Приложение 4. Процедуры анализа характера и последствий отказов. Резолюция MSC.36(63) "Принятие международного кодекса безопасности высокоскоростных судов" (принята 20 мая 1994 года) (с изменениями и дополнениями)

Приложение 4

Процедуры анализа характера и последствий отказов

1 Введение

1.1 Для обычного судна представлялось возможным достаточно подробно регламентировать некоторые аспекты проектирования или постройки, что сопровождалось определенной степенью риска, которая в течение многих лет интуитивно допускалась без необходимости ее определения.

1.2 С разработкой крупнотоннажных высокоскоростных судов этот необходимый опыт недоступен для широкого применения. Однако с учетом широкого принятия в настоящее время вероятностной концепции для оценки безопасности в рамках отрасли в целом предполагается, что для оказания помощи в оценке безопасности эксплуатации высокоскоростных судов может использоваться анализ отказов.

1.3 С целью определения и изучения важных условий отказов, которые могут иметь место, следует проводить практическую, реалистичную и документированную оценку характеристик судна и входящих в него систем в отношении отказов.

1.4 В настоящем приложении описан анализ характера и последствий отказов (АХПО) и приведено руководство относительно его возможного применения путем:

.1 пояснения основных принципов;

.2 предоставления методики, необходимой для выполнения анализа;

.3 определения соответствующих терминов, допущений, мер и характера отказов; и

.4 показа примеров необходимых форм рабочих таблиц учета.

1.5 АХПО для высокоскоростных судов основан на концепции единичного отказа, согласно которой предполагается, что каждая система на различных уровнях функциональной иерархии системы отказывает по одной вероятной причине в какое-то время. Последствия обусловленного отказа анализируются и классифицируются в соответствии со степенью их тяжести. Такие последствия могут включать отказы вторичного свойства (или разветвленные отказы) на другом уровне (уровнях). Отказ любого характера, который может вызвать катастрофическое последствие для судна, должен предотвращаться путем резервирования систем или оборудования, если такой отказ не является крайне невероятным (см. раздел 13). Вместо этого в отношении характера отказов, вызывающего опасные последствия, могут допускаться меры по устранению отказов. Для подтверждения выводов АХПО должна составляться программа испытаний.

1.6 Хотя АХПО предлагается в качестве одного из наиболее гибких аналитических методов, признается, что есть другие методы, которые могут быть использованы и которые в некоторых обстоятельствах могут способствовать в равной степени всестороннему пониманию характеристик определенных отказов.

2 Цели

2.1 Главной целью АХПО является проведение всестороннего, систематического и документированного исследования, которое устанавливает важные связанные с отказами состояния судна и оценивает их значение в отношении безопасности судна, находящихся на нем людей и окружающей среды.

2.2 Основными целями проведения анализа являются:

.1 предоставление Администрации результатов исследования характеристик отказов судна для оказания ей помощи в оценке уровней безопасности, предлагаемых для эксплуатации судна;

.2 предоставление операторам судов данных для выработки всесторонних программ и документации, касающихся подготовки, эксплуатации, технического обслуживания и ремонта; и

.3 предоставление проектировщикам судов и систем данных для проверки предлагаемых ими проектов.

3 Область применения

3.1 АХПО следует выполнять для каждого высокоскоростного судна перед вводом его в эксплуатацию в отношении систем, требуемых согласно положениям 5.2, 9.1.10, 12.1.1 и 16.2.6 настоящего Кодекса.

3.2 Для судов, которые имеют ту же самую конструкцию и то же самое оборудование, будет достаточен один АХПО головного судна, однако каждое из судов должно подвергаться тем же самым испытаниям для подтверждения выводов АХПО.

4 Анализ характера и последствий отказов систем

4.1 Перед тем как приступить к подробному АХПО в отношении последствий отказа элементов системы для работы всей системы, необходимо выполнить функциональный анализ отказов важных судовых систем. Таким образом, исследования с помощью более подробных АХПО необходимы только для тех систем, которые не удовлетворили функциональному анализу отказов.

4.2 При выполнении АХПО системы должны учитываться следующие типичные режимы эксплуатации в нормальных расчетных условиях окружающей судно среды:

.1 нормальные мореходные условия на полной скорости;

.2 максимально допустимая эксплуатационная скорость в водах с оживленным движением судов; и

.3 маневрирование во время швартовки.

4.3 Для понимания последствий отказов функциональную взаимозависимость этих систем следует также показывать либо на блок-схемах или древовидных схемах отказов, либо давать в описательной форме. Насколько это применимо, предполагается, что отказ каждой из подвергаемых анализу систем происходит при следующих характерах отказов:

.1 полная потеря функции;

.2 быстрый переход к работе с максимальной или минимальной мощностью;

.3 работа с неуправляемой или переменной мощностью;

.4 преждевременное срабатывание;

.5 невозможность срабатывания в установленное время; и

.6 невозможность прекращения работы в установленное время.

В зависимости от рассматриваемой системы может возникнуть необходимость принимать во внимание другие характеры отказов.

4.4 Если отказ системы может происходить без какого-либо опасного или катастрофического последствия, нет необходимости выполнять подробный АХПО структуры системы. В отношении систем, отдельный отказ которых может вызывать опасные или катастрофические последствия, а резервная система не предусмотрена, следует выполнять подробный АХПО, указанный в нижеследующих пунктах. Результаты анализа функционального отказа системы должны документироваться и подтверждаться программой практических испытаний, составленной на основании анализа.

4.5 Если для системы, отказ которой может вызвать опасное или катастрофическое последствие, предусмотрена резервная система, подробный АХПО может не требоваться, при условии, что:

.1 резервная система может быть введена в действие или взять на себя функции отказавшей системы в пределах времени, обусловленного наиболее тяжелым режимом эксплуатации, указанным в 4.2, не подвергая судно опасности;

.2 резервная система полностью независима от отказавшей системы и совместно не использует какой-либо общий элемент системы, отказ которого вызвал бы отказ как основной системы, так и резервной системы. Общий элемент двух систем может допускаться, если вероятность отказа соответствует разделу 13; и

.3 резервная система может использовать один и тот же источник энергии, что и система. В этом случае должен находиться в готовности запасной источник энергии с учетом требований .1.

Следует также учитывать вероятность и последствия внесения оператором ошибки в резервную систему.

5 Анализ характера и последствий отказов оборудования

Системы, подвергаемые исследованию с помощью более подробного АХПО на данном этапе, должны включать все те, которые не удовлетворили АХПО системы, и могут включать те из них, которые оказывают важное влияние на безопасность судна и находящихся на нем людей и которые требуют более глубокого исследования, чем исследование при анализе функционального отказа системы. К таким системам часто относятся системы, которые специально спроектированы или приспособлены для судна, такие как судовые электрические и гидравлические системы.

6 Процедуры выполнения анализа

Для выполнения АХПО необходимо предпринять следующее:

.1 определить систему, подлежащую анализу;

.2 проиллюстрировать взаимосвязи функциональных элементов системы посредством блок-схем;

.3 определить все возможные характеры отказов и их причины;

.4 оценить последствия для системы каждого характера отказов;

.5 определить методы обнаружения отказов;

.6 установить меры по устранению отказов;

.7 оценить вероятность отказов, вызывающих опасные или катастрофические последствия, в зависимости от случая;

.8 документально оформить анализ;

.9 разработать программу испытаний;

.10 подготовить отчет об АХПО.

7 Определение системы

Первой стадией в исследовании посредством АХПО является подробное изучение подвергаемой анализу системы с помощью чертежей и наставлений по эксплуатации оборудования. Должна быть подготовлена описательная характеристика системы и ее функциональных требований, включая следующую информацию:

.1 общее описание работы и структуры системы;

.2 функциональную связь между элементами системы;

.3 допустимые пределы функциональных характеристик системы и ее составляющих элементов в каждом из типичных режимов эксплуатации; и

.4 ограничения системы.

8 Разработка блок-схем системы

8.1 Следующая стадия - разработка блок-схемы (схем), показывающей функциональную последовательность процессов системы, как для технического понимания функций, так и для последующего анализа. Как минимум, на блок-схеме должны быть указаны:

.1 разделение системы на основные подсистемы или оборудование;

.2 все соответствующие маркированные входы и выходы, а также опознавательные номера, с помощью которых последовательно определяется каждая подсистема; и

.3 всё резервирование элементов, альтернативные тракты сигнала и другие технические особенности, которые обеспечивают "безотказные" меры.

Пример блок-схемы системы приведен в дополнении 1.

8.2 Может возникнуть необходимость в подготовке иного комплекта блок-схем для каждого рабочего режима.

9 Определение характера, причин и последствий отказов

9.1 Характер отказов - это способ, посредством которого ведется наблюдение за отказом. Обычно он описывает, каким образом происходит отказ, и его воздействие на оборудование или систему. В качестве примера в таблице 1 приведен перечень характеров отказов. Перечисленные в таблице 1 характеры отказов могут описать отказ любого элемента системы в достаточно конкретных понятиях. Все возможные характеры отказов можно таким образом определить и описать, используя при этом рабочие спецификации, регламентирующие входы и выходы на блок-схеме системы. Так, например, характер отказа источника электроэнергии может быть описан как "потеря выходной мощности"(29), а причина отказа - как "разрыв (электрической цепи)"(31).

9.2 Характер отказа в элементе системы может также быть причиной отказа системы. Например, характером отказа трубопровода гидравлической системы рулевого устройства может быть "внешняя утечка" (10). Этот характер отказа трубопровода гидравлической системы может стать причиной отказа системы рулевого устройства, характеризующегося как "потеря выходной мощности" (29).

9.3 Каждую систему следует рассматривать по принципу "сверху - вниз", начиная с функциональных выходных параметров системы, и следует предполагать, что отказ вызван в какое-то время одной возможной причиной. Поскольку характер отказа может иметь более чем одну причину, должны быть определены все возможные независимые причины каждого характера отказов.

9.4 Если отказ основных систем может происходить без какого-либо отрицательного последствия, нет необходимости рассматривать их далее, если только отказ не может быть обнаружен оператором. Определение того, что отрицательного последствия нет, не означает лишь установление резервирования системы. Должно быть показано, что резервная система немедленно эффективна, или она задействуется с незначительной задержкой. Кроме того, если последовательность характеризуется как "отказ - сигнал тревоги - действие оператора - пуск резервного оборудования - работа резервного оборудования", то следует учитывать последствия задержки.

10 Последствия отказов

10.1 Влияние характера отказов на работу, функцию или состояние оборудования или системы называется "последствием отказов". Последствия отказов для конкретных рассматриваемых подсистемы или оборудования называются "местными последствиями отказов". Оценка местных последствий отказов окажет помощь в определении эффективности любого резервного оборудования или мер по устранению отказов на уровне этой системы. В определенных случаях, кроме характера отказа самого по себе, местного последствия может не быть.

10.2 Воздействие отказа оборудования или подсистемы на выходные данные системы (функцию системы) называется "конечным последствием". Следует оценивать конечные последствия и классифицировать степень их тяжести в соответствии со следующими категориями;

.1 катастрофические;

.2 опасные;

.3 значительные; и

.4 малые.

Определения этих четырех категорий последствий отказов приведены в 2.3 приложения 3 к настоящему Кодексу.

10.3 Если конечное последствие отказа классифицируется как опасное или катастрофическое, то для предотвращения или сведения к минимуму такого последствия обычно требуется резервное оборудование. Могут допускаться эксплуатационные меры по устранению опасных последствий отказов.

11 Обнаружение отказов

11.1 В целом, исследование посредством АХПО анализирует лишь последствия отказов на основании единичного отказа в системе, и поэтому должны быть определены средства обнаружения отказа, такие как визуальные или слуховые предупредительные устройства, автоматические датчики, контрольно-измерительная аппаратура или другие особые средства индикации.

11.2 Если отказ элемента системы не может быть обнаружен (т.е. скрытый отказ или любой отказ, относительно которого оператор не получает какой-либо визуальной или звуковой индикации), а работа системы в данном режиме может продолжаться, анализ следует расширить для определения последствий второго отказа, который в сочетании с первым, не обнаруженным отказом, может привести к более серьезному последствию, например, опасному или катастрофическому.

12 Меры по устранению отказов

12.1 Следует также установить и оценить характеристики любого резервного оборудования или любые коррективные действия, предпринимаемые на уровне данной системы для предотвращения или уменьшения последствия отказа элемента или оборудования системы.

12.2 Следует описать средства и меры, заложенные в проект на любом уровне системы, которые устраняют последствия неисправности или отказа, такие как входящие в систему регулирующие или отключающие элементы, предотвращающие возникновение или распространение последствий отказа, либо приводящие в действие резервные или запасные элементы или системы. Проектные средства и меры по устранению отказов включают:

.1 резервные элементы, обеспечивающие непрерывную и безопасную работу;

.2 предохранительные устройства, средства контроля или аварийно-предупредительной сигнализации, которые обеспечивают работу в ограниченном режиме или ограничивают повреждение; и

.3 альтернативные режимы работы.

12.3 Следует описать меры, которые требуют от оператора действий для избежания или уменьшения последствий предполагаемого отказа. Если коррективные действия или включение резервных элементов требуют действий со стороны оператора, то при оценке средств устранения местных последствий отказов следует учитывать возможность и последствия ошибки оператора.

12.4 Следует отметить, что коррективные меры, допустимые в одном режиме работы, могут не допускаться в другом. Например, элемент резервной системы, подключение которого происходит со значительной задержкой, хотя и будет соответствовать работе в режиме "нормальные мореходные условия на полной скорости", может привести к катастрофическому последствию в другом режиме работы, например, в режиме "максимально допустимая эксплуатационная скорость в водах с оживленным движением судов".

13 Применение концепции вероятности

13.1 Если в отношении любого отказа коррективные меры или резервирование, описанные в предыдущих пунктах, не предусмотрены, то, в качестве альтернативы, вероятность возникновения такого отказа должна приниматься согласно следующим критериям:

.1 характер отказа, который приводит к катастрофическому последствию, следует оценивать как крайне невероятный;

.2 характер отказа, оцениваемый как крайне маловероятный, не должен приводить к худшим, чем опасные, последствиям; и

.3 характер отказа, оцениваемый либо как повторяющийся, либо как достаточно вероятный, не должен приводить к худшим, чем малые, последствиям.

13.2 Числовые значения для различных уровней вероятности изложены в разделе 3 приложения 3 к настоящему Кодексу. Для областей, в которых касающиеся судов данные, необходимые для определения уровней вероятности отказов, отсутствуют, могут использоваться другие источники, такие как:

.1 производственные испытания, или

.2 имеющиеся сведения о надежности, использованные в других областях в подобных условиях эксплуатации, или

.3 математическая модель, если это применимо.

14 Документация

14.1 Выполнять АХПО удобно на форме рабочих таблиц учета, указанных в дополнении 2.

14.2 Эти формы следует составлять таким образом, чтобы в первую очередь показывать самый высокий уровень системы, а затем следовать ниже по мере уменьшения ее уровней.

15 Программа испытаний

15.1 Следует составить программу испытаний на основании АХПО, с тем чтобы доказать выводы этого анализа. Рекомендуется включать в программу испытаний все системы или элементы системы, отказ которых приведет к:

.1 значительным или более серьезным последствиям;

.2 ограниченной эксплуатации; и

.3 любым другим коррективным действиям.

Для оборудования, моделирование отказа которого на судне затруднено, могут использоваться результаты других испытаний с целью определения последствий для систем и судна.

15.2 Испытания должны также включать следующие исследования:

.1 размещение и планировка постов управления с уделением особого внимания взаимному расположению переключателей и других органов управления, обеспечивающему малую вероятность случайных или неправильных действий экипажа, особенно во время аварийных ситуаций, а также установка блокировочных устройств для предотвращения случайного срабатывания важной системы;

.2 наличие и качество документации по эксплуатации судна с уделением особого внимания перечням проверок, выполненных перед рейсом. Существенно важно, чтобы эти проверки учитывали любые необнаруженные характеры отказов, установленные в ходе анализа отказов; и

.3 последствия основных характеров отказов, предписанных в теоретическом анализе.

15.3 Испытания по результатам АХПО на борту судна следует проводить с учетом положений, указанных в 5.3, 16.4 и 17.4 настоящего Кодекса, перед вводом судна в эксплуатацию.

16 Отчет об АХПО

Отчет об АХПО должен представлять собой самостоятельный документ с полным описанием судна, его систем и их функций, а также предполагаемой эксплуатации и условий окружающей среды в отношении характера, причин и последствий отказов, которое было бы понятно без необходимости прибегать к другим схемам и документам, не содержащимся в отчете. Если уместно, следует включать сделанные в ходе анализа допущения и блок-схемы систем. В отчете должно содержаться краткое изложение выводов и рекомендаций в отношении каждой из систем, рассмотренных в ходе анализа отказов систем и анализа отказов оборудования. В нем должны также перечисляться все вероятные отказы и степень их вероятности, в зависимости от случая, коррективные действия или эксплуатационные ограничения для каждой системы в каждом из анализируемых режимов эксплуатации. Отчет должен содержать программу испытаний, а также указывать любые отчеты о других испытаниях и другие испытания на основании АХПО.

Дополнение 1

Пример блок-схемы системы

Таблица 1

Пример комплекта характеров отказов

1	Конструктивный отказ (повреждение)	18	Неправильное включение
2	Физическое сцепление или блокировка	19	Остановка невозможна
3	Вибрация	20	Пуск невозможен
4	Система не может остаться в том же положении	21	Включение невозможно
5	Система не можйт открыться	22	Преждевременное срабатывание
6	Система не может закрыться	23	Задержка в срабатывании
7	Отказ в открытом положении	24	Ошибочный ввод (в сторону увеличения)
8	Отказ в закрытом положении	25	Ошибочный ввод (в сторону уменьшения)
9	Внутренняя утечка	26	Ошибочный выход (в сторону увеличения)
10	Внешняя утечка	27	Ошибочный выход (в сторону уменьшения)
11	Отказ из-за допуска (высокий)	28	Потеря входных данных
12	Отказ из-за допуска (низкий)	29	Потеря выходных данных
13	Случайное включение	30	Короткое замыкание (электрической цепи)
14	Прерывающаяся работа	31	Разрыв (электрической цепи)
15	Неустойчивая работа	32	Утечка (электротока)
16	Неправильная индикация	33	Другие особые условия отказа применительно к характеристикам, требованиям и эксплуатационным ограничениям системы
17	Ограниченный поток

См. следующую публикацию МЭК: 812 IEC 1985.

Дополнение 2

Рабочая таблица учета АХПО

Наименование системы _______________  Номер _____________________________

Режим работы _______________________  Блок-схема системы ________________

Таблица N __________________________  ___________________________________

Дата _______________________________  ___________________________________

Имя аналитика ______________________  Чертежи ___________________________

Название или номер оборудования	Функция	Опознавательный номер	Характер отказа	Причина отказа	Последствие отказа		Обнаружение отказа	Коррективные действия	Степень последствия отказа	Вероятность отказа (если применимо)	Примечания
					Местное последствие	Конечное последствие