CAPITOLO 3: Probability Safety Assessment (PSA)
4.2. Gli strumenti di IDDA
4.2.2. La sintassi
Ogni domanda è composta da un preciso numero d'informazioni che riguardano un dato evento. Tali informazioni sono registrate su una coppia di righe: la prima è di uso mnemonico per il programmatore e riporta la descrizione dell'evento considerato; la seconda riga è costituita da 9 variabili, di cui 6 numeriche e 3 alfanumeriche.
Il significato delle 6 variabili numeriche è il seguente:
◦ il primo numero rappresenta l'indirizzo della riga, tramite cui le informazioni di seguito contenute sono messe in relazione con le altre;
◦ il secondo numero rappresenta la media della distribuzione della probabilità relativa al fallimento dell'evento;
◦ il terzo numero rappresenta la varianza della distribuzione della probabilità relativa al fallimento dell'evento;
◦ il quarto numero è l'indirizzo dell'evento successivo in caso che l'evento esaminato dia successo;
◦ il quinto numero è l'indirizzo dell'evento successivo in caso che l'evento esaminato dia fallimento;
◦ il sesto numero rappresenta un'indicazione per la stampa a video per l'uso di alcune “applicazioni” di IDDA.
Le 3 informazioni alfanumeriche hanno una lunghezza massima di 8 caratteri e rappresentano:
◦ una stringa mnemonica che riporta la domanda;
◦ una stringa mnemonica che riporta lo stato del sistema nel caso che si verifichi fallimento;
◦ una stringa mnemonica che riporta lo stato del sistema nel caso che si verifichi successo.
Esaminiamo un semplice problema quotidiano: effettuare la scelta di programmare un'escursione all'aperto per un giorno a venire. La decisione dipende dalla nostra valutazione della probabilità che piova e dal danno che prevediamo di ricevere dal trovarci all'aperto durante un temporale.
Trattandosi di un evento futuro, immaginando di non poterci servire delle previsioni meteo, potremo fare delle ipotesi considerando aspetti come per esempio la stagione. Ci porremo allora una semplice domanda: è nuvoloso? A seconda della stagione, in base alla nostra
esperienza (che rappresenta una sorta di media del nostro vissuto riguardo ad uno specifico argomento), diciamo che la probabilità che sia nuvoloso è 0,7. A questa domanda seguono altre due domande, differenziate solamente dal valore della probabilità associata: nel primo caso, consapevoli che la giornata sarà nuvolosa, ci chiediamo se pioverà e assegniamo una probabilità di piovere piuttosto alta (0,8); nel caso non sia nuvoloso, l'esperienza c'insegna che non necessariamente non cambierà e che c'è una probabilità che piova, per quanto sicuramente più bassa (0.3). Naturalmente i numeri usati sono puramente indicativi e l'attenzione dev'essere posta sul processo logico d'indagine.
Ecco come apparirebbe in IDDA questo breve ragionamento:
Figura 22: File IDDA PIOGGIA.INP
Appare chiaro che migliore è la conoscenza del problema e di tutte le variabili che partecipano alla determinazione degli eventi e minore sarà il grado d'incertezza da cui i nostri risultati saranno affetti. Ciò rientra direttamente nella valutazione delle probabilità da assegnare agli eventi e avrà effetti sull’individuazione di quelli importanti per il raggiungimento del successo o dell’insuccesso dell’intera questione.
La sintassi permette di aggiungere altre informazioni su righe successive alle due standard. Si possono aggiungere vincoli logici e condizionamenti probabilistici: i primi vanno a modificare le sequenze di eventi, i secondi le probabilità ad essi associate.
Sono disponibili due tipi di vincoli logici: di primo e di secondo tipo.
1. Il vincolo logico di primo tipo permette di cambiare gli indirizzi di un livello successivo a seguito della risposta affermativa o negativa ad una domanda o a seguito di un'affermazione. Il vincolo è formato da 5 informazioni numeriche: la prima indica il tipo di vincolo e se il vincolo aggiuntivo deve funzionare per la risposta positiva o negativa, i secondi 2 indicano i nuovi indirizzi del/dei livello/i oggetto del cambiamento, gli ultimi 2 indicano il primo e
PIOGGIA.INP
: DOMANDA - E' nuvoloso? 1 0.7 0 2 3 3 'Nuvoloso' 'Si' 'No' : DOMANDA-Pioverà?
2 0.8 0 0 0 3 'Pioverà?' 'NO' 'Si'
: DOMANDA-Pioverà?
possibile usare solamente un vincolo di questo tipo per domanda, quindi se è necessario aggiungere più vincoli si devono utilizzare degli artifici.
2. Il vincolo logico di secondo tipo permette di forzare un livello successivo su risposta affermativa o negativa a seguito della risposta affermativa o negativa ad una domanda o ad un'affermazione: di fatto si trasforma il livello condizionato da domanda ad affermazione. Il vincolo è formato da 2 informazioni numeriche (in realtà la stringa è composta da 4 numeri, ma gli ultimi 2 devono essere 0 e non hanno significato in questo caso): la prima indica il tipo di vincolo ed è costituita da una coppia di numeri (es.11, 12, 21, 22) di cui la prima cifra indica se il vincolo entra in funzione in caso di risposta affermativa o negativa ed la seconda indica la risposta del livello condizionato (se affermativa o negativa). E' possibile assegnare una “forza” al vincolo: se la seconda cifra è 1 o 2, si ha forza 1; se la seconda cifra è 3 o 4, si ha forza 2; se la seconda cifra è 5 o 6, la forza è 3. In questo modo, in caso di due cambiamenti relativi allo stesso livello, quello più forte ha la precedenza.
Il secondo numero è l'indirizzo del livello condizionato. Per ogni domanda è possibile aggiungere più d'un vincolo di questo tipo.
Sono disponibili 2 condizionamenti di tipo probabilistico, di primo e di secondo tipo.
1. Il condizionamento probabilistico di primo tipo permette di cambiare la probabilità di un altro evento a seguito della risposta affermativa o negativa di un livello. Questa sintassi permette d'esaminare sistemi complessi in cui il verificarsi di eventi influisce sulle probabilità degli eventi che seguono. Questa potenzialità è usufruibile per esempio quando si vuole descrivere una causa comune di guasto o quando si vogliono fare verifiche temporali (cambiando il tempo d'esame varia anche l'inaffidabilità dei componenti).La riga che descrive questo condizionamento è composta da 4 numeri: la prima coppia di numeri indica il tipo di vincolo ed esprime se il condizionamento è legato alla risposta affermativa o negativa del livello condizionante; la seconda coppia indica l'indirizzo del livello condizionato; il terzo e il quarto numero rappresentano rispettivamente la nuova probabilità e la nuova varianza da attribuire al livello condizionato.
2 Il condizionamento probabilistico di secondo tipo è stato creato per componenti riparabili e si applica nell'ipotesi che λ⋅t<0.1, con t = tempo di missione. Questo vincolo permette di considerare che, nel caso il componente si guasti, non sarà fuori uso per tutta la durata del tempo di missione, bensì solamente per la durata del suo tempo medio di riparazione. Il condizionamento si costituisce di 2 informazioni (4 numeri, di cui il secondo ed il quarto devono sempre essere 0): il primo numero è composto da 2 cifre ed indica il tipo di
condizionamento, che può essere applicato solamente alla risposta negativa; il terzo numero deve contenere il numero equivalente al rapporto fra il tempo di missione e il tempo di riparazione del componente. Quest'ultimo numero viene immesso con il segno negativo qualora non si voglia tenere di conto dell'effetto ai bordi sul tempo di riparazione. Tale effetto è necessario per la risoluzione dei problemi reali in quanto considera la possibile sovrapposizione del tempo di fine missione e dell’intervallo di riparazione.
Per meglio spiegare l'utilità di questo elemento sintattico si consideri un sistema costituito da 2 elementi A e B. Ritenendo valida l'ipotesi precedentemente citata, sarà possibile arrotondare l'inaffidabilità a R(t)=
λ
t. Esaminando il caso in cui i due componenti siano collegati da una porta AND (Fig. 23), e quindi il fallimento del sistema sia legato al fallimento contemporaneo dei due componenti, con una semplice analisi tramite l'albero dei guasti avremmo:Figura 23: Esempio di porta AND
In questo caso avremo che l'inaffidabilità del sistema vale: ) ( ) ( ) (t R t R t Rsist = a ⋅ b quindi ) )( ( ) (t t t Rsist = λa λb
Supponendo che il tempo di missione t sia un anno, cioè 8760 h, l'inaffidabilità del problema dipende dalla probabilità che entrambi i componenti si guastino durante l'anno, in qualsiasi momento: se A si guasta e, dopo un qualsiasi intervallo temporale compreso nel tempo di missione, B si guasta, il sistema è fuori uso.
Questo è vero nel caso che i componenti non siano riparabili: non è sufficiente che entrambi i sistemi si guastino durante il tempo di missione, deve infatti verificarsi anche la condizione che il secondo guasto avvenga ad una distanza di tempo dal primo inferiore al tempo di
riparazione di questo.
Figura 24: Guasti che implicano o non implicano il fallimento del sistema
In pratica, nel caso che i componenti siano riparabili, la porta AND ha una valenza temporale che non può essere trascurata: per quanto la stima che non considera la contemporaneità possa essere più conservativa: un eccesso di conservatività può indurre a scelte sbagliate riguardo all’assegnazione delle priorità degli interventi.
Considerando la riparabilità dei componenti si ottiene che l'inaffidabilità del sistema è pari alla somma delle probabilità che B si guasti mentre A è in riparazione e viceversa:
) ( ) ( ) (t R | t R| t Rsist = ab + ba , avendo ) ( ) ( ) ( |a a b a b t R t R R = ⋅
τ
quindi Rb|a(t)=(λ
at)(λ
bτ
a); e Ra|b(t)=Rb(t)⋅Ra(τ
b) quindi Ra|b(t)=(λ
bt)(λ
aτ
b);cioè t t t t t t t R a b b a b a b a b a b a b a sist ) ( ) )( ( ) ( ) )( ( ) )( ( ) ( = λ λτ + λ λτ =λ λ τ +τ = λ λ τ +τ .
Per ottenere questo risultato attraverso IDDA si usa la sintassi del vincolo probabilistico di secondo tipo che consente di cambiare il tempo rispetto al quale è valutata l'inaffidabilità del componente.
Nel caso che non sia verificata l’ipotesi λ⋅t<0.1, grazie all'elasticità della sintassi, si possono trovare altri modi per tenere in considerazione i tempi di riparazione, per quanto sicuramente meno eleganti: è possibile dividere il mission time in più intervalli temporali nei quali la condizione λ⋅t<0.1 è sicuramente rispettata. In questo studio è stata sviluppata un’altra modalità più elegante e precisa che sarà analizzata nel dettaglio nel cap.6.
Poiché il programma permette l'analisi temporale, e quindi l'esecuzione di cicli, sono previste anche forme sintattiche che identificano le righe d'inizio e di fine di un dato ciclo.