Анализ дерева отказов - Fault tree analysis

Диаграмма дерева отказов

Анализ дерева отказов ( FTA ) - это нисходящий дедуктивный анализ отказов, в котором нежелательное состояние системы анализируется с использованием булевой логики для объединения серии событий нижнего уровня. Этот метод анализа в основном используется в проектировании безопасности и надежности, чтобы понять, как системы могут выйти из строя, определить наилучшие способы снижения риска и определить (или почувствовать) частоту событий, связанных с аварией, связанной с безопасностью, или конкретным системным уровнем (функциональным). ) отказ. FTA используется в аэрокосмической , ядерной , химической, перерабатывающей , фармацевтической , нефтехимической и других отраслях с высокой степенью опасности; но также используется в таких разнообразных областях, как идентификация факторов риска, связанных с отказом системы социальных услуг . FTA также используется в разработке программного обеспечения для целей отладки и тесно связан с техникой устранения причин, используемой для обнаружения ошибок.

В аэрокосмической отрасли более общий термин «состояние отказа системы» используется для «нежелательного состояния» / главного события дерева отказов. Эти состояния классифицируются по тяжести их последствий. Самые тяжелые условия требуют самого тщательного анализа дерева отказов. Эти условия отказа системы и их классификация часто предварительно определяются при анализе функциональной опасности .

использование

Анализ дерева отказов можно использовать для:

  • понять логику, ведущую к главному событию / нежелательному состоянию.
  • показать соответствие (входным) требованиям безопасности / надежности системы.
  • расставьте приоритеты среди участников, ведущих к главному событию - создание списков критически важного оборудования / деталей / событий для различных мер важности
  • контролировать и контролировать показатели безопасности сложной системы (например, безопасно ли летать конкретному самолету при неисправности топливного клапана x ? Как долго ему разрешено летать с неисправным клапаном?).
  • минимизировать и оптимизировать ресурсы.
  • помочь в разработке системы. FTA можно использовать как инструмент проектирования, который помогает создавать требования (выход / нижний уровень).
  • функционируют как диагностический инструмент для выявления и устранения причин главного события. Это может помочь в создании диагностических руководств / процессов.

История

Анализ дерева неисправностей (FTA) первоначально был разработан в 1962 году в Bell Laboratories по HA Уотсон, под ВВС США баллистики Systems Division контракта для оценки Minuteman I межконтинентальной баллистической ракеты (МБР) Система управления Launch. С тех пор использование деревьев отказов получило широкую поддержку и часто используется экспертами по надежности в качестве инструмента анализа отказов. После первого опубликованного использования FTA в исследовании безопасности системы управления запуском Minuteman I в 1962 году, Boeing и AVCO в 1963–1964 годах расширили использование FTA на всю систему Minuteman II. FTA широко освещалась на симпозиуме по системной безопасности 1965 года в Сиэтле, спонсируемом Boeing и Вашингтонским университетом . Boeing начал использовать FTA для проектирования гражданских самолетов примерно в 1966 году.

Впоследствии в вооруженных силах США применение FTA для использования с взрывателями было исследовано Пикатинни Арсеналом в 1960-х и 1970-х годах. В 1976 году командование материально-технического обеспечения армии США включило FTA в «Руководство по проектированию для обеспечения надежности». Центр анализа надежности в Римской лаборатории и его дочерние организации, которые теперь имеют Центр технической информации обороны ( Центр анализа информации о надежности, а теперь Центр анализа информации систем обороны), с 1960-х годов публиковали документы по FTA и блок-схемам надежности. MIL-HDBK-338B содержит более позднюю ссылку.

В 1970 году Федеральное управление гражданской авиации США (FAA) опубликовало изменение правил летной годности 14 CFR 25.1309 для самолетов транспортной категории в Федеральном реестре под номером 35 FR 5665 (1970-04-08). Это изменение приняло критерии вероятности отказа для авиационных систем и оборудования и привело к широкому использованию FTA в гражданской авиации. В 1998 году Федеральное управление гражданской авиации опубликовало Приказ 8040.4, устанавливающий политику управления рисками, включая анализ опасностей в ряде важнейших видов деятельности, выходящих за рамки сертификации воздушных судов , включая управление воздушным движением и модернизацию Национальной системы воздушного пространства США . Это привело к публикации Справочника по безопасности системы FAA, в котором описывается использование FTA в различных типах формального анализа опасностей.

В начале программы « Аполлон» был задан вопрос о вероятности успешной отправки астронавтов на Луну и их благополучного возвращения на Землю. Был выполнен какой-то расчет риска или надежности, и в результате вероятность успеха миссии была неприемлемо низкой. Этот результат отговорил НАСА от дальнейшего количественного анализа рисков или надежности вплоть до аварии Challenger в 1986 году. Вместо этого НАСА решило полагаться на использование анализа режимов и последствий отказов (FMEA) и других качественных методов для оценки безопасности системы. После аварии Challenger важность вероятностной оценки риска (PRA) и FTA в анализе рисков и надежности систем была осознана, и ее использование в НАСА начало расти, и теперь FTA считается одним из наиболее важных методов анализа надежности и безопасности системы. .

В области ядерной энергетики Комиссия по ядерному регулированию США начала использовать методы PRA, включая FTA, в 1975 году и значительно расширила исследования PRA после инцидента 1979 года на Три-Майл-Айленде . В конечном итоге это привело к публикации в 1981 г. Справочника NRC по дереву отказов NUREG-0492 и обязательному использованию PRA в рамках регулирующего органа NRC.

После стихийных бедствий в обрабатывающей промышленности, таких как катастрофа в Бхопале в 1984 г. и взрыв Piper Alpha в 1988 г. , в 1992 г. Министерство охраны труда США (OSHA) опубликовало в Федеральном реестре 57 FR 6356 (1992-02-24) свой процесс. Стандарт управления безопасностью (PSM) в 19 CFR 1910.119. OSHA PSM признает FTA приемлемым методом анализа рисков процесса (PHA).

Сегодня FTA широко используется в проектировании систем безопасности и надежности , а также во всех основных областях техники.

Методология

Методология FTA описана в нескольких отраслевых и государственных стандартах, в том числе NRC NUREG-0492 для ядерной энергетики, аэрокосмической версии NUREG-0492 для использования НАСА , SAE ARP4761 для гражданской авиакосмической промышленности, MIL-HDBK-338 для военных систем. , IEC стандарт IEC 61025 предназначен для использования межотраслевых и был принят в качестве европейского стандарта EN 61025 Norm.

Любая достаточно сложная система может выйти из строя в результате отказа одной или нескольких подсистем. Однако вероятность отказа часто можно снизить за счет улучшения конструкции системы. Анализ дерева отказов отображает взаимосвязь между отказами, подсистемами и избыточными элементами проектирования безопасности путем создания логической схемы всей системы.

Нежелательный результат принимается как корень («верхнее событие») дерева логики. Например, нежелательным результатом работы штамповочного пресса для металла является штамповка придатка человека. Работая в обратном направлении от этого главного события, мы можем определить, что это могло произойти двумя способами: во время нормальной работы или во время обслуживания. Это условие является логическим ИЛИ. Рассматривая ветвь возникновения во время нормальной работы, возможно, мы определяем, что это могло произойти двумя способами: циклы прессования причиняют вред оператору или циклы прессования и причиняют вред другому человеку. Это еще одно логическое ИЛИ. Мы можем улучшить конструкцию, потребовав от оператора нажатия двух кнопок для цикла машины - это функция безопасности в форме логического И. Кнопка может иметь внутреннюю частоту отказов - это становится стимулом к ​​отказу, который мы можем проанализировать. Когда деревья отказов помечены фактическими числами вероятностей отказов, компьютерные программы могут рассчитывать вероятности отказов на основе деревьев отказов. Когда обнаруживается, что конкретное событие имеет более одного следящего события, т. Е. Оказывает влияние на несколько подсистем, это называется общей причиной или общим режимом. Графически это означает, что это событие появится в нескольких местах в дереве. Общие причины вводят отношения зависимости между событиями. Вычисления вероятностей дерева, содержащего некоторые общие причины, намного сложнее, чем обычные деревья, в которых все события считаются независимыми. Не все программные инструменты, доступные на рынке, обеспечивают такую ​​возможность.

Дерево обычно записывается с использованием обычных символов логических вентилей . Набор сокращений - это комбинация событий, обычно отказов компонентов, вызывающих верхнее событие. Если никакое событие не может быть удалено из набора вырезок, не вызывая при этом событие верхнего уровня, то оно называется минимальным набором вырезок.

В некоторых отраслях используются как деревья отказов, так и деревья событий (см. Вероятностная оценка риска ). Дерево событий начинается с нежелательного инициатора (потеря критически важного источника питания, отказ компонентов и т. Д.) И следует за возможными дальнейшими системными событиями до серии окончательных последствий. При рассмотрении каждого нового события в дерево добавляется новый узел с разделением вероятностей перехода на любую из ветвей. Затем можно увидеть вероятности ряда «главных событий», возникающих из начального события.

Классические программы включают в себя научно - исследовательский институт электроэнергии «(EPRI) CAFTA программное обеспечение s, который используется многими из атомных электростанций в США и большинством мировых производителей аэрокосмической и США, а также в Национальной лаборатории Айдахо » S Сапфир , который используется правительство США с целью оценки безопасности и надежности в ядерных реакторах , то Шаттл и Международная космическая станция . За пределами США программное обеспечение RiskSpectrum является популярным инструментом для анализа дерева отказов и дерева событий и лицензировано для использования почти на половине мировых атомных электростанций для вероятностной оценки безопасности. Бесплатное программное обеспечение профессионального уровня также широко доступно; SCRAM - это инструмент с открытым исходным кодом, который реализует открытый стандарт Open-PSA Model Exchange Format для приложений вероятностной оценки безопасности.

Графические символы

Основные символы, используемые в FTA, сгруппированы как символы событий, ворот и передач. В программном обеспечении FTA могут использоваться незначительные изменения.

Символы событий

Символы событий используются для основных и промежуточных событий . Первичные события не получают дальнейшего развития в дереве отказов. Промежуточные события находятся на выходе из ворот. Символы событий показаны ниже:

Основные символы событий обычно используются следующим образом:

  • Базовое событие - отказ или ошибка в системном компоненте или элементе (пример: выключатель застрял в разомкнутом положении)
  • Внешнее событие - обычно ожидаемое (не является неисправностью само по себе)
  • Незавершенное событие - событие, о котором недостаточно информации или которое не имеет значения.
  • Условное событие - условия, которые ограничивают или влияют на логические элементы (пример: действующий режим работы)

Промежуточное событие может использоваться непосредственно над основным событием, чтобы предоставить больше места для ввода описания события.

FTA - это подход сверху вниз.

Символы ворот

Символы ворот описывают взаимосвязь между входными и выходными событиями. Эти символы являются производными от символов логической логики:

Ворота работают следующим образом:

  • ИЛИ вентиль - вывод происходит, если происходит какой-либо ввод.
  • Логический элемент И - выход происходит только в том случае, если все входы происходят (входы независимы).
  • Исключающее ИЛИ вентиль - выход происходит, если происходит ровно один вход.
  • Приоритетный логический элемент И - выход происходит, если входы происходят в определенной последовательности, заданной условным событием.
  • Запретить вентиль - выход происходит, если вход происходит при разрешающем условии, заданном условным событием.

Символы передачи

Символы передачи используются для подключения входов и выходов связанных деревьев отказов, таких как дерево отказов подсистемы, к ее системе. НАСА подготовило полный документ о FTA на основе практических примеров.

Базовая математическая основа

События в дереве отказов связаны со статистическими вероятностями или постоянными скоростями с экспоненциально распределенным Пуассоном. Например, отказы компонентов обычно могут происходить при некоторой постоянной интенсивности отказов λ (постоянная функция риска). В этом простейшем случае вероятность отказа зависит от интенсивности λ и времени воздействия t:

P = 1 - ехр (-λt)

куда:

P ≈ λt, если λt <0,001

Дерево отказов часто нормализуется к заданному временному интервалу, например часу полета или среднему времени миссии. Вероятности событий зависят от отношения функции опасности события к этому интервалу.

В отличии от обычных логических вентилей диаграмм , в которых входы и выходы держать двоичные значения TRUE (1) или FALSE (0), ворота в выходных вероятностях дерева неисправностей , связанные с множественными операциями по булевой логике . Вероятность события выхода ворот зависит от вероятностей входного события.

Логический элемент И представляет собой комбинацию независимых событий. То есть вероятность любого события входа в вентиль И не зависит от любого другого события входа в тот же вентиль. В терминах теории множеств это эквивалентно пересечению наборов входных событий, а вероятность выхода логического элемента И определяется выражением:

P (A и B) = P (A ∩ B) = P (A) P (B)

С другой стороны, вентиль OR соответствует объединению множеств:

P (A или B) = P (A ∪ B) = P (A) + P (B) - P (A ∩ B)

Поскольку вероятности отказа в деревьях отказов, как правило, невелики (менее 0,01), P (A ∩ B) обычно становится очень малым членом ошибки, и выход логического элемента ИЛИ можно консервативно аппроксимировать, используя предположение, что входные данные являются взаимоисключающие события :

P (A или B) ≈ P (A) + P (B), P (A ∩ B) ≈ 0

Элемент исключающее ИЛИ с двумя входами представляет вероятность того, что один или другой вход, но не оба, произойдет:

P (A xor B) = P (A) + P (B) - 2P (A ∩ B)

Опять же, поскольку P (A ∩ B) обычно становится очень малым членом ошибки, вентиль «исключающее ИЛИ» имеет ограниченное значение в дереве отказов.

Довольно часто вместо вероятностей для количественной оценки дерева отказов используются коэффициенты, распределенные по экспоненциальному закону Пуассона. Ставки часто моделируются как постоянные во времени, в то время как вероятность является функцией времени. Экспоненциальные события Пуассона моделируются как бесконечно короткие, поэтому никакие два события не могут перекрываться. Логический элемент ИЛИ представляет собой суперпозицию (сложение частот) двух входных частот отказов или интенсивностей отказов, которые моделируются как точечные процессы Пуассона . Выходной сигнал логического элемента И вычисляется с использованием недоступности (Q 1 ) одного события, уменьшая точечный процесс Пуассона другого события (λ 2 ). Недоступность (Q 2 ) другого события затем уменьшает точечный процесс Пуассона первого события (λ 1 ). Два результирующих точечных процесса Пуассона накладываются друг на друга согласно следующим уравнениям.

Выход логического элемента И представляет собой комбинацию независимых входных событий 1 и 2 для логического элемента И:

Частота отказов = λ 1 Q 2 + λ 2 Q 1, где Q = 1 - e λt ≈ λt, если λt <0,001
Частота отказов ≈ λ 1 λ 2 t 2 + λ 2 λ 1 t 1, если λ 1 t 1 <0,001 и λ 2 t 2 <0,001

В дереве отказов недоступность (Q) может быть определена как недоступность безопасной работы и может не относиться к недоступности работы системы в зависимости от того, как было структурировано дерево отказов. Входные термины в дерево отказов должны быть тщательно определены.

Анализ

Для моделирования FTA можно использовать множество различных подходов, но наиболее распространенный и популярный способ можно резюмировать в несколько шагов. Единое дерево отказов используется для анализа одного и только одного нежелательного события, которое впоследствии может быть передано в другое дерево отказов в качестве основного события. Хотя природа нежелательного события может сильно различаться, FTA следует той же процедуре для любого нежелательного события; будь то задержка в 0,25 мс для выработки электроэнергии, необнаруженный пожар в грузовом отсеке или случайный, непреднамеренный запуск межконтинентальной баллистической ракеты .

Анализ FTA включает пять шагов:

  1. Определите нежелательное событие для изучения.
    • Определение нежелательного события может быть очень трудным для раскрытия, хотя некоторые из событий очень легко и очевидны для наблюдения. Инженер с обширными знаниями в области проектирования системы - лучший человек, который поможет определить и пронумеровать нежелательные события. Затем нежелательные события используются для заключения соглашений о свободной торговле. Каждый FTA ограничен одним нежелательным событием.
  2. Получите представление о системе.
    • После того, как нежелательное событие выбрано, все причины с вероятностью воздействия на нежелательное событие равной 0 или более изучаются и анализируются. Получить точные числа вероятностей, ведущих к событию, обычно невозможно по той причине, что это может быть очень дорогостоящим и трудоемким. Компьютерное программное обеспечение используется для изучения вероятностей; это может привести к менее дорогостоящему системному анализу.
      Системные аналитики могут помочь разобраться в системе в целом. Разработчики системы имеют полное представление о системе, и эти знания очень важны для того, чтобы не упустить ни одной причины, влияющей на нежелательное событие. Для выбранного события все причины затем пронумерованы и упорядочены в порядке возникновения, а затем используются для следующего шага, который представляет собой рисование или построение дерева отказов.
  3. Постройте дерево отказов.
    • После выбора нежелательного события и анализа системы, чтобы мы знали все вызывающие эффекты (и, если возможно, их вероятности), мы можем теперь построить дерево отказов. Дерево отказов основано на логических элементах И и ИЛИ, которые определяют основные характеристики дерева отказов.
  4. Оцените дерево отказов.
    • После того, как дерево отказов составлено для конкретного нежелательного события, оно оценивается и анализируется на предмет возможных улучшений или, другими словами, изучают управление рисками и находят пути улучшения системы. Может применяться широкий спектр качественных и количественных методов анализа. Этот шаг является введением к заключительному шагу, который будет заключаться в контроле выявленных опасностей. Короче говоря, на этом этапе мы идентифицируем все возможные опасности, прямо или косвенно влияющие на систему.
  5. Управляйте выявленными опасностями.
    • Этот шаг очень специфичен и сильно отличается от одной системы к другой, но главное всегда будет заключаться в том, что после выявления опасностей используются все возможные методы для уменьшения вероятности возникновения.

Сравнение с другими аналитическими методами

FTA - это дедуктивный нисходящий метод, направленный на анализ последствий возникновения сбоев и событий в сложной системе. Это контрастирует с анализом режимов и последствий отказов (FMEA), который представляет собой индуктивный восходящий метод анализа, направленный на анализ влияния отказов отдельных компонентов или функций на оборудование или подсистемы. FTA очень хорошо показывает, насколько устойчива система к одиночным или множественным исходным сбоям. Это не очень хорошо для поиска всех возможных исходных неисправностей. FMEA хорош для исчерпывающей каталогизации исходных неисправностей и определения их локальных эффектов. Это не очень хорошо для изучения множественных отказов или их последствий на системном уровне. FTA учитывает внешние события, FMEA - нет. В гражданской авиакосмической сфере обычной практикой является выполнение как FTA, так и FMEA, со сводкой последствий режима отказа (FMES) в качестве интерфейса между FMEA и FTA.

Альтернативы FTA включают диаграмму зависимости (DD), также известную как блок-схема надежности (RBD), и марковский анализ . Диаграмма зависимости эквивалентна анализу дерева успеха (STA), логической инверсии FTA, и изображает систему, использующую пути вместо ворот. DD и STA производят вероятность успеха (т. Е. Избегание главного события), а не вероятность главного события.

Смотрите также

использованная литература