Professional Documents
Culture Documents
Risk Software SA de CV
www.risksoftware.com.mx
Introduccin
El Anlisis de Arboles de Falla (FTA) tiene que ver con la identificacin y anlisis de las condiciones y factores que causan
tienen el potencial de causar contribuir con la ocurrencia de un evento tope o mximo. Estos eventos generalmente ocurren
por la falla o degradacin del desempeo de los sistemas, seguridad o bien otros atributos operacionales. En contra parte los
Anlisis de Arboles de Exito (STA) describen el camino que lleva al existo a los sistemas.
Los FTA son comnmente utilizados para realizar anlisis de seguridad de los sistemas (como sistemas instrumentados de
seguridad, sistemas de transporte, plantas de energa y otros sistemas que requieren evaluar la seguridad durante su operacin).
Las FTA pueden ser utilizados para realizar anlisis de confiabilidad y mantenimiento. Sin embargo por simplicidad en este
estudio el termino Confiabilidad ser utilizado para representar el desempeo de los sistemas.
El estudio considera dos acercamientos en los FTA. El primero tiene que ver con un acercamiento Cualitativo donde la
probabilidad de los eventos y sus factores de contribucin como son - Eventos de Iniciales- no incluyen la valoracin del anlisis
utilizando la frecuencia de ocurrencia o la probabilidad de los eventos. Este acercamiento se enfoca en el anlisis de los eventos
y fallas y es conocido como FTA Cualitativo tradicional. Este acercamiento es muy utilizado en la industria nuclear y en otras
instancias donde se busca entender las causas y fallas potenciales, sin que se tenga un inters particular en la posibilidad de la
ocurrencia de estas. El segundo acercamiento, el cual es adoptado por muchas aplicaciones, la seguridad funcional entre ellas,
se orienta al calculo cuantitativo de la confiabilidad de los sistemas. Dos tipos de modelos de calculo se utilizan; a) A partir de la
utilizacin de la frecuencia de ocurrencia de los eventos iniciales y que proporciona la frecuencia final de fallas del evento
mximo y b) La utilizacin de las probabilidades de los eventos iniciales, que por consecuencia nos proporciona la probabilidad
de ocurrencia del evento mximo.
Ejemplo de
explicacin
de
trminos
Factores que afecten la investigacin del evento mximo y como se ha generado este.
Factores que afecten las caractersticas de confiabilidad y desempeo del sistema, podemos considerar que
cuando las tcnicas de FTA son usadas para el anlisis de la confiabilidad es factible analizar por ejemplo; deficiencias en el diseo, estrs operacional o del medio ambiente, errores de operacin, fallas en el software entre
otros.
Eventos que afectan la funcionalidad de mas de un componente, el cual puede cancelar los beneficios de incluir
redundancia, o pueden afectar a mas de dos componentes de forma similar, o bien afectan la independencia.
Los anlisis de arboles de falla son mtodos deductivos (razonamiento haca atrs de arriba hacia abajo) que permiten realizar
combinaciones de eventos te tal forma que se puede simular la forma en que el evento mximo se ha desarrollado, como se ha
comentado los anlisis de los arboles de falla pueden ser cualitativos o cuantitativos.
En el caso que la probabilidad de ocurrencia de los eventos primarios no pueda ser estimada, un anlisis cualitativo puede ser
utilizado para investigar las causas potenciales que generaron el evento mximo, aqu es factible denominar a los eventos primarios en forma descriptiva, por ejemplo indicando que un evento es poco probable, muy probable o medianamente probable. El principal objetivo de los anlisis cualitativos es la identificacin del juego de corte mnimo para determinar el camino en
que el evento bsico afecta al evento mximo.
La determinacin del por que si, las medidas de confiabilidad de un determinado sistema cumplen con los requerimientos dados.
Determinar que modos factores que tienen una mxima contribucin en el potencial de fallar y la probabilidad
de falla (no-confiabilidad) indisponibilidad en el caso que los sistemas sean reparables, para identificar posibles
mejoras a la confiabilidad de los sistemas.
Identificar los potenciales modos de falla que ocasionan la inseguridad de un sistema y la evaluacin de su correspondiente probabilidad de ocurrencia y la posibilidad de la mitigacin de fallos.
Buscar al evento a la combinacin de eventos que son los mas probables causantes del evento mximo.
El calculo de la disponibilidad o las relaciones de falla de un sistema o sus componentes representados en el rbol de fallas.
Aplicaciones
Los arboles de falla son particularmente tiles para analizar sistemas que se componen de varios elementos dependientes entre
si. Los beneficios de los FTA son particularmente importantes cuando son utilizados en las fases de diseo de un sistema
equipo, tambin los FTA son muy utilizados en diseos complejos con muchas interacciones como la identificacin de los elementos mas dbiles en procesos peligros como son plantas nucleares, procesos petroqumicos y la industria petrolera, sistemas
de transporte y comunicaciones.
Algunos de los usos mas recurrentes son:
La determinacin de las combinaciones lgicas que ligan al evento mximo as como su potencial y prioridad.
La investigacin de sistemas que estn siendo diseados para anticipar, prevenir y mitigar las causas potenciales
del evento indeseado.
Para analizar sistemas y determinar su confiabilidad y as determinar los mayores contribuidores de la falta de
confiabilidad y analizar los cambios necesarios en el diseo.
Los FTA se pueden utilizar en las fases de diseo de nuevos productos y sistemas o durante la fase de modificacin o mejora de
sistemas existentes, dado que es una herramienta analtica que ayuda en la identificacin de problemas, incluso cuando no se
cuenta con informacin clara o esta esta incompleta.
Los FTA analizan como de llego al evento mximo y los FMEA analizan al evento desde sus eventos bsicos, la
combinacin de tcnicas deductivas e inductivas facilitan el entendimiento y mejoramiento de los sistemas.
Los estndares de seguridad requieren la determinacin de la falla del evento inicial (FMEA) y la determinacin de
la secuencia de eventos que nos lleva al evento final (FTA).
Los FTA ofrecen un enfoque general del problema y sus secuencias de falla y los FMEA un enfoque particular de
la falla de los componentes.
Cualquier identificaron de una falla en FMEA tiene que ver con el evento mximo en un FTA, y esta identificacin es tomada como un punto singular de falla.
En algunos casos es mas fcil desarrollar secuencias de eventos que encontrar relaciones causales.
Puede ser que diferentes equipos estn trabajando con diferentes partes del anlisis.
Es recomendable buscar soluciones practicas, en muchos casos no es necesario la investigacin y conocimiento del evento
mximo, esto puede deberse a que la identificacin de eventos crticos puede estar asociado a situaciones evidente o mas fciles de reconocer, por ejemplo en la investigacin de una explosin, tal vez nuestro objetivo es la identificacin de los factores
que llevaron al incidente final, la determinar la posibilidad de la ocurrencia de una fuga o la posibilidad de ignicin nos pueden
proporcionar informacin mas til que nicamente determinar al evento final. Los arboles de eventos proporcionan una herramienta analtica inductiva mas sencilla para estos casos.
La combinacin de FTA y ETA generalmente es llamado anlisis de causa-consecuencia (CCA)
2.
3.
4.
5.
6.
Construir el FTA
7.
Evaluar el FTA
8.
Si se ha planeado realizar un anlisis numrico, hay que definir la tcnica para los valores numricos de los eventos iniciales, as
como los atributos de los dispositivos;
Como valores numricos podemos utilizar Relaciones de Falla, Probabilidad de Falla y Frecuencia de Falla.
Como atributos podemos considerar la Intensidad de la Falla, El tiempo Medio entre Fallas (MTBF), el Tiempo
Medio para Fallar (MTTF), el Tiempo Medio de Reparacin (MTTR) y el Tiempo Medio de Restablecimiento (MRT)
estos dos ltimos para sistemas reparables o substituibles.
Las definiciones respecto a cuales son las fallas que constituyen al sistema.
Las fronteras del sistema como son, elctricas, mecnicas e interfaces de operacin. Estas fronteras debern ser
descritas por la identificacin particular de las funciones, por ejemplo las conexiones elctricas, fusibles, ect.
La identificacin de los modos de operacin del sistema y la descripcin operativa del sistema as como las caractersticas de desempeo requeridas para cada modo de operacin.
las condiciones ambientales y los aspectos relevantes humanos involucrados en la operacin y desempeo del
sistema.
Una lista de los documentos aplicables as como especificaciones, diagramas, manuales de operacin, requeridos en el diseo y operacin del sistema.
Compuertas Estticas; En estas los resultados no son dependientes del orden en que ocurren las entradas.
Compuertas Dinmicas; En estas los resultados si son dependientes del orden en que ocurren las entradas.
b)
c)
d)
e)
El anexo A muestra a detalle las representaciones y descripciones de las compuertas y eventos. Los FTA pueden ser representados tanto de forma vertical (el anlisis ser de arriba hacia abajo) o de forma horizontal (el anlisis ser de izquierda a derecha).
10
El rbol de fallas se desarrolla desde el evento mximo y se deriva hacia cada uno de los ramales hasta que estos terminan, la
terminacin esta dada por tres eventos:
Cuando se alcanza un evento que deber ser desarrollado en otro rbol de fallas.
(1)
11
La expresin anterior en trminos de confiabilidad se expresara; el bloque 1 y el bloque 2 y el resto de los bloques debern estar
en operacin para que el sistema se encuentre en operacin.
En FTA se utiliza el sentido opuesto a esto. El resultado de la falla es producida si el bloque 1 falla o si el bloque 2 falla o cualquiera de los bloques falla. Por esta razn se utiliza una compuerta O para representar a los sistemas en serie.
La matemtica detrs de una compuerta O es la misma que la mostrada en los sistemas en serie, excepto que es expresada
en trminos de probabilidad de falla F(t), la cual es un complemento de probabilidad en la confiabilidad.
F(t) = 1 - R(t)
(2)
La probabilidad de que se produzca un resultado desfavorable en una compuerta O para n entradas independientes esta dada
por:
(3)
El sistema falla cuando cualquiera de los componentes (bloques) falla. Un ejemplo de esto es mostrada en la figura que representamos a continuacin.
12
Redundancia Activa.
Esta asume que las caractersticas (modelos) de falla para cada entrada al sistema de redundancia activa, permanecen igual e
independientes a cualquier otro entrada, y se asume que la salida del sistema (evento) ocurre nicamente si todos los elementos
(bloques) ocurren. Se utiliza una compuerta Y (AND) para representar a los modelos en paralelo o redundantes.
La representacin matemtica en trminos de confiabilidad esta dada por la operacin del bloque 1 o el bloque 2 o el bloque n,
permanecen en operacin. El sistema falla si todos los bloques fallan.
RS(t) = 1 - II
n
i=1
(1-Ri(t))
(4)
En los FTA, esto es representado por una compuerta Y (AND), siendo n el numero de entradas a la compuerta, bajo el concepto dado, de que para que el sistema falle, el bloque 1 y el bloque 2 y el bloque n deben fallar. En trminos de probabilidad expresamos esto con:
FS(t) = 1 - II
n
i=1
(Fi(t))
(5)
Redundancia Pasiva.
Esta asume que existe un numero dado de componentes activos para que exista la redundancia, en el caso de falla de uno o
mas de los componentes, uno o mas de los componentes de remplazo o redundantes es activado para tomar la funcin.
13
61025
IEC:2006
IEC:2006
61025
+ 81
41 +
Annex A
(informative)
Risk Software S.A. de C.V.
Symbols
Anexo A
TheSmbolos.
symbols shown in Table A.1 are commonly used.
Tabla A.1 Smbolos frecuentemente utilizados en los FTA
Symbols
Name
Transfer OUT
Transfer IN
Description
Reliability
correlation
Number
of inputs
BASIC EVENT
Component
failure mode, or
a failure mode
cause
CONDITIONAL
EVENT
Event that is a
condition of
occurrence of
another event
when both have to
occur for the
output to occur
Occurrence of
event that has to
occur for
another event to
occur
DORMANT
EVENT
A primary event
that represents a
dormant failure;
an event that is
not immediately
detected but
could, perhaps, be
detected by
additional
inspection or
analysis
Dormant
component
failure mode or
dormant failure
cause
UNDEVELOPED
EVENT
A primary event
that represents a
part of the system
that is not yet
developed
A contributor to
the probability of
failure. Structure
of that system
part is not yet
defined
TRANSFER gate
Gate indicating
that this part of
the system is
developed in
another part or
page of the
diagram
A partial fault
tree diagram
that is shown in
other location of
the overall
system
Conditional
probability
IN means that
the develop gate
is elsewhere,
OUT means that
the same gate
developed in this
place will be
used elsewhere
14
Customer: jose angel alvarado - No. of User(s): 1 - Company: CSIPA CONSULTORIA EN SEGURIDAD INDUSTRILA Y PROTECCION AL AMBIENTE SA DE
61025 IEC:2006
Symbols
+ 83
42 +
Name
61025 IEC:2006
Description
Reliability
correlation
Number
of inputs
OR gate
Failure occurs if
any of the parts
of that system
fails + series
system
MAJORITY
VOTE GATE
Redundancy k
out of n, where
m=n%k+1
EXCLUSIVE OR
gate
A failure of the
system occurring
only if one, not
both of the two
possible failures
happens
AND gate
Parallel
redundancy, one
out of n equal or
different
branches
PRIORITY AND
(PAND) gate
Good for
representation of
secondary
failures or for
enabling
sequence of
events
2; 2
(see
comment
on the
SEQ
gate)
INHIBIT gate
Conditional
probability of
occurrence of
the final event
NOT gate
Exclusive events
or preventive
measure does
not take place
0
0
15
61025
IEC:2006
IEC:2006
61025
Symbols
+ 85
43 +
Name
Description
Reliability
correlation
Number
of inputs
SEQ
(Sequential)
gate
Good for
representation
of sequential
failures (chain
failures). Also
the sequence of
stresses that
would cause an
event or a
failure to occur.
Requires
Markov analysis
>2
SPARE gate
Representation
of cold, warm
and hot spare
components. If
all have
exponential
distribution,
then the closed
form solution
exists. If
probability of
occurrence is
constant, then
Markov analysis
is required.
Other
distributions
may require
conditional
probabilities or
simulations
House event
Zero event
Event which
cannot happen
(This symbol
was not a part of
the group of
previously
standard
symbols. It is a
relatively new
graphical
representation of
this gate)
The above Table A.1 is not all inclusive. Some of the graphical gates or event representations
that do not have comparison to other graphical representations are omitted from this table,
but can be found in Tables A.2, A.3, and A.4.
16
61025 IEC:2006
+ 87
44 +
61025 IEC:2006
Symbol
Symbol name
Definition
Description
Basic event
Conditional event
Dormant event
Undeveloped event
House event
Static gates such as OR, AND, EXCLUSIVE OR, INHIBIT GATE and MAJORITY VOTE gates
are shown in Table A.3.
The dynamic gates such as PRIORITY AND gate, SEQUENTIAL gate and SPARE gate, are
shown in Table A.4.
Example of the dynamic PRIORITY AND gate:
Description of events:
Diode D1 protects the IC from over-current due to the supply voltage surge. The IC does not
get damaged by the voltage surge if diode does not fail first in the open mode. If the diode
opens, and the second event takes place, whilst there exists a voltage surge, then the top
event (IC explodes) takes place. The model is shown in Figure A.1.
17
61025
IEC:2006
IEC:2006
61025
+ 89
45 +
Gate name
OR gate
Description
The output event occurs if any
of the input events occur
Reliability model
Series events, when independent:
i = 2 to n
Number of
inputs
2
[1 Fi (t )]
F (t ) = 1
i =2
F (t ) =
Fi (t )
i =2
m=n&k+1
When all inputs equal:
F (t ) =
k 1
i =0
n!
[1 F0 ( t ) ]i [F0 ( t ) ]n i
i!( n i )!
Exclusive
OR (XOR)
gate
NOR gate
=2
F (t ) = F1(t ) [1 F2 (t )]
F (t ) =
[1 Fi (t )]
i =2
18
61025
IEC:2006
IEC:2006
61025
Gate name
name
Gate
NAND gate
gate
NAND
91
46 ++
++91
46
Description
Description
The output
output occurs
occurs ifif at
at least
least
The
one of
of the
the input
input events
events does
does
one
not
not
61025IEC:2006
IEC:2006
61025
Reliabilitymodel
model
Reliability
Numberof
of
Number
inputs
inputs
The gate
gate functions
functions as
as aa combination
combinationof
ofNOT
NOTand
and
The
AND gates
gates
AND
22
kk
nnkk
i =1
ij = k
[1[1FFi i((tt))]]
[F[Fj j((tt))]]
i =1
ij = k
FF((tt))==
The output
output occurs
occurs only
only ifif both
both
The
of the
the input
input events
events take
take place
place
of
one of
of them
them conditional
conditional
one
22
The probability
probability of
of occurrence
occurrenceisisthe
theprobability
probabilityofof
The
occurrence of
of input
input event
event multiplied
multipliedby
bythe
the
occurrence
probability of
of occurrence
occurrenceof
of the
thecondition
conditionbeing
being
probability
satisfied
satisfied
Table A.4
A.4 ;; Dynamic
Dynamic gates
gates
Table
Description
Description
The output
output event
event (failure)
(failure)
The
occurs only
only ifif all
all input
input
occurs
events occur
occur in
in sequence
sequence
events
from left
left to
to right
right
from
Comment
Comment
Good for
for representation
representationof
of
Good
secondary failures
failures or
orfor
forenabling
enabling
secondary
sequence of
of two
twoor
ormore
moreevents.
events.
sequence
more than
than two
two events,
events,ititisisequal
equal
IfIf more
to the
the SEQUENCE
SEQUENCE ENFORCING
ENFORCING
to
gate.
gate.
Numberof
ofinputs
inputs
Number
(seeSEQ
SEQgate
gate
22(see
below)
below)
Requires Markov
Markovanalysis
analysis
Requires
Sequential
Sequential gate,
gate, SEQ
SEQ
The
The output
output event
event occurs
occurs
only
only ifif all
all input
input events
events
occur
occur in
in sequence
sequence from
from
left
left to
to right,
right, and
and there
there are
are
more
more than
than two
two input
input
events.
events. This
This gate
gate isis an
an
alternative
alternative to
to the
the PAND
PAND
gate
gate above
above
This
This gate
gate isis an
an extension
extensionof
ofPAND
PAND
gate
gate and
and as
as such
suchincluded
includedto
to
emphasize
emphasize the
the sequence
sequenceof
ofmany
many
gates.
gates. In
In that
that case,
case, its
itsoriginal
original
gate,
gate, PAND,
PAND, isis limited
limitedto
totwo
two
inputs
inputs only.
only. Good
Goodfor
for
representation
representation of
of sequential
sequential
failures
failures (chain
(chain failures).
failures).Also
Alsothe
the
sequence
sequence of
of stresses
stressesthat
that would
would
cause
cause an
an event
event or
oraafailure
failureto
to
occur
occur requires
requires Markov
Markovanalysis
analysis
>2
>2
Spare
Spare gate;
gate; SPARE
SPARE
The
The output
output event
event will
will
occur
occur ifif the
the number
number of
of
spare
spare (standby
(standby redundant)
redundant)
components
components is
is less
less than
than
the
the number
number required
required
Representation
Representationof
of cold,
cold, warm
warmand
and
hot
hot spare
spare components.
components.IfIfall
allhave
have
exponential
exponential distributions,
distributions,then
thenthe
the
closed
closed form
form solution
solutionmay
mayexist.
exist.IfIf
probability
probability of
of occurrence
occurrenceof
ofinput
input
events
events isis constant,
constant, then
thenMarkov
Markov
analysis
analysis isis required.
required.Other
Other
distributions
distributions may
mayrequire
require
conditional
conditional probabilities
probabilitiesor
or
simulations.
simulations.
11
Spare
Spare components
components have
havereduced
reduced
probability
probability of
of failure
failure before
beforeduring
during
the
the time
time they
they are
are not
notactivated
activated
(see
(see 7.5.3
7.5.3 for
for cold
coldand
andwarm
warm
redundancy
redundancy modelling)
modelling)
19
AND
OR
Salida
FCC
Figura #1 1oo2
OR
OR
Salida
FCC
Figura #2 2oo2
20
OR
OR
Salida
AND
AND
AND
FCC
Figura #3 2oo3
AND
OR
Salida
FCC
Figura #4 1oo3
21
Referencias:
La informacin de este articulo fue obtenida principalmente de las dos siguientes fuentes:
1) Fault Tree Hanbomok with Aerospace Applications, NASA office do Safety Mission Assurance, August 2002.
2) Fault Tree Anlisis (FTA) IEC International Standard, IEC 61025
22