|
Анализ видов и последствий отказов
FMEA для систем управления, связанных с безопасностью
Общие положения
Применительно к безопасности FMEA используют в различных ситуациях. Метод FMEA является одной из альтернатив при планировании функций, связанных с безопасностью, или анализе риска.
Пример 1 — Некоторые стандарты (например. ГОСТ Р МЭК 62061 и ГОСТ Р МЭК 61508 (все части)) требуют применения определенных форм анализа при установлении подходящих методов обработки риска, при создании функций, связанных с безопасностью. или при разработке устройств для исполь- зования таких функций. FMEA — один из методов, который можно использовать при планировании функций, связанных с безопасностью.
Применительно к безопасности FMEA классифицирует виды отказов функции, связанной с безопасностью, на безопасные и опасные. Классификация может быть различной в зависимости от условий использования, струк- туры системы, окружающей среды.
Пример 2 — Для мноаих систем безопасным состоянием (неизменным безопасным состоянием системы) является обесточенное состояние (выключенное состояние). Отказ тормозной системы воздушного судна можно считать безопасным отказом, когда самолет находится на земле, но этот отказ становится опасным отказом при взлете или посадке (переменное безопасное состояние систе- мы (см. (12]).
Некоторые стандарты безопасности требуют, чтобы единичные отказы были обнаружены так. чтобы это при- водило к безопасному состоянию или сохранению безопасного состояния за счет функциональной избыточности (резервирования), напрямую не приводило к небезопасному состоянию.
При ранжировании действий применительно к безопасности действия по проектированию должны в первую очередь рассматривать последствия отказов и не должны использовать экономические компромиссы. Следова- тельно. при проектировании действия должны быть направлены:
на снижение вероятности опасных отказов: распознавание или обнаружение появления опасных отказов и соответствующее реагирование на них; оповещение пользователя о безопасном состоянии устройства: устранение или снижение вероятности отказов, вызванных ошибками или непониманием человека.
FMEA при планировании применительно к безопасности
FMEA может быть применен на уровне системы на этапе планирования разработки применительно к безо- пасности. Виды и последствия отказов всех компонентов системы и их взаимодействие систематически оценивают для определения их влияния на безопасность системы.
FMEA также может быть применен в других точках проекта, где при определении методов обработки для повышения безопасности могут быть использованы идентификация риска и анализ влияния риска на функции, связанные с безопасностью. Целью FMEA в области безопасности является поиск всех элементов, связанных с функцией безопасности, и всесторонняя идентификация источников вреда. Методы, способствующие комплекс- ной идентификации, включают в себя контрольные перечни, исследования и использование экспертных оценок в широком диапазоне.
Меру риска, основанную на тяжести вреда и качественной оценке вероятности опасного события, использу- ют для определения требуемой целостности безопасности систем управления электрических, электронных и про- граммируемых электронных, связанных с безопасностью в соответствии с ГОСТ Р МЭК 62061.
Вероятность нанесения вреда учитывает:
частоту и продолжительность воздействия опасности на людей; вероятность возникновения опасного события; возможность избежать или ограничить возможный вред.
Эти три фактора наряду со значимостью последствий используют для создания класса необходимого сни- жения риска при применении. Такие классификации используют в нескольких стандартах, связанных с безопас- ностью.
Примечание — В ГОСТ РМЭК 61508 {асе части) и ГОСТ Р МЭК 62061 использован термин SIL (уровень целостности безопасности) для такой классификации.
Пример — В ГОСТ Р МЭК 62061 для наивысшей категории снижения риска требуется уровень SIL3, который эквивалентен интенсивности отказов функции управления безопасностью от 10в до 10Т в час.
Анализ критичности, включающий диагностику
Дополнительный уровень детализации включен в так называемый анализ видов, последствий и диагностики отказов (FMEDA).
Примечание 1 — Метод FMEDA также испогъзуют для систем, не связанных с безопасностью.
Способность системы или подсистемы обнаруживать внутренние отказы. предпочтительно с помощью ав- томатической онлайн-диагностики. имеет решающее значение для достижения и сохранения правильного функ- ционирования сложных систем и систем, которые не могут в полной мере использовать есе функциональные воз- можности в нормальных условиях, таких как редкие запросы системы аварийного отключения (система ESD). При оценке целостности системы, связанной с безопасностью, всем анализируемым компонентам добавляют количе- ственные данные об интенсивности отказов (интенсивность отказов и распределение видов отказа). Кроме того, количественно определяют способность системы обнаруживать внутренние отказы.
Если анализируемые компоненты являются электронными устройствами, интенсивность отказов должна иметь соответствующую сопроводительную документацию для обоснования ее оценки, в идеале из опыта эксплу- атации на местах. Интенсивность отказов для каждого компонента определяют на основе сведений из баз данных, для которых доказана их пригодность для данной цели. Кроме тосо, распределения видов отказов могут быть вы- ведены из аналогичных источников или из стандартов (например. [7]). их. как правило, приводят в процентах от общего количества.
Примечание 2 — Интенсивность отказов часто указывают в виде количества отказов в единицу времени (FIT). FIT означает 10"9 отказов в час.
Примечание 3 — Распределение видов отказов соответствует доле общей интенсивности отказов ком- понента. которая может быть приписана каждому из видов отказов.
Во многих случаях также указывают интенсивность отказов для отказов, которые не влияют на функцию без- опасности. или отказов составных частей, которые не являются частью функции безопасности, но эти интенсив- ности не влияют на дальнейшие вычисления.
При оценке электронного устройства анализ учитывает каждый электрический компонент и его влияние на функцию безопасности, что позволяет сделать вывод о том. какое влияние оказывает отказ на функцию безопас- ности.
Отказы обычно делят на безопасные отказы, опасные обнаруженные отказы, опасные необнаруженные от- казы и отказы, которые не агмяют на функцию безопасности. Для проверки полноты оценки иногда целесообразно перечислить компоненты, которые не влияют на функцию безопасности.
Решение о том. является ли опасный отказ обнаруженным или необнаруженным, определяется значением диагностического охвата, которое может быть выведено на основе соответствующей диагностической схемы и оценки ее результативности. Значение прибавляют к оценке, сумма характеризует качество устройства для ис- пользования в рамках функции безопасности. Полученные значения также могут быть использованы для расчета интенсивности отказов или других показателей безотказности функции безопасности или показателей качества функции безопасности, таких как доля безопасных отказов (SFF) или общий диагностический охват (DC). Опреде- ление значений этих характеристик зависит от условий, для которых о* определены.
Результатом является ранг значений вероятности отказа, который позволяет оценить общий риск, соответ- ствующий отказу функции безопасности в случае возникновения ее запроса.
При недостатке информации о возможных видах отказов и их распределении по электрическим компонен- там FMEA снова является подходящим методом сбора информации о возможных видах отказов. Исходя из этого могут быть начаты практические эксперименты или теоретические обсуждения для определения этих значений.
Примечание 4 — Данный метод и возможности исключения ошибок описаны в ГОСТ ISO 13849-1.
FMEA для сложных систем с распределением безотказности
Общие положения
FMEA может быть испогъзован для сложных и ответственных систем, от оборонного и аэрокосмического сек- тора до водоснабжения, канализации, транспорта, связи, производства и распределения электроэнергии. В этих системах требования к показателям готовности, ремонтопригодности и безотказности могут быть распределены по элементам системы. Адаптированный FMEA может быть проведен с рассмотрением характеристик отказа каждого элемента для понимания влияния на систему таких конструктивных особенностей, как использование общих ком- понентов и резервирования.
Оценка критичности для невосстанавлиеаемых систем с распределенной вероятностью отказа
В процессе FMEA для сложной, не восстанавливаемой системы частоты возникновения, вероятности, интен- сивности отказов или другие соответствующие показатели могут быть распределены для каждого последствия на уровне системы. Это распределение можно сравнить с приемлемым риском системы, распределенными вероят- ностями и значимостью в матрице риска.
|
|
|