Альфапедия

Анализ дерева отказов

редактировать
Система анализа отказов, используемая в проектировании безопасности и надежности Диаграмма дерева отказов

Анализ дерева отказов (FTA ) - это нисходящий, дедуктивный анализ отказов, в котором нежелательное состояние системы анализируется с использованием логической логики для объединения серии нижних - уровень событий. Этот метод анализа в основном используется в проектировании безопасности и проектировании надежности, чтобы понять, как системы могут выйти из строя, определить лучшие способы снижения риска и определить (или почувствовать) событие. частота аварий, связанных с безопасностью, или отказа определенного (функционального) уровня системы. FTA используется в аэрокосмической, ядерной энергетике, химической и технологической, фармацевтической, нефтехимической и других высоких -опасные производства; но также используется в таких разнообразных областях, как идентификация факторов риска, связанных с отказом системы социальных услуг. FTA также используется в разработке программного обеспечения для целей отладки и тесно связан с техникой устранения причин, используемой для обнаружения ошибок.

В аэрокосмической отрасли более общий термин «состояние отказа системы» используется для «нежелательного состояния» / главного события дерева отказов. Эти состояния классифицируются по серьезности их последствий. Самые суровые условия требуют самого тщательного анализа дерева отказов. Эти условия отказа системы и их классификация часто предварительно определяются в функциональном анализе опасностей.

Содержание
  • 1 Использование
  • 2 История
  • 3 Методология
  • 4 Графические символы
    • 4.1 Символы событий
    • 4.2 Символы ворот
    • 4.3 Символы переноса
  • 5 Основные математические основы
  • 6 Анализ
  • 7 Сравнение с другими аналитическими методами
  • 8 См. Также
  • 9 Ссылки
Использование

Анализ дерева отказов может использоваться для:

  • понимания логики, ведущей к главному событию / нежелательному состоянию.
  • показать соответствие (входным) требованиям безопасности / надежности системы.
  • установить приоритет участников, ведущих к главному событию - создание списков критического оборудования / деталей / событий для различных мер важности
  • мониторинг и контроль показателей безопасности сложной системы (например, на конкретном самолете безопасно летать при неисправности топливного клапана x? Как долго можно летать с неисправным клапаном?).
  • минимизировать и оптимизировать ресурсы.
  • помочь в разработке системы. FTA можно использовать как инструмент проектирования, который помогает создавать требования (выход / нижний уровень).
  • функционирует как диагностический инструмент для выявления и устранения причин главного события. Он может помочь в создании диагностических руководств / процессов.
История

Анализ дерева отказов (FTA) был первоначально разработан в 1962 году в Bell Laboratories Х.А. Watson, под США Контракт между подразделением баллистических систем ВВС на оценку системы управления пуском межконтинентальных баллистических ракет Minuteman I (МБР). С тех пор использование деревьев отказов получило широкую поддержку и часто используется экспертами по надежности в качестве инструмента анализа отказов. После первого опубликованного использования FTA в исследовании безопасности системы управления запуском Minuteman I 1962 года, Boeing и AVCO расширили использование FTA на всю систему Minuteman II в 1963–1964 гг. FTA широко освещалась на симпозиуме по системной безопасности 1965 года в Сиэтле, спонсируемом Boeing и Вашингтонским университетом. Компания Boeing начала использовать FTA для гражданских самолетов примерно в 1966 году.

Впоследствии, в вооруженных силах США, Picatinny Arsenal исследовал применение FTA для использования с предохранителями. 1960-е и 1970-е годы. В 1976 г. США Армейское командование материально-технического снабжения включило FTA в Руководство по проектированию для обеспечения надежности. Центр анализа надежности в Римской лаборатории и его дочерние организации, которые теперь имеют Центр технической информации Министерства обороны (Центр анализа информации о надежности, а теперь Центр анализа информации систем обороны), опубликовали документы по FTA и блок-схемы надежности с 1960-х гг. MIL-HDBK-338B содержит более позднюю ссылку.

В 1970 году США Федеральное управление гражданской авиации (FAA) опубликовало изменения в правилах 14 CFR 25.1309 летной годности для транспортной категории самолетов в Федеральный регистр в 35 FR 5665 (1970-04-08). Это изменение приняло критерии вероятности отказа для авиационных систем и оборудования и привело к широкому использованию FTA в гражданской авиации. В 1998 году Федеральное управление гражданской авиации опубликовало Приказ 8040.4, устанавливающий политику управления рисками, включая анализ опасностей в ряде критических видов деятельности, выходящих за рамки сертификации воздушных судов, включая управление воздушным движением и модернизацию Национальной системы воздушного пространства США. Это привело к публикации Справочника по безопасности системы FAA, в котором описывается использование FTA в различных типах формального анализа опасностей.

В начале программы Apollo был задан вопрос о вероятности об успешной отправке астронавтов на Луну и их безопасном возвращении на Землю. Был выполнен какой-то расчет риска или надежности, и в результате вероятность успеха миссии была неприемлемо низкой. Этот результат отговорил НАСА от дальнейшего количественного анализа рисков или надежности вплоть до аварии Challenger в 1986 году. Вместо этого НАСА решило полагаться на использование анализа видов и последствий отказов (FMEA) и других качественных методов для обеспечения безопасности системы. оценки. После аварии Challenger важность вероятностной оценки риска (PRA) и FTA в анализе рисков и надежности систем была осознана, и ее использование в НАСА начало расти, и теперь FTA считается одним из наиболее важных методы анализа надежности и безопасности систем.

В атомной энергетике США Комиссия по ядерному регулированию начала использовать методы PRA, включая FTA, в 1975 году и значительно расширила исследования PRA после инцидента 1979 года на Три-Майл-Айленд. В конечном итоге это привело к публикации в 1981 году Справочника NRC по дереву отказов NUREG-0492 и обязательному использованию PRA в рамках регулирующего органа NRC.

Вслед за катастрофами в обрабатывающей промышленности, такими как катастрофа в Бхопале в 1984 г. и в 1988 г. взрыв Пайпер Альфа, в 1992 г. Министерство труда США Управление по охране труда (OSHA) опубликовало в Федеральном реестре под номером 57 FR 6356 (1992-02-24) свой стандарт Process Safety Management (PSM) в 19 CFR 1910.119. OSHA PSM признает FTA приемлемым методом для анализа опасностей процесса (PHA).

Сегодня FTA широко используется в безопасности систем и проектировании надежности, а также во всех основных областях техники.

Методология

Методология FTA описана в нескольких отраслевых и государственных стандартах, включая NRC NUREG-0492 для ядерной энергетики, аэрокосмическую версию NUREG-0492 для использования NASA, SAE ARP4761 для гражданской авиации, MIL – HDBK – 338 для военных систем, IEC стандарт IEC 61025 предназначен для межотраслевого использования и был принят как европейский стандарт EN 61025.

Любая достаточно сложная система может выйти из строя в результате отказа одной или нескольких подсистем. Однако вероятность отказа часто можно снизить за счет улучшения конструкции системы. Анализ дерева отказов отображает взаимосвязь между отказами, подсистемами и избыточными элементами проектирования безопасности путем создания логической схемы всей системы.

Нежелательный результат принимается как корень («верхнее событие») дерева логики. Например, нежелательным результатом работы штамповочного пресса по металлу является штамповка придатка человека. Работая в обратном направлении от этого главного события, мы можем определить, что это могло произойти двумя способами: во время нормальной работы или во время обслуживания. Это условие является логическим ИЛИ. Рассматривая ветвь возникновения во время нормальной работы, возможно, мы определяем, что это могло произойти двумя способами: циклы прессования и вред оператору или циклы прессования и вред другому человеку. Это еще одно логическое ИЛИ. Мы можем улучшить конструкцию, потребовав от оператора нажатия двух кнопок для цикла машины - это функция безопасности в форме логического И. У кнопки может быть собственная частота отказов - это становится стимулом к ​​отказу, который мы можем проанализировать. Когда деревья отказов помечены реальными числами вероятностей отказов, компьютерные программы могут рассчитывать вероятности отказов на основе деревьев отказов. Когда обнаруживается, что конкретное событие имеет более одного следящего события, то есть влияет на несколько подсистем, это называется общей причиной или общим режимом. Графически это означает, что это событие появится в нескольких местах в дереве. Общие причины вводят отношения зависимости между событиями. Вычисления вероятностей дерева, содержащего некоторые общие причины, намного сложнее, чем обычные деревья, где все события считаются независимыми. Не все программные инструменты, доступные на рынке, обеспечивают такую ​​возможность.

Дерево обычно записывается с использованием обычных символов логического элемента. Набор сокращений - это комбинация событий, обычно отказов компонентов, вызывающих событие верхнего уровня. Если никакое событие не может быть удалено из набора вырезок, не вызвав при этом событие верхнего уровня, то оно называется минимальным набором вырезок.

В некоторых отраслях используются как деревья отказов, так и деревья событий (см. Вероятностная оценка риска ). Дерево событий начинается с нежелательного инициатора (потеря критически важного источника питания, отказ компонентов и т. Д.) И следует за возможными дальнейшими системными событиями вплоть до ряда конечных последствий. При рассмотрении каждого нового события в дерево добавляется новый узел с разделением вероятностей перехода на любую из ветвей. Затем можно увидеть вероятности ряда «главных событий», возникающих из начального события.

Классические программы включают программное обеспечение CAFTA Исследовательского института электроэнергетики (EPRI), которое используется на многих атомных электростанциях США и большинством американских и международных производителей аэрокосмической продукции, и Национальной лаборатории Айдахо SAPHIRE, который используется правительством США для оценки безопасности и надежности ядерных реакторов, Спейс шаттл и Международная космическая станция. За пределами США программное обеспечение RiskSpectrum является популярным инструментом для анализа дерева отказов и дерева событий и лицензировано для использования почти на половине мировых атомных электростанций для вероятностной оценки безопасности. Также широко доступно бесплатное программное обеспечение профессионального уровня ; SCRAM - это инструмент с открытым исходным кодом, который реализует открытый стандарт Open-PSA Model Exchange Format для приложений вероятностной оценки безопасности.

Графические символы

Основные символы, используемые в FTA, сгруппированы как символы событий, ворот и переходов. В программном обеспечении FTA могут использоваться незначительные изменения.

Символы событий

Символы событий используются для основных и промежуточных событий. Первичные события не получают дальнейшего развития в дереве отказов. Промежуточные события находятся на выходе из ворот. Символы событий показаны ниже:

  • Базовое событие

  • Внешнее событие

  • Незавершенное событие

  • Условное событие

  • Промежуточное событие

Основные символы события обычно используются следующим образом:

  • Базовое событие - отказ или ошибка в системном компоненте или элементе (пример: выключатель застрял в разомкнутом положении)
  • Внешнее событие - обычно ожидается (не является неисправностью само по себе)
  • Незавершенное событие - событие, о котором недостаточно информации, или которое не имеет значения
  • Условное событие - условия, которые ограничивают или влияют на логические элементы (пример: действующий режим работы)

Промежуточный вентиль события может быть используется непосредственно над основным событием, чтобы предоставить больше места для ввода описания события.

FTA - это подход сверху вниз.

Символы вентилей

Символы вентилей описывают взаимосвязь между входными и выходными событиями. Эти символы являются производными от символов логической логики:

  • вентиль ИЛИ

  • логический элемент И

  • вентиль ИЛИ

  • Приоритет И вентиль

  • вентиль запрета

вентили работают следующим образом:

  • вентиль ИЛИ - выход происходит, если происходит какой-либо вход.
  • Логический элемент И - выход происходит только в том случае, если все входы происходят (входы независимы).
  • Элемент исключающее ИЛИ - выход происходит, если точно происходит один вход.
  • Приоритетный элемент И - выход происходит, если входы происходят в определенной последовательности, определенной условным событием.
  • Элемент запрета - выход происходит, если вход происходит при разрешении условие, заданное условным событием.

Символы передачи

Символы передачи используются для подключения входов и выходов связанных деревьев отказов, таких как дерево отказов подсистемы, к ее системе. НАСА подготовило полный документ о FTA посредством практических инцидентов.

  • Передача в

  • Передача из

Базовая математическая основа

События в дереве отказов связаны с статистикой вероятности или постоянные скорости с экспоненциальным распределением Пуассона. Например, отказы компонентов могут обычно происходить при некоторой постоянной интенсивности отказов λ (постоянная функция опасности). В этом простейшем случае вероятность отказа зависит от интенсивности λ и времени воздействия t:

P = 1 - exp (-λt)

где:

P ≈ λt, если λt < 0.001

Дерево отказов часто нормализованы к заданному временному интервалу, например часу полета или среднему времени миссии. Вероятности событий зависят от отношения функции опасности события к этому интервалу.

В отличие от обычных схем логических элементов, в которых входы и выходы содержат двоичные значения ИСТИНА (1) или ЛОЖЬ (0), ворота в выходном дереве отказов вероятности, связанные с операциями набора из логической логики. Вероятность события выхода ворот зависит от вероятностей входного события.

Логический элемент И представляет собой комбинацию независимых событий. То есть вероятность любого события входа в вентиль И не зависит от любого другого события входа в тот же вентиль. В терминах теории множеств это эквивалентно пересечению наборов входных событий, а вероятность выхода логического элемента И определяется выражением:

P (A и B) = P (A ∩ B) = P (A) P (B)

Элемент ИЛИ, с другой стороны, соответствует объединению множеств:

P (A или B) = P (A ∪ B) = P (A) + P (B) - P (A ∩ B)

Поскольку вероятности отказов в деревьях отказов, как правило, невелики (менее 0,01), P (A ∩ B) обычно становится очень малым членом ошибки, и результат операции ИЛИ можно консервативно аппроксимировать, используя предположение, что входные данные являются взаимоисключающими событиями :

P (A или B) ≈ P (A) + P (B), P (A ∩ B) ≈ 0

Элемент исключающее ИЛИ с двумя входами представляет вероятность того, что один или другой вход, но не оба, произойдет:

P (A xor B) = P (A) + P (B) - 2P (A ∩ B)

Опять же, поскольку P (A ∩ B) обычно становится очень малым членом ошибки, вентиль исключающее ИЛИ имеет ограниченное значение в дереве отказов.

Довольно часто для количественной оценки дерева отказов вместо вероятностей используются коэффициенты, распределенные по экспоненте Пуассона. Ставки часто моделируются как постоянные во времени, в то время как вероятность является функцией времени. Экспоненциальные события Пуассона моделируются как бесконечно короткие, поэтому никакие два события не могут перекрываться. Логический элемент ИЛИ - это суперпозиция (сложение частот) двух входных частот отказов или интенсивности отказов, которые моделируются как точечные процессы Пуассона. Выходной сигнал логического элемента И вычисляется с использованием недоступности (Q 1) одного события, уменьшая точечный процесс Пуассона другого события (λ 2). Недоступность (Q 2) другого события затем уменьшает процесс точки Пуассона для первого события (λ 1). Два результирующих точечных процесса Пуассона накладываются согласно следующим уравнениям.

Выходной сигнал логического элемента И представляет собой комбинацию независимых входных событий 1 и 2 для элемента И:

Частота отказов = λ 1Q2+ λ 2Q1, где Q = 1 - e ≈ λt если λt < 0.001
Частота отказов ≈ λ 1λ2t2+ λ 2λ1t1если λ 1t1< 0.001 and λ2t2< 0.001

В дереве отказов недоступность (Q) может быть определена как недоступность безопасной работы и не может относиться к недоступности работы системы в зависимости от того, как было построено дерево отказов. Входные термины в дерево отказов должны быть тщательно определены.

Анализ

Для моделирования FTA можно использовать множество различных подходов, но наиболее распространенный и популярный способ можно резюмировать в несколько шагов. Единое дерево отказов используется для анализа одного и только одного нежелательного события, которое впоследствии может быть передано в другое дерево отказов в качестве основного события. Хотя природа нежелательного события может сильно различаться, FTA следует той же процедуре для любого нежелательного события; будь то задержка в 0,25 мс для выработки электроэнергии, необнаруженный пожар в грузовом отсеке или случайный, непреднамеренный запуск МБР..

Анализ FTA включает пять шагов:

  1. Определение нежелательного события для изучения.
    • Определение нежелательного события может быть очень трудным для раскрытия, хотя некоторые из событий очень легко и очевидны для наблюдения. Инженер с обширными знаниями в области проектирования системы - лучший человек, который поможет определить и пронумеровать нежелательные события. Затем нежелательные события используются для заключения соглашений о свободной торговле. Каждое соглашение о свободной торговле ограничено одним нежелательным событием.
  2. Получите представление о системе.
    • После выбора нежелательного события изучаются и анализируются все причины с вероятностью воздействия на нежелательное событие 0 или более. Получить точные числа вероятностей, ведущих к событию, обычно невозможно по той причине, что это может быть очень дорогостоящим и длительным. Компьютерное программное обеспечение используется для изучения вероятностей; это может привести к снижению затрат на системный анализ.. Системные аналитики могут помочь разобраться в системе в целом. Разработчики системы имеют полное представление о системе, и эти знания очень важны для того, чтобы не упустить ни одной причины, влияющей на нежелательное событие. Для выбранного события все причины затем пронумерованы и упорядочены в порядке возникновения, а затем используются для следующего шага, который представляет собой рисование или построение дерева отказов.
  3. Построение дерева отказов.
    • После выбора нежелательного события и анализа системы, чтобы мы знали все вызывающие эффекты (и, если возможно, их вероятности), мы можем построить дерево отказов. Дерево отказов основано на логических элементах И и ИЛИ, которые определяют основные характеристики дерева отказов.
  4. Оценить дерево отказов.
    • После того, как дерево отказов было составлено для конкретного нежелательного события, оно оценивается и анализируется на предмет возможных улучшений или, другими словами, изучают управление рисками и находят пути улучшения системы. Может применяться широкий спектр качественных и количественных методов анализа. Этот шаг является введением к заключительному шагу, который будет заключаться в контроле выявленных опасностей. Короче говоря, на этом этапе мы идентифицируем все возможные опасности, влияющие на систему прямым или косвенным образом.
  5. Управляйте выявленными опасностями.
    • Этот шаг очень специфичен и сильно отличается от одной системы к другой, но главный момент всегда будет заключаться в том, что после выявления опасностей используются все возможные методы для уменьшения вероятности возникновения.
Сравнение с другими аналитические методы

FTA - это дедуктивный, нисходящий метод, направленный на анализ воздействия исходных неисправностей и событий на сложную систему. Это контрастирует с анализом режимов и последствий отказа (FMEA), который представляет собой индуктивный восходящий метод анализа, направленный на анализ воздействия отказов отдельных компонентов или функций на оборудование или подсистемы. FTA очень хорошо показывает, насколько устойчива система к одиночным или множественным исходным сбоям. Это не очень хорошо для обнаружения всех возможных исходных неисправностей. FMEA хорош для исчерпывающей каталогизации исходных неисправностей и определения их локальных эффектов. Это не очень хорошо для изучения множественных отказов или их последствий на системном уровне. FTA учитывает внешние события, FMEA - нет. В гражданской авиации и космонавтике обычной практикой является выполнение как FTA, так и FMEA с сводкой эффектов режима отказа (FMES) в качестве интерфейса между FMEA и FTA.

Альтернативы FTA включают диаграмму зависимости (DD), также известную как блок-диаграмма надежности (RBD) и марковский анализ. Диаграмма зависимости эквивалентна анализу дерева успеха (STA), логической инверсии FTA, и изображает систему, использующую пути вместо ворот. DD и STA производят вероятность успеха (т. Е. Избежание главного события), а не вероятность главного события.

См. Также
На Викискладе есть материалы, связанные с диаграммами деревьев отказов.
Ссылки
Последняя правка сделана 2021-05-20 11:51:39
Содержание доступно по лицензии CC BY-SA 3.0 (если не указано иное).
Обратная связь: support@alphapedia.ru
Соглашение
О проекте