» »

Анализ характера и последствий отказов fmea. Анализ вида и последствий отказа

При экспоненциальном законе распределения времени восстановления и времени между отказами для расчета показателей надежности систем с восстановлением используют математический аппарат марковских случайных процессов. В этом случае функционирование систем описывается процессом смены состояний. Система изображается в виде графа, называемого графом переходов из состояния в состояние.

Случайный процесс в какой либо физической системе S , называется марковским , если он обладает следующим свойством: для любого момента t 0 вероятность состояния системы в будущем (t > t 0 ) зависит только от состояния в настоящем

(t = t 0 ) и не зависит от того, когда и каким образом система пришла в это состояние (иначе: при фиксированном настоящем будущее не зависит от предыстории процесса - прошлого).

t < t 0

t > t 0

Для марковского процесса «будущее» зависит от «прошлого» только через «настоящее», т. е. будущее протекание процесса зависит только от тех прошедших событий, которые повлияли на состояние процесса в настоящий момент.

Марковский процесс, как процесс без последействия, не означает полной независимости от прошлого, поскольку оно проявляется в настоящем.

При использовании метода, в общем случае, для системы S , необходимо иметь математическую модель в виде множества состояний системы S 1 , S 2 , … , S n , в которых она может находиться при отказах и восстановлениях элементов.

При составлении модели введены допущения:

Отказавшие элементы системы (или сам рассматриваемый объект) немедленно восстанавливаются (начало восстановления совпадает с моментом отказа);

Отсутствуют ограничения на число восстановлений;

Если все потоки событий, переводящих систему (объект) из состояния в состояние, являются пуассоновскими (простейшими), то случайный процесс переходов будет марковским процессом с непрерывным временем и дискретными состояниями S 1 , S 2 , … , S n .

Основные правила составления модели:

1. Математическую модель изображают в виде графа состояний, в которой

а) кружки (вершины графа S 1 , S 2 , … , S n ) – возможные состояния системы S , возникающие при отказах элементов;

б) стрелки – возможные направления переходов из одного состояния S i в другое S j .

Над/под стрелками указываются интенсивности переходов.

Примеры графа:

S0 – работоспособное состояние;

S1 – состояние отказа.

«Петлей» обозначаются задержки в том или ином состоянии S0 и S1 соответствующие:

Исправное состояние продолжается;

Состояние отказа продолжается.

Граф состояний отражает конечное (дискретное) число возможных состояний системы S 1 , S 2 , … , S n . Каждая из вершин графа соответствует одному из состояний.

2. Для описания случайного процесса перехода состояний (отказ/ восстановление) применяют вероятности состояний

P1(t), P2(t), … , P i (t), … , Pn(t) ,

где P i (t) – вероятность нахождения системы в момент t в i -м состоянии.

Очевидно, что для любого t

(нормировочное условие, поскольку иных состояний, кроме S 1 , S 2 , … , S n нет).

3. По графу состояний составляется система обыкновенных дифференциальных уравнений первого порядка (уравнений Колмогорова-Чепмена).

Рассмотрим элемент установки или саму установку без резервирования, которые могут находится в двух состояниях: S 0 -безотказное (работоспособное), S 1 - состояние отказа (восстановления).

Определим соответствующие вероятности состояний элемента Р 0 (t ): P 1 (t ) в произвольный момент времени t при различных начальных условиях. Эту задачу решим при условии, как ужу отмечалось, что поток отказов простейший с λ = const и восстановлений μ = const , закон распределения времени между отказами и времени восстановления – экспоненциальный.

Для любого момента времени сумма вероятностей P 0 (t ) + P 1 (t ) = 1 – вероятность достоверного события. Зафиксируем момент времени t и найдем вероятность P (t + ∆ t ) того, что в момент времени t + ∆ t элемент находится в работе. Это событие возможно при выполнении двух условий.

    В момент времени t элемент находился в состоянии S 0 и за время t не произошло отказа. Вероятность работы элемента определяется по правилу умножения вероятностей независимых событий. Вероятность того, что в момент t элемент был и состоянии S 0 , равна P 0 (t ). Вероятность того, что за время t он не отказал, равна е -λ∆ t . С точностью до величины высшего порядка малости можно записать

Поэтому вероятность этой гипотезы равна произведению P 0 (t ) (1- λ t ).

2. В момент времени t элемент находится в состоянииS 1 (в состоянии восстановления), за время t восстановление закончилось и элемент перешел в состояниеS 0 . Эту вероятность также определим по правилу умножения вероятностей независимых событий. Вероятность того, что в момент времени t элемент находился в состоянииS 1 , равна Р 1 (t ). Вероятность того, что восстановление закончилось, определим через вероятность противоположного события, т.е.

1 – е -μ∆ t = μ· t

Следовательно, вероятность второй гипотезы равна P 1 (t ) ·μ· t /

Вероятность рабочего состояния системы в момент времени (t + ∆ t ) определяется вероятностью суммы независимых несовместимых событий при выполнении обеих гипотиз:

P 0 (t +∆ t )= P 0 (t ) (1- λ t )+ P 1 (t ) ·μ t

Разделив полученное выражение на t и взяв предел при t → 0 , получим уравнение для первого состояния

dP 0 (t )/ dt =- λP 0 (t )+ μP 1 (t )

Проводя аналогичные рассуждения для второго состояния элемента – состояния отказа (восстановления), можно получить второе уравнение состояния

dP 1 (t )/ dt =- μP 1 (t )+λ P 0 (t )

Таким образом, для описания вероятностей состояния элемента получена система двух дифференциальных уравнений, граф состояний которого показан на рис.2

dP 0 (t )/ dt = - λ P 0 (t )+ μP 1 (t )

dP 1 (t )/ dt = λ P 0 (t ) - μP 1 (t )

Если имеется направленный граф состояний, то систему дифференциальных уравнений для вероятностей состояний Р К (к = 0, 1, 2,…) можно сразу написать, пользуясь следующим правилом: в левой части каждого уравнения стоит производная dP К (t )/ dt , а в правой – столько составляющих, сколько ребер связано непосредственно с данным состоянием; если ребро оканчивается в данном состоянии, то составляющая имеет знак плюс, если начинается из данного состояния, то составляющая имеет знак минус. Каждая составляющая равна произведению интенсивности потока событий переводящего элемент или систему по данному ребру в другое состояние, на вероятность того состояния, из которого начинается ребро.

Систему дифференциальных уравнений можно использовать для определения ВБР электрических систем, функции и коэффициента готовности, вероятности нахождения в ремонте (восстановлении) нескольких элементов системы, среднего времени пребывания системы в любом состоянии, интенсивности отказов системы с учетом начальных условий (состояний элементов).

При начальных условиях Р 0 (0)=1; Р 1 (0)=0 и (Р 0 1 =1), решение системы уравнений, описывающих состояние одного элемента имеет вид

P 0 (t ) = μ / (λ+ μ )+ λ/(λ+ μ )* e ^ -(λ+ μ ) t

Вероятность состояния отказа P 1 (t )=1- P 0 (t )= λ/(λ+ μ )- λ/ (λ+ μ )* e ^ -(λ+ μ ) t

Если в начальный момент времени элемент находился в состоянии отказа (восстановления), т.е. Р 0 (0)=0, Р 1 (0)=1 , то

P 0 (t) = μ/ (λ +μ)+ μ/(λ +μ)*e^ -(λ +μ)t

P 1 (t) = λ /(λ +μ)- μ/ (λ +μ)*e^ -(λ +μ)t


Обычно в расчетах показателей надежности для достаточно длительных интервалов времени (t ≥ (7-8) t в ) без большой погрешности вероятности состояний можно определять по установившимся средним вероятностям -

Р 0 (∞) = К Г = Р 0 и

Р 1 (∞) = К П 1 .

Для стационарного состояния (t →∞) P i (t) = P i = const составляется система алгебраических уравнений с нулевыми левыми частями, поскольку в этом случае dP i (t)/dt = 0. Тогда система алгебраических уравнений имеет вид:

Так как Кг есть вероятность того, что система окажется работоспособной в момент t при t , то из полученной системы уравнений определяетсяP 0 = Кг .,т.е вероятность работы элемента равна стационарному коэффициенту готовности, а вероятность отказа – коэффициенту вынужденного простоя:

lim P 0 (t ) = Кг = μ /(λ+ μ ) = T /(T + t в )

lim P 1 (t ) = Кп = λ /(λ+ μ ) = t в /(T + t в )

т.е., получился тот же результат, что и при анализе предельных состояний с помощью дифференциальных уравнений.

Метод дифференциальных уравнений может быть использован для расчета показателей надежности и невосстанавливаемых объектов (систем).

В этом случае неработоспособные состояния системы являются «поглощающими» и интенсивности μ выхода из этих состояний исключаются.

Для невосстанавливаемого объекта граф состояний имеет вид:

Система дифференциальных уравнений:

При начальных условиях: P 0 (0) = 1; P 1 (0) = 0 , используя преобразование Лапласа вероятности нахождения в работоспособном состоянии, т. е. ВБР к наработке t составит .

F MEA анализ на сегодняшний день признан одним из наиболее эффективных инструментов для повышения качества и надежности разрабатываемых объектов. Он направлен в первую очередь на предупреждение появления возможных дефектов, а также на снижение размера ущерба и вероятности его появления.

Анализ видов и последствий отказов FMEA с целью снижения рисков успешно применяется во всем мире на предприятиях различных отраслей. Это универсальный метод, применимый не только для каждого объекта производства, но и практически для любой деятельности или отдельных процессов. Везде, где есть риск возникновения дефектов или отказов, FMEA анализ позволяет оценить потенциальную угрозу и выбрать наиболее приемлемый вариант.

Терминология FMEA

Основными понятиями, на которых опирается концепция анализа, являются определения дефекта и отказа. Имея общий результат в виде негативных последствий, они, тем не менее, существенно отличаются. Так, дефект является негативным результатом прогнозируемого использования объекта, в то время как отказ - это незапланированное или ненормальное функционирование в процессе производства или эксплуатации. Кроме того существует также термин несоответствие, означающий невыполнение запланированных условий или требований.

Негативным результатам, вероятность которых анализирует метод FMEA , выставляются оценки, которые условно можно разделить на количественные и экспертные. К количественным оценкам относят вероятность возникновения, вероятность обнаружения дефекта, измеряемые в процентах. Экспертные оценки выставляются в баллах для вероятности возникновения и обнаружения дефекта, а также для его значимости.

Итоговыми показателями анализа являются комплексный риск дефекта, а также приоритетное число риска, являющиеся общей оценкой значимости дефекта или отказа.

Этапы анализа

В кратких чертах метод FMEA анализа состоит из следующих этапов:

  • 1. Формирование команды
  • 2. Выбор объекта анализа. Определение границ каждой части составного объекта
  • 3. Определение вариантов применения анализа
  • 4. Выбор типов рассматриваемых несоответствий исходя из ограничений по срокам, типу потребителей, географическим условиям и т.д.
  • 5. Утверждение формы, в которой будут предоставлены результаты анализа.
  • 6. Обозначение элементов объекта, в которых могут возникать отказы или дефекты.
  • 7. Составление списка наиболее значимых возможных дефектов для каждого элемента
  • 8. Определение возможных последствий для каждого из дефектов
  • 9. Оценка вероятности возникновения, а также тяжести последствий для всех дефектов
  • 10. Вычисление приоритетного числа риска для каждого дефекта.
  • 11. Ранжирование потенциальных отказов/дефектов по значимости
  • 12. Разработка мероприятий по снижению вероятности возникновения или тяжести последствий, путем изменения проекта или процесса производства
  • 13. Перерасчет оценок

При необходимости п. 9-13 повторяются до тех пора, пока не будет получен приемлемый показатель приоритетного числа риска для каждого из значимых дефектов.

Виды анализа

В зависимости от стадии разработки продукта и от объекта анализа метод FMEA делится на следующие виды:

  • SFMEA или анализ взаимодействия между собой отдельных элементов целой системы
  • DFMEA анализ — мероприятие для предупреждения запуска в производство недоработанной конструкции
  • PFMEA анализ позволяет отработать и довести до применимого состояния процессы

Цели применения FMEA анализа

Используя метод FMEA анализа на производственном предприятии можно добиться следующих результатов:

  • снижение себестоимости продукции, а также улучшение ее качества путем оптимизации производственного процесса;
  • сокращение послепродажных затрат на ремонт и сервисное обслуживание;
  • уменьшение сроков подготовки производства;
  • сокращение количества доработок продукции после старта производства;
  • рост удовлетворенности потребителя и, как следствие, повышение репутации производителя.

Особенность состоит в том, что анализ видов и последствий отказов FMEA в краткосрочном периоде может не дать ощутимых финансовых преимуществ или вовсе быть затратным. Однако в стратегическом планировании он играет решающую роль, так как, проведенный лишь на стадии подготовки к производству, впоследствии будет приносить экономическую выгоду на протяжении всего жизненного цикла продукта. Кроме того, затраты от негативных последствий дефектов, зачастую, могут быть выше, чем конечная стоимость продукта. В пример можно привести авиационную промышленность, где от надежности каждой детали зависят сотни человеческих жизней.

Изучается каждый основной компонент системы с целью определения путей его перехода в аварийное состояние. Анализ является преимущественно качественным и проводится по принципу «снизу вверх» при условии появления аварийных состояний «одно за раз».

Анализ видов, последствий и критичности отказов существенно более детален, чем анализ с помощью «дерева неисправностей», так как выявляются все возможные виды отказов или аварийные ситуации для каждого элемента системы.

Например, реле может отказать по следующим причинам:

– контакты не разомкнулись или не сомкнулись;

– запаздывание в замыкании или размыкании контактов;

– короткое замыкание контактов на корпус, источник питания, между контактами и в цепях управления;

– дребезг контактов (неустойчивый контакт);

– контактная дуга, генерирование помех;

– разрыв обмотки;

– короткое замыкание обмотки;

– низкое или высокое сопротивление обмотки;

– перегрев обмотки.

Для каждого вида отказа анализируются последствия, намечаются методы устранения или компенсации отказов и составляется перечень необходимых проверок.

Например, для баков, емкостей, трубопроводов этот перечень может быть следующим:

– переменные параметры (расход, количество, температура, давление, насыщение и т. д.);

– системы (нагрева, охлаждения, электропитания, управления и т. д.);

– особые состояния (обслуживание, включение, выключение, замена содержимого и т. д.);

– изменение условий или состояния (слишком большие, слишком малые, гидроудар, осадок, несмешиваемость, вибрация, разрыв, утечка и т. д.).

Используемые при анализе формы документов подобны применяемым при выполнении предварительного анализа опасностей, но в значительной степени детализированы.

Анализ критичности предусматривает классификацию каждого элемента в соответствии со степенью его влияния на выполнение общей задачи системой. Устанавливаются категории критичности для различных видов отказов:

Метод не дает количественной оценки возможных последствий или ущерба, но позволяет ответить на следующие вопросы:

– какой из элементов должен быть подвергнут детальному анализу с целью исключения опасностей, приводящих к возникновению аварий;

– какой элемент требует особого внимания в процессе производства;

– каковы нормативы входного контроля;

– где следует вводить специальные процедуры, правила безопасности и другие защитные мероприятия;

– как наиболее эффективно затратить средства для предотвращения
аварий.

7.3.3. Анализ диаграммы всех возможных
последствий несрабатывания или аварии системы
(«дерево неисправностей»)

Данный метод анализа представляет собой совокупность приемов количественного и качественного характера для распознавания условий и факторов, которые могут привести к нежелательному событию («вершинному событию»). Учтенные условия и факторы выстраивают в графическую цепь. Начиная с вершины, выявляются причины или аварийные состояния следующих, более низких функциональных уровней системы. Анализируются многие факторы, включая взаимодействия людей и физические явления.

Внимание концентрируется на тех воздействиях неисправности или аварии, которые имеют непосредственное отношение к вершине событий. Метод особенно полезен для анализа систем с множеством областей контакта и взаимодействий.

Представление события в виде графической схемы приводит к тому, что можно без особого труда понять поведение системы и поведение включенных в него факторов. В связи с громоздкостью «деревьев» их обработка может потребовать применения компьютерных систем. Из-за громоздкости за­трудняется также проверка «дерева неисправностей».

В первую очередь метод используется при оценке риска для оценки вероятностей или частот неисправностей и аварий. В п 7.4 дано более детальное изложение метода.

7.3.4. Анализ диаграммы возможных последствий события
(«дерево событий»)

«Дерево событий» (ДС) – алгоритм рассмотрения событий, исходящих от основного события (аварийной ситуации). ДС используется для определения и анализа последовательности (вариантов) развития аварии, включающей сложные взаимодействия между техническими системами обеспечения безопасности. Вероятность каждого сценария развития аварийной ситуации рассчитывается путем умножения вероятности основного события на вероятность конечного события. При его построении используется прямая логика. Все значения вероятности безотказной работы P очень малы. «Дерево» не дает численных решений.

Пример 7.1. Допустим, путем выполнения предварительного анализа опасностей (ПАО) было выявлено, что критической частью реактора, т. е. подсистемой, с которой начинается риск, является система охлаждения реактора; таким образом, анализ начинается с просмотра последовательности возможных событий с момента разрушения трубопровода холодильной установки, называемого инициирующим событием, вероятность которого равна P(A) (рис. 7.1), т. е. авария начинается с разрушения (поломки) трубопровода – событие A .
Далее анализируются возможные варианты развития событий (B , C , D и E ), которые могут последовать за разрушением трубопровода. На рис. 7.1 изображено «дерево исходных событий», отображающее все возможные альтернативы.
На первой ветви рассматривается состояние электрического питания. Если питание есть, следующей подвергается анализу аварийная система охлаждения активной зоны реактора (АСОР). Отказ АСОР приводит к расплавлению топлива и к различным, в зависимости от целостности конструкции, утечкам радиоактивных продуктов.

Для анализа с использованием двоичной системы, в которой элементы либо выполняют свои функции, либо отказывают, число потенциальных отказов равно 2N – 1, где N – число рассматриваемых элементов. На практике исходное «дерево» можно упростить с помощью инженерной логики и свести к более простому дереву, изображенному в нижней части рис. 7.1.

В первую очередь представляет интерес вопрос о наличии электрического питания. Вопрос заключается в том, какова вероятность P B отказа электропитания и какое действие этот отказ оказывает на другие системы защиты. Если нет электрического питания, фактически никакие действия, предусмотренные на случай аварии с использованием для охлаждения активной зоны реактора распылителей, не могут производиться. В результате упрощенное «дерево событий» не содержит выбора в случае отсутствия электрического питания, и может произойти большая утечка, вероятность которой равна P A (P B ).

В случае, если отказ в подаче электрической энергии зависит от поломки трубопровода системы охлаждения реактора, вероятность P B следует подсчитывать как условную вероятность для учета этой зависимости. Если электрическое питание имеется, следующие варианты при анализе зависят от состояния АСОР. Она может работать или не работать, и ее отказ с вероятностью P C 1 ведет к последовательности событий, изображенной на рис. 7.1.

Рис. 7.1. «Дерево событий»

Следует обратить внимание на то, что для рассматриваемой системы возможны различные варианты развития аварии. Если система удаления радиоактивных материалов работоспособна, радиоактивные утечки меньше, чем в случае ее отказа. Конечно, отказ в общем случае ведет к последовательности событий с меньшей вероятностью, чем в случае работоспособности.

Рис. 7.2. Гистограмма вероятностей для различных величин утечек

Рассмотрев все варианты «дерева», можно получить спектр возможных утечек и соответствующие вероятности для различных последовательностей развития аварии (рис. 7.2). Верхняя линия «дерева» является основным вариантом аварии реактора. При данной последовательности предполагается, что трубопровод разрушается, а все системы обеспечения безопасности сохраняют работоспособность.

Чтобы разобраться со второй частью, настоятельно рекомендую сначала ознакомиться с .

Анализ видов и последствий отказов (FMEA)

Анализ видов и последствий отказов (FMEA) представляет собой основанный на индуктивном размышлении инструмент оценки риска, который рассматривает риск как продукт следующих компонентов:

  • тяжесть последствий потенциального отказа (S)
  • возможность появления потенциального отказа (O)
  • вероятность необнаружения отказа (D)

Процесс оценки рисков состоит из:

Присвоение каждому вышеуказанному компоненту риска соответствующего уровня риска (высокого, среднего или низкого); при наличии подробной практической и теоретической информации о принципах устройства и функционирования квалифицируемого прибора можно объективно присвоить уровни риска как для возможности появления отказа, так и для вероятности необнаружения отказа. Возможность появления отказа может рассматриваться как временной интервал между появлениями одного и того же отказа.

Присвоение уровней рисков для вероятности необнаружения отказа требует знания того, в каком виде проявится отказ конкретной функции прибора. Например, отказ системного программного обеспечения прибора предполагает то, что спектрофотометр невозможно эксплуатировать. Такой отказ можно легко обнаружить, следовательно, ему можно присвоить низкий уровень риска. А вот погрешность в измерении оптической плотности не может быть своевременно обнаружена, если не была произведена калибровка, соответственно, отказу функции спектрофотометра по измерению оптической плотности следует присвоить высокий уровень риска его необнаружения.

Присвоение уровня тяжести риска несколько более субъективный процесс, и он в определенной степени зависит от требований соответствующей лаборатории. В этом случае уровень тяжести риска рассматривают как совокупность:

Некоторые предлагаемые критерии присвоения уровня риска для всех компонентов оценки совокупного риска, рассмотренных выше, представлены в таблице 2. Предлагаемые критерии наиболее подходят для использования в условиях регламентируемого контроля качества продукта. Другие прикладные задачи лабораторного анализа могут потребовать другой набор критериев присвоения. Например, воздействие какого-либо отказа на качество работы судебно-медицинской лаборатории может в итоге повлиять на исход уголовного процесса.

Таблица 2: предлагаемые критерии для присвоения уровней рисков

Уровень риска Качество (Q) Соответствие требованиям (C) Бизнес (B) Вероятность появления (P) Вероятность необнаружения (D)
Тяжесть
Высокий Вероятно, нанесет вред потребителю Приведет к отзыву продукции Простой более одной недели или потенциальная крупная потеря дохода Более одного раза в течение трех месяцев Вряд ли может быть обнаружен в большинстве случаев
Средний Вероятно, не нанесет вреда потребителю Приведет к получению предупредительного письма Простой до одной недели или потенциальная существенная потеря дохода Один раз каждые три-двенадцать месяцев Может быть обнаружен в некоторых случаях
Низкий Не нанесет вреда потребителю Приведет к обнаружению несоответствия в ходе аудита Простой до одного дня или незначительная потеря дохода Один раз каждые один-три года Вероятно, будет обнаружен

Взято из источника

Расчет уровня совокупного риска предполагает:

  1. Присвоения численного значения каждому уровню тяжести риска для каждой отдельной категории тяжести, как показано в таблице 3
  2. Суммирование численных значений уровней тяжести для каждой категории риска даст совокупный количественный уровень тяжести в диапазоне от 3 до 9
  3. Совокупный количественный уровень тяжести может быть преобразован в совокупный качественный уровень тяжести, как показано в таблице 4
Таблица 3: присвоение количественного уровня тяжести Таблица 4: расчет совокупного уровня тяжести
Качественный уровень тяжести Количественный уровень тяжести Совокупный количественный уровень тяжести Совокупный качественный уровень тяжести
Высокий 3 7-9 Высокий
Средний 2 5-6 Средний
Низкий 1 3-4 Низкий
  1. В результате умножения совокупного качественного уровня Тяжести (S) на уровень возможности Появления (O) получим Класс риска, как показано в таблице 5.
  2. Далее можно рассчитать Фактор риска путем умножения Класса риска на Необнаруживаемость, как показано в таблице 6.
Таблица 5: расчет класса риска Таблица 6: расчет уровня риска
Уровень тяжести Необнаруживаемость
Уровень появления Низкий Средний Высокий Класс риска Низкий Средний Высокий
Высокий Средний Высокий Высокий Высокий Средний Высокий Высокий
Средний Низкий Средний Высокий Средний Низкий Средний Высокий
Низкий Низкий Низкий Средний Низкий Низкий Низкий Средний
Класс риска = Уровень тяжести * Уровень появления Фактор риска = Класс риска * Уровень необнаруживаемости

Важной особенностью этого подхода является то, что при расчете Фактора риска этот расчет придает дополнительный вес факторам появления и обнаруживаемости. Например, в случае, когда отказ имеет высокий уровень тяжести, однако появление его маловероятно и его легко обнаружить, то совокупный фактор риска будет низким. И наоборот, в случае, когда потенциальная тяжесть низкая, однако появления отказа, возможно, будет частым и его нелегко обнаружить, то совокупный фактор риска будет высоким.

Таким образом, тяжесть, которую зачастую трудно или даже невозможно минимизировать, не будет влиять на совокупный риск, связанный с конкретным функциональным отказом. Тогда как появление и необнаруживаемость, которые легче минимизировать, оказывают большее влияние на совокупный риск.

Обсуждение

Процесс оценки рисков состоит из четырех основных этапов, указанных ниже:

  1. Проведение оценки в отсутствие каких-либо средств или процедур минимизации
  2. Установление средств и процедур минимизации оцененного риска на основании результатов выполненной оценки
  3. Проведение оценки риска после реализации мер по минимизации для определения их эффективности
  4. При необходимости, установление дополнительных средств и процедур минимизации, а также проведение повторной оценки

Оценка риска, обобщенная в таблице 7 и обсуждаемая ниже, рассматривается с точки зрения фармацевтической и смежных отраслей. Несмотря на это подобные процессы могут быть применены к любому другому сектору экономики, однако, если применяются другие приоритеты, то могут быть получены другие, но не менее обоснованные, выводы.

Первоначальная оценка

Начинают с рабочих функций спектрофотометра: точности и прецизионности длины волны, а также спектральной разрешающей способности спектрофотометра, по которым определяют возможность его использования в испытаниях на подлинность в пределах УФ/видимой области спектра. Любые погрешности, недостаточная прецизионность длины волны определения или недостаточная разрешающая способность спектрофотометра могут привести к ошибочным результатам испытания на подлинность.

В свою очередь это может привести к выпуску продукции с недостоверной подлинностью, вплоть до её поступления конечному потребителю. Это также может привести к необходимости отзыва продукции и последующим значительным затратам или потере дохода. Следовательно, в каждой категории тяжести эти функции будут представлять высокий уровень риска.

Таблица 7: оценка риска с помощью FMEA для УФ/В-спектрофотометра

Предварительная минимизация Последующая минимизация
Тяжесть Тяжесть
Функции Q C B S O D RF Q C B S O D RF
Рабочие функции
Точность длины волны В В В В С В В В В В В Н Н Н
Воспроизводимость длины волны В В В В С В В В В В В Н Н Н
Спектральное разрешение В В В В С В В В В В В Н Н Н
Рассеянный свет В В В В С В В В В В В Н Н Н
Фотометрическая стабильность В В В В В В В В В В В Н Н Н
Фотометрический шум В В В В В В В В В В В Н Н Н
Плоскостность спектральной базовой линии В В В В В В В В В В В Н Н Н
Фотометрическая точность В В В В В В В В В В В Н Н Н
Функции по обеспечению качества и целостности данных
Средства управления доступом В В В В Н Н Н В В В В Н Н Н
Электронные подписи В В В В Н Н Н В В В В Н Н Н
Средства управления паролем В В В В Н Н Н В В В В Н Н Н
Безопасность данных В В В В Н Н Н В В В В Н Н Н
Контрольный журнал В В В В Н Н Н В В В В Н Н Н
Временные отметки В В В В Н Н Н В В В В Н Н Н

В = Высокий, С = Средний, Н = Низкий
Q = Качество, C = Соответствие требования, B = Бизнес, S = Тяжесть, O = Возможность появления, D = Необнаруживаемость, RF = Фактор риска

Анализируем дальше, рассеянный свет влияет на правильность измерений оптической плотности. Современные приборы могут его учитывать и вносить соответствующую поправку в расчеты, однако для этого требуется, чтобы этот рассеянный свет был определен и хранился в рабочем программном обеспечении спектрофотометра. Любые неточности в сохраненных параметрах рассеянного света приведут к неправильным измерениям оптической плотности с теми же последствиями для фотометрической стабильности, шума, точности и плоскостности базовой линии, что и указанные в следующем абзаце. Следовательно, в каждой категории тяжести эти функции будут представлять высокий уровень риска. Точность и прецизионность длины волны, разрешающая способность и рассеянный свет в значительной степени зависят от оптических свойств спектрофотометра. Современные приборы с диодной матрицей не имеют движущихся частей и, следовательно, отказам этих функций может быть присвоена средняя возможность появления. Однако в отсутствие специальных проверок отказ этих функций вряд ли будет обнаружен, следовательно, необнаруживаемости присваивают высокий уровень риска.

Фотометрическая стабильность, шум и точность, а также плоскостность базовой линии влияют на правильность измерения оптической плотности. Если спектрофотометр используют для проведения количественных измерений, то любая ошибка в измерениях оптической плотности может привести к сообщению ошибочных результатов. Если сообщенные результаты, полученные в результате этих измерений, используются для выпуска серии фармацевтического препарата на рынок, то это может привести к тому, что конечные потребители получат некачественные серии препарата.

Такие серии придется отзывать, что в свою очередь потянет за собой значительные затраты или потерю дохода. Следовательно, в каждой категории тяжести эти функции будут представлять высокий уровень риска. Кроме того, эти функции зависят от качества УФ-лампы. УФ-лампы имеют стандартный срок службы приблизительно 1500 часов или 9 недель непрерывного использования. Соответственно, эти данные свидетельствуют о высоком риске появления отказа. К тому же в отсутствие каких-либо мер предосторожности отказ любой из этих функций вряд ли будет обнаружен, что подразумевает под собой высокий фактор необнаруживаемости.

Теперь вернемся к функциям обеспечения качества и целостности данных, поскольку результаты испытания используют для принятия решения касательно пригодности фармацевтического препарата для его предусмотренного применения. Любая компрометация правильности или целостности созданных записей может потенциально привести к выпуску на рынок продукции неопределенного качества, что может нанести вред конечному потребителю, а продукцию, возможно, придется отозвать, что приведет к большим убыткам лаборатории/компании. Следовательно, в каждой категории тяжести эти функции будут представлять высокий уровень риска. Однако после надлежащей настройки необходимой конфигурации программного обеспечения прибора появление отказа этих функций будет маловероятным. Кроме того, любой отказ можно будет своевременно обнаружить.

Например:

  • Предоставление доступа только авторизованным лицам к соответствующей рабочей программе до момента её открытия можно реализовать за счет запроса системой ввода имени пользователя и пароля. Если произойдет отказ этой функции, то система больше не будет запрашивать ввод имени пользователя и пароля, соответственно, это будет сразу обнаружено. Поэтому риск необнаружения этого отказа будет низким.
  • Когда создается файл, который необходимо заверить электронной подписью, то открывается диалоговое окно, которое требует ввести имя пользователя и пароль, соответственно, если происходит отказ системы, то это окно не откроется и этот отказ будет сразу обнаружен.

Минимизация

Несмотря на то, что тяжесть отказа рабочих функций невозможно минимизировать, тем не менее, возможность их отказа можно значительно снизить и повысить вероятность обнаружения такого отказа. Перед первым использованием прибора рекомендуется выполнить квалификацию следующих функций:

  • точность и прецизионность длины волны
  • спектральное разрешение
  • рассеянный свет
  • фотометрическая точность, стабильность и шум
  • плоскостность спектральной базовой линии,

а затем с заданной периодичностью проводить повторную квалификацию, поскольку это позволит существенно снизить возможность и вероятность необнаружения любого отказа. Поскольку фотометрическая стабильность, шум и точность, а также плоскостность базовой линии зависят от состояния УФ-лампы, а стандартные дейтериевые лампы имеют срок службы около 1500 часов (9 недель) непрерывного использования, то в операционной процедуре рекомендуется указать, что лампу(-ы) следует выключать на период простоя спектрофотометра, то есть, когда он не эксплуатируется. Также рекомендуется каждые шесть месяцев выполнять профилактическое техническое обслуживание (ПТО), включая замену лампы и повторную квалификацию (ПК).

Обоснование периода повторной квалификации зависит от срока службы стандартной УФ-лампы. Он составляет примерно 185 недель при использовании в течение 8 часов 1 раз в неделю, а соответствующий срок службы в неделях приведен в таблице 8. Таким образом, если спектрофотометр используется от четырех до пяти дней в неделю, то УФ-лампа прослужит около восьми-десяти месяцев.

Таблица 8: средний срок службы УФ-лампы в зависимости от среднего количества восьмичасовых рабочих дней эксплуатации спектрофотометра в течении недели

Среднее количество дней эксплуатации в течение недели Средний срок службы лампы (недель)
7 26
6 31
5 37
4 46
3 62
2 92
1 185

Проведение каждые шесть месяцев профилактического технического обслуживания и повторной квалификации (ПТО/ПК) обеспечит безотказную работу прибора. Если спектрофотометр эксплуатируется в течение шести-семи дней в неделю, то срок службы лампы, предположительно, составит около шести месяцев, поэтому для обеспечения соответствующей безотказной работы более уместным будет проводить ПТО/ПК каждые три месяца. И наоборот, если спектрофотометр используется один или два раза в неделю, то ПТО/ПК достаточно будет проводит каждые 12 месяцев.

Кроме того, вследствие относительно короткого срока службы дейтериевой лампы рекомендуется проверять следующие параметры, желательно в каждый день эксплуатации спектрофотометра, поскольку это станет дополнительной гарантией его правильного функционирования:

  • яркость лампы
  • темновой ток
  • калибровка эмиссионных линий дейтерия при длинах волн 486 и 656,1 нм
  • скорость срабатывания фильтра и затвора
  • фотометрический шум
  • плоскостность спектральной базовой линии
  • кратковременный фотометрический шум

Современные приборы уже содержат эти тесты внутри своего ПО и их можно выполнить путем выбора соответствующей функции. Если любой из тестов не будет пройден, за исключением теста темнового тока и скорости срабатывания фильтра и затвора, то дейтериевая лампа должна быть заменена. Если тест темнового тока или скорости срабатывания фильтра и затвора не пройдены, то спектрофотометр нельзя эксплуатировать, вместо этого его следует отправить в ремонт и на повторную квалификацию. Установление этих процедур позволит минимизировать как риск возможности отказа рабочей функции, так и риск возможности необнаружения любого отказа.

Факторы риска для функций обеспечения качества и целостности данных уже является низкими без какой-либо минимизации. Поэтому проверять работу этих функций необходимо только в ходе OQ и PQ для подтверждения правильной конфигурации. После чего любой отказ может быть своевременно обнаружен. Тем не менее, персонал должен пройти соответствующую подготовку или инструктаж, чтобы быть в состоянии распознать отказ и принять соответствующие меры.

Вывод

Метод «Анализ видов и последствий отказов» (FMEA) представляет собой простой в использовании инструмент оценки риска, который может быть легко применен для оценки рисков отказа лабораторного оборудования, влияющих на качество, соблюдение требований и ведение бизнеса. Выполнение подобной оценки рисков позволит принимать взвешенные решения относительно внедрения соответствующих средств и процедур контроля для экономически целесообразного управления рисками, связанными с отказом критических функций прибора.

Анализ вида и последствий отказа - АВПО (Failure Mode and Effects Analysis - FMEA) применяется для качественной оценки надежности и безопасности технических систем. Анализ вида и последствий отказа представляет собой метод, позволяющий идентифицировать тяжесть последствий видов потенциальных отказов и обеспечить меры по снижению рисков. Существенной чертой этого метода является рассмотрение каждой системы в целом и каждой составной ее части (элемента) на предмет того, каким образом он может стать неисправным (вид и причина отказа) и как этот отказ воздействует на технологическую систему (последствия отказа). Термин «система» здесь понимается как совокупность взаимосвязанных или взаимодействующих элементов (ГОСТ Р 51901.12-2007 ) и используется для описания аппаратных (технических) средств, программного обеспечения (и их сочетания) или процесса. В общем случае АВПО применяют к отдельным видам отказов и их последствиям для системы в целом.

Рекомендуется проводить АВПО на ранних стадиях разработки системы (объекта, продукции), когда устранение или уменьшение количества и (или) видов отказов и их последствий является экономически более эффективным. Вместе с тем принципы АВПО могут применяться на всех стадиях жизненного цикла системы. Каждый вид отказа рассматривают как независимый. Таким образом, эта процедура не подходит для рассмотрения зависимых отказов или отказов, являющихся следствием последовательности нескольких событий.

Анализ вида и последствий отказа является методом анализа индуктивного типа, по схеме «снизу-вверх», с помощью которого систематически, на основе последовательного рассмотрения одного элемента за другим, анализируются все возможные виды отказов или аварийные ситуации и выявляются их результирующие воздействия на систему. Отдельные аварийные ситуации и виды отказов элементов выявляются и анализируются для того, чтобы определить их воздействие на другие элементы и систему в целом. Метод АВПО можно выполнить более детально, чем анализ с помощью дерева отказов, поскольку при этом необходимо рассматривать все возможные виды отказов или аварийные ситуации для каждого элемента системы. Например, реле может отказать по следующим причинам: контакты не разомкнулись; запаздывание в замыкании контактов; короткое замыкание контактов на корпус, источник питания, между контактами и в цепях управления; дребезжание контактов; неустойчивый электрический контакт; контактная дуга; разрыв обмотки и пр.

Примерами общих видов отказов могут являться:

  • ? отказ в процессе функционирования;
  • ? отказ, связанный с несрабатыванием в установленное время;
  • ? отказ, связанный с непрекращением работы в установленное время;
  • ? преждевременное включение и др.

Дополнительно для каждой категории оборудования должен быть составлен перечень необходимых проверок. Например, для резервуаров и другого емкостного оборудования такой перечень может включать:

  • ? технологические параметры: объем, расход, температуру, давление и т.д.;
  • ? вспомогательные системы: нагрева, охлаждения, электропитания, подачи, автоматического регулирования и т.д.;
  • ? особые состояния оборудования: ввод в действие, обслуживание во время работы, вывод из действия, смену катализатора и т.д.;
  • ? изменения условий или состояния оборудования: чрезмерное отклонение величины давления, гидроудар, осадок, вибрация, пожар, механическое повреждение, коррозия, разрыв, утечка, износ, взрыв и др.;
  • ? характеристики контрольно-измерительных приборов и средств автоматики: чувствительность, настройка, запаздывание и т.д.

Метод предусматривает рассмотрение всех видов отказов по каждому элементу. Анализу подлежат причины и последствия отказа (локальные -для элемента и общие-для системы), методы обнаружения и условия компенсации отказа (например, резервирование элементов или мониторинг объекта). Оценкой значимости влияния последствий отказа на функционирование объекта является тяжесть отказа. Пример классификации по категории тяжести последствий при выполнении одного из типов АВПО (в качественной форме) приведен в табл. 5.3 (ГОСТ Р 51901.12-2007).

Таблица 5.3

Классификация по тяжести отказов

Окончание

Карта проверки по результатам АВПО представляет собой изложение самого метода АВПО, а ее форма подобна используемой при выполнении других качественных методов, в том числе экспертных оценок, с отличием в большей степени детализации. Метод АВПО ориентирован на аппаратуру и механические системы, прост для понимания, не требует применения математического аппарата. Такой анализ позволяет установить необходимость внесения изменений в конструкцию и оценить их влияние на надежность системы. К недостаткам метода следует отнести значительные затраты времени на реализацию, а также то, что он не учитывает сочетания отказов и человеческого фактора.