Systems Reliability

6
Adabilit dei sistemi
6.1 Realiability Block diagrams - RBD

Nel caso di sistemi semplici , quali quello riportato in Fig.6.1(a), possibile
schematizzare il sistema mediante dei blocchi che rappresentano i diversi componenti (Fig. 6.1(b)). Allinterno di questo schema si riconoscono due diverse
tipologie di configurazione del sistema: configurazione in serie ed in parallelo.
Altre configurazioni si ritrovano in schemi pi complicati.
(a)
(b)
Figura 6.1. Impianto di regolazione e distribuzione: a) sistema; b) descrizione a
blocchi
6.2 Sistemi Serie

Un sistema serie un sistema che cede quando si rompe anche uno solo
dei componenti (Fig. 6.2(a)). Ladabilit del sistema quindi espressa dal
128
6 Adabilit dei sistemi
(a)
1
0.9
Ri=0.99
0.8
Ri=0.98
0.7
0.6
0.5
Ri=0.95
0.4
10
15
numero di componenti
20
(b)
Figura 6.2. Sistema serie: a) configurazione; b) adabilit di un sistema serie al
variare del numero di componenti e della loro adabilit
prodotto delle adabilit dei singoli componenti:

RS =
(6.1)
Ri
i=1
Di conseguenza la funzione di probabilit cumulata data da:

FS = 1
i=1
(6.2)
[1 Fi (t)]
Se la vita dei componenti descritta da distribuzioni esponenziali:

Ri = ei t RS =
exp(t) = e
i=1
i=1
i t
(6.3)
quindi la vita del sistema serie ancora descritta da unesponenziale negativa,

il cui tasso di guasto la somma dei tassi di guasto dei singoli componenti1 :
S =
(6.4)
i=1
Nel caso di sistemi serie con componenti caratterizzati da vite distribuite come
esponenziali:
1
Per un sistema in serie, anche se il tasso di guasto non costante, si pu facilmente

dimostrare che, noti i tassi di
guasto hi (t) dei singoli componenti, il tasso di guasto
del sistema risulta: hS (t) = i hi (t).
6.2 Sistemi Serie
MTTF =
RS (t)dt =
Ri (t) dt =
i=1
e(
i=1
i ) t
129
1
dt = n
i=1 i
(6.5)
Esempio 6.1 Si consideri lalbero in Fig. 6.3 di diametro D = 150 mm e rotante a

400 giri/min; i cuscinetti, orientabili a rulli, identici, hanno un coeciente di carico
dinamico C = 1270 kN e vita distribuita secondo una Weibull con = 2. Si calcoli
il tasso di guasto del sistema costituito dai due cuscinetti A e B, nel caso il carico
applicato sia pari a 250 kN ed il funzionamento previsto sia di 30000 h.
Figura 6.3. Esempio 6.1: adabilit di un albero rotante su cuscinetti

La durata dei cuscinetti, calcolata come gi visto nellesempio 5.4, risulta essere:
L10,h,A = 199130
L10,h,A = 51542
ed i relativi parametri sono:
A = 613480 h
B = 158800 h.
Le adabilit dei due cuscinetti risultano:
RA = 0.9976
RB = 0.9649
i tassi di guasto risultano:
A = 7.971 108 h1
B = 1.189 106 h1
Il sistema costituito dai due cuscinetti pu essere considerato come un sistema serie,
dato che il suo cedimento si raggiunge col cedimento di anche solo uno dei due
cuscinetti. Il tasso di guasto si ottiene quindi come somma dei due tassi di guasto:
sist = A + B = 1.269 106 h1 .
Ladabilit del sistema ed i tassi di guasti sono stati qui calcolati solo con riferimento ai due cuscinetti: il contributo dellalbero entrerebbe come un terzo elemento
della serie.
130
Esempio 6.2 Si calcoli il tasso di guasto di un sistema che deve operare per 5000
ore, costituito da 3 componenti in serie, la cui vita descritta da:
componente A: esponenziale negativa con M T T F = 12000 h;

componente B: Weibull con = 10000 e = 3;
componente C: esponenziale negativa (su 10 componenti montati in esercizio 7
hanno superato 8000 h e i rimanenti hanno ceduto a 3000, 4000 e 5500 h).
Per quanto riguarda il componente C il tasso di guasto approssimato a 8000 h si

pu calcolare tramite la (5.21):
Nf
C = = 3/(8000 7 + 3000 + 4000 + 5500) h1
tf
ed essendo la vita dei componenti C distribuita come unesponenziale negativa,

questo tasso di guasto si mantiene costante. Il tasso di guasto medio del componente
B si pu ottenere in modo approssimato tramite la (5.25):
1
B = t
h1
Il tasso di guasto medio del sistema si calcola come descritto dalla (6.4), considerando
i componenti descritti tutti da esponenziali negative:
sist,
approx
B + C = 1.52 104 h1
= 1/M T T FA +
con B calcolato a t = 5000 ore.

La valutazione esatta del tasso di guasto medio del sistema pu essere fatta anche calcolando dapprima ladabilit del sistema a 5000 ore e successivamente calcolando
il tasso di guasto medio dalla (5.34). Ne risulta:
= ln R = 1.52 104 h1
t
B stato calcolato con un approccio simile,
I due risultati coincidono giacch
trattando il componente B come se fosse descritto da una distribuzione esponenziale
negativa.
Esempio 6.3 Si consideri il sistema dellEsempio 6.2: si calcoli il M T T F del sistema.
Il calcolo esatto del M T T F si ottiene dallintegrale delladabilit del sistema:

M T T Fsist =
Rsist ds = 5.12 103 h
0
dove Rsist il prodotto delladabilit dei componenti.

Il M T T F del sistema potrebbe erroneamente essere approssimato tramite la
(6.5), ovvero considerando che le vite di tutti i componenti siano distribuite come
delle esponenziali negative. Se i componenti avessero tasso di guasto costante, infatti,
varrebbe la (6.4), e si potrebbe scrivere:
1
1
=
M T T Fsist
M T T Fi
da cui si potrebbe erroneamente scrivere:
6.2 Sistemi Serie
131
RA
0.9
RB
R
0.8
Rtot
affidabilit
0.7
0.6
0.5
0.4
0.3
0.2
0.1
0 2
10
10
10
10
tempo [h]
Figura 6.4. Esempio 6.3: andamento delladabilit dei componenti

M T T Fsist,
dove:
approx
1
M T T Fi
M T T FB =
1
A +
1
M T T FB
+ C
= 4.18 103 h
RB = 8.9 103 h
Come si pu notare non possibile approssimare in modo soddisfacente il M T T Fsist ,

in quanto ladabilit del componente B, se valutata lungo tutta la vita (0, ),
dierente da quella di un componente distribuito come unesponenziale negativa: in
particolare = 1/M T T F .
6.2.1 Tasso di guasto durante la missione

Come si vede in questi esempi, il calcolo del tasso di guasto dei componenti
permette di fare valutazioni semplici della adabilit dei sistemi. Tuttavia,
quando si valuti la adabilit di un sistema su un tempo di missione t, non
tutti i componenti sono soggetti alle stesse condizioni operative durante la
missione.
Se consideriamo un componente che durante la missione t lavora per un
tempo t1 (con t1 < t) ed ha un tasso di guasto 1 , il tasso di guasto medio
durante la missione :
1 t1
=
(6.6)
t
Se il componente durante la missione soggetto a due diverse situazioni operative caratterizzate dai tassi di guasto 1 e 2 aventi durata t1 e t2 (vale
132
la relazione t1 + t2 = t), il tasso di guasto medio con il sistema vede il

componente risulta:
1 t1
=
(6.7)
t
Se per un dato componente il tasso di guasto espresso in operazioni (c per
ciclo), se il componente soggetto a c cicli durante la missione, il tasso di
guasto medio risulta:
c c
=
(6.8)
t
6.3 Sistemi Parallelo

Un sistema parallelo un sistema che cede solo quando tutti i suoi componenti
si rompono (Fig. 6.5(a)). Ladabilit RP del sistema parallelo, nellipotesi
che tutti gli elementi siano indipendenti, risulta:
(1 RS ) =
RS = 1
i=1
i=1
(6.9)
(1 Ri )
(1 Ri ) = 1
(6.10)
(Fi )
i=1
La probabilit cumulata della vita del sistema quindi data dal prodotto delle
cumulate dei singoli componenti:
FS (t) =
(6.11)
Fi (t)
i=1
Il M T T F per un sistema parallelo facilmente ricavabile:
n=4
0.9
n=3
0.8
RP
n=2
(a)
0.7
0.6
0.5
0.5
n=1
0.6
0.7
0.8
0.9
affidabilit del componente
(b)
Figura 6.5. Sistema parallelo: a) configurazione; b) adabilit di un sistema

parallelo al variare del numero di componenti e della loro adabilit
M T T FS =
RS (t)dt =
i=1
(1 Ri (t)) dt ,
in particolare per distribuzioni esponenziali:
i t
MTTF =
1
1e
dt
0
133
(6.12)
(6.13)
i=1
Nel semplice caso di due soli componenti in parallelo, ovvero n = 2:

1
1
1
+
(6.14)
M T T FS =
1 1 e1 t 1 e2 t dt =
+
2
1
2
1
0
da cui si ottiene (nel caso 1 = 2 = ):
M T T FS =
2
1
3
=
2
2
(6.15)
Generalizzando la (6.13) per n componenti aventi tasso di guasto costante

pari a :
1
1
1
1
M T T FS =
1 + + +
(6.16)
2
n
Il tasso di guasto del sistema in parallelo si ricava quindi, conoscendo RS (t),

direttamente dalla (5.4).
Ladabilit di un sistema in parallelo pu essere meglio compreso dallesempio che segue.
Esempio 6.4 Si consideri un sistema in parallelo costituito da 3 componenti aventi un tasso di guasto costante pari a = 0.01 [h1 ]: ricavare ladabilit per una
missione di t = 10h, ricavare il tasso di guasto e calcolare MTTF del sistema.
Ladabilit del singolo componente per una missione di 10 h risulta pari a:
R = e10 = e0.1 = 0.904
Se proviamo ad incrementare ladabilit considerando 3 componenti in parallelo,
otteniamo un sistema avente unadabilit:
RS = 1 (1 R)3 = 0.999138
Ladabilit molto aumentata (al contrario dei sistemi in serie ladabilit aumenta allaumentare del numero di componenti): se considero 1000 missioni da 10h,
nel caso del componente semplice avr circa 100 rotture a fronte di 1 solo cedimento
per il sistema in parallelo. Si nota come questo aumento delladabilit di due ordini
di grandezza si verifichi solo per tempi di missione relativamente brevi, come si pu
vedere anche dalla curva del tasso di guasto ricavabile come:
h(t) =
1 dRS
R dt
134

1
R
RS
0.9
0.8
0.7
R, RS
0.6
0.5
0.4
0.3
0.2
0.1
0
50
100
150
200
250
300
tempo [h]
(a)
(b)
0.03
h(t)
0.025
0.02
0.015
0.01
0.005
50
100
150
200
250
300
t [h]
(c)
Figura 6.6. Sistema parallelo di 3 componenti: a) configurazione; b) adabilit del
sistema al variare del tempo; c) tasso di guasto del sistema
.
E interessante osservare che, se volessimo ottenere la stessa adabilit con un
= 104 [h1 ]
solo componentone, questultimo dovrebbe avere un tasso di guasto
a cui sicuramente corrisponde un costo pi alto di quello del componente base (

corrisponde al tasso di guasto medio che possiamo attribuire al sistema per missioni
t = 10h).
Daltro canto la maggiore adabilit del sistema parallelo (oltre al maggiore costo
iniziale di 3 componenti) ha la necessit, per assicurare che quando il sistema inizia
la missione i 3 componenti eettivamente funzionino assicurando la ridondanza, di
essere sottoposto (prima delle 1000 missioni) ad altrettanti controlli 2 . Considerando
2
La necessit di una manutenzione ulteriormente segnalata dallandamento

rapidamente crescente del tasso di guasto.
135
che la probabilit di cedimento dei singoli componenti del 10 % e che vi sono 3

componenti, dovremo riparare circa 300 componenti.
In particolare, se calcoliamo la probabilit che per una missione non si rompa
nessuno dei 3 componenti, questa pari a ( come se fosse se i 3 componenti fossero
in serie):
e3t = 0.74
e la probabilit che si rompa almeno un componente (il complemento a 1) :
1 e3t = 0.26
ovvero durante i 1000 controlli eettuati per assicurarsi che i 3 componenti siano
eettivamente funzionanti prima delle missioni 3 , in 260 di questi checks verr trovato almeno un componente rotto: in particolare in 234 casi andr rimpiazzato 1
componente su 3, in 25 casi 2 componenti su 3 ed in 1 caso tutti i componenti rotti,
per un totale di 287 pezzi.
E se non facessimo questa onerosa manutenzione ? Per esaminare questo caso analizziamo il comportamento per vite maggiori ed in particolare calcoliamo M T T FS
che risulta:
1
1
1
+
= 183.33 [h]
M T T FS = +
2
3
la vita media aumenta quindi aumenta rispetto al componente base, ma in misura
non proporzionale al numero dei componenti.
Immaginando di fare 1000 missioni da t = 10h, avremo un numero di rotture:
nf =
1000 10
54
183.33
cedimenti
cui corrisponde unadabilit media:

Rmedia =
1000 54
= 0.946
1000
che avremmo anche potuto stimare come:

10
Rmedia = e 183.3 = 0.946

Riassumendo quindi i tre scenari che abbiamo toccato:
con 1 solo componente, avremo 100 missioni fallite su 1000 (100 componenti da
rimpiazzare);
con un parallelo di 3 componenti con manutenzione regolare, avremo 1 missione
fallita su 100 (a fronte di 260 operazioni di manutenzione per un totale di circa
300 componenti da rimpiazzare);
con un parallelo di 3 componenti senza manutenzione regolare, avremo 54
missioni fallite su 1000 con un rimpiazzo di 162 componenti.
ladabilit riparte da 1 ad ogni missione in quanto consideriamo ladabilit

condizionata dopo la missione precedente (e la manutenzione).
136
6.4 Ridondanze k su n
Consideriamo 2 componenti identici, se indichiamo con R ed F rispettivamente
la sopravvivenza ed il cedimento dei pezzi, le possibili combinazioni di quanto
pu succedere si ricavano da:
(R + F )2 = R2 + 2 F R + F 2 = 1
ovvero avremo le seguenti possibilit: i) ambedue i pezzi sopravvivono; ii) 2
combinazioni di 1 pezzo rotto ed 1 funzionante; iii) ambedue i pezzi si rompono. Quando calcoliamo ladabilit di un sistema costituito dai 2 componenti
in parallelo, sommiamo le probabilit di accadimento dei primi due casi.
Allo stesso modo se esaminiamo 3 pezzi:
(R + F )3 = R3 + 3 R2 F + 3 R F 2 + F 3 = 1
avremo le seguenti possibilit: i) sopravvivenza di 3 pezzi; ii) 3 combinazioni
in cui 2 pezzi sopravvivono; iii) 3 combinazioni in cui 1 pezzo sopravvive; iv)
cedimento dei 3 pezzi. Come sopradetto, ladabilit del parallelo corrisponde
alla somma delle probabilit dei primi tre casi.
Se per il nostro sistema funziona solo con 2 pezzi su 3, ladabilit (che
indichiamo con R(2,3) ) risulta:
R(2,3) = R3 + 3 R2 F
(6.17)
Esempio 6.5 Si consideri un velivolo trimotore, in cui ciascuno dei propulsori ha

un tasso di guasto = 0.0001 [h1 ]. Se per il sostentamento e la manovra del velivolo
occorrono almeno 2 motori, qual la probabilit di portare a termine una missione
t = 10h ?
Ladabilit di un motore risulta:
R = e0.000110 = 0.999
e la probabilit di portare a termine una missione risulta:
R(2,3) = R3 + 3 R2 (1 R) = 0.999997
Generalizzando quanto visto nei due casi precedenti di 2 e 3 componenti (li

abbiamo svolti attraverso il metodo di enumerazione), ladabilit di uno
schema in parallelo di n componenti in cui debbano funzionare almeno k
componenti risulta:
R(k,n) =
n
i=k
Ri (1 R)n1
(6.18)
6.5 Ridondanza in stand-by
137
il tempo medio fino al guasto si calcola come M T T F = R(k,n) dt che nel

caso di componenti identici aventi tasso di guasto costante risulta:

n
n1
n t i
MTTF =
e
1 et
dt
(6.19)
i
0
i=r

Il sistema in parallelo deve la sua elevata adabilit alla ridondanza del sistema, in cui basta che un elemento solo sopravviva per svolgere la funzione
richiesta, ma questo si traduce in un aumento del costo iniziale di un sistema.
Spesso si ovvia a tale costo ricorrendo a componenti in stand-by. La soluzione
con ridondanza in stand-by tipica dei sistemi di emergenza (come ad esempio quelli di alimentazione elettrica, vedasi Esempio xxx), in cui una unit di
soccorso interviene per eetto di uno switch che la aziona appena il componente principale interrompe la propria funzione. Si distinguono questi due tipi
di ridondanza in stand-by:
cold stand-by in cui il componente di soccorso viene mantenuto a riposo

fino al momento di entrare in azione (ha quindi tasso di guasto nullo fino
allazionamento);
warm stand-by in cui il componente di soccorso viene tenuto ad un livello
minimo di attivit (ed operativit) che ne assicuri il rapido azionamento.
Detti E1 ed E2 rispettivamente lelemento principale e quello di soccorso, uno

schema di semplice parallelo non esattamente corrispondente al reale schema
(che per semplicit semplifichiamo come in Fig. 6.7(b) ).
E1
E2
(a)
E1
E2
(b)
Figura 6.7. Sistema con ridondanza in stand-by: a) schema eettivo; b)

rappresentazione semplificata
Il calcolo delladabilit al tempo t pu venire eettuato come somma della

probabilit di due eventi mutuamente esclusivi che corrispondono a due diverse situazioni: la probabilit che E1 funzioni (e che quindi in tale situazione
138
lunit E2 non interviene) + la probabilit che il sistema funzioni dopo la

rottura dellelemento principale.
Nel caso il componente 1 non funzioni, ladabilit al tempo t dalla
combinazione di due eventi indipendenti:
la probabilit che il componente 1 smetta di funzionare al tempo t1 :

f1 (t1 )dt1 ;
la probabilit che il componente 2 funzioni per un tempo t2 = t t1 :
R2 (t2 );
ovvero:
f1 (t1 )dt1 R2 (t2 )
(6.20)
Nel calcolo abbiamo ipotizzato che E1 si rompa ad un tempo t1 che non

fisso ma la probabilit che il sistema funzioni al tempo t la somma di tutti i
contributi infinitesimi per 0 t1 t (si sommano perch eventi mutuamente
esclusivi), ottenendo:
Pr (sistema funzioni) =
t
0
f1 (t1 )dt1 R2 (t2 )
(6.21)
apparentemente lespressione soprascritta sembra irrisolvibile, ma se scriviamo

t1 = x e t2 = t x otteniamo:
t
Pr (sistema funzioni) =
f1 (x) R2 (t x)dx
(6.22)
0
In totale quindi ladabilit del sistema in stand-by risulta:

t
RS = R1 (t) +
f1 (x) R2 (t x)dx.
(6.23)
Nel caso in cui allo switch vada attribuita una adabilit RSW ladabilit
del sistema diventa4 :
t
RS = R1 (t) +
f1 (x) R2 (t x) RSW (x)dx
(6.24)
0
6.5.1 Elementi identici

Se consideriamo il caso ideale di un sistema stand-by in cui lelemento principale e quello di soccorso hanno lo stesso tasso di guasto costante, risolvendo
la (6.23) si ottiene:
RS = et + t et
(6.25)
Il tempo medio fino al guasto si calcola come:
4
RSW pu non dipendere dal tempo in tal caso viene espressa come unadabilit
per operazione
M T T FS =
RS dt =
et dt +
139
(t) et dt
che risolta ci da:
2
+
=
(6.26)
2
Generalizzando per un sistema composto da m componenti identici dei quali

funge da elemento principali e gli altri da ridondanza in stand-by, ladabilit
risulta espressa come:
M T T FS =
ti
RS = et 1 +
i!
i=1
(6.27)
ed il tempo medio al guasto:

M T T FS =
n+1
(6.28)
Esempio 6.6 Si consideri un semplice sistema in stand-by, costituito da 2 elementi

identici aventi = 0.01 [h1 ]. Calcolare ladabilit del sistema per una missione
t = 10h.
Applicando la (6.25) si ottiene:
RS = e0.1 + 0.1 e0.1 = 0.99532
Con un sistema in parallelo semplice, detta R = e0.1 ladabilit del singolo
componente, si sarebbe calcolata una adabilit:
Rpar = R + R R2 = 0.9908
Ladabilit del sistema in stand-by quindi teoricamente migliore (attenzione per
che in questo caso ideale non stata considerata RSW ) del parallelo in cui entrambe
le unit lavorano in load-sharing, perch il componente di soccorso ha unadabilit
che inizia da 1 al momento dellintervento.
6.5.2 Elementi diversi

E molto pi comune che gli elementi della ridondanza in stand-by abbiano
un diverso tasso di guasto. In particolare se consideriamo uno schema con un
componente principale avente tasso di guasto 1 ed un componente di soccorso
avente tasso di guasto 2 , risolvendo la (6.23) si ottiene:
1
RS = e1 t +
e1 t e2 t
(6.29)
2 1
140
Se ladabilit dello switch diversa da 1 e costante durante la missione di

durata t, lequazione soprascritta si modifica in:
1
RS = e1 t + RSW
e1 t e2 t
(6.30)
2 1
Esempio 6.7 Consideriamo un generatore di tensione avente un tasso di guasto
1 = 0.0002 [h1 ] al quale aancato un sistema di emergenza costituito da una
batteria avente 2 = 0.001 [h1 ] che viene azionato da uno swith con unadabilit
RSW = 0.99 per operazione, calcolare ladabilit del sistema per una missione
t = 10h.
generatore
batterie
switch
Figura 6.8. Sistema di generazione elettrica con ridondanza in stand-by
Applicando la (6.29) si ottiene (sapendo che R1 = e(1 t) ed R2 = e(2 t) ):
RS = R1 + RSW
1
R1 R2 = 0.99998
2 1
Eseguendo il calcolo come se fosse un parallelo ideale avremmo scritto:
Rpar = R1 + R2 RSW R1 R2 RSW = 0.99996
Come si vede in questo caso la dierenza molto piccola: questa la ragione

per la quale spesso si tratta la ridondanza in stand-by come un semplice parallelo
(trattando quindi limpianto di emergenza come il ramo di uno schema in parallelo).
Ancora una volta, come nelesempio del parallelo gi discusso, lelevata adabilit del sistema garantita se prima di ogni missione vi sono dei checks che
verifichino la funzionalit di generatore e batterie. In assenza di questi checks se il
sistema venisse adoperato fino al cedimento avrebbe una vita media:

1
RSW
M T T FS =
Rdt =
+
(6.31)
2
1
0
che ci fornisce M T T FS = 5990 [h]. Ladabilit per una missione potremmo quindi
calcolarla come:
10
RS,nochecks = e 5990 = 0.9983
e risulterebbe di poco maggiore delladabilit del solo generatore.
6.6 Semplificazione di schemi complessi
141
6.5.3 Variazione del tasso di guasto in un sistema in parallelo

Le formule appena viste per la ridondanza in stand-by ci permettono di risolvere un altro caso interessante per descrivere il reale funzionamento di un
sistema parallelo [34]. Supponiamo di avere un sistema in parallelo di due elementi che durante il funzionamento load sharing hanno un tasso di guasto 1
e quando funzionino singolarmente, per il non-funzionamento di uno dei due,
abbiano un tasso di guasto 2 (dovuto alle pi onerose condizioni operative).
La probabilit che entrambi gli elementi del parallelo resistano (ovvero che
1
2
1
(a)
(b)
Figura 6.9. Sistema in parallelo con variazione del tasso di guasto: a) 2 componenti
in parallelo con tasso 1 assumono un tasso 2 in caso di funzionamento singolo; b)
rappresentazione con uno schema stand-by
funzionino in load sharing) si pu calcolare con uno schema in serie in cui

consideriamo entrambi gli elementi hanno tasso di guasto 1 : tale serie viene
soccorsa da un elemento avente tasso di guasto 2 (vedasi Fig. 6.9(b)).
Applicando le formule per due elementi con diverso tasso di guasto, si
ottiene:
21 21 t
RS = e21 t +
e
e2 t
(6.32)
2 21

Per determinare ladabilit di un sistema complesso necessario ridurlo, se
possibile, ad un insieme di sistemi serie e parallelo (Esempio 6.8). Per sistemi
in cui questa operazione risulta troppo complicata, possibile ricorrere al
metodo della probabilit condizionata o al metodo dei Minimal Cut-Set.
Esempio 6.8 Si consideri il sistema rappresentato in Fig. 6.10. Per calcolare ladabilit complessiva del sistema necessario semplificarlo, considerando i due blocchi di componenti in parallelo come due componenti singoli in serie con gli altri:
ladabilit di questi due componenti fittizi si calcola come visto nel paragrafo 6.3.
142

RP 3 = 1
RP 5 = 1
n3
(1 R3 ) = 0.98
n5
(1 R5 ) = 0.97
i=1
i=1
Rsistema = R1 R2 RP 3 R4 RP 5 R6 R7 = 0.980.950.980.950.970.90.99 = 0.75
Figura 6.10. Esempio 6.8: schematizzazione di un sistema complesso e riduzione

dei gruppi in parallelo ad un elemento equivalente
6.6.1 Metodo della probabilit condizionata

Il metodo della probabilit condizionata prevede lidentificazione del componente che impedisce la scomposizione del sistema in sistemi serie e parallelo, e quindi il calcolo delladabilit nel caso che questo componente sia
funzionante o meno (Fig. 6.11):
Rsist = {Rsist , C non funz } P r { C non funz }
+ {Rsist , C funz } P r { C funz }
(6.33)
143
Figura 6.11. Metodo della probabilit condizionata (esempio tratto da [2])
Esempio 6.9 Si consideri un recipiente in pressione di diametro D = 300 mm

e spessore di parete s = 4 mm. Si calcoli ladabilit con lintroduzione di una
valvola di massima che limiti la pressione a 6.5 MPa. Si conosce la distribuzione
delle pressioni, e quella della resistenza del materiale.
p N (6, 1.8) M P a
S N (320, 20) M P a
Ricordando che il limitatore riporta alla pressione massima tutte le pressioni ad essa
superiori, (vedasi Fig. 4.28(b) possibile ricavare ladabilit in caso di assenza del
limitatore e con limitatore:
Rsenza
Rcon
limitatore
= 0.9113
limitatore
= 0.9991
Anche i sistemi con limitatore si prestano ad essere analizzati con il metodo della probabilit condizionata; si supponga, per esempio, che il limitatore abbia unadabilit
pari a 0.95: applicando la (6.33) ladabilit del recipiente risulta:
Rsist = {Rsist , LIM non funz } P rob { LIM non funz }
+ {Rsist , LIM funz } P rob { LIM funz } = 0.99473
Schema a ponte
Considerando lo schema a ponte di Fig.6.12(a) , attraverso il metodo delladabilit condizionata si pu dividere in due sottocasi a seconda che E5
144

E1
E3
E5
E2
E4
(a)
E1
E3
E1
E3
E2
E4
E2
E4
(b)
E1
E3
E2
E4
(c)
Figura 6.12. Sistema a ponte: a) configurazione; b) schema quando E5 funziona;
c) schema quando E5 non funziona
.
funzioni oppure no.

Ladabilit quando E5 funziona risulta:
(R1 + R2 R1 R2 ) (R3 + R4 R3 R4 )
e quando E5 non funziona risulta:
(R1 R3 + R2 R4 R1 R2 R3 R4 )
In complesso ladabilit dello schema a ponte risulta:
Rponte = R5 (R1 +R2 R1 R2 )(R3 +R4 R3 R4 ) +(1R5 ) (R1 R3 +R2 R4 R1 R2 R3 R4 )

(6.34)
Elemento che compare due volte
Vi possono essere degi sistemi nei quali uno stesso elemento compare in due
punti dello schema. E incorretto (con riferimento alla Fig. 6.13(a)) trattare il
6.7 Metodo Cut-Set
E2
145
E2
E4
E1
E5
E3
(a)
E4
E1
E5
(b)
E1
E3
E5
(c)
Figura 6.13. Schema con elemento ripetuto: a) configurazione; b) schema quando
E2 funziona; c) schema quando E2 non funziona
.
componente E2 in modo indipendente come se fossero due componenti diversi. Ancora una volta il modo di calcolare ladabilit utilizzare il metodo
delladabilit condizionata. In particolare ladabilit se E2 funziona :
R1 (R4 + R5 R4 R5 )
e quando E2 non funziona:
R1 R3 R5
Nel complesso ladabilit del sistema :
R2 [R1 R3 R5 ] + (1 R5 ) [R1 R3 R5 ]
Se si fosse considerato E2 come in una valutazione semplice, si sarebbe
ottenuta una valutazione errata (ma conservativa) delladabilit del sistema.
6.7 Metodo Cut-Set

Un altro modo di esprimere ladabilit di schemi complessi riducendoli a
sequenze serie-parallelo il metodo dei minimal cut sets. Si definisce Minimal
Cut-Set (MCS) un insieme del minimo numero di tagli (rotture o guasti)
che verificandosi insieme portano al guasto del sistema.
146
(a)
(b)
Figura 6.14. Analisi di un sistema col Metodo dei Minimal Cut-set: a) MCS del
sistema; b) riduzione del sistema ad una serie di MCS
I Minimal Cut Sets del sistema riportato in Fig. 6.14 sono: i) el. 4; ii)
el. 1, 3; el. 2, 3. Ai fini della successiva analisi gli elementi del minimal cut
set sono tra di loro in parallelo. Il fatto che questo procedimento permetta di
riprodurre il sistema con semplici serie (dei MCS) e parallelo (degli elementi
allinterno dei MCS) consente di semplificare lanalisi di alcuni sistemi. Ovviamente arrivati alla Fig. 6.14(b), bisogna tenere adeguatamente in conto che
lelemento 3 compare due volte.
Esempio 6.10 Si ricavi ladabilit del sistema illustrato in Fig. 6.15 col metodo
della probabilit condizionata e con quello dei Minimal Cut-Set.
RA = 0.98
RB = 0.9
RC = 0.95
RD = 0.92
RE = 0.92
Probabilit Condizionata: dalla Fig. 6.11 e dalla (6.33) segue che:
Rsist = (RB RDE )(1 RC ) + RAB RC
e dato che:
RAB = 1 (1 RA )(1 RB ) = 0.998
RDE = 1 (1 RD )(1 RE ) = 0.993

risulta:
Rsist = 0.9928
Minimal Cut-Set: il sistema schematizzabile come un sistema serie dei Minimal
Cut-Set contenente ciascuno i componenti del Cut-Set stesso in parallelo; i cut-set
sono quelli in Fig. 6.15, per cui ladabilit del sistema risulta:
Rsist,wrong = RAB RBC RCDE = 0.9927
La valutazione delladabilit non corretta, ma conservativa (cio a favore di
sicurezza), perch vi sono elementi che compaiono pi volte nel sistema.
6.8 Incremento delladabilit per sistemi serie e parallelo
147
Figura 6.15. Esempio 6.10: sistema risolto coi Minimal Cut-Set
6.8 Incremento delladabilit per sistemi serie e

parallelo
6.8.1 Sistemi Serie
Assumiamo di incrementare ladabilit del sistema, portandola a (RS +dRS ),
attraverso un incremento di adabilit del componente i-esimo:
n
n
RS + dRS = R1 R2 ...Ri1 (Ri + dRi ) Ri+1 ...Rn =

Rj +
Rj dRi
j=1
j=1,j=i
(6.35)
dato che:
RS =
(6.36)
Rj
j=1
risulta:
dRi = n
dRS
j=1,j=i
Rj
(6.37)
Esprimendo, tramite la (6.36), lincremento di adabilit del sistema rispetto

a quello del componente k-esimo:
RS
=
Rk
j=1,j=k
Rj =
RS
Rk
(6.38)
possibile determinare quale componente permette di massimizzare lincremento di adabilit del sistema:
RS
RS
= max
(6.39)
k=1,2,...n
Ri
Rk
Lincremento di adabilit pu comportare aumenti indesiderati in termini
di costo, peso o volume. Consideriamo ad esempio ci il costo unitario delladabilit del componente i-esimo: il problema determinare laumento di
adabilit dRi che incrementi ladabilit del sistema di dRS e che minimizzi
il costo ci dRi .
148
Supponiamo di poter incrementare ladabilit fino a RS + dRS agendo

sia sul componente i, con un aumento Ri + dRi , che sul componente j con un
aumento Rj + dRj . In assenza di vincoli di costo la (6.37) fornisce:
n
n
Rk
dRS = dRi
Rk = dRj
k=1,k=j
k=1,k=i
da cui:
dRi
RS
RS
= dRj
Ri
Rj
e quindi
dRi =
Ri
dRj
Rj
(6.40)
Il costo necessario per ottenere un incremento di adabilit dRS pu quindi

essere ricavato come:
c i Ri
cj dRj
(6.41)
ci dRi =
c j Rj
ovvero il costo dellincremento di adabilit delli-esimo componente sar
minore rispetto a quello per il j-esimo solo se ci Ri < cj Rj . Per incrementare
ladabilit del sistema al minimo costo il componente da modificare sar
dunque:
ci Ri = min ck dRk
(6.42)
k=1,2,...n
6.8.2 Sistemi Parallelo

Esprimendo, come per il sistema serie, lincremento di adabilit del sistema
parallelo attraverso lincremento di adabilit dellelemento i-esimo:
RP + dRP =
= 1 (1 R1 )(1 R2 )...(1 Ri1 )(1 Ri dRi )(1 Ri+1 )...(1 Rn )
n
n
=1
(1 Rk ) + dRi
(1 Rk )
k=1
k=1,k=i
(6.43)
da cui:
dRP
k=1,k=i (1 Rk )
dRi = n
(6.44)
Lincremento di adabilit del sistema rispetto a quello del componente kesimo:

n
RP
1 RP
=
(1 Rj ) =
(6.45)
Rk
1 Rk
j=1,j=k
6.8 Incremento delladabilit per sistemi serie e parallelo
149
lelemento i sul quale conviene intervenire per incrementare ladabilit

quindi quello che verifica la relazione:
1 RP
1 RP
= max
k=1,2,...n 1 Rk
1 Ri
(6.46)
Come nel caso del sistema serie si cercher ora la variazione dRi in grado di
aumentare ladabilit del sistema di dRP minimizzando il costo ci dRi . Si
consideri che leetto desiderato sia ottenibile indierentemente modificando
il componente i o j. La (6.44) pu essere riscritta:
n
n
dRP = dRi
(1 Rk ) = dRj
(1 Rk )
k=1,k=i
quindi:
k=1,k=j
n
n
dRi
dRj
(1 Rk ) =
(1 Rk )
(1 Ri )
(1 Rj )
k=1
k=1
che fornisce lequazione seguente:
dRi =
1 Ri
1 Rj
dRj
(6.47)
Il costo necessario per raggiungere unadabilit RP + dRP si esprime quindi:

ci dRi =
ci (1 Ri )
cj dRj
cj (1 Rj )
(6.48)
Il componente da scegliere per un incremento delladabilit del sistema al

minimo costo quindi quello che soddisfa la seguente equazione:
ci (1 Ri ) =
min
j=1,2,...n
cj (1 Rj )
(6.49)
6.8.3 Cambio di configurazione

Altre misure per migliorare ladabilit di un sistema sono introdurre dei cambi di configurazione (come dai due semplici esempi seguenti) o introducendo
delle ridondanze in stand-by.
Esempio 6.11 Si richiede di migliorare ladabilit del sistema serie riportato in
Fig. 6.16(a): questo pu essere ottenuto introducendo una ridondanza su questo
componente.
Ladabilit del sistema iniziale data, in base alla (6.1), da:
Rsist = RA RB RC RD = 0.63
Introducendo una ridondanza, ovvero un componente identico in parallelo, sul
componente D, la sua adabilit diventa (6.9):
150
(a)
(b)
Figura 6.16. Esempio 6.11: a) sistema base; b) ridondanza sul componente meno
adabile
RD,par = 1 (1 RD )2 = 1 (1 0.8)2 = 0.96
che sostituita nellequazione precedente fornisce la nuova adabilit del sistema:
Rsist = RA RB RC RD,par = 0.75
Esempio 6.12 Si consideri il sistema di Fig. 6.17(a), composto da 10 schede in

serie costituite ciascuna da un alimentatore di adabilit 0.874 e da una parte di
comunicazione di adabilit 0.95: ladabilit totale del sistema risulta in questo
caso molto bassa (Rsist = 0.15). Considerando un cambio di configurazione in cui
2 alimentatori in parallelo alimentino le 10 schede vere e proprie (Fig. 6.17(b)) si
ottiene unadabilit R = 0.59.
Figura 6.17. Esempio 6.12: miglioramento delladabilit tramite modifica

dellarchitettura
6.9 Progettare ladabilit di un sistema

6.9.1 Metodo ARINC
Il metodo ARINC [35] un metodo per la stima delladabilit dei componenti di un semplice sistema in serie, nellipotesi che tutti i componenti siano
soggetti allo stesso tempo operativo.
sist il tasso di guasto medio del sistema, il tasso di guasto di
Detto
progetto d,i degli N componenti dovr risultare:

N
i=1
sist
d,i
151
(6.50)
possibile assegnare un peso i al tasso di guasto del componente iesimo:

i
i = N
i=1
da cui si pu quindi stimare:
sist
d,i = i
(6.51)
(6.52)
I termini i vengono stimati quindi

a partire da un set iniziale di valori i
oppure prefissati (con la condizione
i = 1).
Esempio 6.13 Si consideri un sistema composto da 3 sottosistemi con tassi di

guasto stimati pari a:
1 = 0.005 h
2 = 0.003 h
3 = 0.001 h
espressi in cedimenti/ora. Il sistema deve compiere una missione di 20 ore, ed richiesta unadabilit di 0.95. Si richiede ladabilit richiesta per ogni sottosistema.
Il peso di ogni sottosistema si trova tramite le equazioni seguenti:
0.005
= 0.555
0.005 + 0.003 + 0.001
0.003
2 =
= 0.333
0.005 + 0.003 + 0.001
0.001
3 =
= 0.111
0.005 + 0.003 + 0.001
1 =
Dato che:
risulta:
sist 20 = 0.95
Rsist (20) = exp
sist = 0.00256 h
Quindi i tassi di guasto dei sottosistemi si ricavano come:

sist = 0.555 0.00256 = 0.00142 h
1 = 1
sist = 0.333 0.00256 = 0.000852 h
2 = 2
sist = 0.111 0.00256 = 0.000284 h
3 = 3
152
Esempio 6.14 Limpianto idraulico rappresentato in Fig. 6.1(a) deve compiere una
missione di 10000 ore con unadabilit di 0.95. Si consideri limpianto come composto dai sottosistemi: valvola soluto, centalina, sensore e pompe. Si ricavino i tassi
di guasto di ciascun sottosistema, ammettendo che i sottosistemi abbiano i seguenti
pesi:
valv.solvente = 0.1
valv.soluto = 0.1
centralina = 0.3
sensore = 0.2
pompe = 0.1
Imponendo:
risulta:
sist 10000 = 0.95

Rsist (10000) = exp
sist = 5.1293 106 h
Quindi il tasso di guasto dei sottosistemi risulta:
sist = 5.13 107 h

valv.solvente = valv.solvente
sist = 5.13 107 h
valv.soluto = valv.soluto
sist = 1.53 106 h
centralina = valv.solvente
sist = 1.02 106 h
sensore = sensore
sist = 5.13 107 h
pompe = pompe
Il tasso di guasto della singola pompa pu quindi essere ricavato tramite la (6.14).
6.9.2 Metodo AGREE

Il metodo AGREE (Advisory Group on Reliability Electronic Equipment,
[2]) per ladabilit dei sistemi applicabile ai sistemi che possono essere
scomposti in una serei di k sottosistemi indipendenti. Ladabilit del sistema
data da:
k
Rsist (t) =
Ri (t)
(6.53)
i=1
Se il sottosistema i ha una vita media mi (con tasso di guasto costante i =

1/mi ) ed opera per un tempo ti < mi , la sua adabilit al tempo ti data
da:
Ri = eti /mi
(6.54)
Indicando con wi la probabilit di cedimento del sistema per eetto del cedimento del sottosistema i, allora la probabilit di sopravvivenza del sistema
pari a 1 wi [1 Ri (ti )]. Ladabilit del sistema pu quindi essere espressa
come:
Rsist =
i=1
{1 wi [1 Ri (ti )]} =
i=1
1 wi 1 eti /mi
153
(6.55)
Dato che il tempo operativo di un sottosistema ti molto minore della sua

vita media mi , vale lapprossimazione:
ti
ti
ti /mi
1e
1 1
=
mi
mi
e quindi la (6.55) pu essere riscritta:
Rsist
i=1
w i ti
1
mi
i=1
ewi ti /mi exp
w i ti
i=1
mi
(6.56)
Assumendo che il sottosistema i consista di ni elementi di cui ognuno abbia

una vita media Ti (o tasso di guasto 1/Ti ), il tasso di guasto del sottosistema
i risulta:
ni
1
i =
=
mi
Ti
quindi
(6.57)
Ti = mi ni
Si pu notare che:
w i ti
w i ti n i
=
= ni
mi
Ti
w i ti
Ti
w i ti
w i ti
w i ti
=
+
+ ... =
Ti
Ti
Ti
j=1
k
ed essendo N =
i=1 ni il numero dei componenti totali del sistema,
ladabilit pu essere riscritta nel modo seguente:
ni
k
w i ti
w
t
i
i
Rsist exp
exp
(6.58)
m
T
i
i
i=1
i=1 j=1
Se ogni componente contribuisce ugualmente alladabilit del sistema si ha:
w i ti
= c = costante
Ti
e quindi, per la (6.58), ladabilit diventa:
ovvero:
N wi ti N
Rsist ecN = ec
= e Ti
,
ln Rsist = N
w i ti
Ti
w i ti N
.
n i mi
154
Risulta quindi:
mi =
N w i ti
ni ln Rsist
(6.59)
e, una volta calcolata la vita media mi delli-esimo sottosistema, semplice

ricavare la vita media che devono avere i componenti di questo.
Esempio 6.15 Si consideri il sistema costituito dai 5 sottosistemi descritti in Tabella 6.1. Si determini, utilizzando il metodo AGREE, la vita media dei componenti
dei vari sottosistemi (mi ) in modo da ottenere unadabilit del sistema pari a 0.99.
Tabella 6.1. Esempio 6.15: dati relativi ai sottosistemi

Sottosistema Numero Missione [h] Probabilit di cedimento
(i)
componenti
(ti )
del sistema per cedimento
(ni )
del sottosistema i (wi )
1
2
3
4
5
5
2
8
6
4
10
25
5
20
15
0.20
0.10
0.20
0.15
0.25
Considerando che il numero totale di componenti N = 25, possibile applicare la

(6.59):
N w 1 t1
25 0.20 10
m1 =
=
= 995 h
n1 ln Rsist
5 ln 0.99
e cos per tutti gli altri sottosistemi.
6.10 Manutenzione preventiva
155

Lo scopo della manutenzione riportare un sistema (componente) che si
sta deteriorando al suo stato operativo normale. Si distinguono due tipi di
manutenzione: preventiva e correttiva.
Lanalisi approfondita delle problematiche relative alla manutenzione al
di fuori degli scopi di questo volume. Si considera nel seguito la manutenzione
preventiva [2] in quanto un elemento importante di cui tener conto per
progettare un sistema. Per unanalisi pi generale delle problematiche relative
alla manutenzione e disponibilit di un sistema meccanico o elettronico si
veda [36].
6.10.1 Manutenzione ideale
Consideriamo un componente ed assumiamo di eseguire la manutenzione preventiva ai tempi t0 , 2t0 , 3t0 . Si assume inoltre che si ripristini il sistema come
nuovo.
Rm (t) = R(t) per 0 t t0
(6.60)
Rm (t) = R(t0 )R(t t0 ) per t0 t 2t0
(6.61)
Rm (t) = Ri (t0 )R(t it0 ) per it0 t (i + 1)t0
(6.63)
Rm (t) = R(t0 )R(t t0 )|t=2t0 R(t 2t0 ) = R (t0 )R(t 2t0 ) per 2t0 t 3t0
(6.62)
In generale quindi (Fig. 6.18):
Si definisce Mean Time To Failure M T T Fm la vita media del sistema con

manutenzione.

t0
2t0
M T T Fm =
Rm (t)dt =
Rm (t)dt +
Rm (t)dt + ...
0
Rm (t)dt + ... =
it0
M T T Fm =
i=0
R (t0 )
i=0
che definendo
pu essere riscritta come:
M T T Fm =
t0
(i+1)t0
(6.64)
Rm (t)dt
it0
(i+1)t0
it0
R(t it0 )dt
(6.65)
R( )d
(6.66)
= t it0
i=0
Inoltre poich:
(i+1)t0
R (t0 )
t0
=0
156

1
R(t)
Rm(t)
0.9
0.8
0.7
R(t)
0.6
0.5
0.4
0.3
0.2
0.1
t0
2t
3 t0
4 t0
5t
Figura 6.18. Andamento delladabilit con manutenzione preventiva
Ri (t0 ) =
i=0
1
1 R(t0 )
(6.67)
la formulazione definitiva risulta essere:

M T T Fm =
1
1 R(t0 )
t0
R( )d
(6.68)
=0
interessante confrontare ladabilit di un componente con e senza manutenzione nel caso delle due distribuzioni maggiormente utilizzate per descrivere
ladabilit nel tempo dei componenti.
Distribuzione esponenziale
Nel caso di un componente avente adabilit descritta dalla (5.9), ladabilit
del componente con manutenzione preventiva risulta:
i
Rm (t) = et0 e(tit0 ) = et0 i et et0 i = et
(6.69)
Ovvero ladabilit Rm risulta uguale alladabilit dei componenti senza

manutenzione. Ne segue che nel caso di una distribuzione esponenziale non si
trae quindi alcun beneficio da sostituire periodicamente i componenti.
Distribuzione Weibull
Nel caso di un componente la cui adabilit sia descritta da :
R(t) = exp
157
Ladabilit del componente soggetto a manutenzione preventiva risulta:

i

t0
t it0
Rm (t) = exp
exp
(6.70)
Il beneficio di una manutenzione preventiva si pu valutare considerando al

generico tempo t = it0 il rapporto tra le due adabilit. In particolare risulta:
exp
t0
t0
Rm (it0 )
t0
= exp i
+i
(6.71)
=
it0
R(it0 )
exp
La manutenzione preventiva apporta quindi vantaggi in termini di adabilit

solo nel caso in cui i+i > 1. Sviluppando la disuguaglianza perch i1 > 1
deve essere > 1. Ovvero la manutenzione preventiva conviene solo quando
il tasso di guasto crescente.
Esempio 6.16 Per il sistema rappresentato in Fig. 6.19(a) si richiede di calcolare:
M T T F del sistema;
probabilit, dopo 1500 ore di vita, di portare a termine una missione di 500 ore;
adabilit nel tempo ed M T T F nel caso il componente 1 venga sostituito ogni
1000 ore.
Le vite dei componenti sono caratterizzate da distribuzioni Weibull descritte dai

seguenti parametri:
componente 1: = 2000 h e = 3.5;

componenti 2 e 3: = 4500 h e = 1.1.
Il M T T F si calcola semplicemente integrando ladabilit del sistema da 0 a

(in questo caso suciente integrare fino a 20000 ore). Ladabilit del sistema si
ottiene nel seguente modo:
Rsist = R1 R23
con:
R23 = 1 (1 R2 )(1 R3 )
Il M T T F risulta essere circa 1720 ore. La probabilit di portare a termine una missione di 500 ore dopo una vita di 1500 ore ladabilit condizionata R(1500, 500),
che si calcola tramite la (1.24) e risulta pari a 0.331.
Ladabilit del componente 1 in caso di sostituzione si ricava dalla (6.63), che,
nel caso di distribuzione Weibull, corrisponde alla (6.70). Il risultato, confrontato
con ladabilit dello stesso sistema senza manutenzione, mostrato in Fig. 6.19(b).
Il M T T F , in caso di sostituzione del componente 1 ogni 1000 ore, pari a circa 4560
ore.
158

1
senza manutenzione
con manutenzione
0.9
0.8
Affidabilit
0.7
0.6
0.5
0.4
0.3
0.2
0.1
0
0
2000
4000
(a)
t [h]
6000
8000
10000
(b)
Figura 6.19. Esempio 6.16: a)schema del sistema; b) adabilit del sistema con e
senza sostituzione del componente 1 ogni 1000 ore
6.10.2 Manutenzione imperfetta

Se si considera la probabilit che la manutenzione preventiva del sistema o del
componente non venga eseguita correttamente, necessario introdurre, nelle
formulazione appena esposte, una probabilit di errore p (ovvero una frazione
p di casi in cui la manutenzione provoca il cedimento dei pezzi). La (6.63) si
modifica in:
Rm (t) = (1 p)i Ri (t0 )R(t it0 ) per it0 t (i + 1)t0
(6.72)
Il beneficio al tempo t = it0 in caso di manutenzione imperfetta risulta essere:

Rm (it0 )
(1 p)i Ri (t0 )R(0)
(1 p)i Ri (t0 )
=
=
R(it0 )
R(it0 )
R(it0 )
(6.73)
In caso di distribuzione esponenziale si avrebbe quindi:

Rm (it0 )
eit0
= (1 p)i it0 = (1 p)i
R(it0 )
e
(6.74)
ovvero la manutenzione peggiora ladabilit del componente.

Nel caso di distribuzione Weibull:
(1 p)i exp t0
Rm (it0 )

=
R(it0 )
exp it0
Per piccoli valori di p si pu usare lapprossimazione:

(1 p)i eip
(6.75)
da cui la (6.75) pu essere approssimata come:

t0
Rm (it0 )
t0
+i
exp ip i
R(it0 )
159
(6.76)
Si era gi osservato come per la Weibull la manutenzione ideale convenisse

per > 1. La (6.76) mostra che la manutenzione imperfetta conviene solo se:
p < (i1 1)
t0
160
6.11 Analisi di sistemi complessi

Nel seguito si considerano tre tecniche di analisi (FMEA/FMECA, FTA,
Event Tree) che permettono di analizzare ladabilit di un sistema complesso in cui la sicurezza pu essere compromessa non solo per la rottura
di uno o pi componenti, ma a causa di fattori diversi quali errori umani e
combinazioni sfortunate di guasti.
Queste tecniche permettono di capire come possano svilupparsi degli incidenti, come stimare la loro probabilit di accadimento e ridurne loccorrenza. Lapplicazione a posteriori di questi metodi ha spesso mostrato come
sarebbe stato possibile, attraverso unanalisi sistematica del sistema, evitare
incidenti clamorosi ed ha portato ad importanti indicazioni normative per la
progettazione.
6.11.1 Failure Mode Eect Analysis (FMEA)
La tecnica FMEA (Failure Mode Eect Analysis) si propone di evidenziare i

diversi modi di guasto di un sistema attraverso i modi di guasto dei componenti, che vengono classificati in base a tre indici (espressi da 1 a 10 in ordine
crescente di intensit): Severit - per classificare la gravit del guasto; Occorrenza - per la probabilit di accadimento del modo di guasto; Rilevabilit
- per indicare se il guasto possa essere rilevato prima che possa accadere. Si
calcola il Risk Priority Number (RP N ) dato dal prodotto dei tre indici in
modo da poter associare ad ogni guasto un numero che rappresenta un ordine
di priorit per cercare dei rimedi ai modi di guasto. Lapplicazione del metodo
viene illustrata nellesempio seguente.
Figura 6.20. Modulo base per le analisi FMEA
Esempio 6.17 Si imposti lo FMEA del semplice sistema di illuminazione di Fig.

6.21.
La procedura FMEA si eettua con i seguenti passi: i) si elencano i componenti; ii)
le funzioni dei componenti; iii) per ogni componente si elencano (su diverse righe) i
161
Figura 6.21. Esempio 6.17: schema di un semplice impianto di illuminazione
modi di guasto associando ad essi gli indici S O R; iv) si calcola il Risk Priority
Number. Lapplicazione al sistema di illuminazione mostrato in Fig. 6.22.
Anche nel caso del semplice sistema, il calcolo del RP N da un ordine di importanza ai modi di guasto puntando lattenzione sulla lampada (va inserito un parallelo) e lalimentazione elettrica (da sdoppiare o mettere in parallelo ad un sistema
di emergenza).
Figura 6.22. Esempio 6.17: tabella FMEA compilata
Questo semplice esempio mostra come un problema dello FMEA sia la soggettivit nellattribuire gli indici ai diversi guasti. Una soluzione venne nel
1988 quando la Ford propose uno schema di FMEA che divenne in seguito
una norma SAE [37] . Il formato della tabella base riportata in Fig. 6.23 e
quelle per gli indici sono riportate nelle Tabelle 6.2, 6.3 e 6.4.
A fronte di un indubbia capacit di eveidenziare i nessi di causa-eetto per
i diversi modi di guasto dei componenti, lo FMEA non permette di analizzare condizioni di guasto dovute a combinazioni di eventi (un semplice sistema
parallelo su un componente non immediatamente indicabile). comunque
diventato uno standard per la certificazione del progetto di un componente
automobilistico [37] perch permette facilmente di evidenziare, attraverso le-

162
Figura 6.23. Modulo per FMEA di progetto [37]
163
Tabella 6.2. Criteri di valutazione dellindice di Severit

Eetto
Criteri: severit delleetto
Pericoloso, senza segnale di peri-
Il potenziale modo di guasto pregiudica la sicurezza desercizio e/o
Indice
colo
comporta inosservanze di norme o leggi, senza segnale di pericolo
Pericoloso, con segnale di perico-
Il potenziale modo di guasto pregiudica la sicurezza desercizio e/o
lo
comporta inosservanze di norme o leggi, con segnale di pericolo
Molto alto
Sistema/componente non operativo (perdita funzione primaria).
Alto
Sistema/componente operativo, ma con basse prestazioni. Utente
Moderato
Sistema/componente
10
9
molto insoddisfatto.
operativo,
comfort
pregiudicato.
Utente
Sistema/componente operativo, basso livello di comfort. Utente
insoddisfatto.
Basso
poco soddisfatto.
Molto basso
Finitura, taglia, cigolio, rumore del componente non conforme.
Difetto notato dal 75% degli utenti

Lieve
Difetto notato dal 50% degli utenti

Molto lieve
Difetto notato da meno del 25% degli utenti

Nessuno
Nessun eetto percettibile.
Tabella 6.3. Criteri di valutazione dellindice di Occorrenza

Probabilit di cedimento Tasso stimato di guasto lungo la vita prevista
Molto alta: cedimenti continui
100 cedimenti su 1000 sistemi/componenti
Indice
10
Alta: cedimenti frequenti
Moderata: cedimenti occasionali
Bassa: pochi cedimenti

Remota: cedimento improbabile
0.5 cedimenti su 1000 sistemi/componenti
Tabella 6.4. Criteri di valutazione dellindice di Rilevabilit

Rilevazione
Incertezza assoluta
Criteri: probabilit di rilevare tramite controlli program- Indice

mati
I controlli programmati non rilevano o non possono rilevare potenziali cau-
10
se/meccanismi e modi di guasto, oppure non esistono controlli programmati

Molto improbabile
Probabilit molto remota che i controlli programmati rilevino potenziali
cause/meccanismi e modi di guasto

Improbabile
Probabilit remota
Molto bassa
Probabilit molto bassa
Bassa
Bassa probabilit
Moderata
Probabilit moderata
Abbastanza alta
Probabilit abbastanza alta
Alta
Probabilit alta
Molto alta
Probabilit molto alta
Quasi certa
I controlli programmati rilevano quasi certamente potenziali cause/meccanismi
e modi di guasto
164
lencazione di tutti i pezzi e di tutti i modi di guasto, quei modi di guasto

che hanno un legame diretto con la sicurezza e ladabilit dei diversi sottosistemi o dellintero sistema (una commissione dinchiesta rilev che una
semplice analisi tipo FMEA avrebbe potuto evitare lincidente dello Space
Shuttle Challenger [38].
6.11.2 Failure Mode Eect Criticality Analysis (FMECA)
Accanto alla FMEA, venne formulata in MIL-STD-1629 [39] una variante
rivolta ad analizzare, in termini pi quantitativi, la criticit dei componenti.
La FMECA si presenta come una tabella in cui alle diverse cause di guasto
vengono attribuiti:
un indice (I, II, III, IV) relativo alla severit del modo di guasto (I il pi
severo);
la probabilit che leetto del guasto sia cos grave come espresso dallindice di severit ();
la frazione di guasti causati dal singolo failure mode ();
il tasso di guasto (p );
il tempo di esercizio t.
Figura 6.24. Tabella FMECA base [39]
Si calcola quindi un indice di criticit del modo di guasto:

(6.77)
Cm = P t
ed un indice di criticit per il componente

(Cm ). Il vantaggio di questa
formulazione, che ha come base il considerare costante il tasso di guasto, ottenere un indice numerico che sintetizza ladabilit relativa ai diversi modi di
guasto di un componente e permette di confrontare rapidamente limportanza
relativa dei componenti. In particolare il risultato fornire un ranking della
criticit dei componenti separatamente per le diverse categorie di severit.
Pur orendo una valutazione analitica della crititicit, la FMECA rimane
uno strumento poco adatto ad analizzare situazioni causa-eetto diverse dal
165
legame diretto , pur se ore importanti risultati alla revisione di un progetto

ed alla valutazione della sicurezza. Unaggiornamento su applicazione dello
FMECA a sistemi di controllo complessi si trova in [40].
Tabella 6.5. Simboli base della tenica FTA
Porta AND:
levento in uscita accade solo se gli eventi in entrata
accadono contemporaneamente.
Porta OR:
levento in uscita accade se accade almeno uno degli
eventi in entrata.
Cedimento base:
cedimento o evento base, causato da un componente o
da un sottosistema, per il quale pu essere stabilita una
probabilit (da dati empirici noti).
Evento intermedio:
cedimento o evento causato da una combinazione, tramite
porte logiche, di altri eventi.
Evento non sviluppato:
evento non sviluppato in eventi base, per mancanza di
informazioni o perch poco importante. Levento deve
essere sviluppato in seguito.
Eventi di trasferimento:
unintera parte dellalbero trasferita in unaltra
posizione dellalbero stesso.
Evento base:
evento base, frequente durante il funzionamento del
sistema.
6.11.3 Albero dei guasti (FTA)

Lalbero dei guasti (o Fault Tree Analysis) un metodo per analizzare laffidabilit dei sistemi evidenziando specialmente le relazioni di causa-eetto e
lorganizzazione del sistema. Fu inizialmente sviluppato nei Bell Laboratories
durante i primi anni 60 per il sistema missilistico Minuteman, per poi essere
utilizzato per lanalisi di centrali nucleari e sistemi aeronautici. Il metodo FTA
ha quindi esteso la sua applicazione a campi molto diversi in quanto permette
166
di avere risultati sia dal punto di vista qualitativo e quantitativo.

Lalbero dei guasti si costruisce a partire dallevento che si desidera analizzare (Top Event) attraverso lindividuazione dei guasti che lo provocano in
via diretta e sviluppando poi ulteriormente gli ulteriori livelli, fino a costruire
un caratteristico diagramma ad albero che da il nome alla tecnica, con gli
elementi grafici di Tabella 6.5.
In Fig. 6.25 si vede la trasposizione di un semplice schema a blocchi in un
albero dei guasti. Una descrizione dettagliata delle regole di esecuzione di una
FTA sono descritte in [26, 41].
Figura 6.25. Componenti base dellalbero dei guasti
Esempio 6.18 Disegnare lalbero dei guasti del sistema di regolazione e distribuzione di Fig. 6.1(a).
Figura 6.26. Esempio 6.18: albero dei guasti del sistema di Fig. 6.1(a)
167
Lapplicazione ad un sistema realistico mostra la capacit della costruzione ad

albero dei gausti di evidenziare le relazioni di causa-eetto tra i guasti.
Una prima annotazione va fatta sullo schema dellimpianto dellesempio precedente: se, come spesso accade per componenti con azionamento elettrico,
lalimentazione elettrica rappresenta una causa di guasto comune per le due
elettro-pompe, essa va evidenziata come guasto base. In tal modo lo schema
del sotto-albero relativo a blocco mandata va cambiato come in Fig. 6.27.
Figura 6.27. Esempio 6.18: sviluppo causa di guasto comune
Lo schema suggerisce inoltre che i guasti delle pompe possano essere ulteriormente sviluppati evidenziando le cause di guasto. Questo tipo di analisi di
dettaglio pu solo essere eettuato se una FMEA ha permesso di evidenziare
i vari modi di guasto. La relazione tra una FMEA ed un albero dei guasti
riportato in Fig. 6.28 [42].
In Fig. 6.29 mostrata lanalisi [43] delincidente di Amoco Cadiz , che fu
causato dalla perdita di direttivit della petroliera (con conseguente naufragio sulle coste dellAlaska), provocando il primo grande disastro naturale della
storia, per eetto della rottura del condotto idraulico per lazionamento del
timone della nave. Considerando questo incidente si apprezza la pericolost
del guasto del condotto idrauico, perch attraverso di esso si arriva direttament al Top Event solo attraverso delle porte OR: in questo caso il guasto
appartiene ad un MCS di ordine 1 (un MCS composto da un solo elemento).
Lanalisi dei Minimal Cut Sets costituisce il primo risultato di un FTA.
Le regole con cui ricavare i MCS da un albero sono molto semplici: si procede
per livelli costruendo un elenco degli elementi che conducono al Top Event attraverso porte OR. Nell elenco via via si sostituiscono gli elementi in serie dei
livelli successivi, mentre i guasti in parallelo vengono invece riportati insieme.
168
Figura 6.28. Corrispondenza tra FMEA ed FTA [42]
Figura 6.29. Guasto del timone dellAmoco Cadiz: albero dei guasti (tratto da
[43])
169
Si ottiene cos in diversi step, tanti quanti sono i livelli dellalbero, una lista
dei MCS che contiene in riga i guasti dei MCS di ordine superiore ad uno.
Una volta individuati i MCS si pu semplificare lalbero: dai MCS di un
sistema si pu ottenere una rappresentazione semplificata in cui tutti i MCS
sono collegati tramite una porta OR al Top Event ed i vari guasti dei diversi
MCS sono connessi attraverso una porta AND (Fig. 6.30).
Figura 6.30. Semplificazione dellalbero dei guasti medianet MCS
Esempio 6.19 Si trovino i MCS del sistema di Fig. 6.31.
Figura 6.31. Esempio 6.20: albero dei guasti
170
Tabella 6.6. Passaggi per stabilire i Minimal Cut-Set dallalbero dei guasti di Fig.
6.31
Step 1
Step 2
Step 3
Step 4
Step 5
Step 6
G1
G2
G3
3
G4
4
G2
7
G5
3
G4
4
G2
7
8,9
3
G4
4
G2
7
8,9
3
5
6
4
G2
7
8,9
3
5
6
4
1,2
Considerando lalbero di Fig. 6.31 si procede per livelli mettendo sulla stessa
colonna i gruppi (nel caso G1 e G2) in serie e procedendo per livelli si sostituiscono agli elementi del livello superiore i guasti/eventi in serie. Guasti in
parallelo vengono invece riportati sulla stessa riga. Si ottiene cos in diversi
step, tanti quanti sono i livelli dellalbero, una tabella dei MCS che contiene
in righe i MCS di ordine superiore ad uno.
Analizzando alcuni incidenti in impianti nucleari (tra cui lincidente di Three
Mile Island) ed altri incidenti, si riconobbe come nelle catene di eventi che
avevano determinati gli incidenti, spesso gli errori umani erano stati determinanti [44]. Considerando ad esempio lalbero dei guasti per il rareddamento
di emergenza a seguito di un incidente tipo LOCA (Loss of Coolant Accident)
si pu immediatamente notare come la mancata erogazione dellacqua di raffreddamento di emergenza possa essere dovuta ad errori degli operatori che
non aprano le valvole A e B.
In particolare a Three Mile Island lincidente fu dovuto ad una serie di errori degli operatori della sala di controllo, che sotto lo stress dellallarme erano
male informati da una numerosa serie di strumenti che non davano le informazioni necessarie a capire lentit dellincidente. Dopo lincidente una serie
di indagini mostr lestrema fragilit degli operatori che, pur specializzati, si
trovino ad operare in condizioni di stress psicologico (vedi Tabella 6.7 [45]).
Questo tipo di indagini port da un lato a mirare laddestramento degli
operatori alla gestione delle emergenze ed allavvento di sistemi di sicurezza
controllati da sistemi computerizzati (in condizioni di ridondanza), dallaltro
ad una serie di metodi specifici per analizzare ladabilit degli operatori.
Unindagine pi recente su 23 incidenti minori su impianti nucleari dal 92 al
96 ha rivelato circa che in questi casi circa 230 errori umani hanno contribuito
in modo significativo agli incidenti stessi [46] .
171
Tabella 6.7. Stima della probabilit derrore umano (tratta da NUREG/CR-1278

[45])
Probabilit Operazione
derrore
stimata
104
Selezione di un interruttore con chiave invece che uno senza (escludendo lerrore decisionale per cui si ritiene corretta la scelta del
interruttore)
103
Selezione di un interruttore diverso, per forma o posizione, da quello
desiderato (escluso errore decisionale)
3 103
Errore generale di commissione, ad esempio errata interpretazione
di un etichetta
102
Errore generale di omissione, senza display che indichi lo stato del
componente omesso
3 103
Errore di omissione, se il processo omesso fa parte di una procedura
3 102
Semplice errore aritmetico controllato dallo stesso operatore senza
ripetizione del calcolo su un altro foglio
1/x
Selezione di un interruttore simile a quello corretto: x il numero
di interruttori adiacenti. Questo vale fino a 5 o 6 interruttori: per
un numero maggiore lindice diminuisce, essendo richiesta maggior
attenzione.
101
Cercando un interruttore nella posizione errata, loperatore cambia
lo stato di un interruttore che si trova nella posizione corretta
1
Come sopra, ma lo stato dellinterruttore errato non quello
desiderato
1
Errata operazione su un interruttore (o valvola) accoppiato ad un
altro, a seguito di un altro errore sul primo interruttore
101
Ispettore non riconosce errore iniziale di un operatore
101
Il personale di un altro turno dimentica il controllo delle condizioni dellhardware, finch non richiesto da una procedura o direttiva
scritta
5 101
Ispettore non rileva posizioni errate delle valvole durante giro di
controllo (senza lista di controllo)
0.2 0.3
Tasso generale di errore in condizione di stress elevato, con situazioni
pericolose in rapido evolversi
2(n1) x
In caso di elevato stress, come nel cercare di riparare ad un errore
fatto in condizioni di emergenza, lerrore iniziale x raddoppia ad ogni
tentativo (n) dopo un precedente tentativo errato
1
Operatore non agisce correttamente nei primi 60 secondi dallinizio
di una situazione di stress elevato (es: LOCA di grandi proporzioni)
9 101
Operatore non agisce correttamente nei primi 5 minuti dallinizio
di una situazione di stress elevato
101
Operatore non agisce correttamente dopo 30 minuti dallinizio di
una situazione di stress estremo
102
Operatore non agisce correttamente nelle prime ore dallinizio di
una situazione di stress elevato
172
(a)
(b)
Figura 6.32. Esempio incidente tipo LOCA (Loss of Coolant Accident)
6.11.4 Albero degli eventi (ET)

Lalbero dei guasti, o anche i semplici schemi a blocchi, non consentono agevolmente di valutare il funzionamento parzializzato del sistema, analisi possibile
invece con lAlbero degli Eventi (Event Tree).
Considerando il semplice impianto di (Fig. 6.21) ed i 4 elementi di cui
costituito (a valle dellalimentazione di rete), si pu comporre un diagramma
ad albero in cui si sviluppano i due casi di rotto e funzionante per tutti i
componenti, ottenendo 16 combinazioni alle quali competono diverse funzionalit del sistema (illuminazione nulla, al 50% ed al 100%). Le probabilit
di accadimento delle diverse combinazioni si ottengono come prodotto degli
eventi che le determinano.
Esempio 6.20 Si disegni lalbero degli eventi (Event Tree) per lo schema del sistema di illuminazione di Fig. 6.21, e si calcolino le probabilit di avere 100%, 50% e
0% di illuminazione con: RA = 0.99, RB = 0.95 ed RC/D = 0.85.
La probabilit degli eventi (ottenuta come prodotto delle combinazioni di guasti
/ funzionamenti dei diversi elementi di un ramo dellalbero) risulta: P rob(#1) =
0.6795, P rob(#2) = 0.1199, P rob(#3) = 0.1199, P rob(#4) = 0.0212 e cos via.
173
La probabilit di funzionamento con il 100% di illuminazione risulta pari a

67.95% e quella al 50% risulta pari a 23.98% (somma delle probabilit di #2 e
#3), mentre la probabilit di non avere illuminazione pari a8.07% (somma della
probabilit degli eventi #4 . . . #10).
interessante notare che ladabilit del sistema calcolata con gli schemi a
blocchi ci avrebbe fornito Rsist = 0.9193, con una conseguente probabilit di non
funzionamento pari a 8.07%.
La costruzione ad albero pu essere semplificata passando ad uno schema in

cui, sui soli rami che corrispondono ad un non funzionamento del sistema
(rottura elementi A e B), le ulteriori combinazioni di eventi non vengono
sviluppate (Fig. 6.33(b)).
(a)
(b)
Figura 6.33. Albero degli eventi per il sistema di illuminazione: a) schema
completo; b) albero ridotto

Systems Reliability

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Systems Reliability

Încărcat de

Drepturi de autor:

Formate disponibile

6

Adabilit dei sistemi

6.1 Realiability Block diagrams - RBD

6.2 Sistemi Serie

6 Adabilit dei sistemi

prodotto delle adabilit dei singoli componenti:

Di conseguenza la funzione di probabilit cumulata data da:

Se la vita dei componenti descritta da distribuzioni esponenziali:

quindi la vita del sistema serie ancora descritta da unesponenziale negativa,

Per un sistema in serie, anche se il tasso di guasto non costante, si pu facilmente

6.2 Sistemi Serie

Esempio 6.1 Si consideri lalbero in Fig. 6.3 di diametro D = 150 mm e rotante a

Figura 6.3. Esempio 6.1: adabilit di un albero rotante su cuscinetti

6 Adabilit dei sistemi

componente A: esponenziale negativa con M T T F = 12000 h;

Per quanto riguarda il componente C il tasso di guasto approssimato a 8000 h si

ed essendo la vita dei componenti C distribuita come unesponenziale negativa,

con B calcolato a t = 5000 ore.

dove Rsist il prodotto delladabilit dei componenti.

da cui si potrebbe erroneamente scrivere:

6.2 Sistemi Serie

Figura 6.4. Esempio 6.3: andamento delladabilit dei componenti

Come si pu notare non possibile approssimare in modo soddisfacente il M T T Fsist ,

6.2.1 Tasso di guasto durante la missione

6 Adabilit dei sistemi

la relazione t1 + t2 = t), il tasso di guasto medio con il sistema vede il

6.3 Sistemi Parallelo

Il M T T F per un sistema parallelo facilmente ricavabile:

affidabilit del componente

Figura 6.5. Sistema parallelo: a) configurazione; b) adabilit di un sistema

6.3 Sistemi Parallelo

in particolare per distribuzioni esponenziali:

Nel semplice caso di due soli componenti in parallelo, ovvero n = 2:

Generalizzando la (6.13) per n componenti aventi tasso di guasto costante

Il tasso di guasto del sistema in parallelo si ricava quindi, conoscendo RS (t),

6 Adabilit dei sistemi

a cui sicuramente corrisponde un costo pi alto di quello del componente base (

La necessit di una manutenzione ulteriormente segnalata dallandamento

6.3 Sistemi Parallelo

che la probabilit di cedimento dei singoli componenti del 10 % e che vi sono 3

cui corrisponde unadabilit media:

che avremmo anche potuto stimare come:

Rmedia = e 183.3 = 0.946

ladabilit riparte da 1 ad ogni missione in quanto consideriamo ladabilit

6 Adabilit dei sistemi

Esempio 6.5 Si consideri un velivolo trimotore, in cui ciascuno dei propulsori ha

Generalizzando quanto visto nei due casi precedenti di 2 e 3 componenti (li

6.5 Ridondanza in stand-by

il tempo medio fino al guasto si calcola come M T T F = R(k,n) dt che nel

6.5 Ridondanza in stand-by

cold stand-by in cui il componente di soccorso viene mantenuto a riposo

Detti E1 ed E2 rispettivamente lelemento principale e quello di soccorso, uno

Figura 6.7. Sistema con ridondanza in stand-by: a) schema eettivo; b)

Il calcolo delladabilit al tempo t pu venire eettuato come somma della

6 Adabilit dei sistemi

lunit E2 non interviene) + la probabilit che il sistema funzioni dopo la

la probabilit che il componente 1 smetta di funzionare al tempo t1 :

Nel calcolo abbiamo ipotizzato che E1 si rompa ad un tempo t1 che non

f1 (t1 )dt1 R2 (t2 )

apparentemente lespressione soprascritta sembra irrisolvibile, ma se scriviamo

In totale quindi ladabilit del sistema in stand-by risulta:

6.5.1 Elementi identici

6.5 Ridondanza in stand-by