Programvara A? Saab Group Presentation Ingemar Johansson ILS and Logistic Solutions Section Grouns Support and Services Division Arboga 2007-01-24
FMEA/A FMEA: A: Failure Mode and Effects Analysis (Felmod-/feleffektanalys) Failure Mode, Effects and Criticality Analysis (Felmod-, feleffekt- och kritikalitetsanalys) A är en induktiv metod (analysen förs framåt i tiden). Klassiskt utförs analysen nerifrån och upp (startar med felmoder på låg konstruktionsnivå och arbetar sig uppåt), men kan med fördel även att tillämpas uppifrån och ned (s.k. hierarkisk FMEA) 2
FMEA/A Syfte - identifiera potentiella kritiska eller katastrofala felmoder i en utrustning eller process - peka ut konstruktions- och funktionselement som är signifikanta vid systemsäkerhetsanalys eller underhållsbehovsanalys (jfr RCM) - initiera konstruktionsförbättringar i ett tidigt skede (ev. prioriterade efter allvarlighetsgrad, dvs vid A) 3
FMEA/A Fördelar: - relativt enkel att utföra (kan göras manuellt) - lämpar sig för tillförlitlighetsstudier såväl i tidigt konstruktionsskede som efter leverans vid underhållsanalysplanering Nackdelar: - klarar ej redundanser och kombinationsfel - stor mängd onödigt arbete (alla felmoder undersöks förutsättningslöst) 4
Klassisk FMEA/A FMEA/A-analys visar konsekvenserna av att en funktion (som normalt fungerar) uteblir/degraderas/förändras. Exempel: Pumpar Ventiler Motorer Kontakter Elektroniska komponenter etc Dvs: Funktioner som pga olika anledningar kan inta olika tillstånd: Normal Funktion (avsedd funktion) Olika typer av avvikelse (exvis pga MTBF-relaterade fel, åverkan, handhavandefel, miljöpåverkan, utnötning, åldring, etc) A-tabell 5
Exempel på traditionell FMEA/A Tabell 6
CRITICALITY ANALYSIS: MIL-STD-1629A utg 1980 (upphävd 1994) ID ITEM/ FUNC- TION- AL IDENTI- FICA- TION (NOMEN- CLATUR E) FUNC- TION FAILURE MODE AND CAUSES MISSIO N PHASE/ OPERA- TIONAL MODE SEVE- RITY CLASS FAIL- URE PROBA- BILITY/ FAIL- URE RATE DATA SOURCE FAIL- URE EFFECT PROBA- BILITY (_) FAIL- URE MODE RATIO (_) FAIL- URE RATE (_) OPE- RA- TING TIME (t) FAIL- URE MODE CRIT Cm= t ITEM CRIT Cr= _(Cm) REMARKS 1 Pump 1 Pumpar vätska från A till B Pumpar ej pga fel på Drivmotor Operational II X X X X X X X Enl lista Decimalt Värde (fraktion) I=Catastrophic II=Critical III=Marginal IV=Minor Loss: Actual=1,0 Probable>0,1 to <1,0 Possible>0 to =0,10 No effect=0 Baserat på MTBF eller motsv 7
FMEA/A på renodlad Programvara Programvarans beteende: En programvarukomponent förändras inte av inneboende faktorer såsom: MTBF, åldring, förslitning, temperatur, etc En programvarukomponent beter sig alltid lika när den exekveras givet att inget av programvarans förutsättningar ändrats (t ex omgivning, användning, övriga systemdelar) 8
Funktionsmoder i Ejection system avsedda för analys m h a A Filnamn: Raketstol Autom Utskjutning FMV:KCFlygsystem/KEFlygA (C) FMV 2006 utg 1,2 2006-08-18 Björn Koberstein Figur 2. Raketstol flygplan, automatisk utskjutning Flygplanet håller på att flyga in i envelopen där stolen inte längre klarar av att rädda föraren A1 = Gräns för varning, flygplanet håller på att lämna envelop för utskjutningsåtgärd av pilot krävs omedelbart D1 = Automatisk utskjutning aktiveras, flygplanet manöverodugligt eller pilot medvetslös Flygplanet håller på att flyga in i envelopen där flygplanet inte längre klarar av att styra undan från aktuellt hinder. A2 = Gräns för varning, flygplanet håller på att kollidera med fast eller rörligthinder, åtgärd av pilot krävs omedelbart B2 = Här måste piloten påbörja åtgärd för att klara flygplanet från kollision. Max Nz = 7 g C2 = Kommer flygplanet hit och piloten fortfarande inte vidtagit åtgärd, ska flygplanet själv vidta åtgärd för att undvika kollision, pilot troligen medvetslös. Max Nz = 9g D2 = Automatisk utskjutning aktiveras, flygplanet troligen manöverodugligt Flygplan Normalmod Fartvektor A1 Varningsmod A2 B2 Manuell mod C2 Automatisk mod D2 D1 Automatisk utskjutning Hinder
Resulterande FMEA/A-tabell Löp-nr Systemmod/fas Analysobjekt Riskkälla Felmod/ Felsätt Feleffekt för närmaste objekt / delsystem / system Orsak Kritikalitet/ Allvarlighetsgrad Felfrekvens/ Sannolikhet Åtgärd A-1 Felhants yst Ejection Rimlighetskont rollen felaktig A-2 Flygpla net Flygning utanför hinderdatabas ens område A-3 Rimligh etskontr ollen A-4 Pgmvaran varnar ej då den skall (ej alls, för tidigt/ sent) A-5 Pgmvaran varnar då den ej skall A-6 Exception triggas + programvaran saknar exceptionhante ring ohanterad exception propageras uppåt i anropskedjan Systemstopp A-7 Deadlock A-8 Programvaran råkar ut för en situation för vilken den ej är förberedd/kod ad A-9 Programvaran drabbas av minnesbrist Extra A-10 funktionalitet ej förhindrad 10
FMEA/A på renodlad Programvara Viss nytta kan erhållas för att i komplexa programvarusystem identifiera felmoder av generell karaktär (snarare än systemspecifika felmoder). Exempel på sådana felmoder kan vara: Stoppad exekvering (t ex pga deadlock, ohanterade exceptions) Systemkrasch Överskriden resursförbrukning (t ex minnesbrist) Uppstartsproblem Felaktig funktionalitet Korrekt funktionalitet vid fel tidpunkt/inte_alls.men här erbjuder programvarutekniken andra, mer specifika och effektiva analysmetoder. 11
FMEA/A på renodlad Programvara Analys av programvara inriktas mot att studera dess interaktionsdelar (resultat/utdata/beteenden) för att finna typiska felaktigheter i dessa (snarare än att föras ned på implementerad kod)..men här synes FMEA inte tillföra något utöver vad som går att få fram med HAZOP. 12
FMEA/A Metoden verkar därfd rför r bättre b lämpadl för sitt ursprungliga syfte att analysera felmod hos maskinvara snarare än n programvara eller för f r analys av systemfunktioner före uppdelning i hård- h resp mjukvara. 13
www.saab.se 14