Анализ методом дерева ошибок - Решение и исправление самых разных ошибок на TopOshibok.ru

From Wikipedia, the free encyclopedia

A fault tree diagram

Fault tree analysis (FTA) is a type of failure analysis in which an undesired state of a system is examined. This analysis method is mainly used in safety engineering and reliability engineering to understand how systems can fail, to identify the best ways to reduce risk and to determine (or get a feeling for) event rates of a safety accident or a particular system level (functional) failure. FTA is used in the aerospace,^[1] nuclear power, chemical and process,^[2]^[3]^[4] pharmaceutical,^[5] petrochemical and other high-hazard industries; but is also used in fields as diverse as risk factor identification relating to social service system failure.^[6] FTA is also used in software engineering for debugging purposes and is closely related to cause-elimination technique used to detect bugs.

In aerospace, the more general term «system failure condition» is used for the «undesired state» / top event of the fault tree. These conditions are classified by the severity of their effects. The most severe conditions require the most extensive fault tree analysis. These system failure conditions and their classification are often previously determined in the functional hazard analysis.

Usage[edit]

Fault tree analysis can be used to:

understand the logic leading to the top event / undesired state.
show compliance with the (input) system safety / reliability requirements.
prioritize the contributors leading to the top event- creating the critical equipment/parts/events lists for different importance measures
monitor and control the safety performance of the complex system (e.g., is a particular aircraft safe to fly when fuel valve x malfunctions? For how long is it allowed to fly with the valve malfunction?).
minimize and optimize resources.
assist in designing a system. The FTA can be used as a design tool that helps to create (output / lower level) requirements.
function as a diagnostic tool to identify and correct causes of the top event. It can help with the creation of diagnostic manuals / processes.

History[edit]

Fault tree analysis (FTA) was originally developed in 1962 at Bell Laboratories by H.A. Watson, under a U.S. Air Force Ballistics Systems Division contract to evaluate the Minuteman I Intercontinental Ballistic Missile (ICBM) Launch Control System.^[7]^[8]^[9]^[10] The use of fault trees has since gained widespread support and is often used as a failure analysis tool by reliability experts.^[11] Following the first published use of FTA in the 1962 Minuteman I Launch Control Safety Study, Boeing and AVCO expanded use of FTA to the entire Minuteman II system in 1963–1964. FTA received extensive coverage at a 1965 System Safety Symposium in Seattle sponsored by Boeing and the University of Washington.^[12] Boeing began using FTA for civil aircraft design around 1966.^[13]^[14]

Subsequently, within the U.S. military, application of FTA for use with fuses was explored by Picatinny Arsenal in the 1960s and 1970s.^[15] In 1976 the U.S. Army Materiel Command incorporated FTA into an Engineering Design Handbook on Design for Reliability.^[16] The Reliability Analysis Center at Rome Laboratory and its successor organizations now with the Defense Technical Information Center (Reliability Information Analysis Center, and now Defense Systems Information Analysis Center^[17]) has published documents on FTA and reliability block diagrams since the 1960s.^[18]^[19]^[20] MIL-HDBK-338B provides a more recent reference.^[21]

In 1970, the U.S. Federal Aviation Administration (FAA) published a change to 14 CFR 25.1309 airworthiness regulations for transport category aircraft in the Federal Register at 35 FR 5665 (1970-04-08). This change adopted failure probability criteria for aircraft systems and equipment and led to widespread use of FTA in civil aviation. In 1998, the FAA published Order 8040.4,^[22] establishing risk management policy including hazard analysis in a range of critical activities beyond aircraft certification, including air traffic control and modernization of the U.S. National Airspace System. This led to the publication of the FAA System Safety Handbook, which describes the use of FTA in various types of formal hazard analysis.^[23]

Early in the Apollo program the question was asked about the probability of successfully sending astronauts to the moon and returning them safely to Earth. A risk, or reliability, calculation of some sort was performed and the result was a mission success probability that was unacceptably low. This result discouraged NASA from further quantitative risk or reliability analysis until after the Challenger accident in 1986. Instead, NASA decided to rely on the use of failure modes and effects analysis (FMEA) and other qualitative methods for system safety assessments. After the Challenger accident, the importance of probabilistic risk assessment (PRA) and FTA in systems risk and reliability analysis was realized and its use at NASA has begun to grow and now FTA is considered as one of the most important system reliability and safety analysis techniques.^[24]

Within the nuclear power industry, the U.S. Nuclear Regulatory Commission began using PRA methods including FTA in 1975, and significantly expanded PRA research following the 1979 incident at Three Mile Island.^[25] This eventually led to the 1981 publication of the NRC Fault Tree Handbook NUREG–0492,^[26] and mandatory use of PRA under the NRC’s regulatory authority.

Following process industry disasters such as the 1984 Bhopal disaster and 1988 Piper Alpha explosion, in 1992 the United States Department of Labor Occupational Safety and Health Administration (OSHA) published in the Federal Register at 57 FR 6356 (1992-02-24) its Process Safety Management (PSM) standard in 19 CFR 1910.119.^[27] OSHA PSM recognizes FTA as an acceptable method for process hazard analysis (PHA).

Today FTA is widely used in system safety and reliability engineering, and in all major fields of engineering.

Methodology[edit]

FTA methodology is described in several industry and government standards, including NRC NUREG–0492 for the nuclear power industry, an aerospace-oriented revision to NUREG–0492 for use by NASA,^[24] SAE ARP4761 for civil aerospace, MIL–HDBK–338 for military systems, IEC standard IEC 61025^[28] is intended for cross-industry use and has been adopted as European Norm EN 61025.

Any sufficiently complex system is subject to failure as a result of one or more subsystems failing. The likelihood of failure, however, can often be reduced through improved system design. Fault tree analysis maps the relationship between faults, subsystems, and redundant safety design elements by creating a logic diagram of the overall system.

The undesired outcome is taken as the root (‘top event’) of a tree of logic. For instance, the undesired outcome of a metal stamping press operation being considered might be a human appendage being stamped. Working backward from this top event it might be determined that there are two ways this could happen: during normal operation or during maintenance operation. This condition is a logical OR. Considering the branch of the hazard occurring during normal operation, perhaps it is determined that there are two ways this could happen: the press cycles and harms the operator, or the press cycles and harms another person. This is another logical OR. A design improvement can be made by requiring the operator to press two separate buttons to cycle the machine—this is a safety feature in the form of a logical AND. The button may have an intrinsic failure rate—this becomes a fault stimulus that can be analyzed.

When fault trees are labeled with actual numbers for failure probabilities, computer programs can calculate failure probabilities from fault trees. When a specific event is found to have more than one effect event, i.e. it has impact on several subsystems, it is called a common cause or common mode. Graphically speaking, it means this event will appear at several locations in the tree. Common causes introduce dependency relations between events. The probability computations of a tree which contains some common causes are much more complicated than regular trees where all events are considered as independent. Not all software tools available on the market provide such capability.

The tree is usually written out using conventional logic gate symbols. A cut set is a combination of events, typically component failures, causing the top event. If no event can be removed from a cut set without failing to cause the top event, then it is called a minimal cut set.

Some industries use both fault trees and event trees (see Probabilistic Risk Assessment). An event tree starts from an undesired initiator (loss of critical supply, component failure etc.) and follows possible further system events through to a series of final consequences. As each new event is considered, a new node on the tree is added with a split of probabilities of taking either branch. The probabilities of a range of ‘top events’ arising from the initial event can then be seen.

Classic programs include the Electric Power Research Institute’s (EPRI) CAFTA software, which is used by many of the US nuclear power plants and by a majority of US and international aerospace manufacturers, and the Idaho National Laboratory’s SAPHIRE, which is used by the U.S. Government to evaluate the safety and reliability of nuclear reactors, the Space Shuttle, and the International Space Station. Outside the US, the software RiskSpectrum is a popular tool for fault tree and event tree analysis, and is licensed for use at more than 60% of the world’s nuclear power plants for probabilistic safety assessment. Professional-grade free software is also widely available; SCRAM^[29] is an open-source tool that implements the Open-PSA Model Exchange Format^[30] open standard for probabilistic safety assessment applications.

Graphic symbols[edit]

The basic symbols used in FTA are grouped as events, gates, and transfer symbols. Minor variations may be used in FTA software.

Event symbols[edit]

Event symbols are used for primary events and intermediate events. Primary events are not further developed on the fault tree. Intermediate events are found at the output of a gate. The event symbols are shown below:

Basic event
External event
Undeveloped event
Conditioning event
Intermediate event

The primary event symbols are typically used as follows:

Basic event – failure or error in a system component or element (example: switch stuck in open position)
External event – normally expected to occur (not of itself a fault)
Undeveloped event – an event about which insufficient information is available, or which is of no consequence
Conditioning event – conditions that restrict or affect logic gates (example: mode of operation in effect)

An intermediate event gate can be used immediately above a primary event to provide more room to type the event description.

FTA is a top-to-bottom approach.

Gate symbols[edit]

Gate symbols describe the relationship between input and output events. The symbols are derived from Boolean logic symbols:

OR gate
AND gate
Exclusive OR gate
Priority AND gate
Inhibit gate

The gates work as follows:

OR gate – the output occurs if any input occurs.
AND gate – the output occurs only if all inputs occur (inputs are independent from the source).
Exclusive OR gate – the output occurs if exactly one input occurs.
Priority AND gate – the output occurs if the inputs occur in a specific sequence specified by a conditioning event.
Inhibit gate – the output occurs if the input occurs under an enabling condition specified by a conditioning event.

Transfer symbols[edit]

Transfer symbols are used to connect the inputs and outputs of related fault trees, such as the fault tree of a subsystem to its system. NASA prepared a complete document about FTA through practical incidents.^[24]

Transfer in
Transfer out

Basic mathematical foundation[edit]

Events in a fault tree are associated with statistical probabilities or Poisson-Exponentially distributed constant rates. For example, component failures may typically occur at some constant failure rate λ (a constant hazard function). In this simplest case, failure probability depends on the rate λ and the exposure time t:

$P=1-e^{-\lambda t}$

where:

$P\approx \lambda t$ if $\lambda t<0.001$

A fault tree is often normalized to a given time interval, such as a flight hour or an average mission time. Event probabilities depend on the relationship of the event hazard function to this interval.

Unlike conventional logic gate diagrams in which inputs and outputs hold the binary values of TRUE (1) or FALSE (0), the gates in a fault tree output probabilities related to the set operations of Boolean logic. The probability of a gate’s output event depends on the input event probabilities.

An AND gate represents a combination of independent events. That is, the probability of any input event to an AND gate is unaffected by any other input event to the same gate. In set theoretic terms, this is equivalent to the intersection of the input event sets, and the probability of the AND gate output is given by:

P (A and B) = P (A ∩ B) = P(A) P(B)

An OR gate, on the other hand, corresponds to set union:

P (A or B) = P (A ∪ B) = P(A) + P(B) — P (A ∩ B)

Since failure probabilities on fault trees tend to be small (less than .01), P (A ∩ B) usually becomes a very small error term, and the output of an OR gate may be conservatively approximated by using an assumption that the inputs are mutually exclusive events:

P (A or B) ≈ P(A) + P(B), P (A ∩ B) ≈ 0

An exclusive OR gate with two inputs represents the probability that one or the other input, but not both, occurs:

P (A xor B) = P(A) + P(B) — 2P (A ∩ B)

Again, since P (A ∩ B) usually becomes a very small error term, the exclusive OR gate has limited value in a fault tree.

Quite often, Poisson-Exponentially distributed rates^[31] are used to quantify a fault tree instead of probabilities. Rates are often modeled as constant in time while probability is a function of time. Poisson-Exponential events are modelled as infinitely short so no two events can overlap. An OR gate is the superposition (addition of rates) of the two input failure frequencies or failure rates which are modeled as Poisson point processes. The output of an AND gate is calculated using the unavailability (Q₁) of one event thinning the Poisson point process of the other event (λ₂). The unavailability (Q₂) of the other event then thins the Poisson point process of the first event (λ₁). The two resulting Poisson point processes are superimposed according to the following equations.

The output of an AND gate is the combination of independent input events 1 and 2 to the AND gate:

Failure Frequency = λ₁Q₂ + λ₂Q₁ where Q = 1 — e^λt ≈ λt if λt < 0.001

Failure Frequency ≈ λ₁λ₂t₂ + λ₂λ₁t₁ if λ₁t₁ < 0.001 and λ₂t₂ < 0.001

In a fault tree, unavailability (Q) may be defined as the unavailability of safe operation and may not refer to the unavailability of the system operation depending on how the fault tree was structured. The input terms to the fault tree must be carefully defined.

Analysis[edit]

Many different approaches can be used to model a FTA, but the most common and popular way can be summarized in a few steps. A single fault tree is used to analyze one and only one undesired event, which may be subsequently fed into another fault tree as a basic event. Though the nature of the undesired event may vary dramatically, a FTA follows the same procedure for any undesired event; be it a delay of 0.25 ms for the generation of electrical power, an undetected cargo bay fire, or the random, unintended launch of an ICBM.

FTA analysis involves five steps:

Define the undesired event to study.
- Definition of the undesired event can be very hard to uncover, although some of the events are very easy and obvious to observe. An engineer with a wide knowledge of the design of the system is the best person to help define and number the undesired events. Undesired events are used then to make FTAs. Each FTA is limited to one undesired event.
Obtain an understanding of the system.
- Once the undesired event is selected, all causes with probabilities of affecting the undesired event of 0 or more are studied and analyzed. Getting exact numbers for the probabilities leading to the event is usually impossible for the reason that it may be very costly and time-consuming to do so. Computer software is used to study probabilities; this may lead to less costly system analysis.
  System analysts can help with understanding the overall system. System designers have full knowledge of the system and this knowledge is very important for not missing any cause affecting the undesired event. For the selected event all causes are then numbered and sequenced in the order of occurrence and then are used for the next step which is drawing or constructing the fault tree.
Construct the fault tree.
- After selecting the undesired event and having analyzed the system so that we know all the causing effects (and if possible their probabilities) we can now construct the fault tree. Fault tree is based on AND and OR gates which define the major characteristics of the fault tree.
Evaluate the fault tree.
- After the fault tree has been assembled for a specific undesired event, it is evaluated and analyzed for any possible improvement or in other words study the risk management and find ways for system improvement. A wide range of qualitative and quantitative analysis methods can be applied.^[32] This step is as an introduction for the final step which will be to control the hazards identified. In short, in this step we identify all possible hazards affecting the system in a direct or indirect way.
Control the hazards identified.
- This step is very specific and differs largely from one system to another, but the main point will always be that after identifying the hazards all possible methods are pursued to decrease the probability of occurrence.

Comparison with other analytical methods[edit]

FTA is a deductive, top-down method aimed at analyzing the effects of initiating faults and events on a complex system. This contrasts with failure mode and effects analysis (FMEA), which is an inductive, bottom-up analysis method aimed at analyzing the effects of single component or function failures on equipment or subsystems. FTA is very good at showing how resistant a system is to single or multiple initiating faults. It is not good at finding all possible initiating faults. FMEA is good at exhaustively cataloging initiating faults, and identifying their local effects. It is not good at examining multiple failures or their effects at a system level. FTA considers external events, FMEA does not.^[33] In civil aerospace the usual practice is to perform both FTA and FMEA, with a failure mode effects summary (FMES) as the interface between FMEA and FTA.

Alternatives to FTA include dependence diagram (DD), also known as reliability block diagram (RBD) and Markov analysis. A dependence diagram is equivalent to a success tree analysis (STA), the logical inverse of an FTA, and depicts the system using paths instead of gates. DD and STA produce probability of success (i.e., avoiding a top event) rather than probability of a top event.

References[edit]

^ Goldberg, B. E.; Everhart, K.; Stevens, R.; Babbitt, N.; Clemens, P.; Stout, L. (1994). «3». System engineering toolbox for design-oriented engineers. Marshall Space Flight Center. pp. 3–35 to 3–48.{{cite book}}: CS1 maint: location missing publisher (link)
^ Center for Chemical Process Safety (April 2008). Guidelines for Hazard Evaluation Procedures (3rd ed.). Wiley. ISBN 978-0-471-97815-2.
^ Center for Chemical Process Safety (October 1999). Guidelines for Chemical Process Quantitative Risk Analysis (2nd ed.). American Institute of Chemical Engineers. ISBN 978-0-8169-0720-5.
^ U.S. Department of Labor Occupational Safety and Health Administration (1994). Process Safety Management Guidelines for Compliance (PDF). U.S. Government Printing Office. OSHA 3133.
^ ICH Harmonised Tripartite Guidelines. Quality Guidelines (January 2006). Q9 Quality Risk Management.
^ Lacey, Peter (2011). «An Application of Fault Tree Analysis to the Identification and Management of Risks in Government Funded Human Service Delivery». Proceedings of the 2nd International Conference on Public Policy and Social Sciences. SSRN 2171117.
^ Ericson, Clifton (1999). «Fault Tree Analysis — A History» (PDF). Proceedings of the 17th International Systems Safety Conference. Archived from the original (PDF) on 2011-07-23. Retrieved 2010-01-17.
^ Rechard, Robert P. (1999). «Historical Relationship Between Performance Assessment for Radioactive Waste Disposal and Other Types of Risk Assessment in the United States» (pdf). Risk Analysis. 19 (5): 763–807. doi:10.1023/A:1007058325258. PMID 10765434. S2CID 704496. SAND99-1147J. Retrieved 2010-01-22.
^ Winter, Mathias (1995). «Software Fault Tree Analysis of an Automated Control System Device Written in ADA». Master’s Thesis. ADA303377. Archived from the original (pdf) on May 15, 2012. Retrieved 2010-01-17.
^ Benner, Ludwig (1975). «Accident Theory and Accident Investigation». Proceedings of the Society of Air Safety Investigators Annual Seminar. Retrieved 2010-01-17.
^ Martensen, Anna L.; Butler, Ricky W. (January 1987). «The Fault-Tree Compiler». Langely Research Center. NTRS. Retrieved June 17, 2011.
^ DeLong, Thomas (1970). «A Fault Tree Manual». Master’s Thesis. AD739001. Archived from the original (pdf) on March 4, 2016. Retrieved 2014-05-18.
^ Eckberg, C. R. (1964). WS-133B Fault Tree Analysis Program Plan. Seattle, WA: The Boeing Company. D2-30207-1. Archived from the original on March 3, 2016. Retrieved 2014-05-18.
^ Hixenbaugh, A. F. (1968). Fault Tree for Safety. Seattle, WA: The Boeing Company. D6-53604. Archived from the original on March 3, 2016. Retrieved 2014-05-18.
^ Larsen, Waldemar (January 1974). Fault Tree Analysis. Picatinny Arsenal. Technical Report 4556. Archived from the original on May 18, 2014. Retrieved 2014-05-17.
^ Evans, Ralph A. (January 5, 1976). Engineering Design Handbook Design for Reliability (PDF). US Army Materiel Command. AMCP-706-196. Archived (PDF) from the original on May 18, 2014. Retrieved 2014-05-17.
^ «DSIAC – Defense Systems Information Analysis Center». Retrieved 2023-03-25.
^ Begley, T. F.; Cummings (1968). Fault Tree for Safety. RAC. ADD874448.
^ Anderson, R. T. (March 1976). Reliability Design Handbook (PDF). Reliability Analysis Center. RDH 376. Archived from the original on May 18, 2014. Retrieved 2014-05-17.
^ Mahar, David J.; James W. Wilbur (1990). Fault Tree Analysis Application Guide. Reliability Analysis Center.
^ «7.9 Fault Tree Analysis». Electronic Reliability Design Handbook (pdf). B. U.S. Department of Defense. 1998. MIL–HDBK–338B. Retrieved 2010-01-17.
^ ASY-300 (June 26, 1998). Safety Risk Management (PDF). Federal Aviation Administration. 8040.4.
^ FAA (December 30, 2000). System Safety Handbook. Federal Aviation Administration.
^ ^a ^b ^c Vesely, William; et al. (2002). Fault Tree Handbook with Aerospace Applications (PDF). National Aeronautics and Space Administration. Archived from the original (PDF) on 2016-12-28. Retrieved 2018-07-16. This article incorporates text from this source, which is in the public domain.
^ Acharya, Sarbes; et al. (1990). Severe Accident Risks: An Assessment for Five U.S. Nuclear Power Plants (PDF). Wasthington, DC: U.S. Nuclear Regulatory Commission. NUREG–1150. Retrieved 2010-01-17.
^ Vesely, W. E.; et al. (1981). Fault Tree Handbook (PDF). Nuclear Regulatory Commission. NUREG–0492. Retrieved 2010-01-17.
^ Elke, Holly C., Global Application of the Process Safety Management Standard (PDF)
^ Fault Tree Analysis. Edition 2.0. International Electrotechnical Commission. 2006. ISBN 978-2-8318-8918-4. IEC 61025.
^ «SCRAM 0.11.4 — SCRAM 0.11.4 documentation». scram-pra.org. Archived from the original on 23 November 2016. Retrieved 13 January 2022.
^ «The Open-PSA Model Exchange Format — The Open-PSA Model Exchange Format 2.0». open-psa.github.io.
^ Olofsson and Andersson, Probability, Statistics and Stochastic Processes, John Wiley and Sons, 2011.
^
^ Long, Allen, Beauty & the Beast – Use and Abuse of Fault Tree as a Tool (PDF), fault-tree.net, archived from the original (PDF) on 19 April 2009, retrieved 16 January 2010

Источник

Прогноз
вероятности с использованием
интеллектуальных методов, таких как
“анализ дерева ошибок” и “анализ
дерева событий”.
Когда
исторические данные отсутствуют или
недостаточны, необходимо определить
вероятность на основе анализа системы,
деятельности, оборудования или организации
и связанных с ними состояний неудачи
или успеха.
Численные
данные для оборудования, людей, организаций
и систем из оперативного опыта или
опубликованных источников затем
объединяются для получения оценки
вероятности главного события.
При
использовании интеллектуальных методов
с целью обеспечения должного учета в
анализе возможности сбоев в общем режиме
важно учесть случайный отказ частей
или компонентов в системе, возникший
по той же причине, что и главное событие.
Методы моделирования могут потребоваться
для определения вероятности сбоев
оборудования и структурных сбоев из-за
старения и других процессов деградации
путем расчета эффектов неопределенности

5 Анализ дерева ошибок/ дерева события

Практика
показывает, что крупные аварии, как
правило, характеризуются комбинацией
случайных событий, возникающих с
различной частотой на разных стадиях
возникновения и развития аварии (отказы
оборудования, ошибки человека, нерасчетные
внешние воздействия, разрушение, выброс,
пролив вещества, рассеяние веществ,
воспламенение, взрыв, интоксикация и
т.д.) Для выявления причинно-следственных
связей между этими событиями используют
логико-графические методы анализа
«деревьев отказов» и «деревьев событий».

Анализ
древа ошибок (АДО) — применяется
при оценке чрезвычайно сложных или
детализированных систем. Использует
дедуктивный логический метод (т. е.
постепенно двигается от общего к
частному), он очень полезен при исследовании
возможных условий, которые могут привести
к нежелательным последствиям или
каким-нибудь образом повлиять на эти
последствия. Нежелательные события
редко происходят под влиянием только
одного фактора. Вследствие этого во
время анализа древа ошибок в процессе
системной безопасности нежелательное
событие относят к конечному событию.
Располагая каждый фактор в соответствующем
месте древа, исследователь может точно
определить, где состоялись какие-либо
повреждения в системе, какая связь
существует между событиями, и какое
взаимодействие состоялось.
При
построении основного древа ошибок
используют специальные символы, которые
обеспечивают аналитика иллюстрированным
изображением события и того, как оно
взаимодействует с другими событиями
на древе. Специальная форма символов
дает наглядность и облегчает построение
древа ошибок.
Выполнение
анализа древа ошибок возможно лишь
после детального изучения рабочих
функций всех компонентов системы,
которая рассматривается. При этом
следует учитывать, что на работу системы
влияет человеческий фактор, поэтому
все возможные «отказы оператора» тоже
необходимо вводить в состав древа.
Поскольку древо ошибок показывает
статический характер событий, развитие
событий во времени можно рассмотреть,
построив несколько деревьев ошибок.

Анализ
«дерева событий» (АДС) — алгоритм
построения последовательности событий,
исходящих из основного события (аварийной
ситуации). Используется для анализа
развития аварийной ситуации. Частота
каждого сценария развития аварийной
ситуации рассчитывается путем умножения
частоты основного события на условную
вероятность конечного события (например,
аварии с разгерметизацией оборудования
с горючим веществом в зависимости от
условий могут развиваться как с
воспламенением, так и без воспламенения
вещества)

Метод
построения дерева событий – это
графический способ слежения за набором
обстоятельств (отказа системы и внешних
воздействий на нее), ведущих к
неблагоприятному исходу. Дерево событий
рассматривает возможные пути развития
последствий аварии (сценарии развития
событий). Все события, которые могут
произойти после произошедшего инцидента,
соединены причинно-следственными
связями, в зависимости от срабатывания
или отказа элементов защиты системы.

Ствол
дерева располагается в левой части
рисунка. Стволом дерева является
инцидент, т.е. само неблагоприятное
событие, в данном случае – разрыв
трубопровода. Как и положено, из ствола
разветвляются ветви. Ветвями дерева
являются возможные пути развития
последствий инцидента, в данной задаче
– разрыва трубопровода. Безусловно, в
каждой технической системе есть способы,
устройства, приспособления, предохраняющие
систему от аварий и катастроф. Они
называются элементами защиты системы.

Очевидно,
что звенья, или элементы, защиты системы,
могут сработать или не сработать. Верхние
ветви дерева отражают развитие событий
при срабатывании элемента защиты и
называются ветвями срабатывания. Нижние
ветви ДС называются ветвями отказов.
Как соотносятся между собой элементы
защиты? В более общем случае они могут
функционировать независимо друг от
друга. Вне зависимости от того, сработал
ли какой-либо элемент защиты системы,
другой может также сработать либо
отказать.

Система
защиты какого-то технического оборудования
состоит из n последовательно соединенных
элементов защиты, т.е. каждый последующий
элемент защиты системы сработает, только
если сработал предыдущий.

простейшая
схема предупреждения пожара в результате
разрыва трубопровода состоит из четырех
последовательных звеньев – систем:
контроля утечки газа, автоматического
прекращения подачи газа в поврежденный
участок трубопровода, аварийной
вентиляции, взрыво- и пожарозащиты. В
нашем конкретном случае все элементы
защиты расположены последовательно,
т.е. каждый последующий элемент защиты
системы сработает, только если сработал
предыдущий. Вот почему на ветвях отказов
нет разветвлений.

Число
всех возможных комбинаций срабатывания
или отказов элементов защиты определяет
число сценариев развития событий. Каждый
сценарий – путь развития аварии,
состоящий из набора разветвлений.

Метод
построения дерева событий не ограничивается
качественным анализом сценариев развития
событий. Как известно из теории
вероятностей, для независимых событий
вероятность реализации каждой цепочки
определяется произведением вероятностей
каждого из событий цепочки. Вероятности
отказов Р1, Р2, Р3, Р4 – это статистические
данные по отказам оборудования при
эксплуатации применяемых на практике
систем пожарозащиты, усредненные по
масштабам и времени. Таким образом,
сведения об отказах оборудования –
необходимое условие для построения ДС.
Точность этих данных в большой степени
влияет на точность расчетов финальных
вероятностей.

определить
сценарии аварий с различными последствиями
от различных исходных событий;

определить
взаимосвязь отказов систем с последствиями
аварий;

сократить
первоначальный набор потенциальных
аварий и ограничить его лишь логически
значимыми авариями;

определить
пути развития аварии, которые вносят
наибольший вклад в риск из-за их высокой
вероятности;

внести
изменения в конструкцию или эксплуатационные
процедуры.

графическое
представление всей цепочки событий,
последствия которых могут привести к
некоторому главному событию. Определяются
пути, по которым отдельные индивидуальные
события могут в результате их
комбинированного воздействия привести
к потенциально опасным ситуациям.

дерево
отказов позволяет выявить все пути,
которые приводят к главному событию,
и, что наиболее важно, дает возможность
определить минимальное число комбинаций
событий, которые могут вызвать главное
событие.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

Источник

Анализ дерева отказов был представлен в 1962 году компанией Bell Laboratories и является одним из наиболее широко используемых для решения широкого круга проблем, начиная от вопросов безопасности и заканчивая вопросами управления.

Анализ дерева отказов (FTA) — это нисходящий дедуктивный анализ отказов, в котором логическая логика используется в сочетании с серией низкоуровневых событий для анализа непредвиденных состояний системы. Этот метод анализа в основном используется в технике безопасности и надежности, чтобы понять, как системы выходят из строя, определить наилучший способ снижения риска и определить (или почувствовать) частоту событий, связанных с безопасностью, или конкретных (функциональных) отказов на уровне системы.

Цель анализа дерева отказов?

Основная цель анализа дерева отказов состоит в том, чтобы помочь определить потенциальные причины отказов системы до их возникновения. Вы также можете использовать аналитические или статистические методы для оценки вероятности главных событий. Эти расчеты включают количественную информацию о надежности и ремонтопригодности системы, такую как вероятность отказа, частота отказов и скорость ремонта. После завершения FTA вы можете сосредоточиться на повышении безопасности и надежности системы.

Типичный анализ дерева отказов начинается с потенциального отказа, а затем работает в обратном направлении с помощью визуального представления, называемого диаграммой дерева отказов, для определения возможных влияющих факторов. Дерево отказов использует нисходящий подход, начиная с результата (потенциальное условие отказа), а затем оценивает факторы, которые могут привести к отказу.

Анализ дерева ошибок

FTA применяется в аэрокосмической, атомной, химической, фармацевтической, нефтехимической и других отраслях промышленности с высоким уровнем риска; Он также используется для целей отладки в разработке программного обеспечения, что тесно связано с технологией устранения причин, используемой для обнаружения ошибок.

Обозначение ЗСТ

Анализ дерева отказов использует несколько основных символов для обозначения различных моментов, причин и следствий в процессе. Существует множество символов, но вот некоторые из основных, которые помогут вам приступить к разработке диаграммы дерева отказов.

Символы используются для представления различных событий и описания отношений:

Символы ворот

И ворота — представляют собой состояние, при котором все события, показанные под воротами (входные ворота), должны присутствовать, чтобы произошло событие, показанное над воротами (выходное событие). Это означает, что выходное событие произойдет, только если все входные события существуют одновременно.

Или ворота — представляет собой ситуацию, в которой любое из событий, показанных под воротами (входные ворота), приведет к событию, показанному над воротами (выходное событие). Событие произойдет, если существует только одно или любая комбинация входных событий.

Символы событий

Существует пять типов символов событий:

Прямоугольник — прямоугольник является основным строительным блоком аналитического дерева. Он представляет негативное событие и расположен в верхней части дерева и может располагаться по всему дереву, чтобы указать другие события, которые можно разбить на более мелкие. Это единственный символ, который будет иметь логический вентиль и входные события под ним.

Круг — круг представляет базовое событие в дереве. Они находятся на нижних ярусах дерева и не требуют дальнейшего развития или разбивки. Ниже базового события нет ворот или событий.

Ромб — Ромб обозначает неразвитое конечное событие. Такое событие не полностью разработано из-за отсутствия информации или значимости. Ветвь дерева отказов может заканчиваться ромбом. Например, для большинства проектов требуется персонал, процедуры и оборудование. Разработчик дерева может принять решение сосредоточиться на кадровом аспекте процедуры, а не на аппаратных или процедурных аспектах. В этом случае разработчик будет использовать ромбы, чтобы показать «процедуры» и «аппаратные средства» как неразработанные терминальные события.

Овал — Овальный символ представляет собой особую ситуацию, которая может произойти только при определенных обстоятельствах. Это указано в овальном символе. Примером этого может быть, если переключатели должны быть выбраны в определенной последовательности, прежде чем произойдет действие.

Треугольник — треугольник означает перенос ветви дерева отказов в другое место в дереве. Там, где треугольник соединяется с деревом стрелкой, все, что показано ниже точки соединения, переносится в другую область дерева. Эта область обозначена соответствующим треугольником, соединенным с деревом вертикальной линией. Буквы, цифры или цифры отличают один набор символов переноса от другого. Чтобы сохранить простоту аналитического дерева, символ переноса следует использовать с осторожностью.

Иллюстрация общей схемы дерева отказов

Изменить эту диаграмму

Этапы разработки дерева отказов

Чтобы выполнить всесторонний FTA, выполните следующие действия:

Дайте определение системе . Это включает в себя объем анализа, включая определение того, что считается отказом. Это становится важным, когда в системе может выйти из строя элемент или одна функция, а остальная часть системы все еще работает.
Определить ошибки верхнего уровня . Определите состояние неисправности и запишите отказ верхнего уровня.
Определите причины неисправности верхнего уровня . Используя техническую информацию и профессиональные суждения, определите возможные причины отказа. Помните, что это элементы второго уровня, потому что они находятся чуть ниже отказа верхнего уровня в дереве.
Определите следующий уровень событий . Продолжайте разрушать каждый элемент дополнительными воротами на более низкие уровни. Рассмотрите отношения между элементами, чтобы решить, использовать ли логический элемент «и» или «или».
Добавляйте вероятности к событиям . Если возможно, оцените вероятность появления каждого из элементов самого низкого уровня и рассчитайте статистические вероятности снизу вверх.
Доработайте и просмотрите полную схему . Цепочка может быть прервана только по основной ошибке: человеческой, аппаратной или программной.

Пример схемы дерева неисправностей — свет не включается

Давайте рассмотрим пример базового анализа дерева отказов: вы щелкаете выключателем, чтобы включить свет, но свет не включается. Состояние неисправности — «Нет света в комнате», так что это начало диаграммы.

Далее, каковы возможные причины, по которым свет не включился?

Изменить эту диаграмму

Пример дерева отказов — Система без шаблона предупреждения

Изменить эту диаграмму

Источник

Анализ дерева неисправностей или Анализ дерева отказов (Fault tree analysis, FTA) — это метод идентификации и анализа факторов, которые могут способствовать наступлению некоторого нежелательного события (называемого конечным событием — “top event”). Факторы-причины определяются дедуктивным способом, логически выстраиваются и представляются графически в виде диаграммы-дерева, которая изображает связь факторов-причин с основным событием.

Факторами, указанными в дереве неисправностей, могут быть события, связанные с отказами компонентов компьютерного оборудования, ошибками человека или другими событиями, которые могут привести к нежелательному событию.

Содержание

1 Область применения
2 Входные данные
3 Процесс выполнения метода
4 Классификация условий отказов
5 Выходные данные
6 Преимущества
7 Недостатки
8 Стандарты
9 Ссылки
10 См. также

Область применения

FTA эффективно используются, чтобы:

Понимать логику, ведущую к верхнему событию/нежелательному состоянию (отказу системы).
Показать соответствие с системой безопасности/требованиям к надежности.
Ранжировать участников, ведущих к вершине – создание важного оборудования/запчастей/списков событий.
Мониторить и контролировать показатели состояния сложных систем. Например, безопасно ли летать на конкретном самолете, если топливный клапан имеет определенное количество неисправностей? Как долго можно летать с неисправностью клапана? Как долго можно эксплуатировать технику с данным дефектом и тд.
Минимизировать и оптимизировать ресурсы
Помочь в проектировании системы. FTA может быть использован как средство проектирования, которое помогает создать требования. (Выход/нижний уровень)

Входные данные

Для качественного анализа необходимо хорошее знание системы и понимание причин отказа, а также понимание того, как система может выйти из строя. Для анализа полезно использование детальных схем дерева неисправностей.

Для проведения количественного анализа необходимы данные об интенсивности или вероятности отказа всех основных событий, указанных в дереве неисправностей.

Процесс выполнения метода

Выделяют следующие этапы разработки диаграммы дерева неисправностей:

определение конечного события, которое необходимо проанализировать. Это может быть отказ или более общие последствия отказа. После того как последствия отказа проанализированы, в дерево неисправностей может быть включена часть, относящаяся к сокращению интенсивности и последствий отказа;
идентификация возможных причин или видов отказов, приводящих к конечному событию, начиная с конечного события;
анализ идентифицированных видов и причин отказа для определения того, что конкретно привело к отказу;
последовательная идентификация нежелательного функционирования системы с переходом на более низкие уровни системы, пока дальнейший анализ не станет нецелесообразным. В технической системе это может быть уровень отказа компонентов. События и факторы на самом низком уровне анализируемой системы называют базисными событиями;
оценка вероятности базисных событий (если применимо) и последующий расчет вероятности конечного события. Для обеспечения достоверности количественной оценки следует показать, что полнота и качество входных данных для каждого элемента достаточны для получения выходных данных необходимой достоверности. В противном случае дерево неисправностей недостаточно достоверно для анализа вероятности, но может быть полезным для исследования причинно-следственных связей.

При определении количественной оценки дерево неисправностей может быть упрощено при помощи Булевой алгебры, что позволяет учесть дублирующие виды отказов.

Кроме количественной оценки вероятности конечного события метод позволяет идентифицировать набор минимальных сечений, приводящих к конечному событию, и рассчитать их влияние на конечное событие.

За исключением простых случаев, для построения диаграммы обычно применяют пакет прикладных программ, позволяющий производить расчеты в ситуациях, когда присутствуют повторяющиеся события в нескольких местах дерева неисправностей и когда необходимо вычислить минимальные сечения. Использование программного обеспечения гарантирует последовательность и правильность выполнения метода и возможность его верификации.

Классификация условий отказов

Условия отказа классифицируются по тяжести последствий. Наиболее тяжелые условия требуют наиболее обширного анализа дерева отказов.

Эти «условия отказа системы» и их классификация часто предварительно определяются в функциональном анализе опасностей и рисков возникновения отказов.

Выходные данные

наглядное представление путей возникновения конечного события и взаимодействующих путей в ситуации, когда одновременно могут произойти два или более событий;
набор минимальных сечений (возникновения путей отказа системы) и оценка вероятности отказа системы для каждого сечения;
оценка вероятности конечного события.

Преимущества

Предоставление точного, систематизированного и гибкого подхода позволяет анализировать разнообразные факторы, включая действия персонала и физические явления.
Применение подхода «сверху вниз» позволяет рассматривать воздействия тех отказов, которые непосредственно связаны с конечным событием.
Применение особенно целесообразно для анализа систем, допускающих подключение большого количества устройств и взаимодействие с ними (систем, имеющих множественные интерфейсы).
Графическое представление позволяет упростить понимание функционирования системы и рассматриваемых факторов, но поскольку древовидные схемы зачастую весьма громоздки, их обработка может потребовать применения компьютерных программ, что обеспечивает возможность рассмотрения более сложных логических взаимосвязей (например, с использованием логических операций «И-НЕ» и «НЕ-И»), но при этом затрудняет верификацию дерева неисправностей.
Логический анализ дерева неисправностей и определение набора минимальных сечений полезны при идентификации простых путей отказа в сложных системах, где комбинации событий могут привести к возникновению конечного события.

Недостатки

Неопределенность оценок вероятностей базисных событий влияет на оценку вероятности возникновения конечного события. Это может привести к высокому уровню неопределенности в ситуации, когда вероятность отказа для конечного события точно неизвестна, но достоверность оценок существенно выше для хорошо изученной системы.
В некоторых ситуациях начальные события не связаны между собой, и порой трудно установить, учтены ли все важные пути к конечному событию. Например, недостаточное исследование всех источников возгорания может привести к неверной оценке риска возникновения пожара (конечного события). В этой ситуации анализ вероятности с применением метода FTA невозможен.
Дерево неисправностей является статичной моделью, в которой фактор временной зависимости не учитывают.
Дерево неисправностей может быть применено только к бинарным состояниям (работоспособному/неработоспособному).
Несмотря на то что ошибки человека могут быть учтены в схеме дерева неисправностей на качественном уровне, несоответствия степени и качества, часто характеризующие ошибки человека, в дереве неисправностей учесть достаточно сложно.
Дерево неисправностей не позволяет легко учесть и исследовать цепные реакции (эффект домино) и условные отказы.

Стандарты

МЭК 61025:1990 «Анализ дерева неисправностей (FTA)»

Ссылки

Анализ дерева отказов

См. также

Управление рисками
Техническая диагностика
Ремонт

Источник

Анализ дерева отказов (Fault tree analysis (FTA))

История

Методика

Графические символы

Базовая математическая основа

Анализ

Сравнение с другими аналитическими методами

Анализ дерева отказов (АДО) или в английской терминологии FTA метод анализа отказов сложных систем, в котором нежелательные состояния или отказы системы анализируются с помощью методов булевой алгебры, объединяя последовательность нижестоящих событий (отказов низшего уровня), которые приводят к отказу всей системы.

Анализ дерева отказов интенсивно используется в различных отраслях, например, машиностроении, чтобы понять, как система может выйти из строя, выявить способ уменьшения рисков или определения частоты системного отказа.

Анализ дерева отказов эффективно используется в аэрокосмической отрасли, атомной энергетике, химической и перерабатывающих отраслях, в фармацевтической, нефтехимической и других, связанных с высокой степенью риска.

В аэрокосмической отрасли используется более общий термин «Условие отказа системы» для обозначения «нежелательного состояния»/ Верхнего события дерева неисправностей.

FTA или АДО эффективно используются, чтобы:

Понимать логику, ведущую к верхнему событию/нежелательному состоянию (отказу системы).
Показать соответствие с системой безопасности/требованиям к надежности.
Ранжировать участников, ведущих к вершине – создание важного оборудования/запчастей/списков событий.
Мониторить и контролировать показатели состояния сложных систем Например, безопасно ли летать на конкретном самолете, если топливный клапан имеет определенное количество неисправностей? Как долго можно летать с неисправностью клапана? Как долго можно эксплуатировать технику с данным дефектом и тд.
Минимизировать и оптимизировать ресурсы
Помочь в проектировании системы. FTA может быть использован как средство проектирования, которое помогает создать требования. (Выход/нижний уровень)
АДО может быть использован в качестве диагностического инструмента для выявления и исправления причин верхнего события. Это может помочь с созданием диагностических руководств / процессов.

История

FTA был первоначально разработан в 1962 году в «Bell Laboratories» Уотсоном, по контракту с подразделением баллистических систем ВВС США для того, чтобы оценить систему Launch Control межконтинентальной баллистической ракеты (МБР) Minuteman I.

Использование деревьев неисправностей с тех пор получило широкую поддержку и часто используется экспертами в качестве инструмента анализа отказов по степени надежности.

После первого использования опубликованных результатов использования АДО в 1962 для запуска исследования контроля безопасности Minuteman I, Boeing и AVCO нашли расширенное применение FTA для всей системы Minuteman II в 1963-1964 гг. FTA получил широкое освещение в 1965 году на симпозиуме по системам безопасности в Сиэтле при поддержке Boeing и Вашингтонского университета. Boeing начал использовать АДО для гражданских самолетов дизайна 1966 года.

В 1970 году Федеральная авиационная администрация США (FAA) опубликовало изменения в 14 CFR 25,1309 норме летной годности для самолетов транспортной категории в Федеральном реестре на 35 FR 5665 (1970-04-08). Это изменение принимало критерий вероятности отказа для самолетных систем и оборудования, что привело к широкому использованию FTA в гражданской авиации.

В пределах индустрии атомной энергетики, комиссия ядерного регулирования США начала использовать методы вероятностной оценки риска (probabilistic risk assessment methods (PRA)), включая FTA в 1975 году, и значительно расширила исследования после инцидента в 1979 году на Три-Майл-Айленд. В конечном итоге это привело к публикации комиссией ядерного регулирования справочника по дереву неисправностей 1981 году, и к обязательному использованию PRA органов, которые она регулирует.

После следующих случаев промышленных бедствий, таких как Бхопальская катастрофа(1984) и взрыв на нефтяной платформе Piper Alpha (1988), в 1992 году Департамент труда США о безопасности и гигиене труда (OSHA) опубликовал в Федеральном реестре на 24.02.1992 свой процесс управления безопасностью полетов (PSM). OSHA PSM признает АДО как приемлемый метод для анализа опасностей (PHA).

FTA состоит из логических схем, которые отображают состояние системы, и построен с использованием графических методов проектирования.

Первоначально, инженеры были ответственны за развитие FTA, так как требовалось глубокое знание анализируемой системы.

Часто FTA определяется как другая часть, или метод, или надежность техники. Хотя в обеих моделях одинаковый основной аспект, они возникли из двух разных точек зрения. Надежность техники была, по большей части, разработана математиками, а открыта – инженерами.

FTA обычно включает в себя события изнашивания аппаратных средств, материала, неисправности или сочетания детерминированных вкладов в событие.

Частота отказов оценивается из исторических данных, таких как среднее время между отказами компонентов, блоков, подсистем или функций.

Прогнозирование и введение человеческого процента ошибок не является основной целью анализа дерева отказов, но он может быть использован, чтобы получить некоторое знание того, что происходит с человеческим неправильным вводом или после вмешательства в неподходящее время.

FTA может использоваться как ценный инструмент проектирования, который может выявить потенциальные отказы, позволяя исключить дорогостоящие конструктивные изменения.

FTA также может быть использован в качестве диагностического инструмента, предсказания вероятных системных ошибок при сбое системы.

Методика

АДО методика описана в нескольких отраслевых и государственных стандартах: NUREG СРН-0492 для атомной энергетики. Ориентированная на космос версия этого стандарта используется NASA, стандарт SAE ARP4761 для гражданской аэрокосмической отрасли, MIL–HDBK–338 – для военных систем. IEC стандарт предназначен для межотраслевого использования и был принят в качестве европейского стандарта EN 61025.

Так как ни одна система не совершенна, имеем дело с неисправностью подсистем. Любая работающая система в конечном итоге будет иметь неисправность в каком-нибудь месте.

Однако вероятность полного или частичного успеха выше полной или частичной неисправности.

Проведение FTA таким образом, не так утомительна, как построение дерева успехов.

Поскольку FTA для всей системы может быть дорогостоящим и громоздким, разумный метод заключается в рассмотрении подсистем.

Таким образом, решение небольшими системами может обеспечить меньшую вероятность ошибки работы, меньше системного анализа. После этого подсистемы интегрируются для образования хорошо проанализированной большой системы.

Нежелательное последствие берется в качестве корневого («главное событие») дерева логики. Логика для того, чтобы добраться до верхнего события может быть разнообразной.

Один из типов анализа, который может помочь — функциональный анализ опасности, основанный на опыте. Там должно быть только одно главное событие, и все задачи дерева должны идти вниз от него.

Затем каждая ситуация, которая может привести к такому эффекту, добавляется к дереву в виде серии логических выражений. Когда деревья отказов помечены реальными цифрами о вероятности неудачи, компьютерные программы могут вычислить вероятности неисправности из дерева неисправностей.

Дерево, как правило, написано с использованием обычных логических символов. Маршрут между событием и инициатором события называется сечением. Самый короткий путь от неисправности до исходного события называется минимальное сечение.

Некоторые отрасли промышленности используют как деревья отказов, так и деревья событий (см. PRA). Событие дерева начинается от нежелательного инициатора (потеря критического питания, отказа компонентов и т.д.) и следует возможным дальнейшим событиям системы через ряд окончательных последствий.

Новый узел на дереве добавляет разделяет вероятность, таким образом последовательно может быть обнаружена вероятность ряда верхних событий, связанных с исходным.

Графические символы

Основные символы, используемые при построении дерева отказов, делятся на символы событий, элементов и передачи.

Символы событий

Символы событий используются для первичных и промежуточных событий. Первичные события далее не развиваются на дереве отказов. Промежуточные события находятся на выходе элементов.

Символы событий показаны ниже:

Основное событие

Внешнее событие

Неразвитое событие

Принадлежность события

Промежуточное событие

Символы первичных событий, как правило, используются следующим образом:

Основное событие — сбой или ошибка в компоненте системы или элементе (например: выключатель заклинило в открытом положении)

Внешнее событие — обычно ожидается (само по себе не ошибка).

Неразвитое событие — событие, о котором не имеется достаточной информации или которое не имеет никакого значения.

Принадлежность события — условия, которые ограничивают или влияют на логические элементы.

Промежуточное событие можно использовать непосредственно над первичным событием, чтобы обеспечить больше места для ввода описания события. АДО использует движение сверху вниз.

Символы элементов

Символы элементов описывают отношения между входными и выходными событиями.

Символы событий следуют классической булевой логике:

Элемент «ИЛИ»

Элемент «И»

Исключительный элемент «ИЛИ»

Приоритетный элемент «И»

Блокирующий элемент

Элементы работают следующим образом:

Элемент «ИЛИ» — выходное событие происходит, если есть любое входное событие.

Элемент «И» — выходное событие происходит только тогда, когда происходят все входные (входы независимы).

Исключительный элемент «ИЛИ» — выходное событие происходит, если происходит только одно входное событие

Приоритетный элемент «И» — выход происходит, если входы происходят в определённой последовательности указанного события

Блокирующий элемент – выход происходит, если вход происходит при благоприятных условиях для указанного события

Элементы передачи

Элементы передачи используются для соединения входов и выходов соответствующих деревьев отказов, таких как дерево отказов подсистемы в своей системе.

Вход

Выход

Базовая математическая основа

События в дереве отказов связаны со статистической вероятностью, иными словами, вероятность каждого события оценивается на практике.

Например, сбои в работе компонентов, как правило, происходят с некоторой постоянной интенсивностью λ.

В этом простейшем случае вероятность отказа зависит от интенсивности λ, времени t и описывается экспоненциальным законом:

Вероятность того, что отказ данного узла или компоненты оборудования произойдет в течение t часов эксплуатации системы, равна 1 — exp(-λt).

Дерево отказов часто нормировано на заданном временном интервале, например, час полета или среднее время.

Вероятность события зависит от отношения функции опасности к данному интервалу.

В отличие от обычных диаграмм логических символов, в которых входы и выходы принимают двоичные значения (Правда – 1, ложь -0), символы вероятности выходного события дерева отказов связаны с набором операций булевой логики.

Вероятность выходного события зависит от вероятности события входа.

Символ «И» представляет собой сочетание независимых событий. Это значит, что любое событие входа не зависит от других событий входа. По теории множеств это равнозначно пересечению событий входа, вероятность выхода определяется по формуле:

P (A and B) = P (A∩B) = P (A)P(B)

«ИЛИ», наоборот, соответствует объединению.

P (A or B) = P (A ∪ B) = P(A) + P(B) — P (A ∩ B)

Так как вероятность отказа в дереве отказов, как правило, небольшая (<0.01), P (A∩B) обычно становится очень малым, выход символа «ИЛИ» может быть приблизительно оценен из предположения, что входы – взаимоисключающие события:

P (A or B) ≈ P(A) + P(B), P (A ∩ B) ≈ 0

Исключающий символ «ИЛИ» с 2 входами представляет собой вероятность того, что активны либо один, либо другой вход, но не оба одновременно:

P (A xor B) = P(A) + P(B) — 2P (A ∩ B)

Т.к. P (A∩B) обычно мало, исключающее «ИЛИ» имеет ограниченное значение в дереве отказов.

Анализ

Многие различные подходы могут быть использованы для моделирования FTA, но наиболее распространенные способы могут быть сведены в несколько шагов.

Одиночное дерево отказов используется для анализа только одного нежелательного события (верхнего), которое потом становится в другом дереве неисправностей основным событием.

Хотя природа нежелательного события может значительно варьироваться, FTA использует одну и ту же природу для любого нежелательного события, например, задержка в 0,25 мсек для получения электрической энергии или незамеченный пожар в грузовом отсеке.

Из-за затрат FTA применяется только для серьезных нежелательных последствий.

FTA включает 5 шагов:

Определить нежелательное событие

Определение нежелательного события может быть очень трудным, хотя некоторые события просты и очевидны для наблюдения.

Инженер с широким знанием конструкций системы или системный аналитик с техническим образованием является лучшим человеком для определения и подсчета нежелательных событий. Нежелательное событие используется для построения дерева отказов, одно событие для одного дерева.

Никакие 2 события не могут быть использованы для построения одного дерева отказов.
Углубленное понимание причин.

После того как нежелательное событие выбрано, все причины, которые влияют на нежелательное событие, с вероятностями 0 и более изучаются и анализируются.

Получение точной цифры для вероятностей приводит к событию, которое обычно невозможно по причине того, что предсказать его может быть очень дорого и затратно по времени.

Компьютерное программное обеспечение используется для изучения вероятностей, что позволяет снизить стоимость системного анализа.

Системный анализ может помочь в понимании всей системы. Разработчики систем располагали полной информацией о системе, и это знание очень важно для того, чтобы не пропустить причины, влияющие на нежелательное событие.

Для выбранного события все причины нумеруются, затем группируются в порядке появления и используются для следующего шага, который рисует и выстраивает дерево отказов.
Построение дерева отказов на основе изученных причин.

После выбора нежелательного события и анализа системы, такого, что мы знаем все вызываемые эффекты ( и возможно их вероятности), мы можем построить дерево отказов. Дерево отказов основано на символах «И» и «ИЛИ», определяющих основные характеристики дерева неисправностей.
Оценка дерева отказов

После того, как дерево отказов было собрано для определенного нежелательного события, оно оценивается и анализируется на предмет возможного улучшения или, другими словами, провести анализ рисков и найти пути улучшения системы.

Этот этап является подготовительным для заключительного шага анализа, который будет контролировать идентификацию опасности. Итак, на этом этапе мы выявляем все возможные опасности, прямо или косвенно влияющие на систему.
Контроль определения опасности

Этот шаг очень специфичный и отличается для различных систем, но главное то, что после идентификации опасности последуют методы для уменьшения вероятности возникновения.

Сравнение с другими аналитическими методами

FTA – дедуктивный, нисходящий метод, направленный на анализ последствий возникновения неисправностей и событий в сложной системе. Это противоположность анализу характера и последствий отказов (АХПО), который является индуктивным, восходящим методом анализа, направленным на анализ эффектов одного компонента или функции аварии на оборудовании или подсистеме.

FTA очень хорошо показывает, как устойчивые системы в одиночку или вместе инициируют неисправности. Это не хорошо для поиска всех возможных возникающих неисправностей. АХПО хорош для исчерпывающей классификации возникающих неисправностей, а так же для идентификации их локальных эффектов. Но он не подходит для изучения множественных отказов или их эффектов на системном уровне.

FTA рассматривает внешние события, АХПО нет.

В аэрокосмической отрасли в обычной практике выполняют оба анализа, АДО и АХПО, с суммарным эффектом режима неудач (СЭРН), в качестве интерфейса между АХПО и АДО.

Альтернативы FTA включают диаграмму зависимости (ДЗ), так же известную как блок-схема надежности или анализ Маркова. Диаграмма зависимости эквивалентна анализу дерева успехов (АДУ) и изображает систему, используя пути вместо символов.

В начало

Содержание портала