FTA - Analiza drzewa błędów

Wprowadzenie

Analiza drzewa błędów - FTA (ang. Fault Tree Analysis), znana także jako Analiza drzewa niezdatności to metoda służąca do identyfikacji i oceny powiązań przyczynowo-skutkowych prowadzących do wystąpienia określonego błędu (wady). FTA pomaga lepiej ocenić, które z przyczyn danego zjawiska należy najpierw zredukować (lub usunąć), aby podnieść niezawodność systemu. Ta metoda pozwala również oszacować prawdopodobieństwo wystąpienia analizowanego błędu (tzw. analiza ilościowa).

FTA znajduje szerokie zastosowanie w analizie bezpieczeństwa oraz niezawodności systemów, szczególnie w branży wojskowej, nuklearnej, lotniczej oraz kosmicznej. Może być z powodzeniem zastosowana w czasie rozwiązywania trudniejszych technicznie problemów w ramach Metody 8D czy też jej wariantu Global 8D (G8D). FTA jest oczywiście bardzo przydatna w ramach Design For Reliability - czyli projektowania pod kątem niezawodności.

Niniejszy artykuł stanowi wprowadzenie do metody FTA. Poznasz w nim podstawowe zasady tworzenia drzew błędów, nieco zaleceń oraz sugerowane standardy.

Zapraszam do lektury :)

Historia FTA

• 1962. W latach 1961-1962 metoda FTA została opracowana przez H.A. Watsona z Bell Laboratories na zlecenie Sił Powietrznych Stanów Zjednoczonych (USAF) w ramach analizy systemu kontroli wystrzeliwania rakiet Minuteman I.[1]
• 1963. FTA została zastosowana przez firmę Boeing w całym programie Minuteman II, a następnie wykorzystana podczas projektowania samolotów cywilnych tej firmy.[1]
• 1965. Boeing, we współpracy z Uniwersytetem Waszyngtońskim, zaprezentował metodę FTA na konferencji System Safety Conference w Seattle.[1]
• 1967. Po katastrofie misji Apollo 1, Boeing wykorzystał FTA w celu usprawnienia systemów bezpieczeństwa programu Apollo, współpracując przy tym z NASA.[1]
• 1970+. Przemysł jądrowy zaadaptował i rozwinął metodologię FTA, popularyzując jej zastosowanie w elektrowniach atomowych.
• 1980+. Metoda FTA zaczęła być wykorzystywana w kolejnych sektorach przemysłu, m.in. chemicznym i motoryzacyjnym, wspierając ocenę ryzyka i zwiększanie niezawodności systemów.

Co to jest FTA?

Analiza FTA to metoda dedukcyjna, czyli taka, w której analizę prowadzi się od ogółu do szczegółu — innymi słowy: od ogólnych przesłanek (np. finalnego efektu lub problemu) do identyfikacji jego możliwych przyczyn.

Metoda FTA opiera się na specjalnym rodzaju grafu logicznego, w którym buduje się i analizuje tzw. drzewo błędów (ang. fault tree). Stąd pochodzi nazwa FTA - Fault Tree Analysis, czyli analiza drzewa błędów.

W analizie FTA tym "ogółem" jest konkretne, wybrane zdarzenie niepożądane - błąd, usterka lub problem, który chcemy przeanalizować. W terminologii FTA określa się je jako zdarzenie szczytowe lub zdarzenie główne (ang. Top Event). Jest ono wynikiem działania wszystkich zdarzeń wejściowych (ang. Input Events).[2]

Niektóre zdarzenia (ang. Events) mogą być zdarzeniami wynikowymi (ang. Outcome), czyli są rezultatem wystąpienia kombinacji innych zdarzeń. Te "inne" zdarzenia mogą występować:

• Niezależnie od siebie. Wystarczy, że pojawi się jedno określone zdarzenie (przyczyna), aby doszło do zdarzenia wynikowego (skutku).
• W powiązaniu z innymi zdarzeniami. Do wystąpienia zdarzenia wynikowego konieczna jest jednoczesna obecność kilku zdarzeń wejściowych, czasami wręcz w określonej sekwencji (kolejności). Przykładowo: Pożar (zdarzenie wynikowe) może wystąpić tylko wtedy, gdy w tym samym miejscu i czasie obecne są zdarzenia wejściowe: paliwo, tlen i źródło zapłonu (np. płomień). Brak któregokolwiek z tych zdarzeń wejściowych uniemożliwia wystąpienie pożaru (wyniku).

W FTA stosuje się symbole logiczne oparte na logice Boole'a, które umożliwiają precyzyjne modelowanie zależności między zdarzeniami. Wiele z tych symboli przypomina bramki logiczne znane z elektroniki cyfrowej, takie jak AND, OR czy NOT.

Rodzaje FTA

Analiza FTA może być przeprowadzana w oparciu o podejście jakościowe (ang. Qualitative) lub ilościowe (ang. Quantitative), w zależności od wymaganego zakresu[2].

• Podejście jakościowe polega na opracowaniu struktury drzewa błędów w celu zrozumienia zależności przyczynowo-skutkowych prowadzących do zdarzenia głównego.
• Podejście ilościowe rozszerza analizę jakościową o oszacowanie prawdopodobieństwa wystąpienia błędu, korzystając z dostępnych danych statystycznych (np. danych niezawodnościowych komponentów lub systemów).

Symbole w FTA

IEC-61025 dopuszcza różne symbole dla bramek logicznych oraz różny układ tworzonego grafu[2]. Wszystko więc zależy od przyjętych standardów oraz wymagań ustalonych w danej organizacji.

Przykładowe (wybrane) symbole zdarzeń:

Zdarzenie postawowe (ang. Basic Event). Najniższy poziom w drzewie FTA (np. przyczyna uszkodzenia komponentu). Do tego zdarzenia może być dostępna informacja o niezawodności (Failure Rate, FIT, MTTF, PPM, itd.)

Zdarzenie warunkowe (ang. Conditional Event). To zdarzenie, którego wystąpienie jest warunkiem koniecznym dla zaistnienia innego zdarzenia — tzn. oba zdarzenia muszą wystąpić, aby możliwe było pojawienie się zdarzenia wyjściowego. Zdarzenie warunkowe jest wykorzystywane w połączeniu z bramkami PRIORITY AND lub INHIBIT, gdzie określa, że dane zdarzenie może zajść tylko wtedy, gdy spełniony zostanie określony warunek (czyli właśnie zdarzenie warunkowe).

Zdarzenie nierozwinięte (ang. Undeveloped Event). To zdarzenie podstawowe, które odnosi się do części systemu, który nie jest jeszcze dobrze opisany/poznany - brak jest wystarczających danych, by szczegółowo przeanalizować to zdarzenie.

Zdarzenie zewnętrzne (ang. External Event, House Event, Trigger Event). To zdarzenie nie jest błędem analizowanego systemu ani komponentu. To zdarzenie może być oczekiwane podczas normalnej pracy. Może ono oznaczać określony tryb pracy (np. tryb awaryjny, serwisowy), opcję w projekcie albo symbolizować wpływ zewnętrzny, taki jak: niskie ciśnienie powietrza, odłączenie zasilania, drgania czy niską temperaturę otoczenia. Szczegółowe znaczenie tego symbolu jest różne w róznych standardach lub programach do FTA. Należy upewnić się, jakie znaczenie będzie mieć w stosowanej analizie.

Przykładowe (wybrane) bramki logiczne:

OR. Zdarzenie wyjściowe wystąpi, jeżeli dowolne zdarzenie wejściowe wystapi.

AND. Zdarzenie wyjściowe wystąpi, jeżeli wszystkie zdarzenia wejściowe wystapią.

XOR. Zdarzenie wyjściowe wystąpi, jeżeli wystąpi tylko jedno ze zdarzeń weściowych. Jeżeli wystąpią oba zdarzenia wejściowe, to zdarzenie wyjściowe nie wystąpi.

Analiza FTA może wykorzystywać wiele dodatkowych bramek i symboli logicznych, takich jak: NOT, NAND, NOR, INHIBIT, Priority AND, SEQ, SPARE, TRANSFER itd. Dlatego należy zawsze upewnić się, jakie znaczenie będzie miał dany symbol logiczny.

Przykład FTA

Na potrzeby tego artykułu poniżej przedstawiono schemat elektryczny obwodu, w którym: silnik elektryczny M1 jest załączany przez przekaźnik K1 do zasilacza PSU. Silnik M1 jest podłączony przez złącze CN1 do przekaźnika K1. Sam przekaźnik K1 jest sterowany przez tranzystor Q1. Sterowanie oraz zasilanie cewki K1 jest zabezpieczone bezpiecznikiem F1. Zakres analizy określa przerywana czerwona linia.

Niniejszy graf przedstawia część analizy FTA, która jest powiązana z powyższym schematem elektrycznym:

• Zdarzenie główne (Top Event) to utrata zasilania silnika M1 i zostało oznaczone [G1].
• To zdarzenie może być spowodowane brakiem zasilania z PSU [H1] lub wyłączeniem przekaźnika K1 [G2] lub rozłączeniem przewodu w złączu CN1 (poluzowana śruba) [G3].
• Brak zasilania z PSU [H1] jest zdarzeniem zewnętrznym, ponieważ znajduje się poza zakresem i kontrolą analizowanego systemu. Niektórzy praktycy mogą pominać to zdarzenie lub przedstawić je jako zdarzenie podstawowe, w zależności od przyjętego podejścia i definicji.
• Wyłączenie stycznika K1 [G2] może wynikać z wyłączenia tranzystora Q1 [U1] lub przepalenia bezpiecznika F1 [B1].
• Wyłączenie tranzystora Q1 [U1] to zdarzenie nierozwinięte, które może zostać szczegółowo przeanalizowane w późniejszym etapie. Q1 oraz jego driver nie są jeszcze dokładnie przeanalizowane.
• Przepalenie bezpiecznika F1 [B1] to zdarzenie podstawowe, będące końcowym poziomem analizy w tej gałęzi drzewa.
• Rozłączenie przewodu w złączu CN1 [G3] wynika z niewystarczającego momentu dokręcenia śruby [B2], przy jednoczesnym występowaniu drgań (wpływ środowiska) [H2].
• Drgania [H2] klasyfikowane są jako zdarzenie zewnętrzne (zewnętrzny stały czynnik), natomiast zbyt niski moment dokręcenia śruby [B2] to zdarzenie podstawowe.

Powyższy przykład ma charakter poglądowy i służy jedynie ilustracji metody FTA - w praktyce analizy drzewa błędów są zwykle znacznie bardziej rozbudowane i szczegółowe.

Minimal Cut Set (MCS)

MCS (Minimal Cut Set) można rozumieć jako minimalny zbiór zdarzeń podstawowych, który jest wystarczający, aby doprowadzić do wystąpienia zdarzenia głównego (Top Event).[3]

Głównym celem analizy MCS jest identyfikacja krytycznych kombinacji zdarzeń, które należy wyeliminować, ograniczyć lub przynajmniej monitorować. Możemy więc powiedzieć, że MCS wskazuje słabe punkty w konstrukcji systemu.

Na podstawie minimalnych zbiorów odcinających możliwe jest również przeprowadzenie ilościowej analizy ryzyka (obliczenie prawdopodobieństwa wystąpienia zdarzenia głównego).

Zalety FTA

• Jasna wizualizacja. Dobrze opracowany graf w jasny spsoób może przedstawić trudne do zrozumienia powiązania przyczynowo-skutkowe.
• Identyfikacja krytycznych punktów. FTA pozwala na identyfikacje tych przyczyn, które mogą mieć kluczowe znaczenie dla niezawodności i bezpieczeństwa systemu - Minimal Cut Set (MCS).
• Gromadzenie wiedzy. Dobry graf FTA to skarbnica wiedzy o możliwych przyczynach awarii w skomplikowanych systemach.
• Możliwość zarówno analizy jakościowej, jak i ilościowej. Metoda pozwala nie tylko zrozumieć strukturę przyczyn, ale także oszacować prawdopodobieństwo zdarzenia.
• Integracja z innymi metodami. FTA może być skutecznie łączona z 8D, G8D, DFR. Może uzupełnić informacje dla D-FMEA.

Wady FTA

• Czasochłonność. Stworzenie szczegółowego drzewa błędów wymaga dużej ilości czasu. W sumie to nic nowego, każda dobra analiza tego wymaga.., więc to taka "standardowa wada" :)
• Trudna analiza systemów dynamicznych. Analiza zdarzeń zależych od sekwencji lub zmienności w czasie jest utrudniona, ale możliwa za pomocą specjalnych bramek (np. SEQ, SPARE, Primary AND itp.)
• Trudniej bez specjalnego oprogramowania. Tworzenie grafów stricte zgodnych z meotdą FTA będzie dużo łatwiesze przy zastosowaniu specjalnego programu.

Standardy

• IEC 61025 Fault Tree Analysis (FTA). Norma międzynarodowa poświęcona w całości FTA.
• NUREG-0492 Fault Tree Handbook. Analiza FTA dla energetyki jądrowej.
• Fault Tree Handbook with Aerospace Applications. Podręcznik opracowany przez NASA.

Warto wiedzieć, że wiele standardów przemysłowych i branżowych wymienia FTA jako metodę wspomagającą analizę bezpieczeństwa lub niezawodności danego urządzenia, np: ISO-26262, IEC-61508, MIL-STD-882, ARP4761.

Podsumowanie

FTA to bardzo ciekawe rozwiązanie i jest przydatne w projektowaniu niezawodnych urządzeń. Historia oraz branże, które ją stosują to jasny wskaźnik dla nas, że FTA to naprawdę super metoda.

W praktyce czasami stosuję FTA do analizy złożonych przypadków uszkodzeń elektroniki i widzę, że FTA doskonale uzupełnia analizy RCA (Root Cause Analysis), 8D lub Global 8D oraz DFR (Design for Reliability) czy też D-FMEA.

Podsumowując: FTA to świetne narzędzie do analizy i doskonalenia konstrukcji produktów.