analisis de arboles de falla fta · pdf fileeste acercamiento se enfoca en el análisis...

Introducción a los Análisis de Ar-boles de Falla (Fault Tree Analysis-FTA).

Preparado para: Diplomado en Análisis de Riesgos y Seguridad FuncionalPreparado por: Victor Machiavelo Salinas

Risk Software SA de CV www.risksoftware.com.mx

Risk Software S.A. de C.V.

http://www.risksoftware.com.mx

http://www.risksoftware.com.mx

IntroducciónEl Análisis de Arboles de Falla (FTA) tiene que ver con la identificación y análisis de las condiciones y factores que causan ó tienen el potencial de causar ó contribuir con la ocurrencia de un evento tope o máximo. Estos eventos generalmente ocurren por la falla o degradación del desempeño de los sistemas, seguridad o bien otros atributos operacionales. En contra parte los Análisis de Arboles de Exito (STA) describen el camino que lleva al existo a los sistemas.

Los FTA son comúnmente utilizados para realizar análisis de seguridad de los sistemas (como sistemas instrumentados de seguridad, sistemas de transporte, plantas de energía y otros sistemas que requieren evaluar la seguridad durante su operación). Las FTA pueden ser utilizados para realizar análisis de confiabilidad y mantenimiento. Sin embargo por simplicidad en este estudio el termino “Confiabilidad” será utilizado para representar el desempeño de los sistemas.

El estudio considera dos acercamientos en los FTA. El primero tiene que ver con un acercamiento “Cualitativo” donde la probabilidad de los eventos y sus factores de contribución como son - Eventos de Iniciales- no incluyen la valoración del análisis utilizando la frecuencia de ocurrencia o la probabilidad de los eventos. Este acercamiento se enfoca en el análisis de los eventos y fallas y es conocido como FTA Cualitativo ó tradicional. Este acercamiento es muy utilizado en la industria nuclear y en otras instancias donde se busca entender las causas y fallas potenciales, sin que se tenga un interés particular en la posibilidad de la ocurrencia de estas. El segundo acercamiento, el cual es adoptado por muchas aplicaciones, la seguridad funcional entre ellas, se orienta al calculo cuantitativo de la confiabilidad de los sistemas. Dos tipos de modelos de calculo se utilizan; a) A partir de la utilización de la frecuencia de ocurrencia de los eventos iniciales y que proporciona la frecuencia final de fallas del evento máximo y b) La utilización de las probabilidades de los eventos iniciales, que por consecuencia nos proporciona la probabilidad de ocurrencia del evento máximo.

Términos y Definiciones Importantes

Resultado: Resultado de una acción o de una entrada; este es la consecuencia de una causa.

Evento Maximo/Final: Resultado máximo ó ultimo de una combinación de eventos, entradas o acciones, incluyendo eventos intermedios, básicos y de secuencia.

Evento Tope: Resultado máximo que se encuentra en la parte superior del árbol de fallas..

Compuerta (Gate): Símbolo utilizado para establecer un vinculo simbólico entre el evento máximo y sus correspondientes eventos iniciales.

Juego de Cortes (Cut Set): Grupo de eventos que, si todos ocurren, causaran la ocurrencia del evento máximo.

Juego Mínimo de Corte (Minimal Cut Set): es el juego mínimo o mas pequeño de eventos requeridos para que suceda u ocurra el evento máximo.

Evento: Ocurrencia de una condición ó una acción.

Análisis de Arboles de Falla-FTA 1


Evento Básico: Evento o estado que aun no se ha desarrollado.

Evento Primario: Evento que se encuentra en la parte baja del árbol de fallas.

Evento Intermedio: Evento que ni es el máximo ni el básico.

Evento No-Desarrollado: Evento que no tiene ningún evento iniciador.

Punto Singular de Falla (Single point failure) Evento: Evento de falla el cual, si es que ocurre, causara una falla en todo el sistema o podría por si mismo ocasionar que otros eventos ó combinación de eventos generen una causa en el evento máximo.

Eventos de Causa Común (Common cause events): Diferentes eventos en el sistema o en el árbol de fallas que tiene la misma causa de ocurrencia.

Causa Común: Causa de la ocurrencia de múltiples eventos.

Evento Repetido o Replicado: Evento en el cual es entrada de uno o mas eventos superiores.

Ejemplo de explicación de términos



Descripción de la estructura de FTA

Los arboles de falla son representaciones gráficas organizadas que representan las condiciones o factores causantes o contri-buidores a la ocurrencia de un resultado definido como evento máximo o tope. Cuando el resultado es el éxito, entonces el árbol se convierte en árbol de excitó. La representación de un árbol de falla debe ser clara y fácil de entender, analizar y si es necesa-rio fácil de reconfigurar para facilitar la identificación de:

✓ Factores que afecten la investigación del evento máximo y como se ha generado este.

✓ Factores que afecten las características de confiabilidad y desempeño del sistema, podemos considerar que cuando las técnicas de FTA son usadas para el análisis de la confiabilidad es factible analizar por ejemplo; defi-ciencias en el diseño, estrés operacional o del medio ambiente, errores de operación, fallas en el software entre otros.

✓ Eventos que afectan la funcionalidad de mas de un componente, el cual puede cancelar los beneficios de incluir redundancia, o pueden afectar a mas de dos componentes de forma similar, o bien afectan la independencia.

Los análisis de arboles de falla son métodos deductivos (razonamiento haca atrás ó de arriba hacia abajo) que permiten realizar combinaciones de eventos te tal forma que se puede simular la forma en que el evento máximo se ha desarrollado, como se ha comentado los análisis de los arboles de falla pueden ser cualitativos o cuantitativos.

En el caso que la probabilidad de ocurrencia de los eventos primarios no pueda ser estimada, un análisis cualitativo puede ser utilizado para investigar las causas potenciales que generaron el evento máximo, aquí es factible denominar a los eventos prima-rios en forma descriptiva, por ejemplo indicando que un evento es “poco probable”, “muy probable” o “medianamente proba-ble”. El principal objetivo de los análisis cualitativos es la identificación del juego de corte mínimo para determinar el camino en que el evento básico afecta al evento máximo.

Objetivos de los FTA

Los arboles de falla pueden ser utilizados de forma independiente o en conjunto con otras técnicas de confiabilidad, con el obje-tivo de:

✓ La identificación de la causa o combinación de causas que ligan al evento máximo.

✓ La determinación del por que si, las medidas de confiabilidad de un determinado sistema cumplen con los reque-rimientos dados.



✓ Determinar que modos ó factores que tienen una máxima contribución en el potencial de fallar y la probabilidad de falla (no-confiabilidad) ó indisponibilidad en el caso que los sistemas sean reparables, para identificar posibles mejoras a la confiabilidad de los sistemas.

✓ Analizar y comparar varias alternativas de diseño para mejorar la confiabilidad de un diseño.

✓ Demostrar las asunciones realizadas por otros sistemas.

✓ Identificar los potenciales modos de falla que ocasionan la inseguridad de un sistema y la evaluación de su co-rrespondiente probabilidad de ocurrencia y la posibilidad de la mitigación de fallos.

✓ La identificación de los eventos comunes.

✓ Buscar al evento ó a la combinación de eventos que son los mas probables causantes del evento máximo.

✓ Calcular la probabilidad o la frecuencia del evento máximo.

✓ El calculo de la disponibilidad o las relaciones de falla de un sistema o sus componentes representados en el ár-bol de fallas.

Aplicaciones

Los arboles de falla son particularmente útiles para analizar sistemas que se componen de varios elementos dependientes entre si. Los beneficios de los FTA son particularmente importantes cuando son utilizados en las fases de diseño de un sistema ó equipo, también los FTA son muy utilizados en diseños complejos con muchas interacciones como la identificación de los ele-mentos mas débiles en procesos peligros como son plantas nucleares, procesos petroquímicos y la industria petrolera, sistemas de transporte y comunicaciones.

Algunos de los usos mas recurrentes son:

✓ La determinación de las combinaciones lógicas que ligan al evento máximo así como su potencial y prioridad.

✓ La investigación de sistemas que están siendo diseñados para anticipar, prevenir y mitigar las causas potenciales del evento indeseado.

✓ Para analizar sistemas y determinar su confiabilidad y así determinar los mayores contribuidores de la falta de confiabilidad y analizar los cambios necesarios en el diseño.

✓ Como asistencia en los esfuerzos de incrementar la confiabilidad.



Los FTA se pueden utilizar en las fases de diseño de nuevos productos y sistemas o durante la fase de modificación o mejora de sistemas existentes, dado que es una herramienta analítica que ayuda en la identificación de problemas, incluso cuando no se cuenta con información clara o esta esta incompleta.

Los FTA y la combinación con otras técnicas.

Los arboles comúnmente se combinan con otras técnicas de análisis para complementar su aplicación, algunos ejemplo son:

Análisis de Arboles de Falla y Análisis de modos de falla y efectos FMEA.

Estos dos análisis frecuentemente son combinados en particular en aplicaciones de seguridad y transporte, los beneficios de combinarlos son:

✓ Los FTA analizan como de llego al evento máximo y los FMEA analizan al evento desde sus eventos básicos, la combinación de técnicas deductivas e inductivas facilitan el entendimiento y mejoramiento de los sistemas.

✓ Los estándares de seguridad requieren la determinación de la falla del evento inicial (FMEA) y la determinación de la secuencia de eventos que nos lleva al evento final (FTA).

✓ Los FTA ofrecen un enfoque general del problema y sus secuencias de falla y los FMEA un enfoque particular de la falla de los componentes.

Adicionalmente existe una consistencia entre las dos técnicas:

➡ Cualquier identificaron de una falla en FMEA tiene que ver con el evento máximo en un FTA, y esta identificación es to-mada como un punto singular de falla.

➡ Cualquier punto singular de falla deberá ser identificado en el análisis de FMEA.

Análisis de Arboles de Falla y Análisis de Arboles de Eventos ETA.

Cualquier evento puede ser analizado utilizando FTA, sin embargo en algunos casos no resulta lo mas apropiado por varias ra-zones:

➡ En algunos casos es mas fácil desarrollar secuencias de eventos que encontrar relaciones causales.

➡ El desarrollo del árbol de fallas puede ser muy grande.

➡ Puede ser que diferentes equipos estén trabajando con diferentes partes del análisis.



Es recomendable buscar soluciones practicas, en muchos casos no es necesario la investigación y conocimiento del evento máximo, esto puede deberse a que la identificación de eventos críticos puede estar asociado a situaciones evidente o mas fáci-les de reconocer, por ejemplo en la investigación de una explosión, tal vez nuestro objetivo es la identificación de los factores que llevaron al incidente final, la determinar la posibilidad de la ocurrencia de una fuga o la posibilidad de ignición nos pueden proporcionar información mas útil que únicamente determinar al evento final. Los arboles de eventos proporcionan una herra-mienta analítica inductiva mas sencilla para estos casos.

La combinación de FTA y ETA generalmente es llamado análisis de causa-consecuencia (CCA)

Análisis de Arboles de Falla y Modelos de Markov.

Los FTA son una combinación de eventos estáticos (secuencias en el tiempo en la combinación de eventos no es considerada en esta modelacion ya que utilizamos compuertas estáticas). Sin embargo es posible extender la técnica de FTA incorporando compuertas que representen modelos de Markov. Estas compuertas reciben el nombre de “Compuertas Dinámicas” algunas de estas son; Compuertas de Prioridad “Y”, Compuertas “Secuenciales”, Compuertas de “Reserva”. Para estas compuertas es necesario evaluar la probabilidad de falla en un tiempo t dado, para esto utilizamos los modelos ó simulaciones de Markov.

Análisis de Arboles de Falla y Diagramas de Decisión Binaria (BDD).

El calculo de la probabilidad de ocurrencia del evento máximo utilizando FTA requiere del calculo de la probabilidad de varios valores de juegos de corte (Cut Set) y de sus combinaciones. Dado que esto es complejo en muchas ocasiones este calculo es detenido o se requiere de herramientas (software) para su evaluación. Un diagrama de decisiones binarias puede ser construido como un recurso de análisis de los FTA y así mejorar la eficiencia den la construcción de estos. Los BDD son herramientas lógi-cas que nos ayudan a desarrollar caminos “mas lógicos” o sencillos en la construcción de FTA.

Análisis de Arboles de Falla y Diagramas de Bloques de Confiabilidad (RBD).

Los diagramas de bloques de confiabilidad utilizan bloques ó módulos para representar a un grupo de componentes ó modelos de falla. estos grupos normalmente están formados en secuencias similares a la forma que el producto, proceso o sistema esta formado. Estos bloques se construyen para determinar la relación de fallas, la confiabilidad o la probabilidad de falla para un modelo en especial.

Los RBD son herramientas inductivas de análisis que pueden utilizar cálculos de confiabilidad desarrollados en FTA para bloques en particular.



Consideraciones generales de los FTA.

El resultado final de los arboles de falla (evento máximo) puede ser una falla en si misma o un evento, los arboles de falla descri-ben la secuencia de la falla ó de los eventos resultantes y la contribución de estos el evento máximo. Los FTA utilizan eventos ó estados para describir la interacción entre los eventos iniciales y el evento final, para esto utilizan compuertas que ligan lógica-mente (y matemáticamente) el estado y la contribución de los eventos al resultado final.

Los estados pueden ser caracterizados por la probabilidad de que este estado exista en un tiempo t dado, y esta caracteriza-ción puede estar dada en valores de frecuencia, relación de falla y probabilidad de que el evento ocurra en el tiempo t dado.

Tradicionalmente los FTA son construidos para investigar las fallas o eventos que ligan al resultado final, este concepto ha sido utilizado por muchos años en la industria, y es especialmente eficiente en la industria nuclear y petrolera. Los FTA son una he-rramienta importante en la investigación de potenciales problemas y riesgos ya que proporciona información para mejorar, modi-ficar y optimizar a los equipos y sistemas.

El desarrollo de los FTA inicia en las fases iniciales del diseño y debe ser revisado en cada fase del proceso de construcción, implementación y aplicación. Debemos considerar que los FTA no solo aplican para la evaluación de fallas en el desarrollo de equipos (hardware) o soluciones (software) también es factible considerar la interacción con factores y acciones con humanos, procesos y medio ambiente, que al final afectan al evento máximo.

Cuando se realice un análisis cuantitativo, pero la probabilidad de ocurrencia de alguno de los eventos no pueda ser determina-do dado que a que los eventos y fallas sean sistemáticas, estos eventos y sus combinaciones lógicas deberán ser consideradas en el análisis. En estos casos los modos de falla no contribuirán a predicción de la confiabilidad (probabilidad de falla), pero su existencia será tomada en cuenta de forma cualitativa.

Para que la técnica al desarrollar los FTA sea efectiva se deberá seguir un procedimiento que podrá consistir de los siguientes pasos:

1. Identificar los objetivos para el FTA

2. Definir el evento máximo/tope

3. Definir el alcance del FTA

4. Definir la resolución del FTA

5. Definir las reglas generales del FTA

6. Construir el FTA

7. Evaluar el FTA

8. Interpretar y presentar los resultados



Si se ha planeado realizar un análisis numérico, hay que definir la técnica para los valores numéricos de los eventos iniciales, así como los atributos de los dispositivos;

✓ Como valores numéricos podemos utilizar Relaciones de Falla, Probabilidad de Falla y Frecuencia de Falla.

✓ Como atributos podemos considerar la Intensidad de la Falla, El tiempo Medio entre Fallas (MTBF), el Tiempo Medio para Fallar (MTTF), el Tiempo Medio de Reparación (MTTR) y el Tiempo Medio de Restablecimiento (MRT) estos dos últimos para sistemas reparables o substituibles.

Requerimientos de información al construir los FTA.

El sistema que se analiza deberá ser definido por la descripción de sus funciones y la identificación de las interfaces en el siste-ma, las definiciones que se deberán incluir son:

✓ Un sumario de la intención del diseño.

✓ Las definiciones respecto a cuales son las fallas que constituyen al sistema.



✓ La estructura funcional del sistema representada generalmente en forma de diagramas de bloques.

✓ Las fronteras del sistema como son, eléctricas, mecánicas e interfaces de operación. Estas fronteras deberán ser descritas por la identificación particular de las funciones, por ejemplo las conexiones eléctricas, fusibles, ect.

✓ La estructura física del sistema.

✓ La identificación de los modos de operación del sistema y la descripción operativa del sistema así como las ca-racterísticas de desempeño requeridas para cada modo de operación.

✓ El desempeño operativo general del sistema.

✓ las condiciones ambientales y los aspectos relevantes humanos involucrados en la operación y desempeño del sistema.

✓ Una lista de los documentos aplicables así como especificaciones, diagramas, manuales de operación, requeri-dos en el diseño y operación del sistema.

✓ Condiciones de mantenimiento y diagnostico así como la interacción con el personal de mantenimiento.

Estructura de los FTA.

Los componentes de los FTA son:

Compuertas: Son símbolos que muestran las relaciones que existen entre los eventos iniciales y eventos de salida, hay dos tipos de compuertas:

✓ Compuertas Estáticas; En estas los resultados no son dependientes del orden en que ocurren las entradas.

✓ Compuertas Dinámicas; En estas los resultados si son dependientes del orden en que ocurren las entradas.

Eventos: Representan a los niveles inferiores en el árbol de fallas.

Los componentes gráficos en el árbol de fallas son los siguientes:

a) Símbolos lógicos en el árbol de fallas.

b) Lineas de conexión entre compuertas.

c) Descripciones de los eventos intermedios.



d) Símbolos de transferencia (entrada y salida)

e) Símbolos de los eventos primarios.

El anexo A muestra a detalle las representaciones y descripciones de las compuertas y eventos. Los FTA pueden ser represen-tados tanto de forma vertical (el análisis será de arriba hacia abajo) o de forma horizontal (el análisis será de izquierda a derecha).

Desarrollo y Evaluación de los FTA.

Concepto General.

El desarrollo de los arboles de falla inicia con la definición del evento tope/máximo. El desarrollo de los FTA es un proceso de-ductivo ya que analiza al evento máximo que representa el resultado final de una secuencia de eventos y se va deduciendo los eventos que han llevado a la ocurrencia del evento máximo, desde el punto de vista del diseño tanto los modelos cualitativos como los cuantitativos son de importancia, los primeros nos representan las secuencias y los cortes mínimos necesarios para que el evento final de genere y los segundos nos representan un valor numérico de frecuencia, relación de falla y probabilidad de ocurrencia de los eventos.

Alcance del Análisis.

La definición del alcance del análisis deberá ser incluido en la definición del sistema a ser analizado, el propósito y la extensión así como las asunciones básicas deberán ser realizadas. Estas asunciones deberán incluir las relaciones esperadas con la ope-ración y mantenimiento de los sistemas así como el desempeño que tendrá el sistema en diferentes condiciones.

Los FTA proveen información para:

Realizar análisis de confiabilidad de sistemas, esto cuando se proporciones los valores de probabilidad de ocurrencia de los eventos iniciadores.

Análisis de causa raíz; de eventos desafortunados o indeseables.

Determinación del SIL de un sistema, cuando se proporcionen los valores de PFD de los equipos (eventos iniciadores).

Desarrollo del árbol de fallas.

El foco del análisis de riesgos es el evento máximo/tope, debemos evitar que la definición de este sea lo menos ambiguo y de-berá estar enfocado en los eventos que puedan ser peligrosos o que generen indisponibilidad de los sistemas.



El árbol de fallas se desarrolla desde el evento máximo y se deriva hacia cada uno de los ramales hasta que estos terminan, la terminación esta dada por tres eventos:

✓ Cuando se alcanza a los eventos iniciales.

✓ Cuando se alcanza un evento que no ha sido desarrollado.

✓ Cuando se alcanza un evento que deberá ser desarrollado en otro árbol de fallas.

Desarrollo del árbol de fallas por el método cuantitativo.

Los FTA son un método sistemático de identificación de los eventos que contribuyen al evento máximo/tope, y es un procedi-miento deductivo. El análisis sistemático identifica los modos de falla de los componentes del sistema y los factores que contri-buyen a la probabilidad de falla.

La diferencia básica entre los FTA y otros modelos de confiabilidad es que los FTA incluyen solo a los eventos que contribuyen a la ocurrencia del evento máximo/tope y modela la combinación funcional y las posibles interacciones dinámicas y la interdepen-dencia entre los eventos iniciales. Otros métodos tratan con la probabilidad y relación de falla de cada uno de sus componentes sin tomar en cuanta las interdependencias y causas de falla común.

La capacidad de los FTA para modelar secuencias de eventos (con la incorporación de modelos de Markov) primarios o inter-medios y la capacidad de considerar resultados que provienen de otros arboles de falla hace de los FTA un instrumento útil para la identificación de los eventos que contribuyen con mas peso en la generación de los eventos máximos/tope, esto permite al analista determinar las posibles modificaciones o mejoras al sistema para incrementar la confiabilidad y realizar cambios a los diseños originales.

Los FTA tienen en común con los diagramas de bloques de confiabilidad, el uso de lógica boleana, y el uso de sistemas en serie y en paralelo, la diferencia radica en la interpretación de esta lógica y la representación gráfica.

Configuración de sistemas en Serie.

En los diagramas de bloques de confiabilidad, se realiza un ensamblado en serie para representar la falla de un sistema cuando cualquiera de los elementos (bloques) del sistema falla.

La equivalencia de esta falla en los FTA es representada por una compuerta “O” (“OR”) que nos indica que la falla puede estar en cualquiera de los elementos (bloques) del sistema.

La matemática que describe la confiabilidad del evento máximo/tope de un sistema consistente de “n” elementos independien-tes puede ser:

RS (t) = R1(t) x R2(t) x R3(t) .......... Ri(t)......Rn(t) (1)



La expresión anterior en términos de confiabilidad se expresara; el bloque 1 y el bloque 2 y el resto de los bloques deberán estar en operación para que el sistema se encuentre en operación.

En FTA se utiliza el sentido opuesto a esto. El resultado de la falla es producida si el bloque 1 falla o si el bloque 2 falla o cual-quiera de los bloques falla. Por esta razón se utiliza una compuerta “O” para representar a los sistemas en serie.

La matemática detrás de una compuerta “O” es la misma que la mostrada en los sistemas en serie, excepto que es expresada en términos de probabilidad de falla F(t), la cual es un complemento de probabilidad en la confiabilidad.

F(t) = 1 - R(t) (2)

La probabilidad de que se produzca un resultado desfavorable en una compuerta “O” para n entradas independientes esta dada por:

FS(t) = 1- (1-F1(t)) x (1-F2(t)) x ................ x (1-Fn(t)) (3)

El sistema falla cuando cualquiera de los componentes (bloques) falla. Un ejemplo de esto es mostrada en la figura que repre-sentamos a continuación.

Configuración de sistemas en Paralelo.

Los sistemas en paralelo representan el concepto de “Redundancia” en los diagramas de bloques y en los FTA, debemos en-tender que este concepto de redundancia no solo abarca sistemas “idénticos” en términos de modelacion con FTA, este termino esta dado bajo el concepto que hay dos elementos (bloques) que requieren fallar ambos para que el sistema falle.

bajo este concepto de redundancia tenemos dos características o modelos; Redundancia Activa y Redundancia Pasiva.



Redundancia Activa.

Esta asume que las características (modelos) de falla para cada entrada al sistema de redundancia activa, permanecen igual e independientes a cualquier otro entrada, y se asume que la salida del sistema (evento) ocurre únicamente si todos los elementos (bloques) ocurren. Se utiliza una compuerta “Y” (AND) para representar a los modelos en paralelo o redundantes.

La representación matemática en términos de confiabilidad esta dada por la operación del bloque 1 o el bloque 2 o el bloque n, permanecen en operación. El sistema falla si todos los bloques fallan.

RS(t) = 1 - IIni=1 (1-Ri(t)) (4)

En los FTA, esto es representado por una compuerta “Y” (AND), siendo n el numero de entradas a la compuerta, bajo el concep-to dado, de que para que el sistema falle, el bloque 1 y el bloque 2 y el bloque n deben fallar. En términos de probabilidad ex-presamos esto con:

FS(t) = 1 - IIni=1 (Fi(t)) (5)

Redundancia Pasiva.

Esta asume que existe un numero dado de componentes activos para que exista la redundancia, en el caso de falla de uno o mas de los componentes, uno o mas de los componentes de remplazo o redundantes es activado para tomar la función.



Anexo “A” Símbolos.

Tabla A.1 Símbolos frecuentemente utilizados en los FTA

61025 ! IEC:2006 + 81 +

Annex A (informative)

Symbols

The symbols shown in Table A.1 are commonly used.

Table A.1 1 Frequently used symbols for a fault tree

Symbols Name Description Reliability correlation

Number of inputs

BASIC EVENT The lowest level event for which probability of occurrence or reliability information is available

Component failure mode, or a failure mode cause

0

CONDITIONAL EVENT

Event that is a condition of occurrence of another event when both have to occur for the output to occur

Occurrence of event that has to occur for another event to occur

Conditional probability

0

DORMANT EVENT

A primary event that represents a dormant failure; an event that is not immediately detected but could, perhaps, be detected by additional inspection or analysis

Dormant component failure mode or dormant failure cause

0

UNDEVELOPED EVENT

A primary event that represents a part of the system that is not yet developed

A contributor to the probability of failure. Structure of that system part is not yet defined

0

Transfer OUT

Transfer IN

TRANSFER gate Gate indicating that this part of the system is developed in another part or page of the diagram

A partial fault tree diagram that is shown in other location of the overall system

IN means that the develop gate is elsewhere, OUT means that the same gate developed in this place will be used elsewhere

0

61025 © IEC:2006 – 41 –

Customer: jose angel alvarado - No. of User(s): 1 - Company: CSIPA CONSULTORIA EN SEGURIDAD INDUSTRILA Y PROTECCION AL AMBIENTE SA DE CVOrder No.: WS-2010-010571 - IMPORTANT: This file is copyright of IEC, Geneva, Switzerland. All rights reserved.This file is subject to a licence agreement. Enquiries to Email: [email protected] - Tel.: +41 22 919 02 11



61025 ! IEC:2006 + 83 +

Symbols Name Description Reliability

correlation Number

of inputs

OR gate The output event occurs if any of the input events occur

Failure occurs if any of the parts of that system fails + series system

" 2

00

MAJORITY VOTE GATE

The output occurs if m or more inputs out of a total of n inputs occur

Redundancy k out of n, where m = n % k + 1

" 3

EXCLUSIVE OR gate

The output event occurs if one, but not the other inputs occur

A failure of the system occurring only if one, not both of the two possible failures happens

"2

AND gate The output event occurs only if all of the input events occur

Parallel redundancy, one out of n equal or different branches

" 2

PRIORITY AND (PAND) gate

The output event (failure) occurs only if the input events occur in sequence from left to right

Good for representation of secondary failures or for enabling sequence of events

�2; 2 (see comment on the SEQ gate)

INHIBIT gate The output occurs only if both of the input events take place, one of them conditional

Conditional probability of occurrence of the final event

2

NOT gate The output event occurs only if the input event does not occur

Exclusive events or preventive measure does not take place

1

– 42 – 61025 © IEC:2006




61025 ! IEC:2006 + 85 +

Symbols Name Description Reliability

correlation Number

of inputs

(This symbol was not a part of the group of previously standard symbols. It is a relatively new graphical representation of this gate)

SEQ (Sequential) gate

The output event (failure) occurs only if all input events occur in sequence from left to right. This gate is identical to the PAND gate if the number of inputs to the PAND gate is not limited to 2 as done by some analysts

Good for representation of sequential failures (chain failures). Also the sequence of stresses that would cause an event or a failure to occur. Requires Markov analysis

> 2

SPARE gate The output event will occur if the number of spare components is less than the number required

Representation of cold, warm and hot spare components. If all have exponential distribution, then the closed form solution exists. If probability of occurrence is constant, then Markov analysis is required. Other distributions may require conditional probabilities or simulations

� 1

House event Event which has happened, or will happen with certainty

Zero event Event which cannot happen

The above Table A.1 is not all inclusive. Some of the graphical gates or event representations that do not have comparison to other graphical representations are omitted from this table, but can be found in Tables A.2, A.3, and A.4.

61025 © IEC:2006 – 43 –




Tabla A.2 Símbolos usados para Eventos.

61025 ! IEC:2006 + 87 +

Table A.2 * Common symbols for events and event description

Symbol Symbol name Definition Description

Basic event The lowest level event for which probability of occurrence or reliability information is available

Failure mode of a component or an individual failure cause

Conditional event

Event that is a condition of occurrence of another event when both have to occur for the output to occur

Conditional event required for output event to occur. It is used with PRIORITY AND and INHIBIT gates

Dormant event

A primary event that represents a dormant failure; an event that is not immediately detected but could, perhaps, be detected by additional inspection or analysis

A primary event that might be detected by inspection, analysis or test

Undeveloped event A primary event that represents a part of the system that is not yet developed

A potential contributor to the occurrence of the top event, but relevant information for developing the event is currently unavailable

House event

An event that is TRUE (turned ON) or FALSE (turned OFF). Can be a part of a fault tree that is included or excluded from analysis (ON or OFF)

A user-controlled event that allows analysis under alternate, defined system conditions

Static gates such as OR, AND, EXCLUSIVE OR, INHIBIT GATE and MAJORITY VOTE gates are shown in Table A.3.

The dynamic gates such as PRIORITY AND gate, SEQUENTIAL gate and SPARE gate, are shown in Table A.4.

Example of the dynamic PRIORITY AND gate:

Description of events:

Diode D1 protects the IC from over-current due to the supply voltage surge. The IC does not get damaged by the voltage surge if diode does not fail first in the open mode. If the diode opens, and the second event takes place, whilst there exists a voltage surge, then the top event (IC explodes) takes place. The model is shown in Figure A.1.

– 44 – 61025 © IEC:2006




Tabla A.3 Compuertas Estáticas.

61025 ! IEC:2006 + 89 +

Table A.3 * Static gates

Gate name Description Reliability model Number of inputs

OR gate

The output event occurs if any of the input events occur

Series events, when independent: i = 2 to n

[ ]"=

##=n

ii tFtF

2)(11)(

(where events are not independent, see [disjointing], 7.5.5.4),

F(t) + probability of event occurrence or fault existence at time t. R(t), when used, is a complement of the F(t)

�2

AND gate

The output event occurs only if all of the input events occur

Parallel redundancy, equal or different independent branches

"=

=n

ii tFtF

2)()(

(where events are not independent, see [disjointing] 7.5.5.4)

�2

MAJORITY VOTE gate

The output event occurs if m or more inputs out of a total of n inputs occur

Parallel redundancy where k out of n the branches is not failed

m = n & k + 1

When all inputs equal:

[ ] [ ]�#

=

#$#$#$

=1

000 )()(1

)!(!!)(

k

i

ini tFtFini

ntF

(where events are not independent, see [disjointing], 7.5.5.4)

�2

NOT Gate

The output event occurs only if the input event does not occur

F(t) = 1-F1(t)

NOTE It is advised that this gate be used carefully by an experienced analyst to avoid unwanted results.

1

Exclusive OR (XOR) gate

The output event occurs if one, but not the other inputs occur

A top event occurs only if one, but not the other event occur

[ ])(1)()( 21 tFtFtF #$=

=2

NOR gate

The output occurs if none of the input events occur

It acts as a combination of NOT and OR gate. The output is FALSE if there is one or more TRUE inputs

[ ]"=

#=n

ii tFtF

2)(1)(


�2

61025 © IEC:2006 – 45 –




61025 ! IEC:2006 + 91 +

Gate name Description Reliability model Number of

inputs

NAND gate

The output occurs if at least one of the input events does not

The gate functions as a combination of NOT and AND gates

[ ] [ ]""#

==$#=

kn

kijj

k

ii tFtFtF )()(1)(

1


�2

INHIBIT gate

The output occurs only if both of the input events take place one of them conditional

The probability of occurrence is the probability of occurrence of input event multiplied by the probability of occurrence of the condition being satisfied

2

Table A.4 ; Dynamic gates

Gate name Description Comment Number of inputs

Priority AND gate (PAND)

The output event (failure) occurs only if all input events occur in sequence from left to right

Good for representation of secondary failures or for enabling sequence of two or more events. If more than two events, it is equal to the SEQUENCE ENFORCING gate.

Requires Markov analysis

�2 (see SEQ gate below)

Sequential gate, SEQ

The output event occurs only if all input events occur in sequence from left to right, and there are more than two input events. This gate is an alternative to the PAND gate above

This gate is an extension of PAND gate and as such included to emphasize the sequence of many gates. In that case, its original gate, PAND, is limited to two inputs only. Good for representation of sequential failures (chain failures). Also the sequence of stresses that would cause an event or a failure to occur requires Markov analysis

>2

Spare gate; SPARE

The output event will occur if the number of spare (standby redundant) components is less than the number required

Representation of cold, warm and hot spare components. If all have exponential distributions, then the closed form solution may exist. If probability of occurrence of input events is constant, then Markov analysis is required. Other distributions may require conditional probabilities or simulations.

Spare components have reduced probability of failure before during the time they are not activated (see 7.5.3 for cold and warm redundancy modelling)

�1

– 46 – 61025 © IEC:2006


Tabla A.4 Compuertas Dinámicas.

61025 ! IEC:2006 + 91 +

Gate name Description Reliability model Number of

inputs

NAND gate

The output occurs if at least one of the input events does not

The gate functions as a combination of NOT and AND gates

[ ] [ ]""#

==$#=

kn

kijj

k

ii tFtFtF )()(1)(

1


�2

INHIBIT gate

The output occurs only if both of the input events take place one of them conditional

The probability of occurrence is the probability of occurrence of input event multiplied by the probability of occurrence of the condition being satisfied

2

Table A.4 ; Dynamic gates

Gate name Description Comment Number of inputs

Priority AND gate (PAND)

The output event (failure) occurs only if all input events occur in sequence from left to right

Good for representation of secondary failures or for enabling sequence of two or more events. If more than two events, it is equal to the SEQUENCE ENFORCING gate.

Requires Markov analysis

�2 (see SEQ gate below)

Sequential gate, SEQ

The output event occurs only if all input events occur in sequence from left to right, and there are more than two input events. This gate is an alternative to the PAND gate above

This gate is an extension of PAND gate and as such included to emphasize the sequence of many gates. In that case, its original gate, PAND, is limited to two inputs only. Good for representation of sequential failures (chain failures). Also the sequence of stresses that would cause an event or a failure to occur requires Markov analysis

>2

Spare gate; SPARE

The output event will occur if the number of spare (standby redundant) components is less than the number required

Representation of cold, warm and hot spare components. If all have exponential distributions, then the closed form solution may exist. If probability of occurrence of input events is constant, then Markov analysis is required. Other distributions may require conditional probabilities or simulations.

Spare components have reduced probability of failure before during the time they are not activated (see 7.5.3 for cold and warm redundancy modelling)

�1

– 46 – 61025 © IEC:2006




Anexo B Lógica de las arquitecturas en arboles de falla.

Arquitecturas de sistemas redundantes representadas con arboles de falla

A

AND

B

OR

FCC

Salida

Figura #1 1oo2

A B

OR

FCC

Salida

OR

Figura #2 2oo2



A

AND

OR

B A

AND

C B

AND

C

OR

FCC

Salida

Figura #3 2oo3

AND

A B C

OR

FCC

Salida

Figura #4 1oo3



Referencias:

La información de este articulo fue obtenida principalmente de las dos siguientes fuentes:

1) Fault Tree Hanbomok with Aerospace Applications, NASA office do Safety Mission Assurance, August 2002.

2) Fault Tree Análisis (FTA) IEC International Standard, IEC 61025

Los comentarios de este documento expresan el punto de vista de:

Victor Machiavelo SalinasTUV FS Expert ID-141/09Risk Software SA de CV

[email protected],mx

Agradeceremos cualquier comentario.



mailto:[email protected]

mailto:[email protected]

http://www.risksoftware.com

http://www.risksoftware.com

analisis de arboles de falla fta · pdf fileeste acercamiento se enfoca en el análisis...

Documents