Анализ дерева отказов ( FTA ) — это тип анализа отказов , при котором исследуется нежелательное состояние системы. Этот метод анализа в основном используется в технике безопасности и проектировании надежности , чтобы понять, как системы могут выйти из строя, определить наилучшие способы снижения риска и определить (или почувствовать) частоту событий аварий безопасности или конкретного уровня системы (функционального). ) отказ. ЗСТ используется в аэрокосмической , [1] атомной энергетике , химической и перерабатывающей , [2] [3] [4] фармацевтической , [5] нефтехимической и других отраслях повышенной опасности; но также используется в таких разнообразных областях, как выявление факторов риска, связанных с сбоями в системе социальных услуг . [6] FTA также используется в разработке программного обеспечения для целей отладки и тесно связана с методом устранения причин, используемым для обнаружения ошибок.
В аэрокосмической отрасли более общий термин «состояние отказа системы» используется для обозначения «нежелательного состояния» / верхнего события дерева отказов. Эти состояния классифицируются по тяжести последствий. Наиболее тяжелые условия требуют самого тщательного анализа дерева отказов. Эти условия отказа системы и их классификация часто определяются заранее в ходе анализа функциональных опасностей .
Анализ дерева отказов может использоваться для:
Анализ дерева отказов (FTA) был первоначально разработан в 1962 году в Bell Laboratories Х.А. Уотсоном в рамках контракта с подразделением баллистических систем ВВС США для оценки системы управления пуском межконтинентальной баллистической ракеты (МБР) Minuteman I. [7] [8] [9] [10] С тех пор использование деревьев отказов получило широкую поддержку и часто используется экспертами по надежности в качестве инструмента анализа отказов. [11] После первого опубликованного использования FTA в исследовании безопасности системы управления запуском Minuteman I в 1962 году компании Boeing и AVCO расширили использование FTA на всю систему Minuteman II в 1963–1964 годах. Соглашение о свободной торговле широко освещалось на симпозиуме по системной безопасности в Сиэтле в 1965 году , организованном компанией Boeing и Вашингтонским университетом . [12] Boeing начал использовать FTA для проектирования гражданских самолетов примерно в 1966 году. [13] [14]
Впоследствии в вооруженных силах США применение FTA для использования с взрывателями исследовалось Арсеналом Пикатинни в 1960-х и 1970-х годах. [15] В 1976 году командование материально-технического снабжения армии США включило FTA в «Справочник инженерного проектирования по проектированию для обеспечения надежности». [16] Центр анализа надежности в Римской лаборатории и его организации-преемники, в настоящее время входящие в состав Оборонного центра технической информации (Центр анализа информации о надежности, а теперь Центр информационного анализа оборонных систем [17] ), публикуют документы по FTA и блок-схемам надежности с 1960-х годов. . [18] [19] [20] MIL-HDBK-338B представляет собой более позднюю ссылку. [21]
В 1970 году Федеральное управление гражданской авиации США (FAA) опубликовало изменение к правилам летной годности 14 CFR 25.1309 для самолетов транспортной категории в Федеральном реестре под номером 35 FR 5665 (1970-04-08). Это изменение приняло критерии вероятности отказа авиационных систем и оборудования и привело к широкому использованию FTA в гражданской авиации. В 1998 году ФАУ опубликовало Приказ 8040.4, [22] устанавливающий политику управления рисками, включая анализ опасностей в ряде важнейших видов деятельности, выходящих за рамки сертификации самолетов, включая управление воздушным движением и модернизацию Национальной системы воздушного пространства США . Это привело к публикации Справочника по безопасности системы ФАУ, в котором описывается использование FTA в различных типах формального анализа опасностей. [23]
В начале программы «Аполлон» был задан вопрос о вероятности успешной отправки астронавтов на Луну и благополучного возвращения их на Землю. Был проведен какой-то расчет риска или надежности, в результате которого вероятность успеха миссии оказалась неприемлемо низкой. Этот результат отпугнул НАСА от дальнейшего количественного анализа рисков или надежности до тех пор, пока не произошла авария «Челленджера» в 1986 году. Вместо этого НАСА решило полагаться на использование анализа видов и последствий отказов (FMEA) и других качественных методов для оценки безопасности системы. После катастрофы «Челленджера » важность вероятностной оценки риска (PRA) и FTA в анализе риска и надежности систем была осознана, и их использование в НАСА начало расти, и теперь FTA считается одним из наиболее важных методов анализа надежности и безопасности систем. . [24]
В атомной энергетике Комиссия по ядерному регулированию США начала использовать методы PRA, включая FTA, в 1975 году и значительно расширила исследования PRA после инцидента 1979 года на Три-Майл-Айленде . [25] В конечном итоге это привело к публикации в 1981 году Справочника NRC по дереву отказов NUREG-0492, [26] и обязательному использованию PRA в рамках регулирующего органа NRC.
После катастроф в перерабатывающей промышленности, таких как катастрофа в Бхопале в 1984 году и взрыв Piper Alpha в 1988 году , в 1992 году Управление по безопасности и гигиене труда Министерства труда США (OSHA) опубликовало в Федеральном реестре под номером 57 FR 6356 (24 февраля 1992 г.) свой процесс. Стандарт управления безопасностью (PSM) в 19 CFR 1910.119. [27] OSHA PSM признает FTA приемлемым методом анализа рисков процесса (PHA).
Сегодня FTA широко используется в проектировании систем безопасности и надежности , а также во всех основных областях техники.
Методология FTA описана в нескольких отраслевых и государственных стандартах, включая NRC NUREG-0492 для атомной энергетики, пересмотренную версию NUREG-0492, ориентированную на аэрокосмическую отрасль для использования НАСА , [24] SAE ARP4761 для гражданской аэрокосмической отрасли, MIL-HDBK-338. для военных систем стандарт IEC 61025 [28] предназначен для межотраслевого использования и принят в качестве европейской нормы EN 61025.
Любая достаточно сложная система подвержена сбоям в результате отказа одной или нескольких подсистем. Однако вероятность сбоя часто можно снизить за счет улучшения конструкции системы. Анализ дерева неисправностей отображает взаимосвязь между неисправностями, подсистемами и резервными элементами конструкции безопасности путем создания логической схемы всей системы.
Нежелательный результат считается корнем («верхним событием») дерева логики. Например, нежелательным результатом рассматриваемой операции по штамповке металла может быть штамповка человеческого придатка. Возвращаясь к этому главному событию, можно определить, что это может произойти двумя способами: во время нормальной работы или во время технического обслуживания. Это условие представляет собой логическое ИЛИ. Учитывая ветвь опасности, возникающую во время нормальной работы, возможно, можно определить, что это может произойти двумя способами: цикличность пресса и причинение вреда оператору или цикличность пресса и причинение вреда другому человеку. Это еще одно логическое ИЛИ. Улучшить конструкцию можно, потребовав от оператора нажимать две отдельные кнопки для включения машины — это функция безопасности в форме логического «И». Кнопка может иметь собственную частоту отказов — это становится стимулом неисправности, который можно проанализировать.
Когда деревья отказов помечены фактическими числами вероятностей отказов, компьютерные программы могут рассчитывать вероятности отказов на основе деревьев отказов. Когда обнаруживается, что определенное событие имеет более одного следствия, т. е. оказывает влияние на несколько подсистем, это называется общей причиной или общим режимом. Графически это означает, что это событие появится в нескольких местах дерева. Общие причины создают отношения зависимости между событиями. Вычисление вероятностей для дерева, содержащего некоторые общие причины, намного сложнее, чем для обычных деревьев, где все события считаются независимыми. Не все программные инструменты, доступные на рынке, предоставляют такую возможность.
Дерево обычно записывается с использованием обычных символов логических элементов . Набор сокращений — это комбинация событий, обычно сбоев компонентов, вызывающих главное событие. Если ни одно событие не может быть удалено из вырезаемого набора, не вызывая при этом событие верхнего уровня, то такое событие называется минимальным вырезаемым набором.
В некоторых отраслях используются как деревья отказов, так и деревья событий (см. Вероятностная оценка рисков ). Дерево событий начинается с нежелательного инициатора (потеря критического источника питания, отказ компонента и т. д.) и отслеживает возможные дальнейшие системные события до ряда окончательных последствий. По мере рассмотрения каждого нового события в дереве добавляется новый узел с разделением вероятностей перехода на любую ветвь. Затем можно увидеть вероятности ряда «главных событий», возникающих в результате начального события.
Классические программы включают программное обеспечение CAFTA Научно-исследовательского института электроэнергетики (EPRI), которое используется многими атомными электростанциями США и большинством американских и международных производителей аэрокосмической продукции, а также SAPHIRE Национальной лаборатории Айдахо , которое используется правительством США для оценки безопасности и надежности ядерных реакторов , космического корабля "Шаттл" и Международной космической станции . За пределами США программное обеспечение RiskSpectrum является популярным инструментом для анализа дерева отказов и дерева событий. Оно лицензировано для использования более чем на 60% атомных электростанций мира для вероятностной оценки безопасности. Бесплатное программное обеспечение профессионального уровня также широко доступно; SCRAM [29] — это инструмент с открытым исходным кодом, который реализует открытый стандарт Open-PSA Model Exchange Format [30] для приложений вероятностной оценки безопасности.
Основные символы, используемые в FTA, сгруппированы как символы событий, ворот и символов передачи. В программном обеспечении FTA могут использоваться незначительные изменения.
Символы событий используются для основных событий и промежуточных событий . Первичные события не получают дальнейшего развития в дереве отказов. Промежуточные события находятся на выходе вентиля. Символы событий показаны ниже:
Основные символы событий обычно используются следующим образом:
Промежуточный шлюз событий можно использовать непосредственно над основным событием, чтобы предоставить больше места для ввода описания события.
Соглашение о свободной торговле представляет собой подход «сверху вниз».
Символы ворот описывают взаимосвязь между входными и выходными событиями. Символы получены из символов булевой логики:
Ворота работают следующим образом:
Символы передачи используются для соединения входов и выходов связанных деревьев отказов, таких как дерево отказов подсистемы, с ее системой. НАСА подготовило полный документ о зоне свободной торговли на основе практических примеров. [24]
События в дереве отказов связаны со статистическими вероятностями или постоянными скоростями, распределенными экспоненциально по Пуассону. Например, отказы компонентов обычно могут происходить при некоторой постоянной интенсивности отказов λ (постоянная функция риска). В этом простейшем случае вероятность отказа зависит от скорости λ и времени воздействия t:
где:
если
Дерево неисправностей часто нормализуется к заданному интервалу времени, например часу полета или среднему времени миссии. Вероятности событий зависят от отношения функции опасности события к этому интервалу.
В отличие от обычных диаграмм логических элементов , в которых входы и выходы содержат двоичные значения ИСТИНА (1) или ЛОЖЬ (0), элементы в дереве отказов выводят вероятности, связанные с заданными операциями булевой логики . Вероятность выходного события вентиля зависит от вероятностей входных событий.
Логический элемент И представляет собой комбинацию независимых событий. То есть на вероятность любого входного события в вентиль И не влияет любое другое входное событие в тот же вентиль. В терминах теории множеств это эквивалентно пересечению входных наборов событий, а вероятность выхода логического элемента И определяется выражением:
С другой стороны, вентиль ИЛИ соответствует объединению множеств:
Поскольку вероятность отказа в деревьях отказов, как правило, мала (менее 0,01), P (A ∩ B) обычно становится очень небольшим членом ошибки, и выходной элемент логического элемента ИЛИ может быть консервативно аппроксимирован, используя предположение, что входные данные взаимоисключающие события :
Логический элемент «исключающее ИЛИ» с двумя входами представляет вероятность того, что произойдет один или другой вход, но не оба:
Опять же, поскольку P (A ∩ B) обычно становится очень небольшим членом ошибки, логический элемент исключающее ИЛИ имеет ограниченное значение в дереве ошибок.
Довольно часто для количественной оценки дерева отказов вместо вероятностей используются скорости с экспоненциальным распределением Пуассона [31] . Ставки часто моделируются как постоянные во времени, тогда как вероятность является функцией времени. Пуассон-экспоненциальные события моделируются как бесконечно короткие, поэтому никакие два события не могут перекрываться. Логический элемент ИЛИ представляет собой суперпозицию (сложение показателей) двух входных частот отказов или интенсивности отказов, которые моделируются как точечные процессы Пуассона . Выходной элемент И рассчитывается с использованием недоступности (Q 1 ) одного события, уменьшающего точечный процесс Пуассона другого события ( λ 2 ). Недоступность (Q 2 ) другого события затем уменьшает точечный процесс Пуассона первого события (λ 1 ). Два результирующих точечных процесса Пуассона накладываются в соответствии со следующими уравнениями.
Выход логического элемента И представляет собой комбинацию независимых входных событий 1 и 2 для логического элемента И:
В дереве отказов неготовность (Q) может быть определена как невозможность безопасной работы и может не относиться к неготовности работы системы в зависимости от того, как было структурировано дерево отказов. Входные условия в дереве отказов должны быть тщательно определены.
Для моделирования соглашения о свободной торговле можно использовать множество различных подходов, но наиболее распространенный и популярный способ можно свести к нескольким шагам. Одно дерево отказов используется для анализа одного и только одного нежелательного события, которое впоследствии может быть перенесено в другое дерево отказов в качестве базового события. Хотя характер нежелательного события может существенно различаться, соглашение о свободной торговле следует одной и той же процедуре для любого нежелательного события; будь то задержка в 0,25 мс для выработки электроэнергии, необнаруженный пожар в грузовом отсеке или случайный, непреднамеренный пуск межконтинентальной баллистической ракеты .
Анализ ЗСТ включает пять этапов:
FTA — это дедуктивный нисходящий метод, направленный на анализ влияния инициирующих неисправностей и событий на сложную систему. Это контрастирует с анализом видов и последствий отказов (FMEA), который представляет собой индуктивный метод анализа «снизу вверх», направленный на анализ влияния отказов отдельных компонентов или функций на оборудование или подсистемы. FTA очень хорошо показывает, насколько устойчива система к одиночным или множественным исходным неисправностям. С его помощью невозможно обнаружить все возможные исходные неисправности. FMEA хорошо подходит для исчерпывающей каталогизации исходных неисправностей и выявления их локальных последствий. Неэффективно исследовать многочисленные сбои или их последствия на уровне системы. FTA учитывает внешние события, FMEA — нет. [33] В гражданской аэрокосмической отрасли обычной практикой является выполнение как FTA, так и FMEA, со сводкой последствий режимов отказов (FMES) в качестве интерфейса между FMEA и FTA.
Альтернативы FTA включают диаграмму зависимости (DD), также известную как блок-схема надежности (RBD), и анализ Маркова . Диаграмма зависимостей эквивалентна анализу дерева успеха (STA), логической противоположности FTA, и изображает систему, использующую пути вместо шлюзов. DD и STA производят вероятность успеха (т. е. избежание главного события), а не вероятность главного события.
{{cite book}}
: CS1 maint: отсутствует местоположение издателя ( ссылка ){{cite book}}
: CS1 maint: числовые имена: список авторов ( ссылка )