ALALISI
TRAMITE ALBERO DEI GUASTI (FTA).
Generalità
Oltre alla metodologia FMEA uno dei metodi piU' diffusi
e conosciuti per l'analisi del rischio, E' l' Fault Tree
Analysis (FTA) o albero dei guasti.
Diversamente dall'FMEA tuttavia, l'FTA va annoverato tra
i metodi di analisi di tipo deduttivo (vedi Fig.1) in quanto,
partendo da un analisi "generale" e complessiva del tipo
di guasto ( o evento indesiderato sul sistema), arriva ad
individuare i guasti sui componenti. Al contrario l' FMEA
partendo dal "particolare" ovvero dai guasti sui singoli
componenti, giunge all'individuazione del guasto sul sistema.
Tutti i metodi sul controllo dei processi come l' FTA nascono
intorno agli anni '60 presso i laboratori Bell Telephone
sostenuto dalla teoria dell’affidabilità ed, in particolare,
dall’algebra booleana . Dagli anni ’60 in poi FTA ha trovato
sempre più occasioni di applicazione, nel mondo manifatturiero
come anche più di recente in quello dei servizi, risultando
oggi uno dei metodi piu' semplici ed efficaci nell’analisi
dell’affidabilità e sicurezza dei sistemi.
Scopo e definizioni
La FTA permette, in modo grafico e logico, di collegare
fra loro i guasti dei componenti di un sistema. Lo scopo
principale, al contrario della FMEA, non e' pero' quello
di individuare le cause dei guasti bensi', partendo da un
guasto sul sistema (Evento indesiderato), di metterlo
in relazione funzionale con i guasti sui componenti (Eventi
base).
Prima di affrontare nel dettaglio la tecnica, possono risultare
utili alcune definizioni, che torneranno utili nel seguito.
Evento indesiderato o evento top: rappresenta il
guasto relativo al sistema funzionale sotto esame. L’evento
top indesiderato puo' essere combinazione di numerose cause.
Esso avrà, cioe', un numero n di eventi (nodi del sistema)
che lo precedono e lo determinano ma nessun evento che lo
succede
Combinazione di cause: e' il presentarsi simultaneo
di guasti degli elementi funzionali che portano all’evento
top indesiderato. La piu' piccola combinazione di guasti
ne contiene almeno un numero necessario a causare l’evento
top.
Unità esaminata: l’oggetto da esaminare, identificato
dalle sue caratteristiche funzionali e costruttive. Unità
esaminate possono ad esempio essere sistemi, componenti
ed elementi funzionali
Componente: e' l’unità esaminata di livello piu' basso
alla quale puo' essere assegnato uno o piu' elementi funzionali.
Applicazione del metodo FTA
FTA e' un metodo dalle applicazioni più varie. Puo' essere
usato sia preventivamente (approccio consigliato), oltre
che per identificare le cause di non conformità già rilevate.
I simboli utilizzati nel diagramma logico ad albero FTA,
sono chiamati logic gates e sono simili ai simboli utilizzati
dai progettisti di circuiti elettronici digitali:OR ed AND.
Il punto di partenza e' lo stato del sistema che puo' presentarsi
esattamente come funzionante o difettoso. All’estremità
sinistra di un foglio bianco, oppure in alto centrato, si
inserisce l’evento top, come primo nodo contenente la dichiarazione
dell’evento indesiderato. Si supponga, per esempio, che
il sistema sia formato da un motore elettrico, una batteria
e due interruttori e che l’evento indesiderato sia l’impossibilità
di spegnere il motore.
Per definizione il top event e' un nodo senza successori.
Seguendo, a questo punto, le regole dell’algebra
booleana, si associa il numero binario 1 al manifestarsi
di tale stato (il motore elettrico non si spegne) e il numero
binario 0 allo stato opposto di funzionante.
Il top event e' una combinazione (output) di altri difetti/guasti
legati al sistema, ai suoi componenti o a condizioni esterne.
Rifacendosi all’esempio del motore elettrico
che non si spegne, cio' puo' essere causato dalla non apertura
di entrambi gli interruttori.
In quest’esempio il manifestarsi del
top event dipende da cosiddetti stati predecessori secondo
la nota funzione booleana AND. Se, infatti, al manifestarsi
degli stati predecessori (interruttore 1 e 2 non possono
essere aperti) si associa il numero binario 1 si ottiene
per l’appunto tale funzione (1 AND 1 = 1).
In generale nel metodo FTA la funzione che determina lo
stato di un nodo attraverso i suoi predecessori è una funzione
booleana, AND o OR.
Con la funzione AND lo stato del successore si conferma (1
= motore che non si ferma) quando entrambi gli stati dei predecessori
si confermano (1 = interruttore che non si apre).
Se si suppone, invece, che l’evento indesiderato sia il
motore che non si avvia (=1), la funzione boolena che si
utilizza e' l’OR.
Con questa funzione lo stato del successore (1 = motore
che non parte) si conferma quando almeno uno degli stati dei
predecessori si conferma (=1).
Quando si sviluppa l’analisi FTA, gli insuccessi
del componente (inputs) sono classificati i tre categorie:
insuccesso primario, insuccesso secondario e insuccesso
di comando.
Guasto primario : l'insuccesso primario
e' dovuta alla costruzione o alle caratteristiche materiali
del componente stesso.
Guasto secondario insuccesso del
componente e' causato da influenze esterne inaccettabili,
come per esempio condizioni ambientali, condizioni di applicazione
o l'influenza di altre componenti del sistema.
Guasto di comando e' causato da errori
di natura umana(operativi) o per uso scorretto.
L’FTA andrà a considerare il verificarsi
di eventi positivi come di quelli negativi. I segmenti dell’albero
che conducono ad un evento negativo (guasto) definiscono
tutti i fattori che potrebbero causare l'evento stesso.
I segmenti dell’albero logico per gli eventi negativi impiegano
abitualmente più gate OR rispetto ai gate AND. Il segmento
di albero logico che conduce invece ad un evento positivo
definisce tutti i fattori che devono verificarsi affinchè
l'impianto funzioni correttamente. In quest'ultimo caso
l'albero utilizza generalmente piu' i gate di tipo AND rispetto
ai gate OR.
Nella valutazione-(1 di 2), chiamata
OR-Gate, e' sufficiente uno dei due segni ( E' 1 o E' 2)
assuma un valore (1) affinche' l'output assuma anch'esso
quel medesimo segno. In tal modo il segno dell'output non
comparso (trovato) e' piu' improbabile poi con l'istallazione
di un singolo canale.
La figura illustra la valutazione-(1 di
2) con la corrispondente funzione tabellare:
Per la valutazione –(2di 2), chiamata
AND-Gate, i due segnali di input devono essere dati insieme
per ottenere il segnale di output. L’evento primo, quindi,
si manifesta solo quando entrambi i componenti di guasto
si realizzano (AND-Gate).
La figura illustra la valutazione-(2 di 2):
Per esser capaci di fare di un sistema tecnicamente molto
complesso un modello realistico, e' necessario seguire i
seguenti step operativi
I STEP: Analisi del Sistema
La preparazione di un albero degli errori
presuppone l’esatta conoscenza dei processi funzionali in
situazione di normale attività del sistema. Attraverso una
simile analisi, il funzionamento del sistema, considerato
tenendo conto delle sue relazioni con l’ambiente, verrà
costruito in modo chiaro e trasparente.
Sistema Funzionale/Requisiti del
Sistema
Per definire chiaramente il sistema, tutte
le funzioni in esso coinvolte devono esser mostrate e legate
a tutti gli elementi del sistema. Dovranno quindi essere
considerati in modo appropriato i target di performance
e le tolleranze di ciascuna delle funzioni Per raggiungere
un simile risultato, documenti tecnici, specifiche di performance
e disegni diventeranno strumenti indispensabili e insostituibili.
Per illustrare, poi, le connessioni di sistema e le influenze
di interfaccia, verranno impiegati i diagrammi funzionali
a blocchi..
Condizioni Ambientali
Il sistema si trova a dover rispettare e
mantenere i requisiti funzionali sotto l’influenza di condizioni
ambientali specifiche non strettamente attinenti gli aspetti
tecnici del sistema, durante diverse fasi operative. Al
pari delle caratteristiche fisiche e chimiche degli elementi
del sistema, andranno quindi, anche considerate le influenze
ambientali.
Dipendenze e Reazioni
Qui il sistema deve essere esaminato con
riguardo ai seguenti aspetti:
- Interdipendenza e cooperazione degli elementi del sistema
nella creazione e determinazione delle funzioni del sistema;
- Reazioni del sistema alle condizioni ambientali;
- Reazioni del sistema in caso di guasti interni o guasti
attribuibili alle fonti sostenenti il sistema stesso.
II STEP: Definizione del top event e dei
criteri di guasto
La significatività di un FTA dipende dalla
descrizione del top event e dalle relative condizioni di
frontiera. Nella determinazione del top event due sono i
possibili approcci:
- approccio preventivo
Se l’FTA viene condotta a scopi preventivi,
le definizioni del top event scaturiscono da non conformità
di funzioni o dalla necessità di soddisfare specifici requisiti.
Nella definizione del top event, inoltre, al pari delle
conformità del prodotto andranno ugualmente considerati
aspetti legati alla sicurezza.
- approccio correttivo
Qui, invece, il top event viene definito
sulla base di un problema insorto o di un guasto al sistema
già verificatosi.
III STEP: Determinazione dei parametri
di attendibilità e degli intervalli temporali
Nel valutare, quantitativamente un albero
dei guasti, occorrerà distinguere i casi in cui si intende
valutare le probabilità di guasto in un determinato periodo
di tempo oppure questa stessa vada considerata per periodi
casuali. E’ evidente che una valutazione di tipo quantitativo
per il top event richiederà poi una valutazione similare
per gli eventi base
IV STEP: Determinazione dei modi di guasto
dei componenti
Dopo un’analisi del sistema e una definizione
del top event, tutti i modi di guasto dei componenti da
riconsiderare secondo il modello dell’albero dei guasti
devono essere differenziati. Per l'elaborazione di un FTA
dettagliato, normalmente non e' sufficiente usare guasti
indifferenziati dei componenti come eventi base. Al contrario
modi di guasto diversi di uno stesso componente possono
avere effetti completamente diversi sul top event, così
che essi potrebbero essere attribuiti sotto un medesimo
evento base, ma dover tuttavia essere inseriti in un’area
diversa nell’albero dei guasti. Quando, tuttavia, siamo
chiamati a determinare l’attendibilità dei parametri per
gli eventi base, sorge una difficoltà aggiuntiva legata
al fatto che le probabilità di guasto sono conosciute ma
non sono distinte in funzione del loro specifico effetto
sul top event per i singoli modi di guasto. Alcuni data
books contengono informazioni sui modi di guasto di alcuni
componenti.
Se non sono disponibili informazioni quantitative
sui modi di guasto, e' possibile in ultima analisi riferirsi
all'ipotesi peggiore usando la probabilità di guasto complessiva
di un componente come stima della più elevata probabilità
del singolo modo di guasto. Nel momento in cui sia stata
già predisposta o conclusa un analisi dei modi di guasto
tipo FMEA, l'FTA potrà prendere avvio sulla base degli stessi
dati ricavati dall'FMEA sui modi di guasto.
V STEP: Preparazione di un albero dei
guasti
Per ottenere risultati compatibili e limitare
l’arbitrarietà del soggetto preposto allo sviluppo di un
albero dei guasti, e' necessario stabilire specifiche procedure
(vedi schema). Punto di partenza nell’elaborazione dell’albero
è l’identificazione del top event del sistema da esaminare.
In primo luogo si stabilisce se il top event descritto può
essere riconosciuto come guasto di un singolo elemento del
sistema. In questo caso, una connessione OR individua al
massimo 3 inputs Un guasto primario, un guasto secondario,
un guasto di comando. Negli altri casi saranno identificati
tutti quei guasti che individualmente o congiuntamente hanno
determinato il top event. Come già menzionato, il guasto
primario non ha ulteriori e successivi sviluppi, come anche
i guasti secondari e di comando non relativi al sistema
esaminato
Dopo la preparazione di un Fault tree si
può ottenere una valutazione qualitativa e/o quantitativa
circa le reazioni del guasto sul sistema .
Valutazione qualitativa
FTA e' una procedura completa, se applicata
correttamente, infatti, tutte le combinazioni degli eventi
che conducono al top event possono essere trovate. I suoi
limiti non sono perciò inerenti alla procedura, ma alla
competenza e alla accuratezza di chi la usa.
Il risultato dell' FTA e' realistico e percio'
significativo, finche e' possibile descrivere il sistema
e il suo comportamento di insuccesso funzionale come una
catena causale di effetti.
Sentieri critici
Anche senza usare i dati di input(come per
esempio le percentuali di insuccesso) nel momento in cui
si verifica un guasto, un fault tree e' già in grado di
fornire informazioni qualitative riguardanti l'affidabilità
del sistema. Sviluppare una struttura di tipo causa/effetto
aiuta, infatti, indubbiamente, a riconoscere sistematicamente
i sentieri critici, soprattutto quando l'FTA viene applicata
come strumento utile all'individuazione di cause. Un sentiero
critico viene definito come ramo, in cui i guasti del componente
non sono coperti da sistema preventivo o da meccanismo di
prova. Ogni risultato aperto è inserito in una lista, ordinata
secondo l'area di competenza e spedita agli spettanti dipartimenti
per ogni chiarimento. Dai risultati ottenuti i rischi correnti
legati a potenziali punti deboli del sistema potranno essere
approssimativamente differenziati.
Minimi sistemi ridotti
Un’altra possibilità per fare una valutazione
qualitativa e', esaminare il sistema usando il metodo del
minimo sistema ridotto per guasti individuali e multipli.
Una minima intersezione anche questa chiamata
minimi sistemi ridotti o sistema critico, e' una minima
combinazione di componenti di sistema, il cui guasto conduce
al top event. Da queste combinazioni, puo' essere data una
valutazione qualitativa sui rami piu' deboli del fault tree.
Se il top event e' iniziato da una minima intersezione con
un elemento in un sistema di sicurezza. L’affidabilità puo'
essere aumentata integrando una ridondanza e la minima critica
intersezione eliminata.
Valutazione quantitativa
Oltre le valutazioni qualitative eseguite
sul sistema, le valutazioni quantitative del fault tree
sono di grande interesse. Con l’aiuto dei parametri di affidabilità
(probabilità di guasto o non disponibilità del sistema),
può essere calcolata la frequenza di un evento richiesto
deducendola sia dalle loro osservazioni ( per esempio prova
di laboratorio o esperienza del campo) sia da sorgenti di
dati rilevanti.
Probabilità che si verifichi un
top event
La condizione basilare per il calcolo della
probabilità del top event esistente e' la corrispondente
quantificazione di tutti gli eventi di base. Questo calcolo
puo' essere principalmente eseguito a mano, le procedure
che si devono applicare sono descritte in DIN 25424, Parte
2. Quando qualcosa di complesso riguarda il fault trees,
gli errori di calcolo casuali e anche quelli sistematici
possono essere difficilmente evitati, cosicché l’uso di
un programma di calcolo adatto, e' nella maggior parte dei
casi, praticamente indispensabile.
Analisi di sensibilità
Il calcolo di probabilità del top event esistente
permette ai decision makers di avere un globale giudizio,
sul livello di accettabilità della probabilità rilevata.
Se il livello è basso, occorrerà chiedersi quali eventi
di base causano avvenimenti inaccettabili e quali possano
essere le misure per una loro eliminazione eliminazione.
Questo e' lo scopo dell’analisi di sensibilità.
Essi consentono l’identificazione di elementi di base e
di sistemi minimi ridotti, che influenzano prevalentemente
la probabilità esistente. L’importanza degli eventi di base
e dei sistemi ridotti e' descritta dai cosi' detti parametri
importanti. Calcolando l’importanza per tutti gli eventi
di base o per i sistemi minimi ridotti, potremmo acquisire.
una sequenza quantitativa di importanza Perciò si ottengono
indicazioni le cui misure possono effettivamente minimizzare
la probabilità esistente del top event.
Stabilire il metodo per il bisogno
di azioni e la scelta di misure
Allo scopo di determinare quale azione sia
richiesta, i risultati dell’FTA riguardanti la probabilità
di guasto del top event devono essere paragonati ai requisiti
qualitativi e quantitativi. Se i valori risultanti deviano
dai valori specifici e' necessaria un’azione.
In questo caso devono essere prese misure
per raggiungere valori specifici. Perciò è necessario definire
i guasti deboli responsabili per la non conformità.
Misure consigliate per il miglioramento
Per eliminare i sopra definiti deboli guasti,
vengono suggerite appropriate misure. Per scegliere le migliori
misure devono essere considerati e valutati i seguenti aspetti:
La fattibilità
I costi
L’orario
Controllo di successo
Per dimostrare e assicurare il successo della
misura presa, bisogna eseguire un nuovo calcolo del Fault
tree. Se questo calcolo mostra risultati che si conformano
ai requisiti specifici, il raggiungimento dell’obiettivo
e' assicurato.
