Análisis del árbol de fallos

Sistema de análisis de fallas utilizado en ingeniería de seguridad e ingeniería de confiabilidad.

Un diagrama de árbol de fallas

El análisis de árbol de fallas ( FTA ) es un tipo de análisis de fallas en el que se examina un estado no deseado de un sistema. Este método de análisis se utiliza principalmente en ingeniería de seguridad e ingeniería de confiabilidad para comprender cómo pueden fallar los sistemas, identificar las mejores formas de reducir el riesgo y determinar (o tener una idea) de las tasas de eventos de un accidente de seguridad o de un nivel particular del sistema (funcional). ) falla. El FTA se utiliza en las industrias aeroespacial , ^[1] de energía nuclear , química y de procesos , ^{[2] [3] [4]} farmacéutica , ^[5] petroquímica y otras industrias de alto riesgo; pero también se utiliza en campos tan diversos como la identificación de factores de riesgo relacionados con el fracaso del sistema de servicios sociales . ^[6] FTA también se utiliza en ingeniería de software con fines de depuración y está estrechamente relacionado con la técnica de eliminación de causas utilizada para detectar errores.

En el sector aeroespacial, el término más general "condición de falla del sistema" se utiliza para el "estado no deseado"/evento superior del árbol de fallas. Estas condiciones se clasifican según la gravedad de sus efectos. Las condiciones más severas requieren el análisis de árbol de fallas más extenso. Estas condiciones de falla del sistema y su clasificación a menudo se determinan previamente en el análisis de riesgos funcionales .

Uso

El análisis del árbol de fallas se puede utilizar para:

• comprender la lógica que conduce al evento superior/estado no deseado.
• demostrar el cumplimiento de los requisitos de seguridad/confiabilidad del sistema (de entrada).
• priorizar los contribuyentes que conducen al evento principal: crear listas de equipos/piezas/eventos críticos para diferentes medidas de importancia
• monitorear y controlar el desempeño de seguridad del sistema complejo (p. ej., ¿es seguro volar una aeronave en particular cuando la válvula de combustible x funciona mal? ¿Durante cuánto tiempo se le permite volar con la válvula mal funcionamiento?).
• minimizar y optimizar los recursos.
• ayudar en el diseño de un sistema. El FTA se puede utilizar como una herramienta de diseño que ayuda a crear requisitos (de salida/nivel inferior).
• Funciona como una herramienta de diagnóstico para identificar y corregir las causas del evento superior. Puede ayudar con la creación de manuales/procesos de diagnóstico.

Historia

El análisis de árbol de fallas (FTA) fue desarrollado originalmente en 1962 en Bell Laboratories por HA Watson, bajo un contrato de la División de Sistemas Balísticos de la Fuerza Aérea de EE. UU . para evaluar el Sistema de Control de Lanzamiento de Misiles Balísticos Intercontinentales (ICBM) Minuteman I. ^{[7] [8] [9] [10]} Desde entonces, el uso de árboles de fallas ha ganado un amplio apoyo y los expertos en confiabilidad lo utilizan a menudo como herramienta de análisis de fallas. ^[11] Tras el primer uso publicado de FTA en el Estudio de seguridad de control de lanzamiento del Minuteman I de 1962, Boeing y AVCO ampliaron el uso de FTA a todo el sistema Minuteman II en 1963-1964. FTA recibió una amplia cobertura en un Simposio de seguridad de sistemas celebrado en Seattle en 1965 , patrocinado por Boeing y la Universidad de Washington . ^[12] Boeing comenzó a utilizar FTA para el diseño de aviones civiles alrededor de 1966. ^{[13] [14]}

Posteriormente, dentro del ejército estadounidense, Picatinny Arsenal exploró la aplicación del FTA para su uso con fusibles en las décadas de 1960 y 1970. ^[15] En 1976, el Comando de Material del Ejército de EE. UU. incorporó el FTA en un Manual de diseño de ingeniería sobre diseño para la confiabilidad. ^[16] El Centro de Análisis de Confiabilidad del Laboratorio de Roma y sus organizaciones sucesoras, ahora con el Centro de Información Técnica de Defensa (Centro de Análisis de Información de Confiabilidad, y ahora Centro de Análisis de Información de Sistemas de Defensa ^[17] ) han publicado documentos sobre FTA y diagramas de bloques de confiabilidad desde la década de 1960. . ^{[18] [19] [20]} MIL-HDBK-338B proporciona una referencia más reciente. ^[21]

En 1970, la Administración Federal de Aviación de EE. UU. (FAA) publicó un cambio en las regulaciones de aeronavegabilidad 14 CFR 25.1309 para aeronaves de categoría de transporte en el Registro Federal en 35 FR 5665 (1970-04-08). Este cambio adoptó criterios de probabilidad de falla para los sistemas y equipos de aeronaves y condujo al uso generalizado de FTA en la aviación civil. En 1998, la FAA publicó la Orden 8040.4, ^[22] que establece una política de gestión de riesgos que incluye el análisis de peligros en una variedad de actividades críticas más allá de la certificación de aeronaves, incluido el control del tráfico aéreo y la modernización del Sistema Nacional del Espacio Aéreo de EE. UU . Esto llevó a la publicación del Manual de seguridad del sistema de la FAA, que describe el uso de FTA en varios tipos de análisis de peligros formales. ^[23]

Al principio del programa Apolo se planteó la pregunta sobre la probabilidad de enviar con éxito astronautas a la Luna y devolverlos sanos y salvos a la Tierra. Se realizó un cálculo de riesgo o confiabilidad de algún tipo y el resultado fue una probabilidad de éxito de la misión que era inaceptablemente baja. Este resultado disuadió a la NASA de realizar más análisis cuantitativos de riesgo o confiabilidad hasta después del accidente del Challenger en 1986. En cambio, la NASA decidió confiar en el uso de análisis de modos y efectos de fallas (FMEA) y otros métodos cualitativos para las evaluaciones de seguridad del sistema. Después del accidente del Challenger , se comprendió la importancia de la evaluación probabilística de riesgos (PRA) y la FTA en el análisis de confiabilidad y riesgo de los sistemas y su uso en la NASA ha comenzado a crecer y ahora la FTA se considera una de las técnicas más importantes de análisis de seguridad y confiabilidad de los sistemas. . ^[24]

Dentro de la industria de la energía nuclear, la Comisión Reguladora Nuclear de EE. UU. comenzó a utilizar métodos PRA, incluido el FTA, en 1975, y amplió significativamente la investigación de PRA después del incidente de 1979 en Three Mile Island . ^[25] Esto finalmente condujo a la publicación en 1981 del Manual del árbol de fallas de la NRC NUREG-0492, ^[26] y al uso obligatorio de PRA bajo la autoridad regulatoria de la NRC.

Después de desastres en la industria de procesos, como el desastre de Bhopal en 1984 y la explosión de Piper Alpha en 1988 , en 1992 la Administración de Seguridad y Salud Ocupacional del Departamento de Trabajo de los Estados Unidos (OSHA) publicó en el Registro Federal en 57 FR 6356 (1992-02-24) su Proceso Estándar de gestión de seguridad (PSM) en 19 CFR 1910.119. ^[27] OSHA PSM reconoce el FTA como un método aceptable para el análisis de riesgos de procesos (PHA).

Hoy en día, FTA se utiliza ampliamente en ingeniería de confiabilidad y seguridad de sistemas , y en todos los campos principales de la ingeniería.

Metodología

La metodología FTA se describe en varios estándares industriales y gubernamentales, incluido NRC NUREG–0492 para la industria de la energía nuclear, una revisión orientada aeroespacial de NUREG–0492 para uso de la NASA , ^[24] SAE ARP4761 para el sector aeroespacial civil, MIL–HDBK–338 Para sistemas militares, la norma IEC 61025 ^[28] está destinada a uso en todas las industrias y ha sido adoptada como norma europea EN 61025.

Cualquier sistema suficientemente complejo está sujeto a fallas como resultado de la falla de uno o más subsistemas. Sin embargo, la probabilidad de fallo a menudo puede reducirse mediante un mejor diseño del sistema. El análisis del árbol de fallas mapea la relación entre fallas, subsistemas y elementos de diseño de seguridad redundantes mediante la creación de un diagrama lógico del sistema general.

El resultado no deseado se toma como la raíz ("evento superior") de un árbol de lógica. Por ejemplo, el resultado no deseado de una operación de prensa de estampado de metal que se esté considerando podría ser el estampado de un apéndice humano. Si trabajamos hacia atrás desde este evento principal, se podría determinar que hay dos formas en que esto podría suceder: durante la operación normal o durante la operación de mantenimiento. Esta condición es un OR lógico. Considerando la rama del peligro que ocurre durante la operación normal, tal vez se determine que hay dos maneras en que esto podría suceder: la prensa gira y daña al operador, o la prensa gira y daña a otra persona. Este es otro OR lógico. Se puede lograr una mejora en el diseño al requerir que el operador presione dos botones separados para hacer funcionar la máquina; esta es una característica de seguridad en forma de un AND lógico. El botón puede tener una tasa de falla intrínseca; esto se convierte en un estímulo de falla que puede analizarse.

Cuando los árboles de fallas están etiquetados con números reales de probabilidades de fallas, los programas de computadora pueden calcular las probabilidades de fallas a partir de los árboles de fallas. Cuando se descubre que un evento específico tiene más de un efecto, es decir, tiene impacto en varios subsistemas, se denomina causa común o modo común. Gráficamente hablando, significa que este evento aparecerá en varios lugares del árbol. Las causas comunes introducen relaciones de dependencia entre eventos. Los cálculos de probabilidad de un árbol que contiene algunas causas comunes son mucho más complicados que los de los árboles normales donde todos los eventos se consideran independientes. No todas las herramientas de software disponibles en el mercado ofrecen dicha capacidad.

El árbol suele escribirse utilizando símbolos de puerta lógica convencionales . Un conjunto de cortes es una combinación de eventos, generalmente fallas de componentes, que causan el evento superior. Si no se puede eliminar ningún evento de un conjunto de cortes sin que no se produzca el evento superior, entonces se denomina conjunto de cortes mínimo.

Algunas industrias utilizan tanto árboles de fallas como árboles de eventos (consulte Evaluación probabilística de riesgos ). Un árbol de eventos comienza a partir de un iniciador no deseado (pérdida de suministro crítico, fallo de componente, etc.) y sigue posibles eventos adicionales del sistema hasta una serie de consecuencias finales. A medida que se considera cada nuevo evento, se agrega un nuevo nodo en el árbol con una división de probabilidades de tomar cualquiera de las ramas. Entonces se pueden ver las probabilidades de una serie de "eventos principales" que surgen del evento inicial.

Los programas clásicos incluyen el software CAFTA del Instituto de Investigación de Energía Eléctrica (EPRI), que utilizan muchas de las centrales nucleares de EE. UU. y la mayoría de los fabricantes aeroespaciales estadounidenses e internacionales, y SAPHIRE del Laboratorio Nacional de Idaho , que se utiliza por el Gobierno de Estados Unidos para evaluar la seguridad y confiabilidad de los reactores nucleares , el Transbordador Espacial y la Estación Espacial Internacional . Fuera de EE. UU., el software RiskSpectrum es una herramienta popular para el análisis de árboles de fallas y árboles de eventos, y tiene licencia para su uso en más del 60% de las centrales nucleares del mundo para evaluaciones probabilísticas de seguridad. El software gratuito de nivel profesional también está ampliamente disponible; SCRAM ^[29] es una herramienta de código abierto que implementa el estándar abierto Open-PSA Model Exchange Format ^[30] para aplicaciones de evaluación probabilística de seguridad.

Símbolos gráficos

Los símbolos básicos utilizados en FTA se agrupan en eventos, puertas y símbolos de transferencia. Se pueden utilizar variaciones menores en el software FTA.

Símbolos de eventos

Los símbolos de eventos se utilizan para eventos primarios y eventos intermedios . Los eventos primarios no se desarrollan más en el árbol de fallas. Los eventos intermedios se encuentran a la salida de una puerta. Los símbolos del evento se muestran a continuación:

• 
  Evento básico
• 
  Evento externo
• 
  Evento no desarrollado
• 
  Evento de condicionamiento
• 
  evento intermedio

Los símbolos de eventos principales se utilizan normalmente de la siguiente manera:

• Evento básico  : falla o error en un componente o elemento del sistema (ejemplo: interruptor atascado en posición abierta)
• Evento externo  : normalmente se espera que ocurra (no es en sí mismo una falla)
• Evento no desarrollado  : un evento sobre el cual no hay información suficiente disponible o que no tiene consecuencias.
• Evento de condicionamiento  : condiciones que restringen o afectan las puertas lógicas (ejemplo: modo de operación vigente)

Se puede utilizar una puerta de evento intermedia inmediatamente encima de un evento principal para proporcionar más espacio para escribir la descripción del evento.

El TLC es un enfoque de arriba hacia abajo.

Símbolos de puerta

Los símbolos de puerta describen la relación entre los eventos de entrada y salida. Los símbolos se derivan de símbolos lógicos booleanos:

• 
  O puerta
• 
  Y puerta
• 
  Puerta exclusiva para quirófano
• 
  Prioridad Y puerta
• 
  Puerta de inhibición

Las puertas funcionan de la siguiente manera:

• Puerta O  : la salida se produce si se produce alguna entrada.
• Puerta AND  : la salida se produce solo si se producen todas las entradas (las entradas son independientes de la fuente).
• Puerta OR exclusiva  : la salida se produce si se produce exactamente una entrada.
• Puerta AND de prioridad  : la salida se produce si las entradas ocurren en una secuencia específica especificada por un evento condicionante.
• Puerta de inhibición  : la salida se produce si la entrada se produce bajo una condición de habilitación especificada por un evento de acondicionamiento.

Transferir símbolos

Los símbolos de transferencia se utilizan para conectar las entradas y salidas de árboles de fallas relacionados, como el árbol de fallas de un subsistema a su sistema. La NASA preparó un documento completo sobre FTA a través de incidentes prácticos. ^[24]

• 
  Transferencia
• 
  Trasferencia

Fundamento matemático básico

Los eventos en un árbol de fallas están asociados con probabilidades estadísticas o tasas constantes distribuidas exponencialmente de Poisson. Por ejemplo, las fallas de los componentes generalmente pueden ocurrir con una tasa de falla constante λ (una función de riesgo constante). En este caso más simple, la probabilidad de falla depende de la tasa λ y del tiempo de exposición t:

${\displaystyle P=1-e^{-\lambda t}}$

dónde:

${\displaystyle P\approx \lambda t}$si ${\displaystyle \lambda t<0.001}$

Un árbol de fallas a menudo se normaliza para un intervalo de tiempo determinado, como una hora de vuelo o un tiempo promedio de misión. Las probabilidades de eventos dependen de la relación de la función de riesgo de eventos con este intervalo.

A diferencia de los diagramas de puertas lógicas convencionales en los que las entradas y salidas contienen los valores binarios de VERDADERO (1) o FALSO (0), las puertas en un árbol de fallas generan probabilidades relacionadas con las operaciones establecidas de la lógica booleana . La probabilidad de que se produzca un evento de salida de una puerta depende de las probabilidades del evento de entrada.

Una puerta AND representa una combinación de eventos independientes . Es decir, la probabilidad de cualquier evento de entrada a una puerta AND no se ve afectada por ningún otro evento de entrada a la misma puerta. En términos de teoría de conjuntos , esto es equivalente a la intersección de los conjuntos de eventos de entrada, y la probabilidad de la salida de la puerta AND viene dada por:

P (A y B) = P (A ∩ B) = P(A) P(B)

Una puerta OR, por otro lado, corresponde a una unión de conjuntos:

P (A o B) = P (A ∪ B) = P(A) + P(B) - P (A ∩ B)

Dado que las probabilidades de falla en los árboles de fallas tienden a ser pequeñas (menos de 0,01), P (A ∩ B) generalmente se convierte en un término de error muy pequeño, y la salida de una puerta OR puede aproximarse de manera conservadora mediante el supuesto de que las entradas son eventos mutuamente excluyentes :

P (A o B) ≈ P(A) + P(B), P (A ∩ B) ≈ 0

Una puerta OR exclusiva con dos entradas representa la probabilidad de que ocurra una u otra entrada, pero no ambas:

P (A xor B) = P(A) + P(B) - 2P (A ∩ B)

Nuevamente, dado que P (A ∩ B) generalmente se convierte en un término de error muy pequeño, la puerta OR exclusiva tiene un valor limitado en un árbol de fallas.

Muy a menudo, se utilizan tasas distribuidas exponencialmente de Poisson ^{[31] para cuantificar un árbol de fallas en lugar de probabilidades.} Las tasas a menudo se modelan como constantes en el tiempo, mientras que la probabilidad es función del tiempo. Los eventos exponenciales de Poisson se modelan como infinitamente cortos, por lo que no pueden superponerse dos eventos. Una puerta OR es la superposición (suma de tasas) de las dos frecuencias de falla de entrada o tasas de falla que se modelan como procesos de puntos de Poisson . La salida de una puerta AND se calcula utilizando la indisponibilidad (Q ₁ ) de un evento que adelgaza el proceso del punto de Poisson del otro evento (λ ₂ ). La indisponibilidad (Q ₂ ) del otro evento adelgaza el proceso del punto de Poisson del primer evento (λ ₁ ). Los dos procesos de puntos de Poisson resultantes se superponen según las siguientes ecuaciones.

La salida de una puerta AND es la combinación de los eventos de entrada independientes 1 y 2 a la puerta AND:

Frecuencia de falla = λ ₁ Q ₂ + λ ₂ Q ₁ donde Q = 1 - e ^λt ≈ λt si λt < 0.001

Frecuencia de falla ≈ λ ₁ λ ₂ t ₂ + λ ₂ λ ₁ t ₁ si λ ₁ t ₁ < 0,001 y λ ₂ t ₂ < 0,001

En un árbol de fallas, la indisponibilidad (Q) puede definirse como la indisponibilidad de una operación segura y puede no referirse a la indisponibilidad de la operación del sistema dependiendo de cómo se estructuró el árbol de fallas. Los términos de entrada al árbol de fallas deben definirse cuidadosamente.

Análisis

Se pueden utilizar muchos enfoques diferentes para modelar un TLC, pero la forma más común y popular se puede resumir en unos pocos pasos. Un único árbol de fallos se utiliza para analizar uno y sólo un evento no deseado, que posteriormente puede alimentarse a otro árbol de fallos como evento básico. Aunque la naturaleza del evento no deseado puede variar dramáticamente, un TLC sigue el mismo procedimiento para cualquier evento no deseado; ya sea un retraso de 0,25 ms para la generación de energía eléctrica, un incendio en el compartimento de carga no detectado o el lanzamiento aleatorio e involuntario de un misil balístico intercontinental .

El análisis del TLC implica cinco pasos:

1. Definir el evento no deseado a estudiar.
   • La definición del evento no deseado puede ser muy difícil de descubrir, aunque algunos de los eventos son muy fáciles y obvios de observar. Un ingeniero con un amplio conocimiento del diseño del sistema es la mejor persona para ayudar a definir y numerar los eventos no deseados. Los acontecimientos no deseados se utilizan entonces para firmar acuerdos de libre comercio. Cada TLC se limita a un evento no deseado.
2. Obtener una comprensión del sistema.
   • Una vez seleccionado el evento no deseado, se estudian y analizan todas las causas con probabilidades de afectar al evento no deseado de 0 o más. Obtener números exactos de las probabilidades que conducen al evento suele ser imposible porque puede resultar muy costoso y consumir mucho tiempo. El software informático se utiliza para estudiar probabilidades; esto puede conducir a un análisis del sistema menos costoso.
     Los analistas de sistemas pueden ayudar a comprender el sistema en general. Los diseñadores de sistemas tienen pleno conocimiento del sistema y este conocimiento es muy importante para no perder ninguna causa que afecte el evento no deseado. Para el evento seleccionado, todas las causas se numeran y secuencian en el orden de aparición y luego se utilizan para el siguiente paso que es dibujar o construir el árbol de fallas.
3. Construya el árbol de fallas.
   • Después de seleccionar el evento no deseado y haber analizado el sistema para conocer todos los efectos causantes (y si es posible sus probabilidades), ahora podemos construir el árbol de fallas. El árbol de fallas se basa en puertas AND y OR que definen las características principales del árbol de fallas.
4. Evaluar el árbol de fallas.
   • Una vez que se ha ensamblado el árbol de fallas para un evento no deseado específico, se evalúa y analiza para detectar cualquier posible mejora o, en otras palabras, se estudia la gestión de riesgos y se encuentran formas de mejorar el sistema. Se puede aplicar una amplia gama de métodos de análisis cualitativos y cuantitativos. ^[32] Este paso es una introducción al paso final que será controlar los peligros identificados. En definitiva, en este paso identificamos todos los posibles peligros que afectan al sistema de forma directa o indirecta.
5. Controlar los peligros identificados.
   • Este paso es muy específico y difiere mucho de un sistema a otro, pero el punto principal siempre será que después de identificar los peligros se apliquen todos los métodos posibles para disminuir la probabilidad de que ocurran.

Comparación con otros métodos analíticos.

FTA es un método deductivo de arriba hacia abajo destinado a analizar los efectos de la iniciación de fallas y eventos en un sistema complejo. Esto contrasta con el análisis modal de fallas y efectos (FMEA), que es un método de análisis inductivo y ascendente destinado a analizar los efectos de fallas de un solo componente o función en equipos o subsistemas. FTA es muy bueno para mostrar qué tan resistente es un sistema a fallas iniciales únicas o múltiples. No es bueno encontrar todas las posibles fallas iniciales. FMEA es bueno para catalogar exhaustivamente las fallas iniciales e identificar sus efectos locales. No es bueno para examinar múltiples fallas o sus efectos a nivel del sistema. El TLC considera eventos externos, el AMEF no. ^[33] En el sector aeroespacial civil, la práctica habitual es realizar tanto FTA como FMEA, con un resumen de efectos del modo de falla (FMES) como interfaz entre FMEA y FTA.

Las alternativas al FTA incluyen el diagrama de dependencia (DD), también conocido como diagrama de bloques de confiabilidad (RBD) y el análisis de Markov . Un diagrama de dependencia es equivalente a un análisis de árbol de éxito (STA), el inverso lógico de un FTA, y representa el sistema utilizando rutas en lugar de puertas. DD y STA producen probabilidad de éxito (es decir, evitar un evento superior) en lugar de probabilidad de un evento superior.

Ver también

• Análisis de árbol de eventos
• Modo de Fallos y Análisis de Efectos
• diagrama de ishikawa
• Ingeniería de confiabilidad
• Análisis de raíz de la causa
• Ingeniería de Seguridad
• Seguridad del sistema
• Análisis por qué-porque

Referencias

1. Goldberg, SER; Everhart, K.; Stevens, R.; Babbitt, N.; Clemente, P.; Fuerte, L. (1994). "3". Caja de herramientas de ingeniería de sistemas para ingenieros orientados al diseño . Centro Marshall de vuelos espaciales. págs. 3–35 a 3–48.{{cite book}}: Mantenimiento CS1: falta el editor de la ubicación ( enlace )
2. Centro para la seguridad de procesos químicos (abril de 2008). Directrices para procedimientos de evaluación de peligros (3ª ed.). Wiley. ISBN 978-0-471-97815-2.
3. Centro para la seguridad de procesos químicos (octubre de 1999). Directrices para el análisis cuantitativo de riesgos de procesos químicos (2ª ed.). Instituto Americano de Ingenieros Químicos. ISBN 978-0-8169-0720-5.
4. Administración de Salud y Seguridad Ocupacional del Departamento de Trabajo de EE. UU. (1994). Directrices de gestión de seguridad de procesos para el cumplimiento (PDF) . Imprenta del gobierno de EE. UU. OSHA 3133.
5. Directrices tripartitas armonizadas de la ICH. Directrices de calidad (enero de 2006). Q9 Gestión de riesgos de calidad .
6. Lacey, Peter (2011). "Una aplicación del análisis del árbol de fallas a la identificación y gestión de riesgos en la prestación de servicios humanos financiados por el gobierno". Actas de la Segunda Conferencia Internacional sobre Políticas Públicas y Ciencias Sociales . SSRN  2171117.
7. Ericson, Clifton (1999). "Análisis del árbol de fallas: una historia" (PDF) . Actas de la 17ª Conferencia Internacional sobre Seguridad de Sistemas . Archivado desde el original (PDF) el 23 de julio de 2011 . Consultado el 17 de enero de 2010 .
8. Rechard, Robert P. (1999). "Relación histórica entre la evaluación del desempeño para la eliminación de desechos radiactivos y otros tipos de evaluación de riesgos en los Estados Unidos" (pdf) . Análisis de riesgo . 19 (5): 763–807. doi :10.1023/A:1007058325258. PMID  10765434. S2CID  704496. SAND99-1147J . Consultado el 22 de enero de 2010 .
9. Invierno, Mathias (1995). "Análisis del árbol de fallas de software de un dispositivo de sistema de control automatizado escrito en ADA". Tesis de maestría . ADA303377. Archivado desde el original (pdf) el 15 de mayo de 2012 . Consultado el 17 de enero de 2010 .
10. Benner, Ludwig (1975). "Teoría de accidentes e investigación de accidentes". Actas del Seminario Anual de la Sociedad de Investigadores de Seguridad Aérea . Consultado el 17 de enero de 2010 .
11. Martensen, Anna L.; Mayordomo, Ricky W. (enero de 1987). "El compilador del árbol de fallas". Centro de Investigación Langly . NTRS . Consultado el 17 de junio de 2011 .
12. DeLong, Thomas (1970). "Un manual del árbol de fallas". Tesis de maestría . AD739001. Archivado desde el original (pdf) el 4 de marzo de 2016 . Consultado el 18 de mayo de 2014 .
13. Eckberg, CR (1964). Plan del programa de análisis del árbol de fallas WS-133B. Seattle, WA: The Boeing Company. D2-30207-1. Archivado desde el original el 3 de marzo de 2016 . Consultado el 18 de mayo de 2014 .
14. Hixenbaugh, AF (1968). Árbol de fallas para la seguridad. Seattle, WA: The Boeing Company. D6-53604. Archivado desde el original el 3 de marzo de 2016 . Consultado el 18 de mayo de 2014 .
15. Larsen, Waldemar (enero de 1974). Análisis del árbol de fallos. Arsenal Picatinny. Informe Técnico 4556. Archivado desde el original el 18 de mayo de 2014 . Consultado el 17 de mayo de 2014 .
16. Evans, Ralph A. (5 de enero de 1976). Manual de diseño de ingeniería Diseño para confiabilidad (PDF) . Comando de Material del Ejército de EE. UU. AMCP-706-196. Archivado (PDF) desde el original el 18 de mayo de 2014 . Consultado el 17 de mayo de 2014 .
17. "DSIAC - Centro de análisis de información de sistemas de defensa" . Consultado el 25 de marzo de 2023 .
18. Begley, TF; Cummings (1968). Árbol de fallos para la seguridad . RAC. AGREGAR874448.
19. Anderson, RT (marzo de 1976). Manual de diseño de confiabilidad (PDF) . Centro de Análisis de Confiabilidad. RDH 376. Archivado desde el original el 18 de mayo de 2014 . Consultado el 17 de mayo de 2014 .
20. Mahar, David J.; James W. Wilbur (1990). Guía de aplicación del análisis del árbol de fallas . Centro de Análisis de Confiabilidad.
21. "7.9 Análisis del árbol de fallas". Manual de diseño de confiabilidad electrónica (pdf) . B. Departamento de Defensa de EE. UU . 1998. MIL–HDBK–338B . Consultado el 17 de enero de 2010 .
22. ASY-300 (26 de junio de 1998). Gestión de riesgos de seguridad (PDF) . Administración Federal de Aviación. 8040.4.{{cite book}}: Mantenimiento CS1: nombres numéricos: lista de autores ( enlace )
23. FAA (30 de diciembre de 2000). Manual de seguridad del sistema. Administración Federal de Aviación.
24. Vesely, William; et al. (2002). Manual del árbol de fallas con aplicaciones aeroespaciales (PDF) . Administración Nacional de Aeronáutica y Espacio . Archivado desde el original (PDF) el 28 de diciembre de 2016 . Consultado el 16 de julio de 2018 . Este artículo incorpora texto de esta fuente, que se encuentra en el dominio público .
25. Acharya, Sarbes; et al. (1990). Riesgos de accidentes graves: una evaluación de cinco centrales nucleares de EE. UU. (PDF) . Washington, DC: Comisión Reguladora Nuclear de EE. UU . NUREG–1150 . Consultado el 17 de enero de 2010 .
26. Vesely, NOSOTROS; et al. (1981). Manual del árbol de fallas (PDF) . Comisión de Regulación Nuclear . NURG–0492 . Consultado el 17 de enero de 2010 .
27. Elke, Holly C., Aplicación global del estándar de gestión de seguridad de procesos (PDF)
28. Análisis del árbol de fallas . Edición 2.0. Comisión Electrotécnica Internacional . 2006.ISBN​ 978-2-8318-8918-4. CEI 61025.
29. "SCRAM 0.11.4 - Documentación de SCRAM 0.11.4". scram-pra.org . Archivado desde el original el 23 de noviembre de 2016 . Consultado el 13 de enero de 2022 .
30. "El formato de intercambio de modelos Open-PSA - El formato de intercambio de modelos Open-PSA 2.0". open-psa.github.io .
31. Olofsson y Andersson, Probabilidad, estadística y procesos estocásticos, John Wiley and Sons, 2011.
32. Ruijters, Enno; Stoelinga, Mariëlle IA (febrero-mayo de 2015). "Análisis de árbol de fallas: un estudio del estado del arte en modelado, análisis y herramientas". Revisión de informática . 15–16: 29–62. doi :10.1016/j.cosrev.2015.03.001.
33. Long, Allen, La Bella y la Bestia: uso y abuso del árbol de fallas como herramienta (PDF) , fail-tree.net, archivado desde el original (PDF) el 19 de abril de 2009 , recuperado 16 de enero 2010