| Forside | | Indhold | | Forrige | | Næste |

Kvantificering af sandsynligheder for fejl i regnvandsanlæg og gråvandsanlæg

2 Risikoterminologien/metoder

Store og små ulykker har øget interessen for risikoanalyser

I de seneste år har store ulykker som Chernobyl, Seveso og Bhopal bevirket, at den folkelige interesse for risici i forbindelse med drift af store anlæg er øget. Men det er ikke kun store uheld, der har øget denne interesse. Uheld i vandforsyninger, som f.eks. Bellahøj, Uggeløse og mange andre har ligeledes bevirket, at der er blevet fokuseret mere og mere på måder at undgå disse former for uheld eller i hvert fald reducere risikoen for disse uheld. Det er hyppigt, at der i pressen nævnes en forurening forårsaget af et uheld på f.eks. et industrianlæg, et fjernevarmeanlæg m.v.. I forbindelse med indførelsen af regnvandsanlæg er der blevet fokuseret på muligheden for forurening af den offentlige vandforsyning ved fejlforbindelser mellem det lokale genbrugssystem og det offentlige vandforsyningsnet.

Mange har den holdning, at sådanne uheld aldrig må ske igen og opmærksomheden i forbindelse med sådanne uheld er stor, da det truer tilliden til vores drikkevands hygiejniske kvalitet. Men enhver logik siger, at det er umuligt at udelukke sådanne uheld. Der vil altid eksistere risici i forbindelse med drift af alle former for tekniske anlæg. Det er til gengæld vigtigt at udnytte den teknologiske viden og samtidig holde risici i forbindelse med teknologien inden for acceptable grænser. Dette er et meget komplekst problem, hvor alle interessenter har deres mening, som oftest ikke er ens. Det er vigtigt ved såvel formuleringen og ved problemløsningen at tilgodese disse meninger. Det skal ligeledes bemærkes, at det er langt fra alle forureninger af den offentlige vandforsyning, der opdages. Dette skyldes, at kravet til måling af vandkvaliteten i vandforsyningen udgør et begrænset antal gange om året. Antallet afhænger af vandforsyningens størrelse.

Fire hovedbegreber

Måden, hvorpå man kan analysere og derpå reducere eller måske helt fjerne risici primært i forbindelse med drift af et teknisk anlæg, er at foretage en detaljeret risikoanalyse af det tekniske anlæg. Risikoanalysen er dog kun en del af hele risikoværktøjet. Generelt opdeles risikoterminologien i fire begreber:

• Risikoanalyse
  Risikoanalyse er den objektive analyse af sammenhænge. Risikoanalysen lokaliserer evt. risici og strukturerer disse, således at det store overblik opnås.
• Risikovurdering
  Risikovurderingen er den politiske holdning til risikoanalysen. Risikovurderingen afgør, hvilke risici det politiske system er villig til at acceptere.
• Risikohåndtering
  Risikohåndtering er et led efter risikovurderingen og omhandler love, bekendtgørelser, forbud, påbud, straffe og økonomiske styremidler m.v..
• Risikokommunikation
  Risikokommunikationen er et af de vigtigste led i risikoterminologien. Formålet er at skabe forståelse for risici i forbindelse med det tekniske anlæg, da det er vigtigt, at forståelsen findes på alle niveauer, således at evt. fejl kan håndteres og måske helt undgås.

2.1 Begreber i risikoanalysen

I dette afsnit vil alle begreber, som benyttes i forbindelse med risikoanalysen blive defineret og forklaret.

2.1.1 Opdeling af fejl

Opdeling af fejl

I Skema 2.1 er mulige fejl ved projektering/konstruktion/drift/vedligeholdelse af et regnvandsanlæg listet på en systematisk måde.

Fejlene kan opdeles i to grupper:

1. Projekteringsfejl/udførelsesfejl
2. Komponentfejl

• Primær fejl (normalt belastet)
• Sekundær fejl (overbelastet)
  • Nabokomponent
  • Omgivelser
  • Betjening

Hvis det aktuelle regnvandsanlæg overholder den anvisning, som er udarbejdet af Teknologisk Institut, Rørcentret falder de mulige fejl ind under gruppen ”komponentfejl”. Hvis anvisningen ikke er overholdt hører fejlene til gruppen ”projekteringsfejl/udførelsesfejl”.

Komponentfejl

Som det fremgår, kan komponentfejl opdeles i primær fejl og sekundær fejl, hvor primær fejl beskriver en fejl på en komponent i normalt belastet tilstand, mens en sekundær fejl beskriver en fejl på en komponent i overbelastet tilstand eller forårsaget af andre faktorer (eksterne).

Komponentfejl - primærfejl

En primær fejl kan forårsages af slid, tilstopning, korrosion eller komponenten kan blive defekt. Måden at forebygge/behandle en primær fejl på er ved præventiv vedligeholdelse eller ved reparation.

Komponentfejl - sekundærfejl

En sekundær fejl kan opstå ved, at en nabokomponent fejler eller ved at omgivelser påvirker komponenten f.eks. ved en elafbrydelse eller ved fejlbetjening af anlægget, eller at komponenten generelt er overbelastet set i forhold til komponentens design belastning.

Projekteringsfejl /konstruktionsfejl

Selvom der udarbejdes et regelsæt for bygning af regnvandsanlæg, er der ingen garantier for, at denne anvisning overholdes, og derfor er det nødvendigt at betragte projekteringsfejl og udførelsesfejl. Der vil altid være nogen, som mener, at de selv kan bygge anlægget, også selvom det er i strid med krav om, at arbejdet skal udføres af autoriserede fagfolk.

Figur 2.1:
Fejlene opdelt i projekteringsfejl/udførelsesfejl samt komponentfejl.  

Se billede i fuld størrelse

2.1.2 Definition af begreber

Opdeling af risikoanalysen

Risikoanalyse er et begreb, som defineres på mange forskellige måder. Derfor er det vigtigt at præcisere, hvordan opbygningen af risikoanalysen i forbindelse med et regnvandsanlæg/gråvandsanlæg fortolkes i denne rapport. Følgende begreber vil blive benyttet til beskrivelsen af risikoanalysen:

• Fejlkombination

Fejlkombination

Beskriver antallet af fejl samt rækkefølgen af fejl, der kan ske i et anlæg før en given uønsket konsekvens indtræffer.

• Sandsynlighedsniveau

Sandsynlighedsniveau

Sandsynlighedsniveauet beskriver sandsynligheden for, at en fejl opstår. Sandsynlighedsniveauet kan angives på 2 former:

• Hyppighed - angives som en fejlrate pr. år.
  For at angive denne sandsynlighed, er det nødvendigt, at der er adgang til historiske data omhandlende hyppigheden af svigt og længden af reparationstiden efter et svigt. Disse data kan skaffes på forskellig vis. I det tilfælde, hvor det er et allerede eksisterende anlæg, anvendes erfaringer fra anlægget om, hvor ofte en given komponent har været defekt eller af anden grund ikke har opfyldt sin funktion. For det tilfælde, at det er tale om et anlæg, der endnu ikke har været i drift, må der indsamles erfaringer fra andre tilsvarende anlæg eller fra generel viden om de enkelte komponenters effektivitet fra fagbøger m.v.. I sådanne tilfælde er det vigtigt at benytte data med et vist forbehold, da komponenten sandsynligvis ikke er benyttet i et anlæg af samme størrelse eller under samme forhold. Der vil altid knytte sig en stor usikkerhed til disse tal. Derfor er det klart at foretrække at benytte tal fra tidligere erfaringer fra samme type anlæg som det undersøgte.
• Brøkdel - fejlen angives som en brøkdel dvs. antallet af fejl af en samlet mængde. F.eks. antallet af defekte pumper ud af en større mængde.
• Sikkerhedsniveau

Sikkerhedsniveau

Sikkerhedsniveauet er en sandsynlighed, der beskriver produktet af sandsynlighederne for en fejlkombination. Afhængig af antallet af fejl i fejlkombinationen og sandsynlighedsniveauet fejlene har, opnås et sikkerhedsniveau, som altid angives pr. tidsenhed.

• Konsekvens

Konsekvens

Konsekvensen af en uønsket hændelse kan opgøres forskelligt, f.eks. som udgiften i forbindelse med rensning af ledningsnettet efter forureningen eller antal personer eller husstande, der eksponeres af forureningen m.v.. Konsekvens kan ligesom sandsynlighedsniveauet enten angives kvalitativt eller kvantitativt.

Risiko

• Risiko

Definitionen på risiko er nok den vigtigste af alle:

Risiko udtrykker kombinationen af sandsynligheden for en hændelse og den uønskede konsekvens af hændelsen. Den uønskede konsekvens opfattes i denne sammenhæng som eksponeringen af et antal personer til urent vand i vandforsyningen. Kombinationen kan i denne sammenhæng opfattes som produktet: "hyppighed * antal eksponerede personer", fordi begge begreber er kvantificeret, dvs. udtrykt i tal.

I andre sammenhæng skelnes der til tider mellem selve konsekvensen og konsekvensens ”alvor”. Den uønskede konsekvens kunne opfattes som een persons eksponering til urent vand i vandforsyningen. Alvoren kunne i denne sammenhæng opfattes som antallet af personer, som eksponeres til urent vand i vandforsyningen. Brug af ordet ”alvor” stammer fra WHO’s risiko definition hvor det engelske ord ”severity” er benyttet.

En uønsket konsekvens er i princippet udtryk for samfundets tab af værdier, som tab af menneskeliv, skader, omkostninger, ulemper, m.v.. Idealet i denne sammenhæng ville være at inddrage alvoren af de sygdomme, som eksponering kunne give anledning til; men der foreligger ikke videngrundlag for at inddrage dette i undersøgelsen.

Som angivet i et tidligere afsnit er sandsynligheden i denne sammenhæng at opfatte som et sikkerhedsniveau, dvs. en hyppighed angivet som antallet af den uønskede hændelse per tidsenhed. Konsekvensen kan betragtes som antallet af eksponerede personer. Da er risikoen lig produktet af sikkerhedsniveauet (hyppigheden) og konsekvensen (antallet af personer). Risikoen kan fortolkes som det gennemsnitlige tab af værdier over mange år, som påføres samfundet ved at have regnvands- og gråvandsanlæg i forbindelse med vandforsyningen.

Figur 2.2:
Overbliksbillede af de forskellige begreber, der benyttes i risikoterminologien og deres indbyrdes sammenhæng.

Se billede i fuld størrelse

 
På figur 2.2 ses et overblik over de enkelte begreber, der benyttes i forbindelse med risikoterminologien.

Beskrivelse af sammenhængen vist på figur 2.2

Som det fremgår af figuren er der ikke en fast rækkefølge i hvordan begreberne benyttes. Det er ikke så firkantet, at risikoanalysen er først, dernæst risikovurderingen, risikohåndteringen og til sidst risikokommunikationen. Der vil oftest være et overlap mellem disse fire begreber. Risikoanalysen kan fortolkes på forskellig vis afhængig af om, der vælges en kemisk indgangsvinkel eller en teknisk. Den benyttede fortolkning af risikoanalysen i denne rapport fremgår ligeledes af figuren. Øverst er problemanalysen placeret. Dernæst deler diagrammet sig i to strenge – identifikation af uønskede hændelser og identifikation af fejl, der fører til de uønskede hændelser. For hver af de identificerede uønskede hændelser bestemmes konsekvensen samtidig med, at sandsynligheden for hver enkelt fejl i fejlkombinationerne, der fører til de uønskede hændelser bestemmes. Dernæst udvælges en analysemetode; altså en præsentationsmetode, som fejlkombinationerne og dermed resultaterne kan struktureres på. Til sidst udregnes risikoen som produktet mellem de to grene – konsekvensen og sandsynligheden.

Sandsynligheden i teknisk risikoanalyse er at opfatte som et udtryk for, hvor hyppigt en fejl kan ske; f.eks. for et givent anlæg 10^-3 pr. år = hvert tusinde år, eller blandt 1000 anlæg 1 gang pr. år. Risikoen udtrykkes da som antallet af mennesker, som udsættes for urent vand i deres vandhane, og hvor sjældent det vil ske.

2.2 Metoder

Forskellige analyse og resultatspræsentations -metoder

Før en uønsket hændelse kan kvantificeres, er det en forudsætning, at den er identificeret. Der findes flere mere eller mindre anerkendte analyse-/præsentationsmetoder, når der er tale om risikoanalyse/vurdering. Selve analysen ved alle metoder ligner hinanden, eller indeholder de samme elementer, men fremgangsmåden og resultatpræsentationen er meget forskellig. I dette underafsnit vil følgende udvalgte metoder kort blive beskrevet:

• Bayesian Belief Networks / Causal Probabilistic Networks
• FMEA
• HAZOP
• Fejltræsmetoden

Der vil primært blive fokuseret på fejltræsmetoden, da denne er valgt som den bedst egnede præsentationsmetode for den aktuelle problemstilling.

2.2.1 Bayesian Belief Networks / Causal Probabilistic Networks

Bayesian Belief Networks

Ved Bayesian Networks betragtes et teknisk anlæg som bestående af et antal komponenter, som kan befinde sig i givne tilstande. Tilstanden af en given komponent kan udtrykkes som sandsynligheder betinget af andre komponenters tilstand. På denne måde er det muligt at opbygge et netværk bestående af indbyrdes afhængige komponenter/hændelser, som kaldes et Bayesiansk eller Kausalt Netværk (“Bayesian Belief Networks” eller “Causal Probabilistic Networks”).

Følgende fordele kan nævnes ved Bayesianske Netværk:

• Grafisk opstilling
• Gode muligheder for at beskrive indbyrdes afhængigheder
• Lagdelt kompleksitet (overblik kræver ikke detail kendskab og omvendt)
• Et godt værktøj findes (også som programkomponenter til opbygning af specielle versioner)
• Meget let at tilføje og fjerne komponenter
• Meget let at omdefinere en komponents tilstand
• Indbygget metodik til håndtering af usikre sandsynligheder (lille data grundlag)

Bayesian Belief Networks metoden er særlig velegnet til komplekse tekniske systemer med stor indbyrdes afhængighed mellem fejlene. Store netværk kan være vanskelige at håndtere. Ved mindre indbyrdes afhængighed opnås som regel et lettere tilgængeligt overblik ved fejltræsmetoden (beskrives nedenfor).

2.2.2 FMEA – Fejlmåde og effektanalyse

FMEA er en forkortelse af det engelske udtryk Failure Mode and Effect Analysis.

Definition af FMEA

FMEA er en metode, hvor enhver potentiel fejlmulighed analyseres for at bestemme dens effekt på systemet og for at klassificere fejlen efter, hvor alvorlig den er. Målet er at identificere de kritiske områder i systemet, hvor ændringer er nødvendige for at reducere sandsynligheden for fejl. Metoden gør brug af standardskemaer som hjælp til analysen og som dokumentation. Der gennemgås de fejlmåder, der findes for hver komponent.

For hver fejlmåde beskrives, hvilken effekt denne har for den betragtede anlægsdel, samt hvilke årsager, der findes for denne fejlmåde. Desuden noteres, hvordan fejlmåden opdages, og om der er mulighed for at gribe ind og rette fejlen. Til sidst noteres om fejlmåden er af så alvorlig karakter, at den skal indgå i den videre analyse, eller om den skal udelades. Herved dannes en systematisk dokumentation, hvor de væsentlige fejlmåder for komponenterne er beskrevet. Ligeledes er det muligt på et senere tidspunkt at redegøre for, hvorfor en given fejlmåde ikke er medtaget i analysen.

2.2.3 HAZOP - "Hazards and operability study"

Definition af HAZOP

HAZOP er forkortelse af det engelske udtryk HAZards and Operability study.

Formål med HAZOP

HAZOP-metoden er en kvalitativ risikoanalysemetode, hvilket vil sige, at man søger at kortlægge hvilke typer af fejl, der kan opstå i forbindelse med en eksisterende proces og ved ændringen af en eksisterende proces. Analysen tager højde for sikkerhedsspørgsmål i forbindelse med processen og dennes funktionalitet. HAZOP-metoden er baseret på brainstorming i mødeform, og har i mange år været anvendt til at bestemme risici i forbindelse med nuklear og kemiske anlæg, og har vist sig at være et stærkt og struktureret værktøj til også at identificere og bedømme risici i forbindelse med andre typer af projekter.

Fremgangsmåden i HAZOP

Følgende faser er indeholdt i en HAZOP-analyse:

• Først fastsættes et sæt af ledeord, som under analysen kobles med parametre i processen.
• Efter opstilling af ledeord koblet med en parameter gennemgås alle afvigelser for det givne system. Det vigtigste i dette trin er at have en god forståelse for processen, for derved at kunne identificere de væsentlige afgivelser.
• Når man for hver type ledeord og for en given parameter har identificeret de mulige afgivelser skal årsagerne til afvigelserne bestemmes. Disse er typisk årsager, der kan relateres til nogle mekaniske komponenter i processen, funktionsmåder af processen, eller eksterne påvirkninger.
• Når årsagerne er bestemt listes herefter konsekvensen af afvigelsen. Afhængigt af, om konsekvensen for en afvigelse er betydelig eller ej går man videre til den næste fase i HAZOP-analysen.
• Den afsluttende fase i analysen er at foreslå nogle modforanstaltninger for at undgå de uønskede konsekvenser.

Alle faserne i HAZOP-analysen kan indtastes i et såkaldt HAZOP-skema.

2.2.4 Fejltræsmetoden

Definition på fejltræsmetoden

En fejltræsanalyse er en metode, som baserer sig på analyse af en type uheld (en uønsket konsekvens) ad gangen. Der kan således for et teknisk anlæg være adskillige fejltræer, som alle fører til hver sin uønskede konsekvens/uheld. Resultatet af en fejltræsanalyse er, at der for hvert fejltræ er angivet alle kombinationer af individuelle fejl, som kan føre til den uønskede konsekvens i fejltræets logiske struktur. Fejltræmetoden er velegnet som analysemetode ved kvantificering af uønskede hændelser for et givent teknisk anlæg.

To forskellige fremgangsmåder

Der kan benyttes to forskellige fremgangsmåder ved opbygning af et fejltræ /4/ og /5/:

1. Den konvergerende (induktiv) fremgangsmåde
2. Den divergerende (deduktiv) fremgangsmåde

Den konvergerede fremgangsmåde

Den konvergerende fremgangsmåde/analyse starter forneden af træet med et sæt af komponentfejl og fortsætter op gennem træet ved at identificere mulige konsekvenser. Metoden kan kaldes ”hvad sker, hvis…-metoden”.

Den divergerede fremgangsmåde

Den divergerende fremgangsmåde/analyse kan kaldes ”hvad kan forårsage dette…-metoden”. Fejltræet startes i toppen med en uønsket konsekvens og forgrener sig nedad visende årsagerne til denne konsekvens. På denne måde bliver begivenheder på et niveau i fejltræet hele tiden uddybet i underbegivenheder, der befinder sig et eller flere niveauer lavere.

Der er her valgt at benytte den divergerende fremgangsmåde til beskrivelse af fejltræer opbygget udfra en principskitse af det anbefalede regnvandsanlæg.

Fejltræets byggeelementer

For at bygge et fejltræ benyttes nogle standardiserede byggeelementer. Der er to slags:

• Forbindelsesled (”gates”)
• Begivenheder (”events”)

Forbindelsesled gør det muligt at starte i bunden af fejltræet og følge fejllogikken op gennem fejltræet og vise sammenhængen mellem de enkelte begivenheder, som benyttes til at beskrive den uønskede konsekvens.

Begivenhedselementerne er opdelt efter følgende princip:

• Primære fejl
• Sekundære fejl
  
  • Nabokomponent
  • Omgivelser
  • Betjening

Foruden disse er der indført to elementer, som beskriver en konsekvens og en tilstand.

Primær fejl

Primære fejl er symboliseret som vist på Figur 2.3.

Figur 2.3
Primær fejl symboliseret ved en cirkel. Beskrivelsen af fejlen står i cirklen, mens det lille nummer nederst i cirklen henviser til et nummer, hvor fejlen er yderligere uddybet.

Som det fremgår er en primær fejl symboliseret ved en cirkel, hvor fejlen er angivet inde i cirklen (”defekt magnetventil”). Nummeret, som står skrevet i cirklen, henviser til, at det er en primær fejl (”P” for primær), og at det er fejl nummer 1 indenfor kategorien primære fejl. Nummeret skal benyttes som henvisning til en mere detaljeret beskrivelse af fejlen.

Sekundær fejl

Sekundære fejl er underopdelt i tre grupper – nabokomponenter, omgivelser og betjening. På henholdsvis Figur 2.4, 2.5 og 2.6 ses det element, der symboliserer nabokomponent, omgivelser og betjening.

Figur 2.4
Sekundær fejl af typen nabokomponent. Beskrivelsen af fejlen står i elementet, mens det lille nummer nederst i cirklen henviser til et nummer, hvor fejlen er yderligere uddybet.

Figur 2.5
Sekundær fejl af typen omgivelser. Beskrivelsen af fejlen står i elementet, mens det lille nummer nederst i cirklen henviser til et nummer, hvor fejlen er yderligere uddybet.

Figur 2.6
Sekundær fejl af typen betjening. Beskrivelsen af fejlen står i elementet, mens det lille nummer nederst i cirklen henviser til et nummer, hvor fejlen er yderligere uddybet.

I de enkelte elementer er der angivet den specifikke fejl. Det røde nummer er opbygget således, at ”S” står for sekundær, mens a, b og c står for henholdsvis nabokomponent, omgivelser og betjening. Det sidste nummer er nødvendigt, da der forefindes flere fejl end en enkelt i de forskellige undergrupper.

Konsekvens-elementet

Den næstsidste elementtype, som skal beskrives, er konsekvenselementet. Alle de før omtalte fejl fører til en eller anden konsekvens. Derfor er det nødvendigt at indføre et konsekvenselement. Dette er angivet i Figur 2.7.

Figur 2.7
Konsekvenselement. Konsekvensen står beskrevet i elementet, mens den røde skrift henviser til et nummer, hvor konsekvensen er yderligere uddybet.

Som det fremgår er konsekvenselementet symboliseret ved et rektangel, hvor konsekvensen (”spildevand i kælder”) er angivet inde i elementet. Nummeret, som står skrevet inde i elementet, henviser til, at det er en konsekvens (”K” for konsekvens), og at det er konsekvens nummer 4.

Den sidste elementtype, som benyttes til opbygning af fejltræer, er tilstandselementet. Dette element beskriver en tilstand i anlægget som f.eks. at der er regnvand i regnvandstanken. Det er jo ikke overraskende, at denne situation opstår, men for at bevare logikken i fejltræerne, er det vigtigt, at denne er angivet. Et tilstandselement er angivet på Figur 2.8.

Figur 2.8
Tilstandselement. Tilstanden står skrevet i elementet, mens den røde skrift henviser til et nummer, hvor tilstanden er yderligere uddybet. 

Forbindelses- elementet

I denne beskrivelse af fejltræer benyttes kun forbindelseselementet, der er vist på Figur 2.9.

 
Figur 2.10
To fremstillinger, der symboliserer det samme. Forskellen er, at der i den ene fremstilling er benyttet elementet "og", mens dette ikke er benyttet i den anden fremstilling.

Betragtes figur 2.10 er pointen, at begge begivenheder skal ske samtidig, for at en given konsekvens optræder. Hvis der opstår en defekt ved sikringen ved hovedkloakken og der ikke samtidig sker opstuvning i hovedkloakken, betyder det intet, at sikringen ikke virker. At begge begivenheder skal indtræffe samtidig, kan beskrives på begge de i Figur 2.10 viste måder.

Dette er grundelementerne til opbygning af et fejltræ. Vendes kort tilbage til begreberne, der benyttes til at beskrive risikoanalysen, mere specifikt sikkerhedsniveauet, som tidligere blev defineret som produktet af sandsynlighederne for en fejlkombination, hvilket er korrekt, når der kun betragtes en fejlkombination. Når der er tale om hele fejltræet og sandsynligheden for, at hovedkonsekvensen indtræffer, må man tage højde for alle de fejlkombinationer, som fører til hovedkonsekvensen. Derfor er man nødt til i beregningerne at tage hensyn til de to forbindelsesled, der benyttes i konstruktionen af et fejltræ. Efter en gennemgang af byggeelementerne benyttet til opbygning af et fejltræ, fremgår det, at der er to forskellige forbindelsesled. Disse to led skal behandles forskelligt, når sandsynligheden for hovedkonsekvensen skal bestemmes /4/ og /5/.

Fremgangsmåde ved ELLER- forbindelsesled

Ved et ELLER-forbindelsesled skal sandsynlighederne for de indgående komponenter adderes.

Fremgangsmåde ved OG-forbindelseled

Ved et OG-forbindelsesled multipliceres sandsynlighederne.

Uafhængighed fejlene indbyrdes

Dette er under forudsætning af, at de indtrufne fejl og hændelser er uafhængige. I virkeligheden vil det ikke altid være sådan, da fejlene kan påvirke hinanden og dermed forøge sandsynligheden for, at fejl nummer 2 i fejlsekvensen sker oftere.

Følgende kan opsummeres vedr. fejltræmetoden:

Fordele ved fejltræer Fordele ved fejltræer:

• Brugbar for komplekse systemer
• Inkluderer kun komponentfejl, som fører til den uønskede konsekvens
• Giver en god forståelse for, hvordan systemet kan fejle
• Overskuelig til brug ved præsentation af systemets fejlmuligheder
• Menneskelige fejl kan let inddrages
• Risikoen for den uønskede konsekvens kan let udregnes
• Følsomhedsanalyser kan udføres

Ulemper ved fejltræer

Ulemper ved fejltræer:

• Tidsperspektivet er ikke medtaget – alle fejl skal ske samtidigt
• Der er ikke mulighed for at gå tilbage i fejltræet

| Forside | | Indhold | | Forrige | | Næste | | Top |