Analiza natury i konsekwencji awarii fmea. Analiza trybu i konsekwencji awarii

Dzięki wykładniczemu prawu rozkładu czasu i czasu odtwarzania między awariami aparat matematyczny procesów losowych Markowa służy do obliczania wskaźników niezawodności systemów z odzyskiem. W tym przypadku funkcjonowanie systemów opisuje proces zmiany stanów. System jest przedstawiony jako graf zwany grafem przejścia między stanami.

Losowy proces w dowolnym systemie fizycznym S , jest nazywany Markowian, jeśli ma następującą właściwość : na każdą chwilę T 0 prawdopodobieństwo stanu systemu w przyszłości (t > t 0 ) zależy tylko od aktualnego stanu

(t = t 0 ) i nie zależy od tego, kiedy i jak system doszedł do tego stanu (innymi słowy: z ustaloną teraźniejszością, przyszłość nie zależy od prehistorii procesu - przeszłości).

T< t 0

t > t 0

W przypadku procesu Markowa „przyszłość” zależy od „przeszłości” tylko poprzez „teraźniejszość”, tj. przyszły przebieg procesu zależy tylko od tych przeszłych wydarzeń, które wpłynęły na stan procesu w chwili obecnej.

Proces Markowa, jako proces bez następstw, nie oznacza całkowitej niezależności od przeszłości, gdyż przejawia się w teraźniejszości.

W przypadku korzystania z metody, w ogólnym przypadku, dla systemu S , konieczne jest posiadanie model matematyczny jako zbiór stanów systemu S 1 , S 2 , … , S n , w którym może być podczas awarii i renowacji elementów.

Podczas kompilacji modelu przyjęto następujące założenia:

Uszkodzone elementy systemu (lub samego obiektu) są natychmiast przywracane (początek przywracania pokrywa się z momentem awarii);

Nie ma ograniczeń co do liczby odbudów;

Jeśli wszystkie strumienie zdarzeń, które przenoszą układ (obiekt) ze stanu do stanu, są Poissona (najprostsze), to losowy proces przejścia będą procesem Markowa z ciągłym czasem i stanami dyskretnymi S 1 , S 2 , … , S n .

Podstawowe zasady kompilacji modelu:

1. Model matematyczny jest przedstawiony jako wykres stanu, w którym

a) okręgi (wierzchołki grafuS 1 , S 2 , … , S n ) – możliwe stany systemu S , wynikające z awarii elementów;

b) strzałki– możliwe kierunki przejść z jednego stanu S i do innego S J .

Strzałki powyżej/poniżej wskazują intensywności przejścia.

Przykłady wykresów:

S0 - warunki pracy;

S1 – stan awarii.

„Pętla” oznacza opóźnienia w określonym stanie S0 i S1 istotnych:

Dobry stan trwa;

Stan awarii trwa.

Wykres stanu odzwierciedla skończoną (dyskretną) liczbę możliwych stanów systemu S 1 , S 2 , … , S n . Każdy z wierzchołków wykresu odpowiada jednemu ze stanów.

2. Do opisu losowego procesu zmiany stanu (awaria/odzyskiwanie) wykorzystuje się prawdopodobieństwa stanów

P1(t), P2(t), … , P i (t), … , Pn(t) ,

gdzie P i (T) jest prawdopodobieństwo znalezienia systemu w danej chwili T v i-ty stan.

Oczywiście dla każdego T

(warunek normalizacji, ponieważ inne stany, z wyjątkiem S 1 , S 2 , … , S n Nie).

3. Zgodnie z wykresem stanów kompiluje się układ równań różniczkowych zwyczajnych pierwszego rzędu (równania Kolmogorowa-Chapmana).

Rozważmy element instalacji lub samą instalację bez redundancji, która może znajdować się w dwóch stanach: S 0 - bezawaryjne (wykonalne),S 1 - stan awarii (przywrócenie).

Określmy odpowiednie prawdopodobieństwa stanów elementów r 0 (T): P 1 (T) w dowolnym momencie T w różnych warunkach początkowych. Rozwiążemy ten problem pod warunkiem, jak już wspomniano, że przepływ awarii jest najprostszy z λ = stały i uzupełnień μ = stały, prawo rozkładu czasu między awariami a czasem odzyskiwania jest wykładnicze.

Dla dowolnej chwili suma prawdopodobieństw P 0 (T) + P 1 (T) = 1 jest prawdopodobieństwem pewnego zdarzenia. Ustalmy moment czasu t i znajdźmy prawdopodobieństwo P (T + ∆ T) że w tej chwili T + ∆ T element jest w toku. To zdarzenie jest możliwe, gdy spełnione są dwa warunki.

W czasie t element był w stanie S 0 i na czas T nie było awarii. Prawdopodobieństwo działania elementu określa zasada mnożenia prawdopodobieństw zdarzeń niezależnych. Prawdopodobieństwo, że w tej chwili T przedmiot był i stan! S 0 , jest równe P 0 (T). Prawdopodobieństwo, że z czasem T nie odmówił mi -λ∆ T . Aż do wyższego rzędu małości możemy pisać

Dlatego prawdopodobieństwo tej hipotezy jest równe iloczynowi P 0 (T) (1- λ ∆ T).

2. W danym momencie T element jest w stanie S 1 (w stanie rekonwalescencji), w czasie ∆ T odbudowa zakończyła się i element wszedł w stan S 0 . O tym prawdopodobieństwie decyduje również zasada mnożenia prawdopodobieństw zdarzeń niezależnych. Prawdopodobieństwo, że w tym czasie T element był w stanie S 1 , jest równe r 1 (T). Prawdopodobieństwo zakończenia odzyskiwania jest określane przez prawdopodobieństwo zdarzenia przeciwnego, tj.

1 - e -μ∆ T = μ· ∆ T

Dlatego prawdopodobieństwo drugiej hipotezy wynosi P 1 (T) ·μ· ∆ T/

Prawdopodobieństwo stanu pracy systemu w danym momencie (T + ∆ T) jest określane przez prawdopodobieństwo sumy niezależnych niezgodnych zdarzeń, gdy obie hipotezy są spełnione:

P 0 (T+∆ T)= P 0 (T) (1- λ ∆ T)+ P 1 (T) ·μ ∆ T

Dzielenie wynikowego wyrażenia przez ∆ T i biorąc limit w ∆ T → 0 otrzymujemy równanie dla pierwszego stanu

dP 0 (T)/ dt=- λP 0 (T)+ µP 1 (T)

Przeprowadzając podobne rozumowanie dla drugiego stanu elementu - stanu zniszczenia (przywrócenia), możemy otrzymać drugie równanie stanu

dP 1 (T)/ dt=- µP 1 (T)+λ P 0 (T)

Zatem do opisu prawdopodobieństw stanu elementu uzyskano układ dwóch równań różniczkowych, których wykres stanu pokazano na rys. 2.

D P 0 (T)/ dt = - λ P 0 (T)+ µP 1 (T)

dP 1 (T)/ dt = λ P 0 (T) - µP 1 (T)

Jeśli istnieje skierowany graf stanu, to układ równań różniczkowych dla prawdopodobieństw stanów r DO (k = 0, 1, 2,…) można napisać natychmiast, stosując następującą zasadę: po lewej stronie każdego równania znajduje się pochodnadP DO (T)/ dt, aw prawym jest tyle składowych, ile jest krawędzi bezpośrednio związanych z danym stanem; jeśli krawędź kończy się w tym stanie, to składnik ma znak plus, jeśli zaczyna się od dany stan, to składnik ma znak minus. Każdy składnik jest równy iloczynowi natężenia przepływu zdarzeń, które przenoszą element lub układ wzdłuż danej krawędzi do innego stanu, przez prawdopodobieństwo stanu, z którego krawędź się zaczyna.

Układ równań różniczkowych może być wykorzystany do określenia PBR układów elektrycznych, współczynnika funkcji i dyspozycyjności, prawdopodobieństwa naprawy (odtworzenia) kilku elementów układu, średniego czasu przebywania układu w dowolnym stanie, awarii szybkość układu z uwzględnieniem warunków początkowych (stanów elementów).

W warunkach początkowych r 0 (0)=1; r 1 (0)=0 i (P 0 +P 1 =1), rozwiązanie układu równań opisującego stan jednego elementu ma postać

P 0 (T) = μ / (λ+ μ )+ λ/(λ+ μ )* mi^ -(λ+ μ ) T

Prawdopodobieństwo awarii P 1 (T)=1- P 0 (T)= λ/(λ+ μ )- λ/ (λ+ μ )* mi^ -(λ+ μ ) T

Jeżeli w początkowym momencie element znajdował się w stanie awarii (przywrócenia), tj. r 0 (0)=0, P 1 (0)=1 , następnie

P 0 (t) = μ/ (λ +μ)+ μ/(λ +μ)*e^ -(λ +μ)t

P 1 (t) = λ /(λ +μ)- μ/ (λ +μ)*e^ -(λ +μ)t

Zwykle w obliczeniach wskaźników niezawodności dla wystarczająco długich przedziałów czasowych (T ≥ (7-8) T v ) bez dużego błędu prawdopodobieństwa stanów można określić na podstawie ustalonych prawdopodobieństw średnich -

r 0 (∞) = K g = P 0 oraz

r 1 (∞) = DO P =P 1 .

Dla stanu ustalonego (T→∞) P i (t) = P i = const kompilowany jest układ równań algebraicznych z zerami po lewej stronie, ponieważ w tym przypadku dP i (t)/dt = 0. Wtedy układ równań algebraicznych ma postać:

Bo Kg istnieje prawdopodobieństwo, że system będzie w tej chwili działał T w t , to z otrzymanego układu równań wyznacza się P 0 = kg., czyli prawdopodobieństwo pracy elementu jest równe współczynnikowi dyspozycyjności stacjonarnej, a prawdopodobieństwo awarii równe współczynnikowi wymuszonego przestoju:

LimP 0 (T) = Kg =μ /(λ+ μ ) = T/(T+ T v )

LimP 1 (T) = Кп = λ /(λ+μ ) = T v /(T+ T v )

tj. uzyskano ten sam wynik, co w przypadku analizy stanów granicznych za pomocą równań różniczkowych.

Metodę równań różniczkowych można wykorzystać do obliczania wskaźników niezawodności oraz obiektów (układów) nieodzyskiwalnych.

W tym przypadku stany nieoperacyjne systemu są „absorbujące”, a intensywności μ wyjścia z tych stanów są wykluczone.

W przypadku obiektu, którego nie można odtworzyć, wykres stanu wygląda następująco:

Układ równań różniczkowych:

W warunkach początkowych: P 0 (0) = 1; P 1 (0) = 0 , wykorzystując transformatę Laplace'a prawdopodobieństwa przebywania w stanie roboczym, tj. FBG na czas pracy T będzie .

Analiza F MEA jest dziś uznawana za jedną z najbardziej skuteczne narzędzia poprawa jakości i niezawodności powstających obiektów. Ma ona na celu przede wszystkim zapobieganie powstawaniu ewentualnych wad, a także zmniejszenie wysokości szkody i prawdopodobieństwa jej wystąpienia.

Analiza przyczyn i skutków awarii FMEA w celu zmniejszenia zagrożeń jest z powodzeniem stosowany na całym świecie w przedsiębiorstwach z różnych branż. To uniwersalna metoda mająca zastosowanie nie tylko do każdego zakładu produkcyjnego, ale także do niemal każdej działalności czy poszczególnych procesów. Wszędzie tam, gdzie istnieje ryzyko defektów lub awarii, analiza FMEA pozwala na ocenę potencjalne zagrożenie i wybierz najbardziej odpowiednią opcję.

Terminologia FMEA

Podstawowymi pojęciami, na których opiera się koncepcja analizy, są definicje wady i niepowodzenia. Posiadanie ogólnego wyniku w postaci negatywne konsekwencje są one jednak znacząco różne. Wada jest więc negatywnym skutkiem przewidywanego użycia przedmiotu, a awaria jest nieplanowaną lub nienormalną operacją podczas produkcji lub eksploatacji. Dodatkowo pojawia się również termin niezgodność, który oznacza niespełnienie planowanych warunków lub wymagań.

Wyniki negatywne, których prawdopodobieństwo analizuje Metoda FMEA, podaje się oceny, które można warunkowo podzielić na ilościowe i eksperckie. Szacunki ilościowe obejmują prawdopodobieństwo wystąpienia, prawdopodobieństwo wykrycia defektu, mierzone w procentach. Oceny eksperckie podaje się w punktach za prawdopodobieństwo wystąpienia i wykrycia defektu oraz za jego znaczenie.

Ostatecznymi wskaźnikami analizy są złożone ryzyko defektu, a także priorytetowa liczba ryzyka, które są ogólna ocena znaczenie wady lub awarii.

Kroki analizy

Krótko Metoda analizy FMEA składa się z następujących kroków:

• 1. Budowanie zespołu
• 2. Wybór przedmiotu analizy. Definiowanie granic każdej części złożonego obiektu
• 3. Określenie zastosowań analizy
• 4. Wybór rodzajów rozpatrywanych niezgodności na podstawie terminów, rodzaju odbiorców, warunków geograficznych itp.
• 5. Zatwierdzenie formy, w jakiej zostaną przekazane wyniki analizy.
• 6. Oznaczenie elementów obiektu, w których mogą wystąpić awarie lub wady.
• 7. Sporządź listę najbardziej znaczących możliwych wad dla każdego przedmiotu
• 8. Ustalenie możliwych konsekwencji dla każdej z wad
• 9. Ocena prawdopodobieństwa wystąpienia, a także dotkliwości konsekwencji dla wszystkich wad
• 10. Obliczenie priorytetowego numeru ryzyka dla każdej wady.
• 11. Ranking potencjalnych awarii/defektów według istotności
• 12. Opracowanie środków w celu zmniejszenia prawdopodobieństwa wystąpienia lub dotkliwości konsekwencji poprzez zmianę procesu projektowania lub produkcji
• 13. Ponowne obliczanie ocen

Jeśli to konieczne, punkty 9-13 są powtarzane aż do uzyskania akceptowalnego numeru priorytetu ryzyka dla każdej z istotnych wad.

Rodzaje analiz

W zależności od etapu rozwoju produktu i przedmiotu analizy Metoda FMEA dzieli się na następujące typy:

• SFMEA czyli analiza interakcji pomiędzy poszczególnymi elementami całego systemu
• Analiza DFMEA - zdarzenie uniemożliwiające uruchomienie niedokończonego projektu do produkcji
• Analiza PFMEA pozwala opracować i doprowadzić procesy do odpowiedniego stanu

Cel analizy FMEA

Za pomocą Metoda analizy FMEA na Zakład produkcyjny możesz osiągnąć następujące wyniki:

• obniżenie kosztów produkcji, a także podniesienie jej jakości poprzez optymalizację procesu produkcyjnego;
• redukcja kosztów posprzedażowych napraw i konserwacji;
• skrócenie czasu przygotowania produkcji;
• zmniejszenie liczby ulepszeń produktu po rozpoczęciu produkcji;
• wzrost satysfakcji konsumentów, a w efekcie wzrost reputacji producenta.

Osobliwością jest to, że analiza tryby i skutki awarii FMEA v krótkoterminowy może nie zapewniać wymiernych korzyści finansowych, a nawet być kosztowna. Jednak w planowanie strategiczne odgrywa decydującą rolę, ponieważ przeprowadzana tylko na etapie przedprodukcyjnym, przyniesie następnie korzyści ekonomiczne przez cały czas koło życia produkt. Ponadto koszty negatywnych konsekwencji wad mogą często być wyższe niż ostateczny koszt produktu. Można podać przykład przemysł lotniczy gdzie setki ludzkich istnień zależą od rzetelności każdego szczegółu.

Każdy główny element systemu jest badany w celu określenia sposobów jego przejścia w stan awaryjny. Analiza ma głównie charakter jakościowy i jest przeprowadzana „oddolnie”, z zastrzeżeniem wystąpienia sytuacji awaryjnych „pojedynczo”.

Analiza trybów awarii, konsekwencji i krytyczności znacznie bardziej szczegółowa niż analiza drzewa usterek, ponieważ wszystkie możliwe tryby awarii lub sytuacje awaryjne dla każdego elementu systemu.

Na przykład przekaźnik może ulec awarii z następujących powodów:

– styki nie otworzyły się lub nie zamknęły;

- opóźnienie w zamknięciu lub otwarciu styków;

- zwarcie styków do obudowy, źródła zasilania, pomiędzy stykami oraz w obwodach sterowniczych;

– odbicie kontaktów (kontakt niestabilny);

– łuk kontaktowy, generowanie hałasu;

- pęknięcie uzwojenia;

– zwarcie uzwojenia;

– niska lub wysoka rezystancja uzwojenia;

- przegrzanie uzwojenia.

Dla każdego rodzaju awarii analizowane są konsekwencje, nakreślane są metody eliminowania lub kompensowania awarii oraz opracowywana jest lista niezbędnych kontroli.

Na przykład w przypadku zbiorników, zbiorników, rurociągów lista ta może wyglądać następująco:

– zmienne parametry (przepływ, ilość, temperatura, ciśnienie, nasycenie itp.);

– systemy (ogrzewanie, chłodzenie, zasilanie, sterowanie itp.);

– stany specjalne (konserwacja, włączanie, wyłączanie, wymiana treści itp.);

– zmiana warunków lub stanu (zbyt duży, za mały, uderzenie wodne, osiadanie, niemieszalność, wibracje, pęknięcie, wyciek itp.).

Formy dokumentów stosowane w analizie są podobne do tych stosowanych we wstępnej analizie zagrożeń, ale są w dużej mierze szczegółowe.

Analiza krytyczności przewiduje klasyfikację każdego elementu zgodnie ze stopniem jego wpływu na wykonanie całościowego zadania przez system. Kategorie krytyczności zostały ustalone dla różnego rodzaju podskakiwać:

Metoda nie zapewnia ilościowej oceny możliwych konsekwencji lub szkód, ale pozwala odpowiedzieć na następujące pytania:

– które z elementów należy poddać szczegółowej analizie w celu wyeliminowania zagrożeń prowadzących do wypadków;

- który element wymaga szczególnej uwagi w procesie produkcyjnym;

- jakie są standardy kontroli wejściowej;

– gdzie należy wprowadzić specjalne procedury, zasady bezpieczeństwa i inne środki ochronne;

Jak wydać najskuteczniejszy sposób, aby zapobiegać?
Wypadki.

7.3.3. Analiza diagramu wszystkich możliwych
konsekwencje awarii lub awarii systemu
("drzewo błędów")

Ta metoda analizy jest kombinacją technik ilościowych i jakościowych do rozpoznawania warunków i czynników, które mogą prowadzić do niepożądanego zdarzenia („top event”). Uwzględniane warunki i czynniki są wbudowane w łańcuch graficzny. Zaczynając od góry identyfikowane są przyczyny lub stany awaryjne kolejnych, niższych poziomów funkcjonalnych systemu. Analizowanych jest wiele czynników, w tym interakcje międzyludzkie i zjawiska fizyczne.

Uwaga koncentruje się na tych skutkach awarii lub wypadku, które są bezpośrednio związane z najważniejszymi wydarzeniami. Metoda jest szczególnie przydatna do analizy systemów z wieloma obszarami kontaktu i interakcji.

Przedstawienie zdarzenia w postaci graficznego diagramu prowadzi do tego, że łatwo można zrozumieć zachowanie systemu oraz zachowanie zawartych w nim czynników. Ze względu na masywność „drzew” ich przetwarzanie może wymagać użycia systemów komputerowych. Ze względu na masywność trudno też sprawdzić „drzewo błędów”.

Metodę stosuje się przede wszystkim w ocenie ryzyka do oceny prawdopodobieństwa lub częstotliwości występowania usterek i wypadków. Sekcja 7.4 zawiera bardziej szczegółowy opis metody.

7.3.4. Analiza diagramu możliwych konsekwencji zdarzenia
(„drzewo zdarzeń”)

"Drzewo Zdarzeń" (ET) - algorytm uwzględniania zdarzeń pochodzących od zdarzenia głównego (awaryjnego). DS służy do określenia i analizy sekwencji (opcji) rozwoju wypadku, w tym złożonych interakcji między technicznymi systemami bezpieczeństwa. Prawdopodobieństwo każdego scenariusza awaryjnego oblicza się, mnożąc prawdopodobieństwo zdarzenia głównego przez prawdopodobieństwo zdarzenia końcowego. W jego konstrukcji używana jest logika bezpośrednia. Wszystkie wartości prawdopodobieństwa bezawaryjnej pracy P bardzo mały. „Drzewo” nie podaje rozwiązań liczbowych.

Przykład 7.1. Załóżmy, że przeprowadzając wstępną analizę zagrożeń (PHA) okazało się, że krytyczną częścią reaktora, czyli podsystemem, od którego zaczyna się ryzyko, jest układ chłodzenia reaktora; w związku z tym analizę rozpoczyna się od przyjrzenia się sekwencji możliwych zdarzeń od momentu awarii rurociągu instalacji chłodniczej, zwanej zdarzeniem inicjującym, których prawdopodobieństwo jest równe ROCZNIE)(rys. 7.1), tzn. wypadek zaczyna się od zniszczenia (pęknięcia) rurociągu – zdarzenie A.
Następnie analizujemy możliwe scenariusze rozwoju wydarzeń ( b,C, D oraz mi), które mogą nastąpić po zawaleniu się rurociągu. Na ryc. 7.1 pokazuje „drzewo inicjowanie wydarzeń” wyświetla wszystkie możliwe alternatywy.
Pierwsza gałąź bada stan zasilania elektrycznego. Jeśli dostępne jest zasilanie, następnym analizowanym jest system awaryjnego chłodzenia rdzenia (ACOR). Awaria ASOR prowadzi do stopienia paliwa i różnych wycieków produktów radioaktywnych, w zależności od integralności konstrukcji.

W przypadku analizy z wykorzystaniem systemu binarnego, w którym elementy albo wykonują swoje funkcje, albo ulegają awarii, liczba potencjalnych awarii wynosi 2 n– 1, gdzie n to liczba rozważanych elementów. W praktyce oryginalne „drzewo” można uprościć za pomocą logiki inżynierskiej i zredukować do prostszego drzewa, pokazanego na dole ryc. 7.1.

Przede wszystkim interesująca jest kwestia dostępności energii elektrycznej. Pytanie brzmi, jakie jest prawdopodobieństwo P B awaria zasilania i jaki wpływ ta awaria ma na inne systemy ochrony. W przypadku braku zasilania, w rzeczywistości nie można wykonać żadnych czynności przewidzianych w razie wypadku z użyciem spryskiwaczy do chłodzenia rdzenia reaktora. W efekcie uproszczone „drzewo zdarzeń” nie zawiera możliwości wyboru w przypadku awarii zasilania, a może wystąpić duży przeciek, którego prawdopodobieństwo jest równe PA(P B).

W przypadku, gdy awaria w dostawie energii elektrycznej zależy od awarii rurociągu układu chłodzenia reaktora, prawdopodobieństwo P B należy obliczyć jako prawdopodobieństwo warunkowe, aby uwzględnić tę zależność. Jeśli zasilanie jest dostępne, następujące opcje w analizie zależą od stanu ACOP. Może działać lub nie, a jego awaria jest prawdopodobna P C 1 prowadzi do sekwencji wydarzeń przedstawionych na ryc. 7.1.

Ryż. 7.1. „Drzewo zdarzeń”

Należy zauważyć, że dla rozważanego systemu jest to możliwe różne opcje rozwój wypadków. Jeśli system usuwania materiałów radioaktywnych działa, wycieków radioaktywnych jest mniej niż w przypadku awarii. Oczywiście awaria w ogólnym przypadku prowadzi do sekwencji zdarzeń z mniejszym prawdopodobieństwem niż w przypadku uptime.

Ryż. 7.2. Histogram prawdopodobieństwa dla różnych szybkości wycieków

Po rozważeniu wszystkich wariantów „drzewa” można uzyskać szereg możliwych wycieków i odpowiadające im prawdopodobieństwa dla różnych sekwencji rozwoju wypadków (rys. 7.2). Górna linia „drzewa” to główna opcja w przypadku awarii reaktora. Ta sekwencja zakłada, że ​​rurociąg ulegnie awarii, a wszystkie systemy bezpieczeństwa będą nadal działać.

Aby poradzić sobie z drugą częścią, gorąco polecam najpierw zapoznać się z nią.

Analiza przyczyn i skutków awarii (FMEA)

Analiza trybów i skutków awarii (FMEA) to narzędzie do oceny ryzyka rozumowania indukcyjnego, które uwzględnia ryzyko jako produkt następujących elementów:

• nasilenie konsekwencji potencjalnej awarii (S)
• możliwość potencjalnej awarii (O)
• prawdopodobieństwo wykrycia awarii (D)

Proces oceny ryzyka składa się z:

Przypisanie do każdego z powyższych elementów ryzyka odpowiedniego poziomu ryzyka (wysoki, średni lub niski); dysponując szczegółowymi praktycznymi i teoretycznymi informacjami o zasadach budowy i eksploatacji kwalifikującego się urządzenia, możliwe jest obiektywne przypisanie poziomów ryzyka zarówno dla możliwości wystąpienia awarii, jak i prawdopodobieństwa niewykrycia awarii. Możliwość wystąpienia awarii można traktować jako odstęp czasu pomiędzy wystąpieniami tej samej awarii.

Przypisanie poziomów ryzyka do prawdopodobieństwa niewykrycia awarii wymaga wiedzy, w jaki sposób przejawi się awaria określonej funkcji przyrządu. Na przykład awaria systemu oprogramowanie Przyrząd zakłada, że ​​spektrofotometr nie może być obsługiwany. Taka awaria może być łatwo wykryta i dlatego można jej przypisać niski poziom ryzyka. Jednak błąd pomiaru gęstości optycznej nie może być wykryty w odpowiednim czasie, jeśli odpowiednio nie wykonano kalibracji, a brak funkcji spektrofotometru do pomiaru gęstości optycznej należy przypisać wysokiemu poziomowi ryzyka jej niewykrycia .

Przypisywanie poziomu dotkliwości ryzyka jest nieco bardziej subiektywne i zależy w pewnym stopniu od wymagań odpowiedniego laboratorium. W takim przypadku poziom dotkliwości ryzyka jest uważany za kombinację:

Niektóre sugerowane kryteria przypisywania poziomu ryzyka dla wszystkich elementów ogólnej oceny ryzyka omówionej powyżej przedstawiono w Tabeli 2. Proponowane kryteria są najbardziej odpowiednie do stosowania w regulowanym środowisku kontroli jakości produktu. Inne zastosowania analizy laboratoryjnej mogą wymagać innego zestawu kryteriów przypisania. Na przykład wpływ jakiegokolwiek niepowodzenia na działanie laboratorium kryminalistycznego może ostatecznie wpłynąć na wynik procesu karnego.

Tabela 2: sugerowane kryteria przypisywania poziomów ryzyka

Poziom ryzyka	Jakość (Q)	Zgodność (C)	Biznes (B)	Prawdopodobieństwo pojawienia się (P)	Prawdopodobieństwo wykrycia (D)
	surowość
Wysoki	Może zaszkodzić konsumentowi	Doprowadzi do wycofania produktu	Ponad tydzień przestoju lub potencjalna znaczna utrata przychodów	Więcej niż raz w ciągu trzech miesięcy	W większości przypadków jest mało prawdopodobne
Przeciętny	Prawdopodobnie nie zaszkodzi konsumentowi	Spowoduje list ostrzegawczy	Przestój do tygodnia lub potencjalna znaczna utrata dochodów	Raz na trzy do dwunastu miesięcy	Może być znaleziony w niektórych przypadkach
Niski	Nie zaszkodzi użytkownikowi	Doprowadzi do wykrycia niezgodności podczas audytu	Przestój do jednego dnia lub niewielka utrata dochodów	Raz na rok do trzech lat	Prawdopodobnie zostanie odkryty

Zaczerpnięte ze źródła

Obliczenie poziomu całkowitego ryzyka obejmuje:

1. Przypisanie wartości liczbowej do każdego poziomu dotkliwości ryzyka dla każdej indywidualnej kategorii dotkliwości, jak pokazano w Tabeli 3
2. Zsumowanie wartości liczbowych poziomów dotkliwości dla każdej kategorii ryzyka da skumulowany ilościowy poziom dotkliwości w zakresie od 3 do 9
3. Skumulowany ilościowy poziom dotkliwości można przekonwertować na skumulowany jakościowy poziom dotkliwości, jak pokazano w tabeli 4.

Tabela 3: przypisanie ilościowego poziomu dotkliwości			Tabela 4: skumulowana kalkulacja dotkliwości
Poziom jakości dotkliwości	Ilościowy poziom dotkliwości		Skumulowany ilościowy poziom istotności	Skumulowany poziom jakości jakości
Wysoki	3		7-9	Wysoki
Przeciętny	2		5-6	Przeciętny
Niski	1		3-4	Niski

1. W wyniku pomnożenia skumulowanego poziomu jakości Dotkliwości (S) przez poziom prawdopodobieństwa Wystąpienia (O) otrzymujemy Klasę Ryzyka, jak pokazano w tabeli 5.
2. Współczynnik ryzyka można następnie obliczyć, mnożąc klasę ryzyka przez niewykrywalny, jak pokazano w tabeli 6.

Tabela 5: kalkulacja klasy ryzyka					Tabela 6: obliczanie poziomu ryzyka
Poziom ważności					niewykrywalność
Poziom wyglądu	Niski	Przeciętny	Wysoki		Klasa ryzyka	Niski	Przeciętny	Wysoki
Wysoki	Przeciętny	Wysoki	Wysoki		Wysoki	Przeciętny	Wysoki	Wysoki
Przeciętny	Niski	Przeciętny	Wysoki		Przeciętny	Niski	Przeciętny	Wysoki
Niski	Niski	Niski	Przeciętny		Niski	Niski	Niski	Przeciętny
Klasa ryzyka = Poziom dotkliwości * Poziom występowania					Czynnik ryzyka = Klasa ryzyka * Poziom niewykrywalności

Ważną cechą tego podejścia jest to, że podczas obliczania czynnika ryzyka, kalkulacja ta nadaje dodatkową wagę czynnikom występowania i wykrywalności. Na przykład, jeśli awaria ma dużą wagę, ale jest mało prawdopodobna i łatwa do wykrycia, ogólny czynnik ryzyka będzie niski. I odwrotnie, jeśli potencjalna dotkliwość jest niska, ale wystąpienie awarii prawdopodobnie będzie częste i trudne do wykrycia, wówczas skumulowany czynnik ryzyka będzie wysoki.

Tak więc dotkliwość, która często jest trudna lub wręcz niemożliwa do zminimalizowania, nie będzie miała wpływu całkowite ryzyko związane z określoną awarią funkcjonalną. Natomiast występowanie i niewykrywalność, które są łatwiejsze do zminimalizowania, mają większy wpływ na ogólne ryzyko.

Dyskusja

Proces oceny ryzyka składa się z czterech głównych kroków, wymienionych poniżej:

1. Przeprowadzenie oceny w przypadku braku jakichkolwiek narzędzi lub procedur łagodzących,
2. Ustalenie środków i procedur minimalizacji oszacowanego ryzyka na podstawie wyników oceny
3. Przeprowadzenie oceny ryzyka po wdrożeniu działań łagodzących w celu określenia ich skuteczności
4. W razie potrzeby ustal dodatkowe narzędzia i procedury łagodzące oraz dokonaj ponownej oceny

Ocena ryzyka podsumowana w tabeli 7 i omówiona poniżej jest rozpatrywana z perspektywy przemysłu farmaceutycznego i pokrewnych. Mimo to podobne procesy można zastosować do każdego innego sektora gospodarki, jednak jeśli zastosuje się inne priorytety, to można wyciągnąć odmienne, ale nie mniej uzasadnione, wnioski.

Wstępna ocena

Rozpoczyna się od funkcji operacyjnych spektrofotometru: dokładności i precyzji długości fali oraz rozdzielczości widmowej spektrofotometru, które decydują o możliwości wykorzystania go w badaniach tożsamości UV/Visible. Wszelkie niedokładności, niewystarczająca precyzja oznaczenia długości fali lub niewystarczająca rozdzielczość spektrofotometru mogą prowadzić do błędnych wyników testu tożsamości.

To z kolei może prowadzić do wydania produktów o niewiarygodnej autentyczności, aż do momentu ich otrzymania przez konsumenta końcowego. Może to również prowadzić do wycofania produktów, a następnie znacznych kosztów lub utraty przychodów. Dlatego w każdej kategorii dotkliwości funkcje te będą przedstawiać wysoki poziom ryzyka.

Tabela 7: ocena ryzyka z FMEA dla spektrofotometru UV/V

Preminimalizacja

Kolejna minimalizacja

surowość

surowość

Funkcje

Q

C

b

S

O

D

RF

Q

C

b

S

O

D

RF

Funkcje robocze

Dokładność długości fali

V

V

V

V

Z

V

V

V

V

V

V

h

h

h

Odtwarzalność długości fali

V

V

V

V

Z

V

V

V

V

V

V

h

h

h

Rozdzielczość widmowa

V

V

V

V

Z

V

V

V

V

V

V

h

h

h

rozproszone światło

V

V

V

V

Z

V

V

V

V

V

V

h

h

h

Stabilność fotometryczna

V

V

V

V

V

V

V

V

V

V

V

h

h

h

Szum fotometryczny

V

V

V

V

V

V

V

V

V

V

V

h

h

h

Widmowa płaskość linii bazowej

V

V

V

V

V

V

V

V

V

V

V

h

h

h

Dokładność fotometryczna

V

V

V

V

V

V

V

V

V

V

V

h

h

h

Funkcje jakości i integralności danych

Kontrola dostępu

V

V

V

V

h

h

h

V

V

V

V

h

h

h

Podpisy elektroniczne

V

V

V

V

h

h

h

V

V

V

V

h

h

h

Kontrola hasła

V

V

V

V

h

h

h

V

V

V

V

h

h

h

Ochrona danych

V

V

V

V

h

h

h

V

V

V

V

h

h

h

ścieżka audytu

V

V

V

V

h

h

h

V

V

V

V

h

h

h

znaczniki czasu

V

V

V

V

h

h

h

V

V

V

V

h

h

h

H = Wysoka, M = Średnia, L = Niska
Q = Jakość, C = Zgodność, B = Biznes, S = Dotkliwość, O = Występowanie, D = Niewykrywalne, RF = Czynnik Ryzyka

Analizując dalej, światło rozproszone wpływa na poprawność pomiarów gęstości optycznej. Nowoczesne instrumenty mogą to uwzględnić i odpowiednio skorygować obliczenia, ale wymaga to określenia tego rozproszonego światła i zapisania go w oprogramowaniu operacyjnym spektrofotometru. Wszelkie niedokładności w przechowywanych parametrach światła rozproszonego spowodują nieprawidłowe pomiary gęstości optycznej z takimi samymi konsekwencjami dla stabilności fotometrycznej, szumu, dokładności linii bazowej i płaskości, jak wskazano w następnym akapicie. Dlatego w każdej kategorii dotkliwości funkcje te będą przedstawiać wysoki poziom ryzyka. Dokładność i precyzja długości fali, rozdzielczość i światło rozproszone w dużej mierze zależą od właściwości optycznych spektrofotometru. Nowoczesne urządzenia z matrycą diodową nie mają ruchomych części, dlatego awariom tych funkcji można przypisać średnie prawdopodobieństwo wystąpienia. Jednak w przypadku braku specjalnych kontroli jest mało prawdopodobne, aby awaria tych funkcji została wykryta, dlatego niewykrytym przypisuje się wysoki poziom ryzyka.

Stabilność fotometryczna, szum i dokładność, a także płaskość linii bazowej wpływają na dokładność pomiaru gęstości optycznej. Jeżeli spektrofotometr jest używany do wykonywania pomiarów ilościowych, to każdy błąd pomiaru gęstości optycznej może skutkować błędnymi wynikami. Jeżeli raportowane wyniki tych pomiarów zostaną wykorzystane do wprowadzenia na rynek partii produktu farmaceutycznego, może to spowodować, że użytkownicy końcowi otrzymają partie leku o niskiej jakości.

Takie serie trzeba będzie sobie przypomnieć, co z kolei pociągnie za sobą znaczne koszty lub utratę dochodów. Dlatego w każdej kategorii dotkliwości funkcje te będą przedstawiać wysoki poziom ryzyka. Ponadto funkcje te zależą od jakości lampy UV. Lampy UV mają standardową żywotność około 1500 godzin lub 9 tygodni ciągłego użytkowania. W związku z tym dane te wskazują na wysokie ryzyko niepowodzenia. Ponadto, przy braku jakichkolwiek środków ostrożności, awaria którejkolwiek z tych funkcji prawdopodobnie nie zostanie wykryta, co oznacza wysoki współczynnik niewykrywalności.

Wróćmy teraz do funkcji zapewniania jakości i integralności danych, ponieważ wyniki testów są wykorzystywane do podejmowania decyzji dotyczących przydatności produktu farmaceutycznego do zamierzonego zastosowania. Jakikolwiek kompromis w zakresie poprawności lub integralności utworzonych zapisów może potencjalnie skutkować wprowadzeniem na rynek produktu o nieokreślonej jakości, co może zaszkodzić użytkownikowi końcowemu, a produkt może wymagać wycofania, powodując duże straty dla laboratorium/ Spółka. Dlatego w każdej kategorii dotkliwości funkcje te będą przedstawiać wysoki poziom ryzyka. Jednak po prawidłowym skonfigurowaniu wymaganej konfiguracji oprogramowania przyrządu jest mało prawdopodobne, że funkcje te zawiodą. Ponadto każdą awarię można wykryć w odpowiednim czasie.

Na przykład:

• Udzielanie dostępu tylko upoważnionym osobom odpowiednim program pracy do momentu otwarcia można go wdrożyć, wymagając od systemu wprowadzenia nazwy użytkownika i hasła. Jeśli ta funkcja nie powiedzie się, system nie będzie już pytał o odpowiednio nazwę użytkownika i hasło, zostanie to natychmiast wykryte. Dlatego ryzyko niewykrycia tej awarii będzie niskie.
• Kiedy tworzony jest plik, który wymaga certyfikacji podpis elektroniczny, otworzy się okno dialogowe, które wymaga wprowadzenia odpowiednio nazwy użytkownika i hasła, jeśli wystąpi awaria systemu, to okno się nie otworzy, a awaria zostanie natychmiast wykryta.

minimalizacja

Chociaż powagi awarii funkcji operacyjnych nie można zminimalizować, możliwość awarii można znacznie zmniejszyć, a prawdopodobieństwo wykrycia takiej awarii można zwiększyć. Przed pierwszym użyciem instrumentu zaleca się zakwalifikowanie następujących funkcji:

• dokładność i precyzja długości fali
• rozdzielczość widmowa
• rozproszone światło
• fotometryczna dokładność, stabilność i hałas
• płaskość linii podstawowej widma,

a następnie poddawać ponownej kwalifikacji w określonych odstępach czasu, ponieważ znacznie zmniejszy to możliwość i prawdopodobieństwo niewykrycia żadnej awarii. Ponieważ stabilność fotometryczna, szum i dokładność oraz płaskość linii bazowej zależą od stanu lampy UV, a standardowe lampy deuterowe mają żywotność około 1500 godzin (9 tygodni) ciągłego użytkowania, zaleca się, aby procedura operacyjna wskazywała, że lampy powinny być wyłączone na czas bezczynności spektrofotometru, to znaczy, gdy nie jest używany. Zaleca się również wykonywanie konserwacji zapobiegawczej (PM) co sześć miesięcy, w tym wymianę lampy i ponowną kwalifikację (RP).

Uzasadnienie okresu rekwalifikacji zależy od żywotności standardowej lampy UV. Jest to około 185 tygodni przy użyciu przez 8 godzin raz w tygodniu, a odpowiedni okres eksploatacji w tygodniach przedstawiono w tabeli 8. Tak więc, jeśli spektrofotometr jest używany przez cztery do pięciu dni w tygodniu, lampa UV wytrzyma około ośmiu do dziesięciu miesięcy .

Tabela 8:średni czas życia lampy UV, uzależniony od średniej liczby ośmiogodzinnych dni pracy spektrofotometru w tygodniu

Średnia liczba dni użytkowania w tygodniu	Średnia żywotność lampy (tygodnie)
7	26
6	31
5	37
4	46
3	62
2	92
1	185

Konserwacja zapobiegawcza co sześć miesięcy Utrzymanie i rekwalifikacja (PTO/PC) zapewni bezproblemową pracę przyrządu. Jeśli spektrofotometr jest używany przez sześć do siedmiu dni w tygodniu, żywotność lampy powinna wynieść około sześciu miesięcy, więc PHE/PC co trzy miesiące jest bardziej odpowiednie, aby zapewnić odpowiedni czas pracy bez przestojów. Odwrotnie, jeśli spektrofotometr jest używany raz lub dwa razy w tygodniu, PHE/PC wystarczy na pracę co 12 miesięcy.

Dodatkowo ze względu na stosunkowo krótką żywotność lampy deuterowej zaleca się sprawdzenie następujących parametrów, najlepiej każdego dnia używania spektrofotometru, co dodatkowo zagwarantuje jego prawidłowe działanie:

• jasność lampy
• prąd ciemny
• kalibracja linii emisji deuteru przy długościach fali 486 i 656,1 nm
• filtr i czas otwarcia migawki
• szum fotometryczny
• płaskość linii bazowej widma
• krótkotrwały szum fotometryczny

Nowoczesne przyrządy zawierają już te testy w swoim oprogramowaniu i można je wykonać, wybierając odpowiednią funkcję. Jeśli którykolwiek z testów zakończy się niepowodzeniem, z wyjątkiem testu prądu ciemnego oraz filtra i szybkości migawki, lampę deuterową należy wymienić. Jeśli test prądu ciemnego lub test filtra i prędkości bramki nie powiedzie się, spektrofotometr nie powinien być używany i powinien zostać wysłany w celu naprawy i ponownej kwalifikacji. Ustanowienie tych procedur zminimalizuje zarówno ryzyko, że funkcja pracy może zawieść, jak i ryzyko, że jakakolwiek awaria może nie zostać wykryta.

Czynniki ryzyka dla jakości danych i funkcji integralności są już niskie bez żadnych środków łagodzących. Dlatego wystarczy sprawdzić działanie tych funkcji podczas OQ i PQ, aby potwierdzić poprawność konfiguracji. Następnie każdą awarię można wykryć w odpowiednim czasie. Jednak personel musi zostać przeszkolony lub poinstruowany, aby był w stanie rozpoznać awarię i podjąć odpowiednie działania.

Wniosek

Analiza trybów i skutków awarii (FMEA) to łatwe w użyciu narzędzie do oceny ryzyka, które można łatwo zastosować do oceny ryzyka awarii sprzętu laboratoryjnego wpływającego na jakość, zgodność i operacje biznesowe. Przeprowadzenie takiej oceny ryzyka umożliwi podejmowanie świadomych decyzji dotyczących wdrożenia odpowiednich mechanizmów kontrolnych i procedur w celu ekonomicznego zarządzania ryzykiem związanym z awarią krytycznych funkcji instrumentu.

Analiza przyczyn i skutków awarii - AVPO (Analiza trybów i skutków awarii - FMEA) to jest wnioskowane ocena jakościowa niezawodność i bezpieczeństwo systemy techniczne. Analiza rodzajów i skutków awarii to metoda identyfikacji dotkliwości konsekwencji potencjalnych rodzajów awarii i zapewnienia środków łagodzących. Istotną cechą tej metody jest rozważenie każdego systemu jako całości i każdej jego części składowej (elementu) pod kątem tego, w jaki sposób może ulec uszkodzeniu (rodzaj i przyczyna awarii) oraz jak ta awaria wpływa układ technologiczny(konsekwencje odmowy). Termin „system” jest tutaj rozumiany jako zestaw powiązanych ze sobą lub oddziałujących na siebie elementów (GOST R 51901.12-2007) i jest używany do opisania sprzętu (technicznego) środków, oprogramowania (i ich kombinacji) lub procesu. Ogólnie rzecz biorąc, AVPO stosuje się do pewne rodzaje awarie i ich konsekwencje dla systemu jako całości.

Zaleca się przeprowadzanie AVPO na wczesnych etapach rozwoju systemu (obiektu, produktu), kiedy eliminacja lub redukcja liczby i (lub) rodzajów awarii i ich skutków jest bardziej opłacalna. Jednocześnie zasady AVPO mogą być stosowane na wszystkich etapach cyklu życia systemu. Każdy tryb awaryjny jest uważany za niezależny. Dlatego ta procedura nie nadaje się do radzenia sobie z awariami zależnymi lub awariami wynikającymi z sekwencji wielu zdarzeń.

Analiza rodzajów i skutków awarii to indukcyjna metoda analizy oddolnej, która systematycznie analizuje wszystkie możliwe tryby awarii lub sytuacje awaryjne i identyfikuje ich skutki dla systemu, w oparciu o sekwencyjne rozważanie jednego elementu po drugim. Poszczególne sytuacje awaryjne i tryby awaryjne elementów są identyfikowane i analizowane w celu określenia ich wpływu na inne elementy i system jako całość. Metodę AFPO można przeprowadzić bardziej szczegółowo niż analizę drzewa usterek, ponieważ konieczne jest uwzględnienie wszystkich możliwych trybów awarii lub sytuacji awaryjnych dla każdego elementu systemu. Na przykład przekaźnik może ulec awarii z następujących powodów: styki nie otworzyły się; opóźnienie w zamknięciu styków; zwarcie styków do obudowy, źródła zasilania, między stykami oraz w obwodach sterujących; grzechotanie kontaktów; niestabilny kontakt elektryczny; łuk kontaktowy; przerwa w uzwojeniu itp.

Przykłady typy ogólne awarie mogą być:

• ? awaria podczas pracy;
• ? awaria związana z niedziałaniem w ustalonym czasie;
• ? odmowa związana z nieprzerwaniem pracy w ustalonym czasie;
• ? wczesna aktywacja itp.

Dodatkowo dla każdej kategorii sprzętu należy sporządzić wykaz niezbędnych kontroli. Na przykład w przypadku zbiorników i innego sprzętu pojemnościowego taki wykaz może obejmować:

• ? parametry technologiczne: objętość, przepływ, temperatura, ciśnienie itp.;
• ? układy pomocnicze: grzanie, chłodzenie, zasilanie, zasilanie, automatyka itp.;
• ? stany specjalne urządzeń: uruchomienie, konserwacja w trakcie eksploatacji, wycofanie z eksploatacji, wymiana katalizatora itp.;
• ? zmiany warunków lub stanu urządzeń: nadmierne odchylenie wartości ciśnienia, uderzenie wodne, osad, wibracje, pożar, uszkodzenia mechaniczne, korozja, pęknięcie, wyciek, zużycie, wybuch itp.;
• ? charakterystyka oprzyrządowania i automatyki: czułość, strojenie, opóźnienie itp.

Metoda przewiduje uwzględnienie wszystkich rodzajów uszkodzeń dla każdego elementu. Analizie podlegają przyczyny i konsekwencje awarii (lokalne – dla elementu i ogólne – dla systemu), metody detekcji i warunki kompensacji awarii (np. redundancja elementów czy monitoring obiektu). Ocena istotności wpływu skutków awarii na eksploatację obiektu jest powagę odrzucenia. Przykład klasyfikacji według kategorii dotkliwości konsekwencji podczas wykonywania jednego z rodzajów AVPO (w formie jakościowej) podano w tabeli. 5,3 (GOST R 51901.12-2007).

Tabela 5.3

Klasyfikacja dotkliwości awarii

Kończący się

Lista kontrolna AFRA jest stwierdzeniem samej metody AFRA, a jej forma jest podobna do tej stosowanej w innych metodach jakościowych, m.in. ekspertyzy, z różnicą bardziej szczegółowo. Metoda AFPO koncentruje się na sprzęcie i systemach mechanicznych, jest łatwa do zrozumienia i nie wymaga użycia aparatu matematycznego. Analiza ta pozwala określić potrzebę zmian w projekcie i ocenić ich wpływ na niezawodność systemu. Wadami metody są znaczne nakłady czasu na wdrożenie, a także fakt, że nie uwzględnia ona kombinacji awarii i czynnika ludzkiego.