Analisi dell'albero dei guasti: quanto è preciso?

Introduzione:

Quando si esegue l'analisi dell'albero dei guasti (FTA), le piccole probabilità contano. Ad esempio: secondo (ARP 4761 e AC 23.1309-1E) Dipartimento dei trasporti degli Stati Uniti, un evento catastrofico, ad esempio "Condizioni di guasto che impedirebbero il volo e l'atterraggio continui in sicurezza" dovrebbe avere una probabilità inferiore a 10^-9 per ora di volo. Requisiti analoghi esistono anche nel settore del materiale rotabile.
I calcoli FTA vengono eseguiti abitualmente utilizzando fogli Excel e software dedicato FTA. Viene posta la domanda: quanto sono precisi questi calcoli?
C'è motivo di credere (Keisner, A. 2003) che diversi software FTA forniscono risultati diversi che potrebbero portare a gravi eventi di sicurezza.
L'obiettivo di questo documento è confrontare vari metodi di calcolo delle probabilità, identificare potenziali problemi e presentare le soluzioni.
Un problema noto con FTA è la questione del troncamento, ovvero quando interrompere la somma delle probabilità minime di taglio. Questo problema è stato trattato in letteratura (Čepin, M. 2004; Epstein, S. & Rauzy, A. 2005).
In questo documento presentiamo diversi casi in cui l'implementazione ingenua di equazioni di probabilità per un singolo gate logico provoca gravi errori generati dal computer.
Il primo caso che discutiamo è la porta OR per la quale esiste una soluzione semplice. Il secondo e il terzo caso sono porte dinamiche (standby e priorità AND) che rappresentano una sfida più formidabile. Discutiamo le ragioni degli errori computazionali, nonché le soluzioni ai problemi.

OPPURE cancello:

Secondo la norma IEC 61025 (IEC 61025, 2006), la probabilità di guasto F (t) fino al tempo t di una porta OR è data da:

(1)

Dove F_io(t) è la probabilità di occorrenza del sottoevento i fino al tempo t. Quando i valori di F_io(t) diventa piccolo, dell'ordine 10^-16, Il calcolo standard (utilizzando Excel, Matlab o altri programmi / lingue standard) fornisce risultati errati. Il motivo è il seguente:
Eq. 1 include i termini del modulo 1- Fi (t). Questi termini mescolano i numeri dell'ordine 1 e dell'ordine 10^-16, cioè sono necessarie più di 16 cifre per descrivere accuratamente il numero. I calcoli del computer standard utilizzano numeri a doppia precisione con un'accuratezza inferiore a 16 cifre. Pertanto, i termini del modulo 1- Fi (t) non vengono calcolati correttamente.
Una possibile soluzione è utilizzare una precisione non standard per calcolare la probabilità, tuttavia tali metodi consumano molta più memoria e tempo.
Eq. 1 può essere calcolato accuratamente quando i termini in Eq. 1 sono scritti esplicitamente secondo l'espansione Sylvester – Poincaré (NUREG-0492 1981). Ad esempio, considera un caso con tre sotto-eventi. Eq in espansione 1 dà:

(2)

Si noti che in Eq. 2 i contributi dell'ordine 1 annullati. Pertanto, l'errore di calcolo viene evitato.
Esempio: considera tre eventi, ognuno con una probabilità di 10^-16. Una semplice implementazione dell'Eq. 1 in Matlab produce F (t) = 3.330669073875470e-016.
Un'implementazione dell'Eq. 2 indica: F (t) = 2.999999999999999e-016. In questo caso l'Eq. 1 ha dato una deviazione di 11% dal risultato corretto. Successivamente, vengono presentati casi più complicati.

STANDBY GATE:

Il gate di standby viene utilizzato per descrivere un sistema con unità di backup. Qui viene discusso il caso di non recupero. Esempio: considerare una CPU satellite. Al fine di ottenere un'elevata affidabilità per il periodo della missione satellitare, sono installate diverse CPU di backup. Quando la CPU si guasta, una delle unità di backup la sostituisce. Si verifica un errore critico quando si verificano errori nella CPU principale e in tutte le CPU di backup. La probabilità di errore per N unità identiche (un backup primario e N-1) è:

(3)

Dove f è la singola funzione di distribuzione degli errori della CPU. Quando f è esponenziale con un tasso di fallimento costante λ, una soluzione analitica per l'Eq. 3 possono essere trovati applicando le trasformazioni di Laplace e inverse di Laplace:

(4)

Eq. 4 rivela un potenziale problema: il 1o termine dell'Eq. 4 è 1. Quando λ · t << 1, il contributo all'Eq. 4 dal 2o termine con k = 0 è molto vicino a -1, ovvero i due termini si annullano quasi a vicenda. In tali casi possono verificarsi risultati di calcolo errati.
Per risolvere questo problema, una forma alternativa di Eq. 4 è richiesto. Si noti che la somma in Eq. 4 può essere scritto come:

(5)

Usando l'Eq. 5, un nuovo modulo per l'Eq. 4 è stato trovato:

(6)

Si noti che l'Eq. 6 non ha più i termini dell'ordine quasi annullanti 1. Il termine dell'ordine più basso in Eq. 6 è di ordine (λ · t) N. Per usare l'Eq. 6, è richiesta una condizione di arresto per la somma di termini infiniti. La condizione di arresto dipende dalla precisione richiesta.
Esempio: considerare un sistema con 4 unità identiche in configurazione standby. Inoltre, supponi che λ · t = 10-5.

Implementazione dell'Eq. 4 in Matlab produce un risultato negativo: -2.220446049250313e-016 mentre l'Eq. 6 dà: 4.166633333472224e-022. Un risultato negativo è "buono" perché l'errore viene immediatamente rilevato. Se tuttavia, λ · t = 2 ∙ 10-5, allora Implementazione dell'Eq. 4 in Matlab produce 1.110223024625157e-016 mentre l'Eq. 6 dà: 6.666560000888887e-021. In questo caso l'uso diretto dell'Eq. 4 fornisce un risultato errato di oltre 4 ordini di grandezza, ma difficile da rilevare. Ciò potrebbe comportare l'aggiunta non necessaria di unità di riserva.

E - CANCELLO PRIORITARIO:

L'evento AND - Priority (ANDp) si verifica quando tutti gli eventi secondari si verificano in un ordine specifico. Gli eventi ANDp esistono comunemente in FTA di sistemi che hanno diversi livelli di protezione. La porta ANDp fu introdotta per la prima volta nel 1976 da Fussel et al (Fussel, J. et al 1976).
Esempio: un'arma sparerà involontariamente solo se si verificano in sequenza i seguenti eventi:
-Il caricatore di proiettili è inserito nella pistola
-La pistola è carica
-Il grilletto è premuto
Considera il caso di N sub eventi, ciascuno con un tasso di occorrenza λ_io. La probabilità di occorrenza per la porta ANDp è data da una convoluzione della forma:

(7)

dove f_io(t) sono distribuzioni esponenziali di errori, ognuna con un tasso di fallimento λ_io. La convoluzione dell'Eq. 7 può essere risolto usando la trasformata di Laplace:
Definire un altro tasso di fallimento λ_{N + 1}=0.
Definire i coefficienti u_io tale che:

(8)

Quindi F (t) è dato da:

(9)

Eq. 9 è una soluzione esatta della convoluzione in Eq. 7. Tuttavia, ci sono casi in cui il calcolo dell'Eq. 9 fornisce risultati errati:
Quando le probabilità degli eventi secondari sono piccole, si verificano deviazioni significative dal valore atteso. Considera il caso semplice di due eventi secondari (N = 2). In questo caso, l'Eq. 9 si riduce a:

(10)

Eq. 10 include addizione e sottrazione di numeri con valori molto vicini, questa è la causa dei problemi di calcolo. Ciò diventa più chiaro quando l'espansione di Taylor degli esponenti nell'Eq. 10 è preso:

(11)

I termini del 0 ° e 1 ° ordine dell'espansione di Taylor si annullano. Mentre l'annullamento è facile da identificare analiticamente, l'annullamento numerico (via computer) non è esatto e possono verificarsi errori nel calcolo. Pertanto, l'Eq. 11 offre una migliore precisione calcolata rispetto all'Eq. 10 quando esistono piccole probabilità.

Al fine di generalizzare la conclusione al caso di N sub eventi, l'Eq. 9 viene fornito in una forma diversa (vedere l'appendice per la prova dell'equivalenza):

(12)

Espansione di Taylor degli esponenti nell'Eq. 12 dà:

(13)

Dall'eq. 13 è chiaro che i contributi per m = 0, 1, .., N-1 si annullano (a causa della dipendenza lineare delle righe nel determinante). Pertanto, un calcolo accurato di F (t) quando esistono piccole probabilità richiede un'espansione di Taylor che inizia all'ordine N.
Altri due miglioramenti possono essere applicati all'Eq. 13:
Si noti che la seconda riga della matrice nell'Eq. 13 è una fila di quelli. Inoltre, l'ultima colonna della matrice nell'Eq. 13 è pieno di zeri (con un'eccezione). Ciò consente una riduzione dimensionale della matrice:

(14)

Il denominatore dell'Eq .14 include i termini del modulo (u_j-u_K), prestare attenzione nel caso in cui i valori di u_j e tu_K sono simili, quindi utilizzare la seguente equazione:

(15)

Eq. 15 è molto più robusto rispetto all'Eq. 9.
Ulteriori complicazioni possono sorgere nel caso speciale in cui colonne della matrice in Eq. 15 hanno un valore molto vicino. Il modo per superare questi problemi è simile nello spirito ai metodi che sono stati mostrati in questa sezione.
Esempio: si consideri il caso semplice di due eventi simili per i quali λ₁· T = 10^-8 e λ₂· T = 10^-8. La probabilità di occorrenza di ciascun evento è 10^-8, quindi, la probabilità che si verifichino entrambi gli eventi e che l'evento 1 abbia luogo prima dell'evento 2 è: 5 · 10^-17. Implementazione dell'Eq. 10 in rendimenti Matlab: 8.271806125530277e-17 cioè una deviazione di 65% dal risultato corretto. Implementazione dell'Eq. 15 dà il risultato corretto.

La Fig. 1 presenta il diagramma ad albero dei guasti del caso sopra descritto usando il software BQR FTA (manuale utente BQR FTA):

Figura 1. Albero dei guasti diagramma di un gate con priorità AND con due eventi figlio.

DISCUSSIONE E CONCLUSIONI:

Sono stati esaminati i calcoli di probabilità di OR, Standby e AND - gate prioritari. È stato scoperto che l'implementazione ingenua delle equazioni di probabilità può portare a errori di calcolo e persino a risultati negativi.
È stato dimostrato che è possibile ottenere un calcolo accurato utilizzando rappresentazioni alternative delle equazioni di probabilità.

Software FTA di BQR offre alta precisione, flessibilità e velocità di calcolo.

APPENDICE

Prova di equivalenza tra Eq. 9 e 12:
A partire dall'Eq. 12 ed espandendo il determinante secondo la formula 1 di Leibniz si ottiene:

(A1)

I determinanti nell'Eq. A1 sono della forma di determinanti di Vandermonde, quindi:

(A2)

Eq. A2 è semplificato notando termini simili nel numeratore e nel denominatore:

(A3)

Ulteriore semplificazione si ottiene considerando i casi in cui j = i e k = i:

(A4)

Sostituzione (u_j-u_io) con te_io-u_j) e la contabilizzazione dei rendimenti delle modifiche al segno:

(A5)

E infine, l'Eq. 9 è stato recuperato:

(A6)

RIFERIMENTI

AC 23.1309-1E, Federal Aviation Administration, U.S. Department of Transportation

ARP 4761, Guidelines and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems and Equipment, SAE international

BQR FTA user manual

Čepin, M. (2005), Analisi del limite di troncamento nella valutazione probabilistica della sicurezza. Ingegneria dell'affidabilità e sicurezza del sistema 87, 395-403

Epstein, S. & Rauzy, A. (2005). Possiamo fidarci della PRA? Ingegneria dell'affidabilità e sicurezza del sistema 88, 195-205

Fussel, J., Aber, E. e Rahl, R. (1976). Sull'analisi quantitativa della logica di priorità e di fallimento. Transazioni IEEE sull'affidabilità R-25 (5), 324–326

IEC 61025, 2006, Analisi dell'albero dei guasti (FTA), Commissione elettrotecnica internazionale

Keisner A., 2003, Confronto della tecnica di analisi dell'affidabilità, applicato allo Space Shuttle, Laboratorio di progettazione di sistemi spaziali, Georgia Tech, 35

NUREG-0492, 1981, Manuale di Fault Tree, Ricerca di sistemi e affidabilità, Office of Nuclear Regulatory Research, US Nuclear Regulatory Commission, VI-4

Contatta BQR

Parliamo delle tue esigenze

Nome di battesimo*

Cognome*

E-mail*

Titolo di lavoro*

Industria*

Descrivi il tuo progetto/le tue esigenze*

Desidero ricevere e-mail da BQR riguardanti esempi e software di analisi di affidabilità, disponibilità, manutenibilità e sicurezza

Biscotto	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 mesi	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Analisi".
cookielawinfo-checkbox-funzionale	11 mesi	Il cookie è impostato dal cookie consenso GDPR per registrare il consenso dell'utente per i cookie nella categoria "Funzionali".
cookielawinfo-checkbox-altri	11 mesi	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Altro.
cookielawinfo-checkbox-necessario	11 mesi	Questo cookie è impostato dal plugin GDPR Cookie Consent. I cookie vengono utilizzati per memorizzare il consenso dell'utente per i cookie nella categoria "Necessari".
cookielawinfo-checkbox-prestazioni	11 mesi	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Prestazioni".
policy_cookie_visualizzata	11 mesi	Il cookie è impostato dal plugin GDPR Cookie Consent e viene utilizzato per memorizzare se l'utente ha acconsentito o meno all'uso dei cookie. Non memorizza alcun dato personale.

Biscotto	Durata	Descrizione
Campagna Attiva		Utilizzato per l'analisi del comportamento di contatto nel sito Web, al fine di migliorare l'esperienza di contatto. Un contatto è una persona che ha compilato un modulo ed è in contatto con BQR o una persona che ha utilizzato il software BQR.
statistiche di Google		Utilizzato per l'analisi statistica del comportamento degli utenti del sito Web nel sito Web al fine di migliorare l'esperienza dell'utente.