Базовая математическая основа
История
FTA был первоначально разработан в 1962 году в «Bell Laboratories» Уотсоном, по контракту с подразделением баллистических систем ВВС США для того, чтобы оценить систему Launch Control межконтинентальной баллистической ракеты (МБР) Minuteman I.
Использование деревьев неисправностей с тех пор получило широкую поддержку и часто используется экспертами в качестве инструмента анализа отказов по степени надежности.
После первого использования опубликованных результатов использования АДО в 1962 для запуска исследования контроля безопасности Minuteman I, Boeing и AVCO нашли расширенное применение FTA для всей системы Minuteman II в 1963-1964 гг. FTA получил широкое освещение в 1965 году на симпозиуме по системам безопасности в Сиэтле при поддержке Boeing и Вашингтонского университета. Boeing начал использовать АДО для гражданских самолетов дизайна 1966 года.
В 1970 году Федеральная авиационная администрация США (FAA) опубликовало изменения в 14 CFR 25,1309 норме летной годности для самолетов транспортной категории в Федеральном реестре на 35 FR 5665 (1970-04-08). Это изменение принимало критерий вероятности отказа для самолетных систем и оборудования, что привело к широкому использованию FTA в гражданской авиации.
В пределах индустрии атомной энергетики, комиссия ядерного регулирования США начала использовать методы вероятностной оценки риска (probabilistic risk assessment methods (PRA)), включая FTA в 1975 году, и значительно расширила исследования после инцидента в 1979 году на Три-Майл-Айленд. В конечном итоге это привело к публикации комиссией ядерного регулирования справочника по дереву неисправностей 1981 году, и к обязательному использованию PRA органов, которые она регулирует.
После следующих случаев промышленных бедствий, таких как Бхопальская катастрофа(1984) и взрыв на нефтяной платформе Piper Alpha (1988), в 1992 году Департамент труда США о безопасности и гигиене труда (OSHA) опубликовал в Федеральном реестре на 24.02.1992 свой процесс управления безопасностью полетов (PSM). OSHA PSM признает АДО как приемлемый метод для анализа опасностей (PHA).
FTA состоит из логических схем, которые отображают состояние системы, и построен с использованием графических методов проектирования.
Первоначально, инженеры были ответственны за развитие FTA, так как требовалось глубокое знание анализируемой системы.
Часто FTA определяется как другая часть, или метод, или надежность техники. Хотя в обеих моделях одинаковый основной аспект, они возникли из двух разных точек зрения. Надежность техники была, по большей части, разработана математиками, а открыта – инженерами.
FTA обычно включает в себя события изнашивания аппаратных средств, материала, неисправности или сочетания детерминированных вкладов в событие.
Частота отказов оценивается из исторических данных, таких как среднее время между отказами компонентов, блоков, подсистем или функций.
Прогнозирование и введение человеческого процента ошибок не является основной целью анализа дерева отказов, но он может быть использован, чтобы получить некоторое знание того, что происходит с человеческим неправильным вводом или после вмешательства в неподходящее время.
FTA может использоваться как ценный инструмент проектирования, который может выявить потенциальные отказы, позволяя исключить дорогостоящие конструктивные изменения.
FTA также может быть использован в качестве диагностического инструмента, предсказания вероятных системных ошибок при сбое системы.
Методика
АДО методика описана в нескольких отраслевых и государственных стандартах: NUREG СРН-0492 для атомной энергетики. Ориентированная на космос версия этого стандарта используется NASA, стандарт SAE ARP4761 для гражданской аэрокосмической отрасли, MIL–HDBK–338 – для военных систем. IEC стандарт предназначен для межотраслевого использования и был принят в качестве европейского стандарта EN 61025.
Так как ни одна система не совершенна, имеем дело с неисправностью подсистем. Любая работающая система в конечном итоге будет иметь неисправность в каком-нибудь месте.
Однако вероятность полного или частичного успеха выше полной или частичной неисправности.
Проведение FTA таким образом, не так утомительна, как построение дерева успехов.
Поскольку FTA для всей системы может быть дорогостоящим и громоздким, разумный метод заключается в рассмотрении подсистем.
Таким образом, решение небольшими системами может обеспечить меньшую вероятность ошибки работы, меньше системного анализа. После этого подсистемы интегрируются для образования хорошо проанализированной большой системы.
Нежелательное последствие берется в качестве корневого («главное событие») дерева логики. Логика для того, чтобы добраться до верхнего события может быть разнообразной.
Один из типов анализа, который может помочь - функциональный анализ опасности, основанный на опыте. Там должно быть только одно главное событие, и все задачи дерева должны идти вниз от него.
Затем каждая ситуация, которая может привести к такому эффекту, добавляется к дереву в виде серии логических выражений. Когда деревья отказов помечены реальными цифрами о вероятности неудачи, компьютерные программы могут вычислить вероятности неисправности из дерева неисправностей.
Дерево, как правило, написано с использованием обычных логических символов. Маршрут между событием и инициатором события называется сечением. Самый короткий путь от неисправности до исходного события называется минимальное сечение.
Некоторые отрасли промышленности используют как деревья отказов, так и деревья событий (см. PRA). Событие дерева начинается от нежелательного инициатора (потеря критического питания, отказа компонентов и т.д.) и следует возможным дальнейшим событиям системы через ряд окончательных последствий.
Новый узел на дереве добавляет разделяет вероятность, таким образом последовательно может быть обнаружена вероятность ряда верхних событий, связанных с исходным.
Графические символы
Основные символы, используемые при построении дерева отказов, делятся на символы событий, элементов и передачи.
Символы событий
Символы событий используются для первичных и промежуточных событий. Первичные события далее не развиваются на дереве отказов. Промежуточные события находятся на выходе элементов.
Символы событий показаны ниже:
Основное событие
Внешнее событие
Неразвитое событие
Принадлежность события
Промежуточное событие
Символы первичных событий, как правило, используются следующим образом:
Основное событие - сбой или ошибка в компоненте системы или элементе (например: выключатель заклинило в открытом положении)
Внешнее событие - обычно ожидается (само по себе не ошибка).
Неразвитое событие - событие, о котором не имеется достаточной информации или которое не имеет никакого значения.
Принадлежность события - условия, которые ограничивают или влияют на логические элементы.
Промежуточное событие можно использовать непосредственно над первичным событием, чтобы обеспечить больше места для ввода описания события. АДО использует движение сверху вниз.
Символы элементов
Символы элементов описывают отношения между входными и выходными событиями.
Символы событий следуют классической булевой логике:
Элемент «ИЛИ»
Элемент «И»
Исключительный элемент «ИЛИ»
Приоритетный элемент «И»
Блокирующий элемент
Элементы работают следующим образом:
Элемент «ИЛИ» - выходное событие происходит, если есть любое входное событие.
Элемент «И» - выходное событие происходит только тогда, когда происходят все входные (входы независимы).
Исключительный элемент «ИЛИ» - выходное событие происходит, если происходит только одно входное событие
Приоритетный элемент «И» - выход происходит, если входы происходят в определённой последовательности указанного события
Блокирующий элемент – выход происходит, если вход происходит при благоприятных условиях для указанного события
Элементы передачи
Элементы передачи используются для соединения входов и выходов соответствующих деревьев отказов, таких как дерево отказов подсистемы в своей системе.
Вход
Выход
Базовая математическая основа
События в дереве отказов связаны со статистической вероятностью, иными словами, вероятность каждого события оценивается на практике.
Например, сбои в работе компонентов, как правило, происходят с некоторой постоянной интенсивностью λ.
В этом простейшем случае вероятность отказа зависит от интенсивности λ, времени t и описывается экспоненциальным законом:
Вероятность того, что отказ данного узла или компоненты оборудования произойдет в течение t часов эксплуатации системы, равна 1 - exp(-λt).
Дерево отказов часто нормировано на заданном временном интервале, например, час полета или среднее время.
Вероятность события зависит от отношения функции опасности к данному интервалу.
В отличие от обычных диаграмм логических символов, в которых входы и выходы принимают двоичные значения (Правда – 1, ложь -0), символы вероятности выходного события дерева отказов связаны с набором операций булевой логики.
Вероятность выходного события зависит от вероятности события входа.
Символ «И» представляет собой сочетание независимых событий. Это значит, что любое событие входа не зависит от других событий входа. По теории множеств это равнозначно пересечению событий входа, вероятность выхода определяется по формуле:
P (A and B) = P (A∩B) = P (A)P(B)
«ИЛИ», наоборот, соответствует объединению.
P (A or B) = P (A ∪ B) = P(A) + P(B) - P (A ∩ B)
Так как вероятность отказа в дереве отказов, как правило, небольшая (<0.01), P (A∩B) обычно становится очень малым, выход символа «ИЛИ» может быть приблизительно оценен из предположения, что входы – взаимоисключающие события:
P (A or B) ≈ P(A) + P(B), P (A ∩ B) ≈ 0
Исключающий символ «ИЛИ» с 2 входами представляет собой вероятность того, что активны либо один, либо другой вход, но не оба одновременно:
P (A xor B) = P(A) + P(B) - 2P (A ∩ B)
Т.к. P (A∩B) обычно мало, исключающее «ИЛИ» имеет ограниченное значение в дереве отказов.
Анализ
Многие различные подходы могут быть использованы для моделирования FTA, но наиболее распространенные способы могут быть сведены в несколько шагов.
Одиночное дерево отказов используется для анализа только одного нежелательного события (верхнего), которое потом становится в другом дереве неисправностей основным событием.
Хотя природа нежелательного события может значительно варьироваться, FTA использует одну и ту же природу для любого нежелательного события, например, задержка в 0,25 мсек для получения электрической энергии или незамеченный пожар в грузовом отсеке.
Из-за затрат FTA применяется только для серьезных нежелательных последствий.
FTA включает 5 шагов:
- Определить нежелательное событие
Определение нежелательного события может быть очень трудным, хотя некоторые события просты и очевидны для наблюдения.
Инженер с широким знанием конструкций системы или системный аналитик с техническим образованием является лучшим человеком для определения и подсчета нежелательных событий. Нежелательное событие используется для построения дерева отказов, одно событие для одного дерева.
Никакие 2 события не могут быть использованы для построения одного дерева отказов.
- Углубленное понимание причин.
После того как нежелательное событие выбрано, все причины, которые влияют на нежелательное событие, с вероятностями 0 и более изучаются и анализируются.
Получение точной цифры для вероятностей приводит к событию, которое обычно невозможно по причине того, что предсказать его может быть очень дорого и затратно по времени.
Компьютерное программное обеспечение используется для изучения вероятностей, что позволяет снизить стоимость системного анализа.
Системный анализ может помочь в понимании всей системы. Разработчики систем располагали полной информацией о системе, и это знание очень важно для того, чтобы не пропустить причины, влияющие на нежелательное событие.
Для выбранного события все причины нумеруются, затем группируются в порядке появления и используются для следующего шага, который рисует и выстраивает дерево отказов.
- Построение дерева отказов на основе изученных причин.
После выбора нежелательного события и анализа системы, такого, что мы знаем все вызываемые эффекты ( и возможно их вероятности), мы можем построить дерево отказов. Дерево отказов основано на символах «И» и «ИЛИ», определяющих основные характеристики дерева неисправностей.
- Оценка дерева отказов
После того, как дерево отказов было собрано для определенного нежелательного события, оно оценивается и анализируется на предмет возможного улучшения или, другими словами, провести анализ рисков и найти пути улучшения системы.
Этот этап является подготовительным для заключительного шага анализа, который будет контролировать идентификацию опасности. Итак, на этом этапе мы выявляем все возможные опасности, прямо или косвенно влияющие на систему.
- Контроль определения опасности
Этот шаг очень специфичный и отличается для различных систем, но главное то, что после идентификации опасности последуют методы для уменьшения вероятности возникновения.