風險分析方法-故障樹是甚麼?它能否用工控環境?
風險分析有定性方法、定量方法及情境方法。而故障樹可以適用的定性及定量的方法。故障樹主要識別 「系統」並分析「系統」造成特定不良事件(稱作頂事件)因素的技術。
我們引用以下這張圖來解釋,圖片及介紹來源:風險評估技術-20 故障樹分析(FTA)
圖中的A1、A10、A18、A21是頂事件,代表A1、A10、A18、A21是造成A故障的原因。如剎車系統故障為A,影響剎車系統故障的原因有A1剎車踏板、A10剎車燈、A18真空動力汞、Ax1剎車總汞、Ax2剎車鋼管、Ax3剎車軟管等。影響A18真空動力汞的原因有A19及A20,A19為內膜片破損,A20為控制閥洩漏。(剎車系統例子來源: 等補)
故障樹可以識別人的錯誤、系統的因素或其他造成不量的影響事項。
定性方式與定量方式在故障樹的表達
對於定性分析,需要了解系統及故障原因、系統失效的方式。詳細的圖表有利於幫助分析。
對於定量分析,需要了解故障樹中各基本事件的故障率或者失效的可能性。
(來自 :風險評估技術-20 故障樹分析(FTA) )
前提
故障樹的圖形規則:
其中,圓拱門為與門,代表輸入事件發生後輸出事件才發生。
我們用上述的剎車系統例子表示,A18真空動力汞故障的原因是由於A19內膜片破損及A20控制閥洩漏,因此A19及A20是造成A18故障的原因。
缺點:
- 計算出的頂事件的機率或頻率很不確定的話很難進行故障樹的分析
- 故障樹只能處理二進位狀態(有故障/無故障)。(來自 : 風險評估技術-20 故障樹分析(FTA) )
- 雖然定性故障樹可以包括人為錯誤,但是一般來說,各種程度或性質的人為錯誤引起的故障無法包括在內(來自 : 風險評估技術-20 故障樹分析(FTA) )
故障樹如何從定性到定量分析
案例:HAZOP與FTA之應用於乙炔製程之研究(來源)
若想探討水力發電系統壽命分佈及故障診斷分析,來源在此,系統無法發電的故障樹在P.19,請自己看。
工控環境適合使用故障樹嗎?
我認為若針對系統,使用定性方式識別系統有甚麼原因故障,故障樹是很適合的。例如針對製程(有一篇論文寫道 HAZOP 與 FTA 之研究,來源在這)
我們通常做定量前會先使用定性方法,但不論從事定性或定量研究,都要使用布林代數,再來找出最小分割集合。
故障樹在定量方法會遇到的問題
- 定量方法使用故障樹的機率難以估算
在定量分析需要發生此事件的機率,機率此計算通常仰賴軟體,因此定量方法若要使用故障樹來估算風險的話,基本上不太建議。
2.工控系統中有連網及未連網的情況
在傳統定量方法中,失誤樹並未討論到該系統是否有連網的功能
3.針對缺點3,各種程度或性質的人為錯誤引起的故障無法包括在內,而程度在工控系統內需要劃分到相對的安全目標等級
基於缺點3,若無法明確得到各種故障發生的風險程度,便無法劃分到目標安全等級
再者,人為錯誤在工控環境中需要考量,如員工操作不當、員工惡意操作、外部人為惡意攻擊。
綜上所述,若定性方法使用故障樹,它的機率是個問題。因此2018年有篇外國文獻將故障樹與 Fuzzy Theory 為主題,主要表示使用 Fuzzy Theory
來源: Cybersecurity risk analysis model using fault tree analysis and fuzzy decisiontheory
工控環境適合的風險分析方式
A review of cyber security risk assessment methods for SCADA systems 中可能會談到,但我本身唸到前面而已,這邊或許會有方法。
結論:使用傳統的定量方法來做工控環境的風險分析,只能輔助在定性分析,因為傳統的比較偏向製程、系統,但軟體、網路面向的故障分析比較少,因此進行定量的時候會有點難度。因此建議從國外文章找看。
