BQR FMECA/FMEA

BQR FMECA/FMEA
Przed rozpoczęciem analizy należy przeprowadzić dekompozycję systemu na
podsystemy i elementy. W efekcie dekompozycji uzyskuje się kilka poziomów:
poziom systemu, poziomy podsystemów oraz poziom elementów. Jako prosty
przykład rozpatrzony zostanie system zabezpieczeniowy PE składający się z trzech
podsystemów:
- układu pomiarowego,
- sterownika PLC,
- układu wykonawczego.
Podsystem układu pomiarowego składa się z czujnika.
Podsystem układu sterownika składa się z trzech elementów:
- modułu wejść dyskretnych DI,
- procesora CPU,
- modułu wyjść dyskretnych DO.
Podsystem układu wykonawczego składa się z zaworu.
Układ pomiarowy
czujnik
PLC
DI
CPU
Układ wykonawczy
DO
zawór
Rys. 1. Schemat rozpatrywanego systemu zabezpieczeniowego PE
System zabezpieczeniowy PE przedstawiony na rys. 1. po dokonaniu dekompozycji
można przedstawić w postaci tzw. drzewa hierarchii.
Poziom I
Poziom II
Poziom III
System PE
Układ pomiarowy
czujnik
PLC
DI
CPU
DO
Układ wykonawczy
zawór
Rys. 2. Drzewo hierarchii systemu PE (trzy poziomy dekompozycji)
1
Propagacja uszkodzeń przebiega od poziomu najniższego, w danym przypadku
jest to poziom III (elementy), do poziomu najwyższego I (system) poprzez poziomy
pośrednie (podsystemów), w danym przypadku występuje tylko jeden poziom
pośredni (poziom II) rys. 3.
Poziom I
Poziom II
Poziom III
System PE
Układ pomiarowy
czujnik
PLC
DI
PLC
DO
Układ wykonawczy
zawór
Rys. 3. Wpływ uszkodzeń elementów na system
Oprócz prostej propagacji uszkodzeń z dolnego poziomu, wyróżnia się również
wpływ uszkodzenia elementu bądź podsystemu na drugi element bądź podsystem,
na tym samym poziomie hierarchii. W tym przypadku musi zostać spełniony
warunek aby rozpatrywane elementy/bądź podsystemy były częścią w przypadku
elementu tego samego podsystemu. W przypadku podsystemów częścią tego
samego systemu rys. 4.
2
Poziom I
Poziom II
Poziom III
System PE
Układ pomiarowy
czujnik
PLC
DI
PLC
DO
Układ wykonawczy
zawór
Rys. 4. Wpływ uszkodzeń elementów/podsystemów znajdujących się na tym samym
poziomie na siebie, a następnie na system
Każdemu elementowi można przypisać intensywność uszkodzeń λ. W danym
przypadku λczujnik = 10 [1/106 h], λDI = 2 [1/106 h], λPLC = 1 [1/106 h], λDO = 2 [1/106 h],
λzawór = 20 [1/106 h]. Z każdym elementem znajdującym się na poziomie
elementarnym związanych może być kilka rodzajów uszkodzeń. Z każdym rodzajem
uszkodzenia może być związanych kilka skutków lokalnych spowodowanych
kilkoma
przyczynami
elementarnymi.
Intensywności
uszkodzeń
podsystemów/systemów są funkcją:
- intensywności uszkodzeń elementów wchodzących w skład danego
podsystemu/systemu (λ),
- prawdopodobieństw wystąpienia skutków lokalnych (p),
- prawdopodobieństw pojawienia się przyczyn elementarnych (r).
Rys. 5. Poziom elementarny III (zawór)
Intensywność uszkodzeń zaworu wynosi λzawór = 20 [1/106 h] (FRbzawór) rys. 5.
Przyczyną elementarną, która może spowodować uszkodzenie tego elementu może
3
być zjawisko kawitacji, którego prawdopodobieństwo wystąpienia w danym
przypadku wynosi r = 0.5 (Ratio), przyczyna elementarna powoduje powstanie
skutku lokalnego jakim jest w danym przypadku brak reakcji układu wykonawczego
o prawdopodobieństwie wystąpienia p = 0.4 (Prob). Każdy rodzaj uszkodzenia
charakteryzuje tzw. wskaźnik rodzaju uszkodzenia MR, który jest równy iloczynowi
intensywności uszkodzeń danego elementu i sumy prawdopodobieństw pojawienia
się przyczyny elementarnej. Co w ogólnym przypadku dla N - tego poziomu
hierarchii można zapisać w postaci:
n
MRNi = λi ⋅ ∑ ri
(1)
i =1
Intensywność uszkodzeń elementu po uwzględnieniu sumy prawdopodobieństw
pojawienia się przyczyn elementarnych dla każdego rodzaju uszkodzenia tego
elementu, określa zależność:
n
n
n
i =1
i =1
i =1
λiC = ∑ MRNi = ∑ (λi ⋅ ∑ ri ) i
(2)
W danym przypadku uwzględniając zależności (1) i (2) intensywność uszkodzeń
zaworu λzawórC (FRCzawór) ma postać
λ zawórC = MRIIIuszkodzenie / zaworu = λ zawór ⋅ rkawitacja = 20 ⋅ 0.5 = 10 [1/106 h]
(3)
zatem
λzawórC = 10 [1/106 h]
n
n
n
n
n
i =1
i =1
i =1
i =1
i =1
λ Podsystemu = (∑ MRNi ⋅ (∑ p Ni )) = ∑ (λi ⋅ ∑ ri ⋅ (∑ p Ni )) i
(4)
Rys. 6. Poziom podsystemu II (układ wykonawczy)
Jak widać z rys. 6. brak reakcji układu wykonawczego, który na niższym poziomie
hierarchii był skutkiem lokalnym teraz funkcjonuje jako rodzaj uszkodzenia
podsystemu, natomiast uszkodzenie zaworu w danym przypadku jest przyczyną,
która powoduje pojawienie się skutku lokalnego czyli „brak wypełnienia funkcji
bezpieczeństwa”. Korzystając z zależności (4)
λUkad / wykonawczy = λ zawór ⋅ rkawitacja ⋅ pbrak / reakcj / ukadu / wykonawczego = 20 ⋅ 0.5 ⋅ 0.4 = 4 [1/106 h]
(5)
zatem
λUkład/wykonawczy = 4 [1/106 h]
4
Analogicznie jak w przypadku dla zaworu i układu wykonawczego sytuacja
prezentuje się dla czujnika i układu pomiarowego.
Rys. 7. Poziom elementarny III (czujnik)
Wykorzystując zależności (1) i (2) intensywność uszkodzeń czujnika λczujnikC (FRCczujnik)
λ czujnikC = MRIIIuszkodzenie / czujnika = λ czujnik ⋅ (rprzepię + rzwarcie ) = 10 ⋅ (0.4 + 0.5) = 10 [1/106 h]
(6)
zatem
λczujnikC = 10 [1/106 h]
Rys. 8. Poziom podsystemu II (układ pomiarowy)
Korzystając z zależności (4)
λUkad / pomiarowy = λ czujnik ⋅ (rprzepięrze + rzwarcie ) ⋅ p niepoprawna / praca / ukladu / pomiarowego = 10 ⋅ 1 = 10 [1/106 h] (7)
zatem
λUkład/pomiarowy = 10 [1/106 h]
Rys. 9. Poziom elementarny III (DI)
5
Wykorzystując zależności (1) i (2) intensywność uszkodzeń czujnika λDIC (FRCDI)
λ DIC = MRIIIuszkodzenie / DI = λ DI ⋅ rzwarcie = 2 ⋅ 1 = 1 [1/106 h]
(8)
zatem
λDIC = 2 [1/106 h]
Rys. 10. Poziom elementarny III (CPU)
Wykorzystując zależności (1) i (2) intensywność uszkodzeń czujnika λCPUC (FRCCPU)
λCPUC = MRIIINiepoprawnapracaCPU + MRIIIuszkodzenieCPU = λCPU ⋅ (rbrak / zasilania + rprzepięrze ) +
+ λCPU ⋅ (rprzepiecie + rzwarcie ) = 1 ⋅ (0.2 + 0.2) + 1 ⋅ (0.25 + 0.25) = 0.4 + 0.5 = 0.9
(9)
zatem
λCPUC = 0.9 [1/106 h]
Rys. 11. Poziom elementarny III (DO)
λ DOC = MRIIIUszkodzenieDO = λ DO ⋅ rprzepięrze + MRIIINiepoprawna / praca / CPU ⋅ puszkodzenieDO =
= 1 ⋅ 2 + 0.4 ⋅ 0.5 = 2.2
(10)
zatem
λDOC = 2.2 [1/106 h]
6
Rys. 12. Poziom podsystemu II (PLC)
λ PLC = λCPU ⋅ (rbrak / zasilania + ruszkodzenie / CPU ) ⋅ p niepoprawna / praca / PLC +
+ λCPU ⋅ (rprzepięrze + rzwarcie ) ⋅ puszkodzeniePLC +
+ λ DI ⋅ rzwarcie ⋅ puszkodzenieDI + λ DO ⋅ rprzepięrze ⋅ pbraksygnau + λCPU ⋅ (rbrak / zasilania + rprzepięrze ) ⋅ puszkodzenieDO
(11)
λ PLC = 4.9
zatem
λPLC = 4.9 [1/106 h]
Rys. 13. Poziom systemu II (PLC)
λ systemu = λUkad / pomiarowy + λ PLC + λUkad / wykonawczy = 18.9 [1/106 h]
(12)
λsystemu = 18.9 [1/106 h]
Jak widać intensywność uszkodzeń systemu w danym przypadku nie jest równa
sumie intensywności bazowych poszczególnych elementów, która wynosi w danym
przypadku 35 [1/106 h].
Drugim problemem do rozwiązania jest określenie częstości wystąpienia skutków
końcowych. W danym przypadku występują dwa skutki końcowe:
-
brak wykonania funkcji bezpieczeństwa;
nieuzasadnione zadziałanie.
7
λbrakwykonania / funkcji / bezpieczeństwa = MRIIukad / wykonawczy ⋅ pbrak / wykonania / funkcj / bezp +
+ MRIIukad / pomiarowy ⋅ pbrak / wykonania / funkcji / bezp + MRIIPLCBrak / sygn ⋅ pbrak / wykonania / funkcji / bezp +
+ MRIIPLCUszkodzenieDI ⋅ pbrak / wykonania / funkcji / bezp + MRIIPLCUszkodzeniePLC ⋅ pbrak / wykonania / funkcji / bezp =
(13)
= 4 ⋅ 1 + 10 ⋅ 1 + 2.2 ⋅ 1 + 2 ⋅ 1 + 0.5 ⋅ 1 = 4 + 10 + 2.2 + 2 + 0.5 = 18.7
I. λbrakwykonania / funkcji / bezpieczeństwa =18.7 [1/106h]
λ nieuzasadnione / zadziaanie = MRIIPLCNiepoprawnapracaPLC ⋅ p nieuzasadnione / dziaanie = 0.2 ⋅ 1 = 0.2 [1/106 h]
(14)
II. λ nieuzasadnione / zadziaanie = 0.2 [1/106h]
Dysponując λsystemu oraz λbrakwykonania / funkcji / bezpieczeństwa i λ nieuzasadnione / zadziaanie można wyznaczyć
wszystkie pozostałe zależności potrzebne do przeprowadzenia analizy FMECA
λ nieuzasadnione / zadziaanie = MRIIPLCNiepoprawnapracaPLC ⋅ p nieuzasadnione / dziaanie = 0.2 ⋅ 1 = 0.2 [1/106 h]
Dla rozpatrywanego układu istnieją dwa skutki końcowe na poziomie systemu:
„Brak wykonania funkcji bezpieczeństwa” o poziomie krytyczności I oraz
„Nieuzasadnione zadziałanie” o poziomie krytyczności III.
Poniżej (rys. 14 i rys. 15) zestawiono wyniki uzyskane na podstawie analiz
przeprowadzonych z wykorzystaniem modułu FMECA w pakiecie BQR.
Rys. 14. Tablica FMECA (BQR) z zestawieniem skutków końcowych analizowanego systemu
Rys. 15. Tablica FMECA (BQR)
8
Rys. 16. Macierz krytyczności stosowana w analizie FMECA według standardu 1629A
Oś rzędnych macierzy zawiera przedziały prawdopodobieństw wystąpienia
zdarzenia od najbardziej do najmniej prawdopodobnego. Oś odciętych macierzy
przedstawia poziomy krytyczności zgrupowane od najbardziej do najmniej
krytycznego rys. 17.
Rys. 17. Ranking krytyczności
Istotnym parametrem w analizie FMECA jest tzw. liczba krytyczności Cm dla
danego rodzaju uszkodzenia jednostki (dla szczególnego poziomu krytyczności
i rozważanej fazy misji systemu) wyznacza się ze wzoru
C m = βαλ p t = β
λ
λ p t = βλt
λp
(15)
Wykorzystując zależność (1) liczba krytyczności Cm dla danego rodzaju uszkodzenia
jednostki będzie miała postać
C m = βαλ p t = β
λ
λ p t = βλt = p ⋅ MR N ⋅ t
λp
(16)
przy czym t oznacza rozważany czas misji (czas pracy urządzenia) [h] lub liczbę cykli
działania.
Liczba krytyczności Cr dla danej jednostki oraz dla szczególnego poziomu
krytyczności i rozważanej fazy misji systemu jest sumą Cm
9
n
n
i =1
i =1
C r = ∑ (C m ) i = t ⋅ ∑ ( p ⋅ MR N ) i
(17)
przy czym i oznacza kolejny rodzaj uszkodzenia jednostki powodujący szczególny
poziom krytyczności.
Wyznaczenie liczb krytyczności dla danego rodzaju uszkodzenia jednostki (dla
szczególnego poziomu krytyczności) na podstawie zależności (16) dla czasu trwania
misji t = 1000 h:
Zawór
Z elementem zaworu związany jest jeden rodzaj uszkodzenia dla poziomu
krytyczności I jakim jest
„Uszkodzenie zaworu”
C mUszkodzenie / zaworu = p ⋅ MR IIIuszkodzenie / zaworu ⋅ t = 0.4 ⋅10 ⋅1000 = 4000
(18)
Liczba krytyczności dla rodzaju uszkodzenia jednostki (zaworu) jakim jest
w rozważanym przypadku „uszkodzenia zaworu” wynosi 4000 dla poziomu
krytyczności I.
Czujnik
Z elementem czujnika związane jest jeden rodzaj uszkodzenia na poziomie
krytyczności I jakim jest
„Uszkodzenie czujnika”
C mUszkodzenie / czujnika = p ⋅ MRIIIuszkodzenie / czujnika ⋅ t = 1 ⋅ 10 ⋅ 1000 = 10000
(19)
Moduł wejść dyskretnych DI
„Uszkodzenie DI” dla poziomu krytyczności I
C mUszkodzenieDI = p ⋅ MRIIIuszkodzenie / DI ⋅ t = 1 ⋅ 2 ⋅ 1000 = 2000
(20)
Moduł wyjść dyskretnych DO
„Uszkodzenie DO” dla poziomu krytyczności I
C mUszkodzenieDO = p ⋅ MRIIIuszkodzenie / DO ⋅ t = 1 ⋅ 2.2 ⋅ 1000 = 2200
(21)
10
CPU
Z jednostką centralną związane są trzy rodzaje uszkodzeń:
Dwa na poziomie krytyczności I:
„Niepoprawna praca CPU”
C mNiepoprawnapracaCPU = p ⋅ MRIIINiepoprawnapracaCPU ⋅ t = 0.5 ⋅ 0.4 ⋅ 1000 = 200
(22)
„Uszkodzenie CPU”
C mUszkodzenieCPU = p ⋅ MRIIIUszkodzenieCPU ⋅ t = 1 ⋅ 0.5 ⋅ 1000 = 500
(23)
Jedno na poziomie krytyczności III:
„Niepoprawna praca CPU”
C mNiepoprawnapracaCPU = p ⋅ MRIIINiepoprawnapracaCPU ⋅ t = 1 ⋅ 0.5 ⋅ 0.4 = 200
(24)
Po przeprowadzeniu mapowania wartości liczb krytyczności rodzajów uszkodzeń dla
rozważanego przypadku uzyska się macierz krytyczności taką jak na rys. 18.
Rys. 18. Macierz krytyczności dla rodzajów uszkodzeń Cm (BQR)
Rys. 19. Rodzaje uszkodzeń z przypisanymi im liczbami krytyczności Cm (BQR)
11
Na podstawie zależności (17) można wyznaczyć liczbę krytyczności jednostki Cr dla
szczególnego poziomu krytyczności i rozważanej fazy misji jako sumę liczb
krytyczności Cm związanych z rodzajami uszkodzeń.
Zatem dla:
Zaworu na poziomie krytyczności I:
n
C r / zawór = ∑ (C m ) i = C mUszkodzenie / zaworu = 4000
(25)
i =1
Czujnika na poziomie krytyczności I:
C r / czujnik = C mUszkodzenie / czujnika = 10000
(26)
Modułu wejść dyskretnych DI na poziomie krytyczności I:
C r / DI = C mUszkodzenie / DI = 2000
(27)
Modułu wyjść dyskretnych DO na poziomie krytyczności I:
C r / DO = C mUszkodzenie / DO = 2200
(28)
Procesora CPU na poziomie krytyczności I
C r / CPU = C mNiepoprawnapracaCPU + C mUszkodzenieCPU = 200 + 500 = 700
(29)
Procesora CPU na poziomie krytyczności III
C r / CPU = C mNiepoprawnapracaCPU = 200
(30)
Po przeprowadzeniu mapowania wartości liczb krytyczności jednostek dla
rozważanego przypadku uzyska się macierz krytyczności taką samą jak na rys. 20.
12
Rys. 20. Macierz krytyczności dla liczby krytyczności jednostki Cr
Rys. 21. Rodzaje uszkodzeń z przypisanymi im liczbami krytyczności Cr
Rys. 22. Klasyczne zdefiniowanie rodzaju uszkodzenia w analizie FMEA
13
Poniżej znajduje się klasyczna macierz krytyczności dla analizy FMEA
Rys. 23. Wynikowa macierz FMEA
14