Machine Translated by Google

Atendendo aos critérios de avaliação SAE JA1011 para

Processos de Manutenção Centrada na Confiabilidade (RCM)
Por JC Leverette

Fundo

A intenção deste documento é demonstrar que o processo RCM fornecido em NAVAIR 00-25-
403 é compatível com SAE JA1011. Deve-se notar que vários dos autores do SAE JA1011 eram funcionários
da NAVAIRSYSCOM na época e também autores do NAVAIR 00-25-403. Pretendia-se criar um documento
que permitisse a utilização do processo NAVAIR 00-25-403 nas solicitações de contratos através da
referência de padrão comercial. Deveria, portanto, ser evidente que os autores não teriam criado um
documento que contradissesse o seu próprio.

Para ilustrar a conexão com NAVAIR 00-25-403, o seguinte é citado diretamente da SAE JA1011 (página
1): “Os critérios nesta Norma SAE são baseados nos processos e conceitos RCM em três documentos RCM: (1)
Nowlan e Livro de Heap de 1978, Manutenção Centrada na Confiabilidade, Requisitos de Manutenção Centrados
na Confiabilidade MIL-STD-2173 (AS) da Aviação Naval dos EUA para Aeronaves Navais, Sistemas de
Armas e Equipamentos de Apoio e seu sucessor, Manual de Gerenciamento de Comando de Sistemas
Aéreos Navais dos EUA 00-25-403 Diretrizes para o Processo de Manutenção Centrada na Confiabilidade da
Aviação Naval e (3) Manutenção Centrada na Confiabilidade (RCM II) por John Moubray. Esses documentos
são documentos RCM amplamente utilizados e disponíveis.”

Embora as declarações acima ilustrem que uma suposição geral poderia ser feita de que o processo
NAVAIR 00-25-403 é compatível com SAE JA1011 com base na associação e intenção, o restante deste
documento demonstrará linha por linha e conclusivamente que este é o caso. A parte final deste
documento abordará algumas preocupações específicas levantadas anteriormente sobre o processo NAVAIR
00-25-403 relativo à conformidade com SAE JA1011.
Machine Translated by Google

Requisitos SAE JA1011

I. Requisitos Gerais do Processo RCM SAE JA1011:

Os requisitos para um processo ser denominado RCM são fornecidos na seção 5 da SAE JA1011. O
os requisitos são resumidos no início da seção da seguinte forma:

“5. Manutenção Centrada na Confiabilidade (RCM) - Qualquer processo RCM deve garantir que todas as
sete questões sejam respondidas satisfatoriamente e sejam respondidas na sequência mostrada a seguir:
a. Quais são as funções e os padrões de desempenho desejados associados do ativo em seu atual
contexto operacional (funções)?
b. De que forma pode deixar de cumprir as suas funções (falhas funcionais)?
c. O que causa cada falha funcional (modos de falha)?
d. O que acontece quando ocorre cada falha (efeitos da falha)?
e. De que forma cada falha é importante (consequências da falha)?
f. O que deve ser feito para prever ou prevenir cada falha funcional (tarefas proativas e intervalos de tarefas)?

g. O que deve ser feito se não for possível encontrar uma tarefa proativa adequada (ações padrão)?

Para responder “satisfatoriamente” a cada uma das questões anteriores, serão recolhidas as seguintes
informações e tomadas as seguintes decisões. Todas as informações e decisões devem ser
documentadas de forma a tornar as informações e as decisões totalmente disponíveis e aceitáveis para
o proprietário do ativo.” (SAE JA1011, página 6)

A ilustração a seguir, do material de treinamento para o processo NAVAIR 00-25-403, mostra que as etapas
básicas e a sequência descritas acima estão incluídas no processo NAVAIR 00-25-403 RCM:

VISÃO GERAL DO PROCESSO RCM

Fluxo de sequência: Processo RCM

PLANEJAMENTO E PREPARAÇÃO Resultados

1. Identifique a equipe e as responsabilidades 2. 4. Identifique e documente o processo de revisão Análise
Identifique os itens de análise 5. Orientação/Treinamento
Análise
Abordagem
3. Priorize itens 6. Regras básicas e suposições Abordagem
/RCM
/RCM
Plano
Plano

ANÁLISE
1. Reunião de lançamento de equipamentos
2. Coleta Inicial de Dados
3. Análise de hardware
4. Função
5. Falha Funcional
FMECA
6. Modo de falha
7. Efeitos de falha
JA-1011 Manutenção
8. Consequências da falha Manutenção
9. Avaliação de tarefas "Essencial"
Requisitos
10. Seleção de Tarefas

IMPLEMENTAR RESULTADOS

1. Tarefa de manutenção de pacote Manutenção

Manutenção
2. Implementar tarefas únicas
Programa
Programa
SUSTENTAR
1. Questões emergentes
2. Exploração da Idade
3. Mudanças de hardware Dados
Dados
4. Análise de tendência/degradador
5. Revisões de documentos

II. Requisitos específicos da etapa do processo RCM:

O restante da seção 5 da SAE JA1011 aborda detalhes específicos para cada uma dessas sete questões
básicas. A tabela nas páginas seguintes contém o texto restante da seção 5 da SAE JA1011 e fornece, ponto por ponto,
o NAVAIR 00-25-403 ou texto do manual de treinamento de significado idêntico.
Machine Translated by Google
5.1 Funções
SAE JA1011
5.1.1 O contexto operacional do ativo deve ser definido. “O FMECA é um processo usado para identificar e
estejam descritos no Plano RCM para que o FMECA seja
5.1.2 Todas as funções do ativo/sistema devem ser
identificadas (todas as funções primárias e secundárias,
incluindo as funções de todos os dispositivos de proteção).
5.1.3 Todas as instruções de função devem conter um verbo,
um objeto e um padrão de desempenho (quantificado em todos
os casos em que isso possa ser feito).
5.1.4 Os padrões de desempenho incorporados nas declarações
de função devem ser o nível de desempenho desejado pelo
proprietário ou usuário do ativo/sistema em seu contexto
operacional.
NAVAIR 00-25-403 e manual de treinamento
documentar as funções, falhas funcionais, modos de falha e
efeitos de falha de um item.
É fundamental que a missão ou fases e perfis de utilização
desenvolvido com base em um modelo bem definido
contexto operacional. Pode ser que algumas funções, falhas
ou efeitos só ocorram, ou ocorram de forma diferente, em
determinados cenários operacionais. A FMECA deve indicar
claramente quando as funções, modos de falha ou efeitos
dependem de circunstâncias, ambientes ou fases de missão
específicas.” (NAVAIR 00-25-
403, Seção 3.2).
“Uma função é o propósito pretendido de um item conforme
descrito por um padrão de desempenho exigido. Não é
necessariamente o que o item é capaz de fazer, como mostra
o exemplo abaixo. Uma descrição completa da função deve
incluir quaisquer limites de desempenho específicos (limites
superiores e/ou inferiores).
Embora a maioria dos equipamentos seja projetada para
executar uma função específica ou única, muitos sistemas podem
executar múltiplas funções ou ter funções secundárias. Algumas
funções são acionadas por “demanda”, como um assento
ejetável, enquanto outras operam continuamente. Deve-se tomar
cuidado para garantir que as funções não sejam negligenciadas
e que a declaração da função seja clara, incluindo quaisquer
notações de contexto operacional.” (NAVAIR 00-25-403,
Seção 3.2.1).
Machine Translated by Google

5.2 Falhas funcionais

SAE JA1011
5.2 Falhas funcionais— Todos os estados de falha associados a
cada função devem ser identificados.
NAVAIR 00-25-403 e manual de treinamento
“Uma falha funcional é definida como a incapacidade de um
item de desempenhar uma função específica dentro dos limites
especificados. Uma falha funcional pode não ser
necessariamente uma perda completa da função. As descrições
adequadas de falhas funcionais são baseadas na descrição da função.
Falhas funcionais provavelmente resultarão na redução do
desempenho ou na perda total do sistema. Falhas
funcionais separadas devem ser listadas quando os efeitos de
uma perda inferior à total da função forem diferentes da
perda total.” (NAVAIR 00-25-403, Seção 3.2.2).
Machine Translated by Google
5.3 Modos de falha
SAE JA1011
5.3.1 Todos os modos de falha com probabilidade razoável de causar
cada falha funcional devem ser identificados.
5.3.2 O método utilizado para decidir o que constitui um modo
de falha “razoavelmente provável” deve ser aceitável para o
proprietário ou usuário do ativo.
5.3.3 Os modos de falha devem ser identificados em um nível
de causalidade que torne possível identificar uma política
apropriada de gerenciamento de falhas.
NAVAIR 00-25-403 e manual de treinamento
“Um modo de falha é uma condição física específica que pode
resultar em uma falha funcional. A declaração do modo de falha
deve incluir uma descrição do mecanismo de falha (por exemplo,
fadiga), sempre que possível. Muitos modos de falha poderiam
ser listados, mas apenas os modos de falha “razoáveis” deveriam
ser identificados.” (NAVAIR 00-25-403, Seção 3.2.4)
“A seção Regras Básicas e Premissas do plano do
programa RCM definirá 'razoável'.”
(NAVAIR 00-25-403, Seção 3.2.4)
“É necessária uma consideração cuidadosa para escolher um nível
de análise que identifique um número gerenciável de funções e
modos de falha. Uma análise realizada em um nível muito alto
provavelmente se tornará esmagadora à medida que a relação
entre as funções de alto nível e os vários modos de falha se tornarem
complicadas. À medida que o esforço avança de um nível elevado
para níveis progressivamente mais baixos, o número de
funções e modos de falha relacionados identificados irá
multiplicar-se. Isto eventualmente terá um efeito sufocante na análise.
O nível alvo normalmente será um nível consistente com o nível
provável de manutenção “no equipamento”. (NAVAIR 00-
25-403, Seção 2.4.3)
“O refinamento dos modos de falha e suas descrições
pode ser necessário à medida que a análise avança.
O analista pode optar por adicionar mais modos de falha ou
explicar suas descrições, conforme necessário, para
facilitar a identificação de métodos específicos de inspeção e
detecção de falhas. Isto poderia ser feito, por exemplo, ao
aplicar o processo de análise ao PHM.
Deve-se ter cuidado, entretanto, para que isso seja feito somente
quando necessário; caso contrário, a análise poderá
sofrer custos e atrasos desnecessários.” (NAVAIR 00-
25-403, Seção 3.2.4)
Machine Translated by Google
5.3.4 As listas de modos de falha devem incluir modos de falha
que já aconteceram antes, modos de falha que estão
sendo atualmente evitados por programas de manutenção
existentes e modos de falha que ainda não aconteceram, mas
que são considerados razoavelmente prováveis (credíveis) no
contexto operacional. .
“Liste todos os modos de falha que são 'razoáveis'”.
(Fundamentos da Análise RCM. página II.4.24.
Copyright 2002, Information Spectrum, Inc. Todos os direitos
reservados) Fontes de modo de falha: • Tarefas PM existentes
• Manuais de operação/manutenção • Entrada do operador/
mantenedor • FMECA anterior, RCM ou outras análises •
Bancos de dados de falhas (exploração de idade) • Entrada
do engenheiro/SME • Dados 3M/CMMS***(Fundamentos da
análise RCM. página II.4.25. Copyright 2002, Information
Spectrum, Inc. Todos os direitos reservados)
“Os dados disponíveis para identificar os modos de falha
variam dependendo se o item possui ou não um histórico
de serviço existente. Os modos de falha para itens com histórico
de serviço existente são determinados principalmente pelos
operadores e mantenedores e pelos dados de falha que
foram coletados. Fontes descritivas de dados de falha, como
relatórios de teste, relatórios de investigação de
engenharia, relatórios de materiais perigosos e relatórios de
estimadores e avaliadores de depósito, são úteis para
determinar os modos de falha de um item. Uma revisão dos
dados de Manutenção e Gerenciamento de Materiais (3-M)
é útil em menor grau para identificar modos de falha
específicos, uma vez que, por design, os dados são menos
descritivos. No entanto, os dados 3-M podem ser usados para
identificar os tipos de modos de falha observados em serviço,
como trincas, desgaste, etc. , estão completos. Os mantenedores
e operadores que têm experiência direta com o equipamento
servem como outra fonte muito útil de dados específicos
sobre falhas.
Machine Translated by Google
5.3.5 As listas de modos de falha devem incluir qualquer evento
ou processo que possa causar uma falha funcional,
incluindo deterioração, defeitos de projeto e erro humano, seja
causado por operadores ou mantenedores (a menos que
o erro humano esteja sendo ativamente abordado por
processos analíticos, além de RCM).
A identificação do modo de falha em novos projetos é
mais difícil. Os modos de falha devem ser inferidos a
partir do conhecimento do projeto do hardware, do
conhecimento geral de como as coisas falham e da
experiência com equipamentos similares em aplicações
similares. As fontes de dados incluirão dados técnicos
(publicações, desenhos) e fontes de dados de falhas
mencionadas acima para equipamentos semelhantes em uso
semelhante. O contexto em que o equipamento é operado
deve ser cuidadosamente considerado ao determinar
a aplicabilidade dos dados genéricos de confiabilidade. Além
disso, os dados que abrangem os resultados de testes de
fadiga, confiabilidade, desenvolvimento e qualificação são
úteis para itens com ou sem histórico de serviço.” (NAVAIR 00-25-403, Seção 3.2.4)
"Um modo de falha é uma condição física específica que
pode resultar em uma falha funcional. A declaração do
modo de falha deve incluir uma descrição do mecanismo
de falha (por exemplo, fadiga) sempre que possível. Muitos
modos de falha podem ser listados, mas apenas os modos
de falha que são "razoável" deve ser identificado. A seção
Regras Básicas e Pressupostos do plano do programa MCR
definirá "razoável". (NAVAIR 00-25-403, Seção 3.2.4)
Machine Translated by Google

5.4 Efeitos de Falha

SAE JA1011 NAVAIR 00-25-403 e manual de treinamento
5.4.1 Os efeitos da falha devem descrever o que aconteceria se "Os efeitos da falha devem ser descritos como se não houvesse
nenhuma tarefa específica fosse realizada para antecipar, prevenir nenhuma tarefa de PM para prevenir ou encontrar a falha." (NAVAIR 00-
ou detectar a falha. 25-403, Seção 3.2.5)

5.4.2 Os efeitos da falha devem incluir todas as informações
necessárias para apoiar a avaliação das consequências da falha, tais
como:
a. Que evidências (se houver) de que a falha ocorreu (no caso de
funções ocultas, o que aconteceria se ocorresse uma falha múltipla)
b. O que faz (se alguma coisa) matar ou ferir alguém, ou causar um
efeito adverso ao meio ambiente
"O efeito de falha é descrito como o impacto que uma falha
funcional tem no item em análise, nos itens circundantes e na
capacidade funcional do item final. Um efeito de falha deve ser
descrito em termos de dano físico, incluindo danos primários e
secundários que possa ocorrer. Deve também abordar as
ações necessárias para mitigar a perda da função durante a
operação." (NAVAIR 00-25-403, Seção 3.2.5)

c. O que faz (se alguma coisa) para ter um efeito adverso na produção
ou nas operações

d. Que danos físicos (se houver) são causados pela falha

e. O que (se houver) deve ser feito para restaurar a função
do sistema após a falha
Machine Translated by Google
5.5 Categorias de Consequências de Falha
SAE JA1011
5.5.1 As consequências de cada modo de falha devem ser formalmente
categorizadas da seguinte forma:
5.5.1.1 O processo de categorização de consequências deve separar
os modos de falha ocultos dos modos de falha evidentes.
5.5.1.2 O processo de categorização de consequências deve distinguir
claramente os eventos (modos de falha e falhas múltiplas) que têm
consequências de segurança e/ou ambientais daqueles que
têm apenas consequências económicas (consequências
operacionais e não operacionais).
5.5.2 A avaliação das consequências da falha deve ser realizada como
se nenhuma tarefa específica estivesse sendo realizada atualmente para
antecipar, prevenir ou detectar a falha.
NAVAIR 00-25-403 e manual de treinamento
Veja abaixo:
“A avaliação das consequências da falha é um processo de duas etapas.
Primeiro, as falhas funcionais são separadas em duas
categorias: aquelas que são evidentes para a tripulação ou
operador e aquelas que não são. Para que uma falha funcional seja
classificada como “evidente”, ela deve ser evidente para o operador
por si só. Isso significa que nenhuma outra falha ou evento precisa
ocorrer para tornar a falha funcional evidente." (NAVAIR 00-25-403,
Seção 3.4.1)
"O segundo passo na avaliação das consequências das falhas é separar,
dentro das categorias ocultas e evidentes, os modos de falha que
afetam a segurança ou a conformidade ambiental daqueles que não o
fazem. Falhas evidentes que têm impactos adversos na segurança
ou na conformidade ambiental resultantes da perda de função (incluindo
qualquer dano secundário causado pela ocorrência do modo
de falha) requer ação (tarefa condicional, tarefa difícil ou outra ação)
para evitar consequências inaceitáveis." (NAVAIR 00-25-403, Seção
3.4.1)
"Os efeitos da falha devem ser descritos como se não houvesse nenhuma
tarefa de PM para prevenir ou encontrar a falha." (NAVAIR 00-
25-403, Seção 3.2.5)
Machine Translated by Google
5.6 Seleção de Política de Gerenciamento de Falhas
SAE JA1011
5.6.1 O processo de seleção de gerenciamento de falhas deve levar
em conta o fato de que a probabilidade condicional de alguns modos de
falha aumentará com a idade (ou exposição ao estresse), que a
probabilidade condicional de outros não mudará com a idade, e a
probabilidade condicional de outros ainda diminuirão com a idade.
5.6.2 Todas as tarefas programadas devem ser tecnicamente viáveis e
dignas de serem executadas (aplicáveis e eficazes), e os meios
pelos quais este requisito será satisfeito estão definidos em 5.7.
5.6.3 Se duas ou mais políticas propostas de gerenciamento de
falhas forem tecnicamente viáveis e valer a pena serem
implementadas (aplicáveis e eficazes), a política que for mais econômica
deverá ser selecionada.
5.6.4 A seleção de políticas de gerenciamento de falhas deve ser realizada
como se nenhuma tarefa específica estivesse sendo realizada
atualmente para antecipar, prevenir ou detectar a falha.
NAVAIR 00-25-403 e manual de treinamento
"Fatos sobre revisões:
- Muitos modos de falha não suportam a filosofia de revisão
– não têm tempo de revisão “certo”.
- Perde vida útil considerável dos componentes.
- As revisões reintroduzem falhas na mortalidade infantil."
(Fundamentos da Análise RCM. página I.1.13.
Copyright 2002, Information Spectrum, Inc. Todos os direitos reservados)
"O RCM aplica a filosofia de manutenção mais adequada a cada
modo de falha." (Fundamentos da análise RCM. página I.1.16.
Copyright 2002, Information Spectrum, Inc. Todos os direitos
reservados)
“O custo de cada solução possível desempenha um papel significativo
na determinação de qual delas será finalmente selecionada.
Lembre-se que neste ponto da análise já foi demonstrado que cada opção
reduz as consequências do fracasso a um nível aceitável. Uma solução
que contenha qualquer uma destas opções atenderá aos critérios do
programa.
Como a segurança, o impacto ambiental e a missão já foram tratados
neste ponto, considerar o custo é apropriado. A melhor solução neste
momento será determinada pelo custo de execução dessa solução
e pelas consequências operacionais que essa solução terá nas
operações de manutenção do programa."
(NAVAIR 00-25-403, Seção 3.6.1)
Machine Translated by Google
5.7 Políticas de Gerenciamento de Falhas — Tarefas Agendadas
SAE JA1011
5.7.1 Todas as tarefas programadas devem obedecer
aos seguintes critérios:
5.7.1.1 No caso de um modo de falha evidente que tenha
consequências ambientais ou de segurança, a tarefa deve
reduzir a probabilidade do modo de falha a um nível que seja
tolerável para o proprietário ou usuário do ativo.
5.7.1.2 No caso de um modo de falha oculto em que a falha
múltipla associada tenha consequências ambientais ou de
segurança, a tarefa deve reduzir a probabilidade do modo de falha
oculto a um ponto que reduza a probabilidade da falha
múltipla associada a um nível que seja tolerável para o
proprietário ou usuário do ativo.
NAVAIR 00-25-403 e manual de treinamento
Veja abaixo:
"NAVAIR 00-25-403 3.5.8 Sem PM
Se a conformidade de segurança/ambiental não estiver envolvida,
não realizar MP pode ser a opção mais apropriada para lidar
com a falha funcional. Neste caso, o item pode permanecer
em operação até falhar.
No entanto, quando a conformidade com a segurança/
ambiental está envolvida, a falha funcional deve ser evitada.
Isso é conseguido executando uma tarefa de PM ou tomando
alguma outra ação que seja justificada.”
"Às vezes, não é possível encontrar nenhuma tarefa
que reduza adequadamente a probabilidade de falha a um
nível aceitável. Nesses casos, às vezes é possível
combinar tarefas (geralmente de tipos diferentes) para atingir
o nível desejado de confiabilidade." (NAVAIR 00-25-403, Seção
3.7.2)
"Para que uma tarefa de detecção de falhas seja aceitável para
modos de falha de consequências ambientais/segurança
ocultas, a probabilidade de falha múltipla (ou falha sob
demanda) com a tarefa de detecção de falhas em vigor deve ser
menor ou igual à probabilidade aceitável de falha, Pacc
estabelecida para falha funcional de
falhas de consequências ambientais/de segurança. A
probabilidade de falha múltipla (ou falha sob demanda), Pmf, é
o produto da probabilidade de falha da função oculta e a
probabilidade de falha da função (ou a probabilidade de a
ocorrência do evento) que tornaria a falha oculta evidente.
Tal como acontece com as tarefas discutidas anteriormente,
existem vários métodos para garantir que o Pmf £ Pacc. O
Apêndice B fornece alguns métodos gerais para determinar
intervalos de tarefas. O(s) método(s) adotado(s) para
determinar intervalos de tarefas deve ser documentado no plano
RCM do programa." (NAVAIR 00-25-403, Seção 3.5.7.1)
Machine Translated by Google
5.7.1.3 No caso de um modo de falha evidente que não tenha
consequências ambientais ou de segurança, os custos diretos
e indiretos da execução da tarefa devem ser menores que os
custos diretos e indiretos do modo de falha quando medidos
em períodos de tempo comparáveis.
5.7.1.4 No caso de um modo de falha oculto, onde a falha
múltipla associada não tem consequências ambientais ou
de segurança, os custos diretos e indiretos de realizar a tarefa
devem ser menores que os custos diretos e indiretos da falha
múltipla mais o custo de reparar o modo de falha oculto
quando medido em períodos de tempo comparáveis.
5.7.2 TAREFAS SOB CONDIÇÃO — Qualquer tarefa sob
condição (ou tarefa preditiva ou baseada em condição ou de
monitoramento de condição) selecionada deverá satisfazer
os seguintes critérios adicionais:
5.7.2.1 Deve existir uma falha potencial claramente definida.
5.7.2.2 Deve existir um intervalo PF identificável (ou período de
desenvolvimento de falha).
5.7.2.3 O intervalo da tarefa deve ser menor que o menor
intervalo provável de PF.
"3.5.8 Sem PM
Se a conformidade de segurança/ambiental não estiver envolvida,
não realizar MP pode ser a opção mais apropriada para lidar com
a falha funcional. Neste caso, o item pode permanecer em
operação até falhar.
No entanto, quando a conformidade com a segurança/
ambiental está envolvida, a falha funcional deve ser evitada.
Isso é realizado executando uma tarefa de PM ou executando
alguma outra ação justificada.
3.5.8.1 Análise de Custo “Sem PM”
O custo de não fazer PM deve ser calculado para comparar esta
opção com outros métodos de lidar com o modo de falha."
(NAVAIR 00-25-403, Seção 3.5.8)
"Para modos de falha com consequências econômicas/
operacionais ocultas, o método usado deve garantir que a
tarefa de detecção de falhas seja econômica. Novamente, o
intervalo da tarefa pode ser determinado de várias maneiras.
O(s) método(s) adotado(s) deve(m) ser documentado(s)
no plano RCM do programa." (NAVAIR 00-25-403, Seção 3.5.7.2)
Veja abaixo:
"Uma falha potencial é uma condição definível e detectável
que indica que uma falha funcional está em processo de
ocorrência" (NAVAIR 00-25-403, Seção 3.5.5)
"Para desenvolver uma tarefa On Condition, as seguintes
questões devem ser abordadas:
* O que será definido como Falha Funcional?
* O que será definido como Falha Potencial?
*Qual o intervalo de Falha Potencial até Falha Funcional (PF);
quão consistente é isso?
* Pode ser desenvolvido um intervalo de tarefas que reduza
a probabilidade de falha a um nível aceitável?”
(NAVAIR 00-25-403, Seção 3.5.5.1)
"Para modos de falha que resultam em consequências de falha
de segurança/ambiente evidentes ou ocultas, o intervalo
PF mais curto da faixa deve ser selecionado." (NAVAIR
00-25-403, Seção 3.5.5.4)
Machine Translated by Google
5.7.2.4 Deve ser fisicamente possível realizar a tarefa em intervalos
menores que o intervalo PF.
5.7.2.5 O menor tempo entre a descoberta de uma falha potencial e a
ocorrência da falha funcional (o intervalo PF menos o intervalo da
tarefa) deve ser longo o suficiente para que ações predeterminadas sejam
tomadas para evitar, eliminar ou minimizar as consequências da falha.
Modo de falha.
5.7.3 TAREFAS DE DESCARTE AGENDADAS — Qualquer
tarefa de descarte agendada selecionada deverá satisfazer os seguintes
critérios adicionais:
5.7.3.1 Deve haver uma idade claramente definida (de preferência
demonstrável) na qual há um aumento na probabilidade condicional do
modo de falha em consideração.
5.7.3.2 Uma proporção suficientemente grande das
ocorrências deste modo de falha deverá ocorrer após esta idade para
reduzir a probabilidade de falha prematura a um nível que seja tolerável
para o proprietário ou usuário do ativo.
5.7.4 TAREFAS DE RESTAURAÇÃO AGENDADAS — Qualquer tarefa
de restauração agendada selecionada deverá satisfazer os seguintes
critérios adicionais:
5.7.4.1 Deve haver uma idade claramente definida (de preferência
demonstrável) na qual há um aumento na probabilidade condicional do
modo de falha em consideração.
"Se um limite inferior para o intervalo PF não puder ser
determinado, ou se for considerado muito curto para um tipo de indicador
de degradação, a tarefa On Condition poderá ser salva considerando
um indicador de degradação diferente. Se esta abordagem
falhar, então outro tipo de tarefa deve ser considerado. Um método
de conduzir inspeções nas condições em intervalos muito curtos
é por meio de sensores PHM integrados ou embutidos e dispositivos de
monitoramento." (NAVAIR 00-25-
403, Seção 3.5.5.4)
"Para modos de falha com consequências ambientais/de
segurança, o objetivo é desenvolver um intervalo de tarefa que reduzirá a
probabilidade de ocorrer uma falha funcional a um nível aceitável. Para
modos de falha com consequências ambientais/de segurança ocultas, o
objetivo é desenvolver uma tarefa intervalo que reduzirá a probabilidade
de ocorrer uma falha múltipla (ou falha sob demanda para
funções de proteção exigidas na ocorrência de um evento de
demanda) para um nível aceitável." (NAVAIR 00-25-403, Seção
3.5.5.5)
"Para falhas que resultem em consequências não relacionadas à
segurança/ambientais, o objetivo é buscar a opção mais econômica.
O Apêndice B fornece alguns métodos para determinar intervalos de
tarefas; outros métodos podem ser aplicáveis. O(s) método(s) adotado(s)
para determinar intervalos de tarefas deve ser documentado no plano
RCM do programa." (NAVAIR 00-25-403, Seção 3.5.5.5)
Veja abaixo:
"Para desenvolver uma tarefa Hard Time que possa evitar a
ocorrência de um modo de falha, três questões devem ser abordadas:
* O que é uma idade de desgaste identificável?
* Qual a porcentagem de itens que sobrevivem até essa idade de
desgaste?
* Pode ser desenvolvido um intervalo de tarefas que reduza a
probabilidade de falha a um nível aceitável?”
(NAVAIR 00-25-403, Seção 3.6.1)
“O desgaste é descrito como um aumento na probabilidade condicional de
falha com a idade”. (NAVAIR 00-25-403, Seção 3.6.2)
Veja abaixo:
"Para desenvolver uma tarefa Hard Time que possa evitar a
ocorrência de um modo de falha, três questões devem ser abordadas:
* O que é uma idade de desgaste identificável?
* Qual a porcentagem de itens que sobrevivem a esse desgaste
Machine Translated by Google
5.7.4.2 Uma proporção suficientemente grande das
ocorrências deste modo de falha deverá ocorrer após esta idade
para reduzir a probabilidade de falha prematura a um nível que
seja tolerável para o proprietário ou usuário do ativo.
5.7.4.3 A tarefa deve restaurar a resistência à falha (condição)
do componente a um nível que seja tolerável para o proprietário
ou usuário do ativo.
5.7.5 TAREFAS DE DETECÇÃO DE FALHAS — Qualquer
tarefa de detecção de falhas selecionada deverá satisfazer os
seguintes critérios adicionais (a detecção de falhas não se
aplica a modos de falha evidentes):
5.7.5.1 A base sobre a qual o intervalo de tarefa é selecionado deve
levar em conta a necessidade de reduzir a probabilidade de falha
múltipla do sistema protegido associado a um nível que seja tolerável
para o proprietário ou usuário do
ativo.
5.7.5.2 A tarefa deve confirmar se todos os componentes
cobertos pela descrição do modo de falha estão funcionais.
idade?
* Pode ser desenvolvido um intervalo de tarefas que reduza
a probabilidade de falha a um nível aceitável?”
(NAVAIR 00-25-403, Seção 3.6.1)
“O desgaste é descrito como um aumento na probabilidade
condicional de falha com a idade”. (NAVAIR 00-25-403, Seção
3.6.2)
"Depois que um item é removido por uma tarefa Hard Time,
ele é retrabalhado ou descartado. Se for retrabalhado, o nível
aceitável de resistência à falha do item deve ser restaurado e o
item retornado ao serviço. Se o item for descartado, ele é substituído
por um novo item." (NAVAIR 00-25-403, Seção 3.5.6)
Veja abaixo:
"Para que uma tarefa de detecção de falhas seja aceitável para
modos de falha de consequências ambientais/segurança ocultas,
a probabilidade de falha múltipla (ou falha sob demanda) com a
tarefa de detecção de falhas em vigor deve ser menor ou igual à
probabilidade aceitável de falha, Pacc estabelecida para falha
funcional de falhas de consequências de
segurança/ambientais. A probabilidade de falha múltipla
(ou falha sob demanda), Pmf, é o produto da probabilidade de
falha da função oculta e a probabilidade de falha da função (ou
a probabilidade de a ocorrência do evento) que tornaria a falha
oculta evidente. Tal como acontece com as tarefas discutidas
anteriormente, existem vários métodos para garantir que o Pmf £
Pacc. O Apêndice B fornece alguns métodos gerais para
determinar intervalos de tarefas. O(s) método(s) adotado(s) para
determinar intervalos de tarefas deve ser documentado no
plano RCM do programa." (NAVAIR 00-25-403, Seção 3.5.7.1)
"Como as tarefas de detecção de falhas são direcionadas a
falhas funcionais, muitas vezes é possível determinar uma tarefa
que possa proteger vários modos de falha." (NAVAIR 00-25-
403, Seção 3.5.7)
Machine Translated by Google
5.7.5.3 A tarefa de detecção de falhas e o processo de seleção de
intervalo associado devem levar em conta qualquer
probabilidade de que a tarefa em si possa deixar a função oculta
em estado de falha.
5.7.5.4 Deve ser fisicamente possível realizar a tarefa nos intervalos
especificados.
"Para que uma tarefa de detecção de falhas seja aceitável para modos
de falha de consequências ambientais/segurança ocultas, a
probabilidade de falha múltipla (ou falha sob demanda) com a tarefa
de detecção de falhas em vigor deve ser menor ou igual à probabilidade
aceitável de falha, Pacc estabelecida para falha funcional de falhas
de consequências de segurança/ambientais.
A probabilidade de falha múltipla (ou falha sob demanda),
Pmf, é o produto da probabilidade de falha da função oculta e a
probabilidade de falha da função (ou a probabilidade de a ocorrência
do evento) que tornaria a falha oculta evidente. Tal como acontece
com as tarefas discutidas anteriormente, existem vários métodos
para garantir que o Pmf & Pacc. O Apêndice B fornece alguns
métodos gerais para determinar intervalos de tarefas. O(s) método(s)
adotado(s) para determinar intervalos de tarefas deve ser documentado
no plano RCM do programa." (NAVAIR 00-25-403, Seção 3.5.7.1)
Está implícito que uma tarefa fisicamente implícita não pode ser
selecionada como uma opção viável.
Machine Translated by Google

5.8 Políticas de gerenciamento de falhas – Mudanças únicas e execução até a falha

SAE JA1011 5.8.1 NAVAIR 00-25-403 e manual de treinamento
MUDANÇAS ÚNICAS Veja abaixo:

5.8.1.1 O processo RCM deve se esforçar para extrair o
desempenho desejado do sistema conforme ele está
atualmente configurado e operado, aplicando tarefas
agendadas apropriadas.
5.8.1.2 Nos casos em que tais tarefas não possam ser encontradas,
poderão ser necessárias alterações únicas no ativo ou sistema,
sujeitas aos seguintes critérios.
5.8.1.2.1 Nos casos em que a falha está oculta e a falha múltipla
associada tem consequências ambientais ou de segurança, uma
mudança única que reduza a probabilidade da falha múltipla
a um nível tolerável para o proprietário ou usuário do ativo é
obrigatório.
5.8.1.2.2 Nos casos em que o modo de falha é evidente e tem
consequências ambientais ou de segurança, é obrigatória uma
mudança única que reduza a probabilidade do modo de falha a
um nível tolerável para o proprietário ou usuário do ativo.
"Se for determinado que "Nenhuma PM" é inaceitável e uma
tarefa de PM apropriada não puder ser desenvolvida que reduza
as consequências da falha a um nível aceitável, então alguma
outra ação deverá ser tomada para lidar com elas. Várias
opções, como uma o redesenho de itens (por exemplo, melhorias
na confiabilidade, introdução de PHM ou estabelecimento de
capacidade redundante), a introdução de restrições
operacionais ou uma mudança nos procedimentos de manutenção
podem ser aplicados para mitigar o problema. Às vezes, alguma
outra ação pode ser desejável mesmo se uma tarefa de PM estiver
disponível. Este curso de ação seria apropriado se um retorno
positivo do investimento puder ser demonstrado em termos de, por
exemplo, aumento da disponibilidade de equipamentos,
redução de custos ou redução da exposição a uma condição
perigosa." (NAVAIR 00-25-403, Seção 3.5.9)

5.8.1.2.3 Nos casos em que o modo de falha está oculto e a falha

múltipla associada não tem consequências ambientais ou de
segurança, qualquer alteração única deve ser rentável na opinião do
proprietário ou usuário do ativo.

5.8.1.2.4 Nos casos em que o modo de falha é evidente e não tem

consequências ambientais ou de segurança, qualquer alteração
única deve ser rentável na opinião do proprietário ou usuário
do ativo.

5.8.2 EXECUÇÃO ATÉ A FALHA — Qualquer política de execução Veja abaixo:

até a falha selecionada deverá satisfazer o critério apropriado
como segue:

5.8.2.1 Nos casos em que a falha está oculta e não há tarefa
programada adequada, a falha múltipla associada não deve ter
consequências de segurança ou ambientais.
5.8.2.2 Nos casos em que a falha é evidente e não há tarefa
programada adequada, o modo de falha associado não deve
ter segurança ou meio ambiente
consequências.
"3.5.8 Sem PM
Se a conformidade de segurança/ambiental não estiver envolvida,
não realizar MP pode ser a opção mais apropriada para lidar com
a falha funcional. Neste caso, o item pode permanecer em
operação até falhar.
No entanto, quando a conformidade com a segurança/ambiental
está envolvida, a falha funcional deve ser evitada.
Isso é realizado executando uma tarefa de PM ou executando
alguma outra ação justificada.
3.5.8.1 Análise de Custo “Sem PM”
O custo de não fazer PM deve ser calculado para comparar esta
opção com outros métodos de lidar com o modo de falha."

(NAVAIR 00-25-403, Seção 3.5.8)

Machine Translated by Google
5.9 Um Programa Vivo
SAE JA1011
5.9.1 Este documento reconhece que (a) muitos dos dados
utilizados na análise inicial são inerentemente imprecisos e que
dados mais precisos estarão disponíveis com o tempo, (b) a
forma como o ativo é utilizado, juntamente com
expectativas de desempenho associadas também mudarão
com o tempo e (c) a tecnologia de manutenção continua a
evoluir. Assim, é necessária uma revisão periódica para que o
programa de gestão de activos derivado do RCM garanta que
os activos continuam a cumprir as actuais
expectativas funcionais dos seus proprietários e utilizadores.
5.9.2 Portanto, qualquer processo de RCM deverá prever
uma revisão periódica tanto das informações utilizadas para
apoiar as decisões como das próprias decisões. O processo
utilizado para conduzir tal revisão garantirá que todas as sete
questões da Seção 5 continuem a ser respondidas
de forma satisfatória e de maneira consistente com os critérios
estabelecidos em 5.1 a 5.8.
NAVAIR 00-25-403 e manual de treinamento
"Um programa de PM baseado na filosofia RCM deve ser
dinâmico. Isto é especialmente verdadeiro durante os
estágios iniciais de um novo programa, quando é
baseado em informações limitadas. As organizações de
manutenção devem, portanto, estar preparadas para
coletar, analisar, revisar e responder a dados em serviço
durante toda a vida operacional do equipamento, a fim de
refinar continuamente o programa de PM. Os
procedimentos e processos usados para monitorar, analisar,
atualizar e refinar o programa de PM por meio de análises
RCM sustentarão o programa. Eles devem ser identificados em o Plano do Programa RCM
(NAVAIR 00-25-403, Seção 5.1)
“A base para as decisões tomadas durante uma análise
RCM muda continuamente à medida que o
programa experimenta crescimento e maturidade, o que
é provocado pelo tempo, uso, modificações, atualizações, etc.
Por causa disso, a revisão e o refinamento do programa
de PM devem ser um processo contínuo. Requer um
sistema de informação organizado que forneça meios para
realizar a vigilância de itens sob condições reais de
operação. As informações são coletadas para dois
propósitos. Primeiro, ele é usado para determinar
quais refinamentos e modificações precisam ser feitos no
programa inicial de PM (incluindo ajustes de
intervalo de tarefas). Em segundo lugar, é utilizado para
recolher dados para determinar a necessidade de tomar
alguma outra ação, como melhorar o produto ou
fazer alterações operacionais. Esses dois propósitos são
atendidos monitorando e ajustando as tarefas de manutenção
existentes, desenvolvendo requisitos emergentes e
avaliando periodicamente os requisitos de manutenção
gerados pelo RCM. Os analistas usam essas novas
informações para revisar as análises RCM, que posteriormente
podem refletir a necessidade de mudanças no programa PM." (NAVAIR 00-25-403, Seção
Machine Translated by Google

"O objetivo do processo de sustentação é monitorar

e otimizar continuamente o atual programa de PM,
eliminar requisitos desnecessários, identificar tendências
adversas de falhas, abordar novos modos de falha e melhorar
a eficiência e eficácia geral dos programas RCM e PM. Os
esforços de sustentação devem ser estruturado de tal forma
que os resultados possam ser efetivamente usados para
apoiar atualizações de análise de RCM. O processo de
monitoramento de tarefas de manutenção existentes
envolve a revisão das muitas fontes de informações
sobre a eficácia da tarefa e a manutenção de dados de
análise precisos e eficientes. Os tipos de esforços usados
no processo de sustentação de RCM incluem Análises de
principais degradadores, análises de tendências,
revisões de documentos de requisitos de PM, revisões
de pacotes de tarefas, programas Fleet Leader, tarefas de
Age Exploration (AE) e tratamento de problemas emergentes
do dia a dia." (NAVAIR 00-25-403, Seção 5.2)
Machine Translated by Google

5.10 Fórmulas Matemáticas e Estatísticas

SAE JA1011 NAVAIR 00-25-403 e manual de treinamento

5.10.1 Quaisquer fórmulas matemáticas e estatísticas
usadas na aplicação do processo (especialmente aquelas
usadas para calcular os intervalos de quaisquer tarefas) devem
ser logicamente robustas e devem estar disponíveis e
aprovadas pelo proprietário ou usuário do ativo.
A NAVAIR, como cliente da análise RCM e proprietária
dos ativos, expõe na NAVAIR 00-25-403 e nos seus manuais
de formação as diversas definições de fórmulas
aceitáveis (probabilidade, custo, MTBF, etc.) para cálculos
durante uma análise RCM .
Machine Translated by Google

Preocupações específicas

Várias preocupações específicas foram levantadas anteriormente em relação à conformidade da NAVAIR 00-25-
403 com SAE JA1011. Esta seção tentará abordar cada uma dessas questões individualmente:

Preocupação:

O contexto operacional não foi abordado adequadamente.

Resposta:
NAVAIR 00-25-403 aborda todo o contexto operacional. As versões anteriores dos materiais de treinamento abordavam
o contexto operacional de forma implícita e não direta. Desde então, os materiais de treinamento foram atualizados para
abordar mais detalhadamente a questão do contexto operacional.

Preocupação:

O processo NAVAIR 00-25-403 exclui erro humano da análise RCM.

Resposta:
NAVAIR 00-25-403 não exclui especificamente problemas de erro humano. Não aborda diretamente o erro humano porque
as falhas de erro humano são tratadas através de outros processos no NAVAIR, como garantia de qualidade e análise
de fatores humanos. Referência SAE JA1011 Parágrafo 5.3.5: “As listas de modos de falha devem incluir qualquer evento
ou processo que possa causar uma falha funcional, incluindo deterioração, defeitos de projeto e erro humano, seja
causado por operadores ou mantenedores (a menos que o erro humano esteja sendo ativamente abordado por
processos analíticos além do RCM).

Historicamente, alguns tentaram usar PM indevidamente para resolver problemas humanos, em vez de atacá-los na fonte.
Por exemplo, inspecionar componentes instalados incorretamente em vez de aplicar procedimentos de garantia de qualidade.
Se um modo de falha for causado por projeto inadequado, práticas de manutenção inadequadas, etc. e puder ser previsto,
não há nada no processo que diga para não incluir esses modos de falha. A categoria Outras Ações aborda melhorias no
processo de manutenção e no projeto como abordagens recomendadas de gerenciamento de falhas. Além disso, os
materiais de treinamento NAVAIR RCM foram atualizados para garantir que falhas de erro humano não sejam ignoradas.

Preocupação:

A lógica funcional significativa requer a determinação das consequências da falha fora da ordem exigida.

Resposta:
O processo de seleção de função significativa é considerado uma etapa “opcional” que não afeta de forma alguma o
restante das etapas de análise. Na maioria dos casos de análise realizada adequadamente, a lógica não exclui quaisquer
funções da análise; é usado apenas como uma ferramenta de categorização. A resposta adicional da NAVAIR é
fornecida abaixo:

O seguinte é citado diretamente de uma resposta da NAVAIR ao problema:

“Tivemos muito debate sobre isso no desenvolvimento do SAE JA1011. Embora John Moubray promova a análise
de todos os modos de falha prováveis, ele também entende que há um retorno decrescente em muitos sistemas e
equipamentos. A ideia de funções "não significativas" foi introduzida para evitar o desperdício de recursos limitados
em sistemas/ funções com pouco ou nenhum impacto de falha. Concordamos que você deve ter
Machine Translated by Google

uma compreensão dos modos e efeitos de falha ao determinar se algo é "não significativo", mas não achamos que
você deva gastar muito tempo analisando o equipamento ou anotando esses modos e efeitos de falha para
determinar a "não significância" de um sistema . Se você ler NA 00-25-403 sobre questões lógicas específicas, verá
que isso indica claramente uma compreensão dos modos de falha e efeitos da função necessários para determinar
algo "não significativo". A ideia de "não significância" foi introduzida por Nowlan e Heap e incluída na MIL-STD-2173.
Até o JA1012 discute subsistemas “considerados tão insignificantes que nem serão analisados”. Portanto,
acreditamos que a inclusão do processo de "função significativa" é importante para fazer com que o analista pense
nas funções identificadas para análise e geralmente faz com que funções adicionais sejam adicionadas (por
exemplo, porque existe um PM existente), do que para funções para ser descartado. Os critérios para eliminar uma
função de uma análise mais aprofundada (nenhum efeito adverso ou segurança, meio ambiente, operações ou
economia e nenhuma MP existente) geralmente resultam na eliminação de funções que eram um tanto nebulosas
no início.
Reconhecendo que o processo RCM também é “iterativo”, se uma função fosse inicialmente determinada
como “não significativa” e posteriormente os dados mostrassem modos de falha revelados com impactos, ela
seria adicionada à análise. Como (como você destacou) eliminamos essas funções da consideração antes de iniciar
a análise RCM, sentimos que estamos em conformidade com a intenção do JA1011 ao aplicar o processo às
funções selecionadas para análise. Entendemos que pode haver alguma discordância com essa posição.”

Preocupação:

O processo NAVAIR 00-25-403 não requer uma descrição da evidência (se houver) de que a falha ocorreu e não
requer informações sobre o que deve ser feito para restaurar a função do sistema.

Resposta:
A descrição das evidências está incluída na parte de detecção de falhas do FMECA no NAVAIR 00-
25-403. Isto atende à intenção do JA1011 para "descrição de evidências". No que diz respeito ao que é necessário
para restaurar a funcionalidade, o JA1011 não foi concebido para exigir uma descrição completa do processo de
reparo ou etapas de manutenção corretiva. Algo como "requer reparo extensivo no depósito" ou "remoção e
substituição necessária" é suficiente na maioria dos casos. O treinamento foi atualizado para refletir esse problema.

Resumo

A intenção dos autores do NAVAIR 00-25-403 é cumprir todos os requisitos da SAE JA1011. Quando ocorrem
questões de conformidade, geralmente é uma questão de interpretação de um documento ou de outro. Em
qualquer caso, os usuários de qualquer um dos documentos podem fazer pequenas modificações ou
esclarecimentos para alcançar a interpretação desejada. O NAVAIR 00-25-403 sempre foi concebido para ser usado
como um guia sujeito a ajustes por usuários individuais.

Nota: Anteon Corporation, utilizando informações do programa de treinamento NAVAIR, e do Comitê Diretor
NAVAIR RCM, entre outras fontes, preparou o relatório de julho de 2004 acima.