美国发布新的可靠性标准GEIA-STD-0009

   [论文]美国发布新的可靠性标准GEIA-STD-0009。
GEIA-STD-0009 标准要求研制人员从一开始就起草一份可靠性工作计划，作为系统工程计划的一部分，以便从项目的开始就能理解可靠性工作的人员和进度安排，并编入预算。根据以往的经验教训，如果研制人员没有在合同签署之前为可靠性工作做出适当的预算和计划，则后来就很难把它包括进去。
GEIA-STD-0009 包含了一种将可靠性设计进去的系统化过程，该过程包括三个要素：
  渐进理解系统级使用载荷和环境载荷及其导致的在整个系统结构中出现
的载荷和应力；
  渐进识别产生的失效模式和机理；
  积极减少暴露出的失效模式。

近几年来,美国国防部发现近半数的采办项目在初始试验与验证过程中，既不具备作战效能，也不适用。为此，国防部要求美国国防科学委员会成立一个特别行动小组，寻找原因。经过1 年多的调查研究，特别行动小组公布了主要研究结果：高的适用性失败率是由缺乏严格的系统工程过程引起的，包括在系统研制期间缺少一个稳健的可靠性增长计划。特别行动组提出建议：迫切需要一个新的可靠性大纲标准，该标准应包括可靠性增长作为设计和研制的一个有机组成部分。并可以在DoD 合同中援引。为此，DoD 与工业界和政府电子与信息技术协会（GEIA）密切合作，制定了新的标准GEIA-STD-0009 系统设计、研制和制造用的可靠性大纲标准。
1．标准制定过程
自1998 年取消MIL-STD-785B“系统和设备研制和生产的可靠性大纲”以来，美国政府还没有发布一种替代的政府可靠性标准、能够为可靠性设计、评估和验证以及一体化管理和系统工程提供一种科学方法，供合同文件中使用。
虽然1998 年，美国行业标准协会出台了两项工业标准IEEE 1332“电子系统和设备研制和生产用标准可靠性大纲”和SAE JA1000“可靠性大纲标准”，这两个标准主要由设计和制造一种可靠的产品所必须实现的3 个目标构成：理解客户的要求；满足客户的要求；使客户确信其要求已被满足。然而，这两个标准几乎没有包括有关为了完成上述目标必须做什么的标准内容。
2005 年，DoD 出版了可靠性、可用性和维修性（RAM）指南，该指南的结构基于IEEE 1332 和SAE JA1000 的目标，并增加了属于外场可靠性的第四个目标。RAM 指南针对每个目标提供了丰富的指南，但是仍没有明确为了实现每个目标应开展的可靠性活动。
2007 年10 月至2008 年7 月之间，DoD 与工业界和政府电子与信息技术协会(GEIA) 密切合作。致力于GEIA-STD-0009 的编制工作。
2007 年10 月30-31 日，GEIA 的G-47 系统工程委员会发起在美国弗吉尼亚州阿林顿的GEIA 总部召开了第一次会议，召集来自政府与工业界的专家开始制订新的可靠性标准。GEIA 将参会人员组成最初的可靠性工作组。工作组面临的主要问题是：如何构建一个可靠性大纲标准，通过规定做什么而非如何做，能够在系统工程过程中牢固地集成可靠性设计、制造和寿命周期管理过程。这项工作通过下述活动完成：1）确定为了设计、制造和部署一个可靠的系统/产品所必须执行的顶层标准化（即强制性的）活动; 2）开发能够将这些活动和系统工程过程综合起来的语言。
GEIA-STD-0009 工作组在起草新标准前，审查了各种文件，主要包括MIL-STD-785、IEEE 1332 和SAE JA1000 以及国防部RAM 指南（2005 年8 月），以它们作为起草新标准的参考，开始撰写新标准GEIA-STD-0009 的草稿。这次会议为系统或产品的研制以及系统或产品的总体可靠性确定了一个团队方案，即在新标准中“研制人员确保可靠性”，意味着客户-承包商研制团队共同承担可靠性职责。
在GEIA-STD-0009 研制过程中，标准工作组确定了基本的可靠性过程，称作“可靠性活动”，这些活动是设计、增长、制造和部署可靠的系统所必须完成的。这些可靠性活动本身是强制性的，只规定了“做什么”。
2008 年5 月28 日， GEIA-STD-0009 草稿公布，开始广泛征求意见。2008 年8 月1 日，美国信息技术协会（ITAA ）正式发布了这份供国防系统和设备研制与生产用的可靠性标准GEIA-STD-0009。
2．标准概述
GEIA-STD-0009 标准确立了在产品和系统研制中提供最佳值和最小风险的最佳惯例。它便于美国国防机构为在系统和设备的设计和生产中确保可靠性、并在使用中保持高的可靠性规定措施步骤。该标准包括一种研制、增长、生产和部署可靠系统的新方法，它主要包含以下四个可靠性目标：#p#分页标题#e#
 理解客户/用户需求和约束条件
 可靠性设计和再设计
 生产可靠的系统/产品
 监控和评估用户的可靠性
标准中围绕每个目标阐述了下述内容：
 引言
 任务和目标
 人员和组织
 支持信息（规范性的）
. 输入信息（规范性的）
. 开发的信息（规范性的）
 活动、方法和工具
. 活动（规范性的）
. 方法和工具（信息性的）
  输出和文件（规范性的）其中，“引言”对该目标作简要介绍。“任务与目标”提供便于人们对该目标有清晰的理解所需的补充背景说明。“人员和组织”介绍在将可靠性设计到产品中去时，必须解决的人员和组织问题，其支持信息包括两部分：第一部分”输入信息“列出为完成该可靠性设计目标所需的基本输入信息；第二部分“开发的信息”列出了在完成该目标时所开发的信息。“输入信息”为“活动、方法和工具”中包含的过程和方法提供输入，应用这些过程和方法应产生可靠的产品。“活动、方法和工具”也包含两部分：一组规范性（强制性的）的活动和一组信息性（仅提供指南信息的）的方法和工具。“输出和文件”列出了最终将提供给标准中其他目标的“开发信息”。
图1 描绘了流入和流出每个目标的信息流。其中，每个目标的输入通常书另一个目标的输出。

GEIA-STD-0009 标准的核心是一个与系统工程完全综合在一起的可靠性工程和增长过程。新标准不像MIL-STD-785B 等以前的许多可靠性标准那样提供一种供人们选择的可靠性工作项目菜单。剪裁GEIA-STD-0009 的基本机制是通过选择方法、工具和最佳惯例来实施每项可靠性活动。标准中的附录A 给出了实施这些可靠性活动必要的方法和工具。有关方法和工具的更详细信息可参见DoD RAM 指南和SAE JA1000-1 1999-03（美国国家标准）可靠性工作标准实施指南。AMSAA 和DoD 可靠性改进工作组所开发的可靠性记分卡可用于指导可靠性方法、工具和最佳惯例的选取。可靠性工作记分卡可以在美国防务采办大学网站上找到：

ITAA 在GEIA 下成立了一个可靠性委员会，该委员会正在与美军客户和系统研制人员合作为GEIA-STD-0009 制定一个指南。
3．标准规定的可靠性活动
GEIA-STD-0009 中围绕满足4 项可靠性目标规定了13 项规范性的可靠性活动，这些可靠性活动是强制性的，只规定了“做什么”。现分别介绍如下：
3.1  可靠性工作计划(RPP) 
首先，为了实现标准中确立的四项可靠性目标，研制人员要编制和遵守可靠性工作计划（RPP）。RPP 最少要使用这里介绍的每项可靠性活动，并写明可靠性资金投入、进度安排、输出结果和人员安排。 RPP 应在开始就编制，以响应招标书的需要，并应在适当时候与客户进行协调，进行更新。
3.2  系统/产品可靠性模型
研制人员要为系统/产品建立一种可靠性模型。系统可靠性模型至少用于(1) 生成和更新从系统级到较低层次的可靠性分配, (2) 根据较低层次可靠性估计值合计出系统级可靠性, (3) 识别单点失效,和(4) 确定那些为满足可靠性要求需要增加设计或试验活动的可靠性关键件和区域。在整个寿命周期中，每当识别了新的失效模式、更新了失效的定义、修正了使用载荷和环境载荷估计值或设计和制造工艺发生变化后，都要对系统可靠性模型加以更新。在适当时要纳入详细的部件应力和损伤模型。#p#分页标题#e#
3.3  工程过程
研制人员要实施一种将客户/用户需求和要求转变成适用的系统/产品的健全的系统工程过程，同时平衡性能、风险、费用和进度。研制人员要（1）纳入这里描述的可靠性活动，作为一种严格的、备有证明文件的系统工程过程和计划的一个有机组成部分；（2）向相应的工程组织提交可靠性活动中确定的潜在的可靠性改进；（3）监督和评价系统设计或制造变更对可靠性的影响；（4）管理和控制可靠性关键件；以及（5）确保遵守可靠性设计准则，包括降额、电气、机械和其他方面的指导方针。
3.4  系统/产品级寿命周期使用人员载荷和环境载荷系统要验证的可靠性一部分是系统整个结构中的寿命周期使用应力和环境应力的函数。使用载荷除了来自于与该研制系统接口的外部系统外，还源自使用人员或维修人员的活动。
在GEIA-STD-0009 中，在系统上施加的使用载荷和环境载荷在整个研制过程中是渐进表征和设计的。这项工作始于客户提供的信息。客户提供的系统级使用和环境载荷信息一般按照工作模式概要/ 任务剖面（OMS/MP ）定义。GEIA-STD-0009 明确要求研制人员研究OMS/MP，并与客户合作，以便在OMS/MP 不足以满足工程师的设计需要时，获得补充的细节信息。为了获得所需的细节信息，必要的话，研制人员应寻求访问客户的资产（如系统将与之综合的试验路线或工具）。
3.5 组件、分组件和部件上的寿命周期载荷

研制人员渐进地表征整个结构中产生的载荷和应力，直至所选择和综合到设计中的部件或组件，包括商用现成产品（COTS）、非研制产品（NDI）和客户提供的设备（CFE）。如果不对施加其上的载荷做出精确估计，就不可能设计出可靠的部件，也不可能选择和可靠地综合COTS、 NDI 和GFE。当用于可靠性验证中时，使用载荷和环境载荷的估计结果必须使用生产代表性系统度量结果来加以验证以便符合实际使用情况。

3.6 确定失效模式和机理

GEIA-STD-0009 要求从研制之始就识别和表征失效模式和机理。这是确保系统是否能以一定的可靠性水平进入分系统试验、并最终导致成功满足可靠性要求所必需的。
系统的组件、分组件和零部件研制团队通过分析、试验或加速试验来识别和确定这些组件、分组件和零部件承受寿命周期使用载荷和环境载荷时所产生的失效模式和分布。负责选择和集成不是专门为此系统研制的产品（可能包括COTS、NDI 和GFE ，以及其他组件、分组件和部件）的团队识别和确定这些产品承受寿命周期载荷时所产生的失效模式和分布。为了确定失效机理及所产生的失效模式，组件、分组件和零部件上承受的寿命周期使用载荷和环境载荷的估计值可作为工程模型和物理模型的输入。
通常，由操作人员或维修人员引起的失效模式往往直到用实际的操作人员和维修人员开始试验时才会发现。GEIA-STD-0009 包括了一个预先要求，即在系统设计过程中，通过分析识别这些失效模式。由制造偏差或误差引起的失效模式和分布也在设计期间确定，而非等到生产。越早发现失效模式，减弱它们就越容易、所需费用越低。
失效机理的确定是确定和系统地阐明可靠性改进所必需的。GEIA-STD-0009 要求对系统或分系统加速试验期间发生的所有失效进行分析，直到确定根本的失效机理。确定和理解失效模式和机理的过程随着设计和制造过程的进展而持续下去。
3.7 失效模式闭环减弱过程
研制人员积极减弱失效模式，以确保在生产期间或在外场成功验证可靠性要求，并确保可靠性要求不降级。如图2(a)所示，在系统试验开始前必须积极减弱失效模式，以便达到一定可靠性水平，能够确保通过系统试验使可靠性增长到满足要求，如图2(b)所示。采用下列一种或多种方法减弱失效模式：
  消除失效模式；
  降低其发生概率或频率；
  引入冗余，和/或；
  减轻失效影响（如故障恢复、工作模式降级、提供失效的预先告警）。 #p#分页标题#e#

研制人员向适当的工程组织（如系统工程）提交可靠性活动期间所确定的潜在的可靠性改进。有关失效模式的识别和减弱，研制人员采取一种客户可访问的机制（如故障报告、分析和纠正措施系统或数据收集、分析和纠正措施系统）来监督和沟通整个组织中有关失效模式识别和减弱方面的数据。在系统寿命周期中预期发生的失效模式包括在系统可靠性模型中。

图2 (a) – 可靠性增长概念图图2(b) – 可靠性增长概念图#p#副标题#e#
3.8 可靠性评估
在GEIA-STD-0009 中，“可靠性评估”表示对可靠性相对于要求的进展进行的定期评估，其后是“可靠性验证”，它表示正式验证可靠性要求是否已被满足。该标准确立了可靠性评估的7 项一般要求：
  研制人员在系统的整个寿命周期内，根据OMS/MP 产生的寿命周期使用载荷和环境载荷估计值以及客户提供的失效定义与记分准则（FDSC），
利用系统/产品可靠性模型对系统的可靠性定期进行评估；
  可靠性评估基于分析、建模与仿真、试验和外场产生的数据，应将其作为时间的函数进行跟踪，并与可靠性分配值和客户的可靠性要求进行比 较；
  对于复杂系统，或者当客户要求时，评估策略包括研制期间的各个不同
点上取得的可靠性数值；
  研制人员监督和评价系统的设计或制造变更对可靠性的影响；
  对纠正措施的落实应加以验证，其有效性应加以跟踪；
  为了计划、跟踪和预计可靠性改进，在适当的地方（如当利用一种适合

于复杂组件的试验-分析-改进过程发现并处理了失效模式时）应使用图4(b)所示的正规的可靠性增长方法；z应将预计的失效模式和机理与试验和外场获得的进行比较。美国陆军对上述第三项要求尤其感兴趣，因为美国陆军的新政策：陆军条例70-1“陆军采办政策”要求在所选择系统的招标书中至少包括一个中间的可靠性增长值。该中间值将便于早期确定偏离满足其可靠性要求的系统，从而允许有时间对项目做出调整，并强化可靠性工程和增长过程。获得这个中间值的一个方法是，利用可靠性增长规划模型。客户可以根据项目进度、试验资产和有关可靠性增长工作强度方面的一些假设，预先制定一个可靠性增长计划。
3.9  计划和开展可靠性验证

如前所述，在GEIA-STD-0009 中，“可靠性验证”表示正式验证可靠性要求是否已被满足。该标准确立了6 项可靠性验证一般要求：

3.10 失效定义和记分

  研制人员计划和开展活动以确保在设计期间对可靠性要求的满足情况进
行验证；
  研制人员制定和定期改进一种可靠性要求验证策略/计划，该策略/计划是
系统工程验证的一个有机组成部分，在所有阶段都要对其加以调整和综
合。
  策略是进一步确保生产或外场使用中可靠性不降级。
  验证基于分析、建模与仿真、试验或组合方法，应符合使用实际。
  要使用经验证的系统级寿命周期使用载荷和环境载荷，以及失效定义和
记分FDSC（即可靠性记分卡）。
  如果有的话，应包括客户的补充要求，如可靠性鉴定试验，在客户设施
上开展试验，客户控制的、客户打分的试验。 #p#副标题#e#

当用户使用这些失效定义并操作和维修系统时，研制人员要理解失效定义和记分（FDSC），并研制满足其可靠性要求的系统/产品。研制人员要确定和减弱实际用户使用和维修系统时可能出现的人为差错。
3.11 技术评审
为了比较可靠性活动的状态和结果，尤其是为了识别、分析、分类和减弱失效模式，研制人员要与客户/用户进行技术交流。研制人员要开展可靠性评审，促进对系统未来运行的用户环境的理解，并确信在满足可靠性要求方面的进展。可靠性技术评审的开展和进度安排应与项目的系统工程评审综合。技术评审应包括可靠性主题专家的参与。#p#分页标题#e#
3.12 方法和工具
研制人员要利用适当的可靠性设计和研制方法与工具实施每项可靠性活动。各种可靠性方法和工具方面的信息可参考DoD RAM 指南和SAE JA1000-1 1999-03（美国国家标准）可靠性工作标准实施指南。研制人员应选择适当的方法，并在可靠性工作计划中对这些方法加以描述。客户可选择对研制人员所选择的方法进行审查、提出意见以及与研制人员协商。研制人员要确定和采用一组设计-可靠性最佳惯例。研制人员要利用客户批准的可靠性工作计划中所描述的途径、方法和工具开展全部可靠性活动。
3.13 输出和文件
研制人员要为客户提供持续了解可靠性活动的状态和输出的权力。应按照可靠性案例的形式，对可靠性工作计划中四项目标的渐进取得情况进行记录和定期更新。研制人员要按照标准中可靠性活动章节的规定提交文件供客户进行审查和批准。
4 结论
DoD 最新防务采办政策DoDI 5000.2 指出，“所有项目的项目主任都应制定一个切实可行的可靠性、可用性与可维修性（RAM）策略，其中应包括一个可靠性增长计划，把它作为系统设计和开发的不可或缺的组成部分。”GEIA-STD-0009 包含一个健壮的、强制性的可靠性增长计划,在DoD 采办中使用该标准将确保该要求的实现。为了促进该标准在DoD 采办合同中的使用，DoD 可靠性改进工作组（RIWG）开发了采办项目通用的可靠性合同语言模版，
该可靠性合同语言模版由下列四部分构成：
  C 节工作说明可靠性语言和剪裁指导；
  L 节建议书指导可靠性语言；
  M 节授予评价系数可靠性语言；
  可靠性工作计划评价检查单。