Что такое дерево отказов
Анализ дерева отказов (Fault tree analysis (FTA))
Анализ дерева отказов (АДО) или в английской терминологии FTA метод анализа отказов сложных систем, в котором нежелательные состояния или отказы системы анализируются с помощью методов булевой алгебры, объединяя последовательность нижестоящих событий (отказов низшего уровня), которые приводят к отказу всей системы.
Анализ дерева отказов интенсивно используется в различных отраслях, например, машиностроении, чтобы понять, как система может выйти из строя, выявить способ уменьшения рисков или определения частоты системного отказа.
Анализ дерева отказов эффективно используется в аэрокосмической отрасли, атомной энергетике, химической и перерабатывающих отраслях, в фармацевтической, нефтехимической и других, связанных с высокой степенью риска.
В аэрокосмической отрасли используется более общий термин «Условие отказа системы» для обозначения «нежелательного состояния»/ Верхнего события дерева неисправностей.
Условия отказа классифицируются по тяжести последствий. Наиболее тяжелые условия требуют наиболее обширного анализа дерева отказов.
Эти «условия отказа системы» и их классификация часто предварительно определяются в функциональном анализе опасностей и рисков возникновения отказов.
FTA или АДО эффективно используются, чтобы:
История
FTA был первоначально разработан в 1962 году в «Bell Laboratories» Уотсоном, по контракту с подразделением баллистических систем ВВС США для того, чтобы оценить систему Launch Control межконтинентальной баллистической ракеты (МБР) Minuteman I.
Использование деревьев неисправностей с тех пор получило широкую поддержку и часто используется экспертами в качестве инструмента анализа отказов по степени надежности.
После первого использования опубликованных результатов использования АДО в 1962 для запуска исследования контроля безопасности Minuteman I, Boeing и AVCO нашли расширенное применение FTA для всей системы Minuteman II в 1963-1964 гг. FTA получил широкое освещение в 1965 году на симпозиуме по системам безопасности в Сиэтле при поддержке Boeing и Вашингтонского университета. Boeing начал использовать АДО для гражданских самолетов дизайна 1966 года.
В 1970 году Федеральная авиационная администрация США (FAA) опубликовало изменения в 14 CFR 25,1309 норме летной годности для самолетов транспортной категории в Федеральном реестре на 35 FR 5665 (1970-04-08). Это изменение принимало критерий вероятности отказа для самолетных систем и оборудования, что привело к широкому использованию FTA в гражданской авиации.
В пределах индустрии атомной энергетики, комиссия ядерного регулирования США начала использовать методы вероятностной оценки риска (probabilistic risk assessment methods (PRA)), включая FTA в 1975 году, и значительно расширила исследования после инцидента в 1979 году на Три-Майл-Айленд. В конечном итоге это привело к публикации комиссией ядерного регулирования справочника по дереву неисправностей 1981 году, и к обязательному использованию PRA органов, которые она регулирует.
FTA состоит из логических схем, которые отображают состояние системы, и построен с использованием графических методов проектирования.
Первоначально, инженеры были ответственны за развитие FTA, так как требовалось глубокое знание анализируемой системы.
Часто FTA определяется как другая часть, или метод, или надежность техники. Хотя в обеих моделях одинаковый основной аспект, они возникли из двух разных точек зрения. Надежность техники была, по большей части, разработана математиками, а открыта – инженерами.
FTA обычно включает в себя события изнашивания аппаратных средств, материала, неисправности или сочетания детерминированных вкладов в событие.
Частота отказов оценивается из исторических данных, таких как среднее время между отказами компонентов, блоков, подсистем или функций.
Прогнозирование и введение человеческого процента ошибок не является основной целью анализа дерева отказов, но он может быть использован, чтобы получить некоторое знание того, что происходит с человеческим неправильным вводом или после вмешательства в неподходящее время.
FTA может использоваться как ценный инструмент проектирования, который может выявить потенциальные отказы, позволяя исключить дорогостоящие конструктивные изменения.
FTA также может быть использован в качестве диагностического инструмента, предсказания вероятных системных ошибок при сбое системы.
Методика
АДО методика описана в нескольких отраслевых и государственных стандартах: NUREG СРН-0492 для атомной энергетики. Ориентированная на космос версия этого стандарта используется NASA, стандарт SAE ARP4761 для гражданской аэрокосмической отрасли, MIL–HDBK–338 – для военных систем. IEC стандарт предназначен для межотраслевого использования и был принят в качестве европейского стандарта EN 61025.
Так как ни одна система не совершенна, имеем дело с неисправностью подсистем. Любая работающая система в конечном итоге будет иметь неисправность в каком-нибудь месте.
Однако вероятность полного или частичного успеха выше полной или частичной неисправности.
Проведение FTA таким образом, не так утомительна, как построение дерева успехов.
Поскольку FTA для всей системы может быть дорогостоящим и громоздким, разумный метод заключается в рассмотрении подсистем.
Таким образом, решение небольшими системами может обеспечить меньшую вероятность ошибки работы, меньше системного анализа. После этого подсистемы интегрируются для образования хорошо проанализированной большой системы.
Нежелательное последствие берется в качестве корневого («главное событие») дерева логики. Логика для того, чтобы добраться до верхнего события может быть разнообразной.
Затем каждая ситуация, которая может привести к такому эффекту, добавляется к дереву в виде серии логических выражений. Когда деревья отказов помечены реальными цифрами о вероятности неудачи, компьютерные программы могут вычислить вероятности неисправности из дерева неисправностей.
Дерево, как правило, написано с использованием обычных логических символов. Маршрут между событием и инициатором события называется сечением. Самый короткий путь от неисправности до исходного события называется минимальное сечение.
Некоторые отрасли промышленности используют как деревья отказов, так и деревья событий (см. PRA). Событие дерева начинается от нежелательного инициатора (потеря критического питания, отказа компонентов и т.д.) и следует возможным дальнейшим событиям системы через ряд окончательных последствий.
Новый узел на дереве добавляет разделяет вероятность, таким образом последовательно может быть обнаружена вероятность ряда верхних событий, связанных с исходным.
Графические символы
Основные символы, используемые при построении дерева отказов, делятся на символы событий, элементов и передачи.
Символы событий
Символы событий используются для первичных и промежуточных событий. Первичные события далее не развиваются на дереве отказов. Промежуточные события находятся на выходе элементов.
Символы событий показаны ниже:
Символы первичных событий, как правило, используются следующим образом:
Промежуточное событие можно использовать непосредственно над первичным событием, чтобы обеспечить больше места для ввода описания события. АДО использует движение сверху вниз.
Символы элементов
Символы элементов описывают отношения между входными и выходными событиями.
Символы событий следуют классической булевой логике:
Исключительный элемент «ИЛИ»
Приоритетный элемент «И»
Элементы работают следующим образом:
Блокирующий элемент – выход происходит, если вход происходит при благоприятных условиях для указанного события
Элементы передачи
Элементы передачи используются для соединения входов и выходов соответствующих деревьев отказов, таких как дерево отказов подсистемы в своей системе.
Базовая математическая основа
События в дереве отказов связаны со статистической вероятностью, иными словами, вероятность каждого события оценивается на практике.
Например, сбои в работе компонентов, как правило, происходят с некоторой постоянной интенсивностью λ.
В этом простейшем случае вероятность отказа зависит от интенсивности λ, времени t и описывается экспоненциальным законом:
Дерево отказов часто нормировано на заданном временном интервале, например, час полета или среднее время.
Вероятность события зависит от отношения функции опасности к данному интервалу.
Вероятность выходного события зависит от вероятности события входа.
Символ «И» представляет собой сочетание независимых событий. Это значит, что любое событие входа не зависит от других событий входа. По теории множеств это равнозначно пересечению событий входа, вероятность выхода определяется по формуле:
P (A and B) = P (A∩B) = P (A)P(B)
«ИЛИ», наоборот, соответствует объединению.
Что такое дерево отказов
 |
Тщательному анализу причин отказов и выработке мероприятий, наиболее эффективных для их устранения, способствует построение дерева отказов и неработоспособных состояний. Такой анализ проводят для каждого периода функционирования, каждой части или системы в целом.
Дерево отказов (аварий, происшествий, последствий, нежелательных событий, несчастных случаев и пр.) лежит в основе логико-вероятностной модели причинно-следственных связей отказов системы с отказами ее элементов и другими событиями (воздействиями); при анализе возникновения отказа состоит из последовательностей и комбинаций нарушений и неисправностей, и таким образом оно представляет собой многоуровневую графологическую структуру причинных взаимосвязей, полученных в результате прослеживания опасных ситуаций в обратном порядке, для того чтобы отыскать возможные причины их возникновения (рис. 6.8.1).
Ценность дерева отказов заключается в следующем:
— анализ ориентируется на нахождение отказов;
— позволяет показать в явном виде ненадежные места;
— обеспечивается графикой и представляет наглядный материал для той части работников, которые принимают участие в обслуживании системы;
— дает возможность выполнять качественный или количественный анализ надежности системы;
— метод позволяет специалистам поочередно сосредотачиваться на отдельных конкретных отказах системы;
— обеспечивает глубокое представление о поведении системы и проникновение в процесс ее работы;
— являются средством общения специалистов, поскольку они представлены в четкой наглядной форме;
Рис. 6.8.1. Граф дерева отказов
— помогает дедуктивно выявлять отказы;
— дает конструкторам, пользователям и руководителям возможность наглядного обоснования конструктивных изменений или установления степени соответствия конструкции системы заданным требованиям и анализа компромиссных решений;
— облегчает анализ надежности сложных систем.
Главное преимущество дерева отказов (по сравнению с другими методами) заключается в том, что анализ ограничивается выявлением только тех элементов системы и событий, которые приводят к данному конкретному отказу системы или аварии.
Недостатки дерева отказов состоят в следующем:
— реализация метода требует значительных затрат средств и времени;
— дерево отказов представляет собой схему булевой логики, на которой показывают только два состояния: рабочее и отказавшее;
— трудно учесть состояние частичного отказа элементов, поскольку при использовании метода, как правило, считают, что система находится либо в исправном состоянии, либо в состоянии отказа;
— трудности в общем случае аналитического решения для деревьев, содержащие резервные узлы и восстанавливаемые узлы с приоритетами, не говоря уже о тех значительных усилиях, которые требуются для охвата всех видов множественных отказов;
— требует от специалистов по надежности глубокого понимания системы и конкретного рассмотрения каждый раз только одного определенного отказа;
— дерево отказов описывает систему в определенный момент времени (обычно в установившемся режиме), и последовательности событий могут быть показаны с большим трудом, иногда это оказывается невозможным. Это справедливо для систем, имеющих сложные контуры регулирования.
Чтобы отыскать и наглядно представить причинную взаимосвязь с помощью дерева отказов, необходимы элементарные блоки, подразделяющие и связывающие большое число событий. Имеется два типа блоков: логические символы (знаки) и символы событий.
Логические символы. Логические символы (знаки) связывают события в соответствии с их причинными взаимосвязями. Обозначения логических знаков приведены в табл. 6.8.1. Логический символ (знак) может иметь один или несколько входов, но только один выход, или выходное событие.
Логический знак «И» (схема совпадения). Выходное событие логического знака И наступает в том случае, если все входные события появляются одновременно.
Правило применения логического знака И. Если имеются несколько причин, которые должны появиться одновременно, то обычно используют операцию И. Входы операции должны отвечать на вопрос: «Что необходимо для появления выходного события?».
Таблица 6.8.1
Логические символы
Логический знак «ИЛИ» (схема объединения). Выходное событие логического знака ИЛИ наступает в том случае, если имеет место любое из входных событий.
Правило формулирования событий. События, входные по отношению к операции ИЛИ, должны формулироваться так, чтобы они вместе исчерпывали все возможные пути появления выходного события. Кроме того, любое из входных событий должно приводить к появлению выходного события.
Правило не дает способа описания событий, но оно должно выполняться при построении дерева отказа.
Правило применения логического знака ИЛИ. Если любая из причин приводит к появлению выходного события, следует использовать операцию ИЛИ. Входы операции отвечают на вопрос: «Какие события достаточны для появления выходного события?».
Порядок применения логических знаков И и ИЛИ. Для любого события, подлежащего дальнейшему анализу, вначале рассматриваются все возможные события, являющиеся входами операций ИЛИ, затем входы операций И. Это справедливо как для головного события, так и для любого события, анализ которого целесообразно продолжить.
Рис. 6.8.2. Пример использования логических знаков И и ИЛИ
Причинные связи, выраженные логическими знаками И и ИЛИ, являются детерминированными, так как появление выходного события полностью определяется входными событиями.
Логический знак запрета. Шестиугольник, являющийся логическим знаком запрета и расположенный в строке 3 табл.6.8.1, используется для представления вероятностных причинных связей. Событие, помещенное под логическим знаком запрета на рис.6.8.5,а называется входным событием, в то время, как событие, расположенное сбоку от логического знака, называется условным событием. Условное событие принимает форму события при условии появления входного события. Выходное событие происходит, если и входное и условное событие имеют место. Другими словами, входное событие вызывает выходное событие с вероятностью (обычно постоянной) появления условного события. Логический знак запрета часто появляется в тех случаях, когда событие вызывается по требованию. Он используется главным образом для удобств и может быть заменен логическим знаком И, как показано на рис. 6.8.5,б.
Рис. 6.8.3. Пример использования логического знака запрета (а) и замены его логическим знаком И (б) Логический знак «приоритетное И» (строка 4 в табл.6.8.1) эквивалентен логическому знаку И с дополнительным требованием того, чтобы события на входе происходили в определенном порядке.
Событие на выходе появляется, если события на входе происходят в определенной последовательности (слева направо). Появление событий на входе в другом порядке не вызывает события на выходе. Рассмотрим, например, систему, имеющую основной источник питания и резервный. Резервный источник питания включается в работу автоматически переключателем, когда отказывает основной источник. Питание в системе отсутствует, если:
1) отказывают как основной, так и резервный источники;
2) сначала выходит из строя переключатель, а затем отказывает основной источник питания.
Предполагается, что, если за отказом переключателя следует отказ основного источника, это не приведет к потере питания при условии нормальной работы резервного источника. Причинные связи в системе показаны на рис.6.8.7. Логический символ «приоритетное И» может быть представлен сочетанием «логического И» и знака «запрета», а следовательно, эти логические знаки являются эквивалентом «логического И». Условным событием для «логического запрета» является то, что входные события логического знака И происходят в определенной последовательности. Эквивалентное представление дерева, изображенного на рис.6.8.4, показано на рис.6.8.5.
Рис. 6.8.4. Пример использования логического знака «приоритетное И»
Логический символ «исключающее ИЛИ» (строка 5 в табл. 6.8.1) описывает ситуацию, в которой событие на выходе появляется, если одно из двух (но не оба) событий происходят на входе. В качестве примера рассмотрим систему, питаемую от двух генераторов. Частичная потеря мощности может быть представлена элементом «исключающее ИЛИ», показанным на рис. 6.8.5. «Исключающее ИЛИ» может быть заменено комбинацией логических элементов И и ИЛИ, что проиллюстрировано на рис.6.8,6. Обычно в дереве отказов избегают использования работоспособных состояний, таких как «генератор работает», так как они в значительной степени усложняют количественный анализ. Разумным подходом является замена логического знака «исключающее ИЛИ» комбинацией знаков И и ИЛИ.
Рис. 6.8.5. Эквивалентное представление логического знака «приоритетное И»
Рис. 6.8.6 Пример использования логического знака «исключающее ИЛИ» (а) и его эквивалентное представление (б)
Логический знак голосования m из n (строка 6 в табл. 6.8.1) имеет n событий на входе, а событие на выходе появляется, если происходят по меньшей мере m из n событий на входе. Рассмотрим систему выключения, состоящую из трех контрольных приборов. Предположим, что выключение системы происходит тогда и только тогда, когда два из трех контрольных приборов выдают сигнал о выключении. Таким образом, ненужное выключение системы происходит, если два или большее число контрольных приборов подадут ложный сигнал на выключение, в то время как система находится в нормальном состоянии.
Эту ситуацию можно представить с помощью логического элемента «два из трех», как показано на рис. 6.8.7, а. Элемент голосования (выбора) эквивалентен комбинации из логических элементов И и ИЛИ, как проиллюстрировано на рис. 6.8.7,б.
Рис. 6.8.7,а. Пример применения логического знака «два из трех»
Рис. 6.8.7,б. Эквивалентное представление логического знака «два из трех»
Можно ввести новые логические знаки для представления специальных типов первичных связей. Однако большинство специальных логических символов можно заменить комбинацией логических И и ИЛИ.
Символы событий. Символы событий приведены в табл. 6.8.2.
Таблица 6.8.2
Прямоугольный блок обозначает событие отказа, которое возникает в результате более элементарных, исходных отказов, соединенных с помощью логических элементов.
Рис. 6.8.8. Пример использования символов событий «круг» и «ромб»
Круглый блок обозначает исходный отказ (исходное событие) отдельного элемента (в пределах данной системы или окружающей среды), который определяет таким образом разрешающую способность данного дерева отказов (рис. 6.8.8).
Для того чтобы получить количественные результаты с помощью дерева отказов, круглые блоки должны представлять события, для которых имеются данные по надежности и они называются исходными событиями. «Отказ клапана из-за износа» может быть примером исходного отказа элемента и помещается в круг. Обычно такое событие обусловливается определенным элементом и, когда оно происходит, этот элемент необходимо отремонтировать или заменить.
Ромбы используются для обозначения детально не разработанных событий в том смысле, что детальный анализ не доведен до исходных типов отказов в силу отсутствия необходимой информации, средств иди времени. «Авария из-за саботажа или диверсии» является примером детально не разработанного события. Часто такие события не увеличиваются при количественном анализе. Они включаются на начальном этапе и их присутствие служит показателем глубины и ограничений данного исследования.
Если есть необходимость в более детальной разработке события «пульсация напряжения в цепи», то следует использовать прямоугольник, для того чтобы показать, что событие не разработано до более элементарного уровня. Затем необходимо вернуться назад и проанализировать, например, такие элементы, как генератор или другие аппараты в данной схеме.
Применение символа в виде домика проиллюстрировано на рис.6.8.9. Когда событие включается в рассмотрение, предполагается, что контрольный прибор 1 вырабатывает ложный сигнал. Таким образом, получаем логический знак «один из двух», т.е. простой знак ИЛИ с двумя входами II и III. Если событие в домике исключается из рассмотрения, получаем простой логический знак И.
В строке 6 табл. 6.8.3 помещена пара треугольных символов: треугольник переноса «ИЗ» и треугольник переноса «В». обозначающих два подобных типа причинных взаимосвязей. Обоим треугольникам присвоен одинаковый порядковый номер. Треугольник переноса «ИЗ» соединяется с логическим символом сбоку, а у треугольника переноса «В» линия связи проходит от вершины к другому логическому символу. Треугольники используются для того, чтобы упростить изображение дерева отказов.
Рис. 6.8.9. Пример использования символа «домик»
Эвристические правила. Ниже описываются некоторые эвристические правила, используемые для построения дерева отказов. Эти правила сведены в табл. 6.8.3 и проиллюстрированы на рис.6.8.10 и рис.6.8.11, согласно которым следует:
1. Заменять абстрактные события менее абстрактными, например событие «электродвигатель работает слишком долго» на событие «ток через электродвигатель протекает слишком долго».
Рис. 6.8.10. Разработка отказа элемента (событие «состояние элемента»)
Рис. 6.8.11. Порядок упрощения с помощью ветви, имеющей нулевую вероятность (а) и очень высокую вероятность (б)
2. Разделять события на более элементарные, например событие «взрыв бака» заменять на событие «взрыв за счет переполнения» или «взрыв в результате реакции, вышедшей из-под контроля».
3. Точно определять причины событий, например событие «вышедшее из-под контроля» заменять на событие «избыточная подача» или «прекращение охлаждения».
4. Связывать инициирующие события с событием типа «отсутствие защитных действий», например событие «перегрев» заменять на событие «отсутствие охлаждения» в сочетании с событием «нет выключения системы».
5. Отыскивать совместно действующие причины событий, например событие «пожар» заменять на два события «утечка горючей жидкости» и «искрение реле».
6. Точно указывать место отказа элемента, например событие «нет напряжения на электродвигателе» заменять на событие «нет тока в кабеле»; другой пример: событие «нет охлаждающей жидкости» заменять на событие «главный клапан закрыт» в сочетании с событием «нет открытия отводного клапана».
7. Детально разрабатывать отказы элементов в соответствии со схемой, приведенной на рис. 6.8.11. Прослеживая события в обратном направлении в поисках более элементарных событий, обычно можно обнаружить отказы отдельных элементов. Эти события, в свою очередь, могут быть разработаны по схеме, показанной на рис. 6.8.11.
Если событие, заключенное в прямоугольнике, может быть детально разработано по схеме, показанной на рис. 6.8.11, то его называют «состояние элемента». В противном случае событие называют «состояние системы». Для события «состояние системы» нельзя выделить определенный элемент, который является единственной причиной данного события. Сразу несколько элементов или даже отдельные подсистемы определяют это событие. Такие события следует разрабатывать, руководствуясь первыми шестью правилами, до тех пор, пока не выявятся события «состояние элемента».
8. Упрощать дерево отказов как в процессе его построения, так и после того, как оно построено путем упрощения ветвей, имеющих нулевую или очень высокую вероятность появления событий (рис.6.8.12).
Процедура построения, содержание анализа и структура дерева отказов
Существо метода заключается в построении структурной схемы дерева отказов системы и ее анализе. Основной принцип построения дерева отказов заключается в последовательной постановке вопроса: по каким причинам может произойти отказ системы, т.е. анализ осуществляется «сверху вниз».
Обычно предполагается, что исследователь, прежде чем приступить к построению дерева отказов, тщательно изучает систему. Поэтому описание системы должно быть частью документации, составленной в ходе такого изучения.
Процедура построения дерева отказов включает, как правило, следующие этапы:
1. Определение нежелательного (завершающего) события в рассматриваемой системе.
2. Тщательное изучение возможного поведения и предполагаемого режима использования системы.
3. Определение функциональных свойств событий более высокого уровня для выявления причин тех или иных неисправностей системы и проведение более глубокого анализа поведения системы с целью выявления логической взаимосвязи событий более низкого уровня, способных привести к отказу системы.
4. Собственно построение дерева отказов для логически связанных событий на входе. Эти события должны определяться в терминах идентифицируемых независимых первичных отказов.
Чтобы получить количественные результаты для завершающего нежелательного события, необходимо задать вероятность отказа, коэффициент неготовности, интенсивность отказов, интенсивность восстановлений и другие показатели, характеризующие первичные события, при условии, что события дерева отказов не являются избыточными (не приводящими к аварии).
Более строгий и систематический анализ предусматривает выполнение таких процедур, как (1) определение границ системы, (2) построение дерева неисправностей, (3) качественная оценка, (4) количественная оценка.
Случай первичного отказа. Напомним, что отказ элемента называется первичным, если он происходит в расчетных условиях функционирования системы. Построение ДО на основе учета лишь такого рода отказов не представляет большой сложности, так как дерево строится только до той точки, где идентифицируемые первичные отказы элементов вызывают отказ системы.
Дерево отказов для этой системы показано на рис.6.8.12. Основными (первичными) событиями ДО являются (1) отказ источника питания Е1, (2) отказ предохранителя Е2, (3) отказ выключателя Е3 и (4) перегорание лампочки Е4.
Случай вторичного отказа. В этом случае требуется более глубокое исследование системы. При этом анализ выходит за рамки рассмотрения системы на уровне отказов ее основных элементов, поскольку вторичные отказы вызываются неблагоприятным воздействием окружающих условий или чрезмерными нагрузками на элемент системы в процессе ее эксплуатации.
ПРИМЕР. На рис. 6.8.13 показаны электрическая схема системы и простое дерево отказов с завершающим событием «отказ двигателя».
Вторичные отказы возникают из-за причин, которые лежат за пределами, заданными техническими условиями, таких как:
— неправильное техническое обслуживание Х (например, некондиционная смазка подшипников электродвигателя);
— аномальные условия эксплуатации Y, это может быть переработка (например, выключатель остался включенным после предыдущего запуска, что вызвало перегрев обмотки электродвигателя, который, в свою очередь, привел к короткому замыканию или обрыву цепи);
— воздействие на условия работы параметров внешней окружающей среды Z (например, внешняя катастрофа: пожар, наводнение и т.п.).
