Использование цепей маркова для расчета показате- лей надежностей систем с восстановлением. Анализ видов и последствий отказов FMEA Анализ видов и последствий отказов

F MEA анализ на сегодняшний день признан одним из наиболее эффективных инструментов для повышения качества и надежности разрабатываемых объектов. Он направлен в первую очередь на предупреждение появления возможных дефектов, а также на снижение размера ущерба и вероятности его появления.

Анализ видов и последствий отказов FMEA с целью снижения рисков успешно применяется во всем мире на предприятиях различных отраслей. Это универсальный метод, применимый не только для каждого объекта производства, но и практически для любой деятельности или отдельных процессов. Везде, где есть риск возникновения дефектов или отказов, FMEA анализ позволяет оценить потенциальную угрозу и выбрать наиболее приемлемый вариант.

Терминология FMEA

Основными понятиями, на которых опирается концепция анализа, являются определения дефекта и отказа. Имея общий результат в виде негативных последствий, они, тем не менее, существенно отличаются. Так, дефект является негативным результатом прогнозируемого использования объекта, в то время как отказ - это незапланированное или ненормальное функционирование в процессе производства или эксплуатации. Кроме того существует также термин несоответствие, означающий невыполнение запланированных условий или требований.

Негативным результатам, вероятность которых анализирует метод FMEA , выставляются оценки, которые условно можно разделить на количественные и экспертные. К количественным оценкам относят вероятность возникновения, вероятность обнаружения дефекта, измеряемые в процентах. Экспертные оценки выставляются в баллах для вероятности возникновения и обнаружения дефекта, а также для его значимости.

Итоговыми показателями анализа являются комплексный риск дефекта, а также приоритетное число риска, являющиеся общей оценкой значимости дефекта или отказа.

Этапы анализа

В кратких чертах метод FMEA анализа состоит из следующих этапов:

• 1. Формирование команды
• 2. Выбор объекта анализа. Определение границ каждой части составного объекта
• 3. Определение вариантов применения анализа
• 4. Выбор типов рассматриваемых несоответствий исходя из ограничений по срокам, типу потребителей, географическим условиям и т.д.
• 5. Утверждение формы, в которой будут предоставлены результаты анализа.
• 6. Обозначение элементов объекта, в которых могут возникать отказы или дефекты.
• 7. Составление списка наиболее значимых возможных дефектов для каждого элемента
• 8. Определение возможных последствий для каждого из дефектов
• 9. Оценка вероятности возникновения, а также тяжести последствий для всех дефектов
• 10. Вычисление приоритетного числа риска для каждого дефекта.
• 11. Ранжирование потенциальных отказов/дефектов по значимости
• 12. Разработка мероприятий по снижению вероятности возникновения или тяжести последствий, путем изменения проекта или процесса производства
• 13. Перерасчет оценок

При необходимости п. 9-13 повторяются до тех пора, пока не будет получен приемлемый показатель приоритетного числа риска для каждого из значимых дефектов.

Виды анализа

В зависимости от стадии разработки продукта и от объекта анализа метод FMEA делится на следующие виды:

• SFMEA или анализ взаимодействия между собой отдельных элементов целой системы
• DFMEA анализ — мероприятие для предупреждения запуска в производство недоработанной конструкции
• PFMEA анализ позволяет отработать и довести до применимого состояния процессы

Цели применения FMEA анализа

Используя метод FMEA анализа на производственном предприятии можно добиться следующих результатов:

• снижение себестоимости продукции, а также улучшение ее качества путем оптимизации производственного процесса;
• сокращение послепродажных затрат на ремонт и сервисное обслуживание;
• уменьшение сроков подготовки производства;
• сокращение количества доработок продукции после старта производства;
• рост удовлетворенности потребителя и, как следствие, повышение репутации производителя.

Особенность состоит в том, что анализ видов и последствий отказов FMEA в краткосрочном периоде может не дать ощутимых финансовых преимуществ или вовсе быть затратным. Однако в стратегическом планировании он играет решающую роль, так как, проведенный лишь на стадии подготовки к производству, впоследствии будет приносить экономическую выгоду на протяжении всего жизненного цикла продукта. Кроме того, затраты от негативных последствий дефектов, зачастую, могут быть выше, чем конечная стоимость продукта. В пример можно привести авиационную промышленность, где от надежности каждой детали зависят сотни человеческих жизней.

Они могут применяться каждый по отдельности, либо во взаимосвязи друг с другом. Если выполняются все три вида FMEA – анализа, то их взаимосвязь может быть представлена следующим образом:

Основное применение FMEA – анализа связано с улучшением конструкции изделия (характеристик услуги) и процессов по его изготовлению и эксплуатации (предоставлению услуги). Анализ может применяться как по отношению к вновь создаваемым изделиям (услугам) и процессам, так и по отношению к уже существующим.

FMEA – анализ выполняется когда разрабатывается новое изделие, процесс, услуга, или проводится их модернизация; когда находится новое применение для существующего изделия, процесса или услуги; когда разрабатывается план контроля нового или измененного процесса. Также, FMEA может проводиться с целью планового улучшения существующих процессов, изделия или услуги, или исследования возникающих несоответствий.

FMEA – анализ выполняется в следующем порядке:

1. Выбирается объект анализа. Если объектом анализа является часть составного объекта, то необходимо точно определить ее границы. Например, если проводится анализ части процесса, то для этой части необходимо установить начальное событие и завершающее событие.

2. Определяются варианты применения анализа. FMEA может являться частью комплексного анализа, при котором применяются различные методы. В этом случае FMEA должен согласовываться с анализом системы в целом.

Основные варианты могут включать:

• анализ сверху-вниз. В этом случае объект анализа разбивается на части и FMEA начинают проводить с наиболее крупных частей.
• анализ снизу-вверх. Анализ начинают с наиболее мелких элементов, последовательно переходя к элементам более высокого уровня.
• анализ компонентов. FMEA выполняют для физических элементов системы.
• анализ функций. В этом случае выполняют анализ функций и операций объекта. Рассмотрение функций осуществляется с точки зрения потребителя (удобство и безопасность выполнения), а не конструктора или изготовителя.

3. Определяются границы, в пределах которых необходимо рассматривать несоответствия. Границами могут являться - период времени, тип потребителя, география применения, определенные действия и т.п. Например, несоответствия, выявляемые только при окончательном контроле и тестировании.

4. Разрабатывается подходящая таблица для регистрации информации. Она может изменяться в зависимости от учитываемых факторов. Наиболее часто применяется таблица следующего вида.

5. Определяются элементы, в которых возможно возникновение несоответствий (отказы). Элементы могут включать в себя различные компоненты, сборки, комбинации составных частей и пр. Если список элементов становится слишком большим и неуправляемым необходимо сократить границы FMEA.

В том случае если потенциальные отказы связаны с критическими характеристиками, дополнительно, при проведении FMEA, необходимо проводить анализ критичности отказов. Критические характеристики это нормативы или показатели, которые отражают безопасность или соответствие нормативным требованиям и нуждаются в особом контроле.

6. Для каждого элемента, выделенного на шаге 5, составляется список наиболее значимых видов отказов. Эту операцию можно упростить, если применять стандартный список отказов для рассматриваемых элементов. Если проводится анализ критичности отказов, то необходимо определить вероятность появления отказа для каждого из элементов. Когда определены все возможные виды отказов для элемента, тогда суммарная вероятность их возникновения должна составлять 100%.

7. Для каждого вида отказа, выявленного на шаге 6, определяются все возможные последствия, которые могут проявиться. Эту операцию можно упростить, если применять стандартный список последствий. Если проводится анализ критичности отказов, то необходимо определить вероятность возникновения каждого последствия. Когда определены все возможные последствия, вероятность их возникновения суммарно должна составлять 100% для каждого элемента.

8. Определяется рейтинг тяжести последствий для потребителя (S) - Severity . Рейтинг тяжести последствий обычно определяется по шкале от 1 до 10, где 1 означает незначительные последствия, а 10 катастрофические последствия. Если вид отказа имеет более одного последствия, то в FMEA таблицу вносится только наиболее тяжелое последствие для этого вида отказа.

9. Для каждого вида отказа определяются все потенциальные причины. Для этого может применяться причинно-следственная диаграмма Исикавы. Все потенциальные причины для каждого вида отказов заносятся в таблицу FMEA.

10. Для каждой причины определяется рейтинг вероятности ее возникновения (O) - Occurrence . Вероятность возникновения обычно оценивается по шкале от 1 до 10, где 1 означает крайне маловероятное событие, а 10 означает неизбежное событие. Значение рейтинга заносится в таблицу FMEA.

11. Для каждой причины определяются существующие методы контроля, которые применяются в данный момент, чтобы отказы не оказали влияния на потребителя. Эти методы должны предотвращать возникновение причин, снижать вероятность того, что произойдет отказ или обнаруживать отказ после проявления причины, но до того как причина оказала влияние на потребителя.

12. Для каждого метода контроля определяется рейтинг обнаружения (D) - Detection . Рейтинг обнаружения обычно оценивается по шкале от 1 до 10, где 1 означает, что метод контроля абсолютно точно обнаружит проблему, а 10 - не сможет обнаружить проблему (или контроля вообще не существует). Рейтинг обнаружения заносится в таблицу FMEA.

13. Рассчитывается приоритетное число риска (риск потребителя - RPN ) которое равно произведению

S * O * D . Это число позволяет ранжировать потенциальные отказы по значимости.

14. Определяются рекомендуемые действия, которые могут включать изменение проекта или процесса для снижения тяжести последствий или вероятности возникновения отказов. Также могут предприниматься дополнительные меры контроля, чтобы увеличить вероятность обнаружения отказов.

Мощный инструмент анализа данных для повышения надежности

Уильям Гобл для InTech

Анализ видов и последствий отказов (от англ.: Failure Mode and Effects Analysis или FMEA) - это специальная техника оценки надежности и безопасности систем, разработанная в 60-х гг. прошлого столетия в США, в рамках программы создания ракеты «Минитмен». Целью ее разработки было обнаружение и устранение технических проблем в сложных системах.

Техника достаточно проста. Виды отказов каждого компонента той или иной системы перечисляются в специальной таблице и документируются - вместе с предполагаемыми последствиями. Метод систематический, эффективный и детальный, хотя иногда и считается затратным по времени, а также, склонным к повторяющимся действиям. Причина эффективности метода в том, что изучается каждый вид отказа каждого отдельного компонента. Ниже приведен пример таблицы, описанный в одном из исходных руководств по применению этого метода, а именно, в MIL-HNBK-1629.

В колонке №1 содержится название исследуемого компонента, в колонке №2 - идентификационный номер компонента (серийный номер или код). Вместе первые две колонки должны уникально идентифицировать исследуемый компонент. Колонка №3 описывает функцию компонента, а колонка №4 - возможные виды отказов. Для каждого вида отказа, как правило, используется одна строчка. Колонка №5 используется для записи причины отказа, в случае, когда это применимо. В колонке №6 описываются последствия каждого отказа. Остальные колонки могут отличаться в зависимости от того, какие версии FMEA применяются.

FMEA позволяет находить проблемы

Популярность метода FMEA росла на протяжении долгих лет, и он смог стать важной частью многих процессов разработки, особенно в автомобильной отрасли. Причиной этого стало то, что метод сумел продемонстрировать свою полезность и эффективность, несмотря на критику. Как бы то ни было, именно во время применения метода FMEA можно часто услышать крик вроде «О, нет», когда становится ясно, что последствия отказа того или иного компонента очень серьезны, и, главное, до этого они оставались незамеченными. Если проблема достаточно серьезна, записываются и корректирующие действия. Конструкция улучшается, для обнаружения, избегания или управления проблемой.

Применение в различных отраслях

Несколько вариантов техники FMEA используются в различных отраслях. В частности, FMEA используется для определения опасностей, которые необходимо учитывать во время проектирования нефтехимических предприятий. Эта техника отлично согласуется с другой хорошо известной техникой - Анализом опасностей и работоспособности (от англ.: Hazard and Operability Study или HAZOP). По сути, обе техники практически одинаковы, и являются вариациями списков компонентов системы в табличной форме. Основная разница между FMEA и HAZOP состоит в том, что HAZOP использует ключевые слова, чтобы помогать сотрудникам идентифицировать отклонения от нормы, в то время как FMEA основан на известных видах отказа оборудования.

Вариантом техники FMEA, используемой для анализа систем управления, является техника Анализа опасностей и работоспособности систем управления (англ.: Control Hazards and Operability Analysis или CHAZOP). В списке приведены известные виды отказов компонентов систем управления, таких как системы управления базовыми процессами, комбинации клапанов и приводов или различные преобразователи, а также записаны последствия этих отказов. Кроме того, приводятся описания корректирующих действий, в случае если отказ ведет к серьезным проблемам.

Пример использования FMEA

На этом рисунке схематически изображен упрощенный «реактор» с аварийной системой охлаждения. Система состоит из самотечного резервуара с водой, клапана управления, охлаждающего кожуха вокруг реактора, выключателя с датчиком температуры и источника питания. При нормальном режиме работы выключатель находится в активном (проводящем) положении, поскольку температура реактора находится ниже опасной зоны. Электрический ток проходит от источника через клапан и выключатель, и держит клапан в закрытом положении. Если температура внутри реактора становится слишком высокой, реагирующий на температуру выключатель размыкает цепь, и клапан управления открывается. Охлаждающая вода течет из резервуара, через клапан, затем через охлаждающий кожух и выходит через сток кожуха. Этот поток воды охлаждает реактор, понижая его температуру.

Вам нравится эта статья? Поставьте нам Like! Спасибо:)

Процедура FMEA требует создания таблицы, в которой перечислены все виды отказов для каждого из компонентов системы. Таблица «реактора» ниже служит примером использования техники FMEA, в результате которой идентифицированы критические компоненты, которые следует проверять на предмет необходимости в корректирующих действиях.

Создатель системы - несложного реактора в нашем случае - может рассмотреть возможность последовательной установки 2 выключателей, чувствительных к температуре. Можно использовать интеллектуальный преобразователь, соответствующий стандарту IEC 61508, и обладающей функцией автоматической диагностики и выходным сигналом. Сертифицированный преобразователь существенно упростит процедуру проверки, необходимую для обнаружения неисправностей. Наряду с одним стоком, можно установить второй, таким образом, засор одного из них не приведет к критическому отказу системы. Уровнемер в резервуаре может сообщить о недостаточном уровне воды. Возможно множество других изменений и усовершенствований в конструкции для предотвращения поломок.

Часть II

Эволюция метода FMEA

Метод FMEA был расширен в 70-х гг., и включил полуколичественные оценки (число от 1 до 10) серьезности, частоты происхождения и обнаружения отказов. К таблице добавили 5 колонок. Три колонки включили рейтинги, а четвертая - номер приоритета риска (от англ.: risk priority number или RPN), получаемый умножением трех чисел. Этот расширенный метод получил название «Анализ видов, последствий и критичности отказов» (от англ.: Failure Modes, Effects and Criticality Analysis или FMECA). Пример таблицы с результатами анализа FMECA по «простому реактору» показан ниже.

Техники FMEA продолжали эволюционировать. Некоторые из более поздних вариаций могут быть использованы не только для проектирования, но и для технологических процессов. Аналогично списку компонентов, создается список этапов процесса. Каждый шаг сопровождается описанием всех вариантов неправильного протекания процесса, что соответствует описанию возможных отказов того или иного компонента системы. Во всем остальном, эти вариации техники FMEA соответствуют друг другу. В литературе эти методы иногда называют «design FMEA», или DFMEA, и «process FMEA» или PFMEA. «Процессный» FMEA успешно продемонстрировал свою эффективность в обнаружении непредвиденных проблем.

Анализ отказов, их последствий и диагностики

Непрерывно развивающийся метод FMEA, кроме всего прочего, дал жизнь методу «Анализа отказов, их последствий и диагностики» (от англ.: Failure Modes Effects and Diagnostic Analysis или FMEDA). В конце 80-х гг. возникла необходимость моделировать автоматическую диагностику интеллектуальных устройств. Появилась новая архитектура на рынке контроллеров безопасности под названием «один из двух» с диагностическим выключателем (1oo2D), конкурировавшая с распространенной тогда тройной модульной архитектурой резервирования, называвшейся «два из трех» (2oo3). Поскольку безопасность и готовность новой архитектуры сильно зависели от реализации диагностики, ее количественная оценка стала важным процессом. В FMEDA это реализуется благодаря добавлению дополнительных колонок, показывающих частоту возникновения различных типов отказов и колонку с вероятностью обнаружения для каждой строки анализа.

Так же как и в случае с FMEA, в технике FMEDA перечисляются все компоненты и виды отказов, а также последствия этих отказов. В таблицу добавляются колонки, в которых перечисляются все варианты отказов системы, вероятность того, что диагностика позволит обнаружить конкретный отказ, а также, количественную оценку вероятности возникновения этого отказа. Когда анализ FMEDA завершается, высчитывается фактор «диагностического покрытия» на основе показателя частоты отказов, средневзвешенном относительно диагностического покрытия всех компонентов.

Показатели частоты отказов и распределения отказов необходимо иметь для каждого компонента, если есть необходимость провести анализ FMEDA. Поэтому требуется база данных компонентов, как видно из рисунка «Процесс FMEDA» (см. выше).

В базе данных компонентов должны быть учтены ключевые переменные, влияющие на уровень отказов компонентов. В число переменных включаются факторы окружающей среды. К счастью, существуют определенные стандарты, позволяющие характеризовать среду в процессных отраслях, благодаря чему можно создавать соответствующие профили. В таблице ниже показаны «Профили окружающей среды для процессных отраслей», взятые из второго издания Electrical and Mechanical Component Reliability Handbook, (www.exida.com).

Анализ данных по отказам полевого оборудования в FMEDA

Анализ конструкции может использоваться для создания теоретических баз данных отказов. Тем не менее, точную информацию можно получить, только если показатели частоты отказов компонентов, а также, виды отказов, основаны на данных, собранных на основе исследования реального полевого оборудования. Любая необъяснимая разница между частотами отказа компонентов, высчитанными на основе полевых данных, и на основе FMEDA, должна быть изучена. Иногда требует совершенствования процесс сбора полевых данных. Иногда может потребоваться модернизировать базу данных компонентов, дополнив ее новыми видами отказов и типами компонентов.

К счастью, некоторые сертификационные организации по функциональной безопасности изучают данные об отказах полевого оборудования при оценке большинства продуктов, благодаря чему, являются ценным источником данных о реальных отказах. В рамках некоторых проектов также собираются данные о полевых отказах с помощью конечных заказчиков. После более чем 10 млрд. часов (!) работы различного оборудования, давших огромный объем данных о видах и частоте отказов, собранный в рамках десятков исследований, сложно переоценить ценность базы компонентов FMEDA, особенно в аспекте функциональной безопасности. Итоговые данные FMEDA о продукте, как правило, используются для проверочных вычислений уровня целостности безопасности.

Техника FMEDA может использоваться для того, чтобы оценить эффективность проверочных испытаний различных функций безопасности, позволяющих определить, соответствует ли тот или иной дизайн определенному уровню целостности безопасности. Любое конкретное проверочное испытание позволяет определить те или иные потенциально опасные отказы - но не все. FMEDA позволяет определить, какие отказы определяются или не определяются проверочными испытаниями. Это реализуется добавлением другой колонки, где оценивается вероятность обнаружения каждого вида отказа компонента в ходе проверочного тестирования. При использовании этого детализированного, систематического метода становится очевидным, что некоторые потенциально опасные виды отказов не обнаруживаются во время проверочного тестирования.

Оборотная сторона медали

Основная проблема при использовании метода FMEA (или любой его вариации) это большие затраты времени. Многие аналитики жалуются на скучный и долгий процесс. Действительно, нужен строгий и сфокусированный куратор, для того, чтобы процесс анализа двигался вперед. Всегда необходимо помнить, что решение проблемы не является частью анализа. Проблемы решаются после того, как анализ будет закончен. Если следовать этим правилам, результатом станут достаточно быстрые улучшения в безопасности и надежности.

Доктор Уильям Гоббл (William Goble) является главным инженером и директором сертификационной группы по функциональной безопасности в exida, аккредитованном сертификационном органе. Более 40 лет опыта в электронике, разработке ПО и систем безопасности. Ph.D. в области количественного анализа надежности/безопасности систем автоматизации.

При экспоненциальном законе распределения времени восстановления и времени между отказами для расчета показателей надежности систем с восстановлением используют математический аппарат марковских случайных процессов. В этом случае функционирование систем описывается процессом смены состояний. Система изображается в виде графа, называемого графом переходов из состояния в состояние.

Случайный процесс в какой либо физической системе S , называется марковским , если он обладает следующим свойством: для любого момента t 0 вероятность состояния системы в будущем (t > t 0 ) зависит только от состояния в настоящем

(t = t 0 ) и не зависит от того, когда и каким образом система пришла в это состояние (иначе: при фиксированном настоящем будущее не зависит от предыстории процесса - прошлого).

t < t 0

t > t 0

Для марковского процесса «будущее» зависит от «прошлого» только через «настоящее», т. е. будущее протекание процесса зависит только от тех прошедших событий, которые повлияли на состояние процесса в настоящий момент.

Марковский процесс, как процесс без последействия, не означает полной независимости от прошлого, поскольку оно проявляется в настоящем.

При использовании метода, в общем случае, для системы S , необходимо иметь математическую модель в виде множества состояний системы S 1 , S 2 , … , S n , в которых она может находиться при отказах и восстановлениях элементов.

При составлении модели введены допущения:

Отказавшие элементы системы (или сам рассматриваемый объект) немедленно восстанавливаются (начало восстановления совпадает с моментом отказа);

Отсутствуют ограничения на число восстановлений;

Если все потоки событий, переводящих систему (объект) из состояния в состояние, являются пуассоновскими (простейшими), то случайный процесс переходов будет марковским процессом с непрерывным временем и дискретными состояниями S 1 , S 2 , … , S n .

Основные правила составления модели:

1. Математическую модель изображают в виде графа состояний, в которой

а) кружки (вершины графа S 1 , S 2 , … , S n ) – возможные состояния системы S , возникающие при отказах элементов;

б) стрелки – возможные направления переходов из одного состояния S i в другое S j .

Над/под стрелками указываются интенсивности переходов.

Примеры графа:

S0 – работоспособное состояние;

S1 – состояние отказа.

«Петлей» обозначаются задержки в том или ином состоянии S0 и S1 соответствующие:

Исправное состояние продолжается;

Состояние отказа продолжается.

Граф состояний отражает конечное (дискретное) число возможных состояний системы S 1 , S 2 , … , S n . Каждая из вершин графа соответствует одному из состояний.

2. Для описания случайного процесса перехода состояний (отказ/ восстановление) применяют вероятности состояний

P1(t), P2(t), … , P i (t), … , Pn(t) ,

где P i (t) – вероятность нахождения системы в момент t в i -м состоянии.

Очевидно, что для любого t

(нормировочное условие, поскольку иных состояний, кроме S 1 , S 2 , … , S n нет).

3. По графу состояний составляется система обыкновенных дифференциальных уравнений первого порядка (уравнений Колмогорова-Чепмена).

Рассмотрим элемент установки или саму установку без резервирования, которые могут находится в двух состояниях: S 0 -безотказное (работоспособное), S 1 - состояние отказа (восстановления).

Определим соответствующие вероятности состояний элемента Р 0 (t ): P 1 (t ) в произвольный момент времени t при различных начальных условиях. Эту задачу решим при условии, как ужу отмечалось, что поток отказов простейший с λ = const и восстановлений μ = const , закон распределения времени между отказами и времени восстановления – экспоненциальный.

Для любого момента времени сумма вероятностей P 0 (t ) + P 1 (t ) = 1 – вероятность достоверного события. Зафиксируем момент времени t и найдем вероятность P (t + ∆ t ) того, что в момент времени t + ∆ t элемент находится в работе. Это событие возможно при выполнении двух условий.

В момент времени t элемент находился в состоянии S 0 и за время t не произошло отказа. Вероятность работы элемента определяется по правилу умножения вероятностей независимых событий. Вероятность того, что в момент t элемент был и состоянии S 0 , равна P 0 (t ). Вероятность того, что за время t он не отказал, равна е -λ∆ t . С точностью до величины высшего порядка малости можно записать

Поэтому вероятность этой гипотезы равна произведению P 0 (t ) (1- λ ∆ t ).

2. В момент времени t элемент находится в состоянииS 1 (в состоянии восстановления), за время ∆ t восстановление закончилось и элемент перешел в состояниеS 0 . Эту вероятность также определим по правилу умножения вероятностей независимых событий. Вероятность того, что в момент времени t элемент находился в состоянииS 1 , равна Р 1 (t ). Вероятность того, что восстановление закончилось, определим через вероятность противоположного события, т.е.

1 – е -μ∆ t = μ· ∆ t

Следовательно, вероятность второй гипотезы равна P 1 (t ) ·μ· ∆ t /

Вероятность рабочего состояния системы в момент времени (t + ∆ t ) определяется вероятностью суммы независимых несовместимых событий при выполнении обеих гипотиз:

P 0 (t +∆ t )= P 0 (t ) (1- λ ∆ t )+ P 1 (t ) ·μ ∆ t

Разделив полученное выражение на ∆ t и взяв предел при ∆ t → 0 , получим уравнение для первого состояния

dP 0 (t )/ dt =- λP 0 (t )+ μP 1 (t )

Проводя аналогичные рассуждения для второго состояния элемента – состояния отказа (восстановления), можно получить второе уравнение состояния

dP 1 (t )/ dt =- μP 1 (t )+λ P 0 (t )

Таким образом, для описания вероятностей состояния элемента получена система двух дифференциальных уравнений, граф состояний которого показан на рис.2

dP 0 (t )/ dt = - λ P 0 (t )+ μP 1 (t )

dP 1 (t )/ dt = λ P 0 (t ) - μP 1 (t )

Если имеется направленный граф состояний, то систему дифференциальных уравнений для вероятностей состояний Р К (к = 0, 1, 2,…) можно сразу написать, пользуясь следующим правилом: в левой части каждого уравнения стоит производная dP К (t )/ dt , а в правой – столько составляющих, сколько ребер связано непосредственно с данным состоянием; если ребро оканчивается в данном состоянии, то составляющая имеет знак плюс, если начинается из данного состояния, то составляющая имеет знак минус. Каждая составляющая равна произведению интенсивности потока событий переводящего элемент или систему по данному ребру в другое состояние, на вероятность того состояния, из которого начинается ребро.

Систему дифференциальных уравнений можно использовать для определения ВБР электрических систем, функции и коэффициента готовности, вероятности нахождения в ремонте (восстановлении) нескольких элементов системы, среднего времени пребывания системы в любом состоянии, интенсивности отказов системы с учетом начальных условий (состояний элементов).

При начальных условиях Р 0 (0)=1; Р 1 (0)=0 и (Р 0 +Р 1 =1), решение системы уравнений, описывающих состояние одного элемента имеет вид

P 0 (t ) = μ / (λ+ μ )+ λ/(λ+ μ )* e ^ -(λ+ μ ) t

Вероятность состояния отказа P 1 (t )=1- P 0 (t )= λ/(λ+ μ )- λ/ (λ+ μ )* e ^ -(λ+ μ ) t

Если в начальный момент времени элемент находился в состоянии отказа (восстановления), т.е. Р 0 (0)=0, Р 1 (0)=1 , то

P 0 (t) = μ/ (λ +μ)+ μ/(λ +μ)*e^ -(λ +μ)t

P 1 (t) = λ /(λ +μ)- μ/ (λ +μ)*e^ -(λ +μ)t

Обычно в расчетах показателей надежности для достаточно длительных интервалов времени (t ≥ (7-8) t в ) без большой погрешности вероятности состояний можно определять по установившимся средним вероятностям -

Р 0 (∞) = К Г = Р 0 и

Р 1 (∞) = К П =Р 1 .

Для стационарного состояния (t →∞) P i (t) = P i = const составляется система алгебраических уравнений с нулевыми левыми частями, поскольку в этом случае dP i (t)/dt = 0. Тогда система алгебраических уравнений имеет вид:

Так как Кг есть вероятность того, что система окажется работоспособной в момент t при t , то из полученной системы уравнений определяетсяP 0 = Кг .,т.е вероятность работы элемента равна стационарному коэффициенту готовности, а вероятность отказа – коэффициенту вынужденного простоя:

lim P 0 (t ) = Кг = μ /(λ+ μ ) = T /(T + t в )

lim P 1 (t ) = Кп = λ /(λ+ μ ) = t в /(T + t в )

т.е., получился тот же результат, что и при анализе предельных состояний с помощью дифференциальных уравнений.

Метод дифференциальных уравнений может быть использован для расчета показателей надежности и невосстанавливаемых объектов (систем).

В этом случае неработоспособные состояния системы являются «поглощающими» и интенсивности μ выхода из этих состояний исключаются.

Для невосстанавливаемого объекта граф состояний имеет вид:

Система дифференциальных уравнений:

При начальных условиях: P 0 (0) = 1; P 1 (0) = 0 , используя преобразование Лапласа вероятности нахождения в работоспособном состоянии, т. е. ВБР к наработке t составит .

Чтобы разобраться со второй частью, настоятельно рекомендую сначала ознакомиться с .

Анализ видов и последствий отказов (FMEA)

Анализ видов и последствий отказов (FMEA) представляет собой основанный на индуктивном размышлении инструмент оценки риска, который рассматривает риск как продукт следующих компонентов:

• тяжесть последствий потенциального отказа (S)
• возможность появления потенциального отказа (O)
• вероятность необнаружения отказа (D)

Процесс оценки рисков состоит из:

Присвоение каждому вышеуказанному компоненту риска соответствующего уровня риска (высокого, среднего или низкого); при наличии подробной практической и теоретической информации о принципах устройства и функционирования квалифицируемого прибора можно объективно присвоить уровни риска как для возможности появления отказа, так и для вероятности необнаружения отказа. Возможность появления отказа может рассматриваться как временной интервал между появлениями одного и того же отказа.

Присвоение уровней рисков для вероятности необнаружения отказа требует знания того, в каком виде проявится отказ конкретной функции прибора. Например, отказ системного программного обеспечения прибора предполагает то, что спектрофотометр невозможно эксплуатировать. Такой отказ можно легко обнаружить, следовательно, ему можно присвоить низкий уровень риска. А вот погрешность в измерении оптической плотности не может быть своевременно обнаружена, если не была произведена калибровка, соответственно, отказу функции спектрофотометра по измерению оптической плотности следует присвоить высокий уровень риска его необнаружения.

Присвоение уровня тяжести риска несколько более субъективный процесс, и он в определенной степени зависит от требований соответствующей лаборатории. В этом случае уровень тяжести риска рассматривают как совокупность:

Некоторые предлагаемые критерии присвоения уровня риска для всех компонентов оценки совокупного риска, рассмотренных выше, представлены в таблице 2. Предлагаемые критерии наиболее подходят для использования в условиях регламентируемого контроля качества продукта. Другие прикладные задачи лабораторного анализа могут потребовать другой набор критериев присвоения. Например, воздействие какого-либо отказа на качество работы судебно-медицинской лаборатории может в итоге повлиять на исход уголовного процесса.

Таблица 2: предлагаемые критерии для присвоения уровней рисков

Уровень риска	Качество (Q)	Соответствие требованиям (C)	Бизнес (B)	Вероятность появления (P)	Вероятность необнаружения (D)
	Тяжесть
Высокий	Вероятно, нанесет вред потребителю	Приведет к отзыву продукции	Простой более одной недели или потенциальная крупная потеря дохода	Более одного раза в течение трех месяцев	Вряд ли может быть обнаружен в большинстве случаев
Средний	Вероятно, не нанесет вреда потребителю	Приведет к получению предупредительного письма	Простой до одной недели или потенциальная существенная потеря дохода	Один раз каждые три-двенадцать месяцев	Может быть обнаружен в некоторых случаях
Низкий	Не нанесет вреда потребителю	Приведет к обнаружению несоответствия в ходе аудита	Простой до одного дня или незначительная потеря дохода	Один раз каждые один-три года	Вероятно, будет обнаружен

Взято из источника

Расчет уровня совокупного риска предполагает:

1. Присвоения численного значения каждому уровню тяжести риска для каждой отдельной категории тяжести, как показано в таблице 3
2. Суммирование численных значений уровней тяжести для каждой категории риска даст совокупный количественный уровень тяжести в диапазоне от 3 до 9
3. Совокупный количественный уровень тяжести может быть преобразован в совокупный качественный уровень тяжести, как показано в таблице 4

Таблица 3: присвоение количественного уровня тяжести			Таблица 4: расчет совокупного уровня тяжести
Качественный уровень тяжести	Количественный уровень тяжести		Совокупный количественный уровень тяжести	Совокупный качественный уровень тяжести
Высокий	3		7-9	Высокий
Средний	2		5-6	Средний
Низкий	1		3-4	Низкий

1. В результате умножения совокупного качественного уровня Тяжести (S) на уровень возможности Появления (O) получим Класс риска, как показано в таблице 5.
2. Далее можно рассчитать Фактор риска путем умножения Класса риска на Необнаруживаемость, как показано в таблице 6.

Таблица 5: расчет класса риска					Таблица 6: расчет уровня риска
Уровень тяжести					Необнаруживаемость
Уровень появления	Низкий	Средний	Высокий		Класс риска	Низкий	Средний	Высокий
Высокий	Средний	Высокий	Высокий		Высокий	Средний	Высокий	Высокий
Средний	Низкий	Средний	Высокий		Средний	Низкий	Средний	Высокий
Низкий	Низкий	Низкий	Средний		Низкий	Низкий	Низкий	Средний
Класс риска = Уровень тяжести * Уровень появления					Фактор риска = Класс риска * Уровень необнаруживаемости

Важной особенностью этого подхода является то, что при расчете Фактора риска этот расчет придает дополнительный вес факторам появления и обнаруживаемости. Например, в случае, когда отказ имеет высокий уровень тяжести, однако появление его маловероятно и его легко обнаружить, то совокупный фактор риска будет низким. И наоборот, в случае, когда потенциальная тяжесть низкая, однако появления отказа, возможно, будет частым и его нелегко обнаружить, то совокупный фактор риска будет высоким.

Таким образом, тяжесть, которую зачастую трудно или даже невозможно минимизировать, не будет влиять на совокупный риск, связанный с конкретным функциональным отказом. Тогда как появление и необнаруживаемость, которые легче минимизировать, оказывают большее влияние на совокупный риск.

Обсуждение

Процесс оценки рисков состоит из четырех основных этапов, указанных ниже:

1. Проведение оценки в отсутствие каких-либо средств или процедур минимизации
2. Установление средств и процедур минимизации оцененного риска на основании результатов выполненной оценки
3. Проведение оценки риска после реализации мер по минимизации для определения их эффективности
4. При необходимости, установление дополнительных средств и процедур минимизации, а также проведение повторной оценки

Оценка риска, обобщенная в таблице 7 и обсуждаемая ниже, рассматривается с точки зрения фармацевтической и смежных отраслей. Несмотря на это подобные процессы могут быть применены к любому другому сектору экономики, однако, если применяются другие приоритеты, то могут быть получены другие, но не менее обоснованные, выводы.

Первоначальная оценка

Начинают с рабочих функций спектрофотометра: точности и прецизионности длины волны, а также спектральной разрешающей способности спектрофотометра, по которым определяют возможность его использования в испытаниях на подлинность в пределах УФ/видимой области спектра. Любые погрешности, недостаточная прецизионность длины волны определения или недостаточная разрешающая способность спектрофотометра могут привести к ошибочным результатам испытания на подлинность.

В свою очередь это может привести к выпуску продукции с недостоверной подлинностью, вплоть до её поступления конечному потребителю. Это также может привести к необходимости отзыва продукции и последующим значительным затратам или потере дохода. Следовательно, в каждой категории тяжести эти функции будут представлять высокий уровень риска.

Таблица 7: оценка риска с помощью FMEA для УФ/В-спектрофотометра

Предварительная минимизация

Последующая минимизация

Тяжесть

Тяжесть

Функции

Q

C

B

S

O

D

RF

Q

C

B

S

O

D

RF

Рабочие функции

Точность длины волны

В

В

В

В

С

В

В

В

В

В

В

Н

Н

Н

Воспроизводимость длины волны

В

В

В

В

С

В

В

В

В

В

В

Н

Н

Н

Спектральное разрешение

В

В

В

В

С

В

В

В

В

В

В

Н

Н

Н

Рассеянный свет

В

В

В

В

С

В

В

В

В

В

В

Н

Н

Н

Фотометрическая стабильность

В

В

В

В

В

В

В

В

В

В

В

Н

Н

Н

Фотометрический шум

В

В

В

В

В

В

В

В

В

В

В

Н

Н

Н

Плоскостность спектральной базовой линии

В

В

В

В

В

В

В

В

В

В

В

Н

Н

Н

Фотометрическая точность

В

В

В

В

В

В

В

В

В

В

В

Н

Н

Н

Функции по обеспечению качества и целостности данных

Средства управления доступом

В

В

В

В

Н

Н

Н

В

В

В

В

Н

Н

Н

Электронные подписи

В

В

В

В

Н

Н

Н

В

В

В

В

Н

Н

Н

Средства управления паролем

В

В

В

В

Н

Н

Н

В

В

В

В

Н

Н

Н

Безопасность данных

В

В

В

В

Н

Н

Н

В

В

В

В

Н

Н

Н

Контрольный журнал

В

В

В

В

Н

Н

Н

В

В

В

В

Н

Н

Н

Временные отметки

В

В

В

В

Н

Н

Н

В

В

В

В

Н

Н

Н

В = Высокий, С = Средний, Н = Низкий
Q = Качество, C = Соответствие требования, B = Бизнес, S = Тяжесть, O = Возможность появления, D = Необнаруживаемость, RF = Фактор риска

Анализируем дальше, рассеянный свет влияет на правильность измерений оптической плотности. Современные приборы могут его учитывать и вносить соответствующую поправку в расчеты, однако для этого требуется, чтобы этот рассеянный свет был определен и хранился в рабочем программном обеспечении спектрофотометра. Любые неточности в сохраненных параметрах рассеянного света приведут к неправильным измерениям оптической плотности с теми же последствиями для фотометрической стабильности, шума, точности и плоскостности базовой линии, что и указанные в следующем абзаце. Следовательно, в каждой категории тяжести эти функции будут представлять высокий уровень риска. Точность и прецизионность длины волны, разрешающая способность и рассеянный свет в значительной степени зависят от оптических свойств спектрофотометра. Современные приборы с диодной матрицей не имеют движущихся частей и, следовательно, отказам этих функций может быть присвоена средняя возможность появления. Однако в отсутствие специальных проверок отказ этих функций вряд ли будет обнаружен, следовательно, необнаруживаемости присваивают высокий уровень риска.

Фотометрическая стабильность, шум и точность, а также плоскостность базовой линии влияют на правильность измерения оптической плотности. Если спектрофотометр используют для проведения количественных измерений, то любая ошибка в измерениях оптической плотности может привести к сообщению ошибочных результатов. Если сообщенные результаты, полученные в результате этих измерений, используются для выпуска серии фармацевтического препарата на рынок, то это может привести к тому, что конечные потребители получат некачественные серии препарата.

Такие серии придется отзывать, что в свою очередь потянет за собой значительные затраты или потерю дохода. Следовательно, в каждой категории тяжести эти функции будут представлять высокий уровень риска. Кроме того, эти функции зависят от качества УФ-лампы. УФ-лампы имеют стандартный срок службы приблизительно 1500 часов или 9 недель непрерывного использования. Соответственно, эти данные свидетельствуют о высоком риске появления отказа. К тому же в отсутствие каких-либо мер предосторожности отказ любой из этих функций вряд ли будет обнаружен, что подразумевает под собой высокий фактор необнаруживаемости.

Теперь вернемся к функциям обеспечения качества и целостности данных, поскольку результаты испытания используют для принятия решения касательно пригодности фармацевтического препарата для его предусмотренного применения. Любая компрометация правильности или целостности созданных записей может потенциально привести к выпуску на рынок продукции неопределенного качества, что может нанести вред конечному потребителю, а продукцию, возможно, придется отозвать, что приведет к большим убыткам лаборатории/компании. Следовательно, в каждой категории тяжести эти функции будут представлять высокий уровень риска. Однако после надлежащей настройки необходимой конфигурации программного обеспечения прибора появление отказа этих функций будет маловероятным. Кроме того, любой отказ можно будет своевременно обнаружить.

Например:

• Предоставление доступа только авторизованным лицам к соответствующей рабочей программе до момента её открытия можно реализовать за счет запроса системой ввода имени пользователя и пароля. Если произойдет отказ этой функции, то система больше не будет запрашивать ввод имени пользователя и пароля, соответственно, это будет сразу обнаружено. Поэтому риск необнаружения этого отказа будет низким.
• Когда создается файл, который необходимо заверить электронной подписью, то открывается диалоговое окно, которое требует ввести имя пользователя и пароль, соответственно, если происходит отказ системы, то это окно не откроется и этот отказ будет сразу обнаружен.

Минимизация

Несмотря на то, что тяжесть отказа рабочих функций невозможно минимизировать, тем не менее, возможность их отказа можно значительно снизить и повысить вероятность обнаружения такого отказа. Перед первым использованием прибора рекомендуется выполнить квалификацию следующих функций:

• точность и прецизионность длины волны
• спектральное разрешение
• рассеянный свет
• фотометрическая точность, стабильность и шум
• плоскостность спектральной базовой линии,

а затем с заданной периодичностью проводить повторную квалификацию, поскольку это позволит существенно снизить возможность и вероятность необнаружения любого отказа. Поскольку фотометрическая стабильность, шум и точность, а также плоскостность базовой линии зависят от состояния УФ-лампы, а стандартные дейтериевые лампы имеют срок службы около 1500 часов (9 недель) непрерывного использования, то в операционной процедуре рекомендуется указать, что лампу(-ы) следует выключать на период простоя спектрофотометра, то есть, когда он не эксплуатируется. Также рекомендуется каждые шесть месяцев выполнять профилактическое техническое обслуживание (ПТО), включая замену лампы и повторную квалификацию (ПК).

Обоснование периода повторной квалификации зависит от срока службы стандартной УФ-лампы. Он составляет примерно 185 недель при использовании в течение 8 часов 1 раз в неделю, а соответствующий срок службы в неделях приведен в таблице 8. Таким образом, если спектрофотометр используется от четырех до пяти дней в неделю, то УФ-лампа прослужит около восьми-десяти месяцев.

Таблица 8: средний срок службы УФ-лампы в зависимости от среднего количества восьмичасовых рабочих дней эксплуатации спектрофотометра в течении недели

Среднее количество дней эксплуатации в течение недели	Средний срок службы лампы (недель)
7	26
6	31
5	37
4	46
3	62
2	92
1	185

Проведение каждые шесть месяцев профилактического технического обслуживания и повторной квалификации (ПТО/ПК) обеспечит безотказную работу прибора. Если спектрофотометр эксплуатируется в течение шести-семи дней в неделю, то срок службы лампы, предположительно, составит около шести месяцев, поэтому для обеспечения соответствующей безотказной работы более уместным будет проводить ПТО/ПК каждые три месяца. И наоборот, если спектрофотометр используется один или два раза в неделю, то ПТО/ПК достаточно будет проводит каждые 12 месяцев.

Кроме того, вследствие относительно короткого срока службы дейтериевой лампы рекомендуется проверять следующие параметры, желательно в каждый день эксплуатации спектрофотометра, поскольку это станет дополнительной гарантией его правильного функционирования:

• яркость лампы
• темновой ток
• калибровка эмиссионных линий дейтерия при длинах волн 486 и 656,1 нм
• скорость срабатывания фильтра и затвора
• фотометрический шум
• плоскостность спектральной базовой линии
• кратковременный фотометрический шум

Современные приборы уже содержат эти тесты внутри своего ПО и их можно выполнить путем выбора соответствующей функции. Если любой из тестов не будет пройден, за исключением теста темнового тока и скорости срабатывания фильтра и затвора, то дейтериевая лампа должна быть заменена. Если тест темнового тока или скорости срабатывания фильтра и затвора не пройдены, то спектрофотометр нельзя эксплуатировать, вместо этого его следует отправить в ремонт и на повторную квалификацию. Установление этих процедур позволит минимизировать как риск возможности отказа рабочей функции, так и риск возможности необнаружения любого отказа.

Факторы риска для функций обеспечения качества и целостности данных уже является низкими без какой-либо минимизации. Поэтому проверять работу этих функций необходимо только в ходе OQ и PQ для подтверждения правильной конфигурации. После чего любой отказ может быть своевременно обнаружен. Тем не менее, персонал должен пройти соответствующую подготовку или инструктаж, чтобы быть в состоянии распознать отказ и принять соответствующие меры.

Вывод

Метод «Анализ видов и последствий отказов» (FMEA) представляет собой простой в использовании инструмент оценки риска, который может быть легко применен для оценки рисков отказа лабораторного оборудования, влияющих на качество, соблюдение требований и ведение бизнеса. Выполнение подобной оценки рисков позволит принимать взвешенные решения относительно внедрения соответствующих средств и процедур контроля для экономически целесообразного управления рисками, связанными с отказом критических функций прибора.