Скидка на подшипники из наличия!
Новое поступление товара в 2026 году!
Анализ дерева отказов (Fault Tree Analysis, FTA) — нисходящий дедуктивный метод анализа надёжности и безопасности систем, при котором сложное нежелательное событие раскладывается по логическим связям на более простые события вплоть до элементарных отказов компонентов. Метод применяется и для качественного анализа (выявление критических путей отказа), и для количественной оценки вероятности отказа системы. На международном уровне метод стандартизован в IEC 61025:2006, в Российской Федерации — в ГОСТ Р 27.302-2009 «Надёжность в технике. Анализ дерева неисправностей».
В статье разобраны структура дерева отказов, обозначения логических элементов, методика построения, минимальные сечения, формулы количественного анализа для логических элементов «И» и «ИЛИ», меры важности базовых событий и приведён численный пример расчёта вероятности отказа резервированной системы.
FTA отвечает на вопрос: «Какие комбинации отказов компонентов и внешних воздействий приводят к заранее заданному нежелательному событию системного уровня?». В отличие от FMEA (анализа видов и последствий отказов), идущего «снизу вверх» от компонента к системе, FTA движется «сверху вниз»: от заранее определённого головного события (top event) последовательно раскрываются причины и условия его возникновения, пока не достигаются базовые события — элементарные отказы, для которых можно задать вероятность по справочным данным.
Метод сложился в начале 1960-х годов при проектировании системы пуска межконтинентальных баллистических ракет; в дальнейшем активно развивался в атомной энергетике, аэрокосмической и автомобильной отраслях. Классическим методическим документом считается «Fault Tree Handbook» NUREG-0492 (US NRC, 1981) и расширенный «Fault Tree Handbook with Aerospace Applications» (NASA, 2002). Международный стандарт IEC 61025:2006 (Fault tree analysis (FTA)) фиксирует единый набор символов, терминов и алгоритмов; на него ссылаются ISO 26262 (автомобильная функциональная безопасность), IEC 61508 (общая функциональная безопасность), IEC 61511 (процессная отрасль), SAE ARP 4761 (гражданская авиация), EN 50126/50128/50129 (железнодорожные RAMS) и MIL-STD-882 (системная безопасность).
В отечественной нормативной системе FTA охватывает ГОСТ Р 27.302-2009, разработанный с учётом IEC 61025:2006 (статус соответствия — NEQ, «неэквивалентный»). Базовые термины надёжности определены в ГОСТ Р 27.102-2021 «Надёжность в технике. Надёжность объекта. Термины и определения», действующем с 1 января 2022 года (взамен ГОСТ 27.002-2015). Метод входит в типовой инструментарий ТОиР и риск-инжиниринга: его применяют для расчёта вероятности отказа сложных систем, для идентификации критических компонентов и для обоснования резервирования и диагностического покрытия.
Дерево отказов — графическая схема, на которой события (условные обозначения — прямоугольники, круги, ромбы) связаны логическими элементами («вентилями»: «И», «ИЛИ», специальные типы). По IEC 61025 различают несколько категорий событий.
Связь между поколениями событий выполняется логическими элементами, а связь между разделами одного дерева (или передача в смежное дерево) — символами «передачи» (transfer in, transfer out).
Корректно построенное дерево отказов — это однозначное представление булева выражения, в котором каждое базовое событие связано с состоянием системы через цепочку логических операций.
IEC 61025:2006 систематизирует логические элементы дерева отказов на статические (без зависимости от времени и порядка событий) и динамические (учитывают порядок наступления или временные задержки). В большинстве практических задач для невосстанавливаемых систем достаточно статических элементов.
Выход элемента «И» наступает только при одновременном выполнении всех входных событий. В терминах теории вероятностей выход — пересечение входных событий. Для двух независимых базовых событий A и B:
P(C) = P(A) · P(B)
Для n взаимно независимых событий вход → выход AND:
P(AND) = P(A1) · P(A2) · … · P(An)
Элемент «И» отражает физическое резервирование: для того чтобы произошёл отказ выхода, должны отказать все резервные ветви.
Выход элемента «ИЛИ» наступает при наступлении хотя бы одного из входных событий. Выход — объединение входных событий. Для двух независимых базовых событий A и B:
P(D) = P(A) + P(B) − P(A) · P(B) = 1 − (1 − P(A)) · (1 − P(B))
Для n взаимно независимых событий:
P(OR) = 1 − ∏i=1..n (1 − P(Ai))
При малых вероятностях (когда P(Ai) ≲ 0,01) допустимо приближение «правило редкого события»:
P(OR) ≈ P(A1) + P(A2) + … + P(An)
Элемент «ИЛИ» соответствует последовательному соединению (с точки зрения надёжности): отказ любого звена ведёт к отказу системы. На уровне надёжностной блок-схемы (RBD) это последовательная цепочка блоков.
Выход срабатывает, если произошло не менее k из n входных событий. Это обобщение AND (k = n) и OR (k = 1). Применяется для систем мажорирования (например, 2 из 3 датчиков должны зафиксировать срабатывание, чтобы команда прошла). Для равновероятных и независимых событий с вероятностью p:
P(k/n) = ∑i=k..n C(n,i) · pi · (1 − p)n−i
где C(n,i) — число сочетаний из n по i.
Динамические элементы — PRIORITY AND (важен порядок входов), SPARE (резерв с задержкой запуска), FDEP (функциональная зависимость), SEQ (последовательность) — используются, когда статической булевой модели недостаточно. Их расчёт обычно требует марковских моделей или симуляции методом Монте-Карло; в рутинных задачах ТОиР применяются редко.
IEC 61025 описывает алгоритм построения дерева отказов как итеративный нисходящий процесс. Базовые шаги — определение головного события, последовательная декомпозиция, идентификация базовых событий и проверка результата.
Важная методологическая рекомендация IEC 61025: на каждом шаге декомпозиции рассматривать непосредственные, необходимые и достаточные причины — без «перескакивания» через уровни. Это поддерживает прослеживаемость и облегчает ревизию дерева.
Качественный анализ FTA нацелен на выявление структуры дерева отказов без обращения к численным вероятностям. Главный инструмент — поиск минимальных сечений.
Сечением (cut set) дерева называется набор базовых событий, одновременное наступление которых гарантирует наступление головного события. Минимальное сечение (minimal cut set, MCS) — это такое сечение, из которого нельзя исключить ни одно событие без потери свойства «вызывать головное событие». Минимальное сечение из одного события (singleton MCS) означает, что отказ только одного компонента приводит к системному отказу — критическая ситуация для проектирования. Минимальное сечение из k событий называется сечением порядка k.
Стандартный метод нахождения минимальных сечений — алгоритм MOCUS (Method for Obtaining Cut Sets), описанный в IEC 61025 и в Fault Tree Handbook. Алгоритм идёт сверху вниз: на каждом шаге выход логического элемента заменяется его входами в матрице сечений. Элемент «И» расширяет столбец (входы заменяют выход в одной строке), элемент «ИЛИ» — добавляет строки (по строке на каждый вход). После полной развёртки таблицы выполняется фильтрация: удаляются дубликаты и поглощённые сечения (если сечение Y является надмножеством сечения X, то Y не минимально и удаляется).
Альтернативный bottom-up алгоритм — MICSUP — строит сечения от базовых событий к корню. Оба алгоритма дают одинаковый результат, но различаются вычислительной сложностью на разных типах деревьев. Для больших промышленных деревьев применяют программные пакеты, использующие BDD (Binary Decision Diagrams) и оптимизации булевых выражений.
По набору минимальных сечений делают качественные выводы:
Количественный анализ требует вероятностей базовых событий за интересующий интервал времени. Их получают из справочников (например, отраслевых баз отказов), результатов испытаний, эксплуатационных данных или паспортов изготовителей. Обозначим вероятность i-го базового события за интервал времени t как qi(t).
Простейший способ — рекурсивный расчёт от базовых событий к головному. На каждом логическом элементе вероятность выхода вычисляется по формулам, приведённым выше для AND/OR/k-out-of-n, в предположении независимости входных событий. Метод даёт точный результат для деревьев без повторяющихся событий и без зависимостей.
Для более сложных деревьев (с повторяющимися событиями) корректный путь — расчёт через минимальные сечения. Головное событие наступает тогда и только тогда, когда наступает хотя бы одно минимальное сечение, поэтому вероятность головного события — вероятность объединения сечений:
P(TOP) = P(MCS1 ∪ MCS2 ∪ … ∪ MCSm)
где P(MCSj) — вероятность одновременного наступления всех базовых событий, входящих в j-е сечение:
P(MCSj) = ∏i ∈ MCSj qi
При независимости минимальных сечений:
P(TOP) = 1 − ∏j=1..m (1 − P(MCSj))
Верхняя оценка («rare event approximation») для малых P(MCSj):
P(TOP) ≲ ∑j=1..m P(MCSj)
Если минимальные сечения содержат общие базовые события, требуется аккуратное применение формулы включения-исключения или метода разъединения (disjointing). Современные программные пакеты для FTA выполняют точный расчёт по этим формулам автоматически.
Для невосстанавливаемых элементов с постоянной интенсивностью отказов λ вероятность отказа за время t рассчитывается по экспоненциальной модели:
q(t) = 1 − e−λt
При малых значениях λt (когда λt < 0,01) с погрешностью менее 0,5 % допустимо приближение:
q(t) ≈ λt
Для восстанавливаемых компонентов используется средняя неготовность (средняя вероятность нахождения в состоянии отказа). Для компонента с интенсивностью отказов λ и средним временем восстановления MTTR неготовность приближённо составляет λ · MTTR / (1 + λ · MTTR). Подробные модели рассматриваются в IEC 61078 (надёжностные блок-схемы), IEC 61165 (марковские модели) и в учебной литературе по теории надёжности.
Меры важности численно показывают вклад отдельного базового события в общую вероятность отказа системы. Используются для приоритизации мероприятий: какие компоненты повышать в надёжности, на какие направлять диагностические ресурсы, какие резервировать в первую очередь.
В практике обычно используют две-три меры одновременно: Бирнбаум как структурную чувствительность, RAW и RRW — как «верхнюю» и «нижнюю» оценки эффекта улучшения или ухудшения компонента.
Рассмотрим простую систему перекачки жидкости: два одинаковых насоса, соединённых параллельно по подаче, общий запорный клапан на выходе и общий контроллер пуска. Головное событие — «нет подачи жидкости в течение интересующего периода».
Головное событие наступает при выполнении одного из трёх условий: отказ контроллера, отказ запорного клапана (в закрытом положении), отказ обоих насосов одновременно. Запишем структуру:
По структуре дерева получаем три минимальных сечения:
Сечения порядка 1 (одиночные отказы контроллера и клапана) — единые точки отказа: их следует рассмотреть в первую очередь при планировании повышения надёжности.
Зададим условные вероятности отказа за период t (с пометкой — «условные», то есть для иллюстрации метода):
Вероятность сечений:
P(MCS1) = q3 = 1 · 10−3
P(MCS2) = q4 = 2 · 10−3
P(MCS3) = q1 · q2 = (5 · 10−2) · (5 · 10−2) = 2,5 · 10−3
В предположении независимости сечений точная вероятность головного события:
P(TOP) = 1 − (1 − 1·10−3)(1 − 2·10−3)(1 − 2,5·10−3)
P(TOP) = 1 − 0,999 · 0,998 · 0,9975 ≈ 1 − 0,99451 ≈ 5,49 · 10−3
Приближение редкого события («верхняя оценка»):
P(TOP) ≲ P(MCS1) + P(MCS2) + P(MCS3) = 5,5 · 10−3
Точная и приближённая оценки практически совпадают (отклонение менее 0,5 %), потому что все P(MCSj) малы и взаимные пересечения сечений в данной задаче исчезающе малы. Распределение вкладов по сечениям: ≈18 % приходится на отказ контроллера, ≈36 % — на отказ клапана, ≈45 % — на одновременный отказ обоих насосов.
Распределение вкладов даёт практическую подсказку: хотя сечения порядка 1 (контроллер и клапан) суммарно дают чуть более половины вероятности отказа, наибольший единичный вклад — у пары насосов. Однако компоненты-«одиночки» опаснее именно по структурной причине: их единичный отказ сразу приводит к системному, без необходимости совпадения событий. На практике это означает три направления улучшения: (1) повышать надёжность контроллера и клапана либо вводить для них резервирование; (2) уменьшать корреляцию отказов двух насосов через различия в исполнении и питании; (3) контролировать диагностический охват контроллера и клапана.
FTA — мощный, но не универсальный инструмент. Метод опирается на ряд явных и неявных допущений, нарушение которых приводит к недостоверным результатам.
FTA (анализ дерева отказов) — нисходящий, дедуктивный метод: от заранее заданного нежелательного системного события к его причинам. FMEA (анализ видов и последствий отказов) — восходящий, индуктивный метод: от каждого вида отказа отдельного компонента к его последствиям на уровне системы. FMEA исчерпывающе перебирает компоненты, но плохо работает с комбинациями; FTA, наоборот, хорошо моделирует комбинации, но требует заранее определить интересующее системное событие. На практике методы используют совместно: FMEA — для выявления всех видов отказов, FTA — для оценки вероятности конкретных системных сценариев.
Минимальное сечение (minimal cut set) — это минимальный набор базовых событий, одновременное наступление которых гарантирует наступление головного события. «Минимальный» означает, что из набора нельзя исключить ни одно событие — без него комбинация перестанет вызывать головное событие. Минимальные сечения порядка 1 (из одного события) — это «единые точки отказа»: отказ одного компонента сразу даёт системный отказ. Чем выше порядок типичных сечений и чем их меньше, тем устойчивее система.
Существуют два основных подхода. Первый — рекурсивный расчёт от базовых событий к головному: на каждом логическом элементе применяются формулы P(AND) = ∏ P(Ai) и P(OR) = 1 − ∏(1 − P(Ai)). Этот подход прост и корректен для деревьев без повторяющихся событий. Второй подход — расчёт через минимальные сечения: P(TOP) = 1 − ∏(1 − P(MCSj)) при независимости сечений. Для деревьев с повторяющимися базовыми событиями применяется аккуратный учёт по формуле включения-исключения или метод разъединения; рутинно это делают программные пакеты для FTA.
Экспоненциальная модель q(t) = 1 − e−λt справедлива для компонентов с постоянной во времени интенсивностью отказов λ. Это соответствует «случайным» отказам в зоне нормальной эксплуатации по классической «кривой ванны». В периоде приработки и при выработке ресурса интенсивность отказов непостоянна, и нужны другие распределения (Вейбулла, логнормальное). Также экспоненциальная модель плохо работает для механических компонентов с износом и усталостью. Для типовых электронных компонентов и за период нормальной эксплуатации она даёт хорошее приближение.
Отказы по общей причине (common cause failures, CCF) — одновременные или близкие по времени отказы нескольких компонентов, вызванные единой первопричиной: общим источником питания, общей средой, конструктивным дефектом серии, ошибкой при наладке. Базовая модель FTA предполагает независимость событий; CCF нарушают это предположение и могут сильно увеличить реальную вероятность отказа резервированной системы. Их учитывают через специальные модели — β-фактор, MGL, α-фактор — и через явное введение CCF-событий в дерево.
Чаще всего применяют меру Бирнбаума (структурную чувствительность вероятности отказа к вероятности конкретного компонента), Везели — Фусселла (вклад сечений с участием компонента в общую вероятность), RAW (во сколько раз возрастёт вероятность отказа при гарантированном отказе компонента) и RRW (во сколько раз снизится при гарантированной надёжности). На основе этих мер ранжируют компоненты по приоритету мероприятий: какие в первую очередь резервировать, диагностировать или повышать в надёжности.
Да, но с поправками. Для восстанавливаемых компонентов вместо вероятности отказа за интервал q(t) используют коэффициент неготовности (среднюю долю времени, когда компонент находится в состоянии отказа). Для случаев, когда восстановление сильно влияет на динамику отказов, чисто статическое FTA уже недостаточно: применяют марковские модели по IEC 61165 либо симуляцию методом Монте-Карло. В рутинной практике для большинства задач достаточно расчёта неготовности «λ · MTTR» с проверкой допустимости статического подхода.
В Российской Федерации действует ГОСТ Р 27.302-2009 «Надёжность в технике (ССНТ). Анализ дерева неисправностей», разработанный с учётом международного стандарта IEC 61025:2006 (статус соответствия NEQ — неэквивалентный, то есть адаптированный к отечественной практике). Общие термины надёжности — в ГОСТ Р 27.102-2021 (с 01.01.2022 заменил ГОСТ 27.002-2015). Сопутствующие методы охватывают: ГОСТ Р МЭК 61078-2021 (структурная схема надёжности — гармонизация IEC 61078), ГОСТ Р МЭК 61165-2019 (применение марковских методов — гармонизация IEC 61165), ГОСТ Р МЭК 62502-2014 (анализ дерева событий, ETA). Метод также упоминается в специализированных стандартах по функциональной безопасности и в отраслевых документах по ядерной и химической безопасности.
Формально FTA является рекомендуемой или обязательной частью обоснования безопасности в нескольких отраслях. ISO 26262 — в автомобильной функциональной безопасности (для высоких уровней ASIL). SAE ARP 4761 — в гражданской авиации для оценки катастрофических и опасных режимов отказа. IEC 61508 и IEC 61511 — для электротехнических систем функциональной безопасности и процессной отрасли. EN 50126/50128/50129 — для железнодорожных систем RAMS. MIL-STD-882 — для систем оборонного назначения. В атомной энергетике FTA — стандартный инструмент вероятностного анализа безопасности (ВАБ/PSA).
FMEA, FTA и ETA — взаимодополняющие методы. FMEA отвечает на вопрос «какие виды отказов есть у каждого компонента и к чему они приводят?». FTA — «какие комбинации причин ведут к заранее заданному системному отказу?». ETA (event tree analysis) — «какие последствия возможны, если произошло конкретное исходное событие?». Часто их применяют в связке: FMEA выявляет виды отказов компонентов, FTA оценивает вероятности системных нежелательных событий через эти отказы, ETA анализирует развитие сценария после первого нежелательного события. Совместно они формируют полную картину рисков системы. На уровне отечественной нормативной базы метод ETA охватывает ГОСТ Р МЭК 62502-2014.
Вы можете задать любой вопрос на тему нашей продукции или работы нашего сайта.