文档库

最新最全的文档下载
当前位置:文档库 > FMEDA_精确的产品失效分析

FMEDA_精确的产品失效分析

安全控制技术

FMEDA ——精确的产品失效分析

FMEDA – Accurate Product Failure Analysis

华镕

(罗克韦尔自动化(中国)有限公司,北京市 100005)

Hua Rong

(Rockwell Automation, Beijing 100005)

【摘 要】【关键词】Abstract: The paper presents the history, development and future of Failure Modes Effects and Diagnostic Analysis (FMEDA). It also points out the relations between FMEDA and IEC 61508.Key words: FMEDA FMEA FMECA

本文介绍了失效模式、影响和诊断分析的历史、发展和未来。指出了它与IEC 61508之间的关

系。

失效模式影响和诊断分析 失效模式影响分析 失效模式影响和危险程度分析

FMEDA_精确的产品失效分析

FMEDA_精确的产品失效分析

收稿日期:2009-11-16

作者简介: 华镕,男,罗克韦尔自动化(中国)有限公司全球标准及贸易部,中国区经理。

引言

字母组合FMEDA是一组英文字头的缩写,表示“失效模式影响和诊断分析”(Failure Modes Effects and Diagnostic Analysis)。这个名字是由一位作者于1994年开始使用的,用来描述一种从1988年以来一直发展的系统分析技术, 这种技术可以获得子系统/产品等级的失效率、失效模式和诊断能力(图1)。

图1 FMEDA 输入和输出

FMEDA 技术考虑的是:

* 一个设计产品的所有部件;* 每个部件的功能;

* 每个部件的失效模式;

* 每个部件失效模式对产品功能的影响;* 自动诊断检测失效的能力;

* 设计增强(降低失效,提高安全);* 运行规范(环境强调因数)。

如果每个部件的数据库都比较精确,那么就可以用这种方法得出产品等级的失效率和失效模式数据,这比用现场返回分析和典型现场失效分析的方法更加精确。

FMEDA 是获得良好验证的 FMEA(失效模式影响分析)技术的一种延伸,即可以用于电气产品,也可以用于机械产品。1 FMEA/FMECA 的概念

失效模式和影响分析,FMEA,是对一个系统、子系统、过程、设计或者功能的一种结构化的定性分析,用于确定潜在的失效模式、它们产生的原因和它们对运行(系统)的影响。

建立 FMEA 的概念和实施 FMEA 的实践大约在上世纪的60年代。第一次正式的实施是在70年代,随着美国军用标准STD 1629/1629A的制定而实行。

在早期的实践中,FMEA 仅限于因失效而造成较大损失的应用和行业。主要的工作是对一个系统的安全质量进行评估,决定不能接受的失效模式,指出可以改进的设计,编制维护工作计划,并且帮助用户了解系统在可能失效时的运行情况。

失效模式、影响和危险程度分析,F M E C A ,是针对一个明确的 FMEA 结果以及加上危险程度度量,而引入对影响进行基本的隔离。这样就使分析的用户就结果而言,迅速聚焦于最严重的失效模式和影响,但这里并没有提出失效模式的可能性或者概率,

FMEDA_精确的产品失效分析

Control Tech of Safety & Security

而这正是非常重要的指标,因为基于花费和收益的比值才是驱动改进的最直接动力。

2 FMEDA的发展

失效模式、影响和诊断分析,FMEDA,在80年代后期得到了发展,这是基于在1984年召开的一次研讨会中的报告。FMEDA 在 FMEA 分析过程中加上了两部分信息。加入的第一个信息是:对所有要分析的部件给出定量的失效数据(失效率和失效模式分布)。加入的第二个信息是:系统或者子系统通过自动在线诊断发现内部失效的能力。为了达到和维持可靠性,这是决定性的指标,这使系统增加了复杂性,甚至在一般环境下不可能对所有功能进行测试,比如一种低要求运行模式的紧急刹车系统,ESD系统。

对自动诊断能力的测量要有一个清晰的要求,这在80年代后期达成了共识。当代 FMEDA 的基本原则和方法,是通过《评估控制系统的可靠性》这本书第一次介绍给公众。实际上,术语 FMEDA 在1994年才首次使用,方法也是在90年代后期做进一步地完善。FMEDA 技术再进一步的演化是在2000年初,在制定 IEC 61508 准备工作的时候。

主要改进的方面有:

1) IEC 61508 失效模式定义 – 新定义;

2) 功能失效模式;

3)机械部件的使用。

有了这些改进,使得FMEDA技术更加成熟,成为更完整和更有用的方法。

3 FMEDA通过IEC 61508

IEC 61508标准正式地认可FMEDA 技术,大多数IEC 61508评估机构用FMEDA 结果去核实一个特定的应用是否达到了安全的要求。在功能安全领域,也通过使用 FMEDA 技术和对产生结果的解释,来帮助用户改进系统的安全失效模式。

在正式通过的IEC 61508部分2-2000年版的文本中,给出了功能安全领域里对FMEDA 的期望是什么,以及怎样使用相关数据。这导致了在相关的工业企业中,增加了对FMEDA的使用,加快了方法和工具的更新,以及对部件水平的失效率和失效模式数据的需求。

在 IEC 61508中,使用 FMEDA 要完成两个安全完整性等级的测量;即:危险非检出型失效率和众所周知的安全失效分数,即SFF。SFF代表不危险和能检出的失效百分比。然而,这个对于系统级模型非常重要的定量型数据,也可以从同一个 FMEDA 容易地导出,这比IEC 61508最初的方法更有效,FMEDA 驱使流程的进一步进化,并且提高了其结果的价值。IEC 61508标准的未来草稿更新工作正在进行,会做进一步的改进。

4 IEC 61508失效模式定义

IEC 61508部分(1998年)定义一个危险失效是一种失效,“有可能把安全相关系统推向危险或者不能工作的状态”。这个标准还定义一个安全失效也是一种失效,“无可能把安全相关系统推向危险或者不能工作的状态”。IEC 61508 部分2 进一步解释了“安全”失效是一种失效,引起一次安全的停车或者对电气/电子/可编程电子安全相关系统的安全完整性没有影响。

如果遵循这个看似简单而模棱两可的安全失效定义,理论上导致了不需要提供与应用非常相关数据,并且导致了多种对标准不可预期的解释。一些解释可能导致无意识的环套,结果使产品增加了非相关功能,提高了SFF指标,而没有提高任何安全完整性。

5 新失效模式的定义

在工业领域的重要厂商,包括罗克韦尔自动化,致力于功能安全产品的不断改进,忠实于IEC 61508的原内容,对失效模式定义提出了很多改良,并开始使用2003年的新定义用于FMEDA分析。更详细的失效模式定义会在后续的IEC 61508 版本中体现出来。为了理解所需的变化,必须首先要明白当前官方定义“安全失效”的模棱两可。

因为现在定义的安全失效包括所有失效而没有考虑危险。这包括“失效会导致一次安全刹车或者对电气/电子/可编程电子安全相关系统的安全完整性没有影响”。一种失效对安全完整性功能没有影响,非常像对使用产品的用户甚至没有一点提示,这种失效可以纳入到两种通用类型当中。

5.1 无影响 – 类型 1, 不受影响

大多数部件有多种失效模式,这些失效模式或重要或不重要,重要性取决于在特定的设计中怎样地使用它们。比如一个电阻在开路和短路失效时,失效模式包括了它的值从原始量的一半到两倍的变化。如果这个电阻用于一个模拟电路的一部分,监视一个特定电压或者电流的等级,这个漂移的失效模式会直接导致测量的明显错误,并且看上去是非常的危险。

如果同样的电阻串联到一个晶体管的基极,最后驱动一个继电器的线圈。即使电阻值漂移超过这个相对宽的范围,产品也能连续工作,并且产生输出状态。在这个应用中,电阻值的漂移没有影响产品的功能。因此,这种失效模式被称为“无影响”模式,因为,虽然部件是所需功能的一部分,这种特定失效模式没有影响到所需的功能。如果这个电阻失效开路,就会影响到产品的功能。所以,部件的所有失效模式

FMEDA_精确的产品失效分析

安全控制技术

都不能被忽略。

5.2 无影响 – 类型 2, 不是一部分

有些部件的目的是用于人机界面的显示和辅助功能,它们不是产品中功能电路的一部分,而是在应用中需要的。比如一个电阻可以用于设置一个电流水平,当进行通信时,使一个显示LED灯点亮,因此在通信处于激活状态时,我们就能够看到灯亮。如果这个电阻失效,那么在通信进行时,这个LED灯就不会亮起,但它不会影响这个产品的正常工作。事实上,这个电阻的任何失效模式看起来都不会影响这个产品的功能和性能。这类部件被称为“不是一部分”,因为它们不执行所需功能的一部分。

6 “安全”失效的新定义

注意所谓“不影响”是相对于一个部件的特定失效模式,也就是用于所需的功能(或者那部分的其他失效模式将导致功能的丢失);“不是一部分”是相对于一个整体部件是不必要的,或者是用于执行应用的其他功能,但两者在当今的IEC 61508定义中都被认为是“安全”的。

在一个安全系统的环境中,一个非常有用和不模糊的安全失效定义会导致一个故障动作(在没有容错结构的情况下),这个动作明显和危险失效动作是相反的(失效执行安全功能或者在需要时出现动作失能)。这种“安全”的定义也增加了一个对安全产品评估故障动作率的数据,这对产品的潜在用户也是非常重要的参数,因为它会导致生产率降低,并且可能引发另一个危险事件产生。

7 安全失效分数计算

剩下的问题是在计算SFF中怎样使用“无影响”和“不是一部分”失效率(或者不使用)。最保守的方法是在计算时排除这两者,给产品提供一个最低的SFF估计。这种方法仅考虑安全和危险失效对需要安全功能的直接影响。保守的供应商使用这种策略,使用的时间周期大概在2000年到2002年之间。

非常清楚,不好的策略来计算“不是一部分”失效是“安全”的。这是因为一个产品设计者用一种近似特定的SFF门槛来设计,可能加入额外部件达到了那个门槛,但这些部件没有使安全功能得到提高。

大约在2003年左右,这个领域里的重要工业专家们一致同意,决定把初始的“安全失效”加入“无影响”,但排除“不是一部分”做为安全失效的新定义。最后的结果是:在新定义的安全失效中,“无影响”失效用在计算SFF的安全失效部分,“不是一部分”失效率不包括在相关的安全计算中。FMEDA结果报告开始大量出版,用于附加失效率的类型。

这个变化的结果是FMEDA报告总体失效率,代表了所有部件的总的失效率,甚至有些失效率不会导致在产品级可以观察得到的失效。在产品级可看到的失效率是可预计的,用整体失效率减去无影响失效率,因为无影响失效在多数情况下,在独立部件的完整参数测试时就能找到。

8 功能失效模式分析

也在2000年早期,功能失效模式分析加入到F M E D A过程。在早期的F M E D A工作中,部件失效模式依照IEC 61508应直接映射到“安全”或者“危险”类型。 这相对来说比较容易,因为每件事情不是“危险”就是“安全”。现在则有多种失效模式类型,直接指派到某种类型已经比较困难。另外,如果产品用于不同的应用,那么指派的类型也有所变化。在执行FMEDA过程中,具有直接失效模式类型的指派,对于每个新的应用或者每种使用变化,都需要一个新的FMEDA。

在功能失效模式方法中,产品的实际功能失效模式是可识别的。在执行详细的FMEDA时,每个部件失效模式可以映射到一种功能失效模式。功能失效模式然后按照产品失效模式在特定应用中进行分类。这就不需要在进行一个新应用时再做分析工作。

9 机械 FMEDA 技术

在2000年早期就已经清楚,很多用于安全关键性应用的产品有机械部件。执行一个FMEDA过程,而不考虑这些机械部件,就是不完整的,并且存在误导。使用FMEDA技术分析机械部件的基本问题是缺少一个机械部件的数据库,它包括部件失效率和失效模式分布。

利用一系列已经出版了的参考资料,有些供应商在2003年开始,建立机械部件的数据库。随着而后几年的调查和改进,数据库已经出版。这使得FMEDA可以用于具有电气和机械结合的部件,也可用于纯机械的部件。

10 未来发展

本文介绍了自从第一次努力定义的过程后,FMEDA 技术在过去的几十年里是怎样进化的。产生的结果之一是老的 FMEDA报告(2002年以前)已经不再使用,并且不再和新工作进行比较。

非常清楚,部件数据库需要进一步改进,在不同应用操作规程中需要进行选择性的校准。另外,在现场失效研究与FMEDA结果的比较,已经显示出人的因素,特别在维护过程,已经影响了产品的失效率和失效模式。随着可用的数据不断增加,这些因素可能也要加到FMEDA的分析中。

FMEDA_精确的产品失效分析