Анализ дерева отказов представляет собой методику идентификации и анализа рисков, первоначально разработанную для изучения рисков технических систем (откуда и название). Может использоваться для анализа операционных рисков, связанных в основном с техническими сбоями и ошибками работников, то есть таких рисков, к реализации которых могут привести некоторые закономерности. Метод неприменим для рисков, источником которых являются "истинно случайные события" – те, в основе которых нет детерминированных закономерностей.
Анализ дерева отказов – это методика идентификации и анализа факторов, которые могут способствовать наступлению некоторого нежелательного события (называемого вершинным (“top event”)). Факторы-причины определяются дедуктивным способом, логически выстраиваются и представляются графически в виде диаграммы-дерева, которая изображает связь факторов-причин с основным событием.
Идентифицированные и изображенные на схеме факторы могут быть событиями, связанными с отказами оборудования, ошибками людей и любыми другими, приводящими к возникновению нежелательного события.
Дерево отказов может быть использовано для качественного анализа – идентификации потенциальных причин и путей возникновения сбоя (вершинного события), или для количественного – вычисления вероятности вершинного события, при наличии информации о вероятностях событий-факторов.
Оно может применяться на стадии разработки системы для выявления потенциальных причин отказов и, соответственно, для выбора между разными вариантами дизайна системы. На стадии функционирования системы дерево отказов может быть использовано для определения, каким образом происходят основные сбои и сравнительной оценки важности разных путей, приводящих к вершинному событию. Также с помощью дерева отказов можно проводить анализ уже свершившегося отказа для наглядного изображения того, как разные события, произойдя совместно, привели к сбою.
"Входы" процесса
Для проведения качественного анализа требуется понимание работы системы и причин сбоев, а также того, как технически может произойти сбой системы. Для облегчения анализа полезно использовать детальные схемы.
Для проведения количественного анализа необходимы данные о частоте сбоев или вероятности того, что система будет находиться в состоянии сбоя для всех базовых элементов дерева отказов.
Процесс
Этапы разработки дерева отказов:
- Определяется вершинное событие. Это может быть как сам сбой, так и общие последствия этого сбоя. На основе проведенного анализа последствий, в дерево отказов может быть включен сегмент, связанный со смягчением последствий данного сбоя.
- Начиная с вершинного события идентифицируются все возможные непосредственные причины сбоя, приводящие к возникновению вершинного события.
- Каждая из этих причин/состояний сбоев анализируется на предмет выяснения, какие причины могут к ней привести.
- Пошаговая идентификация нежелательных вариантов функционирования системы продолжается последовательно на более низких уровнях декомпозиции системы, пока дальнейший анализ не станет непродуктивным. Для аппаратной системы это может быть уровень отказа отдельных компонентов. События и факторы-причины, рассматриваемые на самом нижнем уровне, называются базовыми событиями.
- Если базовым событиям могут быть приписаны вероятности, то можно вычислить вероятность вершинного события. Для корректного количественного анализа нужно показать, что для каждого "узла" все входы одновременно и необходимы, и достаточны для того, чтобы "выходное" событие произошло. В противном случае дерево отказов непригодно для вероятностного анализа, хотя при этом может являться важным инструментом отображения причинно-следственных связей.
В процессе количественного анализа для учета дублирования режимов отказа может потребоваться упрощение дерева с использованием булевой алгебры.
Для того чтобы расчеты, проводимые для сложных деревьев, были корректными, в случаях, когда повторяющиеся события расположены в нескольких местах дерева и для нахождения минимального разреза графа (дерева), используются специализированные пакеты прикладных программ. Это дает возможность быть уверенными в состоятельности, корректности и верифицируемости результатов.
Рисунок 1 – Пример дерева отказов из IEC 60300-3-9
(IEC 60300-3-9, Dependability management — Part 3: Application guide — Section 9: Risk analysis of technological systems) (перевод автора)
"Выходы"
Процесс анализа дерева отказов имеет следующие выходы:
- Графическое изображение того, как может возникнуть вершинное событие, с отображением взаимодействующих путей, когда два или более событий могут возникнуть одновременно;
- Список минимальных разрезов (отдельных путей к сбою) с вероятностями их возникновения (при наличии данных);
- Вероятность вершинного события.
Достоинства и ограничения метода анализа дерева отказов
Достоинства метода:
- Он дает возможность проведения высоко систематизированного анализа, который в то же время является достаточно гибким, позволяя учитывать различные факторы, такие, как взаимодействия между людьми и физические явления.
- Применение подразумеваемого методом подхода "сверху вниз" дает возможность сконцентрироваться на событиях-отказах, непосредственно связанных с вершинным.
- Анализ дерева отказов особенно полезен при анализе систем с большим количеством связей и взаимодействий.
- Графическое представление дает возможность легко разобраться в поведении системы и влиянии включенных факторов. Однако, так как деревья часто весьма обширны, их обработка может требовать применения компьютерных систем. Это позволяет включать большее количество логических взаимодействий (например, NAND (И-НЕ) and NOR (ИЛИ-НЕ)), но одновременно и усложняет верификацию дерева отказов.
- Логический анализ деревьев отказов и определение разрезов полезны для определения простых путей, приводящих к отказу, особенно в очень сложных системах, где определенные комбинации событий, приводящих к вершинному событию, могут быть упущены из виду.
Ограничения включают:
- Возможные неточности в оценке вероятностей базовых событий включаются в расчеты вероятности вершинного события. Это может привести к значительным неточностям в оценках в случае, когда вероятности базовых событий точно неизвестны. Тем не менее, для простых и понятных систем возможно достижение высокого уровня достоверности.
- В ряде ситуаций события-причины не связаны друг с другом, поэтому могут возникнуть сложности при установлении того, все ли важные пути к вершинному событию включены в анализ. Например, при анализе пожара как вершинного события – все ли источники возгорания рассмотрены. В такой ситуации вероятностный анализ невозможен.
- Дерево отказов представляет собой статическую модель и не учитывает взаимозависимостей во времени.
- Дерево отказов включает только бинарные состояния (отказ произошел/не произошел).
- Несмотря на то, что в дерево отказов, построенное для качественного анализа, могут быть включены ошибки людей, в целом достаточно сложно предусмотреть степень того, насколько человек ошибся, или оценить потери в качестве, часто связанные именно с ошибками людей.
Дерево отказов не предусматривает возможности возникновения "эффекта домино". Включение условных сбоев в анализ затруднительно.
Рисунок 2 – Пример применения дерева отказов для анализа операционных рисков, связанных с сотрудниками
Библиография
- Международный стандарт IEC/ISO 31010 Риск-менеджмент – Методы оценки риска» (Risk management – Risk assessment techniques)
Дата публикации: 11.02.2015