Уважаемые посетители Портала Знаний, если Вы найдете ошибку в тексте, выделите, пожалуйста, ее мышью и нажмите Сtrl+Enter. Мы обязательно исправим текст!


Случайная цитата


Ум заключается не только в знании, но и в умении прилагать знание на деле. (Аристотель)

Анализ дерева отказов (Fault tree analysis (FTA))

История

Методика

Графические символы

Базовая математическая основа

Анализ

Сравнение с другими аналитическими методами

Анализ дерева отказов (АДО) или в английской терминологии FTA метод анализа отказов сложных систем, в котором нежелательные состояния или отказы системы анализируются с помощью методов булевой алгебры, объединяя последовательность нижестоящих событий (отказов низшего уровня), которые приводят к отказу всей системы.

Анализ дерева отказов интенсивно используется в различных отраслях, например, машиностроении, чтобы понять, как система может выйти из строя, выявить способ уменьшения рисков или определения частоты системного отказа.

Анализ дерева отказов эффективно используется в аэрокосмической отрасли, атомной энергетике, химической и перерабатывающих отраслях, в фармацевтической, нефтехимической и других, связанных с высокой степенью риска.

В аэрокосмической отрасли используется более общий термин «Условие отказа системы» для обозначения «нежелательного состояния»/ Верхнего события дерева неисправностей.

Условия отказа классифицируются по тяжести последствий. Наиболее тяжелые условия требуют наиболее обширного анализа дерева отказов.

Эти «условия отказа системы» и их классификация часто предварительно определяются в функциональном анализе опасностей и рисков возникновения отказов.

FTA или АДО эффективно используются, чтобы:

  • Понимать логику, ведущую к верхнему событию/нежелательному состоянию (отказу системы).
  • Показать соответствие с системой безопасности/требованиям к надежности.
  • Ранжировать участников, ведущих к вершине – создание важного оборудования/запчастей/списков событий.
  • Мониторить и контролировать показатели состояния сложных систем Например, безопасно ли летать на конкретном самолете, если топливный клапан имеет определенное количество неисправностей? Как долго можно летать с неисправностью клапана? Как долго можно эксплуатировать технику с данным дефектом и тд.
  • Минимизировать и оптимизировать ресурсы
  • Помочь в проектировании системы. FTA может быть использован как средство проектирования, которое помогает создать требования. (Выход/нижний уровень)
  • АДО может быть использован в качестве диагностического инструмента для выявления и исправления причин верхнего события. Это может помочь с созданием диагностических руководств / процессов.

История

FTA был первоначально разработан в 1962 году в «Bell Laboratories» Уотсоном, по контракту с подразделением баллистических систем ВВС США для того, чтобы оценить систему Launch Control межконтинентальной баллистической ракеты (МБР) Minuteman I.

Использование деревьев неисправностей с тех пор получило широкую поддержку и часто используется экспертами в качестве инструмента анализа отказов по степени надежности.

После первого использования опубликованных результатов использования АДО в 1962 для запуска исследования контроля безопасности Minuteman I, Boeing и AVCO нашли расширенное применение FTA для всей системы Minuteman II в 1963-1964 гг. FTA получил широкое освещение в 1965 году на симпозиуме по системам безопасности в Сиэтле при поддержке Boeing и Вашингтонского университета. Boeing начал использовать АДО для гражданских самолетов дизайна 1966 года.

В 1970 году Федеральная авиационная администрация США (FAA) опубликовало изменения в 14 CFR 25,1309 норме летной годности для самолетов транспортной категории в Федеральном реестре на 35 FR 5665 (1970-04-08). Это изменение принимало критерий вероятности отказа для самолетных систем и оборудования, что привело к широкому использованию FTA в гражданской авиации.

В пределах индустрии атомной энергетики, комиссия ядерного регулирования США начала использовать методы вероятностной оценки риска (probabilistic risk assessment methods (PRA)), включая FTA в 1975 году, и значительно расширила исследования после инцидента в 1979 году на Три-Майл-Айленд. В конечном итоге это привело к публикации комиссией ядерного регулирования справочника по дереву неисправностей 1981 году, и к обязательному использованию PRA органов, которые она регулирует.

После следующих случаев промышленных бедствий, таких как Бхопальская катастрофа(1984) и взрыв на нефтяной платформе Piper Alpha (1988), в 1992 году Департамент труда США о безопасности и гигиене труда (OSHA) опубликовал в Федеральном реестре на 24.02.1992 свой процесс управления безопасностью полетов (PSM). OSHA PSM признает АДО как приемлемый метод для анализа опасностей (PHA).

FTA состоит из логических схем, которые отображают состояние системы, и построен с использованием графических методов проектирования.

Первоначально, инженеры были ответственны за развитие FTA, так как требовалось глубокое знание анализируемой системы.

Часто FTA определяется как другая часть, или метод, или надежность техники. Хотя в обеих моделях одинаковый основной аспект, они возникли из двух разных точек зрения. Надежность техники была, по большей части, разработана математиками, а открыта – инженерами.

FTA обычно включает в себя события изнашивания аппаратных средств, материала, неисправности или сочетания детерминированных вкладов в событие.

Частота отказов оценивается из исторических данных, таких как среднее время между отказами компонентов, блоков, подсистем или функций.

Прогнозирование и введение человеческого процента ошибок не является основной целью анализа дерева отказов, но он может быть использован, чтобы получить некоторое знание того, что происходит с человеческим неправильным вводом или после вмешательства в неподходящее время.

FTA может использоваться как ценный инструмент проектирования, который может выявить потенциальные отказы, позволяя исключить дорогостоящие конструктивные изменения.

FTA также может быть использован в качестве диагностического инструмента, предсказания вероятных системных ошибок при сбое системы.

Методика

АДО методика описана в нескольких отраслевых и государственных стандартах: NUREG СРН-0492 для атомной энергетики. Ориентированная на космос версия этого стандарта используется NASA, стандарт SAE ARP4761 для гражданской аэрокосмической отрасли, MIL–HDBK–338 – для военных систем. IEC стандарт предназначен для межотраслевого использования и был принят в качестве европейского стандарта EN 61025.

Так как ни одна система не совершенна, имеем дело с неисправностью подсистем. Любая работающая система в конечном итоге будет иметь неисправность в каком-нибудь месте.

Однако вероятность полного или частичного успеха выше полной или частичной неисправности.

Проведение FTA таким образом, не так утомительна, как построение дерева успехов.

Поскольку FTA для всей системы может быть дорогостоящим и громоздким, разумный метод заключается в рассмотрении подсистем.

Таким образом, решение небольшими системами может обеспечить меньшую вероятность ошибки работы, меньше системного анализа. После этого подсистемы интегрируются для образования хорошо проанализированной большой системы.

Нежелательное последствие берется в качестве корневого («главное событие») дерева логики. Логика для того, чтобы добраться до верхнего события может быть разнообразной.

Один из типов анализа, который может помочь - функциональный анализ опасности, основанный на опыте. Там должно быть только одно главное событие, и все задачи дерева должны идти вниз от него.

Затем каждая ситуация, которая может привести к такому эффекту, добавляется к дереву в виде серии логических выражений. Когда деревья отказов помечены реальными цифрами о вероятности неудачи, компьютерные программы могут вычислить вероятности неисправности из дерева неисправностей.

Дерево, как правило, написано с использованием обычных логических символов. Маршрут между событием и инициатором события называется сечением. Самый короткий путь от неисправности до исходного события называется минимальное сечение.

Некоторые отрасли промышленности используют как деревья отказов, так и деревья событий (см. PRA). Событие дерева начинается от нежелательного инициатора (потеря критического питания, отказа компонентов и т.д.) и следует возможным дальнейшим событиям системы через ряд окончательных последствий.

Новый узел на дереве добавляет разделяет вероятность, таким образом последовательно может быть обнаружена вероятность ряда верхних событий, связанных с исходным.

Графические символы

Основные символы, используемые при построении дерева отказов, делятся на символы событий, элементов и передачи.

Символы событий

Символы событий используются для первичных и промежуточных событий. Первичные события далее не развиваются на дереве отказов. Промежуточные события находятся на выходе элементов.

Символы событий показаны ниже:

Основное событие

Внешнее событие

Неразвитое событие

Принадлежность события

Промежуточное событие

Символы первичных событий, как правило, используются следующим образом:

Основное событие - сбой или ошибка в компоненте системы или элементе (например: выключатель заклинило в открытом положении)

Внешнее событие - обычно ожидается (само по себе не ошибка).

Неразвитое событие - событие, о котором не имеется достаточной информации или которое не имеет никакого значения.

Принадлежность события - условия, которые ограничивают или влияют на логические элементы.

Промежуточное событие можно использовать непосредственно над первичным событием, чтобы обеспечить больше места для ввода описания события. АДО использует движение сверху вниз.

Символы элементов

Символы элементов описывают отношения между входными и выходными событиями.

Символы событий следуют классической булевой логике:

Элемент «ИЛИ»

Элемент «И»

Исключительный элемент «ИЛИ»

Приоритетный элемент «И»

Блокирующий элемент

Элементы работают следующим образом:

Элемент «ИЛИ» - выходное событие происходит, если есть любое входное событие.

Элемент «И» - выходное событие происходит только тогда, когда происходят все входные (входы независимы).

Исключительный элемент «ИЛИ» - выходное событие происходит, если происходит только одно входное событие

Приоритетный элемент «И» - выход происходит, если входы происходят в определённой последовательности указанного события

Блокирующий элемент – выход происходит, если вход происходит при благоприятных условиях для указанного события

Элементы передачи

Элементы передачи используются для соединения входов и выходов соответствующих деревьев отказов, таких как дерево отказов подсистемы в своей системе.

Вход

Выход

Базовая математическая основа

События в дереве отказов связаны со статистической вероятностью, иными словами, вероятность каждого события оценивается на практике.

Например, сбои в работе компонентов, как правило, происходят с некоторой постоянной интенсивностью λ.

В этом простейшем случае вероятность отказа зависит от интенсивности λ, времени t и описывается экспоненциальным законом:

Вероятность того, что отказ данного узла или компоненты оборудования произойдет в течение t часов эксплуатации системы, равна 1 - exp(-λt).

Дерево отказов часто нормировано на заданном временном интервале, например, час полета или среднее время.

Вероятность события зависит от отношения функции опасности к данному интервалу.

В отличие от обычных диаграмм логических символов, в которых входы и выходы принимают двоичные значения (Правда – 1, ложь -0), символы вероятности выходного события дерева отказов связаны с набором операций булевой логики.

Вероятность выходного события зависит от вероятности события входа.

Символ «И» представляет собой сочетание независимых событий. Это значит, что любое событие входа не зависит от других событий входа. По теории множеств это равнозначно пересечению событий входа, вероятность выхода определяется по формуле:

P (A and B) = P (A∩B) = P (A)P(B)

«ИЛИ», наоборот, соответствует объединению.

P (A or B) = P (A ∪ B) = P(A) + P(B) - P (A ∩ B)

Так как вероятность отказа в дереве отказов, как правило, небольшая (<0.01), P (A∩B) обычно становится очень малым, выход символа «ИЛИ» может быть приблизительно оценен из предположения, что входы – взаимоисключающие события:

P (A or B) ≈ P(A) + P(B), P (A ∩ B) ≈ 0

Исключающий символ «ИЛИ» с 2 входами представляет собой вероятность того, что активны либо один, либо другой вход, но не оба одновременно:

P (A xor B) = P(A) + P(B) - 2P (A ∩ B)

Т.к. P (A∩B) обычно мало, исключающее «ИЛИ» имеет ограниченное значение в дереве отказов.

Анализ

Многие различные подходы могут быть использованы для моделирования FTA, но наиболее распространенные способы могут быть сведены в несколько шагов.

Одиночное дерево отказов используется для анализа только одного нежелательного события (верхнего), которое потом становится в другом дереве неисправностей основным событием.

Хотя природа нежелательного события может значительно варьироваться, FTA использует одну и ту же природу для любого нежелательного события, например, задержка в 0,25 мсек для получения электрической энергии или незамеченный пожар в грузовом отсеке.

Из-за затрат FTA применяется только для серьезных нежелательных последствий.

FTA включает 5 шагов:

  1. Определить нежелательное событие

    Определение нежелательного события может быть очень трудным, хотя некоторые события просты и очевидны для наблюдения.

    Инженер с широким знанием конструкций системы или системный аналитик с техническим образованием является лучшим человеком для определения и подсчета нежелательных событий. Нежелательное событие используется для построения дерева отказов, одно событие для одного дерева.

    Никакие 2 события не могут быть использованы для построения одного дерева отказов.

  2. Углубленное понимание причин.

    После того как нежелательное событие выбрано, все причины, которые влияют на нежелательное событие, с вероятностями 0 и более изучаются и анализируются.

    Получение точной цифры для вероятностей приводит к событию, которое обычно невозможно по причине того, что предсказать его может быть очень дорого и затратно по времени.

    Компьютерное программное обеспечение используется для изучения вероятностей, что позволяет снизить стоимость системного анализа.

    Системный анализ может помочь в понимании всей системы. Разработчики систем располагали полной информацией о системе, и это знание очень важно для того, чтобы не пропустить причины, влияющие на нежелательное событие.

    Для выбранного события все причины нумеруются, затем группируются в порядке появления и используются для следующего шага, который рисует и выстраивает дерево отказов.

  3. Построение дерева отказов на основе изученных причин.

    После выбора нежелательного события и анализа системы, такого, что мы знаем все вызываемые эффекты ( и возможно их вероятности), мы можем построить дерево отказов. Дерево отказов основано на символах «И» и «ИЛИ», определяющих основные характеристики дерева неисправностей.

  4. Оценка дерева отказов

    После того, как дерево отказов было собрано для определенного нежелательного события, оно оценивается и анализируется на предмет возможного улучшения или, другими словами, провести анализ рисков и найти пути улучшения системы.

    Этот этап является подготовительным для заключительного шага анализа, который будет контролировать идентификацию опасности. Итак, на этом этапе мы выявляем все возможные опасности, прямо или косвенно влияющие на систему.

  5. Контроль определения опасности

    Этот шаг очень специфичный и отличается для различных систем, но главное то, что после идентификации опасности последуют методы для уменьшения вероятности возникновения.

Сравнение с другими аналитическими методами

FTA – дедуктивный, нисходящий метод, направленный на анализ последствий возникновения неисправностей и событий в сложной системе. Это противоположность анализу характера и последствий отказов (АХПО), который является индуктивным, восходящим методом анализа, направленным на анализ эффектов одного компонента или функции аварии на оборудовании или подсистеме.

FTA очень хорошо показывает, как устойчивые системы в одиночку или вместе инициируют неисправности. Это не хорошо для поиска всех возможных возникающих неисправностей. АХПО хорош для исчерпывающей классификации возникающих неисправностей, а так же для идентификации их локальных эффектов. Но он не подходит для изучения множественных отказов или их эффектов на системном уровне.

FTA рассматривает внешние события, АХПО нет.

В аэрокосмической отрасли в обычной практике выполняют оба анализа, АДО и АХПО, с суммарным эффектом режима неудач (СЭРН), в качестве интерфейса между АХПО и АДО.

Альтернативы FTA включают диаграмму зависимости (ДЗ), так же известную как блок-схема надежности или анализ Маркова. Диаграмма зависимости эквивалентна анализу дерева успехов (АДУ) и изображает систему, используя пути вместо символов.


В начало

Содержание портала