Fallas de causa común, más comunes de lo que piensas

 

Introducción

Los sistemas críticos generalmente están diseñados con alta redundancia y tolerancia a fallas para evitar fallas críticas. El mayor enemigo de la redundancia es la falla de causa común (CCF).
CCF se define como fallas de múltiples elementos, que de otro modo se considerarían independientes entre sí, como resultado de una sola causa [1].

Los eventos de CCF generalmente son raros, pero su efecto puede ser grave. Por lo tanto, el análisis de causa común es una parte importante del análisis de seguridad y se requiere en ciertas normas, por ejemplo, seguridad ferroviaria [2].
Los CCF son más comunes de lo que piensas. Los siguientes son algunos eventos de causa común que aparecen en muchos sistemas:

  • Una falla de energía puede causar el apagado de muchos subsistemas eléctricos. Aunque los subsistemas no fallaron por sí mismos, no pueden cumplir con la funcionalidad requerida y, por lo tanto, deben considerarse como fallidos para el análisis.
  • Una falla de un conmutador de comunicación de red puede evitar que muchos subsistemas envíen / reciban información crítica. Esto puede hacer que los subsistemas sean inútiles.

 

Análisis

En casos simples, es posible contabilizar CCF utilizando puertas estándar de Análisis de árbol de fallas (FTA), pero en otros casos, se requiere un análisis más complejo.

Caso simple

Considere una fuente de alimentación que alimente un servidor y un conmutador de comunicación de red. El servidor y el conmutador son necesarios para el funcionamiento del sistema. La falla de cualquiera de ellos causará la falla del sistema. Claramente, la falla de la fuente de alimentación también causará una falla del sistema, por lo tanto, se puede usar el siguiente árbol de fallas simple:

Screenshot of Fault Tree Analysis software

Caso no tan simple

Considere el caso de dos servidores y dos dispositivos de almacenamiento de datos en dos sitios separados (un servidor y un dispositivo de almacenamiento en cada sitio).
Existe comunicación entre los dos sitios, y se reflejan entre sí:

El sistema puede funcionar en los siguientes casos:

  • El servidor 1 y el almacenamiento 1 están activos
  • El servidor 2 y el almacenamiento 2 están activos
  • El servidor 1 y el almacenamiento 2 están activos
  • El servidor 2 y el almacenamiento 1 están activos

Ignorando las fuentes de energía, también se puede usar un árbol de fallas simple en este caso:

Screenshot of Fault Tree Analysis software

Sin embargo, una falla de Power 1 hace que el Servidor 1 y el Almacenamiento 1 fallen, y la falla de la Energía 2 hace que el Servidor 2 y el Almacenamiento 2 fallen. El árbol de fallas que representa las fuentes de energía es el siguiente:

Screenshot of Fault Tree Analysis software

* Imágenes del árbol de fallas tomadas de Software de análisis de árbol de fallas de BQR.

 

Tenga en cuenta que el evento "Falla de energía 1" aparece dos veces en el diagrama. Por lo general, cada nodo final del diagrama representa un evento independiente, pero en este caso los dos eventos de "falla de energía 1" representan el mismo evento. Del mismo modo, "Falla de energía 2" aparece dos veces en el diagrama.

Hay 6 bloques en el sistema, por lo tanto, hay 64 posibles estados del sistema. De los 64 estados, 47 estados se definen como fallas del sistema.
Para calcular la probabilidad de falla de este caso, se debe llevar a cabo un proceso de desarticulación [3].

El software FTA de BQR tiene en cuenta los CCF y los CCF anidados (causa común que aparece dentro de otra causa común).
Para obtener más información sobre el software BQR y / o los servicios profesionales, comuníquese con info@bqr.com.

 

Bibliografía

[1] IEC 60050, Vocabulario electrotécnico internacional.
[2] EN 50126: 2017 Aplicaciones ferroviarias. La especificación y demostración de confiabilidad, disponibilidad, mantenibilidad y seguridad (RAMS). Proceso RAMS genérico.
[3] IEC 61025: 2007 Análisis de árbol de fallas (TLC).