失效模式效应与关键性分析法
失误模式效应与关键性分析法(failure mode, effects and criticality analysis; FMECA)为风险管理的先驱,也叫故障模式、影响及严重性分析,是失误模式与影响分析(FMEA)的延伸。失效模式与影响分析是一个由下往上的归纳法分析方式,可以分析机能或是零组件。FMECA是在FMEA以外增加了关键性分析,将各失效模式的机率对应不同严重性的后果来列表,因此会突显机率较高且有后果较严重的失效模式,因此让失效模式的补救行动可以有最大的效果。
该分析模式创始于1950年代美国空军。该模式本用来试验战斗机驾驶员弹射装置失效的机率与其主因,经由以负面风险思维反复测试后,相当有效的提高美国空军战机的性能。
1961年,美国贝尔实验室沃森(Watson)等人,在民兵导弹发射控制系统也将此管理概念应用于硬体设施。除此,该分析法稍后更成为美国国家航空航天局(NASA)执行阿波罗计画时,可靠度及安全管理契约中的重要条款。自此,在美对于武器系统可靠性及安全性的重视与要求之下,风险概念或风险管理迈入新境地。在太空及北约军事计划中已开始用FMECA取代FMEA,不过其他工业领域仍使用FMEA或是其变体。
历史
FMECA最早在1940年代由美军发展,在1949年提出MIL–P–1629[1]。在1990年代早期,美国国家航空航天局的承包商开始使用FMECA的变体,也有许多不同的名称[2][3]。1966年NASA发行其FMECA程序,用在阿波罗计划上[4]。之后FMECA也用在其他的NASA计划中,包括海盗号、航海家计画、麦哲伦号金星探测器及伽利略号探测器[5]等。 可能是因为MIL–P–1629在1974年被MIL–STD–1629 (SHIPS)取代,因此许多人以为FMECA是由NASA所发展的[6]。 在太空计划发展的同时,FMEA及FMECA的应用也扩展到民航业。1967年国际汽车工程师协发行第一份有关FMECA的民用规范[7]。民航业现在倾向使用FMEA及故障树分析的技术再配合SAE ARP4761,较少使用FMECA,不过有些直升机制造商将FMECA用在民用的旋翼机上。
福特公司在其平托汽车系列的问题后,在1970年代开始使用FMEA,1980年代时越来越多汽车厂开始使用FMEA。欧洲的国际电工委员会在1985年发布了IEC 812(现在的 IEC 60812),提到FMEA及FMECA在各领域的应用[8]。英国标准协会在1991年为了类似的目的发行了BS 5760–5[9]。
1980年时,MIL–STD–1629A取代了MIL–STD–1629及1977年的航空 FMECA 标准 MIL–STD–2070[10]。MIL–STD–1629A在1998年取消,没有其他替代的标准。不过在军事及太空领域仍广为使用[11]。
方法论
不同的FMECA,其方法论会有细微的不同。根据RAC CRTA–FMECA,FMECA一般会包括以下的步骤:
- 系统定义。
- 定义基本原则及假设条件,以便进行设计。
- 建构系统方块图
- 识别失效模式(元件级或是机能级)
- 分析失误影响/原因
- 将结果放入设计的程序中
- 依失效影响的严重度分类
- 进行关键性的计算
- 依失效模式的关键性排序
- 确认关系项目
- 将结果放入设计的程序中
- 找出失效侦测、隔离以及补救措施
- 进行可维护性分析
- 将分析作成文件,记录无法修正的设计区域,找出为了减少失效风险需做的特别控制方式
- 提出建议方案
- 针对纠正措施是否实施以及其有效性再进行追踪
FMECA可以依机能或是零件来进行,依机能的FMECA考虑每个机能方块(例如电源或是放大器)失效时的影响,而依零件的FMECA考虑每个零件(例如电阻、电晶器、微电路或是阀)失效时的影响。依零件的FMECA所需要的人力较多,但比较可以知道失效出现的机率。相对而言,依机能的FMECA比较容易进行,可以有助于完整的风险评估,也比较可以看出其他减缓风险的可能性,若能配合定量危害分析方法中的失误树FTA分析法,两者具有相辅相成的效果。
关键性分析可以是定量的,也可以是定性的,依照可取得的元件失效资料而定。
系统定义
在这个步骤,需定义要分析的主要系统,并且将其分解为像系统、子系统或是设备、单元或是子组件以及零件等层级。针对系统以及其子系统作机能的描述,包括所有的工作模式以及任务阶段。
定义基本原则及假设
在开始细部分析之前,需定义基本原则及假设。可能包括以下的项目:
- 标准化的任务简介,配合特定的固定期间任务阶段。
- 失效率以及失效模式资料的来源
- 计划进行的系统烧机测试,可能有的故障侦测覆盖率
- 分析要是依机能的或是依零件的
- 考虑的准则(任务中止、安全性、可维护性等)
- 不重复标示零件或是机能的系统
- 严重性分类的定义
方块图
接下来,系统及子系统都会用方块图来表示。可靠度方块图或是故障树大约也是此一阶段建立。这些图是用来追踪资讯在不同的系统阶层中是如何流动、识别关键路径以及界面,找出较低阶失效会对系统较高阶部份的影响。
失效模式识别
针对分析中的每一个零件或是每一个机能,都会有完整的失效模式列表。对于机能型的FMECA,常见的失效有:
- 无法及时运作
- 当需要运作时失效
- 没有输出
- 间断性的输出
- 错误输出(假定目前条件下)
- 无效输出(任意条件)
针对零件型的FMECA,失效模式可以参考像RAC FMD–91[12]或是RAC FMD–97[13]之类的资料库。这些资料库不但可以提供失效模式,也可以提供各失效模式机率,例如
零件种类 | 失效模式 | 比例(α) |
---|---|---|
继电器 | 无法跳脱 | .55 |
自发性跳脱 | .26 | |
短路 | .19 | |
电阻 | 参数错误 | .66 |
开路 | .31 | |
短路 | .03 |
每个机能或是零件会列在一个大矩阵,每个失效模式是一栏。因为FMECA会包括很多的资料,因此需针对每一个零件或是机能有一个唯一的代号,也需针对每一个失效模式有唯一的代号。
失效影响分析
在FMECA矩阵中的每一个失效都需配合基本原则所订定的准则,加以确认其影响,再填入矩阵中。影响会分为对本身的、对上一层的,以及对整个系统的。系统级的影响可能包括:
- 系统失效
- 运作降额
- 系统状态上的失效
- 没有立即影响
不同层级中使用的失效影响分类可以配合工程的判断方式,由分析者针对系统规划。
严重性分类
需针对每一个失效模式,依其系统级的影响指定对应严重性分类,再填入FMECA矩阵中。一般会用较少量的分类,多半会分为3至10个严重性分类。若是用MIL–STD–1629A进行FMECA,一般会依照MIL–STD–882进失效严重性的分类[14]。
分类 | 叙述 | 准则 |
---|---|---|
I | 灾难性(Catastrophic) | 会造成人员死亡或永久性完全残疾,损失超过一百万美元,或是违反法律或是规定,造成不可逆的严重环境破坏 |
II | 严重(Critical) | 会造成人员永久性的部份残疾,或是至少让三个人受到伤害或是职业病,需要住院治疗,损失在二十万美元到一百万美元之间,或是违反法律或是规定,造成可逆的环境破坏 |
III | 临界(Marginal) | 会造成人员受到伤害或是职业病,一至多日无法工作,损失在一万美元到二十万美元之间,或是在未违反法律或是规定的情形下造成的环境损害,但若进行复原工作,可以缓解其损害 |
IV | 轻微(Negligible) | 会造成人员受到伤害或是职业病,但仍可工作,损失在二千美元到一万美元之间,或是在未违反法律或是规定的情形下造成的轻微环境损害 |
目前美国联邦航空管理局(FAA)、NASA及欧洲空间局的FMECA严重分类都是以MIL–STD–882为其基础[15][16][17]。
失效检测方式
针对每个元件及每个失效模式,需要分析系统侦测及回报此项失效的能力。需针对每个失效模式在FMECA矩阵中填入以下三项中的其中一项:
- 正常(normal):系统可以正确的告知工作人员有安全上的状况。
- 异常(abnormal):系统可以正确的告知工作人员有机能异常的情形,需要工作人员介入才能恢复正常。
- 不正确(incorrect):系统会在机能异常时回报不正确的安全状况,或是在系统正常时发出警告(假警告)。
关键性排序
失效模式的关键性评估可以是定性的,也可以是定量的。若是定性的评估,会针对失效模式评估其错误可能性的代码或是编号。根据MIL–STD–882定义了五个可能性的等级:
描述 | 等级 | 个别元件 | 整体 |
---|---|---|---|
频繁(frequent) | A | 在元件生命周期中可能会常常出现 | 持续发生 |
可能(probable) | B | 在元件生命周期中会出现几次 | 会频繁发生 |
偶尔(occasional) | C | 在元件生命周期中可能会出现 | 会出现几次 |
可能性极少(remote) | D | 在元件生命周期中不太可能会出现 | 不太可能,但仍需合理的假设可能会发生 |
不可能(improbable) | E | 非常不可能出现,可以假设不会出现 | 几乎不会发生,但仍有发生的可能性 |
失效模式可以画在关键性矩阵中,一轴是严重性等级,另一轴是可能性等级。
若是定量的评估,可以针对每一个项目的每一个失效模式计算模式关键性系数及项目关键性系数 。关键性系数可以用以下的数值来计算:
- 基本失效率
- 失效模式比率
- 条件机率
- 任务持续时间
模式关键性系数为,而项目关键性系数为。
- 基本失效率一般是MIL–HDBK–217, PRISM, RIAC 217Plus或是类似模型所得的失效机率预测值。
- 失效模式比率是从RAC FMD–97之类的资料库来取得,或是机能层面的FMECA,需要用工程师决定失效模式比率。
- 条件机率表示假设已出现此失效模式,在已识别的严重分类中,出现对应失效影响的机率,这也表示分析者判断损失出现的可能性。
若是绘图式的分析方式,关键性矩阵可以用或为其中一个轴,严重性代码为另一轴。
关键项目/失效模式列表
一旦针对每一个失效模式评估了其关键性,就可以依严重性及关键性系数来将FMECA矩阵中的项目进行排序,可以找出关键的项目以及关键的失效模式,希望可以进一步可以针对失效模式设计补救行动。
建议
在完成FMECA后,需针对设计提出可以减少关键失效影响的建议,可能包括使用可靠度更高的材料、减少关键零件运作时的应力程度,或者增加系统冗馀或是监控的机制。
可维护性分析
FMECA产出的资料一般会作为可维护性分析及物流支援分析的基础。
FMECA报告
FMECA报告包括系统描述、基本原则及假设、结论及建议、需追踪的纠正措施,以及对应的FMECA矩阵。
风险优先级数计算
RAC CRTA–FMECA及MIL–HDBK–338都定义了风险优先级数(RPN)的计算,作为代替关键性分析的一种方式。风险优先级数是由发现指数(D)、严重程度值(S)和出现频率(O)相乘,每个的计分是从1至10分,最高的风险优先级数为 10x10x10 = 1000,表示这个失效无法由检测而发现,非常严重,而且几乎都会出现。若发生机率非常低,可以将O改为1,风险优先级数就降为100,这可助于针对风险最高的失效问题先进行改善。
优点及缺点
FMECA的优点包括可全面性、有系统的建立失效原因以及其影响之间的关系,而且可以点出个别的失效模式,以便在设计中规划纠正措施。其缺点包括耗时费力及需考虑许多琐碎的情形,以及无法考虑一些未考虑到的跨系统效应即多重故障(例如潜行电路Sneak circuit,也就是系统中有一些不希望出现的路径或是逻辑,在特定情形下会触发不应出现的机能,或是使应正常动作的机能失效),或是多个失效同时出现的情形。
根据FAA针对商业太空运输的研究报告
- 失效模式效应与关键性分析法是杰出的危害分析及风险风险评估工具,不过仍有其限制。此方法没有考虑复合失效,也没有考虑常见的包括软体以及人机互动造成的问题。在预估可靠度时预估的结果往往也太过乐观,在进行可靠度估计时,除了FMECA外,也应该要配合其他的分析工具一起进行。[18]
参考资料
- ^ Procedures for Performing a Failure Mode, Effects and Criticality Analysis. U.S. Department of Defense. 1949. MIL–P–1629.
- ^ Neal, R.A. Modes of Failure Analysis Summary for the Nerva B-2 Reactor (pdf). Westinghouse Electric Corporation Astronuclear Laboratory. 1962 [2010-03-13]. WANL–TNR–042.
- ^ Dill, Robert; et al. State of the Art Reliability Estimate of Saturn V Propulsion Systems (pdf). General Electric Company. 1963 [2010-03-13]. RM 63TMP–22.
- ^ Procedure for Failure Mode, Effects and Criticality Analysis (FMECA) (pdf). National Aeronautics and Space Administration. 1966 [2010-03-13]. RA–006–013–1A.
- ^ Failure Modes, Effects, and Criticality Analysis (FMECA) (pdf). National Aeronautics and Space Administration JPL. [2010-03-13]. PD–AD–1307. (原始内容存档 (PDF)于2011-07-26).
- ^ Borgovini, Robert; Pemberton, S.; Rossi, M. Failure Mode, Effects and Criticality Analysis (FMECA) (pdf). B. Reliability Analysis Center. 1993: 5 [2010-03-03]. CRTA–FMECA. (原始内容存档于2011-06-04).
- ^ Design Analysis Procedure For Failure Modes, Effects and Criticality Analysis (FMECA). Society for Automotive Engineers. 1967. ARP926.
- ^ 56. Analysis techniques for system reliability – Procedure for failure mode and effects analysis (FMEA) (pdf). International Electrotechnical Commission. 1985 [2013-08-08]. IEC 812. (原始内容存档 (PDF)于2014-07-14).
- ^ Reliability of Systems, Equipment and Components Part 5: Guide to Failure Modes, Effects and Criticality Analysis (FMEA and FMECA). British Standards Institute. 1991. BS 5760–5.
- ^ Procedures for Performing a Failure Mode, Effects and Criticaility Analysis. A. United States Department of Defense. 1980 [2010-03-14]. MIL–HDBK–1629A. (原始内容 (pdf)存档于2011-07-22).
- ^ 7.8 Failure Mode and Effects Analysis (FMEA). Electronic Reliability Design Handbook. B. United States Department of Defense. 1998 [2010-03-13]. MIL–HDBK–338B. (原始内容 (pdf)存档于2011-07-22).
- ^ Chandler, Gregory; Denson, W.; Rossi, M.; Wanner, R. Failure Mode/Mechanism Distributions (pdf). Reliability Analysis Center. 1991 [2010-03-14]. FMD–91. (原始内容存档 (PDF)于2020-01-26).
- ^ Failure Mode/Mechanism Distributions. Reliability Analysis Center. 1997. FMD–97. (原始内容存档于2014-07-15).
- ^ Standard Practice for System Safety. D. U.S. Department of Defense. 1998 [2010-03-14]. MIL–HDBK–882D. (原始内容 (pdf)存档于2011-07-22).
- ^ NASA Systems Engineering Handbook (PDF). National Aeronautics and Space Administration. SP–610S. (原始内容存档 (PDF)于2019-09-04).
- ^ Failure Modes, Effects and Criticality Analysis (FMECA). D. European Space Agency. 1991. ECSS–Q–30–02A.
- ^ Reusable Launch and Reentry Vehicle System Safety Processes (pdf). Federal Aviation Administration. 2005 [2010-03-14]. AC 431.35–2A. (原始内容存档 (PDF)于2017-02-10).
- ^ Research and Development Accomplishments FY 2004 (pdf). Federal Aviation Administration. 2004 [2010-03-14]. (原始内容存档 (PDF)于2009-05-12).