Análisis de árbol de fallas: ¿qué tan preciso es?

 

Introducción:

Cuando se realiza el Análisis de árbol de fallas (FTA), las pequeñas probabilidades son importantes. Por ejemplo: De acuerdo con (ARP 4761 y AC 23.1309-1E) Departamento de Transporte de EE. UU., Un evento catastrófico, es decir, "Condiciones de falla que evitarían un vuelo y aterrizaje seguro continuo" debería tener una probabilidad menor a 10-9 por hora de vuelo. Existen requisitos similares también en la industria del material rodante.
Los cálculos de FTA se realizan de forma rutinaria mediante el uso de hojas de Excel y software dedicado de FTA. Se hace la pregunta: ¿Qué tan precisos son estos cálculos?
Hay razones para creer (Keisner, A. 2003) que diferentes softwares de TLC proporcionan diferentes resultados que pueden conducir a eventos de seguridad graves.
El objetivo de este trabajo es comparar varios métodos de cálculo de probabilidad, identificar problemas potenciales y presentar las soluciones.
Un problema conocido con el TLC es la cuestión del truncamiento, es decir, cuándo terminar la suma de probabilidades mínimas de conjunto de cortes. Este tema fue tratado en la literatura (Čepin, M. 2004; Epstein, S. & Rauzy, A. 2005).
En este artículo presentamos varios casos en los que la implementación ingenua de ecuaciones de probabilidad para una única puerta lógica da como resultado errores generados por computadora.
El primer caso que discutimos es la puerta OR para la cual existe una solución simple. El segundo y tercer casos son puertas dinámicas (en espera y prioridad AND) que representan un desafío más formidable. Discutimos las razones de los errores computacionales, así como las soluciones para los problemas.

 

O puerta:

De acuerdo con la norma IEC 61025 (IEC 61025, 2006), la probabilidad de falla F (t) hasta el tiempo t de una puerta OR está dada por:

(1)

 

Donde Fyo(t) es la probabilidad de ocurrencia del suceso secundario i hasta el tiempo t. Cuando los valores de Fyo(t) hacerse pequeño, de orden 10-16, El cálculo estándar (usando Excel, Matlab u otros programas / idiomas estándar) da resultados incorrectos. La razon es la siguiente:
Eq. 1 incluye los términos del formulario 1- Fi (t). Estos términos mezclan números de orden 1 y orden 10-16, es decir, se requieren más de 16 dígitos para describir con precisión el número. Los cálculos informáticos estándar utilizan números de doble precisión que tienen una precisión inferior a 16 dígitos. Por lo tanto, los términos del formulario 1- Fi (t) no se calculan correctamente.
Una posible solución es utilizar una precisión no estándar para calcular la probabilidad, sin embargo, dichos métodos consumen mucha más memoria y tiempo.
Eq. 1 se puede calcular con precisión cuando los términos en la ecuación. 1 están escritos explícitamente de acuerdo con la expansión Sylvester – Poincaré (NUREG-0492 1981). Por ejemplo, considere un caso con tres subeventos. Ecualizador expansivo 1 da:

(2)

 

 

 

 

Tenga en cuenta que en la ecuación. 2 las contribuciones de la orden 1 canceladas. Por lo tanto, se evita el error de cálculo.
Ejemplo: considere tres eventos, cada uno con una probabilidad de 10-16. Una implementación simple de la ecuación. 1 en Matlab produce F (t) = 3.330669073875470e-016.
Una implementación de la ecuación. 2 da: F (t) = 2.999999999999999e-016. En este caso, la ecuación. 1 dio una desviación de 11% del resultado correcto. A continuación, se presentan casos más complicados.

 

PUERTA EN ESPERA:

La puerta de espera se usa para describir un sistema con unidades de respaldo. Aquí se discute el caso de no recuperación. Ejemplo: considere una CPU satelital. Para lograr una alta confiabilidad durante el período de misión satelital, se instalan varias CPU de respaldo. Cuando falla la CPU, una de las unidades de respaldo la reemplaza. Se produce una falla crítica cuando fallan las CPU primarias y todas las de respaldo. La probabilidad de falla para N unidades idénticas (una copia de seguridad primaria y N-1) es:

(3)

 

 

Donde f es la función de distribución de falla de CPU única. Cuando f es exponencial con una tasa de falla constante λ, una solución analítica para la ecuación. 3 se pueden encontrar aplicando transformadas de Laplace e inversas de Laplace:

 

(4)

 

 

Eq. 4 revela un problema potencial: el primer término de la ecuación. 4 es 1. Cuando λ · t << 1, la contribución a la ecuación. 4 del segundo término con k = 0 está muy cerca de -1, es decir, los dos términos casi se cancelan entre sí. En tales casos, pueden producirse resultados de cálculo erróneos.
Para resolver este problema, una forma alternativa de la ecuación. Se requiere 4. Tenga en cuenta que la suma en la ecuación. 4 se pueden escribir como:

(5)

 

 

 

Usando la ecuación 5, una nueva forma para la ecuación. 4 se encuentra:

(6)

 

 

Tenga en cuenta que la ecuación. 6 ya no tiene los términos de orden casi cancelables 1. El término de orden más bajo en la ecuación. 6 es de orden (λ · t) N. Para usar la ecuación. 6, se requiere una condición de detención para la suma de términos infinitos. La condición de detención depende de la precisión requerida.
Ejemplo: considere un sistema con 4 unidades idénticas en configuración de espera. Además, suponga que λ · t = 10-5.

Implementando la ecuación. 4 en Matlab produce un resultado negativo: -2.220446049250313e-016 mientras que la ecuación. 6 da: 4.166633333472224e-022. Un resultado negativo es "bueno" porque entonces el error se detecta inmediatamente. Sin embargo, si λ · t = 2 ∙ 10-5, entonces implementando la ecuación. 4 en Matlab produce 1.110223024625157e-016 mientras que la ecuación. 6 da: 6.666560000888887e-021. En este caso, el uso directo de la ecuación. 4 da un resultado que está equivocado en más de 4 órdenes de magnitud, pero es difícil de detectar. Esto podría conducir a la adición innecesaria de unidades de repuesto.

 

Y - PUERTA DE PRIORIDAD:

El evento AND - Priority (ANDp) ocurre cuando todos los eventos secundarios ocurren en un orden específico. Los eventos ANDp comúnmente existen en FTA de sistemas que tienen varias capas de protección. La compuerta ANDp se introdujo por primera vez en 1976 por Fussel et al (Fussel, J. et al 1976).
Ejemplo: una pistola disparará involuntariamente solo si los siguientes eventos tienen lugar en secuencia:
-La revista de balas se inserta en la pistola
-La pistola está cargada
-Se aprieta el gatillo.
Considere el caso de N sub eventos, cada uno con una tasa de ocurrencia λyo. La probabilidad de ocurrencia de la compuerta ANDp viene dada por una convolución de la forma:

(7)

 

 

donde fyo(t) son distribuciones de fallas exponenciales, cada una con una tasa de falla λyo. La convolución de la ecuación. 7 se puede resolver utilizando la transformación de Laplace:
Definir otra tasa de falla λN + 1=0.
Definir coeficientes uyo tal que:

(8)

 

 

 

Entonces F (t) viene dado por:

(9)

 

 

Eq. 9 es una solución exacta de la convolución en la ecuación. 7. Sin embargo, hay casos en los que el cálculo de la ecuación. 9 da resultados incorrectos:
Cuando las probabilidades de sub-eventos son pequeñas, se producen desviaciones significativas del valor esperado. Considere el caso simple de dos eventos secundarios (N = 2). En este caso, la ecuación. 9 se reduce a:

(10)

 

 

 

 

Eq. 10 incluye la suma y resta de números con valores muy cercanos, esta es la causa de los problemas de cálculo. Esto se vuelve más claro cuando la expansión de Taylor de los exponentes en la ecuación. Se toma 10:

(11)

 

 

 

Los términos de 0 ° y 1 ° orden de la expansión Taylor se cancelan. Si bien la cancelación es fácil de identificar analíticamente, la cancelación numérica (por computadora) no es exacta y pueden surgir errores en el cálculo. Por lo tanto, la ecuación. 11 da una mejor precisión calculada en comparación con la ecuación. 10 cuando existen pequeñas probabilidades.

Para generalizar la conclusión al caso de N sub eventos, la ecuación. 9 se da en una forma diferente (vea el apéndice para la prueba de equivalencia):

(12)

 

 

 

 

La expansión de Taylor de los exponentes en la ecuación. 12 da:

(13)

 

 

 

 

De la ec. 13 está claro que las contribuciones para m = 0, 1, .., N-1 se cancelan (debido a la dependencia lineal de las filas en el determinante). Por lo tanto, un cálculo preciso de F (t) cuando existen pequeñas probabilidades requiere una expansión de Taylor que comienza en el orden N.
Se pueden aplicar dos mejoras más a la ecuación. 13:
Observe que la segunda fila de la matriz en la ecuación. 13 es una fila de unos. Además, la última columna de la matriz en la ecuación. 13 está lleno de ceros (con una excepción). Esto permite una reducción dimensional de la matriz:

(14)

 

 

 

 

El denominador de la ecuación .14 incluye términos de la forma (uj-uk), se debe tener cuidado en caso de que los valores de uj y túk son similares, por lo tanto, use la siguiente ecuación:

(15)

 

 

 

 

Eq. 15 es mucho más robusto en comparación con la ecuación. 9)
Pueden surgir complicaciones adicionales en el caso especial donde las columnas de la matriz en la ecuación. 15 tienen un valor muy cercano. La forma de superar estos problemas es similar en espíritu a los métodos que se muestran en esta sección.
Ejemplo: considere el caso simple de dos eventos similares para los cuales λ1· T = 10-8 y λ2· T = 10-8. La probabilidad de ocurrencia de cada evento es 10-8, por lo tanto, la probabilidad de que ocurran tanto los eventos como el evento 1 antes del evento 2 es: 5 · 10-17. Implementando la ecuación. 10 en Matlab produce: 8.271806125530277e-17, es decir, una desviación de 65% del resultado correcto. Implementación de la ecuación. 15 da el resultado correcto.

La figura 1 presenta el diagrama de árbol de fallas del caso descrito anteriormente utilizando el software BQR FTA (manual de usuario BQR FTA):

 

Figura 1. Árbol de fallas diagrama de una puerta de prioridad AND con dos eventos secundarios.

 

DISCUSIONES Y CONCLUSIONES:

Se examinaron los cálculos de probabilidad de OR, Standby y AND - puertas de prioridad. Se descubrió que la implementación ingenua de ecuaciones de probabilidad puede conducir a errores de cálculo e incluso a resultados negativos.
Se demostró que se puede lograr un cálculo preciso mediante el uso de representaciones alternativas de las ecuaciones de probabilidad.

Software FTA de BQR Ofrece alta precisión, flexibilidad y velocidad de cálculo.

 

APÉNDICE

Prueba de equivalencia entre las ecuaciones. 9 y 12:
Comenzando con la ecuación. 12 y expandiendo el determinante de acuerdo con la fórmula de Leibniz se obtiene:

(A1)

 

 

 

 

Los determinantes en la ecuación. A1 tiene la forma de determinantes de Vandermonde, por lo tanto:

(A2)

 

 

 

 

Eq. A2 se simplifica al notar los términos similares en el numerador y el denominador:

(A3)

 

 

 

 

 

Se obtiene una mayor simplificación considerando los casos en los que j = i y k = i:

(A4)

 

 

 

 

Sustitución (uj-uyo) contigoyo-uj) y contabilizar los rendimientos de los cambios de signos:

(A5)

 

 

 

 

 

Y finalmente, la ecuación. 9 se recupera:

(A6)

 

 

 

 

Referencias

AC 23.1309-1E, Administración Federal de Aviación, Departamento de Transporte de EE. UU.

 

ARP 4761, Directrices y métodos para llevar a cabo el proceso de evaluación de seguridad en sistemas y equipos aerotransportados civiles, SAE internacional

 

Manual de usuario de BQR TLC

 

Čepin, M. (2005), Análisis del límite de truncamiento en la evaluación de seguridad probabilística. Ingeniería de confiabilidad y seguridad del sistema 87, 395-403

 

Epstein, S. y Rauzy, A. (2005). ¿Podemos confiar en PRA? Ingeniería de confiabilidad y seguridad del sistema 88, 195-205

 

Fussel, J., Aber, E. y Rahl, R. (1976). Sobre el análisis cuantitativo de la lógica de prioridad y falla. Transacciones de IEEE sobre confiabilidad R-25 (5), 324–326

 

IEC 61025, 2006, Fault Tree Analysis (FTA), Comisión Electrotécnica Internacional

 

Keisner A., 2003, Comparación de la técnica de análisis de confiabilidad, como se aplica al transbordador espacial, Laboratorio de diseño de sistemas espaciales, Georgia Tech, 35

 

NUREG-0492, 1981, Fault Tree Handbook, Systems and Reliability Research, Office of Nuclear Regulatory Research, US Nuclear Regulatory Commission, VI-4