第三章安全风险隐患分析

2024/7/51第三章平安风险隐患分析第三章平安风险隐患分析总体方法总体方法 隐患分析过程隐患分析过程 隐患的定性和定量分析隐患的定性和定量分析 危险源的辨识危险源的辨识 2024/7/52一、总体方法一、总体方法 Hazard analysis is the process of examining a system throughout its life cycle toidentify inherent safety related risks.隐患分析：在系统的寿命周期过程中检查系统识别内在的与平安有关的风险的过程。实施系统隐患总体分析就是把系统风险看作潜在的系实施系统隐患总体分析就是把系统风险看作潜在的系统事故情节和相关的促因隐患，然后设计出控制措施，将统事故情节和相关的促因隐患，然后设计出控制措施，将风险消除或控制到可接受的水平。系统平安总体工作组可风险消除或控制到可接受的水平。系统平安总体工作组可以在平安检查和总体隐患跟踪和风险化解过程中进行这项以在平安检查和总体隐患跟踪和风险化解过程中进行这项工作。工作。From FAA:Chap7_Integrated System Hazard Analysis2024/7/531.分析概念分析概念 分析者应该关注时间分析者应该关注时间/空间变化或偏差产生的机器空间变化或偏差产生的机器/环境相互作用可能造成的人身伤害、功能损坏和系统退环境相互作用可能造成的人身伤害、功能损坏和系统退化。化。对相互作用的研究要评估人包括程序、机器和对相互作用的研究要评估人包括程序、机器和环境这些系统元素之间的相互关系。人的参数系指相关环境这些系统元素之间的相互关系。人的参数系指相关的人为因素工程及相关元素：生物力学、人类工程学和的人为因素工程及相关元素：生物力学、人类工程学和人类行为变量。机器指物理硬件，固件和软件。机器和人类行为变量。机器指物理硬件，固件和软件。机器和人处于一个特定的环境中。要研究的是环境带来的负面人处于一个特定的环境中。要研究的是环境带来的负面影响。分析模型影响。分析模型5M模型。模型。2024/7/545M模型模型2024/7/55n任务任务missionmission：是系统的目的或主要功能。这是为什么其：是系统的目的或主要功能。这是为什么其他要素要聚集到一块的原因。他要素要聚集到一块的原因。n人人manman：是系统中的人员要素。如果系统需要人进行操作、：是系统中的人员要素。如果系统需要人进行操作、维护或者安装，那么系统描述中必须考虑这个要素。维护或者安装，那么系统描述中必须考虑这个要素。n机器机器(machine)(machine)：指的是系统中的硬件和软件包括软件和硬：指的是系统中的硬件和软件包括软件和硬件相结合的固件件相结合的固件 。2024/7/56n管理管理(management)(management)：包括在运行、维护、安装以及退役时系：包括在运行、维护、安装以及退役时系统涉及到的程序、政策和规章。统涉及到的程序、政策和规章。n环境环境(media)(media)：是系统运行、维护和安装时所处的环境。这里：是系统运行、维护和安装时所处的环境。这里所指的环境包括运行环境和外界条件。运行环境指的是任务所指的环境包括运行环境和外界条件。运行环境指的是任务和功能被规划和执行时所处的条件。运行环境包括诸如空中和功能被规划和执行时所处的条件。运行环境包括诸如空中交通密度，通讯拥塞程度，工作负荷等。运行环境的一局部交通密度，通讯拥塞程度，工作负荷等。运行环境的一局部可以用工作类型空中交通管制，航空运输，通用航空等可以用工作类型空中交通管制，航空运输，通用航空等和阶段地面滑行，起飞，进近，航路中，跨洋，着路等和阶段地面滑行，起飞，进近，航路中，跨洋，着路等来描述。外界条件包括温度，光，电磁作用，辐射，降水，来描述。外界条件包括温度，光，电磁作用，辐射，降水，震动等。震动等。2024/7/57分析手段：分析手段：人：人接口分析人：人接口分析机器：异常能量交换，软件隐患分析，故障隐患分析机器：异常能量交换，软件隐患分析，故障隐患分析环境：异常能量交换，故障隐患分析环境：异常能量交换，故障隐患分析分析目的：分析目的：识别可能导致设想事故情节描述的偏差。偏差包括故障，识别可能导致设想事故情节描述的偏差。偏差包括故障，退化，过失，失效和系统异常。它们是具有危害潜势的退化，过失，失效和系统异常。它们是具有危害潜势的不平安状况和行为。统称为导致事故的隐患。不平安状况和行为。统称为导致事故的隐患。2024/7/582 2、隐患识别和风险评估、隐患识别和风险评估当确定一个特定的风险时，当确定一个特定的风险时，1 1要考虑每一个导致事故的事件及其可能性要考虑每一个导致事故的事件及其可能性 一个风险是由许多隐患够成的，且每个隐患一个风险是由许多隐患够成的，且每个隐患都有它自己发生的可能性。都有它自己发生的可能性。2 2要考虑潜在的最严重灾情的危害要考虑潜在的最严重灾情的危害 即后果或称事故情节的严重程度。即后果或称事故情节的严重程度。2024/7/59 可能性是根据对潜在事故会不会发生所做的估计确定可能性是根据对潜在事故会不会发生所做的估计确定的。该事故有一个具体的可信范围内最严重灾情的严重程的。该事故有一个具体的可信范围内最严重灾情的严重程度。如果假设的事故结局改变、情节也随之改变，因此就度。如果假设的事故结局改变、情节也随之改变，因此就必须考虑另一个不同的风险。风险评估的步骤：必须考虑另一个不同的风险。风险评估的步骤：假设情节假设情节确认相关隐患确认相关隐患估计可能发生的可信范围内严重灾情的危害估计可能发生的可信范围内严重灾情的危害估计假设情节的发生可造成危害严重程度的可能性估计假设情节的发生可造成危害严重程度的可能性评估的步骤评估的步骤2024/7/510燃燃油油箱箱破破裂裂事事件件2024/7/511燃油箱破裂事件燃油箱破裂事件 这里有几个与这个事故相关的隐患因素：出现燃料汽化，点火这里有几个与这个事故相关的隐患因素：出现燃料汽化，点火装置出现火花，点火和油箱压力过大，油箱破裂和碎片射出。与这装置出现火花，点火和油箱压力过大，油箱破裂和碎片射出。与这个潜在事故相关的成因及由于导线绝缘老化、使油箱内导线裸露并个潜在事故相关的成因及由于导线绝缘老化、使油箱内导线裸露并有着足够的点火能量。其结果是飞机损坏、人员伤害、财产损失三有着足够的点火能量。其结果是飞机损坏、人员伤害、财产损失三种情况的各种可能组合。种情况的各种可能组合。2024/7/512液液压压制制动动器器事事件件2024/7/513液压制动器事件液压制动器事件 这里有多种因素导致这一事件：主液压刹车系统失这里有多种因素导致这一事件：主液压刹车系统失效，不恰当地启动紧急刹车系统，飞机丧失刹车能力，效，不恰当地启动紧急刹车系统，飞机丧失刹车能力，飞机冲出跑道碰到障碍物。其结果是飞机损坏、人员伤飞机冲出跑道碰到障碍物。其结果是飞机损坏、人员伤害、财产损失三种情况的各种可能组合。始发事件与主害、财产损失三种情况的各种可能组合。始发事件与主液压系统失效有关。这个失灵本身又是许多其他导致液液压系统失效有关。这个失灵本身又是许多其他导致液压制动系统失效的因素造成的结果。压制动系统失效的因素造成的结果。2024/7/514未未关关紧紧的的机机舱舱门门事事件件2024/7/515未关紧的机舱门事件未关紧的机舱门事件 不是某一特定故障引起的，有许多因素：飞机升空没有适当的不是某一特定故障引起的，有许多因素：飞机升空没有适当的座舱压力指示，机长在进入未增压的座舱时没有适宜的个人保护装座舱压力指示，机长在进入未增压的座舱时没有适宜的个人保护装备。这一事件情节的起因包括座舱门没有关好，航前检查不够和驾备。这一事件情节的起因包括座舱门没有关好，航前检查不够和驾驶舱内的座舱压力损失显示不充分。其结果是机长缺氧。驶舱内的座舱压力损失显示不充分。其结果是机长缺氧。2024/7/516发发动动机机罩罩事事件件2024/7/517 当评价风险时，导致事故的隐患是重要的。导致事故的隐患是具有危害当评价风险时，导致事故的隐患是重要的。导致事故的隐患是具有危害潜势的不平安行为和不平安状况。不平安行为是在系统寿命周期中任何时刻都潜势的不平安行为和不平安状况。不平安行为是在系统寿命周期中任何时刻都可能发生的人为过失。人的可靠性就是要解决人的过失或人的失效。不平安状可能发生的人为过失。人的可靠性就是要解决人的过失或人的失效。不平安状况可以是失效、故障、错误和构成促因隐患的异常现象。一个不可靠的系统并况可以是失效、故障、错误和构成促因隐患的异常现象。一个不可靠的系统并不自然带有隐患的，系统可以设计成失效不自然带有隐患的，系统可以设计成失效平安。可以研发容纳人为过失或平安。可以研发容纳人为过失或不可靠人的程序和管理控制措施来保证危害不至于发生。不可靠人的程序和管理控制措施来保证危害不至于发生。2024/7/518二、隐患分析过程二、隐患分析过程 隐患分析的目的是识别和界定隐患状况隐患分析的目的是识别和界定隐患状况/风险，以便风险，以便消除或控制风险。分析中要检查系统、子系统、部件和相消除或控制风险。分析中要检查系统、子系统、部件和相互关系。互关系。还要检查：还要检查：训练训练维护维护操作与维护环境操作与维护环境系统系统/部件处理部件处理2024/7/519隐患分析步骤：隐患分析步骤：Steps in performing a hazard analysis:Describe and bound the system1、描述系统并为其确定范围、描述系统并为其确定范围Perform functional analysis if appropriate to the system under study.2、实施功能分析，如果该分析适于研究中的系统、实施功能分析，如果该分析适于研究中的系统Develop a preliminary hazard list.3、制定初步隐患清单、制定初步隐患清单Identify contributory hazards,initiators,or any other causes.4、确认促因隐患、起因隐患或其他原因、确认促因隐患、起因隐患或其他原因Establish hazard control baseline by identifying existing controls when appropriate.5、在适当的时候通过识别现有的控制措施来建立隐患控制基准、在适当的时候通过识别现有的控制措施来建立隐患控制基准From FAA:Chap8_Safety Analysis Hazard Analysis Tasks2024/7/520Determine potential outcomes,effects,or harm.6、确定潜在的结局、效应或危害、确定潜在的结局、效应或危害Perform a risk assessment of the severity of consequence and likelihood of occurrence.7、对后果的严重程度和发生的可能性进行风险评估、对后果的严重程度和发生的可能性进行风险评估Rank hazards according to risk.8、依据风险的情况对隐患进行排序、依据风险的情况对隐患进行排序Develop a set of recommendations and requirements to eliminate or control risks9、建立消除或控制风险的一套建议和要求、建立消除或控制风险的一套建议和要求2024/7/521Provide managers,designers,test planners,and other affected decision makers with the information and data needed to permit effective trade-offs10、向管理人员、设计师、测试方案者和其他相关的决策者提供批准有效的权衡所需的信息和数据Conduct hazard tracking and risk resolution of medium and high risks.Verify that recommendations and requirements identified in Step 9 have been implemented.11、进行隐患跟踪和中高风险的化解工作。核实第九步中确定的建议和要求是否已经被执行Demonstrate compliance with given safety related technical specifications,operational requirements,and design criteria.12、展示与给定的平安相关技术说明书，操作要求和设计标准的一致性。2024/7/522隐患分析的根本要素隐患分析的根本要素 确认确认 评估评估 化解化解 及时的解决方案及时的解决方案2024/7/523平安和可靠性之间的关系平安和可靠性之间的关系 可靠性是系统在规定的条件下执行所要求的功能到达规定时间的能力。可靠性是系统在规定的条件下执行所要求的功能到达规定时间的能力。可靠性和系统平安分析是互补的关系。它们可以相互提供比各自单独获取的可靠性和系统平安分析是互补的关系。它们可以相互提供比各自单独获取的更多的信息。尽管它们相互之间不能互相代替，但联合起来可以获得更好和更有更多的信息。尽管它们相互之间不能互相代替，但联合起来可以获得更好和更有效的结果。效的结果。两种可靠性分析经常被用作隐患分析：两种可靠性分析经常被用作隐患分析：FMEAFMEA、FMECAFMECA 可靠性预测用以建立组件或部件的失效率，或者建立失效概率。可靠性预测用以建立组件或部件的失效率，或者建立失效概率。隐患分析首先以一种定性的方式来识别风险、风险起因、以及与风险有关的隐患分析首先以一种定性的方式来识别风险、风险起因、以及与风险有关的隐患的重要性。隐患的重要性。2024/7/524三、隐患的定性和定量分析三、隐患的定性和定量分析 1.1.定性分析定性分析 定性分析是对影响产品、系统、运行或者人员平安的定性分析是对影响产品、系统、运行或者人员平安的所有因素的检查。分析涉及对照预先确定的一系列可接受所有因素的检查。分析涉及对照预先确定的一系列可接受性参数对设计进行检验。所有可能的情况和事件及其后果性参数对设计进行检验。所有可能的情况和事件及其后果都要考虑，以确定它们是否能引起或促成伤害或损失。都要考虑，以确定它们是否能引起或促成伤害或损失。定性分析总是在定量分析之前。定性分析总是在定量分析之前。2024/7/5252.2.定量分析定量分析 定量分析比定性分析在逻辑上更进一步。它更加精确地定量分析比定性分析在逻辑上更进一步。它更加精确地估计事故发生的概率。这是通过计算概率来完成的。估计事故发生的概率。这是通过计算概率来完成的。在定量分析中，风险概率是用数字或者比率来表示的。在定量分析中，风险概率是用数字或者比率来表示的。它的目标是通过对重大风险的最小化、消除或者建立控制以它的目标是通过对重大风险的最小化、消除或者建立控制以到达最大的平安性。重大风险是通过工程评估、经验和相似到达最大的平安性。重大风险是通过工程评估、经验和相似设备的历史文献来识别的。设备的历史文献来识别的。2024/7/5263.3.事件发生的可能性相关概念事件发生的可能性相关概念概率表示故障、过失或者事故是可能的，即使它可能在概率表示故障、过失或者事故是可能的，即使它可能在一段时间或者相当屡次操作中极少发生。一段时间或者相当屡次操作中极少发生。如：飞机发动机失效的可能性精确地预测为十万分之一。如：飞机发动机失效的可能性精确地预测为十万分之一。要点：不要为了与有限的数据匹配而去改变预测。要点：不要为了与有限的数据匹配而去改变预测。概率基于过去特定经验而得到的统计预测。概率基于过去特定经验而得到的统计预测。要点：做结论时要考虑到概率的统计本质。要点：做结论时要考虑到概率的统计本质。2024/7/5273.3.事件发生的可能性相关概念事件发生的可能性相关概念有时数据只在特定的环境下有效。有时数据只在特定的环境下有效。如：鸟击飞行事故。如：鸟击飞行事故。要点：寻找能影响基于统计数字的重要变量。要点：寻找能影响基于统计数字的重要变量。可靠性预测是根据设备在一定的时间段里和规定的参数可靠性预测是根据设备在一定的时间段里和规定的参数范围内的操作情况做出的。范围内的操作情况做出的。要点：一定要搞清楚应用于风险分析中的概率代表的是什要点：一定要搞清楚应用于风险分析中的概率代表的是什么条件。么条件。2024/7/5283.3.事件发生的可能性相关概念事件发生的可能性相关概念即使在设备的可靠性很高的情况下，人为过失也会造成即使在设备的可靠性很高的情况下，人为过失也会造成破坏性的后果。破坏性的后果。如：装好子弹的步枪的可靠性是很高的，但是有很多人在如：装好子弹的步枪的可靠性是很高的，但是有很多人在清洗、携带或者玩耍时被致死或致伤。清洗、携带或者玩耍时被致死或致伤。要点：要考虑人为过失对事故概率估计的影响。要点：要考虑人为过失对事故概率估计的影响。可靠性预测的可信度是基于原始数据的取样大小的。可靠性预测的可信度是基于原始数据的取样大小的。要点：了解预测数据的来源，考虑数据的可信度。要点：了解预测数据的来源，考虑数据的可信度。2024/7/5293.3.事件发生的可能性相关概念事件发生的可能性相关概念对电子部件的可靠性预测可以假设一个用指数表示的失对电子部件的可靠性预测可以假设一个用指数表示的失效分布格局。效分布格局。要点：已有磨损迹象的系统的风险要比没有磨损迹象的系要点：已有磨损迹象的系统的风险要比没有磨损迹象的系统难于做定量分析。统难于做定量分析。2024/7/5304.4.初步隐患分析初步隐患分析PHA:Preliminary Hazard Analysis PHA:Preliminary Hazard Analysis 初步隐患分析初步隐患分析PHAPHA是系统设计阶段或设备购置规是系统设计阶段或设备购置规划与及要求的知道阶段中隐患的起始工作。它也可以在划与及要求的知道阶段中隐患的起始工作。它也可以在运行的系统上实施用来对平安状态进行初步检查。运行的系统上实施用来对平安状态进行初步检查。PHAPHA的的目的不是影响所有隐患的控制，而是充分识别隐患状态，目的不是影响所有隐患的控制，而是充分识别隐患状态，连同所有伴随的系统征候。连同所有伴随的系统征候。PHA PHA工作应该从尽可能早的阶段开始，并在每一个后工作应该从尽可能早的阶段开始，并在每一个后续阶段进行更新。续阶段进行更新。2024/7/531PHA包括的内容：包括的内容：对对分析中的系分析中的系统进统进行尽可能完整的描述，它将如何使用，与行尽可能完整的描述，它将如何使用，与现现有系有系统统的接口。如果在开的接口。如果在开发发前已前已经编经编制了运行制了运行环环境文件，它就可以成境文件，它就可以成为为系系统统描述的根底。描述的根底。查查看相关看相关历历史平安史平安经验经验 从相似系从相似系统统中得到的教中得到的教训训。根本能源分根本能源分类类清清单单 调查调查各种能源，以确定各种能源，以确定为为控制它控制它们们所做的所做的规规定是否有效。定是否有效。确确认认系系统统必必须须遵守的关于人身平安、遵守的关于人身平安、环环境境隐隐患和有毒物患和有毒物质质的要求以的要求以及其他及其他规规章制度。章制度。纠纠正措施。正措施。2024/7/532PHA在确认和评估隐患分析时考虑的内容在确认和评估隐患分析时考虑的内容1 1、有隐患的部件、有隐患的部件(如：燃料，推进剂，激光，爆炸物，如：燃料，推进剂，激光，爆炸物，有毒物质，有隐患的建筑材料，压力系统和能源有毒物质，有隐患的建筑材料，压力系统和能源2 2、各种系统组件之间的平安接口如：材料兼容性，、各种系统组件之间的平安接口如：材料兼容性，电磁干扰，硬件和软件的控制。必须考虑软件对子系电磁干扰，硬件和软件的控制。必须考虑软件对子系统统/系统事故的潜在影响因素。系统事故的潜在影响因素。3 3、环境制约，包括操作环境如：电击，振动，噪音，、环境制约，包括操作环境如：电击，振动，噪音，静电等静电等2024/7/533PHA在确认和评估隐患分析时考虑的内容在确认和评估隐患分析时考虑的内容4 4、操作，测试，维护和紧急程序如：人为因素工程，、操作，测试，维护和紧急程序如：人为因素工程，照明要求，噪声或辐射对人的工作影响，海上营救等照明要求，噪声或辐射对人的工作影响，海上营救等5 5、设施、保障设备以及训练、设施、保障设备以及训练6 6、与平安有关的设备，防护装置和可能代替的方法如：、与平安有关的设备，防护装置和可能代替的方法如：互锁装置，系统冗余度，人身防护装置，工业通风系统，互锁装置，系统冗余度，人身防护装置，工业通风系统，噪音和辐射屏蔽噪音和辐射屏蔽2024/7/534PHA例子例子行为行为/事件事件隐患隐患把机器升到叉车把机器升到叉车能够就位的高度能够就位的高度由于不平衡机器翻到由于不平衡机器翻到由于起重设备故障机器翻到由于起重设备故障机器翻到由于起重设备故障或不正确的放置（人工起重设备）使机器砸由于起重设备故障或不正确的放置（人工起重设备）使机器砸到人或设备上到人或设备上机器撞击上方障碍物机器撞击上方障碍物起重过程中机器被损坏起重过程中机器被损坏叉车就位叉车就位叉车撞到机器叉车撞到机器叉车撞到区域内的其他东西叉车撞到区域内的其他东西举起机器举起机器机器撞击上方障碍物机器撞击上方障碍物由于机械故障导致起重失败由于机械故障导致起重失败由于不平衡机器翻到由于不平衡机器翻到操作：把一个操作：把一个3吨重的机器从一幢建筑物移到另一幢建筑物吨重的机器从一幢建筑物移到另一幢建筑物起点：机器在其原位置建筑物起点：机器在其原位置建筑物A终点：机器在其新位置建筑物终点：机器在其新位置建筑物A2024/7/535行为行为/事件事件隐患隐患把机器移到卡车旁把机器移到卡车旁由于粗糙表面或天气条件导致不稳定由于粗糙表面或天气条件导致不稳定操作错误引起运载物不稳定操作错误引起运载物不稳定运载物移到运载物移到把机器移到卡车上把机器移到卡车上不正确的捆绑产生不稳定不正确的捆绑产生不稳定卡车超载或不合适的承重分布卡车超载或不合适的承重分布把卡车开到建筑物把卡车开到建筑物B移到中的车辆事故移到中的车辆事故不娴熟的驾驶技术产生的不稳定不娴熟的驾驶技术产生的不稳定道路条件产生的不稳定道路条件产生的不稳定把机器从卡车上卸下把机器从卡车上卸下和和“把机器移到卡车旁把机器移到卡车旁”的因素相同的因素相同把机器放到建筑物把机器放到建筑物B合合适的位置适的位置除侧重于把机器放下外，和除侧重于把机器放下外，和“举起机器举起机器”的因素相的因素相同同2024/7/5365、故障隐患分析、故障隐患分析 故障隐患分析方法是一种推导式分析方法，这种方故障隐患分析方法是一种推导式分析方法，这种方法可以专门用来做定性分析。或者有必要，可以扩充为定法可以专门用来做定性分析。或者有必要，可以扩充为定量分析方法。故障隐患分析要求对子系统进行详细的调查量分析方法。故障隐患分析要求对子系统进行详细的调查以判断部件隐患模式，引起这些隐患的原因和对子系统及以判断部件隐患模式，引起这些隐患的原因和对子系统及其操作的影响。其操作的影响。这一分析类型被称为这一分析类型被称为FMEAFMEA及及FMECAFMECA FMEA FMEA及及FMECAFMECA与故障隐患分析的主要不同之处在于分与故障隐患分析的主要不同之处在于分析的深度不同。析的深度不同。FMEAFMEA及及FMECAFMECA主要关注的是所有的故障及主要关注的是所有的故障及其影响，而故障隐患分析的任务是仅考虑和平安有关的那其影响，而故障隐患分析的任务是仅考虑和平安有关的那些影响。些影响。2024/7/537进行故障隐患分析，了解并理解系统的特性：进行故障隐患分析，了解并理解系统的特性：设备用途设备用途操作限制操作限制平安和失效的界线平安和失效的界线实际失效模式及其发生概率的测定方法实际失效模式及其发生概率的测定方法2024/7/538故障隐患分析程序步骤：故障隐患分析程序步骤：1、把系统按功能或条块分成易于有效操作的模块。、把系统按功能或条块分成易于有效操作的模块。2、然后对系统和每一子系统的功能图表，草图，工程图进行审查，一、然后对系统和每一子系统的功能图表，草图，工程图进行审查，一确定它们之间的关系以及组成部件的相互关系。这项审查可以通过准确定它们之间的关系以及组成部件的相互关系。这项审查可以通过准备和使用框图来实现。备和使用框图来实现。3、当进行部件的一级分析时，应事先为每个模块列出一份完整的部件、当进行部件的一级分析时，应事先为每个模块列出一份完整的部件及其功能的表格。对于分析须在功能层面和条块层面进行的情况，这及其功能的表格。对于分析须在功能层面和条块层面进行的情况，这个表格是供最低层次的分析使用的。个表格是供最低层次的分析使用的。4、审查影响系统的操作和环境压力，看其是否对系统及其部件有负面、审查影响系统的操作和环境压力，看其是否对系统及其部件有负面效应。效应。5、通过对工程图和功能表的分析确定可能发生并影响部件的重大失效、通过对工程图和功能表的分析确定可能发生并影响部件的重大失效机制。随后考虑子系统故障失效的影响。机制。随后考虑子系统故障失效的影响。2024/7/539故障隐患分析程序步骤：故障隐患分析程序步骤：6、之后确认可引起子系统各种可能的失效机制的单个部件失效模式。、之后确认可引起子系统各种可能的失效机制的单个部件失效模式。7、列出影响组件和部件的所有条件，用已显示是否存在因操作、压力、列出影响组件和部件的所有条件，用已显示是否存在因操作、压力、人的行为或综合因素而增加失效或损坏可能性的特殊时期。人的行为或综合因素而增加失效或损坏可能性的特殊时期。8、给风险确定类型、给风险确定类型9、应当列出消除或者控制风险的预防性或纠正措施。、应当列出消除或者控制风险的预防性或纠正措施。10、输入初始概率、输入初始概率11、实施一项初步关键程度分析、实施一项初步关键程度分析2024/7/540故障隐患分析的局限：故障隐患分析的局限：1 1、一个子系统很可能发生并不导致事故的失效。、一个子系统很可能发生并不导致事故的失效。2 2、这一分析方法主要通常集中于硬件故障，较少涉及软、这一分析方法主要通常集中于硬件故障，较少涉及软件故障，而且对人为因素关注不够。件故障，而且对人为因素关注不够。3 3、很少考虑环境条件的出现可能性。、很少考虑环境条件的出现可能性。4 4、导致硬件隐患的故障率忽略了由不标准加工过程带来、导致硬件隐患的故障率忽略了由不标准加工过程带来的潜在缺陷。的潜在缺陷。5 5、数字分析过分精确。、数字分析过分精确。2024/7/5416 6、故障树分析：、故障树分析：FTAFTAFTA提供了一种评估和控制隐患的标准方法。从平安到提供了一种评估和控制隐患的标准方法。从平安到管理中的一系列问题都能运用管理中的一系列问题都能运用FTA加以解决。加以解决。FTA使用了定性法，也使用了定量法来确定系统中关于使用了定性法，也使用了定量法来确定系统中关于平安操作的部位。平安操作的部位。故障树分析是一种推论式的分析工具，用来研究一些不故障树分析是一种推论式的分析工具，用来研究一些不期望出现的时间，诸如发动机故障。这个演绎推断过程期望出现的时间，诸如发动机故障。这个演绎推断过程始于一个明确规定的不期望出现的事件通常是个假定始于一个明确规定的不期望出现的事件通常是个假定的事故条件，然后依次考虑所有可能导致或促使不期的事故条件，然后依次考虑所有可能导致或促使不期望事件发生的事件、故障和其他情况。望事件发生的事件、故障和其他情况。2024/7/542FTAFTA分析步骤：分析步骤：1 1、首先假设系统的状态，确认并且明确写出位于最上层、首先假设系统的状态，确认并且明确写出位于最上层的不期望出现事件。这一步骤通常借助初步隐患分析和的不期望出现事件。这一步骤通常借助初步隐患分析和初步隐患清单来完成，或者通过查阅设计图表，流动图初步隐患清单来完成，或者通过查阅设计图表，流动图等。等。2 2、把故障树的顶层自上而下地展开，以确定引起上一层、把故障树的顶层自上而下地展开，以确定引起上一层事件所需的最少中间故障及故障组合或事件。这些逻辑事件所需的最少中间故障及故障组合或事件。这些逻辑关系是通过应用标准化的关系是通过应用标准化的FTAFTA逻辑符号及图形表示出来的。逻辑符号及图形表示出来的。3 3、继续自上而下的展开过程，直至为每个分支找到根本、继续自上而下的展开过程，直至为每个分支找到根本原因，和或直到人为进一步的分解没有必要。原因，和或直到人为进一步的分解没有必要。2024/7/543FTAFTA分析步骤：分析步骤：4 4、给故障树中每个分支的最低层事件确定故障、给故障树中每个分支的最低层事件确定故障率，这项工作可以通过预测、分配或者历史数据率，这项工作可以通过预测、分配或者历史数据来完成。来完成。5 5、利用布尔逻辑给故障树建立一个布尔方程，、利用布尔逻辑给故障树建立一个布尔方程，然后估算出不希望出现的顶层事件的概率。然后估算出不希望出现的顶层事件的概率。6 6、与系统要求相比较。如果没有到达要求，就、与系统要求相比较。如果没有到达要求，就应该实施校正措施。校正措施从再设计到改进分应该实施校正措施。校正措施从再设计到改进分析各不相同。析各不相同。2024/7/544发动机故障树发动机故障树2024/7/545说明说明：在这个例子中，有三个可能的发动机故障原因：燃油流动、在这个例子中，有三个可能的发动机故障原因：燃油流动、冷却剂、点火故障。通过对故障树的观察，还可以确定导冷却剂、点火故障。通过对故障树的观察，还可以确定导致这三种原因的其他因素和综合因素。致这三种原因的其他因素和综合因素。根据已有的数据，可以确定每个事件的发生概率。可以列根据已有的数据，可以确定每个事件的发生概率。可以列出代数式求出顶层事件的发生概率。再把这个概率与可接出代数式求出顶层事件的发生概率。再把这个概率与可接受的阀值相比较，确定有无必要及怎样采取措施。受的阀值相比较，确定有无必要及怎样采取措施。故障树分析是通过自上而下的顺序推导出来的。这是一种故障树分析是通过自上而下的顺序推导出来的。这是一种演绎过程，因为它是考察演绎过程，因为它是考察“起因路径中的事件组合的，起因路径中的事件组合的，与归纳法不同。与归纳法不同。2024/7/5467 7、共同原因失效分析、共同原因失效分析共同原因失效分析是故障树分析的一种延伸，用于识别造成共同原因失效分析是故障树分析的一种延伸，用于识别造成各部件失效的潜在依存关系的各部件失效的潜在依存关系的“偶联因素。故障树中根本偶联因素。故障树中根本领件最小的割集通过开发矩阵表来检查，以确定这些故障是领件最小的割集通过开发矩阵表来检查，以确定这些故障是否和环境、位置、次要因素或质量控制等共同因素有关。否和环境、位置、次要因素或质量控制等共同因素有关。共因故障分析是理解故障树分析中事件及其原因之间的关系共因故障分析是理解故障树分析中事件及其原因之间的关系提供了一个更好的方法。它分析的是平安系统中的实际冗余提供了一个更好的方法。它分析的是平安系统中的实际冗余度。度。2024/7/547共同原因分析步骤：共同原因分析步骤：1、建立一组关键树群。、建立一组关键树群。这项工作要用这项工作要用FMECA、FTA进行分析；进行分析；FTA用于识别关键功能，用于识别关键功能，FMECA用于识别关键部件。用于识别关键部件。2、识别上、识别上1关键树群中的通用部件。关键树群中的通用部件。这些部件可能是冗余的处理器，他们共用一个电源或者共享由同一这些部件可能是冗余的处理器，他们共用一个电源或者共享由同一液压泵供压的冗余液压线路。液压泵供压的冗余液压线路。3、确认一些可信的故障模式，如：短路、漏油、不标准的操作步骤。、确认一些可信的故障模式，如：短路、漏油、不标准的操作步骤。4、确认可信的共因故障模式。、确认可信的共因故障模式。5、总结分析结果，其中应包括纠正措施的识别。、总结分析结果，其中应包括纠正措施的识别。2024/7/5488 8、能量跟踪分析、能量跟踪分析能量跟踪分析是针对所有可能引起事故的未控制的和已控能量跟踪分析是针对所有可能引起事故的未控制的和已控制的能量的。包括公共设施的电源和航空器燃料。制的能量的。包括公共设施的电源和航空器燃料。能源引发事故的情况：能源引发事故的情况：可能与产品或过程有关：如易燃性或电击；可能与产品或过程有关：如易燃性或电击；可能和产品可能和产品/过程相悖的人员行为有关：靠近易燃流过程相悖的人员行为有关：靠近易燃流体吸烟体吸烟 与系统周围的物品与系统周围的物品/条件或重要设备有关：车辆或滑条件或重要设备有关：车辆或滑行中的飞机；行中的飞机；2024/7/549能量跟踪分析目的能量跟踪分析目的能量跟踪分析的目的是确认所有隐患和引起隐患能量跟踪分析的目的是确认所有隐患和引起隐患的直接原因。隐患及其原因一旦呗确认，就可作的直接原因。隐患及其原因一旦呗确认，就可作故障树的顶层事件或者用来验证故障隐患分析的故障树的顶层事件或者用来验证故障隐患分析的完整性。因此，能量跟踪分析方法可以辅助，但完整性。因此，能量跟踪分析方法可以辅助，但不能代替其他分析，如：不能代替其他分析，如：FTAFTA、SCASCA、ETAETA、FMECAFMECA等。等。2024/7/550能量跟踪分析程序的步骤：能量跟踪分析程序的步骤：1 1、确认要保护的资源人或设备。、确认要保护的资源人或设备。2 2、确认系统、子系统及平安关键部件。、确认系统、子系统及平安关键部件。3 3、确认每一系统、确认每一系统/子系统子系统/部件都要经历的运行阶段，如部件都要经历的运行阶段，如飞行前、滑行、起飞、巡航、着陆，最好为每个运行阶飞行前、滑行、起飞、巡航、着陆，最好为每个运行阶段分别报告隐患分析结果。段分别报告隐患分析结果。4 4、识别子系统或部件在每个运行阶段的运行状态。、识别子系统或部件在每个运行阶段的运行状态。5 5、识别与每个子系统和每种运行状态相关的能源或能的、识别与每个子系统和每种运行状态相关的能源或能的传输方式。传输方式。2024/7/551能量跟踪分析程序的步骤：能量跟踪分析程序的步骤：6 6、确认每种能源的能量释放机制。、确认每种能源的能量释放机制。7 7、对照隐患类型检查表，检查每个部件、能源或传输方式。、对照隐患类型检查表，检查每个部件、能源或传输方式。8 8、识别和每种能量释放机制有关的原因。、识别和每种能量释放机制有关的原因。9 9、识别由具体的能量释放机制释放的能量可能引发的潜在事、识别由具体的能量释放机制释放的能量可能引发的潜在事故。故。1010、假设上一步骤识别的事故发生，界定可能出现的隐患后、假设上一步骤识别的事故发生，界定可能出现的隐患后果。果。2024/7/552能量跟踪分析程序的步骤：能量跟踪分析程序的步骤：1111、评定潜在的事故的隐患类别如：关键性的、灾难性的、评定潜在的事故的隐患类别如：关键性的、灾难性的、或其他性质的或其他性质的1212、识别部件与能源或传输方式所牵连的关乎被保护资源的、识别部件与能源或传输方式所牵连的关乎被保护资源的特定隐患。特定隐患。1313、推荐控制隐患条件的措施。、推荐控制隐患条件的措施。1414、详细说明验证程序，确保控制措施已被有效实施。、详细说明验证程序，确保控制措施已被有效实施。2024/7/553n概述nFMECA的定义、目的和作用nFMECA的方法nFMECA的步骤n系统定义n故障模式影响分析n危害性分析n危害性矩阵图nFMECA输出与注意的问题n应用案例9、失效模式影响和严重度分析：、失效模式影响和严重度分析：FMECA2024/7/554概述n元部件的故障对系统可造成重大影响元部件的故障对系统可造成重大影响n灾难性的影响灾难性的影响n挑战者升空爆炸挑战者升空爆炸发动机液体燃料管垫圈不密封发动机液体燃料管垫圈不密封n致命性的影响致命性的影响n起落架上位锁打不开起落架上位锁打不开n以往设计师依靠经验判断元部件故障对系统的影响以往设计师依靠经验判断元部件故障对系统的影响n依赖于人的知识和工作经验依赖于人的知识和工作经验n系统的、全面的和标准化的方法系统的、全面的和标准化的方法FMECAn设计阶段发现对系统造成重大影响的元部件故障设计阶段发现对系统造成重大影响的元部件故障n设计更改、可靠性补偿设计更改、可靠性补偿n是可靠性、维修性、保障性和平安性设计分析的根底是可靠性、维修性、保障性和平安性设计分析的根底2024/7/555FMECA的概念nFMECA的定义的定义n故障模式影响及危害性分析故障模式影响及危害性分析(Failure Mode,Effects and Criticality analysis,简记为简记为FMECA)是分析系统中每一产品所有可能产生的是分析系统中每一产品所有可能产生的故障模式及其对系统造成的所有可能影响，并按每一个故障模式故障模式及其对系统造成的所有可能影响，并按每一个故障模式的严重程度及其发生概率予以分类的一种归纳分析方法。的严重程度及其发生概率予以分类的一种归纳分析方法。nFMECA是一种自下而上的归纳分析方法；是一种自下而上的归纳分析方法；nFMEA和和CA。nFMECA的目的的目的n从产品设计功能设计、硬件设计、软件设计、生产生产可从产品设计功能设计、硬件设计、软件设计、生产生产可行性分析、工艺设计、生产设备设计与使用和使用发现各种影行性分析、工艺设计、生产设备设计与使用和使用发现各种影响产品可靠性的缺陷和薄弱环节，为提高产品的质量和可靠性水响产品可靠性的缺陷和薄弱环节，为提高产品的质量和可靠性水平提供改进依据。平提供改进依据。2024/7/556FMECA作用 n保证有组织地定性找出系统的所有可能的故障模式及其影响，进保证有组织地定性找出系统的所有可能的故障模式及其影响，进而采取相应的措施。而采取相应的措施。n为制定关键工程和单点故障等清单或可靠性控制方案提供定性依为制定关键工程和单点故障等清单或可靠性控制方案提供定性依据。据。n为可靠性为可靠性R、维修性、维修性M、平安性、平安性S、测试性、测试性T和和保障性保障性S工作提供一种定性依据。工作提供一种定性依据。n为制定试验大纲提供定性信息。为制定试验大纲提供定性信息。n为确定更换有寿件、元器件清单提供使用可靠性设计的定性信息。为确定更换有寿件、元器件清单提供使用可靠性设计的定性信息。n为确定需要重点控制质量及工艺的薄弱环节清单提供定性信息。为确定需要重点控制质量及工艺的薄弱环节清单提供定性信息。n可及早发现设计、工艺中的各种缺陷。可及早发现设计、工艺中的各种缺陷。2024/7/557FMECA方法分类2024/7/558在产品寿命周期各阶段的FMECA方法论证与方案阶段工程研制阶段生产阶段使用阶段方法功能FMECA硬件FMECA软件FMECA损坏模式影响分析过程FMECA统计FMECA目的分析研究系统功能设计的缺陷与薄弱环节，为系统功能设计的改进和方案的权衡提供依据。分析研究系统硬件、软件设计的缺陷与薄弱环节，为系统的硬件、软件设计改进和保障性分析提供依据。分析研究所设计的生产工艺过程的缺陷和薄弱环节及其对产品的影响，为生产工艺的设计改进提供依据。分析研究产品使用过程中实际发生的故障、原因及其影响，为提供产品使用可靠性和进行产品的改进、改型或新产品的研制提供依据。2024/7/559FMECA的步骤2024/7/560系统定义n确定系统中进行确定系统中进行FMECA的产品范围的产品范围n产品层次例如产品层次例如n约定层次约定层次规定的规定的FMECA的产品层次的产品层次n初始约定层次初始约定层次系统最顶层系统最顶层n最低约定层次最低约定层次系统最底层系统最底层n描述系统的功能任务及系统在完成各种功能任务时所处的环境条描述系统的功能任务及系统在完成各种功能任务时所处的环境条件件n任务剖面、任务阶段及工作方式任务剖面、任务阶段及工作方式n功能描述功能描述n制定系统及产品的故障判据、选择制定系统及产品的故障判据、选择FMECA方法等方法等n故障判据故障判据n分析方法分析方法2024/7/561 故障模式影响分析FMEA2024/7/5623危害性分析(CA)n分类：定性和定量 CA表2024/7/563危害性矩阵图2024/7/564实施FMECA应注意的问题n强调强调“谁设计、谁分析的原那么谁设计、谁分析的原那么n“谁设计、谁分析的原那么，也就是产品设计人员谁设计、谁分析的原那么，也就是产品设计人员应负责完成该产品的应负责完成该产品的FMECA工作，可靠性专业人员应工作，可靠性专业人员应提供分析必须的技术支持。提供分析必须的技术支持。n实践说明，实践说明，FMECA工作是设计工作的一局部。工作是设计工作的一局部。“谁设谁设计、谁分析、及时改进是进行计、谁分析、及时改进是进行FMECA的宗旨，是确的宗旨，是确保保FMECA有效性的根底，也是国内外开展有效性的根底，也是国内外开展FMECA工工作经验的结晶。如果不由产品设计者实施作经验的结晶。如果不由产品设计者实施FMECA，必，必然造成分析与设计的别离，也就背离了然造成分析与设计的别离，也就背离了FMECA的初衷。的初衷。2024/7/565实施FMECA应注意的问题n重视重视FMECA的筹划的筹划n实施实施FMECA前，应对所需进行的前，应对所需进行的FMECA活动进行完整、全面、活动进行完整、全面、系统地筹划，尤其是对复杂大系统，更应强调系统地筹划，尤其是对复杂大系统，更应强调FMECA的重要性。的重要性。其必要性表达在以下几方面：其必要性表达在以下几方面：n结合产品研制工作，运用并行工程的原理，对所需的结合产品研制工作，运用并行工程的原理，对所需的FMECA进行进行完整、全面、系统地筹划，将有助于保证完整、全面、系统地筹划，将有助于保证FMECA分析的目的性、分析的目的性、有效性，以确保有效性，以确保FMECA工作与研制工作同步协调，防止事后补做工作与研制工作同步协调，防止事后补做的现象。的现象。n对复杂大系统，总体级的对复杂大系统，总体级的FMECA往往需要低层次的分析结果作为往往需要低层次的分析结果作为输入，对相关分析活动的筹划将有助于确保高层次产品输入，对相关分析活动的筹划将有助于确保高层次产品FMECA的的实施。实施。nFMECA方案阶段事先规定的根本前提、假设、分析方法和数据，方案阶段事先规定的根本前提、假设、分析方法和数据，将有助于在不同产品等级和承制方之间交流和共享，确保分析结将有助于在不同产品等级和承制方之间交流和共享，确保分析结果的一致性、有效性和可比性。果的一致性、有效性和可比性。2024/7/566实施FMECA应注意的问题n保证保证FMECA的实时性、标准性、有效性的实时性、标准性、有效性n实时性。实时性。FMECA工作应纳入研制工作方案、做到目的明确、管理工作应纳入研制工作方案、做到目的明确、管理务实；务实；FMECA工作与设计工作应同步进行，将工作与设计工作应同步进行，将FMECA结果及时结果及时反响给设计过程。反响给设计过程。n标准性。分析工作应严格执行标准性。分析工作应严格执行FMECA方案、有关标准方案、有关标准/文件的要文件的要求。分析中应明确某些关键概念，比方：故障检测方法是系统运求。分析中应明确某些关键概念，比方：故障检测方法是系统运行或维修时发现故障的方法；严重度是对故障模式最终影响严重行或维修时发现故障的方法；严重度是对故障模式最终影响严重程度的度量，危害度是对故障模式后果严重程度的发生可能性的程度的度量，危害度是对故障模式后果严重程度的发生可能性的综合度量，两者是不同的概念，不能混淆。综合度量，两者是不同的概念，不能混淆。n有效性。对分析提出的改进、补偿措施的实现予以跟踪和分析，有效性。对分析提出的改进、补偿措施的实现予以跟踪和分析，以验证其有效性。这种过程也是积累以验证其有效性。这种过程也是积累FMECA工程经验的过程。工程经验的过程。2024/7/567实施FMECA应注意的问题nFMECA的剪裁和评审的剪裁和评审nFMECA作为常用的分析工具，可为可靠性、平安性、作为常用的分析工具，可为可靠性、平安性、维修性、测试性和保障性等工作提供信息，不同的应维修性、测试性和保障性等工作提供信息，不同的应用目的可能得到不同的分析结果。各单位可根据具体用目的可能得到不同的分析结果。各单位可根据具体的产品特点和任务对的产品特点和任务对FMECA的分析步骤、内容进行补的分析步骤、内容进行补充，剪裁，并在相应文件中予以明确。充，剪裁，并在相应文件中予以明确。2024/7/568实施FMECA应注意的问题nFMECA的数据的数据n故障模式是故障模式是FMECA的根底。能否获得故障模式的相关信息是决的根底。能否获得故障模式的相关信息是决定定FMECA工作有效性的关键。假设进行定量分析时还需故障的工作有效性的关键。假设进行定量分析时还需故障的具体数据，这些数据除通过试验获得外，一般是需要通过相似产具体数据，这些数据除通过试验获得外，一般是需要通过相似产品的历史数据进行统计分析。有方案有目的地注意收集、整理有品的历史数据进行统计分析。有方案有目的地注意收集、整理有关产品的故障信息，并逐步建立和完善故障模式及频数比的相关关产品的故障信息，并逐步建立和完善故障模式及频数比的相关故障信息库，这是开展有效的故障信息库，这是开展有效的FMECA工作的根本保障之一。工作的根本保障之一。nFMECA应与其他分析方法相结合应与其他分析方法相结合nFMECA虽是有效的可靠性分析方法，但并非万能。它不能代替虽是有效的可靠性分析方法，但并非万能。它不能代替其他可靠性分析工作。应注意其他可靠性分析工作。应注意FMECA一般是静态的、单一因素一般是静态的、单一因素的分析方法。在动态方面还很不完善，假设对系统实施全面分析的分析方法。在动态方面还很不完善，假设对系统实施全面分析还需与其他分析方法如还需与其他分析方法如FTA、ETA等相结合。等相结合。2024/7/569故障模式n故障与故障模式故障与故障模式n故障是产品或产品的一局部不能或将不能完成预定功能的事件或故障是产品或产品的一局部不能或将不能完成预定功能的事件或状态对机械产品也称失效状态对机械产品也称失效n故障模式是故障的表现形式，如起落架撑杆断裂、作动筒间隙不故障模式是故障的表现形式，如起落架撑杆断裂、作动筒间隙不当、收放不到位等当、收放不到位等n产品功能与故障模式产品功能与故障模式n一个产品可能具有多种功能一个产品可能具有多种功能n起落架：支撑、滑跑、收放等起落架：支撑、滑跑、收放等n每一个功能有可能具有多种故障模式每一个功能有可能具有多种故障模式n支撑：降落时折起支撑：降落时折起n滑跑：震动滑跑：震动n收放：收不起、放不下收放：收不起、放不下2024/7/570典型故障模式GJB1391?故障模式影响及危害性分析?序故障模式序故障模式序故障模式1结构故障(破损)12 超出允差(下限)23 滞后运行2捆结或卡死13 意外运行24 错误输入(过大)3振动14 间歇性工作25 错误输入(过小)4不能保持正常位置15 漂移性工作26 错误输出(过大)5打不开16 错误指示27 错误输出(过小)6关不上17 流动不畅28 无输入7误开18 错误动作29 无输出8误关19 不能关机30(电的)短路9内部漏泄20 不能开机31(电的)开路10 外部漏泄21 不能切换32(电的)漏泄