Árvore de falhas (FTA Fault Tree Analysis)

O método da árvore de falhas (FTA - Fault Tree Analysis) foi desenvolvido em 1961, pela empresa americana Bell Telephone. Segundo Baptista (2008), é o método de maior aplicação no âmbito de análises de riscos das mais diversas áreas, designadamente, nas indústrias aeronáutica, nuclear e química. As primeiras aplicações desse método remetem-se a estudos de confiabilidade de lançamento de mísseis (INERIS, 2003).

A FTA tem uma metodologia dedutiva, ou seja, parte-se de um determinado evento geral indesejável para se conhecer suas possíveis causas particulares. No contexto da árvore de falhas, esse evento indesejável é conhecido como evento de topo, a partir do qual é desenvolvida a árvore na direção vertical. Caldeira (2005) aponta que o evento de topo (ET) deve ser definido com base na condição ou no estado que constitui a ruptura de um sistema, em condições extremas e nas condições e procedimentos de operação. Além do ET, outros elementos constituem a FTA, como os eventos primários, que são aqueles que não sofrem qualquer desenvolvimento na análise, ou seja, são assumidos independentes dos outros eventos e, se a análise em questão for quantitativa, a eles devem ser atribuídas as respectivas probabilidades. Os demais eventos estão apresentados de forma sintética na Tabela 3.9. A análise da árvore de falhas pode ser qualitativa, quando se quer identificar apenas as vulnerabilidades de um sistema ou individualizar os modos de falhas mais sensíveis, ou quantitativa, quando se quer avaliar a probabilidade de ocorrência de um evento indesejável e estimar a confiabilidade geral do sistema.

Tabela 3.9 - Elementos da árvore de falhas

Fonte: Adaptado de Baptista (2008).

Símbolo Lógico Evento Observações

Evento intermediário ou evento de

topo ---

Evento básico

Acontecimento iniciador, falha inicial ou evento que não carece de

maior desenvolvimento Evento condicional

Condições específicas ou restrições que se aplicam a qualquer porta

lógica

Evento exterior Evento que ocorre habitualmente

Evento por desenvolver

Ramo que não é objeto de maior desenvolvimento por não ter importância ou por não haver

informação suficiente que o fundamente

O fundamento da árvore de falhas é traduzir o comportamento de uma possível falha de um sistema físico em um diagrama visual e modelo lógico. A FTA é baseada na teoria da confiabilidade, na álgebra booleana e na teoria da probabilidade (ERICSON, 1999).

Entre os eventos da FTA existem relações denominadas portas lógicas. Tais portas possuem propriedades Booleanas semelhantes à teoria elementar dos conjuntos, tais como as propriedades comutativa, como (AxB=BxA); associativa, como [Ax(BxC)]=[(AxB)xC]; distributiva como [Ax(B+C)]; de inalterabilidade, como (A+A=A); de absorção, como (A+AxB=A); as de Morgan, como [(AxB)'=A'+B'] e (A+B)’=A’x B’; e da relação do conjunto vazio com o espaço amostral, em que o complementar do conjunto vazio é o próprio espaço amostral. Se a análise for quantitativa, a probabilidade de ocorrência de um evento será calculada dependendo do tipo de porta lógica que está associada ao evento indesejável (e.g., segundo Hartford e Baecher (2004), a porta OU equivale à união da álgebra Booleana, e, portanto, devem-se somar as probabilidades). A Tabela 3.10 apresenta as portas lógicas e suas aplicações.

Tabela 3.10 - Portas lógicas da FTA e suas funções

Fonte: Adaptado de Baptista (2008).

Símbolo Definição Porta Observações Porta OU O evento de saída ocorre se pelo

menos um evento ocorrer Porta E O evento de saída ocorre se todos

os eventos anteriores ocorrerem Entrada

Porta de entrada

O evento advém de outra sequência (ou folha) e dá continuidade na

folha corrente Saída

Porta de saída

Esse símbolo representa uma transferência, ou seja, que a árvore

continua em outra folha

Para qualquer árvore de falhas, o evento de topo pode ser expresso em forma Booleana. À medida que a árvore vai aumentando, o número de eventos e de portas lógicas e a complexidade das expressões booleanas também tornam-se maiores. Tratando-se de FTA, há uma diferença conceitual entre ocorrência e existência da falha. Hartford & Baecher (2004) definem que, quando se trata de existência da falha, isso implica que a mesma já ocorreu e, se ainda existe, não foi reparada. Já a ocorrência da falha denota que de fato ocorreu o evento indesejado, porém a falha ainda pode ser reparada. Essa diferença conceitual não é crítica para

Isso quer dizer que o analista não pode assumir que a falha irá ocorrer e, portanto, deve-se interromper a sequência de falhas. Desde a sua concepção, a árvore de falhas tem sido aplicada em diferentes tipos de sistemas e, quando aplicada em barragens, é importante que os limites da árvore sejam claramente definidos, uma vez que na análise de risco de barragens os problemas podem ser divididos em sistemas e inúmeros subsistemas.

Winter (1995) levanta que a escolha do evento de topo é muito importante, e tal evento não pode ser muito generalista, uma vez que a árvore de falhas se tornará muito grande e pouco manejável, e tampouco muito específico, sendo que essa condição faz com que a análise não proporcione uma visão suficiente ampla do sistema.

Uma vez que a árvore de falhas é transformada em uma forma Booleana, o evento indesejável pode ser escrito em termos dos conjuntos mínimos de cortes (Ci), que representa a

combinação dos eventos, na qual se todos falharam simultaneamente, o evento indesejável irá ocorrer. Sendo assim, o evento de topo pode ser definido tal como na equação (3.18):

(3.18)

em que Ci = X1.X2.Xn e X representam os eventos básicos. Portanto, a probabilidade da

ocorrência do evento de topo é dada pela equação (3.19):

(3.19)

A Figura 3.29 ilustra uma árvore de falhas e na qual o evento de topo (ET) é dado pela soma dos subsistemas E1, E2 e do evento A, sendo que E1 é a soma do evento B com o subsistema E3 e o subsistema E2 pode ser definido como o produto dos subsistemas E4 e E5. A derivação dos cortes mínimos é basicamente um processo de redução e expansão algébrica, mas de importância vital na avaliação tanto qualitativa quanto quantitativa da árvore de falhas.

Qualitativamente, os cortes mínimos identificam os diferentes caminhos que podem levar o sistema à falha e quais eventos devem ser priorizados. Para sistemas complexos, o conhecimento qualitativo é importante para o analista no sentido de entender a performance do sistema e aperfeiçoar a confiabilidade. Quantitativamente, avaliação da árvore de falhas pode ser subdividida em duas partes: na quantificação da própria probabilidade de ocorrência do evento de topo e da medida quantitativa dos eventos associados ao evento de topo.

Figura 3.29 - Exemplo de árvore de falhas

Fonte: Adaptado de Baptista (2008).