1、1 范围中华人民共和国国家标准系统可靠性分析技术失效模式和效应分析(FMEA)程序Analysis technlq1睡Efor system reliability -Pr田edurefor failure mo de and effects analysis (F如EA) UDC 821.8-192 z佣7.8GB 7828-87 IEC 812-1985 本标准阐述失效模式和效应分析FMEA)与失放模式、放应及危害度分析FMECA),并就如何达到各种目的提供以下指南s一提供完成分析所必需的程序,一一确定合适的术语、假设、危害度和失放模式,一一确定基本原则,一才是供必要的表格形式的实例。鉴于
2、FMEC A是FME A分析的扩展,所有用fFMEA表示的般定性分析,均可适用于F MEC Ao 本标准等同采用国际标准!EC812 (1985)。2 总则失效模式和效应分析FMEA)以及失效模式、效应和危害度分析FMECA)是可靠性分析方法,这种分析致力于在实际使用中找出对系统性能有显著影响的各种失效。一般而言,任何部件的失效或失敛模式均对系统性能育不利影响。在进行系统可靠性、安全性和有效性的研究中要求作定性和定量分析,而且这两者是互为补充的。应用定量分析方法可计算或预测在特定条件下执行任务期间或长期运行中的系统性能指标。典型指标分可靠度、安全性、有效度、失效率、失效前平均时间(MTT F)
3、等。FME A是以具有明确失效判据或主要失效模式)的部件级或分装置级为基础的。从基本单元失放特征和系统功能结构出发,FMEA用来确定单元失效和系统失效之间的关系,或单元失敛与系统工作不正常、操作受牵iJll1J制以及性能或完整性下降等之间的关系。为了评价次级或更高一级系统或子系统的失效,可能还需要考虑事件的时间顺序。狭义地说,FME A仅限于对硬件失效模式的定性分析,而不包括人为差错和软件错误,尽管实际系统中往往会遇到后两种情况。但广义地说,这些因素也被包括在内。失效后果的严重性用危害度来描述。危害度用系统丧失能力和对人身的伤害程度来分类或划分等级,有时也按其发生的概率来表示。最好分别地确定这
4、些概率。FME A一个逻辑上的扩展是考虑失效模式的危害度和失效模式发生的概率。这种确定失效模式的危害度分析,被广泛地称为FMEC A。2. 1 分析目的FME A和FMEC A对可靠性保证规划来说是十分重要的技术,它可以用于广泛的问题和遇到的技术系统中。为了适应一定的目的,完成FME A和FMEC A的深度和方式可以变化。在计划论国家标准局1987-06-0S批准1 9 ”。1-01实施231 GB 7826-87 证和技术设计阶段,进行有限的分析,而在设计和开发阶段得到进一步完善。然而,要记住,FMEA 只是可靠性和维修性规划中所要求进行的各种工作和活动中的一部分。FME A是一种归纳法,用
5、以对系统可靠性和安全性方面完成从低分析级iLl高分析级的定性分析。为了进行FME A,需要根据系统结构作出的状态图和可靠性方框图。对下列各种情况需妻分别作图z一一对于不同的系统失放判据,一一功能退化或降低保证的功能,一一安全性,一一替换的E作阶段。F ME A和FMEC A的目的可以包括za. 评价在系统的各功能级七,对每个被鉴别产品的失效模式所导致的事件顺序和敝应作出评价无论什么原因或发生在哪一个功能级),b. 按系统的正确功能或性能以及对于可靠性和(或)安全性方面的影响,确定每个失放模式的重要性和危害度,c. 按失放模式的可检测性、可诊断性、可测量性、构件的吁更换性、补偿和运行情施(修理、
6、维护和后勤等)以及其他有关特性,将有关的失放模式分类,d. 在具备数据的前提下,对失效的重妻性和发生的概率进行估计。2. 2应用2.2.t F ME A的适用范围F ME A主要是用于研究部件和设备失放的一种方法,并能应用于以不同技术(电的、机械的、掖压传动装置等)及其以多种技术为基础组合成的各种系统。FME A还可用于软件和人类行为的研究。2.2.2 F ME A在个E程项目内的应用使用者应该明确为了什么目的和怎样把FME A用于自己的技术项目中。FME A吁以单独使用,也可以作为其他可靠性分析方法的一种补充和支援。对FME A有要求,是为rr解硬件特性和推论系统或设备运行时的情况。不同L程
7、项目对FME A的需要情况可能会有很大的差别。FME A既是协助设计评审的种技术,也是种保证及评价方法,在系统和f系统设计的最初J阶段就可加以应用。FME A适合于各种级别的系统设计。要求对完成FMEAL作的人员进行特殊的培训,而且他们必须与系统的L程师和设计人员通力合作。随着工程的进展以及当设计有修改时,F ME A必须作及时的修正。在王程结束以前,可以用FME A来检查工程设计,FME A还可用作il正所设计的系统是否达到标准、规程和满足用户要求的基础。由FME A得到的信息,可鉴别生产和安装期间的工艺过程控制和检查试验,以及鉴定、批准、交收和启动试验的重点。同时,它还可以为诊断和维修程序
8、提供重要的信息。在确定产品或设计应用FME A的范围与方式时,应当考虑需要FME A结果的特定目的,以及F ME A与其他工程活动在时间上的相互配合。还应考虑,对不希望发生的失效模式和效应,预先设置一定程度的报警和控制措施的重要性。这就在特定级别上(系统、f系统、部件等)获得T定性的FME A方法,从而把反复设计和研制过程联系起来。为保证利用FME A这种技术,在可靠性规划中应给予明确规定。2.2.3 F ME A的用途F ME A的具体用途和效益如F:a. 找出各种失效,当这些失放单独发生时,就会导致不可接收或有严重的影响,并H可以确定对期望的戎所要求的工作可能有严重影响的失放模式,这些影响
9、可以包括从属失妓,b. 确定下1Ll各项的要求z一一冗余,232 GB 7826-87 一一提高发t失放后的“失去生安全”概率的设计,一进一步的减额和(或)简化设计:c. 选择替换的材料、零件、部件或整件,d. 鉴别严重失放的后果、设计评审和修改设计Be. 提供所需要的逻辑模型,以估rl系统在上作条件下出现异常的概率,f. 揭示友仓性受到危害及会引起产品贡任问题或与各种规程要求的不一致性,g. 确保试验大制能够发现各种潜在的失效模式:b. 确lI:预防和监免耗损失放的工作周期3I . 提出需要进行重点质量控制、检验和创造过程控制的关键环节,j 通过较早发现设计中的各种缺陷而避免昂贵的设计改动,
10、k. 建立在试验、检测和使用期间对数据记录和监测的要求,I. 为选择修理和维护点、机内测试设备以及适当的测试点和草扁写故障检修指南提供资料gm. 促进或帮助确定试验判据、试验计划和诊断程序等。例如,性能试验、d可靠性试验,n. 找出要求作最坏情况分析的电路参数漂移的失放模式往往要求作最坏情况分析) o. 协助设计故障隔离顺序、替换工作模式和重组结构,p. 方便下列人员之间的通讯联系:一一一般二程师和专门化工程师之间,一设备的承制方和他的供应方之间,系统的使用者和设计师或生产者之间,q. 使分析者的知识和对所研究设备的特点理解更为深化,r. 对系统设备的研究提供一种系统的和严格的方法。2.2.4
11、 F ME A的局限性和缺点FME A用于由部件导敛整个系统失放的分析时是非常有效的。然而,对于具有多种功能和由大量元器件组成的复杂系统,实施FME A可能感到很困难和很繁琐。这是由于对来自系统而必须考虑的详细资料为数太多。这些困难还会随系统可能存在的正作模式以及修理和维护方针的考虑而增加。另一个局限性是通常不包括人为羞错的后果,人机关系的研究是一个专门问题。通常,人为差错按时间顺序在系统作期间显现出来,对其影响的研究必须通过寇的方法,例如因果分析法进行。尽管如此,FME A还是能够用来识别对人为因素很敏感的部件。当环填的影响很重要时,FMEA 表现出更多的局限性。在考虑这些影响时,要求对系统
12、的不同部件的特!JI和性能有非常全面的了解。应该注意,人为误差和环境影响是构成共模或共因失放的主要原因,在3.6.1款中将涉足这个问题。3 FME A的基本原则3. 1 术语除了特别说明的以外,所有术语均符合GB3187-82 (可靠性基本名词术语及定义的规定。3.2 某本概念与FME A有关的基本概念为2一将系统分解为基本“单元”,一一为了完成FME A,需要的系统功能结构图和各种数据,一一失敛模式的概念,一一危害度概念如需要作危害度分析)。在详述FME A实施步骤之前和最终阶段,主要应说明一下FMEA 和FMEC A)和其他也性(和定量分析方法之间存在的联系。233 . GB 7826-8
13、7 3.3 l二义系统功能结构分析i作应该从街足够iii息的,而且从感兴趣的最低级别(如部件、电路戎组件)ff始。在最低的分析级i,到出该级的每个单;i:叮能出现的各种失放模式,以及每种失放模式对应的失放放庇,:JC论是单独的还是!顺序的,对F个更高功能级考虑失效效应时,上述失放效应义都被解释为一个失妓模式。在绞迭代就会在有关的方面产生全部需安分析的各功能级,主运系统或最高功能级仁的失放放ff.0 重要的是俑也用作沙析ill口被分解的功能级,例如,系统可分解为f系统、口I更换的最小产品或零部件(兀今器件)等。Lj之有关的还必须考虑非电气产品。当雯求得到量结果时,可选悍的级别必须是对每个失放模式
14、戎差错模式fi5夜得适当的(而且可靠的)失放字数据,戎者能对这些失放率作出合理的假设。i缸子分解级别,要求对基本组成单元的失放模式奋可靠而详尽的了解,除此之外对选佯分解级建,严格的规则是不可能。3.4 完成FME A所需的信息3.4. 1 系统结构雯求以下信息z一一系统的不同组成单元的特征、性能、作用和功能g一一各单元之间的联系$一Ji:余的级别和冗余系统的性质B一一一系统在整个装备中的位宦(如有可能的话h对所有需要分解级,直至最高级,都要求有关f功能、特征和性能的数据。3.4.2 系统的启动、运行、控制和维修应该说明系统在不同工作条件下的状态,以及在不同运行阶段、系统M.其部件构成和位置的变
15、化。应对系统的最低件能要求给出在义,而且就规注:的性能耐J,l,害程度而论,应考虑有效性和安全性的特殊要求。必须了解以下情况z一每项任务的持续时间3一周期性试验的时间闹闹z一一系统在发生严重后呆之前,能用于采取纠正活动的时间,一一整个装备、环境和人员情况,一一修理活动及其所需的时间,设备和(或)人民情况。进一4步要求的信息是z一一系统斤机时间民牒作程序,一1.:作期各阶段的抬制:维护和(或)维修$例行测试的稳序(如果使用的诏)。3. 4.3 系统的环境应该规定系统的环境条件,包括周围环境条件和由装备中其他系统形成自据部环境。应该对系统与其辅助设备或英他系统和人机接口的相互关系等进行仔细描述。巧
16、有这些因素在系统的设iI阶段通常都不太清楚,因此需要作些假设。随着E程的进展,数据将必然会完善,FME A应按新的(,息或变化了的假设作修改。F ME A和任何莫他分析都要求一定的系统模型,即对系统的有关信息作简化。对某些失效模式的性质及其后果的严重性可作些假设。例如,何时在安全性耐究中,涉及某些失放对系统的影响,可作些保守(或余量相当大的)假设。在硬件j实施FMEA可以翩应、危害度及各种条件概率作出决策,这种决策包括鉴别软件的单元、顺序和时序。在这种情况h必须洁楚地鉴别实惰,因均以后的任何变动或软件的改进,均吁234 GB 7826-87 以修改FME A和由此产生的i平价。FME A的修正
17、和有关的评价可以作为开发软件和批准更改的条件。8.5 系统结构的表示方法系统的结构和运行可以使用特别的图形符号来表示,方框图通常用来显示系统所有的基本功能。在图巾,15中医是用表示每个功能的输出和输入的线条连接在起的。通常,每种功能和每个输入的性质必须准确地给F描述。也可以用几种图去覆盖系统工作的不同阶段。一般来说,用图示法,包括与解析方法紧密相关的故障树、因果图等,有助T更清楚地理解系统的结构和工作情况。然而,这就引出FME A与这些方法之间的关系问题,这个问题见3.8条。3.6 失效模式失放模式是在个系统的部件中能被观察到的一种失效现象。作为FME A的基本依据,对系统夕lj出全部可能的或
18、潜在的失效模式清单是至关重要的,;i;器件或设备的制造厂应参吁所出售元器件或设备的失效模式的鉴别,其方式如下z一一直日该元器件是新产品,则可参照具有类似功能、结构产品以及参照并已完成各种试验的其他元器件产品,一一如果是通常使用的元器件,则可参照实验室试验结果、失放报告和性能ic录,一如果是可以分解成多种基础件的复杂部件,则也可按系统对待,作定性的分析,一一从元器件工作的典型物理参数和功能可以推断潜在的失效模式。应该对失效模式进行分类,两种常用的分类方法是:a. 从可靠性的定义出发,导出的基本失效模式(见表1)b. 尽可能完整地列出各类失效模式(见表2)。3. 6. 1 共模或共因失效(CMF)
19、 在可靠性分析中,仅仅考虑随机独立失放是不够充分的,还可能发生共同模式或共同原因)失敛,记为CMF)这种失放模式是由F同一原因,如设计或入为错误,在几个系统戎部件t同时发生失去t从而引起系统性能退化。CMF是事件相除不独b在两个或多个部件上引起相同原因的失敛(不包括自初次失放引起的三次失效。利用FME A可以对CMF作定性分析。因为FME A程序,逐一地调查每个失效模式及其原因,并识别所有定期测试和维护的程序。可以用FME A方法去创究可能诱发的潜在CMF原因。这些原因叮分为五个主要类别ga. 坏境影响(正常的、不正常的和偶然性的hb. 世计缺陷,c. 制造缺陷sd. 组装差错,e. 人为差错
20、(操作期戎维修期。依赖于这些分类对照表,来仔细地识别所有可能引人CMF的原因。仅仅靠冗余技术不能完全解决CM V的问题,在处理共模失效时,采用几种方法的组合是有放的。如功能的多样性、不同形式的冗余、物理分隔、视lji式等。可以使用上述的对照表去检在每组方法的相关性和放率。严格地讨论预防CMF的烦防措施已坦出了FME A的范围。3. 6.2 人为因素在一些系统设计中允许某些人为错误,如铁路信号系统中提供的机械联锁、使用计算机时或修改数据的密码。当系统中具有预防措施时,其预防设施失效院放应将依赖于差错的类型。对于A个不会乎于其他故障的系统来说,还应考虑人为失误院牍式以便枪查琐防措施的高放性,尽管列
21、不完整,但是列出部分模式也是有益的。3.6.3 软件差错由于软件差错而导致的功能失常,将会dl起各种放应,这些放应的危害度1日时取决于硬件和软件的23; GB 7826-87 设计。对这类差错或不适当的假设及其放应分析,只能在有限的范围内才叮能,而且也韶山FMEA的范围。但是可以估计出软件oJ能的差错对街关联硬件的放应。3. 1 危害度的概念关于任何失效状态的程度,显然要从失放发生的概率及其效应的严重一性这两方面来加以叙述。危害度的概念使分析定量化并作为FME A的补充,因为危害度基本l:是一个与失效后果的严重性及其出现自飞概率相关的概念,所以还没有个适用系统的危害度的通用判据。严重性本身取决
22、j二所考虑的对象在失放后所产生的后果,是杏危及生命安全、造成重大破坏,戎影响服务的放果等,可以按多种不同方式来定义。由于危害度的概念需要考虑F列各种问题而对FME A过秸大街好处,这些考虑是3为排除一种特殊危险或增加“失效一安全”的概率,降低失放率却每低破坏性结果的风险和缩小其范围,应对产品进行更深入的分析研究,一一要求在制造期间给予特别注意的产品,要进行严格的质量控制,戎对特殊操作的时h在采购规范中涉及设计、性能、可靠性、安全或质量保证的特殊要求,一一转承包单位生产的验收标准,包括需要经严格试验的各种参数,一一各种特殊的程序、措施、保护装置、监控或告警系统等,一一预防偶然事件投资的最大成本放
23、益问题。为ii:.义危害度,需要A个数值尺度以便按照所苇虑的判据来判断后果的严重性。附录B给出f按后果严噩性分成四个等级的例f。这种等级数的实际选择是相当任意的。在本例中专级数是依据所考虑的相关判掘的组合而宠的,并且涉及以F因素2一一人身安全(伤、亡,一系统功能的丧失,环境影响和器材损坏,“突变的”、“敛命的”、“严重的”、“轻度的”等术语已广泛应用,但是在GB3187 82标准中的定义可能符合,也可能不符合FME A运用的特定情况。这些词在各种不同的创究领域中,可以专门给f定义。3.8 F ME A和其它分析方法之间的关系有必要讨论在一项_l程中如何组合应用系统可靠性和有放性的各种不同的分析
24、方法。ME A (或FMEC1)可以单独应用。归纳法约常作为其它分析方法的补充,尤真是用演绎法的推断研究。在设计阶段主要用归纳法呢还是用推断法?常常很难作出决定,因泊,在思维和分析过程中,两者是结合在一起的。当在r:业设备和系统中鉴别风险等级时,优先采用归纳法,因而fME,. 是一种基本的分析具。然而,在必须研究多重失饿和顺序放1Z时,它应该由英他方法来补充。按照王程项目的计划,一种方法可以在另种方法之前得到发展。在设计的最初阶段,马仪仅确定了功能、系统的殷结构和子系统时,wJ以分月lj!ti可靠性方框图l!X:放障树来描述系统的完仔功能或失放路径。然而,在系统设计之前,适用于于系统的FME
25、A的归纳过程”I以帮助描述系统的这些图。在这种情况下,FME A方法不可能是确定的程序,而是个思维过科,这种过程难于用很严格的表格形式来表达。一般说来,对于分析个包含各种功能、大量部件,以及各部件之间奋相E;作用的复杂系统来说,FME A提供基本的而不是充分的分析。4 分析过程系统设计和使用中的多变性和复杂ft要求研制正作L1司利用的信息相致,以便高度适应具体的!i:it变更。2 l l 、GB 7826-87 附录A失效模式、效应及危害度分析工作表格(参考件)编号一一分析者姓名一设计1程师姓名一tl期设功设失失失娘娘也失备能备放效血名i只模原局最检称别式因部全,兔、测代效效号应应、 、, 2
26、12 z可失危备选放害降模度的式耳f面: 级防牛描概施哼4飞危害度等级JV III II 附加说明zGB 7826-87 附录B失效效应危害程度的尺度举例(参考件)危害状态口J能成为主要系统丧失功能从而j呼致系统或其坏境的重大损坏的潜在原因或造成人身伤亡潜在原国的任何事件可能成为主要果统丧失功能,从而导致该系统或其环境的重大损坏的潜在原因,rla叉几乎不危及人身安全的任何事件能造成系统功能、性能的退化而对系统或人民的生命或肢体没有可感觉的损伤的任何事件呵能成为w;统功能、性能退化的原因而对系统或其环境几于无损坏,时人身安全无损害的任何事件本标准由中华人民共和国电子王业部提出。本标准由全国电E电子产品可靠性与维修性标准化技术委员会归口。本标准主要起草人苏德清。243