Gli strumenti per tenere sotto controllo tutto quello che può andare storto Risk analysis Fault...
-
Upload
ravenna-martinez -
Category
Documents
-
view
225 -
download
3
Transcript of Gli strumenti per tenere sotto controllo tutto quello che può andare storto Risk analysis Fault...
Gli strumenti per tenere sotto controllo tutto quello che può
andare storto
Risk analysis
Fault Tree
FMECA
Cosa è un failure (1)
• Si ha un failure quando uno degli stakeholder (utente, cliente, progettista, reparto manutenzione) è in grado di osservare una variazione sensibile (percepita come anomala) del sistema.
• La variazione è generalmente peggiorativa della funzione, del livello di alcuni suoi parametri, o è associata all’insorgenza di alcuni svantaggi (es. rumore)
Cosa è un failure (2)
Failures are linked to the following variables: – loss of ideality of a device in terms of reduced
performance, – presence of undesired side effects and – excessive consumption of resources to make
the system work.
Becattini N, Cascini G, Rotini F (2009) Correlations between the evolution of contradictions and the law of ideality increase. Proceedings of the 9th ETRIA/CIRP TRIZ Future Conference, Timisoara, Romania 4-6: 26-34
Risk
Management
Risk Management
Conoscere in modo preventivo i fattori di rischio → → Eventi potenzialmente dannosi → → Il loro impatto → → Frequenze di accadimento
Rischio: la probabilità di accadimento di tutti gli eventi che possono comportare danni o perdite per
l’azienda e le persone coinvolte.
“metodologia sistematica che consente per l’identificazione, l’analisi, l’eliminazione ed il monitoraggio dei rischi associati ad un processo in modo da rendere l’organizzazione capace di
minimizzare le perdite e massimizzare le opportunità.”
Step
“Pianificazione”
“Identificazione Rischi”
“Comparazione con requisiti minimi”
“Analisi”
“Decisione”
Trasferimento del rischioRiduzione del rischioContenimento del rischioAccettazione del rischio
Risk Management: i 5 step1. Pianificazione: il processo di risk management deve essere pianificato e formalizzato
definendone le responsabilità, gli obiettivi ed i criteri per l’accettazione dei rischi. In particolare un programma di gestione del rischio ben bilanciato deve ottimizzare sia la sicurezza che i costi ad essa associati.
2. Identificazione dei rischi: si devono identificare in maniera preventiva i rischi connessi al progetto/sistema/processo che si sta valutando.
3. Analisi: I rischi evidenziati devono essere caratterizzati in termini di probabilità di accadimento e di severità dell’impatto.
4. Comparazione con i requisiti minimi di sicurezza: i rischi devono essere comparati con i criteri di accettabilità stabiliti nel piano operativo ed i risultati devono essere documentati per la successiva fase decisionale.
5. Decisione: scegliere gli interventi necessari ad una corretta gestione dei rischi rilevati. Tipicamente si hanno le seguenti opzioni:
– Trasferimento del rischio tramite polizze assicurative (tipicamente coprono economicamente i danni fisici, ma non quelli derivanti da perdita di riservatezza, integrità e disponibilità).
– Riduzione del rischio tramite interventi preventivi mirati a ridurre il livello di vulnerabilità del sistema, ridurre la frequenza di accadimento di un evento indesiderato o a ridurre l’impatto sulle risorse colpite.
– Contenimento del rischio tramite interventi reattivi atti a contenere gli effetti dell’evento.– Accettazione del rischio.
StepIndustria aerospaziale
Tabella di rischioFAA “Federal Aviation Administration”
Tabella di rischioFAA “Federal Aviation Administration”
Tabelle di valutazioneFAA “Federal Aviation Administration”
Tabelle di valutazioneFAA “Federal Aviation Administration”
>1/100.000
1/100.0001/10.000.000
1/10.000.000 1/1.000.000.000
<1/1.000.000.000
Tabelle di valutazioneMIL-STD-882C
Tabelle di valutazioneMIL-STD-882C
Procedura di gestione rischio
• Progettare per ridurre al minimo il rischio: il progetto dovrebbe eliminare il rischio connesso ad un certo evento o ridurlo entro i limiti tollerabili.
• Incorporare strumenti di controllo e sicurezza: quando la progettazione non è sufficiente ad eliminare il rischio, è necessario ricorrere a sistemi di sicurezza “attivi e passivi” incorporati nel prodotto.
• Incorporare strumenti diagnostici e di allarme: se le prime due fasi non sono sufficienti è necessario ricorrere a sistemi di avvertimento che segnalino con debito anticipo l’accadimento di un guasto/problema.
• Sviluppare procedure di sicurezza e addestramento personale: come ultima risorsa è necessario definire delle procedure formali sia per operare in sicurezza, sia per operare correttamente al momento del verificarsi di una situazione di pericolo.
Alcune Metodologie Secondo le norme MIL-STD-882 (System Safety Program
Requirements), un sistema è definito come: A composite at any level of complexity, of personnel, procedures, material, tools, equipment, facilities, and
software. The elements of this composite entity are used together in the intended operation or support environment to
perform a given task or achieve a specific production, support, or mission requirement
5 M Media
Man Mach.
Msn
Manag.
Msn – Mission: central purpose or function
Mach: hardware & software
Man: Human element
Media - Environment: Operational and ambient environment
Manag: Management, procedure, policies, regulations
Alcune Metodologie SHELL
H
L
L
ES
Software
Hardware
Liveware
Environment
Alcune Metodologie SHELL
H
L
L
ES
Ciascun elemento del sistema dovrebbe essere descritto dettagliatamente sia dal punto di vista fisico che funzionale.• Descrizione delle caratteristiche fisiche: deve fornire informazioni circa la disposizione spaziale e delle interfacce fra i vari sottosistemi e componenti. • Descrizione funzionale: deve indicare che cosa deve fare il sistema e dovrebbe includere le funzioni del sottosistema e il modo in cui si integrano per assolvere alla missione del sistema.
Il fatto che i blocchi siano adiacenti o separati è tanto importante quanto le caratteristiche descritte dai blocchi stessi. I blocchi devono infatti essere ri-arrangiati a seconda delle caratteristiche del sistema schematizzato: una connessione fra i blocchi significa infatti la presenza di un’interfaccia fra i due elementi.
Alcune metodologie
• Cause consequencies analysis• Check list• Criticality Analysis• Critical Path Analysis• Energy analysis• FTA• FMEA• FMECA• MORT• What if Analysis• ….
Definito il sistema si passa all’analisi della criticità dei possibili eventi di rischio al fine di ottenere i parametri da utilizzare nella matrice di rischio.
Fault Tree Analysis
A cosa serve la Fault Tree Analysis
• La FTA permette, in modo grafico e logico, di collegare fra loro i guasti dei componenti di un sistema. Lo scopo principale, è quello di partire da un guasto sul sistema (evento indesiderato) per metterlo in relazione funzionale con i guasti sui componenti (eventi di base).
Definizioni• Evento Top indesiderato: il guasto relativo al sistema funzionale
sotto esame. L’evento indesiderato può essere combinazione di numerose cause. Esso avrà, cioè, un numero “n” di eventi (nodi del sistema) che lo precedono e lo determinano ma nessun evento che lo succede
• Combinazione di cause: è il presentarsi simultaneo di guasti degli elementi funzionali che portano all’evento top indesiderato. La più piccola combinazione di guasti ne contiene almeno un numero necessario a causare l’evento top.
• Unità esaminata: l’oggetto da esaminare, identificato dalle sue caratteristiche funzionali e costruttive. Unità esaminate possono ad esempio essere sistemi, componenti ed elementi funzionali
• Componente: è l’unità esaminata di livello più basso alla quale può essere assegnato uno o più elementi funzionali.
EsempioSi supponga, per esempio, che il sistema sia formato da un motore elettrico, una batteria e due interruttori e che l’evento indesiderato sia l’impossibilità di spegnere il motore: il primo livello dell’albero potrebbe configurarsi nel modo
Applicando l’algebra booleana è quindi possibile determinare tutte le combinazioni di eventi che portano al verificarsi del “Top Event” e quindi, conoscendo le frequenze di accadimento delle varie cause alla determinazione dell’affidabilità del sistema complessivo.
Categorie di insucessi o guasti
In particolare l’analisi FTA, classifica gli insuccessi del componente in tre categorie:
•Guasto primario: l'insuccesso primario è dovuto alla costruzione o alle caratteristiche materiali del componente stesso.
•Guasto secondario: l’insuccesso del componente è causato da influenze esterne inaccettabili, come per esempio condizioni ambientali, condizioni di applicazione o l'influenza di altre componenti del sistema.
•Guasto di comando: è causato da errori di natura umana o per uso scorretto.
Gli step della Fault Tree Analysis
• Vedi dispense
Esempio e tabella FTA
• Da dispense
FMECA
Failure Mode Effect and Criticality Analysis
.. della serie
“Come evitare la sgradevole frase:<<Io l’avevo detto!!>>”
Andamento di un processo di progettazione
FMECA
1. Riconoscimento e valutazione di possibili guasti e dei loro effetti sul sistema.
2. Identificazione di interventi che possano eliminare o ridurre le possibilità di verificarsi dei guasti
3. Scelta e pianificazione degli interventi da effettuare.
4. Documentazione del processo
Analisi di tipo bottom-up per individuare pericoli potenziali e valutarne la criticità
Obiettivi
FMECA• FMECA di Progetto (DFMECA)
• FMECA di Processo (PFMECA)
• Per evitare guasti derivanti da errate soluzioni concettuali, materiali e/o fornitori sbagliati.
• Input derivano da clienti e si basano sulle specifiche richieste.
• Necessità di analisi funzionale e/o FTA per definire sequenze causa-effetto.
• Per evitare guasti derivanti da errate soluzioni produttive.
• Input derivano da rapporto DFMECA e da diagramma di flusso rappresentante processo produttivo.
• FMECA di Progetto (DFMECA)
DFMECA-PFMECA
Processo FMECA
L’aggiunta di un’analisi di criticità permette di quantificare e classificare gli effetti di ciascun modo di guasto in base ad un indice di criticità.
Processo FMECA• Segue un approccio Bottom – UP• Inizia a livello di componente• Per ciascuno identifica modi di guasto• Ne determina gli effetti sugli elementi di livello
superiore• Prosegue a ritroso fino a livello di sistema
Esempio di catena causale ricorsiva
FMECA I Passo• Decomposizione del sistema fino al livello di dettaglio
desiderato.• Generalmente 3-4 livelli fino alle LRU*• Si ottiene diagramma ad albero• Da questo è possibile partire con la definizione della catena
causale di guasto
* Line Replaceable Units (LRU), ovvero quelle parti che in caso di guasto non subiscono operazioni manutentive ma vengono direttamente sostituite.
FMECA I Passo
• Esempio Albero DFMECA
FMECA I Passo
• Esempio Albero PFMECA
FMECA II Passo• Si definiscono le funzioni di ogni elemento del diagramma (FA).• Si specificano i possibili malfunzionamenti/guasti degli elementi (nei
casi più semplici è la negazione della funzione)• I malfunzionamenti dei livelli più bassi sono “cause”, quelli dei livelli
intermedi sono “modi”, quelli dei livelli superiori sono “effetti”• È possibile utilizzare diagrammi causa-effetto
Esempio DFMEA
Guasto Causa Effetto
Ingranaggio rotto, la sezione non ha retto. La pompa non invia benzina
Errato dimensionamento
Automobile ferma
La benzina ha corroso guarnizione. La pompa perde
Materiale guarnizione inadatto
Auto va male, rischio incendio
Filetto del raccordo sbagliato. La pompa non si monta
Raccordo progettato considerando versione precedente
Blocco produzione
Esempio PFMEA
Guasto Causa Effetto
Ingranaggio rotto. Pompa non invia benzina
Cattivo trattamento termico
Automobile ferma
Guarnizione allentata. Pompa perde
Operatore non ha serrato adeguatamente viti coperchio
Automobile va male, pericolo incendio
Filettatura difettosa. Pompa non si monta
Usura eccessiva maschio
Blocco Produzione
FMECA III Passo
• Definire criticità dei guasti
• = “percentuale di guasti all’interno di una certa tipologia”
• = “probabilità che si verifichi l’effetto”
• = “tasso di guasto”
• t = “periodo di funzionamento”
Metodo 1: Criticality Number
tCN
FMECA IV Passo
• Severity = “valutazione della gravità dell’effetto di una Failure sul cliente. Assume valori [0;10] ed è riferito a ciascun effetto che una failure può avere”
• Occurance = “esprime la probabilità che si verifichi una causa di guasto. Assume valori [0;10 ]”
• Detectability = “capacità del design control di evidenziare l’origine di una potenziale failure. Assume valori [0;10]”
Metodo 2: Risk Priority Number
DOSRPN
Tabelle RPN
Tabelle RPN
Tabelle RPN
Tabelle RPN
Tabelle RPN
Modulo FMEA
Esempio Tabella FMECA
Analisi FMECA
(Failure Mode Effects and Criticality Analysis)
Sistema: Preparazione impasti Redatto da: BORSELLI MATTEO Pagina 1/10 Percorso generale ID: Data: 15/09/2004
Componete
Modo di guasto
Effetto del guasto
Causa del guasto
Probabilità del guasto
Sf
Rilevabilità del guasto
Sr
Gravità del
guasto S
RPN
Cuscinetto rotto
Il rotore si adagia sullo statore, il motore si ferma
Mancanza lubrificaz. Invecchiamento
3 1 5 15
Rottura avvolgimenti
Motore fermo
Sovraccarico
2 3 5 30
Bruciatura motore
Motore fermo
Infiltrazione H2O 2 3 5 30
MOTORE 1
GIEM 5,5 kW M2223
(Coclea scarico
Hedemora)
Bruciatura motore
Motore fermo
Perdita di isolamento
2 3 5 30
Cuscinetto rotto
Il rotore si adagia sullo statore, il motore si ferma
Mancanza lubrificaz. Invecchiamento
3 1 6 18
Rottura avvolgimenti
Motore fermo
Sovraccarico
2 3 6 36
Bruciatura motore
Motore fermo
Infiltrazione H2O
4 3 6 72
MOTORE 2
ABB 5,5 kW M2220
(Hedemora+ Interblocchi)
Bruciatura motore
Motore fermo
Perdita di isolamento 2 3 6 36
Esempio Tabella FMECA
Punti di Forza FMECA
• Riduce le spese concentrando modifiche nella prima fase del processo di sviluppo.
• Riduzione di riparazioni in garanzia e reclami.• Dinamicità del documento che segue
l’evoluzione tecnica del prodotto.• Aumento della conoscenza del prodotto.• Capacità di formalizzare lo know-how.• Formazione di un DB storico di dati/parametri
tecnici.
Punti di Debolezza FMECA
• Difficoltà per il calcolo del CN.• Soggettività nei parametri del RPN.• Equivalenza dei tre parametri del RPN.• Esistono combinazioni dei valori dei tre parametri D,S,O
t.c. ad uno stesso punteggio del RPN corrisponde una diversa possibilità che la non conformità giunga al cliente.
• Mancanza di valutazioni economiche.• Semplificazione del modello si guasto che assume solo
due stati : “funzionante” - “rotto”.• Lunghi tempi di implementazione.
Note a chiusura
Risk Management, FTA, FMECA (1)
• Il risk analysis viene in generale fatto per decidere se fare o non fare un impianto, se imbarcarsi in un’impresa o meno, se finanziare o no un’azienda. È simile alla FMECA, infatti le due variabili considerate Severity e Probability sono le stesse. A differenza della FMECA nell’RA non c’è traccia della Detectability in quanto la decisione deve essere presa in un preciso momento e diviene irreversibile anche se il giorno dopo ci si accorge (detect) di un cambiamento di una delle due variabili di cui sopra.
• Possiamo quindi dire, semplificando un po’, che l’analisi del rischio è come se fosse una FMECA in cui una variabile è considerata fissa (la non detectability).
Risk Management, FTA, FMECA (2)
• La fault tree analysis è un’analisi di tipo logico statistico, per poter essere effettuata ha bisogno di una serie di dati piuttosto importante e che le catene causali nel sistema possano essere modellate in maniera completa ed in modo logico. La fault tree si applica molto bene in campo elettronico in cui le relazioni fra i componenti sono prevalentemente relazioni logiche e dove sono presenti i dati di affidabilità dei singoli componenti.
• Mentre la fault tree si concentra sulle catene causali e sulla propagazione dei guasti all’interno del sistema, la FEMCA si occupa delle foglie dell’albero dei guasti concentrandosi sugli eventi maggiormente critici e cercando di fare un’analisi dei modi e soprattutto delle cause di guasto.
• La FMECA è orientata a riprogettare l’elemento per ridurre il rischio mentre la fault treee analysis si focalizza nella riprogettazione dell’architettura.