FTA – FAULT TREE ANALYSIS

1- Introdução
A crescente necessidade de melhora na qualidade de produtos e satisfação dos clientes tem

popularizado vários métodos e técnicas que objetivam uma maior confiabilidade dos produtos e

processos, em outras palavras, que aumentem a probabilidade de um item desempenhar sua função

sem a ocorrência de falhas.

Uma dessas técnicas se chama Análise da Árvore de Falhas (Fault Tree Analysis - FTA), e tem por

objetivo a melhora da confiabilidade em geral dos produtos e processos, usando técnicas de análises

sistemáticas de possíveis falhas e suas consequências, fornecendo processos decisórios para adoção

de medidas adequadas para resolução de eventos indesejados.

Esse método foi desenvolvido por W.A. Watson em meados de 1960 quando o mesmo trabalhava na

empresa Bell Laboratories e posteriormente aperfeiçoado pela Boeing Corporation. Consiste em um

processo lógico e dedutivo que, partindo de um evento indesejado e pré-definido (EVENTO TOPO),

busca-se as possíveis causas potenciais de acidentes e de falhas num determinado sistema, além de

permitir a estimativa da probabilidade ou frequência de ocorrência de uma determinada falha ou

acidente.

Os principais benefícios da utilização desse método em estudos de análises de risco são:

I. Conhecimento detalhado de uma instalação ou sistema;

II. Estimativa da confiabilidade de um determinado sistema;

III. Cálculo da frequência de ocorrência de uma determinada hipótese acidental;

IV. Identificação das causas básicas de um evento acidental e das falhas mais prováveis que

contribuem para a ocorrência de um acidente maior;

V. Detecção de falhas potenciais, difíceis de serem reconhecidas;

 VI. Tomada de decisão quanto ao controle dos riscos associados à ocorrência de um determinado

acidente, com base na frequência de ocorrência calculada e nas falhas contribuintes de maior

significância;

VII. A determinação da sequência mais crítica ou provável de eventos, dentre os ramos da árvore,

que levam ao evento topo;

VIII. A identificação de falhas singulares ou localizadas, importantes no processo;

IX. O descobrimento de elementos sensores (alternativas de solução) cujo desenvolvimento

possa reduzir a probabilidade do contratempo em estudo.

2 – Entendendo a Árvore de Falhas...

2.1 – Conceitos

Inicialmente é definido um evento que pode ter consequências indesejáveis, e por efeito dos fatos,

identificam-se outros provenientes dele. Resultados possíveis são definidos e vinculados a cenários

modelos com descrição de suas consequências. (Um modelo indutivo define cenários para um

Evento Inicial).

O evento é ligado as causas através de uma lógica apropriada e sua resolução se dá por meio da

transformação deles em causas básicas (causas primárias). (Um Modelo Dedutivo resolve as

causas para um evento). Uma vez identificadas, constrói-se um diagrama lógico chamado de Árvore

de Falha, na qual são mostrados os tipos de relações desses eventos lógicos.

A árvore de falhas mostra, explicitamente, todas as relações diferentes que são necessárias para

resultar no evento superior além de apresentar uma lógica completa de suas causas básicas. Ela se

apresenta também como um registro tangível da análise sistemática da lógica e das causas básicas

que levam ao evento de topo e fornece uma estrutura para avaliação qualitativa e quantitativa desse

evento. (Benefícios da construção de uma árvore de falhas)

Pelo fato da FTA ser uma análise de retrocesso, a lógica passo a passo se faz presente, e assim,
símbolos específicos ou portas lógicas são usados na ilustração de tais relações, formando um
diagrama lógico. Este modelo relaciona o evento indesejado (evento superior), com os médios
(intermediários), e por consequência, os básicos causais (inferiores). Elementos de Análise
de Árvore de Falhas (FTA)

Dentre inúmeros objetivos, esse método almeja identificar exaustivamente as causas de uma
falha; Identificar as deficiências de um sistema; avaliar um projeto proposto para sua
confiabilidade e segurança; identificar os efeitos de erros humanos; priorizar os que contribuem
para a falha; identificar atualizações efetivas de um sistema; para quantificar a probabilidade de
falha e seus contribuintes e, por fim, otimizar testes e manutenções.

Comparando o FTA com outros métodos de análise de falhas, encontramos:

FTA X ISHIKAWA FTA X FMEA FTA X ÁRVORE DE EVENTOS

DESCRIÇÃO DAS CAUSAS DO ANÁLISE CAUSAS EVENTO CAUSAS DO EVENTO X EFEITO

EVENTO X ANÁLISE DE CAUSA ÚNICO X ANÁLISE DIFERENTES CAUSAS BÁSICAS

E EFEITO. EFEITOS DAS CAUSAS BÁSICAS.

Tabela 01 – Comparação FTA x Métodos de Análise de Falhas

2.2 – Definições

2.2.1 – Modo de falha e Mecanismo de falha

Um modo de falha é o estado de falha do sistema ou componente como por exemplos: não
iniciar, não abrir, falha ao desligar, etc. Em contraste, mecanismos de falha são os processos
pelos quais ocorrem as falhas, como corrosão, pressão e fadiga. (Modo de falha)
2.2.2 – Álgebra Booleana

É o ramo da matemática que descreve o comportamento de funções lineares ou variáveis

binárias: aberto/fechado; verdadeiro/falso. Todas as árvores de falhas coerentes podem ser
convertidas numa série equivalente de equações booleanas.

A análise qualitativa da árvore de falhas visa, por um lado, apresentar informações sobre a importância

dos eventos básicos e, por outro, identificar as combinações de eventos básicos que contribuem para

o evento de topo, garantindo dessa forma árvores de falhas mais simples porém equivalentes as

construídas inicialmente.

Existem diversas técnicas que possibilitam uma análise qualitativa de uma FTA, na qual convertem

seu formato gráfico em equações por meio de álgebra booleana, uma delas é a teoria dos conjuntos

de cortes mínimos (MCS – Minimal Cut Sets). Um conjunto de cortes (CS - Cut Set) corresponde a

uma coleção de eventos básicos, de tal modo, que se estes eventos ocorrerem então é certo que
também ocorre o evento topo.

A transformação da árvore para a forma booleana possibilita a determinação dos conjuntos

mínimos de cortes. Um MCS constitui um conjunto mínimo de eventos básicos, ou combinações
destes, que, quando ocorrem, originam a ocorrência do evento topo, ou seja, um conjunto de
cortes é considerado mínimo se não puder ser reduzido sem perder o estatuto de conjunto de
cortes.

A técnica para determinar o MCS de uma árvore de falha consiste em aplicar conceitos da álgebra
booleana para transformar seu formato gráfico em equações. As portas lógicas E/OU são
traduzidas através das regras:
 Portas Lógicas Teoria de Conjuntos Álgebra Booleana

E ∩ x

OU ∪ +

Tabela 02: Portas Lógicas representadas na álgebra booleana.

Desse modo, o evento topo é descrito por uma equação desenvolvida através da interpretação
da porta lógica (E ou OU) que o conecta aos seus eventos antecedentes, em seguida, cada evento
que aparece na equação é decomposto também pelos seus eventos antecedentes usando a regra
adequada para a porta lógica que os conecta a esses eventos, e assim por diante, até que o
evento topo seja descrito em uma equação que só tenha eventos básicos.

Em seguida, encontramos a equação simplificada para o evento topo T:

ܶ = ‫ܥ‬1 + ‫ܥ‬2 + ⋯ + ‫݊ܥ‬,

‫݊ܥ‬

Equação 01 – Equação Simplificada para cálculo do Evento Topo

Onde cada, = 1,2, … , , é um conjunto de corte mínimo que corresponde à operação booleana de
uma determinada sequência de eventos básicos, ou seja, a equação (1) apresenta uma
combinação simplificada de alguns eventos básicos, que garante a ocorrência do evento topo
quando esses eventos básicos ocorrerem.

É comum em uma análise de árvore de falhas que a análise quantitativa seja feita atendendo aos
resultados obtidos na análise qualitativa. Os resultados podem ser a estimativa numérica da
probabilidade de ocorrência do evento topo, e também a mensuração da importância que cada
evento básico tem na contribuição do evento topo.

A teoria matemática de probabilidade se relaciona completamente com os fundamentos da lógica

booleana utilizados na análise qualitativa de uma árvore de falhas. Enquanto a lógica booleana é
utilizada para expressar o evento topo na forma de uma equação que possibilita uma avaliação
qualitativa, a teoria probabilística permite uma análise quantitativa do evento topo.

Para uma análise de árvore de falhas, utilizamos as relações básicas da probabilidade que estão
relacionadas aos conectivos lógicos apresentados anteriormente.

União de eventos: ܲ(ܺ1 ∪ ܺ2) = ܲ(ܺ1 ) + ܲ(ܺ2 ) − ܲ(ܺ1 ∩ ܺ2)

Interseção de eventos: ܲ(ܺ1 ∩ ܺ2 ) = ܲ(ܺ1 ). ܲ(ܺ2|ܺ1)

Assim, de modo geral, quando as probabilidades dos eventos básicos são baixas, então a
aproximação por eventos raros resulta em uma boa estimativa de para a probabilidade do evento
topo.

2.2.3 – Elementos Básicos de uma Árvore de Falhas

Um evento pode ser definido como um desvio indesejado ou esperado do estado normal de um

componente do sistema.

A construção de uma FTA inicia-se pela definição do evento de topo indesejado (foco do método),
passa pelo limite do sistema (escopo) e termina nos eventos causais básicos considerados.

O evento de topo deve descrever o que é o evento e quando ele acontece, sendo muitas vezes
uma falha de sistema. É o evento específico a ser resolvido em suas causas básicas, portanto
defini-lo incorretamente, resultará em avaliações e conclusões incorretas. (O Evento Superior da
Árvore de Falhas)

O limite define o que está dentro da análise e o que está fora da análise, ou seja, as interfaces a
serem incluídas ou excluídas enquanto a resolução define que tipos de eventos são modelados.

Os eventos de terminação de uma árvore de falha identificam onde a FTA se encerra. Dois
eventos terminais fundamentais são o evento básico e o evento não desenvolvido. O evento
 básico representa o evento de nível mais baixo resolvido na árvore de falhas (causa), já o evento
não desenvolvido representa uma situação em que este não será mais analisado, ou que não há
interesse de ser analisado.

EVENTO TOPO OU INTERMEDIÁRIO EVENTO NÃO DESENVOLVIDO EVENTO BÁSICO

Fig.01 – Tipos de Eventos de uma Árvore de Falhas

As portas lógicas por sua vez relacionam o evento de entrada com o evento de saída, criando
assim um elo entre causa e efeito, nesse método as mais utilizadas serão a porta “E” e a “OU”.
A primeira representa a intersecção lógica das entradas na qual a saída só ocorre se todas as
entradas ocorrerem sendo empregada na utilização de fonte de alimentação redundante.

A porta OU representa a união lógica das entradas na qual a saída ocorre se alguma das entradas
ocorrer e é empregada quando se quer resolver um evento em causas ou cenários mais
específicos.

PORTA OU: O evento de PORTA E: O evento de saída PORTA DE

saída ocorre se qualquer ocorre se todos os eventos TRANSFERÊNCIA:
um dos eventos de nível de nível inferior de entrada Transferir para/ de outra
inferior de entrada ocorrer. parte da Árvore de Falhas.
ocorrer.

Fig. 02 - Tipos de Portas Lógicas

EVENTO SUPERIOR INDESEJÁVEL

 PORTA LÓGICA

EVENTOS INTERMEDIÁRIOS

PORTAS LÓGICAS

EVENTOS BÁSICOS

Fig. 03 – Estrutura de uma árvore de Falhas

Encontramos ainda alguns outros tipos de eventos expandidos e suas representações:

LOCAL OU CASA DE EVENTO: Um evento que deverá ocorrer, por

vezes usado como verdadeiro ou falso.

EVENTO CAUSAL BÁSICO: Tratado como causa primária ou de

limite de resolução.

EVENTO NÃO DESENVOLVIDO: Um evento não desenvolvido por

falta de informações suficientes.

CONDIÇÃO DE EVENTO: Define uma condição no evento que

necessita existir.

SIMBOLO DE TRANSFERÊNCIA: Significa a transferência DE uma

porta ou PARA uma porta.

Fig. 04 – Eventos Expandidos

2.2.4 – Tipos de Árvores de Falhas e o FMEA

Existem três tipos diferentes de diagrama de árvore, dependendo do uso que se pretende dar a
ele. A árvore de solução de problemas é usada para reagir a problemas, enquanto que os
diagramas de árvore de planejamento e para análise são usados de um modo preventivo:

O diagrama de árvore para solução de problemas é usado de modo reativo na resolução de

problemas perguntando-se várias vezes “porque”; também chamado de árvore de falha ou causa
raiz. O diagrama de árvore de planejamento é chamado de diagrama “Como-Como” e usado
preventivamente em eventos de planejamento e organização. Por fim, o diagrama de árvore para
análise é usado em análise de problemas ou em tomadas de decisão, algumas vezes chamado
de árvores de risco ou probabilidade, um exemplo desse tipo de diagrama de árvore é um
método chamado “análise para modo e efeitos de falha” ou FMEA.

O diagrama de árvore de falha mostrou-se útil na construção da Análise do Modo e Efeito de

Falhas (FMEA), cujos métodos têm sido usados desde o início dos anos 60. Essas técnicas
fornecem uma metodologia para examinar um desenho proposto encontrando possíveis maneiras
que uma falha pode ocorrer. A técnica de análise de árvore de falha e FMEA são utilizadas para
se estudar falhas potenciais em um produto ou processo e diferem uma da outra em três pontos:

1. A análise de árvore de falha estuda apenas aqueles resultados negativos de um

produto que sejam considerados sérios o suficiente para merecer estudos mais profundos;
a FMEA estuda todos os modos potenciais de falha.

2. A análise de árvore de falha pode analisar situações em que o evento negativo não ocorre,
a menos que vários sub-eventos ocorram primeiro.

3. A análise de árvore de falha mostra de modo mais explícito as relações entre eventos que
interagem entre si.

Além dessas diferenças, a análise de árvore de falha é o reverso do método associado à FMEA,
pois esta é conduzida por meio de um procedimento de baixo para cima, que começa com as
causas e procura por possíveis modos de falha (sintomas). A análise de árvore de falha começa
pelos sintomas e trabalha para encontrar as causas raízes.
3 – Construindo uma Árvore de Falhas...

3.1– Análises preliminares necessárias

A construção da árvore de falhas inicia-se pela análise da necessidade de estudado e

compreensão do evento indesejado para que se certifique do perfeito entendimento da situação,
para isso devemos responder alguns questionamentos como:

• Evento principal - Que evento específico está sendo analisado?

• Limite - O que está dentro e fora da análise?

• Resolução – Quais são as principais causas a serem resolvidas?

• Estado Inicial – O que é assumido para as condições e estados iniciais?

O limite nos norteará acerca do que está dentro da análise e o que está fora (interfaces incluídas/
excluídas), enquanto que a resolução define as causas básicas a serem resolvidas (tipos de
eventos que serão modelados).

O estado inicial da FTA define os estados iniciais dos componentes, condições iniciais e entradas
iniciais assumidas, tais como: a descrição do histórico passado do componente, ambientes
assumidos, condições operacionais, comandos iniciais, falhas existentes e eventos que
ocorreram.

Importante que se questione se a falha é um estado de falha de componente ou um estado de

falha do sistema, pois se for um estado de falha de componente deve-se usar uma porta “OU” e
abaixo do evento procuraremos os modos de falha de comando primário, secundário e de
comando. Já se for um estado de falha do sistema, procuraremos a causa imediata mínima
necessária e as portas lógicas “E”, “OU” poderão ser usadas.
 Uma falha pode ser mais bem resolvida em uma falha primária (falha em ambiente de projeto) ou
numa falha secundária (falha fora dos ambientes de projeto). Esta última deve ser evitada nas
análises por ser de uma complexa maior, ocorrendo em situações de anormalidade do sistema.

3.2 – Aplicando as Análises...

Def. Escopo
FTA

Identificar Definir Def. Resolução Construir o Avaliar o Interpretar

objetivo FTA Evento Topo FTA FTA FTA Resultados

Def. Regras
básicas FTA

Fig.05 - Ilustração dos Passos de um FTA

De forma geral, a sequência para o desenvolvimento de uma árvore de falhas, contempla as

seguintes etapas:

1. Seleção do “Evento-Topo”: na aplicação em estudos de análise de riscos, normalmente o

evento-topo é definido a partir de uma hipótese acidental, identificada anteriormente, pela
aplicação de técnicas específicas, como Análise Preliminar de Perigos, HazOp, Análise
de Modos de Falhas e Efeitos e What If, entre outras;

2. Determinar os eventos imediatos necessários e suficientes que resultem no evento de

topo;

3. Construção da árvore de falhas, determinando os eventos que contribuem para a

ocorrência do evento-topo, estabelecendo as relações lógicas entre os mesmos;

4. Seguir esse procedimento para os eventos intermediários até a identificação dos eventos
básicos em cada um dos “ramos” da árvore;
 5. Realizar uma avaliação qualitativa da árvore elaborada, dando especial atenção para a
ocorrência de eventos repetidos;

6. Aplicação das probabilidades ou frequências nos eventos básicos;

7. Cálculo das frequências dos eventos intermediários, de acordo com as relações lógicas
estabelecidas, até a determinação da probabilidade ou frequência do evento-topo.

De acordo com as etapas anteriormente mencionadas, pode-se observar que a árvore de falhas
contempla um “estudo” retrospectivo do relacionamento lógico das possíveis falhas (eventos) que
contribuem para a ocorrência do “evento-topo” (hipótese acidental); assim, este, ou seja, o
“evento-topo” representa o resultado da árvore (anteriormente conhecido), razão pela qual a
“leitura do diagrama” é realizada de baixo para cima, ou seja, dos eventos básicos para o “evento-
topo”.

Assim, para a construção da árvore de falhas, a partir de um determinado “evento-topo”, três

perguntas são consideradas fundamentais para a identificação dos eventos intermediários e
básicos e de suas relações lógicas; são elas: Que falhas podem ocorrer? Como essas falhas
podem ocorrer? Quais são as causas dessas falhas?

3.3 – Exemplos de Aplicação...

 Fig.06 – Árvore de Falha para o superaquecimento de um motor elétrico

Na figura acima vemos um esquema analítico por árvore de falhas, onde o evento-topo é o
superaquecimento de um motor elétrico. Supondo que a frequência de falha na tensão elétrica
seja 1 vez/ano e a do circuito 0,5/ano, a frequência de ocorrência de corrente excessiva no circuito
será de 1,5/ano. Se o fusível falhar em 5% do tempo, a corrente excessiva no motor ocorrerá com
frequência de (1,5/ano x 0,05) = 0,075/ano. Se a falha primária do motor ocorrer com frequência
de 0,01/ano, o motor superaquece 0,075 + 0,01 = 0,085/ano ou uma vez a cada 11,8 anos.

5 – Conclusão

A análise de Árvore de Falhas tornou-se uma ferramenta fundamental, eficiente e confiável para
o tratamento da confiabilidade e segurança de sistemas complexos em diversas áreas. Sua forma
organizada e a possibilidade de entendimento completo do processo para a possível ocorrência
de um evento indesejado são pontos que destacam essa metodologia para a utilização em
estudos de riscos.

Esse poderoso método permite-nos ainda identificar as causas básicas para a ocorrência do
fenômeno em questão, bem como nos possibilita o cálculo da probabilidade dele ocorrer
utilizando-se das equações booleanas e de fundamentos da matemática.
Ele está intimamente ligado a outros métodos de análise de risco, como o FMEA, e se distingue
em três diferentes diagramas dependendo de sua finalidade de uso como a Árvore de solução de
problemas, a Árvore de planejamento e Árvore para análise.

4 - Referência bibliográfica

“Manual de Árvore de Falhas com Aplicações Aeroespaciais”, Versão 1.1, Publicação da NASA,
agosto de 2002.

https://www.fm2s.com.br/diagrama-de-arvore/

https://www.portaleducacao.com.br/conteudo/artigos/biologia/analise-de-arvore-de-falhas-
aaf/42909