A metodologia FTA é descrita em vários padrões industriais e governamentais, incluindo NRC NUREG-0492 para a indústria nuclear, uma revisão orientada para o setor aeroespacial do NUREG-0492 usado pela NASA,[28] SAE ARP4761") para aeronaves civis, MIL-HDBK-338 para sistemas militares, e o padrão IEC IEC 61025[29]​, que se destina ao uso em todos os setores e foi adotado como Padrão Europeu EN 61025.

Qualquer sistema suficientemente complexo está sujeito a falhas, devido à falha de um ou mais dos seus subsistemas. A probabilidade de falha, no entanto, muitas vezes pode ser reduzida através de um design de sistema melhorado. A análise da árvore de falhas mapeia a relação entre falhas, subsistemas e elementos redundantes do projeto de segurança, criando um esquema lógico do sistema geral.

O resultado indesejado é considerado a raiz ('evento/evento principal') de uma árvore lógica. Por exemplo, o resultado indesejável de uma operação de prensagem e estampagem de metal é que algum apêndice humano seja estampado. Trabalhando de trás para frente a partir deste evento superior, poderíamos determinar que isso pode ocorrer de duas maneiras: durante a operação normal ou durante uma operação de manutenção. Esta condição é um OR lógico. Considerando o ramo em que isso ocorre durante a operação normal, talvez determinemos que há duas maneiras de isso acontecer: os ciclos de prensagem prejudicam o operador ou os ciclos de prensagem prejudicam outra pessoa. Este é outro OR lógico. Podemos melhorar o projeto exigindo que o operador pressione dois botões para iniciar a máquina - este é um recurso de segurança na forma de um AND lógico. O botão pode ter uma taxa de falha intrínseca – isso se torna um incentivo de falha que podemos analisar. Quando as árvores de falhas são ponderadas com números reais para probabilidades de falha, os programas de computador podem calcular as probabilidades de falha nas árvores de falhas.

Quando um evento específico deve afetar mais de um evento, ou seja, tem impacto em vários subsistemas, é chamado de causa comum ou modo comum. Graficamente falando, isso significa que este evento aparecerá em diversas posições da árvore. Causas comuns introduzem relações de dependência entre eventos. Os cálculos de probabilidade para uma árvore contendo algumas “causas comuns” são muito mais complicados do que para árvores normais, onde todos os eventos são considerados independentes. Nem todas as ferramentas de software disponíveis no mercado oferecem tal capacidade.

A Árvore geralmente é escrita usando símbolos convencionais de portas lógicas. O caminho através de uma árvore entre um evento e um iniciador na árvore é chamado de Cut Set. O caminho mais curto e confiável na árvore, desde uma falha até um evento de inicialização, é chamado de Conjunto de Corte Mínimo.

Algumas indústrias utilizam árvores de falhas e árvores de eventos (ver Avaliação Probabilística de Risco). Uma Árvore de Eventos começa a partir de um inicializador indesejado (perda crítica de fornecimento, falha de componente, etc.) e segue possíveis eventos mais distantes no sistema através de uma série de consequências finais. À medida que cada novo evento é considerado, um novo nó é adicionado à árvore com uma probabilidade dividida de assumir qualquer ramo. As probabilidades de uma série de “eventos superiores” decorrentes do evento inicial podem então ser vistas.

Os programas clássicos incluem o software CAFTA (EPRI) do Electric Power Research Institute, que é usado por muitas usinas nucleares dos EUA e pela maioria dos fabricantes aeroespaciais dos EUA e internacionais, e o SAPHIRE do Laboratório Nacional de Idaho, que é usado pelo governo dos EUA para avaliar a segurança e confiabilidade dos reatores nucleares, do ônibus espacial e da Estação Espacial Internacional. Fora dos EUA Nos EUA, o software RiskSpectrum é uma ferramenta popular para análises de árvore de falhas e árvore de eventos e está autorizado para uso em quase metade das usinas nucleares do mundo pela Avaliação de Segurança Probabilística.

Contenido

Los símbolos básicos utilizados en el FTA están agrupados como eventos, puertas, y símbolos de transferencia. Variaciones menores pueden ser utilizadas en softwares de FTA.

Símbolos de eventos

Os símbolos de evento são usados ​​para eventos primários e eventos intermediários. Os eventos primários não são mais desenvolvidos na árvore de falhas. Os eventos intermediários são encontrados na saída de uma porta. Os símbolos do evento são mostrados abaixo:.

Os símbolos de eventos primários são normalmente usados ​​da seguinte forma:

Uma porta de evento intermediária pode ser usada imediatamente acima de um evento pai, para fornecer mais espaço para escrever a descrição do evento. O ACL é uma abordagem de cima para baixo (de cima para baixo).

Símbolos de porta lógica

Os símbolos de porta descrevem a relação entre eventos de entrada e saída. Os símbolos são derivados de símbolos lógicos booleanos:

As portas funcionam da seguinte forma:

Símbolos de transferência

Os símbolos de transferência são usados ​​para conectar as entradas e saídas de árvores de falhas relacionadas, como a árvore de falhas de um subsistema, à do seu sistema. A NASA preparou uma documentação abrangente sobre o FTA através de incidentes práticos.

Os eventos em uma árvore de falhas estão associados a probabilidades estatísticas. Por exemplo, componentes com falha geralmente podem ocorrer com alguma taxa de falha constante λ (uma função de risco constante). Neste caso mais simples, a probabilidade de falha depende do índice λ e do tempo de exposição t:.

Uma árvore de falhas normalmente é normalizada para um determinado intervalo de tempo, como uma hora de voo ou um tempo médio de missão. As probabilidades dos eventos dependem da relação entre a função de risco do evento e seu intervalo.

Ao contrário dos esquemas convencionais de portas lógicas nos quais as entradas e saídas contêm os valores binários VERDADEIRO (1) ou FALSO (0), as portas de árvore de falhas produzem probabilidades relacionadas às operações definidas da lógica booleana. A probabilidade do evento de saída de uma porta depende das probabilidades dos eventos de entrada.

Uma porta lógica AND representa uma combinação de eventos independentes. "Independência (probabilidade)") Ou seja, a probabilidade de qualquer evento de entrada para uma porta lógica AND não é afetada por nenhum outro evento de entrada para a mesma porta. Em termos da teoria dos conjuntos, isso é equivalente à interseção dos conjuntos de eventos de entrada, e a probabilidade de saída da porta lógica AND é dada por:.

Uma porta lógica OR, por outro lado, corresponde a uma união de conjuntos:

Como as probabilidades de falhas em árvores de falhas tendem a ser pequenas (menos de 0,01), P(A ∩ B) normalmente se torna um termo de erro muito pequeno, e a saída de uma porta lógica OR pode ser aproximada de forma conservadora usando a suposição de que as entradas são eventos mutuamente exclusivos:

A porta Exclusive-Or com duas entradas representa a probabilidade de que uma ou outra entrada, mas não ambas, ocorra:.

Novamente, como P (A ∩ B) normalmente se torna um termo de erro muito pequeno, a porta Exclusive-Or tem valor limitado em uma árvore de falhas.

Muitas abordagens diferentes podem ser usadas para modelar um ACL, mas as mais comuns e populares podem ser resumidas em alguns passos. Uma única árvore de falhas é usada para analisar um e apenas um evento indesejado ou evento principal, que pode posteriormente alimentar outra árvore de falhas como um evento base. Embora a natureza do evento indesejado possa variar drasticamente, um FTA segue o mesmo procedimento para qualquer evento indesejado; seja um atraso de 0,25 ms na geração de energia elétrica, um incêndio não detectado em um armazém ou o lançamento acidental e involuntário de um ICBM. Devido ao custo da mão de obra, o FTA normalmente só é usado para eventos indesejados mais graves.

O FTA envolve cinco etapas:

FTA é um método dedutivo de cima para baixo que visa analisar os efeitos do início de falhas e eventos em um sistema complexo.

Isso contrasta com a análise modal e de efeitos de falha (FMEA), que é um método indutivo de análise bottom-up que visa analisar os efeitos de falhas de componentes ou funções individuais em equipamentos ou subsistemas.

O FTA é muito bom para mostrar o quão resiliente é um sistema a falhas únicas ou múltiplas. Não é bom encontrar todas as falhas iniciais possíveis. O FMEA é bom para catalogar de forma abrangente as falhas iniciais e identificar seus efeitos locais. Não é bom examinar múltiplas falhas ou seus efeitos no nível do sistema. O FTA considera eventos externos, o FMEA não. Na aeronáutica civil a prática usual é realizar tanto o FTA quanto o FMEA, com um resumo dos efeitos do modo de falha (FMES) e a interface entre o FMEA e o FTA.

Alternativas ao FTA incluem diagramas de dependência (DD), também conhecidos como diagramas de blocos de confiabilidade (RBD), e análise de Markov. Um diagrama de dependência é equivalente a uma Análise de Árvore de Sucesso (STA), o inverso lógico de um FTA, e representa o sistema usando caminhos em vez de portas. DD e STA produzem probabilidades de sucesso (isto é, evitar um evento superior) em vez da probabilidade de um evento superior.

A metodologia FTA é descrita em vários padrões industriais e governamentais, incluindo NRC NUREG-0492 para a indústria nuclear, uma revisão orientada para o setor aeroespacial do NUREG-0492 usado pela NASA,[28] SAE ARP4761") para aeronaves civis, MIL-HDBK-338 para sistemas militares, e o padrão IEC IEC 61025[29]​, que se destina ao uso em todos os setores e foi adotado como Padrão Europeu EN 61025.

Qualquer sistema suficientemente complexo está sujeito a falhas, devido à falha de um ou mais dos seus subsistemas. A probabilidade de falha, no entanto, muitas vezes pode ser reduzida através de um design de sistema melhorado. A análise da árvore de falhas mapeia a relação entre falhas, subsistemas e elementos redundantes do projeto de segurança, criando um esquema lógico do sistema geral.

O resultado indesejado é considerado a raiz ('evento/evento principal') de uma árvore lógica. Por exemplo, o resultado indesejável de uma operação de prensagem e estampagem de metal é que algum apêndice humano seja estampado. Trabalhando de trás para frente a partir deste evento superior, poderíamos determinar que isso pode ocorrer de duas maneiras: durante a operação normal ou durante uma operação de manutenção. Esta condição é um OR lógico. Considerando o ramo em que isso ocorre durante a operação normal, talvez determinemos que há duas maneiras de isso acontecer: os ciclos de prensagem prejudicam o operador ou os ciclos de prensagem prejudicam outra pessoa. Este é outro OR lógico. Podemos melhorar o projeto exigindo que o operador pressione dois botões para iniciar a máquina - este é um recurso de segurança na forma de um AND lógico. O botão pode ter uma taxa de falha intrínseca – isso se torna um incentivo de falha que podemos analisar. Quando as árvores de falhas são ponderadas com números reais para probabilidades de falha, os programas de computador podem calcular as probabilidades de falha nas árvores de falhas.

Quando um evento específico deve afetar mais de um evento, ou seja, tem impacto em vários subsistemas, é chamado de causa comum ou modo comum. Graficamente falando, isso significa que este evento aparecerá em diversas posições da árvore. Causas comuns introduzem relações de dependência entre eventos. Os cálculos de probabilidade para uma árvore contendo algumas “causas comuns” são muito mais complicados do que para árvores normais, onde todos os eventos são considerados independentes. Nem todas as ferramentas de software disponíveis no mercado oferecem tal capacidade.

A Árvore geralmente é escrita usando símbolos convencionais de portas lógicas. O caminho através de uma árvore entre um evento e um iniciador na árvore é chamado de Cut Set. O caminho mais curto e confiável na árvore, desde uma falha até um evento de inicialização, é chamado de Conjunto de Corte Mínimo.

Algumas indústrias utilizam árvores de falhas e árvores de eventos (ver Avaliação Probabilística de Risco). Uma Árvore de Eventos começa a partir de um inicializador indesejado (perda crítica de fornecimento, falha de componente, etc.) e segue possíveis eventos mais distantes no sistema através de uma série de consequências finais. À medida que cada novo evento é considerado, um novo nó é adicionado à árvore com uma probabilidade dividida de assumir qualquer ramo. As probabilidades de uma série de “eventos superiores” decorrentes do evento inicial podem então ser vistas.

Os programas clássicos incluem o software CAFTA (EPRI) do Electric Power Research Institute, que é usado por muitas usinas nucleares dos EUA e pela maioria dos fabricantes aeroespaciais dos EUA e internacionais, e o SAPHIRE do Laboratório Nacional de Idaho, que é usado pelo governo dos EUA para avaliar a segurança e confiabilidade dos reatores nucleares, do ônibus espacial e da Estação Espacial Internacional. Fora dos EUA Nos EUA, o software RiskSpectrum é uma ferramenta popular para análises de árvore de falhas e árvore de eventos e está autorizado para uso em quase metade das usinas nucleares do mundo pela Avaliação de Segurança Probabilística.

Contenido

Los símbolos básicos utilizados en el FTA están agrupados como eventos, puertas, y símbolos de transferencia. Variaciones menores pueden ser utilizadas en softwares de FTA.

Símbolos de eventos

Os símbolos de evento são usados ​​para eventos primários e eventos intermediários. Os eventos primários não são mais desenvolvidos na árvore de falhas. Os eventos intermediários são encontrados na saída de uma porta. Os símbolos do evento são mostrados abaixo:.

Os símbolos de eventos primários são normalmente usados ​​da seguinte forma:

Uma porta de evento intermediária pode ser usada imediatamente acima de um evento pai, para fornecer mais espaço para escrever a descrição do evento. O ACL é uma abordagem de cima para baixo (de cima para baixo).

Símbolos de porta lógica

Os símbolos de porta descrevem a relação entre eventos de entrada e saída. Os símbolos são derivados de símbolos lógicos booleanos:

As portas funcionam da seguinte forma:

Símbolos de transferência

Os símbolos de transferência são usados ​​para conectar as entradas e saídas de árvores de falhas relacionadas, como a árvore de falhas de um subsistema, à do seu sistema. A NASA preparou uma documentação abrangente sobre o FTA através de incidentes práticos.

Os eventos em uma árvore de falhas estão associados a probabilidades estatísticas. Por exemplo, componentes com falha geralmente podem ocorrer com alguma taxa de falha constante λ (uma função de risco constante). Neste caso mais simples, a probabilidade de falha depende do índice λ e do tempo de exposição t:.

Uma árvore de falhas normalmente é normalizada para um determinado intervalo de tempo, como uma hora de voo ou um tempo médio de missão. As probabilidades dos eventos dependem da relação entre a função de risco do evento e seu intervalo.

Ao contrário dos esquemas convencionais de portas lógicas nos quais as entradas e saídas contêm os valores binários VERDADEIRO (1) ou FALSO (0), as portas de árvore de falhas produzem probabilidades relacionadas às operações definidas da lógica booleana. A probabilidade do evento de saída de uma porta depende das probabilidades dos eventos de entrada.

Uma porta lógica AND representa uma combinação de eventos independentes. "Independência (probabilidade)") Ou seja, a probabilidade de qualquer evento de entrada para uma porta lógica AND não é afetada por nenhum outro evento de entrada para a mesma porta. Em termos da teoria dos conjuntos, isso é equivalente à interseção dos conjuntos de eventos de entrada, e a probabilidade de saída da porta lógica AND é dada por:.

Uma porta lógica OR, por outro lado, corresponde a uma união de conjuntos:

Como as probabilidades de falhas em árvores de falhas tendem a ser pequenas (menos de 0,01), P(A ∩ B) normalmente se torna um termo de erro muito pequeno, e a saída de uma porta lógica OR pode ser aproximada de forma conservadora usando a suposição de que as entradas são eventos mutuamente exclusivos:

A porta Exclusive-Or com duas entradas representa a probabilidade de que uma ou outra entrada, mas não ambas, ocorra:.

Novamente, como P (A ∩ B) normalmente se torna um termo de erro muito pequeno, a porta Exclusive-Or tem valor limitado em uma árvore de falhas.

Muitas abordagens diferentes podem ser usadas para modelar um ACL, mas as mais comuns e populares podem ser resumidas em alguns passos. Uma única árvore de falhas é usada para analisar um e apenas um evento indesejado ou evento principal, que pode posteriormente alimentar outra árvore de falhas como um evento base. Embora a natureza do evento indesejado possa variar drasticamente, um FTA segue o mesmo procedimento para qualquer evento indesejado; seja um atraso de 0,25 ms na geração de energia elétrica, um incêndio não detectado em um armazém ou o lançamento acidental e involuntário de um ICBM. Devido ao custo da mão de obra, o FTA normalmente só é usado para eventos indesejados mais graves.

O FTA envolve cinco etapas:

FTA é um método dedutivo de cima para baixo que visa analisar os efeitos do início de falhas e eventos em um sistema complexo.

Isso contrasta com a análise modal e de efeitos de falha (FMEA), que é um método indutivo de análise bottom-up que visa analisar os efeitos de falhas de componentes ou funções individuais em equipamentos ou subsistemas.

O FTA é muito bom para mostrar o quão resiliente é um sistema a falhas únicas ou múltiplas. Não é bom encontrar todas as falhas iniciais possíveis. O FMEA é bom para catalogar de forma abrangente as falhas iniciais e identificar seus efeitos locais. Não é bom examinar múltiplas falhas ou seus efeitos no nível do sistema. O FTA considera eventos externos, o FMEA não. Na aeronáutica civil a prática usual é realizar tanto o FTA quanto o FMEA, com um resumo dos efeitos do modo de falha (FMES) e a interface entre o FMEA e o FTA.

Alternativas ao FTA incluem diagramas de dependência (DD), também conhecidos como diagramas de blocos de confiabilidade (RBD), e análise de Markov. Um diagrama de dependência é equivalente a uma Análise de Árvore de Sucesso (STA), o inverso lógico de um FTA, e representa o sistema usando caminhos em vez de portas. DD e STA produzem probabilidades de sucesso (isto é, evitar um evento superior) em vez da probabilidade de um evento superior.