20
2. L’analisi dell’albero di guasto o fault tree
analysis (FTA)
L’analisi dell'albero di guasto (FTA) è un approccio top-down all’analisi di guasto,
a partire da un evento potenziale non desiderato (incidente) chiamato Top Event.
L’analisi procede determinando come il Top Event può essere causato da singoli o
combinati livelli inferiori di guasto o eventi.
Il concetto fondamentale della FTA è la traduzione del comportamento di fallimento
di un sistema fisico in un diagramma e in un modello logico. Il grafico fornisce un
modello visivo che ritrae con estrema facilità le relazioni di sistema e i percorsi di
guasto-causa. Il modello logico fornisce un meccanismo per la valutazione
qualitativa e quantitativa. La FTA si basa sulla teoria d’affidabilità, sull’algebra
booleana e sulla teoria della probabilità. Una serie di regole e simboli molto semplici
consente l'analisi anche di sistemi molto complessi.
La FTA è la tecnica più comunemente usata per l'analisi causale del rischio e studi di
affidabilità. Può essere anche utilizzata come uno strumento di progettazione, in
grado di identificare potenziali incidenti, in modo tale da eliminare costose
modifiche di progettazione. Le principali applicazioni di FTA sono:
1) l'identificazione dei componenti critici per la sicurezza;
2) la certificazione di prodotto;
3) la valutazione del rischio di prodotto;
4) l’analisi degli incidenti;
5) il piano di valutazione dei cambiamenti;
6) il diagramma degli eventi causa-effetti;
7) l’analisi delle cause comuni.
2.1 La storia dei FT
L’analisi dell'albero di guasto (FTA) è stato originariamente sviluppato nel 1962
presso i Bell Laboratories da H. A. Watson, inseguito ad un contratto con la US Air
Force per studiare il “Minuteman Missile launch control sustem (ICBM)”. Nel 1965
al Safety Symposium, sponsorizzato dall’ Università di Washington e dalla
compagnia Boeing, sono stati presentati diversi articoli che esponevano le virtù della
21
fault-tree analysis. La presentazione di questi articoli ha segnato l'inizio di un diffuso
interesse ad utilizzare l’analisi dell'albero di guasto come un sistema di sicurezza e
uno strumento di affidabilità per sistemi dinamici complessi.
La Boeing ha iniziato ad usare la FTA per la progettazione di aeromobili civili
intorno al 1966. Infatti sviluppò un programma di simulazione chiamato BACSIM
per la valutazione multifase degli alberi di guasto. BACSIM era in grado di gestire
fino a 12 fasi, e comprendeva la capacità di riparazione e adeguamento dei tassi di
insuccesso
2
. Boeing ha anche sviluppato un programma che tracciava gli alberi di
guasto. Tutto questo portò alla diffusione della FTA nel settore dell'aviazione civile.
Seguendo l'esempio del settore aerospaziale, l'industria nucleare scoperte le virtù e i
benefici della FTA, nel 1975 iniziò ad usare questo strumento per la progettazione e
lo sviluppo di centrali nucleari. Molti ricercatori appartenenti a questo settore hanno
contribuito allo sviluppo della teoria di guasto. Altri settori che hanno adottato la
FTA sono: l'industria di processo chimico, l'industria automobilistica, trasporto
ferroviario e l'industria della robotica.
2.1.1 Riconoscimenti indesiderati
Molto spesso accade che in un progetto non viene data sufficiente attenzione alla
sicurezza fino a dopo un incidente. I seguenti tre incidenti sono stati sfortunati e non
voluti, ma hanno contribuito a definire meglio il processo di FTA. Dopo l'incendio
verificatosi durante il lancio dell'Apollo 1 il 27 gennaio 1967, la NASA Boeing ha
attuato un programma di sicurezza completamente nuovo e completa per l'intero
progetto Apollo. Parte di questo sforzo di sicurezza fu l’applicazione dell’analisi
dell'albero di guasto su tutto il sistema Apollo, contribuendo a portare la FTA alla
ribalta nazionale.
Dopo l'incidente di Three Mile, centrale nucleare di Isola il 28 marzo 1979, diversi
studi di revisione degli incidenti sono stati condotti utilizzando la FTA. Parecchi anni
prima di questo incidente, lo studio WASH-1400 (1976) è stato condotto per rivedere
la progettazione degli impianti nucleari di potenza, e per assicurare al pubblico che la
2
Clif Ericson “Fault Tree analysis – A History”, from the Proceedings of The 17th International
System Safety Conference” (1999)
22
probabilità di incidenti nucleari era molto piccola. Questo studio ha utilizzato
l’analisi dell'albero di guasto e ha contribuito a legittimare questo strumento e
promuoverne l'uso in inchieste sugli incidenti.
La navetta spaziale Challenger ebbe un incidente avvenuto il 28 gennaio 1986. A
seguito di questo incidente una squadra di revisione indipendente utilizzo l’albero di
guasto per valutare i motori principali e per garantire un’adeguata sicurezza nella
progettazione. Questo studio ha mostrato i benefici della FTA già in fase di
progettazione.
2.2 I principali step
L’analisi dell’albero di guasto si compone di 5 step fondamentali e sono:
1) Definizione del sistema, il Top Event(il potenziale incidente) e le condizioni;
2) Costruzione dell’albero di guasto;
3) Analisi qualitativa dell’albero di guasto;
4) Analisi quantitativa dell’albero di guasto;
5) Rendicontazione dei risultati.
2.2.1 Definizione del sistema
Il punto di partenza di una FTA è spesso una FMECA esistente e un diagramma a
blocchi del sistema. Questo perché la FMECA è un primo passo essenziale nella
comprensione del sistema. Per eseguire un'analisi significativa, si individuano tre tipi
fondamentali di informazioni di cui si necessita:
- Componente operativo e modi di guasto: una descrizione di come gli stati
di uscita di ciascun componente sono influenzati dagli stati di ingresso e le
modalità operative interne di tale componente.
- Sistema grafico: descrizione di come i componenti sono interconnessi. Per
una rappresentazione dei sistemi possono essere usati i diagrammi a blocchi.
Un diagramma a blocchi consiste in un insieme di blocchi (rettangoli) che
rappresentano i vari componenti del sistema considerato, collegati fra loro a
seconda delle loro varie interconnessioni.
- Condizioni al contorno del sistema: si tratta di definire la situazione per la
quale l'albero di guasto deve essere elaborato. Top Event, condizioni iniziali
23
esistenti o eventi non ammessi, il livello di risoluzione richiesto e le
condizioni al contorno rispetto alle sollecitazioni esterne.
È importante evidenziare che:
1) Per ogni T.E. si elabora un albero. quindi il numero di eventi deve essere
contenuto.
2) Il singolo T.E. non va definito troppo genericamente perché si incorre in
una lunga analisi, né troppo specificamente in quanto può condurre ad
un’insufficiente visione del problema.
Fig. 2.1 Definizione del sistema
2.2.2 Costruzione dell’albero di guasto
La Costruzione di alberi di guasto è una fase molto importante nel processo di FTA.
La costruzione di un albero implica la ricerca delle possibili cause che provocano il
T.E. partendo dalle cause immediate fino ad arrivare alle cause elementari; vengono,
cioè, esplicitate tutte le combinazioni di eventi di guasto ad un certo livello che sono
necessarie a causare l’evento di guasto di livello superiore e ciò si ripete partendo dal
T.E. di sistema fino a giungere al livello di dettaglio voluto.
24
Un operatore logico (AND, OR, ecc.) combina questi eventi in modo da individuare
l’espressione booleana relativa al T.E., cosa che si riflette graficamente nell’ uso di
una struttura ad albero e di una simbologia appropriata.
Nella Tabella 2.1 si riporta la simbologia usata per la costruzione dell’albero.
Nome Simbolo Significato
EVENTO
INTERMEDIO
Il rettangolo identifica un evento dato
dalla combinazione di eventi di guasto
attraverso la porta logica d’ingresso.
TOP EVENT
Evento rilevante di guasto, oggetto
dell’analisi.
EVENTO
PRIMARIO
Evento non sviluppato per la mancanza
di informazioni.
CATENA DI
EVENTI
Sequenza di eventi già esaminata che si
ripete identica.
EVENTO BASE
Evento che non richiede ulteriori
sviluppi(causa prima).
SPARE
Si riferisce ad una configurazione in cui
si hanno dei nodi di riserva. Si possono
individuare tre tipologie di spare:
- Hot spare: in cui tutti i nodi
(attivi o riserve) in un gruppo di
protezione ricevono ed
elaborano in parallelo gli stessi
identici eventi, pertanto sono
normalmente tutti nello stesso
stato.
- Cold spare: in cui i nodi riserva
25
di un gruppo di protezione sono
tenuti fuori servizio fino a
quando non è necessaria la
sostituzione di un nodo attivo.
- Warm spare: è uguale al caso
hot ma il componente di riserva
ha una frequenza di guasto più
bassa.
EVENTO HOUSE
La casa è usata come interruttore per
includere o eliminare parti dell'albero di
guasto in quanto le parti possono o
potrebbero non essere applicabili a certe
situazioni.
EVENTO
CONDIZIONALE
Applicazioni di condizioni o restrizioni
agli altri simboli.
EVENTO
SOTTOALBERO
Il rombo con dentro un cerchio indica
l’esistenza di un sottoalbero, ma questo
sottoalbero è stato valutato
separatamente e il risultato quantitativo
viene inserito come se fosse un
componente.
OR GATE
L’evento di output si verifica quando si
presenta almeno uno degli eventi di
input(unione degli eventi).
AND GATE
L’evento di output si verifica solo
quando si verificano tutti gli eventi di
input(intersezione degli eventi).
OR GATE
ESCLUSIVO
L’evento di output si verifica quando
uno e solo uno degli eventi di input si
verificano.
26
AND GATE CON
PRIORITÀ
L’evento di output si verifica se gli
ingressi avvengono in una sequenza
specifica
VOTING GATE
L’evento di output si verifica quando si
presentano m eventi di ingresso su n.
INHIBIT GATE
L’evento di output si verifica quando
l’evento in ingresso soddisfa
determinate condizioni.
Tabella 2.1 Simbologia usata per la costruzione dell’albero
Nella Fig. 2.2 si riassume la procedura per la costruzione dell’albero di guasto.
Fig. 2.2 Costruzione dell’albero
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.
