故障樹分析

可靠度（Reliability）

這裡所述的系統（system），是指由執行某些功能的n個可識別的零組件(或是元件、成分、作業...等)所構成的集合。有關系統執行其預設功能，區分其能力的兩個作業狀態，分別定義如下：

• 成功（success）：系統在特定時間區段內令人滿意地完成其應有功能，明確符合所謂成功的標準。
• 失敗（failure）：系統無法令人滿意地完成其應有之功能。

系統可靠度（Reliability, `R`）是指系統令人滿意地完成應有功能的機率（即成功機率，Probability of success, `bar (P_S)` ）。如果系統正常運作，則系統可靠度=1。
在符號上方有短劃線（ ` bar P ` ） 表示其成功屬性。

串聯系統（Series System）

需要所有系統內全部組成元件（作業）都正常運行才算成功的系統稱為串聯系統。

立體音響系統範例：串聯 ` Pr{A∩B}`

例如，附帶光碟播放器、擴大機及2個揚聲器（揚聲器 A 及揚聲器 B）的立體音響系統。 如果成功運作需要所有四個組成元件都正常運作（光碟→擴大機→揚聲器A→揚聲器B），則代表此為串聯系統。 任何一個組件的失敗都會導致系統失敗。
如果各元件的可靠度是：光碟( `bar (P_1) = 0.97` )、擴大機( `bar (P_2) = 0.99` )、及每個揚聲器( `bar (P_3) = bar (P_4) = 0.98` )，則產品的可靠度則是：
`R = bar (P_1) × bar (P_2) × bar (P_3) × bar (P_4) = 0.9222`

並聯系統（Parallel System）

若任何一個組件的成功相當於系統的成功，那就是一個並聯系統。換句話說，所有組件都必須失效才會導致並行系統發生故障。 並聯系統的可靠度是指所有的元件（作業）沒有都失敗的機率。

立體音響系統範例：並聯 ` Pr{A∪B}`

範例：如果立體音響系統只需要至少一個揚聲器正常運作即為成功，則兩個揚聲器即構成了並聯系統。
` bar P_x = 1 - (1-bar (P_3)) × (1-bar (P_4)) `
` bar P_x = 1 - (0.02)(0.02) = 0.9996`
揚聲器組合與CD播放機和放大器形成一個串聯系統，因此總體可靠性為：
`R = bar (P_1) × bar (P_2) × bar P_x`
`R = (0.97)(0.99)(0.9996) = 0.9599`

太空船電腦：並聯 ` Pr{A∪B}`

一艘太空船上有三台相同的電腦同時運行及解決相同的問題。 比較三台電腦的運算結果，如果兩台以上的結果相同，則採用其結果。 在這個模式下，三台電腦當中的一台即使失敗了，仍然不會造成整體系統失敗。這個即是三選二系統（two-out-of-three system）。 透過變項 `bar (P_1)`、 `bar (P_2)` 及 `bar (P_3)` 找出每台電腦的成功或失敗，公式如下：

三台電腦組合的可靠度（ `0.993` ）顯著高於任何一台單獨的電腦（ `0.9` ）。 此為使用「重複（冗餘）」來提高可靠度的範例。 由於只需一台電腦來執行功能，故其他兩台電腦從功能性觀點來看，它們屬於冗餘的作業。 然而，備援（重複／冗餘）在增加系統的可靠度上卻發揮了重要的功能。

失敗（錯誤）的常見原因

在這裡，失敗（錯誤）的獨立性顯得很重要。 如果有某失敗（錯誤）的機制導致三台電腦全部同時失效，則可靠度的改善將無法實現。 舉例來說，如果三台電腦都用相同的程式，程式中有個錯誤，則運算結果組合肯定不會優於任何一台獨立運算的結果。 我們經常在錯誤可能造成特別嚴重結果的系統中看見「冗餘（備援）」法的運用，例如太空計畫或內含許多組成元件的複雜系統。

常見原因是一個事件或現象，如果發生了，將引出故障樹內兩個以上的組成要素出現。
常見原因的失察是故障樹分析裡經常發現的問題！

防盜警鈴範例：微波、光電、腳步震動及聲波等4個完全獨立的警報系統被用來進行侵入的偵測及警示。 這些設備沒有任何兩個是使用相同的運作原理。好像絕對存在互相備援（冗餘設計）的情況。
但是！
假設這四個系統的運作電力是使用同一個來源，當電力來源失效、且沒有電力備援時會怎麼樣？

根據時間函數的可靠度：浴缸曲線

圖 3、浴缸曲線

多數系統元件在使用壽命此一較長的區段時間內的故障（失敗）率（λ）為常數。在此時間內，會隨機發生故障。

圖 4、以指數方式建立「錯誤」的計算模型

透過指數可良好地建構故障率暴露時間（T）函數。對短暫的暴露期間（暴露期間 ≤ 0.2 平均故障間隔時間、MTBF），故障率 `P_F` 大約在 λT 的 2% 以內。

參數 λ 稱為組成元件故障率，以單位時間內的故障單位數表示。 `λ` = 故障率 = `1/(MTBF)`

關於可靠度（reliability）、割集（cut sets）及路徑集（path sets），請參閱下面編號第13號參考文獻，奧斯汀大學的「Reliability」。

故障樹真正的能力在於進行機率分析（probabilistic analyses）。 實際上，大多數健康照護系統並沒有各項基礎事件的實際比率數據。 除此之外，在人為錯誤與設備錯誤率的部分，團隊通常只掌握到非常有限的可用訊息。

另外，最上層的錯誤往往可能是良性結果或被病人疾病表徵遮蔽，因此常導致發生數據資料被低估。

儘管如此，風險模式建立團隊仍然須要根據團隊的經驗及／或文獻所載的比率來估計發生率。 由於機率估計基礎為團隊經驗，儘管會有很大的變異程度，仍然優於完全沒有估計機率。

當團隊處於明顯對估計比率沒有共識的時候，可以從「固定」起始點附近的機率開始進行估計，例如將某項事件的錯誤率訂定為每1,000次嘗試會發生1次錯誤（ `1×10^(-3)`），藉此來促進團隊的討論。 爾後，團隊將能在最終估計結果定案前，透過向上或向下的疊代過程調整其估算的內容。 實際上，團隊會在估計錯誤率及處於風險行為的比率的任務中快速便利地獲得進展。

範例：病人手圈辨識

以下為一個團隊進行機率估計的範例，請思考在給藥時出現手圈確認錯誤的機率。 這是一個常見且不易在事件調查中找到的風險行為，特別是在組織整體的通常率方面而言。

護理人員花費很長的當班時間了解他們的病人、病人的診斷及藥物。 儘管有明訂必須在給藥前確認病人識別手圈的政策或程序，護理人員也承認，在實務上，因為各種不同的理由，他們普遍無法完成這個安全性的檢查工作。

調查團隊可以詢問他們，無法正確識別的機率是每發給100次藥物中，會發生1次、5次或50次。 透過這個重複的詢問過程，跨職類專業團隊就可以完成符合該機構文化通常的機率估計。

經驗告訴我們，這樣的團隊估計結果會比從事件數據資料中得到的比率更貼近真實、能使人接受。無巧不巧，這些結果也通常會比院內高階管理層所預測的比率更加準確。

圖 9、估計機率之對數平均數法

機率數據資料的來源

• 製造商的數據資料
• 產業共識標準
• 美國軍方標準
• 歷史證據 ─ 相同或相似的系統（體系）
• 模擬／測試結果
• 德菲估計（Delphi estimates）
• WASH-1400 (NUREG-75/014)報告（關於核電廠應用的若干出版品）
• 美國電機電子工程師學會IEEE 500標準
• 其他列在「機率數據資料」段後的參考文獻

一些影響操作人員錯誤機率的因素

• 經驗
• 壓力
• 訓練
• 個人自我紀律／責任心
• 疲勞
• 對錯誤後果的認知（對自己／他人）
• 使用指引及查檢表
• 過去經驗對錯誤的認知
• 任務特性─複雜度／重複性

割集（Cut Set）定義

• 割集是任何一個故障樹的引發事件（initiators／basic event基本事件）路徑集合，如果全部發生，將會引發最頂端（TOP）的事件。
• 最小割集（minimal cut set）是故障樹中引發事件（基本事件）到最頂端事件的最短路徑集合，如果全部發生，將會引發最頂端（TOP）的事件。

尋找割集

1. 忽略引發事件（基本事件）以外的所有故障樹組成元件。
2. 直接從最頂端事件的下面開始，給每一個閘門（gate，最上層閘門為「A」）分配一個獨立的字母（或文字）標記。請勿重複使用字母（或文字）。
3. 直接從最頂端事件的下面開始，給每個引發事件分配一個獨立的數字標記。如果一個基本引發事件出現超過一次，每次出現請使用同一個數字表示。

圖 6、空白故障樹

圖 7、填入引發事件及閘門標記的故障樹

從頂端事件逐步往下，由閘門A開始，使用字母（或文字）及數字標記建構矩陣。

4. • 將所有閘門／引發事件用的字母（可以為複數，如AA）／數字（可以為複數，如11）放回所有的「及（AND）」閘門，在矩陣中同一行水平顯示。
   • 將所有閘門／引發事件用的字母（可以為複數，如AA）／數字（可以為複數，如11）放回所有的「或（OR）」閘門，在矩陣中垂直顯示。 每形成一個新的「或」閘門取代行時，必須包含所有在原始母行中可以找到的項目。
5. 最終的矩陣僅會顯示表示引發事件的數字標記。矩陣的每一行都是用布林邏輯（Boolean）顯示的割集。
6. 透過檢查，淘汰包含所有建構在次要行中元件的任何行。
7. 淘汰在行中的冗餘元件及與其他行重複的行。餘存的行為「最小割集」。

流程步驟說明

圖 8、割集矩陣產生最小割集

{第一行，由左至右閱讀}

1. 第一行閘門為A，記入起始矩陣。
2. A為「及（AND）」閘門；將B及D以水平方式記入取代之。
3. B為「或（OR）」閘門；將1及C以垂直方式記入取代之。每個事件需要使用矩陣的新列。
4. C為「及（AND）」閘門；將2及3以水平方式記入取代之。

{第二行，由左至右閱讀}

1. D（最上一行）為「或（OR）」閘門；將２及４以垂直方式記入取代之。用２取代原本記Ｄ的位子。複製此行成為新行，並把２改成４。
2. Ｄ（第二行）為「或（OR）」閘門。同上，以垂直方式取代為２及４。取代Ｄ同時在矩陣中新增一行。
   矩陣中所有行皆為「割集」。
3. 將同一行重複的數字刪除： 2-2-3 → 2-3
   刪除包含其他行數字的行：如2-4-3此行包含了2-3，因此雖然2-4-3也是割集，但並不是包含相同引發事件的最小割集，故將2-4-3此行刪除。
   矩陣最後的內容：1-2／2-3／1-4皆為「最小割集」。
   最小割集行是引發頂端事件的「最少引發事件集合」。

割集用途

表 2、最小割集

• 評估頂端不良事件的機率： ` P_T ≅ ∑ P_e `
  割集機率（`P_k`）是割集內所有事件發生機率的乘積，是割集引發頂端事件的機率。 ` P_k = ∏ P_e `
  表 2 之中：
  第一行： ` P_k^1 = P_1 × P_2 `
  第二行： ` P_k^2 = P_1 × P_3 `
  第三行： ` P_k^3 = P_1 × P_4 `
  第四行： ` P_k^4 = P_3 × P_4 × P_5 × P_6 `
  ` P_T ≅ ∑ P_e = P_k^1 + P_k^2 + P_k^3 + P_k^4 `
• 評估「重要性」
  • 評估割集結構的「重要性」。 分析結構重要性是能針對系統失效（故障）之因素進行定性（質性）分級排序。 若其他的條件都是相同的…
    • 「長割集」表示漏洞／弱點小（舉例來說，表 2 中的第４行）。
    • 「短割集」表示漏洞／弱點較大（舉例來說，表 2 中的第１～３行）。
    • 有許多割集存在表示漏洞／弱點較大。
    • 單一割集表示是潛在的「單點失效（Single-Point Failure）」。
  • 評估割集量化的「重要性」。 割集（`I_k`）的量化重要性是引發頂端事件的數字機率，已於割集介紹過。
    `I_k = P_k / P_T `
    其中 `P_k = ∏ P_e ` 代表最小割集。
    定量分析的重要性是能使系統失效（故障）之因素進行數字分級排序。 最有效的降低系統弱點，最重要的就是針對割集進行改善。 一般而言，短割集重要性較高，長割集重要性較低。
  • 評估割集項目（事件）的「重要性」。 單一項目（`I_e`）定量分析的重要性，在於其能夠提供此單一項目引發頂端事件的數字機率。
    
    ` I_e ≅ ∑^(N_e) I_(ke) `
    ` N_e ` = 包含項目「e」的最小割集數
    ` I_(ke) ` = 包含項目「e」的最小割集重要性
    範例：項目1重要性：
    ` I_1 ≅ ((P_1 × P_2) + (P_1 × P_3) + (P_1 × P_4)) / P_T `
• 評估「常見原因」
  • 找到常見原因的漏洞（弱點）
  • 分析常見原因發生機率

圖 9、割集用途：常見原因漏洞（弱點）

路徑集（Path Set）定義

• 路徑集是故障樹中引發事件（基本事件）的集合，如果沒有任何一個事件發生，可以保證頂端事件（TOP）不會被引發。
• 路徑集機率（ `P_p`）是系統在依照其路徑所訂的作業程序中遭遇一點（個）或多點（個）錯誤的機率。

尋找路徑集

• 將所有「及（AND）」閘門與「或（OR）」閘門對調，以尋找路徑集。即是將所有「及（AND）」閘門改為「或（OR）」閘門，並將所有「或（OR）」閘門改為「及（AND）」閘門。
• 然後繼續使用如同用於割集的矩陣架構。結果即為路徑集。

使用路徑集增加可靠度（Reliability）

• 為使失效（故障）機率減到最小，應將路徑集機率減到最小（短）。
• 將對策資源散佈於路徑集當中。 計算每個新調整後的路徑集內容項目之機率減少量。 選擇 ` (ΔP_p) / (Δ$) ` 最有效益的整體對策。

圖 10、割集轉換為路徑集

降低弱點（Vulnerability）：總括一覽

• 檢查樹狀圖─尋找／處理主要的PT（頂端不良事件機率）促成因素
  • 增加干預／重複（冗餘）法（延伸割集）
  • 減少組成元件（增加強度／降低錯誤發生率 `P_e` ）
  • 加強維修保養／零組件補充更換（延長平均故障間隔時間 MTBF）
• 檢查／修改系統架構─增加路徑集／割集比
• 評估割集重要性。使用單一項目（ `I_e`）分析排序項目（事件），找出可以改善的項目。
• 評估路徑集機率。減少最有效益的整體對策（ ` (ΔP_p) / (Δ$) `）內的路徑集機率（ `P_p` ）。

針對所有新的對策，思考對策○○○的 • 成本 • 效能 • 可行性（包含進度時程）
以及
新的對策○○○會不會 • 引發新的危害？ • 損壞甚至癱瘓系統？

一些「及（AND）」閘門的特性

圖 12、免除單點失效（Single-Point Failure）

成本：假設兩個相同的元件 `P = 0.1`
TOP `P_T = 0.01`
兩個元件（引發事件） `P = 0.1` 之成本可能比單一個元件 `P = 0.01` 來得低。
重複（冗餘）法可確保當 ① 或 ② 之中任何一個失效（故障）時，不會引發頂端事件。

什麼是重要性測量？

• FV重要度指標(Fussell-Vesely)
• 降低風險或風險降低值(Risk Reduction Worth, RRW)
• 增加風險或風險增加值(Risk Achievement Worth, RAW)
• Birnbaum重要度
• 系統及元件失效

計算範例

FV重要度指標(Fussell-Vesely)

降低風險

風險增加值（Risk Achievement Worth, RAW）

Birnbaum重要度

路徑集與可靠度

圖13、為路徑集添加對策併計算最有利的。

路徑集機率（`P_p`）是系統在依照其路徑所訂的作業程序中遭遇一點（個）或多點（個）錯誤的機率。
`P_p ≅ ΣP_e`

• 將對策資源散佈於路徑集當中。
• 計算每個新調整後的路徑集內容項目之機率減少量。
• 選擇 `(ΔP_p)/(Δ$)` 最有效益的整體對策。
• 選擇結果可經由計算 `(ΔP_T)/(Δ$)` 比較候選對策，來進行驗證。

練習題 1、鬧鐘未能喚醒睡眠者

圖 14、人工喚醒的 FTA 圖

練習題 2、鞏膜的壞血病 — 宇航員的禍害。

背景

所有返航的太空人中有10%感染了硬化性壞血症。 疾病潛伏期為13天。 之後一週，感染者開始出現包括萎靡不適、倦怠及易怒等症狀。 如在潛伏期中對受感染的太空人投予抗毒素，能夠100%發揮藥效，預防此疾病。 然而，如果對未感染的太空人投予抗毒素，則會出現方向定位障礙、混亂及增強所有不良的人格特質表現等副作用，副作用持續時間約為7天。 目前可在潛伏期中施行一項檢驗以確定太空人是否感染此疾病。 檢驗之結果大約有2%為偽陽性（未感染者判定為感染者），約有1%的偽陰性結果。

無論是對未感染的太空人進行治療或未對感染的太空人進行治療，皆為誤診瀆職。

問題

使用感染檢驗，以及依照檢驗結果需要使用抗毒素，則返航的太空人遭遇誤診瀆職情形的機率有多少？

練習題 3、尋找最小割集和路徑集