Анализ дерева отказов - Fault tree analysis

Диаграмма дерева отказов

Анализ дерева отказов (FTA) идет сверху вниз, дедуктивный анализ отказов, при котором нежелательное состояние системы анализируется с использованием Логическая логика объединить серию событий нижнего уровня. Этот метод анализа в основном используется в техника безопасности и инженерия надежности чтобы понять, как системы могут выйти из строя, определить лучшие способы снижения риска и определить (или почувствовать) частоту событий, связанных с аварией, связанной с безопасностью, или конкретным (функциональным) отказом системного уровня. FTA используется в аэрокосмический,[1] атомная энергия, химическая и технологическая,[2][3][4] фармацевтический,[5] нефтехимический и другие отрасли с высокой степенью опасности; но также используется в таких разнообразных областях, как идентификация факторов риска, связанных с социальная служба системная ошибка.[6] FTA также используется в разработке программного обеспечения для целей отладки и тесно связан с методом устранения причин, используемым для обнаружения ошибок.

В аэрокосмической отрасли более общий термин «состояние отказа системы» используется для «нежелательного состояния» / главного события дерева отказов. Эти состояния классифицируются по серьезности их последствий. Самые суровые условия требуют самого тщательного анализа дерева отказов. Эти состояния отказа системы и их классификация часто заранее определяются в функциональной анализ опасности.

использование

Анализ дерева отказов можно использовать для:

  • понять логику, ведущую к главному событию / нежелательному состоянию.
  • показать соответствие (входным) требованиям безопасности / надежности системы.
  • расставить приоритеты среди участников, ведущих к главному событию, - создать списки критического оборудования / деталей / событий для различных мер важности
  • контролировать и контролировать показатели безопасности сложная система (например, безопасно ли летать конкретный самолет, когда топливный клапан Икс неисправности? Как долго можно летать при неисправности клапана?).
  • минимизировать и оптимизировать ресурсы.
  • помочь в разработке системы. FTA можно использовать в качестве инструмента проектирования, который помогает создавать требования (выходной / нижний уровень).
  • функционируют как диагностический инструмент для выявления и устранения причин главного события. Это может помочь в создании диагностических руководств / процессов.

История

Анализ дерева отказов (FTA) был первоначально разработан в 1962 г. Bell Laboratories Автор: H.A. Ватсон, под ВВС США Отдел баллистических систем контракт на оценку Минитмен I Межконтинентальная баллистическая ракета (МБР) Система управления пуском.[7][8][9][10] С тех пор использование деревьев отказов получило широкую поддержку и часто используется экспертами по надежности в качестве инструмента анализа отказов.[11] После первого опубликованного использования FTA в исследовании безопасности Minuteman I Launch Control в 1962 году, Боинг и AVCO расширил использование FTA для всей системы Minuteman II в 1963–1964. FTA широко освещалась в 1965 г. Безопасность системы Симпозиум в Сиэтл спонсируется Boeing и Вашингтонский университет.[12] Boeing начал использовать FTA для гражданский самолет дизайн около 1966 года.[13][14]

Впоследствии в вооруженных силах США применение FTA для использования с взрывателями было изучено Пикатинни Арсенал в 1960-1970-е гг.[15] В 1976 г. Командование материальной частью армии США включила FTA в Руководство по проектированию для обеспечения надежности.[16] Центр анализа надежности при Римская лаборатория и его дочерние организации теперь с Центр оборонной технической информации (Центр анализа информации о надежности, а теперь Центр анализа информации оборонных систем[17]) опубликовал документы по FTA и блок-схемам надежности с 1960-х годов.[18][19][20] MIL-HDBK-338B содержит более свежую ссылку.[21]

В 1970 г. Федеральное управление гражданской авиации США (FAA) опубликовало изменение на 14 CFR 25.1309 летная годность правила для категория транспорта самолет в Федеральный регистр в 35 FR 5665 (1970-04-08). Это изменение приняло критерии вероятности отказа для авиационные системы и оборудование, что привело к широкому использованию FTA в гражданской авиации. В 1998 году Федеральное управление гражданской авиации опубликовало Приказ 8040.4,[22] разработка политики управления рисками, включая анализ опасностей в ряде критических мероприятий, выходящих за рамки сертификации воздушных судов, в том числе управления воздушным движением и модернизация США Национальная система воздушного пространства. Это привело к публикации Справочника по безопасности системы FAA, в котором описывается использование FTA в различных типах формального анализа опасностей.[23]

В начале Программа Аполлон Был задан вопрос о вероятности успешной отправки астронавтов на Луну и их благополучного возвращения на Землю. Был выполнен какой-то расчет риска или надежности, и в результате вероятность успеха миссии была неприемлемо низкой. Этот результат отговорил НАСА от дальнейшего количественного анализа рисков или надежности до тех пор, пока Претендент авария в 1986 году. Вместо этого НАСА решило полагаться на использование анализ режимов и последствий отказов (FMEA) и другие качественные методы оценки безопасности системы. После Претендент авария, важность вероятностная оценка риска (PRA) и FTA в анализе рисков и надежности систем были реализованы, и их использование в НАСА начало расти, и теперь FTA считается одним из наиболее важных методов анализа надежности и безопасности системы.[24]

В атомной энергетике Комиссия по ядерному регулированию США начал использовать методы PRA, включая FTA, в 1975 г. и значительно расширил исследования PRA после инцидента 1979 г. Три Майл Айленд.[25] В конечном итоге это привело к публикации в 1981 г. Справочника по дереву отказов NRC NUREG-0492,[26] и обязательное использование PRA в соответствии с регулирующим органом NRC.

После катастроф в обрабатывающей промышленности, таких как 1984 г. Бхопальская катастрофа и 1988 Пайпер Альфа взрыв, в 1992 г. Министерство труда США Управление по охране труда (OSHA) опубликовано в Федеральном реестре под номером 57 FR 6356 (1992-02-24), его Управление производственной безопасностью (PSM) в 19 CFR 1910.119.[27] OSHA PSM считает FTA приемлемым методом анализ опасностей процесса (PHA).

Сегодня FTA широко используется в безопасность системы и инженерия надежности, и во всех основных областях техники.

Методология

Методология FTA описана в нескольких отраслевых и государственных стандартах, включая NRC NUREG-0492 для ядерной энергетики, аэрокосмическую версию NUREG-0492 для использования НАСА,[24] SAE ARP4761 для гражданской авиации, MIL – HDBK – 338 для военных систем, IEC стандарт IEC 61025[28] предназначен для межотраслевого использования и соответствует европейским нормам EN 61025.

Любая достаточно сложная система может выйти из строя в результате отказа одной или нескольких подсистем. Однако вероятность отказа часто можно снизить за счет улучшения конструкции системы. Анализ дерева отказов отображает взаимосвязь между отказами, подсистемами и избыточными элементами проектирования безопасности, создавая логическую схему всей системы.

Нежелательный результат принимается как корень («верхнее событие») дерева логики. Например, нежелательным результатом работы штамповочного пресса по металлу является штамповка придатка человека. Работая в обратном направлении от этого главного события, мы можем определить, что это могло произойти двумя способами: во время нормальной работы или во время обслуживания. Это условие является логическим ИЛИ. Рассматривая ветвь, происходящую во время нормальной работы, возможно, мы определяем, что это могло произойти двумя способами: циклы прессования и вред оператору или циклы прессования и вред другому человеку. Это еще одно логическое ИЛИ. Мы можем улучшить конструкцию, потребовав от оператора нажатия двух кнопок для цикла машины - это функция безопасности в форме логического И. У кнопки может быть собственная частота отказов - это становится стимулом к ​​отказу, который мы можем проанализировать. Когда деревья отказов помечены фактическими числами вероятностей отказов, компьютерные программы может рассчитывать вероятности отказа на основе деревьев отказов. Когда обнаруживается, что конкретное событие имеет более одного следящего события, то есть влияет на несколько подсистем, это называется общей причиной или общим режимом. Графически это означает, что это событие появится в нескольких местах в дереве. Общие причины вводят отношения зависимости между событиями. Вычисления вероятностей дерева, содержащего некоторые общие причины, намного сложнее, чем обычные деревья, где все события считаются независимыми. Не все программные инструменты, доступные на рынке, обеспечивают такую ​​возможность.

Дерево обычно выписывают обычным логический вентиль символы. Набор сокращений - это комбинация событий, обычно отказов компонентов, вызывающих событие верхнего уровня. Если никакое событие не может быть удалено из набора вырезок, не вызвав при этом событие верхнего уровня, то оно называется минимальным набором вырезок.

Некоторые отрасли используют как деревья отказов, так и деревья событий (видеть Вероятностная оценка риска ). Дерево событий начинается с нежелательного инициатора (потеря критически важного источника питания, отказ компонентов и т. Д.) И следует за возможными дальнейшими системными событиями вплоть до ряда конечных последствий. При рассмотрении каждого нового события в дерево добавляется новый узел с разделением вероятностей перехода на любую из ветвей. Затем можно увидеть вероятности ряда «главных событий», возникающих из начального события.

Классические программы включают Научно-исследовательский институт электроэнергетики (EPRI) CAFTA, которое используется на многих атомных электростанциях США и большинством американских и международных авиакосмических производителей, а также Национальная лаборатория Айдахо с САФИР, который используется правительством США для оценки безопасности и надежность из ядерные реакторы, то Космический шатл, а Международная космическая станция. За пределами США программное обеспечение RiskSpectrum является популярным инструментом для анализа дерева отказов и дерева событий и лицензировано для использования почти на половине мировых атомных электростанций для вероятностной оценки безопасности. Профессионального уровня бесплатно программное обеспечение также широко доступен; КАТИСЬ[29] это инструмент с открытым исходным кодом, который реализует формат обмена модели Open-PSA[30] открытый стандарт для приложений вероятностной оценки безопасности.

Графические символы

Основные символы, используемые в FTA, сгруппированы как символы событий, ворот и передач. В программном обеспечении FTA могут использоваться незначительные изменения.

Символы событий

Символы событий используются для основные события и промежуточные события. Первичные события не получают дальнейшего развития в дереве отказов. Промежуточные события находятся на выходе из ворот. Символы событий показаны ниже:

  • Базовое событие

  • Внешнее событие

  • Неразвитое событие

  • Событие кондиционирования

  • Промежуточное событие

Основные символы событий обычно используются следующим образом:

  • Базовое событие - отказ или ошибка в системном компоненте или элементе (пример: выключатель застрял в разомкнутом положении)
  • Внешнее событие - обычно ожидается (не является неисправностью)
  • Неразвитое событие - событие, о котором недостаточно информации или которое не имеет значения
  • Событие кондиционирования - условия, которые ограничивают или влияют на логические элементы (пример: действующий режим работы)

Промежуточный шлюз событий можно использовать непосредственно над основным событием, чтобы предоставить больше места для ввода описания события.

FTA - это подход сверху вниз.

Символы ворот

Символы ворот описывают взаимосвязь между входными и выходными событиями. Эти символы являются производными от символов логической логики:

  • ИЛИ ворота

  • И ворота

  • Эксклюзивные ворота OR

  • Приоритет И ворота

  • Запретить ворота

Ворота работают следующим образом:

  • ИЛИ ворота - вывод происходит при любом вводе.
  • И ворота - выход происходит только в том случае, если все входы происходят (входы независимы).
  • Эксклюзивные ворота OR - вывод происходит, если происходит ровно один ввод.
  • Приоритет И ворота - выход происходит, если входы происходят в определенной последовательности, определенной условным событием.
  • Запретить ворота - выход происходит, если вход происходит при разрешающем условии, заданном условным событием.

Символы передачи

Символы передачи используются для подключения входов и выходов связанных деревьев отказов, таких как дерево отказов подсистемы, к ее системе. НАСА подготовило полный документ о FTA на основе практических примеров.[24]

  • Перевод в

  • Перенести из

Основные математические основы

События в дереве отказов связаны с статистический вероятности или постоянные скорости с экспоненциальным распределением Пуассона. Например, отказы компонентов обычно могут происходить при некоторой постоянной интенсивность отказов λ (постоянная функция риска). В этом простейшем случае вероятность отказа зависит от интенсивности λ и времени воздействия t:

P = 1 - ехр (-λt)

куда:

P ≈ λt, если λt <0,001

Дерево отказов часто нормализуется по заданному интервалу времени, например, часу полета или среднему времени миссии. Вероятности событий зависят от отношения функции опасности события к этому интервалу.

В отличие от обычных логический вентиль диаграммы, на которых входы и выходы удерживают двоичный значения TRUE (1) или FALSE (0), вентили в дереве отказов выходных вероятностей, связанных с установить операции из Логическая логика. Вероятность события выхода ворот зависит от вероятностей входного события.

Логический элемент И представляет собой комбинацию независимый События. То есть вероятность любого события ввода в вентиль И не зависит от любого другого события входа в тот же вентиль. В теоретико-множественный В терминах это эквивалентно пересечению наборов входных событий, а вероятность выхода логического элемента И определяется выражением:

P (A и B) = P (A ∩ B) = P (A) P (B)

С другой стороны, вентиль OR соответствует объединению множеств:

P (A или B) = P (A ∪ B) = P (A) + P (B) - P (A ∩ B)

Поскольку вероятности отказов в деревьях отказов, как правило, невелики (менее 0,01), P (A ∩ B) обычно становится очень малым членом ошибки, и выход логического элемента ИЛИ можно консервативно аппроксимировать, используя предположение, что входные данные являются взаимоисключающие события:

P (A или B) ≈ P (A) + P (B), P (A ∩ B) ≈ 0

Элемент исключающее ИЛИ с двумя входами представляет вероятность того, что произойдет один или другой вход, но не оба:

P (A xor B) = P (A) + P (B) - 2P (A ∩ B)

Опять же, поскольку P (A ∩ B) обычно становится очень малым членом ошибки, вентиль «исключающее ИЛИ» имеет ограниченное значение в дереве отказов.

Довольно часто ставки Пуассона-экспоненциально распределенные[31] используются для количественной оценки дерева отказов вместо вероятностей. Ставки часто моделируются как постоянные во времени, в то время как вероятность является функцией времени. Экспоненциальные события Пуассона моделируются как бесконечно короткие, поэтому никакие два события не могут перекрываться. Логический элемент ИЛИ - это суперпозиция (сложение частот) двух входных частот отказов или интенсивностей отказов, которые моделируются как Точечные процессы Пуассона. Выход логического элемента И вычисляется с использованием недоступности (Q1) одного события, прореживающего точечный процесс Пуассона другого события (λ2). Недоступность (Q2) другого события затем прореживает точечный процесс Пуассона первого события (λ1). Два результирующих точечных процесса Пуассона накладываются согласно следующим уравнениям.

Выходом логического элемента И является комбинация независимых входных событий 1 и 2 для логического элемента И:

Частота отказов = λ1Q2 + λ2Q1 где Q = 1 - eλt ≈ λt, если λt <0,001
Частота отказов ≈ λ1λ2т2 + λ2λ1т1 если λ1т1 <0,001 и λ2т2 < 0.001

В дереве отказов недоступность (Q) может быть определена как недоступность безопасной работы и может не относиться к недоступности работы системы в зависимости от того, как было структурировано дерево отказов. Входные термины в дерево отказов должны быть тщательно определены.

Анализ

Для моделирования FTA можно использовать множество различных подходов, но наиболее распространенный и популярный способ можно резюмировать в несколько шагов. Единое дерево отказов используется для анализа одного и только одного нежелательного события, которое впоследствии может быть передано в другое дерево отказов в качестве основного события. Хотя природа нежелательного события может сильно различаться, FTA следует той же процедуре для любого нежелательного события; будь то задержка в 0,25 мс для выработки электроэнергии, необнаруженный пожар в грузовом отсеке или случайный, непреднамеренный запуск МБР.

Анализ FTA включает пять шагов:

  1. Определите нежелательное событие для изучения.
    • Определение нежелательного события может быть очень трудным для раскрытия, хотя некоторые из событий очень легко и очевидно наблюдать. Инженер с обширными знаниями в области проектирования системы - лучший человек, который поможет определить и пронумеровать нежелательные события. Затем нежелательные события используются для заключения соглашений о свободной торговле. Каждый FTA ограничен одним нежелательным событием.
  2. Получите представление о системе.
    • После того, как нежелательное событие выбрано, все причины с вероятностью воздействия на нежелательное событие равной 0 или более изучаются и анализируются. Получить точные числа вероятностей, ведущих к событию, обычно невозможно по той причине, что это может быть очень дорогостоящим и длительным. Компьютерное программное обеспечение используется для изучения вероятностей; это может привести к снижению затрат на системный анализ.
      Системные аналитики могут помочь разобраться в системе в целом. Разработчики системы имеют полное представление о системе, и эти знания очень важны для того, чтобы не упустить ни одной причины, влияющей на нежелательное событие. Для выбранного события все причины затем пронумерованы и упорядочены в порядке возникновения, а затем используются для следующего шага, который представляет собой рисование или построение дерева отказов.
  3. Постройте дерево отказов.
    • После выбора нежелательного события и анализа системы, чтобы знать все вызывающие эффекты (и, если возможно, их вероятности), мы можем построить дерево отказов. Дерево отказов основано на логических элементах И и ИЛИ, которые определяют основные характеристики дерева отказов.
  4. Оцените дерево отказов.
    • После того, как дерево отказов было собрано для конкретного нежелательного события, оно оценивается и анализируется на предмет возможных улучшений или, другими словами, изучают управление рисками и находят способы улучшения системы. Может применяться широкий спектр качественных и количественных методов анализа.[32] Этот шаг является введением к заключительному шагу, который будет заключаться в контроле выявленных опасностей. Короче говоря, на этом этапе мы идентифицируем все возможные опасности, прямо или косвенно влияющие на систему.
  5. Управляйте выявленными опасностями.
    • Этот шаг очень специфичен и сильно отличается от одной системы к другой, но главное всегда будет заключаться в том, что после выявления опасностей используются все возможные методы для уменьшения вероятности возникновения.

Сравнение с другими аналитическими методами

FTA - это дедуктивный, нисходящий метод, направленный на анализ воздействия исходных неисправностей и событий на сложную систему. Это контрастирует с анализ режимов и последствий отказов (FMEA), который является индуктивный, восходящий метод анализа, направленный на анализ воздействия отказов отдельных компонентов или функций на оборудование или подсистемы. FTA очень хорошо показывает, насколько устойчива система к одиночным или множественным исходным сбоям. Это не очень хорошо для обнаружения всех возможных исходных неисправностей. FMEA хорош для исчерпывающей каталогизации исходных неисправностей и определения их локальных эффектов. Это не очень хорошо для изучения множественных отказов или их последствий на системном уровне. FTA учитывает внешние события, FMEA - нет.[33] В гражданской авиации и космонавтике обычной практикой является выполнение как FTA, так и FMEA с сводка эффектов режима отказа (FMES) как интерфейс между FMEA и FTA.

Альтернативы FTA включают: диаграмма зависимости (DD), также известный как блок-схема надежности (RBD) и Марковский анализ. Диаграмма зависимости эквивалентна анализу дерева успеха (STA), логической инверсии FTA, и изображает систему, использующую пути вместо ворот. DD и STA производят вероятность успеха (т. Е. Избежание главного события), а не вероятность главного события.

Смотрите также

Рекомендации

  1. ^ Goldberg, B.E .; Everhart, K ​​.; Stevens, R .; Babbitt, N .; Clemens, P .; Стаут, Л. (1994). "3". Набор инструментов для системного проектирования для инженеров, ориентированных на дизайн. Центр космических полетов Маршалла. С. 3–35 до 3–48.
  2. ^ Центр безопасности химических процессов (апрель 2008 г.). Руководящие указания по процедурам оценки опасностей (3-е изд.). Вайли. ISBN  978-0-471-97815-2.
  3. ^ Центр безопасности химических процессов (октябрь 1999 г.). Руководство по количественному анализу рисков химических процессов (2-е изд.). Американский институт инженеров-химиков. ISBN  978-0-8169-0720-5.
  4. ^ Управление охраны труда и здоровья Министерства труда США (1994). Руководящие принципы управления производственной безопасностью для соответствия (PDF). Типография правительства США. OSHA 3133.
  5. ^ Гармонизированные трехсторонние руководящие принципы ICH. Руководство по качеству (январь 2006 г.). Q9 Управление рисками качества.
  6. ^ Лэйси, Питер (2011). «Применение анализа дерева отказов для выявления и управления рисками в сфере оказания гуманитарных услуг, финансируемых государством». Материалы 2-й Международной конференции по государственной политике и социальным наукам. SSRN  2171117.
  7. ^ Эриксон, Клифтон (1999). «Анализ дерева отказов - история» (PDF). Материалы 17-й Международной конференции по системной безопасности. Архивировано из оригинал (PDF) на 2011-07-23. Получено 2010-01-17.
  8. ^ Rechard, Роберт П. (1999). «Историческая взаимосвязь между оценкой эффективности захоронения радиоактивных отходов и другими видами оценки риска в США» (pdf). Анализ риска. 19 (5): 763–807. Дои:10.1023 / А: 1007058325258. PMID  10765434. S2CID  704496. SAND99-1147J. Получено 2010-01-22.
  9. ^ Зима, Матиас (1995). «Анализ дерева отказов программного обеспечения устройства автоматизированной системы управления, написанный в ADA» (pdf). Дипломная работа. ADA303377. Получено 2010-01-17.
  10. ^ Беннер, Людвиг (1975). «Теория несчастных случаев и расследование несчастных случаев». Труды ежегодного семинара Общества исследователей авиационной безопасности. Получено 2010-01-17.
  11. ^ Мартенсен, Анна Л .; Батлер, Рики В. "Компилятор дерева ошибок". Исследовательский центр Лангли. НТРС. Получено 17 июня, 2011.
  12. ^ ДеЛонг, Томас (1970). "Руководство по дереву отказов" (pdf). Дипломная работа. AD739001. Получено 2014-05-18.
  13. ^ Экберг, К. Р. (1964). План программы анализа дерева отказов WS-133B. Сиэтл, Вашингтон: Компания Боинг. D2-30207-1. Получено 2014-05-18.
  14. ^ Хиксенбо, А. Ф. (1968). Дерево отказов для безопасности. Сиэтл, Вашингтон: Компания Боинг. D6-53604. Получено 2014-05-18.
  15. ^ Ларсен, Вальдемар (январь 1974 г.). Анализ дерева отказов. Пикатинни Арсенал. Технический отчет 4556. Получено 2014-05-17.
  16. ^ Эванс, Ральф А. (5 января 1976 г.). Справочник по инженерному проектированию Дизайн для надежности (PDF). Командование материальной частью армии США. AMCP-706-196. Получено 2014-05-17.
  17. ^ https://www.dsiac.org/
  18. ^ Begley, T. F .; Каммингс (1968). Дерево отказов для безопасности. РАК. ADD874448.
  19. ^ Андерсон, Р. Т. (март 1976 г.). Справочник по проектированию надежности. Центр анализа надежности. RDH 376. Получено 2014-05-17.
  20. ^ Махар, Дэвид Дж .; Джеймс В. Уилбур (1990). Руководство по применению анализа дерева отказов. Центр анализа надежности.
  21. ^ «7.9 Анализ дерева отказов». Справочник по проектированию надежности электронных устройств (pdf). Б. Министерство обороны США. 1998. MIL – HDBK – 338B.. Получено 2010-01-17.
  22. ^ ASY-300 (26 июня 1998 г.). Управление рисками безопасности (PDF). Федеральная авиационная администрация. 8040.4.
  23. ^ FAA (30 декабря 2000 г.). Справочник по безопасности системы. Федеральная авиационная администрация.
  24. ^ а б c Веселый, Уильям; и другие. (2002). Справочник по дереву отказов для аэрокосмических приложений (PDF). Национальное управление по аэронавтике и исследованию космического пространства. Получено 2018-07-16. Эта статья включает текст из этого источника, который находится в всеобщее достояние.
  25. ^ Ачарья, Сарбес; и другие. (1990). Риски тяжелых аварий: оценка пяти атомных электростанций США (PDF). Васингтон, округ Колумбия: США Комиссия по ядерному регулированию. NUREG – 1150. Получено 2010-01-17.
  26. ^ Веселый, В. Э .; и другие. (1981). Справочник по дереву отказов (PDF). Комиссия по ядерному регулированию. NUREG – 0492. Получено 2010-01-17.
  27. ^ Элке, Холли К., Глобальное применение стандарта управления производственной безопасностью (PDF)
  28. ^ Анализ дерева отказов. Версия 2.0. Международная электротехническая комиссия. 2006. ISBN  978-2-8318-8918-4. МЭК 61025.
  29. ^ КАТИСЬ
  30. ^ Формат обмена модели Open-PSA
  31. ^ Олофссон и Андерссон, Вероятность, статистика и случайные процессы, Джон Уайли и сыновья, 2011.
  32. ^ Руйтерс, Энно; Столинга, Мариэль И. А. (февраль – май 2015 г.). «Анализ дерева отказов: обзор последних достижений в области моделирования, анализа и инструментов». Обзор компьютерных наук. 15–16: 29–62. Дои:10.1016 / j.cosrev.2015.03.001.
  33. ^ Лонг, Аллен, Красавица и чудовище - использование дерева отказов в качестве инструмента и злоупотребление им (PDF), fault-tree.net, заархивировано с оригинал (PDF) 19 апреля 2009 г., получено 16 января 2010