stringtranslate.com

Análisis del árbol de fallas

Diagrama de árbol de fallas

El análisis de árbol de fallas ( FTA ) es un tipo de análisis de fallas en el que se examina un estado no deseado de un sistema. Este método de análisis se utiliza principalmente en ingeniería de seguridad e ingeniería de confiabilidad para comprender cómo pueden fallar los sistemas, para identificar las mejores formas de reducir el riesgo y para determinar (o tener una idea de) las tasas de eventos de un accidente de seguridad o una falla a nivel de sistema (funcional) particular. FTA se utiliza en las industrias aeroespacial , [1] de energía nuclear , química y de procesos , [2] [3] [4] farmacéutica , [5] petroquímica y otras industrias de alto riesgo; pero también se utiliza en campos tan diversos como la identificación de factores de riesgo relacionados con la falla del sistema de servicio social . [6] FTA también se utiliza en ingeniería de software para fines de depuración y está estrechamente relacionado con la técnica de eliminación de causas utilizada para detectar errores.

En el sector aeroespacial, el término más general "condición de falla del sistema" se utiliza para el "estado no deseado" o evento principal del árbol de fallas. Estas condiciones se clasifican según la gravedad de sus efectos. Las condiciones más severas requieren el análisis más exhaustivo del árbol de fallas. Estas condiciones de falla del sistema y su clasificación a menudo se determinan previamente en el análisis de riesgos funcionales .

Uso

El análisis del árbol de fallas se puede utilizar para: [7] [8]

Historia

El análisis de árbol de fallas (FTA) fue desarrollado originalmente en 1962 en Bell Laboratories por HA Watson, bajo un contrato de la División de Sistemas Balísticos de la Fuerza Aérea de los EE. UU. para evaluar el Sistema de Control de Lanzamiento del Misiles Balísticos Intercontinentales (ICBM) Minuteman I. [9] [10] [11] [12] Desde entonces, el uso de árboles de fallas ha ganado un amplio apoyo y los expertos en confiabilidad lo utilizan a menudo como una herramienta de análisis de fallas. [13] Después del primer uso publicado de FTA en el Estudio de Seguridad de Control de Lanzamiento Minuteman I de 1962, Boeing y AVCO expandieron el uso de FTA a todo el sistema Minuteman II en 1963-1964. FTA recibió una amplia cobertura en un Simposio de Seguridad de Sistemas de 1965 en Seattle patrocinado por Boeing y la Universidad de Washington . [14] Boeing comenzó a utilizar FTA para el diseño de aeronaves civiles alrededor de 1966. [15] [16]

Posteriormente, dentro del ejército de los EE. UU., la aplicación de FTA para su uso con fusibles fue explorada por Picatinny Arsenal en los años 1960 y 1970. [17] En 1976, el Comando de Material del Ejército de los EE. UU. incorporó FTA en un Manual de Diseño de Ingeniería sobre Diseño para la Confiabilidad. [18] El Centro de Análisis de Confiabilidad en el Laboratorio de Roma y sus organizaciones sucesoras ahora con el Centro de Información Técnica de Defensa (Centro de Análisis de Información de Confiabilidad, y ahora Centro de Análisis de Información de Sistemas de Defensa [19] ) han publicado documentos sobre FTA y diagramas de bloques de confiabilidad desde la década de 1960. [20] [21] [22] MIL-HDBK-338B proporciona una referencia más reciente. [23]

En 1970, la Administración Federal de Aviación de los Estados Unidos (FAA) publicó un cambio a las regulaciones de aeronavegabilidad 14 CFR 25.1309 para aeronaves de categoría de transporte en el Registro Federal en 35 FR 5665 (1970-04-08). Este cambio adoptó criterios de probabilidad de falla para sistemas y equipos de aeronaves y condujo al uso generalizado de FTA en la aviación civil. En 1998, la FAA publicó la Orden 8040.4, [24] estableciendo una política de gestión de riesgos que incluye análisis de peligros en una variedad de actividades críticas más allá de la certificación de aeronaves, incluido el control del tráfico aéreo y la modernización del Sistema Nacional del Espacio Aéreo de los Estados Unidos . Esto condujo a la publicación del Manual de Seguridad del Sistema de la FAA, que describe el uso de FTA en varios tipos de análisis de peligros formales. [25]

Al principio del programa Apolo se planteó la cuestión de la probabilidad de enviar astronautas a la Luna y de que regresaran sanos y salvos a la Tierra. Se realizó un cálculo de riesgo o fiabilidad de algún tipo y el resultado fue una probabilidad de éxito de la misión inaceptablemente baja. Este resultado disuadió a la NASA de realizar más análisis cuantitativos de riesgo o fiabilidad hasta después del accidente del Challenger en 1986. En su lugar, la NASA decidió confiar en el uso del análisis de modos de fallo y efectos (FMEA) y otros métodos cualitativos para las evaluaciones de seguridad del sistema. Después del accidente del Challenger , se comprendió la importancia de la evaluación probabilística de riesgos (PRA) y del análisis de modos de fallos (FTA) en el análisis de riesgos y fiabilidad de los sistemas y su uso en la NASA ha empezado a crecer y ahora el FTA se considera una de las técnicas de análisis de fiabilidad y seguridad de los sistemas más importantes. [26]

Dentro de la industria de la energía nuclear, la Comisión Reguladora Nuclear de los EE. UU. comenzó a utilizar métodos PRA, incluido el FTA, en 1975, y amplió significativamente la investigación PRA después del incidente de 1979 en Three Mile Island . [27] Esto eventualmente condujo a la publicación en 1981 del Manual del árbol de fallas NUREG-0492 de la NRC, [28] y al uso obligatorio de PRA bajo la autoridad reguladora de la NRC.

Después de los desastres de la industria de procesos, como el desastre de Bhopal de 1984 y la explosión de Piper Alpha de 1988, en 1992 la Administración de Seguridad y Salud Ocupacional del Departamento de Trabajo de los Estados Unidos (OSHA) publicó en el Registro Federal en 57 FR 6356 (1992-02-24) su estándar de Gestión de Seguridad de Procesos (PSM) en 19 CFR 1910.119. [29] La OSHA PSM reconoce el FTA como un método aceptable para el análisis de peligros del proceso (PHA).

Hoy en día, el FTA se utiliza ampliamente en ingeniería de confiabilidad y seguridad de sistemas y en todos los campos principales de la ingeniería.

Metodología

La metodología FTA se describe en varias normas industriales y gubernamentales, incluidas NRC NUREG–0492 para la industria de la energía nuclear, una revisión orientada a la industria aeroespacial de NUREG–0492 para uso de la NASA , [26] SAE ARP4761 para la industria aeroespacial civil, MIL–HDBK–338 para sistemas militares, la norma IEC IEC 61025 [30] está destinada al uso interindustrial y ha sido adoptada como Norma Europea EN 61025.

Cualquier sistema suficientemente complejo está sujeto a fallas como resultado de la falla de uno o más subsistemas. Sin embargo, la probabilidad de fallas a menudo se puede reducir mediante un mejor diseño del sistema. El análisis del árbol de fallas mapea la relación entre fallas, subsistemas y elementos redundantes de diseño de seguridad mediante la creación de un diagrama lógico del sistema general.

El resultado no deseado se toma como la raíz ('evento superior') de un árbol de lógica. Por ejemplo, el resultado no deseado de una operación de prensa de estampado de metal que se está considerando podría ser un apéndice humano que se está estampando. Trabajando hacia atrás a partir de este evento superior, se podría determinar que hay dos formas en que esto podría suceder: durante el funcionamiento normal o durante la operación de mantenimiento. Esta condición es un O lógico. Teniendo en cuenta la rama del peligro que ocurre durante el funcionamiento normal, tal vez se determine que hay dos formas en que esto podría suceder: la prensa gira y daña al operador, o la prensa gira y daña a otra persona. Este es otro O lógico. Se puede realizar una mejora de diseño al requerir que el operador presione dos botones separados para girar la máquina; esta es una característica de seguridad en forma de un Y lógico. El botón puede tener una tasa de falla intrínseca; esto se convierte en un estímulo de falla que se puede analizar.

Cuando los árboles de fallas se etiquetan con números reales de probabilidades de falla, los programas de computadora pueden calcular las probabilidades de falla a partir de los árboles de fallas. Cuando se descubre que un evento específico tiene más de un evento de efecto, es decir, tiene impacto en varios subsistemas, se denomina causa común o modo común. Gráficamente hablando, significa que este evento aparecerá en varias ubicaciones en el árbol. Las causas comunes introducen relaciones de dependencia entre eventos. Los cálculos de probabilidad de un árbol que contiene algunas causas comunes son mucho más complicados que los árboles regulares donde todos los eventos se consideran independientes. No todas las herramientas de software disponibles en el mercado brindan dicha capacidad.

El árbol se suele escribir utilizando símbolos de puertas lógicas convencionales . Un conjunto de cortes es una combinación de eventos, normalmente fallos de componentes, que provocan el evento superior. Si no se puede eliminar ningún evento de un conjunto de cortes sin que no se produzca el evento superior, se denomina conjunto de cortes mínimo.

Algunas industrias utilizan árboles de fallas y árboles de eventos (consulte Evaluación de riesgos probabilística ). Un árbol de eventos comienza con un iniciador no deseado (pérdida de suministro crítico, falla de un componente, etc.) y sigue posibles eventos posteriores del sistema hasta una serie de consecuencias finales. A medida que se considera cada nuevo evento, se agrega un nuevo nodo en el árbol con una división de probabilidades de tomar cualquiera de las ramas. Luego se pueden ver las probabilidades de una serie de "eventos principales" que surgen del evento inicial.

Los programas clásicos incluyen el software CAFTA del Electric Power Research Institute (EPRI), que es utilizado por muchas de las plantas de energía nuclear de EE. UU. y por la mayoría de los fabricantes aeroespaciales estadounidenses e internacionales, y SAPHIRE del Laboratorio Nacional de Idaho , que es utilizado por el Gobierno de EE. UU. para evaluar la seguridad y confiabilidad de los reactores nucleares , el transbordador espacial y la Estación Espacial Internacional . Fuera de EE. UU., el software RiskSpectrum es una herramienta popular para el análisis de árboles de fallas y árboles de eventos, y está autorizado para su uso en más del 60% de las plantas de energía nuclear del mundo para la evaluación de seguridad probabilística. El software gratuito de calidad profesional también está ampliamente disponible; SCRAM [31] es una herramienta de código abierto que implementa el estándar abierto Open-PSA Model Exchange Format [32] para aplicaciones de evaluación de seguridad probabilística.

Símbolos gráficos

Los símbolos básicos utilizados en FTA se agrupan en eventos, puertas y símbolos de transferencia. Se pueden utilizar pequeñas variaciones en el software de FTA.

Símbolos de eventos

Los símbolos de eventos se utilizan para eventos primarios y eventos intermedios . Los eventos primarios no se desarrollan más en el árbol de fallas. Los eventos intermedios se encuentran en la salida de una compuerta. Los símbolos de eventos se muestran a continuación:

Los símbolos de eventos primarios se utilizan normalmente de la siguiente manera:

Se puede utilizar una puerta de evento intermedia inmediatamente encima de un evento principal para proporcionar más espacio para escribir la descripción del evento.

El TLC es un enfoque de arriba hacia abajo.

Símbolos de puerta

Los símbolos de compuerta describen la relación entre los eventos de entrada y salida. Los símbolos se derivan de los símbolos de lógica booleana:

Las puertas funcionan de la siguiente manera:

Símbolos de transferencia

Los símbolos de transferencia se utilizan para conectar las entradas y salidas de árboles de fallas relacionados, como el árbol de fallas de un subsistema con su sistema. La NASA preparó un documento completo sobre FTA a través de incidentes prácticos. [26]

Fundamentos matemáticos básicos

Los eventos en un árbol de fallas están asociados con probabilidades estadísticas o tasas constantes distribuidas exponencialmente por Poisson. Por ejemplo, las fallas de los componentes pueden ocurrir típicamente a una tasa de falla constante λ (una función de riesgo constante). En este caso más simple, la probabilidad de falla depende de la tasa λ y del tiempo de exposición t:

dónde:

si

Un árbol de fallas suele normalizarse a un intervalo de tiempo determinado, como una hora de vuelo o un tiempo de misión promedio. Las probabilidades de un evento dependen de la relación de la función de riesgo del evento con este intervalo.

A diferencia de los diagramas de puertas lógicas convencionales en los que las entradas y salidas contienen los valores binarios VERDADERO (1) o FALSO (0), las puertas en un árbol de fallas generan probabilidades relacionadas con las operaciones de conjunto de la lógica booleana . La probabilidad del evento de salida de una puerta depende de las probabilidades del evento de entrada.

Una compuerta AND representa una combinación de eventos independientes . Es decir, la probabilidad de cualquier evento de entrada a una compuerta AND no se ve afectada por ningún otro evento de entrada a la misma compuerta. En términos de teoría de conjuntos , esto es equivalente a la intersección de los conjuntos de eventos de entrada, y la probabilidad de la salida de la compuerta AND está dada por:

P(A y B) = P(A ∩ B) = P(A) P(B)

Una puerta OR, por otro lado, corresponde a la unión de conjuntos:

P(A o B) = P(A ∪ B) = P(A) + P(B) - P(A ∩ B)

Dado que las probabilidades de falla en los árboles de fallas tienden a ser pequeñas (menores a 0,01), P (A ∩ B) generalmente se convierte en un término de error muy pequeño, y la salida de una compuerta OR se puede aproximar de manera conservadora utilizando el supuesto de que las entradas son eventos mutuamente excluyentes :

P (A o B) ≈ P(A) + P(B), P (A ∩ B) ≈ 0

Una puerta OR exclusiva con dos entradas representa la probabilidad de que ocurra una u otra entrada, pero no ambas:

P(A x o B) = P(A) + P(B) - 2P(A ∩ B)

Nuevamente, dado que P (A ∩ B) generalmente se convierte en un término de error muy pequeño, la puerta OR exclusiva tiene un valor limitado en un árbol de fallas.

Muy a menudo, las tasas distribuidas exponencialmente por Poisson [33] se utilizan para cuantificar un árbol de fallas en lugar de probabilidades. Las tasas a menudo se modelan como constantes en el tiempo, mientras que la probabilidad es una función del tiempo. Los eventos exponenciales de Poisson se modelan como infinitamente cortos, por lo que no pueden superponerse dos eventos. Una compuerta OR es la superposición (suma de tasas) de las dos frecuencias de falla de entrada o tasas de falla que se modelan como procesos puntuales de Poisson . La salida de una compuerta AND se calcula utilizando la indisponibilidad (Q 1 ) de un evento que adelgaza el proceso puntual de Poisson del otro evento (λ 2 ). La indisponibilidad (Q 2 ) del otro evento adelgaza entonces el proceso puntual de Poisson del primer evento (λ 1 ). Los dos procesos puntuales de Poisson resultantes se superponen de acuerdo con las siguientes ecuaciones.

La salida de una puerta AND es la combinación de los eventos de entrada independientes 1 y 2 de la puerta AND:

Frecuencia de fallo = λ 1 Q 2 + λ 2 Q 1 donde Q = 1 - e -λt ≈ λt si λt < 0,001
Frecuencia de falla ≈ λ 1 λ 2 t 2 + λ 2 λ 1 t 1 si λ 1 t 1 < 0,001 y λ 2 t 2 < 0,001

En un árbol de fallas, la indisponibilidad (Q) puede definirse como la indisponibilidad de un funcionamiento seguro y puede no referirse a la indisponibilidad del funcionamiento del sistema, dependiendo de cómo se haya estructurado el árbol de fallas. Los términos de entrada del árbol de fallas deben definirse cuidadosamente.

Análisis

Se pueden utilizar muchos enfoques diferentes para modelar un FTA, pero el método más común y popular se puede resumir en unos pocos pasos. Se utiliza un solo árbol de fallas para analizar un solo evento no deseado, que puede posteriormente incorporarse a otro árbol de fallas como un evento básico. Aunque la naturaleza del evento no deseado puede variar drásticamente, un FTA sigue el mismo procedimiento para cualquier evento no deseado; ya sea un retraso de 0,25 ms para la generación de energía eléctrica, un incendio no detectado en la bodega de carga o el lanzamiento aleatorio e involuntario de un ICBM .

El análisis del TLC implica cinco pasos:

  1. Define el evento no deseado a estudiar.
    • La definición del evento no deseado puede ser muy difícil de descubrir, aunque algunos de los eventos son muy fáciles y obvios de observar. Un ingeniero con un amplio conocimiento del diseño del sistema es la persona indicada para ayudar a definir y numerar los eventos no deseados. Los eventos no deseados se utilizan entonces para crear FTA. Cada FTA está limitada a un evento no deseado.
  2. Obtener una comprensión del sistema.
    • Una vez seleccionado el evento no deseado, se estudian y analizan todas las causas con probabilidades de afectar al evento no deseado de 0 o más. Obtener números exactos para las probabilidades que conducen al evento suele ser imposible debido a que puede ser muy costoso y llevar mucho tiempo hacerlo. Se utiliza software de computadora para estudiar las probabilidades; esto puede conducir a un análisis de sistema menos costoso.
      Los analistas de sistemas pueden ayudar a comprender el sistema en general. Los diseñadores de sistemas tienen pleno conocimiento del sistema y este conocimiento es muy importante para no pasar por alto ninguna causa que afecte al evento no deseado. Para el evento seleccionado, todas las causas se numeran y se secuencian en el orden de ocurrencia y luego se utilizan para el siguiente paso, que es dibujar o construir el árbol de fallas.
  3. Construir el árbol de fallas.
    • Después de seleccionar el evento no deseado y haber analizado el sistema para conocer todos los efectos que lo causan (y, si es posible, sus probabilidades), podemos construir el árbol de fallas. El árbol de fallas se basa en puertas AND y OR que definen las características principales del árbol de fallas.
  4. Evaluar el árbol de fallas.
    • Una vez que se ha elaborado el árbol de fallas para un evento no deseado específico, se evalúa y analiza para buscar posibles mejoras o, en otras palabras, se estudia la gestión de riesgos y se encuentran formas de mejorar el sistema. Se puede aplicar una amplia gama de métodos de análisis cualitativos y cuantitativos. [34] Este paso es una introducción para el paso final que será controlar los peligros identificados. En resumen, en este paso identificamos todos los posibles peligros que afectan al sistema de forma directa o indirecta.
  5. Controlar los peligros identificados.
    • Este paso es muy específico y difiere en gran medida de un sistema a otro, pero el punto principal siempre será que después de identificar los peligros se apliquen todos los métodos posibles para disminuir la probabilidad de que ocurran.

Comparación con otros métodos analíticos

El FTA es un método deductivo , de arriba hacia abajo, destinado a analizar los efectos de las fallas y eventos iniciadores en un sistema complejo. Esto contrasta con el análisis de modos de falla y efectos (FMEA), que es un método de análisis inductivo , de abajo hacia arriba, destinado a analizar los efectos de fallas de un solo componente o función en equipos o subsistemas. El FTA es muy bueno para mostrar qué tan resistente es un sistema a fallas iniciadoras simples o múltiples. No es bueno para encontrar todas las fallas iniciadoras posibles. El FMEA es bueno para catalogar exhaustivamente las fallas iniciadoras e identificar sus efectos locales. No es bueno para examinar fallas múltiples o sus efectos a nivel de sistema. El FTA considera eventos externos, el FMEA no. [35] En la industria aeroespacial civil, la práctica habitual es realizar tanto el FTA como el FMEA, con un resumen de efectos del modo de falla (FMES) como interfaz entre el FMEA y el FTA.

Las alternativas al análisis de bloques de confiabilidad (FTA) incluyen el diagrama de dependencia (DD), también conocido como diagrama de bloques de confiabilidad (RBD) y el análisis de Markov . Un diagrama de dependencia es equivalente a un análisis de árbol de éxito (STA), el inverso lógico de un FTA, y representa el sistema utilizando caminos en lugar de puertas. El DD y el STA producen probabilidad de éxito (es decir, evitar un evento importante) en lugar de probabilidad de un evento importante.

Véase también

Referencias

  1. ^ Goldberg, BE; Everhart, K.; Stevens, R.; Babbitt, N.; Clemens, P.; Stout, L. (1994). "3". Caja de herramientas de ingeniería de sistemas para ingenieros orientados al diseño . Centro Marshall de Vuelos Espaciales. págs. 3–35 a 3–48.{{cite book}}: CS1 maint: location missing publisher (link)
  2. ^ Centro para la seguridad de procesos químicos (abril de 2008). Pautas para procedimientos de evaluación de riesgos (3.ª edición). Wiley. ISBN 978-0-471-97815-2.
  3. ^ Centro para la Seguridad de los Procesos Químicos (octubre de 1999). Pautas para el análisis cuantitativo de riesgos de los procesos químicos (2.ª ed.). Instituto Americano de Ingenieros Químicos. ISBN 978-0-8169-0720-5.
  4. ^ Administración de Seguridad y Salud Ocupacional del Departamento de Trabajo de los Estados Unidos (1994). Pautas de gestión de seguridad de procesos para el cumplimiento (PDF) . Oficina de Imprenta del Gobierno de los Estados Unidos. OSHA 3133.
  5. ^ Directrices tripartitas armonizadas de la ICH. Directrices de calidad (enero de 2006). Q9 Gestión de riesgos de calidad.
  6. ^ Lacey, Peter (2011). "Una aplicación del análisis de árboles de fallas para la identificación y gestión de riesgos en la prestación de servicios humanos financiados por el gobierno". Actas de la 2.ª Conferencia internacional sobre políticas públicas y ciencias sociales . SSRN  2171117.
  7. ^ "Explicación del árbol de fallas". ftvisualisations . Consultado el 31 de mayo de 2024 .
  8. ^ "Proyectos". ftvisualisations . Consultado el 31 de mayo de 2024 .
  9. ^ Ericson, Clifton (1999). "Análisis del árbol de fallas: una historia" (PDF) . Actas de la 17.ª Conferencia Internacional sobre Seguridad de Sistemas . Archivado desde el original (PDF) el 23 de julio de 2011. Consultado el 17 de enero de 2010 .
  10. ^ Rechard, Robert P. (1999). "Relación histórica entre la evaluación del desempeño para la eliminación de desechos radiactivos y otros tipos de evaluación de riesgos en los Estados Unidos" (pdf) . Análisis de riesgos . 19 (5): 763–807. doi :10.1023/A:1007058325258. PMID  10765434. S2CID  704496. SAND99-1147J . Consultado el 22 de enero de 2010 .
  11. ^ Winter, Mathias (1995). "Software Fault Tree Analysis of an Automated Control System Device Written in ADA". Tesis de maestría . ADA303377. Archivado desde el original (pdf) el 15 de mayo de 2012. Consultado el 17 de enero de 2010 .
  12. ^ Benner, Ludwig (1975). "Teoría de accidentes e investigación de accidentes". Actas del seminario anual de la Sociedad de investigadores de seguridad aérea . Consultado el 17 de enero de 2010 .
  13. ^ Martensen, Anna L.; Butler, Ricky W. (enero de 1987). "El compilador de árbol de fallas". Centro de investigación Langely . NTRS . Consultado el 17 de junio de 2011 .
  14. ^ DeLong, Thomas (1970). "A Fault Tree Manual". Tesis de maestría . AD739001. Archivado desde el original (pdf) el 4 de marzo de 2016. Consultado el 18 de mayo de 2014 .
  15. ^ Eckberg, CR (1964). Plan del programa de análisis del árbol de fallas WS-133B. Seattle, WA: The Boeing Company. D2-30207-1. Archivado desde el original el 3 de marzo de 2016. Consultado el 18 de mayo de 2014 .
  16. ^ Hixenbaugh, AF (1968). Árbol de fallas para seguridad. Seattle, WA: The Boeing Company. D6-53604. Archivado desde el original el 3 de marzo de 2016. Consultado el 18 de mayo de 2014 .
  17. ^ Larsen, Waldemar (enero de 1974). Análisis del árbol de fallas. Picatinny Arsenal. Informe técnico 4556. Archivado desde el original el 18 de mayo de 2014. Consultado el 17 de mayo de 2014 .
  18. ^ Evans, Ralph A. (5 de enero de 1976). Manual de diseño de ingeniería Diseño para confiabilidad (PDF) . Comando de Material del Ejército de EE. UU. AMCP-706-196. Archivado (PDF) desde el original el 18 de mayo de 2014. Consultado el 17 de mayo de 2014 .
  19. ^ "DSIAC – Centro de análisis de información de sistemas de defensa" . Consultado el 25 de marzo de 2023 .
  20. ^ Begley, TF; Cummings (1968). Árbol de fallas para seguridad . RAC. ADD874448.
  21. ^ Anderson, RT (marzo de 1976). Manual de diseño de confiabilidad (PDF) . Centro de análisis de confiabilidad. RDH 376. Archivado desde el original el 18 de mayo de 2014. Consultado el 17 de mayo de 2014 .
  22. ^ Mahar, David J.; James W. Wilbur (1990). Guía de aplicación del análisis de árboles de fallas . Centro de análisis de confiabilidad.
  23. ^ "7.9 Análisis del árbol de fallas". Manual de diseño de confiabilidad electrónica (pdf) . B. Departamento de Defensa de los EE. UU . . 1998. MIL–HDBK–338B . Consultado el 17 de enero de 2010 .
  24. ^ ASY-300 (26 de junio de 1998). Gestión de riesgos de seguridad (PDF) . Administración Federal de Aviación. 8040.4.{{cite book}}: CS1 maint: numeric names: authors list (link)
  25. ^ FAA (30 de diciembre de 2000). Manual de seguridad del sistema. Administración Federal de Aviación.
  26. ^ abc Vesely, William; et al. (2002). Manual de árboles de fallas con aplicaciones aeroespaciales (PDF) . Administración Nacional de Aeronáutica y del Espacio . Archivado desde el original (PDF) el 28 de diciembre de 2016 . Consultado el 16 de julio de 2018 . Dominio públicoEste artículo incorpora texto de esta fuente, que se encuentra en el dominio público .
  27. ^ Acharya, Sarbes; et al. (1990). Riesgos de accidentes graves: una evaluación de cinco centrales nucleares de Estados Unidos (PDF) . Washington, DC: Comisión Reguladora Nuclear de Estados Unidos . NUREG–1150 . Consultado el 17 de enero de 2010 .
  28. ^ Vesely, WE; et al. (1981). Manual del árbol de fallas (PDF) . Comisión Reguladora Nuclear . NUREG–0492 . Consultado el 17 de enero de 2010 .
  29. ^ Elke, Holly C., Aplicación global del estándar de gestión de seguridad de procesos (PDF)
  30. ^ Análisis del árbol de fallas . Edición 2.0. Comisión Electrotécnica Internacional . 2006. ISBN 978-2-8318-8918-4.IEC 61025.
  31. ^ "SCRAM 0.11.4 — Documentación de SCRAM 0.11.4". scram-pra.org . Archivado desde el original el 23 de noviembre de 2016 . Consultado el 13 de enero de 2022 .
  32. ^ "El formato de intercambio del modelo Open-PSA — El formato de intercambio del modelo Open-PSA 2.0". open-psa.github.io .
  33. ^ Olofsson y Andersson, Probabilidad, estadística y procesos estocásticos, John Wiley and Sons, 2011.
  34. ^ Ruijters, Enno; Stoelinga, Mariëlle IA (febrero-mayo de 2015). "Análisis de árboles de fallas: un estudio del estado del arte en modelado, análisis y herramientas". Computer Science Review . 15–16: 29–62. doi :10.1016/j.cosrev.2015.03.001.
  35. ^ Long, Allen, La bella y la bestia: uso y abuso del árbol de fallas como herramienta (PDF) , fault-tree.net, archivado desde el original (PDF) el 19 de abril de 2009 , consultado el 16 de enero de 2010