Che cos’è la Fault Tree Analysis?

Fault Tree Analysis (FTA) è una tecnica di problem solving usata particolarmente nelle

  • analisi di rischio
  • root cause analysis
  • analisi di guasto ad un prodotto in sviluppo

Essa consiste nel creare una struttura ad albero dove la parte più alta dell’albero “Top Event” rappresente l’evento indesiderato, normalmente un evento critico dal punto di vista della sicurezza o della sua affidabilità. Tale evento viene poi analizzato nel contesto del suo ambiente e del suo funzionamento per trovare tutti i modi realistici (credible faults condition) in cui può verificarsi l’evento indesiderato.

L’albero dei guasti stesso è un modello grafico delle varie combinazioni parallele e sequenziali di guasti che comporteranno il verificarsi dell’ evento indesiderato predefinito.

I guasti sono gli eventi elementari che combinandosi secondo determinate interrelazioni logiche producono il Top Event. Questi guasti possono essere cedimenti del compononete, errori software, errori umani, ecc..

Esempio di Fault Tree

Esempio di una Fault Tree in ambito ferroviario

Si consideri il seguente esempio, rappresentato nella seguente figura, tratto da un caso reale in ambito ferroviario, in particolare nel sistema di gestione del traffico ferroviario (apertura/chiusura dei tracciati).

Il “Top Event” della Fault Tree (FT) è il guasto Solid State Interlocking Failure (SSI Failure) il quale può essere dato dalla combinazione di 5 eventi collegati tra loro tramite la porta logica OR. Tre di questi eventi sono rappresentati da cartelle (A, B, D) per indicare che in realtà contengono altre parti della FT che per una miglior visualizzazione del problema, sono state sviluppate su fogli distinti.

La porta logica OR (C) è una combinazione di due eventi, sviluppati anch’essi su fogli distinti, e rappreasentano un guasto critico di un segnale di uscita incorretto dal sistema interlocking. Nello specifico questo guasto può verificarsi in due condizioni:

  • messaggio ricevuto incorretto (INCSOGE144) oppure (OR)
  • messaggio inviato incorrettamente (INCSOGE146)

Software utilizzato

Corso di riferimento

Eventi Base

Gli eventi base rappresentano il punto oltre la quale la FT non si sviluppa e nei quali bisogna inserire le funzioni di guasto o le probabilità dell’evento considerato. La discussione riguardo la tipologia di funzione da utilizzare ed i parametri che ci si può aspettare non rientra nell’obiettivo di questo articolo. Per uno sviluppo più approfondito di questo argomento si consiglia il corso RS250: Fundamentals of Reliability per prodotti non riparabili o il corso RS300: RAM for Assett Management focalizzato su prodotti riparabili

Originariamente gli eventi base delle fault tree erano probabilità fisse perfettamente modellabili in BlockSim ma non necessariamente rappresentative di quanto avviene nella realtà. Partendo dal fatto che l’evento è una grandezza dinamica, una distribuzione di probabilità rappresenta l’approccio più corretto anche se i dati sono stati derivati con metodo probit o engineering judgement. Il corso RS250: Fundamentals of Reliability tratta queste tematiche.

Il settaggio dell’evento base è di per sè semplice da eseguire in cui si necessità di un nome da assegnare all’evento, una distribuzione di guasto che meglio caratterizza l’evento considerato ed un paio di fattori che qualificano l’evento stesso, come l’età del blocco ed il duty cycle.

Common Cause Failures (CCFs)

Uno degli errori più comuni nello sviluppo della fault tree è quello di duplicare eventi che si ripetono in diverse parti del diagramma. Se per esempio si suppone che il guasto ad una valvola influenzi due parti distinte della fault tree, inserendo due volte la valvola si duplicherà l’elemento valvola non corrispondente a quanto presente nel diagramma.

Un approcchio simile lo si ha con i guasti di causa comune o common cause failures (CCF) . Tali guasti si verificano quando più componenti (di solito identici) si guastano a causa di cause condivise. Esempi tipici di cause condivise includono principalmente stresses come

  • impatto,
  • vibrazioni,
  • temperature,
  • contaminanti o anche
  • interventi di personale come calibrazione errata e
  • manutenzione impropria.

CCFs è uno dei motivi per cui un modello di affidabilità classico di un sistema può sottovalutare pericolosamente il rischio. Come? Attaccando direttamente i vantaggi della ridondanza creando un singolo punto di errore/guasto.

Ripetendo eventi identici in diverse parti del diagramma si duplicano eventi iniziatori che in realtà erano presenti una sola volta ma che influenzavano diverse modalità di guasto. Common cause failure appunto.

Con riferimento al diagramma principale, due blocchi in esso riportati (INCSOEE103) è potenzialmente un guasto di causa comune duplicato in un altra parte del diagramma.

Come ovviare a questo problema?

Diverse metodologie sono state impiegate per trattare il problema legato a common cause failures e queste sono quasi tutte riconducibili all’industria nucleare.

  • Principalmente bisogna distinguere tra CCF che si verificano contemporaneamente a seguito di shock e
  • CCF che si verificano in tempi separati a causa di un aumento dello stress (temperatura, umidità, vibrazioni…

Tali casistiche rappresentano problematiche diverse che richiedono modellazioni diverse: le prime per esempio con blocchi a specchio, mentre le seconde con container load sharing.

La sezione di fault tree considerata (immagine sotto) considera due eventi di interferenza sulla CP Data Link ed era stato originariamente modellato attraverso due eventi distinti.

Poichè interferenza del segnale a livello di rotaia è dettato dalla interferenza elettromagnetica del treno, il diagramma è stato rimodellato con un evento INCSOEE123 rispecchiato sui due rami della fault tree.

BlockSim infatti tra le porte logiche avanzate include l’evento/blocco a specchio che, in maniera simile agli altri eventi/blocchi consente di inserire sia probabilità fisse che funzioni variabili definendo i parametri del modello.

In questo articolo abbiamo evidenziato problemi di configurazione di fault trees che trattano eventi ripetuti in diverse parti del diagramma. Common cause failures rientrano in questa tipologia di eventi e grazie a programmi avanzati come BlockSim è possibile evitare questi errori scegliendo la configurazione più idonea al tipo di problema da modellare.

Software utilizzato

Scarica la DEMO