Концепция дерева ошибок

 Прогноз
вероятности с использованием
интеллектуальных методов, таких как
“анализ дерева ошибок” и “анализ
дерева событий”. 
Когда
исторические данные отсутствуют или
недостаточны, необходимо определить
вероятность на основе анализа системы,
деятельности, оборудования или организации
и связанных с ними состояний неудачи
или успеха. 
Численные
данные для оборудования, людей, организаций
и систем из оперативного опыта или
опубликованных источников затем
объединяются для получения оценки
вероятности главного события. 
При
использовании интеллектуальных методов
с целью обеспечения должного учета в
анализе возможности сбоев в общем режиме
важно учесть случайный отказ частей
или компонентов в системе, возникший
по той же причине, что и главное событие.
Методы моделирования могут потребоваться
для определения вероятности сбоев
оборудования и структурных сбоев из-за
старения и других процессов деградации
путем расчета эффектов неопределенности

5 Анализ дерева ошибок/ дерева события

Практика
показывает, что крупные аварии, как
правило, характеризуются комбинацией
случайных событий, возникающих с
различной частотой на разных стадиях
возникновения и развития аварии (отказы
оборудования, ошибки человека, нерасчетные
внешние воздействия, разрушение, выброс,
пролив вещества, рассеяние веществ,
воспламенение, взрыв, интоксикация и
т.д.) Для выявления причинно-следственных
связей между этими событиями используют
логико-графические методы анализа
«деревьев отказов» и «деревьев событий».

Анализ
древа ошибок (АДО) — применяется
при оценке чрезвычайно сложных или
детализированных систем. Использует
дедуктивный логический метод (т. е.
постепенно двигается от общего к
частному), он очень полезен при исследовании
возможных условий, которые могут привести
к нежелательным последствиям или
каким-нибудь образом повлиять на эти
последствия. Нежелательные события
редко происходят под влиянием только
одного фактора. Вследствие этого во
время анализа древа ошибок в процессе
системной безопасности нежелательное
событие относят к конечному событию.
Располагая каждый фактор в соответствующем
месте древа, исследователь может точно
определить, где состоялись какие-либо
повреждения в системе, какая связь
существует между событиями, и какое
взаимодействие состоялось. 
При
построении основного древа ошибок
используют специальные символы, которые
обеспечивают аналитика иллюстрированным
изображением события и того, как оно
взаимодействует с другими событиями
на древе. Специальная форма символов
дает наглядность и облегчает построение
древа ошибок.
Выполнение
анализа древа ошибок возможно лишь
после детального изучения рабочих
функций всех компонентов системы,
которая рассматривается. При этом
следует учитывать, что на работу системы
влияет человеческий фактор, поэтому
все возможные «отказы оператора» тоже
необходимо вводить в состав древа.
Поскольку древо ошибок показывает
статический характер событий, развитие
событий во времени можно рассмотреть,
построив несколько деревьев ошибок. 

Анализ
«дерева событий» (АДС) — алгоритм
построения последовательности событий,
исходящих из основного события (аварийной
ситуации). Используется для анализа
развития аварийной ситуации. Частота
каждого сценария развития аварийной
ситуации рассчитывается путем умножения
частоты основного события на условную
вероятность конечного события (например,
аварии с разгерметизацией оборудования
с горючим веществом в зависимости от
условий могут развиваться как с
воспламенением, так и без воспламенения
вещества)

Метод
построения дерева событий – это
графический способ слежения за набором
обстоятельств (отказа системы и внешних
воздействий на нее), ведущих к
неблагоприятному исходу. Дерево событий
рассматривает возможные пути развития
последствий аварии (сценарии развития
событий). Все события, которые могут
произойти после произошедшего инцидента,
соединены причинно-следственными
связями, в зависимости от срабатывания
или отказа элементов защиты системы.

Ствол
дерева располагается в левой части
рисунка. Стволом дерева является
инцидент, т.е. само неблагоприятное
событие, в данном случае – разрыв
трубопровода. Как и положено, из ствола
разветвляются ветви. Ветвями дерева
являются возможные пути развития
последствий инцидента, в данной задаче
– разрыва трубопровода. Безусловно, в
каждой технической системе есть способы,
устройства, приспособления, предохраняющие
систему от аварий и катастроф. Они
называются элементами защиты системы.

Очевидно,
что звенья, или элементы, защиты системы,
могут сработать или не сработать. Верхние
ветви дерева отражают развитие событий
при срабатывании элемента защиты и
называются ветвями срабатывания. Нижние
ветви ДС называются ветвями отказов.
Как соотносятся между собой элементы
защиты? В более общем случае они могут
функционировать независимо друг от
друга. Вне зависимости от того, сработал
ли какой-либо элемент защиты системы,
другой может также сработать либо
отказать.

Система
защиты какого-то технического оборудования
состоит из n последовательно соединенных
элементов защиты, т.е. каждый последующий
элемент защиты системы сработает, только
если сработал предыдущий.

простейшая
схема предупреждения пожара в результате
разрыва трубопровода состоит из четырех
последовательных звеньев – систем:
контроля утечки газа, автоматического
прекращения подачи газа в поврежденный
участок трубопровода, аварийной
вентиляции, взрыво- и пожарозащиты. В
нашем конкретном случае все элементы
защиты расположены последовательно,
т.е. каждый последующий элемент защиты
системы сработает, только если сработал
предыдущий. Вот почему на ветвях отказов
нет разветвлений.

Число
всех возможных комбинаций срабатывания
или отказов элементов защиты определяет
число сценариев развития событий. Каждый
сценарий – путь развития аварии,
состоящий из набора разветвлений.

Метод
построения дерева событий не ограничивается
качественным анализом сценариев развития
событий. Как известно из теории
вероятностей, для независимых событий
вероятность реализации каждой цепочки
определяется произведением вероятностей
каждого из событий цепочки. Вероятности
отказов Р1, Р2, Р3, Р4 – это статистические
данные по отказам оборудования при
эксплуатации применяемых на практике
систем пожарозащиты, усредненные по
масштабам и времени. Таким образом,
сведения об отказах оборудования –
необходимое условие для построения ДС.
Точность этих данных в большой степени
влияет на точность расчетов финальных
вероятностей.

определить
сценарии аварий с различными последствиями
от различных исходных событий;

определить
взаимосвязь отказов систем с последствиями
аварий;

сократить
первоначальный набор потенциальных
аварий и ограничить его лишь логически
значимыми авариями;

определить
пути развития аварии, которые вносят
наибольший вклад в риск из-за их высокой
вероятности;

внести
изменения в конструкцию или эксплуатационные
процедуры.

графическое
представление всей цепочки событий,
последствия которых могут привести к
некоторому главному событию. Определяются
пути, по которым отдельные индивидуальные
события могут в результате их
комбинированного воздействия привести
к потенциально опасным ситуациям.

дерево
отказов позволяет выявить все пути,
которые приводят к главному событию,
и, что наиболее важно, дает возможность
определить минимальное число комбинаций
событий, которые могут вызвать главное
событие.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

• #
• #
• #
• #
• #
• #
• #
• #
• #
• #
• #

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

ГОСТ Р 51901.13- 2005 (МЭК 61025:1990)

Менеджмент
риска

АНАЛИЗ
ДЕРЕВА НЕИСПРАВНОСТЕЙ

IEC 61025:1990

Fault Tree Analysis (FTA)

(MOD)

Москва

Стандартинформ

2005

Предисловие

Задачи, основные принципы и правила проведения работ по
государственной стандартизации в Российской Федерации установлены ГОСТ Р 1.0-92
«Государственная система стандартизации Российской Федерации. Основные
положения» и ГОСТ
Р 1.2-92 «Государственная система стандартизации Российской Федерации.
Порядок разработки государственных стандартов»

Сведения о
стандарте

1. ПОДГОТОВЛЕН Научно-исследовательским центром контроля и
диагностики технических система на основе собственного аутентичного перевода
стандарта, указанного в пункте 4

2. ВНЕСЕН Научно-техническим управлением Госстандарта России

3. УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального
агентства по техническому регулированию и метрологии от 31 мая 2005
г. № 110-ст

4. Настоящий стандарт является модифицированным по
отношению к международному стандарту МЭК 61025:1990 «Анализ дерева
неисправностей (FTA)» (IEC 61025:1990 «Fault Tree Analysis (FTA)») путем
внесения технических отклонений, объяснение которых приведено во введении к
настоящему стандарту.

Наименование настоящего стандарта изменено относительно
наименования указанного международного стандарта для приведения в соответствие
с ГОСТ 1.5 (подраздел 3.6).

Изменения, введенные в настоящий стандарт по отношению к
международному стандарту, обусловлены необходимостью наиболее полного
достижения целей национальной стандартизации

5. ВВЕДЕН ВПЕРВЫЕ

Информация об
изменениях к настоящему стандарту публикуется в указателе «Национальные
стандарты», а текст изменений — в информационных указателях «Национальные
стандарты». В случае пересмотра или отмены настоящего стандарта соответствующая
информация будет опубликована в информационном указателе «Национальные
стандарты»

Содержание

Введение

Анализ дерева неисправностей является одним из методов
идентификации опасностей и оценивания риска. Он представляет собой совокупность
приемов идентификации опасности и анализа частот нежелательного события. Анализ
дерева неисправностей позволяет выявить пути реализации опасного события,
однако в первую очередь анализ дерева неисправностей используется при оценке
риска для определения вероятностей или частот неисправностей и аварий. Общие
рекомендации по применению анализа дерева неисправностей для оценки риска и
обзор других возможных методов оценки риска приведены в ГОСТ Р 51901-2002
«Управление надежностью. Анализ риска технологических систем».

В настоящем стандарте метод анализа дерева неисправностей
изложен применительно к анализу надежности. Для эффективного использования
этого метода необходимо до его применения зафиксировать цель метода, а также
определить, будет ли применяться метод анализа дерева неисправностей
индивидуально или в комбинации с другими методами.

В отличие от применяемого международного стандарта в
настоящий стандарт не включены ссылки на МЭК 60617-12:1983 «Графические символы
для диаграмм. Часть 12. Элементы двоичной логики», которые нецелесообразно
применять в национальном стандарте из-за отсутствия принятого
гармонизированного национального стандарта. В соответствии с этим изменено
содержание раздела 3.

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Менеджмент
риска

АНАЛИЗ
ДЕРЕВА НЕИСПРАВНОСТЕЙ

Risk management.

Fault tree
analysis

Дата
введения — 2005-09-01

1. Область применения

Настоящий стандарт устанавливает метод анализа дерева
неисправностей и содержит руководство по его применению. Метод анализа дерева
неисправностей включает:

— определение основных принципов метода;

— выполнение необходимых этапов анализа;

— идентификацию соответствующих предположений, событий и
режимов неисправностей;

— обеспечение выполнения идентификационных правил и
символов.

2. Нормативные ссылки

В настоящем стандарте использована нормативная ссылка на
следующий стандарт:

ГОСТ
27.002-89 Надежность в технике. Основные понятия. Термины и определения
(МЭК 60050(191): 1990 «Международный электротехнический словарь. Глава 191.
Надежность и качество обслуживания», NEQ)

Примечание — При пользовании настоящим стандартом
целесообразно проверить действие ссылочного стандарта по указателю
«Национальные стандарты», составленному по состоянию на 1 января текущего года,
и по соответствующим информационным указателям, опубликованным в текущем году.
Если ссылочный стандарт заменен (изменен), то при пользовании настоящим
стандартом следует руководствоваться замененным (измененным) стандартом. Если
ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на
него, применяют в части, не затрагивающей эту ссылку.

3.
Термины и определения

В настоящем стандарте применены термины по ГОСТ
27.002.

4. Символы

Для графического представления дерева неисправностей
необходимо, чтобы символы, идентификаторы и метки использовались
непротиворечивым способом. Подробные правила идентификации и маркировки
приведены в разделе 8
и приложении А.

5. Общие положения

5.1 Структура дерева неисправностей

Дерево неисправностей — организованное графическое
представление условий или других факторов, вызывающих нежелательное событие,
называемое вершиной событий. Представление приводят в форме, которая может быть
понята, проанализирована и, по мере необходимости, перестроена таким образом,
чтобы облегчить идентификацию:

— факторов, воздействующих на надежность и характеристики
эффективности системы, например режимов неисправностей компонентов, ошибок
оператора, условий окружающей среды, ошибок программного обеспечения;

— противоречивых требований или спецификаций, которые могут
влиять на надежность и эффективность системы;

— общих событий, воздействующих более чем на один
функциональный компонент, который может уменьшить преимущества резервирования.

Анализ дерева неисправностей является в основном дедуктивным
(нисходящим) методом анализа, нацеленного на точное определение причины или
комбинации причин, приводящих к вершине событий. Анализ, главным образом,
качественный, но, в зависимости от некоторых условий, он может также быть
количественным (см. 7.5.2).

5.2 Цели анализа

Имеется несколько оснований для проведения анализа дерева
неисправностей независимо от других или вместе с другими исследованиями
надежности. Такими основаниями являются:

— идентификация причин или комбинации причин, ведущих к
вершине событий;

— определение соответствия уровня надежности системы
установленным требованиям;

— демонстрация того, что предположения, сделанные в других
исследованиях относительно независимости систем и нерелевантности
неисправностей, не нарушены;

— определение факторов, которые наиболее сильно влияют на
надежность системы, и изменений, необходимых для увеличения надежности;

— идентификация общих событий или общих причин
неисправностей.

5.3 Объекты применения

Дерево неисправностей используют для анализа сложных систем,
включающих несколько функционально связанных или зависимых подсистем, что
особенно удобно в случаях, когда системный проект требует сотрудничества
нескольких специализированных групп проектировщиков. Примерами систем, к
которым обычно применяют анализ дерева неисправностей, являются станции
производства ядерной энергии, самолеты, системы связи, химические и другие
промышленные процессы.

6. Принципы анализа

6.1 Общие положения

Построение дерева неисправностей должно начинаться на стадии
проектирования системы. «Рост» дерева неисправностей должен отражать
продвижение этапов проекта. В результате в процессе проектирования системы
формируется более глубокое понимание режимов неисправностей. Анализ дерева
неисправностей, проводимый параллельно с проектированием системы, позволяет на
ранних этапах проектирования учитывать изменение проекта системы, поскольку
основные режимы неисправностей идентифицированы. Часто итоговое дерево
неисправностей является достаточно большим. В этом случае его обработку
проводят при помощи компьютера. Особое внимание обращают на то, что события
дерева неисправностей не ограничены исключительно ошибками программного
обеспечения или аппаратными ошибками, но включают также все условия или другие
факторы, которые обусловливают вершину событий для проектируемой системы.

Процедура анализа дерева неисправностей должна состоять из
следующих этапов:

— определение области анализа;

— определение проекта, функций и действий системы;

— определение вершины событий;

— конструирование дерева неисправностей;

— анализ логики дерева неисправностей;

— составление отчетов о результатах анализа.

При проведении количественного анализа дерева неисправностей
необходимо определить методику количественной оценки, выбрать необходимые
данные и определить количественную оценку надежности.

6.2 Структура системы

Каждая система должна быть определена путем описания функции
системы и идентификации системных интерфейсов. Такое определение должно
включать:

— описание целей проекта;

— описание границ системы (электрические, механические и
операционные интерфейсы). Такие границы формируются на основе взаимодействия с
другими системами и должны быть описаны путем идентификации специфических
функций (например, электропитания) и частей (например, предохрани теля),
которые формируют интерфейсы;

— описание физической структуры системы;

— идентификацию рабочих режимов вместе с описанием работы
системы и ожидаемой или приемлемой эффективности системы в каждом рабочем
режиме;

— описание условий окружающей среды для системы и аспектов
воздействия человеческого фактора и т.д.;

— список применяемых документов, например рисунков,
спецификаций, рабочих инструкций, которые описывают детали оборудования и
работы. Продолжительность выполнения задачи, интервал времени (периодичность)
между испытаниями, а также время, необходимое для проведения корректирующих
действий, должны быть установлены. Кроме того, должны быть установлены
необходимое оборудование поддержки и задействованный персонал. Должна быть
приведена также точная информация относительно предписанного действия в течение
каждой стадии работы системы.

В дополнение к вышеупомянутому, рекомендуется подготовить
список символов, идентификационных маркировок, условных обозначений и форматов
для файлов данных при необходимости обмена между компьютерами данными о
структуре дерева неисправностей и описании системы.

6.3 Рассматриваемые события

В дерево неисправностей должны включаться события,
являющиеся следствием всех причин. Такие причины должны включать результаты
воздействия всех условий окружающей среды или других условий, которые могут
воздействовать на элемент, включая те, появление которых возможно в процессе
работы, даже если они не предусмотрены в проектной спецификации.

При необходимости деревья неисправностей должны учитывать
последствия ошибок и неточностей в программном обеспечении, включая случай,
когда дерево неисправностей используется для контроля состояния и управления
системой.

События, которые аналитики рассмотрели и исключили из
дальнейшего анализа, должны быть зарегистрированы. Такие события в итоговое
дерево неисправностей не включают.

Если дерево неисправностей выявляет проблему
работоспособности системы, вызванную существующей ошибкой, то событие,
описывающее эту неисправность, должно быть включено в дерево неисправностей.
Оно должно быть отмечено как событие, которое уже существует. Это необходимо
для того, чтобы учесть воздействие многократных ошибок.

6.4 Методология анализа

Развитие дерева неисправностей начинается с определения
вершины событий. Вершина событий является следствием соответствующих входных
событий, идентифицирующих возможные причины и условия появления вершины
событий. Каждое входное событие в свою очередь может быть выходным событием
более низкого уровня.

Если выходное событие определяет неспособность системы
исполнять некую функцию, то соответствующими входными событиями могут быть
неисправности оборудования или ограничения эффективности. Если выходное событие
определяет неисправность оборудования, то соответствующими входными событиями могут
быть неисправности оборудования, ошибки управления и нехватки необходимых
ресурсов, если они не включены в дерево неисправностей как часть ограничений
эффективности.

Развитие отдельной ветви дерева неисправностей заканчивается
после того, как достигнуты события хотя бы одной из следующих групп:

— основные события — независимые события, для которых
подходящие для их описания характеристики могут быть определены отличными от
дерева неисправностей способами;

— события, которые не должны разрабатываться далее по
решению аналитиков;

— события, которые были или будут рассмотрены в дальнейшем в
другом дереве неисправностей. Если событие исследовано, оно должно иметь ту же
идентификацию, что и соответствующее событие  
в предыдущем дереве неисправностей так, чтобы последующее дерево
эффективно формировало продолжение предыдущего.

7. Процедуры анализа

Анализ дерева неисправностей проводится «шагами».
Определенная последовательность «шагов», выполняемая для конкретной системы, не
может быть аналогична последовательности, установленной для другой системы. При
исследовании любого дерева неисправностей должны быть проведены следующие
основные «шаги».

7.1 Область применения анализа

Определение области применения должно включать определение
анализируемой цели, глубины анализа и основных предположений. Эти предположения
должны включать предположения, касающиеся ожидаемых действий, условий
обслуживания и эффективности системы при всех возможных условиях ее
использования.

7.2 Описание системы

Для успешного анализа дерева неисправностей необходимо
детальное знание системы. Однако некоторые системы могут быть слишком сложны,
чтобы быть полностью понятыми одним человеком. В этом случае получение
необходимых специализированных знаний о системе должно включаться как
соответствующий элемент анализа дерева неисправностей.

7.3 Идентификация вершины событий

Вершина событий является центром полного анализа. Вершина
событий определяет начало или наличие опасного состояния или неспособности системы
обеспечивать желательную эффективность.

Вершина событий должна определяться по возможности в
измеримых единицах характеризующих ее параметров.

7.4 Построение дерева неисправностей

7.4.1 Формат дерева неисправностей

Деревья неисправностей могут быть изображены в вертикальном
или горизонтальном расположении. Если используется вертикальное расположение,
то вершина событий должна быть расположена наверху страницы, а основные события
— внизу. Если используется горизонтальное расположение, то вершина событий
может быть расположена слева или справа страницы.

Примеры

На рисунках 1, 2
изображены два примера дерева неисправностей. Символы, используемые в этих
примерах, включают:

— блок описания
события;

— логические символы
дерева неисправностей (клапаны);

— линию входа
клапана;

— символ «переход
из» (общий случай);

— символ «переход
в»;

— символ завершения
(например, основное событие).

Событие А на рисунке 1 будет происходить только
в случае, если произошли оба события В
и С. Событие С произойдет в случае,
если произошло событие D или E .

Рисунок 1 — Пример дерева неисправностей

Примечание
— Для каждого события А, В
и т.д. блок описания события должен включать следующую информацию:

— код события;

— вероятность появления
события (если требуется);

— наименование или описание
события.

Случай, когда событие
представляет общую причину, показан в дереве неисправностей как набор событий.
Эти события связаны с любыми событиями, с которыми они взаимодействуют. Все
общие события в наборе должны иметь один и тот же код и должны быть отмечены
символом «переход в», кроме случая, когда они расположены на самом низком
уровне в наборе, отмеченном символом «переход из».

Если дерево неисправностей представлено в нескольких частях,
то событие, представляющее общую причину, которая появляется в двух или более
частях, должно обрабатываться следующим образом:

событие должно быть отмечено символом завершения или, если
происходит дальнейшее развитие события, символом «переход из» только в одной из
частей;

в части, где используется символ завершения, местонахождение
общего события в других частях должно обозначаться символом «переход в».

Пример — Дерево неисправностей, демонстрирующее
рассмотрение общей причины, изображено на рисунке 2. Событие В — событие общей причины, которое
анализируется далее в другом дереве неисправностей. Событие D — основное событие.

Рисунок 2 —
Пример рассмотрения общей причины

Примечание — Для каждого события А, В и т.д. блок события
должен включать следующую информацию:

— код события;

— вероятность появления (при
необходимости);

— наименование или описание
события.

7.4.2 Процедура построения дерева неисправностей

Результаты анализа надежности должны быть документально
оформлены таким способом, чтобы при необходимости была обеспечена возможность
их рассмотрения и внесения необходимых корректировок, отражающих изменения в
проекте, рабочих процедурах или для более глубокого понимания физики отказа.
Для этого необходимо проводить систематическое исследование конструкции
системы. При проведении таких исследований необходимо последовательно
использовать две концепции: «непосредственная причина» и «основной элемент».

При использовании концепции «непосредственная причина»
необходимо, чтобы аналитик определил непосредственные необходимые и достаточные
причины для появления вершины событий, которые не являются основными причинами
события, но являются непосредственными причинами или механизмами для появления
события.

Таким образом, непосредственные необходимые и достаточные
причины, обусловливающие по явление вершины событий, теперь трактуются как
события, предшествующие высшему событию, а аналитик продолжает определять уже
для таких событий непосредственные необходимые и достаточные причины.

Таким образом, аналитик достигает нижнего уровня дерева
неисправностей, перемещая внимание от механизма к режимам и непрерывно
приближаясь к более высокой разрешающей способности механизма и режимов, пока
не будет достигнут предел разрешающей способности дерева неисправностей.

Строгое соблюдение концепции «непосредственная причина»
является гарантией того, что режимы неисправностей не будут пропущены.

Концепцию «основной элемент» используют для сохранения
усилий аналитика по построению схемы дерева неисправностей. В этом случае
основной элемент обрабатывают как единичный элемент или компонент или
рассматривают отдельно.

Для того чтобы элемент рассматривался как «основной»,
необходимо и достаточно, чтобы он соответствовал следующим требованиям:

— функциональные и физические границы элемента должны быть
четко определены;

— работа элемента не должна зависеть от функций поддержки. В
противном случае все события, имеющие отношение к элементу, должны быть
представлены в схеме дерева неисправностей клапаном, отмеченным знаком ИЛИ, у
которого один вход представляет отказ элемента, а другие входы — невозможность
выполнения соответствующих функций поддержки;

— отсутствуют события, связанные с элементом, который
появляется в другой части дерева неисправностей.

7.4.3 Характеристики неисправностей

Аналитик должен внимательно изучить причины отказов
элемента, особенно для категорий независимых и зависимых отказов, следующих за
независимыми и зависимыми неисправностями.

При проведении классификации отказа должны быть рассмотрены
рабочие и внешние напряжения в сравнении с максимальными напряжениями, для
которых элемент предназначен.

7.5 Анализ дерева неисправностей

Основные цели логического (качественного) и численного
(количественного) анализа системы:

— идентификация событий, которые могут непосредственно
вызвать неисправность системы, и оценка вероятности таких событий;

— оценка отказоустойчивости системы (способность системы
функционировать даже после того, как произошло указанное количество
неисправностей более низкого уровня или событий, способствующих появлению
неисправности системы);

— проверка независимости неисправностей систем, подсистем
или компонентов;

— оценка данных для определения места расположения
критических компонентов и неисправных механизмов;

— идентификация устройств диагностики неисправностей, входов
для ремонта и обслуживания, и т.д.

Оценка отказоустойчивости системы включает определение
степени избыточности в системе и проверку того, что избыточность не снижается
под воздействием общих событий (общих причин событий). Хотя главная часть
оценки отказоустойчивости не требует использования числовых данных, они
необходимы для оценки наиболее вероятных комбинаций событий, вызывающих
неисправность системы.

7.5.1 Логический анализ

Логический анализ проводят тремя основными методами:
исследованием, булевой редукцией и определением минимальных вырезок событий.

7.5.1.1 Исследование

Исследование включает обзор структуры дерева неисправностей,
идентификацию общих событий и поиск независимых ветвей. Этот метод обеспечивает
аналитика важной информацией, которая в некоторых случаях позволяет отказаться
от дальнейших исследований. Во всех других случаях проводят исследования для
принятия правильного решения о типе и глубине дальнейших исследований.
Непосредственное визуальное исследование графического изображения дерева
возможно только для маленьких деревьев, не превышающих приблизительно 70
событий. Исследование больших деревьев, являющихся результатом анализа реально
существующих систем, требует соответствующего компьютерного инструментария, но
в целом подход остается тем же самым.

Исследование начинают с обзора структуры дерева
неисправностей. Все события, которые связаны с вершиной событий через
непрерывную цепочку клапанов ИЛИ, являются событиями, которые вызывают вершину
событий. Поэтому, если дерево неисправностей состоит только из клапанов ИЛИ,
дальнейший анализ не требуется. Если дерево неисправностей включает другие типы
клапанов, то анализируемая система представляет собой некоторый вид
избыточности или других особенностей предотвращения неисправностей, реализации
которых могут помешать общие причины событий. Исследование должно
идентифицировать общие причины событий, но не должно предполагать, что их
присутствие является благоприятным. Такие заключения могут быть сделаны только
после полного анализа дерева неисправностей с использованием булевой редукции
или определения минимальных вырезок событий. Существенную трудность составляет
быстрое увеличение объема анализа с ростом

размеров дерева неисправностей. Анализ дерева неисправностей
позволяет выделять независимые ветви дерева неисправностей, которые могут
исследоваться отдельно.

7.5.1.2 Булева редукция

Булеву редукцию применяют для оценки воздействия общих
событий дерева неисправностей (идентичных событий, встречающихся в различных
ветвях), когда местонахождение вершины событий не зависит от времени и
последовательности событий. Булеву редукцию проводят путем решения булевых
уравнений для дерева неисправностей.

7.5.1.3 Методы минимальных вырезок событий

Существует несколько методов определения минимальных вырезок
событий, но их применение к большим деревьям может быть достаточно сложным.
Рекомендуется использовать соответствующие компьютерные программы.

Набор вырезок — группа событий, которые при совместном появлении
могут вызвать появление вершины событий. Минимальный набор вырезок — наименьшая
группа событий, в которой для появления вершины событий все события должны
произойти в надлежащей последовательности. Если любое из событий в минимальном
наборе вырезок не происходит, это предотвращает появление вершины событий. Если
события происходят в надлежащей последовательности, то расширяется определение
минимальных наборов вырезок для дерева неисправностей, зависящих от
последовательности событий. В этих случаях минимальный набор вырезок определяет
группу событий, потенциально обеспечивающую появление вершины событий.
Воздействие последовательности событий в этой группе может быть
проанализировано с применением диаграммы установленных переходов, которая в
настоящем стандарте не рассматривается.

7.5.2 Численный
анализ

Цель численного анализа состоит в том, чтобы обеспечить
количественную оценку вероятности появления вершины событий или выбранного
набора событий. Численный анализ применяют также как дополнение к логическому
анализу. Для численной оценки дерева неисправностей необходимы соответствующие
вероятностные данные. Для определения количественных значений могут
использоваться данные надежности, прогнозирования технического состояния,
испытаний и эксплуатации.

7.5.3 Примеры использования булевой
алгебры

7.5.3.1 Применение булевой алгебры к анализу дерева
неисправностей

В деревьях неисправностей, которые состоят только из
клапанов И, ИЛИ и НЕ, имеется взаимно однозначное соответствие между выражением
булевой алгебры и символами дерева неисправностей.

Символы ИЛИ и И для булевой алгебры могут быть
выражены другими символами, соответствующими используемым языкам компьютерных
программ. В этом случае необходимо соблюдать логику символов.

Для дерева неисправностей, представленного на рисунке 1,
можно записать следующие логические выражения:

С = D + Е,

.

Применяя дистрибутивный закон, получаем выражение:

.

7.5.3.2 Применение булевой алгебры к минимальным вырезкам

Выражение для вершины событий может быть записано в терминах
конечного числа минимальных вырезок р,
которые являются уникальными для этой вершины событий.

Общая формула для описания вершины событий

_,

где Т — вершина
событий;

M _i — минимальные вырезки, каждая
из которых состоит из комбинации определенных компонентов неисправностей. Общий
минимальный набор вырезок можно записать в виде выражения

_,

где Х _i — основное событие дерева,

с — количество
основных событий в минимальной вырезке М.

Рассмотрим дерево неисправностей, изображенное на рисунке 1.
Минимальные наборы вырезок для вершины событий в этом случае —  и .

8.
Идентификация и маркировка

Каждое событие в дереве неисправностей должно быть
идентифицировано. События должны быть маркированы так, чтобы ссылки из дерева
неисправностей к соответствующей проектной документации и обратно были понятны
и легко выполнимы.

Вершина событий дерева неисправностей является нежелательным
событием, которое является первичной причиной для проведения анализа дерева
неисправностей. Необходимо отметить, что у каждого дерева неисправностей может
быть только единственная вершина событий.

Если несколько событий в дереве неисправностей относятся к
различным режимам отказа одного и того же элемента, то такие события должны
быть маркированы так, чтобы их можно было различать, но должно быть ясно, что
это — группа событий, связанных с одним и тем же элементом.

Если конкретное событие, например неспособность
специфического клапана закрываться, имеется в нескольких местах дерева или в
нескольких деревьях, то такие места должны иметь одинаковую маркировку. Однако
события, которые являются подобными, но включают различные элементы, не должны
быть одинаково идентифицированы.

Типичный код события должен содержать информацию, касающуюся
идентификации системы, идентификации элемента и режима отказа.

Дерево неисправностей является диаграммой, в которой события
связаны логическими клапанами. Каждый клапан имеет одно событие выхода, но одно
или более входных событий.

Входные события указывают возможные причины и условия для
событий выхода. Однако такая связь не обязательно определяет последовательные
во времени отношения между событиями.

В основном дереве неисправностей используют клапаны И, ИЛИ и
НЕ. Однако при анализе сложных систем могут потребоваться дополнительные
символы для клапанов, что позволяет добиться максимальной простоты дерева
неисправностей и обеспечить его читаемость. Очень важно определить и
зафиксировать используемые символы, которые должны обеспечивать однозначное и
непротиворечивое их применение при анализе конкретного дерева неисправностей.
Это особенно важно, если анализ проводят автоматизированными методами.

При разработке дерева неисправностей аналитик должен
использовать соответствующую символику и идентификацию, чтобы было ясно, что:

— событие или ветвь событий используются в другом месте
дерева неисправностей;

— изображенная часть дерева включает события, используемые
также в другой части дерева;

— событие общей причины, отраженное в одной части анализа,
далее исследуется в другом месте.

Это необходимо для графического представления дерева
неисправностей.

9. Отчет

Отчет об анализе дерева неисправностей должен включать, как
минимум, перечисленные ниже основные пункты. Отчет может включать необходимую
дополнительную информацию. Форма отчета в настоящем стандарте не
устанавливается.

Основные пункты отчета:

— цель и область применения;

— описание системы:

а) описание проекта,

b)
функционирование системы,

с) подробные определения границ системы;

— предположения:

а) предположения, использованные в проекте системы,

b)
предположения, связанные с работой, обслуживанием, испытаниями и контролем,

с) модельные предположения задач анализа надежности и
эффективности;

— определение отказа системы и его критериев;

— анализ дерева неисправностей:

а) анализ,

b)
данные,

с) используемые символы;

— результаты и заключения.

Дополнительные сведения, которые могут быть включены в
отчет:

— графические изображения, схемы, чертежи;

— краткое описание данных надежности и ремонтопригодности и
их источников;

— описание дерева неисправностей в читаемой компьютерной
форме (для анализа сложных систем).

Приложение
А
(обязательное)

Символы

Таблица А.1

Предпочтительный символ	Допустимый символ	Функция	Описание
		Клапан И	Событие происходит, если все входные события происходят одновременно
		Клапан ИЛИ	Событие происходит, если происходит любое из входных событий (или одно, или в любой комбинации)
		Клапан «исключительное ИЛИ»	Событие происходит, если происходит одно из входных событий (используется обычно с двумя входными событиями)
		Клапан НЕ	Событие представляет собой состояние, которое является инверсией состояния, определенного входным событием (событие, противоположное входному событию)
	—	Клапан ЗАПРЕЩЕНИЯ	Событие происходит, если происходит входное событие, приложенное справа, в то время как событие, указанное внутри символа и формирующее условия, выполняется. Если условие вызвано появлением другого события, клапан ЗАПРЕЩЕНИЯ подразумевает синхронизацию событий
		Избыточная структура	Событие происходит, если происходит, по крайней мере m из n входных событий
	—	Клапан (общая форма)	Общий символ клапана, функция которого указывается внутри символа
	—	Блок описания события	Название или описание события, код события и вероятности появления (при необходимости) должны быть указаны внутри символа
	—	Основное событие	Событие, которое не может быть подразделено на составляющие события
	—	Неразработанное событие	Событие, дальнейшая разработка которого не была проведена (обычно потому, что это предполагалось нецелесообразным)
	—	Анализированное в другом месте событие	Событие, которое разработано в другом дереве неисправностей
	—	Дом	Событие, которое произошло или произойдет обязательно
	—	Нулевое событие	Событие, которое не может произойти
	—	«Переход в»	Событие, определенное в другом месте дерева неисправностей
	—	«Переход из»	Событие, переходящее из другого места дерева неисправностей

Ключевые слова: риск, надежность, вероятность отказа, система, элемент, отказ, дерево неисправностей,
вершина событий.

Анализ дерева отказов (Fault tree analysis (FTA))

История

Методика

Графические символы

Базовая математическая основа

Анализ

Сравнение с другими аналитическими методами

Анализ дерева отказов (АДО) или в английской терминологии FTA метод анализа отказов сложных систем, в котором нежелательные состояния или отказы системы анализируются с помощью методов булевой алгебры, объединяя последовательность нижестоящих событий (отказов низшего уровня), которые приводят к отказу всей системы.

Анализ дерева отказов интенсивно используется в различных отраслях, например, машиностроении, чтобы понять, как система может выйти из строя, выявить способ уменьшения рисков или определения частоты системного отказа.

Анализ дерева отказов эффективно используется в аэрокосмической отрасли, атомной энергетике, химической и перерабатывающих отраслях, в фармацевтической, нефтехимической и других, связанных с высокой степенью риска.

В аэрокосмической отрасли используется более общий термин «Условие отказа системы» для обозначения «нежелательного состояния»/ Верхнего события дерева неисправностей.

Условия отказа классифицируются по тяжести последствий. Наиболее тяжелые условия требуют наиболее обширного анализа дерева отказов.

Эти «условия отказа системы» и их классификация часто предварительно определяются в функциональном анализе опасностей и рисков возникновения отказов.

FTA или АДО эффективно используются, чтобы:

• Понимать логику, ведущую к верхнему событию/нежелательному состоянию (отказу системы).
• Показать соответствие с системой безопасности/требованиям к надежности.
• Ранжировать участников, ведущих к вершине – создание важного оборудования/запчастей/списков событий.
• Мониторить и контролировать показатели состояния сложных систем Например, безопасно ли летать на конкретном самолете, если топливный клапан имеет определенное количество неисправностей? Как долго можно летать с неисправностью клапана? Как долго можно эксплуатировать технику с данным дефектом и тд.
• Минимизировать и оптимизировать ресурсы
• Помочь в проектировании системы. FTA может быть использован как средство проектирования, которое помогает создать требования. (Выход/нижний уровень)
• АДО может быть использован в качестве диагностического инструмента для выявления и исправления причин верхнего события. Это может помочь с созданием диагностических руководств / процессов.

История

FTA был первоначально разработан в 1962 году в «Bell Laboratories» Уотсоном, по контракту с подразделением баллистических систем ВВС США для того, чтобы оценить систему Launch Control межконтинентальной баллистической ракеты (МБР) Minuteman I.

Использование деревьев неисправностей с тех пор получило широкую поддержку и часто используется экспертами в качестве инструмента анализа отказов по степени надежности.

После первого использования опубликованных результатов использования АДО в 1962 для запуска исследования контроля безопасности Minuteman I, Boeing и AVCO нашли расширенное применение FTA для всей системы Minuteman II в 1963-1964 гг. FTA получил широкое освещение в 1965 году на симпозиуме по системам безопасности в Сиэтле при поддержке Boeing и Вашингтонского университета. Boeing начал использовать АДО для гражданских самолетов дизайна 1966 года.

В 1970 году Федеральная авиационная администрация США (FAA) опубликовало изменения в 14 CFR 25,1309 норме летной годности для самолетов транспортной категории в Федеральном реестре на 35 FR 5665 (1970-04-08). Это изменение принимало критерий вероятности отказа для самолетных систем и оборудования, что привело к широкому использованию FTA в гражданской авиации.

В пределах индустрии атомной энергетики, комиссия ядерного регулирования США начала использовать методы вероятностной оценки риска (probabilistic risk assessment methods (PRA)), включая FTA в 1975 году, и значительно расширила исследования после инцидента в 1979 году на Три-Майл-Айленд. В конечном итоге это привело к публикации комиссией ядерного регулирования справочника по дереву неисправностей 1981 году, и к обязательному использованию PRA органов, которые она регулирует.

После следующих случаев промышленных бедствий, таких как Бхопальская катастрофа(1984) и взрыв на нефтяной платформе Piper Alpha (1988), в 1992 году Департамент труда США о безопасности и гигиене труда (OSHA) опубликовал в Федеральном реестре на 24.02.1992 свой процесс управления безопасностью полетов (PSM). OSHA PSM признает АДО как приемлемый метод для анализа опасностей (PHA).

FTA состоит из логических схем, которые отображают состояние системы, и построен с использованием графических методов проектирования.

Первоначально, инженеры были ответственны за развитие FTA, так как требовалось глубокое знание анализируемой системы.

Часто FTA определяется как другая часть, или метод, или надежность техники. Хотя в обеих моделях одинаковый основной аспект, они возникли из двух разных точек зрения. Надежность техники была, по большей части, разработана математиками, а открыта – инженерами.

FTA обычно включает в себя события изнашивания аппаратных средств, материала, неисправности или сочетания детерминированных вкладов в событие.

Частота отказов оценивается из исторических данных, таких как среднее время между отказами компонентов, блоков, подсистем или функций.

Прогнозирование и введение человеческого процента ошибок не является основной целью анализа дерева отказов, но он может быть использован, чтобы получить некоторое знание того, что происходит с человеческим неправильным вводом или после вмешательства в неподходящее время.

FTA может использоваться как ценный инструмент проектирования, который может выявить потенциальные отказы, позволяя исключить дорогостоящие конструктивные изменения.

FTA также может быть использован в качестве диагностического инструмента, предсказания вероятных системных ошибок при сбое системы.

Методика

АДО методика описана в нескольких отраслевых и государственных стандартах: NUREG СРН-0492 для атомной энергетики. Ориентированная на космос версия этого стандарта используется NASA, стандарт SAE ARP4761 для гражданской аэрокосмической отрасли, MIL–HDBK–338 – для военных систем. IEC стандарт предназначен для межотраслевого использования и был принят в качестве европейского стандарта EN 61025.

Так как ни одна система не совершенна, имеем дело с неисправностью подсистем. Любая работающая система в конечном итоге будет иметь неисправность в каком-нибудь месте.

Однако вероятность полного или частичного успеха выше полной или частичной неисправности.

Проведение FTA таким образом, не так утомительна, как построение дерева успехов.

Поскольку FTA для всей системы может быть дорогостоящим и громоздким, разумный метод заключается в рассмотрении подсистем.

Таким образом, решение небольшими системами может обеспечить меньшую вероятность ошибки работы, меньше системного анализа. После этого подсистемы интегрируются для образования хорошо проанализированной большой системы.

Нежелательное последствие берется в качестве корневого («главное событие») дерева логики. Логика для того, чтобы добраться до верхнего события может быть разнообразной.

Один из типов анализа, который может помочь — функциональный анализ опасности, основанный на опыте. Там должно быть только одно главное событие, и все задачи дерева должны идти вниз от него.

Затем каждая ситуация, которая может привести к такому эффекту, добавляется к дереву в виде серии логических выражений. Когда деревья отказов помечены реальными цифрами о вероятности неудачи, компьютерные программы могут вычислить вероятности неисправности из дерева неисправностей.

Дерево, как правило, написано с использованием обычных логических символов. Маршрут между событием и инициатором события называется сечением. Самый короткий путь от неисправности до исходного события называется минимальное сечение.

Некоторые отрасли промышленности используют как деревья отказов, так и деревья событий (см. PRA). Событие дерева начинается от нежелательного инициатора (потеря критического питания, отказа компонентов и т.д.) и следует возможным дальнейшим событиям системы через ряд окончательных последствий.

Новый узел на дереве добавляет разделяет вероятность, таким образом последовательно может быть обнаружена вероятность ряда верхних событий, связанных с исходным.

Графические символы

Основные символы, используемые при построении дерева отказов, делятся на символы событий, элементов и передачи.

Символы событий

Символы событий используются для первичных и промежуточных событий. Первичные события далее не развиваются на дереве отказов. Промежуточные события находятся на выходе элементов.

Символы событий показаны ниже:

Основное событие

Внешнее событие

Неразвитое событие

Принадлежность события

Промежуточное событие

Символы первичных событий, как правило, используются следующим образом:

Основное событие — сбой или ошибка в компоненте системы или элементе (например: выключатель заклинило в открытом положении)

Внешнее событие — обычно ожидается (само по себе не ошибка).

Неразвитое событие — событие, о котором не имеется достаточной информации или которое не имеет никакого значения.

Принадлежность события — условия, которые ограничивают или влияют на логические элементы.

Промежуточное событие можно использовать непосредственно над первичным событием, чтобы обеспечить больше места для ввода описания события. АДО использует движение сверху вниз.

Символы элементов

Символы элементов описывают отношения между входными и выходными событиями.

Символы событий следуют классической булевой логике:

Элемент «ИЛИ»

Элемент «И»

Исключительный элемент «ИЛИ»

Приоритетный элемент «И»

Блокирующий элемент

Элементы работают следующим образом:

Элемент «ИЛИ» — выходное событие происходит, если есть любое входное событие.

Элемент «И» — выходное событие происходит только тогда, когда происходят все входные (входы независимы).

Исключительный элемент «ИЛИ» — выходное событие происходит, если происходит только одно входное событие

Приоритетный элемент «И» — выход происходит, если входы происходят в определённой последовательности указанного события

Блокирующий элемент – выход происходит, если вход происходит при благоприятных условиях для указанного события

Элементы передачи

Элементы передачи используются для соединения входов и выходов соответствующих деревьев отказов, таких как дерево отказов подсистемы в своей системе.

Вход

Выход

Базовая математическая основа

События в дереве отказов связаны со статистической вероятностью, иными словами, вероятность каждого события оценивается на практике.

Например, сбои в работе компонентов, как правило, происходят с некоторой постоянной интенсивностью λ.

В этом простейшем случае вероятность отказа зависит от интенсивности λ, времени t и описывается экспоненциальным законом:

Вероятность того, что отказ данного узла или компоненты оборудования произойдет в течение t часов эксплуатации системы, равна 1 — exp(-λt).

Дерево отказов часто нормировано на заданном временном интервале, например, час полета или среднее время.

Вероятность события зависит от отношения функции опасности к данному интервалу.

В отличие от обычных диаграмм логических символов, в которых входы и выходы принимают двоичные значения (Правда – 1, ложь -0), символы вероятности выходного события дерева отказов связаны с набором операций булевой логики.

Вероятность выходного события зависит от вероятности события входа.

Символ «И» представляет собой сочетание независимых событий. Это значит, что любое событие входа не зависит от других событий входа. По теории множеств это равнозначно пересечению событий входа, вероятность выхода определяется по формуле:

P (A and B) = P (A∩B) = P (A)P(B)

«ИЛИ», наоборот, соответствует объединению.

P (A or B) = P (A ∪ B) = P(A) + P(B) — P (A ∩ B)

Так как вероятность отказа в дереве отказов, как правило, небольшая (<0.01), P (A∩B) обычно становится очень малым, выход символа «ИЛИ» может быть приблизительно оценен из предположения, что входы – взаимоисключающие события:

P (A or B) ≈ P(A) + P(B), P (A ∩ B) ≈ 0

Исключающий символ «ИЛИ» с 2 входами представляет собой вероятность того, что активны либо один, либо другой вход, но не оба одновременно:

P (A xor B) = P(A) + P(B) — 2P (A ∩ B)

Т.к. P (A∩B) обычно мало, исключающее «ИЛИ» имеет ограниченное значение в дереве отказов.

Анализ

Многие различные подходы могут быть использованы для моделирования FTA, но наиболее распространенные способы могут быть сведены в несколько шагов.

Одиночное дерево отказов используется для анализа только одного нежелательного события (верхнего), которое потом становится в другом дереве неисправностей основным событием.

Хотя природа нежелательного события может значительно варьироваться, FTA использует одну и ту же природу для любого нежелательного события, например, задержка в 0,25 мсек для получения электрической энергии или незамеченный пожар в грузовом отсеке.

Из-за затрат FTA применяется только для серьезных нежелательных последствий.

FTA включает 5 шагов:

1. Определить нежелательное событие

   Определение нежелательного события может быть очень трудным, хотя некоторые события просты и очевидны для наблюдения.

   Инженер с широким знанием конструкций системы или системный аналитик с техническим образованием является лучшим человеком для определения и подсчета нежелательных событий. Нежелательное событие используется для построения дерева отказов, одно событие для одного дерева.

   Никакие 2 события не могут быть использованы для построения одного дерева отказов.

2. Углубленное понимание причин.

   После того как нежелательное событие выбрано, все причины, которые влияют на нежелательное событие, с вероятностями 0 и более изучаются и анализируются.

   Получение точной цифры для вероятностей приводит к событию, которое обычно невозможно по причине того, что предсказать его может быть очень дорого и затратно по времени.

   Компьютерное программное обеспечение используется для изучения вероятностей, что позволяет снизить стоимость системного анализа.

   Системный анализ может помочь в понимании всей системы. Разработчики систем располагали полной информацией о системе, и это знание очень важно для того, чтобы не пропустить причины, влияющие на нежелательное событие.

   Для выбранного события все причины нумеруются, затем группируются в порядке появления и используются для следующего шага, который рисует и выстраивает дерево отказов.

3. Построение дерева отказов на основе изученных причин.

   После выбора нежелательного события и анализа системы, такого, что мы знаем все вызываемые эффекты ( и возможно их вероятности), мы можем построить дерево отказов. Дерево отказов основано на символах «И» и «ИЛИ», определяющих основные характеристики дерева неисправностей.

4. Оценка дерева отказов

   После того, как дерево отказов было собрано для определенного нежелательного события, оно оценивается и анализируется на предмет возможного улучшения или, другими словами, провести анализ рисков и найти пути улучшения системы.

   Этот этап является подготовительным для заключительного шага анализа, который будет контролировать идентификацию опасности. Итак, на этом этапе мы выявляем все возможные опасности, прямо или косвенно влияющие на систему.

5. Контроль определения опасности

   Этот шаг очень специфичный и отличается для различных систем, но главное то, что после идентификации опасности последуют методы для уменьшения вероятности возникновения.

Сравнение с другими аналитическими методами

FTA – дедуктивный, нисходящий метод, направленный на анализ последствий возникновения неисправностей и событий в сложной системе. Это противоположность анализу характера и последствий отказов (АХПО), который является индуктивным, восходящим методом анализа, направленным на анализ эффектов одного компонента или функции аварии на оборудовании или подсистеме.

FTA очень хорошо показывает, как устойчивые системы в одиночку или вместе инициируют неисправности. Это не хорошо для поиска всех возможных возникающих неисправностей. АХПО хорош для исчерпывающей классификации возникающих неисправностей, а так же для идентификации их локальных эффектов. Но он не подходит для изучения множественных отказов или их эффектов на системном уровне.

FTA рассматривает внешние события, АХПО нет.

В аэрокосмической отрасли в обычной практике выполняют оба анализа, АДО и АХПО, с суммарным эффектом режима неудач (СЭРН), в качестве интерфейса между АХПО и АДО.

Альтернативы FTA включают диаграмму зависимости (ДЗ), так же известную как блок-схема надежности или анализ Маркова. Диаграмма зависимости эквивалентна анализу дерева успехов (АДУ) и изображает систему, используя пути вместо символов.

В начало

Содержание портала

Анализ дерева событий (ETA) — это метод прямого, нисходящего логического моделирования как для успеха, так и для неудачи, который исследует реакции через одно исходное событие и прокладывает путь для оценки вероятностей результатов и общего анализа системы.^[1] Этот метод анализа используется для анализа последствий функционирования или неисправности систем с учетом того, что событие произошло.^[2] ETA — это мощный инструмент, который определит все последствия системы, которые имеют вероятность наступления после исходного события, который может быть применен к широкому спектру систем, включая: атомные электростанции, космический корабль, и химические заводы. Этот метод может применяться к системе на ранней стадии процесса проектирования, чтобы определить потенциальные проблемы, которые могут возникнуть, а не исправлять проблемы после того, как они возникают.^[3] Благодаря этому процессу прямой логики использование ETA в качестве инструмента оценки риска может помочь предотвратить возникновение негативных результатов, предоставив оценщику риска вероятность возникновения. ETA использует метод моделирования, называемый дерево событий, который разветвляет события от одного события, используя Логическая логика.

История

Название «Дерево событий» было впервые введено во время WASH-1400 Исследование безопасности атомной электростанции (около 1974 г.), где WASH-1400 команде нужен был альтернативный метод анализ дерева отказов из-за того, что деревья ошибок слишком велики. UKAEA впервые представило ETA в своих конструкторских бюро в 1968 году, хотя и не использовало дерево именных событий, первоначально для того, чтобы попытаться использовать оценку рисков всего предприятия для оптимизации конструкции парогенераторного тяжеловодного реактора мощностью 500 МВт. Это исследование показало, что ETA сжала анализ в удобной форме.^[1] Первоначально ETA не разрабатывалась во время WASH-1400, это был один из первых случаев, когда он был полностью использован. В исследовании UKAEA использовалось предположение, что защитные системы либо работают, либо не работают, при этом вероятность отказа на запрос рассчитывается с использованием деревьев отказов или аналогичных методов анализа. ETA идентифицирует все последовательности, следующие за исходным событием. Многие из этих последовательностей могут быть исключены из анализа, поскольку их частота или влияние слишком малы, чтобы повлиять на общий результат. Доклад, представленный на симпозиуме CREST в Мюнхене, Германия, в 1971 году.^[2] показывает, как это было сделано. Выводы исследования проекта WASH-1400 Агентством по охране окружающей среды США^[3] признает роль Ref 1 и его критику подхода максимально достоверной аварии, используемого AEC. MCA устанавливает целевые показатели надежности для защитной оболочки, но для всех других систем безопасности устанавливаются более мелкие, но более частые аварии, и MCA может их пропустить.

В 2009 году был проведен анализ рисков при проходке подводного тоннеля под Река Хан в Корея с использованием типа баланса давления грунта тоннелепроходческий станок. ETA использовалось для количественной оценки риска путем определения вероятности возникновения события на этапах предварительного проектирования строительства туннеля с целью предотвращения любых травм или смертельных случаев, поскольку при строительстве туннеля в Корее наблюдается самый высокий уровень травматизма и смертности в категории строительства.^[4]

Теория

Выполнение вероятностная оценка риска начинается с набора исходных событий, которые изменяют состояние или конфигурацию системы.^[3] Инициирующее событие — это событие, которое запускает реакцию, например способ, которым искра (инициирующее событие) может вызвать пожар, который может привести к другим событиям (промежуточным событиям), таким как сгорание дерева, и, наконец, результат, например , сгоревшее дерево больше не дает яблок в пищу. Каждое исходное событие ведет к другому событию и продолжается по этому пути, где вероятность возникновения каждого промежуточного события может быть рассчитана с использованием анализа дерева отказов, пока не будет достигнуто конечное состояние (результат дерева, больше не дающего яблоки для еды).^[3] Промежуточные события обычно делятся на двоичный (успех / неудача или да / нет), но может быть разделено более чем на два, если события взаимоисключающий, что означает, что они не могут происходить одновременно. Если искра является исходным событием, существует вероятность того, что искра вызовет пожар или не приведет к возникновению огня (двоичное «да» или «нет»), а также вероятность того, что огонь распространяется на дерево или не распространяется на дерево. Конечные состояния классифицируются по группам, которые могут быть успешными или серьезностью последствий. Примером успеха может быть то, что пожар не начался, а дерево все еще давало яблоки для еды, в то время как серьезность последствий была бы в том, что пожар действительно начался, и мы потеряли яблоки как источник пищи. Конечными состояниями потери может быть любое состояние в конце пути, которое является отрицательным результатом инициирующего события. Конечное состояние потерь сильно зависит от системы, например, если вы измеряли качество процесса на заводе, конечным или конечным состоянием потери или конечного состояния было бы то, что продукт необходимо переработать или выбросить в мусор. Некоторые общие конечные состояния потерь:^[3]

• Гибель персонала или травмы / болезнь персонала^[3]
• Повреждение или потеря оборудования или имущества (включая программное обеспечение)^[3]
• Неожиданный или побочный ущерб в результате испытаний
• Провал миссии^[3]
• Потеря доступности системы^[3]
• Ущерб окружающей среде^[3]

Методология

Общая цель анализа дерева событий состоит в том, чтобы определить вероятность возможных негативных результатов, которые могут причинить вред в результате выбранного исходного события. Для построения диаграммы дерева событий необходимо использовать подробную информацию о системе, чтобы понять промежуточные события, сценарии аварий и исходные события. Дерево событий начинается с исходного события, где последствия этого события следуют двоичным образом (успех / неудача). Каждое событие создает путь, в котором произойдет серия успехов или неудач, где можно рассчитать общую вероятность возникновения для этого пути. Вероятности отказов для промежуточных событий можно рассчитать с помощью анализ дерева отказов и вероятность успеха может быть рассчитана из 1 = вероятность успеха (ps) + вероятность неудачи (pf).^[3] Например, в уравнении 1 = (ps) + (pf), если мы знаем, что pf = .1 из анализа дерева отказов, то с помощью простой алгебры мы можем решить для ps, где ps = (1) — (pf), тогда мы будем иметь ps = (1) — (.1) и ps = .9.

Диаграмма дерева событий моделирует все возможные пути от исходного события. Инициирующее событие начинается с левой стороны в виде горизонтальной линии, которая разветвляется вертикально. вертикальная ветвь представляет успех / неудачу исходного события. В конце вертикальной ветви сверху и снизу проведена горизонтальная линия, представляющая успех или неудачу первого события, где описание (обычно успех или неудача) записано с тегом, представляющим путь, например 1s, где s — это успех, а 1 — номер события, аналогично 1f, где 1 — номер события, а f — сбой (см. прилагаемую диаграмму). Этот процесс продолжается до достижения конечного состояния. Когда диаграмма дерева событий достигает конечного состояния для всех путей, записывается уравнение вероятности исхода.^[1][3]

Шаги для выполнения анализа дерева событий:^[1][3]

1. Определите систему: Определите, что нужно задействовать или где провести границы.
2. Определите сценарии аварий: Выполните оценку системы, чтобы найти сценарии опасностей или аварий в проекте системы.
3. Определите исходные события: Использовать анализ опасности для определения исходных событий.
4. Определите промежуточные события: Определить контрмеры связанный с конкретным сценарием.
5. Постройте диаграмму дерева событий
6. Получите вероятности отказа события: Если вероятность отказа не может быть получена, используйте анализ дерева отказов рассчитать это.
7. Определите риск исхода: Рассчитайте общую вероятность путей событий и определите рисковать.
8. Оцените риск исхода: Оцените рисковать каждого пути и определите его приемлемость.
9. Рекомендовать корректирующие действия: Если исход рисковать пути неприемлемо разработать конструктивные изменения, которые изменяют рисковать.
10. Задокументируйте ETA: Задокументируйте весь процесс на диаграммах дерева событий и обновляйте новую информацию по мере необходимости.

Математические понятия

1 = (вероятность успеха) + (вероятность неудачи)

Вероятность успеха может быть выведена из вероятности неудачи.

Общая вероятность пути = (вероятность события 1) × (вероятность события 2) × … × (вероятность события n)

В анализе рисков

Анализ дерева событий может использоваться при оценке риска путем определения вероятности, которая используется для определения риска при умножении на опасность событий. Анализ дерева событий позволяет легко увидеть, какой путь создает наибольшую вероятность отказа для конкретной системы. Обычно обнаруживаются одноточечные отказы, у которых нет промежуточных событий между исходным событием и отказом. С помощью анализа дерева событий можно нацелить на отказ в одной точке, чтобы включить промежуточный этап, который снизит общую вероятность отказа и, таким образом, снизит риск системы. Идея добавления промежуточного события может произойти в любом месте системы для любого пути, который создает слишком большой риск, добавленное промежуточное событие может снизить вероятность и, таким образом, снизить риск.

Преимущества

• Позволяет оценивать множественные сосуществующие неисправности и отказы^[1]
• Работает одновременно в случае неудачи и успеха^[1]
• Не нужно предвидеть конечных событий^[1]
• Области отказа единой точки, уязвимости системы и мер противодействия с низкой отдачей могут быть выявлены и оценены для правильного развертывания ресурсов.^[1]
• пути в системе, ведущие к отказу, могут быть идентифицированы и отслежены для выявления неэффективных контрмер.^[1]
• Работу можно компьютеризировать^[3]
• Может выполняться на разном уровне детализации^[3]
• Визуальная причинно-следственная связь^[3]
• Относительно легко изучить и выполнить^[3]
• Моделирует сложные системы в понятной форме^[3]
• Прослеживает пути разломов через границы системы^[3]
• Сочетает в себе оборудование, программное обеспечение, среду и взаимодействие с человеком^[3]
• Позволяет оценить вероятность^[3]
• Доступно коммерческое программное обеспечение^[3]

Ограничения

• Обращается только к одному исходному событию за раз.^[1]
• Первоначальный вызов должен быть определен аналитиком.^[1]
• Пути должны быть определены аналитиком^[1]
• Уровень потерь для каждого пути не может быть различим без дальнейшего анализа.^[1]
• Трудно определить вероятность успеха или неудачи.^[1]
• Может игнорировать тонкие системные различия^[3]
• Частичные успехи / неудачи не различимы^[3]
• Требуется аналитик с практической подготовкой и опытом^[3]

Программного обеспечения

Хотя ETA может быть относительно простым, программное обеспечение может использоваться для более сложных систем для построения диаграммы и более быстрого выполнения расчетов с уменьшением человеческих ошибок в процессе. Существует множество типов программного обеспечения, помогающего проводить расчетное время прибытия. В атомной отрасли широко используется программное обеспечение RiskSpectrum PSA, которое имеет как анализ дерева событий, так и анализ дерева отказов. Профессионального уровня свободное программное обеспечение решения также широко доступны. КАТИСЬ это пример инструмента с открытым исходным кодом, который реализует Формат обмена модели Open-PSA открытый стандарт для приложений вероятностной оценки безопасности.

Смотрите также

• Анализ дерева отказов
• Виды отказов и анализ последствий

использованная литература