Análisis del árbol de fallos

Un diagrama de árbol de fallas

Análisis de árbol de fallas (FTA) es un tipo de análisis de fallas en el que se examina un estado no deseado de un sistema. Este método de análisis se utiliza principalmente en ingeniería de seguridad e ingeniería de confiabilidad para comprender cómo pueden fallar los sistemas, para identificar las mejores formas de reducir el riesgo y para determinar (o tener una idea de) las tasas de eventos de un accidente de seguridad o un nivel particular del sistema (funcional).) falla. El FTA se utiliza en las industrias aeroespacial, de energía nuclear, química y de procesos, farmacéutica, petroquímica y otras industrias de alto riesgo; pero también se utiliza en campos tan diversos como la identificación de factores de riesgo relacionados con la falla del sistema de servicios sociales. FTA también se utiliza en la ingeniería de software con fines de depuración y está estrechamente relacionado con la técnica de eliminación de causas utilizada para detectar errores.

En el sector aeroespacial, el término más general "condición de falla del sistema" se utiliza para el "estado no deseado" / evento superior del árbol de fallas. Estas condiciones se clasifican por la gravedad de sus efectos. Las condiciones más severas requieren el análisis de árbol de fallas más extenso. Estas condiciones de falla del sistema y su clasificación a menudo se determinan previamente en el análisis de riesgo funcional.

Uso

El análisis del árbol de fallas se puede utilizar para:

• entender la lógica que conduce al evento superior / estado no deseado.
• mostrar cumplimiento con los requisitos de seguridad del sistema (input) / fiabilidad.
• priorizar a los contribuyentes que conducen al evento principal - crear las listas de equipos/partes/eventos críticos para diferentes medidas de importancia
• monitorear y controlar el rendimiento de seguridad del sistema complejo (por ejemplo, es un avión seguro para volar cuando la válvula de combustible x ¿Defectos? ¿Por cuánto tiempo se permite volar con el mal funcionamiento de la válvula?).
• minimizar y optimizar los recursos.
• ayudar a diseñar un sistema. El TLC se puede utilizar como una herramienta de diseño que ayuda a crear (output / bajo nivel) requisitos.
• función como herramienta de diagnóstico para identificar y corregir las causas del evento superior. Puede ayudar con la creación de manuales/procesos de diagnóstico.

Historia

El análisis de árbol de fallas (FTA) fue desarrollado originalmente en 1962 en Bell Laboratories por H.A. Watson, bajo un contrato de la División de Sistemas Balísticos de la Fuerza Aérea de EE. UU. para evaluar el Sistema de Control de Lanzamiento de Misiles Balísticos Intercontinentales (ICBM) Minuteman I. Desde entonces, el uso de árboles de fallas ha ganado un amplio apoyo y los expertos en confiabilidad los utilizan a menudo como una herramienta de análisis de fallas. Tras el primer uso publicado de FTA en el Estudio de seguridad de control de lanzamiento Minuteman I de 1962, Boeing y AVCO ampliaron el uso de FTA a todo el sistema Minuteman II en 1963–1964. FTA recibió una amplia cobertura en un Simposio de seguridad del sistema de 1965 en Seattle patrocinado por Boeing y la Universidad de Washington. Boeing comenzó a usar FTA para el diseño de aviones civiles alrededor de 1966.

Posteriormente, dentro del ejército de EE. UU., Picatinny Arsenal exploró la aplicación de FTA para su uso con fusibles en las décadas de 1960 y 1970. En 1976, el Comando de Material del Ejército de EE. UU. incorporó FTA en un Manual de diseño de ingeniería sobre diseño para confiabilidad. El Centro de análisis de confiabilidad en el Laboratorio de Roma y sus organizaciones sucesoras ahora con el Centro de información técnica de defensa (Centro de análisis de información de confiabilidad y ahora Centro de análisis de información de sistemas de defensa) ha publicado documentos sobre FTA y diagramas de bloques de confiabilidad desde la década de 1960. MIL-HDBK-338B proporciona una referencia más reciente.

En 1970, la Administración Federal de Aviación (FAA) de EE. UU. publicó un cambio en las reglamentaciones de aeronavegabilidad 14 CFR 25.1309 para aeronaves de categoría de transporte en el Registro Federal en 35 FR 5665 (1970-04-08). Este cambio adoptó criterios de probabilidad de falla para sistemas y equipos de aeronaves y condujo a un uso generalizado de FTA en la aviación civil. En 1998, la FAA publicó la Orden 8040.4, que establece una política de gestión de riesgos que incluye el análisis de peligros en una variedad de actividades críticas más allá de la certificación de aeronaves, incluido el control del tráfico aéreo y la modernización del Sistema Nacional del Espacio Aéreo de los EE. UU. Esto condujo a la publicación del Manual de seguridad del sistema de la FAA, que describe el uso de FTA en varios tipos de análisis de riesgos formales.

Al principio del programa Apolo, se planteó la pregunta sobre la probabilidad de enviar con éxito astronautas a la Luna y devolverlos sanos y salvos a la Tierra. Se realizó algún tipo de cálculo de riesgo, o confiabilidad, y el resultado fue una probabilidad de éxito de la misión inaceptablemente baja. Este resultado desalentó a la NASA de realizar más análisis cuantitativos de riesgo o confiabilidad hasta después del accidente del Challenger en 1986. En su lugar, la NASA decidió confiar en el uso de modos de falla y análisis de efectos (FMEA) y otros métodos cualitativos para el sistema. evaluaciones de seguridad. Después del accidente del Challenger, se percibió la importancia de la evaluación probabilística de riesgos (PRA) y FTA en el análisis de riesgo y confiabilidad de los sistemas y su uso en la NASA ha comenzado a crecer y ahora FTA se considera como uno de los más importantes técnicas de análisis de seguridad y confiabilidad del sistema.

Dentro de la industria de la energía nuclear, la Comisión Reguladora Nuclear de EE. UU. comenzó a usar métodos de PRA, incluido el FTA, en 1975 y amplió significativamente la investigación de PRA después del incidente de 1979 en Three Mile Island. Esto finalmente condujo a la publicación en 1981 del Manual del árbol de fallas de la NRC NUREG–0492 y al uso obligatorio de PRA bajo la autoridad reguladora de la NRC.

Después de los desastres de la industria de procesos, como el desastre de Bhopal en 1984 y la explosión de Piper Alpha en 1988, en 1992 la Administración de Seguridad y Salud Ocupacional (OSHA) del Departamento de Trabajo de los Estados Unidos publicó en el Registro Federal en 57 FR 6356 (1992-02-24) su estándar de Gestión de seguridad de procesos (PSM) en 19 CFR 1910.119. OSHA PSM reconoce FTA como un método aceptable para el análisis de peligros de proceso (PHA).

Hoy en día, FTA se usa ampliamente en la ingeniería de confiabilidad y seguridad de sistemas, y en todos los campos principales de la ingeniería.

Metodología

La metodología FTA se describe en varios estándares gubernamentales y de la industria, incluido NRC NUREG-0492 para la industria de la energía nuclear, una revisión aeroespacial de NUREG-0492 para uso de la NASA, SAE ARP4761 para la industria aeroespacial civil, MIL-HDBK-338 para sistemas militares, la norma IEC 61025 de IEC está diseñada para uso entre industrias y ha sido adoptada como norma europea EN 61025.

Cualquier sistema lo suficientemente complejo está sujeto a fallas como resultado de la falla de uno o más subsistemas. Sin embargo, la probabilidad de falla a menudo se puede reducir mediante un mejor diseño del sistema. El análisis de árbol de fallas mapea la relación entre fallas, subsistemas y elementos de diseño de seguridad redundantes mediante la creación de un diagrama lógico del sistema general.

El resultado no deseado se toma como la raíz ('evento principal') de un árbol de lógica. Por ejemplo, el resultado no deseado de una operación de prensa de estampado de metal que se está considerando podría ser el estampado de un apéndice humano. Trabajando hacia atrás a partir de este evento principal, se puede determinar que hay dos formas en que esto podría suceder: durante la operación normal o durante la operación de mantenimiento. Esta condición es un OR lógico. Considerando la rama del peligro que ocurre durante la operación normal, tal vez se determine que hay dos maneras en que esto podría suceder: la prensa gira y daña al operador, o la prensa gira y daña a otra persona. Este es otro OR lógico. Se puede realizar una mejora en el diseño requiriendo que el operador presione dos botones separados para hacer funcionar la máquina; esta es una característica de seguridad en forma de AND lógico. El botón puede tener una tasa de falla intrínseca; esto se convierte en un estímulo de falla que se puede analizar.

Cuando los árboles de fallas se etiquetan con números reales para las probabilidades de fallas, los programas de computadora pueden calcular las probabilidades de fallas a partir de los árboles de fallas. Cuando se encuentra que un evento específico tiene más de un evento de efecto, es decir, tiene impacto en varios subsistemas, se denomina causa común o modo común. Gráficamente hablando, significa que este evento aparecerá en varios lugares del árbol. Las causas comunes introducen relaciones de dependencia entre eventos. Los cálculos de probabilidad de un árbol que contiene algunas causas comunes son mucho más complicados que los árboles regulares donde todos los eventos se consideran independientes. No todas las herramientas de software disponibles en el mercado brindan dicha capacidad.

El árbol generalmente se escribe usando símbolos de puertas lógicas convencionales. Un conjunto de cortes es una combinación de eventos, generalmente fallas de componentes, que causan el evento principal. Si no se puede eliminar ningún evento de un conjunto de corte sin dejar de causar el evento principal, entonces se le llama conjunto de corte mínimo.

Algunas industrias usan árboles de fallas y árboles de eventos (consulte Evaluación de riesgo probabilística). Un árbol de eventos comienza con un iniciador no deseado (pérdida de suministro crítico, falla de un componente, etc.) y sigue posibles eventos adicionales del sistema hasta una serie de consecuencias finales. A medida que se considera cada nuevo evento, se agrega un nuevo nodo en el árbol con una división de probabilidades de tomar cualquiera de las ramas. Las probabilidades de un rango de 'eventos principales' que surge del evento inicial puede entonces ser visto.

Los programas clásicos incluyen el software CAFTA del Electric Power Research Institute (EPRI), que utilizan muchas de las plantas de energía nuclear de EE. UU. y la mayoría de los fabricantes aeroespaciales estadounidenses e internacionales, y el Laboratorio Nacional de Idaho.;s SAPHIRE, que es utilizado por el gobierno de los EE. UU. para evaluar la seguridad y confiabilidad de los reactores nucleares, el transbordador espacial y la Estación Espacial Internacional. Fuera de los EE. UU., el software RiskSpectrum es una herramienta popular para el análisis de árbol de fallas y árbol de eventos, y tiene licencia para su uso en casi la mitad de las plantas de energía nuclear del mundo para la evaluación de seguridad probabilística. El software gratuito de nivel profesional también está ampliamente disponible; SCRAM es una herramienta de código abierto que implementa el estándar abierto Open-PSA Model Exchange Format para aplicaciones de evaluación de seguridad probabilística.

Símbolos gráficos

Los símbolos básicos utilizados en FTA se agrupan como eventos, puertas y símbolos de transferencia. Se pueden utilizar variaciones menores en el software FTA.

Símbolos de eventos

Los símbolos de eventos se utilizan para eventos principales y eventos intermedios. Los eventos primarios no se desarrollan más en el árbol de fallas. Los eventos intermedios se encuentran a la salida de una puerta. Los símbolos de evento se muestran a continuación:

• 

  Acto básico

• 

  Evento externo

• 

  Evento desarrollado

• 

  Evento de condicional

• 

  Evento intermedio

Los símbolos de eventos principales se suelen utilizar de la siguiente manera:

• Acto básico - fallo o error en un componente o elemento del sistema (ejemplo: interruptor pegado en posición abierta)
• Evento externo - normalmente se espera que ocurra (no de por sí una falla)
• Evento desarrollado - un evento sobre el cual no se dispone de información suficiente, o que no tiene consecuencias
• Evento de condicional - condiciones que restringen o afectan las puertas lógicas (ejemplo: modo de operación en efecto)

Se puede usar una puerta de evento intermedio justo encima de un evento principal para proporcionar más espacio para escribir la descripción del evento.

FTA es un enfoque de arriba hacia abajo.

Símbolos de puerta

Los símbolos de puerta describen la relación entre los eventos de entrada y salida. Los símbolos se derivan de los símbolos lógicos booleanos:

• 

  O puerta

• 

  Y puerta

• 

  Puerta exclusiva O

• 

  Prioridad y puerta

• 

  Puerta de inhibición

Las puertas funcionan de la siguiente manera:

• O puerta - la salida ocurre si ocurre alguna entrada.
• Y puerta - la salida sólo ocurre si ocurren todos los insumos (los insumos son independientes de la fuente).
• Puerta exclusiva O - la salida ocurre si ocurre exactamente una entrada.
• Prioridad y puerta - la salida ocurre si las entradas ocurren en una secuencia específica especificada por un evento de condicionamiento.
• Puerta de inhibición - la salida ocurre si la entrada se produce bajo una condición habilitante especificada por un evento de condicionamiento.

Transferir símbolos

Los símbolos de transferencia se utilizan para conectar las entradas y salidas de los árboles de fallas relacionados, como el árbol de fallas de un subsistema a su sistema. La NASA preparó un completo documento sobre FTA a través de incidentes prácticos.

• 

  Transferencia

• 

  Transferencia

Fundamentos matemáticos básicos

Los eventos en un árbol de fallas están asociados con probabilidades estadísticas o tasas constantes con distribución exponencial de Poisson. Por ejemplo, las fallas de los componentes pueden ocurrir típicamente a una tasa de falla constante λ (una función de riesgo constante). En este caso más simple, la probabilidad de falla depende de la tasa λ y el tiempo de exposición t:

P=1− − e− − λ λ t{displaystyle P=1-e^{-lambda t}

donde:

P.. λ λ t{displaystyle Papprox lambda t} si <math alttext="{displaystyle lambda tλ λ t.0,001{displaystyle lambda t won0.001}<img alt="{displaystyle lambda t

Un árbol de fallas a menudo se normaliza a un intervalo de tiempo determinado, como una hora de vuelo o un tiempo promedio de misión. Las probabilidades de eventos dependen de la relación de la función de riesgo de eventos con este intervalo.

A diferencia de los diagramas de puertas lógicas convencionales en los que las entradas y salidas contienen los valores binarios de VERDADERO (1) o FALSO (0), las puertas en un árbol de fallas generan probabilidades relacionadas con las operaciones establecidas de la lógica booleana. La probabilidad del evento de salida de una puerta depende de las probabilidades del evento de entrada.

Una puerta AND representa una combinación de eventos independientes. Es decir, la probabilidad de cualquier evento de entrada a una puerta AND no se ve afectada por ningún otro evento de entrada a la misma puerta. En términos de teoría de conjuntos, esto es equivalente a la intersección de los conjuntos de eventos de entrada, y la probabilidad de la salida de la compuerta AND viene dada por:

P (A y B) = P (A ∩ B) = P(A) P(B)

Una puerta OR, por otro lado, corresponde a la unión de conjuntos:

P (A o B) = P (A ∪ B) = P(A) + P(B) - P (A ∩ B)

Dado que las probabilidades de falla en los árboles de fallas tienden a ser pequeñas (menos de 0,01), P (A ∩ B) generalmente se convierte en un término de error muy pequeño, y la salida de una puerta OR se puede aproximar de manera conservadora mediante la suposición de que las entradas son eventos mutuamente excluyentes:

P (A o B) ♥ P(A) + P(B), P (A ∩ B) ♥ 0

Una puerta OR exclusiva con dos entradas representa la probabilidad de que ocurra una u otra entrada, pero no ambas:

P (A xor B) = P(A) + P(B) - 2P (A ∩ B)

Nuevamente, dado que P (A ∩ B) generalmente se convierte en un término de error muy pequeño, la puerta OR exclusiva tiene un valor limitado en un árbol de fallas.

Muy a menudo, las tasas distribuidas exponencialmente de Poisson se utilizan para cuantificar un árbol de fallas en lugar de probabilidades. Las tasas a menudo se modelan como constantes en el tiempo, mientras que la probabilidad es una función del tiempo. Los eventos exponenciales de Poisson se modelan como infinitamente cortos, por lo que no se pueden superponer dos eventos. Una puerta OR es la superposición (suma de tasas) de las dos frecuencias de falla de entrada o tasas de falla que se modelan como procesos de puntos de Poisson. La salida de una compuerta AND se calcula utilizando la indisponibilidad (Q₁) de un evento que reduce el proceso del punto de Poisson del otro evento (λ₂). La indisponibilidad (Q₂) del otro evento reduce el proceso del punto de Poisson del primer evento (λ₁). Los dos procesos de puntos de Poisson resultantes se superponen de acuerdo con las siguientes ecuaciones.

La salida de una puerta AND es la combinación de los eventos de entrada independientes 1 y 2 de la puerta AND:

Frecuencia de fracaso = λ₁Q₂ + λ₂Q₁ Donde Q = 1 - e^λt ■ λt si λt

Frecuencia de fracaso ♥ λ₁λ₂t₂ + λ₂λ₁t₁ si₁t₁ λ 0.001₂t₂ Identificada

En un árbol de fallas, la indisponibilidad (Q) puede definirse como la indisponibilidad de una operación segura y puede no referirse a la indisponibilidad de la operación del sistema dependiendo de cómo se estructuró el árbol de fallas. Los términos de entrada al árbol de fallas deben definirse cuidadosamente.

Análisis

Se pueden usar muchos enfoques diferentes para modelar un FTA, pero la forma más común y popular se puede resumir en unos pocos pasos. Se utiliza un solo árbol de fallas para analizar uno y solo un evento no deseado, que posteriormente se puede alimentar a otro árbol de fallas como un evento básico. Aunque la naturaleza del evento no deseado puede variar dramáticamente, un FTA sigue el mismo procedimiento para cualquier evento no deseado; ya sea un retraso de 0,25 ms para la generación de energía eléctrica, un incendio en la bahía de carga no detectado o el lanzamiento aleatorio e involuntario de un misil balístico intercontinental.

El análisis FTA consta de cinco pasos:

1. Define el evento no deseado para estudiar.
   • La definición del evento no deseado puede ser muy difícil de descubrir, aunque algunos de los eventos son muy fáciles y obvios de observar. Un ingeniero con un amplio conocimiento del diseño del sistema es la mejor persona para ayudar a definir y numerar los eventos no deseados. Los eventos no deseados se utilizan entonces para hacer TLCs. Cada TLC se limita a un evento no deseado.
2. Obtenga una comprensión del sistema.
   • Una vez seleccionado el evento no deseado, se estudian y analizan todas las causas con probabilidades de afectar el evento no deseado de 0 o más. Obtener números exactos para las probabilidades que conducen al evento es generalmente imposible por la razón de que puede ser muy costoso y que consume mucho tiempo para hacerlo. El software informático se utiliza para estudiar probabilidades; esto puede llevar a un análisis de sistema menos costoso.
     Los analistas del sistema pueden ayudar a comprender el sistema general. Los diseñadores de sistemas tienen pleno conocimiento del sistema y este conocimiento es muy importante para no perder ninguna causa que afecte al evento no deseado. Para el evento seleccionado todas las causas son numeradas y secuenciadas en el orden de ocurrencia y luego se utilizan para el siguiente paso que está dibujando o construyendo el árbol de fallas.
3. Construir el árbol de fallas.
   • Después de seleccionar el evento no deseado y haber analizado el sistema para que conozcamos todos los efectos causantes (y si es posible sus probabilidades) ahora podemos construir el árbol de fallas. El árbol predeterminado se basa en puertas AND y OR que definen las principales características del árbol de fallas.
4. Evaluar el árbol de fallas.
   • Después de que el árbol de fallas se haya montado para un evento específico no deseado, se evalúa y analiza para cualquier posible mejora o en otras palabras estudiar la gestión del riesgo y encontrar maneras de mejorar el sistema. Se puede aplicar una amplia gama de métodos de análisis cualitativos y cuantitativos. Este paso es una introducción para el paso final que será controlar los peligros identificados. En resumen, en este paso identificamos todos los peligros posibles que afectan al sistema de manera directa o indirecta.
5. Controle los peligros identificados.
   • Este paso es muy específico y difiere en gran medida de un sistema a otro, pero el punto principal siempre será que después de identificar los peligros se persiguen todos los métodos posibles para disminuir la probabilidad de ocurrencia.

Comparación con otros métodos analíticos

FTA es un método deductivo de arriba hacia abajo que tiene como objetivo analizar los efectos de iniciar fallas y eventos en un sistema complejo. Esto contrasta con el análisis de modo y efectos de falla (FMEA), que es un método de análisis inductivo de abajo hacia arriba destinado a analizar los efectos de fallas de un solo componente o función en equipos o subsistemas. FTA es muy bueno para mostrar cuán resistente es un sistema a fallas de inicio únicas o múltiples. No es bueno para encontrar todas las fallas iniciales posibles. FMEA es bueno para catalogar exhaustivamente fallas iniciales e identificar sus efectos locales. No es bueno para examinar fallas múltiples o sus efectos a nivel de sistema. FTA considera eventos externos, FMEA no. En la industria aeroespacial civil, la práctica habitual es realizar tanto FTA como FMEA, con un resumen de efectos del modo de falla (FMES) como interfaz entre FMEA y FTA.

Las alternativas al FTA incluyen el diagrama de dependencia (DD), también conocido como diagrama de bloques de confiabilidad (RBD) y el análisis de Markov. Un diagrama de dependencia es equivalente a un análisis de árbol de éxito (STA), el inverso lógico de un FTA, y describe el sistema utilizando rutas en lugar de puertas. DD y STA producen probabilidad de éxito (es decir, evitar un evento principal) en lugar de probabilidad de un evento principal.