Анализ дерева неисправностей

Анализ дерева отказов ( FTA ) — это тип анализа отказов , при котором исследуется нежелательное состояние системы. Этот метод анализа в основном используется в технике безопасности и проектировании надежности, чтобы понять, как системы могут выйти из строя, определить наилучшие способы снижения риска и определить (или почувствовать) частоту событий аварий безопасности или конкретного уровня системы (функционального). ) отказ. FTA используется в аэрокосмической отрасли , ^[1] ядерная энергетика , химическая и процессная , ^{[2] [3] [4]} фармацевтический , ^[5] нефтехимическая и другие особо опасные отрасли; но также используется в таких разнообразных областях, как выявление факторов риска, связанных с сбоями в системе социальных услуг . ^[6] FTA также используется в разработке программного обеспечения для целей отладки и тесно связан с методом устранения причин, используемым для обнаружения ошибок.

В аэрокосмической отрасли более общий термин «состояние отказа системы» используется для обозначения «нежелательного состояния» / верхнего события дерева отказов. Эти состояния классифицируются по тяжести последствий. Наиболее тяжелые условия требуют самого тщательного анализа дерева отказов. Эти условия отказа системы и их классификация часто определяются заранее в ходе анализа функциональных опасностей .

Анализ дерева отказов может использоваться для: ^{[7] [8]}

• понять логику, ведущую к главному событию/нежелательному состоянию.
• показать соответствие (входной) системы требованиям безопасности/надежности.
• расставить приоритеты участников, ведущих к главному событию, — создать списки критического оборудования/деталей/событий для различных мер важности.
• отслеживать и контролировать показатели безопасности сложной системы (например, безопасно ли летать конкретному воздушному судну при неисправности топливного клапана x ? Как долго разрешено летать с неисправным клапаном?).
• минимизировать и оптимизировать ресурсы.
• Помогите спроектировать систему. FTA можно использовать в качестве инструмента проектирования, который помогает создавать требования (выходного/нижнего уровня).
• функционировать как диагностический инструмент для выявления и устранения причин главного события. Это может помочь в создании диагностических руководств/процессов.

Примеры и перспективы в этом разделе могут не отражать мировую точку зрения на предмет . Вы можете улучшить этот раздел , обсудить проблему на странице обсуждения или создать новый раздел, если это необходимо. ( Май 2022 г. ) ( Узнайте, как и когда удалить это сообщение )

Анализ дерева отказов (FTA) был первоначально разработан в 1962 году в Bell Laboratories Х.А. Уотсоном в рамках ВВС США контракта с подразделением баллистических систем для оценки Minuteman I. системы управления пуском межконтинентальной баллистической ракеты (МБР) ^{[9] [10] [11] [12]} С тех пор использование деревьев отказов получило широкую поддержку и часто используется экспертами по надежности в качестве инструмента анализа отказов. ^[13] После первого опубликованного использования FTA в исследовании безопасности системы управления запуском Minuteman I в 1962 году компании Boeing и AVCO расширили использование FTA на всю систему Minuteman II в 1963–1964 годах. Соглашение о свободной торговле широко освещалось на симпозиуме по системной безопасности в Сиэтле в 1965 году, организованном компанией Boeing и Вашингтонским университетом . ^[14] Boeing начал использовать FTA для проектирования гражданских самолетов примерно в 1966 году. ^{[15] [16]}

Впоследствии в вооруженных силах США применение FTA для использования с взрывателями исследовалось Арсеналом Пикатинни в 1960-х и 1970-х годах. ^[17] В 1976 году Командование материально-технического снабжения армии США включило FTA в «Справочник по инженерному проектированию по проектированию для обеспечения надежности». ^[18] Центр анализа надежности в Римской лаборатории и его организации-преемники теперь входят в состав Центра технической информации обороны (Центр анализа информации о надежности, а теперь Центр анализа информации оборонных систем). ^[19] ) публикует документы по FTA и блок-схемам надежности с 1960-х годов. ^{[20] [21] [22]} MIL-HDBK-338B представляет собой более позднюю ссылку. ^[23]

В 1970 году Федеральное управление гражданской авиации США изменение к 14 CFR 25.1309 летной годности правил транспортной категории для самолетов (FAA) опубликовало в Федеральном реестре под номером 35 FR 5665 (1970-04-08). Это изменение приняло критерии вероятности отказа авиационных систем и оборудования и привело к широкому использованию FTA в гражданской авиации. В 1998 году ФАУ опубликовало Приказ 8040.4. ^[24] разработка политики управления рисками, включая анализ опасностей в ряде критически важных видов деятельности, помимо сертификации самолетов, включая управление воздушным движением США и модернизацию национальной системы воздушного пространства . Это привело к публикации Справочника по безопасности системы ФАУ, в котором описывается использование FTA в различных типах формального анализа опасностей. ^[25]

В начале программы «Аполлон» был задан вопрос о вероятности успешной отправки астронавтов на Луну и благополучного возвращения их на Землю. Был проведен какой-то расчет риска или надежности, в результате которого вероятность успеха миссии оказалась неприемлемо низкой. Этот результат отпугнул НАСА от дальнейшего количественного анализа рисков или надежности до тех пор, пока не произошла авария «Челленджера» в 1986 году. Вместо этого НАСА решило полагаться на использование анализа видов и последствий отказов (FMEA) и других качественных методов для оценки безопасности системы. После катастрофы «Челленджера» важность вероятностной оценки риска (PRA) и FTA в анализе риска и надежности систем стала осознанной, и их использование в НАСА начало расти, и теперь FTA считается одним из наиболее важных методов анализа надежности и безопасности систем. . ^[26]

В атомной энергетике Комиссия по ядерному регулированию США начала использовать методы PRA, включая FTA, в 1975 году и значительно расширила исследования PRA после инцидента 1979 года на Три-Майл-Айленде . ^[27] В конечном итоге это привело к публикации в 1981 году Справочника NRC по деревьям отказов NUREG-0492, ^[28] и обязательное использование PRA в соответствии с регулирующим органом NRC.

После катастроф в перерабатывающей промышленности, таких как катастрофа в Бхопале в 1984 году и взрыв Piper Alpha в 1988 году , в 1992 году труда Министерства труда США Управление по безопасности и гигиене (OSHA) опубликовало в Федеральном реестре под номером 57 FR 6356 (24 февраля 1992 г.) свой процесс. управления безопасностью (PSM) в 19 CFR 1910.119. Стандарт ^[29] OSHA PSM признает FTA приемлемым методом анализа рисков процесса (PHA).

Сегодня FTA широко используется в проектировании систем безопасности и надежности , а также во всех основных областях техники.

FTA Методология описана в нескольких отраслевых и государственных стандартах, включая NRC NUREG-0492 для атомной энергетики, пересмотренную версию NUREG-0492, ориентированную на аэрокосмическую отрасль, для использования НАСА . ^[26] SAE ARP4761 для гражданской авиакосмической промышленности, MIL–HDBK–338 для военных систем, стандарт IEC IEC 61025 ^[30] предназначен для межотраслевого использования и принят в качестве европейского стандарта EN 61025.

Любая достаточно сложная система подвержена сбоям в результате отказа одной или нескольких подсистем. Однако вероятность сбоя часто можно снизить за счет улучшения конструкции системы. Анализ дерева неисправностей отображает взаимосвязь между неисправностями, подсистемами и резервными элементами конструкции безопасности путем создания логической схемы всей системы.

Нежелательный результат считается корнем («верхним событием») дерева логики. Например, нежелательным результатом рассматриваемой операции по штамповке металла может быть штамповка человеческого придатка. Возвращаясь к этому главному событию, можно определить, что это может произойти двумя способами: во время нормальной работы или во время технического обслуживания. Это условие представляет собой логическое ИЛИ. Учитывая ветвь опасности, возникающей во время нормальной работы, возможно, можно определить, что это может произойти двумя способами: цикличность пресса и причинение вреда оператору или цикличность пресса и причинение вреда другому человеку. Это еще одно логическое ИЛИ. Усовершенствование конструкции можно внести, потребовав от оператора нажимать две отдельные кнопки для включения и выключения машины — это функция безопасности в форме логического «И». Кнопка может иметь собственную частоту отказов — это становится стимулом неисправности, который можно проанализировать.

Когда деревья отказов помечены фактическими числами вероятностей отказов, компьютерные программы могут рассчитывать вероятности отказов на основе деревьев отказов. Когда обнаруживается, что определенное событие имеет более одного следствия, т. е. оказывает влияние на несколько подсистем, это называется общей причиной или общим режимом. Графически это означает, что это событие появится в нескольких местах дерева. Общие причины создают отношения зависимости между событиями. Вычисление вероятностей для дерева, содержащего некоторые общие причины, намного сложнее, чем для обычных деревьев, где все события считаются независимыми. Не все программные инструменты, доступные на рынке, предоставляют такую ​​возможность.

Дерево обычно записывается с использованием обычных символов логических элементов . Набор сокращений — это комбинация событий, обычно сбоев компонентов, вызывающих главное событие. Если ни одно событие не может быть удалено из вырезаемого набора, не вызывая при этом событие верхнего уровня, то такое событие называется минимальным вырезаемым набором.

В некоторых отраслях используются как деревья отказов, так и деревья событий (см. Вероятностная оценка рисков ). Дерево событий начинается с нежелательного инициатора (потеря критического источника питания, отказ компонента и т. д.) и отслеживает возможные дальнейшие системные события до ряда окончательных последствий. По мере рассмотрения каждого нового события в дереве добавляется новый узел с разделением вероятностей перехода на любую ветвь. Затем можно увидеть вероятности ряда «главных событий», возникающих в результате начального события.

Классические программы включают программное обеспечение CAFTA Научно-исследовательского института электроэнергетики (EPRI), которое используется многими атомными электростанциями США и большинством американских и международных производителей аэрокосмической продукции, а также Айдахо Национальной лаборатории SAPHIRE , которое используется правительством США для оценки безопасности и надежности , ядерных реакторов космического корабля "Шаттл" и Международной космической станции . За пределами США программное обеспечение RiskSpectrum является популярным инструментом для анализа дерева отказов и дерева событий и лицензировано для использования более чем на 60% атомных электростанций мира для вероятностной оценки безопасности. профессионального уровня Бесплатное программное обеспечение также широко доступно; КАТИСЬ ^[31] это инструмент с открытым исходным кодом, реализующий формат обмена моделями Open-PSA. ^[32] открытый стандарт для приложений вероятностной оценки безопасности.

Основные символы, используемые в FTA, сгруппированы как символы событий, ворот и символов передачи. В программном обеспечении FTA могут использоваться незначительные изменения.

Символы событий используются для основных событий и промежуточных событий . Первичные события не получают дальнейшего развития в дереве отказов. Промежуточные события находятся на выходе вентиля. Символы событий показаны ниже:

• 
  Базовое событие
• 
  Внешнее событие
• 
  Неразработанное событие
• 
  Кондиционирующее событие
• 
  Промежуточное событие

Основные символы событий обычно используются следующим образом:

• Базовое событие – отказ или ошибка в компоненте или элементе системы (пример: переключатель застрял в разомкнутом положении)
• Внешнее событие – обычно ожидается (само по себе не является ошибкой)
• Неразвитое событие – событие, о котором имеется недостаточно информации или которое не имеет последствий.
• Обуславливающее событие – условия, которые ограничивают или влияют на логические элементы (пример: действующий режим работы).

Промежуточный шлюз событий можно использовать непосредственно над основным событием, чтобы предоставить больше места для ввода описания события.

Соглашение о свободной торговле представляет собой подход «сверху вниз».

Символы ворот описывают взаимосвязь между входными и выходными событиями. Символы получены из символов булевой логики:

• 
  ИЛИ ворота
• 
  И ворота
• 
  Эксклюзивные ворота ИЛИ
• 
  Приоритет И ворота
• 
  Запретить ворота

Ворота работают следующим образом:

• Вентиль ИЛИ – выход происходит, если происходит какой-либо ввод.
• Логический элемент И – выход происходит только в том случае, если происходят все входы (входы независимы от источника).
• Вентиль «исключающее ИЛИ» — выход происходит, если происходит ровно один вход.
• Приоритет И вентиль – выходной сигнал происходит, если входные данные происходят в определенной последовательности, заданной событием кондиционирования.
• Запретить ворота – выход происходит, если вход происходит при условии включения, заданном событием обусловления.

Символы передачи используются для соединения входов и выходов связанных деревьев отказов, таких как дерево отказов подсистемы, с ее системой. НАСА подготовило полный документ о зоне свободной торговли на основе практических примеров. ^[26]

• 
  Трансфер в
• 
  Трансфер

События в дереве отказов связаны со статистическими вероятностями или постоянными скоростями, распределенными экспоненциально по Пуассону. Например, отказы компонентов обычно могут происходить при некоторой постоянной интенсивности отказов λ (постоянная функция риска). В этом простейшем случае вероятность отказа зависит от скорости λ и времени воздействия t:

${\displaystyle P=1-e^{-\lambda t}}$

где:

${\displaystyle P\approx \lambda t}$ если ${\displaystyle \lambda t<0.001}$

Дерево неисправностей часто нормализуется к заданному интервалу времени, например часу полета или среднему времени миссии. Вероятности событий зависят от отношения функции опасности события к этому интервалу.

В отличие от обычных диаграмм логических элементов , в которых входы и выходы содержат двоичные значения ИСТИНА (1) или ЛОЖЬ (0), элементы в дереве неисправностей выводят вероятности, связанные с заданными операциями булевой логики . Вероятность выходного события вентиля зависит от вероятностей входных событий.

Логический элемент И представляет собой комбинацию независимых событий. То есть на вероятность любого входного события в вентиль И не влияет любое другое входное событие в тот же вентиль. С точки зрения теории множеств , это эквивалентно пересечению входных наборов событий, а вероятность выхода логического элемента И определяется выражением:

Р (А и В) = Р (А ∩ В) = Р(А) Р(В)

С другой стороны, вентиль ИЛИ соответствует объединению множеств:

P (A или B) = P (A ∪ B) = P(A) + P(B) - P (A ∩ B)

Поскольку вероятность отказа в деревьях отказов, как правило, мала (менее 0,01), P (A ∩ B) обычно становится очень небольшим членом ошибки, и выходной сигнал элемента ИЛИ может быть консервативно аппроксимирован, используя предположение, что входные данные взаимоисключающие события :

P (A или B) ≈ P(A) + P(B), P (A ∩ B) ≈ 0

Логический элемент «исключающее ИЛИ» с двумя входами представляет вероятность того, что произойдет один или другой вход, но не оба:

P (A xили B) = P(A) + P(B) - 2P (A ∩ B)

Опять же, поскольку P (A ∩ B) обычно становится очень небольшим членом ошибки, логический элемент исключающее ИЛИ имеет ограниченное значение в дереве ошибок.

Довольно часто ставки распределены по экспоненте Пуассона. ^[33] используются для количественной оценки дерева отказов вместо вероятностей. Ставки часто моделируются как постоянные во времени, тогда как вероятность является функцией времени. Пуассон-экспоненциальные события моделируются как бесконечно короткие, поэтому никакие два события не могут перекрываться. Логический элемент ИЛИ представляет собой суперпозицию (сложение показателей) двух входных частот отказов или интенсивности отказов, которые моделируются как точечные процессы Пуассона . Выходной элемент И рассчитывается с использованием недоступности (Q ₁ ) одного события, уменьшающего точечный процесс Пуассона другого события ( λ ₂ ). Недоступность (Q ₂ ) другого события затем уменьшает точечный процесс Пуассона первого события (λ ₁ ). Два результирующих точечных процесса Пуассона накладываются в соответствии со следующими уравнениями.

Выход логического элемента И представляет собой комбинацию независимых входных событий 1 и 2 для логического элемента И:

Частота отказов = λ ₁ Q ₂ + λ ₂ Q ₁ , где Q = 1 – e ^λt ≈ λt, если λt < 0,001

Частота отказов ≈ λ ₁ λ ₂ t ₂ + λ ₂ λ ₁ t _1, если λ ₁ t ₁ < 0,001 и λ ₂ t ₂ < 0,001

В дереве отказов неготовность (Q) может быть определена как невозможность безопасной работы и может не относиться к неготовности работы системы в зависимости от того, как было структурировано дерево отказов. Входные условия в дереве отказов должны быть тщательно определены.

Для моделирования соглашения о свободной торговле можно использовать множество различных подходов, но наиболее распространенный и популярный способ можно свести к нескольким шагам. Одно дерево отказов используется для анализа одного и только одного нежелательного события, которое впоследствии может быть перенесено в другое дерево отказов в качестве базового события. Хотя природа нежелательного события может существенно различаться, соглашение о свободной торговле следует одной и той же процедуре для любого нежелательного события; будь то задержка в 0,25 мс для генерации электроэнергии, необнаруженный пожар в грузовом отсеке или случайный, непреднамеренный пуск межконтинентальной баллистической ракеты .

Анализ ЗСТ включает пять этапов:

1. Определите нежелательное событие для изучения.
   • Определение нежелательного события может быть очень трудным для выявления, хотя некоторые события очень легко и очевидно наблюдать. Инженер с обширными знаниями в области проектирования системы — лучший человек, который поможет определить и нумеровать нежелательные события. Нежелательные события затем используются для заключения соглашений о свободной торговле. Каждое соглашение о свободной торговле ограничено одним нежелательным событием.
2. Получите понимание системы.
   • После выбора нежелательного события изучаются и анализируются все причины с вероятностью воздействия на нежелательное событие 0 или более. Получить точные цифры вероятностей, ведущих к событию, обычно невозможно по той причине, что это может быть очень дорогостоящим и трудоемким. Компьютерное программное обеспечение используется для изучения вероятностей; это может привести к менее затратному системному анализу.
     Системные аналитики могут помочь понять систему в целом. Проектировщики системы обладают полным знанием системы, и эти знания очень важны для того, чтобы не упустить ни одной причины, влияющей на нежелательное событие. Для выбранного события все причины затем нумеруются и упорядочиваются в порядке возникновения, а затем используются на следующем этапе — рисовании или построении дерева отказов.
3. Построить дерево отказов.
   • После выбора нежелательного события и анализа системы, чтобы знать все вызывающие его последствия (и, если возможно, их вероятности), мы можем построить дерево неисправностей. Дерево отказов основано на логических элементах И и ИЛИ, которые определяют основные характеристики дерева отказов.
4. Оцените дерево неисправностей.
   • После того как дерево отказов составлено для конкретного нежелательного события, оно оценивается и анализируется на предмет возможного улучшения или, другими словами, изучается управление рисками и находят пути улучшения системы. Может быть применен широкий спектр качественных и количественных методов анализа. ^[34] Этот шаг является введением к заключительному этапу, который будет заключаться в контроле выявленных опасностей. Короче говоря, на этом этапе мы выявляем все возможные опасности, влияющие на систему прямым или косвенным образом.
5. Контролируйте выявленные опасности.
   • Этот шаг очень специфичен и сильно отличается от одной системы к другой, но главным моментом всегда будет то, что после выявления опасностей используются все возможные методы для снижения вероятности их возникновения.

FTA — это дедуктивный нисходящий метод, направленный на анализ влияния инициирующих неисправностей и событий на сложную систему. Это контрастирует с анализом видов и последствий отказов (FMEA), который представляет собой индуктивный метод анализа «снизу вверх», направленный на анализ влияния отказов отдельных компонентов или функций на оборудование или подсистемы. FTA очень хорошо показывает, насколько устойчива система к одиночным или множественным исходным неисправностям. С его помощью невозможно обнаружить все возможные исходные неисправности. FMEA хорошо подходит для исчерпывающей каталогизации исходных неисправностей и выявления их локальных последствий. Неэффективно исследовать многочисленные сбои или их последствия на уровне системы. FTA учитывает внешние события, FMEA — нет. ^[35] В гражданской аэрокосмической отрасли обычной практикой является выполнение как FTA, так и FMEA, со сводкой последствий режимов отказов (FMES) в качестве интерфейса между FMEA и FTA.

Альтернативы FTA включают диаграмму зависимости (DD), также известную как блок-схема надежности (RBD), и анализ Маркова . Диаграмма зависимостей эквивалентна анализу дерева успеха (STA), логической противоположности FTA, и изображает систему, использующую пути вместо шлюзов. DD и STA производят вероятность успеха (т. е. избежание главного события), а не вероятность главного события.

Викискладе есть медиафайлы, связанные со диаграммами дерева отказов .

• Анализ дерева событий
• Анализ характера и последствий отказов
• Диаграмма Исикавы
• Инженерия надежности
• Анализ первопричин
• Техника безопасности
• Безопасность системы
• Почему-потому что анализ