stringtranslate.com

Анализ дерева неисправностей

Диаграмма дерева неисправностей

Анализ дерева отказов ( FTA ) — это тип анализа отказов , при котором исследуется нежелательное состояние системы. Этот метод анализа в основном используется в технике безопасности и надежности для понимания того, как системы могут выйти из строя, для выявления наилучших способов снижения риска и определения (или получения ощущения) частоты событий аварий безопасности или определенного системного (функционального) отказа. FTA используется в аэрокосмической , [ 1] ядерной энергетике , химической и перерабатывающей , [2] [3] [4] фармацевтической , [5] нефтехимической и других отраслях с высокой степенью опасности; но также используется в таких разнообразных областях, как определение факторов риска, связанных с отказом системы социального обслуживания . [6] FTA также используется в программной инженерии для целей отладки и тесно связан с методом устранения причин, используемым для обнаружения ошибок.

В аэрокосмической отрасли более общий термин «состояние отказа системы» используется для «нежелательного состояния» / главного события дерева отказов. Эти состояния классифицируются по серьезности их последствий. Наиболее серьезные состояния требуют наиболее обширного анализа дерева отказов. Эти состояния отказа системы и их классификация часто определяются предварительно в анализе функциональных опасностей .

Использование

Анализ дерева неисправностей может быть использован для: [7] [8]

История

Анализ дерева отказов (FTA) был первоначально разработан в 1962 году в Bell Laboratories HA Watson в рамках контракта с US Air Force Ballistics Division для оценки системы управления запуском межконтинентальной баллистической ракеты (ICBM) Minuteman I. [9] [10] [11] [12] С тех пор использование деревьев отказов получило широкую поддержку и часто используется в качестве инструмента анализа отказов экспертами по надежности. [13] После первой публикации использования FTA в исследовании безопасности управления запуском Minuteman I 1962 года, Boeing и AVCO расширили использование FTA на всю систему Minuteman II в 1963–1964 годах. FTA получил широкое освещение на симпозиуме по безопасности систем 1965 года в Сиэтле, спонсируемом Boeing и Вашингтонским университетом . [14] Boeing начал использовать FTA для проектирования гражданских самолетов около 1966 года. [15] [16]

Впоследствии, в армии США, применение FTA для использования с взрывателями было исследовано Picatinny Arsenal в 1960-х и 1970-х годах. [17] В 1976 году Командование материальной части армии США включило FTA в Справочник по инженерному проектированию по проектированию для обеспечения надежности. [18] Центр анализа надежности в Римской лаборатории и его организации-преемники, теперь входящие в состав Центра технической информации обороны (Центр анализа информации о надежности, а теперь Центр анализа информации о системах обороны [19] ) публиковали документы по FTA и блок-схемам надежности с 1960-х годов. [20] [21] [22] MIL-HDBK-338B предоставляет более позднюю ссылку. [23]

В 1970 году Федеральное управление гражданской авиации США (FAA) опубликовало изменение к правилам летной годности 14 CFR 25.1309 для транспортных самолетов в Федеральном реестре в 35 FR 5665 (1970-04-08). Это изменение приняло критерии вероятности отказа для систем и оборудования самолета и привело к широкому использованию FTA в гражданской авиации. В 1998 году FAA опубликовало Приказ 8040.4, [24] устанавливающий политику управления рисками, включая анализ опасностей в ряде критических видов деятельности за пределами сертификации самолета, включая управление воздушным движением и модернизацию Национальной системы воздушного пространства США . Это привело к публикации Справочника по безопасности системы FAA, в котором описывается использование FTA в различных типах формального анализа опасностей. [25]

В начале программы «Аполлон» был задан вопрос о вероятности успешной отправки астронавтов на Луну и их благополучного возвращения на Землю. Был выполнен некий расчет риска или надежности, и результатом стала неприемлемо низкая вероятность успеха миссии. Этот результат отбил у NASA желание проводить дальнейший количественный анализ риска или надежности до аварии «Челленджера» в 1986 году. Вместо этого NASA решило положиться на использование анализа видов и последствий отказов (FMEA) и других качественных методов оценки безопасности системы. После аварии «Челленджера» была осознана важность вероятностной оценки риска (PRA) и FTA в анализе риска и надежности систем, и ее использование в NASA начало расти, и теперь FTA считается одним из важнейших методов анализа надежности и безопасности систем. [26]

В ядерной энергетике Комиссия по ядерному регулированию США начала использовать методы PRA, включая FTA, в 1975 году и значительно расширила исследования PRA после инцидента 1979 года на АЭС Три-Майл-Айленд . [27] В конечном итоге это привело к публикации в 1981 году Справочника NRC по дереву отказов NUREG–0492 [28] и обязательному использованию PRA в рамках регулирующих полномочий NRC.

После катастроф в перерабатывающей промышленности, таких как катастрофа в Бхопале в 1984 году и взрыв Piper Alpha в 1988 году , в 1992 году Управление по охране труда и промышленной гигиене (OSHA) Министерства труда США опубликовало в Федеральном реестре в 57 FR 6356 (1992-02-24) свой стандарт по управлению безопасностью технологических процессов (PSM) в 19 CFR 1910.119. [29] OSHA PSM признает FTA приемлемым методом анализа опасностей технологических процессов (PHA).

Сегодня FTA широко используется в проектировании систем безопасности и надежности , а также во всех основных областях техники.

Методология

Методология FTA описана в нескольких отраслевых и государственных стандартах, включая NRC NUREG–0492 для атомной энергетики, ориентированную на аэрокосмическую отрасль редакцию NUREG–0492 для использования NASA , [26] SAE ARP4761 для гражданской аэрокосмической отрасли, MIL–HDBK–338 для военных систем, стандарт IEC IEC 61025 [30] предназначен для межотраслевого использования и был принят в качестве европейского стандарта EN 61025.

Любая достаточно сложная система подвержена отказу в результате отказа одной или нескольких подсистем. Однако вероятность отказа часто можно снизить за счет улучшения конструкции системы. Анализ дерева отказов отображает взаимосвязь между отказами, подсистемами и избыточными элементами конструкции безопасности путем создания логической схемы всей системы.

Нежелательный результат принимается за корень («главное событие») дерева логики. Например, нежелательным результатом рассматриваемой операции штамповки металла может быть штамповка человеческой конечности. Двигаясь назад от этого главного события, можно определить, что есть два способа, которыми это может произойти: во время нормальной работы или во время операции по техническому обслуживанию. Это условие является логическим ИЛИ. Рассматривая ветвь опасности, возникающей во время нормальной работы, возможно, определяется, что есть два способа, которыми это может произойти: пресс работает и причиняет вред оператору, или пресс работает и причиняет вред другому человеку. Это еще одно логическое ИЛИ. Усовершенствование конструкции может быть сделано, если потребовать от оператора нажимать две отдельные кнопки для цикла работы машины — это функция безопасности в форме логического И. Кнопка может иметь внутреннюю частоту отказов — это становится стимулом отказа, который можно проанализировать.

Когда деревья неисправностей помечены фактическими числами для вероятностей отказов, компьютерные программы могут вычислять вероятности отказов из деревьев неисправностей. Когда обнаруживается, что определенное событие имеет более одного события-эффекта, т. е. оно влияет на несколько подсистем, это называется общей причиной или общим режимом. Графически это означает, что это событие появится в нескольких местах в дереве. Общие причины вводят отношения зависимости между событиями. Вычисления вероятности дерева, которое содержит некоторые общие причины, намного сложнее, чем обычные деревья, где все события считаются независимыми. Не все программные инструменты, доступные на рынке, предоставляют такую ​​возможность.

Дерево обычно записывается с использованием обычных символов логических вентилей . Набор разрезов — это комбинация событий, обычно отказов компонентов, вызывающих главное событие. Если ни одно событие не может быть удалено из набора разрезов без того, чтобы не вызвать главное событие, то он называется минимальным набором разрезов.

Некоторые отрасли используют как деревья отказов, так и деревья событий (см. Вероятностная оценка риска ). Дерево событий начинается с нежелательного инициатора (потеря критического источника питания, отказ компонента и т. д.) и следует возможным дальнейшим системным событиям до ряда конечных последствий. При рассмотрении каждого нового события добавляется новый узел на дереве с разделением вероятностей принятия любой ветви. Затем можно увидеть вероятности ряда «главных событий», возникающих из начального события.

Классические программы включают программное обеспечение CAFTA Института электроэнергетики (EPRI), которое используется многими атомными электростанциями США и большинством американских и международных производителей аэрокосмической техники, и SAPHIRE Национальной лаборатории Айдахо , которое используется правительством США для оценки безопасности и надежности ядерных реакторов , космического челнока и Международной космической станции . За пределами США программное обеспечение RiskSpectrum является популярным инструментом для анализа дерева неисправностей и дерева событий и лицензировано для использования на более чем 60% атомных электростанций мира для вероятностной оценки безопасности. Также широко доступно бесплатное программное обеспечение профессионального уровня ; SCRAM [31] — это инструмент с открытым исходным кодом, который реализует открытый стандарт Open-PSA Model Exchange Format [32] для приложений вероятностной оценки безопасности.

Графические символы

Основные символы, используемые в FTA, сгруппированы как символы событий, ворот и передач. Незначительные изменения могут использоваться в программном обеспечении FTA.

Символы событий

Символы событий используются для первичных событий и промежуточных событий . Первичные события далее не развиваются на дереве неисправностей. Промежуточные события находятся на выходе из ворот. Символы событий показаны ниже:

Символы основных событий обычно используются следующим образом:

Промежуточный шлюз событий можно использовать непосредственно над основным событием, чтобы предоставить больше места для ввода описания события.

Соглашение о свободной торговле (FTA) представляет собой подход «сверху вниз».

Символы ворот

Символы вентилей описывают связь между входными и выходными событиями. Символы получены из булевых логических символов:

Ворота работают следующим образом:

Передача символов

Символы переноса используются для соединения входов и выходов связанных деревьев неисправностей, таких как дерево неисправностей подсистемы с ее системой. NASA подготовило полный документ о FTA с помощью практических инцидентов. [26]

Базовая математическая основа

События в дереве отказов связаны со статистическими вероятностями или экспоненциально распределенными постоянными скоростями Пуассона. Например, отказы компонентов обычно могут происходить с некоторой постоянной скоростью отказов λ (постоянная функция опасности). В этом простейшем случае вероятность отказа зависит от скорости λ и времени воздействия t:

где:

если

Дерево отказов часто нормализуется к заданному временному интервалу, например, к летному часу или среднему времени миссии. Вероятности событий зависят от отношения функции опасности событий к этому интервалу.

В отличие от обычных схем логических вентилей , в которых входы и выходы содержат двоичные значения ИСТИНА (1) или ЛОЖЬ (0), вентили в дереве неисправностей выводят вероятности, связанные с набором операций булевой логики . Вероятность выходного события вентиля зависит от вероятностей входных событий.

И-вентиль представляет собой комбинацию независимых событий. То есть вероятность любого входного события для И-вентиля не зависит от любого другого входного события для того же самого вентиля. В терминах теории множеств это эквивалентно пересечению множеств входных событий, а вероятность выхода И-вентиля определяется как:

P (A и B) = P (A ∩ B) = P(A) P(B)

С другой стороны, элемент ИЛИ соответствует объединению множеств:

P (A или B) = P (A ∪ B) = P(A) + P(B) - P (A ∩ B)

Поскольку вероятности отказов в деревьях неисправностей, как правило, малы (менее 0,01), P (A ∩ B) обычно становится очень малым членом ошибки, а выходной сигнал вентиля ИЛИ может быть консервативно аппроксимирован с использованием предположения, что входные данные являются взаимоисключающими событиями :

P (A или B) ≈ P(A) + P(B), P (A ∩ B) ≈ 0

Логический элемент «исключающее ИЛИ» с двумя входами представляет вероятность того, что произойдет один или другой вход, но не оба одновременно:

P (A xor B) = P(A) + P(B) - 2P (A ∩ B)

Опять же, поскольку P (A ∩ B) обычно становится очень малым членом ошибки, логический элемент «исключающее ИЛИ» имеет ограниченную ценность в дереве неисправностей.

Довольно часто для количественной оценки дерева неисправностей вместо вероятностей используются показатели, распределенные по Пуассону-экспоненциальному закону [33] . Показатели часто моделируются как постоянные во времени, в то время как вероятность является функцией времени. События, распределенные по Пуассону-экспоненциальному закону, моделируются как бесконечно короткие, поэтому никакие два события не могут перекрываться. Логический элемент ИЛИ представляет собой суперпозицию (сложение показателей) двух входных частот отказов или показателей отказов, которые моделируются как точечные процессы Пуассона . Выход логического элемента И рассчитывается с использованием недоступности (Q 1 ) одного события, прореживая точечный процесс Пуассона другого события (λ 2 ). Недоступность (Q 2 ) другого события затем прореживает точечный процесс Пуассона первого события (λ 1 ). Два результирующих точечных процесса Пуассона накладываются в соответствии со следующими уравнениями.

Выходной сигнал вентиля И представляет собой комбинацию независимых входных событий 1 и 2 вентиля И:

Частота отказов = λ 1 Q 2 + λ 2 Q 1 , где Q = 1 - e -λt ≈ λt, если λt < 0,001
Частота отказов ≈ λ 1 λ 2 t 2 + λ 2 λ 1 t 1, если λ 1 t 1 < 0,001 и λ 2 t 2 < 0,001.

В дереве отказов недоступность (Q) может быть определена как недоступность безопасной работы и может не относиться к недоступности работы системы в зависимости от того, как было структурировано дерево отказов. Входные термины для дерева отказов должны быть тщательно определены.

Анализ

Для моделирования FTA можно использовать множество различных подходов, но наиболее распространенный и популярный способ можно обобщить в несколько шагов. Единое дерево отказов используется для анализа одного и только одного нежелательного события, которое впоследствии может быть введено в другое дерево отказов как базовое событие. Хотя природа нежелательного события может существенно различаться, FTA следует той же процедуре для любого нежелательного события; будь то задержка в 0,25 мс для генерации электроэнергии, необнаруженный пожар в грузовом отсеке или случайный, непреднамеренный запуск МБР .

Анализ FTA включает пять этапов:

  1. Определите нежелательное событие для изучения.
    • Определение нежелательного события может быть очень сложным для обнаружения, хотя некоторые события очень легко и очевидно наблюдать. Инженер с широкими познаниями в области конструкции системы — лучший человек, который поможет определить и пронумеровать нежелательные события. Нежелательные события затем используются для создания FTA. Каждый FTA ограничен одним нежелательным событием.
  2. Получите представление о системе.
    • После выбора нежелательного события изучаются и анализируются все причины с вероятностью влияния на нежелательное событие 0 или более. Получение точных чисел для вероятностей, приводящих к событию, обычно невозможно по той причине, что это может быть очень дорогостоящим и трудоемким. Для изучения вероятностей используется компьютерное программное обеспечение; это может привести к менее затратному системному анализу.
      Системные аналитики могут помочь в понимании всей системы. Проектировщики систем обладают полным знанием системы, и это знание очень важно для того, чтобы не упустить ни одной причины, влияющей на нежелательное событие. Для выбранного события все причины затем нумеруются и упорядочиваются в порядке возникновения, а затем используются для следующего шага, который заключается в рисовании или построении дерева неисправностей.
  3. Постройте дерево неисправностей.
    • После выбора нежелательного события и анализа системы, чтобы знать все вызывающие эффекты (и, если возможно, их вероятности), мы можем построить дерево неисправностей. Дерево неисправностей основано на вентилях И и ИЛИ, которые определяют основные характеристики дерева неисправностей.
  4. Оцените дерево неисправностей.
    • После того, как дерево неисправностей было собрано для определенного нежелательного события, оно оценивается и анализируется на предмет любого возможного улучшения или, другими словами, изучается управление рисками и находят пути для улучшения системы. Может быть применен широкий спектр качественных и количественных методов анализа. [34] Этот шаг является введением для заключительного шага, который будет заключаться в контроле выявленных опасностей. Короче говоря, на этом шаге мы определяем все возможные опасности, влияющие на систему прямым или косвенным образом.
  5. Контролируйте выявленные опасности.
    • Этот шаг очень специфичен и существенно отличается в разных системах, но главное всегда заключается в том, что после выявления опасностей используются все возможные методы для снижения вероятности их возникновения.

Сравнение с другими аналитическими методами

FTA — это дедуктивный , нисходящий метод, направленный на анализ последствий инициирующих неисправностей и событий в сложной системе. Это контрастирует с анализом видов и последствий отказов (FMEA), который является индуктивным , восходящим методом анализа, направленным на анализ последствий отказов отдельных компонентов или функций на оборудование или подсистемы. FTA очень хорош для демонстрации того, насколько устойчива система к единичным или множественным инициирующим неисправностям. Он не хорош для поиска всех возможных инициирующих неисправностей. FMEA хорош для исчерпывающего каталогизирования инициирующих неисправностей и выявления их локальных последствий. Он не хорош для изучения множественных отказов или их последствий на системном уровне. FTA рассматривает внешние события, FMEA — нет. [35] В гражданской аэрокосмической отрасли обычной практикой является выполнение как FTA, так и FMEA с резюме последствий отказов (FMES) в качестве интерфейса между FMEA и FTA.

Альтернативы FTA включают диаграмму зависимости (DD), также известную как блок-схема надежности (RBD) и марковский анализ . Диаграмма зависимости эквивалентна анализу дерева успеха (STA), логическому обратному FTA, и изображает систему, используя пути вместо вентилей. DD и STA производят вероятность успеха (т. е. избегание главного события), а не вероятность главного события.

Смотрите также

Ссылки

  1. ^ Голдберг, Б. Эверхарт, К.; Стивенс, Р.; Баббитт, Н.; Клеменс, П.; Стаут, Л. (1994). "3". Инструментарий системной инженерии для инженеров, ориентированных на проектирование . Центр космических полетов им. Маршалла. С. 3–35 по 3–48.{{cite book}}: CS1 maint: location missing publisher (link)
  2. ^ Центр безопасности химических процессов (апрель 2008 г.). Руководство по процедурам оценки опасности (3-е изд.). Wiley. ISBN 978-0-471-97815-2.
  3. ^ Центр безопасности химических процессов (октябрь 1999 г.). Руководство по количественному анализу риска химических процессов (2-е изд.). Американский институт инженеров-химиков. ISBN 978-0-8169-0720-5.
  4. ^ Администрация охраны труда и здоровья Министерства труда США (1994). Руководство по обеспечению безопасности производственных процессов для соответствия (PDF) . Типография правительства США. OSHA 3133.
  5. ^ ICH Harmonised Tripartite Guidelines. Руководство по качеству (январь 2006 г.). Q9 Управление рисками качества.
  6. ^ Лейси, Питер (2011). «Применение анализа дерева неисправностей для выявления и управления рисками в сфере финансируемой государством социальной службы». Труды 2-й Международной конференции по государственной политике и социальным наукам . SSRN  2171117.
  7. ^ "Объяснение дерева неисправностей". ftvisualisations . Получено 2024-05-31 .
  8. ^ "Проекты". ftvisualisations . Получено 2024-05-31 .
  9. ^ Эриксон, Клифтон (1999). "Анализ дерева неисправностей - История" (PDF) . Труды 17-й Международной конференции по безопасности систем . Архивировано из оригинала (PDF) 2011-07-23 . Получено 2010-01-17 .
  10. ^ Рехард, Роберт П. (1999). «Историческая связь между оценкой эффективности утилизации радиоактивных отходов и другими типами оценки риска в Соединенных Штатах» (pdf) . Анализ риска . 19 (5): 763–807. doi :10.1023/A:1007058325258. PMID  10765434. S2CID  704496. SAND99-1147J . Получено 22.01.2010 .
  11. ^ Winter, Mathias (1995). "Анализ дерева неисправностей программного обеспечения устройства автоматизированной системы управления, написанного на ADA". Магистерская диссертация . ADA303377. Архивировано из оригинала (pdf) 15 мая 2012 г. Получено 17.01.2010 .
  12. ^ Беннер, Людвиг (1975). «Теория аварий и расследование аварий». Труды Ежегодного семинара Общества исследователей безопасности полетов . Получено 17.01.2010 .
  13. ^ Мартенсен, Анна Л.; Батлер, Рики В. (январь 1987 г.). «Компилятор дерева неисправностей». Исследовательский центр Лэнгли . NTRS . Получено 17 июня 2011 г.
  14. ^ DeLong, Thomas (1970). "A Fault Tree Manual". Магистерская диссертация . AD739001. Архивировано из оригинала (pdf) 4 марта 2016 г. Получено 2014-05-18 .
  15. ^ Eckberg, CR (1964). План программы анализа дерева неисправностей WS-133B. Сиэтл, Вашингтон: Компания Boeing. D2-30207-1. Архивировано из оригинала 3 марта 2016 г. Получено 18 мая 2014 г.
  16. ^ Hixenbaugh, AF (1968). Дерево отказов для безопасности. Сиэтл, Вашингтон: Компания Boeing. D6-53604. Архивировано из оригинала 3 марта 2016 года . Получено 18 мая 2014 года .
  17. ^ Ларсен, Вальдемар (январь 1974). Анализ дерева неисправностей. Picatinny Arsenal. Технический отчет 4556. Архивировано из оригинала 18 мая 2014 года . Получено 17 мая 2014 года .
  18. ^ Эванс, Ральф А. (5 января 1976 г.). Справочник по инженерному проектированию. Проектирование с учетом надежности (PDF) . Командование материально-технического снабжения армии США. AMCP-706-196. Архивировано (PDF) из оригинала 18 мая 2014 г. Получено 17 мая 2014 г.
  19. ^ "DSIAC – Центр анализа информации оборонных систем" . Получено 2023-03-25 .
  20. ^ Бегли, ТФ; Каммингс (1968). Дерево отказов для безопасности . RAC. ADD874448.
  21. ^ Андерсон, РТ (март 1976 г.). Справочник по проектированию надежности (PDF) . Центр анализа надежности. RDH 376. Архивировано из оригинала 18 мая 2014 г. . Получено 17 мая 2014 г.
  22. ^ Махар, Дэвид Дж.; Джеймс У. Уилбур (1990). Руководство по применению анализа дерева неисправностей . Центр анализа надежности.
  23. ^ "7.9 Анализ дерева неисправностей". Справочник по проектированию надежности электронных устройств (pdf) . B. Министерство обороны США . 1998. MIL–HDBK–338B . Получено 17.01.2010 .
  24. ^ ASY-300 (26 июня 1998 г.). Управление рисками безопасности (PDF) . Федеральное управление гражданской авиации. 8040.4.{{cite book}}: CS1 maint: numeric names: authors list (link)
  25. ^ FAA (30 декабря 2000 г.). Справочник по безопасности систем. Федеральное управление гражданской авиации.
  26. ^ abc Vesely, William; et al. (2002). Справочник по дереву отказов с аэрокосмическими приложениями (PDF) . Национальное управление по аэронавтике и исследованию космического пространства . Архивировано из оригинала (PDF) 2016-12-28 . Получено 2018-07-16 . Общественное достояниеВ данной статье использован текст из этого источника, находящегося в общественном достоянии .
  27. ^ Ачарья, Сарбес и др. (1990). Риски тяжелых аварий: оценка для пяти атомных электростанций США (PDF) . Вашингтон, округ Колумбия: Комиссия по ядерному регулированию США . NUREG–1150 . Получено 17.01.2010 .
  28. ^ Vesely, WE; et al. (1981). Справочник по дереву отказов (PDF) . Комиссия по ядерному регулированию . NUREG–0492 . Получено 17.01.2010 .
  29. ^ Элке, Холли К., Глобальное применение стандарта управления безопасностью процессов (PDF)
  30. ^ Анализ дерева неисправностей . Издание 2.0. Международная электротехническая комиссия . 2006. ISBN 978-2-8318-8918-4. МЭК 61025.
  31. ^ "SCRAM 0.11.4 — Документация SCRAM 0.11.4". scram-pra.org . Архивировано из оригинала 23 ноября 2016 г. Получено 13 января 2022 г.
  32. ^ "Формат обмена моделями Open-PSA — Формат обмена моделями Open-PSA 2.0". open-psa.github.io .
  33. ^ Олофссон и Андерссон, Вероятность, статистика и случайные процессы, John Wiley and Sons, 2011.
  34. ^ Ruijters, Enno; Stoelinga, Mariëlle IA (февраль–май 2015 г.). «Анализ дерева неисправностей: обзор современного состояния моделирования, анализа и инструментов». Computer Science Review . 15–16: 29–62. doi :10.1016/j.cosrev.2015.03.001.
  35. ^ Лонг, Аллен, Красавица и Чудовище – Использование и злоупотребление деревом неисправностей как инструментом (PDF) , fault-tree.net, заархивировано из оригинала (PDF) 19 апреля 2009 г. , извлечено 16 января 2010 г.