Page 1

Behorende bij infoblad 801, Specificeren van beschikbaarheid

Voorbeeldberekening niet-beschikbaarheid met behulp van een foutenboomanalyse Inleiding In het stappenplan Specificeren van beschikbaarheid is een stap opgenomen om de verwachte ‘nietbeschikbaarheid’ te bepalen (activiteit van stap 2, Bepalen eis en beoordelingsmethode). Dit om een realistische en aanvaardbare eis over beschikbaarheid vast te leggen. Ook de haalbaarheid van de gewenste beschikbaarheid kan daarbij getoetst worden. Deze ‘niet- beschikbaarheid’ is te verdelen aan de hand van de oorzaken, namelijk: planbare, niet-planbare en natuurlijke randvoorwaarden (zie infoblad). Een methodiek om de oorzaken van potentieel falen in kaart te brengen is de faalvormanalyse [1]1. Hierbij worden de mogelijke oorzaken achter een faalvorm (bijvoorbeeld het ontstaan van stremmingen) benoemd. De relevante oorzaken kunnen door middel van de hiervoor veel toegepaste foutenboomanalyse worden doorgerekend en daarmee gekwantificeerd. Met een foutenboomanalyse worden de betrouwbaarheid en beschikbaarheid van de functie van het systeem berekend, rekening houdend met de samenhang en onderlinge afhankelijkheid van de componenten van het systeem. Ofwel een foutenanalyse, gericht op het disfunctioneren van het systeem. Deze foutenboomanalyse wordt in dit eenvoudige voorbeeld uitgelegd. Voor complexe systemen gelden dezelfde basisprincipes, maar kan de berekening erg ingewikkeld worden. Dit voert voor dit kader te ver; zie voor diepgaander kennis [9 en 10].

Oorzaak van falen: de topgebeurtenis De opbouw van een foutenboom begint bij de top­ gebeurtenis. Dit is een ongewenste gebeurtenis die falen van het systeem beschrijft. Vervolgens wordt systematisch nagegaan welke faalgebeurtenissen, al dan niet in combinatie, kunnen leiden tot deze topgebeurtenis. Voor elk van deze faalgebeurtenissen wordt op zijn beurt in kaart gebracht welke (combinaties van) oorzaken hieraan ten grondslag kunnen liggen. Dit proces wordt voortgezet tot op het niveau van de zogeheten basisgebeurtenissen, meestal het falen van individuele componenten. De samenhang tussen faalgebeurtenissen en oorzaken wordt gemodelleerd met behulp van ‘logische poorten’ (boolean operators). De meest gebruikte zijn de ‘EN’-poort en de ‘OF’-poort.

1 | CROW

In het voorbeeld dat hier wordt uitgewerkt gaan we uit van een eenvoudig verlichtingssysteem waarbij wordt verondersteld dat het systeem goed beschikbaar is indien minimaal 50 procent van de verlichting functioneert. De topgebeurtenis als input voor de foutenboom, is dan ‘meer dan 50 procent van de verlichting valt uit’.

Het voorbeeld: een eenvoudig verlichtingssysteem gemodelleerd Het systeem is een verlichtingssysteem bestaande uit twee lampen. De energie wordt geleverd door het openbare elektriciteitsnet. Bij uitval van het net wordt de elektriciteit geleverd door een dieselgenerator, die dan automatisch opstart. Deze back-up is ingericht vanwege het belang van het functioneren van de verlichting voor het bovenliggende systeem, bijvoorbeeld een fietstunnel. De topgebeurtenis was ‘meer dan 50 procent van de verlichting valt uit’. In andere woorden ‘indien beide lampen uitvallen spreken we van falen van het verlichtingssysteem2’. En in dit geval dus ook het niet voldoen aan de gewenste functionaliteit van bijvoorbeeld de fietstunnel. De gebeurtenis ‘beide lampen vallen uit’ wordt veroorzaakt door ‘beide lampen zijn defect’ of ‘er is geen elektriciteit’. Deze topgebeurtenis is hier gemodelleerd met een ‘OF’poort. De gebeurtenis ‘beide lampen zijn defect’ is afhankelijk van twee mogelijke basisgebeurtenissen: lamp 1 is defect én lamp 2 is defect. Dit is gemodelleerd als een ‘EN’-poort omdat zowel lamp 1 als lamp 2 moet falen om aan de condities van de topgebeurtenis te voldoen. De energievoorziening faalt indien het openbare net uitvalt én de dieselgenerator weigert op te starten3. In de figuur hierna is de foutenboom van het falen van dit systeem weergegeven.

Berekenen niet-beschikbaarheid De foutenboom is in essentie een schematische weergave van het faalmechanisme van het systeem die met behulp van booleaanse algebra uitgewerkt kan worden tot een wiskundige relatie. In dit eenvoudige voorbeeld is de toepassing van booleaanse algebra beperkt en kunnen de resultaten eenvoudig worden uitgewerkt. Bij grotere en complexere systemen zal

1 Referenties verwijzen naar de literatuurlijst in het bijbehorende info­ blad Specificeren van beschikbaarheid. 2 Voor de eenvoud nemen we aan dat de lamp slechts twee toestanden kent: branden op 100 procent lichtsterkte of niet branden. In de praktijk kan ook hier een eis aan worden gesteld, bijvoorbeeld dat mini­ maal 98 procent bran­ den voldoende is voor het functioneren. 3 Het faalmechanisme waarbij de diesel­ generator tijdens bedrijf stopt is hier ter vereenvoudiging weggelaten.


Behorende bij infoblad 801, Specificeren van beschikbaarheid

Foutenboom voorbeeld

Meer dan 50% verlichting valt uit

OTG

Lampen zelf zijn defect

Geen energievoorziening

LAMPEN DEFECT

GEEN ENERGIE

Lamp 1 defect

Lamp 2 defect

Uitval van openbare net

Dieselgenerator start niet (faalt tijdens rust)

BASISGEBEURTENIS 1

BASISGEBEURTENIS 2

BASISGEBEURTENIS 3

BASISGEBEURTENIS 4

FR = 0,01

FR = 0,01

FR = 0,001

de ondersteuning van een computerprogramma onontbeerlijk zijn. Bij het voorgaande voorbeeld kan de wiskundige relatie voor de topgebeurtenis als volgt worden weergegeven. Hierbij geldt een OFpoort als optelling en een EN-poort als vermenigvuldiging van de onderliggende gebeurtenissen.

Topgebeurtenis waarbij

= beide lampen zijn defect OF geen energievoorziening

beide lampen zijn = lamp 1 is defect EN lamp 2 defect is defect geen energie­ voorziening

= uitval van het energienet EN dieselgenerator start niet

Substitutie geeft: Topgebeurtenis

= lamp 1 is defect EN lamp 2 is defect OF uitval van het energienet EN dieselgenerator start niet

Deze uitwerking beschrijft de (wiskundige) relatie voor het falen van het systeem door het optreden

2 | CROW

FR = 0,0005 Tau = 720

van {basisgebeurtenis 1 EN basisgebeurtenis 2} OF {basisgebeurtenis 3 EN basisgebeurtenis 4}. Deze twee zogeheten ‘2e orde minimale deelverzamelingen’ zijn het kwalitatieve resultaat van de foutenboomanalyse. Bij het kwantificeren van de foutenboom wordt de kans op de topgebeurtenis berekend door de kansen op de minimale deelverzamelingen te berekenen op basis van de (faal)eigenschappen van de basisgebeurtenissen in de minimale deelverzamelingen.

Faaleigenschappen van componenten Faaleigenschappen van componenten zijn te vinden in databanken, datareeksen en kwantitatieve analyses, of kunnen worden bepaald in overleg met deskundigen. Ze maken vaak deel uit van productspecificaties. Parameters van belang voor het bepalen van RAM-prestaties van componenten zijn bijvoorbeeld: de faalfrequentie per tijdeenheid (λ), de gemiddelde reparatieduur (θ), of het falen merkbaar of niet-merkbaar is, en het test­ interval (T).


Behorende bij infoblad 801, Specificeren van beschikbaarheid

In de onderstaande tabel zijn deze (fictieve) gegevens voor het voorbeeld weergegeven.

Gebeurtenis

Faal­ Reparatie­ Test­ frequentie λ duur θ interval T [-/uur] [uur] [uur]

Basis­ Lamp faalt (merkbaar) 0,01 gebeurtenis 1

1

n.v.t.

Basis­ Lamp faalt (merkbaar) 0,01 gebeurtenis 2

1

n.v.t.

Basis­ Elektriciteitsnet valt gebeurtenis 3 uit (merkbaar)

0,001

2

n.v.t.

Basis­ Dieselgenerator start gebeurtenis 4 niet (faalt niet-merk­ baar tijdens rust)

5e– 4

8

720 (= 1 maand)

Deze informatie wordt gebruikt om de (niet-) beschikbaarheid van het systeem te berekenen: het percentage van de tijd dat de verlichting naar verwachting zal branden. De formules voor niet-beschikbaarheid zijn voor een 2e orde minimale deelverzameling met twee merkbaar falende en respectievelijk een merkbaar en een niet-merkbaar falende component:

Minimale deel­verzameling 1

Minimale deel­verzameling 2

Basis­ gebeurtenis 1

Merkbaar falen (λ)

Basis­ gebeurtenis 2

Merkbaar falen (λ)

Basis­ gebeurtenis 3

Merkbaar falen (λ)

Basis­ gebeurtenis 4

Niet-merkbaar falen (λ)

λ1λ2θA(θA+θB), met θA = min(θ1,θ2) θB = max(θ1,θ2)

½ * λ3λ4θ3Τ

Hierbij wordt ervan uitgegaan dat er 1 component tegelijk kan worden gerepareerd of vervangen. Invullen levert:

Minimale deelverzame­ ling 1

λ1λ2θA(θA+θB), met θA = min(θ1,θ2) θB = max(θ1,θ2)

0,01 * 0,01 * 1 * (1+1) = 2,0 · 104

Minimale deelverzame­ ling 2

½ * λ3λ4θ3Τ

0,5 * 0,001 * 5e– 4 * 2 * 720 = 3,6 · 10–4

3 | CROW

2,0 · 10–4 + 3,6 · 10–4 = 5,6 · 10–4

Conclusie, een onderbouwde verwachting van het falen Kortom, de verwachte niet-beschikbaarheid van de verlichting is 5,6 · 10–4 ≈ 0,06%. Op jaarbasis zal de verlichting naar verwachting 5,6 · 10–4 * 8760 = circa 5 uur niet branden. Maar wat nu te doen met dit getal? Het is vervolgens van belang te kijken naar het effect van niet-functioneren van de verlichting. In het geval van een verlichting van een fietstunnel kunnen bijvoorbeeld de sociale en verkeersveiligheid in het gedrang komen. Om dit probleem te ondervangen kunnen, indien gewenst, beheersingsmaatregelen worden getroffen, bijvoorbeeld met meldingssystemen. Zo’n meldingssysteem geeft een signaal af aan een beheerder dat het systeem faalt waarop actie kan worden onder­ nomen om de tijdsduur van falen zo kort mogelijk te houden. Ook kan ervoor worden gekozen ontwerpmaatregelen te treffen, zoals betere lampen of nog een back-upsysteem of extra lamp. Of er kan be­sloten worden het disfunctioneren te accepteren. Een en ander afhankelijk van de waarde die hieraan gehecht wordt, ofwel de balans tussen financiële en technische mogelijkheden en maatschappelijke behoefte, zoals in het infoblad beschreven. De ‘5 uur’ is in ieder geval input voor de bepaling van de kwaliteitsmaat, de eis voor beschikbaarheid van het systeem.

Web_Artikel%20Voorbeeldberekening_infoblad-801  

http://www.crow.nl/Downloads/Oplossingsvrij_Specificeren/Web_Artikel%20Voorbeeldberekening_infoblad-801.pdf