Repetisjon Pålitelighet av instrumenterte sikkerhetssystemer

Transkript

1 Repetisjon Pålitelighet av instrumenterte sikkerhetssystemer I dette notatet repeteres det viktigste innhold i del en av kurset. Noen tema fra del to er også inkludert. Fokus her er på teori og resultater knyttet til kvantifisering. Noen tema er repetisjon av pålitelighet mer generelt. Noen begreper er derfor utdypet mer enn hva vi har gjort i kurset. Det er laget noen kontrollspørsmål for at leseren skal sjekke forståelse og se hva som betraktes som viktigst. Begreper og definisjoner Def: Pålitelighet = En enhets evne til å utføre en påkrevd funksjon, under gitte miljø og operasjonelle betingelser for en gitt tidsperiode. Kommentar: Fokus er å yte en funksjon. En enhet kan ha flere funksjoner. Def: Svikt (failure) = Opphør av mulighet til å utføre krevd funksjon Def: Feil (fault) = Tilstanden at evnen til å utføre krevd funksjon er opphørt Def: Feilmode (failure mode) = effekten av en svikt slik den observeres på enheten som har sviktet (sett utenfra, dvs relativt til funksjonen den skal utføre) Def: Feilmekanisme = fysiske, kjemiske eller andre prosesser som forringer enheten, og leder til svikt Def: Tid til svikt (TTF = Time To Failure) = Tiden fra en enhet settes i drift til den svikter. Tid til svikt er en tilfeldig størrelse. Ofte benyttes symbolet T. Viktige begrep: Fordelingsfunksjon, Ft PrT t = Sannsynlighet for at enheten svikter før tidspunkt t. F eks F8760 PrT betyr at det er 10% sjanse for at enheten svikter før ett år er gått (t = 8760). Overlevelsessannsynligheten, Rt PrT t 1 Ft angir sannsynligheten for at enheten overlever tid t. F eks R8760 PrT betyr at det er 90% sjanse for at enheten overlever ett år (t 8760) etter at den er satt i drift. Sviktintensitet zt angir sannsynligheten for at en enhet med alder t og som fortsatt fungerer, svikter i et lite tidsintervall (sannsynligheten divideres med lengden av intervallet). Ofte betegnes sviktintensiteten for (den lokale) badekarskurven. Midlere tid til svikt (Mean Time To Failure), MTTF ET Def: Midlere nedetid (MDT = Mean Down Time) = Forventet tid det tar fra en enhet svikter, til den er ferdig reparert, og satt i drift. Def: Midlere tid mellom svikt (MTBF = Mean Time Between Failure) = Midlere tid mellom en enhet svikter til den svikter neste gang. MTBF MTTF MDT. Def: Feilrate (failure rate) er her forventet antall svikt per tidsenhet, og hvor feilraten ikke endrer seg over tid. Vi bruker den greske bokstaven lambda for å betegne feilraten (). Def: En k oo N struktur representerer et system hvor det er nok at k ut av N av komponenter virker for at systemet skal virke (fungere). Def: SIS = Sikkerhetsinstrumentert system er et system som inneholder minst en elektrisk, elektronisk, eller programmerbar enhet for å ivareta en eller flere sikkerhetsfunksjoner.

2 Def: PFD = Probability of Failure on Demand er sannsynligheten for at en enhet eller et system (SIS) ikke virker når det etterspørres. Def: PFH = Probability of Failure per Hour er sviktfrekvensen (per time) for en enhet eller et system (SIS). Def: STR = Spurious Trip Rate er raten av falske aktiveringer av en av funksjonene til en komponent eller et system (SIS). Def: SIL = Safety Integrity Level er et krav til sikkerhetsintegritet. Det opereres med 4 nivå, og jo høyere SIL klasse som kreves, jo høyere krav stilles til PFD verdi (low demand) og PFH verdi (highdemand). Sammenhengen er gitt i Tabell 1. Tabell 1 SIL krav vs PFD/PFH SIL = Safety integrity Low demand mode of operation level (Average probability of failure to perform its High demand mode of operation (Average probability of failure per hour to perform its design function) design function on demand) PFD < PFH < PFD PFH < PFD PFH < PFD PFH < 10 5 Def: SFF= Safe Failure Fraction angir andel av feilene som ikke er sikkerhetskritsik Def: HFT = Hardware Fault Tolerance angir antall fysiske redundante enheter som trengs Def: PST = Partial stroke test er en testmetode som ikke avdekker alle feil, men som er lettere å gjennomføre enn en fullstendig test. Enkle utilgjengelighetsbetraktninger for komponenter For enheter som svikter, blir reparert til så god som ny, for deretter å svikte igjen osv, innfører vi begrepet utilgjengelighet (U = Unavailability). Utilgjengeligheten er det samme som sannsynligheten for at enheten ikke virker på et vilkårlig tidspunkt. Formel for U er: U MDT/MTTFMDT 1 Merk at både MDT og MTTF påvirkes av mange forhold, f eks mengden forebyggende vedlikehold, antall reservedeler på lager, beredskap osv. I ligning (1) må vi derfor sette inn MDT og MTTF verdier som representerer status på disse forhold. Ligning (1) følger av å se på gjennomsnittlig nedetid dividert på gjennomsnittlig lengde av en periode (oppetid + nedetid). Ligning (1) er en av de klassiske ligningene i pålitelighetsanalysen som jeg kjenner til For enheter som har skjult funksjon kan man foreta en funksjonstest for å avdekke skjult feil(tilstand). Ofte er tid det tar å reparere en slik enhet mye kortere enn tid mellom funksjonstest. Dersom tid mellom funksjonstest betegnes og enheten har konstant sviktintensitet = 1/MTTF kan vi finne utilgjengeligheten ved: U /2 2 Resultatet følger av ligning (1) ved at gjennomsnittlig nedetid etter en svikt er halvparten av testintervallet. I denne situasjonen er det vanlig å bruke betegnelsen PFD i stedet for utilgjengelighet. PFD står for

3 probability of failure on demand, og oversettes til norsk som sannsynligheten for at enheten ikke er tilgjengelig ved en forespørsel. For en enkelt komponent kan man resoneres seg til svaret gitt av ligning (2). PFD beregninger for systemer Dersom man skal finne PFD for et system følger man følgende tilnærming: 1. Finn PFD for systemet som funksjon av t i et intervall, dvs 0 t, og betegn resultatet PFDt 2. Her fortolkes PFDt som sannsynligheten for at den skjulte funksjonen ikke er tilgjengelig ved tid t 3. For finne PFDt er det ofte nyttig å gå veien om overlevelsessannsynligheten til systemet, Rt 4. Finn gjennomsnittlig verdi av PFD(t) ved å integrere: PFD = PFD 1 Jeg husker ligning (1), eller kan resonere meg fram til den (fra en figur jeg tegner). Jeg forstår trinnene 1 4, kan skissere prinsippet grafisk, men jeg er kanskje ikke så stø i å gjennomføre selve integrasjonen. Det klassiske eksemplet betrakter en komponent som funksjonstestes ved tidspunkter, 2, 3,, og hvor tid til svikt er eksponensialfordelt. For ekspoensialfordelingen er Rt. Vi går da direkte til trinn 4, og finner: PFD = Dersom er liten (< 0.1) kan vi bruke at e x 1 x x 2 /2, og ved å sette inn i uttrykket ovenfor får vi: PFD /2 1 /2 som er samme formel som i ligning (2). 3 Jeg skjønner fremgangsmåten, men husker ikke helt hvordan eksponensialfunksjonen ble integrert. Tilsvarende resonement kan gjøres for en parallellkobling. Først finner vi: Rt 2 4 dersom komponentene er uavhengig og eksponensialfordelt med samme feilrate. Integrasjon og deretter rekkeutvikling gir: PFD /3 I læreboka presenteres resultatet for en vilkårlig k oo N struktur i formel (8.22) side 199, og for vanlige verdier i tabell 8.3 (side 200)som også gjengis nedenfor i Tabell 2: 5

4 Tabell 2 PFD for k oo N k \ N N = 1 N = 2 N = 3 N = 4 k = k = 2 k = 3 k = Jeg kan bruke Tabell 2 for å finne PFD for vanlige strukturer. Merk at i læreboka ser man eksplisitt på DU bidraget, dvs, og videre benyttes PFD avg i stedet for PFD for eksplisitt å understreke at det er snakk om gjennomsnittlig PFD Oppsplitting av feilraten IEC standarden splitter såkalte random hardware svikt i følgende kategorier: Dangerous Undetected (DU) failures (farlig ikkedetekterbare svikt) Dangerous Detected (DD) failures (farlig detekterbare svikt) Safe Undetected (SU) failures (sikre ikkedetekterbare svikt) Safe Detected (SD) failures (sikre detekterbare svikt) Hvor vi med farlig (dangerous) mener at primærfunksjonen til SIS ikke kan utføres, mens vi med sikre (safe) mener at primærfunksjonen aktiveres utilsiktet. Den totale feilraten kan tilsvarende splittes opp. Nedenfor gjengis oppsplittingen som benyttes i PDS: DD = Rate of dangerous detected failures DU = Rate of dangerous undetected failures SD = Rate of safe (spurious trip) detected failures SU = Rate of safe (spurious trip) undetected failures NONC = Rate of non critical failures (not explicitly defined in IEC) Figur 1 Oppsplitting av feilraten i hht PDS I IEC skal man beregne den såkalte andelen av sikre feil. Den er definert ved:

5 SFF 1 DU / crit 1 DU / DU DD SU SD 6 SFF benyttes til å stille krav til hardware redundans. HFT (Hardware Fault Tolerance) angir antall redundante enheter som trengs og er angitt i Tabell 3. Typene A og B angir om vi kan påberope oss «proven in use» (A) eller ikke (B). Tabell 3 HFT kav for ulike typer utstyr og SFF andel som funksjon av SIL kravet For analyse av sikkerhetsinstrumenterte systemer er primærfokus på ulike feilmoder (DU, DD osv), og jeg skjønner oppdelingen. SFF begrepet fokuserer på andelen av feilene som ikke er SU feil. Denne prosentandelen er viktig for valg av redundans. Strukturfunksjon og pålitelighetsblokkdiagram Avsnittet nedenfor om strukturfunksjon og pålitelighetsblokkdiagram anser jeg kun gjelder for spesielt interesserte. Jeg kikker nærmere på det dersom jeg tar kurset Industriell sikkerhet og pålitelighet. For binære systemer innfører vi to typer tilstandsvariable (et binært system er et system hvor komponentene kun antar to verdier (fungerer og er sviktet), og systemet også har kun to tilstander (fungerer eller er sviktet)). En tilstandsvariabel innføres for komponentene, og en for systemet. For komponent nummer i setter vi xit 1 dersom komponenten fungerer ved tid t, og 0 ellers. For systemet setter vi x,t 1 om systemet fungerer ved tid t, og 0 ellers. betegnes strukturfunksjonen, og er en funksjon av tilstanden til komponentene. Ofte er vi kun interessert i å se på den funksjonelle sammenhengen mellom strukturfunksjonen og komponenttilstandene, og da dropper vi ofte symbolet t. For å illustrere funksjonaliteten til et system tegnes ofte et pålitelighetsblokkdiagram (RBD = Reliability Block Diagram). Diagrammet synliggjør hvordan det er mulig å gå fra venstre gjennom fungerende komponenter og komme helt til høyre i diagrammet. For å etablere strukturfunksjonen til et pålitelighetsblokkdiagram tar vi ofte utgangspunkt i de to basisreglene som gjelder for serie og parallellstrukturer. Dvs for en seriestruktur av n komponenter gjelder at x x 1 x 2... xn 7 og tilsvarende for en parallellstruktur (redundans) gjelder: x 1 1 x 1 1 x 2 1 xn 8 Merk at ligning (8) kan forenkles om vi kun har to komponenter (n = 2) x 1 1 x 1 1 x 2 x 1 x 2 x 1 x 2 9

6 For å jobbe med strukturfunksjonen er det viktig å beherske reglene for parentesregning. Når vi skal multiplisere to parentesuttrykk med hverandre er regelen at vi for det første parentesuttrykket systematisk går gjennom alle ledd, og for hvert lett multipliserer vi med hvert ledd i det andre uttrykket og legger sammen etter hvert. Her må vi huske på reglene for pluss og minus. + + = +, = +, + = og + =. Eksempel 3a42b 3 3a2b 3a 3 42b 4 3 6ab 9a 8b 12. Jeg husker formlene for serie og parallellstrukturer Jeg kan finne moduler, og bruke reglene for serie og parallellstrukturer For sammensatte strukturer kan vi lage moduler av delstrukturer. Reglene for serie og parallellstrukturer gjelder også om noen komponenter er moduler. Se eksemplet som følger senere. Strukturfunksjonen er en deterministisk funksjon (dvs uten sannsynligheter). Vi er ofte interessert i å finne påliteligheten til et pålitelighetsblokkdiagram. Vi benytter symbolet ps for påliteligheten til et system (dvs sannsynligheten for at systemet fungerer). Noen ganger ønsker vi å understreke at påliteligheten er en funksjon av komponentpålitelighetene, og skriver da ps hp, hvor p er en vektor av komponentpålitelighetene. Feiltreanalyse (FTA = Fault Tree Analysis) Et feiltre er et logisk diagram som illustrerer sammenhengen mellom en uønsket hendelse i et system og årsakene til denne hendelsen For å konstruere et feiltre benytter vi følgende symboltyper: SYMBOL ELLER port A BESKRIVELSE ELLER-porten indikerer at utgangshendelsen A inntreffer hvis minst en av inngangshendelsene E i inntreffer. E1 E2 E3 LOGISKE PORTER OG port A OG-porten indikerer at utgangshendelsen A inntreffer hvis alle inngangshendelsene E i inntreffer. E1 E2 E3 KooN port K/N A KooN-porten indikerer at utgangshendelsen A inntreffer hvis K eller flere av inngangshendelsene E i inntreffer. E1 E2 E3 Basis - hendelse Symbol for komponent i primær feiltilstand, oppstått under normal drift. Gangen i en feiltreanalyse er i hovedtrekk: 1. Definisjon av problem og randbetingelser 2. Konstruksjon av feiltreet 3. Bestemmelse av minimale kutt og stimengder 4. Kvalitativ analyse av feiltreet 5. Kvantitativ analyse av feiltreet

7 Noen kommentarer følger til hvert trinn: Definisjon av problem og randbetingelser Hjelpespørsmål for å definere TOPP hendelsen Hva: F eks brann Hvor: I kontrollrom Når: Under normal drift Med disse hjelpespørsmålene blir det ofte lettere å konstruere feiltreet, dvs det blir klart hvilken situasjon vi analyserer. Jeg bruker hjelpespørsmålene hva, hvor og når for å definere TOPP hendelsen presist. Konstruksjon av feiltreet Følgende iterative prosess følges for å konstruere feiltreet: Start med TOPP hendelsen Spør hvilke hendelser som er de direkte årsaker til TOPP hendelsen Kople disse sammen med en OG / ELLER port Hver av hendelsene behandles nå på samme måte, og man arbeider seg suksessivt ned til basishendelsene Merk at dersom man benytter k oo N port, har ofte k en annen fortolkning i feiltre i forhold til pålitelighetsblokkdiagram Nedenfor vises feiltreet for følgende eksempel: Filters Pumps P1 Process F1 Main process medium F2 P2 (MP) Motor (Mo) Figur 2 Skisse av prosess-system med pumper Beskrivelsen av det fysiske systemet kan være som følger. Prosessmediet pumpes ved hjelp av to redundante pumper inn i en tank der den kjemiske hovedprosessen foregår. Hver pumpe har et eget filter (sil) for å skille ut grovpartikler. Pumpene drives av en felles motor. TOPP hendelsen her er «ingen output fra hovedprosessen» Vi starter på toppen. Direkteårsakene til ingen output er enten at hovedprosessen har sviktet, eller at det ikke kommer inn prosessmedium til hovedprosessen. Vi bruker en ELLER port her fordi det er nok at en av disse svikter for å gi TOPP hendelsen. Fortsetter slik med at vi ikke får output fra pumpesystemet. Direkteårsakene her er at det verken kommer fra den ene eller den andre pumpen. Bruker her en OG port

8 fordi vi har antatt at det er tilstrekkelig at det kommer prosessmedium fra den ene (redundant system). Dvs feil kun dersom begge grenene feiler. Fortsetter videre etter samme prinsipp. CARA Fault Tree version 4.1 (c) Sydvest Sotfware 1999 Licenced to: SINTEF Industrial Management Dept of Safety and Reliability Ingen output fra hovedprosess TOPP Feil i hovedprosess Ingen output fra pumpesystemet MP G0 Ikke output fra Pumpe1 Ikke output fra Pumpe2 G1 G2 Pumpefeil Motorfeil Svikt i filter 1 Pumpefeil Motorfeil Svikt i filter 2 P1 M F1 P2 M F2 Jeg starter med TOPP hendelsen, og ser etter direkteårsaker. Jeg forstår forskjellen mellom OG porter og ELLER porter. Et k oo N system fungerer så lenge at k eller flere av de N komponentene fungerer. Systemet vil imidlertid feile dersom N k 1 eller flere av de N komponentene feiler. For å representere et k oo N system i et feiltre kan vi da velge ut alle kombinasjoner av komponenter som til sammen utgjør N k 1 komponenter. En slik kombinasjon kobles sammen med en OG port som representerer at denne kombinasjonen feiler dersom alle de N k 1 komponentene feiler. Deretter kan alle disse kombinasjonene kobles sammen med en ELLER port. For et 2 oo 3 system gir dette:

9 Merk at i mange feiltreprogrammer (f eks CARA FaultTree) angir man k i forhold til hvor mange feil som skal til for at systemet feiler, slik at k da skal erstattes av N k 1 i forhold til funksjon slik k har blitt benyttet i kurset. For å bli tydelig på om man tenker «funksjon» eller «feil» når man angir et et k oo N system, er det vanlig å bruke følgende notasjon: k oo N:G benyttes dersom man betrakter funksjon (G=Good). Systemet fungerer dersom k eller flere av de N enhetene fungerer. k oo N:F benyttes dersom man betrakter feil (F=Fault state). Systemet er i feiltilstand ersom k eller flere av de N enhetene er i feiltilstand. Vi har: k oo N :G = N k 1 oo N :F Bestemmelse av minimale kuttmengder En kuttmengde i et feiltre er en mengde av basishendelser som ved å inntreffe sikrer at TOPP hendelsen inntreffer. En kuttmengde sies å være minimal hvis den ikke kan reduseres uten å miste status som kuttmengde. For enkle systemer kan vi finne kuttmengdene ved direkte inspeksjon: Start fra toppen Ved ELLER port, ta med hendelser lenger ned fra hver gren inn til porten. For hver hendelse får vi en ny kuttmengde Ved OG port, ta med hendelser lenger ned fra hver gren inn til porten. Alle hendelsene vi tar med oss opp blir i en kuttmengde Kan bli veldig stort dersom vi har mange OG porter Eliminer ikke minimale kuttmengder Fra eksemplet Ta først med {MP} Deretter går vi videre med G0 porten. Da dette er en OG port må vi ta med en fra hver side. Etter som vi får ELLER porter lenger ned må vi ta med alle kombinasjoner, en fra hver hovedgren som gir: {P1,P2}, {P1,M},{P1,F2},{M,P2},{M,M},{M,F2}, {F1,P2}, {F1,M},{F1,F2} Vi ser at {M,M} = {M}, og har da totalt følgende kuttmengder {MP},{P1,P2}, {P1,M},{P1,F2},{M,P2},{M},{M,F2}, {F1,P2}, {F1,M},{F1,F2} hvor ikke minimale kuttmengder er strøket over. Totalt får vi da følgende minimale kuttmengder: {MP},{P1,P2}, {P1,F2},{M},{F1,P2},{F1,F2} Kvalitativ analyse av feiltreet Vi lister kuttene i stigende orden. De minimale kuttmengder med få element er de viktigste: Cut set(s) with 1 component (Total: 2)

10 {M} {MP} Cut set(s) with 2 components (Total: 4) {P1,P2} {P1,F2} {F1,P2} {F1,F2} Jeg kan finne kuttmengdene for enkle feiltrær. Jeg kan også eliminere ikke minimale kuttmengder om jeg har slike. Kvantitativ analyse av feiltreet Følgende systemmål er av interesse: Q 0 (t) = Sannsynligheten for at TOPP hendelsen er inntruffet ved tid t (utilgjengelighet) F 0 (t) = Frekvens av TOPP hendelsen ved tid t R 0 (t) = Sannsynligheten for at TOPP hendelsen ikke har inntruffet i [0,t> For å beregne systemmålene kreves pålitelighetsdata for basishendelsene feilrater (i 1/MTTF) reparasjonstider (MDT 1/i ) testintervall ved funksjonstest (i ) Vi viser kun beregning av Q 0 t, hvor vi dropper tidsangivelsen (t ). Trinnene i beregningen er nå: Trinn 1 Finn feilsannsynlighetene per komponent. For enheter som repareres med en gang svikt inntreffer benytter vi: qi i MDTi 10 Merk at dette er en tilnærming av ligning (1), hvor q i = U. For enheter som funksjonstestes får vi tilsvarende: qi ii /2 11 For eksemplet ovenfor får vi (med mer nøyaktig formel for qi) Komponent MTTF MDT q = MDT/(MDT+MTTF) P1 /P F1 /F M MP

11 Jeg kan finne qi ene på samme måte som jeg fant de i pålitelighetsblokkdiagrammet, evt gjøre det enda litt enklere med formelen qi i MDTi. Trinn 2 For hver kuttmengde beregner vi sannsynligheten for at kuttmengden er i feiltilstand. Denne sannsynligheten finner vi ved å multiplisere sammen alle feilsannsynlighetene for basishendelsene som inngår i kuttmengden. Fra eksemplet får vi: Kuttmengde Bidrag per kutt {M} q M {MP} q MP {P1,P2} q P1 q P {P1,F2} q P1 q F {F1,P2} q F1 q P {F1,F2} q F1 q F Trinn 3 Vi kan nå legge sammen alle bidragene (kolonnen for, og får Q Jeg kan finne bidragene til Q 0 fra hvert kutt, og så summere disse for å finne Q 0 Merk at dersom vi modellerer systemer som har skjult funksjon (lavdemand systemer), vil vi være interessert i PFD. Her svarer Q 0 til PFD. Det er vanlig i feiltreanalyse å benytte formelen qi ii /2 for å finne PFD på komponentnivå. Dersom komponenter som inngår i en minimal kuttmengde testes samtidig, blir dette ikke riktig. Det er ikke helt rett fram å justere for dette. Dersom vi har en enkel parallellkobling kan vi for de kuttmengder hvor denne inngår, multiplisere med faktoren 4/3 for å få riktig svar. Dersom vi har ett 2 oo 3 system, kan vi multiplisere hver kuttmengde som inneholder 2 av disse komponentene også med faktoren 4/3. For mer kompliserte strukturer finnes generelle justeringsfaktorer, men disse gjengis ikke her. Feiltreanalysen antar uavhengige komponenter. Dersom komponenter er stokastisk avhengig, er det vanlig å legge inn ekstra komponenter som representerer denne avhengigheten. Eksemplet nedenfor viser Et 2 oo 3 systemet med basishendelsen CCF som representerer fellesfeil.

12 Fellesfeilkomponenten antas å ha en lavere feilrate enn komponentene PT1, PT2 og PT3. Den enkleste metoden antar at fellesfeilandelen er. Hendelsestreanalyse (ETA = Event Tree Analysis) Hendelsestreanalyse er også for spesielt interesserte. Jeg ser mer på dette dersom jeg tar kurset i risikoanalyse. I en hendelsestreanalyse modellerer vi mulige hendelsesforløp etter at en uønsket hendelse har inntruffet. Hendelsesforløpet illustreres grafisk, hvor vi tar inn tidsaspektet, avhengigheter og dominoeffekter. Resultater fra en hendelsestreanalyse er: Kvalitativ beskrivelse av hendelsesscenariene Kvantitativ beregning av frekvenser for hver av slutthendelsene Anbefalte risiokreduserende tiltak Kvantitativ beregning av effekt av tiltak For å systematisere hendelsestreanalysen benyttes følgende trinn: 1. Identifiser og definer den initierende hendelsen (uønsket hendelse) 2. Identifiser barrierer og fysiske forhold som skal modelleres i hendelsestreet 3. Konstruer hendelsestreet 4. Beskriv mulige hendelsesforløp som leder til slutthendelsene 5. Bestem frekvensen av den initierende hendelsen og sannsynlighetene i hendelsestreet 6. Beregn frekvenser for slutthendelsene i hendelsestreet 7. Sammenstilling og presentasjon av resultater Kvantitativ analyse av hendelsestre (punkt 6) Vi trenger følgende størrelser f = Frekvens av initierende hendelse qi = Sannsynligheten for at barrieren feiler (fiasko) pi 1 qi = Sannsynligheten for at barrieren virker etter hensikten Ofte representerer barrierene skjulte funksjoner, slik at vi kan benytte følgende formel: qi ii /2 for å finne feilsannsynlighetene (PFD). 12 For å finne sluttfrekvensene (dvs frekvensene til slutthendelsene lengst til høyre i treet) multipliserer vi frekvensen av initierende hendelse med alle sannsynlighetene vi treffer på fram til slutthendelsen, dvs qi for fiasko utgangene, og pi for suksessutgangene. Eksempel følger nedenfor. Det er enkelt å regne på hendelsestrær, utfordringen er å sette opp barrierene i riktig rekkefølge.

13 Hendelsestreanalyse kontra feiltreanalyse En feiltreanalyse benyttes primært til å analysere årsakene til uønskede hendelser, eller årsakene til en svikt i en barriere. For feiltreanalysen er det bare en utgangshendesle, dvs TOPP hendelsen. Feiltreanalyse er derfor uaktuelt dersom det er flere utfall. Hendelsestreanalysen benytter vi når vi skal analysere hendelsesforløpet etter en uønsket hendelse (dvs den initierende hendelsen i hendelsestreet). En hendelsestreanalyse vil ha flere utganger. Hver gren i hendelsestreet representerer et mulig utfall gitt at den uønskede hendelsen har inntruffet. Typisk vil vi tegne et hendelsestre for et system hvor flere barrierer aktiveres en etter en etter en kritisk situasjon. Alvorligheten av hendelsesforløpet vil typisk øke jo færre barrierer som fungerer (dvs opp til høyre i eksemplet ovenfor). Jeg er stø i valget av ETA kontra FTA. Med kun et utfall, er FTA naturlig, mens ved mange utfall er ETA eneste tilnærming. Dersom det er knyttet en tallverdi for tap til hver sluttkonsekvens (f eks antall drepte) kan jeg finne forventet tap (f eks forventet antall drepte) ved å multiplisere sluttfrekvens med tap for hver sluttkonsekvens, og så summere alle bidragene. -faktor modellen faktor modellen er den vanligste modellen for å ta hensyn til at komponenter kan svikte som følge av en felles årsak. Ideen bak modellen er at den totale feilraten til en komponent splittes opp i en uavhengig (I = independent) del, og en avhengig (C = Common cause) del: I C 13 Hvor I 1 er delen av feilraten som representerer uavhengige feil, mens C er delen av feilraten som representerer avhengige feil, og som vil slå ut alle komponentene samtidig, eller i løpet av kort tid (dvs innenfor en testperiode). For en parallellkobling med identiske komponenter får vi da: PFD /2 14

14 Det første leddet representerer uavhengige feil, mens det siste leddet representerer avhengige feil. For en k oo N struktur kan man erstatte det uavhengige leddet ovenfor med tilsvarende ledd fra Tabell 2. Dersom man vil lage en formel i MS Excel kan man benytte følgende generelle formel: PFD! /2 15!! Jeg benytter formelen ovenfor dersom jeg vil lage en generell modell i et regneark. For enkle systemer benytter jeg Tabell 2 ovenfor. PDS metoden - PFD PDS metoden er utviklet av SINTEF Sikkerhet. Den har to viktige egenskaper: 1. Den nyanserer måten avhengige feil modelleres på. I faktor modellen antar man at dersom man får en fellesfeil, vil denne slå ut alle komponentene. I PDS modellen brukes en juster faktor for å nyansere hvor mange komponenter som svikter ved en fellesfeil. 2. PDS modellen kvantifiserer i tillegg til tilfeldige (random hardware) svikt, også systematiske svikt i form av såkalte test uavhengige svikt, p TIF. Presentasjonen her foretar noen forenklinger i forhold til PDS metoden, og for en fullstendig metodebeskrivelse henvises til PDS methodehåndboken. Ideen bak justering av faktor er at dersom vi får en fellesfeil som slår ut to komponenter, så er det ikke sikkert at alle komponentene slås ut. Bak modellen er det da gjort noen antagelser om sjansen for å slå ut tre komponenter gitt at to er slått ut osv. Dette har så gitt en justeringsfaktor, C koon som multipliseres med faktoren. Her defineres da som fellesfeilandelen gitt at vi kun har to komponenter. PDS bruker her «M» i stedet for «k» som vi har benyttet fordi dette er kompatibelt med IEC C koon faktorer for de vanligste konfigurasjonene er vist i Tabell 4. Tabell 4 C koon faktorer k \ N N = 2 N = 3 N = 4 N = 5 N = 6 k = 1 C 1oo2 = 1.0 C 1oo3 = 0.5 C 1oo4 = 0.3 C 1oo5 = 0.20 C 1oo6 = 0.15 k = 2 C 2oo3 = 2.0 C 2oo4 = 1.1 C 2oo5 = 0.8 C 2oo6 = 0.6 k = 3 - C 3oo4 = 2.8 C 3oo5 = 1.6 C 3oo6 = 1.2 k = 4 C 4oo5 = 3.6 C 4oo6 = 1.9 k = 5 C 5oo6 = 4.5 Formel for PFD i PDS metoden blir da PFD!!! /2 16 Merk at her er raten av DU feil, og man skriver ofte DU. Merk at formel (16) gjelder for k < N. Dersom k N benyttes følgende formel: PFD 1 /2 17

15 Jeg vet at den praktiske forskjellen mellom faktormodellen og PDS mht PFD formlene er at leddet som utgjør fellesfeilbidraget multipliseres med C koon verdiene jeg finner i Tabell 4. I tillegg til at PDS metoden justerer fellesfeilbidraget, legger den også til de såkalte testuavhengige feilene. I PDS betegnes da utilgjengeligheten for CSU, som står for «critical safety unavailability»: CSU TOT PFD DTU hvor er testuavhengige feil for k oo N strukturen og er gitt ved: og hvor P TIF igjen er testuavhengig feil gitt per komponent. For testuavhengig feil ignoreres som oftest den uavhengige biten. For k = N benyttes. PDS metoden legger også til DTU (DownTime Unavailability) som angir utilgjengelighet som følge av kjent nedetid, f eks reparasjon etter selvtest. For komplett sett med formler for DTU henvises til PDS metodehåndboken. PDS metoden - PFH For highdemand systemer (dvs systemer som etterspørres ofte) er det ofte mer naturlig å finne raten av sikkerhetskritiske feil. PFH angir raten av sikkerhetskritiske feil time (Probability of Failure per Hour). Merk at definisjonen «sannsynlighets for feil per time» er uheldig. Primært er PFH en rate, eller mer generelt en forventet antall farlige feil på systemnivå i en gitt tidsperiode dividert på lengden av intervallet. Standarden IEC definerer highdemandsystemer til å være systemer som etterspørres oftere enn en gang per år. For et k oo N system har vi følgende tilnærmingsformel: PFH! 20!! Hvor vi i spesialtilfellet k = N kan bruke PFH N. Merk også her at her er raten av DU feil, og at vi ofte erstatter med DU. I tillegg til DU feilene må vi også her vurdere DD feil dersom reparasjonstidene er lange, se diskusjon i PDS metodehåndboken. PDS metoden - STR Et SIS system vil forsøke å gå til sikker posisjon dersom såkalte sikre feil inntreffer. Raten et SIS system går til sikker posisjon avhenger i hovedsak av voteringen og raten av sikre ikkedetekterbare svikt, SU. Generelt har vi for denne raten (STR = Spurious Trip Rate): STR 21 hvor vi i spesialtilfellet k N kan bruke at STR N SU. I tillegg til SU feilene må vi også her vurdere SD feil og DD feil dersom reparasjonstidene er lange, se diskusjon i PDS metodehåndboken. Effekt av delvis testing (Partial stroke test) For noen enheter vil det være mulig å gjennomføre en delvis funksjonstesting, dvs en test hvor man ikke nødvendigvis avdekker alle sikkerhetskritiske feilmoder, eller at det er ganske usikkert om en feilmode vil bli detektert. For slike tester innføres størrelsen PST som er andelen av feilene (typisk farlige feil) som kan avdekkes ved en slik delvis testing. I noen fremstillinger benyttes alternativ PST for andelen av feilene som avdekkes ved delvis testing. Prinsippet for beregningene er nå:

16 1. Det innføres to testintervaller, PST er testintervallet for delvis testing, og FT er testintervallet for fullstendig testing, hvor PST FT 2. Bestem andelen av (farlige) feil som avdekkes ved delvis testing, PST 3. Splitt den totale feilraten,, i to deler a. PST PST = feil som oppdages ved delvis test b. FT 1 PST = feil som kun oppdages ved fullstendig funksjonstest 4. Bruk standard beregningsformler for situasjonen med PST, og situasjonen med FT 5. Legg sammen bidragene for de to beregningene for å finne total PFD (evt PFH) I trinn 3 angir den totale feilraten,, typisk DU feil. Dersom man skal se på kombinasjonene DU, DD og PST så finnes det meg bekjent ingen helhetlig fremstilling. PST er nok mest relevant for enheter hvor DU raten er lik den totale raten av farlige feil. MARKOV modellering for å finne PFD Markovanalyse er en metode som benyttes for å analysere dynamiske systemer hvor det er komplekse sammenhenger mellom overgangene mellom systemtilstander. Metoden har følgende trinn: 1. Lag en skisse av systemet, og forsøk å forstå logikken i systemet 2. Definer systemtilstander 3. Tegn Markovdiagrammet med overgangsrater 4. Kvantiative beregninger 5. Sammenstilling og presentasjon av resultatene fra analysen Makrovanalyse benyttes oftest innen pålitelighetsanalysen for å analysere standby systemer, og målet er ofte å finne gjennomsnittlig tid systemet er i ulike tilstander som utgangspunkt for å finne regulariteten til systemet. For analyse av SIS er vi avhengig av å se på tilstanden til systemet over en testperiode. Dette krever i praksis numeriske metoder. De viktigste elementene for Markovanalyse er: 1. Tilstander, som nummereres fra 0 (dårligst) til r (best) 2. Xt er tilstand til systemet ved tid t 3. Overgangsrater, dvs aij er raten av overganger fra tilstand i til j gitt at systemet er i tilstand i 4. A er overgangsmatrisen, og består av elementene aij. Diagnoalelementene ajj fastsettes ved at summen av aij ene på en rad skal være lik Pit er sannsynligheten for at systemet er i tilstand i ved tid t 6. Pt P 0 t, P 1 t,,prt For å finne den tidsavhengige løsningen kan man benytte følgende differensialligning: Pt A d Pt/d t Hvor initialbetingelsene angis ved en vektor av initielle sannsynligheter, dvs P0. For å løse Markov differensialligningene kan man numerisk benytte seg av følgende iterasjonsformel: Pt A d Pt/d t Ptt Pt /t 22 23

17 som gir Ptt Pt I t A 24 Hvor I er identitetsmatrisa. Her kan vi benytte ligning (24) for å «iterere» oss frem til en løsning for tid tt ved å bruke verdien ved tid t. P0 angir tilsand like før en test, og er en vektor med bare nuller bortsett fra verdien 1 i tilstanden som representerer tilstanden etter en test (typisk den høyeste verdien). Dersom nå F betegner mengden av alle tilstander hvor systemet ikke er tilgjengelig mht sikkerhet, har vi at PrXt F i F Pit, slik at vi finner PFD ved: PFD 25 hvor vi i integrasjonen benytter ligning (24) for å finne tidsavhengig løsning. Merk at i læreboka benyttes U om tilstander som representerer at SISen kan utøve SIF en, mens D (dangerous) benyttes om tilstander som representer at SISen ikke kan utøve SIF en, mens vi her benytter F i stedet for D. STR beregninger i Markov For å beregne STR kan følgende oppsett benyttes: La F være mengden av tilstander som representerer en utilsiktet aktivering av systemet La A være overgangsmatrisa med elementer aij som gjelder mellom inspeksjoner For å få en utilsiktet aktivering i intervallet [t,tt ] må følgende være oppfylt a. Systemet må ved tid t ikke være i en av tilstandene i mengden F, dvs Xt F b. Systemet må ved tid tt være i en av tilstandene i mengden F, dvs Xt t F Bidraget til STR i intervallet [t,tt] er nå gitt ved if jf, Pitaij Hvor Pit finnes fra ligning (24), og vi nå kan benytte ligning (26) for å finne STR: STR 26 PFH beregninger i Markov Beregning av PFH ved hjelp av Markov følger samme prinsipp som beregning av STR. Den eneste forskjellen er at mengden F nå har forskjellig betydning. Vi lar for PFH beregninger F være mengden av tilstander som representerer en sikkerhetskritisk (farlig) tilstand. Selve Markovdiagramet er i prinsippet det samme som før. Vi får nå: PFH 27 Jeg kan for enkle systemer finne relevante tilstander, hvor det viktigste er å skille mellom sikkerhetskritiske tilstander og de andre tilstandene. Jeg kan finne overgangsratene ved å betrakte relevante feilrater og reparasjonsrater. Jeg skjønner prinsippene for å finne PFD, STR og PFH i Markov, men må som minimum ha tilgang på et regneverktøy for å gjennomføre beregningene. PFH beregninger, direkte tilnærming Ved beregning av PFH er det viktig å presisere hva som ligger i forutsetningene. I læreboka innføres begrepet DGF (Dangerous Group Failure). En DGF er en svikt på systemnivå (gruppen som betraktes). Her

18 kan man ha ulike oppfatninger om hva som er en farlig svikt. To fortolkninger er diskutert; (i) systemet er i en farlig systemtilstand dersom systemet ikke er i stand til å utføre den SIFen som betraktes, og (ii) systemet er i en farlig systemtilstand dersom systemet ikke er i stand til å utføre SIFen, og vi er ikke klar over dette. Et argument for å legge (ii) til grunn er at dersom vi vet at SIFen er utilgjengelig, kan vi beskytte EUC på andre måter. IEC legger opp til fortolkning (ii), selv om faktisk noen formler avviker fra dette. Dersom vi har et system som ikke kan repareres i perioden mellom funksjonstester ( er testintervall), har vi at PFH 28 hvor F t er sannsynligheten for at systemet er nede ved tid t, og R t 1 F t er sannsynligheten for at systemet ikke er nede ved tid t med hensyn på å kunne utføre aktuell SIF. Merk at læreboka bruker en notasjon som eksplisitt understreker at PFHen er en funksjon av hvilket tidsintervall som betraktes. Dersom vi kun betrakter DU feil og ser bort fra fellesfeil, får vi f eks for et 2oo3 system hvor 3 3 : PFH 3 / ved å bruke at e x 1 x x 2 /2 for små verdier av x. 29 Dersom vi kan ha reparasjoner i perioden mellom funksjonstester, kan vi ikke bruke ligning (28), men må bruke at PFH er et uttrykk for gjennomsnittlig rate av systemsvikt. Vi antar fortsatt et 2oo3 system, og tar nå med både DU feil og DD feil. Det antas at DD feil kan repareres med midlere tid til reparasjon MTTR. Vi vil finne sannsynligheten for å få en DGF feil i (0, ). I beregningene skiller vi mellom to situasjoner, (a) at vi først får en DU svikt, og (b) at vi først får en DD svikt. Hverken en enkelt DU svikt eller en enkelt DD svikt gir en DGF. For (a) tenker vi nå som følger: Tiden fram til første DU svikt er exponensialfordelt med rate 3 DU. Anta nå at svikten skjer i et lite intervall, dt, rund tid t i intervallet (0, ). Sannsynligheten for dette er da gitt ved sannsynlighetstettheten til DU svikten mulitiplisert med dt. Dersom vi nå får en DU svikt ved dette tidspunktet, så gir dette en DGF svikt i intervallet (0, ) dersom en eller begge av de to andre enhetene i 2oo3 systemet får en D svikt i resterende intervall, dvs fra t til. Sannsynligheten for dette er gitt ved en minus sannsynligheten for at de to resterende overlever. For å finne totalbidraget fra denne situasjonen integrerer vi over alle mulige verdier for t i intervallet (0, ): PrDGF i 0, ved å bruke at e x 1 x x 2 /2 for små verdier av x. PFH bidraget finnes ved å dividere med ut fra formelen i ligning (28), og blir 3. For situasjon (b) så vil vi ha en rate av DD svikt lik 3 DU, og dersom vi får en DU svikt i intervallet før vi har fått reparert DD feilen, vil vi få en DGF i intervallet. Sannsynligheten for at vi får en DU feil i løpet av nedetiden (som i snitt er MTTR) blir da tilnærmet lik 2 DU MTTR (da hver av de to andre kan oppleve en DU svikt). Dette gir et bidrag for situasjon (b) på 6 MTTR. Til slutt må vi også legge til fellesfeilbidraget på DU. I læreboka presenteres formler for en generell N 1 oo N struktur, og gjengis her: PFH MTTR 31 Merk at både 1oo2 og 2oo3 dekkes av denne formelen. Jeg kan finne PFH ved direkte beregning for enkle systemer dersom jeg kun ser på DU svikt

19 STR: kategorisering og beregninger ved direkte tilnærming For å hjelpe struktureringen innføres «utilsiktet» effekt på tre nivåer (engelske termer): 1. Spurious operation for å angi utilsiktet aktivering på komponent nivå (SIS element) 2. Spurious trip for å angi utilsiktet aktivering på systemnivå, dvs aktivering av SIF for det SIS systemet som analyseres 3. Spurious shutdown for å angi nedstenging av prosessen I grunnlagsdokumentet (fra doktorgraden til M.A. Lundteigen) benyttes notasjonen: SO Raten av utilsiktede aktivering på komponentnivå. SO betegner her spurious operation, mens det i IEC61508 og PDS benyttes begrepet SU STR Raten av aktiveringer av SIF på SIS nivå. Den totale STR er summen av bidrag fra SO svikt, falske demander (etterspørsel), og DD svikt SO svikt For en parallellkobling, dvs en 1ooN, vil STR være tilnærmet lik N SO. For en koon struktur vil det være et bidrag fra fellesfeil som med standard faktor modell blir SO. For å finne bidrag fra uavhengige SO svikt, kan vi betrakte f eks situasjonen at komponent (SIL element) nummer en svikter, dvs med rate SO. Vi får nå en tripp på systemnivå dersom k 1 eller flere av de N 1 resterende komponentene er nede. La MDT betegne nedetiden til en komponent som er nede for en SO feil (typisk reparasjonstiden dersom feilen oppdages rett etter svikt). Da er sannsynligheten for en uavhengig SO feil tilnærmet lik 1 SO MDT. Sannsynligheten for at k 1 eller flere av de N 1 er nede er da gitt ved binomisk fordeling, og vi kan finne denne totalsannsynligheten ved Excel 1 uttrykket: = 1 BINOMDIST(k,N 1,p,TRUE). Ved å legges sammen for alle komponentene, får vi: STR SO N SO 1 Bk SO 32 Hvor Bk finnes ved BINOMDIST(k,N 1, 1 SO MDT,TRUE). I tillegg til SO svikt må falske demands (etterspørsler) tas med samt DD svikt. Prinsippet for å håndtere DD svikt er som for SO sviktene, men nå vil vi få en systemtripp kun dersom n k av de andre har en DD feil, dvs vi får: STR DD N DD 1 Bn k1 DD 33 Hvor Bn k1 finnes ved BINOMDIST(n k1,n 1, 1 DD MDT,TRUE). Merk at så vel fellesfeilandel som MDT kan være forskjellig for SO feil, og DD feil. Jeg innser at det er nyttig å kategorisere «spurious operation» på komponentnivå, på SIS nivå, og på prosessnivå. Jeg kan resonere rundt trippraten ved å betrakte at en komponent går ned, og se på sannsynligheten for at de andre komponentene er i feiltilstand. Estimering av feilrater For sikkerhetskritiske systemer antas ofte at sviktintensiteten er tilnærmet konstant. Dette kan være ganske realistisk for DD og DU feil. Selv om det er en viss aldring, kan likevel antagelsen om konstant 1 I norsk versjon av Excel har vi: BINOM.FORDELING(antall_s;forsøk;sannsynlighet_s;kumulativ)

20 sviktintensitet holde ganske godt fordi enhetene periodisk byttes ut før aldringsproblemene slår inn for fult. Ut fra dette vil vi her derfor kun se på estimering dersom sviktintensiteten er tilnærmet konstant. Dersom alle enhetene vi har samlet inn data for har samme underliggende sviktintensitet (dvs konstant feilrate), kan feilraten estimeres ved: 34 hvor X er totalt antall svikt som er observert over en total eksponeringstid t. Det spiller ingen rolle om dataene kommer fra samme enhet, eller fra ulike enheter. Det viktige er at t representerer total tid vi har samlet inn data, og at X er totalt antall feil for denne perioden. I analysen er det viktig å gjøre en analyse for DU feil, en for DD feil osv. Dersom meg får oppgitt antall DU feil i en periode, og jeg vet hvor mange timer tilhørende komponenter har vært eksponert, kan jeg estimere DU. Oppdatering av feilrateestimatet i drift Nedenfor presenteres en metode for oppdatering av feilraten etter hvert som driftsdata blir tilgjengelig. Dette kan benyttes til å justere intervaller, og er anbefalt metode i OLF Guideline 70. Det er spesielt for DU feilene metoden benyttes, men den kan også benyttes for andre feilmoder. Før data blir tilgjengelig antar vi at vi har følgende informasjon om feilraten (f eks fra OREDA): BE = beste estimat for feilraten, f eks «mean» fra OREDA CE = konservativt estimat for feilraten, f eks «mean+sd» fra OREDA Disse to verdiene danner grunnlaget for å anslå to usikkerhetsparametere for feilraten: U 1 BE / CE BE 2 35 U 2 U 1 BE 36 Den første usikkerhetsparameteren angir lokasjon (høy verdi betyr lav feilrate), mens den andre angir spredning i usikkerhetetsfordelingen (høy verdi angir liten usikkerhet). Før sviktdata er tilgjengelig, benyttes nå følgende formel for en feilraten vi skal bruke i PFD beregningene (ca 70% nivå i hht IEC 61508):. 37 I drift skal man i tillegg benytte informasjon om antall svikt observert. Vi lar nå som ovenfor X betegne totalt antall svikt som er observert over en total eksponeringstid t for en periode hvor vi har samlet inn data (f eks en periode på ett år dersom man oppdaterer årlig). X og t benyttes nå til å oppdatere usikkerhetsparameterene etter følgende regime: U 1 ny 0.9U 1 gammel t 38 U 2 ny 0.9U 2 gammel X 39 hvor 0.9 er en faktor som fortløpende benyttes for å «dempe» effekten av «data som begynner å bli utdatert». Her er de «gamle» usikkerhetsparameterene de vi hadde beregnet ved forrige oppdatering, og de «nye» er de som er oppdatert på bakgrunn av verdiene til X og t. Vi benytter fortsatt ligning (37) for å finne nytt estimat for feilraten som grunnlag for å finne intervallene i neste periode. Dersom man jobber systematisk med å analysere årsakene til feilene (rotårsaksanalyse) kan man ta kreditt for iverksatte tiltak. Dersom man splitter opp antall feil i en periode i ulike feilårsaker etter formelen:

21 X X 1 X 2 X n kan man i ligning (39) erstatte X med: 40 X 1 X1 2 X 2 n X n 41 hvor i ene er forbedringsfaktorer hvor følgende tentative verdier kan benyttes: Tabell 5 Forbedringsfaktorer ved iverksatte tiltak i Forklaring 0.75 Tiltaket forventes å ha en viss effekt 0.5 Tiltaket forventes å ha en stor effekt 0.25 Tiltaket forventes å ha en stor effekt for en gitt feilårsak, og vi kan eksplisitt angi virkningen av tiltaket mht forventet effekt 0.1 Vi kan direkte argumentere for at tiltaket i praksis eliminerer årsaken, og dokumenterer dette Ved å systematisk jobbe med, og dokumentere forbedringsarbeidet kan vi mye raskere ta ut effekten av redusert feilrate. Dersom jeg skal jobbe med pålitelighet i driftsfasen vet jeg hvordan jeg kan dokumentere resultatene fra rotårsaksanalysen slik at man ikke blir hengende igjen med «dårlige data» svært lenge. Jeg vet hvordan jeg kan oppdatere feilraten som inngår i beregningene for intervallfastsettelse etter hvert som jeg får pålitelighetsdata. Nelson Aalen plott for å se etter trender For tidlig å kunne avdekke dersom feilraten begynner å øke kan man lage et såkalt Nelson Aalen plott. Her plottes standardisert akkumulert antall feil som funksjon av tiden ved følgende tilnærming: 1. La x aksen representere tidsaksen (t ) 2. Start med Y 0 = 0 på y aksen 3. For hver periode, t, la Xt være antall feil observer I perioden (ved test eller en demand). La Nt antall enheter vi har hatt i drift i denne perioden 4. La Yt = Yt 1 Xt /Nt 5. Plot Yt mot t. Det vil si at vi øker y verdien med Xt /Nt for hver ny t verdi Dersom plottet krummer oppover (konvekst) betyr dette en økning i feilraten og det kan indikere aldring eller andre problemer som krever tiltak. Trondheim, Jørn Vatn, jorn.vatn@ntnu.no