Albero dei Guasti (Fault Tree Analysis)

Definizione di Albero dei Guasti

L’analisi dell’Albero dei Guasti (Fault Tree Analysis, FTA), come spiega Wikipedia il significato di FTA, è:

“una metodologia di analisi dei guasti volta a esaminare uno stato indesiderato di un sistema“.

Questo approccio analitico è ampiamente impiegato nell’ingegneria della sicurezza e nell’ingegneria dell’affidabilità per comprendere le modalità di guasto dei sistemi, identificare le strategie ottimali per mitigare i rischi e stimare i tassi di occorrenza di eventi critici, come incidenti di sicurezza o guasti funzionali, a livello di sistemi specifici.

L’FTA trova applicazione in settori industriali ad alto rischio, tra cui quello aerospaziale, nucleare, chimico, farmaceutico e petrolchimico, oltre che in ambiti legati ai processi industriali. È inoltre utilizzata in contesti non tradizionali, come l’analisi dei fattori di rischio associati ai fallimenti nei sistemi di servizi sociali. 

Nel campo dell’ingegneria del software, l’FTA rappresenta uno strumento utile per il debugging, essendo strettamente connessa alle tecniche di eliminazione delle cause alla base dei bug.

In particolare, l’FTA presenta una stretta correlazione con il metodo della Reliability Centered Maintenance, un approccio sistematico che mira a garantire l’affidabilità dei sistemi definendo strategie di manutenzione mirate basate su un’accurata analisi delle loro modalità di guasto.

La nascita della Fault Tree Analysis

La Fault Tree Analysis venne originariamente sviluppata nel 1962 presso i Bell Laboratories da H.A. Watson, nell’ambito di un contratto con la U.S. Air Force Ballistics Systems Division, finalizzato alla valutazione del sistema di controllo del lancio del missile balistico intercontinentale Minuteman I. Da allora, l’uso dell’FTA ha ottenuto un ampio riconoscimento, divenendo uno strumento fondamentale per l’analisi dei guasti e un punto di riferimento per gli esperti di affidabilità.

La prima applicazione documentata dell’FTA risale al Minuteman I Launch Control Safety Study del 1962. Successivamente, tra il 1963 e il 1964, il suo utilizzo fu esteso da Boeing e AVCO all’intero sistema Minuteman II. Nel 1965, l’FTA ottenne una visibilità più ampia durante un simposio sulla sicurezza dei sistemi organizzato a Seattle da Boeing e dall’Università di Washington. A partire dal 1966, Boeing iniziò a integrare l’FTA nella progettazione degli aeromobili civili.

Nelle forze armate statunitensi, l’FTA fu adottata dall’Arsenale Picatinny negli anni ’60 e ’70 per analizzare le micce. Nel 1976, l’U.S. Army Materiel Command incluse l’FTA in un manuale di progettazione orientata all’affidabilità. Parallelamente, il Centro di Analisi dell’Affidabilità presso il Laboratorio di Roma e le sue organizzazioni successive, ora parte del Defense Systems Information Analysis Center, produssero numerosi documenti sull’FTA e sui diagrammi a blocchi di affidabilità fin dagli anni ’60. Tra le referenze più recenti spicca il manuale MIL-HDBK-338B.

Nel settore dell’aviazione civile, nel 1970 la Federal Aviation Administration (FAA) degli Stati Uniti introdusse modifiche alle norme di aeronavigabilità (14 CFR 25.1309), adottando criteri probabilistici per i guasti dei sistemi e delle apparecchiature degli aeromobili. Questo segnò l’inizio dell’adozione diffusa dell’FTA nel settore aeronautico. Nel 1998, la FAA pubblicò l’Ordine 8040.4, introducendo una politica di gestione del rischio che comprendeva l’analisi dei pericoli in attività critiche come il controllo del traffico aereo e la modernizzazione del sistema dello spazio aereo nazionale. Successivamente, il Manuale di Sicurezza del Sistema FAA fornì linee guida dettagliate per l’uso dell’FTA in diverse tipologie di analisi formali dei pericoli.

Nel programma Apollo, l’FTA non fu inizialmente adottata per valutazioni quantitative del rischio, poiché la probabilità di successo della missione era percepita come inaccettabilmente bassa. Tuttavia, l’importanza della valutazione probabilistica del rischio (Probabilistic Risk Assessment, PRA) e dell’FTA emerse pienamente dopo l’incidente del Challenger nel 1986, portando alla loro ampia adozione come strumenti essenziali per la sicurezza e l’affidabilità dei sistemi della NASA.

Nel settore dell’energia nucleare, la Nuclear Regulatory Commission (NRC) degli Stati Uniti iniziò a utilizzare metodi PRA, inclusa l’FTA, nel 1975. La ricerca in questo campo fu significativamente ampliata dopo l’incidente di Three Mile Island nel 1979, portando nel 1981 alla pubblicazione del manuale NRC Fault Tree Handbook (NUREG-0492) e all’obbligatorietà del PRA per regolamentazione dell’NRC.

A seguito di gravi disastri nell’industria di processo, come l’incidente di Bhopal nel 1984 e l’esplosione del Piper Alpha nel 1988, l’Occupational Safety and Health Administration (OSHA) degli Stati Uniti pubblicò nel 1992 lo standard di gestione della sicurezza dei processi (Process Safety Management, PSM), riconoscendo l’FTA come un metodo accettabile per l’analisi dei rischi di processo (Process Hazard Analysis, PHA).

Oggi, l’FTA continua a rappresentare uno degli strumenti più affidabili e largamente adottati per la valutazione e la mitigazione dei rischi in numerosi settori industriali e tecnologici.

Come funziona l’FTA: tutti gli step ed un esempio concreto

L’analisi dell’albero dei guasti si articola in tre componenti fondamentali:

  1. DIAGRAMMA dell’albero dei guasti: è una rappresentazione visiva che parte dall’evento principale, ossia il problema che si intende analizzare, e ne esplora le possibili cause in modo stratificato. Si tratta della struttura portante dell’analisi, che consente di collegare le cause primarie e secondarie al problema principale.

    Ad esempio, in una catena di fast food, i tempi di inattività imprevisti durante le ore di punta potrebbero essere attribuiti a guasti delle apparecchiature o a carenze di personale. 

    A loro volta, tali cause potrebbero essere ricondotte a malfunzionamenti specifici (come una friggitrice guasta o una macchina per il gelato rotta) o a errori di gestione del personale (congedi imprevisti o problemi di pianificazione). Questo approccio visivo facilita l’identificazione delle cause principali, permettendo di adottare interventi mirati per ripristinare rapidamente il normale funzionamento del sistema.
  2. EVENTI: rappresentano gli elementi costitutivi dell’albero dei guasti e identificano le condizioni o gli incidenti che conducono all’evento principale. Si classificano in tre categorie:
    eventi base: sono le cause originarie, come un cavo danneggiato;
    intermedi: derivano da combinazioni di eventi base, come un’interruzione dell’alimentazione;
    principali: rappresenta il problema analizzato, ad esempio il tempo di inattività.
  3. PORTE LOGICHE: le porte logiche collegano gli eventi e ne definiscono le relazioni all’interno dell’analisi. Le principali tipologie sono 2:
    porta AND: richiede che tutti gli eventi di input si verifichino affinché l’evento di output abbia luogo. Per esempio, un errore di sistema potrebbe verificarsi solo in caso di contemporanea interruzione dell’alimentazione e guasto meccanico;
    porta OR: necessita che si verifichi almeno uno degli eventi di input affinché si manifesti l’evento di output, come nel caso di un tempo di inattività causato da un errore dell’operatore o da un malfunzionamento delle apparecchiature.  

Nel complesso, queste tre componenti lavorano in sinergia, rendendo l’analisi dell’albero dei guasti uno strumento efficace per identificare e prevenire potenziali rischi. Grazie a questa metodologia, è possibile intervenire tempestivamente per risolvere criticità prima che compromettano il sistema.

Funzionamento dell'Albero dei Guasti

Step 1: Comprendere il sistema e il suo funzionamento

La costruzione di un albero dei guasti inizia con un’analisi dettagliata del sistema, dei suoi processi e delle interazioni con l’ambiente operativo, al fine di rappresentare accuratamente il problema. È essenziale mappare tutte le funzioni del sistema, collegandole agli elementi coinvolti e considerando le prestazioni attese e i limiti di tolleranza, supportati da documenti tecnici e diagrammi funzionali. 

Inoltre, devono essere valutate le condizioni ambientali, inclusi i fattori fisici e chimici che potrebbero influire sulle prestazioni, e le interazioni tra gli elementi del sistema, analizzando le loro reazioni a variabili esterne, guasti interni o derivanti da fonti esterne.

Step 2: Definizione dell’evento principale da analizzare

Per un’analisi efficace, è necessario definire chiaramente l’evento principale o il “top event” che si desidera esaminare, scegliendo tra due approcci possibili.

  1. Approccio Proattivo: si utilizza quando l’obiettivo è prevenire potenziali problemi, definendo il top event come una possibile non conformità o rischio da mitigare.
  2. Approccio Reattivo: adottato per analizzare un problema già verificatosi, questo approccio mira a comprendere le cause principali di un guasto esistente.

In entrambi i casi, è fondamentale stabilire con precisione i confini e i criteri di analisi per garantire risultati accurati.

Step 3: Analisi delle probabilità e dei periodi di riferimento

Per quantificare l’albero dei guasti, è necessario considerare la probabilità che un guasto si verifichi entro specifici intervalli temporali o in modo casuale. Le valutazioni temporali sono:

  1. Intervalli predefiniti: la probabilità di guasto è calcolata in un periodo specifico.
  2. Eventi casuali: la probabilità è analizzata senza un riferimento temporale definito.

Un’analisi quantitativa accurata del top event richiede che anche gli eventi base siano valutati con lo stesso livello di dettaglio.

Step 4: Identificazione dei modi di guasto e dei componenti coinvolti

Dopo aver definito il top event, è necessario individuare i componenti e i rispettivi modi di guasto che contribuiscono al problema. Ecco come fare:

  1. Classificazione dei modi di guasto: è importante differenziare i vari tipi di guasto per ciascun componente, poiché i loro effetti sul top event possono variare notevolmente.
  2. Uso di dati esistenti: se disponibili, le informazioni sui modi di guasto possono essere prese da database tecnici o analisi precedenti come l’FMEA. In caso contrario, si può utilizzare un approccio conservativo stimando la probabilità complessiva del guasto come valore massimo.

Step 5: Costruzione dell’Albero dei guasti

L’elaborazione dell’albero richiede un processo strutturato per garantire trasparenza e coerenza nell’analisi. Ecco come avviene la costruzione:

  1. Strutturazione dell’Albero: si parte dall’identificazione del top event, determinando se può essere ricondotto a un singolo guasto o a una combinazione di guasti:
    – Singolo guasto: collegato tramite una porta OR a un massimo di tre input (primario, secondario e di comando).
    – Guasti combinati: includono più eventi che interagiscono per causare il top event.
  2. Uso delle Porte Logiche: le porte logiche rappresentano le connessioni tra gli eventi base e il top event:
    – porte AND: richiedono che tutte le cause collegate si verifichino per causare il guasto.
    – porte OR: il guasto può verificarsi a causa di una qualsiasi delle cause connesse.

Step 6: Valutazione delle priorità e pianificazione delle azioni

Completato l’albero, si passa alla fase di analisi per identificare le cause principali su cui intervenire con priorità. Ecco i criteri di prioritizzazione:

  • Facilità di intervento: quali cause possono essere affrontate rapidamente.
  • Impatto potenziale: quali cause comportano i danni maggiori se ignorate.
  • Costo delle soluzioni: quali interventi offrono il miglior rapporto costo-beneficio.

Step 7: Implementazione, monitoraggio e aggiornamento

Dopo aver implementato le soluzioni identificate, è necessario monitorare il sistema nel tempo per verificare l’efficacia delle azioni correttive.

  1. Monitoraggio continuo: assicurarsi che le modifiche implementate funzionino come previsto e che il sistema rimanga stabile nel tempo.
  2. Aggiornamenti periodici: l’analisi dell’albero dei guasti deve essere aggiornata regolarmente per includere nuove informazioni o modifiche nel sistema, garantendo così che resti uno strumento utile e rilevante.

Seguendo queste fasi, è possibile ottenere un sistema più affidabile, riducendo i rischi di guasti futuri e migliorando l’efficienza operativa complessiva.

Tutti gli step per creare un Albero dei Guasti FTA

Un esempio concreto

Un esempio significativo di applicazione dell’analisi dell’albero dei guasti è stato condotto dall’Università degli Studi dell’Aquila, che ha esaminato la sicurezza operativa di un reattore nucleare. L’obiettivo principale dello studio era prevenire il verificarsi di una reazione incontrollata (runaway), che avrebbe potuto compromettere seriamente l’integrità del reattore. L’analisi ha messo in evidenza che un evento di runaway potrebbe essere innescato qualora si verifichino simultaneamente due guasti: il malfunzionamento del sistema di raffreddamento e l’incapacità del sistema di protezione del reattore di attivarsi correttamente.

Il sistema di raffreddamento, che è costituito da tre componenti in serie (serbatoio di stoccaggio del liquido refrigerante, pompa e linea di collegamento), risulta vulnerabile in quanto il guasto anche di un singolo elemento può compromettere l’intero funzionamento del sistema. Per quanto riguarda il sistema di protezione, esso è costituito da due rilevatori indipendenti, uno per la temperatura e uno per la portata, che operano in parallelo. Se uno dei due rilevatori fallisce nel trasmettere il segnale di allarme, il sistema di emergenza, che prevede l’apertura di una valvola di fondo, non può entrare in funzione correttamente.

Questa analisi ha permesso di identificare i punti di debolezza del sistema e di adottare misure preventive mirate, garantendo così una maggiore sicurezza nelle operazioni del reattore.

Per saperne di più > http://ing.univaq.it/fumarola/page/analisi_rischio/albero_guasti.html

Vantaggi dell’albero dei guasti

I principali vantaggi derivanti dall’applicazione dell’albero dei guasti sono i seguenti:

  1. Individuazione sistematica dei rischi: L’albero dei guasti consente di identificare e analizzare in maniera strutturata tutte le potenziali cause che potrebbero determinare il verificarsi di un evento indesiderato.
  1. Quantificazione del rischio: Oltre alla semplice identificazione delle cause, l’albero dei guasti permette di calcolare la probabilità di accadimento dell’evento indesiderato, basandosi sulle probabilità di guasto degli eventi base. In tal modo, è possibile ottenere una valutazione quantitativa dei rischi, fondamentale per la definizione di priorità nelle azioni di mitigazione.
  1. Chiarezza nella visualizzazione delle cause: Grazie all’utilizzo di diagrammi con porte logiche (AND, OR), l’albero dei guasti offre una rappresentazione grafica chiara e facilmente interpretabile. Questa rappresentazione facilita la comprensione delle relazioni causali e delle probabilità di guasto, supportando la presa di decisioni consapevoli.
  1. Supporto alle decisioni in ambito di sicurezza: L’albero dei guasti costituisce uno strumento imprescindibile nel processo di risk assessment, fornendo dati e informazioni utili per una gestione più efficace della sicurezza e dell’affidabilità di sistemi complessi.
  1. Analisi di scenari complessi: La possibilità di esplorare combinazioni multiple di eventi e di analizzare percorsi logici alternativi consente di affrontare situazioni intricate, caratterizzate dall’interazione di più fattori che potrebbero portare a un guasto. Inoltre, permette di esaminare percorsi ridondanti e strategie di mitigazione.
  1. Ottimizzazione della manutenzione preventiva: L’albero dei guasti aiuta a individuare le aree critiche di un sistema che necessitano di interventi di manutenzione preventiva, migliorando l’efficacia delle operazioni di manutenzione e contribuendo a ridurre i tempi di fermo e i guasti imprevisti.
  1. Facilitazione della comunicazione: La rappresentazione grafica dell’albero dei guasti favorisce una comunicazione chiara ed efficiente all’interno dei team di lavoro, consentendo anche a soggetti non tecnici di comprendere facilmente i risultati dell’analisi e le azioni correttive necessarie.

Differenze tra FTA e Failure Mode and Effects Analysis

La principale differenza tra l’analisi FMEA (Failure Mode and Effects Analysis) e l’analisi FTA (Fault Tree Analysis) risiede nell’approccio utilizzato per affrontare il guasto:

L’FMEA adotta una metodologia “dal basso verso l’alto“, che analizza ogni componente del sistema e identifica le possibili modalità di guasto.

Al contrario, l’FTA segue un approccio “dall’alto verso il basso“, partendo dal guasto stesso e risalendo le cause attraverso una serie di domande e verifiche.

Questa distinzione di approccio implica che l’FTA sia particolarmente utile nell’individuare la causa di un guasto specifico, mentre l’FMEA si concentra su una valutazione completa e sistematica delle modalità di guasto e dei loro effetti. Nonostante queste differenze, entrambi i metodi richiedono l’intervento di esperti con una solida conoscenza del sistema in esame.

Un’analisi FMEA di successo implica la previsione di tutte le possibili modalità di guasto, classificate in base alla loro gravità, da guasti critici a problemi minori. Tuttavia, l’FMEA non considera gli eventi condizionanti o stabilisce relazioni tra guasti multipli. Al contrario, l’FTA non affronta guasti parziali, ma si basa su un sistema binario di “” o “no“, il che lo rende particolarmente adatto per analisi focalizzate sulla sicurezza e sulla progettazione, identificando potenziali guasti in modo preciso.

Dal punto di vista della valutazione del rischio, i numeri di priorità utilizzati nell’FMEA sono soggettivi e dipendono dalla percezione del rischio, con una scala che va da 1 a 10. Ciò rende l’FMEA un metodo qualitativo, ma potenzialmente inaffidabile in contesti ad alto rischio. L’FTA, invece, è uno strumento quantitativo che si basa su una logica binaria, il che lo rende ideale per le valutazioni probabilistiche del rischio. 

Grazie a questa natura deterministica, l’FTA è anche più adatto ad affrontare eventi esterni (ad esempio alluvioni) e condizioni particolari (come basse temperature) che potrebbero influire sul sistema.

Infine, un altro aspetto significativo riguarda la facilità di aggiornamento dei due metodi. L’FMEA richiede un alto livello di dettaglio e competenza per essere aggiornata, mentre l’FTA può essere facilmente automatizzata con l’ausilio di software che permettono di gestire i dati statistici e di aggiornare rapidamente l’analisi.

La seguente tabella sintetizza le principali differenze tra FMEA e FTA

CaratteristicaFMEAFTA
approcciodal basso verso l’altodall’alto verso il basso
tipo di analisiqualitativaquantitativa
focalizzazionemodalità di guasto e effetticause e conseguenze di un evento specifico
considerazione degli eventi esternilimitataconsidera eventi esterni e condizionanti
facilità di aggiornamentorichiede dettagli complessi e competenzapuò essere automatizzata facilmente
affidabilitàsoggettiva, dipende dalla valutazione umanaoggettiva, basata su regole fisse

Come Infocad aiuta a mettere in pratica l’albero dei guasti

Infocad, software di gestione delle manutenzioni, può implementare l’analisi dell’albero dei guasti come parte integrante delle sue operazioni per ottimizzare la gestione della manutenzione, migliorare la sicurezza e incrementare l’affidabilità degli impianti. Di seguito sono descritti i modi in cui l’albero dei guasti viene applicato concretamente all’interno di Infocad:

  • Mappatura degli impianti e identificazione delle funzioni critiche: il software di gestione degli asset aziendali Infocad, mappa con precisione gli asset e i sistemi, identificando le funzioni critiche di ciascun componente. L’albero dei guasti viene quindi costruito utilizzando i dati specifici di ogni elemento, evidenziando i punti più vulnerabili che potrebbero portare a guasti, permettendo così di anticipare e prevenire situazioni rischiose.
  • Simulazione di eventi guasto e previsione degli impatti: Infocad utilizza modelli predittivi per simulare scenari di guasto e analizzare come la rottura di un componente influenzi l’intero sistema, permettendo una valutazione accurata dell’impatto operativo e della sicurezza.
  • Ottimizzazione della manutenzione preventiva e predittiva: l’FTA consente di calcolare la probabilità di guasto dei componenti permettendo a Infocad di suggerire piani di manutenzione preventiva e predittiva mirati per ridurre al minimo i rischi di guasti gravi e migliorare l’efficienza operativa.
  • Gestione del rischio e supporto alle decisioni: attraverso l’analisi dell’albero dei guasti, Infocad supporta la gestione del rischio, identificando le aree critiche e calcolando la probabilità di guasto per ottimizzare la pianificazione della manutenzione e gli investimenti in sicurezza.
  • Monitoraggio continuo e aggiornamenti dinamici: Infocad integra l’FTA con il sistema di monitoraggio in tempo reale, aggiornando costantemente l’analisi dei guasti in base ai dati operativi correnti, migliorando la reattività e l’affidabilità del sistema.

In conclusione, l’albero dei guasti (FTA) è uno strumento efficace per l’analisi del rischio, consentendo di identificare le cause dei guasti e migliorare la sicurezza dei sistemi complessi. Nonostante alcune limitazioni, il suo utilizzo è fondamentale per prevenire eventi critici e ottimizzare la gestione della sicurezza.

Altri articoli interessanti:

FAQ

Che cos’è l’Albero dei Guasti?

L’Albero dei Guasti è un metodo visivo e analitico utilizzato per identificare le cause di un problema o guasto, partendo da un evento principale e analizzando i sottogruppi.

A cosa serve la Fault Tree Analysis (FTA)?

La FTA serve a identificare le cause profonde di un guasto o problema, facilitando la prevenzione e migliorando la gestione dei rischi in ambito tecnico e operativo.

Quali sono i simboli principali utilizzati nell’Albero dei Guasti?

I simboli principali includono porte logiche (AND, OR), eventi di base, eventi intermedi ed eventi principali, utilizzati per rappresentare la logica delle cause del guasto.

Qual è il principale vantaggio dell’utilizzo della FTA?

Il principale vantaggio è la capacità di identificare e analizzare in modo dettagliato le cause di un guasto, aiutando a implementare soluzioni preventive e migliorative.

In quali settori si utilizza l’Albero dei Guasti?

L’Albero dei Guasti è utilizzato in settori come aviazione, energia, manifattura, IT e sanità, dove la gestione del rischio e la prevenzione sono cruciali.

La FTA può essere utilizzata anche per piccoli problemi?

Sì, la FTA è applicabile sia a problemi complessi che semplici, adattandosi alla scala e alla complessità dell’analisi necessaria.

Quali sono i passaggi fondamentali per creare un Albero dei Guasti?

I passaggi includono: definire l’evento principale, identificare le cause principali, rappresentarle con simboli e collegamenti logici e analizzare i dati raccolti.

La FTA richiede strumenti specifici?

No, può essere realizzata anche manualmente, ma l’uso di software dedicati semplifica la creazione e l’analisi dell’albero.

Qual è la differenza tra eventi di base e intermedi nell’FTA?

Gli eventi di base rappresentano le cause primarie di un problema, mentre gli eventi intermedi sono il risultato di combinazioni logiche tra eventi di base.

Qual è l’obiettivo principale dell’Albero dei Guasti?

L’obiettivo è identificare le cause alla radice di un problema, analizzarle e implementare strategie efficaci per prevenire futuri guasti o malfunzionamenti.