失效模式效應與關鍵性分析法
失效模式效應與關鍵性分析法(failure mode, effects and criticality analysis; FMECA)為風險管理的先驅,是失效模式与影响分析(FMEA)的延伸。失效模式与影响分析是一個由下往上的归纳分析方式,可以分析機能或是零組件。FMECA是在FMEA以外增加了關鍵性分析,將各失效模式的機率對應不同嚴重性的後果來列表,因此會突顯機率較高且有後果較嚴重的失效模式,因此讓失效模式的補救行動可以有最大的效果。
該分析模式創始於1950年代美國空軍。該模式本用來試驗戰鬥機駕駛員彈射裝置失效的機率與其主因,經由以負面風險思維反覆測試後,相當有效的提高美國空軍戰機的性能。
1961年,美國貝爾實驗室沃森(Watson)等人,在民兵導彈發射控制系統也將此管理概念應用於硬體設施。除此,該分析法稍後更成為美國國家航空航天局(NASA)執行阿波羅計畫時,可靠度及安全管理契約中的重要條款。自此,在美對於武器系統可靠性及安全性的重視與要求之下,風險概念或風險管理邁入新境地。在太空及北約軍事計劃中已開始用FMECA取代FMEA,不過其他工業領域仍使用FMEA或是其變體。
歷史
FMECA最早在1940年代由美军發展,在1949年提出MIL–P–1629[1]。在1990年代早期,美国国家航空航天局的承包商開始使用FMECA的變體,也有許多不同的名稱[2][3]。1966年NASA發行其FMECA程序,用在阿波罗计划上[4]。之後FMECA也用在其他的NASA計劃中,包括海盗号、航海家計畫、麥哲倫號金星探測器及伽利略号探测器[5]等。 可能是因為MIL–P–1629在1974年被MIL–STD–1629 (SHIPS)取代,因此許多人以為FMECA是由NASA所發展的[6]。 在太空計劃發展的同時,FMEA及FMECA的應用也擴展到民航業。1967年國際汽車工程師協發行第一份有關FMECA的民用規範[7]。民航業現在傾向使用FMEA及故障樹分析的技術再配合SAE ARP4761,較少使用FMECA,不過有些直昇機製造商將FMECA用在民用的旋翼机上。
福特公司在其平托汽車系列的問題後,在1970年代開始使用FMEA,1980年代時越來越多汽車廠開始使用FMEA。歐洲的国际电工委员会在1985年發佈了IEC 812(現在的 IEC 60812),提到FMEA及FMECA在各領域的應用[8]。英國標準協會在1991年為了類似的目的發行了BS 5760–5[9]。
1980年時,MIL–STD–1629A取代了MIL–STD–1629及1977年的航空 FMECA 標準 MIL–STD–2070[10]。MIL–STD–1629A在1998年取消,沒有其他替代的標準。不過在軍事及太空領域仍廣為使用[11]。
方法論
不同的FMECA,其方法論會有細微的不同。根據RAC CRTA–FMECA,FMECA一般會包括以下的步驟:
- 定義系統。
- 定義基本原則及假設,以便進行設計。
- 建構系統方塊圖
- 識別失效模式(元件級或是機能級)
- 分析失效影響/原因
- 將結果放入設計的程序中
- 依失效影響的嚴重性分類
- 進行關鍵性的計算
- 依失效模式的關鍵性排序
- 確認關係項目
- 將結果放入設計的程序中
- 找出失效偵測、隔離以及補償的方式
- 進行可維護性分析
- 將分析作成文件,記錄無法修正的設計區域,找出為了減少失效風險需做的特別控制方式
- 提出建議
- 針對糾正措施是否實施以及其有效性再進行追蹤
FMECA可以依機能或是零件來進行,依機能的FMECA考慮每個機能方塊(例如電源或是放大器)失效時的影響,而依零件的FMECA考慮每個零件(例如電阻、電晶器、微電路或是閥)失效時的影響。依零件的FMECA需要的人力較多,但比較可以知道失效出現的機率。相對而言,依機能的FMECA比較容易進行,可以有助於完整的風險評估,也比較可以看出其他減緩風險的可能性,兩者是互補的。
關鍵性分析可以是定量的,也可以是定性的,依照可取得的元件失效資料而定。
系統定義
在這個步驟,需定義要分析的主要系統,並且將其分解為像系統、子系統或是設備、單元或是子組件以及零件等層級。針對系統以及其子系統作機能的描述,包括所有的工作模式以及任務階段。
定義基本原則及假設
在開始細部分析之前,需定義基本原則及假設。可能包括以下的項目:
- 標準化的任務簡介,配合特定的固定期間任務階段。
- 失效率以及失效模式資料的來源
- 計劃進行的系統燒機測試,可能有的故障偵測覆蓋率
- 分析要是依機能的或是依零件的
- 考慮的準則(任務中止、安全性、可維護性等)
- 不重覆標示零件或是機能的系統
- 嚴重性分類的定義
方塊圖
接下來,系統及子系統都會用方塊圖來表示。可靠度方塊圖或是故障樹大約也是此一階段建立。這些圖是用來追蹤資訊在不同的系統階層中是如何流動、識別關鍵路徑以及界面,找出較低階失效會對系統較高階部份的影響。
失效模式識別
針對分析中的每一個零件或是每一個機能,都會有完整的失效模式列表。對於機能型的FMECA,常見的失效有:
- 無法及時運作
- 當需要運作時失效
- 沒有輸出
- 間斷性的輸出
- 錯誤輸出(假定目前條件下)
- 無效輸出(任意條件)
針對零件型的FMECA,失效模式可以參考像RAC FMD–91[12]或是RAC FMD–97[13]之類的資料庫。這些資料庫不但可以提供失效模式,也可以提供各失效模式機率,例如
零件種類 | 失效模式 | 比例(α) |
---|---|---|
繼電器 | 無法跳脫 | .55 |
自發性跳脫 | .26 | |
短路 | .19 | |
電阻 | 參數錯誤 | .66 |
開路 | .31 | |
短路 | .03 |
每個機能或是零件會列在一個大矩陣,每個失效模式是一欄。因為FMECA會包括很多的資料,因此需針對每一個零件或是機能有一個唯一的代號,也需針對每一個失效模式有唯一的代號。
失效影響分析
在FMECA矩陣中的每一個失效都需配合基本原則所訂定的準則,加以確認其影響,再填入矩陣中。影響會分為對本身的、對上一層的,以及對整個系統的。系統級的影響可能包括:
- 系統失效
- 運作降額
- 系統狀態上的失效
- 沒有立即影響
不同層級中使用的失效影響分類可以配合工程的判斷方式,由分析者針對系統規劃。
嚴重性分類
需針對每一個失效模式,依其系統級的影響指定對應嚴重性分類,再填入FMECA矩陣中。一般會用較少量的分類,多半會分為3至10個嚴重性分類。若是用MIL–STD–1629A進行FMECA,一般會依照MIL–STD–882進失效嚴重性的分類[14]。
分類 | 敘述 | 準則 |
---|---|---|
I | 災難性(Catastrophic) | 會造成人員死亡或永久性完全残疾,損失超過一百萬美元,或是違反法律或是規定,造成不可逆的嚴重環境破壞 |
II | 嚴重(Critical) | 會造成人員永久性的部份殘疾,或是至少讓三個人受到傷害或是職業病,需要住院治療,損失在二十萬美元到一百萬美元之間,或是違反法律或是規定,造成可逆的環境破壞 |
III | 臨界(Marginal) | 會造成人員受到傷害或是職業病,一至多日無法工作,損失在一萬美元到二十萬美元之間,或是在未違反法律或是規定的情形下造成的環境損害,但若進行復原工作,可以緩解其損害 |
IV | 輕微(Negligible) | 會造成人員受到傷害或是職業病,但仍可工作,損失在二千美元到一萬美元之間,或是在未違反法律或是規定的情形下造成的輕微環境損害 |
目前美国联邦航空管理局(FAA)、NASA及欧洲空间局的FMECA嚴重分類都是以MIL–STD–882為其基礎[15][16][17]。
失效檢測方式
針對每個元件及每個失效模式,需要分析系統偵測及回報此項失效的能力。需針對每個失效模式在FMECA矩陣中填入以下三項中的其中一項:
- 正常(normal):系統可以正確的告知工作人員有安全上的狀況。
- 異常(abnormal):系統可以正確的告知工作人員有機能異常的情形,需要工作人員介入才能恢復正常。
- 不正確(incorrect):系統會在機能異常時回報不正確的安全狀況,或是在系統正常時發出警告(假警告)。
關鍵性排序
失效模式的關鍵性評估可以是定性的,也可以是定量的。若是定性的評估,會針對失效模式評估其錯誤可能性的代碼或是編號。根據MIL–STD–882定義了五個可能性的等級:
描述 | 等級 | 個別元件 | 整體 |
---|---|---|---|
頻繁(frequent) | A | 在元件生命週期中可能會常常出現 | 持續發生 |
可能(probable) | B | 在元件生命週期中會出現幾次 | 會頻繁發生 |
偶爾(occasional) | C | 在元件生命週期中可能會出現 | 會出現幾次 |
可能性極少(remote) | D | 在元件生命週期中不太可能會出現 | 不太可能,但仍需合理的假設可能會發生 |
不可能(improbable) | E | 非常不可能出現,可以假設不會出現 | 幾乎不會發生,但仍有發生的可能性 |
失效模式可以畫在關鍵性矩陣中,一軸是嚴重性等級,另一軸是可能性等級。
若是定量的評估,可以針對每一個項目的每一個失效模式計算模式關鍵性係數及項目關鍵性係數 。關鍵性係數可以用以下的數值來計算:
- 基本失效率
- 失效模式比率
- 條件機率
- 任務持續時間
模式關鍵性係數為,而項目關鍵性係數為。
- 基本失效率一般是MIL–HDBK–217, PRISM, RIAC 217Plus或是類似模型所得的失效機率預測值。
- 失效模式比率是從RAC FMD–97之類的資料庫來取得,或是機能層面的FMECA,需要用工程師決定失效模式比率。
- 條件機率表示假設已出現此失效模式,在已識別的嚴重分類中,出現對應失效影響的機率,這也表示分析者判斷損失出現的可能性。
若是繪圖式的分析方式,關鍵性矩陣可以用或為其中一個軸,嚴重性代碼為另一軸。
關鍵項目/失效模式列表
一但針對每一個失效模式評估了其關鍵性,就可以依嚴重性及關鍵性係數來將FMECA矩陣中的項目進行排序,可以找出關鍵的項目以及關鍵的失效模式,希望可以進一步可以針對失效模式設計補救行動。
建議
在完成FMECA後,需針對設計提出可以減少關鍵失效影響的建議,可能包括使用可靠度更高的材料、減少關鍵零件運作時的應力程度,或者增加系統冗餘或是監控的機制。
可維護性分析
FMECA產出的資料一般會作為可維護性分析及物流支援分析的基礎。
FMECA報告
FMECA報告包括系統描述、基本原則及假設、結論及建議、需追蹤的糾正措施,以及對應的FMECA矩陣。
風險優先級數計算
RAC CRTA–FMECA及MIL–HDBK–338都定義了風險優先級數(RPN)的計算,作為代替關鍵性分析的一種方式。風險優先級數是由發現指數(D)、嚴重程度值(S)和出現頻率(O)相乘,每個的計分是從1至10分,最高的風險優先級數為 10x10x10 = 1000,表示這個失效無法由檢測而發現,非常嚴重,而且幾乎都會出現。若發生機率非常低,可以將O改為1,風險優先級數就降為100,這可助於針對風險最高的失效問題先進行改善。
優點及缺點
FMECA的優點包括可全面性、有系統的建立失效原因以及其影響之間的關係,而且可以點出個別的失效模式,以便在設計中規劃糾正措施。其缺點包括需要大量的勞力、需考慮許多瑣碎的情形,以及無法考慮一些未考慮到的跨系統效應(例如潛行電路Sneak circuit,也就是系統中有一些不希望出現的路徑或是邏輯,在特定情形下會觸發不應出現的機能,或是使應正常動作的機能失效),或是多個失效同時出現的情形。
根據FAA針對商業太空運輸的研究報告
- 失效模式效應與關鍵性分析法是傑出的危害分析及風險風險評估工具,不過仍有其限制。此方法沒有考慮複合失效,也沒有考慮常見的包括軟體以及人機互動造成的問題。在預估可靠度時預估的結果往往也太過樂觀,在進行可靠度估計時,除了FMECA外,也應該要配合其他的分析工具一起進行。[18]
參考資料
- ^ Procedures for Performing a Failure Mode, Effects and Criticality Analysis. U.S. Department of Defense. 1949. MIL–P–1629.
- ^ Neal, R.A. Modes of Failure Analysis Summary for the Nerva B-2 Reactor (pdf). Westinghouse Electric Corporation Astronuclear Laboratory. 1962 [2010-03-13]. WANL–TNR–042.
- ^ Dill, Robert; et al. State of the Art Reliability Estimate of Saturn V Propulsion Systems (pdf). General Electric Company. 1963 [2010-03-13]. RM 63TMP–22.
- ^ Procedure for Failure Mode, Effects and Criticality Analysis (FMECA) (pdf). National Aeronautics and Space Administration. 1966 [2010-03-13]. RA–006–013–1A.
- ^ Failure Modes, Effects, and Criticality Analysis (FMECA) (pdf). National Aeronautics and Space Administration JPL. [2010-03-13]. PD–AD–1307.
- ^ Borgovini, Robert; Pemberton, S.; Rossi, M. Failure Mode, Effects and Criticality Analysis (FMECA) (pdf). B. Reliability Analysis Center. 1993: 5 [2010-03-03]. CRTA–FMECA.
- ^ Design Analysis Procedure For Failure Modes, Effects and Criticality Analysis (FMECA). Society for Automotive Engineers. 1967. ARP926.
- ^ 56. Analysis techniques for system reliability – Procedure for failure mode and effects analysis (FMEA) (pdf). International Electrotechnical Commission. 1985 [2013-08-08]. IEC 812.
- ^ Reliability of Systems, Equipment and Components Part 5: Guide to Failure Modes, Effects and Criticality Analysis (FMEA and FMECA). British Standards Institute. 1991. BS 5760–5.
- ^ Procedures for Performing a Failure Mode, Effects and Criticaility Analysis (pdf). A. United States Department of Defense. 1980 [2010-03-14]. MIL–HDBK–1629A.
- ^ 7.8 Failure Mode and Effects Analysis (FMEA). Electronic Reliability Design Handbook (pdf). B. United States Department of Defense. 1998 [2010-03-13]. MIL–HDBK–338B.
- ^ Chandler, Gregory; Denson, W.; Rossi, M.; Wanner, R. Failure Mode/Mechanism Distributions (pdf). Reliability Analysis Center. 1991 [2010-03-14]. FMD–91.
- ^ Failure Mode/Mechanism Distributions. Reliability Analysis Center. 1997. FMD–97.
- ^ Standard Practice for System Safety (pdf). D. U.S. Department of Defense. 1998 [2010-03-14]. MIL–HDBK–882D.
- ^ NASA Systems Engineering Handbook (PDF). National Aeronautics and Space Administration. SP–610S.
- ^ Failure Modes, Effects and Criticality Analysis (FMECA). D. European Space Agency. 1991. ECSS–Q–30–02A.
- ^ Reusable Launch and Reentry Vehicle System Safety Processes (pdf). Federal Aviation Administration. 2005 [2010-03-14]. AC 431.35–2A.
- ^ Research and Development Accomplishments FY 2004 (pdf). Federal Aviation Administration. 2004 [2010-03-14].