BQR FMECA/FMEA
Transkrypt
BQR FMECA/FMEA
BQR FMECA/FMEA Przed rozpoczęciem analizy należy przeprowadzić dekompozycję systemu na podsystemy i elementy. W efekcie dekompozycji uzyskuje się kilka poziomów: poziom systemu, poziomy podsystemów oraz poziom elementów. Jako prosty przykład rozpatrzony zostanie system zabezpieczeniowy PE składający się z trzech podsystemów: - układu pomiarowego, - sterownika PLC, - układu wykonawczego. Podsystem układu pomiarowego składa się z czujnika. Podsystem układu sterownika składa się z trzech elementów: - modułu wejść dyskretnych DI, - procesora CPU, - modułu wyjść dyskretnych DO. Podsystem układu wykonawczego składa się z zaworu. Układ pomiarowy czujnik PLC DI CPU Układ wykonawczy DO zawór Rys. 1. Schemat rozpatrywanego systemu zabezpieczeniowego PE System zabezpieczeniowy PE przedstawiony na rys. 1. po dokonaniu dekompozycji można przedstawić w postaci tzw. drzewa hierarchii. Poziom I Poziom II Poziom III System PE Układ pomiarowy czujnik PLC DI CPU DO Układ wykonawczy zawór Rys. 2. Drzewo hierarchii systemu PE (trzy poziomy dekompozycji) 1 Propagacja uszkodzeń przebiega od poziomu najniższego, w danym przypadku jest to poziom III (elementy), do poziomu najwyższego I (system) poprzez poziomy pośrednie (podsystemów), w danym przypadku występuje tylko jeden poziom pośredni (poziom II) rys. 3. Poziom I Poziom II Poziom III System PE Układ pomiarowy czujnik PLC DI PLC DO Układ wykonawczy zawór Rys. 3. Wpływ uszkodzeń elementów na system Oprócz prostej propagacji uszkodzeń z dolnego poziomu, wyróżnia się również wpływ uszkodzenia elementu bądź podsystemu na drugi element bądź podsystem, na tym samym poziomie hierarchii. W tym przypadku musi zostać spełniony warunek aby rozpatrywane elementy/bądź podsystemy były częścią w przypadku elementu tego samego podsystemu. W przypadku podsystemów częścią tego samego systemu rys. 4. 2 Poziom I Poziom II Poziom III System PE Układ pomiarowy czujnik PLC DI PLC DO Układ wykonawczy zawór Rys. 4. Wpływ uszkodzeń elementów/podsystemów znajdujących się na tym samym poziomie na siebie, a następnie na system Każdemu elementowi można przypisać intensywność uszkodzeń λ. W danym przypadku λczujnik = 10 [1/106 h], λDI = 2 [1/106 h], λPLC = 1 [1/106 h], λDO = 2 [1/106 h], λzawór = 20 [1/106 h]. Z każdym elementem znajdującym się na poziomie elementarnym związanych może być kilka rodzajów uszkodzeń. Z każdym rodzajem uszkodzenia może być związanych kilka skutków lokalnych spowodowanych kilkoma przyczynami elementarnymi. Intensywności uszkodzeń podsystemów/systemów są funkcją: - intensywności uszkodzeń elementów wchodzących w skład danego podsystemu/systemu (λ), - prawdopodobieństw wystąpienia skutków lokalnych (p), - prawdopodobieństw pojawienia się przyczyn elementarnych (r). Rys. 5. Poziom elementarny III (zawór) Intensywność uszkodzeń zaworu wynosi λzawór = 20 [1/106 h] (FRbzawór) rys. 5. Przyczyną elementarną, która może spowodować uszkodzenie tego elementu może 3 być zjawisko kawitacji, którego prawdopodobieństwo wystąpienia w danym przypadku wynosi r = 0.5 (Ratio), przyczyna elementarna powoduje powstanie skutku lokalnego jakim jest w danym przypadku brak reakcji układu wykonawczego o prawdopodobieństwie wystąpienia p = 0.4 (Prob). Każdy rodzaj uszkodzenia charakteryzuje tzw. wskaźnik rodzaju uszkodzenia MR, który jest równy iloczynowi intensywności uszkodzeń danego elementu i sumy prawdopodobieństw pojawienia się przyczyny elementarnej. Co w ogólnym przypadku dla N - tego poziomu hierarchii można zapisać w postaci: n MRNi = λi ⋅ ∑ ri (1) i =1 Intensywność uszkodzeń elementu po uwzględnieniu sumy prawdopodobieństw pojawienia się przyczyn elementarnych dla każdego rodzaju uszkodzenia tego elementu, określa zależność: n n n i =1 i =1 i =1 λiC = ∑ MRNi = ∑ (λi ⋅ ∑ ri ) i (2) W danym przypadku uwzględniając zależności (1) i (2) intensywność uszkodzeń zaworu λzawórC (FRCzawór) ma postać λ zawórC = MRIIIuszkodzenie / zaworu = λ zawór ⋅ rkawitacja = 20 ⋅ 0.5 = 10 [1/106 h] (3) zatem λzawórC = 10 [1/106 h] n n n n n i =1 i =1 i =1 i =1 i =1 λ Podsystemu = (∑ MRNi ⋅ (∑ p Ni )) = ∑ (λi ⋅ ∑ ri ⋅ (∑ p Ni )) i (4) Rys. 6. Poziom podsystemu II (układ wykonawczy) Jak widać z rys. 6. brak reakcji układu wykonawczego, który na niższym poziomie hierarchii był skutkiem lokalnym teraz funkcjonuje jako rodzaj uszkodzenia podsystemu, natomiast uszkodzenie zaworu w danym przypadku jest przyczyną, która powoduje pojawienie się skutku lokalnego czyli „brak wypełnienia funkcji bezpieczeństwa”. Korzystając z zależności (4) λUkad / wykonawczy = λ zawór ⋅ rkawitacja ⋅ pbrak / reakcj / ukadu / wykonawczego = 20 ⋅ 0.5 ⋅ 0.4 = 4 [1/106 h] (5) zatem λUkład/wykonawczy = 4 [1/106 h] 4 Analogicznie jak w przypadku dla zaworu i układu wykonawczego sytuacja prezentuje się dla czujnika i układu pomiarowego. Rys. 7. Poziom elementarny III (czujnik) Wykorzystując zależności (1) i (2) intensywność uszkodzeń czujnika λczujnikC (FRCczujnik) λ czujnikC = MRIIIuszkodzenie / czujnika = λ czujnik ⋅ (rprzepię + rzwarcie ) = 10 ⋅ (0.4 + 0.5) = 10 [1/106 h] (6) zatem λczujnikC = 10 [1/106 h] Rys. 8. Poziom podsystemu II (układ pomiarowy) Korzystając z zależności (4) λUkad / pomiarowy = λ czujnik ⋅ (rprzepięrze + rzwarcie ) ⋅ p niepoprawna / praca / ukladu / pomiarowego = 10 ⋅ 1 = 10 [1/106 h] (7) zatem λUkład/pomiarowy = 10 [1/106 h] Rys. 9. Poziom elementarny III (DI) 5 Wykorzystując zależności (1) i (2) intensywność uszkodzeń czujnika λDIC (FRCDI) λ DIC = MRIIIuszkodzenie / DI = λ DI ⋅ rzwarcie = 2 ⋅ 1 = 1 [1/106 h] (8) zatem λDIC = 2 [1/106 h] Rys. 10. Poziom elementarny III (CPU) Wykorzystując zależności (1) i (2) intensywność uszkodzeń czujnika λCPUC (FRCCPU) λCPUC = MRIIINiepoprawnapracaCPU + MRIIIuszkodzenieCPU = λCPU ⋅ (rbrak / zasilania + rprzepięrze ) + + λCPU ⋅ (rprzepiecie + rzwarcie ) = 1 ⋅ (0.2 + 0.2) + 1 ⋅ (0.25 + 0.25) = 0.4 + 0.5 = 0.9 (9) zatem λCPUC = 0.9 [1/106 h] Rys. 11. Poziom elementarny III (DO) λ DOC = MRIIIUszkodzenieDO = λ DO ⋅ rprzepięrze + MRIIINiepoprawna / praca / CPU ⋅ puszkodzenieDO = = 1 ⋅ 2 + 0.4 ⋅ 0.5 = 2.2 (10) zatem λDOC = 2.2 [1/106 h] 6 Rys. 12. Poziom podsystemu II (PLC) λ PLC = λCPU ⋅ (rbrak / zasilania + ruszkodzenie / CPU ) ⋅ p niepoprawna / praca / PLC + + λCPU ⋅ (rprzepięrze + rzwarcie ) ⋅ puszkodzeniePLC + + λ DI ⋅ rzwarcie ⋅ puszkodzenieDI + λ DO ⋅ rprzepięrze ⋅ pbraksygnau + λCPU ⋅ (rbrak / zasilania + rprzepięrze ) ⋅ puszkodzenieDO (11) λ PLC = 4.9 zatem λPLC = 4.9 [1/106 h] Rys. 13. Poziom systemu II (PLC) λ systemu = λUkad / pomiarowy + λ PLC + λUkad / wykonawczy = 18.9 [1/106 h] (12) λsystemu = 18.9 [1/106 h] Jak widać intensywność uszkodzeń systemu w danym przypadku nie jest równa sumie intensywności bazowych poszczególnych elementów, która wynosi w danym przypadku 35 [1/106 h]. Drugim problemem do rozwiązania jest określenie częstości wystąpienia skutków końcowych. W danym przypadku występują dwa skutki końcowe: - brak wykonania funkcji bezpieczeństwa; nieuzasadnione zadziałanie. 7 λbrakwykonania / funkcji / bezpieczeństwa = MRIIukad / wykonawczy ⋅ pbrak / wykonania / funkcj / bezp + + MRIIukad / pomiarowy ⋅ pbrak / wykonania / funkcji / bezp + MRIIPLCBrak / sygn ⋅ pbrak / wykonania / funkcji / bezp + + MRIIPLCUszkodzenieDI ⋅ pbrak / wykonania / funkcji / bezp + MRIIPLCUszkodzeniePLC ⋅ pbrak / wykonania / funkcji / bezp = (13) = 4 ⋅ 1 + 10 ⋅ 1 + 2.2 ⋅ 1 + 2 ⋅ 1 + 0.5 ⋅ 1 = 4 + 10 + 2.2 + 2 + 0.5 = 18.7 I. λbrakwykonania / funkcji / bezpieczeństwa =18.7 [1/106h] λ nieuzasadnione / zadziaanie = MRIIPLCNiepoprawnapracaPLC ⋅ p nieuzasadnione / dziaanie = 0.2 ⋅ 1 = 0.2 [1/106 h] (14) II. λ nieuzasadnione / zadziaanie = 0.2 [1/106h] Dysponując λsystemu oraz λbrakwykonania / funkcji / bezpieczeństwa i λ nieuzasadnione / zadziaanie można wyznaczyć wszystkie pozostałe zależności potrzebne do przeprowadzenia analizy FMECA λ nieuzasadnione / zadziaanie = MRIIPLCNiepoprawnapracaPLC ⋅ p nieuzasadnione / dziaanie = 0.2 ⋅ 1 = 0.2 [1/106 h] Dla rozpatrywanego układu istnieją dwa skutki końcowe na poziomie systemu: „Brak wykonania funkcji bezpieczeństwa” o poziomie krytyczności I oraz „Nieuzasadnione zadziałanie” o poziomie krytyczności III. Poniżej (rys. 14 i rys. 15) zestawiono wyniki uzyskane na podstawie analiz przeprowadzonych z wykorzystaniem modułu FMECA w pakiecie BQR. Rys. 14. Tablica FMECA (BQR) z zestawieniem skutków końcowych analizowanego systemu Rys. 15. Tablica FMECA (BQR) 8 Rys. 16. Macierz krytyczności stosowana w analizie FMECA według standardu 1629A Oś rzędnych macierzy zawiera przedziały prawdopodobieństw wystąpienia zdarzenia od najbardziej do najmniej prawdopodobnego. Oś odciętych macierzy przedstawia poziomy krytyczności zgrupowane od najbardziej do najmniej krytycznego rys. 17. Rys. 17. Ranking krytyczności Istotnym parametrem w analizie FMECA jest tzw. liczba krytyczności Cm dla danego rodzaju uszkodzenia jednostki (dla szczególnego poziomu krytyczności i rozważanej fazy misji systemu) wyznacza się ze wzoru C m = βαλ p t = β λ λ p t = βλt λp (15) Wykorzystując zależność (1) liczba krytyczności Cm dla danego rodzaju uszkodzenia jednostki będzie miała postać C m = βαλ p t = β λ λ p t = βλt = p ⋅ MR N ⋅ t λp (16) przy czym t oznacza rozważany czas misji (czas pracy urządzenia) [h] lub liczbę cykli działania. Liczba krytyczności Cr dla danej jednostki oraz dla szczególnego poziomu krytyczności i rozważanej fazy misji systemu jest sumą Cm 9 n n i =1 i =1 C r = ∑ (C m ) i = t ⋅ ∑ ( p ⋅ MR N ) i (17) przy czym i oznacza kolejny rodzaj uszkodzenia jednostki powodujący szczególny poziom krytyczności. Wyznaczenie liczb krytyczności dla danego rodzaju uszkodzenia jednostki (dla szczególnego poziomu krytyczności) na podstawie zależności (16) dla czasu trwania misji t = 1000 h: Zawór Z elementem zaworu związany jest jeden rodzaj uszkodzenia dla poziomu krytyczności I jakim jest „Uszkodzenie zaworu” C mUszkodzenie / zaworu = p ⋅ MR IIIuszkodzenie / zaworu ⋅ t = 0.4 ⋅10 ⋅1000 = 4000 (18) Liczba krytyczności dla rodzaju uszkodzenia jednostki (zaworu) jakim jest w rozważanym przypadku „uszkodzenia zaworu” wynosi 4000 dla poziomu krytyczności I. Czujnik Z elementem czujnika związane jest jeden rodzaj uszkodzenia na poziomie krytyczności I jakim jest „Uszkodzenie czujnika” C mUszkodzenie / czujnika = p ⋅ MRIIIuszkodzenie / czujnika ⋅ t = 1 ⋅ 10 ⋅ 1000 = 10000 (19) Moduł wejść dyskretnych DI „Uszkodzenie DI” dla poziomu krytyczności I C mUszkodzenieDI = p ⋅ MRIIIuszkodzenie / DI ⋅ t = 1 ⋅ 2 ⋅ 1000 = 2000 (20) Moduł wyjść dyskretnych DO „Uszkodzenie DO” dla poziomu krytyczności I C mUszkodzenieDO = p ⋅ MRIIIuszkodzenie / DO ⋅ t = 1 ⋅ 2.2 ⋅ 1000 = 2200 (21) 10 CPU Z jednostką centralną związane są trzy rodzaje uszkodzeń: Dwa na poziomie krytyczności I: „Niepoprawna praca CPU” C mNiepoprawnapracaCPU = p ⋅ MRIIINiepoprawnapracaCPU ⋅ t = 0.5 ⋅ 0.4 ⋅ 1000 = 200 (22) „Uszkodzenie CPU” C mUszkodzenieCPU = p ⋅ MRIIIUszkodzenieCPU ⋅ t = 1 ⋅ 0.5 ⋅ 1000 = 500 (23) Jedno na poziomie krytyczności III: „Niepoprawna praca CPU” C mNiepoprawnapracaCPU = p ⋅ MRIIINiepoprawnapracaCPU ⋅ t = 1 ⋅ 0.5 ⋅ 0.4 = 200 (24) Po przeprowadzeniu mapowania wartości liczb krytyczności rodzajów uszkodzeń dla rozważanego przypadku uzyska się macierz krytyczności taką jak na rys. 18. Rys. 18. Macierz krytyczności dla rodzajów uszkodzeń Cm (BQR) Rys. 19. Rodzaje uszkodzeń z przypisanymi im liczbami krytyczności Cm (BQR) 11 Na podstawie zależności (17) można wyznaczyć liczbę krytyczności jednostki Cr dla szczególnego poziomu krytyczności i rozważanej fazy misji jako sumę liczb krytyczności Cm związanych z rodzajami uszkodzeń. Zatem dla: Zaworu na poziomie krytyczności I: n C r / zawór = ∑ (C m ) i = C mUszkodzenie / zaworu = 4000 (25) i =1 Czujnika na poziomie krytyczności I: C r / czujnik = C mUszkodzenie / czujnika = 10000 (26) Modułu wejść dyskretnych DI na poziomie krytyczności I: C r / DI = C mUszkodzenie / DI = 2000 (27) Modułu wyjść dyskretnych DO na poziomie krytyczności I: C r / DO = C mUszkodzenie / DO = 2200 (28) Procesora CPU na poziomie krytyczności I C r / CPU = C mNiepoprawnapracaCPU + C mUszkodzenieCPU = 200 + 500 = 700 (29) Procesora CPU na poziomie krytyczności III C r / CPU = C mNiepoprawnapracaCPU = 200 (30) Po przeprowadzeniu mapowania wartości liczb krytyczności jednostek dla rozważanego przypadku uzyska się macierz krytyczności taką samą jak na rys. 20. 12 Rys. 20. Macierz krytyczności dla liczby krytyczności jednostki Cr Rys. 21. Rodzaje uszkodzeń z przypisanymi im liczbami krytyczności Cr Rys. 22. Klasyczne zdefiniowanie rodzaju uszkodzenia w analizie FMEA 13 Poniżej znajduje się klasyczna macierz krytyczności dla analizy FMEA Rys. 23. Wynikowa macierz FMEA 14