引言:
字母組合FMEDA是一組英文字頭的縮寫,表示"失效模式影響和診斷分析"(Failure Modes Effects and Diagnostic Analysis)。這個名字是由一位作者于1994年開始使用的,用來描述一種從1988年以來一直發展的系統分析技術, 這種技術可以獲得子系統/產品等級的失效率、失效模式和診斷能力(圖1)。
圖1: FMEDA 輸入和輸出
FMEDA 技術考慮的是:
●一個設計產品的所有部件;
●每個部件的功能;
●每個部件的失效模式;
● 每個部件失效模式對產品功能的影響;
●自動診斷檢測失效的能力;
●設計增強(降低失效,提高安全)和
● 運行規范(環境強調因數)。
如果每個部件的數據庫都比較精確,那么就可以用這種方法得出產品等級的失效率和失效模式數據,這比用現場返回分析和典型現場失效分析的方法更加精確。
FMEDA 是獲得良好驗證的 FMEA(失效模式影響分析)技術的一種延伸,即可以用于電氣產品,也可以用于機械產品。
FMEA/FMECA
失效模式和影響分析,FMEA,是對一個系統、子系統、過程、設計或者功能的一種結構化的定性分析,用于確定潛在的失效模式、它們產生的原因和它們對運行(系統)的影響。
建立 FMEA 的概念和實施 FMEA 的實踐大約在上世紀的60年代。第一次正式的實施是在70年代,隨著美國軍用標準STD 1629/1629A的制定而實行。
在早期的實踐中,FMEA 僅限于因失效而造成較大損失的應用和行業。主要的工作是對一個系統的安全質量進行評估,決定不能接受的失效模式,指出可以改進的設計,編制維護工作計劃,并且幫助用戶了解系統在可能失效時的運行情況。
失效模式、影響和危險程度分析,FMECA,是針對一個明確的 FMEA 結果以及加上危險程度度量,而引入對影響進行基本的隔離。這樣就使分析的用戶就結果而言,迅速聚焦于最嚴重的失效模式和影響,但這里并沒有提出失效模式的可能性或者概率,而這正是非常重要的指標,因為基于花費和收益的比值才是驅動改進的最直接動力。
FMEDA的發展
失效模式、影響和診斷分析,FMEDA,在80年代后期得到了發展,這是基于在1984年召開的一次研討會中的報告。FMEDA 在 FMEA 分析過程中加上了兩部分信息。加入的第一個信息是:對所有要分析的部件給出定量的失效數據(失效率和失效模式分布)。加入的第二個信息是:系統或者子系統通過自動在線診斷發現內部失效的能力。為了達到和維持可靠性,這是決定性的指標,這使系統增加了復雜性,甚至在一般環境下不可能對所有功能進行測試,比如一種低要求運行模式的緊急剎車系統,ESD系統。
對自動診斷能力的測量要有一個清晰的要求,這在80年代后期達成了共識。當代 FMEDA 的基本原則和方法,是通過《評估控制系統的可靠性》這本書第一次介紹給公眾。實際上,術語 FMEDA 在1994年才首次使用,方法也是在90年代后期做進一步地完善。FMEDA 技術再進一步的演化是在2000年初,在制定 IEC 61508 準備工作的時候。
主要改進的方面有:
1. IEC 61508 失效模式定義 - 新定義;
2. 功能失效模式;
3. 機械部件的使用。
有了這些改進,使得 FMEDA技術更加成熟,成為更完整和更有用的方法。
FMEDA - IEC 61508
IEC 61508 標準正式地認可 FMEDA 技術,大多數 IEC 61508 評估機構用FMEDA 結果去核實一個特定的應用是否達到了安全的要求。在功能安全領域,也通過使用 FMEDA 技術和對產生結果的解釋,來幫助用戶改進系統的安全失效模式。
在正式通過的 IEC 61508部分2-2000年版的文本中,給出了功能安全領域里對 FMEDA 的期望是什么,以及怎樣使用相關數據。這導致了在相關的工業企業中,增加了對FMEDA的使用,加快了方法和工具的更新,以及對部件水平的失效率和失效模式數據的需求。
在 IEC 61508中,使用 FMEDA 要完成兩個安全完整性等級的測量;即:危險非檢出型失效率和眾所周知的安全失效分數,即SFF。SFF代表不危險和能檢出的失效百分比。然而,這個對于系統級模型非常重要的定量型數據,也可以從同一個 FMEDA 容易地導出,這比 IEC61508最初的方法更有效,FMEDA 驅使流程的進一步進化,并且提高了其結果的價值。IEC 61508標準的未來草稿更新工作正在進行,會做進一步的改進。
IEC 61508 失效模式定義
IEC61508 部分(1998年)定義一個危險失效是一種失效,"有可能把安全相關系統推向危險或者不能工作的狀態"。這個標準還定義一個安全失效也是一種失效,"無可能把安全相關系統推向危險或者不能工作的狀態" 。IEC61508 部分2 進一步解釋了"安全"失效是一種失效,引起一次安全的停車或者對電氣/電子/可編程電子安全相關系統的安全完整性沒有影響。
如果遵循這個看似簡單而模棱兩可的安全失效定義,理論上導致了不需要提供與應用非常相關數據,并且導致了多種對標準不可預期的解釋。一些解釋可能導致無意識的環套,結果使產品增加了非相關功能,提高了 SFF 指標,而沒有提高任何安全完整性。
新失效模式的定義
在工業領域的重要廠商,包括羅克韋爾自動化,致力于功能安全產品的不斷改進,忠實于 IEC61508 的原內容,對失效模式定義提出了很多改良,并開始使用2003年的新定義用于 FMEDA 分析。更詳細的失效模式定義會在后續的IEC 61508 版本中體現出來。為了理解所需的變化,必須首先要明白當前官方定義"安全失效"的模棱兩可。
因為現在定義的安全失效包括所有失效而沒有考慮危險。這包括"失效會導致一次安全剎車或者對電氣/電子/可編程電子安全相關系統的安全完整性沒有影響"。一種失效對安全完整性功能沒有影響,非常像對使用產品的用戶甚至沒有一點提示,這種失效可以納入到兩種通用類型當中。
無影響 - 類型 1, 不受影響
大多數部件有多種失效模式,這些失效模式或重要或不重要,重要性取決于在特定的設計中怎樣地使用它們。比如一個電阻在開路和短路失效時,失效模式包括了它的值從原始量的一半到兩倍的變化。如果這個電阻用于一個模擬電路的一部分,監視一個特定電壓或者電流的等級,這個漂移的失效模式會直接導致測量的明顯錯誤,并且看上去是非常的危險。
如果同樣的電阻串聯到一個晶體管的基極,最后驅動一個繼電器的線圈。即使電阻值漂移超過這個相對寬的范圍,產品也能連續工作,并且產生輸出狀態。在這個應用中,電阻值的漂移沒有影響產品的功能。因此,這種失效模式被稱為"無影響"模式,因為,雖然部件是所需功能的一部分,這種特定失效模式沒有影響到所需的功能。如果這個電阻失效開路,就會影響到產品的功能。所以,部件的所有失效模式都不能被忽略。
無影響 - 類型 2, 不是一部分
有些部件的目的是用于人機界面的顯示和輔助功能,它們不是產品中功能電路的一部分,而是在應用中需要的。比如一個電阻可以用于設置一個電流水平,當進行通信時,使一個顯示LED燈點亮,因此在通信處于激活狀態時,我們就能夠看到燈亮。如果這個電阻失效,那么在通信進行時,這個LED燈就不會亮起,但它不會影響這個產品的正常工作。事實上,這個電阻的任何失效模式看起來都不會影響這個產品的功能和性能。這類部件被稱為"不是一部分" ,因為它們不執行所需功能的一部分。
"安全"失效的新定義
注意所謂"不影響"是相對于一個部件的特定失效模式,也就是用于所需的功能(或者那部分的其他失效模式將導致功能的丟失);"不是一部分"是相對于一個整體部件是不必要的,或者是用于執行應用的其他功能,但兩者在當今的IEC61508 定義中都被認為是"安全"的。
在一個安全系統的環境中,一個非常有用和不模糊的安全失效定義會導致一個故障動作(在沒有容錯結構的情況下),這個動作明顯和危險失效動作是相反的(失效執行安全功能或者在需要時出現動作失能)。這種 "安全" 的定義也增加了一個對安全產品評估故障動作率的數據,這對產品的潛在用戶也是非常重要的參數,因為它會導致生產率降低,并且可能引發另一個危險事件產生。
安全失效分數計算
剩下的問題是在計算SFF中怎樣使用"無影響"和"不是一部分"失效率(或者不使用)。最保守的方法是在計算時排除這兩者,給產品提供一個最低的SFF估計。這種方法僅考慮安全和危險失效對需要安全功能的直接影響。保守的供應商使用這種策略,使用的時間周期大概在2000年到2002年之間。
非常清楚,不好的策略來計算"不是一部分"失效是"安全"的。這是因為一個產品設計者用一種近似特定的SFF門檻來設計,可能加入額外部件達到了那個門檻,但這些部件沒有使安全功能得到提高。
大約在2003年左右,這個領域里的重要工業專家們一致同意,決定把初始的"安全失效"加入"無影響",但排除"不是一部分"做為安全失效的新定義。最后的結果是:在新定義的安全失效中,"無影響"失效用在計算SFF的安全失效部分,"不是一部分"失效率不包括在相關的安全計算中。FMEDA 結果報告開始大量出版,用于附加失效率的類型。
這個變化的結果是FMEDA報告總體失效率,代表了所有部件的總的失效率,甚至有些失效率不會導致在產品級可以觀察得到的失效。在產品級可看到的失效率是可預計的,用整體失效率減去無影響失效率,因為無影響失效在多數情況下,在獨立部件的完整參數測試時就能找到。
功能失效模式分析
也在2000年早期,功能失效模式分析加入到FMEDA過程。在早期的FMEDA工作中,部件失效模式依照IEC 61508應直接映射到"安全"或者"危險"類型。這相對來說比較容易,因為每件事情不是"危險"就是"安全"。現在則有多種失效模式類型,直接指派到某種類型已經比較困難。另外,如果產品用于不同的應用,那么指派的類型也有所變化。在執行FMEDA過程中,具有直接失效模式類型的指派,對于每個新的應用或者每種使用變化,都需要一個新的FMEDA。
在功能失效模式方法中,產品的實際功能失效模式是可識別的。在執行詳細的FMEDA時,每個部件失效模式可以映射到一種功能失效模式。功能失效模式然后按照產品失效模式在特定應用中進行分類。這就不需要在進行一個新應用時再做分析工作。
機械 FMEDA 技術
在2000年早期就已經清楚,很多用于安全關鍵性應用的產品有機械部件。執行一個FMEDA 過程,而不考慮這些機械部件,就是不完整的,并且存在誤導。使用FMEDA技術分析機械部件的基本問題是缺少一個機械部件的數據庫,它包括部件失效率和失效模式分布。
利用一系列已經出版了的參考資料,有些供應商在2003年開始,建立機械部件的數據庫。隨著而后幾年的調查和改進,數據庫已經出版。這使得FMEDA可以用于具有電氣和機械結合的部件,也可用于純機械的部件。
將來發展
本文介紹了自從第一次努力定義的過程后,FMEDA 技術在過去的幾十年里是怎樣進化的。產生的結果之一是老的 FMEDA 報告(2002年以前)已經不再使用,并且不再和新工作進行比較。
非常清楚,部件數據庫需要進一步改進,在不同應用操作規程中需要進行選擇性的校準。另外,在現場失效研究與FMEDA結果的比較,已經顯示出人的因素,特別在維護過程,已經影響了產品的失效率和失效模式。隨著可用的數據不斷增加,這些因素可能也要加到 FMEDA 的分析中。
