Руководство по оценке надежности

ГОСТ Р 27.013-2019
(МЭК 62308:2006)

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

НАДЕЖНОСТЬ В ТЕХНИКЕ

Методы оценки показателей безотказности

Dependability in technics. Reliability assessment methods

ОКС 03.120.30

Дата введения 2020-07-01

Предисловие

1 ПОДГОТОВЛЕН Закрытым акционерным обществом «Научно-исследовательский центр контроля и диагностики технических систем» (ЗАО «НИЦ КД») на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 119 «Надежность в технике»

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 28 ноября 2019 г. N 1274-ст

4 Настоящий стандарт является модифицированным по отношению к международному стандарту МЭК 62308:2006* «Безотказность оборудования. Методы оценки безотказности» (IEC 62308:2006 «Equipment reliability — Reliability assessment methods», MOD) путем внесения технических отклонений, объяснение которых приведено во введении к настоящему стандарту.

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. — .

Международный стандарт разработан Техническим комитетом по стандартизации ТС 56 Международной электротехнической комиссии (МЭК).

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).

Сведения о соответствии ссылочных национальных и межгосударственных стандартов международным стандартам, использованным в качестве ссылочных в примененном международном стандарте, приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

В настоящем стандарте приведены процедуры, предназначенные для использования при оценке безотказности объектов на основе данных об аналогичных объектах, данных эксплуатации, испытаний, полученных от поставщиков компонентов. Такие оценки предназначены для использования на ранних этапах проектирования оборудования, таких как выбор архитектуры системы, а также бизнес-решений, таких как оценка стоимости гарантий или технического обслуживания. Кроме того, оценки могут быть использованы для первоначального анализа безопасности, например, анализа FTA. Часто современные системы имеют настолько высокую безотказность, что оценка или подтверждение их показателей безотказности с помощью испытаний являются очень сложными, поэтому данные эксплуатации предыдущих аналогичных объектов часто являются единственным способом получения первоначальной оценки показателей безотказности. Изготовители использовали этот подход в течение многих лет как «принцип подобия». Использование данных о ранее изготовленной и поступившей на рынок аналогичной продукции требует, чтобы данные об аналогичных объектах были документированы. Данный метод является современной альтернативой классическому, но уже устаревшему руководству по прогнозированию.

Полученные оценки следует рассматривать как предварительные оценки вероятности того, что выбранные структура, блоки, компоненты и политика технического обслуживания объекта позволяют выполнить цели, установленные в области безотказности объекта. Оценки могут быть использованы, например, для принятия решения о переходе к следующему этапу разработки объекта, увеличению затрат или переходу к поставкам и приемке продукции. В настоящем стандарте описано использование результатов оценки безотказности, а также приведен перечень стандартов МЭК, которые используют эти результаты в качестве входов.

Подход к оценке безотказности, приведенный в настоящем стандарте:

— поощряет изготовителя оборудования рассматривать всю информацию относительно безотказности оборудования, которая связана с влиянием процессов проектирования и изготовления, а также вариантами выбора компонентов. Это отличается от более традиционных методов, которые концентрируют внимание на безотказности компонентов как самой существенной составляющей безотказности оборудования;

— поощряет изготовителя оборудования определять и использовать процессы, которые являются наиболее эффективными для изготовления оборудования;

— описывает непрерывную процедуру, в которой оценки показателей безотказности могут быть обновлены при появлении большего количества информации в процессе жизненного цикла оборудования. Эта информация может быть использована для улучшения безотказности оборудования и результативности процесса оценки показателей безотказности.

В настоящем стандарте приведено описание трех подходов при оценке безотказности, а именно: анализа подобия, анализа долговечности и прогноза по справочным данным. В стандарте не приведена информация об оценке показателей безотказности систем программного обеспечения, однако стандарт может быть использован для оценки показателей безотказности систем аппаратных средств, содержащих встроенное программное обеспечение.

В настоящем стандарте ссылки на международные стандарты заменены ссылками на национальные и межгосударственные стандарты.

1 Область применения

В настоящем стандарте установлены методы оценки показателей безотказности на основе данных эксплуатации и данных испытаний компонентов и модулей объекта. Методы применимы при анализе назначения, безопасности и бизнеса, высокой целостности и сложности объекта. В стандарте приведены пояснения о необходимости оценок показателей безотказности на ранних стадиях жизненного цикла объекта, а также показаны способы и этапы их использования. Кроме того, в стандарте детально описаны методы оценки показателей безотказности и долговечности и данные, необходимые для определения этих оценок. Чтобы оценить показатели долговечности (ресурс, показатели износа), использован метод анализа физики процессов, приводящих к отказу.

В стандарте подробно рассмотрены три способа определения оценки:

— анализ подобия;

— модели анализа долговечности;

— методы определения оценок по справочным данным.

В разделе 6 приведено введение в оценку показателей безотказности, в разделе 7 — управление процессом. В разделе 8 указаны необходимые данные, источники и типы оценок. В разделе 9 приведены детали методов оценки.

Приложения А и В содержат дополнительную информацию, обеспечивающую понимание анализа подобия и анализа долговечности.

Настоящий стандарт применим к определению оценок показателей безотказности и долговечности при разработке требований к конструкции, модификации конструкции и инженерного сопровождения объекта.

_______________

Стандарт может быть использован для оценки показателей безотказности систем аппаратных средств, содержащих встроенное программное обеспечение.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ 27.002 Надежность в технике. Термины и определения

ГОСТ IEC 61508-3 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 3. Требования к программному обеспечению

ГОСТ Р 27.003 Надежность в технике. Управление надежностью. Руководство по заданию технических требований к надежности

ГОСТ Р 27.012 (МЭК 61882:2016) Надежность в технике. Анализ опасности и работоспособности (HAZOP)

ГОСТ Р 27.015 (МЭК 60300-3-15:2009) Надежность в технике. Управление надежностью. Руководство по проектированию надежности систем

ГОСТ Р 27.202 Надежность в технике. Управление надежностью. Стоимость жизненного цикла

ГОСТ Р 27.302 Надежность в технике. Анализ дерева неисправностей

ГОСТ Р 27.606 Надежность в технике. Управление надежностью. Техническое обслуживание, ориентированное на безотказность

ГОСТ Р 27.607 Надежность в технике. Управление надежностью. Условия проведения испытаний на безотказность и статистические критерии и методы оценки их результатов

ГОСТ Р 50779.27 (МЭК 61649:2008) Статистические методы. Распределение Вейбулла. Анализ данных

ГОСТ Р 50779.28 (МЭК 61710:2013) Статистические методы. Степенная модель. Критерии согласия и методы оценки

ГОСТ Р 51901.1 Менеджмент риска. Анализ риска технологических систем

ГОСТ Р 51901.5 (МЭК 60300-3-1:2003) Менеджмент риска. Руководство по применению методов анализа надежности

ГОСТ Р 51901.6 (МЭК 61014:2003) Менеджмент риска. Программа повышения надежности

ГОСТ Р 51901.12 (МЭК 60812:2006) Менеджмент риска. Метод анализа видов и последствий отказов

ГОСТ Р 51901.14 (МЭК 61078:2006) Менеджмент риска. Структурная схема надежности и булевы методы

ГОСТ Р 53392 Интегрированная логистическая поддержка. Анализ логистической поддержки. Основные положения

ГОСТ Р МЭК 60300-1 Менеджмент риска. Руководство по применению менеджмента надежности

ГОСТ Р МЭК 61160 Проектный менеджмент. Документальный анализ проекта

ГОСТ Р МЭК 61165 Надежность в технике. Применение марковских методов

ГОСТ Р МЭК 61508-1 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 1. Общие требования

ГОСТ Р МЭК 61508-2 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 2. Требования к системам

ГОСТ Р МЭК 61508-4 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 4. Термины и определения

ГОСТ Р МЭК 61508-5 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 5. Рекомендации по применению методов определения уровней полноты безопасности

ГОСТ Р МЭК 61508-6 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 6. Руководство по применению ГОСТ Р МЭК 61508-2 и ГОСТ Р МЭК 61508-3

ГОСТ Р МЭК 61508-7 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 7. Методы и средства

Примечание — При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя «Национальные стандарты» за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

3 Термины и определения

В настоящем стандарте применены термины по ГОСТ 27.002, а также следующие термины с соответствующими определениями:

3.1 анализ долговечности (durability analysis): Анализ реакции оборудования на усилия, возникающие при эксплуатации, техническом обслуживании, транспортировании, хранении и других действиях в процессе жизненного цикла оборудования для оценки и прогнозирования его безотказности и среднего ресурса.

3.2 жизненный цикл (life-cycle): Продолжительность времени, охватывающая все стадии жизненного цикла: от стадии концепции и определения до стадии распоряжения.

_______________

См. также ГОСТ Р МЭК 60300-1.

3.3 анализ подобия (similarity analysis): Сопоставление исследуемых элементов оборудования (в соответствии с его структурой) с элементами предыдущих моделей оборудования, для которых имеются данные о надежности при эксплуатации.

4 Сокращения

В настоящем стандарте применены следующие сокращения:

ASIC — проблемно-ориентированная интегральная микросхема;

BITE — встроенное испытательное оборудование;

COT — готовое коммерческое (приобретаемое) изделие;

FEA — анализ конечного элемента;

FFOP — период эксплуатации, свободный от отказов;

FITS — отказ за миллиард часов;

FMEA — анализ видов и последствий отказов;

FMECA — анализ видов, последствий и критичности отказов;

FRACAS — система действий по записям, анализу и устранению отказов;

FTA- анализ дерева неисправностей;

HALT — ускоренные испытания на долговечность (форсированные ресурсные испытания);

IC — интегральная схема;

LCC — стоимость жизненного цикла;

LRU — непосредственно заменяемая единица;

MCTF — математическое ожидание количества циклов до отказа;

MTBF — средняя наработка между отказами;

MTBUR — средняя наработка между периодами восстановления;

MTTF — средняя наработка до отказа;

MTTR — среднее время восстановления;

MTTSC — среднее время до вызова сервисной службы;

MTTSI — среднее время до прерывания на техническое обслуживание;

MTTWC — средняя продолжительность гарантийного периода;

RBD — структурная схема надежности;

RCM — техническое обслуживание, ориентированное на безотказность;

RET — испытания на повышение надежности;

SRU — покупной заменяемый элемент.

5 Обозначения

В настоящем стандарте применены следующие обозначения:

— постоянная интенсивность отказов в случае экспоненциального распределения;

t — рассматриваемый период времени;

f (t) — плотность распределения (вероятностей);

F (t) — (интегральная) функция распределения;

R (t) — вероятность безотказной работы;

Т* — наработка.

6 Введение в оценку безотказности

6.1 Предварительные замечания

Показатели безотказности объекта часто оценивают для решения ряда задач, включая следующие:

a) установление целей и требований;

b) сопоставление нескольких вариантов;

c) идентификация и определение приоритетности задач;

d) проверка актуальности цели;

e) оптимизация технической поддержки (например, обеспечение запчастями);

f) подготовка исходных данных для другого анализа (например, анализа безопасности);

g) ранжирование областей улучшения с наилучшим соотношением цена — результативность.

Показатель безотказности может быть задан различными способами, например в виде:

— накопленного процента отказов;

— установленной интенсивности отказов;

— вероятности безотказной работы;

— параметра потока отказов;

— мгновенной интенсивности отказов;

— MTTF;

— MTBF.

Процедура, установленная в настоящем стандарте, предназначена для специалистов в области анализа надежности, менеджмента риска, проектирования, обеспечения безопасности и безотказности, логистической поддержки и основана на методе оценки мгновенной интенсивности отказов на ранних этапах создания объекта. Процедура оценки ресурса для объектов с отказами, вызванными износом, также включена.

6.2 Описание метода оценки показателей безотказности

6.2.1 Общая информация

Вероятность безотказной работы является показателем, который не может быть оценен по данным единственного объекта. Это случайный или вероятностный показатель, поэтому его следует оценивать по информации о суммарной наработке (например, в часах, циклах работы и т.д.) и количеству наблюдаемых отказов. Результаты оценки представляют в форме доверительного утверждения, такого как «с уровнем доверия 80% истинная вероятность успешного выполнения задачи объектом составляет не менее X и не более Y» или в виде продолжительности безотказной работы с вероятностью от 0,963 до 0,995. Объяснение понятий «уровень доверия» и «доверительный интервал» приведено в ГОСТ Р 50779.27.

В соответствии с классическим определением вероятность безотказной работы — это вероятность того, что объект выполняет установленные функции в течение заданной наработки в заданных условиях. Несмотря на то, что этот показатель является полезной мерой для объектов, изготавливаемых малой серией и ориентированных на выполнение определенной задачи, таких как космический корабль, этот показатель для указанных объектов редко подходит, его, как правило, применяют для объектов из большой совокупности, а не к функционированию единственной системы или выполнению единственной задачи. Установления единственной характеристики, такой как средняя наработка до отказа (MTTF), недостаточно для объекта, интенсивность отказов которого зависит от времени (т.е. является непостоянной).

_______________

Точное определение см. в ГОСТ 27.002.

6.2.2 Показатели безотказности при постоянной интенсивности отказов

Общее выражение вероятности безотказного выполнения функции для единичного объекта R(t) имеет следующий вид:

, (1)

где — мгновенная интенсивность отказов.

Другое очень полезное (общее) выражение:

, (2)

где f(t) — плотность распределения наработки до отказа. На основе (1) для мгновенной интенсивности отказов справедливо выражение:

. (3)

Очень полезно еще одно общее выражение для MTTF:

. (4)

Если является постоянной во времени, ее можно обозначить . В этом случае наработка до отказа подчиняется экспоненциальному распределению и, следовательно:

, (5)

, (6)

, (7)

(часто MTTF обозначают ). (8)

Соотношения (5)-(8) справедливы только в случае, когда является константой.

Другой полезной, но сложной величиной является полная накопленная наработка объекта, иногда обозначаемая T*. В случае постоянной интенсивности отказов со статистической точки зрения нет никаких различий между работой одного объекта в течение 1000000 ч или 1000000 объектов в течение 1 ч. Во всех случаях при появлении одного отказа точечная оценка интенсивности отказов для совокупности равна 10 отказов за час работы объекта.

Постоянная интенсивность отказов означает, что параметр не зависит от времени. У постоянной интенсивности отказов существует много полезных свойств, одно из которых состоит в том, что значение математического ожидания распределения наработки до отказа объекта равно . Для невосстанавливаемых объектов (компонентов) это значение представляет собой математическое ожидание наработки до отказа объекта MTTF. Это означает, что в среднем 63% объектов откажут за наработку от 0 до MTTF, а 37% — после MTTF. Другим полезным свойством постоянной интенсивности отказов является то, что она может быть оценена по совокупности как доля сокращения количества не отказавших объектов в единицу времени. Однако экспоненциальное распределение является единственным распределением, для которого интенсивность отказов — константа, а средняя наработка не равна , если интенсивность отказов не постоянна.

Для восстанавливаемых изделий под MTTF иногда ошибочно понимают ресурс объекта, а не величину, обратную к постоянной интенсивности отказов. Если у объекта MTTF=1000000 ч, это не означает, что объект функционирует так долго (дольше средней человеческой жизни). Скорее это означает, что в среднем один из объектов отказывает каждые 1000000 часов работы, т.е. при работе 1000000 объектов в среднем каждый час отказывает один из них. В этом случае, если отказы объекта действительно подчиняются экспоненциальному распределению, то после 1000000 часов эксплуатации в среднем откажет 63% объектов. Объекты, отказы которых действительно подчиняются экспоненциальному распределению, за пределами их срока службы практически не встречаются, но постоянная интенсивность отказов и MTTF могут в некоторых случаях быть хорошим приближением для показателей, характеризующих свойства отказов объекта.

Таблица 1 — Пример показателей в случае постоянной интенсивности отказов

Существует несколько эквивалентных способов выражения постоянной интенсивности отказов (см. таблицу 1). Например, постоянная интенсивность отказов, равная 1% в год, эквивалентна 1,1·10 ч, 1100 FIT, 0,01 отказов на объект в год; 1,1 отказов за миллион часов, и 10 отказов на 1000 объектов в год (предполагая замену 9,95 отказов на 1000 незаменяемых объектов в год).

6.2.3 Восстанавливаемые и невосстанавливаемые объекты

Установления единственной величины MTTF не достаточно для объекта, у которого интенсивность отказов зависит от времени.

В настоящем стандарте рассмотрен анализ подобия для случаев постоянной и непостоянной интенсивности отказов. В ГОСТ Р 50779.27, ГОСТ Р 50779.28 и ГОСТ Р 27.607 приведены детали статистических методов в случае непостоянной интенсивности отказов, включая анализ Вейбулла.

Возможна ситуация, когда восстанавливаемые объекты, возвращаемые в эксплуатацию после отказа, восстановлены не до состояния нового объекта и таким образом параметр потока отказов является непостоянным. В ГОСТ Р 27.607 приведено руководство для непостоянной интенсивности отказов и непостоянного параметра потока отказов. Показатель MTTF должен быть использован в случае невосстанавливаемых объектов, а показатель MTBF должен быть использован в случае восстанавливаемых объектов.

Рекомендуется устанавливать вероятность отказа F(f) объекта вместо MTBF или MTTR; однако MTTF используют для невосстанавливаемых объектов, а MTBF — для восстанавливаемых объектов.

6.2.4 Методы оценки безотказности

Для оценки показателей безотказности обычно используют следующие методы:

— анализ подобия;

— анализ долговечности;

— методы определения оценок по справочным данным.

Основным достоинством оценки показателей безотказности является идентификация основных вкладов в отказ системы, а не точность абсолютного прогноза. Идентификация источников ненадежности помогает ранжировать приоритетность действий и позволяет выполнять модификации конструкции объекта на ранней стадии его создания. Это особенно важно, если компоненты, блоки и проектные решения использованы по результатам эксплуатации предыдущих моделей объекта. В этом случае метод позволяет определить оценку интенсивности отказов, когда улучшения не выполнены. Точность любого прогноза зависит от качества данных и их близости к рассматриваемой конструкции объекта, условиям и особенностям его использования.

Если новую технологию не рассматривают, оценка безотказности должна быть основана на соответствующих доступных данных эксплуатации. Данные могут быть получены из многих источников. В порядке предпочтения они следующие:

— то же самое или аналогичное оборудование, используемое в тех же самых или аналогичных условиях эксплуатации физической среды и технического обслуживания;

— данные, полученные в результате анализа физики процессов, приводящих к отказу, при наличии анализа условий окружающей среды, в которой объект будет использован;

— данные испытаний и эксплуатации компонент или блоков, полученные от поставщиков;

— данные производства объекта или общих источников данных. Такие данные следует использовать с большой осторожностью и с меньшим доверием при оценке безотказности до тех пор, пока они не будут заменены более доступными данными.

Существует много общих и промышленных источников данных, которые могут быть использованы при оценке безотказности.

В настоящем стандарте приведено много альтернативных методов оценки безотказности, которые позволяют получить данные об интенсивности отказов по информации об оборудовании или его частях. При выборе методологии для конкретного применения анализ и обоснование точности и ограничений применения должны быть документированы. Это обоснование должно включать факторы неопределенности и уверенности, соответствующие результатам применяемого метода оценки.

В настоящем стандарте не рассмотрены проблемы программного обеспечения, он только включает методы, применяемые для аппаратных средств. Однако стандарт может быть использован для аппаратных средств со встроенным программным обеспечением. Безотказность встроенного программного обеспечения и его взаимодействия с аппаратными средствами необходимо учитывать, поскольку она влияет на исходную информацию о безотказности объекта.

7 Процесс управления оценкой безотказности

7.1 Цель оценки безотказности

7.1.1 Общие положения

Существует много причин для оценки определения безотказности объекта. На рисунке 1 показаны некоторые примеры деятельности, которая требует определения оценки безотказности в качестве входных данных. Например, для расчета необходимых запчастей при эксплуатации объекта необходимо знание интенсивности отказов объекта и допустимого периода простоя.

Рисунок 1 — Методы, использующие в качестве входных данных оценку безотказности

В таблице 2 приведены стандарты на методы, использующие в качестве входных данных оценку безотказности.

Таблица 2 — Стандарты, устанавливающие методы оценки безотказности

Оценка безотказности необходима для выполнения следующих задач:

a) оценка целевого значения показателя безотказности — оценку безотказности используют для того, чтобы оценить вероятность того, что система может достичь целевого значения показателя безотказности (технико-экономическое обоснование);

b) сопоставление конструкций и объектов — при проектировании обычно существуют варианты конструкции. При проведении анализа преимуществ и недостатков этих вариантов важной исходной информацией являются соответствующие оценки безотказности. Эти варианты могут даже повлиять на структуру системы, например, количество и уровень резервирования. Поскольку анализ вариантов системы выполняют на ранних этапах проектирования, оценка показателей безотказности может быть предварительной. Однако она все равно полезна (даже при отсутствии точных значений), так как позволяет сопоставить и ранжировать варианты конструкции;

c) метод идентификации и ранжирования по возможностям улучшения безотказности. Деятельность по улучшению безотказности должна быть направлена на области с самыми высокими возможностями улучшения. Оценка показателя безотказности позволяет определить эти возможности количественно, идентифицируя безотказность различных единиц и прогнозируя значение показателя безотказности после выполнения действий по повышению надежности объекта;

d) логистическое обеспечение — оценка безотказности является ключевым элементом при принятии решения о выборе политики обеспечения запчастями и оценке затрат на выполнение политики гарантийного обслуживания. Она может также быть использована для первоначальной оценки стоимости жизненного цикла объекта;

e) определение периода времени для выявления отказа и типов функционального тестирования при выполнении задач технического обслуживания;

f) оценка безотказности выполнения целевой задачи — задачи могут иметь много этапов с различной конфигурацией оборудования, при первой оценке безотказности для задачи в целом могут быть использованы различные модели безотказности системы.

Важным фактором оценки безотказности является то, на какой стадии жизненного цикла объекта оценивают безотказность. Для оценки безотказности объекта необходимо начать оценивать безотказность на ранних стадиях жизненного цикла объекта и обновлять эти оценки, как только становится доступным больший объем информации, например, по результатам испытаний. Также, если полученная оценка безотказности является не приемлемой, то деятельность по улучшению объекта должна быть начата на возможно более ранних стадиях жизненного цикла объекта, что обеспечивает повышение безотказности. Таким образом, оценка и мониторинг повышения безотказности (см. ГОСТ Р 51901.6) имеют решающее значение для правильного использования оценок безотказности.

Оценку показателей безотказности, как правило, используют:

— для принятия бизнес-решений;

— принятия решений относительно структуры системы;

— принятия решений относительно конструкции оборудования;

— анализа безопасности;

— планирования и мониторинга программы надежности.

7.1.2 Бизнес-решения

Примеры бизнес-решений, в большей степени основанных на результатах оценки безотказности, включают решения относительно гарантийных обязательств, стоимости технического обслуживания и соглашения об участии в прибылях, плановых обновлениях конструкции, обеспечения запчастями, графика технического обслуживания, составления бюджета и обеспечения необходимым персоналом. Применимые меры могут быть выражены в терминах стоимости, таких как сервисная задержка и отмена технического обслуживания или загруженность оператора технического обслуживания.

Так как бизнес-решения часто включают патентную собственность, а также конфиденциальную информацию о затратах, отчеты об оценке безотказности для этих решений необходимо тщательно контролировать и хранить отдельно от результатов для других целей. Кроме того, порядок предоставления этой информации бизнес-партнерам (например, потребителю, поставщику, пользователю) должен быть предметом бизнес-соглашений.

До выбора метода оценки безотказности необходимо рассмотреть несколько критериев, включающих:

— желаемое использование оценки (зачем);

— период жизненного цикла системы для выполнения оценки (когда);

— организацию, которая может наилучшим образом выполнить оценку безотказности (кто);

— объект, для которого необходимо выполнить оценку надежности (что);

— факторы, которые необходимо рассмотреть при выборе соответствующего метода оценки безотказности (как).

7.1.3 Решения относительно структуры системы

Структура системы представляет собой описание структуры высокого уровня в терминах функций системы, выбранной для удовлетворения требований к конструкции системы. Это описание высокого уровня гарантирует, что цели системы понятны всем заинтересованным сторонам, все соответствующие факторы учтены в конструкции, все элементы конструкции определены и понятны на соответствующем уровне, все элементы конструкции оценены правильно, а альтернативные решения рассмотрены.

Примерами решений относительно структуры системы, для которых необходимы результаты оценки, являются следующие:

— создание отказоустойчивой конструкции и встроенного тестирования; например, определение метода, области или частоты тестирования;

— функциональное распределение аппаратных средств высшего уровня и/или программного обеспечения;

— распределение функций между модулями (блок-схемы);

— потребности в резервировании;

— использование средств технического обслуживания для прогнозирования.

7.1.4 Решения относительно конструкции оборудования

Примеры решений относительно конструкции оборудования, которые должны быть основаны на оценках безотказности, включают (но не ограничены):

— конструкцию системы, сопоставление технологий аппаратных средств, например, цифровой процессор, цифровая логическая матрица по сравнению с аналоговой;

— сопоставление альтернативных структурных схем;

— сопоставление использования рабочего цикла или допустимых альтернативных электрических напряжений;

— выбор или устранение некоторых компонентов;

— решение относительно уровня интеграции компонентов (ASIC-прерывание);

— сопоставление технологий упаковки и сборки, например монтаж поверхности через отверстие;

— сопоставление методов управления параметрами окружающей среды, например, демпфирование вибрации и охлаждение;

— своевременная идентификация и коррекция недостатков конструкции, основанных на данных эксплуатации и испытаний аналогичных компонентов, модулей и конструкций.

Так же как и в случае с решениями относительно структуры системы оценки безотказности следует использовать для обоснования решений относительно конструкции оборудования.

7.1.5 Оценка безопасности

Оценка безопасности представляет собой дисциплину, обеспечивающую идентификацию опасностей системы и их причин, а также оценку риска. Оценка безопасности касается оценки безотказности функций и компонентов, связанных с безопасностью. Выходом оценки безотказности является интенсивность отказов, которую часто используют в различных видах анализа для оценки безопасности, например:

— анализ дерева неисправностей (FTA);

— марковский анализ;

— анализ дерева событий (ETA);

— FMEA;

— FMECA.

Общие и промышленные источники данных часто используют для получения основных данных об интенсивности отказов при оценке безопасности системы. Однако в настоящем стандарте приведено много альтернативных методов оценки безотказности, которые позволяют получить данные об интенсивности отказов оборудования или его части такого же функционального уровня. (Для анализа безопасности систем возможность оценивать безотказность установленных функций особенно важна.)

Примечание — Вопросы функциональной безопасности рассмотрены в стандартах серии ГОСТ Р МЭК 61508.

7.1.6 Планирование и мониторинг программы надежности

Результаты оценки безотказности могут быть использованы в качестве результата на различных стадиях жизненного цикла объекта (проектировании, разработке, производстве, обслуживании). Планирование программы надежности должно включать выполнение оценки безотказности по результатам действий, выполняемых на различных стадиях жизненного цикла (примеры включают планирование сборки с отбраковкой, планирование испытаний на безотказность и планирование испытаний для контроля безотказности). Количественные показатели безотказности, такие как MTTF, MTBF, продолжительность безотказной работы, время до отказа, цели управления повышением надежности и требования надежности для приемки объекта должны быть идентифицированы. Документация должна быть разработана так, чтобы обеспечить проведение достаточного анализа и/или испытаний для определения показателей с точностью и достоверностью, необходимыми для принятия решений по планированию программы надежности и своевременного выполнения обновления оценок. Для сокращения необходимого объема выборки могут быть использованы статистики Байеса, если обоснование априорного распределения является приемлемым с технической точки зрения.

На рисунке 2 показаны стадии жизненного цикла продукции и необходимость оценок безотказности на каждой стадии процесса в качестве входных и выходных данных.

Рисунок 2 — Стадии жизненного цикла продукции

Ключевые стадии жизненного цикла включают следующее:

— стадия концепции и определения.

Стадия концепции и определения представляет собой стадию жизненного цикла, на которой устанавливают потребность в объекте и цели его создания. На этой стадии закладывают основу надежности объекта и составляющие стоимости жизненного цикла. Решения, принятые на этой стадии, оказывают наибольшее влияние на функционирование объекта и затраты на его содержание, но часто этой стадии уделяют очень мало внимания;

— проектирование и разработка.

Стадия проектирования и разработки представляет собой стадию жизненного цикла, на которой создают структуру, аппаратные средства и/или программное обеспечение системы. Соответствующую информацию об объекте определяют и документируют для облегчения последующего изготовления и сборки аппаратных средств, кодирования программного обеспечения, его копирования и интеграции системы. Выполняют детальное проектирование и квалификацию после начального проектирования, когда определяют и задают размеры компонентов, выполняют анализ напряжений, разрабатывают планы производства и программное обеспечение;

— стадия изготовления.

Стадия изготовления представляет собой стадию жизненного цикла, на которой объект изготавливают, устанавливают программное обеспечение, выполняют сборку компонентов системы;

— стадия монтажа.

Стадия монтажа представляет собой стадию жизненного цикла, на которой объект устанавливают на место, предназначенное для эксплуатации. Действия включают установку системы, интеграцию функций технического обслуживания и подготовку объекта с установленным аппаратным и программным обеспечением к эксплуатационным испытаниям. После монтажа (установки) системы или готового объекта проводят демонстрацию их функционирования в фактических условиях эксплуатации до приемки в эксплуатацию;

— стадия эксплуатации и технического обслуживания.

Стадия эксплуатации и технического обслуживания представляет собой стадию жизненного цикла, на которой объект используют в соответствии с его назначением для выполнения установленных функций при эксплуатации. При необходимости выполняют техническое обслуживание объекта для обеспечения его непрерывной работы и выполнения его производственных функций;

— распоряжение (вывод из эксплуатации).

Стадия распоряжения представляет собой стадию жизненного цикла, на которой использование объекта закончено, его выводят из эксплуатации, демонтируют, перерабатывают или (если применимо) размещают на хранение.

Методологии оценки безотказности, описанные в настоящем стандарте, могут быть использованы на всех стадиях жизненного цикла системы, пока доступна необходимая техническая информация. Однако в силу особенностей жизненного цикла системы существуют ситуации, когда в соответствии с типом и качеством доступной технической информации некоторые методы прогнозирования безотказности являются более предпочтительными. Например, данные эксплуатации, необходимые для прогнозирования безотказности, обычно становятся доступными на стадии изготовления/технического обслуживания. Иногда при обслуживании анализ выполнения сервисного обслуживания все более и более заменяет другие методы оценки безотказности при наличии достоверных данных. Однако данные эксплуатации аналогичных систем при обслуживании или данные поставщиков о компонентах системы могут быть использованы для прогноза безотказности на более ранних стадиях жизненного цикла.

7.2 Документация

Результаты оценки безотказности необходимо записывать с достаточной четкостью для понимания, использования, анализа применяемых ограничений и неопределенности результатов.

Документация о результатах оценки безотказности должна включать два типа информации, а именно:

a) описание системы;

b) процесс оценки и его результаты.

Описание системы должно включать следующую информацию:

1) описание оборудования — краткое описание физических характеристик системы;

2) описание границы системы — описание границ системы. Блок-схемы позволяют показать границы исследуемой системы;

3) описание использования системы — описание основных и второстепенных функций системы. Описание должно включать типовую задачу функционирования системы;

4) описание окружающей среды — описание условий эксплуатации системы;

5) описание интерфейсов с другим оборудованием — описание должно определять оборудование, взаимодействующее с системой на входе и выходе и при обслуживании системы. Описание при необходимости может включать описание оборудования, расположенного вблизи от установленной системы;

6) описание стандартной конструкции или версий объекта — документация должна относиться к установленному стандарту конструкции системы;

7) описание уровней подготовки и обучения персонала;

описание политики технического обслуживания — описание должно включать режимы технического обслуживания для каждой функции системы или режима эксплуатации.

Детали выполнения оценки должны быть зарегистрированы и включать:

— обоснование выбора метода;

— процесс выбора источников данных;

— описание методов вычисления;

— полученные интенсивности отказов;

— описание всех использованных предположений;

— детали консультаций, полученных в процессе деятельности (например, у пользователя, специалиста по техническому обслуживанию, проектировщика);

— результаты оценки;

— выводы и рекомендации.

Отчеты должны быть управляемыми и доступными.

8 Необходимые данные

8.1 Исходные данные

Данные, используемые для оценки безотказности, должны быть получены из заслуживающих доверия источников, данные необходимо контролировать и обновлять, они должны быть доступны и использованы в соответствии с последовательностью технологического процесса. Данные могут быть получены из результатов испытаний оборудования, подсистем или компонентов, от поставщиков приобретаемых объектов, данных технического обслуживания объекта и других источников данных. Анализ точности и полноты используемых данных должен быть отражен в документации по оценке безотказности.

8.2 Источники и типы данных

Источники данных, которые могут быть использованы в качестве входных данных в процессе оценки надежности, должны быть описаны. Как правило, данные производства и обслуживания объекта более предпочтительны, чем данные, полученные из общих промышленных источников, при условии, что совокупность данных является достаточной для проведения достоверного статистического анализа. Конкретные данные, полученные непосредственно от поставщиков оборудования и комплектующих и оценки компонентов в процессе производства, являются более предпочтительными, чем общие промышленные данные, поскольку определенная информация об интенсивности отказов системы, подсистемы или части системы неявно отражает процессы проектирования и изготовления конкретного поставщика оборудования. Следует учитывать, что в случае приобретаемых компонентов, доступными данными могут быть только данные поставщиков, которые должны быть использованы как все другие данные о компонентах.

Описание процесса оценки на основе статистических обоснований, которое определяет, как данные должны быть отобраны, используя наиболее подходящий источник данных для конкретного применения оценки, должно быть сделано до выполнения оценки надежности.

Данные включают:

a) данные обслуживания аналогичного оборудования и его аналогичных применений;

b) данные обслуживания компонентов и подсистем аналогичного оборудования и его аналогичных применений;

c) данные квалификационных испытаний компонентов и подсистем;

d) данные испытаний по проверке качества компонентов и подсистем;

e) данные проектировщиков об испытаниях в процессе разработки;

f) данные функциональных испытаний и приемочных испытаний при производстве;

g) данные испытаний и переработки.

Примеры данных из других источников включают:

1) данные изготовителей компонентов (включая приобретаемые компоненты);

2) данные, полученные из производства и соответствующих баз данных;

3) данные справочников и руководств.

Типы информации могут включать:

— вид отказа;

— механизм отказа;

— место отказа;

— действия по техническому обслуживанию;

— выявление отказа и подтверждение его наличия (данные встроенного испытательного оборудования);

— влияние или критичность отказа, включая потерю способности функционирования и все последствия вторичных повреждений/разрушений;

— режимы эксплуатации и условия окружающей среды, которые номинально должны воздействовать на объект, в условиях которых произошел отказ;

— наработку до отказа оборудования или подсистемы в часах или циклах;

— корректирующие воздействия для отказа;

— результаты анализа отказов, включая анализ первопричин;

— общее описание совокупности в часах или циклах;

— данные прогноза — информация о том, как объект может отказать.

Важно выбрать данные, которые позволяют вычислять соответствующие назначенные показатели надежности.

Несмотря на то, что желательно иметь данные описанного выше типа для оценки безотказности объекта, они не всегда доступны.

В [2] приведена более подробная информация о сборе данных.

8.3 Сбор, хранение и поиск данных

Данные обычно объединяют в большую базу данных, в противоположность отдельной базе данных по оценке безотказности. Если это сделано должным образом, все соответствующие данные, включая полученный опыт, доступны персоналу, занимающемуся проектированием и изготовлением объекта для использования в настоящем и будущем. При использовании для оценки безотказности данных эксплуатации необходимо знать точность данных и полноту выполнения процесса сбора данных, т.е. необходим хорошо действующий контролируемый процесс сбора данных. Например, при использовании данных эксплуатации для прогноза интенсивности критичного отказа и анализа безопасности необходимо гарантировать, что источник данных является действующим, полным и обеспечен процессом сбора данных, позволяющим собрать все подходящие данные.

Следует понимать ограничения в области применения, регистрации данных и точности регистрируемых данных. С точки зрения анализа данных, очевидно, что наработка до отказа объекта является очень небольшой, если продолжительность испытаний не позволяет обнаружить отказы. Тот же анализ дает результаты, если отказы обнаружены, но не достоверно зарегистрированы. В частности, достоверность данных важна при определении безопасности объекта, для этого часто используют два отказа, из которых первый может быть не показательным.

При определении области применения процедуры сбора данных внимание должно быть уделено способности процедуры обнаруживать и регистрировать отказы, которые последующий анализ данных может использовать для прогноза. Описание процедур, которые гарантируют контролируемость и повторяемость сбора данных, должно быть документировано.

9 Методы оценки безотказности

9.1 Введение

Оценка безотказности должна быть выполнена с использованием документированных, контролируемых и повторяемых методов, которые могут включать исследования или испытания. Для оценки безотказности рекомендуется использовать сбор данных эксплуатации, если данные обладают необходимым качеством (см. 8.2). Такие методы должны быть подвергнуты некоторой форме валидации. Документация должна включать результаты валидации, выполненной для указания точности и ограничений каждого метода. Эта информация может быть использована для определения применимости метода оценки в конкретной ситуации. Непрерывную валидацию каждого метода оценки следует проводить с использованием данных, непосредственно поступающих из эксплуатации. Реальная корреляция между прогнозируемым и фактическим значениями показателя безотказности может быть обоснованием выбора конкретного метода определения всех последующих оценок с учетом всех проверенных улучшений процесса. Детали руководства по управлению валидацией оценки безотказности и ее улучшением приведены в 11.2.

К объекту может быть применено несколько методов. На практике может быть полезно применить несколько методов к единственному объекту для определения достоверной оценки безотказности. Должна быть разработана документация по обоснованию выбора конкретных методов оценки. Процесс обоснования также должен быть приведен, он должен включать достоверные статистические данные, которые могут продемонстрировать, что источник данных и метод оценки применимы к рассматриваемому объекту. На рисунке 3 приведена схема процесса оценки безотказности, а также его улучшения.

Рисунок 3 — Схема процесса оценки безотказности и его улучшения

9.2 Анализ подобия

9.2.1 Краткий обзор анализа подобия

Анализ подобия включает использование данных о показателях функционирования оборудования в эксплуатации для сопоставления вновь разработанного оборудования с оборудованием-прототипом и оценки безотказности проектируемого объекта, если условия применения и нагрузки объектов аналогичны. В приложении А приведены руководящие принципы анализа подобия в форме примеров применения этого метода.

Хотя концепция анализа подобия основана на аналогичности конструкции, важно идентифицировать различия в конструкции объектов для дальнейшего анализа и испытаний. Это делает методологию эффективной. Анализ подобия, выполненный на стадии концепции или на ранних стадиях проектирования, позволяет использовать опыт эксплуатации аналогичных объектов и учесть проблемы, устраненные в новой конструкции, приводящие к улучшению безотказности объекта.

Сопоставление аналогичного оборудования может быть сделано для готового объекта, подсистем или компонентов с использованием одних и тех же данных эксплуатации, но с применением различных алгоритмов и коэффициентов в различных аспектах исследования. Сравнение с аналогичным оборудованием также может быть выполнено при функционировании объекта, что позволяет обеспечить основу получения данных об интенсивности отказов для анализа безопасности или принятия решений о структуре системы.

Сопоставляемыми признаками могут быть:

a) режимы эксплуатации и условия окружающей среды (результаты измерений и установленные значения);

b) свойства конструкции;

c) процесс проектирования;

d) опыт проектировщиков при разработке аналогичных конструкций;

e) производственные процессы, включая контроль качества;

f) опыт изготовителя по производству аналогичных компонентов и работе с аналогичными процессами;

g) особенности встроенного тестирования и изоляции отказов;

h) проверка и техническое обслуживание процессов;

i) компоненты и материалы;

j) данные или другие показатели технологической зрелости;

k) качество процесса оценки безотказности.

Для каждого из упомянутых признаков необходимо провести сравнение нескольких признаков более низкого уровня. Например, показателями режима эксплуатации и условий окружающей среды могут быть установившаяся температура, влажность, изменения температуры, электрическая мощность, рабочий цикл, механическая вибрация и т.п. Конструктивные особенности оборудования могут включать количество компонентов (выделенных в соответствии с делением объекта на основные компоненты), несколько схем сборки, размер, вес материалов и т.д.

Анализ подобия должен включать необходимые алгоритмы или методы количественного определения сходств и различий между оцениваемым оборудованием и оборудованием-прототипом.

Если анализ подобия готового объекта невозможен из-за отсутствия оборудования-прототипа, достаточно близкого по аналогии или доступного для непосредственного сравнения с вновь разработанным оцениваемым оборудованием, то анализ подобия может быть проведен на более низком уровне (например, на уровне подсистем, модулей или компонентов). Анализ на более низком уровне может включать структурированное сравнение элементов нового оборудования с аналогичными элементами различных прототипов, для которых доступны данные о безотказности.

Для облегчения выполнения анализа подобия и составления отчета о результатах анализа в 9.2.2 приведен перечень сведений, которые рекомендуется приводить в отчете.

9.2.2 Отчет о результатах анализа подобия

В отчет об оценке безотказности объекта при использовании метода анализа подобия рекомендуется включать следующие сведения:

общая информация:

— дата проведения анализа;

— ФИО специалиста, выполнившего анализ;

— согласования (при необходимости);

— стадия программы;

— использование результатов;

ссылки:

— документ, содержащий применимый план оценки надежности;

— документ, устанавливающий процедуру оценки надежности (альтернативно процедура может быть включена в аналитическую часть документированного отчета);

— архив данных объекта-прототипа;

идентификация исследуемого объекта:

— наименование нового объекта;

— количество частей нового объекта;

— наименования объектов-прототипов;

— количество частей каждого объекта-прототипа;

анализ:

— уровень анализа (LRU, SRU, уровень функционирования и т.д.);

— сводка данных о каждом объекте-прототипе;

— сравниваемые признаки с учетом параметров использования и эксплуатации;

— основа для количественного определения различий исследуемого признака;

— алгоритм или метод(ы) вычисления;

— идентифицированные элементы новой конструкции без аналогичного объекта-прототипа и способ их оценки;

результаты:

— оценки показателей надежности (MTTF, интенсивность отказов и т.д.);

— ожидаемая изменчивость показателя(ей) надежности;

— показатель(и) надежности (если применимо).

9.3 Анализ долговечности

9.3.1 Краткий обзор анализа долговечности

Оценку долговечности используют для определения оценки ресурса компонентов (если интенсивность отказов зависит от времени), лимитирующих объект. Оценка долговечности может включать анализ и испытания или их комбинацию. Это структурированный процесс, который, при необходимости, может включать следующие основные этапы:

a) определение влияния эксплуатационных нагрузок и условий окружающей среды на оборудование в течение его жизненного цикла, включая доставку, обработку, хранение, эксплуатацию и техническое обслуживание (должны быть определены экстремальные типичные или средние значения);

b) определение функций, связывающих воздействующие нагрузки с границами, определенными в соответствии с физикой процессов, приводящих к отказу, например, замыкание электролиний, вибрационные резонансы и демпфирование;

c) определение величины и расположения значимых нагрузок с использованием, например, FEA;

d) определение вероятных мест, механизмов и моделей отказа с использованием, например, FEA;

e) определение периода времени, в течение которого объект может выдерживать существенные нагрузки с использованием соответствующих моделей физики процессов, приводящих к отказу и появлению разрушений объекта, например, уравнения экстремальных нагрузок Аргениуса, обратных степенных законов и т.д. (анализ нагрузок и анализ износа в условиях типичных/средних нагрузок);

f) составление отчета о результатах в виде перечня мест, механизмов и режимов отказа, упорядоченных в соответствии с ожидаемой наработкой до отказа.

Результаты применения методов ускоренных испытаний являются рекомендованными данными испытаний, как входные данные оценки долговечности или валидации модели разрушения, если это применимо.

Процесс оценки долговечности должен обеспечивать определение оценки, как минимум, долгосрочных воздействий термальных, вибрационных и электрических напряжений. Возможность воздействия других факторов, таких как влажность, должна быть включена при необходимости. Желательно, чтобы оценка обеспечивала оценку воздействия нескольких факторов одновременно. С этой целью могут быть полезны модели физики процессов, приводящих к отказу.

Необходимую информацию часто можно найти в результатах испытаний и руководстве по проектированию поставщиков модулей и компонентов.

В некоторых случаях может быть трудно обеспечить оценку безотказности оборудования, содержащего много устройств с большим количеством отказов каждого. В таких случаях оценка долговечности может быть эффективно использована на более низком уровне для анализа определенных режимов и механизмов отказа внутри оборудования, которые не могут быть описаны постоянной интенсивностью отказов. Результаты такого анализа могут затем быть использованы в качестве части анализа более высокого уровня для оценки показателя безотказности оборудования в целом. Долговечность, прежде всего, связана с процессами износа, и таким образом она, как правило, не характеризуется постоянной интенсивностью отказов.

Перечень сведений, который может быть использован для выполнения эффективной оценки долговечности и составления отчета о результатах, приведен в 9.3.2; более детальная информация приведена в приложении В.

9.3.2 Отчет о результатах оценки долговечности

В отчет об оценке безотказности объекта при использовании анализа долговечности рекомендуется включать следующие сведения:

общая информация:

— дата проведения анализа;

— ФИО аналитиков;

— согласования, если это необходимо;

— стадия программы;

— использование результатов;

ссылки:

— документ, содержащий применимый план оценки надежности;

— документ, устанавливающий процедуру оценки долговечности (альтернативно эта процедура может быть включена в аналитическую часть отчетного документа);

идентификация об исследуемом объекте:

— наименование исследуемого объекта;

— количество исследуемых частей объекта;

анализ:

— идентификация применимых нагрузок при эксплуатации, использовании и/или воздействии окружающей среды;

— идентификация функций пересчета и использованных для их определения источников данных (испытания, аналитические исследования или их комбинация);

— идентификация величины и местоположения нагрузок;

— определение вероятных мест, механизмов и режимов отказа;

— определение среднего ресурса с использованием соответствующей модели разрушения объекта;

результаты:

— определение воздействия проанализированных видов отказов на показатели безотказности объекта в целом;

— определение средней изменчивости результатов оценки.

9.4 Испытания и анализ чувствительности

9.4.1 Обзор испытаний и анализа чувствительности

Если в интенсивности отказов объекта доминирует несколько хорошо изученных видов отказа, то структурированный процесс ускоренных испытаний может обеспечить оценку безотказности объекта.

Испытания при ступенчатом изменении нагрузки приобретают популярность как испытания на чувствительность. Целью таких испытаний является получение отказов за короткое время для определения механизмов возможных отказов. Эти испытания дают информацию о запасах прочности конструкции относительно эксплуатационных нагрузок и воздействий окружающей среды. Испытания выполняют на небольшой выборке почти готового объекта или его подсистемы. В некоторых случаях упомянутые испытания называют HALT (форсированные ресурсные испытания), RET (испытания на повышение надежности) и т.п.

По отношению к воздействию нагрузок и среды к конструкции объекта может быть применен принцип малых приращений путем проведения анализа физики процессов, приводящих к отказу, или испытаний, в частности, испытаний со ступенчатым изменением нагрузки. Оба метода обеспечивают определение чувствительности конструкций и идентификацию вероятных режимов отказов, несмотря на то, что все отказы могут быть оценены для реальных условий эксплуатации. Этот анализ и испытания не всегда могут обеспечивать определение оценки безотказности, но могут быть очень полезны для обеспечения повышения надежности объекта.

Испытания при ступенчатом изменении нагрузки проводят, подвергая единицы продукции относительно низким уровням нагрузки и увеличивая затем уровни нагрузки ступенчатым способом до тех пор, пока не произойдет хотя бы одно из следующих событий:

— достигнуты уровни нагрузки, значительно превышающие ожидаемые при эксплуатации;

— все испытанные единицы продукции отказали и не могут быть восстановлены;

— начинают происходить или доминировать нерелевантные отказы объекта, поскольку на более высоких уровнях нагрузки проявляются новые механизмы отказа. Нерелевантные отказы — это отказы, не связанные с конструкцией испытываемого объекта, такие как отказ испытательного оборудования, повреждение органов управления или дефекты при производстве испытываемой единицы продукции.

Испытания при ступенчатом изменении нагрузки не всегда являются источником количественных данных, но они идентифицируют режимы отказов и оценивают пределы возможностей конструкции. Данные таких испытаний могут быть использованы для исключения режимов отказа при оценке безотказности, если испытания показали, что режим отказа больше не соответствует конструкции или если соответствующие границы возможностей конструкции достигнуты.

Для выполнения эффективного анализа чувствительности и составления отчета о его результатах в 9.4.2 приведен перечень рекомендуемых сведений.

9.4.2 Отчет о результатах испытаний и анализа чувствительности

В отчет об оценке безотказности объекта при использовании испытаний и анализа чувствительности рекомендуется включать следующие сведения:

общая информация:

— дата проведения анализа;

— ФИО аналитиков;

— согласования, если это необходимо;

— стадия программы;

— использование результатов;

ссылки:

— документ, содержащий применимый план оценки безотказности;

— документ, устанавливающий процедуры испытаний и анализа чувствительности (альтернативно процедура может быть включена в аналитическую часть отчетного документа);

идентификация исследуемого объекта:

— наименование объекта;

— количество частей нового объекта;

анализ:

— достигнутые режимы отказа;

— идентифицированные параметры эксплуатации и использования объекта;

— методы испытаний и их обоснование;

— результаты испытаний;

— статистический метод преобразования результатов испытаний для использования при определении оценок показателей надежности;

результаты:

— влияние режимов отказов на показатели безотказности объекта;

— средняя изменчивость оценок показателей безотказности.

9.5 Оценка прогнозируемых показателей безотказности по справочным данным

9.5.1 Краткий обзор прогноза по справочным данным

Если не могут быть получены лучшие данные, то может быть использован прогноз по данным справочников. Необходимо помнить, что поскольку справочные данные основаны на данных эксплуатации и испытаний широкой сферы продукции, они представляют собой средние значения по результатам эксплуатации объектов в различных областях применения. Из-за задержки по времени, связанной со сбором, анализом и публикацией, данные часто относятся к устаревшим компонентам. Поэтому следует определить актуальность справочника и определить дату пересмотра прогноза. Кроме того, справочные данные не учитывают область применения и условия работы исследуемого объекта, а также его конструкцию и процесс сборки. Поэтому данные об аналогичных объектах и данные поставщиков о компонентах или модулях всегда являются предпочтительным дополнением справочных данных.

Прогноз по справочным данным выполняют, следуя инструкциям, приведенным в справочниках, выбранных для использования, или в программном обеспечении, используемом для выполнения прогноза.

Ожидается, что для каждого применения будет выбран соответствующий справочник. Пользователи справочника должны обеспечить применимость и учесть срок действия данных.

В [1] приведено руководство по использованию данных об интенсивности отказов для прогнозирования безотказности компонентов электронного оборудования.

Индустриальные ассоциации и компании всех отраслей промышленности имеют собранные и изданные сборники данных, которые полезны для определения оценок надежности и риска.

Точность любого прогноза зависит от качества данных и близости соответствующего им объекта к конструкции исследуемого объекта, его использованию и окружающей среде. Поэтому общие сборники данных должны быть использованы с большой осторожностью и с низким доверием. Лучший источник данных может быть получен от поставщика объекта. Для выполнения эффективного прогноза по справочным данным и составления отчета о результатах рекомендуется использовать сведения, перечисленные в 9.5.2. Более полезно выполнить для исследуемого объекта анализ нагрузки его части, чем сделать анализ на основе справочных данных, поскольку анализ нагрузки части объекта позволяет учесть особенности конструкции и соответствующие условия окружающей среды.

9.5.2 Отчет о результатах прогноза по справочным данным

В отчет об оценке безотказности объекта при использовании метода прогнозирования по справочным данным рекомендуется включать следующие сведения:

общая информация:

— дата проведения анализа;

— ФИО аналитиков;

— согласования, если это необходимо;

— стадия программы;

— использование результатов;

ссылки:

— документ, содержащий применимый план оценки безотказности;

— справочник по прогнозированию надежности;

— документ, устанавливающий процедуру прогнозирования безотказности;

— применимость;

— срок действия;

— изменения по отношению к методу, установленному в справочнике (если применимо); (альтернативно, процедура может быть включена в аналитическую часть отчета);

— методы, используемые для прогнозирования по справочным данным (если это применимо);

идентификация исследуемого объекта:

— наименование нового объекта;

— количество частей нового объекта;

анализ:

— уровень, на котором выполнен прогноз;

— применимые входные данные для метода прогнозирования по справочным данным;

— показатели использования и эксплуатации объекта;

результаты:

— прогнозируемые показатели безотказности (MTTF, интенсивность отказов и т.д.);

— средняя изменчивость оценок показателей безотказности;

— показатели безотказности (если применимо);

— перечень всех предположений, сделанных при прогнозировании (факторы окружающей среды, рабочие циклы, факторы качества и т.д.).

9.6 Ограничения результатов оценки безотказности

Ограничения и неопределенность должны быть определены количественно (если это возможно). Уровень значимости, основанный на (генеральной) совокупности исходных данных, и соответствующие доверительные интервалы должны быть детализированы, чтобы можно было выделить все источники неопределенности и ограничения результатов оценки безотказности. Если ограничения и неопределенности не могут быть определены количественно, они должны быть кратко описаны в достаточных деталях для пользователя, чтобы он мог их понять и соответственно применить.

В тех случаях, когда известна интенсивность отказов (как исходные данные для анализа безопасности системы или модели затрат) следует использовать только количественные данные.

Неопределенность возникает как результат изменчивости производственных процессов, компонент и материалов, например, изменчивости выходов компонент или свойств материалов, что влияет на появление отказов оборудования. Неопределенность также возникает, когда взаимосвязи факторов не полностью известны; например, если не известно фактическое количество часов эксплуатации для определения оценки MTTF и эта оценка может быть определена только по оценкам для частей объекта, то уровень доверия соответствующей оценки в результате снижается.

Если оценка безотказности значимо отличается от показателя, наблюдаемого при эксплуатации аналогичного оборудования в условиях аналогичного применения, то меру неопределенности результатов зафиксируют в процессе валидации, описанном в 11.2. Результат деятельности по валидации может затем быть использован при выборе наиболее подходящего метода оценки при выполнении анализа, в дальнейшем это обеспечивает более полное понимание процесса.

10 Выбор метода оценки безотказности

Входные данные являются важным критерием при выборе методов оценки безотказности, но существуют также другие факторы, которые влияют на выбор метода:

— технология.

Технология может влиять на выбор метода оценки безотказности несколькими способами. Если технология изготовления объекта аналогична применяемой при изготовлении предыдущих моделей объекта, могут быть применены методы оценки безотказности, использующие полученные ранее данные или результаты ранее проведенного анализа. Если технология изготовления объекта является новой, может возникнуть необходимость разработки новых моделей;

— последствия отказа системы.

Часто желаемая прецизионность оценки безотказности зависит от социальных или бизнес-последствий отказа системы. Обычно при высоком риске необходим более точный прогноз, если риск включает технический, социальный и бизнес-риск. Риски, связанные с финансовыми потерями, — это риски, вызванные задержками приемки продукции, штрафами, вызванными отклонениями от обязательных требований, задержками поставки на рынок, потерей доверия потребителей, судебными издержками, нарушением безопасности, конфиденциальности и защиты информации. Социальный риск связан с возможностью нанесения вреда здоровью человека и экологии;

— критичность отказа.

Отказ элемента системы не обязательно вызывает отказ системы. Последствия отказов каждого элемента могут зависеть от условий и изменяться от отказа системы в целом до незначительного ухудшения работы. Вероятность возникновения каждого вида отказа также является различной. Важно затратить больше ресурсов на оценку тех видов отказов, последствия которых являются более существенными и/или которым соответствует высокая вероятность реализации;

— доступные ресурсы.

Выбор метода прогнозирования безотказности может зависеть от доступных ресурсов, включая время, бюджет и информацию. Для некоторых методов прогнозирования безотказности могут потребоваться недоступные техническая информация или данные, например, полученные ранее или данные эксплуатации и испытаний. Временные или бюджетные ограничения могут препятствовать сбору необходимых данных. Уровень квалификации и осведомленность персонала о некоторых типах прогноза могут повлиять на выбор метода прогнозирования безотказности;

— внешние воздействия.

Внешние воздействия могут влиять на выбор метода прогнозирования безотказности. В организации может быть установлен метод прогнозирования безотказности, используемый для всех объектов или всех объектов определенного типа. Альтернативно потребители и проверяющие могут потребовать использовать конкретный тип метода прогнозирования безотказности или могут потребовать обеспечить прецизионность оценки, которая может быть получена только при использовании некоторых методов. Кроме того, предубеждения за или против определенных методов прогнозирования со стороны заказчиков или разрабатывающих организаций могут влиять на выбор метода прогнозирования безотказности. Доступная информация об условиях и параметрах эксплуатации может ограничить применение методов прогнозирования безотказности. Выбор показателя безотказности также ограничивает применимые методы прогнозирования безотказности, так как некоторые методы применимы только для определенных показателей, например для постоянной интенсивности отказов. Техническая информация, полученная от поставщика, может подходить только для определенных методов прогнозирования безотказности, или поставщик может иметь возможность выполнять только определенные методы прогнозирования безотказности;

— качество и доступность данных.

Данные о безотказности часто являются неточными, поскольку данные о предыдущих испытаниях и/или эксплуатации системы не всегда известны точно, и данные, собранные для конкретной системы или оборудования, не всегда применимы в других случаях, например, когда окружающая среда, особенности производства, определение отказа или какой-либо другой фактор или комбинация факторов отличаются. Эта потенциальная погрешность должна быть выявлена и учтена при выборе метода оценки безотказности;

— требования контракта.

Требования безотказности, установленные в контрактах, часто предусматривают выплату штрафа за невыполнение установленных требований. Поставщики высоконадежного оборудования часто способны выполнить эти требования путем небольших доработок конструкции или производственного процесса, но, как правило, испытывают трудности и затрачивают немалые средства на демонстрацию выполнения требований потребителю. Часто невозможно организовать подтверждение безотказности, которое сочетает разумные риски для обеих сторон с разумной продолжительностью испытаний. В этих случаях приемка по показателям безотказности может быть основана на накопленных данных об использовании ранее установленных аналогичных систем или, возможно, на данных гарантийного периода, когда затраты на устранение отказа и/или перепроектирование объекта несет поставщик. Оценка безотказности часто является частью такой демонстрации. Желательно, чтобы источник данных и метод оценки безотказности были согласованы этими двумя сторонами, в противном случае последуют переговоры о различных значениях интенсивности отказов, когда каждая сторона будет стремиться получить результат в свою пользу.

11 Улучшение процесса оценки безотказности

11.1 Общие положения

Предыдущие результаты оценки безотказности могут быть использованы для улучшения процесса оценки безотказности и являются источником информации для улучшения оборудования на всех стадиях его жизненного цикла.

11.2 Результаты валидации оценки безотказности

Виды валидации:

a) сравнение результатов расчета оценок безотказности, например MTTF, MTBUR, доверительных интервалов, наработок до отказа и т.д. с данными эксплуатации объектов;

b) сопоставление прогнозируемых на основе оценки безотказности мест, режимов и процессов возникновения отказа с данными эксплуатации объекта;

c) проверка того, что все зафиксированные отказы являются правомерными;

_______________

Отказы возникли в режимах и условиях функционирования объекта, предусмотренных документацией.

d) сопоставление условий окружающей среды при эксплуатации и техническом обслуживании с предполагаемыми ранее при определении оценок безотказности.

Перечисления a) и d) должны быть учтены. Может случиться (см. a)), что внезапный скачок напряжения в линии электропитания (независимый отказ), являющийся следствием отказа единственного компонента, может привести к появлению многих других (вторичных) отказов. Если не было каких-либо особых причин регистрации зависимых отказов, то такие отказы обычно исключают. Могут быть исключены также и другие типы отказов. Например, если окружающая температура при работе составных частей оборудования выходит за пределы, предусмотренные конструкторской документацией, это может привести к отказу оборудования, такой отказ, возможно, тоже должен быть исключен. Следует отметить, что подавляющее большинство причин отказов высоконадежных элементов оборудования, как правило, не имеет отношения к конструкции или безотказности оборудования.

Следует проявлять внимательность при сопоставлении прогнозируемых оценок с результатами наблюдений (см. b)). Почти всегда прогнозируемые и наблюдаемые оценки не совпадают даже приблизительно, несмотря на то, что результаты прогноза могут быть близки к реальности. Это происходит потому, что прогноз дает значения математического ожидания, тогда как наблюдения являются случайными значениями. Например, если сбалансированную монету бросить 10 раз, то шанс того, что в результате половины бросков монета упадет решкой вверх, будет довольно маленьким (например, менее 25%). Разумеется, что в повторных сериях из 10 бросков доля серий, состоящих точно из пяти решек и пяти орлов, будет приближаться к 50%.

График разработки отчетов о результатах валидации должен быть документирован.

11.3 Улучшение процесса оценки безотказности

Для улучшения процесса оценки безотказности на основе результатов оценки безотказности необходимо рассмотреть следующее (см. рисунок 3):

— улучшение процесса сбора данных;

— улучшение выбора соответствующего источника данных и применяемого метода оценки;

— необходимость модификации уравнений, алгоритмов и методов вычислений;

— внедрение методов оценки безотказности, разработанных в академических, промышленных, исследовательских организациях, при условии, что они применимы для исследуемого объекта;

— идентификацию видов оборудования — прототипа для моделирования при проведении анализа подобия;

— улучшенное руководство по интерпретации результатов оценки для эффективного принятия решений.

Должны быть разработаны процессы сбора и анализа данных или системы регистрации реальных данных, данных об объектах, возвращенных потребителем, и данных эксплуатации для улучшения процессов проектирования и изготовления при улучшении оборудования, например, FRACAS, повышение надежности и статистическое управление процессами. Документированные процессы должны быть основаны на данных о процессах и дополнительной информации для улучшения процессов оценки безотказности, вместо их замены или отмены.

Приложение А
(справочное)

Примеры анализа подобия

Примечание — В данном приложении приведена информация, помогающая понять применение метода анализа подобия для оценки безотказности. Приведен пример применения метода анализа подобия.

А.1 Как использовать данное приложение

Выбор наиболее подходящего метода оценки безотказности для любого заданного применения зависит от типа объекта, целей в области безотказности и доступных данных. Кроме того, существует много способов выполнения анализа подобия. Должны быть выбраны наиболее подходящий метод и способ его выполнения и внедрения.

Данное приложение включает описание необходимых данных (см. А.2.2), пример применения метода (см. А.2.3), использование результатов и ограничения (см. А.2.4), улучшение процесса оценки безотказности (см. А.2.5).

Несмотря на то, что в приведенном примере вычисляют MTTF, метод также может быть использован для оценки показателей безотказности.

А.2 Пример анализа подобия

А.2.1 Общие положения

Ниже приведено два варианта анализа подобия. Эти два варианта представляют собой анализ подобия низкого и высокого уровней. Главное различие этих вариантов состоит в том, что для анализа подобия высокого уровня необходимо подобие на уровне системы. Чтобы показать универсальность метода анализа подобия, пример анализа подобия на высоком уровне выполнен на уровне заменяемых элементов, пример анализа подобия низкого уровня выполнен на уровне функции, хотя любой вариант метода может быть применен на любом уровне.

А.2.2 Данные

А.2.2.1 Данные о безотказности в эксплуатации

Сбор и анализ данных эксплуатации является основой методологии анализа подобия. Данные о безотказности объекта в эксплуатации, как правило, включают количество отказов в эксплуатации, информацию о причинах отказов или видах отказа и количество часов эксплуатации.

Первые два вида сведений могут быть получены из базы данных организации, поддерживающей информацию о деятельности по восстановлению объекта. База данных должна идентифицировать оборудование (готовое изделие или подсистему), ремонтируемые или заменяемые компоненты и описание эксплуатации для персонала по техническому обслуживанию объекта для идентификации типа отказа готового объекта. Отказы готового объекта в целом могут быть следствием отказов аппаратных средств, программного обеспечения, неверного использования потребителем, дефектов конструкции, ошибок производства и других причин. Эти данные используют для вычисления распределения отказов объекта или компонентов.

Данные о часах в эксплуатации, собранные потребителем, регистрируют или оценивают по типовым показателям использования. Такие отчеты поддерживают в соответствии с практикой организации. Эти данные, объединенные с информацией об отказах, описанной выше, используют для вычисления интенсивности отказов в эксплуатации и MTTF объектов или подсистем.

А.2.2.2 Данные о характеристиках объекта

Данные о характеристиках объекта получают на основе данных об эксплуатации готовых и разрабатываемых объектов. Данные включают всю документацию, относящуюся к объекту, а также информацию, определяющую процесс проектирования, производственный процесс и среду использования готового объекта. Примерами такой документации являются документы, устанавливающие требования к объекту, перечень электрических и механических составных частей и чертежи. Эти данные используют для идентификации характерных различий нового объекта и объекта-прототипа. Перечень возможных характерных различий приведен в таблице А.1.

А.2.3 Методы

Примечание — Этапы процесса, электронные таблицы и вычисления, используемые в примерах метода анализа подобия, описаны ниже. На рисунке А.1 показана общая блок-схема этого процесса.

А.2.3.1 Виды физических моделей

Анализ подобия использует виды физических моделей, описанные ниже для сопоставления новых объектов и объектов-прототипов или подсистем-прототипов.

Первые пять видов моделей, указанных ниже, являются типовыми на уровне компонент, количественно характеризуют отказы объекта в эксплуатации, вызванные отказами компонент. Следующие два вида моделей относятся к процессам проектирования и производства. Дополнительные виды моделей могут быть использованы для определенного оборудования, не относящегося к категориям части или процесса. В приведенном ниже примере отказы, связанные с производством компонент, категоризированы по производственным процессам (категория 6), неправильному использованию, а повышенные нагрузки компонент категоризированы по процессам проектирования (категория 7). Примерами физической модели являются следующие категории:

модели вида 1: модели для пассивных частей низкой сложности (резисторов, конденсаторов и редукторов);

модели вида 2: модели для пассивных частей высокой сложности (трансформаторов, кварцевых генераторов и пассивных фильтров);

модели вида 3: модели для соединений (разъемов, печатных плат, паяных соединений, гибких лент, паяных стыков);

модели вида 4: модели для полупроводников низкой сложности (дискретных, линейных и цифровых интегральных схем);

модели вида 5: модели для полупроводников высокой сложности [процессоров, программируемых вентильных матриц памяти и эксплуатации, проблемно-ориентированных интегральных схем (ASIC)];

модели вида 6: модели для производственного процесса;

модели вида 7: модели для процесса проектирования;

модели вида 8: модели для других причин отказа, определенных пользователем при описании процессов, приводящих к отказу, которые не вписываются в категории 1-7 или которые аналитик хочет выделить отдельно из-за высокой частоты их реализации.

Примеры — режимы отказа с ограниченным ресурсом, например, лампы или выключатели, некоторые виды аппаратных средств или модификации программного обеспечения, выполненные как корректирующие или предупреждающие действия.

А.2.3.2 Этапы процесса

А.2.3.2.1 Общие положения

На рисунке А.1 приведена блок-схема этапов процесса анализа подобия. Ниже приведено описание каждого этапа процесса со ссылками (в качестве примера) на таблицы А.2 и А.3.

a) Этап 1. Сопоставление нового оборудования с оборудованием, для которого существуют данные эксплуатации. Сопоставление может быть сделано на уровне объекта в целом или на уровне составных частей. Если сопоставление выполняют с несколькими объектами-прототипами или их составными частями, то оставшиеся этапы должны быть выполнены отдельно для каждого объекта-прототипа или составной части.

Выходом этапа является идентификация одного или нескольких объектов или составных частей, достаточно близких по аналогии к новому оборудованию или его составным частям, и имеющим, как предполагается, сопоставимые уровни безотказности. Достаточное подобие определяют на основе знаний аналитика об исследуемом оборудовании, теории надежности и его опыта работы с процессом. Опыт работы с процессом может показать, что если количество различий превышает установленное значение, то результаты оценки безотказности являются неприменимыми.

b) Блок принятия решений. Если между новым объектом и объектом-прототипом выявлена высокая степень подобия на уровне объекта в целом или на уровне составных частей, то должен быть выбран анализ подобия высокого уровня. В этом случае выполняют этапы 2Н-5Н (см. ниже). Оставшиеся этапы процесса и уравнения анализа подобия высокого уровня приведены в А.2.3.2.2.

Если выявлено недостаточное подобие для выполнения анализа подобия высокого уровня, может быть применен анализ подобия низкого уровня. Для выполнения анализа подобия низкого уровня выполняют этапы 2L-5L, если сопоставление на этапе 1 показало, что данные эксплуатации группы объектов-прототипов имеют достаточную аналогию с новым объектом. Для проведения анализа подобия низкого уровня высокий уровень подобия не требуется, но более высокие уровни подобия улучшают точность оценки и снижают ее изменчивость. Остальные этапы процесса и уравнения анализа подобия низкого уровня приведены в А.2.3.2.3.

А.2.3.2.2 Этапы процесса анализа подобия высокого уровня

Этап 2Н. Идентификация всех характерных различий нового объекта и объекта-прототипа в целом или его составных частей. Перечень описаний и примеров различий приведен в А.2.3.1. Каждое различие приведено в первом столбце таблицы А.2.

На содержание таблицы А.2 влияет количество используемых объектов-прототипов или, если анализ выполняют на заменяемых элементах прототипов составных частей объекта или функций. Если анализируют несколько объектов-прототипов, для каждого объекта-прототипа должна быть заполнена отдельная таблица. Если анализ выполняют на уровне составных частей или на уровне функций, то для каждого объекта-прототипа составной части должна быть заполнена отдельная таблица.

Этап 3Н. Оценивают каждое характерное различие, идентифицированное на этапе 2Н по отношению к ожидаемым различиям показателя безотказности нового объекта и объекта-прототипа. Это различие определяют количественно относительно отдельных видов физических моделей, определенных в А.2.3.1.

На данном этапе дают описание каждого вида моделей для каждого характерного различия, как показано в таблице А.2. Если не ожидается воздействий на конкретное характерное различие в данном виде моделей, то никакой вход не нужен («1» означает «принято»). Входов, которые возможно улучшат безотказность, меньше одного, а входов, которые возможно ухудшат безотказность, больше одного.

Запись, соответствующая характерному различию в таблице А.2 в виде «комбинация А2 в ASIC», означает комбинацию нескольких отдельных компонентов в единственной ASIC.

Этап 4Н. Внесение данных об отказах в процессе эксплуатации объекта-прототипа или его составных частей в таблицу А.2. Данные об отказах в процессе эксплуатации, описанные в А.2.2.1, должны быть собраны в форме процентов для определения распределения вида отказа в соответствии с видом физической модели развития отказа и общей интенсивностью отказов.

Для оценки распределения вида отказа причины всех отказов в процессе эксплуатации объекта в целом или его составных частей должны быть отнесены к видам физических моделей. Количество отказов каждого вида делят на общее количество отказов объекта в целом для определения процентного вклада отказов каждого вида в общее количество отказов. Полученные проценты вводят в строку таблицы А.2 с наименованием «Распределение вида отказов объекта-прототипа». Общую интенсивность отказов для объекта в целом или его составных частей вводят в соответствующее место в нижней части таблицы А.2.

Этап 5Н. Определяют результаты в таблице А.2 для вычисления прогнозируемого показателя безотказности. Выполняемые вычисления включают следующее:

a) вычисление значения в строке «Влияние по физическим моделям» для каждого вида физических моделей в виде произведения значений по всем характерным различиям;

b) вычисление значения в строке «Интенсивность отказов по видам моделей» для каждого вида физических моделей в виде произведения «Влияние по физическим моделям» и «Распределение вида отказа объекта-прототипа»;

c) вычисляют «Отношение интенсивностей отказов» как сумму всех значений в строке «Интенсивность отказов по видам моделей»;

d) вычисляют «прогнозируемую интенсивность отказов» для нового объекта в целом или его составной части как произведение показателей «Интенсивность отказов объекта-прототипа» и «Отношение интенсивностей отказов».

В таблице, представляющей анализ подобия высокого уровня, выполнены расчеты в соответствии с (А.1):

Интенсивность отказов нового объекта , (А.1)

где — интенсивность отказов в эксплуатации объекта-прототипа в целом или его составной части;

— доля распределения вида отказа для вида моделей N;

— коэффициент различий между исследуемым объектом и объектом-прототипом в целом или их составными частями для вида моделей N;

N — номер вида физической модели, который принимает значения от 1 до 7.

Уравнение (А.1) основано на предположении о том, что не существует дополнительных видов физических моделей, определенных пользователем. Если такие виды существуют, то максимальное значение N увеличивают на количество дополнительных видов моделей, определенных пользователем.

Несмотря на то, что в таблице не показаны интенсивности отказов отдельных видов моделей, они могут быть вычислены. Для этого нормализуют значение «Интенсивность отказов по видам моделей», считая общую сумму равной 1,0, и умножают значение нормализованной категории на показатель «Прогнозируемая интенсивность отказов».

А.2.3.2.3 Этапы анализа подобия низкого уровня

Этап 2L. После того, как групп(ы) объектов в эксплуатации отобраны, определяют интенсивность отказов по видам моделей. Интенсивности отказов по видам моделей могут быть применены непосредственно к новому объекту; однако могут быть случаи, когда интенсивность отказов должна быть умножена на соответствующий коэффициент, например, окружающая среда нового объекта отличается от среды объекта-прототипа. В таких случаях интенсивность отказов может быть умножена на соответствующий коэффициент с описанием коэффициента и его обозначением в отчете об оценке.

Выходом этого этапа являются интенсивности отказов по видам моделей с примененным коэффициентом. Эти значения вводят в таблицу А.3 в строку «Ожидаемые интенсивности отказов по видам моделей».

Если используют данные объекта-прототипа для новых функций объекта, то необходимо составить отдельную таблицу для каждого набора данных объекта-прототипа. Если используют несколько объектов-прототипов, то данные могут быть собраны в единственную таблицу или для каждого объекта-прототипа выполняют отдельный анализ с отдельными таблицами.

Этап 3L. Определяют количество компонентов для каждого из функциональных уровней, указанных в первом столбце таблицы А.3. Соответствующие компонентам значения указывают в соответствующем компоненту виде моделей и вносят в таблицу.

Этап 4L. Определяют перечень различий процессов проектирования и изготовления нового эксплуатируемого оборудования. В таблице А.1 показан перечень возможных различий, которые необходимо рассмотреть для процессов проектирования и производства.

Индивидуальные коэффициенты различий (множители) отдельно перемножают для определения комплексного коэффициента интенсивности отказов для интенсивности отказов при изготовлении и при проектировании. В таблице А.4 в качестве примера показаны выявленные коэффициенты, соответствующие процессам и продукции, которую они изготавливают.

Общие коэффициенты процессов вводят в ячейки в столбцах для вида моделей 6 (производственный процесс) и категорией вида моделей 7 (процесс проектирования) таблицы А.3.

В приведенном описании предполагается, что интенсивность отказов является постоянной (экспоненциальное распределение). Если интенсивность отказов не является постоянной, распределение наработок может быть описано распределением другого типа, например распределением Вейбулла. В этом случае интегральная функция распределения F(t) должна быть вычислена с учетом конкурирующих рисков. Другой метод состоит в использовании моделирования методом Монте-Карло (см. ГОСТ Р 27.607, ГОСТ Р 50779.27 и [3]).

Этап 5L. Выполняют вычисления с помощью таблицы А.3. Для расчетов используют выражения (А.2) и (А.3), приведенные ниже. При этом:

— вычисляют значения в строке «сумма по видам моделей» для 1-5, добавляя значения для каждого уровня, указанные в столбце 1;

— вычисляют значения в строке «общая интенсивность отказов по видам моделей» для:

— видов моделей 1-5, умножая значения в строке «сумма по видам моделей» на значения в строке «ожидаемая интенсивность отказов по видам моделей»;

— видам моделей 6 и 7, умножая значения в строке «коэффициент процесса» на значения в строке «ожидаемая интенсивность отказов по видам моделей»;

— вычисляют значения в строке «общей интенсивности отказов объекта», складывая все записи в строке «общая интенсивность отказов по видам моделей». Эту интенсивность отказов можно затем использовать для вычисления MTTF или других показателей безотказности.

Общая интенсивность отказов объекта:

. (А.2)

Общая интенсивность отказов функции:

, (А.3)

где — значение, соответствующее L-й функции и C-му виду моделей;

— общее количество составных частей в объекте

;

L — один из уровней декомпозиций, указанных в первом столбце таблицы А.3;

C — один из видов физических моделей, указанных в таблице А.3;

n — количество функций при оценке;

— ожидаемые интенсивности отказов для C-го вида моделей;

— коэффициент, соответствующий процессу изготовления;

— коэффициент, соответствующий процессу проектирования;

— ожидаемая интенсивность отказов вида моделей 6 (процесса производства);

— математическое ожидание интенсивности отказов вида моделей 7 (процесса проектирования).

Приведенные выше математические выражения основаны на предположении о том, что не существует дополнительных видов физических моделей, определенных пользователем. Дополнительные виды моделей, определенные пользователем, рассматривают также как виды моделей компонентов (категории 1-5).

Интенсивность отказов функций, показанная в таблице А.3, не включает интенсивность отказов процессов (виды моделей 6 и 7). Хотя это не показано в таблице, может быть выполнено распределение интенсивности отказов процесса по функциям. Для этого существует два метода:

a) распределение на основе сложности объекта, т.е. в соответствии с количеством составных частей, каналов и общей интенсивностью отказов компонент;

b) распределение на основе априорных знаний о проблемах, с которыми сталкиваются в аналогичных объектах.

Методы распределения интенсивности отказов процессов могут быть различны для процессов производства и проектирования. Также может быть использована комбинация этих методов, т.е. распределение на основе количества составных частей, а затем на основе априорных знаний.

А.2.4 Область применения и ограничения метода

Результаты метода анализа подобия могут быть применены непосредственно к решениям о конструкции оборудования, бизнес-решениям, решениям о структуре системы и по оценке безопасности. Применение этих результатов в качестве входа при оценке безопасности зависит от целей анализа безопасности, а также от уровня, на котором выполняют оценку безотказности.

А.2.5 Улучшение процесса

После того, как для объекта получены данные эксплуатации объекта, их сопоставляют с результатами оценки надежности. Противоречия исследуют для внесения изменений в процесс. Эти изменения могут относиться к процессу сбора и анализа данных или непосредственно к процессу, установленному в плановой документации.

Таблица А.1 — Пример характерных различий

Рисунок А.1 — Пример блок-схемы анализа подобия

Таблица А.2 — Пример таблицы анализа подобия высокого уровня

_______________

В таблице рассмотрен абстрактный объект. Пример приведен для иллюстрации применения метода.

Интенсивность отказов объекта-прототипа (миллион часов) = 50,77

Прогнозируемая интенсивность отказов (миллион часов) = 42,718

MTBF объекта-прототипа (ч) = 19697

Прогнозируемая MTBF (ч) = 23409

Таблица А.3 — Пример таблицы анализа подобия низкого уровня

Таблица А.4 — Пример таблицы коэффициентов различий процесса

Приложение В
(справочное)

Анализ долговечности

Примечание — В данном приложении приведена информация, помогающая пользователю понять применение метода анализа долговечности для оценки безотказности.

В.1 Описание и использование анализа долговечности

Анализ долговечности представляет собой структурированный анализ объекта на основе реакции оборудования на нагрузки при эксплуатации, техническом обслуживании, транспортировании, хранении и другой деятельности в процессе жизненного цикла для оценки среднего ресурса.

В соответствии с определением результаты анализа долговечности устанавливают в виде предполагаемой наработки до отказа, а не в виде интенсивности отказов или MTTF. Результатами анализа долговечности является продолжительность работы конкретного объекта до отказа, а не частота, с которой группа объектов в среднем отказывает.

Обычно анализ надежности направлен на оценку случайных наработок до отказа, которые будут происходить у оборудования в течение его периода эксплуатации. Предполагается, что эти отказы являются восстанавливаемыми в результате ремонта и могут быть вызваны множеством причин, таких как дефекты оборудования, неправильное использование, повреждения, вызванные несоответствующими условиями эксплуатации, несоответствующим техническим обслуживанием и т.д. С другой стороны, в процессе анализа долговечности исследуют отказы, вызванные износом определенных компонентов конструкции.

Основные этапы анализа долговечности:

a) определение режимов эксплуатации и условий окружающей среды;

b) анализ нагрузок;

c) моделирование повреждений.

Каждый из этих этапов рассмотрен ниже.

В.2 Анализ долговечности

В.2.1 Определение режимов эксплуатации и условий окружающей среды

Анализ долговечности связан с определением реакций оборудования на определенные нагрузки, которым подвергается оборудование в течение жизненного цикла. Поэтому анализ долговечности начинают с определения типов, величин и источников всех условий, в которых оборудование необходимо эксплуатировать, хранить или в которых оборудованием управляют.

Режимы эксплуатации включают:

— электрические нагрузки для функционирования оборудования;

— установившуюся температуру при самонагревании;

— изменения температуры в результате включения и выключения оборудования;

— вибрацию в процессе эксплуатации;

— требования к влажности с учетом влажности и конденсации;

— другие нагрузки, которые могут привести к отказам.

Нагрузки со стороны окружающей среды включают:

— установившуюся температуру окружающей среды;

— изменения в обеспечении необходимых условий, таких как обеспечение электропитания, охлаждения и т.п.;

— изменения окружающей температуры;

— окружающую влажность;

— окружающие химические загрязнители;

— механический удар при обработке;

— электромагнитное поле;

— отказы, вызванные техническим обслуживанием;

— механическую вибрацию при транспортировании;

— другие условия окружающей среды, которые могут привести к отказам объекта.

Некоторые сведения о перечисленных условиях могут быть получены от потребителя, другие могут быть получены из конструкторских документов или аналогичных публикаций. Невозможно определить количество всей необходимой информации относительно условий окружающей среды и режимов эксплуатации. В таких случаях может потребоваться техническое обоснование. Если условие известно или может возникнуть с высокой вероятностью, как правило, его лучше рассмотреть, чем проигнорировать.

Многие из соответствующих условий могут возникнуть на определенных этапах ожидаемого ресурса оборудования, таких как хранение, отгрузка и т.д. Важно знать или достоверно оценить продолжительность воздействия каждого из условий.

В.2.2 Анализ нагрузок

Описанные условия могут привести к нагрузкам, сокращающим ресурс оборудования. Анализ нагрузок предусматривает определение величины и воздействия нагрузок. В некоторых случаях нагрузки могут быть одинаковыми по всему оборудованию, например, температура может быть одинаковой, если окружающая температура является постоянной, а оборудование не выделяет или выделяет небольшое количество тепла при работе. В большинстве случаев нагрузки различны во времени и пространстве. Почти во всех случаях способность различных элементов оборудования противостоять нагрузкам различна.

Обычно анализ нагрузок проводят с использованием некоторого типа автоматизированного анализа, такого как анализ конечных разностей или конечных элементов. Результаты такого анализа обычно бывают представлены графически с выделенными областями наибольших воздействий нагрузок.

В.2.3 Моделирование разрушения

В.2.3.1 Общие положения

После идентификации типов, мест воздействия и величины нагрузок определяют их влияние на возникновение отказа, вызванного износом. Для этого используют модели процессов разрушения. Модели разрушения представляют собой математические уравнения, позволяющие спрогнозировать период времени, в течение которого объект может противостоять данной нагрузке до отказа, вызванного износом. (Модели разрушения также используют в форсированных испытаниях для анализа состояния объекта за более длительное время на низком уровне нагрузки на основе его состояния по истечении более короткого времени с более высоким уровнем нагрузок.)

Модели разрушения полезны для прогноза отказа, вызванного износом, возникшим под влиянием накопленных повреждений при работе объекта или при нарушении окружающих условий. Эти модели не применимы к отказам, вызванным превышением допустимых нагрузок.

Самыми строгими моделями разрушения являются модели, описывающие физику процессов, приводящих к отказу на уровне структуры или молекулярном уровне. Такие модели называют структурной моделью закрытой формы, составной моделью или моделью физики процессов, приводящих к отказу. Пример такой модели в области диффузии приведен в [4].

Другим типом модели разрушения является эмпирическая модель. Эмпирические модели не основаны на описании изменений структуры, они математически описывают данные, собранные в процессе испытаний и эксплуатации. Эти модели можно рассматривать как аппроксимирующую кривую, хотя знание физики процессов, приводящих к отказу, часто применяют при построении такой кривой. Примерами моделей этого типа являются некоторые из моделей, разработанных для испытаний на влияние влажности. Следует помнить однако, что большая часть таких моделей разрушения разработана с использованием некоторого уровня эмпиризма.

Модели разрушения изменяются от очень простых до очень сложных. Обычно более простые модели охватывают более широкий диапазон случаев, а более сложные модели соответствуют узкому набору ситуаций. Кроме того, некоторые более сложные модели могут быть трудны при использовании. Техническое обоснование должно описывать выбор самой простой модели, дающей удовлетворительные результаты. Возможно, лучшим советом в этом отношении является следующий [5]:

«……может существовать два или более истинных соотношений различных форм. Единственным разумным способом действий в этом случае является выбор соотношения, которое наиболее легко дает ответы на поставленные вопросы».

Различные формы модели разрушения доступны для анализа долговечности, необходимо рассмотреть все разумные модели. В данном приложении представлены три общих формы моделей:

a) модель Аррениуса;

b) обратный степенной закон;

c) модель Эйринга.

Большинство популярных используемых в настоящее время моделей разрушения представляют собой варианты одной из этих трех моделей. Эти и другие модели описаны во многих публикациях (см. например [6]-[10]).

Эмпирические значения коэффициентов моделей оценивают по результатам испытаний, проводимых по каждой новой технологии, составной части, поставляемых поставщиками. Данные могут быть получены от поставщиков компонент или из литературных источников.

В.2.3.2 Модель Аррениуса

В 1889 году (см. [11]) разработана модель, описывающая инверсию сахарозы. Модель представляет собой уравнение зависимости интенсивности процесса от температуры:

, (В.1)

где r — интенсивность реакции;

— константа;

— энергия активации в электроновольтах;

_______________

Обычно энергию активации указывают в электроновольтах, но иногда ее указывают в калориях или килоджоулях на моль 1 eV=23 килокалорий/моль = 96,5 килоджоулей/моль.

k — константа Больцмана (8617×10 eV/K);

T — температура реакции в K.

Произведение интенсивности реакции и времени, в течение которого происходит реакция, является постоянным для всех значений из области применения, т.е. для двух различных температур реакции и :

. (В.2)

Таким образом, для данного механизма наработку до отказа (если — константа) можно представить в виде

. (В.3)

Если постоянная А и энергия активации неизвестны, их можно определить путем проведения ускоренных испытаний при более высокой температуре, чем ожидаемая при использовании. Это позволяет определить коэффициент ускорения для уравнения Аррениуса:

, (В.4)

где индексы u и t соответствуют значениям при использовании и при испытаниях.

Уравнение Аррениуса описывает процессы с выделением тепла, такие как отвердевание, химические реакции, многие процессы отказа полупроводника, аккумулятора и т.п.

Уравнение Аррениуса применимо ко многим физическим процессам, приводящим к отказу, но в каждом случае значение энергии активации различно.

В.2.3.3 Обратный степенной закон

Обратный степенной закон описывает ресурс системы, который обратно пропорционален воздействующей нагрузке. Общая форма этого закона:

, (В.5)

где — время до реализации события (такого как отказ);

A — постоянная характеристика объекта;

S — воздействующая нагрузка;

n — показатель степени характеристики объекта.

Для различных применений разработаны различные формы обратного степенного закона. Одной из наиболее распространенных форм является закон Кофин-Мансона для испытаний на усталость [12], [13]:

, (В.6)

где — количество циклов до отказа;

A — константа, соответствующая материалу;

— диапазон пластической деформации;

B — константа, соответствующая материалу.

Это уравнение модифицировано для различных ситуаций (см. [14]-[19]). Оно применимо при механической циклической усталостной нагрузке в условиях постоянной температуры и при усталостной механической нагрузке, возникающей под воздействием циклического изменения температуры. Если общая воздействующая нагрузка выходит за границы диапазона упругих напряжений, для испытаний их на усталость применяют упрощенный коэффициент ускорения для изотермических испытаний на усталость

, (В.7)

где индексы u и t соответствуют использованию и испытаниям. Значения могут возникнуть из-за смещения при изгибе, растяжении, сжатии или других механических нагрузках. Аналогично упрощенный коэффициент ускорения для испытаний на усталость в условиях циклически изменяющейся температуры имеет вид:

, (В.8)

где — диапазоны применяемых циклических изменений температуры. Некоторые ограничения использования уравнения (В.7) указаны в [17], для уравнения (В.8) — в [19].

Приближенные значения, определенные на основе испытаний, приведены в таблице В.1, обычно используют для показателя В в уравнениях (В.7) и (В.8).

Таблица В.1 — Значения показателя В в уравнениях (В.7) и (В.8)

Графики обратного степенного закона на логарифмической бумаге (по обеим осям) представляет собой прямую линию с угловым коэффициентом В. Эту линию называют кривой S-N.

В.2.3.4 Модель Эйринга

В уравнениях Аррениуса и обратного степенного закона есть единственное напряжение. В модели [20] Эйринга имеется два члена, характеризующих нагрузку, один из которых представляет собой температуру. Общая форма уравнения Эйринга имеет вид:

, (В.9)

где — показатель ресурса объекта;

A и B — константы;

S — воздействующая нагрузка;

— показатель степени Аррениуса.

Воздействующая нагрузка S может быть любой, существующей в сочетании с температурой. Она может быть использована в преобразованном виде 1/S, InS и т.п. Две часто используемых нагрузки — влажность и напряжение. S также может быть дополнительным температурным элементом, таким как диапазон циклических изменений температуры или частота изменений температуры. Примером уравнения Эйринга является отношение температуры и влажности Пека для электронных микросхем [21], [22]:

, (В.10)

где — наработка до отказа;

A — константа;

RH — относительная влажность в процентах;

n — константа;

— показатель степени Аррениуса.

Значения n и определяют опытным путем, они могут отличаться в различных испытаниях. Обычно n=3,0 и 0,9 eV. Коэффициент ускорения имеет вид:

. (В.11)

В этом случае модель Эйринга представляет собой произведение обратного степенного закона для влажности и уравнения Аррениуса для температуры.

В.2.3.5 Выбор соответствующей модели разрушения

Модели разрушений по своим свойствам неточны. Наиболее эффективные модели обычно представляют собой компромисс между крайностями:

a) попыткой описания ситуации наиболее полно, в результате модели становятся очень сложными, имеют дефицит данных и становятся непригодными;

b) наиболее простым описанием, в результате модель является очень неточной.

В [23] приведено три правила выбора и использования моделей:

— основные предположения должны быть четко установлены, реалистичны и узнаваемы;

— необходимые данные должны отражать действительность и допускать возможность сбора;

— конечный результат должен быть представлен в упорядоченном виде и четко представлять решение практической задачи.

Три общих формы моделей, представленные выше, являются наиболее распространенными, используемыми в форсированных испытаниях, но они, конечно, не являются единственными. Часто необходимо использовать преобразование воздействия S для точного описания процесса, приводящего к отказу. Ниже приведены некоторые обычно используемые преобразования

A(1/S), A+B lnS, , A+B/S, 1/(A+BS), A+BS. (В.12)

В приведенных рассуждениях предполагалось, что воздействующие нагрузки полностью определены и постоянны. Многие модели описывают только единственную нагрузку и игнорируют воздействие других нагрузок, воздействующих одновременно. В действительности ситуация всегда является более сложной. Условия эксплуатации каждого объекта включают много воздействий, которые изменяются по интенсивности и диапазону в процессе эксплуатации.

В.3 Отчет о результатах анализа долговечности

Как правило, результаты анализа долговечности представляют в виде отчета, включающего перечень отказов, расположенных в хронологическом порядке от самого раннего до самого позднего. С точки зрения прогнозирования безотказности представляют интерес только самые первые наработки до отказа. Потому что анализ долговечности прогнозирует отказы, вызванные износом, которые по определению являются общей причиной, когда все объекты отказывают в результате износа за короткий промежуток времени (конкурирующие риски). Другое использование для результатов анализа долговечности, такое как принятие решений по проектированию и структуре оборудования, может потребовать использования более длинного перечня.

Тип информации, представленной в отчете об анализе долговечности, установлен нечетко. Как минимум, для каждого отказа должна быть включена следующая информация:

a) наработка до отказа. Как правило, это значение точечной оценки, однако распределения некоторых наработок до отказа могут быть известны. Наработка может быть определена при использовании модели Вейбулла. Часто поставщики заявляют наработку, соответствующую данному проценту отказов, например В10 (10% отказавших) и В50 (средний ресурс);

b) место отказа. Желательно знать, какой элемент конструкции откажет. Кроме того, что это полезные входные данные для анализа безопасности, эта информация может быть полезна проектировщикам при улучшении конструкции;

c) процесс, приводящий к отказу. Эта информация также полезна для анализа безопасности и улучшения конструкции;

d) нагрузки, возникающие в результате отказа. Эта информация может быть использована для оценки изменений режимов эксплуатации и условий окружающей среды для увеличения наработки до отказа.

Приложение ДА
(справочное)

Сведения о соответствии ссылочных национальных и межгосударственных стандартов международным стандартам, использованным в качестве ссылочных в примененном международном стандарте

Таблица ДА.1

Библиография

Электронный текст документа

и сверен по:

, 2019

Утвержден и введен в действие

Приказом Федерального агентства

по техническому регулированию

и метрологии

от 21 сентября 2021 г. N 987-ст

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

НАДЕЖНОСТЬ В ТЕХНИКЕ

АНАЛИЗ ВИДОВ И ПОСЛЕДСТВИЙ ОТКАЗОВ

Dependability in technics.

Failure modes and effects analysis

(IEC 60812:2018, Failure modes and effects analysis

(FMEA and FMECA), MOD)

ГОСТ Р 27.303-2021

(МЭК 60812:2018)

ОКС 03.120.01,

03.120.30,

21.020

Дата введения

1 января 2022 года

Предисловие

1 ПОДГОТОВЛЕН Закрытым акционерным обществом «Научно-исследовательский центр контроля и диагностики технических систем» (ЗАО «НИЦ КД») на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 119 «Надежность в технике»

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 21 сентября 2021 г. N 987-ст

4 Настоящий стандарт является модифицированным по отношению к международному стандарту МЭК 60812:2018 «Анализ видов и последствий отказов (FMEA и FMECA)» (IEC 60812:2018 «Failure modes and effects analysis (FMEA and FMECA)», MOD) путем внесения технических отклонений, которые выделены в тексте курсивом.

Международный стандарт разработан Техническим комитетом МЭК 56.

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).

Сведения о соответствии ссылочных национальных стандартов международным стандартам, использованным в качестве ссылочных в примененном международном стандарте, приведены в дополнительном приложении ДА

5 ВЗАМЕН ГОСТ Р 51901.12-2007 (МЭК 60812:2006)

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)

Введение

Анализ видов и последствий отказов (FMEA) является систематизированным методом исследования объекта или процесса, в основе которого лежит выявление возможных отказов, а также влияния этих отказов на функционирование объекта или процесса, окружающую среду и персонал. В настоящем стандарте описана методология выполнения FMEA.

Целью выполнения FMEA является поддержка принятия решений, направленных на снижение вероятности отказов и значимости их последствий. Применение FMEA помогает улучшить работу объекта либо непосредственно, либо с помощью других методов, использующих результаты FMEA. Применение FMEA способствует повышению безотказности, снижению воздействия на окружающую среду, снижению закупочных и эксплуатационных расходов, повышению деловой репутации и т.п.

Метод FMEA может быть адаптирован для применения во всех отраслях промышленности и организациях любого вида. Метод FMEA применим к оборудованию, программному обеспечению, процессам, действиям человека и их различным сочетаниям.

Метод FMEA может быть выполнен несколько раз в течение срока службы объекта или процесса. Предварительный анализ может быть проведен на ранних стадиях жизненного цикла (на ранних этапах проектирования), затем при наличии количества информации может быть проведен более детальный анализ. Метод FMEA может быть выполнен с учетом существующих средств контроля или рекомендованных методов, направленных на снижение вероятности и/или значимости последствий отказов. В случае анализа замкнутого цикла метод FMEA позволяет оценить эффективность всех воздействий на отказы.

Метод FMEA может быть адаптирован к различным ситуациям и применен различными способами в зависимости от поставленных целей.

Виды отказов могут быть ранжированы в соответствии с их значимостью. При ранжировании могут быть учтены не только последствия или критичность отказа, но и другие важные характеристики. При использовании ранжирования отказов метод называют анализом видов, последствий и критичности отказов (FMECA). В настоящем стандарте под FMEA следует понимать также и FMECA.

Настоящий стандарт содержит общее руководство по планированию, выполнению, документированию и поддержке метода FMEA путем:

a) описания принципов анализа;

b) рассмотрения этапов анализа;

c) представления примеров документации;

d) представления примеров применения метода.

Метод FMEA может быть использован при сертификации продукции или страховании. Например, метод FMEA может быть использован при анализе безопасности для целей регулирования, но, поскольку настоящий стандарт является общетехническим, он не содержит специального руководства по применению FMEA в области анализа безопасности.

Метод FMEA должен соответствовать применимым законодательным требованиям и требованиям в области риска.

Основными пользователями настоящего стандарта являются руководители и участники анализа.

В настоящем стандарте ссылки на международные стандарты заменены ссылками на межгосударственные и национальные стандарты.

1 Область применения

В настоящем стандарте приведено описание планирования, выполнения, документирования и поддержки применения метода анализа видов и последствий отказов (FMEA), включая анализ видов, последствий и критичности отказов (FMECA).

Анализ видов и последствий отказов (FMEA) направлен на выявление способов отказа объектов или процессов и способов предотвращения таких отказов в дальнейшем. FMEA представляет собой систематизированный метод идентификации видов отказов и их последствий для объекта или процесса на локальном и глобальном уровне. Этот метод может включать в себя определение причин отказов. Виды отказов могут быть ранжированы для использования при принятии решений об их устранении. Если ранжирование отказов включает в себя определение и учет значимости и других важных показателей последствий отказов, то анализ называют анализом видов, последствий и критичности отказов (FMECA).

Настоящий стандарт применим к оборудованию, программному обеспечению, процессам, включая действия человека, и их взаимодействию в любом сочетании.

FMEA может быть использован при анализе безопасности, выполнения законодательных и других требований, однако настоящий стандарт не содержит специального руководства по применению FMEA в области анализа безопасности.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ ISO 13849-1-2014 Безопасность оборудования. Элементы систем управления, связанные с безопасностью. Часть 1. Общие принципы конструирования

ГОСТ 27.002 Надежность в технике. Термины и определения

ГОСТ Р 22.0.12-2015 Безопасность в чрезвычайных ситуациях. Международные термины и определения

ГОСТ Р 27.013 Надежность в технике. Методы оценки показателей безотказности

ГОСТ Р 27.302 Надежность в технике. Анализ дерева неисправностей

ГОСТ Р 27.606 Надежность в технике. Управление надежностью. Техническое обслуживание, ориентированное на безотказность

ГОСТ Р 55.0.01 Управление активами. Национальная система стандартов. Общее представление, принципы и терминология

ГОСТ Р 51897 Менеджмент риска. Термины и определения

ГОСТ Р 51901.14 Менеджмент риска. Структурная схема надежности и булевы методы

ГОСТ Р 57273 Устойчивое развитие производственных сетей. Общие положения

ГОСТ Р ИСО 31000 Менеджмент риска. Принципы и руководство

ГОСТ Р ИСО/МЭК 31010 Менеджмент риска. Методы оценки риска

ГОСТ Р МЭК 61165 Надежность в технике. Применение марковских методов

ГОСТ Р МЭК 61508-1 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 1. Общие требования

ГОСТ Р МЭК 61508-2 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 2. Требования к системам

ГОСТ Р МЭК 61508-3 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 3. Требования к программному обеспечению

ГОСТ Р МЭК 61508-4 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 4. Термины и определения

ГОСТ Р МЭК 61508-5 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 5. Рекомендации по применению методов определения уровней полноты безопасности

ГОСТ Р МЭК 61508-6 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 6. Руководство по применению ГОСТ Р МЭК 61508-2 и ГОСТ Р МЭК 61508-3

ГОСТ Р МЭК 61508-7 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 7. Методы и средства

ГОСТ Р МЭК 62061 Безопасность оборудования. Функциональная безопасность систем управления электрических, электронных и программируемых электронных, связанных с безопасностью

ГОСТ Р МЭК 62502 Менеджмент риска. Анализ дерева событий

ГОСТ Р МЭК 62508 Менеджмент риска. Анализ влияния на надежность человеческого фактора

Примечание — При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя «Национальные стандарты» за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

3 Термины, определения и сокращения

3.1 Термины и определения

В настоящем стандарте применены термины по ГОСТ Р 51897, [1], а также следующие термины с соответствующими определениями:

3.1.1 вид отказа (failure mode): Способ и особенности возникновения отказа <1>.

———————————

<1> См. также ГОСТ 27.002.

Примечания

1 Вид отказа может представлять собой нарушение функции или ее утрату или другое изменение состояния.

2 Видами отказа оборудования могут быть, например: для клапана — «клапан не открывается» или для двигателя — «двигатель не запускается».

3 Вид отказа, связанного с действиями человека, представляет собой утрату функции объекта в результате действий человека (совершенных или не совершенных).

3.1.2 последствия отказа (failure effect): Результаты воздействия отказа на объект (явления, процессы, события и состояния) внутри или вне границ отказавшего объекта.

Примечания

1 В некоторых случаях может потребоваться рассмотрение отдельных видов отказов и их последствий.

2 Последствия отказа также охватывают последствия внутри или вне границ отказавшего процесса.

3.1.3 система (system): Набор взаимодействующих элементов, сформированный для достижения одной или нескольких поставленных целей <1>.

———————————

<1> См. также [2].

Примечания

1 Систему иногда рассматривают как объект или как предоставляемые услуги.

2 На практике значение этого термина часто разъясняется с помощью ассоциативного существительного, например система летательного аппарата. Слово «система» часто опускают, используя синоним; например, вместо термина «система летательного аппарата» используют термин «самолет», хотя он не подчеркивает то, что объект является системой.

3.1.4 объект (item): Любая часть, элемент, устройство, подсистема, функциональная единица, аппаратура или система, рассматриваемые самостоятельно.

Примечания

1 Объект может быть отдельной деталью, компонентом, устройством, функциональным блоком, оборудованием, подсистемой или системой.

2 Объект может представлять собой аппаратное обеспечение, программное обеспечение, персонал или любую их комбинацию.

3 Объект часто состоит из элементов, каждый из которых может быть рассмотрен отдельно.

4 В [1] введен в качестве английского синонима термин «сущность», который не всегда может быть применен.

5 Определение в [1] больше похоже на описание. В настоящем стандарте использован термин «объект». Определение термина по [1] приведено в качестве примечания 1.

3.1.5 процесс (process): Совокупность взаимосвязанных и/или взаимодействующих действий, преобразующих входы в выходы.

3.1.6 иерархический уровень (hierarchy level): Уровень деления системы, объекта или процесса на составные части в соответствии с их структурой.

Примечания

1 Иерархический уровень также называют контрактным уровнем (см. [1]).

2 Верхний и нижний иерархические уровни соответствуют верхнему и нижнему уровням структуры системы соответственно. Средний иерархический уровень соответствует одному из уровней между высшим и низшим уровнями.

3.1.7 элемент (element): Неделимая (в соответствии с иерархической структурой) часть системы, объекта или процесса, для которой должны быть идентифицированы виды отказов <2>.

———————————

<2> См. также ГОСТ 27.002.

3.1.8 сценарий (scenario): Возможная последовательность заданных ситуаций и обстоятельств, которые могут возникнуть при функционировании системы, объекта или процесса.

Примечания

1 Ситуации и обстоятельства могут включать действия или факторы вне границ исследуемого объекта или процесса, которые могут повлиять на работу объекта или процесса.

2 Физические ситуации и обстоятельства охватывают все факторы окружающей среды, такие как температура, влажность, освещенность, ударные нагрузки, наличие загрязнения, уровни излучений.

3 Организационные ситуации и обстоятельства включают такие факторы, как уровень квалификации, физические и психологические нагрузки персонала.

3.1.9 причина отказа (failure cause): Совокупность обстоятельств (явлений, процессов, событий и состояний), приводящая к отказу.

Примечания

1 Причина отказа может возникнуть при установлении требований, в процессе проектирования, изготовления, монтажа, эксплуатации или обслуживания объекта.

2 Примерами причины отказа могут быть загрязнение или недостаточная смазка, что приводит к такому виду отказа, как заклинивание подшипника.

3 Причины отказа процесса могут охватывать ошибки человека, такие как чрезмерная нагрузка, нарушение памяти, неверное понимание, ошибочные предположения.

3.1.10 механизм отказа (failure mechanism): Процесс, приводящий к отказу.

Примечание — Процесс может быть физическим, химическим, логическим, психологическим или их комбинацией.

3.1.11 правдоподобность (появления события) (likelihood): Характеристика возможности и частоты появления события.

Примечания

1 Термин «правдоподобность» часто используют в качестве характеристики возможности появления события, которая может быть определена или оценена объективно или субъективно, качественно или количественно и описана с использованием терминов общих или математических (вероятность или частота события за заданный период времени).

2 Английский термин «правдоподобность» не имеет прямого эквивалента в некоторых языках; вместо него часто применяют термин «вероятность».

3.1.12 значимость (последствий) (severity): Относительный ранг возможных или фактических последствий отказа или неисправности <1>.

———————————

<1> См. также [3].

Примечание — Значимость может быть определена для любых последствий.

3.1.13 метод обнаружения (detection method): Способ, позволяющий выявить вид отказа или его зарождение.

3.1.14 средства контроля (control): Предусмотренные конструкцией объекта встроенные устройства или самостоятельное оборудование, которые способны предотвратить отказ, снизить вероятность его возникновения или изменить его последствия.

Примечание — Средства контроля также могут быть отнесены к компенсационному обеспечению.

3.1.15 критичность (вида отказа) (criticality): Уровень значимости, определяемый при ранжировании отказов, с использованием установленных критериев оценки.

Примечания

1 Критерии оценки критичности обычно относятся к последствиям отказа для верхнего уровня иерархии системы, объекта или процесса.

2 Мера критичности обычно сочетает значимость последствий, по крайней мере с одной другой характеристикой вида отказа.

3 Конкретное значение критичности зависит от метода оценки, определенного при анализе и подробно рассмотренного в настоящем стандарте.

4 Критичность относится к виду отказа, а не к причинам отказа (если последние определены).

3.1.16 обработка (вида отказа) (treatment): Действия, направленные на изменение вероятности и/или последствий вида отказа.

Примечания

1 Обработку иногда называют снижением вероятности или последствий отказа.

2 Обработка может включать действия по устранению причины отказа, изменению вероятности возникновения отказа и/или последствий отказа.

3.1.17 ошибка человека (human error): Несоответствие между действиями человека, предпринятыми или невыполненными, и действиями, выполнение которых предполагается или необходимо.

Пример — Выполнение неверного действия; невыполнение требуемого действия; ошибка в расчетах, неверное прочтение значения.

3.1.18 резервирование (redundancy): Способ обеспечения надежности системы за счет использования нескольких способов выполнения функции <2>.

———————————

<2> См. также ГОСТ Р 27.002.

Примечание — Способы выполнения функции могут быть преднамеренно различными для снижения возможности возникновения отказов общего вида.

3.1.19 отказы по общей причине (common cause failures): Отказы нескольких объектов, возникающие вследствие одного события, которые без рассмотрения причин считались бы независимыми.

Примечания

1 Отказы по общей причине также могут быть «отказами общего вида».

2 Возможность возникновения отказов по общей причине снижает результативность резервирования системы.

3.1.20 отказы общего вида (common mode failures): Отказы различных объектов (внутри системы), характеризующиеся одним и тем же видом отказа.

Примечания

1 У отказов общего вида могут быть различные причины.

2 Отказы общего вида могут быть также отказами по общей причине.

3 Возможность возникновения отказов общего вида снижает результативность резервирования системы.

3.1.21 тестируемость (объекта) (testability): Степень, до которой объект может быть проверен в процессе и после функционирования для обнаружения и выделения отказов или неисправностей.

3.2 Сокращения

В настоящем стандарте применены следующие сокращения:

APPN — значение приоритетности альтернативного риска;

CCF — отказы по общей причине;

COTS — покупная продукция;

CSU — компонент программного обеспечения;

DC — диагностический охват;

EMI — электромагнитные помехи;

EMP — электромагнитный импульс;

ESD — аварийное отключение;

ETA — анализ дерева событий;

FIT — количество отказов в единицу времени;

FTA — анализ дерева неисправностей;

FMEA — анализ видов и последствий отказов;

FMECA — анализ видов, последствий и критичности отказов;

FMEDA — анализ видов, последствий и выявления отказов;

MTBF — средняя наработка между отказами;

MTTR — среднее время восстановления;

OEM — изготовитель оригинального оборудования;

RBD — структурная схема надежности;

RCM — техническое обслуживание, ориентированное на безотказность;

RPN — ранг приоритетности риска;

SFF — доля безопасных отказов;

SIL — уровень полноты безопасности;

SOD — значимость, возникновение и обнаруживаемость.

4 Общие положения

4.1 Цель и задачи

FMEA — метод, в котором объект или процесс разбивают на элементы и для каждого элемента по очереди идентифицируют и анализируют виды отказов и их последствия. Анализ позволяет выявить все необходимые улучшения путем устранения неблагоприятных последствий или снижения их вероятности и/или значимости. Целью добавления к FMEA анализа критичности является обеспечение возможности ранжирования видов отказов для их обработки. Применение FMEA позволяет обеспечить:

— идентификацию видов отказов, оказывающих нежелательное влияние на работу системы, например прерывающих или значительно ухудшающих работу объекта или влияющих на безопасность пользователя и других лиц;

— улучшение конструкции и изготовление объекта или процесса экономически эффективным способом за счет улучшений на ранних этапах программы проектирования и разработки;

— идентификацию риска в рамках процесса менеджмента риска (ГОСТ Р ИСО 31000);

— выполнение установленных законодательных и обязательных требований путем демонстрации того, что выявленные виды риска идентифицированы и учтены;

— основу для применения других видов анализа надежности (в приложении D рассмотрена взаимосвязь FMEA с другими методами анализа надежности);

— разработку и поддержку программы испытаний на безотказность;

— основу планирования программ технического обслуживания и ремонта, таких как техническое обслуживание, ориентированное на безотказность (ГОСТ Р 27.606);

— ключевой процесс системы управления активами (ГОСТ Р 55.0.01).

FMEA — метод анализа последствий единичных отказов. Если FMEA используют для анализа отказов взаимозависимых объектов, то он может быть рассмотрен с ограничениями (5.3.6 и 5.3.7.2).

4.2 Функции, обязанности и компетентность персонала

Метод FMEA требует, чтобы выполняющие его лица (например, команда FMEA) приняли на себя ответственность за следующее:

— управление процессом выполнения FMEA;

— определение формы FMEA и его адаптацию с учетом особенностей применения;

— идентификацию и анализ видов отказов и их последствий для объекта или процесса;

— определение необходимой обработки видов отказов;

— составление отчета об FMEA, включая предложения и рекомендации.

В настоящем стандарте предполагается, что в выполнении FMEA участвуют аналитик, специалисты, руководитель и заинтересованные стороны, функции и обязанности которых описаны ниже.

а) Аналитик

Лицо, ответственное за анализ применимости FMEA, управление адаптацией FMEA, обеспечение правильного и последовательного выполнения FMEA и взаимодействие с руководителями и другими заинтересованными сторонами. Аналитик должен быть компетентен в области FMEA и должен иметь соответствующие технические знания для рассмотрения работы других компетентных сотрудников, участвующих в выполнении анализа.

Примечание — При выполнении FMEA в команде FMEA функции отвода члена команды может выполнять ведущий заседаний (далее — фасилитатор).

б) Специалисты

Лица, обладающие соответствующими знаниями и опытом для рассмотрения всех аспектов исследуемого объекта или процесса, включая, при необходимости, социальные, экономические и экологические аспекты.

в) Руководитель

Лицо, ответственное за определение цели FMEA, использование ресурсов, утверждение адаптации анализа, разработку предложений и рекомендаций по обработке видов отказов. Функции руководителя FMEA может выполнять руководитель, имеющий полномочия на выполнение проекта.

г) Заинтересованные стороны

Люди или организации, которые могут затронуть, быть затронутыми или чувствовать себя затронутыми решением или действием. Заинтересованными сторонами могут быть потребители (например, владельцы контрактов), органы власти (например, регулирующие органы), пользователи (например, изготовители и специалисты по техническому обслуживанию), поставщики (например, поставщики услуг, компонентов) и лица, которые могут пострадать в результате отказов.

4.3 Особенности применения использованных терминов

Для удобства в настоящем стандарте термин «анализ видов и последствий отказов», сокращенно «FMEA», использован в качестве общего термина для всех вариантов применения или степени адаптации анализа, включая FMECA.

Термины «объект» или «процесс» использованы для обозначения объекта анализа FMEA. Объект или процесс могут быть частью более крупной системы, для которой необходимо применение нескольких видов FMEA.

Примеры терминов, относящихся к верхнему, среднему и нижнему иерархическим уровням, приведены в таблице 1. Термины в таблице 1 не являются исчерпывающими. Например, программное обеспечение может быть встроено в аппаратную систему или система может содержать человеческий фактор.

Таблица 1

Примеры терминов, относящихся

к иерархическим уровням системы

5 Методология FMEA

5.1 Общие положения

На рисунке 1 показана блок-схема действий, выполняемых в процессе FMEA. Действия включают три этапа: планирование, выполнение и документирование. Действия обычно выполняют последовательно, но возможны итерации (повторения), например в ситуациях, когда FMEA является частью программы разработки или когда анализируемая система является объектом изменения.

Рисунок 1 — Общая методология FMEA (до адаптации)

FMEA должен быть выполнен в соответствии со всеми законодательными требованиями, распространяющимися на область применения FMEA, и типом соответствующих рисков.

В случае, когда в настоящем стандарте дана ссылка на запись/идентификацию/определение/описание/состояние/документ/некоторую информацию, это означает, что информация должна быть включена в соответствующую документацию FMEA, например в отчет об FMEA, в план FMEA, документацию после завершения FMEA, такую как план последующих действий.

Действия, показанные на рисунке 1, должны быть адаптированы по отношению к области применения FMEA. Это означает, что не все перечисленные действия всегда должны быть выполнены. В приложении A приведены общее руководство и примеры адаптации метода.

5.2 Планирование FMEA

5.2.1 Общие положения

Планирование FMEA включает в себя рассмотрение следующих вопросов: зачем должен быть выполнен анализ, какие объекты или элементы процесса должны быть исследованы, какие сценарии использованы и как анализ должен быть выполнен наиболее эффективно и результативно. При необходимости следует консультироваться с руководителями и заинтересованными сторонами, чтобы их цели и интересы были правильно поняты и учтены при выполнении анализа.

Результатом этапа планирования является план применения FMEA в конкретных условиях. План FMEA определяет:

— цели и область применения анализа (5.2.2);

— границы объекта анализа и используемые сценарии (5.2.3);

— критерии принятия решений для обработки видов отказов (5.2.4);

— способы документирования и записей об анализе (5.2.5);

— способ выделения ресурсов для анализа (5.2.6).

План может также включать описание факторов, влияющих на анализ, таких как:

— взаимосвязи с основными этапами проекта для определения времени, необходимого для получения результатов анализа;

— методологии или документация, необходимые для понимания функции объекта или последовательности действий процесса;

— требования контракта;

— предыдущий опыт и доступная информация.

План FMEA может быть самостоятельным документом или частью документа более высокого уровня, такого как план разработки проекта или план управления разработкой системы.

5.2.2 Определение целей и области применения анализа

При определении целей и области применения анализа устанавливают основы анализа и выбирают подход к FMEA, при котором результаты анализа соответствуют его целям.

Результатом этих действий должно быть следующее:

— установление цели, определяющей причины выполнения анализа.

Пример — Исследование робастности возможной конструкции; определение средств улучшения процесса и процедур уменьшения количества отказов; выявление возможностей повышения безотказности; идентификация рисков; выполнение договорных требований; предложение требований к программам технического обслуживания и поддержки;

— установление целей, определяющих конечную результативность FMEA способом, позволяющим оценить результаты анализа как успешные или неуспешные.

Формулировка целей должна быть включена в план FMEA.

В некоторых случаях может оказаться целесообразным проведение более официальных консультаций с заинтересованными сторонами и подробное документирование решений и результатов анализа.

5.2.3 Идентификация границ и используемых сценариев

5.2.3.1 Общие положения

Объект анализа, его границы и условия использования должны быть описаны так, чтобы гарантировать, что область применения анализа будет понятна как пользователям FMEA, так и аналитикам. Это обеспечивает то, что важные аспекты не упущены в результате неверных предположений относительно области применения анализа. Это описание должно становиться более подробным по мере выполнения планирования и может включать в себя диаграммы, такие как технологические схемы, функциональные блок-схемы, структурные схемы надежности, функционально-иерархические структурные схемы или ссылки на документы, их содержащие.

Для больших или сложных систем (например, железная дорога) может потребоваться разделить систему на подсистемы (например, подвижной состав, система сигнализации, диспетчерский пункт), для каждой из которых FMEA выполняют отдельно. Деление системы может соответствовать физическим или функциональным границам и может зависеть от договорных требований или организационных факторов. Деление системы должно быть выполнено так, чтобы объем каждого FMEA был управляемым и каждый FMEA был логически связан со всеми другими, что позволяет учесть влияние подсистем друг на друга и на систему в целом. Особое внимание следует уделять интерфейсам <1> между подсистемами. Границы подсистем должны быть четко установлены.

———————————

<1> Интерфейс — совокупность средств, методов и правил, обеспечивающих взаимодействие.

5.2.3.2 Определение уровня применения и подхода FMEA

FMEA может быть применен на всех уровнях иерархии объекта или процесса (таблица 1). Варианты выполнения FMEA могут быть различными в зависимости от цели и стадии жизненного цикла. В приложении A приведены общее руководство и примеры FMEA.

Пример — На ранних стадиях разработки объекта FMEA может быть применен к верхним или средним уровням иерархии объекта, при этом причины отказов рассматривают как отказы элементов на следующем, более низком уровне. На более поздних этапах разработки объекта рассматривают элементы самого низкого уровня иерархии, соответствующего целям анализа. Идентифицируют все виды отказов, связанные с такими элементами, и их влияние на следующий, более высокий уровень. FMEA всегда определяет влияние видов отказов на высший уровень иерархии в пределах области применения анализа.

5.2.3.3 Определение границ объекта анализа

Границы, взаимосвязи, зависимости и интерфейсы между объектом, исследуемым FMEA, и другими частями системы, включая интерфейсы с человеком, должны быть определены. Определение границ должно включать входы и выходы объекта или процесса и четко устанавливать, какие интерфейсы относятся к области определения анализа, а какие нет.

Границы объекта зависят от условий и могут зависеть от таких факторов, как конструкция или предполагаемое использование. Может возникнуть необходимость в явном размещении объектов или этапов процесса за границами исследований для сокращения объема FMEA или потому, что детальные знания о границах не могут быть получены.

По возможности следует определять границы объектов в каждом FMEA для облегчения выполнения анализа и объединения с другими соответствующими исследованиями. В некоторых случаях полезно определить границы объекта с функциональной точки зрения, чтобы ограничить количество связей с другими объектами или процессами вне анализа. Это часто имеет место, если объект или процесс является функционально сложным с множеством взаимосвязей внутри и/или вне границ.

5.2.3.4 Определение используемых сценариев

При выполнении FMEA его всегда необходимо рассматривать в условиях одного или нескольких установленных сценариев использования объекта. Используемые сценарии, к которым должен быть применен FMEA, необходимо определить в соответствии с целями анализа и достаточно подробно описать для облегчения идентификации всех соответствующих отказов. Сценарии могут включать определенные состояния вне установленных нормальных условий использования объекта.

Пример — Сценарии при анализе оборудования могут иметь вид «нормальная работа» или «хранение», при анализе процесса — «ночная смена» или «экстренное реагирование».

Описание сценария обычно включает в себя физические условия окружающей среды, такие как внешние условия в сочетании с условиями, создаваемыми другими объектами или действиями в непосредственной близости от исследуемого объекта. Другие соответствующие факторы включают в себя организационные ограничения, такие как уровни компетентности персонала, физические или психологические стрессы, которые могут влиять на поведение человека.

Все внутренние и внешние факторы, которые могут повлиять на виды и последствия отказов, должны быть установлены так, чтобы они могли быть рассмотрены при анализе.

Должен быть установлен контрольный журнал для документов, используемых при определении сценариев.

5.2.4 Определение критериев принятия решений для обработки видов отказов

Критерии для определения того, по каким видам отказов необходима обработка, и приоритеты действий должны быть определены до проведения анализа. Эти критерии должны учитывать цели анализа, все юридические или договорные требования и мнения заинтересованных сторон относительно того, что является приемлемым. Критерии должны обеспечивать последовательный и обоснованный выбор режимов отказов, по которым необходима обработка. Кроме того, критерии должны указывать, когда рекомендованная обработка является достаточной. Критерии принятия решений относительно отказов, по которым необходима обработка, должны быть утверждены и одобрены руководством проекта.

Виды последствий, относящихся к анализу, должны быть определены (например, последствия, связанные с экономическими воздействиями, физическим ущербом, психологическими травмами или нематериальными последствиями, такими как потеря репутации).

Критерии принятия решений зависят от области применения FMEA и должны регулярно пересматриваться, например, с учетом опыта эксплуатации. Обработка видов отказов может быть рекомендована как часть FMEA или как часть последующих действий.

Решение о необходимости обработки видов отказов и приоритеты обработки обычно учитывают значимость воздействия отказа на цели и функции системы в целом, а также относительные преимущества вариантов обработки и затраты на их выполнение.

В некоторых случаях может быть выполнен формальный анализ критичности, когда каждому виду отказа присваивают ранг критичности. Критерии определения критичности включают в себя:

— значимость влияния отказа на цели и функции системы или высший уровень, относящийся к предмету анализа;

— вероятность того, что отказ может возникнуть и привести к последствиям указанной значимости;

— возможность своевременного обнаружения отказа для смягчения или предотвращения его последствий.

Значимость и вероятность отказа или значимость, вероятность и обнаруживаемость отказа могут быть объединены для определения меры критичности. Это может быть сделано с использованием матрицы, графика или значений приоритетности риска (RPN). Не существует единого универсального метода анализа критичности. В приложении B приведено два наиболее распространенных метода. Они могут быть использованы без изменений или адаптированы к условиям организации.

Примечание 1 — Метод, используемый для анализа критичности, может варьироваться в зависимости от особенностей проекта, даже в пределах одной организации, хотя предпочтителен последовательный подход к анализу критичности.

Анализ критичности особенно полезен, когда существуют ограничения на варианты обработки, связанные с затратами, техническими сложностями или ограничениями по времени.

Анализ критичности может оказаться бесполезным, если необходимо выполнить обработку по всем выявленным видам отказов или если недостаточно информации для получения обоснованных оценок значений критичности. Кроме того, в некоторых случаях анализ критичности может быть неэффективным.

Примечание 2 — Критичность можно рассматривать в соответствии с риском. Руководство по анализу риска приведено в ГОСТ Р ИСО/МЭК 31010.

План FMEA должен включать детали критериев принятия решений и, если необходим анализ критичности, метод определения критичности. Критерии принятия решений также должны быть подробно описаны в отчетах об FMEA.

5.2.5 Определение требований к документации и записям

5.2.5.1 Общие положения

Целью является документирование в логической последовательности всей информации, использованной и разработанной в процессе FMEA. Таким образом, анализ и полученные по его результатам выводы и рекомендации должны быть понятными и однозначными. Документация FMEA должна обеспечивать возможность проверки, четкую прослеживаемость и включать:

— описание способов использования результатов;

— обоснование решений, принятых на основе анализа;

— обоснование адаптации анализа, включая метод, используемый для оценки и ранжирования критичности;

— перечень источников информации, используемых при выполнении FMEA, с проверяемыми ссылками на источники;

— свидетельства соответствия нормативным и договорным обязательствам.

Результаты FMEA могут быть входными данными для других видов анализа или представлять собой отдельный отчет FMEA.

Форма документации FMEA должна быть установлена при планировании FMEA. Форма отчета о результатах FMEA должна соответствовать стандартам и процедурам организации с учетом целей, сложности и объема FMEA. Документация, разрабатываемая при выполнении FMEA, может представлять собой комбинацию баз данных, электронных документов и отчетов на бумаге. Средства обеспечения прослеживаемости в таких разнородных средах должны быть определены.

Поскольку FMEA является итеративным методом, документацию разрабатывают постепенно в течение срока службы исследуемого объекта или процесса. Документацию FMEA необходимо обновлять в установленные сроки. Например, на ключевых этапах проекта, при появлении новой информации, по мере продвижения работ по проектированию, при определении и выполнении действий по улучшению, при получении данных обратной связи и опыта использования объекта. Пересмотр документации FMEA необходимо контролировать в соответствии с процессом управления документацией в организации. Опыт и результаты, полученные при выполнении FMEA, должны быть использованы в будущем при разработке новых проектов.

5.2.5.2 Содержание отчета об FMEA

Отчет об FMEA, как минимум, должен включать:

— описание анализируемой системы, объекта или процесса вместе с соответствующими ограничениями, функциональной схемой и чертежами, которые определяют структуру объекта (процесса);

— четкое описание области применения и границ с указанием конкретных исключений;

— критерии, используемые для определения необходимости обработки;

— предположения, сделанные в отношении анализируемых объекта или процесса и соответствующих используемых сценариев;

— детальное описание методологии, лежащей в основе анализа;

— идентификацию заинтересованных сторон и вовлеченного персонала;

— описание метода проведения анализа критичности, которое должно быть достаточно подробным и обеспечивать независимую проверку;

— источники данных и других применимых материалов (с указанием их статуса, даты выпуска/пересмотра), на которых должен быть основан FMEA;

— определение видов отказов, их последствий и, при необходимости, их критичности и причин. Описание видов и последствий отказов не должно содержать ссылки на документы, не указанные в отчете;

— краткое изложение результатов и рекомендуемой обработки видов отказов, если такие рекомендации получены, включая рекомендации относительно будущего анализа, если это необходимо. Документация FMEA может включать только краткое изложение рекомендуемой обработки. Такая обработка затем должна быть выполнена в соответствии с планом действий, не относящимся к документации FMEA;

— ограничения и недостатки FMEA, которые должны быть устранены при выполнении FMEA в будущем;

— изменения проекта, которые уже были включены в объект в результате FMEA, и все нерешенные проблемы. В некоторых случаях никакие действия не могут быть предприняты, даже если в результате FMEA рекомендована обработка видов отказов. В таких случаях обоснование невозможности выполнения действий должно быть зафиксировано в документации по управлению действиями, а документация FMEA должна быть обновлена после принятия окончательного решения. Необходимы мониторинг и анализ возможного воздействия невыполнения рекомендованной обработки;

— записи об анализе, которые могут быть включены в качестве приложения к отчету в виде рабочих листов. Если эти записи обширны или используют базы данных, должны быть даны ссылки, указывающие, где можно найти соответствующую информацию.

Сбор и хранение информации, ее поддержка и обеспечение доступа к ней могут потребовать значительных затрат для организации, следует заботиться о том, чтобы все разработанные документы повышали ценность FMEA. Возможны любые форматы отчетов FMEA, выбранный формат часто определяет полученную информацию, сделанные оценки и процесс, используемый для получения результатов. В приложении C приведены примеры рабочих листов FMEA.

5.2.6 Определение ресурсов для анализа

5.2.6.1 Информационные ресурсы

Для выполнения FMEA обычно требуется следующая информация:

— исследуемый объект или процесс, его цели и функции в системе в целом;

— элементы объекта или процесса и их характеристики, изготовление и функции;

— логические, физические и функциональные связи между элементами, например структурные схемы надежности, функциональные блок-схемы, технологические карты, чертежи системы, версии программного обеспечения, структура и процессы управления. Эта информация, возможно, уже была собрана при проведении соответствующего анализа надежности (приложение D);

— уровень резервирования и особенности запасного оборудования, резервированные оборудование или процессы, или параллельно работающие составные части;

— положение и значимость объекта или процесса для организации (если это возможно);

— входы и выходы объекта или процесса и их элементов;

— взаимодействия с другими связанными объектами или процессами и с окружающей средой, в которой работает объект;

— все изменения структуры объекта для различных режимов работы;

— общие базы данных, содержащие виды отказов, событий, относящихся к их возникновению, и интенсивности отказов;

— данные эксплуатации;

— данные предыдущего анализа FMEA по тем же или аналогичным объектам или процессам, если это необходимо.

Информация, относящаяся к функциям, характеристикам и работе, необходима для всех уровней рассматриваемых объектов или процессов, вплоть до самого высокого уровня в пределах области применения FMEA, что позволяет при выполнении анализа должным образом учитывать виды отказов, влияющие на все функции.

Сбор информации продолжают в процессе FMEA, так как анализ часто показывает, где необходима дополнительная информация. Информация должна быть достоверной и понятной всем участникам.

Основная информация об исследуемом объекте или процессе может быть представлена в виде информационного пакета до начала анализа, аналитик, выполняющий FMEA, должен иметь доступ ко всей соответствующей информации.

5.2.6.2 Персонал

Для выполнения FMEA необходимы специалисты, компетентные в области технических аспектов исследуемого объекта или процесса, а также видов и последствий его отказов, имеющие соответствующие полномочия.

Необходимые навыки и компетенции включают в себя:

— умение применять метод FMEA;

— понимание технических аспектов исследуемого объекта или процесса, а также видов и последствий его отказов;

— навыки фасилитатора (при выполнении анализа командой).

Для работы может потребоваться междисциплинарная группа, подход и состав которой зависят от целей анализа.

Пример — В случае информационной системы в команде могут участвовать системный инженер и эксперт по программному обеспечению.

При проведении анализа также могут быть необходимы дополнительные знания о конкретной продукции или услуге. В этом случае в анализе также должны участвовать другие лица с соответствующими компетенциями.

5.2.6.3 Физические ресурсы

Физические ресурсы обычно необходимы для распределения информации и работ в процессе анализа среди реальных или виртуальных членов команды или заинтересованных сторон. К физическим ресурсам относятся выделенные конференц-залы, аудиовизуальная поддержка для виртуальных обсуждений и общие информационные системы, включая существующие базы данных FMEA и т.д. Такие ресурсы следует выбирать на основе экономической целесообразности и ценности с точки зрения качества, полезности (при начальном и повторном использовании) и своевременности результатов анализа.

5.3 Выполнение FMEA

5.3.1 Общие положения

Этапы выполнения анализа установлены в 5.3.2 — 5.3.9.

5.3.2 Деление объекта или процесса на элементы

Для выполнения FMEA объект анализа подразделяют на элементы в соответствии со следующими правилами:

— систему можно разделить на функциональные блоки;

— объекты аппаратного обеспечения могут быть разделены на более мелкие и менее сложные составные части или компоненты;

— процессы могут быть представлены в виде последовательности действий, или этапов;

— программное обеспечение может быть разделено на программные модули или функции;

— отдельные интерфейсы могут быть идентифицированы в виде связей между элементами, между элементом и пользователем или элементом и средой.

Примечание 1 — Объект анализа может представлять собой комбинацию аппаратных средств, программного обеспечения и/или процессов.

Примечание 2 — Люди могут являться элементом системы, механизмы возникновения ошибок человека при работе могут быть учтены в анализе причин аппаратного и/или программного отказа.

Соответствующий уровень детализации анализа зависит от особенностей и желаемых результатов анализа. В целом большое количество уровней деления объекта FMEA обеспечивает эквивалентный уровень детализации возможных видов и последствий отказов, а также более подробные стратегии обработки, но в этом случае анализ потребует больше времени.

5.3.3 Определение функций и стандартов функционирования каждого элемента

Для формирования основы FMEA необходимо четкое установление всех функций каждого элемента. При анализе каждую функцию элемента следует рассматривать отдельно.

Для каждой идентифицированной функции должен быть определен стандарт функционирования, что позволяет определить, что является отказом, и, следовательно, определить виды отказов. Функцию каждого элемента можно вывести на основе функциональных требований или других доступных источников.

Выбранный стандарт функционирования должен отражать уровень работы, необходимый для выполнения элементом его функций в условиях использования объекта или процесса, а не его возможности. Стандарт функционирования должен быть однозначным и, по возможности, использовать количественные величины.

5.3.4 Идентификация видов отказов

Для каждого элемента объекта или процесса должны быть установлены ситуации, в которых элемент или процесс может перестать соответствовать критериям своего работоспособного состояния. Элемент может иметь несколько видов отказа. Каждый вид отказа должен быть описан отдельно. Анализ должен быть направлен на выявление всех возможных видов отказа, относящихся к целям анализа.

В зависимости от цели и области применения анализа для определения видов отказов каждого элемента в процессе жизненного цикла объекта рассматривают следующее:

— применение;

— режим работы;

— соответствующие функциональные требования;

— нагрузки, возникающие под воздействием экологических факторов, и тенденции их изменения;

— психологические стрессы и социальные изменения;

— рабочие нагрузки при хранении, транспортировке и техническом обслуживании;

— нагрузки в процессе утилизации и ликвидации.

Как правило, информация о виде отказа может быть получена из следующих источников:

— для новых объектов и процессов могут быть использованы данные о других объектах и процессах с аналогичной функцией и структурой, работающих в близких условиях;

— для существующих элементов и процессов виды отказов могут быть известны из предыдущего FMEA. Однако следует провести проверку для выявления различий в использовании элементов, которые могут привести к различным видам отказов (A.2.1);

— опыта эксплуатации;

— эксплуатационных и экологических испытаний внутри установленных границ или за их пределами;

— контрольных перечней общих видов отказов для установленных типов элементов;

— баз данных о техническом обслуживании и ремонте;

— базы данных об инцидентах и авариях;

— знаний, относящихся к области исследований.

5.3.5 Идентификация методов обнаружения отказов и существующих средств контроля

5.3.5.1 Общие положения

Для каждого вида отказов должны быть идентифицированы существующие методы обнаружения отказов и средства контроля.

Средства контроля представляют собой устройства, используемые для предотвращения или уменьшения вероятности возникновения вида отказа или смягчения его последствий, в то время как методы обнаружения отказа представляют собой способы идентификации вида отказа, неисправности или инцидента <1>.

———————————

<1> См. ГОСТ Р 22.0.12-2015 (пункт 2.1.15).

Раннее обнаружение отказа или признаков его приближения может позволить операторам, специалистам по техническому обслуживанию, пользователям и другим лицам вмешаться и уменьшить вероятность неблагоприятных воздействий или их последствия. В конкретных приложениях контроль и обнаружение могут иметь различные значения, хотя обычно эти понятия близки. В приложениях E и F приведены соответствующие рекомендации и примеры.

Если рассмотренные средства контроля или методы обнаружения являются неподходящими, следует определить новые или улучшенные средства контроля и методы обнаружения отказов и сформировать рекомендации по их обработке (5.3.9).

5.3.5.2 Методы обнаружения

Обнаружение отказа может принимать различные формы в зависимости от типа выполняемого FMEA.

Пример — Методы обнаружения могут включать в себя следующее: предупреждающие световые или звуковые сигналы; индикаторы, калибры, мониторинг; испытания на безотказность в процессе разработки; статистическое управление процессами; скрининг нагрузок и напряжений для обеспечения безотказности; эксплуатационные испытания на работоспособность; аудит; контроль; диагностику.

Если более одного вида отказов может быть обнаружено с помощью одних и тех же средств, следует описать способы устранения неоднозначности, чтобы ни один из видов отказа не остался невыявленным и, при необходимости, можно было предпринять правильные действия.

5.3.5.3 Средства контроля

Должны быть перечислены особенности конструкции и существующие средства, способные предотвратить или уменьшить вероятность возникновения вида отказа или изменить его влияние, и описаны способы их функционирования.

Пример — Средства контроля могут включать следующее: резервирование элементов или системы, позволяющее продолжать работу в случае отказа одного или нескольких элементов; соблюдение технических или других стандартов: наличие альтернативных средств работы при обнаружении проблемы; требования к материалам; регулировка машины; техническое обслуживание; конструкция объекта или процесса, учитывающая человеческий фактор.

5.3.6 Идентификация локальных и конечных последствий видов отказов

Последствие отказа является следствием возникновения вида отказа в соответствии со сценарием, определенным для анализа. Одни и те же последствия могут быть вызваны одним или несколькими видами отказов одного или нескольких элементов объекта или процесса.

Влияние вида отказа на элемент может быть идентифицировано на локальном уровне (локальное последствие) вместе с влиянием на высшем уровне исследуемого объекта (глобальное или конечное последствие). Последствия на промежуточных уровнях также могут быть определены, если это необходимо.

Примечание 1 — Локальный уровень может означать анализируемый объект или его физическое местоположение.

При рассмотрении относительной значимости отказов важна идентификация конечных последствий. Идентификация локальных последствий дает информацию, которая может помочь при разработке альтернативных методов обработки отказов. В некоторых случаях не может быть локальных последствий, кроме вида отказа как такового.

В дополнение к последствиям, влияющим на функцию объекта, процесса или системы в целом, могут быть и другие последствия, например связанные с безопасностью, окружающей средой или соответствием требованиям. Их обоснованность должна быть установлена в плане FMEA.

Примечание 2 — Для идентификации конечных последствий вида отказа может потребоваться использование других видов анализа, например анализа дерева событий (ГОСТ Р МЭК 62502).

Последствия отказов должны быть описаны достаточно подробно, чтобы пользователь FMEA мог делать выводы об их значимости. Последствия отказов могут быть выведены на основе знаний об объекте или процессе, их функций, взаимодействий и месте в анализируемой иерархии. Часто для упрощения анализа последствия отказа подразделяют на группы в зависимости от значимости или особенностей.

Зафиксированное описание последствий отказа должно включать информацию, позволяющую точно оценить тяжесть и значимость возможных последствий. Способы регистрации последствий и типы последствий, которые следует учитывать, должны соответствовать описанным в плане FMEA.

Поскольку FMEA исследует конечные последствия, рассматривая элемент за элементом или функцию за функцией, то последствия, возникающие в результате множественных отказов, обычно не идентифицируют. Однако в некоторых ситуациях, таких как анализ дополнительных или защитных свойств, отказ, не имеющий немедленно обнаруживаемых последствий (т.е. не выявленный), может привести к последствиям высшего уровня после второго отказа, который в противном случае не был бы важен. Эти события должны быть записаны для дальнейшего исследования или анализа.

Пример — Отказ защитного устройства приводит к неблагоприятным последствиям только в случае отказа защитного устройства и отказа объекта, для защиты которого оно предназначено. Последствия таких множественных отказов указывают в отчете об анализе.

Примечание 3 — Анализ дерева неисправностей (ГОСТ Р 27.302) можно использовать для исследования влияния сочетаний отказов или для понимания дополнительных функций и взаимосвязей между защищенными и защитными объектами.

5.3.7 Идентификация причин отказов

5.3.7.1 Общие положения

Понимание того, как возникает отказ, полезно для определения наилучшего способа снижения вероятности отказа или его последствий. Этапы FMEA не включают метод полного анализа причин отказов. В некоторых случаях полезно определить физический, логический или психологический механизм отказа, однако это не всегда необходимо для достижения целей анализа.

Пример — Идентификация того, что протечка (вид отказа) связана с процессом коррозии, может привести к рекомендации по замене материала.

Примечание — Методы более детального анализа причин отказов приведены в анализе корневой причины (см. [4]).

Степень, до которой необходимо исследовать причины отказов, зависит от результативности затрат. Например, больше усилий можно посвятить анализу причин видов отказов, которые оказывают существенное влияние на функции и цели, чем видов отказов, оказывающих меньшее влияние.

При выявлении причин отказа следует учитывать условия использования. Следует рассмотреть причины, связанные с аппаратным и программным обеспечением, человеческим фактором и интерфейсами между ними.

5.3.7.2 Отказы по общей причине и отказы общего вида

В процессе FMEA необходимо рассмотреть возможные источники отказов по общей причине (CCF). Отказ по общей причине — это отказ, когда несколько (более одного) элементов отказывают одновременно или в течение достаточно короткого периода времени. Поэтому отказы по общей причине противоречат фундаментальному предположению о том, что рассматриваемые в FMEA виды отказов являются независимыми. Отказ по общей причине является частным случаем, когда причина связана с самими элементами.

Пример 1 — Причиной отказа источника питания является неправильное номинальное значение для ожидаемой высокой температуры работы компонента. Таким образом, когда возникает высокая температура, более одного источника питания отказывают в течение короткого периода времени.

Примечание — Объект или процесс, в котором использованы резервирование или множественные средства контроля для поддержания функции или снижения последствий в случае отказа, подвержен отказам по общей причине.

Если средство контроля может отказать по той же причине, что и элемент, для контроля состояния которого его используют, то такой отказ по общей причине следует включить в качестве причины отказа таким же образом, как и другие причины, а обоснование его включения следует привести в документации.

Отказы общего вида возникают в нескольких элементах, отказавших одним и тем же способом (с одним и тем же видом отказа) по одной и той же либо по разным причинам. Часто возникают проблемы, когда потеря функции связана с резервированными объектами, изготовленными по одной и той же технологии и имеющими одинаковую конструкцию.

Пример 2 — Использование компонентов с недостаточной номинальной емкостью (конденсаторов) с несоответствующей интенсивностью отказов из-за повышенного напряжения может привести к короткому замыканию (отказ общего вида) в резервных элементах.

Отказ общего вида должен быть идентифицирован и обработан в процессе анализа, если соответствующий элемент относится к области применения анализа. Источники и последствия отказов общего вида могут быть лучше исследованы с помощью таких методов, как анализ дерева неисправностей (ГОСТ Р 27.302).

5.3.7.3 Человеческий фактор

Персонал можно рассматривать как элемент объекта или процесса, который имеет свои виды отказов, или ошибку человека можно идентифицировать как причину отказа аппаратного, программного или технологического элемента, включая их взаимодействия.

Анализ причин ошибок человека, как правило, более сложен, чем анализ причин отказа аппаратного или программного обеспечения, поскольку в этом случае существует гораздо больше механизмов отказов, каждый из которых имеет много возможных причин. Отказ от рассмотрения ряда психологических механизмов может привести к чрезмерно упрощенному и неправильному определению причины и, следовательно, к неправильной стратегии ее устранения.

Пример 1 — Вид отказа «действие не выполнено» может произойти потому, что человек отвлекся, сделал ошибочные предположения, или из-за недостатка знаний о последовательности действий. Если какое-либо действие не выполнено по невнимательности или халатности, дополнительное обучение может быть бесполезным или даже контрпродуктивным.

Примечание 1 — Причины ошибок человека и факторы, влияющие на его деятельность, приведены в ГОСТ Р 62508. Таксономия видов, механизмов и причин ошибок человека, а также формальные методы, которые могут быть использованы для анализа ошибок человека, приведены в [4].

Примечание 2 — Человек может совершить как преднамеренную, так и непреднамеренную ошибку.

Процедуры устранения ошибок человека направлены на уменьшение вероятности возникновения ошибок. Поскольку устранить ошибку может быть сложно, цель состоит в том, чтобы сделать объект или процесс более устойчивым к ошибкам человека.

Пример 2 — В процессе движения поезда, а также для хорошей видимости сигналов могут быть предусмотрены блокировки, предотвращающие подачу машинистом ошибочных сигналов об опасности, независимо от причины ошибки.

5.3.8 Оценка значимости вида отказов

5.3.8.1 Общие положения

В плане FMEA должно быть установлено, следует ли учитывать относительную значимость видов отказов и как это следует делать.

Ранжирование может быть выполнено либо в процессе анализа каждого вида отказа, так как для каждого вида отказа анализируют его последствия, либо после идентификации всех видов отказов. Результатом является перечень всех видов отказов, ранжированных в порядке актуальности их обработки. При ранжировании необходимо учитывать экономическую эффективность обработки отказов, простоту ее выполнения и влияние обработки на другие части системы.

5.3.8.2 Определение значимости последствий отказа на высшем уровне системы

Значимость последствий, определяемая для каждого вида отказа, должна отражать значимость его влияния на высший уровень системы, объекта (конечные последствия) или на цели процесса. Определение высшего уровня в условиях анализа должно быть четко установлено.

Пример 1 — Анализ объекта может быть выполнен изготовителем для анализа его конструкции; в этом случае значимость последствий может быть представлена через влияние на характеристики объекта в целом. Этот же объект может быть проанализирован в составе группы объектов; в этом случае значимость последствий связана с влиянием на характеристики группы.

Пример 2 — Анализ процесса или процедуры может быть выполнен для оценки их воздействия на небольшое подразделение или группу или как часть более крупного анализа.

Примечание — Степень влияния может оказаться более значительной на низких уровнях иерархии объекта, если резервирование и средства контроля учитывают только на более высоких уровнях иерархии системы.

Чтобы обеспечить согласованность приоритетов видов отказов в процессе FMEA, значимость последствий необходимо оценивать, используя четко установленную общую шкалу, которая охватывает типы последствий (5.2.4), установленные в плане. В приложении B приведена более подробная информация.

5.3.8.3 Оценка вероятности возникновения вида отказа

Вероятность возникновения каждого вида отказа должна быть определена, если она необходима в качестве входных данных для анализа критичности (приложение B) или если результаты анализа используют в качестве входных данных в других методах анализа надежности (приложение D).

При оценке вероятности возникновения вида отказа следует учитывать технические, человеческие, организационные и экологические факторы, которые могут влиять на отказ и вероятность его возникновения.

При оценке вероятности возникновения вида отказа должен быть четко установлен период времени, для которого сделаны оценки. Выбранный период времени должен соответствовать целям FMEA.

Пример — Обычно используемые периоды времени включают: гарантийный период; ожидаемую продолжительность полезного использования объекта; установленный период использования объекта или процесса; продолжительность смены.

Вероятность возникновения вида отказа может быть оценена с использованием различных методов и источников данных, включая:

— данные испытаний компонентов на стойкость или лабораторно рассчитанных интенсивностей ошибок человека;

— доступные базы данных о видах отказов, интенсивностях отказов, вероятностях отказов или неготовности;

— данные об отказах в процессе эксплуатации;

— данные мониторинга работы человека;

— данные об отказах аналогичных объектов с сопоставимым использованием.

Примечание — Существуют базы данных о видах отказов обычно используемых компонентов оборудования (например, [5], ГОСТ Р 27.013), о видах ошибок человека (например, [6]), методах оценки надежности человеческого фактора (например, ГОСТ Р МЭК 62508), об оценке отказов аналогичных объектов (например, [7]).

5.3.8.4 Оценка других параметров критичности

Если необходимо провести анализ критичности, можно оценить и другие параметры, кроме вероятности и значимости последствий. Например, общим дополнительным параметром, используемым при оценке критичности, является рейтинг «обнаруживаемости». Вид отказа, в котором отказ или признаки будущего отказа могут быть легко обнаружены, обычно менее важен, чем вид отказа, который невозможно обнаружить до возникновения неблагоприятных последствий. В приложении B приведены примеры, в которых при анализе критичности использован рейтинг обнаруживаемости.

Примечание — В некоторых случаях применения FMEA, особенно в автомобильной отрасли, обнаруживаемость имеет другое значение и является частью идентификации возможного вида отказа в процессе выполнения программы разработки.

Аналогично при ранжировании критичности вида отказа может быть использован дополнительный параметр, отражающий результативность существующих средств контроля.

5.3.9 Идентификация действий

5.3.9.1 Общие положения

В зависимости от области применения FMEA, возможные действия для видов отказа, требующих обработки (5.2.4), должны быть идентифицированы, оценены и документированы. В некоторых случаях только способы обработки, которые сразу становятся очевидными, документируют как часть FMEA, а выбор окончательного решения является целью дальнейшего анализа и компромиссных решений за пределами FMEA.

Также может потребоваться детальное применение FMEA в области, вызывающей особую озабоченность, или выполнение анализа причин отказов до разработки рекомендаций.

Обоснование рекомендаций по возможной обработке должно быть основано на критериях принятия решения (5.2.4), согласованных с планом FMEA, и должно быть документировано. При определении способа обработки отказов следует проявлять осторожность при интерпретации факторов, используемых при определении критичности вида отказа.

При определении способа обработки не следует устанавливать уровень точности, не совместимый с данными и используемыми методами, даже если была проведена полная количественная оценка FMECA.

5.3.9.2 Варианты обработки

Обработка вида отказа может включать изменение конструкции объекта или процесса, действий во время эксплуатации или технического обслуживания оборудования.

Как правило, внесение изменений на этапе проектирования менее затратно, особенно в отношении изменения оборудования.

Пример 1 — Изменения в конструкции включают: замену компонентов на более безотказные; внедрение систем резервирования или резервного копирования; эргономичное проектирование оборудования или процессов для снижения вероятности ошибок; применение новых или улучшенных способов, с помощью которых объект, операторы, пользователи могут обнаружить отказ; а также применение устройств, обеспечивающих безопасность или ограничивающих последствия отказа.

В процессе работы могут быть выполнены действия по обнаружению вида отказа или признаков будущего отказа для его предотвращения или снижения его последствий.

Пример 2 — Для аппаратных средств возможные способы обработки отказа включают в себя изоляцию, снижение нагрузки, изменение маршрута и активацию функций подавления. Для процессов возможные способы обработки отказа включают проверки и регулировки в процессе работы.

Программы технического обслуживания также могут быть использованы в качестве средства контроля и должны быть разработаны структурированным образом на основе результатов FMEA.

Примечание — Процесс разработки таких программ — это техническое обслуживание, ориентированное на безотказность (см. ГОСТ Р 27.606).

Обработка отказа может привести к одному или нескольким из следующих действий:

— устранению вида отказа;

— снижению вероятности возникновения вида отказа;

— устранению или уменьшению последствий вида отказа.

Для определения того, какие виды отказов требуют обработки, должны быть использованы критерии принятия решения (5.2.4).

В некоторых случаях никакие действия не могут быть предприняты, даже если обработка была идентифицирована в процессе FMEA.

Следует также рассмотреть возможность удаления средств контроля, которые неэффективны или излишни.

Документация должна включать, как минимум, краткое изложение всех сделанных рекомендаций.

Если рекомендации приняты и введены новые средства контроля или методы обнаружения отказов, может возникнуть необходимость пересмотра анализа для проверки:

— возникновения новых видов или последствий отказов;

— приемлемости критичности конкретных видов отказов.

Изменения в документации на объект или процесс, которые должны быть учтены при следующем пересмотре FMEA, должны быть идентифицированы.

5.4 Документирование FMEA

Анализ должен быть документирован и представлен в соответствии с планом FMEA (5.2.5) <1>.

———————————

<1> Существуют коммерческие пакеты программ для разработки отчета о результатах FMEA. Для отчета о простом анализе с небольшим количеством участников может быть полезно использование электронных таблиц. Для составления отчета о более сложном анализе с несколькими источниками информации и сложными требованиями к отчету может быть полезна реляционная база данных.

Приложение A

(справочное)

ОБЩИЕ РЕКОМЕНДАЦИИ ПО АДАПТАЦИИ FMEA

A.1 Общие положения

A.1.1 Обзор

Адаптация позволяет сформировать экономически эффективный способ достижения целей FMEA и включает в себя принятие решений:

— о границах анализируемых системы, объекта или процесса;

— о начальной точке анализа в иерархии объекта;

— об уровне детализации при делении объекта анализа на элементы;

— о рассматриваемых этапах анализа;

— об уровне детализации на каждом этапе анализа;

— о применимости ранжирования видов отказов на основе их критичности и используемом методе оценки.

В целом выбор зависит от таких факторов, как:

— цель анализа (например, улучшение или модификация объекта или процесса, создание свидетельств о надежности ([8]) для демонстрации соответствия установленным требованиям, планирование технического обслуживания или материально-технического обеспечения, обеспечение безопасности);

— степень, в которой процесс или объект являются новыми или инновационными;

— наличие соответствующих данных (например, об эксплуатации аналогичных объектов, данных испытаний);

— необходимость выполнения обработки отказа или передачи выполнения этих действий другой стороне, не участвующей в FMEA;

— юридические или договорные требования;

— зрелость конструкции объекта или проекта;

— стадия жизненного цикла, на которой выполняют FMEA.

В общем случае должен быть выполнен анализ того, что для некоторых объектов, процессов или их элементов не требуется применение FMEA в любой форме, это особенно важно, если нет четкой идентификации преимуществ выполнения анализа или если более полезно применение других видов анализа надежности. FMEA приобретает экономическое значение, например, в результате влияния на конструкцию, эксплуатацию и представление информации для разработки экономически эффективных предупреждающих и корректирующих программ технического обслуживания. Если результаты анализа не могут повлиять на эти факторы, тогда применение FMEA может быть неоправданным.

Примечание — Во многих случаях готовые объекты или элементы, приобретаемые у конкретных поставщиков, могут быть рассмотрены в виде «черного ящика» и могут быть удовлетворительно проанализированы лишь в отношении интерфейсов, входов и выходов.

Примеры вариантов адаптации в конкретных отраслях промышленности приведены в A.3. Общие положения по применению FMEA приведены в приложении E.

A.1.2 Начальная точка FMEA в структуре объекта

Выбор начальной точки для адаптации FMEA зависит от цели, стадии анализа и способа достижения наилучших результатов (5.2.3.2).

Подход, когда начальная точка анализа находится на верхнем или среднем уровне структуры объекта, а в качестве причин видов отказов рассматривают лишь отказы элементов на следующем, более низком уровне, в настоящем стандарте назван подходом «сверху вниз» или нисходящим подходом.

Подход, когда начальной точкой анализа являются элементы самого низкого уровня структуры объекта, связанные с достижением целей, в настоящем стандарте назван подходом «снизу вверх» или восходящим подходом.

Нисходящий подход обычно используют на ранних этапах проектирования, и, следовательно, он может давать неполные по глубине и охвату результаты из-за преднамеренного ограничения области применения или отсутствия необходимой информации. Тем не менее раннее применение анализа (с использованием оценок там, где это необходимо) может оказать положительное влияние на надежность и стоимость объекта. Если FMEA продолжается до завершения разработки, FMEA должен быть завершен с использованием детализованного подхода «снизу вверх» и должен соответствовать целям FMEA.

Примечание 1 — В настоящем стандарте термин «нисходящий» использован для описания подхода выполнения FMEA и соответствует применению анализа дерева неисправностей.

Примечание 2 — Если область применения анализа является более обширной, чем внутренняя работа объекта (например, включает внешние события, такие как пожар, наводнение или влияние оператора), или продолжение разработки маловероятно (например, возможности выполнения анализа ограниченны), то более полезным, чем FMEA, может быть анализ дерева неисправностей.

Обзор особенностей нисходящего и восходящего подходов приведен в таблице A.1. Приведенные в таблице особенности позволяют понять особенности данных подходов.

Таблица A.1

Особенности нисходящего и восходящего подходов FMEA

A.1.3 Степень детализации при выполнении анализа

FMEA может быть выполнен с разной степенью детализации для получения дополнительной информации, например для анализа возможных вариантов восстановления или для оказания помощи в выполнении соответствующих видов анализа при эксплуатации, техническом обслуживании или поддержке логистической программы. Глубина и объем FMEA зависят от сложности исследуемых системы, объекта или процесса.

A.1.4 Ранжирование видов отказа

Расширение FMEA для включения анализа критичности может быть полезно, если требуется мера значимости конкретного вида отказа. Такая информация об относительной значимости может быть использована при планировании очередности действий по оценке и обработке отказов. Если все виды отказов должны быть обработаны определенным образом (например, если это необходимо в соответствии с обязательными требованиями), то проведение анализа критичности может быть бесполезным.

При определении очередности обработки отказов не следует рассматривать только значимость или критичность отказа. Также следует рассмотреть, например, экономическую эффективность доступных методов обработки, простоту их выполнения и их влияние на другие части системы.

При оценке параметров, таких как значимость и вероятность, могут быть использованы количественные или качественные шкалы.

— Количественные шкалы могут быть полезны при наличии соответствующих данных эксплуатации, испытаний или прогноза, позволяющих для конкретных видов отказов назначить интенсивность или вероятность отказов.

— Качественные шкалы могут быть полезны в ситуации, когда отказы должны быть ранжированы по значимости, но подробная информация недоступна или объект недостаточно определен для применения соответствующих количественных данных.

Обзор общих характеристик качественных и количественных оценок критичности для подходов FMEA сверху вниз и снизу вверх приведен в таблице A.2.

Таблица A.2

Применение общих подходов FMEA

В приложении B приведено подробное руководство по методам анализа критичности.

Содержание таблицы A.1 является общим. В некоторых случаях может потребоваться более детальное рассмотрение. Например, системы, критически важные для безопасности, могут требовать наличия доказательств того, что они были разработаны или выбраны способом, обеспечивающим прозрачность идентификации, анализа, оценки и обработки вероятности и значимости отказа. FMEA может быть настроен для отображения, например, прослеживаемости смягчения или обработки последствий отказов вместе с доказательством того, что используемый метод соответствует условиям применения. Дальнейшее рассмотрение вопросов, связанных с общими типами применения FMEA, приведено в приложении E.

A.2 Факторы, влияющие на адаптацию FMEA

A.2.1 Повторное использование данных (информации) анализа аналогичного объекта.

Повторное использование данных предыдущего анализа позволяет сократить усилия и время FMEA. Тем не менее данные должны быть пригодны для нового анализа. Пригодность данных предыдущего анализа для проводимого FMEA может быть оценена путем рассмотрения следующих вопросов:

— Конструкции ранее и вновь исследуемого объекта (процесса) аналогичны или совпадают?

— Данные об аналогичных объектах или процессах соответствуют целям анализа?

— Условия использования и эксплуатации исследуемого объекта и объекта-аналога совпадают?

Примечание — Объекты серийного производства, которые могут быть приобретены для использования несколькими потребителями и, возможно, в различных отраслях, могут не иметь данных FMEA, имеющихся у изготовителя. В этих случаях FMEA может принести небольшую пользу, за исключением случаев, когда есть уверенность в предлагаемой изготовителем программе технического обслуживания. Кроме того, приобретенный объект можно рассматривать в виде «черного ящика» и исследовать на самом низком уровне иерархии объекта.

FMEA может быть одним из методов, применяемых как часть программы обеспечения надежности; в этом случае могут быть использованы данные применения других методов анализа (см. приложение D).

A.2.2 Зрелость <1> конструкции объекта и разработки проекта

———————————

<1> Определение термина «зрелость» см. в ГОСТ Р 57273.

Зрелость относится как к разработке проекта (то есть к развитию проекта в процессе жизненного цикла объекта), так и к конструкции объекта. Зрелость конструкции объекта и проекта рассматривают вместе, поскольку они связаны.

На этапе разработки концепции, когда формируется структура объекта, нисходящий функциональный FMEA обеспечивает возможность идентификации видов отказов высокого уровня, что помогает при выборе структуры объекта. По мере перехода от стадии концепции к детальному проектированию при выборе существующих конструкций элементов объекта может быть применен восходящий подход. Начальная точка восходящего подхода обычно зависит от выбора начальной точки в иерархии объекта, выбранной посредством нисходящего функционального анализа или декомпозиции структуры объекта.

Конструкции приобретаемых объектов часто создаются в течение длительного периода времени в результате этапов модификации и улучшения надежности. Зрелые конструкции могут не иметь доступной документации об FMEA, например потому, что конструкция объекта разработана до общего осознания значения FMEA или без использования процессов улучшения, основанных на FMEA. Тем не менее зрелые конструкции могут иметь известные показатели безотказности и соответствующие программы технического обслуживания, которые обеспечивают непрерывное функционирование объекта. Выполнение подробного FMEA для таких объектов может оказывать лишь незначительное влияние на конструкцию или программу технического обслуживания.

Для незрелых конструкций часто характерно применение недавних инноваций в структуре объекта, применение новых материалов и деталей для достижения улучшенных характеристик и/или экономической эффективности. Изготовители оборудования могут иметь доступный официальный FMEA для включения в общий анализ объекта. Отсутствие FMEA для таких конструкций может быть причиной выполнения дополнительных действий, таких как экологические испытания для обеспечения требуемых значений параметров. Незрелая конструкция может возникнуть в результате использования как зрелых, так и незрелых компонентов, это может влиять на трудоемкость выполнения анализа.

A.2.3 Степень инноваций

Анализ и обработка видов отказов, связанных с технологическими инновациями, могут поддерживаться всеми четырьмя комбинациями форм FMEA и различных форм, используемых при переходе проекта со стадии концепции и определения конструкции на стадию полномасштабной разработки объекта.

Пример — Технологическая инновация может быть новой технологией процесса, новым применением существующей технологии или новым процессом.

Зрелые технологии похожи по своей природе на зрелые конструкции. Длительная эволюция зрелых технологий может мешать разработке, включающей функциональные описания объекта и его элементов. Таким образом, полезным способом установления преимуществ FMEA является оценка возможного влияния на конструкцию, изменение или определение возможных значений показателей безотказности и ремонтопригодности, а также верификация технического обслуживания и связанных с ним потребностей в поддержке.

A.3 Примеры адаптации FMEA для объектов и процессов

A.3.1 Общие положения

Чтобы показать адаптацию FMEA на практике, ниже приведено несколько примеров. Для каждого примера описаны предмет анализа и условия применения, объяснены причины адаптации FMEA. Для примеров, содержащих анализ критичности, рассмотрены только причины выбора метода. В приложении B приведена подробная информация о методах анализа критичности.

A.3.2 Пример адаптации FMEA для анализа офисного оборудования

Предметом исследования является новая конструкция офисного оборудования, включающая интегрированное аппаратное и программное обеспечение, которую необходимо оценить на этапах предварительного и детального проектирования. Конструкция объекта была основным вариантом установленного семейства продукции. Использованы элементы нового дизайна и новые технологии. Компания поддерживает базу данных о безотказности, которая включает данные, например, о нагрузке, виде и механизме отказа, структуре объекта и другую соответствующую информацию для всех существующих деталей. Все элементы объекта соединены последовательно для выполнения требуемой функции верхнего уровня.

FMEA был проведен в рамках программы безотказности для анализа конструкции объекта и процесса его производства. Прогнозирование и сокращение количества появлений вида отказа на стадии проектирования очень важно для разработки конкурентоспособной продукции. Организация имеет значительный опыт эксплуатации продукции данного семейства. Поэтому при выполнении FMEA могут быть использованы такие данные для устранения технических недостатков продукции и процесса на стадии проектирования.

Восходящий FMEA выбран из-за простоты и в соответствии с целью программы по обеспечению функциональности и безотказности системы, основанной на полном понимании работы элементов низкого уровня в условиях использования, установленных заказчиком. Кроме того, конструкция объекта представляет собой смесь существующих и новых технологий. Даже при использовании существующей технологии изменение условий эксплуатации может привести к различным видам отказов, поэтому был применен восходящий FMEA.

В FMEA включен анализ критичности, поскольку он позволяет ранжировать отказы по значимости последствий и вероятности их возникновения. Поскольку цикл проектирования был коротким, FMEA использован для разработки рекомендаций по распределению ресурсов для проверки согласованности параметров элементов в конструкции, так как не было возможности для проверки и анализа всех комбинаций. Существует значительный опыт эксплуатации аналогичной продукции для поддержки данного типа FMEA и обеспечения его достоверности.

Критичность была определена с использованием качественного метода RPN (см. приложение B), поскольку метод прост в применении и является достаточно всесторонним. Стандартные таблицы, определяющие шкалы измерений категорий значимости и вероятности отказов, разработаны для обеспечения согласованности в применении и оценке. Использование стандартных таблиц для оценки параметров критичности позволило легко сопоставить FMEA для различных типов продукции.

A.3.3 Пример адаптации FMEA для распределенной энергосистемы

С помощью FMEA необходимо выявить недостатки конструкции для обеспечения работоспособности и отказоустойчивости системы распределенного энергоснабжения. Анализ был также первым шагом к полному анализу готовности системы. Система распределенного энергоснабжения — новый проект в данном семействе продукции. В новом проекте использован основной вариант более ранних проектов с известной и понятной технологией. Структура системы неоднородна, но с одинаковыми функциями. FMEA должен быть выполнен на стадии детального проектирования, во время которого новые данные о конструкции и аспектах работы системы доступны из других видов анализа надежности и инженерных исследований.

Выбран нисходящий подход FMEA. Сначала было выполнено детальное определение функций системы. Это позволило определить отклонения от этих функций для поддержки анализа причин отказов на более низком уровне. Функциональные возможности системы охарактеризованы посредством разработки нисходящего FMEA, в котором проведена декомпозиция функции системы для идентификации видов отказов, их причин и последствий.

FMEA также включал анализ критичности, поскольку поддающаяся количественному определению информация о возникновении вида отказа и его последствиях необходима для последующего использования метода анализа готовности. В первом цикле FMEA использован качественный метод RPN, а когда стало доступно больше деталей проекта для количественной оценки вероятности возникновения отказов, были использованы фактические оценки интенсивности отказов.

A.3.4 Пример адаптации FMEA для медицинских процессов

Многие организации здравоохранения в нескольких странах в рамках своей аккредитации обязаны регулярно оценивать свои процедуры для определения недостатков системы. Цель состоит в идентификации частей процесса и сокращении неблагоприятных событий в области здравоохранения. FMEA — признанный способ выполнения этих требований. FMEA может быть применен к любой медицинской процедуре (например, составление необходимой дозы, введение лекарственного препарата, выполнение операции и анестезии).

В данном примере рассмотрен FMEA медицинской процедуры, в которой процедура может быть простой, но люди могут совершать ошибки и могут быть неспособны выполнить действия в соответствии с назначением из-за причин, связанных с оборудованием или окружающей средой.

Начало и конец исследуемой процедуры должны быть четко определены, а выполняемые задачи разделены на этапы, для которых определяют каждый вид отказов.

При применении FMEA в медицине рекомендуемые адаптации чаще всего включают добавление проверок и сопоставлений, а не изменение проекта процедуры в целом.

Может потребоваться выполнение вспомогательного FMEA для таких ситуаций, когда, например, отказ оборудования может привести к невозможности правильного выполнения этапа процесса или когда один этап описанной процедуры фактически выполняют в несколько этапов.

Обычно при применении FMEA к медицинской процедуре рассматривают все виды отказов с серьезными последствиями для пациентов. При проведении анализа критичности обычно используют метод RPN. Причина этого состоит в том, что возможные отказы, которые легко обнаруживают до возникновения неблагоприятных последствий, менее важны, чем виды отказов, которые остаются скрытыми до тех пор, пока не возникнут неблагоприятные последствия.

Количественный анализ интенсивности ошибок человека обычно сложен и может быть ненадежным. Простой метод, такой как RPN, или матрица критичности — это часто все, что необходимо для обеспечения полезных оценок критичности и определения приоритетов улучшения процесса.

A.3.5 Пример адаптации FMEA для электронных систем управления

FMEA применяют на стадии концепции и детального проектирования электронных систем управления для обеспечения безопасности, таких как система торможения поездов и предотвращения столкновений. Обычно такие системы являются вариантами ранее разработанных систем. Отличие новых систем от существующих, как правило, связано со структурой системы и используемой технологией.

Целью FMEA является демонстрация характеристик безопасности системы. По этой причине выбран подход FMEA «снизу вверх», этот подход позволяет аналитику систематически доказывать, что определенные меры способны надлежащим образом смягчить все идентифицированные сценарии ошибочных действий системы независимо от того, какой элемент нижнего уровня отказал.

FMEA ориентирован на анализ возможностей снижения риска отказов системы. Это обязательная часть анализа, выполняемого для систем, связанных с безопасностью. Последствия отказов обычно классифицируют независимо от того, считают их безопасными или нет. Для выбора обоснованного решения область применения описания последствий должна быть понятной. Например: если уровень слишком сосредоточен на локальных последствиях, то аналитик может не вывести критичность последствий для системы в целом; если уровень системы слишком обширен, анализ может быть не способен проследить отказ до конечных последствий.

Такой подход к FMEA вызывает дискуссию по ряду вопросов. Например, обычно дискуссии возникают о видах отказов, влияющих на возможности системы диагностики без нарушения ее основных функций. Другой аспект — это реакция на действия, направленные на смягчение последствий отказа (то есть в какой степени действия по смягчению последствий отказа могут быть учтены, если они происходят слишком редко для обнаружения зарождающегося отказа).

Методы, используемые в FMEA, варьируются от специальных электронных таблиц до специализированных баз данных, которые применяют RBD для встраивания видов отказов в модели функционирования объекта. Например, подсистемы могут ссылаться на экземпляры компонентов с определением присущих видов отказов, когда различные виды отказов могут привести к одним и тем же последствиям, которые тесно связаны с некоторым способом классификации.

A.3.6 Пример адаптации FMEA для гидроблока насоса

Основной FMEA должен быть выполнен для получения информации о предварительной конструкции гидроблока насоса для газового котла. Функции гидроблока включают функцию насоса (расход, давление), функцию отводного клапана (переключение работы котла с режима центрального отопления на режим независимого горячего водоснабжения), сброс воздуха из контура центрального отопления (отдельно сброс воздуха из жидкости), герметичность в условиях давления в системе, возможность подключения к внешним гидравлическим разъемам и т.д. Организация имеет значительный опыт работы с аналогичными объектами, исследуемый насос представляет собой существующий объект с небольшими изменениями в конструкции.

FMEA необходимо выполнить так, чтобы наилучшим образом использовать команду разработчиков. С учетом разработки предварительной конструкции и опыта работы проектировщиков логической отправной точкой для FMEA выбрана идентификация функций верхнего уровня объекта. Для идентификации видов отказов (функция за функцией) был использован семинар. Принятие процесса FMEA состоялось при участии в семинаре соответствующих специалистов, где они высказали свои опасения. Цель — исследование и фокусировка на технических компромиссах для известных видов отказов и их причин, а не проведение исчерпывающего FMEA.

Данные, собранные в ходе семинара, представлены в виде последовательности видов отказов составных частей и их причин. Например, в случае проблемы, связанной с утечками, последствия могут варьироваться от неудовлетворенности потребителя до появления воды на полу, внешних утечек, невыполнения обязательств и т.д. В этом случае вид отказа может быть утечкой, составная часть — компонентом X, а причиной — усталостная трещина под воздействием высокого давления.

A.3.7 Пример адаптации FMEA для ветряной турбины ветроэлектрической установки

FMEA выполнен для поддержки детального проектирования ветряной турбины ветроэлектрической установки (далее — турбина).

Область применения FMEA охватывает турбину в целом, включая такие подсистемы, как структура, ступица, силовая передача, система управления и т.п. Цель, основанная на опыте предыдущих разработок, — поддержка разработки турбины нового поколения. В данном проекте необходимо оценить весь спектр последствий на каждом уровне системы путем ранжирования видов отказов на основе риска.

Принят подход снизу вверх для каждой из отдельных взаимозависимых подсистем, при котором учитывались последствия взаимодействия подсистем, что в конечном итоге привело к последствиям на уровне системы в целом. Начальной точкой выбрана структура системы/подсистемы, например, с элементами ввода-вывода, элементами управления, коробкой передач, двигателями, координирующими устройствами, электродвигателями, датчиками, блоками питания, преобразователями сигналов, подшипниками.

Использован подход снизу вверх, поскольку необходимо тщательное изучение всех возможных воздействий на уровне подсистем и систем, как с точки зрения безотказности и готовности, так и с точки зрения безопасности. Анализ критичности использован для определения отказов, требующих большего внимания. Метод анализа критичности RPN выбран из-за его простоты.

Приложение B

(справочное)

МЕТОДЫ АНАЛИЗА КРИТИЧНОСТИ

B.1 Общие положения

Методы анализа критичности обеспечивают способ ранжирования видов отказов. В данном приложении приведены только те методы, которые объединяют параметры: вероятность отказа, последствия отказа и (в случае ранга приоритетности риска) обнаруживаемость отказа.

Примечание — Использование единственного параметра для ранжирования значимости не классифицируют как анализ критичности.

Существует много способов объединения названных параметров для определения характеристики критичности.

В данном приложении приведено четыре метода: матрица критичности, график критичности, ранг приоритетности риска и альтернативный ранг приоритетности риска.

Рассматриваемые виды последствий, шкалы, используемые для каждого параметра, и метод их объединения для определения критичности необходимо установить на этапе планирования. Описанные методы носят общий характер и должны быть адаптированы для применения в отношении условий и целей анализа.

B.2 Шкалы определения параметров критичности

B.2.1 Общие положения

Параметры критичности могут быть выражены качественно, количественно или полуколичественно.

— Параметры критичности могут быть выражены качественно с использованием упорядоченных описательных категорий. Например, «незначительный», «крупный» или «катастрофический» (для значимости последствий); или «частый», «редкий» или «маловероятный» (для вероятности возникновения отказа).

— Параметры критичности могут быть выражены количественно с использованием эмпирических или других данных в форме интенсивности отказов или вероятности отказов, а также количественных оценок, таких как экономические или финансовые издержки в результате отказа. Шкалы отношений устанавливают в соответствии с диапазоном данных в установленных единицах.

— Если данные позволяют давать только описательные или порядковые оценки, параметры критичности могут быть выражены с использованием порядковых шкал, иногда называемых шкалами ранжирования. Если числовые значения делений шкалы связаны с рангами вероятности и значимости последствий или диапазоном интенсивности отказов и диапазонами финансовых затрат, такой подход иногда называют полуколичественным.

Точки на шкале соответствуют области применения. Для качественного, количественного и полуколичественного подходов точки соответствуют описательным категориям, числовым оценкам и рангам/диапазонам соответственно.

При разработке шкал для измерения параметров критичности следует использовать наилучшую имеющуюся информацию, чтобы избежать предвзятых результатов. Полезная система классификации может уже существовать в организации и должна быть рассмотрена для применения.

B.2.2 Определение шкалы

Диапазон шкалы должен простираться от самых тяжелых до самых благоприятных последствий из области исследований, от самой высокой до самой низкой вероятности и от самой высокой до самой низкой степени обнаруживаемое, присущей рассматриваемым видам отказов.

Точки делений на принятой шкале должны иметь четкое и точное определение, имеющее смысл для анализа и способствующее последовательной и точной оценке. Определения должны соответствовать имеющимся данным и быть выражены в терминах, понятных тем, кто проводит анализ.

Для количественных данных могут быть более подходящими логарифмические, а не линейные шкалы, как для последствий, так и для вероятности. Точки на шкалах при использовании для качественных и полуколичественных подходов должны быть определены соответствующим образом.

Пример — Предполагается, что затраты, связанные с катастрофическими отказами, на несколько порядков, а не в несколько раз выше, чем затраты, связанные с обычным отказом.

Выбор категорий (или диапазонов) с помощью качественных и полуколичественных шкал должен быть основан на рассмотрении смысла выбранных параметров. Должно быть выбрано достаточное количество категорий, допускающее классификацию и адекватное деление всей совокупности последствий. Как правило, требуется не менее трех категорий для обеспечения достаточной дифференциации всей рассматриваемой совокупности последствий. Большое количество категорий может быть неудобно, поскольку это может потребовать чрезмерных усилий для правильной категоризации, хотя последующая обработка может не существенно отличаться между категориями.

Примечание — Рекомендуется использовать от трех до десяти категорий.

Выбор описаний категорий и значений каждой из них должен быть тщательно рассмотрен с учетом способа их использования. Следует проявлять осторожность при составлении словесных описаний и числовых или буквенных обозначений при использовании качественного подхода, поскольку они сами по себе могут влиять на выбор, сделанный в процессе анализа. Для каждой из шкал должна быть разработана таблица, определяющая значение используемых слов и обозначений.

B.2.3 Оценка вероятности

Вероятность отказа может быть выражена количественно, полуколичественно или качественно.

При количественном подходе значения вероятности могут быть получены для конкретных видов отказов, они могут быть выведены на основе общих источников данных или оценены с использованием данных эксплуатации аналогичных объектов в сопоставимых условиях и областях применения.

Обычно при наличии количественных данных они, как правило, связаны с отказами объекта или процесса в целом, а не с конкретными видами отказов элементов. Оценка вероятности вида отказа может быть получена путем декомпозиции вероятности отказа объекта в целом на вероятности возможных видов отказов. Кроме того, может быть сделана корректировка для представления вероятности того, что вид отказа приведет к конкретным последствиям (обычно определенной значимости).

Примечание — Если в качестве показателя используют интенсивность отказов, то, если не указано иное, этот подход предполагает, что интенсивность отказов постоянна и, следовательно, это может быть неприемлемым в некоторых ситуациях. Кроме того, хотя интенсивность отказов объекта может быть получена из конкретных данных, условная вероятность видов отказов и вероятность того, что конкретный уровень последствий соответствует данному виду отказа, также часто получают из другого набора источников данных или на основе выводов и заключений.

Если используют диапазоны/категории вероятности, описания могут быть сделаны с использованием эмпирических данных, экспертных заключений команды разработчиков или на основе других источников данных. Важно, чтобы была использована соответствующая шкала, позволяющая применять точную оценку относительной частоты видов отказов и ее соответствие имеющимся данным.

Чтобы облегчить точное и согласованное применение, следует учитывать следующее.

a) При использовании количественных показателей, таких как вероятность или частота, единицы измерений должны быть четко указаны.

Пример 1 — Если используют значение в процентах, то указывают величину, относительно которой определяют процент, например процент объектов, отказавших в течение года.

b) Количественные пояснения описания категории, соответствующей диапазону вероятностей, ожидаемых для данного применения, должно быть приведено (по возможности) для общего понимания.

Пример 2 — Для технических систем с высокой безотказностью частота вида отказа элемента может составлять один отказ за несколько лет, а для менее надежных систем частота вида отказа объекта может составлять несколько отказов за год.

Описание вероятности для редких отказов должно быть реалистичным и применимо к наихудшему случаю.

B.3 Назначение критичности с использованием матрицы или графика

B.3.1 Общие положения

Для обеспечения возможности определения ранга критичности взаимосвязь параметров критичности может быть представлена несколькими способами. Вероятность и последствия отказа могут быть представлены с помощью непрерывных шкал или категорий, а затем объединены для визуального представления в форме графика или матрицы. График или матрицу критичности затем используют для определения приоритетности обработки.

Значение каждого ранга критичности и его связь с соответствующей обработкой необходимо обсудить и согласовать с заинтересованными сторонами до проведения анализа при планировании FMEA. Это дает четкое и однозначное понимание способа обработки вида отказа и возможного влияния такого решения на бизнес. Невозможность выполнения этого сводит на нет значение анализа критичности и может привести к существенным затратам времени и средств из-за излишних действий или неадекватной обработки отказов. Количество необходимых рангов критичности определяют требования организации и область применения анализа.

B.3.2 Матрица критичности

Анализ матрицы критичности формирует меру значимости путем объединения значений вероятности и последствий. Матрицу критичности также называют матрицей риска. Значения по каждому параметру формируют в виде матрицы, а ранг критичности присваивают каждой ячейке матрицы. Ранг критичности может быть связан с уровнем обработки, которую применяют к соответствующему виду отказа. Для видов отказов с низким рангом обработка может включать «бездействие». На рисунке B.1 показан пример качественной матрицы критичности

Рисунок B.1 — Пример качественной матрицы критичности

Примечание 1 — Примером четырех уровней категорий критичности (как на рисунке B.1) являются:

Категория X: «Недопустимый риск»;

Категория 1: «Нежелательный риск»;

Категория 2: «Приемлемый риск»;

Категория 3: «Несущественный риск».

В некоторых случаях вид отказа может привести к ряду различных последствий в зависимости от обстоятельств. В этом случае должны быть указаны последствия, которым соответствует вероятность. В такой ситуации полезно рассмотреть критичность нескольких возможных последствий.

В матрице на рисунке B.1 риск, соответствующий каждой категории критичности, возрастает от нижнего правого угла матрицы до верхнего левого. Однако обработка каждого вида отказа зависит только от классификации критичности (то есть цвета или кода критичности), а не от положения ячейки матрицы.

Примечание 2 — Использование термина «приемлемый риск» не означает, что дальнейшая обработка является нежелательной.

Матрица, представленная на рисунке B.1, является только примером, ее не следует рассматривать как обязательную форму матрицы критичности. Фактическая форма матрицы зависит от конкретной ситуации. Если количество диапазонов вероятности, категорий значимости и последствий различно, то форма матрицы будет отличаться от представленной на рисунке B.1. Если критичность, соответствующая комбинациям вероятности и значимости последствий, отличается от приведенной на рисунке B.1, кодирование также будет иным.

Матрица не обязательно ограничена двумя измерениями, ее можно расширить, добавив третий параметр или, теоретически, столько других параметров, сколько требуется. Однако сложность и усилия, необходимые для описания правильной и управляемой многомерной матрицы, могут быть значительными и неэффективными, поскольку каждая комбинация параметров требует оценки.

Матрица критичности должна быть выверена так, чтобы видам отказов с одинаковой значимостью соответствовали одинаковое значение критичности и одинаковая обработка. Кроме того, если категории значимости последствий или вероятности основаны на количественных или полуколичественных оценках, следует рассмотреть вопрос о приемлемости различных вариантов обработки, применяемых к видам отказов по обе стороны от границы критичности.

B.3.3 График критичности

На рисунке B.2 показаны примеры простых графиков вероятности и последствий с назначенными рангами критичности. В этом случае как вероятность, так и значимость последствий представляют собой непрерывные количественные шкалы.

Рисунок B.2 — Примеры графиков критичности

Границы между диапазонами не обязательно должны быть прямыми (пример B) или кривыми (пример A). В соответствии с требованиями обработки выявленных видов отказов граница может быть ступенчатой (пример C) или комбинацией прямых и кривых линий.

Примечание 1 — В примере B границы диапазонов представляют собой линии одинакового уровня риска. Если для вероятности и последствий использована линейная шкала, границы будут кривыми. Если использованы логарифмические шкалы, границы будут прямыми.

Примечание 2 — Если для вероятности использована линейная шкала, вероятность может принимать значение, равное нулю. Это может привести к ошибочным рангам критичности для высоких последствий и низкой вероятности отказов.

На практике гладкие границы диапазонов имеют смысл только в том случае, если вероятность может быть выражена количественно, а последствия отказов изменяются непрерывно (например, финансовые последствия) и могут быть полностью определены.

График критичности не обязательно должен быть ограничен двумя параметрами, при необходимости он может быть расширен до трех параметров. Однако сложность и усилия, необходимые для формирования правильных границ, могут быть значительными и неэффективными с точки зрения затрат.

В случаях, когда для значимости последствий может быть использована количественная шкала, имеющая различные значения или диапазоны значений, график критичности все еще применим, но границы значений критичности почти наверняка будут ступенчатыми. Это приводит к аналогичному представлению в матрице критичности.

B.4 Назначение критичности с использованием ранга приоритетности риска

B.4.1 Общие положения

Ранг приоритетности риска (RPN) выводят путем объединения полуколичественных оценок, выполненных по порядковым шкалам, со значениями для последствий, вероятности и обнаруживаемости. В данном методе эти параметры соответственно обозначают значимость последствий (S), вероятность возникновения отказа (O) и обнаруживаемость отказа (D), что в некоторых приложениях приводит к тому, что этот метод также называют методом «SOD». Приведено два метода оценки RPN.

B.4.2 Ранг приоритетности риска

Общая формула ранга приоритетности риска (RPN) — это произведение рангов значимости последствий, вероятности возникновения отказа и обнаруживаемости отказа RPN = S x O x D.

Диапазон значений RPN зависит от диапазона шкал этих трех параметров, обычно используют порядковые шкалы от 1 до 10, при этом значения RPN изменяются в диапазоне от 1 до 1 000.

Примечание 1 — В некоторых приложениях FMEA параметр обнаружения не используют, тогда RPN изменяется от 1 до 100.

Примечание 2 — Особенности применения определяют количеством точек на шкале, так чтобы можно было использовать менее 10 точек.

Значения S, O и D определяют с помощью таблиц рангов, в которых для каждого уровня параметра дано описательное предложение, которое помогает аналитику точно и последовательно выбирать ранг.

Обнаруживаемость D может представлять собой среднюю вероятность, с которой вид отказа будет обнаружен во время работы до того, как возникнут существенные последствия отказа. Это число обычно ранжируют в обратном порядке по отношению к значимости последствий и вероятности возникновения отказа: чем выше значение обнаружения, тем меньше вероятность обнаружения. Следовательно, более низкая вероятность обнаружения приводит к более высокому RPN и более высокому рангу вероятности возникновения вида отказа.

Пример 1 — В данном примере рассмотрена ветряная турбина. Типичная шкала ранга значимости последствий может иметь следующий вид.

Таблица B.1

Описание рангов значимости

Пример 2 — В данном примере рассмотрена ветряная турбина. Типичная шкала ранга вероятности возникновения отказа может иметь следующий вид.

Таблица B.2

Описание рангов вероятности

Пример 3 — В данном примере рассмотрена ветряная турбина. Типичная шкала ранга обнаруживаемости отказов может иметь следующий вид.

Таблица B.3

Описание рангов обнаруживаемости отказов

Затем виды отказа упорядочивают в соответствии с их RPN, более высокий приоритет обычно присваивают более высоким значениям RPN. В дополнение к значению RPN на решение об обработке может повлиять значимость последствий вида отказа, а это означает, что если существуют виды отказов с аналогичными или идентичными RPN, то в первую очередь необходимо рассматривать виды отказов с высокой значимостью последствий.

Примечание 3 — В некоторых ситуациях последствия с RPN, значение которого превышает определенный порог, неприемлемы, в других ситуациях большое значение придают высокой значимости последствий независимо от значения RPN.

Ранговый порядок RPN зависит от способа определения шкалы. При формировании заключений на основе значений RPN или сравнения его значений следует учитывать следующие характеристики данного метода, в противном случае могут быть получены неверные решения:

a) шкала RPN не является непрерывной.

Пример 4 — При работе с тремя шкалами с делениями от 1 до 10 разработано только 120 из 1 000 доступных значений.

b) количественные соотношения между значениями не имеют смысла.

Примечание 4 — В результате того, что шкалы являются порядковыми, а значения на шкалах значимости последствий, вероятности возникновения и обнаруживаемости отказов одинаковы, значения RPN могут мало отличаться, но соответствовать различным ситуациям. Например, значения: S = 6, O = 4 и D = 2 приводят к RPN, равному 48, а S = 6, O = 5 и D = 2 дают RPN, равный 60. Последний RPN стоит лишь немного выше, в то время как O = 5 может, например, соответствовать во много раз большей вероятности возникновения отказа, чем O = 4.

c) RPN может быть чувствительным к небольшим изменениям в значении одного из параметров.

Примечание 5 — Небольшое изменение одного из параметров оказывает явно гораздо большее влияние на значение RPN, когда другие параметры велики, чем в случае, когда они малы (пример: 9 x 9 x 3 = 243 и 9 x 9 x 4 = 324 против 3 x 4 x 3 = 36 и 3 x 4 x 4 = 48).

Хорошей практикой использования RPN является проведение тщательного анализа значений исходных параметров до формирования заключения об оценке критичности и определения действий по обработке.

B.4.3 Альтернативный метод ранга приоритетности риска

Так называемый альтернативный метод RPN (ARPN) является модифицированной версией обычно используемого метода RPN, описанного в B.4.2, который был разработан с целью обеспечения более последовательной оценки критичности, когда параметры могут быть определены количественно в логарифмическом масштабе [9].

Для ARPN точки на шкалах параметров определяют так, чтобы значения количественных шкал измерений сохранялись. Затем используют логарифмическую шкалу, где каждое значение, соответствующее точке на шкале, умножают на постоянный коэффициент (например, 10 или квадратный корень из 10). Один и тот же коэффициент должен быть использован для каждой из шкал значимости последствий, вероятности возникновения и обнаружения отказов. В результате количество делений на шкалах параметров определяется исследуемым диапазоном и может быть больше или меньше используемых обычно десяти делений для RPN (см. B.4.2).

Таблицы, определяющие ранг значимости последствий, вероятности возникновения и обнаружения отказов, должны устанавливать значение, соответствующее рангу, в дополнение к описательному предложению.

Пример 1 — Пример относится к железнодорожной отрасли. Шкала вероятности возникновения отказов может быть тарирована на основе умножения на 10 или на квадратный корень из 10, который равен приблизительно 3. В последнем случае значения двух соседних делений шкалы представляют собой величины одного порядка. Соответствующие деления шкалы вероятности возникновения данного вида отказа объекта могут иметь вид, приведенный в таблице B.4.

Таблица B.4

Описание рангов вероятности возникновения отказа

Пример 2 — Пример относится к железнодорожной отрасли. Шкала для показателя потенциальной опасности (например, значимости последствий), связанной с железнодорожной промышленностью, основана на использовании квадратного корня из 10, с округлением (приближенно 3).

Таблица B.5

Описание ранга значимости последствий

Пример 3 — Пример относится к железнодорожной отрасли. Шкала для показателя предотвращения последствий (например, вероятности обнаружения отказа) в железнодорожной отрасли основана на использовании квадратного корня из 10 с округлением (приближенно 3).

Таблица B.6

Описание ранга обнаруживаемости отказа

Иногда шкалы значимости последствий, вероятности возникновения или обнаружения отказа не имеют значений, соответствующих точкам шкалы (в дополнение к описанию). В этом случае аналитик все равно должен убедиться, что соседние уровни приблизительно отличаются на фиксированный множитель по отношению друг к другу. Это может быть сделано посредством выводов с учетом того, что увеличение или уменьшение на один уровень должно означать увеличение или уменьшение, например, значимости последствий или вероятности обнаружения отказа в 10 или в корень квадратный из 10 раз, в зависимости от выбранного множителя.

Устанавливая параметры для вида отказа, целесообразно добавить уровни параметров S, O и D для вида отказа, а не умножать их, поскольку тарированные шкалы параметров являются логарифмическими. Таким образом:

ARPN = S + O + D.

Аналогично B.4.2 виды отказов затем могут быть упорядочены в соответствии с ARPN, более высокий приоритет обычно соответствует более высокому значению ARPN. В дополнение к значению ARPN на решение об обработке может влиять значимость последствий вида отказа, что означает, что если существуют виды отказов с аналогичным или идентичным ARPN, то в первую очередь необходимо рассмотреть виды отказа, имеющие высокую значимость последствий.

Примечание 1 — В некоторых ситуациях действия с ARPN, значение которого превышает определенный порог, невозможны, в других приложениях большое значение имеет высокая значимость последствий, независимо от значения ARPN.

Подход APRN удовлетворяет требованиям непрерывной шкалы критичности и монотонного отображения риска, соответствующего каждому виду отказа, с его RPN. Кроме того, небольшие изменения уровней параметров критичности приводят лишь к небольшим изменениям RPN, что означает, что ARPN менее чувствителен, чем RPN (B.4.2). Следует отметить, что значения ARPN обычно ниже, чем значения RPN для одних и тех же входных значений параметров критичности.

Пример 4 — Идентифицированный вид отказа, который все еще считается приемлемым, может иметь соответствующие значения S = 5, O = 5 и D = 5 и RPN, равный 125, при использовании обычного метода RPN. При использовании альтернативного метода RPN для тех же данных ARPN = 15.

Примечание 2 — Если для всех трех параметров доступны количественные данные, более уместно просто рассчитать риск, перемножив значения без установления полуколичественных диапазонов на шкалах.

Приложение C

(справочное)

ПРИМЕР ОТЧЕТА ОБ FMEA

C.1 Общие положения

В данном приложении приведены варианты отчета о результатах анализа блока питания путем создания рабочих таблиц и диаграмм из информационной базы данных.

В целом полный отчет должен содержать цели анализа и описывать результаты анализа в соответствии с целями. Поскольку примеры, приведенные в приложении C, являются рабочими таблицами и диаграммами, сгенерированными на основе базы данных, они составляют только часть отчета FMEA (5.2.5.2). В полный отчет FMEA должна быть включена информация, описанная в 5.2.5.2, отчет должен быть понятен всем, кто не связан с выполнением анализа. Дополнительная информация может быть представлена на отдельных листах отчета FMEA.

Дополнительные примеры форм рабочих таблиц для различных применений FMEA приведены в приложении F. Единого формата отчета не существует, поскольку отчет об FMEA зависит от целей и особенностей анализа.

Примечание 1 — Фактическая форма отчета может отличаться от форм, показанных в примерах.

Существуют коммерческие пакеты программ для разработки отчета о результатах FMEA.

Примечание 2 — Для простого анализа с небольшим количеством участников может быть полезно использование электронных таблиц. Для более сложного анализа с несколькими источниками информации и сложными требованиями к отчету может быть полезна реляционная база данных для управления несколькими взаимосвязями между видами отказов, функциями, объектами, компонентами и причинами отказов.

C.2 Пример разработки отчета с использованием информационной базы данных для FMEA блока питания

На рисунке C.1 показано, как можно структурировать информационную базу данных. Если доступна информационная база данных, то FMEA может быть файлом, который связывает следующие базы данных:

— перечень спецификаций;

— перечень составных частей (ведомость материалов);

— перечень видов отказов, соответствующих компонентам и продукции организации;

— перечень возможных действий по обработке отказов (база данных о действиях).

Рисунок C.1 — База данных информационной системы

для поддержки разработки отчета об FMEA

Преимущество использования базы данных состоит в том, что информацию не нужно вводить несколько раз и легче поддерживать FMEA в рабочем состоянии, по мере продвижения разработки и появления изменений.

Полный набор полей для отчета об FMEA, которые можно заполнить из информационной базы данных, показан в таблице C.1 на примере источника питания, показанного на рисунке C.2. За счет выбора различных комбинаций полей можно создавать различные рабочие таблицы FMEA (таблицы C.2 — C.5) и диаграммы (рисунок C.3).

Для источника питания в процессе FMEA оценивают возможное воздействие отказа внутри устройства только на пользователя. Показанные результаты действительны в любых условиях окружающей среды, указанных в техпаспорте. Данный FMEA отражает только опасности, возникающие в процессе использования источника питания, а не на других стадиях жизненного цикла.

Рисунок C.2 — Схема источника питания типа XYZ

Таблица C.1

Пример полей, выбранных для отчета об FMEA источника питания

на основе информации базы данных

Таблица C.2

Пример отчета об FMEA компонента

Таблица C.3

Пример отчета о составных частях с возможными отказами

по общей причине

Таблица C.4

Пример отчета об FMECA с использованием анализа

критичности RPN

Таблица C.5

Пример отчета FMECA с использованием матрицы критичности

глобальных последствий

Рисунок C.3 — Матрица критичности для отчета FMECA

в соответствии с таблицей C.5, разработанная в виде

двумерного изображения, без учета обнаруживаемости

Приложение D

(справочное)

СВЯЗЬ FMEA С ДРУГИМИ МЕТОДАМИ АНАЛИЗА НАДЕЖНОСТИ

Сочетание FMEA с другими методами анализа надежности может повысить его результативность.

Например:

— Для определения области применения и в качестве помощи при разработке FMEA может быть использован метод структурной схемы надежности (RBD). Результаты FMEA могут быть впоследствии использованы для пересмотра или обновления RBD.

Примечание 1 — В отличие от FMEA RBD рассматривает успешную работу системы.

— Для выбора важных объектов сложной системы для FMEA может быть использован анализ дерева неисправностей (FTA) с соответствующей вершиной событий.

Примечание 2 — Как и в случае FMEA, FTA рассматривает отказ системы.

— Результаты (нижнего уровня) FMEA могут определять основные события для FTA, и эти события должны быть включены в качестве основных событий FTA.

— Информация, полученная в результате анализа первопричин, может помочь в идентификации причин отказов процесса ([4]).

— В дополнение к FMEA, который обычно учитывает только независимые отказы, можно использовать более подробные методы анализа, такие как FTA, RBD, анализ дерева событий (ETA), марковский анализ, сети Петри для учета взаимозависимости событий отказов (порядок появления отказов, условная вероятность возникновения отказов, резервирование, исключение возникновения, отказы по общей причине).

— FMEA может быть использован поэтапно в сочетании с другими методами анализа надежности в процессе разработки объекта или процесса. На стадии концепции FMEA может быть объединен с RBD и FTA для рассмотрения отказов на функциональном уровне. В процессе детального проектирования FMEA может быть разработан на более детальном уровне. Для выбранных критических компонентов или процессов FMEA может быть выполнен на наиболее детальном уровне.

— Прогнозирование безотказности и анализ результатов испытаний или отказов в эксплуатации могут быть использованы для определения количественной оценки вероятности в FMEA.

Примечание 3 — Ссылки на другие стандарты анализа надежности, которые могут быть применимы: RBD (ГОСТ Р 51901.14); FTA (ГОСТ Р 27.302); ETA (ГОСТ Р МЭК 62502); Марковский анализ (ГОСТ Р МЭК 61165); Сети Петри ([10]); прогнозирование безотказности см. в [7] и ГОСТ Р 27.013.

Результаты FMEA обеспечивают информацию о критических аспектах проекта сложного объекта или процесса, эта информация в процессе разработки может быть использована в качестве входных данных или может быть объединена с данными:

— анализа технического обслуживания;

— устранения неисправностей при техническом обслуживании;

— анализа тестируемости;

— определения и спецификации контрольных примеров и анализа результатов испытаний (тестирования);

— анализа логистической поддержки;

— анализа безотказности выполнения целевой задачи;

— анализа готовности;

— оценки последствий изменения конструкции (проекта);

— документации об обязательных целях (например, одобрение безопасности для конкретной системы или для определенного типа систем).

Приложение E

(справочное)

ПРИКЛАДНЫЕ АСПЕКТЫ ПРИМЕНЕНИЯ FMEA

E.1 Общие положения

В данном приложении рассмотрено общее применение FMEA и конкретные вопросы, которые необходимо рассмотреть при проведении FMEA в соответствии с общей методологией, приведенной в настоящем стандарте, и руководством по адаптации, приведенным в приложении A. Рассмотренные варианты применения не являются исчерпывающими.

Обсуждаемые варианты применения FMEA могут включать определенные требования в отношении анализа критичности (например, безопасности) или могут обеспечивать совместимость с конкретными стандартами (например, FMECA в рамках технического обслуживания, ориентированного на безотказность). Также рассмотрено использование FMEA для сложных систем (например, безотказность и готовность по модулям и компонентам).

E.2 FMEA программного обеспечения

FMEA программного обеспечения аналогично FMEA аппаратного обеспечения, процедур и функций. Для программного обеспечения обычно устанавливают, что:

— ошибка программного обеспечения — это ошибка в программном коде,

— программная ошибка — это проблема с выполнением процедуры/функции,

— отказ программного обеспечения — это полная или частичная деградация конкретной функции программного обеспечения.

Дефекты в программном обеспечении (обычно называемые «ошибками») могут привести к отказу программного обеспечения. Последствия такого отказа для функций программного обеспечения и выхода программного обеспечения могут быть проанализированы, как и для любого другого объекта. Вероятность отказа можно оценить как количество случаев активации функции, содержащей «ошибку», деленное на общее количество выполнения функции, но поскольку эта информация обычно недоступна, количественный анализ редко возможен. Состояния отказа в программном обеспечении часто являются неустойчивыми и в некоторых случаях могут быть устранены путем переустановки программного обеспечения. Все отказы программного обеспечения связаны с проектом, независимо от того, были ли они вызваны неверной интерпретацией требований, ошибками в кодах, нехваткой памяти, наличием разомкнутых циклов, синтаксическими ошибками и т.п.

Программное обеспечение может быть проанализировано сверху вниз или снизу вверх. Как и оборудование, программное обеспечение разбивают на несколько уровней, например пакет программ, программные модули и функции кода (таблица 1). Для каждого элемента анализ должен рассматривать вход, выполнение и выход. Выполнение зависит от начальных условий до ввода данных, например положения в структуре меню, содержимого регистров и памяти (ОЗУ, а также ПЗУ). На более низких уровнях отказы могут возникать во входных данных (например, неверные или поврежденные данные), в начальных условиях (например, неправильная позиция в меню, неверное или поврежденное содержимое памяти) или из-за неправильной работы (например, ошибок в алгоритмах). Отказы на уровне системы часто связаны с выходными данными (например, поврежденные выходные данные или неверные данные). Наконец, выход программного обеспечения может вызвать проблемы взаимодействия с аппаратным обеспечением, например проблемы синхронизации. Анализ обычно фокусируется на видах отказов, связанных с программным обеспечением, однако причины, показатели и последствия отказов могут быть связаны с соответствующим аппаратным обеспечением. Поэтому в анализе должны участвовать как аналитики, знающие программное обеспечение, так и аналитики, знающие аппаратное обеспечение.

Глубина и область применения FMEA программного обеспечения могут быть различны. FMEA может быть ограничен только программными компонентами или модулями. При запуске на раннем этапе разработки программного обеспечения FMEA может быть направлен на функции программного обеспечения, необходимые для работы системы, и на возможные ошибки или отказы, которые могут стать причиной отказа функции в одном или нескольких видах отказа. Такой анализ выполняют в начале разработки программного обеспечения и используют в качестве источника информации для создания контрольных примеров программного обеспечения. По мере разработки системы влияние программных ошибок, сбоев или отказов может быть определено лучше, а также определены обстоятельства или их комбинации, которые могут вызвать отказ.

Ключевые причины отказов могут представлять собой ошибки программиста («ошибки»), а также причины, связанные с состоянием аппаратных средств. Для выполнения FMEA необходимо определить, может ли единичный отказ программного обеспечения стать причиной неприемлемых локальных последствий (помимо конечных/глобальных последствий), например:

— переменная принимает непредусмотренное значение;

— сообщение содержит непредусмотренные данные или затрачивает на выполнение неожидаемое время;

— модуль дает неожидаемые выходы.

Затем анализируют каждый вид отказа для (конечных) последствий системы. Это правило, основанное на анализе сложных единичных последствий, которые зависят от времени и состояния системы. Перед выполнением FMEA для программного обеспечения необходимо провести отдельный анализ спецификации требований. Поскольку программная ошибка или сбой часто приводят к нежелательным последствиям для аппаратного обеспечения, сначала необходимо выполнить FMEA для аппаратного обеспечения, чтобы установить влияние системы. В этом случае последствия для системы программного обеспечения могут основываться на последствиях для системы аппаратного обеспечения.

Следующий перечень основан на примерах, приведенных в [11]. FMEA программного обеспечения также должно учитывать условия эксплуатации, например:

— аппаратные отказы, вызывающие отказ памяти;

— периферические отказы карты памяти (например, отказы аналоговых/цифровых преобразователей или устройств ввода-вывода);

— отказ источника питания, например сброс из-за падения напряжения питания;

— электромагнитные помехи (EMI), электромагнитные импульсы (EMP);

— неправильно обработанные неверные входные данные, включая ошибки загрузки.

Примеры причин отказа на уровне системы:

— неправильное использование вызовов операционной системы;

— неверная синхронизация, например коллизия данных из-за изменения времени передачи данных;

— прерывание обработки и неадекватный анализ;

— неадекватная или отсутствующая обработка исключений.

Примеры ошибок программирования (причины отказов):

— ошибки проектирования и выполнения (например, при кодировании, масштабировании, разработке алгоритмов);

— неадекватное обнаружение ошибок (например, нарушение границ, указатели вне диапазона);

— неадекватное определение допустимого диапазона;

— непреднамеренная перезапись в памяти;

— неадекватная обработка ошибок программного обеспечения (например, неожиданная ситуация).

Примеры видов отказов:

— неправильная точка выхода, превышение времени, неожиданное взаимодействие ввода-вывода;

— недостающие данные, неверные данные, неверная синхронизация данных, особые данные;

— ненормальное завершение, пропущенные события, неверные логика, синхронизация/порядок;

— остановка, аварийный отказ, зависание, медленная реакция, отказ запуска, ошибочные сообщения.

Если анализ выполняют с использованием электронной таблицы, обычно можно использовать следующие столбцы:

a) иерархия системы и компонентов;

b) обозначения компонентов;

c) виды отказов

d) причины отказов;

e) последствия неготовности отказавшей функции (при восстановлении программного обеспечения);

f) смягчающее обеспечение проекта (меры по восстановлению проекта, альтернативные пути, защита от отказов);

g) компенсационное обеспечение;

h) закрытие вопроса;

i) окончательное снижение неготовности функции в результате идентификации вида отказа.

На рисунке E.1 показан пример модели отказа программного обеспечения.

Рисунок E.1 — Общая модель отказа программного обеспечения

для компонента программного обеспечения

По мере разработки конструкции аппаратного обеспечения анализ рассматривает систему в целом, включая программное и аппаратное обеспечение, и направлен на функции системы и их цепочки.

FMEA аппаратного обеспечения изменяется вслед за программной частью, анализ может разрастись до нежелательных размеров при поиске цепочки последствий, приводящих к отказу системы, и оценке влияния их деградации или значимости их потери на работу системы. При анализе смешанной аппаратно-программной системы предпочтительной практикой является отслеживание функции системы по ветвям сверху вниз для идентификации компонентов программного обеспечения, их возможных ошибок или неисправностей и возможных видов отказов, а также их причин.

Следует помнить, что FMEA одновременно исследует только один вид отказов, он не предназначен для рассмотрения функциональных зависимостей, последовательностей событий (отказов) или комбинаций событий. Отказ аппаратного обеспечения может быть причиной отказа программного обеспечения, а с точки зрения FMEA отказ программного обеспечения является следствием отказа аппаратного обеспечения.

FMEA программного обеспечения — один из методов (помимо тестирования), который помогает повысить безотказность программного обеспечения. Тестирование также может быть использовано в качестве обработки видов отказов, которые считаются критическими.

E.3 FMEA процесса

Для процессов и процедур общая методология FMEA такая же, как и для аппаратного и программного обеспечения. Начальной точкой анализа является схема работы процесса, структура деления работ или анализ задач. Процесс подразделяют на элементы, которые являются этапами процесса. Уровень декомпозиции выбирают в соответствии с областью применения анализа. Функцию каждого этапа или его предполагаемого выхода определяют с помощью описания функции, достаточно специфичного, чтобы был ясен уровень работы, представляющий собой отказ. Как и в случае FMEA аппаратного и программного обеспечения, варианты отказа функций процесса должны быть перечислены в качестве видов отказов в FMEA процесса. Последствия отказа, механизмы и возможные причины отказа также должны быть определены. Механизмы и причины отказов часто охватывают как ошибки человека, так и отказы оборудования. Анализ критичности может быть применен так же, как описано в общем руководстве FMEA.

FMEA процесса впервые был применен к производственным процессам, но теперь его применяют более широко. Например, его широко используют при анализе медицинских процедур в здравоохранении.

E.4 FMEA при проектировании и разработке

FMEA — неотъемлемая часть процесса проектирования, от концепции до разработки системы. FMEA — итеративный процесс, он начинается, как только появляется предварительная информация о проекте на высшем уровне системы, и распространяется на более низкие уровни иерархии системы по мере поступления большого количества информации. Адаптация FMEA (приложение A) должна гарантировать, что он вносит существенный вклад в решения организации в отношении осуществимости и адекватности подхода к разработке проекта.

Целью FMEA в процессе проектирования является идентификация видов отказов внутри системы и возможных критических отказов, которые могут быть устранены или сокращены с помощью проектных решений как можно раньше.

В дополнение к ориентации на надежность FMEA поддерживает усилия по сопровождению, техническому обслуживанию и анализу риска.

E.5 FMEA в рамках технического обслуживания, ориентированного на безотказность

Для разработки успешной программы технического обслуживания, ориентированного на безотказность, необходимо четкое понимание функций объекта, отказов и последствий с точки зрения целей организации при эксплуатации объекта.

FMEA и метод анализа критичности подходят для применения к техническому обслуживанию, ориентированному на безотказность, если анализ структурирован таким образом, что соответствует требованиям стандарта технического обслуживания, ориентированного на безотказность (ГОСТ Р 27.606).

Для структурирования анализа необходимо, чтобы все виды отказов были четко связаны с потерей функции на соответствующем уровне иерархии объекта и чтобы такие аспекты, как «средства обнаружения» отказов, были согласованы с потенциальными задачами технического обслуживания.

E.6 FMEA для систем управления, связанных с безопасностью

E.6.1 Общие положения

Применительно к безопасности FMEA используют в различных ситуациях. Метод FMEA является одной из альтернатив при планировании функций, связанных с безопасностью, или анализе риска.

Пример 1 — Некоторые стандарты (например, ГОСТ Р МЭК 62061 и ГОСТ Р МЭК 61508 (все части)) требуют применения определенных форм анализа при установлении подходящих методов обработки риска, при создании функций, связанных с безопасностью, или при разработке устройств для использования таких функций. FMEA — один из методов, который можно использовать при планировании функций, связанных с безопасностью.

Применительно к безопасности FMEA классифицирует виды отказов функции, связанной с безопасностью, на безопасные и опасные. Классификация может быть различной в зависимости от условий использования, структуры системы, окружающей среды.

Пример 2 — Для многих систем безопасным состоянием (неизменным безопасным состоянием системы) является обесточенное состояние (выключенное состояние). Отказ тормозной системы воздушного судна можно считать безопасным отказом, когда самолет находится на земле, но этот отказ становится опасным отказом при взлете или посадке (переменное безопасное состояние системы (см. [12]).

Некоторые стандарты безопасности требуют, чтобы единичные отказы были обнаружены так, чтобы это приводило к безопасному состоянию или сохранению безопасного состояния за счет функциональной избыточности (резервирования), напрямую не приводило к небезопасному состоянию.

При ранжировании действий применительно к безопасности действия по проектированию должны в первую очередь рассматривать последствия отказов и не должны использовать экономические компромиссы. Следовательно, при проектировании действия должны быть направлены:

— на снижение вероятности опасных отказов;

— распознавание или обнаружение появления опасных отказов и соответствующее реагирование на них;

— оповещение пользователя о безопасном состоянии устройства;

— устранение или снижение вероятности отказов, вызванных ошибками или непониманием человека.

E.6.2 FMEA при планировании применительно к безопасности

FMEA может быть применен на уровне системы на этапе планирования разработки применительно к безопасности. Виды и последствия отказов всех компонентов системы и их взаимодействие систематически оценивают для определения их влияния на безопасность системы.

FMEA также может быть применен в других точках проекта, где при определении методов обработки для повышения безопасности могут быть использованы идентификация риска и анализ влияния риска на функции, связанные с безопасностью. Целью FMEA в области безопасности является поиск всех элементов, связанных с функцией безопасности, и всесторонняя идентификация источников вреда. Методы, способствующие комплексной идентификации, включают в себя контрольные перечни, исследования и использование экспертных оценок в широком диапазоне.

Меру риска, основанную на тяжести вреда и качественной оценке вероятности опасного события, используют для определения требуемой целостности безопасности систем управления электрических, электронных и программируемых электронных, связанных с безопасностью в соответствии с ГОСТ Р МЭК 62061.

Вероятность нанесения вреда учитывает:

— частоту и продолжительность воздействия опасности на людей;

— вероятность возникновения опасного события;

— возможность избежать или ограничить возможный вред.

Эти три фактора наряду со значимостью последствий используют для создания класса необходимого снижения риска при применении. Такие классификации используют в нескольких стандартах, связанных с безопасностью.

Примечание — В ГОСТ Р МЭК 61508 (все части) и ГОСТ Р МЭК 62061 использован термин SIL (уровень целостности безопасности) для такой классификации.

Пример — В ГОСТ Р МЭК 62061 для наивысшей категории снижения риска требуется уровень SIL3, который эквивалентен интенсивности отказов функции управления безопасностью от 10^-8 до 10^-7 в час.

E.6.3 Анализ критичности, включающий диагностику

Дополнительный уровень детализации включен в так называемый анализ видов, последствий и диагностики отказов (FMEDA).

Примечание 1 — Метод FMEDA также используют для систем, не связанных с безопасностью.

Способность системы или подсистемы обнаруживать внутренние отказы, предпочтительно с помощью автоматической онлайн-диагностики, имеет решающее значение для достижения и сохранения правильного функционирования сложных систем и систем, которые не могут в полной мере использовать все функциональные возможности в нормальных условиях, таких как редкие запросы системы аварийного отключения (система ESD). При оценке целостности системы, связанной с безопасностью, всем анализируемым компонентам добавляют количественные данные об интенсивности отказов (интенсивность отказов и распределение видов отказа). Кроме того, количественно определяют способность системы обнаруживать внутренние отказы.

Если анализируемые компоненты являются электронными устройствами, интенсивность отказов должна иметь соответствующую сопроводительную документацию для обоснования ее оценки, в идеале из опыта эксплуатации на местах. Интенсивность отказов для каждого компонента определяют на основе сведений из баз данных, для которых доказана их пригодность для данной цели. Кроме того, распределения видов отказов могут быть выведены из аналогичных источников или из стандартов (например, [7]), их, как правило, приводят в процентах от общего количества.

Примечание 2 — Интенсивность отказов часто указывают в виде количества отказов в единицу времени (FIT). FIT означает 10^-9 отказов в час.

Примечание 3 — Распределение видов отказов соответствует доле общей интенсивности отказов компонента, которая может быть приписана каждому из видов отказов.

Во многих случаях также указывают интенсивность отказов для отказов, которые не влияют на функцию безопасности, или отказов составных частей, которые не являются частью функции безопасности, но эти интенсивности не влияют на дальнейшие вычисления.

При оценке электронного устройства анализ учитывает каждый электрический компонент и его влияние на функцию безопасности, что позволяет сделать вывод о том, какое влияние оказывает отказ на функцию безопасности.

Отказы обычно делят на безопасные отказы, опасные обнаруженные отказы, опасные необнаруженные отказы и отказы, которые не влияют на функцию безопасности. Для проверки полноты оценки иногда целесообразно перечислить компоненты, которые не влияют на функцию безопасности.

Решение о том, является ли опасный отказ обнаруженным или необнаруженным, определяется значением диагностического охвата, которое может быть выведено на основе соответствующей диагностической схемы и оценки ее результативности. Значение прибавляют к оценке, сумма характеризует качество устройства для использования в рамках функции безопасности. Полученные значения также могут быть использованы для расчета интенсивности отказов или других показателей безотказности функции безопасности или показателей качества функции безопасности, таких как доля безопасных отказов (SFF) или общий диагностический охват (DC). Определение значений этих характеристик зависит от условий, для которых они определены.

Результатом является ранг значений вероятности отказа, который позволяет оценить общий риск, соответствующий отказу функции безопасности в случае возникновения ее запроса.

При недостатке информации о возможных видах отказов и их распределении по электрическим компонентам FMEA снова является подходящим методом сбора информации о возможных видах отказов. Исходя из этого могут быть начаты практические эксперименты или теоретические обсуждения для определения этих значений.

Примечание 4 — Данный метод и возможности исключения ошибок описаны в ГОСТ ISO 13849-1.

E.7 FMEA для сложных систем с распределением безотказности

E.7.1 Общие положения

FMEA может быть использован для сложных и ответственных систем, от оборонного и аэрокосмического сектора до водоснабжения, канализации, транспорта, связи, производства и распределения электроэнергии. В этих системах требования к показателям готовности, ремонтопригодности и безотказности могут быть распределены по элементам системы. Адаптированный FMEA может быть проведен с рассмотрением характеристик отказа каждого элемента для понимания влияния на систему таких конструктивных особенностей, как использование общих компонентов и резервирования.

E.7.2 Оценка критичности для невосстанавливаемых систем с распределенной вероятностью отказа

В процессе FMEA для сложной, не восстанавливаемой системы частоты возникновения, вероятности, интенсивности отказов или другие соответствующие показатели могут быть распределены для каждого последствия на уровне системы. Это распределение можно сравнить с приемлемым риском системы, распределенными вероятностями и значимостью в матрице риска.

Локальные последствия каждого отказа на самом низком уровне иерархии системы можно привести к последствиям на более высоком уровне и, наконец, на уровне системы. Эти фактические оценки риска затем можно сопоставить с согласованным уровнем приемлемого риска. Если критичность превышает допустимое значение, необходимо проследить ее появление до той составной части системы, откуда она возникает.

Оценки вероятностей отказов можно сравнить с допустимыми пределами для каждого уровня значимости, чтобы определить составные части или компоненты на более низком уровне с чрезмерной критичностью. Затем выполняют инженерные действия для снижения критичности компонентов путем снижения вероятности отказа или другие меры смягчения последствий отказа. Этот процесс показан на рисунке E.2.

Рисунок E.2 — Распределение вероятностей отказа в системе

Часто предполагается, что если критичность компонента более низкого уровня не превышает приемлемый уровень, то никаких действий предпринимать не нужно. Это особенно неверно, когда имеется много аналогичных компонентов, которые могут оказывать одинаковое воздействие на подсистемы или систему. Общее суммарное воздействие отказов всех компонентов, имеющих одинаковую вероятность и значимость последствий, не должно превышать допустимую вероятность отказов сборочной единицы, в которой они находятся. Эта мера гарантирует, что определенная критичность на уровне системы не будет превышена.

E.7.3 Оценка критичности для восстанавливаемых систем с распределением показателя неготовности

Требования к готовности для восстанавливаемых систем распределяют по показателям надежности, таким как среднее время между отказами (MTBF) для безотказности и среднее время восстановления (MTTR) для ремонтопригодности системы. Показатель неготовности системы обычно используют для оценки критичности системы. Оценка коэффициента неготовности аналогична оценке вероятности отказа (ненадежности). Коэффициент неготовности распределяют по подсистемам и сборочным единицам, он имеет два измерения, поскольку зависит от двух показателей, MTBF и MTTR.

Процесс распределения на уровне системы, подсистемы, сборочных единиц аналогичен распределению в E.7.2, за исключением того, что вместо вероятности появления вида отказа, для вида отказа выводят коэффициент неготовности системы, подсистемы и сборочных единиц. Виды отказов, вызывающие неприемлемый уровень неготовности, должны быть обработаны.

Приложение F

(справочное)

ПРИМЕРЫ ПРИМЕНЕНИЯ FMEA В РАЗЛИЧНЫХ ОТРАСЛЯХ ПРОМЫШЛЕННОСТИ

F.1 Общие положения

Приведенные ниже примеры представляют собой фрагменты рабочих таблиц FMEA с кратким объяснением области применения.

Примечание — Приведенные фрагменты являются частью рабочих таблиц FMEA и содержат только краткие описания. Это означает, что в примере отсутствует полное рассмотрение целей и границ FMEA, даже если они крайне важны для анализа.

F.2 Применение к процессу заказа лекарств

В таблице F.1 приведена выдержка из таблиц FMEA процесса заказа лекарственного средства в аптеке. В примере показан один этап процесса с видами, последствиями и причинами отказов.

Таблица F.1

Фрагмент FMEA процесса заказа лекарственного средства

в аптеке

F.3 Применение к производственному процессу распыления краски

В таблице F.2 показана выдержка из таблиц FMEA производственного процесса распыления краски. В примере показан один этап процесса с видами, последствиями и причинами отказов.

Таблица F.2

Фрагмент FMEA этапа распыления краски в производственном

процессе

F.4 Применение к водяному насосу

F.4.1 Общие положения

Ниже приведен простой пример FMEA для выделения информации, используемой на каждом этапе анализа для отдельного водяного насоса с расчетной скоростью потока 600 л/мин, который подает охлаждающую воду в теплообменник. Скорость потока 400 л/мин обеспечивает идеальные условия охлаждения. Анализ представлен в виде описательной части, но может быть записан в табличной форме или в форме базы данных.

F.4.2 Функция объекта

Функции насоса:

1) подача воды в первичный теплообменник с производительностью 400 л/мин +/- 30 л/мин;

2) хранение воды с утечкой менее 0,01 л/час.

Примечание — Насос имеет дополнительные конструктивные возможности для обеспечения требуемого обслуживания (критерий мощности в зависимости от нагрузки). В данном примере, если насос не достигает своей полной проектной мощности, выход ниже максимума может не отражать потерю функции.

F.4.3 Виды отказов объекта

Виды отказов насоса для функции 1:

A. Подача воды в первичный теплообменник с интенсивностью менее 370 л/мин;

B. Подача воды в первичный теплообменник с интенсивностью более 430 л/мин.

Виды отказов насоса для функции 2:

A. Утечка воды с интенсивностью более 0,01 л/ч, но менее или равной 1 л/ч;

B. Утечка воды с интенсивностью более 1 л/ч.

Примечание — Виды отказов часто просто противоположны требуемой функции (например, функции 1), но часто могут быть расширены до включения установленных уровней, на которых происходит потеря функции (например, функции 2). Обычно это имеет значение только в том случае, если с каждым уровнем связаны различные последствия.

F.4.4 Последствия отказа объекта

Последствия видов отказов насоса 1A:

— локальные: нет;

— конечные: остановка процесса (из-за недостаточного охлаждения).

Последствия видов отказов насоса 1B:

— локальные: нет;

— конечные: продукт не соответствует спецификации (из-за чрезмерного охлаждения).

Последствия видов отказов насоса 2A:

— локальные: нет;

— конечные: химическое загрязнение (вода испаряется, выделяя химические вещества).

Последствия видов отказов насоса 2B:

— локальные: нет;

— конечные: остановка процесса (переполнение емкости, повреждение электрооборудования).

Примечание — В результате такого анализа в емкости может быть размещено устройство, подающее сигнал о переполнении емкости. Анализ такого аварийного сигнала показал, что его отказ сам по себе не имеет последствий, но приводит к остановке процесса в случае утечки.

F.5 Применение FMEA с анализом критичности к сложной невосстанавливаемой системе

В данном примере использованы значения вероятности отказа. На рисунке F.1 показана иерархическая структура электронной системы, состоящей из четырех последовательных подсистем, каждая из подсистем имеет две сборочные платы с различными последовательными электронными компонентами. На рисунке F.1 также показано распределение значений вероятности отказа в системе, подсистемах и сборочных единицах.

Рисунок F.1 — Иерархия последовательной электронной системы,

ее подсистем и сборочных единиц с указанием значений

вероятности отказа F(t)

В таблице F.3 показаны распределение и оценка значений вероятности отказа для различных категорий критических видов отказов этой системы. Данные таблицы F.3 показывают, что виды отказов в категориях III (основные) и II (критические) превышают допустимые уровни, их необходимо исследовать. Чтобы выяснить, какие из подсистем/сборочных единиц вносят наибольший вклад в проблему, необходимо рассмотреть распределение вероятности отказа для сборочных единиц/элементов.

Таблица F.3

Распределение и оценка значений вероятности отказа

для различных категорий критичности видов отказов

для электронной системы, представленной на рисунке F.1

В качестве примера в таблице F.4 показаны распределение и оценка значений вероятности отказа для подсистемы 2. Информация в таблице F.4 показывает, что виды отказов в основных и критических категориях превышают значения, соответствующие распределению вероятности отказа. Вывод состоит в том, что для снижения вероятности отказа системы и приведения критичности системы к допустимому риску необходимо смягчить последствия критических и основных режимов отказов в подсистеме 2 в сборочных единицах 3 и 4.

Таблица F.4

Распределение и оценка значений вероятности отказа

для различных категорий критичности видов отказов подсистемы

2 системы, представленной на рисунке F.1

Это распределение и оценка вероятности отказа для четырех подсистем и соответствующих им сборочных единиц завершены. Если вероятность отказа является неприемлемой, могут быть предприняты действия для повышения безотказности таких сборочных единиц и достижения сбалансированного результата. После определения новых показателей сборочных единиц эти значения можно пересчитать на уровне системы, используя методы структурной схемы надежности или дерева неисправностей. Следует проявлять осторожность при использовании идентичных компонентов на уровне сборочных единиц, чтобы выявить возможные общие виды отказов этих компонентов.

F.6 Применение к программному обеспечению для расчета уровня сахара в крови

В таблице F.6 показан FMEA для определения сахара в крови с помощью глюкометра, в ней показаны режимы, причины и локальные последствия отказов. Из таблицы видно, как рассматривают этапы мониторинга и различных используемых компонентов для определения видов, последствий и причин отказов глюкометра. Один из очень важных видов отказов глюкометра заключается в том, что при установке микропроцессора программное обеспечение возвращается к заводским настройкам. Если заводские настройки указаны в единицах измерений США, а пользователь изменил их на европейские, то может возникнуть угроза для жизни пользователя.

F.7 Применение к устройству управления автомобильными подушками

В таблице F.7 представлена небольшая часть обширного FMEA, выполненного для подушек безопасности автомобиля. Анализируемое устройство представляет собой источник питания и его соединения (только) с аккумулятором, как показано на рисунке F.2.

Рисунок F.2 — Часть схемы подушки безопасности автомобиля

Схема включает диод D1 на линии с положительным выходом батареи и конденсатор C1, соединяющий положительную линию с землей. Диод D1 устанавливают так, чтобы если батарея подключена в обратном направлении, ток не может течь по цепи. Конденсатор C1 предназначен для фильтрации напряжения.

Если в C1 произойдет короткое замыкание, положительная сторона батареи станет напрямую соединена с землей, что приведет к перегоранию D1 и к размыканию цепи D1. В этом случае схема управления подушками безопасности станет неработоспособной. Такой отказ считают опасным, в результате чего ему соответствует уровень значимости последствий S = 10. Вероятности возникновения отказов рассчитаны по интенсивностям отказов составных частей, в соответствующих нагрузках в течение срока службы транспортного средства, а затем сопоставлены с 10-балльной шкалой, что привело к выбору O = 3. Вероятность обнаружения признана низкой, поскольку если отказ произойдет во время управления автомобилем, водитель не узнает об отказе. Таким образом, выбрано значение D = 10.

Кроме того, разомкнутая цепь с любой стороны C1 позволяет цепи управления воздушной подушкой работать, но влияет на способность C1 фильтровать входное напряжение в цепи. Отказ размыкания цепи D1 также приводит к отключению цепи управления подушкой безопасности, так как ток не может поступать от батареи. Отказ в виде короткого замыкания D1 позволяет цепи управления подушкой безопасности работать, но при этом нет защиты от обратного тока.

В таблице F.7 столбцы «рекомендуемое действие», «ответственность и целевая дата завершения», а также «результаты обработки» не заполнены. Это отражает ситуацию, когда команда FMEA передает частично выполненный FMEA команде проектировщиков. Затем команда проектировщиков должна рассмотреть риски и предложить действия и сроки. FMEA можно затем завершить, заполнив столбец «результаты обработки».

F.8 Применение к техническому обслуживанию и поддержке Hi-Fi системы

Пульт дистанционного управления — это небольшое устройство, которое позволяет пользователю управлять системой Hi-Fi на расстоянии с помощью инфракрасной связи или радиосвязи. Цель этого примера — показать, как различные FMEA могут быть применимы к одному и тому же объекту. Был выбран очень простой объект и в качестве примеров приведены различные FMEA в сильно сокращенном виде для экономии места. Примеры FMEA системы, конструкции, процесса и технического обслуживания для одного и того же объекта — пульта дистанционного управления системы Hi-Fi показаны в таблицах F.8 — F.11 соответственно. FMEA системы разработан на ранней стадии разработки проекта для рассмотрения общей планировки высшего уровня (структуры) объекта. FMEA конструкции исследует проектные решения. FMEA процесса рассматривает производственные процессы, а FMEA технического обслуживания — простоту ремонта объекта (ремонтопригодность).

Этот пример иллюстрирует различия между указанными типами FMEA для одного и того же объекта. Использован индекс приоритетности RPN.

F.9 Применение к системе управления, связанной с безопасностью

F.9.1 Электронная схема

FMEA выполняют для оценки риска, соответствующего безопасности пользовательского интерфейса объекта. Приведен пример анализа видов, последствий и диагностики отказов (FMEDA) для электронной схемы. Пример не завершен; в нем определены виды, последствия и диагностические возможности отказов основных элементов цепи электропитания, в которой использован линейный регулятор внутреннего напряжения в устройстве. Фрагмент FMEDA приведен в таблице F.12.

F.9.2 Автоматизированная система управления поездом

Автоматизированная система управления поездом — это бортовая система, которая останавливает поезд и удерживает его в случае, если путь занят другим поездом. Если стоп-сигнал подан в туннеле, необходимо, чтобы поезд все еще мог перемещаться, чтобы в случае пожара люди, находящиеся в поезде, имели возможность спастись. В данном FMEA рассмотрен риск для здоровья пассажиров.

Если автоматизированная система управления поездом в результате отказа не может остановить поезд при необходимости, может произойти столкновение. С другой стороны, опасно, если автоматизированная система управления поездом не позволяет поезду выйти из туннеля в случае пожара.

Эти опасности являются взаимно обратными, поскольку в одном случае правильно остановить поезд, а в другом — наоборот.

В таблице F.5 показана взаимосвязь видов отказов автоматизированной системы управления поездом, опасностей, безопасных и опасных отказов.

Таблица F.5

Опасности и безопасные/опасные отказы автоматизированной

системы управления движением поездов

F.10 FMEA, включающий человеческий фактор

В таблице F.13 показан FMEA процесса использования кофеварки [8]. В этом FMEA оценивают поведение человека и соответствующие виды риска. FMEA включает в себя анализ возможного взаимодействия между вовлеченным человеком, оборудованием и средой для определения видов отказов и вариантов смягчения их последствий. Для более четкого исследования полезно разделять риски для людей и оборудования.

Факторы, связанные с человеком, можно разделить на положительные (предотвращающие отказ или уменьшение значимости последствий) и отрицательные (вызывающие отказ или ошибочные реакции). Люди также могут пострадать, и в некоторых случаях логично различать вред для оборудования и окружающей среды и вред для человека. Пример в таблице F.13 включает человека как источник отказов.

В поле «Категория внимания» различаются периоды, в процессе которых человек ведет себя некорректно. В поле «Психологический анализ причин ошибок» приведены управляющие слова для причин ошибок. Время, в течение которого появляются эти категории ошибок, зависит от количества периодов, в течение которых они могут возникнуть. Это может повлиять на вероятность возникновения ошибки такого типа.

С левой стороны оценивают необходимые обстоятельства для ошибки. В поле «Вид ошибки человека» удобно различать разные группы людей, а также уменьшать или увеличивать значение вероятности в зависимости от размера группы, для которой эта ошибка может быть присуща. Здесь можно провести различие между взрослыми (A) и детьми (C), женщинами и мужчинами (F/M), инвалидами (D) и пожилыми людьми (O) или не указанными лицами (G).

В данном случае было принято решение добавить баллы риска для оборудования и человека, чтобы получить значение риска для системы. Контрмеры также классифицируют таким образом, чтобы различать возможные способы действий: возможность предотвращения возникновения ошибки (O), возможность избежать этого путем инструктажа персонала (I), наличие системы управления, устраняющей события (M), наличие предупреждения людей (E).

Использование таких методов в высокой степени зависит от области применения.

F.11 Процесс маркировки и изоляции электронного компонента

В таблице F.14 приведен фрагмент FMEA процесса, выполняемого для изоляции и маркировки электронного компонента: так называемый внутренний процесс.

Таблица F.6

Фрагмент таблицы FMEA процесса мониторинга уровня сахара

в крови (1 из 2)

Таблица F.7

Фрагмент таблицы FMEA автомобильной электронной детали FMEA

Таблица F.8

Фрагмент таблицы FMEA пульта дистанционного управления

системой Hi-Fi

Таблица F.9

Фрагмент таблицы FMEA конструкции для пульта дистанционного

управления системой Hi-Fi

Таблица F.10

Фрагмент таблицы FMEA процесса для пульта дистанционного

управления системой Hi-Fi

Таблица F.11

Фрагмент таблицы FMEA технического обслуживания для пульта

дистанционного управления системой Hi-Fi

Таблица F.12

Фрагмент таблицы FMEDA электронной схемы в системе контроля

безопасности (1 из 2)

Таблица F.13

Выписка из FMEA для кофеварки

Таблица F.14

Фрагмент таблицы FMEA процесса маркировки и изоляции

электронного компонента

Приложение ДА

(справочное)

СВЕДЕНИЯ О СООТВЕТСТВИИ ССЫЛОЧНЫХ НАЦИОНАЛЬНЫХ

И МЕЖГОСУДАРСТВЕННЫХ СТАНДАРТОВ МЕЖДУНАРОДНЫМ СТАНДАРТАМ,

ИСПОЛЬЗОВАННЫМ В КАЧЕСТВЕ ССЫЛОЧНЫХ В ПРИМЕНЕННОМ

МЕЖДУНАРОДНОМ СТАНДАРТЕ

Таблица ДА.1

БИБЛИОГРАФИЯ