GB20438.7 技术和措施概述失效模式和影响分析(FMEA

摘要：描述:通常是通过一次工程师会议来进行分析，依次分析一个系统的每个部件从面给出部件的一组失效模式、失效的起因和影响(局部和整体系统级)、检测程序和建议，如果建议被接受,它们将作为采取的补救行动编入文档。

B.6.6 失效分析

注:在GB/T 20438.2-2017的表线5和表 B.6中引用了本技术/措施。

B.6.6.1 失效模式和影响分析(FMEA)

目的:通过系统性的检查一个系统的元件的所有可能失效源以及确定这些失效对系统的行为和安全性的影响来分析一个系统的设计。

描述:通常是通过一次工程师会议来进行分析，依次分析一个系统的每个部件从面给出部件的一组失效模式、失效的起因和影响(局部和整体系统级)、检测程序和建议，如果建议被接受,它们将作为采取的补救行动编入文档。

参考文献:

GB/T 7826-2012 系统可靠性分析技术失效模式和影响分析(FMEA)程序

Risk Assessment and Risk Management for the Chemical Process Industry, H.R.Greenberg,J.J. Cramer,John Wiley and Sons,1991,ISBN 0471288829,9780471288824

Reliability Technology.A.E.Green.A.J,Bourne, Wiley-Interscience, 1972,ISBN 0471324809

B.6.6.2 因果图

注:在GB/T 20438.3-2017的表B3.表B4,表C.13和表C.14中引用了本技术/错施。

目的:为了以一种紧凑的图表形式分析和建立一个系统中可能形成的事件序列的模型.此事件序列是基本事件组合的结果。

描述:本技术可看成是故障树和事件树的一种组合分析。从一个致命事件开始，一幅因果图通过描述运行成功或失败的是/否门被向前跟踪。这样就创建了事件或受控情形的事件结果。结果图(如事件树)也就为每一次失效所创建。把致命事件作为顶端事件,从致命时间开始和向后跟踪能画出整体的事件树。在正向跟踪中,确定了由一个事件产生的可能后果。图形包含顶点符号,这些符号描述了从顶点开始沿各分支传播的条件。也能包括时间延迟。还可用故障树米描述这些条件。为了使图形更简洁,传播路线可与逻辑符号组合。定义了一个标准的符号集合以供因果图使用。图表可用于生成故障树，并可用这些图来计算发生某些致命后果的概率。它也可以被用来产生事件树。

参考文献:

IEC 62502,Analysis techniques for dependability-Event tree analysis(ETA)

The Cause Consequence Diagram Methodas a Basis for Quantitative Accident Analysis.B.S,Niels- en,Danish Atomic Energy Commission,Riso-M-1374,1971

B.6.6.3 事件树分析(ETA)

注:在GB/T 20438.3-2017的表B.4和表C.14中引用了此技术/措施。

目的:为了用图表形式建立事件序列的模型.这种事件序列是在一个起始事件之后,在一个系统中可能产生的;并因此也为了指示可能产生的严重后果，事件树是难以从头建立且使用后果图是很有帮助的。

描述:在图顶部记录了紧随起始事件之后的相继事件有关的序列条件。在序列中从起始事件下面开始(它们是分析的目标)到第1个条件,画了一条线。在那里.图分成”Yes(是)”和“No(否)”两个分支,它们描述了以后的事件对条件的依从情况。对这两个分支来说,每个都以类似的方式继续到下一条件。但不是所有的条件都和分支有关。一个分支继续到序列的末端,并且按这种方式构造的树的每个分支代表一个可能的后果，在序列中提供的条件是独立的，根据序列中的条件的概率和数目，可用事件树来计算各种后果的概率。作为条件很少是完全独立的,这种计算应由熟练的分析人员来进行并慎重考虑。

参考文献:

IEC 62502,Analysis techniques for dependability-Event tree analysis(ETA)'

Risk Assessment and Risk Management for the Chemical Process Industry. H.R.Greenberg,J.J, Cramer,John Wiley and Sons,1991,ISBN 0471288829,9780471288824

B.6.6.4 失效模式,影响和危害性分析(FMECA)

注:在GB/T 20438.3-2017的表A.10、表B.4、表C.10和表C.14中引用了本技术/措施。

目的:为了确定在设计或者操作过程中需要特别关注哪些部件和采取哪些必要的控制措施,需要评定部件的危害性等级，这种等级通过单点失效将毁坏、损害系统或者使系统功能下降。

描述:这种方法与FMEA相当,但它有一个或多个列来说明其危害性,并有许多方法进行评定。最耗费人力的方法是美国汽车工程师协会(SAE)在ARP926中描述的方法。在该规程中,由发生在一个危害性模式中每百万次运行过程中预定的某种特殊类型的失效数来表示任一部件的危害性数值。危害性数值是9个参数的一个函数,它们中的大多数都是必须测量的。确定危害性的一种很简单的方法是部件失效的概率乘以可能发生的损坏;这种方法类似于简单的风险因数评估法。

参考文献:

GB/T 7826-2012系统可靠性分析技术失效模式和影响分析(FMEA)程序

Software criticality analysis of COTS/SOUP.P.Bishop. T.Clement,S.Guerra. In Reliability Engi- neering &- System Safety,Volume 81, Issue 3,September 2003,Elsevier Ltd.,2003

Software FMEAtechniques, P. L., Goddard. In Proc Annual 2000 Reliability and Maintainability Symposium,IEEE,2000,ISBN:0-7803-5848-1 B.6.6.5故障树分析(FTA)

注:在GB/T 20438.32017的表B.4和表C.14中引用了本技术/措施。

目的:帮助分析将会导致危险的严重结果的事件或事件组合,并计算顶端事件的发生概率。

描述:从一个可能直接引起危险或者严重后果的事件(“顶端事件”)开始分析下去,找到导致该事件的原因，这需要通过使用逻辑运算(与,或等)的几个步骤来完成。并按同样的方法分析中间原因,直到基本事件,分析停止。

本方法是图形法并使用了一组标准化的符号来绘制事件树。在分析的最后,故障树表示出了从基本事件(一般部件失效)到顶端事件(整个系统的失效)的功能连接关系。本技术原来主要用来分析硬件系统,但也可适用于软件失效分析。这种技术可以用于定性故障分析(识别失败的情景;基本项或最小割集)，半定量(根据其概率进行场景的排序)和定量计算顶端事件的概率(见C.6)。

参考文献:

IEC 61025:2006,Fault tree analysis(FTA)

From safety analysis to software requirements,K.M,Hansen, A.P.Ravn, A.P,V Stavridou,1EEE Trans Software Engineering,Volume 24,Issue 7.Jul 1998