摘要
本篇文章介绍了失效模式、影响和诊断分析的历史、发展和未来。指出了它与IEC61508之间的关系。
本篇文章介绍了失效模式、影响和诊断分析的历史、发展和未来。指出了它与IEC61508之间的关系。
关键字
失效模式影响和诊断分析,失效模式影响分析,失效模式影响和危险程度分析
失效模式影响和诊断分析,失效模式影响分析,失效模式影响和危险程度分析
ABSTRACT
This article presents the history, development and future of Failure Modes Effects and Diagnostic Analysis (FMEDA). It also points out the relations between FMEDA and IEC 61508.
This article presents the history, development and future of Failure Modes Effects and Diagnostic Analysis (FMEDA). It also points out the relations between FMEDA and IEC 61508.
KEYWORDS
FMEDA, FMEA, FMECA
FMEDA, FMEA, FMECA
引言
字母组合FMEDA是一组英文字头的缩写,表示“失效模式影响和诊断分析”(Failure Modes Effects and Diagnostic Analysis)。这个名字是由一位作者于1994年开始使用的,用来描述一项从1988年以来不断发展的系统分析技术, 这项技术可以获得子系统/产品等级的失效率、失效模式和诊断能力(图1)。
图1: FMEDA 输入和输出
FMEDA 技术考虑的是:
? 一个设计产品的所有部件;
? 每个部件的功能;
? 每个部件的失效模式;
? 每个部件失效模式对产品功能的影响;
? 自动诊断和检测失效的能力;
? 设计增强(降低失效,提高安全)和
? 运行规范(环境强调因数)。
? 一个设计产品的所有部件;
? 每个部件的功能;
? 每个部件的失效模式;
? 每个部件失效模式对产品功能的影响;
? 自动诊断和检测失效的能力;
? 设计增强(降低失效,提高安全)和
? 运行规范(环境强调因数)。
如果每个部件的数据库都比较精确,那么就可以用这种方法得出产品等级的失效率和失效模式数据,这比用现场产品返回分析和典型现场失效分析的方法更加精确。
FMEDA 是对获得良好验证的 FMEA(失效模式影响分析)技术的一种延伸,即可以用于电气产品,也可以用于机械产品。
FMEA/FMECA
失效模式和影响分析,FMEA,是对一个系统、子系统、过程、设计或者功能的一种结构化的定性分析,用于确定潜在的失效模式、它们产生的原因和它们对运行(系统)的影响。
建立 FMEA 的概念和实施 FMEA 的实践大约是在上世纪的60年代。第一次正式的实施是在70年代,随着美国军用标准STD 1629/1629A的制定而实行。
在早期的实践中,FMEA 仅限于因失效而造成较大损失的应用和行业。主要的工作是对一个系统的安全质量进行评估,决定不能接受的失效模式,指出可以改进的设计,编制维护工作计划,并且帮助用户了解系统在可能失效时的运行情况。
失效模式、影响和危险程度分析,FMECA,是针对一个明确的 FMEA 结果以及加上危险程度的度量,从而引入对影响进行基本的隔离。这样的分析使用户对结果而言,可以聚焦于最严重的失效模式和影响,但这里并没有提出失效模式的可能性或者概率,而这正是非常重要的指标,因为基于花费和收效的比值才是驱动改进的最直接动力。
FMEDA的发展
失效模式、影响和诊断分析,FMEDA,在80年代后期得到了快速发展,这是基于在1984年召开的一次研讨会中的报告。FMEDA 在 FMEA 的基础上新加入了两部分内容。加入的第一个内容是:对所有要分析的部件给出定量的失效数据(失效率和失效模式分布)。加入的第二个内容是:系统或者子系统提供自动在线诊断发现内部失效的能力。为了达到和维持可靠性,这是决定性的指标。这也使系统增加了复杂性,甚至在一般环境下不可能对所有功能进行测试,比如一种低要求运行模式的紧急刹车系统,ESD系统。
对自动诊断能力的测量要有一个清晰的要求,这在80年代后期达成了共识。现在的FMEDA 基本原则和方法,是通过《评估控制系统的可靠性》这本书,第一次介绍给公众。实际上,术语 FMEDA 在1994年才首次使用,方法也是在90年代后期做了进一步地完善。FMEDA 技术再进一步的演化是在2000年初,在制定 IEC 61508 准备工作的时候。
主要改进的方面有:
1. IEC 61508 失效模式定义 – 新定义;
2. 功能失效模式;
3. 机械部件的使用。
1. IEC 61508 失效模式定义 – 新定义;
2. 功能失效模式;
3. 机械部件的使用。
有了这些改进,使得 FMEDA技术更加成熟,成为更完整和更有用的方法。
[DividePage:NextPage]
FMEDA – IEC 61508
IEC 61508 标准正式地认可 FMEDA 技术,大多数 IEC 61508 评估机构使用FMEDA 的结果去核实一个特定的应用是否达到了安全的要求。在功能安全领域,可以通过使用 FMEDA 技术和对产生结果的解释,来帮助用户改进系统的安全失效模式。
在正式通过的 IEC 61508部分2-2000年版的文本中,给出了功能安全领域里对 FMEDA 的期望是什么,以及怎样使用相关数据。这导致了在相关的工业企业中,增加了对FMEDA的使用,加快了方法和工具的更新,以及对部件水平的失效率和失效模式数据的需求。
在 IEC 61508中,使用 FMEDA 要完成两个安全完整性等级的测量;即:危险非检出型失效率和众所周知的安全失效分数,即SFF。SFF代表不危险和能检出的失效百分比。然而,这个对于系统级模型非常重要的定量型数据,也可以从同一个 FMEDA 容易地导出,这比 IEC61508最初的方法更有效,FMEDA 驱使流程的进一步进化,并且提高了其结果的价值。IEC 61508标准的未来草稿更新工作正在进行,会做进一步的改进。
IEC 61508 失效模式定义
IEC61508 部分(1998年)定义一个危险失效是一种失效,“有可能把安全相关系统推向危险或者不能工作的状态”。这个标准还定义一个安全失效也是一种失效,“无可能把安全相关系统推向危险或者不能工作的状态” 。IEC61508 部分2 进一步解释了“安全”失效是一种失效,引起一次安全的停车或者对电气/电子/可编程电子安全相关系统的安全完整性没有影响。
如果遵循这个看似简单而模棱两可的安全失效定义,理论上导致了不需要提供与应用非常相关数据,并且导致了多种对标准不可预期的解释。一些解释可能导致无意识的环套,结果使产品增加了非相关功能,提高了SFF指标,而没有提高任何安全完整性。
新失效模式的定义
在工业领域的重要厂商,包括罗克韦尔自动化,致力于功能安全产品的不断改进,忠实于 IEC61508 的原内容,对失效模式定义提出了很多改良,并开始使用2003年的新定义用于FMEDA分析。更详细的失效模式定义会在后续的IEC 61508 版本中体现出来。为了理解所需的变化,必须首先要明白当前官方定义“安全失效”的模棱两可。
因为现在定义的安全失效包括所有失效而没有考虑危险。这包括“失效会导致一次安全刹车或者对电气/电子/可编程电子安全相关系统的安全完整性没有影响”。一种失效对安全完整性功能没有影响,非常像对使用产品的用户甚至没有一点提示,这种失效可以纳入到两种通用类型当中。
无影响 – 类型 1, 不受影响
大多数部件有多种失效模式,这些失效模式或重要或不重要,重要性取决于在特定的设计中怎样地使用它们。比如一个电阻在开路和短路失效时,失效模式包括了它的值从原始量的一半到两倍的变化。如果这个电阻用于一个模拟电路的一部分,监视一个特定电压或者电流的等级,这个漂移的失效模式会直接导致测量的明显错误,并且看上去是非常的危险。
如果同样的电阻串联到一个晶体管的基极,最后驱动一个继电器的线圈。即使电阻值漂移超过这个相对宽的范围,产品也能连续工作,并且产生输出状态。在这个应用中,电阻值的漂移没有影响产品的功能。因此,这种失效模式被称为“无影响”模式,因为,虽然部件是所需功能的一部分,这种特定失效模式没有影响到所需的功能。如果这个电阻失效开路,就会影响到产品的功能。所以,部件的所有失效模式都不能被忽略。
无影响 – 类型 2, 不是一部分
有些部件的目的是用于人机界面的显示和辅助功能,它们不是产品中功能电路的一部分,而是在应用中需要的。比如一个电阻可以用于设置一个电流水平,当进行通信时,使一个显示LED灯点亮,因此在通信处于激活状态时,我们就能够看到灯亮。如果这个电阻失效,那么在通信进行时,这个LED灯就不会亮起,但它不会影响这个产品的正常工作。事实上,这个电阻的任何失效模式看起来都不会影响这个产品的功能和性能。这类部件被称为“不是一部分” ,因为它们不执行所需功能的一部分。
“安全”失效的新定义
注意所谓“不影响”是相对于一个部件的特定失效模式,也就是用于所需的功能(或者那部分的其他失效模式将导致功能的丢失);“不是一部分”是相对于一个整体部件是不必要的,或者是用于执行应用的其他功能,但两者在当今的IEC61508 定义中都被认为是“安全”的。
在一个安全系统的环境中,一个非常有用和不模糊的安全失效定义会导致一个故障动作(在没有容错结构的情况下),这个动作明显和危险失效动作是相反的(失效执行安全功能或者在需要时出现动作失能)。这种 “安全” 的定义也增加了一个对安全产品评估故障动作率的数据,这对产品的潜在用户也是非常重要的参数,因为它会导致生产率降低,并且可能引发另一个危险事件产生。
安全失效分数计算
剩下的问题是在计算SFF中怎样使用“无影响”和“不是一部分”失效率(或者不使用)。最保守的方法是在计算时排除这两者,给产品提供一个最低的SFF估计。这种方法仅考虑安全和危险失效对需要安全功能的直接影响。保守的供应商使用这种策略,使用的时间周期大概在2000年到2002年之间。
非常清楚,不好的策略来计算“不是一部分”失效是“安全”的。这是因为一个产品设计者用一种近似特定的SFF门槛来设计,可能加入额外部件达到了那个门槛,但这些部件没有使安全功能得到提高。
大约在2003年左右,这个领域里的主要工业专家们一致同意,决定把初始的“安全失效”加入“无影响”,但排除“不是一部分”做为安全失效的新定义。最后的结果是:在新定义的安全失效中,“无影响”失效用在计算SFF的安全失效部分,“不是一部分”失效率不包括在相关的安全计算中。FMEDA 结果报告开始大量出版,用于附加失效率的类型。
[DividePage:NextPage]
这个变化的结果是FMEDA报告总体失效率,代表了所有部件的总的失效率,甚至有些失效率不会导致在产品级可以观察得到的失效。在产品级可看到的失效率是可预计的,用整体失效率减去无影响失效率,因为无影响失效在多数情况下,在独立部件的完整参数测试时就能找到。
功能失效模式分析
也在2000年早期,功能失效模式分析加入到FMEDA过程。在早期的FMEDA工作中,部件失效模式依照IEC 61508应直接映射到“安全”或者“危险”类型。 这相对来说比较容易,因为每件事情不是“危险”就是“安全”。现在则有多种失效模式类型,直接指派到某种类型已经比较困难。另外,如果产品用于不同的应用,那么指派的类型也有所变化。在执行FMEDA过程中,具有直接失效模式类型的指派,对于每个新的应用或者每种使用变化,都需要一个新的FMEDA。
在功能失效模式方法中,产品的实际功能失效模式是可识别的。在执行详细的FMEDA时,每个部件失效模式可以映射到一种功能失效模式。功能失效模式然后按照产品失效模式在特定应用中进行分类。这就不需要在进行一个新应用时再做分析工作。
机械 FMEDA 技术
在2000年早期就已经清楚,很多用于安全关键性应用的产品有机械部件。执行一个FMEDA 过程,而不考虑这些机械部件,就是不完整的,并且存在误导。使用FMEDA技术分析机械部件的基本问题是缺少一个机械部件的数据库,它包括部件失效率和失效模式分布。
利用一系列已经出版了的参考资料,有些供应商在2003年开始,建立机械部件的数据库。随着而后几年的调查和改进,数据库已经出版。这使得FMEDA可以用于具有电气和机械结合的部件,也可用于纯机械的部件。
将来发展
本文介绍了自从第一次努力定义的过程后,FMEDA 技术在过去的几十年里是怎样进化的。产生的结果之一是老的 FMEDA 报告(2002年以前)已经不再使用,并且不再和新工作进行比较。
非常清楚,部件数据库需要进一步改进,在不同应用操作规程中需要进行选择性的校准。另外,在现场失效研究与FMEDA结果的比较,已经显示出人的因素,特别在维护过程,已经影响了产品的失效率和失效模式。随着可用的数据不断增加,这些因素可能也要加到 FMEDA 的分析中。
(罗克韦尔自动化(中国)有限公司,全球标准及贸易部中国地区经理 华镕)
京公网安备 11011202001138号
