.1.5 ГОСТ 27.002-2015). Свойства системы описывают показатели надежности (готовность, безотказность. ремонтопригодность, долговечность и др ). а также такие характеристики, как отказоустойчивость. восстанавливаемость, целостность, безопасность и обеспеченность техническим обслуживанием. Надежность системы означает, что система способна выполнять по запросу требуемые функции и удовлетворять потребности пользователя. Цель, структура, свойства системы и условия, влияющие на надежность системы, описаны в ГОСТ Р 27.014. в котором приведено руководство по определению соответствующих функций системы для установления требований к надежности системы.
Существует четыре основных аспекта проектирования надежности систем:
a) процесс обеспечения надежности — устанавливает технические процессы разработки системы. позволяющие обеспечить выполнение требований к надежности системы. Этот процесс состоит из разработки последовательности действий, осуществляемых на каждой стадии жизненного цикла для достижения установленных целей надежности системы. Процесс обеспечения надежности должен быть полностью интегрирован в процессы проектирования и управления;
b) достижение целей надежности — использование эффективных методов проектирования и экспериментальных знаний применительно к стадиям жизненного цикла системы. Целью является достижение целей надежности в отношении компонент и функций системы на уровне подсистем, пригодных для реализации и интеграции системы (повышение безотказности);
c) анализ показателей надежности и характеристик системы — определение показателей надежности и других характеристик системы и анализ достижения целей эксплуатации системой с такими показателями и характеристиками. Этот процесс определяет конкретные свойства надежности и характеристики системы для удовлетворения требований проекта, определяет методологию и дает обоснование определения этих показателей и характеристик;
d) оценка (измерение) показателей надежности и характеристик системы — количественное определение показателей надежности и других характеристик системы для включения в контракты, спецификации. Этот процесс состоит в присвоении количественного значения или числа целевому по-
казателю надежности или характеристике системы. Целью является составление заявления о намерениях в виде количественных величин для облегчения взаимного понимания проблемы при подготовке и выполнении договоров.
4.2 Свойства, показатели надежности и характеристики системы
Надежность и особенности системы представляют набором конкретных свойств и зависящих от времени параметров, присущих системе в соответствии с конструкцией. Некоторые характеристики системы. такие как параметры производительности, могут быть количественными и измеримыми. Другие характеристики, которые не могут быть описаны количественно, могут представлять собой некоторую величину или полезную информацию относительно свойств системы. Такие характеристики могут быть описаны качественно для определения их субъективной оценки. Как количественные, так и неколичественные показатели имеют важное значение для описания надежности и других свойств системы. Примеры неколичественных характеристик включают значение бренда, доброжелательное отношение пользователя и информативность инструкции. Примеры количественных показателей включают продолжительность безотказной работы, частоту простоев, среднее время между отказами и время восстановления системы до работоспособного состояния.
Важными свойствами надежности и характеристиками системы являются следующие:
a) готовность: свойство системы быть в состоянии выполнять требуемые функции в соответствии с заданными требованиями к системе. Показателями готовности являются процент продолжительности работоспособного состояния системы в соответствии с требованиями и продолжительность неработоспособного состояния;
b) безотказность: свойство системы непрерывно выполнять требуемые функции в течение данного периода времени, в заданных условиях Показателями безотказности, которые можно измерить, являются среднее время между отказами и продолжительность безотказной работы:
c) ремонтопригодность: свойство системы, заключающееся в его приспособленности к поддержанию и восстановлению состояния, в котором она способна выполнять требуемые функции, путем технического обслуживания и ремонта. Измеримыми показателями ремонтопригодности являются такие, как среднее время до восстановления и время восстановления;
d) обеспеченность технического обслуживания и ремонта: свойство организации технического обслуживания в заданных условиях по запросу обеспечивать объект ресурсами, требуемыми для технического обслуживания. Измеримыми показателями данного свойства являются: коэффициент использования ресурсов для технического обслуживания и ремонта, необходимость обучения, возможность применения инструментов и оборудования, продолжительность логистических простоев обслуживания и время оборота запасов запчастей.
Существуют другие свойства системы, характеризующие ее работу для конкретных применений. Они включают, но не ограничиваются следующими:
e) восстанавливаемость: свойство системы, заключающееся в ее способности восстановления в состояние, в котором она может выполнять необходимые функции, после отказа без ремонта аппаратного или программного обеспечения. Измеримым показателем этого свойства является среднее время восстановления;
О тестируемость: свойство системы быть протестированной на определенных уровнях технического обслуживания (по выполнению действий по замене/ремонту) для определения зоны неисправности. Измеримым показателем является процент тестового покрытия:
д) доступность услуги: способность услуги быть полученной в пределах заданных границ и других условий по запросу пользователя. Измеримым показателем является вероятность доступности услуги;
h) сохранение услуги: свойство услуги однажды полученной пользователем быть непрерывно поддерживаемой в заданных условиях в течение требуемого периода. Измеримым показателем является вероятность сохранения услуги в течение заданного периода времени.
Показатель восстанавливаемости зависит от конструкции системы, ее отказоустойчивости и способности к самовосстановлению. Показатели функционирования системы зависят от свойств оборудования системы, ее конструкции, а также структуры распределения ресурсов. Свойства системы полностью зависят от ее конструкции. Показатели функционирования системы определяют на основе возможностей системы и ее надежности.
Показатели надежности системы определяют на основе измерений времени (наработки) и параметров. характеризующих инцидент. Инцидент — это нежелательное или непредвиденное событие, наблюдаемое в процессе испытаний или эксплуатации системы. Следует документировать и расследо-4
вать все инциденты. Это необходимо для определения причин возникновения инцидента (отказ системы. ошибка человека или ошибка наблюдений). Отказ1 > элементов системы может привести к отклонению параметров функционирования системы от требуемых значений. Однако это не всегда приводит к полному прекращению выполнения всех функций системы, а может лишь ухудшить работу системы. Для измерений следует определить состояние системы, классифицируемое как отказ системы в целом.
5 Менеджмент надежности системы
5.1 Менеджмент надежности
Надежность является технической дисциплиной и основана на инженерных принципах и практике. ГОСТ Р МЭК 60300-1 и ГОСТ Р 51901.3 использованы в настоящем стандарте для построения стратегий менеджмента надежности и общего применения технических подходов для решения задач надежности и обеспечения надежности элементов. Кроме того, для достижения конкретных целей менеджмента введены процессы менеджмента надежности. Менеджмент надежности включает в себя планирование работ по проектированию, распределению ресурсов, определению задач надежности, мониторингу и обеспечению надежности, измерению результатов, анализу данных и постоянному улучшению. Деятельность в области надежности следует сочетать с действиями в области других технических дисциплин. Это позволяет улучшить результаты разработки проекта. Необходима отработка проекта для обеспечения рентабельного менеджмента проекта системы. Там. где это применимо, следует использовать анализ стоимости жизненного цикла для распределения ресурсов и оптимизации оценки стоимости проекта.
5.2 Обеспечение надежности системы при проектировании
Надежность является ключевым фактором при принятии решений в области управления проектом. Надежность влияет на стоимость реализации проекта. Деятельность в области надежности направлена на получение эффективных решений задач надежности при проектировании. Надежность оказывает большое влияние на результаты проектирования в отношении удовлетворения ожиданий потребителей. С инженерной точки зрения обеспечение надежности системы является важным вопросом, который требует полной интеграции разработки и проектирования с процессами принятия решений. Управление устареванием, оценка риска, принятие компромиссных технических решений, оценка стоимости жизненного цикла, координация аутсорсинга и цепи поставок являются некоторыми примерами деятельности при разработке системы.
Не все проекты предусматривают разработку абсолютно новой системы. Большая часть систем создана путем интеграции подсистем и применения приобретенных существующих объектов для реализации функций системы. В основном в разработке или совершенствовании системы участвует несколько разработчиков подсистем и субподрядчиков по снабжению и оказанию услуг для своевременного завершения работ по проектированию системы. В этой связи менеджмент проекта имеет важное значение для координации различных действий по разработке проекта. Проектирование системы с заданной надежностью может включать конкретные действия:
a) использование новых технологий;
b) разработка требований к надежности системы и ее подсистем;
c) оценка надежности приобретаемых составных частей для использования при обеспечении выполнения функций системы:
d) оценка возможностей поставщиков для выполнения требований надежности;
e) гарантии надежности для приемки системы.
Действия в области обеспечения надежности системы могут быть предусмотрены на любой стадии жизненного цикла системы. Решение некоторых задач надежности может потребовать специальных навыков и подготовки в области конкретных технических дисциплин, таких как разработка программного обеспечения, материально-технической поддержхи и надежности человеческого фактора.
5.3 Учет требований проекта
Обеспечение надежности системы направлено на решение конкретных вопросов надежности системы. Учет требований проекта необходим для управления распределением доступных ресурсов и
См 3.4.1 ГОСТ 27 002—2015
выбора методов эффективного решения задач проектирования. Примеры действий по обеспечению надежности системы с учетом требований проекта:
a) бюджетное планирование распределения ресурсов надежности в соответствии с целями проекта:
b) оценка альтернативных технологий для приобретения высоконадежных комплектующих;
c) применение аутсорсинга при разработке подсистем в соответствии со строгими критериями требований к программному обеспечению, где это имеет решающее значение:
d) обучение в течение необходимого времени для получения достаточного опыта использования новых методов анализа надежности;
e) выбор субподрядчиков по обеспечению технического обслуживания критически важных систем с высокой готовностью без запланированных простоев.
Руководящие принципы учета требований проектирования описаны в ГОСТ Р 51901.3.
5.4 Мероприятия, гарантирующие обеспечение надежности
Мероприятия менеджмента надежности должны быть частью процесса менеджмента качества при проектировании системы. Это необходимо для обеспечения того, что все спланированные и систематические действия выполнены в соответствии с системой менеджмента качества и продемонстрировали по мере необходимости достаточную уверенность в том. что требования к качеству системы и приобретаемых объектов выполнены. Основные действия включают: планирование, распределение ответственности в технической и организационной сфере, верификацию результатов оценки надежности, валидацию данных о надежности системы, мониторинг результативности процесса менеджмента надежности, ведение записей об отказах и анализ данных для оперативных корректирующих и предупреждающих действий, документирование соответствующей информации о надежности и ведение протоколов испытаний для поддержки объективных свидетельств и анализа со стороны руководства для инициирования процесса улучшения В ГОСТ Р 51901.3 приведена дополнительная информация по выбору элементов программы надежности и задач обеспечения надежности системы.
6 Выполнение обеспечения надежности системы
6.1 Процесс обеспечения надежности
6.1.1 Цель процесса
Установление процесса обеспечения надежности имеет важное значение для успешного управления задачами проекта и координации деятельности. Процесс должен быть интегрирован в технические процессы для облегчения проектирования системы. Процесс обеспечения надежности при проектировании снабжает исходными данными основные точки принятия решений на этапах жизненного цикла системы для облегчения реализации проекта. Эти основные точки принятия решений возникают при завершении критических этапов выполнения проекта: идентификации рынка, разработки системы, реализации продукции, приемки, эксплуатации, модернизации и утилизации системы. Информация о надежности имеет в этих точках решающее значение для обоснования инвестиций.
6.1.2 Жизненный цикл системы и процессы
Отправная точка обеспечения надежности системы находится на самой ранней стадии жизненного цикла системы. На этой стадии жизненного цикла необходимо применять результативный процесс проектирования.
Описание стадий жизненного цикла системы можно рассматривать с точки зрения конструирования систем. Существуют также и другие описания жизненного цикла системы. В ГОСТ Р 51901.3 стадии жизненного цикла объекта описаны с точки зрения управления проектом. В ГОСТ Р 57193 приведено аналогичное описание стадий жизненного цикла системы с точки зрения информационных технологий и разработки программного обеспечения. Рекомендации настоящего стандарта основаны на концепции стадий жизненного цикла системы в соответствии с описанием, приведенным на рисунке 1. Завершение каждой стадии жизненного цикла системы является точкой перехода на другую стадию жизненного цикла, тогда как этапы проекта могут перекрываться (по решению руководства) для достижения основных целей бизнеса. Менеджмент риска в соответствии с ГОСТ Р 51901.3 применяют на протяжении всего жизненного цикла системы.
1
Приведенное определение несколько отличается от стандартизованного (см 3 13 ГОСТ 27 002—2015).
2
Приведенное определение несколько отличается от стандартизованного (см 3.1.4 ГОСТ 27 002—2015).
3
Внутреннюю структуру элемента не учитывают, рассматривая его как неделимый обьект (см. 3.1.2 ГОСТ 27 002—2015).