Приложение 4. Процедуры анализа характера и последствий отказов. Резолюция MSC.36(63) "Принятие международного кодекса безопасности высокоскоростных судов" (принята 20 мая 1994 года) (с изменениями и дополнениями)

Приложение 4

Процедуры анализа характера и последствий отказов

1 Введение

1.1 Для обычного судна представлялось возможным достаточно подробно регламентировать некоторые аспекты проектирования или постройки, что сопровождалось определенной степенью риска, которая в течение многих лет интуитивно допускалась без необходимости ее определения.

1.2 С разработкой крупнотоннажных высокоскоростных судов этот необходимый опыт недоступен для широкого применения. Однако с учетом широкого принятия в настоящее время вероятностной концепции для оценки безопасности в рамках отрасли в целом предполагается, что для оказания помощи в оценке безопасности эксплуатации высокоскоростных судов может использоваться анализ отказов.

1.3 С целью определения и изучения важных условий отказов, которые могут иметь место, следует проводить практическую, реалистичную и документированную оценку характеристик судна и входящих в него систем в отношении отказов.

1.4 В настоящем приложении описан анализ характера и последствий отказов (АХПО) и приведено руководство относительно его возможного применения путем:

.1 пояснения основных принципов;

.2 предоставления методики, необходимой для выполнения анализа;

.3 определения соответствующих терминов, допущений, мер и характера отказов; и

.4 показа примеров необходимых форм рабочих таблиц учета.

1.5 АХПО для высокоскоростных судов основан на концепции единичного отказа, согласно которой предполагается, что каждая система на различных уровнях функциональной иерархии системы отказывает по одной вероятной причине в какое-то время. Последствия обусловленного отказа анализируются и классифицируются в соответствии со степенью их тяжести. Такие последствия могут включать отказы вторичного свойства (или разветвленные отказы) на другом уровне (уровнях). Отказ любого характера, который может вызвать катастрофическое последствие для судна, должен предотвращаться путем резервирования систем или оборудования, если такой отказ не является крайне невероятным (см. раздел 13). Вместо этого в отношении характера отказов, вызывающего опасные последствия, могут допускаться меры по устранению отказов. Для подтверждения выводов АХПО должна составляться программа испытаний.

1.6 Хотя АХПО предлагается в качестве одного из наиболее гибких аналитических методов, признается, что есть другие методы, которые могут быть использованы и которые в некоторых обстоятельствах могут способствовать в равной степени всестороннему пониманию характеристик определенных отказов.

2 Цели

2.1 Главной целью АХПО является проведение всестороннего, систематического и документированного исследования, которое устанавливает важные связанные с отказами состояния судна и оценивает их значение в отношении безопасности судна, находящихся на нем людей и окружающей среды.

2.2 Основными целями проведения анализа являются:

.1 предоставление Администрации результатов исследования характеристик отказов судна для оказания ей помощи в оценке уровней безопасности, предлагаемых для эксплуатации судна;

.2 предоставление операторам судов данных для выработки всесторонних программ и документации, касающихся подготовки, эксплуатации, технического обслуживания и ремонта; и

.3 предоставление проектировщикам судов и систем данных для проверки предлагаемых ими проектов.

3 Область применения

3.1 АХПО следует выполнять для каждого высокоскоростного судна перед вводом его в эксплуатацию в отношении систем, требуемых согласно положениям 5.2, 9.1.10, 12.1.1 и 16.2.6 настоящего Кодекса.

3.2 Для судов, которые имеют ту же самую конструкцию и то же самое оборудование, будет достаточен один АХПО головного судна, однако каждое из судов должно подвергаться тем же самым испытаниям для подтверждения выводов АХПО.

4 Анализ характера и последствий отказов систем

4.1 Перед тем как приступить к подробному АХПО в отношении последствий отказа элементов системы для работы всей системы, необходимо выполнить функциональный анализ отказов важных судовых систем. Таким образом, исследования с помощью более подробных АХПО необходимы только для тех систем, которые не удовлетворили функциональному анализу отказов.

4.2 При выполнении АХПО системы должны учитываться следующие типичные режимы эксплуатации в нормальных расчетных условиях окружающей судно среды:

.1 нормальные мореходные условия на полной скорости;

.2 максимально допустимая эксплуатационная скорость в водах с оживленным движением судов; и

.3 маневрирование во время швартовки.

4.3 Для понимания последствий отказов функциональную взаимозависимость этих систем следует также показывать либо на блок-схемах или древовидных схемах отказов, либо давать в описательной форме. Насколько это применимо, предполагается, что отказ каждой из подвергаемых анализу систем происходит при следующих характерах отказов:

.1 полная потеря функции;

.2 быстрый переход к работе с максимальной или минимальной мощностью;

.3 работа с неуправляемой или переменной мощностью;

.4 преждевременное срабатывание;

.5 невозможность срабатывания в установленное время; и

.6 невозможность прекращения работы в установленное время.

В зависимости от рассматриваемой системы может возникнуть необходимость принимать во внимание другие характеры отказов.

4.4 Если отказ системы может происходить без какого-либо опасного или катастрофического последствия, нет необходимости выполнять подробный АХПО структуры системы. В отношении систем, отдельный отказ которых может вызывать опасные или катастрофические последствия, а резервная система не предусмотрена, следует выполнять подробный АХПО, указанный в нижеследующих пунктах. Результаты анализа функционального отказа системы должны документироваться и подтверждаться программой практических испытаний, составленной на основании анализа.

4.5 Если для системы, отказ которой может вызвать опасное или катастрофическое последствие, предусмотрена резервная система, подробный АХПО может не требоваться, при условии, что:

.1 резервная система может быть введена в действие или взять на себя функции отказавшей системы в пределах времени, обусловленного наиболее тяжелым режимом эксплуатации, указанным в 4.2, не подвергая судно опасности;

.2 резервная система полностью независима от отказавшей системы и совместно не использует какой-либо общий элемент системы, отказ которого вызвал бы отказ как основной системы, так и резервной системы. Общий элемент двух систем может допускаться, если вероятность отказа соответствует разделу 13; и

.3 резервная система может использовать один и тот же источник энергии, что и система. В этом случае должен находиться в готовности запасной источник энергии с учетом требований .1.

Следует также учитывать вероятность и последствия внесения оператором ошибки в резервную систему.

5 Анализ характера и последствий отказов оборудования

Системы, подвергаемые исследованию с помощью более подробного АХПО на данном этапе, должны включать все те, которые не удовлетворили АХПО системы, и могут включать те из них, которые оказывают важное влияние на безопасность судна и находящихся на нем людей и которые требуют более глубокого исследования, чем исследование при анализе функционального отказа системы. К таким системам часто относятся системы, которые специально спроектированы или приспособлены для судна, такие как судовые электрические и гидравлические системы.

6 Процедуры выполнения анализа

Для выполнения АХПО необходимо предпринять следующее:

.1 определить систему, подлежащую анализу;

.2 проиллюстрировать взаимосвязи функциональных элементов системы посредством блок-схем;

.3 определить все возможные характеры отказов и их причины;

.4 оценить последствия для системы каждого характера отказов;

.5 определить методы обнаружения отказов;

.6 установить меры по устранению отказов;

.7 оценить вероятность отказов, вызывающих опасные или катастрофические последствия, в зависимости от случая;

.8 документально оформить анализ;

.9 разработать программу испытаний;

.10 подготовить отчет об АХПО.

7 Определение системы

Первой стадией в исследовании посредством АХПО является подробное изучение подвергаемой анализу системы с помощью чертежей и наставлений по эксплуатации оборудования. Должна быть подготовлена описательная характеристика системы и ее функциональных требований, включая следующую информацию:

.1 общее описание работы и структуры системы;

.2 функциональную связь между элементами системы;

.3 допустимые пределы функциональных характеристик системы и ее составляющих элементов в каждом из типичных режимов эксплуатации; и

.4 ограничения системы.

8 Разработка блок-схем системы

8.1 Следующая стадия - разработка блок-схемы (схем), показывающей функциональную последовательность процессов системы, как для технического понимания функций, так и для последующего анализа. Как минимум, на блок-схеме должны быть указаны:

.1 разделение системы на основные подсистемы или оборудование;

.2 все соответствующие маркированные входы и выходы, а также опознавательные номера, с помощью которых последовательно определяется каждая подсистема; и

.3 всё резервирование элементов, альтернативные тракты сигнала и другие технические особенности, которые обеспечивают "безотказные" меры.

Пример блок-схемы системы приведен в дополнении 1.

8.2 Может возникнуть необходимость в подготовке иного комплекта блок-схем для каждого рабочего режима.

9 Определение характера, причин и последствий отказов

9.1 Характер отказов - это способ, посредством которого ведется наблюдение за отказом. Обычно он описывает, каким образом происходит отказ, и его воздействие на оборудование или систему. В качестве примера в таблице 1 приведен перечень характеров отказов. Перечисленные в таблице 1 характеры отказов могут описать отказ любого элемента системы в достаточно конкретных понятиях. Все возможные характеры отказов можно таким образом определить и описать, используя при этом рабочие спецификации, регламентирующие входы и выходы на блок-схеме системы. Так, например, характер отказа источника электроэнергии может быть описан как "потеря выходной мощности"(29), а причина отказа - как "разрыв (электрической цепи)"(31).

9.2 Характер отказа в элементе системы может также быть причиной отказа системы. Например, характером отказа трубопровода гидравлической системы рулевого устройства может быть "внешняя утечка" (10). Этот характер отказа трубопровода гидравлической системы может стать причиной отказа системы рулевого устройства, характеризующегося как "потеря выходной мощности" (29).

9.3 Каждую систему следует рассматривать по принципу "сверху - вниз", начиная с функциональных выходных параметров системы, и следует предполагать, что отказ вызван в какое-то время одной возможной причиной. Поскольку характер отказа может иметь более чем одну причину, должны быть определены все возможные независимые причины каждого характера отказов.

9.4 Если отказ основных систем может происходить без какого-либо отрицательного последствия, нет необходимости рассматривать их далее, если только отказ не может быть обнаружен оператором. Определение того, что отрицательного последствия нет, не означает лишь установление резервирования системы. Должно быть показано, что резервная система немедленно эффективна, или она задействуется с незначительной задержкой. Кроме того, если последовательность характеризуется как "отказ - сигнал тревоги - действие оператора - пуск резервного оборудования - работа резервного оборудования", то следует учитывать последствия задержки.

10 Последствия отказов

10.1 Влияние характера отказов на работу, функцию или состояние оборудования или системы называется "последствием отказов". Последствия отказов для конкретных рассматриваемых подсистемы или оборудования называются "местными последствиями отказов". Оценка местных последствий отказов окажет помощь в определении эффективности любого резервного оборудования или мер по устранению отказов на уровне этой системы. В определенных случаях, кроме характера отказа самого по себе, местного последствия может не быть.

10.2 Воздействие отказа оборудования или подсистемы на выходные данные системы (функцию системы) называется "конечным последствием". Следует оценивать конечные последствия и классифицировать степень их тяжести в соответствии со следующими категориями;

.1 катастрофические;

.2 опасные;

.3 значительные; и

.4 малые.

Определения этих четырех категорий последствий отказов приведены в 2.3 приложения 3 к настоящему Кодексу.

10.3 Если конечное последствие отказа классифицируется как опасное или катастрофическое, то для предотвращения или сведения к минимуму такого последствия обычно требуется резервное оборудование. Могут допускаться эксплуатационные меры по устранению опасных последствий отказов.

11 Обнаружение отказов

11.1 В целом, исследование посредством АХПО анализирует лишь последствия отказов на основании единичного отказа в системе, и поэтому должны быть определены средства обнаружения отказа, такие как визуальные или слуховые предупредительные устройства, автоматические датчики, контрольно-измерительная аппаратура или другие особые средства индикации.

11.2 Если отказ элемента системы не может быть обнаружен (т.е. скрытый отказ или любой отказ, относительно которого оператор не получает какой-либо визуальной или звуковой индикации), а работа системы в данном режиме может продолжаться, анализ следует расширить для определения последствий второго отказа, который в сочетании с первым, не обнаруженным отказом, может привести к более серьезному последствию, например, опасному или катастрофическому.

12 Меры по устранению отказов

12.1 Следует также установить и оценить характеристики любого резервного оборудования или любые коррективные действия, предпринимаемые на уровне данной системы для предотвращения или уменьшения последствия отказа элемента или оборудования системы.

12.2 Следует описать средства и меры, заложенные в проект на любом уровне системы, которые устраняют последствия неисправности или отказа, такие как входящие в систему регулирующие или отключающие элементы, предотвращающие возникновение или распространение последствий отказа, либо приводящие в действие резервные или запасные элементы или системы. Проектные средства и меры по устранению отказов включают:

.1 резервные элементы, обеспечивающие непрерывную и безопасную работу;

.2 предохранительные устройства, средства контроля или аварийно-предупредительной сигнализации, которые обеспечивают работу в ограниченном режиме или ограничивают повреждение; и

.3 альтернативные режимы работы.

12.3 Следует описать меры, которые требуют от оператора действий для избежания или уменьшения последствий предполагаемого отказа. Если коррективные действия или включение резервных элементов требуют действий со стороны оператора, то при оценке средств устранения местных последствий отказов следует учитывать возможность и последствия ошибки оператора.

12.4 Следует отметить, что коррективные меры, допустимые в одном режиме работы, могут не допускаться в другом. Например, элемент резервной систем