系统可靠性分析方法

, , , , , ,*,可靠性设计,*,可靠性设计,IV.,系统可靠性分析方法,2024/9/17,可靠性设计,1,本章内容,故障模式影响及危害性分析法 （,FMECA,）,故障树分析法（,FTA,）,事件树分析法（,ETA,）,1.FMECA,2024/9/17,可靠性设计,3,内容提要,概述,FMECA,的定义、目的和作用,FMECA,的方法,FMECA,的步骤,系统定义,故障模式影响分析,危害性分析,FMECA,结果,输出与注意的问题,应用案例,2024/9/17,可靠性设计,4,概述,元部件的故障对系统可造成重大影响,灾难性的影响,挑战者升空爆炸,发动机液体燃料管垫圈不密封,致命性的影响,起落架上位锁打不开,以往设计师依靠经验判断元部件故障对系统的影响,依赖于人的知识和工作经验,2024/9/17,可靠性设计,5,概述,系,统的、全面的和标准化的方法, FMECA,FMECA,的发展,设计阶段发现对系统造成重大影响的元部件故障,设计更改、可靠性补偿,是可靠性、维修性、保障性和安全性设计分析的基础,2024/9/17,可靠性设计,6,FMECA,的概念,FMECA,的,定义,故障模式影响及危害性分析,(,Failure Mode ,Effects and Criticality Analysis,记为,FMECA,),是分析系统中每一产品所有可能产生的故障模式及其对系统造成的所有可能影响，并按每一个故障模式的严重程度及其发生概率予以分类的一种归纳分析方法。,FMECA,是一种自下而上的归纳分析方法；,FMEA,和,CA,。,2024/9/17,可靠性设计,7,FMECA,的概念,FMECA,的,目的,从,产品设计,（功能设计、硬件设计、软件设计）、,生产,（生产可行性分析、工艺设计、生产设备设计与使用）和,产品使用角度,发现各种影响产品可靠性的缺陷和薄弱环节，为提高产品的质量和可靠性水平提供改进依据。,2024/9/17,可靠性设计,8,FMECA,的概念,FMECA,的,作用,保证有组织地定性找出系统的所有可能的故障模式及其影响，进而采取相应的措施。,为制定关键项目和单点故障等清单或可靠性控制计划提供定性依据；为制定试验大纲提供定性信息；为确定更换有寿件、元器件清单提供使用,可靠性,设计的定性信息；为确定需要重点控制质量及工艺的薄弱环节清单提供定性信息。,可及早发现设计、工艺中的各种缺陷。,为可靠性（,R,）、维修性（,M,）、安全性（,S,）、测试性（,T,）和保障性（,S,）工作,提供一种定性依据。,2024/9/17,可靠性设计,9,FMECA,方法分类,2024/9/17,可靠性设计,10,论证与方案,阶段,工程研制阶段,生产阶段,使用阶段,方法,功能,FMECA,硬件,FMECA,软件,FMECA,损坏模式影响分析,过程,FMECA,统计,FMECA,目的,分析研究,系统功能设计的缺陷与薄弱环节,，为系统功能设计的改进和方案的权衡提供依据。,分析研究,系统硬件、软件设计的缺陷与薄弱环节,，为系统的硬件、软件设计改进和保障性分析提供依据。,分析研究所设计的,生产工艺过程的缺陷和薄弱环节,及其对产品的影响，为生产工艺的设计改进提供依据。,分析研究,产品使用过程中实际发生的故障、原因及其影响,，为提供产品使用可靠性和进行产品的改进、改型或新产品的研制提供依据。,产品寿命周期各阶段的,FMECA,方法,2024/9/17,可靠性设计,11,FMECA,的步骤,2024/9/17,可靠性设计,12,系统定义,明确分析范围,根据系统的复杂度、重要程度、技术成熟性、分析工作的进度和费用约束等，确定系统中进行,FMECA,的产品范围,产品层次,示例,约定层次,规定的,FMECA,的产品层次,初始约定层次,系统最顶层,最低约定层次,系统最底层,2024/9/17,可靠性设计,13,系统任务分析和功能分析,描述系统的任务要求及系统在完成各种功能任务时所处的环境条件,任务剖面、任务阶段,分析明确系统中的产品在完成不同的任务时所应具备的功能、工作方式及工作时间等,功能描述,确定故障判据,制定系统及产品的故障判据。选择,FMECA,方法等,故障判据,分析方法,系统定义,2024/9/17,可靠性设计,14,故障模式影响分析,FMEA,FMEA,的工作内容,故障模式分析,找出系统中每一产品所有可能出现的故障模式。,故障原因分析,找出每一个故障模式产生的原因。,故障影响分析,找出系统中每一产品的每一个可能的故障模式所产生的影响，并按这些影响的严重程度进行分类。,2024/9/17,可靠性设计,15,故障模式影响分析,FMEA,FMEA,的工作内容,故障检测方法分析,分析每一种故障模式是否存在特定的发现该故障模式的检测方法，从而为系统的故障检测与隔离设计提供依据。,补偿措施分析,针对故障影响严重的故障模式，提出设计改进和使用补偿的措施。,2024/9/17,可靠性设计,16,故障模式影响分析,FMEA,2024/9/17,可靠性设计,17,危害性分析,(,CA,),目的是按每一故障模式的严重程度及该故障模式发生的概率所产生的综合影响对系统中的产品划等分类，以便全面评价系统中可能出现的产品故障的影响。,CA,是,FMEA,的补充或扩展，只有在进行,FMEA,的基础上才能进行,CA,。,常用方法,风险优先数（,Risk Priority Number, RPN,）法,主要用于汽车等民用工业领域,危害性矩阵法,主要用于航空、航天等军用领域,2024/9/17,可靠性设计,18,危害性分析,(,CA,),风险优先数法,RPN=OPRESR,DDR,OPR,（,Occurrence Probability Ranking,）,故障模式发生概率等级,ESR,（,Effect Severity Ranking,）,影响严酷度等级,DDR,（,Detection Diffculty Ranking ) ,检测难度等级,上述三项因素通过评分获得。因此，首先应给出各项因素的评分准则。,2024/9/17,可靠性设计,19,危害性分析,(,CA,),发生概率等级,OPR,用于评定某一特定的故障原因导致的某故障模式实际发生的可能性。,等级,故障发生的可能性,参考值,1,稀少,故障模式发生的可能性极低,1/10,6,2,3,低,故障模式发生的可能性相对较低,1/20000,1/4000,4,5,6,中等,故障模式发生的可能性中等,1/1000,1/400,1/80,7,8,高,故障模式发生的可能性高,1/40,1/20,9,10,非常,高,故障模式发生的可能性非常高,1/8,1/2,2024/9/17,可靠性设计,20,危害性分析,(,CA,),严酷度等级,ESR,用于评定所分析的故障模式的最终影响。,等级,故障影响的严重程度,1,轻微,对系统的性能不会产生影响，用户注意不到的轻微故障,2,3,低,对系统性能有轻微影响的故障，用户可能会注意到并引起轻微抱怨,4,5,6,中等,引起系统性能下降的故障，用户感觉不舒适和不满意,7,8,高,中断操作的重大故障或提供舒适性的子系统不能工作的故障，用户感到强烈不满意。但此类故障不会引起安全性后果也不违反政府法规,9,10,非常高,引起生命、财产损失的致命故障或不符合政府法规的故障,2024/9/17,可靠性设计,21,危害性分析,(,CA,),检测难度等级,DDR,用于评定通过企业内部预定的检验程序查出引起所分析的故障模式的各种原因的可能性。,等级,检验程序查出故障的难度,1,2,非常低,检验程序可以检出的潜在设计缺陷,3,4,低,检验程序有较大机会检出的潜在设计缺陷,5,6,中等,检验程序可能检出的潜在设计缺陷,7,8,高,检验程序不大可能检出的潜在设计缺陷,9,非常高,检验程序不可能检出的潜在设计缺陷,10,无法检出,检验程序绝不可能检出的潜在设计缺陷,2024/9/17,可靠性设计,22,危害性分析,(,CA,),危害性矩阵法,分类：,定性,和,定量,CA,表,2024/9/17,可靠性设计,23,危害性分析,(,CA,),危害性矩阵图,绘制危害性矩阵图的目的是比较每个故障模式的危害程度，进而为确定改进措施的先后顺序提供依据。危害性矩阵是在某一特定严酷度级别下，产品各个故障模式危害程度或产品危害度相对结果的比较。,与,RPN,一样具有指明风险优先顺序的作用。,1,2,2024/9/17,可靠性设计,24,FMECA,结果,输出,FMECA,输出,单点故障模式清单,、,类故障模式清单,可靠性关键件、重要件,不可检测故障模式清单,危害性矩阵图等,FMEA/CA,表,2024/9/17,可靠性设计,25,实施,FMECA,应注意的问题,强调,“,谁设计、谁分析,”,的原则,“,谁设计、谁分析,”,的原则，也就是产品设计人员应负责完成该产品的,FMECA,工作，可靠性专业人员应提供分析必须的技术支持。,实践表明，,FMECA,工作是设计工作的一部分。,“,谁设计、谁分析,”,、及时改进是进行,FMECA,的宗旨，是确保,FMECA,有效性的基础，也是国内外开展,FMECA,工作经验的结晶。如果不由产品设计者实施,FMECA,，必然造成分析与设计的分离，也就背离了,FMECA,的初衷。,2024/9/17,可靠性设计,26,实施,FMECA,应注意的问题,重视,FMECA,的策划,实施,FMECA,前，应对所需进行的,FMECA,活动进行完整、全面、系统地策划，尤其是对复杂大系统，更应强调,FMECA,的重要性。其必要性体现在以下几方面：,结合产品研制工作，运用并行工程的原理，对所需的,FMECA,进行完整、全面、系统地策划，将有助于保证,FMECA,分析的目的性、有效性，以确保,FMECA,工作与研制工作同步协调，避免事后补做的现象。,对复杂大系统，总体级的,FMECA,往往需要低层次的分析结果作为输入，对相关分析活动的策划将有助于确保高层次产品,FMECA,的实施。,FMECA,计划阶段事先规定的基本前提、假设、分析方法和数据，将有助于在不同产品等级和承制方之间交流和共享，确保分析结果的一致性、有效性和可比性。,2024/9/17,可靠性设计,27,实施,FMECA,应注意的问题,保证,FMECA,的实时性、规范性、有效性,实时性,。,FMECA,工作应纳入研制工作计划、做到目的明确、管理务实；,FMECA,工作与设计工作应同步进行，将,FMECA,结果及时反馈给设计过程。,规范性,。分析工作应严格执行,FMECA,计划、有关标准,/,文件的要求。分析中应明确某些关键概念，比如：故障检测方法是系统运行或维修时发现故障的方法；严酷度是对故障模式最终影响严重程度的度量，危害度是对故障模式后果严重程度的发生可能性的综合度量，两者是不同的概念，不能混淆。,有效性,。对分析提出的改进、补偿措施的实现予以跟踪和分析，以验证其有效性。这种过程也是积累,FMECA,工程经验的过程。,2024/9/17,可靠性设计,28,实施,FMECA,应注意的问题,FMECA,的剪裁和评审,FMECA,作为常用的分析工具，可为可靠性、安全性、维修性、测试性和保障性等工作提供信息，不同的应用目的可能得到不同的分析结果。各单位可根据具体的产品特点和任务对,FMECA,的分析步骤、内容进行补充，剪裁，并在相应文件中予以明确。,2024/9/17,可靠性设计,29,实施,FMECA,应注意的问题,FMECA,的数据,故障模式是,FMECA,的基础。能否获得故障模式的相关信息是决定,FMECA,工作有效性的关键。若进行定量分析时还需故障的具体数据，这些数据除通过试验获得外，一般是需要通过相似产品的历史数据进行统计分析。有计划有目的地注意收集、整理有关产品的故障信息，并逐步建立和完善故障模式及频数比的相关故障信息库，这是开展有效的,FMECA,工作的基本保障之一。,2024/9/17,可靠性设计,30,实施,FMECA,应注意的问题,FMECA,应与其他分析方法相结合,FMECA,虽是有效的可靠性分析方法，但并非万能，它不能代替其他可靠性分析工作。应注意,FMECA,一般是静态的、单一因素的分析方法。在动态方面还很不完善，若对系统实施全面分析还需与其他分析方法（如,FTA,等）相结合。,2024/9/17,可靠性设计,31,故障模式分析,故障与故障模式,故障是产品或产品的一部分不能或将不能完成预定功能的事件或状态（对电子元器件、弹药、机械产品也称失效）。,故障模式是故障的表现形式,，如短路、开路、起落架撑杆断裂、作动筒间隙不当、收放不到位、过度耗损等。,一般在研究产品的故障时往往从产品的故障现象入手，进而通过现象找出故障原因。,故障模式是,FMECA,分析的基础，同时也是进行其它故障分析（如故障树分析、事件树分析等）的基础之一,。,2024/9/17,可靠性设计,32,故障模式分析,故障判据,产品的故障与产品所属系统的规定功能和规定条件密切相关，在对具体的系统进行故障分析时，必须首先明确系统在规定的条件下丧失规定功能的判别准则，即系统的故障判据，这样才能明确产品的某种非正常状态是否为该产品的故障模式。,注意区分两类不同性质的故障,功能故障,指产品或产品的一部分不能完成预定功能的事件或状态。,潜在故障,指产品或产品的一部分,将,不能完成预定功能的事件或状态。,2024/9/17,可靠性设计,33,故障模式分析,注意穷尽可能的故障模式,一个产品可能具有多种功能,起落架：支撑、滑跑、收放等,每一种功能又可能具有多种故障模式,支撑：降落时折起,滑跑：震动,收放：收不起、放不下,因此，分析人员的,任务就是找出产品每一种功能的全部可能的故障模式。,对于一般具有,多种任务功能的复杂系统,，要说明产品的故障模式是在,哪一个任务剖面,的,哪一个任务阶段,的,哪种工作模式,下发生的。,2024/9/17,可靠性设计,34,故障模式分析,系统研制初期分析故障模式的原则,在系统的寿命周期内，分析人员经过各种目的,FMECA,即可掌握系统的全部故障模式，但,首先遇到的问题是在系统研制初期如何分析各产品可能的故障模式,。,一般地说，可通过统计、试验或分析预测来解决,，即可遵循如下原则：,对系统中直接采用的,现有产品,，可以以该产品在过去的使用中所发生的故障模式为基础，再根据该产品使用环境条件的异同进行分析修正，得到该产品的故障模式。,对系统中的,新产品,，可根据该产品的功能原理进行分析预测，得到该产品的故障模式，或以与该产品具有相似功能的产品所发生的故障模式为基础，分析判断该产品的故障模式。,2024/9/17,可靠性设计,35,典型故障模式,GJB1391,故障模式影响及危害性分析,序号,故障模式,序号,故障模式,序号,故障模式,1,结构故障,(,破损,),12,超出允差,(,下限,),23,滞后运行,2,捆结或卡死,13,意外运行,24,错误输入,(,过大,),3,振动,14,间歇性工作,25,错误输入,(,过小,),4,不能保持正常位置,15,漂移性工作,26,错误输出,(,过大,),5,打不开,16,错误指示,27,错误输出,(,过小,),6,关不上,17,流动不畅,28,无输入,7,误开,18,错误动作,29,无输出,8,误关,19,不能关机,30,(,电的,),短路,9,内部漏泄,20,不能开机,31,(,电的,),开路,10,外部漏泄,21,不能切换,32,(,电的,),漏泄,11,超出允差,(,上限,),22,提前运行,33,其它,2024/9/17,可靠性设计,36,机械产品典型故障模式,故障模式可分为以下七大类：,损坏型：如断裂、变形过大、塑性变形、裂纹等。,退化型：如老化、腐蚀、磨损等。,松脱型：松动、脱焊等,失调型：如间隙不当、行程不当、压力不当等。,堵塞或渗漏型：如堵塞、漏油、漏气等。,功能型：如性能不稳定、性能下降、功能不正常。,其他：润滑不良等。,2024/9/17,可靠性设计,37,故障原因分析,分析故障原因一般从两个方面着手：,直接原因：导致产品功能故障的产品自身的那些物理、化学或生物变化过程等，直接原因又称为,故障机理,。,间接原因：由于其他产品的故障、环境因素和人为因素等引起的间接故障原因。,例如,起落架上位锁打不开,直接原因：锁体间隙不当、弹簧老化等,间接原因：锁支架刚度差,2024/9/17,可靠性设计,38,故障影响分析,故障影响,指产品的每一个故障模式对产品自身或其他产品的使用、功能和状态的影响。,局部影响,:,某产品的故障模式对该产品自身和与该产品所在约定层次相同的其他产品的使用、功能或状态的影响。,高一层次影响,:,某产品的故障模式对该产品所在约定层次的高一层次产品的使用、功能或状态的影响。,最终影响,:,指系统中某产品的故障模式对初始约定层次产品的使用、功能或状态的影响。,2024/9/17,可靠性设计,39,严酷度类别,定义,系统中各产品的故障模式产生的最终影响往往是不同的。为了划分不同故障模式产生的最终影响的严重程度，在进行故障模式分析之前，一般需要对最终影响的后果等级进行预定义，从而对系统中各故障模式按其严重程度进行分级。,在某些系统（一般为武器系统）中，最终影响的严重程度等级又称为严酷度类别。,严酷度：故障模式所产生后果的严重程度。,2024/9/17,可靠性设计,40,严酷度类别,武器系统的严酷度类别定义,(,GJB1391,),严酷度类别,严 重 程 度 定 义,类,(,灾难的,),这是一种会引起人员死亡或系统,(,如飞机、坦克、导弹及船舶等,),毁坏的故障。,类,(,致命的,),这种故障会引起人员的严重伤害、重大经济损失或导致任务失败的系统严重损坏。,类,(,临界的,),这种故障会引起人员的轻度伤害，一定的经济损失或导致任务延误或降级的系统轻度损坏。,类,(,轻度的,),这是一种不足以导致人员伤害、一定的经济损失或系统损坏的故障，但它会导致非计划性维护或修理。,2024/9/17,可靠性设计,41,故障检测方法,针对分析找出的每一个故障模式，分析其故障检测方法，以便为系统的维修性、测试性设计以及系统的维修工作提供依据。,故障检测方法一般包括目视检查、离机检测、原位测试等手段,：,自动传感装置、传感仪器、音响报警装置、显示报警装置等,故障检测一般分为事前检测与事后检测两类，对于潜在故障模式，应尽可能设计事前检测方法。,2024/9/17,可靠性设计,42,补偿措施分析,是关系到能否有效地提高产品可靠性的重要环节。它针对每个故障模式的原因、影响，提出可能的补偿措施。,设计补偿措施,产品发生故障时，能继续安全工作的冗余设备；,安全或保险装置,(,如监控及报警装置,),；,可替换的工作方式,(,如备用或辅助设备,),；,可以消除或减轻故障影响的设计或工艺改进,(,如概率设计、计算机模拟仿真分析和工艺改进等,),。,操作人员补偿措施,特殊的使用和维护规程，尽量避免或预防故障的发生；,一旦出现某故障后操作人员应采取的最恰当的补救措施。,2024/9/17,可靠性设计,43,故障概率等级或数据来源,故障概率等级,定性分析方法,A,级,经常发生，,20%,B,级,有时发生，,10% 20%,C,级,偶然发生，,1% 10%,D,级,很少发生，,0.1% 1%,E,级,极少发生，,0.1%,数据来源,预计值,分配值,外场评估值等,2024/9/17,可靠性设计,44,故障模式频数比,气体控制活门,故障模式,故障模式频数比,产品故障率,p,模式故障率,m,不闭合,不打开,外部漏气,34%,57%,9%,0.12345,0.04197,0.07036,0.01111,总 计,1.0,0.12345,故障模式频数比,故障模式频数比,是产品的某一故障模式占其全部故障模式的百分比率。如果考虑某产品所有可能的故障模式，则其故障模式频数比之和将为,1,。,模式故障率,m,是指产品总故障率,p,与某故障模式频数比,的乘积。,例：故障模式频数比及模式故障率,2024/9/17,可靠性设计,45,故障影响概率,故障影响概率,是指假定某故障模式已发生时，导致确定的严酷度等级的最终影响的条件概率。,某一故障模式可能产生多种最终影响，分析人员不但要分析出这些最终影响还应进一步指明该故障模式引起的每一种故障影响的百分比，此百分比即为,。这多种最终影响的,值之和应为,1,。,故障影响概率示例,2024/9/17,可靠性设计,46,例,某型军用教练飞机升降舵系统的,FMECA,系统定义,系统组成及功能,约定层次,绘制可靠性方框图,故障判据,严酷度类别,FMECA,表的填写,FMECA,表格的选取,FMECA,表中信息来源,主要故障模式,系统在不同严酷度下的危害度,FMECA,报告,2024/9/17,可靠性设计,47,系统定义,系统组成及功能,某型军用教练飞机升降舵系统是单梁盒式薄壁结构，并是由梁、小梁、肋、蒙皮所组成的双闭室剖面结构。为保证升降舵系统的操作，由负载、配平性能需要，还装有配重的调整片、翼尖配重。,约定层次,初始约定层次为某型军用教练机,约定层次图,2024/9/17,可靠性设计,48,系统定义,绘制方框图,绘制,功能结构方框图,绘制,可靠性框图,故障判据,严酷度类别,2024/9/17,可靠性设计,49,升降舵系统约定层次,2024/9/17,可靠性设计,50,功能结构方框图,2024/9/17,可靠性设计,51,可靠性框图,2024/9/17,可靠性设计,52,故障判据,升降舵系统凡发生不满足以下要求的情况之一，即认为该系统发生了故障：,舵面偏转时应准确及时偏转到规定位置；,左、右升降舵应保持同步偏转；,飞机长期稳定飞行时，舵面应保持确定的平衡位置；,舵面偏转时无卡滞现象；,飞行中舵面无强烈振动现象；,调整片按要求能正常偏转；,配重无松动现象；,舵面结构满足了强度、刚度要求，没有因疲劳、腐蚀等导致其结构的损伤。,2024/9/17,可靠性设计,53,严酷度类别,升降舵系统严酷度类别的定义,严酷度类别,严重程度定义,类,（灾难的）,危及人员或安全（如一等、二等飞行事故及重大环境损坏）,类,（致命的）,损伤人员或飞机损伤（如三等飞行事故及严重环境损害）,类,（临界的）,人员程轻度伤害或影响任务完成（如误飞、中断或取消飞行、降低飞行品质、增加着陆困难、中等程度环境损害）,类,（轻度的）,无影响或影响很小，增加非计划性维护或修理,2024/9/17,可靠性设计,54,FMECA,表格的填写,FMECA,表格的选取,根据本案例的实际情况，将,FMEA,表、,CA,表合并成一个表。这使,FMECA,表更简明、直观和减少工作量。,FMECA,表中信息来源,表中的故障模式、故障原因、故障率等均是在多个相似飞机升降舵的调研和分析基础上进行的，其结果比较真实可靠。,主要故障模式,归纳该升降舵的故障模式是：,舵面偏转不到位。其表现为驾驶杆行程加大，操纵不到位。,舵面偏转困难（偏重），但无卡死现象。,卡滞。舵面转动不灵活，有卡滞现象。,振动。由舵面的振动导致驾驶杆抖动。,结构故障。由于长期使用，舵面结构局部损伤，造成结构强度、刚度下降，变形加大。,2024/9/17,可靠性设计,55,FMECA,表格的填写,针对上述故障模式提示了相应的改进措施，进而提高了产品的可靠性、保证了该教练机飞行一次成功。,系统在不同严酷度下的危害度,据表结果，升降舵系统在不同严酷度下的危害度是：,CRs(I),6.00110,-6,；,CRs(),31.672410,-6,；,CRs(),1.418310,-6,；,CRs(),0.025210,-6,2024/9/17,可靠性设计,56,FMECA,表格,2024/9/17,可靠性设计,57,FMECA,报告,可靠性关键产品清单,类故障模式清单,单点故障模式清单,不可检测故障模式清单,危害性矩阵图等,2.FTA,2024/9/17,可靠性设计,59,内容提要,概述,故障树的基本概念,定义,目的、特点,FTA,工作要求,常用事件、逻辑门符号,故障树分析,定性分析,定量分析,重要度分析,故障树的简化,2024/9/17,可靠性设计,60,概述,切尔诺贝利核泄露事故、美国的挑战者号升空后爆炸和印度的博帕尔化学物质泄露。,FMECA,：,单因素分析法，只能分析单个故障模式对系统的影响。,FTA,可分析多种故障因素（硬件、软件、环境、人为因素等）的组合对系统的影响。,FMECA,和,FTA,是工程中最有效的故障分析方法，,FMECA,是,FTA,的基础。,各工程领域广泛应用：核工业、航空、航天、机械、电子、兵器、船舶、化工等。,2024/9/17,可靠性设计,61,泰坦尼克海难,海难后果,船体钢材不适应海水低温环境，造成船体裂纹,观察员、驾驶员失误，造成船体与冰山相撞,船上的救生设备不足，使大多数落水者被冻死,距其仅,20,海里的,California,号无线电通讯设备处于关闭状态，无法收到求救信号，不能及时救援,顶事件,逻辑门,中间事件,底事件,2024/9/17,可靠性设计,62,电机故障树,2024/9/17,可靠性设计,63,基本概念,故障树定义,故障树指用以表明产品哪些组成部分的故障或外界事件或它们的组合将导致产品发生一种给定故障的逻辑图。,故障树是一种逻辑因果关系图，构图的元素是,事件,和,逻辑门,事件,用来描述系统和元、部件故障的状态,逻辑门,把事件联系起来，表示事件之间的逻辑关系,故障树实例,2024/9/17,可靠性设计,64,基本概念,故障树分析（,FTA,）,通过对可能造成产品故障的,硬件、软件、环境、人为因素,进行分析，画出故障树，从而确定产品故障原因的各种可能组合方式和,(,或,),其发生概率。,定性分析,定量分析,2024/9/17,可靠性设计,65,基本概念,FTA,目的,帮助判明可能发生的故障模式和原因，发现可靠性和安全性薄弱环节，采取改进措施，以提高产品可靠性和安全性；,计算故障发生概率；,发生重大故障或事故后，,FTA,是故障调查的一种有效手段，可以系统而全面地分析事故原因，为故障“归零”提供支持；,指导故障诊断、改进使用和维修方案等。,FTA,特点,是一种自上而下的图形演绎方法；,有很大的灵活性；,综合性：硬件、软件、环境、人为因素等；,主要用于安全性分析。,2024/9/17,可靠性设计,66,FTA,工作要求,在产品研制早期就应进行,FTA,，以便早发现问题并进行改进。随设计工作进展，,FTA,应不断补充、修改、完善。,“,谁设计，谁分析,”,故障树应由设计人员在,FMEA,基础上建立。可靠性专业人员协助、指导，并由有关人员审查，以保证故障树逻辑关系的正确性。,应与,FMEA,工作相结合,应通过,FMEA,找出影响安全及任务成功的关键故障模式（即,I,、,II,类严酷度的故障模式）作为顶事件，建立故障树进行多因素分析，找出各种故障模式组合，为改进设计提供依据。,2024/9/17,可靠性设计,67,FTA,工作要求,FTA,输出的设计改进措施，必须落实到图纸和有关技术文件中,应采用计算机辅助进行,FTA,由于故障树定性、定量分析工作量十分庞大，因此建立故障树后，应采用计算机辅助进行分析，以提高其精度和效率。,2024/9/17,可靠性设计,68,故障树常用事件符号,符号,说明,底事件,元、部件在设计的运行条件下发生的随机故障事件。,实线圆,硬件故障,虚线圆,人为故障,未探明事件,表示该事件可能发生，但是概率较小，勿需再进一步分析的故障事件，在故障树定性、定量分析中一般可以忽略不计。,顶,事,件,人们不希望发生的显著影响系统技术性能、经济性、可靠性和安全性的故障事件。顶事件可由,FMECA,分析确定。,中间事件,故障树中除底事件及顶事件之外的所有事件。,2024/9/17,可靠性设计,69,故障树常用事件符号,符号,说明,开关事件：已经发生或必将要发生的特殊事件。,条件事件：描述逻辑门起作用的具体限制的特殊事件。,入三角形：位于故障树的底部，表示树的,A,部分分支在另外地方。,出三角形：位于故障树的顶部，表示树,A,是在另外部分绘制的一棵故障树的子树。,A,2024/9/17,可靠性设计,70,故障树常用逻辑门符号,符号,说明,相同转移符号（,A,是子树代号，用字母数字表示）：,左图表示“下面转到以字母数字为代号所指的地方去”,右图表示“由具有相同字母数字的符号处转移到这里来”,相似转移符号（,A,同上）：,左图表示“下面转到以字母数字为代号所指结构相似而事件标号不同的子树去”，不同事件标号在三角形旁注明,右图表示“相似转移符号所指子树与此处子树相似但事件标号不同”,2024/9/17,可靠性设计,71,故障树常用逻辑门符号,符号,说明,与门,B,i,(i=1,2,n),为门的输入事件，,A,为门的输出事件,B,i,同时发生时，,A,必然发生，这种逻辑关系称为事件交。,用逻辑“与门”描述，逻辑表达式为,或门,当输入事件中至少有一个发生时，输出事件,A,发生，称为事件并。,用逻辑“或门”描述，逻辑表达式为,2024/9/17,可靠性设计,72,故障树常用逻辑门符号,符号,说明,表决门：,n,个输入中至少有,r,个发生，则输出事件发生；否则输出事件不发生。,异或门：输入事件,B1,，,B2,中任何一个发生都可引起输出事件,A,发生，但,B1,，,B2,不能同时发生。相应的逻辑代数表达式为,2024/9/17,可靠性设计,73,故障树常用逻辑门符号,符号,说明,禁止门：,仅当“禁门打开条件”发生时，输入事件,B,发生才导致输出事件,A,发生；,打开条件写入椭圆框内。,顺序与门：仅当输入事件,B,按规定的“顺序条件”发生时，输出事件,A,才发生。,非门：输出事件,A,是输入事件,B,的逆事件。,2024/9/17,可靠性设计,74,故障树示例,2024/9/17,可靠性设计,75,故障树定性分析,目的,寻找顶事件的原因事件及原因事件的组合（最小割集），即识别导致顶事件发生的所有故障模式集合。,帮助分析人员发现潜在的故障，发现设计的薄弱环节，以便改进设计。,指导故障诊断，改进使用和维修方案。,割集、最小割集概念,割集：故障树中一些底事件的集合，当这些底事件同时发生时，顶事件必然发生。,最小割集：若将割集中所含的底事件任意去掉一个就不再成为割集了，这样的割集就是最小割集。,2024/9/17,可靠性设计,76,故障树定性分析,最小割集的意义,最小割集对降低复杂系统潜在事故的风险具有重大意义,如果能使每个最小割集中至少有一个底事件恒不发生,(,发生概率极低,),，则顶事件就恒不发生,(,发生概率极低,),，设计时系统潜在事故的发生概率降至最低。,消除可靠性关键系统中的一阶最小割集，可消除单点故障,可靠性关键系统设计要求不允许有单点故障。方法之一就是设计时进行故障树分析，找出一阶最小割集，在其所在的层次或更高的层次增加,“,与门,”,，并使,“,与门,”,尽可能接近顶事件。,最小割集可以指导系统的故障诊断和维修,如果系统某一故障模式发生了，则一定是该系统中与其对应的某一个最小割集中的全部底事件全部发生了。进行维修时，如果只修复某个故障部件，虽然能够使系统恢复功能，但其可靠性水平还远未恢复。根据最小割集的概念，只有修复同一最小割集中的所有部件故障，才能恢复系统可靠性、安全性设计水平。,2024/9/17,可靠性设计,77,故障树定量分析,假设,独立性：底事件之间相互独立；,两态性：元、部件和系统只有正常和故障两种状态,指数分布：元、部件和系统寿命,故障树的数学描述,结构函数,典型逻辑门的结构函数,结构函数示例,单调关联系统,典型逻辑门的概率计算,顶事件发生概率计算,2024/9/17,可靠性设计,78,典型逻辑门的结构函数,序号,名称,描述,1,与门,2,或门,3,n,中取,r,4,异或门,2024/9/17,可靠性设计,79,结构函数示例,3.ETA,2024/9/17,可靠性设计,81,内容提要,事件树分析的基本概念,事件树的建造,事件树的定量分析,ETA,与,FTA,的综合应用,2024/9/17,可靠性设计,82,事件树分析的基本概念,初因事件,可能引发系统安全性后果的系统内部的故障或外部的事件。,后续事件,在初因事件发生后，可能相继发生的其他事件，这些事件可能是系统功能设计中所决定的某些备用设施或安全保证设施的启用，也可能是系统外部正常或非正常事件的发生。,后续事件一般是按一定顺序发生的。,后果事件,由初因事件和后续事件的发生或不发生所构成的不同的结果。,2024/9/17,可靠性设计,83,事件树的分支,事件树分析的基本概念,2024/9/17,可靠性设计,84,事件树分析的基本概念,确定初因事件：确定和分析可能导致系统安全性后果的初因事件并进行分类，对那些可能导致相同事件树的初因事件划分为一类。,建造事件树：确定和分析初因事件发生后，可能相继发生的后续事件，并进一步确定这些事件发生的先后顺序，按后续事件发生或不发生（二态）分析各种可能的结果，找出后果事件。,事件树的建造过程也是对系统的一个再认识过程。,事件树的定量分析：对所建完的事件树，收集、分析各事件的发生概率及其相互间的依赖关系，定量计算各后果事件的的发生概率，并进一步分析评估其风险。,2024/9/17,可靠性设计,85,事件树建造,连续运转部件组成系统的事件树,有备用或安全装置的系统事件树,考虑人为因素的事件树,2024/9/17,可靠性设计,86,桥网络系统事件树,2024/9/17,可靠性设计,87,桥网络系统简化事件树,2024/9/17,可靠性设计,88,有备用或安全装置的系统事件树,2024/9/17,可靠性设计,89,化学反应器事件树,2024/9/17,可靠性设计,90,考虑人为因素的事件树,2024/9/17,可靠性设计,91,事件树化简,当某一非正常事件的发生概率极低时可以不列入后续事件中；,当某一后续事件发生后，其后的其他事件无论发生与否均不能减缓该事件链的后果时，该事件链即已结束。,2024/9/17,可靠性设计,92,事件树定量分析,确定初因事件的概率,确定后续事件及各后果事件的发生概率,评估各后果事件的风险,2024/9/17,可靠性设计,93,简化计算后果事件的概率,P(IS,1,S,2,)=P(I)P(S,1,)P(S,2,)P(I),P(IS,1,F,2,)=P(I)P(S,1,)P(F,2,)P(I)P(F,2,),P(IF,1,S,2,)=P(I)P(F,1,)P(S,2,)P(I)P(F,1,),P(IF,1,F,2,)=P(I)P(F,1,)P(F,2,),2024/9/17,可靠性设计,94,桥网络系统后果事件概率计算,若假定系统中的各部件的故障是独立的，则可计算出桥网络系统的可靠度为：,P,i,是后果事件，为系统成功的事件链的发生概率，,i,=1,2,3,4,5,6,9,10,11,12,13,17,18,19,21,22,。,各事件链的发生概率可由各部件的可靠度,R,j,和不可靠度,F,j,(,j=A,B,C,D,E,),求出，即：,P,1,=R,A,R,B,R,C,R,D,R,E,P,2,=R,A,R,B,R,C,R,D,F,E,若各部件的可靠度,R,A,=R,B,=R,C,=R,D,=R,E,=0.99,，则系统的可靠度,R,S,=0.999798,。,2024/9/17,可靠性设计,95,精确计算后果事件的概率,当事件树中的各事件的发生不是相互独立时，进行事件树中后果事件发生概率的计算将更为复杂，此时必须考虑各事件发生的条件概率。仍以图,1,中的事件树为例，后果事件,IF,1,F,2,的发生概率为：,P,（,IF,1,F,2,）,=P,（,I,）,P,（,F,1,/I,）,P,（,F,2,/F,1,，,I,）,P,（,F,1,/I,）表示在初因事件,I,发生的条件下，系统,1,失效事件（,F,1,）发生的概率。而,P,（,F,2,/F,1,，,I,）表示在初因事件,I,发生、系统,1,失效事件（,F,1,）也发生的条件下，系统,2,失效事件（,F,2,）发生的概率。,2024/9/17,可靠性设计,96,后果事件的风险评估,事件的风险定义为事件的发生概率与其损失值的乘积：,R,=,P,C,R,后果事件的风险值,P,单位时间内后果事件的发生概率,C,后果事件的的损失值,2024/9/17,可靠性设计,97,法默曲线,2024/9/17,可靠性设计,98,事件树与故障树的综合分析,如果事件树中的初因事件与后续事件是系统中的非正常事件（如某部件的故障），则可以这些事件为顶事件建立故障树，如果事件树中的初因事件与后续事件是系统中的正常事件，则可以其为顶事件建立成功树。,以事件树中的后果事件为顶事件，按照一定的逻辑关系（一般情况下为逻辑与的关系）将与该后果事件相关的初因事件和后续事件连接成故障树。,对事件树分析中找出的后果事件相同的分支，再以该事件为顶事件按照一定的逻辑关系（一般情况下为逻辑或的关系）建造一棵更大的故障树。,通过故障树的定性定量分析求出系统中各类事件的发生概率。,2024/9/17,可靠性设计,99,电机发热事件树,2024/9/17,可靠性设计,100,2024/9/17,可靠性设计,101,2024/9/17,可靠性设计,102,例,1,有一泵和两个串联阀门组成的物料输送系统（如本页图所示）。物料沿箭头方向顺序经过泵,A,、阀门,B,和阀门,C,，泵启动后的物料输送系统的事件树如下页图所示。设泵,A,、阀门,B,和阀门,C,的可靠度分别为,0.95,、,0.9,、,0.9,，则系统成功的概率为,0.7695,，系统失败的概率为,0.2305,。,2024/9/17,可靠性设计,103,2024/9/17,可靠性设计,104,例,2,有一泵和两个并联阀门组成的物料输送系统，图中,A,代表泵，阀门,C,是 阀门,B,的备用阀，只有当阀门,B,失败时，,C,才开始工作。同上例一样，假设泵,A,、阀门,B,和阀门,C,的可靠度分别为,0.95,、,0.9,、,0.9,，则按照它的事件树（下页图），可得知这个系统成功的概率为,0.9405,，系统失败的概率为,0.0595,。,2024/9/17,可靠性设计,105,从以上两例可以看出，阀门并联物料系统的可靠度比阀门串联时要大得多。,2024/9/17,可靠性设计,106,例,3,某工厂的氯磺酸罐发生爆炸，致使,3,人死亡，用事件树分析的结果如下页图所示。 该厂有,4,台氯磺酸贮罐。因其中两台的紧急切断阀失灵而准备检修，一般按如下程序准备：,将罐内的氯磺酸移至其他罐；,将水徐徐注入，使残留的浆状氯磺酸分解；,氯磺酸全部分解且烟雾消失以后，往罐内注水至满罐为止；,静置一段时间后，将水排出；,打开入孔盖，进入罐内检修。,2024/9/17,可靠性设计,107,例,3,可是在这次检修时，负责人为了争取时间，在上述第,3,项任务未完成的情况下，连水也没排净就命令维修工人去开入孔盖。由于入孔盖螺栓锈死，两检修工用气割切断螺栓时，突然发生爆炸，负责人和两名检修工当场死亡。,2024/9/17,可靠性设计,108,