故障模式影响及危害性 (修复的).doc

第五章 故障模式影响及危害性分析和故障树分析 为了提高产品的可靠性，在可靠性设计阶段必须对系统及组成系统的单元的故障进行详细分析。本章首光介绍故障和故障率然后讨论故障模式影响及危害性分析，最后研究故障树分析。5. 1 故障和故障率5.1.1故障分类 我们用“故障”来描述元件丧失功能的状态。故障分类是将故障按其严重程度进行分类，并指出发生了哪一种类型的故障。这里需要区分故障产生的原因、故障发生的程度以及发生故障的时间。故障分类有多种方法，从原因方面来说，可分为随机故障和必然故障。随机故障是指人们事先无法预料的、随时都可能发生的故障。必然故障是指人们事先可以预料的、必定要发生的故障。从程序来说，有完全故障和部分故障；按时间关系来分类，可分为突发性故障和早期故障，突发性故障是指在非常短的时间内可能发生的故障；早期故障也叫延迟故障是指在一定的时间内经过逐渐演变才能发生的故障。 产品种类不同，故障的类型也不同。例如组合导航系统发生的故障，按元件的损坏程度可分为： (1)硬故障：指因某一部件的局部或全部损坏而使系统无法正常工作的故障(即元件损坏严重的故障)。它具有相当大的数值，主要影响飞机的飞行控制功能。这类故障比较明显，易于通过自检测手段及时发现。 (2)软故障：指由于系统工作条件变化等因素的影响，引起系统某些部件的工作性能变差，造成系统的导航性能逐渐下降，以至不能满足正常工作的要求(即元件损坏轻微的故障)。它具有相当小的数值，主要影响导航性能。例如，捷联式惯性导航系统中，飞机的大机动飞行所造成惯性测量部件的测量偏置项发生较大的突变等。软故障一般不易于发觉，但如果不能及时地发现和排除，经过一段时间之后，就会引起导航系统的性能下降。 (3)中等故障：它具有中等数值，介于硬故障与软故障之间。 同一产品故障分类的方法可以有多种，如计算机软件的故障可根据下面几种情况进行分类： (1)输入 软件故障是软件缺陷在一定输人情况下被激活的结果，因此，可根据软件输入类型对软件故障进行分类。 (2)动态形式 软件故障是软件内部的一种动态行为，因此可根据动态形式对软件故障加以分类。可能的形式包括控制流故障、计算故障、死循环、响应时间偏差、资源分配不当等等。 (3)原因 软件故障的直接原因是软件缺陷，因此可根据软件缺陷对故障加以分类。 (4)后果 软件故障的直接后果是在无适当容错措施情况下造成软件失效，因此可根据软件失效对软件故障加以分类。 在模拟电路中，故障可分为两大类：一类称为硬故障，指元件的开路和短路失效故障；另一类称为软故障，指冗件的参数超出预定的容差范围，一般它们均未使设备完全失效。例如，出于元件的老化、变质或使用环境的变化等造成的元件参数变化。5. 1. 2 故障率的确定故障率是通过元件寿命试验来确定的，我们用表示故障率的估计值。可通过下式进行计算： （511） 式中，为试验元件总数, 为故障元件数, 为第个元件发生故障的时刻。 1由实验分析确定故障率 寿命实验可以在实验室或实验车间进行。在这种条件下，测试条件(如温度、电负荷及环境影响等)是已知的。缺点是现代元件的故障率很低，为确定故障率所需要的元件小时数必然很大。这样的实验不是时间太长就是经济上不允许，这显然是不科学的。 基本上述理由(后面还要论述)，寿命实验应该在较高的温度下进行。这样由于高温而使元件故障提早出现，使寿命缩短，从而为确定寿命所需要的实验时间也就缩短。然后再由此推算出正常温度下的元件寿命。当然，这样推算出的结果一般是有一定的出入的。 这种在实验室里确定元件故障率的方法包括了元件的早期故障，但在某些情况下达不到故障率的恒定时期，从而无法推算出故障曲线水平段的故障率。 2由现场使用数据分析确定故障率 电测及自动化装置的制造商与用户对设备的运行情况(包括损坏与维修)密切关注，并进行着详细的统计工作。这些统计资料提供的信息包括用户使用的仪器数目，仪器中所含的元件数目，以及仪器的工作时间和工作环境。还记录了发生故障及经过维修的元件数。从统计学的观点来看，这是对大量元件进行抽样检验，通过对元件进行现场使用数据的分析来确定元件的故障率。 根据元件的现场使用情况来确定元件的故障率，一般来说，元件发生故障时的电负荷和温度是未知数。这样，就不能确定这些量对元件故障率影响的大小，而只能求出各种不同工作环境下元件的平均故障率。 此外，在寿命试验中，只能求出元件发生了故障并能被人们识别的那些故障，根据这些故障数来求故障率。而对那些虽然个别元件发生了故障，但整个设备功能没有丧失，或者说某些元件发生了故障，但人们还没有识别的元件的故障数，就很难统计准确，这就使人们不能准确地得到已发生故障的元件数。另外，还存在着其他因素(如统计者的工作态度、敬业精神等)的影响，致使所统计的故障数出现偏差，有可能偏低，也有可能偏高。 故障数偏低是由于不是每个单个元件发生故障，都会导致整个仪器设备出现故障，而统计报告中只记录了导致仪器设备出现故障的故障元件数，忽略了其他故障元件数。因此，实际的元件故障率就会估计得偏低。 故障数偏高是由于统计人员在做统计检验时没有排除下面的故障因素： (1)因布线错误引起元件发生的故障； (2)出厂时就是次品； (3)因使用不当而使元件发生的故障； (4)错误的应用场合； (5)由于外行操作引起元件发生的故障； (6)推论故障； (7)不必要的元件更换。 这些原因所引起的故障属于非随机性故障，在计算故障率时本不应该包括在内，但统计人员在作统计时没有排除(有时是无法排除)这些故障，从而使统计的故障数偏高，所算出的故障率偏高。在实际计算故障率时，要根据具体情况，确定出合适的故障率。5.2 故障模式影响及危害性分析 故障模式影响及危害性分析(Failure Mode Effect and Criticality AnalysisFMECA)是一种系统化的可靠性分析程序。这里所说的故障模式是单因素的故障模式，如电阻开路故障模式和短路故障模式。后面故障树分析中谈到的故障模式是多因素的故障模式。失效模式就是失效或故障的形式。同一种产品的故障有多种不同的形式。一个部件(元器件)失效时，对系统所产生的影响称为失效影响。危害度指的是每一种故障模式对可靠性影响的危害程度，通常用故障影响的严重程度以及故障发生的频率来估计。FMECA分为两步，即故障模式影响分析(FMEA)和危害性分析(CA)，FMECA也可以看成是FMEA的一种扩展与深化。1. 故障模式影响分析(FMEA) FMEA是在产品设计过程中，通过对产品各个组成单元潜在的各种故障模式及其对产品功能的影响进行分析，提出可能采取的预防改进措施，以提高产品可靠性的一种设计分析方法。可靠性预计和分配与FMEA相比，前者是为了保证设计的可靠度满足要求，但对于满足可靠度要求的设计，是否还潜藏严重的故障并为此作出评价。因此，进行FMEA可使设计更合理，考虑更全面。它是可靠性设计的重要内容，无论在方案论证阶段还是在技术设计阶段都应进行FMEA。但在方案论证阶段，FMEA不一定要求很全面。要抓住重点，对产品的重要单元、影响严重的故障应进行这种分析。而在技术设计阶段进行FMEA时，一定要求从元器件、单元开始，直至整机和系统逐级进行。 20世纪50年代初，FMEA技术首先被用于美国战斗机操纵系统的设计分析上，取得了较好的效果。由于FMEA主要是一种定性分析方法，不需要什么高深的数学理论，易于掌握，很有使用价值，受到工程部门的普遍重视，现已形成可靠性工作中的一种标准程序。在许多重要领域，FMEA被明确规定为设计人员必须掌握的技术，FMEA有关资料被规定为不可缺少的设计文件。例如，我国军用标准GJB450(装备研制与生产的可靠性通用大纲)中指出，FMEA是找出设计上潜在缺陷的手段，是设计审查中必须重视的资料之一。规定实施FMEA是设计者和承制方必须完成的任务。美国宇航局对FMEA极为重视，在长寿命通信卫星的研制中，几乎无一例外地都采用这一手段。据说，他们卫星成功的关键之一就是采用了FMEA技术，他们在总结故障原因、研究故障对策时，也把重点放在FMEA上。在国际通信卫星的可靠性计划中也明确规定，FMEA是必不可少的一项工作。2. FMEA的方法和程序 FMEA有两种基本方法，即硬件法和功能法。工作中具体采用那样方法，取决于设计的复杂程序和可利用信息的多少。对复杂系统进行分析时，可以考虑综合采用功能法和硬件法。当产品可按设计图样及其他工程设计资料明确确定时，一般采用硬件法。这种分析方法适用于从零件级开始分析再扩展到系统级，即自下而上进行分析，也可以从任一层次开始向任一方向进行分析。采用这种方法进行FMEA是较为严格的。本书主要介绍硬件法。FMEA程序：(1)明确系统组成、任务、功能、工作过程和各种工作方法及其使用环境；明确系统可能失效的全部故障(失效)模式并对系统故障(失效)进行分类、分级。(2)画出可靠性结构框图。在此框图中要明确表示组成系统的零件、部件发生故障对系统的影响。这种框图自系统、子系统一直往下面，逐级细分，直到每个元件、接点、和导线。见图5.10。 1)变频调速装置取决于单元10、20、30、40、50、60。变频调速装置控制电源60保护单元50主电路单元40驱动单元30控制单元20操作单元10欠电压保护50A6短路保护50A5缺相保护50A4过热保护50A3过电流保护50A2过电压保护50A1PWM发生器20A5过电压调节20A4加减速控制20A3低速补偿20A2恒磁通补偿20A1 . . 元器件 图51 某变频调速装置可靠性结构模型框图 2)控制单元20取决于各功能电路20A1、20A2、20A3、20A4、和20A5。 3)保护单元50取决于各保护电路50A1、50A2、50A 3、50A4、50A5和50A6。 4)各电路均取决于它所包含的全部元器件。 (3)列出所有元器件以至接点、导线的各种失效形式(模式)。 (4)填写失效模式影响分析表。表51为一种典型的FMEA基本内容，根据分析的需要可对其进行增补。表51 故障模式及影响分析表初始约定层次 任 务 审核 第 页 共 页约定层次 分析人员 批准 填表日期代码产品或功能标志 功能故障模式故障原因任务阶段与工作方式故障影响故障检测方 法补偿措施严酷度类别备注局部影 响高一层次影 响最 终影 响 1)第一栏(代码)：为了使每一故障模式及其相应的框图内标志的系统功能关系一目了然在该栏中填写被分析产品的代码。 2)第二栏(产品或功能标志)：记入被分析产品或系统功能的名称，原理图中的符号或设计图样的编号可作为产品或功能的标志。 3)第三栏(功能)：简要填写产品所需完成的功能，包括零部件的功能及其与接口设备的相互关系。 4)第四样(故障模式)：分析人员应确定并说明各产品约定层次中所有可预测的故障模式，并通过相应框图中给定的功能输出来确定潜在的故障模式。应根据系统定义中的功能描述及故障判据中规定的要求，假设出各产品功能的故障模式。 5)第五栏(故障原因)：确定并说明与假设的故障模式有关的各种原因，包括直接导致故障或引起使品质降低进一步发展为故障的物理或化学过程、设计缺陷、零件使用不当等。还应考虑相临约定层次的故障原因。 6)第六栏(任务阶段与工作方式)；简要说明发生故障的任务阶段与工作方式。 7)第七栏(故障影响)：故障影响是指每个假设的故障模式对产品使用、功能或状态所导致的后果。除被分析的产品层次外，所分析的故障还可能影响到几个约定的层次。因此，应该评价每一个故障模式对局部的、高层次的和最终的影响。同时还应考虑任务目标、维修要求、人员及系统的安全。 8)第八栏(故障检测方法)：操作人员或维修人员用以检测故障模式的方法应记入分析表中。 9)第九栏(补偿措施)：分析人员应指出并评价那些能够用来消除或减轻故障影响的补偿措施。该补偿措施可以是设计上的补偿措施，也可以是操作人员的应急补救措施。 10)第十栏(严酷度类别)：根据故障影响确定每一故障模式及产品的严酷度类别。 严酷度类别是产品故障造成的最坏潜在后果的度量表示。可以将每一故障模式和每一被分析的产品按损失程度进行分类。严酷度一般分为下述四类： 类(灾难的)这是一种会引起人员死亡或系统(设备)毁坏的故障； 类(致命的)这种故障会引起人员的严重伤害、重大经济损失或导致任务失效的系统(设备)严重损坏； 类(临界的)这种故障会引起人员的轻度损害、一定的经济损失或导致任务延迟或降级的系统(设备)轻度损坏； 类(轻度的)这是种不足以导致人员伤害、一定的经济损失或系统(设备)损坏的故障，但它会导致非计划性维修； 11)第十一栏(备注)：该栏主要记述与其它栏有关的注释及说明，如对改进设计的建议、异常状态的说明及冗余设备的故障影响等。3. 危害性分析 危害性分析是按每一故障模式的严酷度类别及故障模式的发生概率所产生的影响对其划等分类，以便全面地评价各种可能的故障模式的影响。危害性分析是FMEA的补充和扩展，没有进行FMEA，就不能进行危害性分析。危害性分析有定性分析和定量分析两种方法。定性分析是绘制危害性矩阵；定量分析是计算故障模式危害度和产品危害度并填写危害性分析表。(1)定性分析方法。在得不到产品技术状态数据或故障率数据的情况下，可以按故障模式发生的概率来评价FMEA中确定的故障模式，将各故障模式的发生概率按规定分成不同的等级。通常按产品工作期间内某一故障模式的发生概率与产品在该期间内总的故障概率的比值K的大小来划分：A级是经常发生的，K20；B级是有时发生的，10K20；C级是偶然发生的，1X10；D级是很少发生的，0.1K1；E级是极少发生的，K0.1。 图5.2 危害性矩阵所谓危害性矩阵，就是横坐标为严酷度类别，纵坐标为故障模式发生概率等级或危害度的矩阵图，见图5.2。通过绘制危害性矩阵，以确定和比较每一种故障模式的危害程度，进而为确定改进措施的先后顺序提供依据。(2)定量分析方法。在具备产品的技术状态数据和故障数据的情况下，采用定量的方法，可以得到更为有效的分析结果。 定量分析就是计算故障模式危害度和产品危害度及填写危害性分析表(见表5.2)。表5.2 危害性分析表初始约定层次 任 务 审核 第 页 共 页约定层次 分析人员 批准 填表日期代码产品或功能标志功能故障模式故障原因任 务阶 段与 工作 方式 严酷度类别故障概率或故障率数据源故障率故障模式频数比故障影响概率工作时间故障模式危害度产品危害度=备注其第种故障模式危害度的计算公式= （512）式中 通过可靠性预计得到的产品故障率(1/h)；产品将以故障模式发生故障的百分比，可由试验或使用数据得到；故障影响概率，是产品以故障模式发生故障而导致系统任务丧失的条件概率，由分析人员根据经验判断得到，01；产品每次任务的工作时间。产品危害度是该产品在某一特定的严酷度类别和任务阶段，各种故障模式危害度的总和，其公式为= （513）式中n为该产品在相应严酷度类别下的故障模式数。在表5.2中，第一至第七栏的内容与FMEA表格中对应栏的内容相同，自第八栏后的各栏内容，可将危害度分析的有关数据和计算结果填入即可。5.3 故障树分析5.3.1 故障树概述 故障树分析又称失效树分析，简称FTA(FauIt Tree Analysis)。它是由美国贝尔实验室的HAwatson首先提出的，1962年用于导弹发射控制系统的可靠性分析取得成功。70年代利用FTA法作定量分析得到迅速发展，成为航天、核能、化工等部门对可靠性、安全性有特别要求的系统不可缺少的分析方法。1974年美国原子能委员会发表的WASH1400“关于压水堆事故风险评价报告”，其核心方法便是故障树和事件树的分析方法，引起了广泛重视。1975年在美国召开的可靠性学术会议上把FTA和可靠性理论并列为两大进展。当前，高新技术的发展，大型、超大型工程的建设，对可靠性、安全性提出了更高的要求，因此，故障树分析法已广泛地应用于宇航、核能、化工、电子、机械和采矿等各个领域。 故障树分析法是研究引起系统失效这一事件的各种直接和间接原因也是事件，在这些事件间建立逻辑关系，从而确定系统故障原因的各种可能组合方式或其发生概率的一种可靠性、安全性分析和风险评价方法。它在工程设计阶段可以帮助寻找潜在的事故，在系统运行阶段可以用作失效预测。故障树分析技术与计算机这种计算手段相结合，便成为分析大型复杂系统可靠性的有力工具，因此，它特别适合于对大型复杂系统的可靠性与安全性分析和风险评价。 在故障树分析中，对于所研究系统的各种故障和失效、不正常情况等均称为“故障事件”；各种正常状态和完好情况均称为“成功事件”，它们又都简称为“事件”。故障树分析的目标和关心的结果这一事件称为顶事件，因为它位于故障树的顶端；仅作为导致其它事件发生的原因、也是顶事件发生的根本原因这一事件称为底事件，因为它位于故障树的底端。而位于顶事件与底事件之间的中间结果事件称为中间事件。 故障树分析采用演绎分析方法，以系统所不希望发生的事件(故障事件)作为分析的目标，先找出导致这一事件(顶事件)发生的所有直接因素和可能的原因，接着将这些直接因素和可能原因作为第二级事件，再往下找出造成第二级事件发生的全部直接因素和可能原因，并依此逐级地找下去，直至追查到那些最原始的直接因素，例如系统最基本的元件可能存在的故障原因和机理、环境影响、人为失误、程序处理方面的问题等均为已知的因而毋需再深究的硬件和软件因素(底事件)。采用相应的符号表示这些事件，再用描述事件间逻辑因果关系的逻辑门符号把顶事件、中间事件与底事件联结成倒立的树状图形。这种倒立树状图称为故障树，用以表示系统特定顶事件与其各子系统或各元件的故障事件及其它有关因素之间的逻辑关系。以故障树作为分析手段对系统的失效进行分析的方法称为故障树分析法。故障树分析法的特点是： (1)由于它是一种图形演绎方法，故形象、直观。又由于它是故障事件在一定条件下的逻辑推理方法，因此它不限于对系统进行一般的可靠性分析，而且可以围绕一个或一些特定的失效状态，进行层层追踪分析；在清晰的故障树图示下，能了解故障事件的内在联系及单元故障与系统故障间的逻辑关系。 (2)由于它将系统故障的各种可能因素联系起来而有利于弄清系统的故障模式、找出系统可靠性的薄弱环节，提高系统可靠性的分析精度。 (3)由于它是由特定的逻辑门和一定的事件构成的逻辑图，因此，可以用电子计算机来辅助建树。 (4)能进行定性分析和定量计算。通过建立故障树可定量地求出复杂系统的失效概率和其它的可靠性特征值。为改进和评估系统的可靠性提供定量数据。 (5)故障树分析法不仅可用于解决工程技术中的可靠性问题，而且也可用于经济管理的系统工程问题，也可以作为管理人员及维修人员的一个形象的管理、维修指南。用来培训长期使用大型复杂系统的人员也很合适。5.3.2 故障树图形的标志符号故障树是一种图示模型，它的构造是使用各种逻辑门按照系统与元件的因果关系组合而成的，即从顶事件出发，通过中间事件到各个有关的基本事件有机地连成一棵倒置事件树，可见故障树本身只是表明一种事件的联系，也就是一个定性的模型。如果要把这些事件发生的概率联系起来，则须进行定量分析。在讨论建树之前，先列出在故障树中经常使用的各种符号。1门的符号逻辑门按照因果关系将各个有关事件连接起来，各种逻辑门的符号如表53所示。一个门可以有一个或几个输入事件，但只能有一个输出事件。表5.3 逻辑门符号序号门的符号门的名称因果关系1 输出 输入与门仅当所有事件同时发生时，输出事件才发生2+或门至少有一个输入事件发生时，输出事件就发生3 条件禁止门当条件事件（右边线表示）发生时，输入事件引起输出事件4顺序与门当输入事件从左至右发生时，输出事件才发生5+异或门当只有一个输入事件发生时，输出事件才发生6m n 个输入m/n表决门N个输入事件中只要有m（mn）个发生，输出事件就发生7非门输出事件是输入事件的对立事件 与门和或门都可以有任意多个输入事件。与门表示所有输人事件同时发生才有输出事件发生；或门表示至少有一个输入事件发生(多者不限)，输出事件就发生。与门和或门的因果关系是可以完全确定的，因为它们的输出事件完全取决于输入事件。 禁止门用一个六边形符号表示，下端是输人事件，侧端是条件事件，仅当输入事件和条件事件都发生时，输出事件才发生，也就是说，输入事件引起输出事件要以条件事件发生为前提，有时为了方便起见，禁止门可用与门代替。 顺序与门(优先与门)在逻辑上等效一个与门，但各个输入事件的出现要依一个特定的先后顺序，即当各输入事件从左至右依次发生时才有输出，否则没有输出。 异或门表示当只有一个输入事件发生时，输出事件才发生，它是或门的特殊情况，否则没有输出。 mn表决门(即n中取m的表决门)共有n个输入事件，其中至少有m个输人事件发生时，才有输出。比如23表决门，其中任何两个或三个输入事件发生，都将有输出产生。23表决门有时也可以用一个或门串联三个与门代替。 非门表示输出事件是输入事件的对立事件。 以上只有与门和或门是两种基本类型的门，其他各种门都是这两种基本门的特殊情况。 2事件符号 事件是故障树图形中的主体，各种事件的代表符号如表5.4所示。按照事件的性质不同，其符号可大致分为三类：第一类为初级事件符号，表5.4中序号14的事件符号均属于这一类。初级事件是指那些不需要再分解或由于种种原因不能再做进一步分解的事件。如果要计算顶事件发生的概率就必须给出这些初级事件发生的概率。其中，序号1中的圆形表示基本事件，它不需再做进一步分析，但在定量分析时需要给出可靠性数据；序号2中的菱形表示未做进一步分解的事件，这是由于事件本身不明或缺少有关信息；序号3中的椭圆形表示条件事件，常用作逻辑门(如禁止门或顺序与门)的特定条件或限制；序号4中的房形为外部事件(触发事件)，它是用来表示期望发生的事件，其本身无事故，如动态系统中的状态变化。第二类为中间事件符号，表5.4中只有一个序号5的长方形用来表示各种逻辑门输出的结果事件。第三类为转移符号，表5.4中序号6和7中的三角形均为此类符号。6中三角形顶角上的一条直线表示输入，7中三角形侧面的一条横线表示输出。对于一些大型复杂系统，其故障树若画在一张图上可能会显得很繁杂，为简化起见，可以分出若干子故障树，利用转移符号，就可把子故障树与主故障树联结起来。表5.4 事件符号序号事件符号符号的含义事件类别1基本事件（附有数据）初级2未作进一步分解事件初级3条件事件（用于禁止门）初级4外部事件（触发事件）初级5逻辑门的输出事件（结果事件）中间6转入符号转移7转出符号转移5.3.2 故障树分析的步骤 故障树分析的方法及步骤大体上同一般的系统分析法相似，首先是定义系统对象，并提出待解决的问题。其次是建立模型，然后再进行分析。在这里先定义要研究的系统，并从中提出最关键的顶事件，接着建立故障树图示模型，然后进行可靠性定性及定量分析。必须注意：在这里是使用布尔代数进行分析运算的，以“+示逻辑加法，“”表示逻辑乘法，“”有时也可省略。具体工作可分为下列三大步骤。1系统的定义一般系统的定义是根据系统分析目的不同而异。在系统可靠性中，系统分析的目的是要获取对给定决策有关的特定系统信息。因此可以定义，系统就是一个由具有相互作用的分离元部件构成的统一体。根据这个定义，一个系统可以用功能图表示，图中标明所有元部件及其功能的相互关系。为了画出合适的故障树，首先要规定系统的边界条件，其中最重要的边界条件就是顶事件，即主要的系统故障，相对的边界条件是可能导致顶事件发生的基本事件，其他边界则视具体情况而定。2故障树的建造故障树实际上就是系统故障的图示模型，是实际系统故障组合和传递的逻辑关系的正确而抽象的表达，建树是否完善会直接影响定性、定量分析的结果，是关键的一步。因此，建树时首先应对系统及其组成部分产生故障的原因、后果以及各种影响因素和它们之间的因果关系有透彻的了解。一个复杂系统的建树过程往往需多次反复、逐步深入和逐步完善。在这一过程中应对发现的薄弱环节采取改进措施，以提高系统的可靠性，这比简单算出可靠性的意义更大。建树方法分为人工建树和用计算机辅助建树。绘制故障树时，首先要按照系统的定义确定一个顶事件，然后使用有关符号从顶事件出发，按照严格的演绎逻辑，分级分路通过有关逻辑门及中间事件，向下逐级追溯事件的直接原因，直至找出全部底事件为止，从而给出一棵倒立的树。这里必须注意，只能一次走一步，切勿跨越任何中间事件，否则会带来错误的模型，导致错误结论。为了建树，应该首先对系统进行全面且深入的了解。需要广泛地收集有关系统的设计、制造工艺、安装调整、使用运行、维修保养以及其它有关方面的数据、资料、技术文件及技术规范等，并进行深入、细致的分析研究。在分析故障事件的原因时，不仅要考虑系统本身的因素，而且应考虑人的因素及环境的影响。为了区别故障事件是由单元(零、部件)本身引起的还是由人或外界条件引起的，故障树分析中规定：凡是由单元本身引起的事件称为“一次事件”，而由人的因素或环境条件引起的事件称为“二次事件”。 在故障树分析中，对系统及单元的功能和失效，应给予明确的定义。 在完成建树准备工作后，即可开始建立故障树： 1顶事件的确定 任何需要分析的系统故障，只要它是可以分解且有明确定义的，则在该系统的故障树分析中都可作为顶事件。因此，对一个系统来说，顶事件不是唯一的。但通常往往把该系统最不希望发生的故障作为该系统故障树分析的顶事件。 2建立故障树 在顶事件确定之后，则将它作为故障树分析的起始端，找出导致顶事件所有可能的直接原因，作为第一级中间事件。将这些事件用相应的事件符号表示并用适合于它们之间逻辑关系的逻辑门符号与上一级事件(最上一级为顶事件)相联接，依此类推，逐级向下发展，直至找出引起系统故障的全部毋需再追究下去的原因，作为底事件。这样，就完成了故障树的建立。 建立故障树时，应注意以下几点： (1)选择建树流程时，通常是以系统功能为主线来分析所有故障事件并按演绎逻辑贯穿始终。但一个复杂系统的主流程可能不是唯一的，因为各分支常有其自己的主流程，建树时要灵活掌握。 (2)合理地选择和确定系统及单元的边界条件：在建树前对系统和单元(部件)的某些变动参数作出的合理假设，即为边界条件。这些假设可使故障树分析抓住重点；同时也明确了建树范围，即故障树建到何处为止。 (3)故障事件定义要明确，描述要具体，尽量做到唯一解释。 (4)系统中各事件间的逻辑关系和条件必须十分清晰，不允许逻辑混乱和条件矛盾。 (5)故障树应尽量地简化，去掉逻辑多余事件，以方便定性、定量分析。通常，按照元部件的类别，可将故障树分为三种。(1)初级故障树凡元部件在设计参数范围内工作而失效时，称为初级故障。仅用元部件初级可靠性参数建成的故障树，称为初级故障树。例5.3.1 设有一个简单的照明电路，由电源开关、保险丝、导线和灯泡组成，试以室内失明为系统故障，建立一个初级故障树。室内失明 顶事件电源断路 中间事件 开关关不上 灯丝烧断 电源故障 保险丝烧断 导线断路图5.3 初级故障树示例该系统的故障树如图5.3所示。该故障树的基本事件(或初级事件)有：开关合不上E1，灯丝烧断E2，电源故障E3，保险丝烧断量E4，导线断路量E5，中间事件是电源断路。顶事件(即系统主要故障事件)是室内失明。该故障树表明，所有基本事件都是通过或门达到顶事件的，从而任何一个基本事件发生，都会导致顶事件发生。(2)次级故障树有时故障树也包括次级故障在内。凡是超出基本元部件失效以外所发生的故障，部属于次级故障范畴。例5.3.2 以电动机不转为顶事件的简单故障树如图5.4所示。该树表明初级故障事件有：开关合不上，电动机内部断路，电源失效和保险丝烧断。次级故障是作为中间事件以长方形标明的。这里次级故障包括一些未作进一步分解的事件，如维护失调、环境不正常以及外部灾祸等。电动机不转 电源断路次级故障 电动 机内 开关合不上 部断 路 不正常环境外部灾祸维护失调 电源失效 保险丝烧断图5.4 带有次级故障的故障树简例(3)指令故障树这类故障往往是由于操作失误造成的。一般是属于基本事件到顶事件不同级之间的中间事件。例5.3.3 指令故障的典型事例是：一个错误电信号加到有关电气装置(包括来自噪声干扰或操作失误等)，如图5.5所示。风扇不能启动次级故障初级故障指令故障 电动 电信机失 号失 维效 误 护 失 调 图5.5 带有指令故障的故障树简例3故障树的评价建立故障树之后，就可以根据故障树对整个系统进行评价，并从中得到定性和定量的结果。比较简单的树可以由人工直接分析，但遇到较复杂的故障树时，则须借助计算机才能解决问题。 评价故障树的最好办法是利用它的最小割集。一个割集定义为一组事件的集合，当这些事件全发生时，顶事件必然发生。一个不能再进一步简化的割集，称为最小割集。在一个最小割集中，若缺少任何一个事件发生，就不能促使顶事件的发生。最小割集有时也叫做系统的小故障模式。最小割集的确定将在5.3.3节专门研究。现在先从定性和定量两个方面来讨论一下故障树的评价问题。(1)定性评价从故障村的定性评价中，可以得到系统可靠性的三个主要的定性结果。1)故障树的最小割集。这些最小割集是所有可能导致系统故障(即顶事件发生)的部件故障的组合，它们不仅是定性评价的主要结果，而且也是定量评价的基础。例5.3.4 现举一个定性评价的典型例子，假定系统的故障树如图56所示。从图中可以看出，中间事件B只有在基本事件和置同时发生时才发生，而中间事件C则只需基本事件或至少有一个发生时才发生。顶事件T则在中间事件B或C中至少有一个发生时才发生。由此可知，该故障树的割集有、等，而其最小割集只有三个：、。 图5.6 假想的故障树2)定性的部件重要度。定性重要度给出每个元部件对系统发生故障贡献大小的“定性等级”。在求得最小割集之后，按其阶数(即组成最小割集的基本事件数)从小到大顺序排列，就可得到有关元部件的定性重要度。显然低阶割集的定性重要度比高阶割集的要大。如例4中的问题，一阶割集或的重要度比二阶割集中的或要大。 3)共因(或共模)故障的敏感性。一个阶数高的最小割集，如果其中各个元部件共因故障敏感性高，则其重要度就不一定比其阶数低的最小割集的重要度小，必须注意到这一点。这里再讨论下逻辑图与故障树之间的关系，因为它有助于故障树的定性和定量分析。系统的逻辑图表明系统与单元间的功能关系，其终端事件为系统的成功状态，各个基本事件是成功事件，因此系统逻辑图相当于系统的“成功树”。它也是一种用与门和或门来反映事件之间逻辑关系的方法。对于串联系统，均为或门的逻辑关系;对于并联系统，则均为与门的逻辑关系。并且如表5.5所示，逻辑图中系统的不可靠度与故障树的系统失效概率完全一致。表5.5 逻辑图与故障树对照表系统逻辑图故障树串联系统 A B系统可靠度：= “与门”系统不可靠度：= “或门”系统失效概率： + = “或门”并联系统 A系统可靠度： B “或门”系统不可靠度：“与门”系统失效概率： = “与门” (2)定量评价故障树的定量评价是要求出系统可靠性的定量结果，其中主要结果有三点： 1)数值概率。故障树是以顶事件的定量数据(如故障概率、失效率等)来做最后评价的。在最小割集确定之后，找出元部件的故障概率，求出最小割集事件发生的概率，最后计算系统故障概率(即项事件发生的概率)。这里具体方法有两个：蒙特卡洛模拟法。故障树是用数字计算机来模拟的，从中可得到定量的计算结果。其主要步骤为： a)给定全部基本事件的故障数据； b)将全体故障树储存在数字计算机中； c)表列引起顶事件发生的故障及其有联系的最小割集； d)计算出所需要的最终结果(系统故障概率)。 直接分析解答法。见535节和536节。 2)元部件和最小割集的定量重要度。定量重要度将给出由特定的最小割集或特定元部件而引起系统故障次数的百分比。实际上定量重要度即为概率重要度，具体求法将在5.3.5节讨论。 3)灵敏度的评价。这里是研究元部件数据变化或模型偏差对顶事件发生概率的影响。故障树定量分析的任务是利用故障树作为计算模型，在已知底事件发生概率的条件下，求顶事件(即系统失效)的发生概率，从而对系统的可靠性、安全性及风险作出评估。假定故障树的顶事件及相互独立的全部底事件均只有“不发生”和“发生”亦即“正常”和“故障”两种状态，则根据底事件发生的概率，由下往上按故障树的逻辑结构逐级运算，即可求得顶事件发生的概率。1. 与门结构的输出事件发生的概率 （531） 式中 X输出事件；输入事件，=1，2，n；输入事件发生的概率； 为“事件的积”的运算符号“交”。上式即为表5.4中并联系统失效概率计算公式的一般表达式。2. 或门结构的输出事件发生的概率 （532） 式中 为“事件的和”的运算符“并”。上式即为表5.4中串联系统失效概率计算公式的