Aplikace ˇreˇs´ıc´ı spolehlivost syst´emu metodou stromu poruchov´ych stav˚u (FTA)

(1)

Aplikace ˇ reˇ s´ıc´ı spolehlivost syst´ emu metodou stromu poruchov´ ych stav˚ u (FTA)

Bakal´ aˇ rsk´ a pr´ ace

Studijn´ı program: B2646 – Informaˇcn´ı technologie Studijn´ı obor: 1802R007 – Informaˇcn´ı technologie Autor pr´ace: Vlastimil Fengl

Vedouc´ı pr´ace: Ing.Josef Chudoba, Ph.D.

(2)

Application for system reliabilty evaluation using fault tree analysis

Bachelor thesis

Study programme: B2646 – Information technology Study branch: 1802R007 – Information technology

Author: Vlastimil Fengl

Supervisor: Ing.Josef Chudoba, Ph.D.

(3)

(4)

(5)

Abstrakt

Tato bakaláˇrská práce se zabývá metodou stromu poruchových stav˚u a vytvoˇren´ı aplikace, která tuto metodu implementuje. Jde o metodu pouˇz´ıvanou pro ohodnocen´ı spolehlivosti libovolného systému. Práce se zamˇeˇruje na popis a postup metody stromu po- ruchových stav˚u. Jsou zde uvedeny krátké reˇserˇse na jiˇz existuj´ıc´ı aplikace. Souˇcást´ı práce je vytvoˇren´ı aplikace, která metodu stromu poruchových stav˚u vyuˇz´ıvá. Je zde uveden vývoj této aplikace, problémy pˇri vývoji a jejich ˇreˇsen´ı. V závˇeru práce jsou uvedeny pˇr´ıklady budouc´ıho moˇzného rozˇs´ıˇren´ı aplikace.

Kl´ıˇ cov´ a slova:

FTA, strom poruchov´ych stav˚u, bin´arn´ı rozhodovac´ı diagram, BDD, software, Java

Abstract

This bachelor thesis deals with the fault tree analysis and the creation of an application that implements this method. This method is used to evaluate the reliability of any system. The thesis focuses on the description and process of the fault tree analysis. There are short reviews of existing applications. Part of the thesis deals with creation of an application that uses the fault tree analysis, pro- blems and their solution during the development. In the end of the thesis are given some examples of future possible extensions to the application.

Keywords:

FTA, fault tree analysis, binary decision diagram, BDD, software, Java

(6)

Podˇ ekov´ an´ı

Chtˇel bych podˇekovat vedouc´ımu práce za veˇskerou pomoc s vypra- cován´ım bakaláˇrské práce. Dále bych chtˇel podˇekovat své pˇr´ıtelkyni, ˇ

ze mˇela pevné nervy a velmi mi pomohla pˇri vytváˇren´ı této práce.

Nakonec bych chtˇel podˇekovat svému vedouc´ımu v práci, který mˇel pochopen´ı a nechával mi dost ˇcasu na vypracováván´ı této práce.

(7)

Obsah

Seznam zkratek . . . 10

1 Uvod´ 11 2 FTA - Anal´yza stromu poruchov´ych stav˚u 12 2.1 Uvod do FTA´ . . . 12

2.2 C´ıle a pouˇzit´ı FTA . . . 12

2.3 Term´ıny a definice v FTA . . . 13

2.4 Obecn´y popis FTA . . . 14

2.5 Pouˇz´ıvan´e znaˇcky v FTA . . . 15

2.6 Postup a vyhodnocen´ı FTA . . . 16

3 Reˇserˇse vybran´ych SW pro FTA 25 3.1 Program ALD Fault Tree Analyser . . . 25

3.2 Program ITEM Toolkit . . . 26

3.3 Program TopEvent FTA . . . 26

3.4 Program EMFTA . . . 27

4 V´yvoj aplikace 28 4.1 Poˇzadavky na aplikaci . . . 28

4.2 Pouˇzit´a technologie . . . 28

4.3 Datov´e struktury . . . 29

4.4 Reˇsen´ˇ e probl´emy v aplikaci . . . 31

5 Testov´an´ı aplikace 42 5.1 Prvn´ı testovac´ı strom poruch . . . 42

5.2 Druh´y testovac´ı strom poruch . . . 44

6 Popis aplikace 47 6.1 Hlavn´ı okno programu . . . 47

6.2 Okno ´upravy komponenty . . . 50

6.3 Okno v´ysledk˚u anal´yzy . . . 52

6.4 Generátor náhodného stromu do CSV souboru . . . 52

7 Z´avˇer pr´ace 53

Pˇr´ıloha 56

(8)

A Obr´azky 56 A.1 Prostˇred´ı programu EMFTA . . . 56 A.2 Okno v´ysledk˚u . . . 57 A.3 Testovac´ı stromy poruch . . . 59

B Uk´azky k´odu 61

B.1 Vyhledán´ı základn´ıch událost´ı pomoc´ı hledán´ı do ˇs´ıˇrky . . . 61 B.2 Ukázka metody textModify(String text) ve tˇr´ıdˇe PrimEventPane . . . 62 B.3 Metoda pro ukládán´ı strom poruch do souboru ve tˇr´ıdˇe ObjectFileO-

perator . . . 63

C N´avod k aplikaci 64

C.1 Instalace . . . 64 C.2 Popis uˇzivatelsk´eho rozhran´ı . . . 64

D Obsah CD 68

(9)

Seznam obr´ azk˚ u

2.1 Ukázka mnoˇziny vˇsech minimáln´ıch kritických ˇrez˚u . . . 18

2.2 Pˇr´ıklad stromu poruchov´ych stav˚u. . . 19

2.3 Logick´e hradlo AND . . . 21

2.4 Logick´e hradlo OR . . . 21

2.5 Majoritn´ı hradlo (hradlo M/N) . . . 22

2.6 Strom poruchov´ych stav˚u pro kvantitativn´ı v´ypoˇcet . . . 22

3.1 Program ALD Fault Tree Analyser . . . 25

3.2 Program TopEvent FTA 2017 . . . 27

4.1 C´ˇast bin´arn´ıho rozhodovac´ıho diagramu. . . 38

4.2 Seˇrazen´y bin´arn´ıho rozhodovac´ı diagram funkce f = ac + bc . . . 39

4.3 Sjednocen´ı stejn´ych list˚u diagramu . . . 39

4.4 Nahrazen´ı uzlu BDD . . . 39

4.5 Sjednocen´ı duplicitn´ıch uzl˚u BDD . . . 40

4.6 Redukovan´y BDD funkce f = ac + bc . . . 40

4.7 Postup pro z´ısk´an´ı disjunktn´ı formy booleovsk´e funkce z BDD . . . . 40

5.1 Minim´aln´ı kritick´y ˇrez ˇc. 1 . . . 43

5.2 Minim´aln´ı kritick´y ˇrez ˇc. 2 . . . 43

5.3 V´ysledek kvantitativn´ı anal´yzy pomoc´ı aplikace . . . 44

5.4 Výsledek kvalitativn´ı analýzy pomoc´ı aplikace pro druhý test. strom . 45 6.1 Hlavn´ı okno aplikace . . . 47

6.2 Kontextov´e menu komponenty . . . 49

6.3 Okno pro zad´an´ı hodnoty pravdˇepodobnosti . . . 51

6.4 Okno ´upravy komponenty . . . 51

A.1 Program EMFTA . . . 56

A.2 Po kvalitativn´ı anal´yze stromu . . . 57

A.3 Neopravitelný systém po kvantitativn´ı analýze stromu . . . 57

A.4 Opravitelný systém po kvantitativn´ı analýze stromu . . . 58

A.5 Dalˇs´ı opravitelný systém po kvantitativn´ı analýze stromu . . . 58

A.6 Prvn´ı testovac´ı strom poruch. . . 59

A.7 Druh´y testovac´ı strom poruch . . . 60

C.1 Kontextov´e menu komponenty . . . 65

(10)

Seznam zkratek

FTA Fault tree analysis MKR Minim´aln´ı kritick´y ˇrez

SW Software

RIA Rich Internet Application

AADL Architecture analysis and design language

(11)

1 Uvod ´

Souˇcasná doba klade velký d˚uraz na uspokojován´ı potˇreb zákazn´ık˚u. S t´ım jde ruku v ruce i zvyˇsován´ı výroby a kvality produkt˚u, které si zákazn´ıci pˇrej´ı. To sebou nese ale i d˚uraz na zvyˇsován´ı bezpeˇcnosti tˇechto produkt˚u a pro firmy i snahu na sniˇzován´ı náklad˚u na výrobu. Existuj´ı i odvˇetv´ı pr˚umyslu, kde je ˇzádouc´ı zna- lost spolehlivosti jejich produkt˚u ˇci velikost dopadu neˇzádouc´ıch faktor˚u, které tyto produkty mohou ovlivnit, dˇr´ıve neˇz tento produkt vytvoˇr´ı.

Sniˇzován´ı náklad˚u na výrobu pˇri zachován´ı kvality produktu lze dosáhnout mini- malizac´ı neˇzádouc´ıch stav˚u a chyb ve výrobn´ım procesu. Spolehlivost produktu lze zase dosáhnout eliminac´ı vysoké poruchovosti prvk˚u nebo úpravou návrhu produktu.

Pro zapsán´ı ˇc´ı odhalen´ı tˇechto problém˚u a vyhodnocen´ı jejich dopadu je potˇreba analytický nástroj, který dokáˇze tyto problémy pˇrehlednˇe zaznamenat, vyhodnotit a pˇr´ıpadnˇe umoˇznit nalezen´ı ˇreˇsen´ı.

Jedn´ım z tˇechto nástroj˚u, které dokáˇz´ı odhalit kritická m´ısta, je metoda analýzy stromu poruchových stav˚u (Fault Tree Analysis). Tento nástroj se bˇeˇznˇe vyuˇz´ıvá napˇr´ıklad v letectv´ı, energetice nebo i v armádˇe. Tato metoda je podrobnˇeji popsána v kapitole2 této práce.

V kapitolách 2.3 aˇz 2.5 lze nalézt obecný popis metody stromu poruchových stav˚u. Kapitola2.6popisuje zp˚usob sestaven´ı analýzy a zp˚usoby jej´ıho vyhodnocen´ı.

Dále v kapitole 3 jsou popsány nˇekolik existuj´ıc´ıch program˚u a zkuˇsenosti s jejich pouˇzit´ım. vytvoˇril jsem aplikaci, která ˇreˇs´ı spolehlivost systému pomoc´ı této analýzy.

Kapitola4 popisuje vývoj aplikace v rámci práce a problémy s jejich ˇreˇsen´ım, které nastaly bˇehem vývoje aplikace.

(12)

2 FTA - Anal´ yza stromu poruchov´ ych stav˚ u

2.1 Uvod do FTA ´

Metoda analýzy stromu poruchových stav˚u (Fault tree analysis - FTA) byla vymyˇslena roku 1961 panem H. A. Watsonem ve firmˇe Bell Telephone Laboratories na zakázku pro Letectvo Spojených stát˚u amerických. Zakázka se týkala posouzen´ı odpalovac´ıho ˇr´ıd´ıc´ıho systému pro balistickou stˇrelu Minuteman I. Nˇekolik ˇclánk˚u, které vysvˇetlovaly výhody metody FTA, bylo prezentováno na Symposiu bezpeˇcnosti v Seattlu v roce 1965. Prezentace tˇechto ˇclánk˚u je oznaˇcována za poˇcátek ˇsirokého zájmu ve vyuˇz´ıván´ı metody FTA jako nástroje pro bezpeˇcnost a spolehlivost velmi sloˇzitých systém˚u jako napˇr´ıklad jaderný reaktory.[1]

Analýza stromu poruchových stav˚u je metoda pro identifikaci a analýzu faktor˚u a podm´ınek, které zp˚usobuj´ı nebo by potenciálnˇe mohly zp˚usobovat výskyt ˇci pˇrisp´ıvat k výskytu pˇredem definované takzvané vrcholové události. Touto událost´ı bývá obvykle zhorˇsen´ı fungován´ı nebo úplné selhán´ı systému ˇci sn´ıˇzen´ı bezpeˇcnosti nebo zhorˇsen´ı jiných atribut˚u d˚uleˇzitých pro provoz.[2]

2.2 C´ıle a pouˇ zit´ı FTA

Analýza metodou stromu poruchových stav˚u je vhodná k analýze systém˚u skládaj´ıc´ı se z nˇekolika funkˇcnˇe souvisej´ıc´ıch nebo závislých podsystém˚u. Bˇeˇzné vyuˇzit´ı tato metoda nacház´ı napˇr´ıklad pˇri projektován´ı jaderných elektráren, dopravn´ıch a ko- munikaˇcn´ıch systém˚u, chemických ˇci jiných pr˚umyslových proces˚u, zdravotnických systém˚u.[2]

Tato analýza se ˇcasto pouˇz´ıvá jako nástroj:

– ”k analýze systému, urˇcen´ı jeho bezporuchovosti, identifikaci hlavn´ıch pˇrispˇevat- el˚u k jeho poruchovosti a k hodnocen´ı zmˇen návrhu.“[2]

– ”jako pomoc pˇri úsil´ı vynaloˇzeném pˇri pravdˇepodobnostn´ım posuzován´ı ri- zika.“[2]

– ”ke zkoumán´ı systému v pr˚ubˇehu jeho vývoje a pˇredv´ıdán´ı a zabránˇen´ı vzniku ˇ

ci zm´ırnˇen´ı následk˚u potenciáln´ı pˇr´ıˇciny (pˇr´ıˇcin) neˇzádouc´ı vrcholové události.“[2]

(13)

Analýzu FTA je moˇzné vyuˇz´ıt ve vˇsech etapách návrhu produkt˚u jako analy- tický nástroj pro identifikaci moˇzných návrhových problém˚u, dokonce i v ˇcasných etapách, kdy nejsou úplné informace o podrobnostech návrhu. Bˇehem analýzy FTA se také identifikuj´ı moˇzné problémy, které mohou m´ıt p˚uvod v namáhán´ı produktu prostˇred´ım nebo provozem, ve fyzickém návrhu produktu ˇci v závadách ve výrobn´ıch procesech, v provozn´ıch nebo údrˇzbáˇrských postupech. Analýzu lze také provádˇet nezávisle na jiných analýzách bezporuchovosti nebo paralelnˇe s nimi.[2]

Analýza FTA se snaˇz´ı rozpoznat pˇr´ıˇciny nebo kombinace pˇr´ıˇcin, které vedou k vr- cholové události. Dalˇs´ım c´ılem analýzy FTA je vyhledán´ı události nebo kombinace událost´ı, které s nejvˇetˇs´ı pravdˇepodobnost´ı jsou pˇr´ıˇcinou vzniku vrcholové události.

Posledn´ı úlohou je vypoˇc´ıtán´ı pravdˇepodobnosti výskytu událost´ı.[2]

2.3 Term´ıny a definice v FTA

v´ystup (outcome)

Výstup je výsledek dané události nebo jiného vstupu.

Výstupem m˚uˇze být událost nebo stav.[2]

vrcholov´y v´ystup (top outcome)

Výstup, který je zkoumán sestaven´ım stromu poruchových stav˚u.[2]

koneˇcn´a ud´alost (final event)

Událost jej´ıˇz výstup je koneˇcným výsledek vˇsech vstupn´ıch událost´ı nebo stav˚u.[2]

vrcholov´a ud´alost (top event)

Vrcholová událost je událost, která je pˇredmˇetem zájmu celé analýzy. Je to výchoz´ı bod um´ıstˇený na vrcholku celého stromu analýzy. Lze j´ı téˇz oznaˇcit za

”koneˇcnou ud´alost (final event)“.[2]

hradlo (gate) Znaˇcka pouˇz´ıvaná ke zobrazen´ı vazby mezi vstupy a výstupn´ı událost´ı. Znaˇcka hradla definuje logický vztah mezi vstupn´ımi událostmi, aby doˇslo k výstupn´ı události.[2]

kritick´y ˇrez (cut set)

Mnoˇzina událost´ı, které zp˚usobuj´ı pˇri souˇcasném výskytu výskyt vrcholové události.[2]

minim´aln´ı kritick´y ˇrez

(minimal cut set)

Koneˇcná mnoˇzina základn´ıch, dále nerozv´ıjených událost´ı, které se nutnˇe mus´ı vyskytnout, aby zp˚usobily výskyt vr- cholové události.[2]

událost (event) Výskyt urˇcité podm´ınky nebo dˇeje.[2]

z´akladn´ı ud´alost (basic event)

Ud´alost, kterou nelze d´ale rozv´ıjet.[2]

(14)

prim´arn´ı ud´alost (primary event)

Událost nacházej´ıc´ı se na nejniˇzˇs´ı úrovni stromu poru- chových stav˚u.[2]

mezilehl´a ud´alost (intermediate event)

Událost, která nen´ı ani vrcholová, ani primárn´ı. Vˇetˇsinou je výsledkem jedné nebo v´ıce primárn´ıch událost´ı nebo jiných mezilehlých událost´ı.[2]

nerozv´ıjen´a ud´alost

(undeveloped event)

Událost neobsahuj´ıc´ı vstupn´ı události. V analýze bývá takto oznaˇcována událost bud’ z nedostatku podrobnˇejˇs´ıch informac´ı, nebo je tato událost rozv´ıjená v jiné analýze a v aktuáln´ı analýze je oznaˇcena jako nerozv´ıjená.[2]

jednobodov´a porucha (single point failure)

Událost, která zp˚usob´ı vrcholovou událost bez ohledu na ostatn´ı události.[2]

opakovan´a

ud´alost (repeated event)

Událost, která je vstupem pro jiné události vyˇsˇs´ı úrovnˇe.[2]

2.4 Obecn´ y popis FTA

Grafické znázornˇen´ı analýzy FTA je strom poruchových stav˚u. Jde o organizo- vanou reprezentaci podm´ınek nebo jiných faktor˚u, které zp˚usobuj´ı nebo pˇrisp´ıvaj´ı k výskytu hledané vrcholové události. Strom poruchových stav˚u je zobrazován jako diagram, který vyobrazuje logické vztahy mezi vrcholovou událost´ı a základn´ımi událostmi, které mohou zp˚usobovat vrcholovou událost. Strom poruch vyobraz´ı vývoj poruchy v systému a odhal´ı vazby mezi jednotlivými prvky systému.[3]

2.4.1 Souˇ c´ asti diagramu FTA

Diagram FTA se skládá z tˇechto souˇcást´ı:

Hradla

Hradla znázorˇnuj´ı logické vztahy mezi vstupn´ımi událostmi a výstupn´ımi událostmi.

Dále se dˇel´ı na statická a dynamická.[3]

• Statická hradla – výstup z tˇechto hradel nezávis´ı na poˇrad´ı výskytu na vstupu.

• Dynamická hradla – výstup z tˇechto hradel je závislý na poˇrad´ı výskytu na vstupu.

(15)

Ud´alosti

Události se nacház´ı na nejniˇzˇs´ı úrovni vstup˚u ve stromu poruchových stav˚u. Do stromu poruchových stav˚u je nutné zahrnout vˇsechny relevantn´ı události vˇcetnˇe vlivu prostˇred´ı a ostatn´ı podm´ınky namáhán´ı, kterým muˇze být objekt vystaven.[3]

Je nutné zahrnout i takové události, které jsou bˇehem provozu moˇzné, ale i mimo specifikaci návrhu. Události, které jsou v analýze uvaˇzovány, ale vylouˇceny z dalˇs´ı analýzy jako nepouˇzitelné, maj´ı být dokumentovány ve zprávˇe analýzy, ale uˇz nemaj´ı být zahrnuty v koneˇcném stromu poruchových stav˚u.[2]

Ostatn´ı

Ostatn´ı grafick´e souˇc´asti diagramu FTA jsou:

• spojovac´ı ˇc´ary

• popis mezilehl´ych ud´alost´ı

• znaˇcky transferu dovnitˇr a ven

• znaˇcky prim´arn´ıch ud´alost´ı

2.5 Pouˇ z´ıvan´ e znaˇ cky v FTA

Z´akladn´ı ud´alost Basic event

Událost nacházej´ıc´ı se na nejniˇzˇs´ı úrovni stromu.

Pro tuto ud´alost jsou k dispozici informace o bezporuchovosti nebo pravdˇepodobnosti v´yskytu.[2]

Nerozv´ıjen´a ud´alost Undevelopment event

Primárn´ı událost, která pˇredstavuje dosud nerozv´ıjenou ˇcást systému.[2]

Neaktivn´ı ud´alost Nonactive event

Prim´arn´ı ud´alost reprezentuj´ıc´ı neaktivn´ı poruchu.[2]

Podm´ınkov´a ud´alost Conditional

event

Událost, která je podm´ınkou výskytu dalˇs´ı události. Mus´ı nastat obˇe události, aby nastal výstup.[2]

Transfer Transfer

Hradlo, které naznaˇcuje, ˇze je tato ˇcást systému rozv´ıjena na jiné stranˇe nebo v jiné ˇcásti diagramu.[2]

(16)

Hradlo AND AND Gate

Výstupn´ı událost hradla nastane pouze tehdy, jestliˇze nastanou vˇsechny vstupn´ı události.[2]

Majoritn´ı hradlo Major Gate

Výstupn´ı událost hradla nastane pouze tehdy, jestliˇze nastane m nebo v´ıce vstupn´ıch událost´ı z celkového poˇctu n vstupn´ıch události.[2]

Hradlo OR OR Gate

Výstupn´ı událost hradla nastane, jestliˇze nastane jakákoliv ze vstupn´ıch událost´ı.[2]

Hradlo XOR XOR Gate

Výstupn´ı událost hradla nastane, jestliˇze nastane právˇe jedna z událost´ı na vstupu hradla.[2]

Hradlo PAND PAND Gate

Výstupn´ı událost hradla nastane, jestliˇze nastanou vˇsechny vstupn´ı události v poˇrad´ı zleva doprava.[2]

Hradlo INHIBIT INHIBIT Gate

Výstupn´ı událost hradla nastane jen tehdy, jestliˇze nastanou obˇe vstupn´ı události, z nichˇz jedna je podm´ınková událost.[2]

Negace

NEGATION

Výstupn´ı událost nastane, jestliˇze nenastane vstupn´ı událost.[2]

Pˇrep´ınaˇc ud´alost´ı SWITCH event

Výstupn´ı událost, která se bud’ jistˇe stane nebo stala.[2]

2.6 Postup a vyhodnocen´ı FTA

Metoda stromu poruchových stav˚u je deduktivn´ı metoda (strom se analyzuje od shora smˇerem dol˚u) a je zamˇeˇrená na pˇresném urˇcen´ı pˇr´ıˇcin nebo kombinac´ı pˇr´ıˇcin, které by mohly vyvolat vrcholovou událost. Samotnou analýzu by mˇeli pro- vádˇet pracovn´ıci, kteˇr´ı jsou jak vycviˇceni k pouˇzit´ı analýzy FTA nebo jiné pˇr´ısluˇsné techniky modelován´ı bezporuchovosti, tak maj´ı podrobné znalosti analyzovaného systému a jeho návrhových rys˚u o provozu. Analytik by mˇel dokázat vyhodnotit vlivy potencionáln´ıch zp˚usob˚u poruch a logicky jednoznaˇcnˇe urˇcit moˇzné pˇr´ıˇciny nestandardn´ıho chován´ı.[2]

(17)

2.6.1 Postup sestaven´ı FTA

Pˇred zahájen´ım analýzy FTA je potˇreba celý systém vymezit tak, aby mohl být reprezentován jako funkˇcn´ı bloky, kde mohou být urˇceny technické parametry jed- notlivých prvk˚u. Z tohoto d˚uvodu bývá pro analýzu FTA vytvoˇren tým odborn´ık˚u, kteˇr´ı s analyzovaným systémem pracuj´ı, maj´ı znalosti ˇci zkuˇsenosti s jednotlivými ˇcástmi analyzovaného systému nebo budou aplikovat analýzu FTA. Z tˇechto zna- lost´ı se pak hledaj´ı vˇsechny moˇzné zp˚usoby poruch a pˇr´ıpadná nedostateˇcná zna- lost systému neumoˇzn´ı odhalit vˇsechny moˇzné poruchy. Dále je nutné seznámit se se vˇsemi souvislostmi a vazbami mezi jednotlivými bloky systému, u kterých m˚uˇze docházet k poruchám, a je nutné je rozpoznat a zaznamenat do stromu.

Pak pˇricház´ı definice vrcholové události. Tato událost bude stav(porucha), který je v systému neˇzádouc´ı a pro který se budou hledat vˇsechny moˇzné pˇr´ıˇciny jeho vzniku.

Pˇri vytváˇren´ı stromu se postupuje od vrcholové události, pˇres mezilehlé události, aˇz k primárn´ım událostem, které jsou prvotn´ı pˇr´ıˇcinou vzniku poruchy.[3]

Dalˇs´ım krokem je sestaven´ı stromu poruchových stav˚u. Pro sestaven´ı stromu se pouˇz´ıvaj´ı výˇse definované znaˇcky z kapitoly 2.5 Pouˇz´ıvané znaˇcky v FTA. Exis- tuj´ı dvˇe skupiny znaˇcek, události a hradla. Vztahy mezi událostmi jsou definovány pomoc´ı znaˇcek hradel. V koneˇcném stádiu vývoje vznikne diagram, ve kterém jsou vˇsechny události spojeny hradly a kaˇzdé hradlo má jednu výstupn´ı a jednu ˇci v´ıce vstupn´ıch událost´ı.[4]

Po sestaven´ı stromu poruch se m˚uˇze pˇrej´ıt k samotné analýze tohoto stromu. Exis- tuj´ı dva zp˚usoby vyhodnocen´ı stromu, bud’ kvalitativn´ı nebo kvantitativn´ı analýza.

Kvalitativn´ı analýza po vyhodnocen´ı vrac´ı mnoˇzinu základn´ıch událost´ı, které pˇri souˇcasném vzniku vedou ke vzniku vrcholové události. U kvantitativn´ı analýzy stromu dojde k pravdˇepodobnostn´ımu ohodnocen´ı vzniku vrcholové události na základˇe pravdˇepodobnostn´ıch ohodnocen´ı základn´ıch událost´ı.

Postup pˇri FTA

• vymezen´ı rozsahu anal´yzy

• seznámen´ı se s návrhem, funkcemi a provozem systému

• definován´ı vrcholové události

• vytvoˇren´ı stromu poruchov´ych stav˚u

• anal´yza logiky stromu poruchov´ych stav˚u (kvalitativn´ı nebo kvantitativn´ı)

• vytvoˇren´ı zprávy o výsledc´ıch analýzy

• posouzen´ı zlepˇsen´ı bezporuchovosti syst´emu

(18)

2.6.2 Kvalitativn´ı anal´ yza FTA

C´ılem této analýzy je nalezen´ı vˇsech moˇzných kombinac´ı faktor˚u, podm´ınek pro- stˇred´ı, chyb lidského faktoru a poruch komponent systému, které by mohly vést ke vzniku vrcholové události. Pˇresnˇeji analýza umoˇzˇnuje nalézt mnoˇzinu vˇsech mi- nimáln´ıch kritických ˇrez˚u.[4]

Kritick´y ˇrez stromu poruchov´ych stav˚u

Kritický ˇrez je taková mnoˇzina základn´ıch, dále nerozv´ıjených událost´ı, které, pokud nastanou souˇcasnˇe, vedou ke vzniku vrcholové události.

Minimáln´ı kritický ˇrez stromu poruchových stav˚u

Minimáln´ı kritický ˇrez (dále jen MKR) je taková mnoˇzina elementárn´ıch událost´ı, která je sama kritickým ˇrezem, ale souˇcasnˇe ˇzádná jej´ı vlastn´ı podmnoˇzina kritickým ˇrezem nen´ı.

Jestliˇze je mnoˇzina vˇsech minimáln´ıch kritických ˇrez˚u MKR_i (kde i = 0, 1, . . . j, . . . k, . . . n) známa, lze logickou strukturu stromu poruchových stav˚u pˇrekreslit na sériovˇe paraleln´ı blokový diagram, kde kaˇzdá vˇetev diagramu pˇredstavuje jeden mi- nimáln´ı kritický ˇrez (viz Obr. 2.1).[4]

Obrázek 2.1: Ukázka mnoˇziny vˇsech minimáln´ıch kritických ˇrez˚u

Algoritmus k vyhledán´ı minimáln´ıch kritických ˇrez˚u

Jedn´ım z poˇzadavk˚u pˇri ˇreˇsen´ı stromu poruchových stav˚u je nalezen´ı vˇsech mi- nimáln´ıch kritických ˇrez˚u. Nalezen´ı mnoˇziny vˇsech minimáln´ıch kritických ˇrez˚u umoˇz- n´ı pˇretvoˇrit logiku vˇsech variant poruchy systému na jednoduchou sériovˇe-paraleln´ı blokovou strukturu, kterou lze ˇreˇsit standardn´ımi výpoˇcty.

(19)

Základn´ı metodou pro nalezen´ı vˇsech minimáln´ıch kritických ˇrez˚u je Booleovská redukce, která je zaloˇzená na popisu logických vazeb vyjádˇrených stromem poru- chových stav˚u. Tuto metodu lze pouˇz´ıt i pokud se objevuj´ı stejné události na v´ıce m´ıstech ve stromˇe poruchových stav˚u. Bohuˇzel tuto metodu nelze pouˇz´ıt pokud je vrcholová událost ˇcasovˇe závislá na jevech nebo na posloupnosti jev˚u.

Metoda je zaloˇzená na postupném vyjádˇren´ı vrcholové události jako kombinace jednotlivých událost´ı popsaných ve stromˇe poruchových stav˚u. V prvn´ım kroku se vyjádˇr´ı vrcholová událost jako logická kombinace událost´ı, které bezprostˇrednˇe mohou zp˚usobovat vrcholovou událost. V dalˇs´ıch kroc´ıch se stejným zp˚usobem popisuj´ı události na niˇzˇs´ıch úrovn´ı stromu dokud vrcholová událost nen´ı vyjádˇrena jako lo- gická kombinace vˇsech základn´ıch událost´ı.

Výsledný logický výraz se dále uprav´ı a zjednoduˇs´ı za pomoci Booleovy algebry tak, aby vyjadˇroval prosté sjednocen´ı pr˚unik˚u základn´ıch událost´ı. Tyto pr˚uniky pak reprezentuj´ı minimáln´ı kritické ˇrezy stromu poruchových stav˚u.[4]

Obr´azek 2.2: Pˇr´ıklad stromu poruchov´ych stav˚u

Celý postup bude podrobnˇeji ukázán na pˇr´ıkladu. Je dán strom poruchových stav˚u, který je vyobrazen na Obr.2.2. Nejprve je nutné vyjádˇrit vrcholovou událost G₀ jako logickou kombinaci bezprostˇredn´ıch pˇr´ıˇcin této události:

G₀ = G₁+ G₂+ A + G₃ (2.1)

Dále je potˇreba vyjádˇrit jevy G₁, G₂a G₃ jako logické kombinace jejich bezprostˇred- n´ıch pˇr´ıˇcin a tento bod opakovat dokud celá rovnice nen´ı vyjádˇrena výhradnˇe jen elementárn´ımi jevy:

G₀ = (G₄· G₅) + (E + F ) + A + (G₆· B) (2.2) G0 = ((C · D) · (C + E)) + (E + F ) + A + ((C · E) · B) (2.3)

(20)

Potom v´yraz upravit tak, aby vyjadˇroval prost´e sjednocen´ı jev˚u:

G₀ = A + C · C · D + C · D · E + E + F + B · C · E (2.4) Tento v´yraz lze d´ale zjednoduˇsit, protoˇze v Boolovˇe algebˇre plat´ı, ˇze:

C · C · D = C · D (2.5)

C · D + C · D · E = C · D (2.6)

E + B · C · E = E (2.7)

Výsledný logický výraz má po zjednoduˇsen´ı tvar:

G₀ = A + C · D + E + F (2.8)

Pro ukázkový strom poruchových stav˚u byly nalezeny ˇctyˇri minimáln´ı kritické ˇrezy:

XMKR = {A}, {C · D}, {E}, {F } (2.9)

Výˇse uvedený postup je velice jednoduchý a vede k jednoznaˇcnému urˇcen´ı vˇsech minimáln´ıch kritických ˇrez˚u. Avˇsak pˇri vysokém poˇctu elementárn´ıch jev˚u je tento postup velmi obt´ıˇzné ruˇcnˇe zvládnout, proto na ˇradu pˇricházej´ı specializované soft- warové produkty.[4]

Hodnocen´ı závaˇznosti minimáln´ıch kritických ˇrez˚u

Strom poruchových stav˚u m˚uˇze být kvalitativnˇe posouzen na základˇe rozboru minimáln´ıch kritických ˇrez˚u podle r˚uzných kritérii závaˇznosti. Jedn´ım z d˚uleˇzitých kritéri´ı závaˇznosti je ˇrád ˇrezu. ˇRád ˇrezu minimáln´ıho kritického ˇrezu udává poˇcet elementárn´ıch jev˚u, které tento ˇrez obsahuje. Minimáln´ı kritický ˇrez prvn´ıho ˇrádu je vˇetˇsinou závaˇznˇejˇs´ı neˇz ˇrezy vyˇsˇs´ıch ˇrád˚u, protoˇze takový ˇrez se sestává pouze z jednoho elementárn´ıho jevu a pˇri vzniku tohoto jevu docház´ı i k vrcholové události.

U vyˇsˇs´ıch ˇrád˚u nastává vrcholová událost jen pokud nastanou vˇsechny elementárn´ı jevy ˇrezu souˇcasnˇe.[4]

2.6.3 Kvantitativn´ı anal´ yza FTA

Jestliˇze jsou urˇceny parametry spolehlivosti elementárn´ıch jev˚u, lze provést kvantitativn´ı analýzu stromu poruchových stav˚u. Tato analýza umoˇzˇnuje urˇcen´ı celé ˇrady ukazatel˚u, které charakterizuj´ı vrcholovou událost. Zde je výˇcet nˇekterých ukazatel˚u:

• pravdˇepodobnost výskytu vrcholové události v zadaném intervalu provozu systému

• stˇredn´ı doba do prvn´ıho nastoupen´ı vrcholov´e ud´alosti

(21)

Tato práce se bude dále zabývat jen stanoven´ım pravdˇepodobnosti výskytu vr- cholové události. Vˇsechny metody výpoˇct˚u stromu poruchových stav˚u jsou velmi sloˇzité v závislosti na rozvˇetvenosti stromu. Proto se ve vˇetˇsinˇe pˇr´ıpad˚u pouˇz´ıvaj´ı softwarové programy vyv´ıjené ve specializovaných softwarových firmách zabývaj´ıc´ı se v oblasti spolehlivost´ı.[4]

Nejˇcastˇeji pouˇz´ıvané metody pˇri výpoˇctech stromu poruchových stav˚u:

• metoda pˇr´ım´eho v´ypoˇctu

• metoda minim´aln´ıch kritick´ych ˇrez˚u

• simulaˇcn´ı metody (Monte Carlo) Metoda pˇr´ım´eho v´ypoˇctu

Tato metoda spoˇc´ıvá ve výpoˇctu pravdˇepodobnosti vzniku události na hradle, které definuje vztahy mezi elementárn´ımi událostmi na vstupu hradla. Tuto metodu lze pouˇz´ıt pouze u stromu poruchových stav˚u, kde se nacház´ı kaˇzdá elementárn´ı událost pouze jednou. Tohoto stavu lze dosáhnout úpravou logického výrazu vrcho- lové události na disjunktn´ı formu.

Obrázek 2.3: Logické hradlo AND Obrázek 2.4: Logické hradlo OR

Pravdˇepodobnost ud´alosti G u hradla AND (viz Obr.2.3) se vypoˇc´ıt´a podle vzorce:

P (G) =

n

Y

i=1

P (A_i) (2.10)

U hradla OR (viz Obr.2.4) se pravdˇepodobnost ud´alosti G vypoˇc´ıt´a:

P (G) = 1 −

n

Y

i=1

[1 − P (A_i)] (2.11)

(22)

Obr´azek 2.5: Majoritn´ı hradlo (hradlo M/N)

Pravdˇepodobnost události G na hradle M/N (viz Obr. 2.5) se pˇri shodných pravdˇe- podobnostech potomk˚u vypoˇc´ıtá:

P (G) =

n

X

i=m

n i

· Pⁱ· (1 − P )ⁿ⁻ⁱ (2.12) kde P je pravdˇepodobnost potomk˚u. Pokud jsou pravdˇepodobnosti potomk˚u odliˇsné, vypoˇc´ıtá se jako souˇcet souˇcin˚u pravdˇepodobnost´ı vˇsech n-tic potomk˚u, kde alespoˇn m potomk˚u z n jsou porouchané.

Pravdˇepodobnost vrcholové události stromu poruchových stav˚u se dopoˇc´ıtá tak, ˇze za pomoci známých vzorc˚u se postupnˇe urˇc´ı pravdˇepodobnost jev˚u od nejniˇzˇs´ı

´

urovnˇe aˇz k vrcholové události. Strom se procház´ı postupnˇe odspodu po vˇsech hradlech a podle jejich typu se urˇc´ı pravdˇepodobnost vzniku jev˚u, které jsou tˇemito hradly definovány. Postupnou aplikac´ı vzorc˚u (2.10) a (2.11) se urˇcuj´ı pravdˇepodob- nosti vˇsech neelementárn´ıch jev˚u (mezilehlých událost´ı).[4]

Obrázek 2.6: Strom poruchových stav˚u pro kvantitativn´ı výpoˇcet

(23)

Postup výpoˇctu pravdˇepodobnosti vrcholové události bude ukázán na pˇr´ıkladu.

Je dán strom poruchových stav˚u ukázaný na Obr. 2.6. Pravdˇepodobnosti výskytu chyb jednotlivých elementárn´ıch událost´ı nabývaj´ı následuj´ıc´ıch hodnot:

• Ud´alost A – P (A) = 0.1

• Ud´alost B – P (B) = 0.02

• Ud´alost C – P (C) = 0.25

• Ud´alost D – P (D) = 0.03

• Ud´alost E – P (E) = 0.125

• Ud´alost F – P (F ) = 0.02

Nejprve se vypoˇc´ıtá pravdˇepodobnost na hradlech, jejichˇz potomci jsou elementárn´ı události. V pˇr´ıkladu to jsou hradla G1 a G3. Pravdˇepodobnost výskytu chyby na hradle G₁ se vypoˇc´ıtá pomoc´ı vzorce (2.11) následovnˇe:

P (G₁) = 1 − [(1 − P (C)) · (1 − P (D))]

P (G₁) = 1 − [(1 − 0.25) · (1 − 0.03)]

P (G1) = 0.2725

(2.13)

Obdobnˇe se vypoˇc´ıtá pravdˇepodobnost výskytu chyby na hradle G₃, ale pouˇzije se k tomu vzorec (2.10), protoˇze se jedná o hradlo AND:

P (G₃) = P (F ) · P (E) P (G₃) = 0.02 · 0.125 P (G₃) = 0.0025

(2.14)

Dále je potˇreba vypoˇc´ıtat pravdˇepodobnost výskytu chyby na hradle G₂, aby bylo moˇzno dopoˇc´ıtat pravdˇepodobnost na vrcholové události G₀. Pro výpoˇcet pravdˇepo- dobnosti na hradle G₂ se vyuˇzije vzorec (2.10):

P (G₂) = P (G₃) · P (B) P (G₂) = 0.0025 · 0.02 P (G₂) = 0.00005

(2.15)

Pravdˇepodobnost výskytu vrcholové události G₀se vypoˇc´ıtá za pomoci vzorce (2.11), protoˇze se jedná o hradlo OR. Výpoˇcet vrcholové události vypadá následovnˇe:

P (G₀) = 1 − [(1 − P (G₁)) · (1 − P (A)) · (1 − P (G₂))]

P (G₀) = 1 − [(1 − 0.2725) · (1 − 0.1) · (1 − 0.00005)]

P (G₀) .

= 0.34528

(2.16)

Vrcholová událost G₀ podle výpoˇctu v pˇr´ıkladu (2.16) nastane s pravdˇepodobnost´ı P (G0) .

= 0.34528 (zaokrouhleno na pˇet desetinn´ych m´ıst).

(24)

Metoda minim´aln´ıch kritick´ych ˇrez˚u

Pˇredpokladem pouˇzit´ı této metody je nalezen´ı mnoˇziny vˇsech minimáln´ıch kri- tických ˇrez˚u stromu poruchových stav˚u. Pokud mnoˇzina vˇsech minimáln´ıch kri- tických ˇrez˚u je známa, m˚uˇze být strom transformován na sériovˇe paraleln´ı blo- kový diagram, kde kaˇzdá vˇetev reprezentuje jeden minimáln´ı kritický ˇrez. Jestliˇze se nacház´ı kaˇzdý elementárn´ı jev v tomto blokovém diagramu jen jednou, lze vypo- ˇc´ıtat pravdˇepodobnost vrcholové události tak, ˇze vypoˇc´ıtáme nejprve pravdˇepodob- nost jednotlivých vˇetv´ı a pak celého diagramu. Jinak se mus´ı blokový diagram pˇrepsat do logické formy a následnˇe tento výraz upravit do disjunktn´ı formy, ze které lze uˇz vypoˇc´ıtat pravdˇepodobnost vrcholové události.[4]

(25)

3 Reˇ serˇ se vybran´ ych SW pro FTA

Tato kapitola se bude zabývat jiˇz existuj´ıc´ımi softwarovými nástroji pro vytváˇren´ı a vyhodnocen´ı stromu poruchových stav˚u. Bude zde krátká zm´ınka o firmˇe, která za vývojem daného softwaru stoj´ı. Dále bude obecnˇe popsán jejich produkt a základn´ı popis orientace v prostˇred´ı jejich aplikace.

3.1 Program ALD Fault Tree Analyser

Tento nástroj byl vytvoˇren spoleˇcnost´ı Advanced Logistics Developments. Jedná se o izraelskou spoleˇcnost a vývojové studio, které od roku 1984 pracuje v oblasti spolehlivosti a jej´ı analýzy (Reliability Engineering and Analysis), analýzy bezpeˇcnosti a ˇr´ızen´ı bezpeˇcnosti, kvality a zajiˇstˇen´ı kvality (Quality Engineering and Quality Assurance).[5]

Program je napsán jako webová aplikace a je tedy volnˇe dostupný na stránkách http://www.fault-tree-analysis-software.com/fault-tree-analysis. Pro jeho vyuˇz´ıván´ı je potˇreba být zaregistrován. Aplikace umoˇzˇnuje pouze kvantitativn´ı vyhodnocen´ı stromu. Dále umoˇzˇnuje uloˇzen´ı/naˇcten´ı stromu ze souboru, uloˇzit strom jako obrázek, zobrazen´ı duplicitn´ıch elementárn´ıch jev˚u, zobrazen´ı listu vˇsech ele- mentárn´ıch jev˚u nebo vˇsech mezilehlých událost´ı.

Obr´azek 3.1: Program ALD Fault Tree Analyser

(26)

Prostˇred´ı aplikace se skládá ze dvou ˇcást´ı, menu (viz Obr.3.1ˇc´ıslo (1)) a pracovn´ı plocha(viz Obr. 3.1 ˇc´ıslo (2)). Jednotlivé komponenty se pˇridávaj´ı pomoc´ı kontex- tového menu (viz Obr. 3.1 ˇc´ıslo (3)), které je vyvolané pravým kliknut´ım myˇsi na komponentu, ke které ji chceme pˇripojit. Vzhled události v programu je vyobrazen na Obr.3.1 ˇc´ıslo (4).

3.2 Program ITEM Toolkit

ITEM Toolkit byl vyvinut spoleˇcnost´ı ITEM Software, která s´ıdl´ı ve Velké Británii.

Tato spoleˇcnost se zabývá vývojem softwar˚u v oblasti spolehlivosti, analýzy bezpeˇc- nosti a vyhodnocen´ı rizik.[6]

ITEM Toolkit je klasická desktopová aplikace, která je zpoplatnˇená, avˇsak firma nab´ız´ı plnˇe funkˇcn´ı 30denn´ı zkuˇsebn´ı verzi. Aplikace se skládá z nˇekolika modul˚u, které je moˇzné si vyzkouˇset ˇci koupit zvláˇst’ podle potˇreby. FTA modul umoˇzˇnuje jak kvalitativn´ı tak i kvantitativn´ı vyhodnocen´ı stromu poruch. Dále umoˇzˇnuje vytváˇret v´ıce strom˚u v rámci jednoho projektu, kop´ırovat události mezi projekty, vygenerovat uˇzivatelsky nadefinované zprávy k projektu a dalˇs´ı.[7]

Uˇzivatelské prostˇred´ı se skládá z menu, panelu nástroj˚u (zde lze nalézt jednot- livé komponenty pro vytváˇren´ı stromu poruch), projektového a systémového okna.

Projektové okno zobrazuje jednotlivé projekty, které jsou momentálnˇe otevˇrené.

Projekty se skládaj´ı z jednotlivých systém˚u (analýz), které se v projektu provád´ı.

V systémovém oknˇe se pak vytváˇr´ı samotný strom poruchových stav˚u. Jednotlivé komponenty stromu se pˇridávaj´ı jejich výbˇerem z panelu nástroj˚u.

3.3 Program TopEvent FTA

TopEvent FTA je také desktopová aplikace. Firma Reliotech nab´ız´ı tento program ve ˇctyrech verz´ıch (Expert, Starter, Standart, Professional). Verze se mezi sebou liˇs´ı moˇzným poˇctem pouˇzitých komponent ve stromˇe poruch a zp˚usoby vyhodnocen´ı stromu¹. Verze Expert je základn´ı a zadarmo.

Na obrázku3.2 je vyobrazeno uˇzivatelské prostˇred´ı programu. V horn´ı ˇcásti okna se nacház´ı menu (viz ˇc´ıslo (1) na obrázku 3.2). Pomoc´ı tohoto menu se sestavuje strom poruch tak, ˇze se oznaˇc´ı komponenta na pracovn´ı ploˇse a pak se z menu vybere komponenta, které má být pˇripojena k oznaˇcené komponentˇe. V levé ˇcásti obrazovky se nacház´ı pr˚uzkumn´ık projektu, který zobrazuje vˇsechny stromu poruch vytvoˇrené v rámci projektu a výsledky vyhodnocen´ı (viz ˇc´ıslo (2) na obrázku 3.2).

C´ıslo (3) na obr´ˇ azku 3.2 ukazuje na tlaˇc´ıtko pro nastaven´ı ud´alosti nebo hradla.

Obecnˇe se dá nastavit název a popis komponenty. Pokud je nastavována událost je tam moˇznost nastaven´ı pravdˇepodobnosti výskytu poruchy, intenzitu poruchy,

1V´ıce informac´ı na adrese https://www.fault-tree-analysis.com/pricing

(27)

stˇredn´ı dobu do poruchy a dalˇs´ı. Pomoc´ı tlaˇc´ıtka oznaˇceného na obrázku3.2 ˇc´ıslem (4) se spouˇst´ı vyhodnocen´ı vˇsech strom˚u poruchových stav˚u v projektu. Pˇred vyhodnocen´ım se program zeptá jak má strom vyhodnotit, jestli kvalitativnˇe nebo kvalitativnˇe a kvantitativnˇe, a jakým zp˚usobem.

Obr´azek 3.2: Program TopEvent FTA 2017

3.4 Program EMFTA

Jedná se o open source² program, který je vytvoˇren jako rozˇs´ıˇren´ı pro existuj´ıc´ı editor OSATE³. OSATE je program postavený na jiˇz existuj´ıc´ım editoru Eclipse, který se pro sv˚uj otevˇrený kód hojnˇe vyuˇz´ıvá pro modifikace na editor na m´ıru podle potˇreby.[9]

Aˇckoliv se jedná o volnˇe ˇsiˇritelný software, nem˚uˇzou ho vyuˇz´ıvat nezkuˇsen´ı uˇzivatelé jako to bylo u pˇredchoz´ıch program˚u. Nejprve je nutné si nainstalovat OSATE program. Do nˇej je potˇreba doinstalovat rozˇs´ıˇren´ı EMFTA. Návod na instalaci a staˇzen´ı rozˇs´ıˇren´ı je uvedeno na stránce https://github.com/cmu-sei/emfta.

Po samotném nastaven´ı programu lze koneˇcnˇe vytváˇret strom poruch. Ovládán´ı programu nen´ı intuitivn´ı, vˇetˇsinu ˇcasu se stráv´ı hledán´ım v manuálu. Pˇredeˇslé programy oproti tomuto mˇely snadné ovládán´ı, bylo zˇrejmé jak vytvoˇrit strom poruch a jak ho vyhodnotit. Ukázka programu EMFTA je na obrázkuA.1.

2Open source program znamená, ˇze jsou k programu volnˇe dostupné zdrojové kódy a je volnˇe ˇsiˇritelný.

3OSATE je editor vytvoˇrený pro analýzu a design architektury. Vyuˇz´ıvá pro své modelován´ı AADL jazyk.

(28)

4 V´ yvoj aplikace

V kapitole Vývoj aplikace bude popsán vývoj grafického editoru pro konstrukci stromu poruchových stav˚u a jeho vyhodnocen´ı. N´ıˇze budou popsány poˇzadavky na systém, technologii pouˇzitou pro vývoj aplikace a d˚uleˇzité ˇcásti kódu programu.

4.1 Poˇ zadavky na aplikaci

Systém má být vytváˇren jako aplikace s grafickým rozhran´ım. Mˇel by umoˇzˇnovat uˇzivateli pouˇz´ıvat základn´ı znaˇcky (viz kapitola 2.5 Pouˇz´ıvané znaˇcky v FTA) pro grafickou tvorbu stromu poruchových stav˚u. Dále by systém mˇel umoˇzˇnovat nastaven´ı názvu, popisu a pravdˇepodobnosti prvk˚u, propojován´ı, mazán´ı ˇci duplikován´ı prvk˚u. Také i uloˇzen´ı práce a nahrávan´ı uloˇzené práce.

Syst´em by mˇel umoˇzˇnovat vyhodnocen´ı stromu jak kvalitativnˇe, tak kvantitativnˇe.

Pˇri kvantitativn´ım vyhodnocen´ı stromu by mˇel systém vyobrazit do grafu, kde je pravdˇepodobnost závislá na ˇcase. Zadán´ı ˇcasových hodnot by mˇelo být uˇzivateli umoˇznˇeno.

4.2 Pouˇ zit´ a technologie

4.2.1 Java 8 SE

Java je jeden z nejrozˇs´ıˇrenˇejˇs´ıch a nejpouˇz´ıvanˇejˇs´ıch programovac´ıch jazyk˚u na svˇetˇe a to d´ıky pˇrenositelnosti kódu mezi r˚uznými platformami. Jedná se o platformy od ˇcteˇcek ˇcipových karet, pˇres desktopy, vestavˇené systémy aˇz k distribuovaným systém˚um. Jedná se o objektovˇe orientovaný programovac´ı jazyk, který byl vy- tvoˇren spoleˇcnost´ı Sun Microsystems v roce 1995 a pozdˇeji dále udrˇzován a rozv´ıjen spoleˇcnost´ı Oracle.[10]

Program je napsán v tomto programovac´ım jazyku, protoˇze byla snaha o vytvoˇren´ı multiplatformn´ı aplikace. Java verze 8 byla vybrána, protoˇze je to posledn´ı verze, která obsahuje knihovny JavaFX. Následuj´ıc´ı verze uˇz tuto knihovnu nemaj´ı a je nutné pouˇz´ıvat pro vývoj grafického rozhran´ı knihovny tˇret´ıch stran.

(29)

4.2.2 JavaFX

Jedná se o sadu knihoven pro tvorbu grafického rozhran´ı v prostˇred´ı Java. Slouˇz´ı pˇredevˇs´ım pro vývoj RIA aplikac´ı, coˇz jsou webové aplikace, které maj´ı nˇekteré vlastnosti desktopových aplikac´ı.[11]

Byla zde i moˇznost pouˇz´ıt starˇs´ı knihovnu Swing, která je stále pouˇz´ıvána ve vˇetˇsinˇe desktopových aplikac´ı psaných v jazyce Java. Knihovna Swing nebyla vybrána, protoˇze je oproti JavaFX knihovnˇe sloˇzitˇejˇs´ı pro pouˇzit´ı v kódu a v knihovnˇe JavaFX se snadnˇeji vytváˇr´ı vzhled okna programu.

4.2.3 JavaFX Scene Builder

JavaFX Scene Builder je nástroj pro rychlé a snadné vytváˇren´ı návrhu uˇzivatelské- ho rozhran´ı JavaFX aplikac´ı. Jednoduchý editor, ve kterém se pomoc´ı

”drag &

drop“ poskládaj´ı jednotlivé uˇzivatelské komponenty na pracovn´ı plochu, uprav´ı se jejich vlastnosti dle potˇreb. Výsledkem je pak FXML soubor, který m˚uˇze být pouˇzit v JavaFX projektu.[12]

4.2.4 IntelliJ IDEA

Vývojové prostˇred´ı, které umoˇzˇnuje psát aplikace v programovac´ım jazyce Java, Scala, Kotlin a jiné. Tento produkt byl vytvoˇren firmou JetBrains. Existuje ve dvou verz´ıch, komunitn´ı a komerˇcn´ı.[13]

Existuj´ı i jiné vývojové prostˇred´ı (napˇr. NetBeans ˇci BlueJ), ale IntelliJ IDEA byla vybrána z d˚uvodu vynikaj´ıc´ı orientace v tomto programu a dlouholeté zkuˇsenosti s n´ım.

4.2.5 Inkscape

Inkscape je grafický editor pro vytváˇren´ı vektorové grafiky. Je to svobodný a volnˇe ˇsiˇritelný program pod licenc´ı GPL. Tento program byl pouˇzit na vytvoˇren´ı obrázk˚u pro tlaˇc´ıtka v programu a také obrázk˚u zde v práci.[14]

4.3 Datov´ e struktury

Strom poruchových stav˚u je v aplikaci reprezentován jako datová struktura strom skládaj´ıc´ı se uzl˚u datového typu IFTANode, který je dále v textu popsán. Dále bylo tˇreba implementovat binárn´ı rozhodovac´ı diagram (jeho význam a pouˇzit´ı bude vysvˇetleno v kapitole4.4.5 Kvantitativn´ı vyhodnocen´ı FTA) a je reprezentován také jako datová struktura strom, ale skládá se z uzl˚u datového typu BddNode.

Dále v této podkapitole budou struˇcnˇe popsány vybrané datové typy a struktury aplikace, které byly bˇehem vývoje vytvoˇreny.

(30)

4.3.1 IFTANode

Rozhran´ı IFTANode popisuje základn´ı spoleˇcné metody, které mus´ı jednotlivé komponenty stromu poruchových stav˚u implementovat. Mezi tyto metody patˇr´ı:

• z´ısk´an´ı a nastaven´ı n´azvu komponenty

• z´ısk´an´ı a nastaven´ı podrobnˇejˇs´ıho popisu komponenty

• z´ıskán´ı a nastaven´ı pravdˇepodobnosti výskytu události

• z´ısk´an´ı a nastaven´ı intenzity poruchy ud´alosti

• vyhodnocen´ı komponenty

• vyj´adˇren´ı komponenty pomoc´ı booleovsk´e funkce

4.3.2 AEvent

Abstraktn´ı tˇr´ıda AEvent reprezentuje v aplikaci libovolnou událost stromu poru- chových stav˚u. Implementuje rozhran´ı IFTANode. Tato tˇr´ıda si ukládá název, popis a pravdˇepodobnost výskytu komponenty a odkaz na potomka typu IFTANode, jehoˇz je pˇredkem. Z této tˇr´ıdy dˇed´ı jednotlivé tˇr´ıdy, které reprezentuj´ı události stromu po- ruchových stav˚u.

4.3.3 AGate

Abstraktn´ı tˇr´ıda AGate reprezentuje v aplikaci libovolné hradlo stromu poru- chových stav˚u. Také implementuje rozhran´ı IFTANode. Udrˇzuje si informace o názvu, popisu a pravdˇepodobnosti výskytu komponenty a odkazy na potomky typu IFTA- Node, jej´ıˇz je pˇredkem. Tˇr´ıdy, které reprezentuj´ı hradla stromu poruchových stav˚u, dˇed´ı z této tˇr´ıdy.

4.3.4 BddNode

Tˇr´ıda BddNode reprezentuje jeden uzel binárn´ıho rozhodovac´ıho diagramu. Tato tˇr´ıda má deklarované promˇenné:

• znak, kter´y reprezentuje promˇennou v boolovsk´e funkci

• odkazy na dva potomky datov´eho typu BddNode

4.3.5 BddTree

Tˇr´ıda BddTree má reprezentovat celý binárn´ı rozhodovac´ı diagram. Binárn´ı rozhodovac´ı diagram se graficky vyjadˇruje jako binárn´ı strom, tˇr´ıda BddTree obsahuje tedy odkaz na koˇren tohoto stromu a má implementovaný funkce pro vytvoˇren´ı takového stromu z booleovské funkce ˇci transformován´ı binárn´ıho rozhodovac´ıho diagramu na redukovanou verzi.

(31)

4.4 Reˇ ˇ sen´ e probl´ emy v aplikaci

4.4.1 Vizualizace FTA komponent v programu

Jednou z podstatných ˇcást´ı programu bylo vymyslet grafické zobrazen´ı stromu poruchových stav˚u pro uˇzivatele. Bylo tˇreba vytvoˇrit objekt, který bude zastupovat komponentu ze stromu poruchových stav˚u, lze graficky vyobrazit, zobraz´ı i název definovaný uˇzivatelem a bude snadné tento objekt posouvat po pracovn´ı ploˇse.

Grafick´e zn´azornˇen´ı komponenty

Z knihovny JavaFX byla pro výˇse zm´ınˇené úˇcely pouˇzita tˇr´ıda Pane. Jedná se o základn´ı tˇr´ıdu, kterou dˇed´ı skoro vˇsechny kontejnery, a lze j´ı nastavit pozici v nadˇrazeném kontejneru (v tomto pˇr´ıpadˇe je nadˇrazený kontejner pracovn´ı plocha).

Kontejner v JavaFX je komponenta, do které se umist’uj´ı komponenty JavaFX jako napˇr. tlaˇc´ıtko, textové pole, obrázek, graf, jiné kontejnery atd. Pro kaˇzdou znaˇcku pouˇz´ıvanou v FTA (viz kapitola 2.5 Pouˇz´ıvané znaˇcky v FTA) byla vytvoˇrena tˇr´ıda, která dˇed´ı z Pane a slouˇz´ı jako kontejner pro jednotlivé ˇcásti znaˇcky, ze kterých se skládá, a pro popisový blok znaˇcky. Jednotlivé tˇr´ıdy se v projektu nacház´ı v bal´ıˇcku panes.

Uprava n´´ azvu komponenty

Kaˇzdá komponenta FTA má popisový blok, ve kterém by mˇel být napsán krátký název komponenty. Ovˇsem názvy delˇs´ı neˇz 12 znak˚u uˇz nejsou jednoˇrádkové a je proto nutné popisový blok komponenty pˇrekreslit na vˇetˇs´ı. Z tˇechto d˚uvod˚u bylo vytvoˇreno rozhran´ı TextModification, které definuje metody pro zmˇenu textu a pro z´ıskán´ı textu z popisového bloku komponenty. Toto rozhran´ı implementuj´ı vˇsechny tˇr´ıdy popsané v podkapitole 4.4.1 Grafické znázornˇen´ı komponenty. Ukázku implementace lze nalézt v pˇr´ıloze B.2 Ukázka metody textModify(String text) ve tˇr´ıdˇe PrimEventPane.

Propojen´ı komponent ˇc´arami mezi sebou

Jednotlivé znaˇcky FTA v diagramu jsou mezi se propojeny spojovac´ımi ˇcárami (viz. kapitola 2.4 Obecný popis FTA). Na rozd´ıl od pap´ıru v aplikaci lze jednot- livé komponenty posunovat po pracovn´ı ploˇse. Aby byl zachován stejný význam diagramu pˇri posunut´ı komponenty (spojovac´ı ˇcára bude stále spojovat posunu- tou komponentu s jej´ım pˇredkem), bylo zapotˇreb´ı pˇri zmˇenˇe souˇradnic komponenty pˇrepoˇc´ıtat i souˇradnice zaˇcátku nebo konce spojovac´ı ˇcáry.

V JavaFX knihovnˇe je tˇr´ıda Line, pomoc´ı které lze vykreslit ˇcáru. Pro vytvoˇren´ı ˇcáry v JavaFX postaˇc´ı vytvoˇrit instanci tˇr´ıdy Line a zadat j´ı souˇradnice zaˇcátku a konce ˇcáry. Tyto souˇradnice jsou v této tˇr´ıdˇe reprezentovány pomoc´ı JavaFX obalovac´ı tˇr´ıdy DoubleProperty. Výhodou této obalovac´ı tˇr´ıdy je, ˇze umoˇzˇnuje propojen´ı s jinou tˇr´ıdou tohoto typu tak, ˇze zmˇena hodnoty v jedné z nich se ihned

(32)

projev´ı v té druhé. D´ıky této funkci tˇr´ıdy DoubleProperty bylo vytvoˇreno rozhran´ı PossitionConnector, které implementuj´ı tˇr´ıdy popsané v podkapitole 4.4.1 Grafické znázornˇen´ı komponenty. Toto rozhran´ı definuje ˇctyˇri metody (viz kód 4.1 Rozhran´ı PossitionConnector):

• getTopX()

• getTopY()

• getBottomX()

• getBottomY()

K´od 4.1: Rozhran´ı PossitionConnector p u b l i c i n t e r f a c e P o s i t i o n C o n n e c t o r {

// V r a c i x - ovou s o u r a d n i c i bodu v p u l c e h o r n i h r a n y k o m p o n e n t y

p u b l i c D o u b l e P r o p e r t y g e t T o p X () ;

// V r a c i y - ovou s o u r a d n i c i bodu v p u l c e h o r n i h r a n y k o m p o n e n t y

p u b l i c D o u b l e P r o p e r t y g e t T o p Y () ;

// V r a c i x - ovou s o u r a d n i c i bodu v p u l c e s p o d n i h r a n y k o m p o n e n t y

p u b l i c D o u b l e P r o p e r t y g e t B o t t o m X () ;

// V r a c i y - ovou s o u r a d n i c i bodu v p u l c e s p o d n i h r a n y k o m p o n e n t y

p u b l i c D o u b l e P r o p e r t y g e t B o t t o m Y () ; }

4.4.2 Ukl´ ad´ an´ı a naˇ c´ıt´ an´ı

Uloˇzen´ı projektu v aplikaci znamená uloˇzit jak strom poruchových stav˚u, tak i jeho vizuáln´ı reprezentaci. Z poˇcátku byla snaha ukládat data do XML dokumentu (viz kód 4.2 Návrh XML souboru). Jednotlivé komponenty mˇely být reprezentovány stejnojmennými znaˇckami. Kaˇzdá tato znaˇcka mˇela obsahovat znaˇcku vyjadˇruj´ıc´ı pozici komponenty na pracovn´ı ploˇse v aplikaci, pravdˇepodobnost poruchy na dané komponentˇe a potomky, které jsou k této komponentˇe pˇripojeny.

Bˇehem návrhu podoby XML dokumentu se nakonec doˇslo k závˇeru, ˇze tento zp˚usob ukládán´ı dat nen´ı dostateˇcnˇe univerzáln´ı a dostateˇcnˇe popisuj´ıc´ı. Pokud by doˇslo v programu ke zmˇenˇe struktury napˇr´ıklad tˇr´ıdy implementuj´ıc´ı rozhran´ı IFTANode muselo by doj´ıt nejen k úpravˇe podoby XML dokumentu, ale i k úpravˇe

(33)

algoritmu, kter´y by mˇel za ´ukol transformovat projekt do tohoto XML dokumentu.

Dále by bylo sloˇzité znovu rekonstruovat správnˇe strom poruch, který by obsahoval duplicitn´ı základn´ı události.

K´od 4.2: N´avrh XML souboru

< fta >

< root >

< p o s i t i o n >

< x > < \ x >

< y > < \ y >

< \ p o s i t i o n >

< p r o b a b i l i t y > < \ p r o b a b i l i t y >

< c h i l d r e n >

< and >

< p o s i t i o n >

< x > < \ x >

< y > < \ y >

< \ p o s i t i o n >

< p r o b a b i l i t y > < \ p r o b a b i l i t y >

< c h i l d r e n >

...

< \ c h i l d r e n >

< \ and >

< \ c h i l d r e n >

< / root >

< / fta >

Pˇreˇslo se tedy ke zp˚usobu ukládán´ı dat do binárn´ıho souboru¹. Vyuˇzilo se vlastnosti jazyka Java, který dokáˇze vˇsechny své objekty, které implementuj´ı rozhran´ı Serializable², uloˇzit do souboru a ze souboru tyto objekty zase naˇc´ıst. Rozhran´ı IFTANode implementuje Serializable a t´ım pádem je serializovatelné a i vˇsechny tˇr´ıdy, které toto rozhran´ı IFTANode implementuj´ı. Knihovna JavaFX ovˇsem nemá serializovatelné tˇr´ıdy, proto byla vytvoˇrena pomocná tˇr´ıda SerializablePane, která je serializovatelná a nese informace o pozici grafické komponenty, jaký typ komponenty je a s kým byla grafická komponenta pˇr´ıpadnˇe spojená ˇcárou (viz kód4.3 Tˇr´ıda Seri- alizablePane). Dále se jen vytvoˇrit list komponent, kaˇzdá vyjádˇrena tˇr´ıdou Serializa- blePane, tento list je pˇredán metodˇe save(...) (viz pˇr´ıloha B.3 Metoda pro ukládán´ı strom poruch do souboru ve tˇr´ıdˇe ObjectFileOperator) ve tˇr´ıdˇe ObjectFileOperator , která se nacház´ı v bal´ıˇcku utils.manipulator.

1Reprezentace dat do binárn´ıho souboru znamená, ˇze tento soubor nen´ı pro lidi ˇcitelný.

2Rozhran´ı Serializable je souˇc´ast´ı jazyka Java.

(34)

K´od 4.3: Tˇr´ıda SerializablePane

p u b l i c c l a s s S e r i a l i z a b l e P a n e i m p l e m e n t s S e r i a l i z a b l e { // uzel r e p r e z e n t u j i c i j e d n u k o m p o n e n t u FTA

p r i v a t e I F T A N o d e node ;

// typ k o m p o n e n t y , k t e r a je r e p r e z e n t o v a n a u z l e m node p r i v a t e T r e e P a n e s type ;

// p o z i c e k o m p o n e n t y na p r a c o v n i p l o s e p r i v a t e d o u b l e posX , posY ;

// uzel , k t e r e m u je tato k o m p o n e n t a p r i p o j e n a p r i v a t e S e r i a l i z a b l e P a n e l i n e T o ;

// K o n s t r u k t o r

p u b l i c S e r i a l i z a b l e P a n e ( I F T A N o d e node , d o u b l e posX , d o u b l e posY , T r e e P a n e s type ) {

this. node = node ; this. posX = posX ; this. posY = posY ; this. type = type ; this. l i n e T o = null; }

...

}

Naˇc´ıtán´ı ze souboru funguje v podstatˇe inverzn´ım zp˚usobem k ukládán´ı. Program si nejprve ze souboru naˇcte vˇsechny objekty typu SerializablePane a dále jeden objekt po druhém pˇreˇcte a sestav´ı vizuálnˇe podle nich celý strom poruchových stav˚u.

4.4.3 Majoritn´ı hradlo (Hradlo M/N)

Na tomto hradle nastane porucha jen tehdy pokud vzniknou poruchy na m potomk˚u tohoto hradla z celkových n. Pokud je toto hradlo pouˇzito v aplikaci, lze na takovémto stromˇe vykonávat pouze kvantitativn´ı analýzu, protoˇze pro kvalitativn´ı analýzu se pak mus´ı pouˇz´ıvat mnohem komplexnˇejˇs´ı metody neˇz jsou pouˇzity v této aplikaci³. Výpoˇcet pravdˇepodobnos-ti výskytu události na tomto hradle se v aplikaci poˇc´ıtá pomoc´ı vzorc˚u (4.1), kde

• m je minim´aln´ı poˇcet potomk˚u, na kter´ych nastala porucha

• n je poˇcet potomk˚u hradla

• P_i je pravdˇepodobnost v´yskytu i-t´eho potomka hradla

3Pro hradlo 3 z 5, kde potomci hradla jsou A, B, C, D, E, by vˇsechny minim´aln´ı kritick´y ˇrezy byly: ABC, ABD, ABE, ACD, ACE, ADE, BCD, BCE, BDE, CDE.

(35)

• P_prum je pr˚umˇern´a pravdˇepodobnost vˇsech potomk˚u hradla

• P_hradlo je pravdˇepodobnost v´yskytu ud´alosti na hradle P_prum =

Pn i=1P_i

n P_hradlo =

n

X

i=m

n i

· P_prumⁱ · (1 − P_prum)ⁿ⁻ⁱ

(4.1)

Tento zp˚usob výpoˇctu pravdˇepodobnosti výskytu události na tomto hradle nen´ı

´

uplnˇe pˇresný. Nepˇresnost výpoˇctu touto metodou bude ukázáno dále.

Nepˇresnost v´ypoˇctu na majoritn´ım hradle

Pˇri výpoˇctu pravdˇepodobnosti události na tomto hradle vzniká problém, pokud se vypoˇc´ıtává z neshodných pravdˇepodobnost´ı jeho pˇr´ımých potomk˚u. Proto byl zvo- len jednoduˇsˇs´ı pˇr´ıklad, kdy pravdˇepodobnosti tˇechto potomk˚u byly zpr˚umˇerovány.

Proto je nutné stanovit chybu tohoto zjednoduˇsen´ı. Výpoˇcet chyby je proveden na nejˇcastˇejˇs´ım systému dva ze tˇr´ı.

Jsou definovány tˇri události s konstantn´ımi pravdˇepodobnostmi P1, P2 a P3, kde P₁ < P₂ < P₃. Necht’ tyto tˇri události jsou potomkem majoritn´ıho hradla. Výskyt poruchy na tomto hradle nastane tehdy pokud nastala porucha alespoˇn na dvou ze tˇr´ı jeho potomk˚u. To znamená, ˇze se jedná o hradlo dva ze tˇr´ı.

Pˇri v´ypoˇctu pravdˇepodobnosti na majoritn´ım hradle se pouˇz´ıv´a vzorce (4.1).

Skuteˇcná hodnota pravdˇepodobnosti na majoritn´ım hradle dva ze tˇr´ı se vypoˇc´ıtá následovnˇe:

P_hradlo = P₁· P₂· P₃+ P₁· P₂· (1 − P₃)

+ P₁· (1 − P₂) · P₃+ (1 − P₁) · P₂ · P₃ (4.2) Necht’ pravdˇepodobnost P₂ je rovna pr˚umˇeru hodnot vˇsech pravdˇepodobnost´ı potomk˚u na hradle:

P₂ = R = P₁+ P₂+ P₃

3 (4.3)

D´ale lze vyj´adˇrit P₁ jako P₁ = P₂− ∆ a P₃ jako P₃ = P₂+ ∆, kde ∆ = P₂− P₁∩

∆ = P₃− P₂. Potom mus´ı platit:

R³+ 3 · R²· (1 − R) ≈ (R − ∆) · R · (R + ∆) + (R − ∆) · R · (1 − (R + ∆)) + (R − ∆) · (1 − R) · (R + ∆) + (1 − (R − ∆)) · R · (R + ∆)

(4.4)

(36)

Nyn´ı nˇekolik ´uprav prav´e strany rovnice:

R³+ 3 · R²· (1 − R) ≈ R · (R²− ∆²) + (R²− R∆) · (1 − R − ∆) + (1 − R) · (R²− ∆²)

+ (1 − R + ∆) · (R²+ R∆)

(4.5)

R³+ 3 · R² · (1 − R) ≈ R³− R∆²+ R²− R∆

− R³+ R²∆ − R²∆ + R∆² + R²− ∆²− R³+ R∆²

+ R²+ R∆ − R³− R²∆ + R²∆ + R∆²

(4.6)

R³+ 3 · R²· (1 − R) ≈ −2 · R³+ 2 · R · ∆²+ 3 · R²− ∆² (4.7) Nyn´ı se provedou koneˇcné úpravy levé a pravé strany rovnice:

3 · R²− 2 · R³ ≈ 3 · R²− 2 · R³+ (2 · R − 1) · ∆² (4.8) V rovnici (4.8) se pravá strana od levé strany liˇs´ı o (2 · R − 1) · ∆². To znamená, ˇze výpoˇcet pravdˇepodobnosti na majoritn´ım hradle je s chybou druhého ˇrádu. Ale vzhledem k tom, ˇze ∆ je rozd´ıl reálné hodnoty pravdˇepodobnosti od pr˚umˇerné hodnoty (hodnoty ∆ se pohybuj´ı pouze v desetinných ˇc´ıslech), je chybovost výpoˇctu pravdˇepodobnosti na hradle v aplikaci zanedbatelná.

4.4.4 Kvalitativn´ı vyhodnocen´ı FTA

Pro kvalitativn´ı vyhodnocen´ı stromu poruchových stav˚u se nejprve muselo vˇsem základn´ım událostem pˇriˇradit p´ısmeno z abecedy, aby je bylo moˇzno prezentovat jako promˇenné v booleovské funkci. Pro hledán´ı základn´ıch událost´ı byl strom pro- hledáván do ˇs´ıˇrky⁴. T´ım se zajistilo, ˇze p´ısmena se budou pˇriˇrazovat tˇemto událostem od nejvýˇse poloˇzených ve stromˇe aˇz po nejn´ıˇze poloˇzené. Ukázku kódu hledán´ı základn´ıch událost´ı pomoc´ı prohledáván´ı stromu do ˇs´ıˇrky je v pˇr´ılozeB.1 Vyhledán´ı základn´ıch událost´ı pomoc´ı hledán´ı do ˇs´ıˇrky.

Booleovská funkce, která reprezentuje strom poruchových stav˚u, byla z´ıskána pomoc´ı pr˚uchodu stromu do hloubky. Metoda getBoolExpression(), která je definována v rozhran´ı IFTANode, je implementována ve vˇsech tˇr´ıdách reprezentuj´ıc´ı komponenty stromu poruch. Metoda je rekurzivn´ı a vrac´ı booleovskou funkci vyjadˇruj´ıc´ı strom poruch.

4Prohledáván´ı do ˇs´ıˇrky je grafový algoritmus pro postupné procházen´ı stromu po patrech.

(37)

Uprava booleovsk´´ e funkce

Booleovská funkce obdrˇzená od metody getBoolExpression() je potˇreba pˇrevést na disjunktn´ı normáln´ı formu. Pro tuto potˇrebu byla napsána tˇr´ıda BracketsSolver, která dokáˇze roznásobit závorky vyskytuj´ıc´ı se v booleovské funkci.

Pro pouˇzit´ı metody na minimalizaci booleovské funkce je potˇreba funkci pˇrepsat na tvar souˇctu minterm˚u. Pro tyto úˇcely byla vytvoˇrena tˇr´ıda TruthTable, která dokáˇze pˇrepsat jakoukoliv booleovskou funkci v disjunktn´ı normáln´ı formˇe na pravdivostn´ı tabulku. Souˇcet minterm˚u se zapisuje jako ˇc´ısla ˇrádk˚u pravdivostn´ı tabulky, ve kterých tabulka nabývá hodnoty ’1’.

Minimalizace booleovsk´e funkce

K dokonˇcen´ı nalezen´ı mnoˇziny vˇsech minimáln´ıch kritických ˇrez˚u je potˇreba mi- nimalizovat booleovskou funkci. Booleovská funkce se minimalizuje pomoc´ı boole- ovské redukce, Karnaughových map nebo pomoc´ı Quine-McCluskeyho algoritmu.

Pro minimalizaci funkce je pouˇzita metoda Quine-McCluskey, protoˇze se tato metoda snadnˇeji implementuje na stroj´ıch neˇz metoda pomoc´ı Karnaughov´ych map.

Jiˇz naimplementovanou Quine-McCluskeyho algoritmus v jazyce Java byl nalezen na internetu z d˚uvodu nároˇcnosti implementace. Autorem tohoto kódu je pan Ahmed Yakout, který poskytl kód volnˇe ˇsiˇritelný pod licenc´ı MIT. Kód algoritmu byl nalezen na stráncehttps://github.com/yakout/quine-mccluskey. Tomuto programu byla pˇredána mnoˇzina minterm˚u a zpátky vrácena je minimalizovaná booleovská funkce. Podle této funkce bylo pak moˇzné zobrazit základn´ı události, které patˇr´ı do mnoˇziny minimáln´ıch kritických ˇrez˚u.

4.4.5 Kvantitativn´ı vyhodnocen´ı FTA

U kvantitativn´ıho hodnocen´ı stromu poruch se muselo nejprve vyˇreˇsit jestli se ve stromˇe poruchových stav˚u vyskytuj´ı duplicitn´ı základn´ı události. Pokud ve stromˇe neexistovaly duplicity, mohlo být pouˇzita pˇr´ımá metoda pro vyhodnocen´ı stromu poruch. Tato metoda pro vyhodnocen´ı stromu je definovaná uˇz v rozhran´ı IFTANode a jej´ı implementace se liˇs´ı podle komponenty, ve které je implementována. Pokud komponenta dˇedila ze tˇr´ıdy AEvent, metoda vracela pˇr´ımo hodnotu pravdˇepodobnos- ti výskytu události nadefinovanou uˇzivatelem. Jestliˇze komponenta byla potomkem tˇr´ıdy AGate, metoda byla implementována podle vzorce pro dané hradlo z kapitoly 2.6.3 Kvantitativn´ı analýza FTA.

Ovˇsem pokud se vyskytovaly duplicitn´ı základn´ı události ve stromˇe poruchových stav˚u mus´ı být pouˇzita metoda výpoˇctu pomoc´ı minimáln´ıch kritických ˇrez˚u. Nej- prve byl vyhodnocen strom poruchových stav˚u kvalitativnˇe. Z´ıskaná mnoˇzina mi- nimáln´ıch kritický ˇrez˚u byla poté transformována zpˇet do booleovské funkce.

(38)

Binarn´ı rozhodovac´ı diagram

Funkce byla dále pˇrevedena do disjunktn´ı formy za pomoci binárn´ıho rozhodovac´ıho diagramu. Binárn´ı rozhodovac´ı diagram je datová struktura, která se pouˇz´ıvá pro reprezentaci booleovské funkce v informatice. Jedná se o datovou strukturu binárn´ı strom, kde jednotlivé uzly reprezentuj´ı promˇenné booleovské funkce a listy tohoto stromu nabývaj´ı logických hodnot. Levý potomek uzlu reprezentuje funkci, kde za promˇennou reprezentovanou t´ımto uzlem lze dosadit ve funkci logickou ’0’.

Pravý potomek uzlu zas reprezentuje funkci, kde promˇenná ve funkci nabývá hodnoty logická ’1’. Listy tohoto stromu jsou uzle, které representuj´ı logickou ’1’ nebo ’0’.

Pro nalezen´ı disjunktn´ı formy funkce je tˇreba binárn´ı rozhodovac´ı diagram pˇrevést nejprve na seˇrazený binárn´ı rozhodovac´ı diagram a poté na redukovaný seˇrazený binárn´ı rozhodovac´ı diagram. Seˇrazený binárn´ı rozhodovac´ı diagram je takový diagram, kde uzly mezi sebou pˇrecház´ı v poˇrad´ı, které urˇcuje seˇrazený list promˇenných vyskytuj´ıc´ıch se v dané funkci. To znamená, ˇze pokud by v listu ˇsly po sobˇe promˇenný A, B, C, tak v diagramu nesm´ı nastat, ˇze uzel reprezentuj´ıc´ı promˇennou B bude m´ıt mezi potomky uzel reprezentuj´ıc´ı promˇennou A.

Necht’ je definována booleovská funkce f = ac + bc. Pro sestaven´ı binárn´ıho rozhodovac´ıho diagramu z této funkce se pouˇzije tzv. dekompozice booleovské funkce. De- kompozice funkce spoˇc´ıvá v pˇrepsán´ı funkce na souˇcet dvou nových funkc´ı, u kterých je vyjádˇrena jedna z promˇenných. Pˇr´ıklad (4.9) znázorˇnuje dekompozici funkce f = ac + bc pro promˇennou ’a’.

f = ac + bc f_a = f_(a=0)= bc f_a = f_(a=1)= c + bc

f = a · f_a+ a · f_a

(4.9)

Jestliˇze g = bc a h = c + bc potom binárn´ı rozhodovac´ı diagram funkce f = ac + bc vypadá jako na obrázku 4.1, kde levý potomek uzlu A je roven funkci g a pravý potomek je roven funkci h.

Obrázek 4.1: ˇCást binárn´ıho rozhodovac´ıho diagramu

Pokud se pokraˇcuje v dekompozici dále, vznikne binárn´ı rozhodovac´ı diagram zob- razený na obrázku 4.2.

(39)

Obrázek 4.2: Seˇrazený binárn´ıho rozhodovac´ı diagram funkce f = ac + bc Redukovaný seˇrazený binárn´ı rozhodovac´ı diagram vznikne vykonán´ım úprav nad seˇrazeným binárn´ım rozhodovac´ım diagramem v pˇredepsaném poˇrad´ı:

1) Sjednotit listy reprezentuj´ıc´ı stejn´e hodnoty do jednoho listu (viz obr´azek4.3).

Obr´azek 4.3: Sjednocen´ı stejn´ych list˚u diagramu

2) Pokud levý potomek uzlu je stejný jako pravý potomek tohoto uzlu, nahrad´ı se tento uzel jeho potomkem (viz obrázek 4.4).

Obr´azek 4.4: Nahrazen´ı uzlu BDD

3) Existuj´ı-li dva uzle reprezentuj´ıc´ı stejnou promˇennou funkce, jejichˇz levý potomek je jeden a ten samý a pravý potomek taktéˇz, sjednot´ıme tyto uzly do jednoho (viz obrázek4.5).

Postup 2) a 3) se opakuje tak dlouho aˇz uˇz nelze uplatnit na diagramu ani jedna

´

uprava a výsledný diagram je redukovaný seˇrazený binárn´ı rozhodovac´ı diagram.

Výsledný rozhodovac´ı diagram po redukci je vyobrazen na obrázku 4.6.[15]

(40)

Obr´azek 4.5: Sjednocen´ı duplicitn´ıch uzl˚u BDD

Obr´azek 4.6: Redukovan´y BDD funkce f = ac + bc

Binárn´ı rozhodovac´ı diagram byl podle výˇse uvedeného popisu naprogramován do tˇr´ıdy BddTree. Po pˇredán´ı booleovské funkce si tˇr´ıda automaticky vytvoˇr´ı seˇrazený binárn´ı rozhodovac´ı diagram. Dále staˇc´ı na strom zavolat metodu minimizedBdd(), která transformuje diagram na redukovaný. Pro z´ıskán´ı disjunktn´ı formy booleovské funkce byl prohledán strom do hloubky a byly hledány vˇsechny cesty, které konˇcili v listˇe s logickou hodnotou ’1’. Disjunktn´ı forma booleovské funkce z výˇse uvedeného pˇr´ıkladu má pˇredpis f = abc + ac, kde k z´ıskán´ı sˇc´ıtance abc znázorˇnuje ˇcervená ˇsipka a k z´ıskán´ı sˇc´ıtance ac znázorˇnuje zelená ˇsipka na obrázku 4.7. Kaˇzdá cesta

Obrázek 4.7: Postup pro z´ıskán´ı disjunktn´ı formy booleovské funkce z BDD byla pˇrepsána na souˇcin promˇenných, pˇres které cesta vedla. Pokud v urˇcitém uzlu pˇri pr˚uchodu cestou se muselo j´ıt dále pˇres jeho levého potomka, vyjadˇruje se tento uzel ve funkci jako negace promˇenné, kterou reprezentuje.