METODA ARBORILOR DE DEFECTĂRI
Masterand: Juverdeanu Razvan Specializarea: Mecatronica avansata
Un arbore de defectări este o reprezentare grafică a unor elemente ce marchează producerea defectărilor (cu locul şi cauza ori consecinţele acestora) înlănţuite după unul sau mai multe criterii. În structura arborelui se pot identifica, în funcţie de un anumit criteriu, zone sau subzone (ramuri, subramuri, drumuri etc.) a căror reprezentare particulară poate constitui un graf sau un subgraf. Defectul în sine poate fi reprezentat ca: întrerupere de legătură; inversare a legăturii; dispariţie de element; schimbare de stare; schimbare a ierarhiei. Exploatarea arborelui se face cu ajutorul unor criterii de analiză a schimbărilor, punându-se în evidenţă (pe grafuri sau subgrafuri) cauzele, stările şi efectele.
În mod obişnuit, într-un arbore de defectări se utilizează următoarele elemente: porţile logice evenimentele legăturile operaţiunile de transfer Porţile logice sunt simboluri care arată legătura logică dintre elemente (evenimente) sau condiţionează apariţia (producerea) unui eveniment cunoscut (aşteptat), previzionat. Se utilizează două tipuri de porţi logice: AND (ŞI) ori OR (SAU). Porţile logice au, obligatoriu, una sau mai multe intrări, dar, de regulă, o singură ieşire. De asemenea, tot de regulă, intrările sunt în partea de jos a simbolului, iar ieşirea în partea de sus. În afara regulii, există şi cazul de multitransfer, când porţile logice au o intrare şi mai multe ieşiri. În această situaţie, simbolul nu-şi schimbă orientarea, ci se schimbă doar sensurile legăturilor.
Fig. 1 – Simbolurile porţilor logice şi structura porţii logice „ŞI”
Poarta logică AND (ŞI) semnifică faptul că evenimentul A se poate produce numai şi numai dacă se produc evenimentele subînlănţuite (fig.1). În această reprezentare, evenimentele Ai sunt cauze, iar evenimentul A este efect. La rândul său, evenimentul A poate constitui cauza unui alt eveniment. În cazul multitransferului, evenimentul A este cauza, iar evenimentele Ai constituie efectele. Poarta logică OR (SAU) semnifică faptul că evenimentul A se poate produce dacă cel puţin unul din evenimentele Ai se produce (fig.2). Aspectul raportului de cauzalitate între evenimente (deschiderile schemei) este similar cu cel descris la poarta logică ŞI. În cazul transferului, evenimentul A poate determina producerea unuia sau mai multe evenimente Ai; evenimentele reprezintă stări ale elementelor structurale, înlănţuite cauzal, cu semnificaţii finale, intermediare de transfer sau primare.
Fig. 2 – Structura porţii logice „SAU” Evenimentele (fig.3) se clasifică astfel: finale, intermediare şi primare. Evenimentul final reprezintă un eveniment care nu se constituie în intrare pentru alt eveniment. Un arbore poate avea mai multe evenimente finale, pe când o diagramă logică (graf, subgraf) nu poate avea decât un singur eveniment final. Evenimentul final constituie, de fapt, starea finală a unui proces sau subproces definit de un anumit criteriu de ierarhizare.
Fig. 3 – Clasificarea evenimentelor Evenimentul intermediar reprezintă o stare de tranziţie şi este plasat între două evenimente care constituie unul cauza şi celălalt efectul său. Evenimentul intermediar constituie atât o cale de propagare a transformărilor dinamice ale procesului, cât şi un nivel de referinţă al desfăşurărilor acestuia. De asemenea, un eveniment intermediar poate constitui rezultanta transformărilor dinamice ale unui proces, deci poate reprezenta, ca efect sau cauză, suma efectelor sau cauzelor acestor transformări. Obligatoriu, evenimentele intermediare au cel puţin o intrare şi, evident, o ieşire. Evenimentul primar reprezintă un eveniment care nu are drept cauză alt eveniment, deci nu are intrare. Evenimentul primar nu poate fi definit ca efect, el constituie doar cauza pentru alt
eveniment (intermediar sau final), fiind de fapt similar cu starea iniţială a procesului. Activarea evenimentului primar se poate datora unor elemente tehnologice definite prin proces, unor operări, accidente sau perturbaţii şi poate, la rândul ei, declanşa dinamica procesului. În funcţie de gradul cunoaşterii, evenimentele primare sunt de două tipuri:
eveniment definit (de bază) care poate fi înţeles şi evaluat calitativ şi cantitativ, în funcţie de obiectivul analizei de proces. El poate fi predicţionat şi simulat, cunoscându-i-se natura. În diagrama logică evenimentul de bază se marchează cu un cerc sub dreptunghiul ce îl reprezintă; eveniment nedefinit (adiacent) poate fi un eveniment a cărui natură nu este cunoscută şi care, de aceea, nu poate fi evaluat decât, cel mult, calitativ.
Activarea sa reprezintă un fenomen aleatoriu, iar efectul său poate fi intuit parţial. În procesul analizei, în funcţie de profunzimea cunoaşterii, de dinamica procesului şi de dependenţele dintre evenimente, evenimentele adiacente pot deveni evenimente de bază sau pot fi considerate ca atare. Evenimentul adiacent este marcat pe schemă cu un trapez;
legăturile reprezintă căile de propagare (fig.4) a efectelor activării unor evenimente. Sunt reprezentate sub forma de linii între evenimente, între evenimente şi o poartă logică sau între o poartă logică şi un eveniment. Săgeata reprezintă orientarea propagării sau sensul transferului. Întro diagramă logică se utilizează, de regulă, legături unidirecţionale, dar, în cazuri speciale, între evenimentele intermediare pot apărea şi legături bidirecţionale. Linia continuă reprezintă o cale sigură, definită ca atare, în timp ce linia punctată reprezintă o cale probabilă. Pentru analiză, căilor de legătură li se pot asocia viteze sau capacităţi de transfer ori alte caracteristici.
Fig. 4 – Tipologia legăturilor
operaţiunile de control dacă sunt obişnuite, se realizează de-a lungul liniilor de legătură, iar dacă sunt între subdiagrame (subgrafuri) se marchează printr-un triunghi (fig.5) în care se înscrie codul (sau simbolul de identificare) elementului către care se realizează transferul.
Fig. 5 – Operaţiunea de transfer Identificarea obiectivelor Identificarea obiectivelor reprezintă un proces specific de identificare (selecţie, localizare şi evaluare) a elementelor (evenimentelor) care, potrivit unui criteriu, pot provoca disfuncţiona-lităţi sau alte manifestări cu consecinţe negative. Lărgirea analizei şi agregarea elementelor care provoacă disfuncţionalităţi în timp, în spaţiu sau structural conduc la stabilirea unor zone de maximă vulnerabilitate, a căror protecţie devine obligatorie. Se identifică astfel zonele vitale, fără de care procesele nu pot supravieţui. Ca proces recursiv, identificarea obiectivelor are cel puţin trei etape (fig.6), în abordarea cărora se pleacă de la împotriva cui trebuie protejat (against to protect– atp), la ce trebuie protejat (what to protect – wtp) şi se termină cu cum anume este real protejat(how to really protect- htrp).
Fig. 6 – Etapele identificării Prima etapă este etapa analizei preliminare, în care se iau în considerare ameninţările generale, specificeşi întâmplătoare asupra procesului (sistemului) şi se ordonează descrescător, într–o matrice (fig.7) cu trei secţiuni (G, S, Î), în funcţie de mărimea probabiităţii (posibilităţii) de producere. Pentru o mai bună definire a ameninţărilor, caracteristicile cunoscute ale acestora se consemnează la rubrica special definită. Dacă se lucrează cu probabilităţi, se impune ca pe fiecare secţiune suma probabilităţilor amenin-ţărilor să fie egală cu 1, iar probabilitatea pe zone (Pz) în cazul în care acestea sunt ameninţate de elementele cuprinse în toate trei secţiuni, se calculează conform ponderilor acordate fiecărei secţiuni, în funcţie de specificul proceselor analizate: = x p+ x + , cu condiţia ca + + = 1.
Fig. 7 – Matricea analizei preliminare Pentru încadrarea întregii secţiuni în nivelurile de posibilităţi, se calculează posibilitatea normată a secţiunii ca fiind, de exemplu, posibilitatea secţiunii generale: ∑
=
unde
pg este posibilitatea normată a secţiunii generale; N - numărul ameninţărilor cuprinse în matricea respectivă; pi - posibilitatea de producere a ameninţării i În funcţie de strategia de securitate adoptată (minimală, suficientă, acoperitoare sau sigură), se poate stabili un prag de selecţie a ameninţărilor (0,15% ÷ 0,03%) care nu se elimină din matrice, dar se ia în calcul la stabilirea obiectivelor ameninţate. Etapa a doua este cea a stabilirii obiectivelor ameninţate, în care se determină atât obiectivele ameninţate, cât şi felul şi nivelul de ameninţare. Plecând de la matricea ameninţărilor, se stabileşte obiectivul unde ameninţările devin efective. De pildă, dacă una din ameninţări este furtul, se identifică toate materialele sau produsele a căror valoare poate constitui obiectivul unei astfel de ameninţări. Identificarea materialelor şi produselor este urmată de stabilirea locului (zonei) în care acestea sunt dispuse, precum şi a căilor pe care se poate ajunge la ele. Dacă este vorba de sabotaj, se identifică, de asemenea, elementele care pot fi sabotate (distruse, întrerupte funcţional etc.), după care urmează stabilirea, şi în acest caz, a locului (zonei) de dispunere a acestora. În urma analizei complete, pentru fiecare ameninţare se determină locurile (zonele) de vulnerabilitate, care se înscriu în matricea obiectivelor vizate de ameninţări (fig.8). Înscrierea obiectivelor în matrice se face în ordinea descrescătoare a probabilităţilor (posibilităţilor) sumă ale ameninţărilor asociate. La calculul sumei se ţine seama de apartenenţa ameninţării la una dintre cele trei secţiuni şi, deci, şi de ponderea ei.
Fig. 8 – Matricea obiectivelor si ameninţărilor Ordonarea obiectivelor în matricea lor de identificare se poate face şi după alte criterii, dintre care menţionăm: ponderea funcţională, nivelul de fiabilitate, nivelul de siguranţă, categoria informaţiilor protejate, valoarea obiectivelor, materialelor sau produselor protejate, probabilitatea ori logica producerii evenimentelor nedorite, dispunerea şi înlăturarea căilor de acces etc.
Etapa a treia (fig.9) reprezintă etapa determinării zonei vitale a proceselor (sistemelor), care presupune: – –
determinarea zonei obligatorii de protecţie; determinarea caracteristicilor de definire a zonelor: ameninţările şi vulnerabilităţile asociate.
Caracterizarea zonei vitale (fig.10) presupune o analiză recursivă bazată pe caracterizarea în detaliu a ameninţărilor obiectivelor cuprinse în zona vitală, avându–se în vedere următoarele aspecte: – – – – – – –
caracteristicile ameninţărilor şi nivelul probabilităţii (posibilităţii) concretizării acestora; sursele ameninţărilor; elementele care facilitează concretizarea ameninţărilor (din mediu) şi vulnerabilităţile care favorizează transformarea acestora în atacuri; consecinţele concretizării ameninţărilor; nivelurile de risc gestionat; posibilităţile de contracarare sau de întârziere a producerii evenimentelor nedorite; modalităţile de atenuare a consecinţelor producerii evenimentelor nedorite.
Fig. 9 – Definirea zonei vitale Definirea nivelului necesar de protecţie (fig.11) a zonei vitale se bazează pe aspectele de sinteză care caracterizează fizic, funcţional, informaţional şi inteligent-uman zona vitală, astfel: – – – – –
locul zonei vitale în obiectivul (sistemul) analizat funcţionalitatea zonei vitale şi ponderea acesteia în funcţionalitatea obiectivului (sistemului) structura de resurse materiale, informaţionale, umane, precum şi valorile fizice şi morale ale acestora structura vulnerabilităţilor protecţia strategiei de securitate pentru zona vitală.
Fig. 10 - Caracterizarea zonei vitale
Fig. 11- Definirea nivelului necesar de protecţie Arborele funcţionalităţii vitale Arborele funcţionalităţii vitale este reprezentarea structurală a elementelor funcţionalităţii zonei vitale şi a legăturilor dintre acestea. Pentru exemplificare, în fig.12 este reprezentat arborele funcţionaltăţii vitale pentru un proces industrial cu foc continuu.
Fig. 12 – Graful funcţionalităţii primare Evenimentul primar este parametrul fundamental care caracterizează funcţionalitatea zonei vitale, constituită ca subsistem, sau starea finală în care se stabilizează obiectivul (sistemul) în timpul funcţionării acestui subsistem. Dacă în această situaţie sistemul este caracterizat de un vector parametric sau de mai mulţi parametrii, arborele de defectări se desfăţoară ca atare. Parametrul fundamental al procesului este menţinerea fluidităţii magmei, concretizată printro anumită densitate şi tempera-tură. Evenimentele intermediare sunt reprezentate pe niveluri funcţionale ierarhice, iar cele pri-mare pe un singur nivel. Codificarea îndeplineşte criteriul de apartenenţă. În acest exemplu, criteriul nivelului ierarhic funcţional este mai puţin edificator. Definirea evenimentelor este de tip mixt, utilizându–se atât atribute funcţionale, cât şi denumiri de elemente. A fost aleasă această soluţie pentru a i se demonstra posibilitatea de utilizare, deşi definirea omogenă este mai recomandată. Excluzând totuşi unele elemente, care, şi în acest caz al funcţionalităţii vitale, pot fi considerate redundante, graful critic asociat funcţionalităţii vitale este prezentat în fig. 13.
Fig. 13 – Arborele funcţionalităţii primare
Fiecare element funcţional are un anumit nivel de fiabilitate şi o pondere în funcţionarea generală a sistemului. În funcţie de aceste două caracteristici, se stabileşte riscul asociat şi apoi se determină şi riscul de zonă. Pentru elementele din fig.13 s–au stabilit ponderile, s–au evaluat riscurile elementelor primare şi s–au determinat, prin însumare ponderată, riscurile de proces şi cele ale zonelor considerate vitale. Pentru a uşura calculul, numărul celor k elemente de amestec s–a redus la 3. Pe baza grafului funcţionalităţii vitale se definitivează zona vitală, marcându–se sub formă de cod, locul elementelor nodale (fig.14). În acest fel, fiecărei componente a zonei vitale i se ataşează direct elementele funcţionale vitale, concretizându–se astfel resursele fiecărei funcţii (atribuţii) şi se determină riscul de zonă. Riscul de zonă se calculează ca suma ponderată a riscurilor componentelor care aparţin zonei, fără a se mai respecta riguros principiul egalităţii sumei ponde-rilor egală cu 1, deoarece riscul calculat este doar un indicator care stabileşte ierarhia vulnerabilităţii zonelor. Riscul procesului nu se ponderează. Din analiza riscurilor asociate zonelor din fig.14, ierarhia zonelor după vulnerabilitate este următoarea: – – – – – – – –
cuptorul – risc 0,42 depozitul de combustibil – 0,27 camera de încărcare – 0,24 depozitul de materii prime – 0,20 vibratorul – 0,19 sursa electrică – 0,17 camera de combustibil – 0,12 centrul de coordonare – 0,01.
Fig. 14 – Configuraţia zonei vitale
Arborele ameninţărilor Analizând diagrama logică, graful funcţionalităţii vitale şi configuraţia zonei vitale, se pot concretiza ameninţările, stabilindu–se tipul acestora, locul de acţiune, implicaţiile funcţionale şi informaţionale, precum şi consecinţele producerii evenimentelor nedorite. În urma analizei se întocmeşte matricea ameninţărilor, definindu–se categoria lor (generală, specifică sau întâmplă-toare), locul de acţiune şi probabilitatea sau posibilitatea producerii. Structura de această dată se obţine pe baza arborelui ameninţărilor. Acesta din urmă se obţine din agregarea tuturor ramurilor ameninţărilor, având în vedere că elementele concrete (obiectivele) se reprezintă o singură dată în arbore, fiecare dintre ele cu toate legăturile. Din analiza arborelui, o concluzie deosebită ce se desprinde este posibilitatea de a pune imediat în evidenţă întregul ansamblu de ameninţări care se concentrează asupra unui obiectiv. Analizând reprezentările celor doi arbori, al funcţionalităţii vitale şi al ameninţărilor, se observă că desfăşurarea ameninţărilor este inversă, iar porţile logice, în arborele ameninţărilor, sunt excitate singular, determinând efecte cumulate (ŞI) ori scvenţiale (SAU).
Fig. 15 – Arborele producerii sabotajului
Riscul se determină cu ajutorul acestui arbore, la fel ca şi în cazul arborelui funcţionalităţii vitale. Se iau în consideraţie aceleaşi riscuri determinate pentru elementele funcţionale componente, dar se schimbă ponderile în funcţie de noua structură. De exemplu, pentru 011 şi 012, ponderile s–au schimbat de la 0,05 la 0,50. Se calculează riscul ca sumă ponderată pentru fiecare element al sabotajului şi apoi riscul acestuia. Pentru ponderea sabotajului, riscul determinat este de 0,12 sau 12%. Arborele structurii mecanismului de securitate Mecanismul de securitate realizat pentru situaţia analizată trebuie, în conformitate cu strategia adoptată, să contracareze producerea evenimentelor nedorite (ameninţările) să trateze producerea şi să atenueze consecinţele negative ale acesteia. Pentru a face faţă acestor aspecte, la meca-nism se vor agrega măsuri, capacităţi operaţionale şi funcţionale şi informaţii, se va realiza managementul riscului şi se vor trata producerea şi consecinţele evenimentelor nedorite. Eficienţa mecanismului va fi condiţionată, în primul rând, de modalitatea în care evaluarea riscului şi tratarea consecinţelor vor cores-punde situaţiei de fapt, în general, şi cu atât mai mult în cazul special al zonelor vitale. Sunt destule metode şi tehnici de structurare a mecanismelor de securitate, cu avantajele şi dezavantajele cunoscute. Faţă de toate aceste metode şi tehnici, metoda structurării arborescente a mecanismului de securitate, bazată pe arborele ameninţărilor, prezintă un plus de pragmatism şi, deci, de eficacitate. Pentru o corectă aplicare a acestei metode, este necesară îndeplinirea următoarelor condiţii: – arborele ameninţărilor să fie real definit – ameninţările să fie fără consecinţe cumulative – obiectivele definite să nu fie menajate, dar nici suprâncărcate cu ameninţări – pragurile de selecţie să corespundă strategiilor de securitate adoptate – procedurile şi resursele de securitate să fie eficace în sine, iar agregarea să le creeze un cadru sinergetic de manifestare – lipsa resurselor sau a oportunităţilor, datorată neacoperirii unor costuri, să nu fie dramatică – structura rezultată este doar o stare iniţială, ea trebuie să fie flexibilă, adaptabilă şi perfectabilă. În esenţă, metoda este recursivă şi presupune agregarea arborelui de structură din ramurile ce reprezintă soluţiile de securitate pentru ameninţările care vizează un obiectiv. De la caz la caz, agregarea este ponderată sau neponderată. Exclusiv secvenţială sau consolidată cu elemente de completare deductibile din context. Pentru a exemplifica esenţa metodei, în fi-gura 16 este reprezentată ramura arborelui structurii mecanismului de securitate pentru obiectivul central de coordonare şi control, care conform arborelui ameninţărilor este supus la următoarele evenimente nedorite: sabotaj, disfuncţioalităţi structurale (pentru aparatura din centrul de coordonare şi control), greşeli de operare, pene de alimentare cu energie, inundaţii şi incendii. Faţă de aceste ameninţări, soluţiile din figura 16 asigură: – prevenirea tuturor ameninţărilor prin funcţii precise de contraacţiune – tratarea producerii evenimentelor nedorite – atât soluţii tehnologice, cât şi organizatorice-educative
– – –
– –
soluţii de securtiate deplină (multifuncţională) atât soluţii generale, cât şi soluţii speciale (încapsulare 011 şi 012) posibilităţi de racordare cu celelalte ramuri ale arborelui structurii mecanismului de securitate atâ la nivel general (parametru fundamental şi ameninţări generale), cât şi la cel al măsurilor (control acces, fiabilizare) sau a obiectivelor (01311, 01312,şi 01313) deschidere prin adăugarea de noi funcţionalităţi şi / sau măsuri perfectabilitate tehnologică şi de pregătire a resurselor umane.
Agregarea ramurilor în arborele structurării meca-nismului de securitate este destul de complicată. De aceea, problema trebuie rezolvată recursiv şi progresiv, în conformitate cu strategia de securitate adoptată.
Fig. 16 – Arborele structurii mecanismului de securitate