Анализ дерева неисправностей

Система анализа отказов, используемая в технике безопасности и надежности.

Диаграмма дерева неисправностей

Анализ дерева отказов ( FTA ) — это тип анализа отказов , при котором исследуется нежелательное состояние системы. Этот метод анализа в основном используется в технике безопасности и проектировании надежности , чтобы понять, как системы могут выйти из строя, определить наилучшие способы снижения риска и определить (или почувствовать) частоту событий аварий безопасности или конкретного уровня системы (функционального). ) отказ. ЗСТ используется в аэрокосмической , ^[1] атомной энергетике , химической и перерабатывающей , ^{[2] [3] [4]} фармацевтической , ^[5] нефтехимической и других отраслях повышенной опасности; но также используется в таких разнообразных областях, как выявление факторов риска, связанных с сбоями в системе социальных услуг . ^[6] FTA также используется в разработке программного обеспечения для целей отладки и тесно связана с методом устранения причин, используемым для обнаружения ошибок.

В аэрокосмической отрасли более общий термин «состояние отказа системы» используется для обозначения «нежелательного состояния» / верхнего события дерева отказов. Эти состояния классифицируются по тяжести последствий. Наиболее тяжелые условия требуют самого тщательного анализа дерева отказов. Эти условия отказа системы и их классификация часто определяются заранее в ходе анализа функциональных опасностей .

Применение

Анализ дерева отказов может использоваться для:

• понять логику, ведущую к главному событию/нежелательному состоянию.
• показать соответствие (входной) системы требованиям безопасности/надежности.
• расставить приоритеты участников, ведущих к главному событию, — создать списки критического оборудования/деталей/событий для различных мер важности.
• отслеживать и контролировать показатели безопасности сложной системы (например, безопасно ли летать конкретному воздушному судну при неисправности топливного клапана x ? Как долго разрешено летать с неисправным клапаном?).
• минимизировать и оптимизировать ресурсы.
• Помогите спроектировать систему. FTA можно использовать в качестве инструмента проектирования, который помогает создавать требования (выходного/нижнего уровня).
• функционировать как диагностический инструмент для выявления и устранения причин главного события. Это может помочь в создании диагностических руководств/процессов.

История

Анализ дерева отказов (FTA) был первоначально разработан в 1962 году в Bell Laboratories Х.А. Уотсоном в рамках контракта с подразделением баллистических систем ВВС США для оценки системы управления пуском межконтинентальной баллистической ракеты (МБР) Minuteman I. ^{[7] [8] [9] [10]} С тех пор использование деревьев отказов получило широкую поддержку и часто используется экспертами по надежности в качестве инструмента анализа отказов. ^[11] После первого опубликованного использования FTA в исследовании безопасности системы управления запуском Minuteman I в 1962 году компании Boeing и AVCO расширили использование FTA на всю систему Minuteman II в 1963–1964 годах. Соглашение о свободной торговле широко освещалось на симпозиуме по системной безопасности в Сиэтле в 1965 году , организованном компанией Boeing и Вашингтонским университетом . ^[12] Boeing начал использовать FTA для проектирования гражданских самолетов примерно в 1966 году. ^{[13] [14]}

Впоследствии в вооруженных силах США применение FTA для использования с взрывателями исследовалось Арсеналом Пикатинни в 1960-х и 1970-х годах. ^[15] В 1976 году командование материально-технического снабжения армии США включило FTA в «Справочник инженерного проектирования по проектированию для обеспечения надежности». ^[16] Центр анализа надежности в Римской лаборатории и его организации-преемники, в настоящее время входящие в состав Оборонного центра технической информации (Центр анализа информации о надежности, а теперь Центр информационного анализа оборонных систем ^[17] ), публикуют документы по FTA и блок-схемам надежности с 1960-х годов. . ^{[18] [19] [20]} MIL-HDBK-338B представляет собой более позднюю ссылку. ^[21]

В 1970 году Федеральное управление гражданской авиации США (FAA) опубликовало изменение к правилам летной годности 14 CFR 25.1309 для самолетов транспортной категории в Федеральном реестре под номером 35 FR 5665 (1970-04-08). Это изменение приняло критерии вероятности отказа авиационных систем и оборудования и привело к широкому использованию FTA в гражданской авиации. В 1998 году ФАУ опубликовало Приказ 8040.4, ^[22] устанавливающий политику управления рисками, включая анализ опасностей в ряде важнейших видов деятельности, выходящих за рамки сертификации самолетов, включая управление воздушным движением и модернизацию Национальной системы воздушного пространства США . Это привело к публикации Справочника по безопасности системы ФАУ, в котором описывается использование FTA в различных типах формального анализа опасностей. ^[23]

В начале программы «Аполлон» был задан вопрос о вероятности успешной отправки астронавтов на Луну и благополучного возвращения их на Землю. Был проведен какой-то расчет риска или надежности, в результате которого вероятность успеха миссии оказалась неприемлемо низкой. Этот результат отпугнул НАСА от дальнейшего количественного анализа рисков или надежности до тех пор, пока не произошла авария «Челленджера» в 1986 году. Вместо этого НАСА решило полагаться на использование анализа видов и последствий отказов (FMEA) и других качественных методов для оценки безопасности системы. После катастрофы «Челленджера » важность вероятностной оценки риска (PRA) и FTA в анализе риска и надежности систем была осознана, и их использование в НАСА начало расти, и теперь FTA считается одним из наиболее важных методов анализа надежности и безопасности систем. . ^[24]

В атомной энергетике Комиссия по ядерному регулированию США начала использовать методы PRA, включая FTA, в 1975 году и значительно расширила исследования PRA после инцидента 1979 года на Три-Майл-Айленде . ^[25] В конечном итоге это привело к публикации в 1981 году Справочника NRC по дереву отказов NUREG-0492, ^[26] и обязательному использованию PRA в рамках регулирующего органа NRC.

После катастроф в перерабатывающей промышленности, таких как катастрофа в Бхопале в 1984 году и взрыв Piper Alpha в 1988 году , в 1992 году Управление по безопасности и гигиене труда Министерства труда США (OSHA) опубликовало в Федеральном реестре под номером 57 FR 6356 (24 февраля 1992 г.) свой процесс. Стандарт управления безопасностью (PSM) в 19 CFR 1910.119. ^[27] OSHA PSM признает FTA приемлемым методом анализа рисков процесса (PHA).

Сегодня FTA широко используется в проектировании систем безопасности и надежности , а также во всех основных областях техники.

Методология

Методология FTA описана в нескольких отраслевых и государственных стандартах, включая NRC NUREG-0492 для атомной энергетики, пересмотренную версию NUREG-0492, ориентированную на аэрокосмическую отрасль для использования НАСА , ^[24] SAE ARP4761 для гражданской аэрокосмической отрасли, MIL-HDBK-338. для военных систем стандарт IEC 61025 ^[28] предназначен для межотраслевого использования и принят в качестве европейской нормы EN 61025.

Любая достаточно сложная система подвержена сбоям в результате отказа одной или нескольких подсистем. Однако вероятность сбоя часто можно снизить за счет улучшения конструкции системы. Анализ дерева неисправностей отображает взаимосвязь между неисправностями, подсистемами и резервными элементами конструкции безопасности путем создания логической схемы всей системы.

Нежелательный результат считается корнем («верхним событием») дерева логики. Например, нежелательным результатом рассматриваемой операции по штамповке металла может быть штамповка человеческого придатка. Возвращаясь к этому главному событию, можно определить, что это может произойти двумя способами: во время нормальной работы или во время технического обслуживания. Это условие представляет собой логическое ИЛИ. Учитывая ветвь опасности, возникающую во время нормальной работы, возможно, можно определить, что это может произойти двумя способами: цикличность пресса и причинение вреда оператору или цикличность пресса и причинение вреда другому человеку. Это еще одно логическое ИЛИ. Улучшить конструкцию можно, потребовав от оператора нажимать две отдельные кнопки для включения машины — это функция безопасности в форме логического «И». Кнопка может иметь собственную частоту отказов — это становится стимулом неисправности, который можно проанализировать.

Когда деревья отказов помечены фактическими числами вероятностей отказов, компьютерные программы могут рассчитывать вероятности отказов на основе деревьев отказов. Когда обнаруживается, что определенное событие имеет более одного следствия, т. е. оказывает влияние на несколько подсистем, это называется общей причиной или общим режимом. Графически это означает, что это событие появится в нескольких местах дерева. Общие причины создают отношения зависимости между событиями. Вычисление вероятностей для дерева, содержащего некоторые общие причины, намного сложнее, чем для обычных деревьев, где все события считаются независимыми. Не все программные инструменты, доступные на рынке, предоставляют такую ​​возможность.

Дерево обычно записывается с использованием обычных символов логических элементов . Набор сокращений — это комбинация событий, обычно сбоев компонентов, вызывающих главное событие. Если ни одно событие не может быть удалено из вырезаемого набора, не вызывая при этом событие верхнего уровня, то такое событие называется минимальным вырезаемым набором.

В некоторых отраслях используются как деревья отказов, так и деревья событий (см. Вероятностная оценка рисков ). Дерево событий начинается с нежелательного инициатора (потеря критического источника питания, отказ компонента и т. д.) и отслеживает возможные дальнейшие системные события до ряда окончательных последствий. По мере рассмотрения каждого нового события в дереве добавляется новый узел с разделением вероятностей перехода на любую ветвь. Затем можно увидеть вероятности ряда «главных событий», возникающих в результате начального события.

Классические программы включают программное обеспечение CAFTA Научно-исследовательского института электроэнергетики (EPRI), которое используется многими атомными электростанциями США и большинством американских и международных производителей аэрокосмической продукции, а также SAPHIRE Национальной лаборатории Айдахо , которое используется правительством США для оценки безопасности и надежности ядерных реакторов , космического корабля "Шаттл" и Международной космической станции . За пределами США программное обеспечение RiskSpectrum является популярным инструментом для анализа дерева отказов и дерева событий. Оно лицензировано для использования более чем на 60% атомных электростанций мира для вероятностной оценки безопасности. Бесплатное программное обеспечение профессионального уровня также широко доступно; SCRAM ^[29] — это инструмент с открытым исходным кодом, который реализует открытый стандарт Open-PSA Model Exchange Format ^[30] для приложений вероятностной оценки безопасности.

Графические символы

Основные символы, используемые в FTA, сгруппированы как символы событий, ворот и символов передачи. В программном обеспечении FTA могут использоваться незначительные изменения.

Символы событий

Символы событий используются для основных событий и промежуточных событий . Первичные события не получают дальнейшего развития в дереве отказов. Промежуточные события находятся на выходе вентиля. Символы событий показаны ниже:

• 
  Базовое событие
• 
  Внешнее событие
• 
  Неразработанное событие
• 
  Кондиционирующее событие
• 
  Промежуточное событие

Основные символы событий обычно используются следующим образом:

• Базовое событие  – отказ или ошибка в компоненте или элементе системы (пример: переключатель застрял в разомкнутом положении)
• Внешнее событие  – обычно ожидается (само по себе не является ошибкой)
• Неразвитое событие  – событие, о котором имеется недостаточно информации или которое не имеет последствий.
• Обуславливающее событие  – условия, которые ограничивают или влияют на логические элементы (пример: действующий режим работы).

Промежуточный шлюз событий можно использовать непосредственно над основным событием, чтобы предоставить больше места для ввода описания события.

Соглашение о свободной торговле представляет собой подход «сверху вниз».

Символы ворот

Символы ворот описывают взаимосвязь между входными и выходными событиями. Символы получены из символов булевой логики:

• 
  ИЛИ ворота
• 
  И ворота
• 
  Эксклюзивные ворота ИЛИ
• 
  Приоритет И ворота
• 
  Запретить ворота

Ворота работают следующим образом:

• Вентиль ИЛИ  – выход происходит, если происходит какой-либо ввод.
• Логический элемент И  – выход происходит только в том случае, если происходят все входы (входы независимы от источника).
• Вентиль «исключающее ИЛИ»  — выход происходит, если происходит ровно один вход.
• Приоритет И вентиль  – выходной сигнал происходит, если входные данные происходят в определенной последовательности, заданной событием кондиционирования.
• Запретить ворота  – выход происходит, если вход происходит при условии включения, заданном событием обусловливания.

Символы переноса

Символы передачи используются для соединения входов и выходов связанных деревьев отказов, таких как дерево отказов подсистемы, с ее системой. НАСА подготовило полный документ о зоне свободной торговли на основе практических примеров. ^[24]

• 
  Трансфер в
• 
  Трансфер

Базовая математическая основа

События в дереве отказов связаны со статистическими вероятностями или постоянными скоростями, распределенными экспоненциально по Пуассону. Например, отказы компонентов обычно могут происходить при некоторой постоянной интенсивности отказов λ (постоянная функция риска). В этом простейшем случае вероятность отказа зависит от скорости λ и времени воздействия t:

${\displaystyle P=1-e^{-\lambda t}}$

где:

${\displaystyle P\approx \lambda t}$если ${\displaystyle \lambda t<0.001}$

Дерево неисправностей часто нормализуется к заданному интервалу времени, например часу полета или среднему времени миссии. Вероятности событий зависят от отношения функции опасности события к этому интервалу.

В отличие от обычных диаграмм логических элементов , в которых входы и выходы содержат двоичные значения ИСТИНА (1) или ЛОЖЬ (0), элементы в дереве отказов выводят вероятности, связанные с заданными операциями булевой логики . Вероятность выходного события вентиля зависит от вероятностей входных событий.

Логический элемент И представляет собой комбинацию независимых событий. То есть на вероятность любого входного события в вентиль И не влияет любое другое входное событие в тот же вентиль. В терминах теории множеств это эквивалентно пересечению входных наборов событий, а вероятность выхода логического элемента И определяется выражением:

Р (А и В) = Р (А ∩ В) = Р(А) Р(В)

С другой стороны, вентиль ИЛИ соответствует объединению множеств:

P (A или B) = P (A ∪ B) = P(A) + P(B) - P (A ∩ B)

Поскольку вероятность отказа в деревьях отказов, как правило, мала (менее 0,01), P (A ∩ B) обычно становится очень небольшим членом ошибки, и выходной элемент логического элемента ИЛИ может быть консервативно аппроксимирован, используя предположение, что входные данные взаимоисключающие события :

P (A или B) ≈ P(A) + P(B), P (A ∩ B) ≈ 0

Логический элемент «исключающее ИЛИ» с двумя входами представляет вероятность того, что произойдет один или другой вход, но не оба:

P (A xили B) = P(A) + P(B) - 2P (A ∩ B)

Опять же, поскольку P (A ∩ B) обычно становится очень небольшим членом ошибки, логический элемент исключающее ИЛИ имеет ограниченное значение в дереве ошибок.

Довольно часто для количественной оценки дерева отказов вместо вероятностей используются скорости с экспоненциальным распределением Пуассона ^{[31] .} Ставки часто моделируются как постоянные во времени, тогда как вероятность является функцией времени. Пуассон-экспоненциальные события моделируются как бесконечно короткие, поэтому никакие два события не могут перекрываться. Логический элемент ИЛИ представляет собой суперпозицию (сложение показателей) двух входных частот отказов или интенсивности отказов, которые моделируются как точечные процессы Пуассона . Выходной элемент И рассчитывается с использованием недоступности (Q ₁ ) одного события, уменьшающего точечный процесс Пуассона другого события ( λ ₂ ). Недоступность (Q ₂ ) другого события затем уменьшает точечный процесс Пуассона первого события (λ ₁ ). Два результирующих точечных процесса Пуассона накладываются в соответствии со следующими уравнениями.

Выход логического элемента И представляет собой комбинацию независимых входных событий 1 и 2 для логического элемента И:

Частота отказов = λ ₁ Q ₂ + λ ₂ Q ₁ , где Q = 1 - e ^λt ≈ λt, если λt < 0,001

Частота отказов ≈ λ ₁ λ ₂ t ₂ + λ ₂ λ ₁ t _1, если λ ₁ t ₁ < 0,001 и λ ₂ t ₂ < 0,001

В дереве отказов неготовность (Q) может быть определена как невозможность безопасной работы и может не относиться к неготовности работы системы в зависимости от того, как было структурировано дерево отказов. Входные условия в дереве отказов должны быть тщательно определены.

Анализ

Для моделирования соглашения о свободной торговле можно использовать множество различных подходов, но наиболее распространенный и популярный способ можно свести к нескольким шагам. Одно дерево отказов используется для анализа одного и только одного нежелательного события, которое впоследствии может быть перенесено в другое дерево отказов в качестве базового события. Хотя характер нежелательного события может существенно различаться, соглашение о свободной торговле следует одной и той же процедуре для любого нежелательного события; будь то задержка в 0,25 мс для выработки электроэнергии, необнаруженный пожар в грузовом отсеке или случайный, непреднамеренный пуск межконтинентальной баллистической ракеты .

Анализ ЗСТ включает пять этапов:

1. Определите нежелательное событие для изучения.
   • Определение нежелательного события может быть очень трудным для выявления, хотя некоторые события очень легко и очевидно наблюдать. Инженер с обширными знаниями в области проектирования системы — лучший человек, который поможет определить и нумеровать нежелательные события. Нежелательные события затем используются для заключения соглашений о свободной торговле. Каждое соглашение о свободной торговле ограничено одним нежелательным событием.
2. Получите понимание системы.
   • После выбора нежелательного события изучаются и анализируются все причины с вероятностью воздействия на нежелательное событие 0 или более. Получить точные цифры вероятностей, ведущих к событию, обычно невозможно по той причине, что это может быть очень дорогостоящим и трудоемким. Компьютерное программное обеспечение используется для изучения вероятностей; это может привести к менее затратному системному анализу.
     Системные аналитики могут помочь понять систему в целом. Проектировщики системы обладают полным знанием системы, и эти знания очень важны для того, чтобы не упустить ни одной причины, влияющей на нежелательное событие. Для выбранного события все причины затем нумеруются и упорядочиваются в порядке возникновения, а затем используются на следующем этапе — рисовании или построении дерева отказов.
3. Построить дерево отказов.
   • После выбора нежелательного события и анализа системы, чтобы знать все вызывающие его последствия (и, если возможно, их вероятности), мы можем построить дерево неисправностей. Дерево отказов основано на логических элементах И и ИЛИ, которые определяют основные характеристики дерева отказов.
4. Оцените дерево неисправностей.
   • После того как дерево отказов составлено для конкретного нежелательного события, оно оценивается и анализируется на предмет возможного улучшения или, другими словами, изучается управление рисками и находят пути улучшения системы. Может применяться широкий спектр качественных и количественных методов анализа. ^[32] Этот шаг представляет собой введение к заключительному этапу, который будет заключаться в контроле выявленных опасностей. Короче говоря, на этом этапе мы выявляем все возможные опасности, влияющие на систему прямым или косвенным образом.
5. Контролируйте выявленные опасности.
   • Этот шаг очень специфичен и сильно отличается от одной системы к другой, но главным моментом всегда будет то, что после выявления опасностей используются все возможные методы для снижения вероятности их возникновения.

Сравнение с другими аналитическими методами

FTA — это дедуктивный нисходящий метод, направленный на анализ влияния инициирующих неисправностей и событий на сложную систему. Это контрастирует с анализом видов и последствий отказов (FMEA), который представляет собой индуктивный метод анализа «снизу вверх», направленный на анализ влияния отказов отдельных компонентов или функций на оборудование или подсистемы. FTA очень хорошо показывает, насколько устойчива система к одиночным или множественным исходным неисправностям. С его помощью невозможно обнаружить все возможные исходные неисправности. FMEA хорошо подходит для исчерпывающей каталогизации исходных неисправностей и выявления их локальных последствий. Неэффективно исследовать многочисленные сбои или их последствия на уровне системы. FTA учитывает внешние события, FMEA — нет. ^[33] В гражданской аэрокосмической отрасли обычной практикой является выполнение как FTA, так и FMEA, со сводкой последствий режимов отказов (FMES) в качестве интерфейса между FMEA и FTA.

Альтернативы FTA включают диаграмму зависимости (DD), также известную как блок-схема надежности (RBD), и анализ Маркова . Диаграмма зависимостей эквивалентна анализу дерева успеха (STA), логической противоположности FTA, и изображает систему, использующую пути вместо шлюзов. DD и STA производят вероятность успеха (т. е. избежание главного события), а не вероятность главного события.

Смотрите также

• Анализ дерева событий
• Анализ характера и последствий отказов
• Диаграмма Исикавы
• Инженерия надежности
• Анализ причин
• Техника безопасности
• Безопасность системы
• Почему-потому что анализ

Рекомендации

1. Гольдберг, Бельгия; Эверхарт, К.; Стивенс, Р.; Бэббит, Н.; Клеменс, П.; Стаут, Л. (1994). «3». Набор инструментов системного проектирования для инженеров, ориентированных на проектирование . Центр космических полетов Маршалла. стр. 3–35–3–48.{{cite book}}: CS1 maint: отсутствует местоположение издателя ( ссылка )
2. Центр безопасности химических процессов (апрель 2008 г.). Руководство по процедурам оценки опасностей (3-е изд.). Уайли. ISBN 978-0-471-97815-2.
3. Центр безопасности химических процессов (октябрь 1999 г.). Руководство по количественному анализу рисков химических процессов (2-е изд.). Американский институт инженеров-химиков. ISBN 978-0-8169-0720-5.
4. Управление по безопасности и гигиене труда Министерства труда США (1994). Руководство по обеспечению соответствия требованиям по управлению технологической безопасностью (PDF) . Типография правительства США. ОША 3133.
5. Согласованные трехсторонние рекомендации ICH. Рекомендации по качеству (январь 2006 г.). Q9 Управление рисками качества .
6. Лейси, Питер (2011). «Применение анализа дерева отказов для выявления и управления рисками в сфере предоставления социальных услуг, финансируемых государством». Материалы 2-й Международной конференции по государственной политике и общественным наукам . ССНН  2171117.
7. Эриксон, Клифтон (1999). «Анализ дерева отказов — история» (PDF) . Материалы 17-й Международной конференции по системной безопасности . Архивировано из оригинала (PDF) 23 июля 2011 г. Проверено 17 января 2010 г.
8. Речард, Роберт П. (1999). «Историческая связь между оценкой эффективности захоронения радиоактивных отходов и другими видами оценки риска в Соединенных Штатах» (pdf) . Анализ риска . 19 (5): 763–807. дои : 10.1023/А: 1007058325258. PMID  10765434. S2CID  704496. SAND99-1147J . Проверено 22 января 2010 г.
9. Зима, Матиас (1995). «Программный анализ дерева отказов устройства автоматизированной системы управления, написанного на ADA». Дипломная работа . АДА303377. Архивировано из оригинала (pdf) 15 мая 2012 года . Проверено 17 января 2010 г.
10. Беннер, Людвиг (1975). «Теория несчастных случаев и расследование несчастных случаев». Материалы ежегодного семинара Общества расследователей воздушной безопасности . Проверено 17 января 2010 г.
11. Мартенсен, Анна Л.; Батлер, Рики В. (январь 1987 г.). «Компилятор дерева отказов». Исследовательский центр Ланжели . НТРС . Проверено 17 июня 2011 г.
12. Делонг, Томас (1970). «Руководство по дереву отказов». Дипломная работа . AD739001. Архивировано из оригинала (pdf) 4 марта 2016 года . Проверено 18 мая 2014 г.
13. Экберг, CR (1964). WS-133B План программы анализа дерева отказов. Сиэтл, Вашингтон: Компания Boeing. Д2-30207-1. Архивировано из оригинала 3 марта 2016 года . Проверено 18 мая 2014 г.
14. Хиксенбо, AF (1968). Дерево отказов по безопасности. Сиэтл, Вашингтон: Компания Boeing. Д6-53604. Архивировано из оригинала 3 марта 2016 года . Проверено 18 мая 2014 г.
15. Ларсен, Вальдемар (январь 1974 г.). Анализ дерева отказов. Пикатинни Арсенал. Технический отчет 4556. Архивировано из оригинала 18 мая 2014 года . Проверено 17 мая 2014 г.
16. Эванс, Ральф А. (5 января 1976 г.). Справочник по инженерному проектированию «Проектирование надежности» (PDF) . Командование материальной частью армии США. АМКП-706-196. Архивировано (PDF) из оригинала 18 мая 2014 г. Проверено 17 мая 2014 г.
17. "DSIAC - Центр анализа информации оборонных систем" . Проверено 25 марта 2023 г.
18. Бегли, ТФ; Каммингс (1968). Дерево отказов для обеспечения безопасности . РАК. ДОБАВИТЬ874448.
19. Андерсон, RT (март 1976 г.). Справочник по проектированию надежности (PDF) . Центр анализа надежности. РДХ 376. Архивировано из оригинала 18 мая 2014 года . Проверено 17 мая 2014 г.
20. Махар, Дэвид Дж.; Джеймс В. Уилбур (1990). Руководство по применению анализа дерева отказов . Центр анализа надежности.
21. «7.9 Анализ дерева отказов» . Справочник по проектированию надежности электронной техники (pdf) . Б. Министерство обороны США . 1998. MIL-HDBK-338B . Проверено 17 января 2010 г.
22. ASY-300 (26 июня 1998 г.). Управление рисками безопасности (PDF) . Федеральная авиационная администрация. 8040.4.{{cite book}}: CS1 maint: числовые имена: список авторов ( ссылка )
23. ФАУ (30 декабря 2000 г.). Руководство по безопасности системы. Федеральная авиационная администрация.
24. Веселый, Уильям; и другие. (2002). Справочник по дереву отказов для аэрокосмических приложений (PDF) . Национальное управление по аэронавтике и исследованию космического пространства . Архивировано из оригинала (PDF) 28 декабря 2016 г. Проверено 16 июля 2018 г. В данную статью включен текст из этого источника, находящегося в свободном доступе .
25. Ачарья, Сарбес; и другие. (1990). Риски серьезных аварий: оценка пяти атомных электростанций США (PDF) . Вашингтон, округ Колумбия: Комиссия по ядерному регулированию США . НУРЭГ–1150 . Проверено 17 января 2010 г.
26. Веселый, МЫ; и другие. (1981). Справочник по дереву отказов (PDF) . Комиссия по ядерному регулированию . НУРЭГ–0492 . Проверено 17 января 2010 г.
27. Эльке, Холли К., Глобальное применение стандарта управления безопасностью процессов (PDF)
28. Анализ дерева отказов . Издание 2.0. Международная электротехническая комиссия . 2006. ISBN 978-2-8318-8918-4. МЭК 61025.
29. «SCRAM 0.11.4 — Документация SCRAM 0.11.4» . scram-pra.org . Архивировано из оригинала 23 ноября 2016 года . Проверено 13 января 2022 г.
30. «Формат обмена моделями Open-PSA — Формат обмена моделями Open-PSA 2.0» . open-psa.github.io .
31. Олофссон и Андерссон, Вероятность, статистика и случайные процессы, Джон Уайли и сыновья, 2011.
32. Руйтерс, Энно; Стоулинга, Мариэль И.А. (февраль – май 2015 г.). «Анализ дерева неисправностей: обзор современного состояния моделирования, анализа и инструментов». Обзор компьютерных наук . 15–16: 29–62. doi :10.1016/j.cosrev.2015.03.001.
33. Лонг, Аллен, Красавица и Чудовище – Использование и злоупотребление деревом отказов как инструментом (PDF) , Fault-tree.net, заархивировано из оригинала (PDF) 19 апреля 2009 г. , получено 16 января 2010 г.