Fehlerbaumanalyse: Wie genau ist sie?

 

Einführung:

Bei der Durchführung der Fehlerbaumanalyse (FTA) spielen kleine Wahrscheinlichkeiten eine Rolle. Zum Beispiel: Laut (ARP 4761 und AC 23.1309-1E) US-Verkehrsministerium sollte ein katastrophales Ereignis, dh „Ausfallbedingungen, die einen weiterhin sicheren Flug und eine sichere Landung verhindern würden“, eine Wahrscheinlichkeit von weniger als 10 haben-9 pro Flugstunde. Ähnliche Anforderungen bestehen auch in der Fahrzeugindustrie.
FTA-Berechnungen werden routinemäßig mithilfe von Excel-Tabellen und FTA-Software durchgeführt. Die Frage wird gestellt: Wie genau sind diese Berechnungen?
Es besteht Grund zu der Annahme (Keisner, A. 2003), dass unterschiedliche FTA-Software unterschiedliche Ergebnisse liefert, die zu schwerwiegenden Sicherheitsereignissen führen können.
Das Ziel dieser Arbeit ist es, verschiedene Methoden zur Wahrscheinlichkeitsberechnung zu vergleichen, potenzielle Probleme zu identifizieren und die Lösungen vorzustellen.
Ein bekanntes Problem bei FTA ist die Frage der Kürzung, dh wann die Summierung minimaler Cut-Set-Wahrscheinlichkeiten beendet werden soll. Dieses Problem wurde in der Literatur behandelt (Čepin, M. 2004; Epstein, S. & Rauzy, A. 2005).
In diesem Artikel stellen wir mehrere Fälle vor, in denen die naive Implementierung von Wahrscheinlichkeitsgleichungen für ein einzelnes logisches Gatter zu schwerwiegenden computergenerierten Fehlern führt.
Der erste Fall, den wir diskutieren, ist das ODER-Gatter, für das es eine einfache Lösung gibt. Der zweite und dritte Fall sind dynamische Gates (Standby und UND-Priorität), die eine größere Herausforderung darstellen. Wir diskutieren die Gründe für die Rechenfehler sowie die Lösungen für die Probleme.

 

ODER-Gatter:

Gemäß der Norm IEC 61025 (IEC 61025, 2006) ist die Ausfallwahrscheinlichkeit F (t) bis zum Zeitpunkt t eines ODER-Gatters gegeben durch:

(1)

 

Wo F.ich(t) ist die Eintrittswahrscheinlichkeit des Unterereignisses i bis zum Zeitpunkt t. Wenn Werte von F.ich(t) klein werden, in der Größenordnung 10-16Die Standardberechnung (mit Excel, Matlab oder anderen Standardprogrammen / -sprachen) führt zu falschen Ergebnissen. Der Grund ist wie folgt:
Gl. 1 enthält Begriffe der Form 1-Fi (t). Diese Begriffe mischen Nummern der Ordnungen 1 und 10-16Das heißt, es sind mehr als 16 Ziffern erforderlich, um die Nummer genau zu beschreiben. Standard-Computerberechnungen verwenden Zahlen mit doppelter Genauigkeit und einer Genauigkeit von weniger als 16 Stellen. Daher werden Terme der Form 1-Fi (t) nicht korrekt berechnet.
Eine mögliche Lösung besteht darin, zur Berechnung der Wahrscheinlichkeit eine nicht standardmäßige Genauigkeit zu verwenden. Solche Methoden verbrauchen jedoch viel mehr Speicher und Zeit.
Gl. 1 kann genau berechnet werden, wenn die Terme in Gl. 1 sind explizit nach der Sylvester-Poincaré-Erweiterung (NUREG-0492 1981) geschrieben. Betrachten Sie beispielsweise einen Fall mit drei Unterereignissen. Erweitern von Gl. 1 gibt:

(2)

 

 

 

 

Beachten Sie, dass in Gl. 2 die Beiträge der Bestellung 1 storniert. Daher wird der Berechnungsfehler vermieden.
Beispiel: Betrachten Sie drei Ereignisse mit einer Wahrscheinlichkeit von jeweils 10-16. Eine einfache Implementierung von Gl. 1 in Matlab ergibt F (t) = 3,330669073875470e-016.
Eine Implementierung von Gl. 2 ergibt: F (t) = 2,999999999999999e-016. In diesem Fall ist Gl. 1 ergab eine Abweichung von 11% vom korrekten Ergebnis. Als nächstes werden kompliziertere Fälle vorgestellt.

 

STANDBY GATE:

Das Standby-Gate wird verwendet, um ein System mit Backup-Einheiten zu beschreiben. Hier wird der Fall der Nichtwiederherstellung diskutiert. Beispiel: Betrachten Sie eine Satelliten-CPU. Um eine hohe Zuverlässigkeit für die Satellitenmission zu erreichen, sind mehrere Backup-CPUs installiert. Wenn die CPU ausfällt, wird sie von einer der Sicherungseinheiten ersetzt. Ein kritischer Fehler tritt auf, wenn die primäre und alle Backup-CPUs ausfallen. Die Ausfallwahrscheinlichkeit für N identische Einheiten (eine primäre und eine N-1-Sicherung) beträgt:

(3)

 

 

Wobei f die einzelne CPU-Fehlerverteilungsfunktion ist. Wenn f mit einer konstanten Ausfallrate λ exponentiell ist, wird eine analytische Lösung für Gl. 3 kann durch Anwenden von Laplace- und inversen Laplace-Transformationen gefunden werden:

 

(4)

 

 

Gl. 4 zeigt ein potentielles Problem: Der 1. Term von Gl. 4 ist 1. Wenn λ · t << 1 ist, wird der Beitrag zu Gl. 4 aus dem 2. Term mit k = 0 liegt sehr nahe bei -1, dh die beiden Terme heben sich fast gegenseitig auf. In solchen Fällen können fehlerhafte Berechnungsergebnisse auftreten.
Um dieses Problem zu lösen, wird eine alternative Form von Gl. 4 ist erforderlich. Beachten Sie, dass die Summe in Gl. 4 kann geschrieben werden als:

(5)

 

 

 

Mit Gl. 5, eine neue Form für Gl. 4 wird gefunden:

(6)

 

 

Beachten Sie, dass Gl. 6 hat nicht mehr die nahezu stornierenden Bestellbedingungen 1. Die niedrigste Bestellbedingung in Gl. 6 ist in der Ordnung (λ · t) N. Um Gl. In 6 ist eine Stoppbedingung für die Summe der unendlichen Terme erforderlich. Die Stoppbedingung hängt von der erforderlichen Genauigkeit ab.
Beispiel: Betrachten Sie ein System mit 4 identischen Einheiten in der Standby-Konfiguration. Weiterhin sei angenommen, dass λ · t = 10-5.

Implementierung von Gl. 4 in Matlab ergibt ein negatives Ergebnis: -2.220446049250313e-016, während Gl. 6 ergibt: 4.166633333472224e-022. Ein negatives Ergebnis ist „gut“, da dann der Fehler sofort erkannt wird. Wenn jedoch λ · t = 2 ∙ 10-5 ist, wird die Implementierung von Gl. 4 in Matlab ergibt 1.110223024625157e-016, während Gl. 6 ergibt: 6.666560000888887e-021. In diesem Fall ist die direkte Verwendung von Gl. 4 ergibt ein Ergebnis, das um mehr als 4 Größenordnungen falsch ist, aber schwer zu erkennen ist. Dies könnte zu unnötigem Hinzufügen von Ersatzgeräten führen.

 

UND - PRIORITÄTSTOR:

Das ANDp-Prioritätsereignis (ANDp) tritt auf, wenn alle Unterereignisse in einer bestimmten Reihenfolge auftreten. ANDp-Ereignisse treten häufig in Freihandelsabkommen von Systemen mit mehreren Schutzschichten auf. Das ANDp-Gate wurde erstmals 1976 von Fussel et al. (Fussel, J. et al. 1976) eingeführt.
Beispiel: Eine Waffe wird nur dann unbeabsichtigt abgefeuert, wenn die folgenden Ereignisse nacheinander stattfinden:
-Das Geschossmagazin wird in die Waffe eingesetzt
-Die Waffe ist geladen
-Der Abzug ist gedrückt
Betrachten Sie den Fall von N Unterereignissen mit jeweils einer Auftrittsrate λich. Die Auftrittswahrscheinlichkeit für das ANDp-Gatter ergibt sich aus einer Faltung der Form:

(7)

 

 

wo fich(t) sind exponentielle Fehlerverteilungen mit jeweils einer Fehlerrate λich. Die Faltung von Gl. 7 kann mit der Laplace-Transformation gelöst werden:
Definieren Sie eine andere Ausfallrate λN + 1=0.
Koeffizienten definieren uich so dass:

(8)

 

 

 

Dann ist F (t) gegeben durch:

(9)

 

 

Gl. 9 ist eine genaue Lösung der Faltung in Gl. 7. Es gibt jedoch Fälle, in denen die Berechnung von Gl. 9 gibt falsche Ergebnisse:
Wenn die Unterereigniswahrscheinlichkeiten klein sind, treten signifikante Abweichungen vom erwarteten Wert auf. Betrachten Sie den einfachen Fall zweier Unterereignisse (N = 2). In diesem Fall ist Gl. 9 reduziert sich auf:

(10)

 

 

 

 

Gl. 10 beinhaltet das Addieren und Subtrahieren von Zahlen mit sehr engen Werten, dies ist die Ursache für die Berechnungsprobleme. Dies wird klarer, wenn die Taylor-Expansion der Exponenten in Gl. 10 wird genommen:

(11)

 

 

 

Die Bedingungen 0. und 1. Ordnung der Taylor-Erweiterung werden aufgehoben. Während die Stornierung analytisch leicht zu identifizieren ist, ist die numerische Stornierung (per Computer) nicht genau und es können Fehler bei der Berechnung auftreten. Daher ist Gl. 11 ergibt eine besser berechnete Genauigkeit im Vergleich zu Gl. 10 wenn kleine Wahrscheinlichkeiten existieren.

Um die Schlussfolgerung auf den Fall von N Unterereignissen zu verallgemeinern, wird Gl. 9 wird in einer anderen Form angegeben (Beweis der Äquivalenz siehe Anhang):

(12)

 

 

 

 

Taylor-Erweiterung der Exponenten in Gl. 12 gibt:

(13)

 

 

 

 

Aus Gl. In 13 ist klar, dass sich die Beiträge für m = 0, 1, .., N-1 aufheben (aufgrund der linearen Abhängigkeit der Zeilen in der Determinante). Daher erfordert eine genaue Berechnung von F (t), wenn kleine Wahrscheinlichkeiten existieren, eine Taylor-Expansion, die bei der Ordnung N beginnt.
Zwei weitere Verbesserungen können auf Gl. 13:
Beachten Sie, dass die 2. Zeile der Matrix in Gl. 13 ist eine Reihe von Einsen. Weiterhin ist die letzte Spalte der Matrix in Gl. 13 ist voller Nullen (mit einer Ausnahme). Dies ermöglicht eine Dimensionsreduktion der Matrix:

(14)

 

 

 

 

Der Nenner von Gleichung 14 enthält Terme der Form (uj-uk) sollte darauf geachtet werden, dass die Werte von uj und duk ähnlich sind, verwenden Sie daher die folgende Gleichung:

(15)

 

 

 

 

Gl. 15 ist viel robuster als Gl. 9.
Weitere Komplikationen können in dem speziellen Fall auftreten, in dem Spalten der Matrix in Gl. 15 sind sehr wertvoll. Die Art und Weise, diese Probleme zu überwinden, ähnelt im Geiste den in diesem Abschnitt gezeigten Methoden.
Beispiel: Betrachten Sie den einfachen Fall zweier ähnlicher Ereignisse, für die λ gilt1· T = 10-8 und λ2· T = 10-8. Die Eintrittswahrscheinlichkeit jedes Ereignisses beträgt 10-8Daher beträgt die Wahrscheinlichkeit, dass sowohl Ereignisse auftreten als auch Ereignis 1 vor Ereignis 2 stattfindet: 5 · 10-17. Implementierung von Gl. 10 in Matlab ergibt: 8,271806125530277e-17, dh eine Abweichung von 65% vom korrekten Ergebnis. Implementierung von Gl. 15 ergibt das richtige Ergebnis.

Fig. 1 zeigt das Fehlerbaumdiagramm des oben beschriebenen Falls unter Verwendung der BQR FTA-Software (BQR FTA-Benutzerhandbuch):

 

Abbildung 1. Fehlerbaum Diagramm eines UND-Prioritätsgatters mit zwei untergeordneten Ereignissen.

 

DISKUSSION UND ZUSAMMENFASSUNG:

Wahrscheinlichkeitsberechnungen von OR-, Standby- und AND-Prioritätsgattern wurden untersucht. Es wurde festgestellt, dass eine naive Implementierung von Wahrscheinlichkeitsgleichungen zu Rechenfehlern und sogar zu negativen Ergebnissen führen kann.
Es wurde gezeigt, dass eine genaue Berechnung durch Verwendung alternativer Darstellungen der Wahrscheinlichkeitsgleichungen erreicht werden kann.

FTA-Software von BQR bietet hohe Genauigkeit, Flexibilität und Rechengeschwindigkeit.

 

BLINDDARM

Beweis der Äquivalenz zwischen Gl. 9 und 12:
Beginnend mit Gl. 12 und Erweiterung der Determinante nach der Leibniz-Formel erhält man:

(A1)

 

 

 

 

Die Determinanten in Gl. A1 haben die Form von Vandermonde-Determinanten, daher:

(A2)

 

 

 

 

Gl. A2 wird vereinfacht, indem die ähnlichen Begriffe im Zähler und Nenner beachtet werden:

(A3)

 

 

 

 

 

Eine weitere Vereinfachung ergibt sich aus den Fällen, in denen j = i und k = i sind:

(A4)

 

 

 

 

Ersetzen (uj-uich) mit dirich-uj) und Berücksichtigung der Vorzeichenwechsel ergibt:

(A5)

 

 

 

 

 

Und schließlich ist Gl. 9 wird wiederhergestellt:

(A6)

 

 

 

 

VERWEISE

AC 23.1309-1E, Federal Aviation Administration, US-Verkehrsministerium

 

ARP 4761, Richtlinien und Methoden zur Durchführung des Sicherheitsbewertungsverfahrens für zivile luftgestützte Systeme und Ausrüstung, SAE international

 

BQR FTA-Benutzerhandbuch

 

Čepin, M. (2005), Analyse der Kürzungsgrenze bei der probabilistischen Sicherheitsbewertung. Zuverlässigkeitstechnik und Systemsicherheit 87, 395-403

 

Epstein, S. & Rauzy, A. (2005). Können wir PRA vertrauen? Zuverlässigkeitstechnik und Systemsicherheit 88, 195-205

 

Fussel, J., Aber, E. und Rahl, R. (1976). Zur quantitativen Analyse der Prioritäts- und Fehlerlogik. IEEE-Transaktionen zur Zuverlässigkeit R-25 (5), 324–326

 

IEC 61025, 2006, Fehlerbaumanalyse (FTA), Internationale Elektrotechnische Kommission

 

Keisner A., 2003, Vergleich der Zuverlässigkeitsanalysetechnik, angewendet auf das Space Shuttle, Labor für Entwurf von Raumfahrtsystemen, Georgia Tech, 35

 

NUREG-0492, 1981, Fault Tree Handbook, System- und Zuverlässigkeitsforschung, Büro für nukleare Regulierungsforschung, US Nuclear Regulatory Commission, VI-4