FTA

ANALISI TRAMITE ALBERO DEI GUASTI

GENERALITA'

Oltre alla metodologia FMEA uno dei metodi più diffusi e conosciuti per l'analisi del rischio (e previsto anche da IATF 16949:2016 ), è il Fault Tree Analysis (FTA) o albero dei guasti. Diversamente dall'FMEA tuttavia, l'FTA va annoverato tra i metodi di analisi di tipo deduttivo (vedi Fig.1) in quanto, partendo da un'analisi generale e complessiva del tipo di guasto ( o evento indesiderato sul sistema), arriva ad individuare i guasti sui componenti. Al contrario l' FMEA partendo dal particolare ovvero dai guasti sui singoli componenti, giunge all'individuazione del guasto sul sistema.
Tutti i metodi sul controllo dei processi come l' FTA nascono intorno agli anni '60 presso i laboratori Bell Telephone sostenuto dalla teoria dell’affidabilità ed, in particolare, dall’algebra booleana. Dagli anni ’60 in poi FTA ha trovato sempre più occasioni di applicazione, nel mondo manifatturiero come anche più di recente in quello dei servizi, risultando oggi uno dei metodi più semplici ed efficaci nell’analisi dell’affidabilità e sicurezza dei sistemi.

SCOPO E DEFINIZIONI

La FTA permette, in modo grafico e logico, di collegare fra loro i guasti dei componenti di un sistema. Lo scopo principale, al contrario della FMEA, non è però quello di individuare le cause dei guasti bensì, partendo da un guasto sul sistema (Evento indesiderato), di metterlo in relazione funzionale con i guasti sui componenti (Eventi base).
Prima di affrontare nel dettaglio la tecnica, possono risultare utili alcune definizioni, che torneranno utili nel seguito.

Evento indesiderato o evento top

Rappresenta il guasto relativo al sistema funzionale sotto esame. L’evento top indesiderato può essere combinazione di numerose cause. Esso avrà, cioè, un numero n di eventi (nodi del sistema) che lo precedono e lo determinano ma nessun evento che lo succede.

Combinazione di cause: è il presentarsi simultaneo di guasti degli elementi funzionali che portano all’evento top indesiderato. La più piccola combinazione di guasti ne contiene almeno un numero necessario a causare l’evento top.

Unità esaminata: l’oggetto da esaminare, identificato dalle sue caratteristiche funzionali e costruttive. Unità esaminate possono ad esempio essere sistemi, componenti ed elementi funzionali.

Componente: è l’unità esaminata di livello più basso alla quale può essere assegnato uno o più elementi funzionali.

APPLICAZIONE DEL METODO FTA

FTA è un metodo dalle applicazioni più varie. Può essere usato sia preventivamente (approccio consigliato), oltre che per identificare le cause di non conformità già rilevate.
I simboli utilizzati nel diagramma logico ad albero FTA, sono chiamati logic gates e sono simili ai simboli utilizzati dai progettisti di circuiti elettronici digitali: OR ed AND.
Il punto di partenza è lo stato del sistema che può presentarsi esattamente come funzionante o difettoso. All’estremità sinistra di un foglio bianco, oppure in alto centrato, si inserisce l’evento top, come primo nodo contenente la dichiarazione dell’evento indesiderato. Si supponga, per esempio, che il sistema sia formato da un motore elettrico, una batteria e due interruttori e che l’evento indesiderato sia l’impossibilità di spegnere il motore.

esempio logic gates fta

Per definizione il top event è un nodo senza successori.

Seguendo, a questo punto, le regole dell’algebra booleana, si associa il numero binario 1 al manifestarsi di tale stato (il motore elettrico non si spegne) e il numero binario 0 allo stato opposto di funzionante.

Il top event è una combinazione (output) di altri difetti/guasti legati al sistema, ai suoi componenti o a condizioni esterne.

Rifacendosi all’esempio del motore elettrico che non si spegne, ciò può essere causato dalla non apertura di entrambi gli interruttori.

OR logic gate 2 input

In quest’esempio il manifestarsi del top event dipende da cosiddetti stati predecessori secondo la nota funzione booleana AND. Se, infatti, al manifestarsi degli stati predecessori (interruttore 1 e 2 non possono essere aperti) si associa il numero binario 1 si ottiene per l’appunto tale funzione (1 AND 1 = 1).

In generale nel metodo FTA la funzione che determina lo stato di un nodo attraverso i suoi predecessori è una funzione booleana, AND o OR.

schema generico logic gate

Con la funzione AND lo stato del successore si conferma (1 = motore che non si ferma) quando entrambi gli stati dei predecessori si confermano (1 = interruttore che non si apre).

Se si suppone, invece, che l’evento indesiderato sia il motore che non si avvia (=1), la funzione boolena che si utilizza è l’OR.

esempio OR su motore elettrico

Con questa funzione lo stato del successore (1 = motore che non parte) si conferma quando almeno uno degli stati dei predecessori si conferma (=1).

schema OR logic gate

Quando si sviluppa l’analisi FTA, gli insuccessi del componente (inputs) sono classificati i tre categorie: insuccesso primario, insuccesso secondario e insuccesso di comando.

Guasto primario : l'insuccesso primario è dovuta alla costruzione o alle caratteristiche materiali del componente stesso.

Guasto secondario insuccesso del componente è causato da influenze esterne inaccettabili, come per esempio condizioni ambientali, condizioni di applicazione o l'influenza di altre componenti del sistema.

Guasto di comando è causato da errori di natura umana(operativi) o per uso scorretto.

L’FTA andrà a considerare il verificarsi di eventi positivi come di quelli negativi. I segmenti dell’albero che conducono ad un evento negativo (guasto) definiscono tutti i fattori che potrebbero causare l'evento stesso. I segmenti dell’albero logico per gli eventi negativi impiegano abitualmente più gate OR rispetto ai gate AND. Il segmento di albero logico che conduce invece ad un evento positivo definisce tutti i fattori che devono verificarsi affinchè l'impianto funzioni correttamente. In quest'ultimo caso l'albero utilizza generalmente più i gate di tipo AND rispetto ai gate OR.

Nella valutazione-(1 di 2), chiamata OR-Gate, è sufficiente uno dei due segni ( È 1 o È 2) assuma un valore (1) affinché l'output assuma anch'esso quel medesimo segno. In tal modo il segno dell'output non comparso (trovato) è più improbabile poi con l'istallazione di un singolo canale.

La figura illustra la valutazione-(1 di 2) con la corrispondente funzione tabellare:

schema generico logic gate

Per la valutazione –(2di 2), chiamata AND-Gate, i due segnali di input devono essere dati insieme per ottenere il segnale di output. L’evento primo, quindi, si manifesta solo quando entrambi i componenti di guasto si realizzano (AND-Gate).

La figura illustra la valutazione-(2 di 2):

schema AND logic gate

Per esser capaci di fare di un sistema tecnicamente molto complesso un modello realistico, è necessario seguire i seguenti step operativi

step operativi per la predisposizione di un albero dei guasti

I STEP: ANALISI DEL SISTEMA

La preparazione di un albero degli errori presuppone l’esatta conoscenza dei processi funzionali in situazione di normale attività del sistema. Attraverso una simile analisi, il funzionamento del sistema, considerato tenendo conto delle sue relazioni con l’ambiente, verrà costruito in modo chiaro e trasparente.

Sistema Funzionale/Requisiti del Sistema

Per definire chiaramente il sistema, tutte le funzioni in esso coinvolte devono esser mostrate e legate a tutti gli elementi del sistema. Dovranno quindi essere considerati in modo appropriato i target di performance e le tolleranze di ciascuna delle funzioni Per raggiungere un simile risultato, documenti tecnici, specifiche di performance e disegni diventeranno strumenti indispensabili e insostituibili. Per illustrare, poi, le connessioni di sistema e le influenze di interfaccia, verranno impiegati i diagrammi funzionali a blocchi.

Condizioni ambientali

Il sistema si trova a dover rispettare e mantenere i requisiti funzionali sotto l’influenza di condizioni ambientali specifiche non strettamente attinenti gli aspetti tecnici del sistema, durante diverse fasi operative. Al pari delle caratteristiche fisiche e chimiche degli elementi del sistema, andranno quindi, anche considerate le influenze ambientali.

Dipendenze e reazioni

Qui il sistema deve essere esaminato con riguardo ai seguenti aspetti:

  • Interdipendenza e cooperazione degli elementi del sistema nella creazione e determinazione delle funzioni del sistema;
  • Reazioni del sistema alle condizioni ambientali;
  • Reazioni del sistema in caso di guasti interni o guasti attribuibili alle fonti sostenenti il sistema stesso.

II STEP: DEFINIZIONE DEL TOP EVENT E DEI CRITERI DI GUASTO

La significatività di un FTA dipende dalla descrizione del top event e dalle relative condizioni di frontiera. Nella determinazione del top event due sono i possibili approcci:

  • Approccio preventivo
    Se l’FTA viene condotta a scopi preventivi, le definizioni del top event scaturiscono da non conformità di funzioni o dalla necessità di soddisfare specifici requisiti. Nella definizione del top event, inoltre, al pari delle conformità del prodotto andranno ugualmente considerati aspetti legati alla sicurezza.
  • Approccio correttivo
    Qui, invece, il top event viene definito sulla base di un problema insorto o di un guasto al sistema già verificatosi.

    • III STEP: DETERMINAZIONE DEI PARAMETRI DI ATTENDIBILITÀ E DEGLI INTERVALLI TEMPORALI

    Nel valutare, quantitativamente un albero dei guasti, occorrerà distinguere i casi in cui si intende valutare le probabilità di guasto in un determinato periodo di tempo oppure questa stessa vada considerata per periodi casuali. E’ evidente che una valutazione di tipo quantitativo per il top event richiederà poi una valutazione similare per gli eventi base.

    IV STEP: DETERMINAZIONE DEI MODI DI GUASTO E DEI COMPONENTI

    Dopo un’analisi del sistema e una definizione del top event, tutti i modi di guasto dei componenti da riconsiderare secondo il modello dell’albero dei guasti devono essere differenziati. Per l'elaborazione di un FTA dettagliato, normalmente non è sufficiente usare guasti indifferenziati dei componenti come eventi base. Al contrario modi di guasto diversi di uno stesso componente possono avere effetti completamente diversi sul top event, così che essi potrebbero essere attribuiti sotto un medesimo evento base, ma dover tuttavia essere inseriti in un’area diversa nell’albero dei guasti. Quando, tuttavia, siamo chiamati a determinare l’attendibilità dei parametri per gli eventi base, sorge una difficoltà aggiuntiva legata al fatto che le probabilità di guasto sono conosciute ma non sono distinte in funzione del loro specifico effetto sul top event per i singoli modi di guasto. Alcuni data books contengono informazioni sui modi di guasto di alcuni componenti.

    Se non sono disponibili informazioni quantitative sui modi di guasto, è possibile in ultima analisi riferirsi all'ipotesi peggiore usando la probabilità di guasto complessiva di un componente come stima della più elevata probabilità del singolo modo di guasto. Nel momento in cui sia stata già predisposta o conclusa un analisi dei modi di guasto tipo FMEA, l'FTA potrà prendere avvio sulla base degli stessi dati ricavati dall'FMEA sui modi di guasto.

    V STEP: PREPARAZIONE DI UN ALBERO DEI GUASTI

    Per ottenere risultati compatibili e limitare l’arbitrarietà del soggetto preposto allo sviluppo di un albero dei guasti, è necessario stabilire specifiche procedure (vedi schema). Punto di partenza nell’elaborazione dell’albero è l’identificazione del top event del sistema da esaminare. In primo luogo si stabilisce se il top event descritto può essere riconosciuto come guasto di un singolo elemento del sistema. In questo caso, una connessione OR individua al massimo 3 inputs: un guasto primario, un guasto secondario, un guasto di comando. Negli altri casi saranno identificati tutti quei guasti che individualmente o congiuntamente hanno determinato il top event. Come già menzionato, il guasto primario non ha ulteriori e successivi sviluppi, come anche i guasti secondari e di comando non relativi al sistema esaminato

    esempio albero dei guasti

    Dopo la preparazione di un Fault tree si può ottenere una valutazione qualitativa e/o quantitativa circa le reazioni del guasto sul sistema .

    VALUTAZIONE QUALITATIVA

    FTA è una procedura completa, se applicata correttamente, infatti, tutte le combinazioni degli eventi che conducono al top event possono essere trovate. I suoi limiti non sono perciò inerenti alla procedura, ma alla competenza e alla accuratezza di chi la usa.

    Il risultato dell' FTA è realistico e perciò significativo, finché è possibile descrivere il sistema e il suo comportamento di insuccesso funzionale come una catena causale di effetti.

    SENTIERI CRITICI

    Anche senza usare i dati di input (come per esempio le percentuali di insuccesso) nel momento in cui si verifica un guasto, un fault tree è già in grado di fornire informazioni qualitative riguardanti l'affidabilità del sistema. Sviluppare una struttura di tipo causa/effetto aiuta, infatti, indubbiamente, a riconoscere sistematicamente i sentieri critici, soprattutto quando l'FTA viene applicata come strumento utile all'individuazione di cause. Un sentiero critico viene definito come ramo, in cui i guasti del componente non sono coperti da sistema preventivo o da meccanismo di prova. Ogni risultato aperto è inserito in una lista, ordinata secondo l'area di competenza e spedita agli spettanti dipartimenti per ogni chiarimento. Dai risultati ottenuti i rischi correnti legati a potenziali punti deboli del sistema potranno essere approssimativamente differenziati.

    MINIMI SISTEMI RIDOTTI

    Un’altra possibilità per fare una valutazione qualitativa è, esaminare il sistema usando il metodo del minimo sistema ridotto per guasti individuali e multipli.

    Una minima intersezione, anche questa chiamata minimi sistemi ridotti o sistema critico, è una minima combinazione di componenti di sistema, il cui guasto conduce al top event. Da queste combinazioni, può essere data una valutazione qualitativa sui rami più deboli del fault tree. Se il top event è iniziato da una minima intersezione con un elemento in un sistema di sicurezza. L’affidabilità può essere aumentata integrando una ridondanza e la minima critica intersezione eliminata.

    VALUTAZIONE QUANTITATIVA

    Oltre le valutazioni qualitative eseguite sul sistema, le valutazioni quantitative del fault tree sono di grande interesse. Con l’aiuto dei parametri di affidabilità (probabilità di guasto o non disponibilità del sistema), può essere calcolata la frequenza di un evento richiesto deducendola sia dalle loro osservazioni ( per esempio prova di laboratorio o esperienza del campo) sia da sorgenti di dati rilevanti.

    Probabilità che si verifichi un top event

    La condizione basilare per il calcolo della probabilità del top event esistente è la corrispondente quantificazione di tutti gli eventi di base. Questo calcolo può essere principalmente eseguito a mano, le procedure che si devono applicare sono descritte in DIN 25424, Parte 2. Quando qualcosa di complesso riguarda il fault trees, gli errori di calcolo casuali e anche quelli sistematici possono essere difficilmente evitati, cosicché l’uso di un programma di calcolo adatto, è nella maggior parte dei casi, praticamente indispensabile.

    ANALISI DI SENSIBILITA'

    Il calcolo di probabilità del top event esistente permette ai decision makers di avere un globale giudizio, sul livello di accettabilità della probabilità rilevata. Se il livello è basso, occorrerà chiedersi quali eventi di base causano avvenimenti inaccettabili e quali possano essere le misure per una loro eliminazione eliminazione.

    Questo è lo scopo dell’analisi di sensibilità. Essi consentono l’identificazione di elementi di base e di sistemi minimi ridotti, che influenzano prevalentemente la probabilità esistente. L’importanza degli eventi di base e dei sistemi ridotti è descritta dai così detti parametri importanti. Calcolando l’importanza per tutti gli eventi di base o per i sistemi minimi ridotti, potremmo acquisire una sequenza quantitativa di importanza. Perciò si ottengono indicazioni le cui misure possono effettivamente minimizzare la probabilità esistente del top event.

    Stabilire il metodo per il bisogno di azioni e la scelta di misure

    Allo scopo di determinare quale azione sia richiesta, i risultati dell’FTA riguardanti la probabilità di guasto del top event devono essere paragonati ai requisiti qualitativi e quantitativi. Se i valori risultanti deviano dai valori specifici è necessaria un’azione.

    In questo caso devono essere prese misure per raggiungere valori specifici. Perciò è necessario definire i guasti deboli responsabili per la non conformità.

    Misure consigliate per il miglioramento

    Per eliminare i sopra definiti deboli guasti, vengono suggerite appropriate misure. Per scegliere le migliori misure devono essere considerati e valutati i seguenti aspetti:

    • La fattibilità
    • I costi
    • L’orario

    CONTROLLO DI SUCCESSO

    Per dimostrare e assicurare il successo della misura presa, bisogna eseguire un nuovo calcolo del Fault tree. Se questo calcolo mostra risultati che si conformano ai requisiti specifici, il raggiungimento dell’obiettivo è assicurato.



    DETTAGLIO DELLA NOSTRA CONSULENZA E DELLA NOSTRA FORMAZIONE



    PER OGNI PROGETTO POTETE CHIEDERE UN FINANZIAMENTO!



    Torna sopra