故障模式、效应及危害性分析

1、信息产业部电子五所信息产业部电子五所内容介绍内容介绍1 概述概述 FMECA同同FTA的的概念、相互区别及应用的的概念、相互区别及应用2 FMECA的一般方法的一般方法 FMECA分析方法分析方法 FMECA分析实例分析实例3 FTA的方法基础的方法基础4 FTA的一般方法的一般方法 FT的建立和简化、的建立和简化、 FT的定量分析、定性分析的定量分析、定性分析FMEA、FMECA 失效模式、影响与危害分析（失效模式、影响与危害分析（FMECA），或失），或失效模式与效应分析（效模式与效应分析（FMEA），是一种可靠性），是一种可靠性分析技术，在工程设计（可以是整个的也可以分析技术，在工程设计

2、（可以是整个的也可以是局部的）完成后供检查和分析设计图纸（就是局部的）完成后供检查和分析设计图纸（就电子设备来说，是对电路的设计图纸）用。电子设备来说，是对电路的设计图纸）用。 这种分析方法能对被研究对象具体指明单元可这种分析方法能对被研究对象具体指明单元可能发生的失效模式（例如，对电路来说，是发能发生的失效模式（例如，对电路来说，是发生开路失效或短路失效，饱和阻塞，还是参数生开路失效或短路失效，饱和阻塞，还是参数漂移等）、产生的效应和后果，因而有助于获漂移等）、产生的效应和后果，因而有助于获得供改进可靠性用的具体工程方案。得供改进可靠性用的具体工程方案。概述 FMECA是在是在FMEA基础上

3、扩展出来的，基础上扩展出来的，它是它是FMA(故障模式分析故障模式分析)、FEA（失效（失效影响分析）、影响分析）、FCA(失效后果分析失效后果分析)三种方三种方法的总称。它使定性分析的法的总称。它使定性分析的FMEA增加增加了定量分析的特点。了定量分析的特点。 失效模式、效应与危害度分析又是维修失效模式、效应与危害度分析又是维修性设计特别是故障安全设计的基础，也性设计特别是故障安全设计的基础，也是是PLP(产品责任预防产品责任预防)分析的代表性方法。分析的代表性方法。 70年代末期，美国发生的几起重大事故年代末期，美国发生的几起重大事故均与未周密地进行失效模式、效应与危均与未周密地进行失效模

4、式、效应与危害度分析有关害度分析有关 。例如：。例如：概述 NASA卫星系统，在发射情况下，由于对旋转卫星系统，在发射情况下，由于对旋转天线汇流环进行失效模式、效应与危害分析时天线汇流环进行失效模式、效应与危害分析时只考虑开路失效模式，忽略了短路失效效应，只考虑开路失效模式，忽略了短路失效效应，结果因天线汇流环发生短路而使发射失效，损结果因天线汇流环发生短路而使发射失效，损失了九千至一亿五千万美元。失了九千至一亿五千万美元。 美国美国DC-10商用飞机，在变更发动机维修方法商用飞机，在变更发动机维修方法时，因未进行失效模式、效应与危害度分析，时，因未进行失效模式、效应与危害度分析，终于在芝加哥

5、上空坠毁。终于在芝加哥上空坠毁。1979年年3月月28日，美日，美国的三里岛国的三里岛2号反应堆发生的举世瞩目的重大号反应堆发生的举世瞩目的重大安全事故，也是因未对控保系统中增压安全阀安全事故，也是因未对控保系统中增压安全阀及其监示电路的失效模式进行详细分析的结果。及其监示电路的失效模式进行详细分析的结果。概述失效树分析失效树分析 失效树分析法（失效树分析法（Fault Tree Analysis）简）简称称FTA。1961年美国贝尔实验室沃森年美国贝尔实验室沃森（Watson）等人在民兵导弹发射控制系）等人在民兵导弹发射控制系统中开始应用，其后波音公司对统中开始应用，其后波音公司对FTA作作

6、了修改使其能用计算机进行处理，推动了修改使其能用计算机进行处理，推动了了FTA技术的迅速发展。技术的迅速发展。FTA现已成为现已成为分析各种复杂系统可靠性的重要方法之分析各种复杂系统可靠性的重要方法之一。一。概述 失效树分析，是把系统不希望发生的失效状态作为失效分析的目标，这一目标在失效树分析中定义为“ 顶事件”。在分析中要求寻找出导致这一失效发生的所有可能的直接原因，这些原因在失效树分析中称之为“ 中间事件”。再跟踪追迹找出导致每一个中间事件发生的所有可能的原因，顺序渐进，直至追踪到对被分析对象来说是一种基本原因为止。这种基本原因，失效树分析中定义为“ 底事件”。概述失效树建造是失效树分析的

7、关键失效树建造是失效树分析的关键 失效树建造是失效树分析的关键，也是工作量最大的部分。由于建树工作量大，因而这种方法在新的复杂系统上使用受到局限。例如，美国原子能委员会发表的WASH-1400核电站风险评价分析报告指出，为了建造失效树，60名专家用了将近三年时间，消耗了大量资金概述FMECA同同FTA的相互区别的相互区别概述方法FMEA、FMECAFTA按 层次 的分 析方向自原因单一故障模式（错误模式）方面向结果上级系统的故障方面分析，自下而上，顺向自结果不希望发生的顶事件（上级事件）向原因方面（下级事件） 做树形图分解， 自上而下，逆向方法在表格内填写故障模式对装置、系统的影响，对故障模式

8、的评价，改进措施，并将致命项目（模式）列表由顶事件起经过中间事件至最下级的基本事件用逻辑符号联结，形成树形图， 再计算不可靠度 （不安全概率）定 性与 定量 分析 的功能是定性的、归 纳性的方法 ，特 别 是 不 需 要 计 算 。 但FMECA 需 要 根 据 故 障 率 数据定量地计算致命度应用布尔代数等按树形图逻辑符号将树形图简化， 求最小割集 （最重要致命原因事件的组合）并计算 顶 事 件 发 生 概 率 。 若 是 定 量的、逻辑的、演绎的方法，还可对事件发生频率、费用及工时损失等做出相对（定性）的评价特点（优点与缺点）利用表格，简 单列举系统 构成零部件的所 有故障模式 ，并假定其

9、发生 ，可找出系 统可能发生的故 障。缺点是 只输入硬件的单 一故障模式 ，因而是孤立的 分析。在某 种程 度 上 也 可 考 虑 与 人 员 差错、软件错误 有关系统的 部件。对于含大 量部件，具 有多重功能的工 作模式和维 修措施的复杂系 统，以及环 境影响大的系统 ，在应用上 均有困难以某个特定的不希望发生的故障（不正常）为顶事件，可以进行更深入的分析。与 FMEA 相比，不仅可以分析部件错误，还可以分析由于人员差错、软件错误、控制错误、环境应力等引起的故障、 ，及进行多重故障分析。可以从逻辑上明确故障的发生过程定量计算顶事件的发生概率。其不利的一面是还有人力熟悉布尔代数与最小割集等知识

10、。应用注意事项应用注意事项 FMECA、FTA都是可靠性分析方法，但是并非万能。FMECA、FTA不能代替全部可靠性分析。这两种方法不仅要相辅相成地应用，还要重视与其它分析方法、管理方法及数据的结合。尤其，FMECA、FTA都是重视功能型的静态分析方法，在考虑时间序列与外部因素等共同原因方面，即动态分析方面并不完善。概述应用应用FMECA的意义的意义 发射卫星的运载火箭，为安全飞行起见，均设有“ 自毁控制接收机”接收地面指挥系统必要时发出的自毁信号而引爆火箭本身。由于自毁引爆损失重大，因此设计则是通过失效模式、效应与危害度分析作出改进。FMECA的一般方法的一般方法图2.1 未进行FMECA分

11、析的自毁控制接收机的逻辑和激励中继线路简图FMECA的一般方法的一般方法E2E1图2.2 进行FMECA分析后的自毁控制接收机的逻辑和激励中继线路简图E2E2FMECA的一般方法的一般方法E1通过失效模式、效应及危害度通过失效模式、效应及危害度分析可以做到分析可以做到 鉴别出被分析单元会导致的不可接受或非常严重的失效，确定可能会对预期或所需运行情况造成致命影响的失效模式，并列出由此而引起的从属失效； 决定需另选的元器件、零部件和整件； 保证能识别各种检测手段引起的失效模式； 选择预防或正确维护要点，制定故障检修指南，配置测试设备以及为测试点提供资料。 确定单元及子系统失效模式的危害度FMECA

12、的一般方法的一般方法故障故障模式、效应及危害度分析模式、效应及危害度分析的基本程序的基本程序 定义系统及其各种功能要求和相应的失效判据； 制订功能、可靠性等框图，并作扼要的文字说明； 确定在哪一功能级上进行分析，并根据实际情况确定采用的分析方法； 确定失效模式及其发生的原因和效应，以及由此引起的各种继发事件； 确定失效检测方法和可能采取的预防性措施； 针对后果特别严重的失效，进一步考虑修改设计的步骤； 计算相对故障概率及其故障危害等级； 根据失效模式、效应及危害度分析结果提出相应的改进建议FMECA的一般方法的一般方法严酷度分类严酷度分类 为了度量产品故障造成的最坏的潜在影响，应对每一潜在的故

13、障模式进行严酷度分类，严酷度一般分为四级： 类（灾难的）这种故障会引起人员死亡或系统（如飞机、导弹）毁坏。 类（致命的）这种故障会引起人员严重伤害、重大的经济损失或导致任务失败。 类（临界的）这种故障会引起人员的轻度伤害，一定的经济损失或导致任务延误或降级。 类（轻度的）这种故障不会造成人员的轻度伤害及一定程度的经济损失，但它会导致非计划维修。雷达系统的FMECA分析分析 第一步、 绘制分级功能框图。这种框图既不是工作原理框图，也不是可靠性框图，而是将系统内部分为子系统、分机、功能单元和元器件等若干功能等级的框图。 它不但表明了构成系统的各个子系统、分机、功能组件和元器件在功能上的相互依赖关系

14、，而且便于看出失效模式、效应及危害度分析应在哪一级上进行。 例 绘制雷达系统功能等级框图（图2.4），图中的分析对象是接收机内的前置放大器，故其它子系统的分机和接收机内其它功能单元及其元器件均被略去了FMECA的一般方法的一般方法图2.4 某雷达系统的功能等级框图天线A3接收机A2发射机A1显示器A4(1)电源A5显示器A4(2)前置放大器A1本机振荡器B2(1)本机振荡器B2(2)混 频器B3中频放大器B4探 测器B5电视B6来自舰艇电源的元器件FMECA的一般方法的一般方法雷达 第二步 确定被分析单元的（前置放大器内每一个元器件）失效模式频数比，即某一种失效模式出现的次数与单元出现的全部故

15、障次数之比。 可依据GJB299给出的典型电子设备用元器件的失效模式及其频数比，这个比值应根据具体元器件和使用人员的实际经验加以修正，也可以统计获得。FMECA的一般方法的一般方法GJB299给出的失效模式分布元器件类别失效模式比例%开路44短路36普通双极晶体管性能退化20开路16短路73瓷介电容器参数飘移11非电部件的失效模式及频数比非电部件的失效模式及频数比 (见见P7)部件名称主要的失效模式及其比率(%)部件名称主要的失效模式及其比率(%)轴承润滑性能下降或恶化45橡皮蛇形管材料蜕化85弄脏30接头机械损伤10位移5绝缘体机械破裂50腐蚀5蜕化50盐斑(Brinelling)5鼓风机绕

16、组失效35白炽灯严重破坏(灯丝断裂、玻璃破碎)10轴承失效50灯丝发射能力下降90汇流环、电刷和整流子失效5磁控管窗口击穿20断路器接触失效95发弧和火花导致阴极性能降低40线圈失效5放气30 第三步 对分级功能图中的每一个方框图自下而上逐级进行失效模式、效应及危害度分析，指出被分析方框对较高一级的隶属等级产生的效应。 定性估计每个元器件内每种失效模式引起的前置放大器的故障概率ij，当无法得到这种确切数据时，可适当地统一划分失效概率的等级，例如可采用以下等级：肯定上一级单元发生失效的等级为1.00，可能引起失效的等级为0.50；可能性较小的等效为0.10，不可能引起失效的等级为0.00。FME

17、CA的一般方法的一般方法 第四步 根据元器件在前置放大器内承受的电应力和热应力，确定各种元器件的使用失效率（表中的使用失效率系国外60年代的水平，目前可见GJB299B可靠性预计手册查得(可参见预计讲义的P15表9）； b.EFMECA的一般方法的一般方法tCriijijijFMECA的一般方法的一般方法第五步 计算每个元器件的每种失效模式的危害度Crij ij为单元i以失效模式j发生失效的频数比； ij为单元i以失效模式j发生失效时引起上一级发生失效的概率。 i为单元i的失效率。t为任务时间第六步第六步 填写前置放大器所有元器件的失效模式、填写前置放大器所有元器件的失效模式、效应及危害度分析

18、一览表效应及危害度分析一览表表2-2 前置放大器失效模式、效应及危害度分析一览表(任务时间为1106小时（1 1）产产 品品（2 2）代代号号（3 3）功功能能（4 4）故故障障模模式式（5 5）失失效效效效应应（6 6）损损伤伤概概率率( () )（7 7）故故障障模模式式频频数数比比( () )（8 8）使使用用失失效效率率1 10 0- -6 6/ /小小 时时（9 9）危危害害度度C Cr rj ji i开开 路路无无输输出出1 1. .0 00 00 0. .8 80 01 1. .5 51 1. .2 20 00 0薄薄膜膜电电阻阻器器A A2 2B B1 11 1R R1 1分分

19、压压器器数数值值变变化化错错误误输输出出0 0. .1 10 00 0. .2 20 01 1. .5 50 0. .0 03 30 0开开 路路无无输输出出1 1. .0 00 00 0. .8 80 01 1. .5 51 1. .2 20 00 0薄薄膜膜电电阻阻器器A A2 2B B1 11 1R R2 2分分压压器器数数值值变变化化错错误误输输出出0 0. .1 10 00 0. .2 20 01 1. .5 50 0. .0 03 30 0管管状状钽钽电电容容器器A A2 2B B1 11 1C C3 3去去耦耦开开 路路无无影影响响0 0. .0 00 00 0. .3 35 5

20、0 0. .2 22 20 0. .0 00 00 0FMECA的一般方法的一般方法 第七步 计算前置放大器的危害度：ijijsCrCr610635. 6)(FMECA的一般方法的一般方法 第八步第八步 建立危害度（性）矩阵建立危害度（性）矩阵 危害性矩阵用来确定和比较每一故障模式的危害程度，进而为确定改进措施的先后次序提供依据。 矩阵的横坐标用故障模式的严酷度表示。在进行定性分析时，纵坐标表示发生故障模式发生的概率等级（对上一级的影响）；在进行定量分析时，纵坐标表示产品或故障模式的危害度。 如下图所示，从元点开始，所记录的故障模式分布点沿着对角线方向距离原点越远，其危害性越大，越需尽快采取措

21、施改进。危害度矩阵图前置放大器元器件各故障模式的前置放大器元器件各故障模式的危害度矩阵危害度矩阵00.511.52一二三四五严酷度等级危害度C r二极管短路Q4 集电极-基极漏电偏大FMECA的标准方法及实例的标准方法及实例 本部分用实例介绍了GJB 1391-92故障模式、影响及危害性分析程序的工作项目101和工作项目102的表格和操作方法。FMEA 表格初初始始约约定定层层次次 任任务务 审审核核 第第 页页共共 页页约约定定层层次次 分分析析人人员员 批批准准 填填表表日日期期故故障障影影响响代代码码产产品品或或功功能能标标志志功功能能故故障障模模式式故故障障原原因因任任务务阶阶段段与与

22、工工作作方方式式局局部部影影响响高高一一层层次次影影响响最最终终影影响响故故障障检检测测方方法法补补偿偿措措施施严严酷酷度度类类别别备备注注123456777 891011栏目说明 11) 第一栏（代码）：为了使每一故障模式及其与相应的方框图内标志的系统功能关系一目了然，在FMEA表的第一栏填写被分析产品的代码。2) 第二栏（产品或功能标志）：在分析表中记入被分析产品或系统功能的名称。原理同中的符号或设计图纸的编号可作为产品或功能的标志。3) 第三栏（功能）：简要填写产品所需完成的功能，包括零部件的功能及其与接口设备的相互关系。栏目说明 2 4) 第四栏（故障模式）：分析人员应确定并说明各产品

23、约定层次中所有可预测的故障模式，并通过分析相应方框图中给定的功能输出来确定潜在的故障模式、应根据系统定义中的功能描述及故障判据中规定的要求，假设出各产品功能的故障模式。为了确保进行全面的分析，至少应就下述典型的故障状态对每一故障模式和输出功能进行分忻研究；栏目说明 3 a. 提前运行； b在规定的应工作的时刻不工作； c. 间断地工作； d. 在规定的不应工作时刻工作； e. 工作中输出消失或故障； f. 输出或工作能力下降； g. 在系统特性及工作要求或限制条件方面的其它故障状态。栏目说明 4 5) 第五栏（故障原因）；确定并说明与假设的故障模式有关的各种原因，包括直接导致故障或引起使品质降

24、低进一步发展为故障的那些物理或化学过程、设计缺陷、零件使用不当或其它过程。还应考虑相邻约定层次的故障原因。例如，在进行第二层次的分析时，应考虑第三层次的故障原因。 6) 第六栏（任务阶段与工作方式）：简要说明发生故障的任务阶段与工作方式。当任务阶段可以进一步划分为分阶段时，则应记录更详细的时间，作为故障发生的假设时间。栏目说明 5 7) 第七栏（故障影响）；故障影响系指每个假设的故障模式对产品使用、功能或状态所导致的后果。应评价这些后果并将其记入分析表中。除被分析的产品层次外，所分析的故障还可能影响到几个约定层次。因此，应该评价每一故障模式对局部的、高一层次的和最终的影响。同时还应考虑任务目标

25、、维修要求、人员及系统的安全。a. 局部影响系指所假设的故障模式对当前所分析约定层次产品的使用、功能或状态的影响、确定局部影响的目的在于为评价补偿措施及提出改进措施建议提供依据。局部影响有可能就是所分析的故障模式本身。b. 高一层次影响系指所假设的故障模式对当前所分析约定层次高一层次产品使用、功能或状态的影响。c. 最终影响系指所假设的故障模式对最高约定层次产品的使用、功能或状态的总的影响。最终影响可能是双重故障导致的后果。例如，只有在由一个安全装置所控制的主要功能超出了极限值，而且该安全装置也发生了故障的情况下，该安全装置的故障才会造成灾难的最终影响。这些由欢重故障造成的最终影响应该记入FM

26、EA表格中。栏目说明 6 8) 第八栏（故障检测方法）：操作人员或维修人员用以检测故障模式发生的方法应记入分析表中。故障检测方法应指明是目视检查或者音响报警装置、自动传感装置、传感仪器或其他独特的显示手段，还是无任何检测方法。 9) 第九栏（补偿措施）；分析人员应指出并评价那些能够用来消除或减轻故障影响的补偿措施。它们可以是设计上的补偿措施，也可以是操作人员的应急补救措施。 设计补偿措施包括：a. 在发生故障的情况下能继续安全工作的冗余设备；b. 比安全或保险装置，如能有效工作或控制系统不致发生损坏的监控及报警装置；c. 可替换的工作方式，如备用或辅助设备。 应说明为消除或减轻故障影响而需操作

27、人员采取的补救措施。为此，也许有必要对接口设备进行分析，以确定操作人员应采取的最恰当的补救措施。此外，还要考虑操作人员按照异常指示采取的不正确动作而可能造成的后果，并记录其影响。栏目说明 7 10) 第十栏（严酷度类别）；根据故障影响确定每一故障模式及产品的严酷度类别： 11) 第十一栏（备注）。这一栏上要记录与其它栏有关的注释及说明，如对改进设计的建议、异常状态的说明及冗余设备的故障影响等。危害性分析表危害性分析表 初始约定层次初始约定层次 任务任务 审核审核 第第 页共页共 页页 约定层次约定层次 分析人员分析人员 批准批准 填表日期填表日期代代码码产 品产 品或 功或 功能 标能 标志志

28、功功能能故故障障模模式式故故障障原原因因任 务任 务阶 段阶 段与 工与 工作 方作 方式式严严酷酷度度类类别别故 障 概故 障 概率 或 故率 或 故障 率 数障 率 数据源据源故故障障率率p故障故障模式模式频数频数比比(j)故障故障影响影响概率概率(j)工工作作时时间间(t)故 障故 障模 式模 式危 害危 害度度(Cmj)产 品 危产 品 危害度害度Cr=Cmj备备注注123456789101112131415危害性分析表说明危害性分析表说明 1 a. 第一至七栏：诸栏内容与FMEA表格中对应栏的内容相同，故可按FMEA表格中对应栏的内容填入危害性分析表的第一至七栏。 b. 第八栏(故障

29、概率或故障率数据源):当进行定性分析时，即以故障模式发生概率来评价故障模式时，应列出故障模式发生概率的等级；如果使用故障率数据来计算危害度，则应列出计算时所使用的故障率数据的来源。当做定性分析时，则不考虑其余各栏内容，可直接绘制危害性矩阵。 c. 第九栏（故障率p）：p可通过可靠性预计得到。如果是从有关手册或其它参考资料查到的产品的基本故障率（b），则可以根据需要用应用系数（A）、环境系数（E）、质量系数（Q），以及其它系数来修正工作应力的差异，即； p=b(AEQ）(l) 应列出计算p时所用到的各修正系数。危害性分析表说明危害性分析表说明 2 d. 第十栏（故障模式频数比j）;j表示产品将以

30、故障模式j发生故障的百分比。如果列出某产品所有（N个）故障模式，则这些故障模式所对应的各j（j=1，2，N）值的总和将等于1。 各故障模式颁数比可根据故障率原始数据或试验及使用数据推出。如果没有可利用的故障模式数据，则j值可由分析人员根据产品功能分析判断得到。危害性分析表说明危害性分析表说明 3 e. 第十一栏（故障影响概率j）。j是分析人员根据经验判断得到的，它是产品以故障模式j发生故障而导致系统任务丧失的条件概率。 j的值通常可按下表的规定进行定量估计。故障影响故障影响j值值实际丧失j=1很可能丧失0.1j1有可能丧失0j0.1无影响j=0 f. 第十二栏（工作时间t）：工作时间t可以从系

31、统定义导出，通常以产品每次任务的工作小时数或工作循环次数表示。 g. 第十三栏（故障模式危害度Cmj）；Cmj是产品危害度的一部分。对给定的严酷度类别和任务阶段而言；产品的第j个故障模式危害度（Cmj）可由下式计算：Cmj=pjjt h. 第十四栏（产品危害度Cr）：一个产品的危害度Cr系指预计将由该产品的故障模式造成的某一特定类型（以产品故障模式的严酷度类别表示）的产品故障数。就某一特定的严酷度类别和任务阶段而言，产品的危害度Cr是该产品在这一严酷度类别下的各故障模式危害度Cmj的总和。Cr可按下式计算：tCCrjjnjpnjmj11式中：n一该产品在相应严酷度类别下的故障模式数。分析实例例

32、1 5VDC稳压电源FMECA分析 本例是分析安全报警系统（图2.9a）的5VDC稳压电源，当其元器件发生故障时，对系统的局部、高一层次和最终的影响。对硬件进行定量FMECA分析。分析和程序参照于GJB1391工作项目101故障模式及影响分析和工作项目102危害性分析。图2.9 安全报警系统激光二极管光探测器激光二极管光探测器5V稳压器警 报器30VAC5VDC5VDC5VDC5 V 稳 压器警 报器图2.9a 安全报警系统方块图图2.9b 安全报警系统的可靠性框图(1) 定义产品 安全报警系统的功能：其发出一束不可见光，当光线被遮断（如人、物等）报警器发出警报讯号。该系统由四部份组成，即激光

33、二极管、光探测器、警报器以及5V直流稳压器。 本分析对象及其功能：5V直流稳压器，它供给安全报警系统5V直流电压，其输入是30伏交流电压。5VDC稳压器由整流、稳压两部分组成，其电路图见图2.10。电路图图2.10 5VDC稳压器 工作方式：安全报警系统的工作为搜索与警报两种方式。它用于仓库内，每天工作12小时，其寿命预计为10年，即43800工作小时。系统的主要任务是当有入侵者闯入仓库内时，报警器发出警报。故障模式的最终影响按严酷度分类，并得到用户的认可。严酷度分类如下：类（灾难性的）：对入侵者不能检测到而导致不能报警的故障。类（致命的）：能引起虚假报警的故障。类（临界的）：能引起报警系统工

34、作退化，但系统目前还能维持其功能的故障。类（轻度的）：对报警系统没有显著影响的故障(2) 绘制方块图 报警系统的工作方块图见图1a。系统工作较直观，可靠性框图见图1b。(3) 规则、假设与故障模式 FMECA是利用报警系统方块图（图1a）、5DCV电路图来完成的。对每一个元器件的故障模式分别地进行研究，以确定其对系统功能的影响及危害性。 假定报警系统是在工作温度为20的环境下工作。为了要进行定量危害性分析，需要确定P、及值。P：5VDC稳压器的元器件失效率是按照MIL-HDBK-217E的数据，用元器件应力法计算获得。其值为表2.6所示。P：5VDC稳压器的元器件失效率是按照MIL-HDBK-

35、217E的数据，用元器件应力法计算获得。其值为表2.6所示。元元器器件件代代号号名名 称称类类 型型P 1/10-6小小时时C9电电容容陶陶瓷瓷0.014C10电电容容陶陶瓷瓷0.002C11电电容容钽钽电电解解电电容容0.010C15电电容容钽钽电电容容0.089CR3二二极极管管整整流流0.123CR10二二极极管管稳稳压压0.345Q1晶晶体体管管双双极极0.502R1电电阻阻固固定定薄薄膜膜电电阻阻0.004R16电电阻阻固固定定薄薄膜膜电电阻阻0.003R41电电阻阻固固定定薄薄膜膜电电阻阻0.005：5VDC稳压器元器件的故障模式及其发生的频数比是参照美国RAC文献资料来获得。其值

36、见表2.7。元 器 件故 障 模 式陶 瓷 电 容短 路0.49容 值 变 化0.29开 路 0.22钽 电 容短 路0.57开 路0.32容 值 变 化0.11钽 电 解 电 容短 路0.69开 路0.17容 值 变 化0.14整 流 二 极 管短 路0.51开 路0.29参 数 变 化0.20稳 压 二 极 管开 路0.45参 数 变 化0.35短 路0.20固 定 薄 膜 电 阻开 路0.59参 数 变 化0.36短 路0.05双 极 晶 体 管短 路0.73开 路0.27表2.8 5VDC FMEA（工作项目101）（部分）FMEA分析表系统：安全报警系统填表日期3/31/92组件名称

37、：5VDC 稳压器页 码第 1 页共 4 页图号：A123分析人员任务：搜索探测批 准表 2.8 5VDC FMEA（工作项目 101） （部分）FMEA 分析表故障影响代号产品或功能标 志功能故障模式和原因任务阶段与工作方式局部影响高一层次影响最终影响故障检测方式补偿措施严酷度分类备注001CR3整流二极管半波整流短路搜索探测丧失整流作用无电压输出警报器丧失作用无无002开路搜索探测稳压器无电流稳压器无电压输出警报器丧失作用无无003参数变化搜索探测整流电压轻微变化稳压电压无变化无影响无无004R1 100限流开路搜索探测稳压器无电流稳压器无输出警报器丧失作用无无005固定电阻参数变化搜索探

38、测对 Q1 的输出电压有轻微变化不改变输出电压无影响无无006短路搜索探测丧失限流保护作用电流可能过大减少工作寿命无无007C11 47F钽电解电容滤波短路搜索探测对 Q1 无电流供给无输出警报器丧失作用无无008开路搜索探测滤波作用丧失5VDC 稳压器输出电压不稳定工作性能退化无无009容值变化搜索探测滤波特性轻微变化对电压输出无变化无影响无无图2.10 5VDC稳压器表2.8 5VDC 危害性分析（工作项目102）（部分）系统：安全报警系统填表日期3/31/92组件名称：5VDC 稳压器页 码第 1 页共 4 页图号：A123分析人员任务：搜索探测批 准表 2.8 5VDC 危害性分析（工

39、作项目 102） （部分）代号产品或功能标志功能故障模式任务阶段与工作方式严酷度类别故障概率或故障率数据源故障率P10-6故障模式频数比i故障影响概率i工作时间t故障模式危害性cmi产品危害性cr=cmi备注001CR3半波整流短路搜索探测MIL-HDBK-217E0.1230.511438002.74710-34.30910-3002开路搜索探测MIL-HDBK-217E0.1230.291438001.58210-3003参数变化搜索探测MIL-HDBK-217E0.1230.201438001.07710-31.07710-3004R1 100固定电阻限流开路搜索探测MIL-HDBK-2

40、17E0.0040.591438000.10310-30.10310-3005短路搜索探测MIL-HDBK-217E0.0040.051438000.00910-30.00910-3006参数变化搜索探测MIL-HDBK-217E0.0040.361438000.06310-30.06310-3007C11 47F钽电解电容滤波短路搜索探测MIL-HDBK-217E0.010.691438000.30210-30.30210-3008开路搜索探测MIL-HDBK-217E0.010.171438000.07410-30.07410-3容值变化搜索探测MIL-HDBK-217E0.010.141

41、438000.06110-30.06110-3表2.8 产品危害性排序清单系统：安全报警系统填表日期3/31/92组件名称：5VDC 稳压器页 码第 1 页共 4 页图号：A123分析人员任务：搜索探测批 准表 2.8 产品危害性排序清单代号产品或功能标志功能严酷度故障影响概率i故障率P10-6工作时间t产品危害性cr=cmi022Q1 NPN 晶体管提供 5VDC 输出电流10.5024380016.05110-3019CR10 稳压二极管提供 Q1 基极 5.6V 电压10.3454380012.08910-3023Q1 NPN 晶体管提供 5VDC 输出电流10.502438005.93

42、710-3001CR3 整流二极管半波整流10.123438004.30910-3021CR10 稳压二极管提供 Q1 基极 5.6V 电压10.345438003.02210-3027C15 3.3F 钽电容滤波10.0892438002.22210-3028C15 33F 钽电容滤波10.0892438001.24710-3003CR3 整流二极管半波整流10.123438001.07710-3严酷度(7) 分析结果与建议 由危害性分析结果知，故障模式能引起类严酷度的是代号001、021、027，相应的元器件为CR3整流二极管，CR10稳压二极管及C15 3.3F钽电容。其中CR3短路、开

43、路故障模式的影响均为类严酷度，而CR15、C15只是短路故障模式的影响为类。 对危害性影响最大的因素是高的故障率。综合上述考虑，建议对CR3、CR10作设计更改，采用较高质量的二极管。 FTA分析中的标准符号分析中的标准符号FTA的方法基础FTA分析中的标准符号分析中的标准符号FTA分析中的标准符号分析中的标准符号布尔代数运算法则布尔代数运算法则 幂幂 等等 律律 X+X=X X.X=X 加法交换律加法交换律 X+Y=Y+X 乘法交换律乘法交换律 X.Y=Y.X 加法吸收律加法吸收律 X+(X.Y)=X 乘法吸收律乘法吸收律 X.(X+Y)=X 加法结合律加法结合律 X+(Y+Z)=(X+Y)

44、+Z 乘法结合律乘法结合律 X.(Y.Z)=(X.Y).Z 加法分配律加法分配律 X.Y+X.Z=X.(Y+Z)FTA的方法基础用 + 表示 OR用 表示 AND布尔代数运算法则布尔代数运算法则 乘法分配律乘法分配律 (X+Y).(X+Z)=X+(Y.Z) 常数运算定理常数运算定理 X+0=X;X+I=I; X.0=0; X.I=X 德德.摩根定理摩根定理 德德.摩根定理摩根定理 ZYXZYX.ZYXZYX.YXYYX.).(YXYYX).(FTA的方法基础用 + 表示 OR用 表示 AND可靠性框图与可靠性框图与FTA串联模型 可靠度: R=R1.R2 不可靠度: F=F1+F2-F1F2F

45、TA的方法基础可靠性框图与可靠性框图与FTA并联模型 可靠度可靠度 R=R1+R2-R1.R2 不可靠度不可靠度 F= F1F2FTA的方法基础最小路集和最小割集最小路集和最小割集 最小路集定义最小路集定义：可靠性框图中表示功能流的实：可靠性框图中表示功能流的实线从输入端致输出端所经过的单元的最小集合。线从输入端致输出端所经过的单元的最小集合。 只要各单元皆无故障，则系统可靠。（串联）只要各单元皆无故障，则系统可靠。（串联） 最小割集定义最小割集定义：从垂直于可靠性框图中连接实：从垂直于可靠性框图中连接实线的方向将系统单元的功能切断（使之处于故线的方向将系统单元的功能切断（使之处于故障状态）时

46、引起系统故障的被切单元的最小集障状态）时引起系统故障的被切单元的最小集合。合。FTA的方法基础由图可得：路集：(B,B)=B; (B,C) 所以，最小路集为（B）割集：(B,C) ,(B) 所以，最小割集为(B)FTA的方法基础共同原因故障共同原因故障 来自同一故障源的共同的故障原因会来自同一故障源的共同的故障原因会引起不同的部件故障甚至不同的系统引起不同的部件故障甚至不同的系统故障。共同原因故障事件，简称共因故障。共同原因故障事件，简称共因事件。鉴于共同事件对系统故障发生事件。鉴于共同事件对系统故障发生概率影响很大，故建树时必须妥善处概率影响很大，故建树时必须妥善处理共因事件。理共因事件。F

47、TA的方法基础 若某个故障事件是共因事件，则对故障树的不若某个故障事件是共因事件，则对故障树的不同分支中出现的该事件必须使用同一事件标号。同分支中出现的该事件必须使用同一事件标号。若该共因事件不是底事件，必须使用相同转移若该共因事件不是底事件，必须使用相同转移符号简化表示。一般说来，一个共因事件在同符号简化表示。一般说来，一个共因事件在同一系统故障树的不同子树中出现，这条规则往一系统故障树的不同子树中出现，这条规则往往可以得到遵守，但有时不同系统是相关的，往可以得到遵守，但有时不同系统是相关的，比如公用同一电或水支持设施，甚至公用同一比如公用同一电或水支持设施，甚至公用同一个阀门或管路，而这两

48、个系统由不同人建树，个阀门或管路，而这两个系统由不同人建树，这条规则往往得不到遵守，从而导致错误。这条规则往往得不到遵守，从而导致错误。FTA的方法基础 例（图例（图3.2） 中的中的B事件事件 R=RB(RB+RC-RBRC)=RB2+RBRC-RB2RC F=FB+FBFC-FB2FC 设设RB=RC=0.9 则错误计算为：则错误计算为：R=20.810.729=0.891 F=0.1+0.1-0.01=0.109 正确应为正确应为 R=RB(RB+RC-RBRC)=RB2+RBRC-RB2RC =RB+RBRC-RBRC=RB=0.9 F=FB+FBFC-FB2FC =FB+FBFC-F

49、BFC=FB=0.1FTA的方法基础（1） 故障树的建造故障树的建造（2）故障树的划简）故障树的划简（3） 定性分析；定性分析；（4） 定量计算；定量计算；（5） 改进措施。改进措施。失效树建造失效树建造 失效树建造是失效树分析的关键，也是工作量最大的部分。由于建树工作量大，因而这种方法在新的复杂系统上使用受到局限。例如，美国原子能委员会发表的WASH-1400核电站风险评价分析报告指出，为了建造失效树，60名专家用了将近三年时间，消耗了大量资金。然而，对于某种性能渐变失效分析来说，失效树分析是易于实现的，且比其它方法更加有效。长期生物实验室的地下室照明系统长期生物实验室的地下室照明系统 建树

50、之前首先要熟悉对象，确定顶事件，用统一的标准符号表示树结构，对各事件进行编码。图 4.1 室内照明图电灯 1电灯 2电源通过分析，确定顶事件为：室内黑暗室内黑暗故障树的简化故障树的简化 为了进行定量计算和处理共因事件，为了进行定量计算和处理共因事件，需对已建好的故障树进行简化需对已建好的故障树进行简化 化简可依据上级事件发生的必要条化简可依据上级事件发生的必要条件进行，也可用布尔代数运算进行。件进行，也可用布尔代数运算进行。全为全为AND门时门时运算：运算：Z=A.E1=A.B.E2=A.B.C.D全为全为OR门门运算：Z=AE1=ABE2=ABCD有共因事件时的简化有共因事件时的简化运算中应

51、用了加法运算中应用了加法吸收率吸收率Z=A+E=A+(A.B)=A运算中应用了乘法运算中应用了乘法吸收率吸收率Z=A.E=A.(A+B)=A结果消除了重复的结果消除了重复的A有共因事件时的简化（有共因事件时的简化（2）Z=E1+E2=(A.B)+(A.C)=A.(B+C)Z=E1.E2=(A+B).(A+C)=A+(B.C)定性分析定性分析-由由可靠性图求出最小割集 FTA的目的之一是要找出顶事件发生的路径或机理并加以评价，从而为改善系统采取措施。 可靠性图求出最小割集时需进行变换： FT 的 OR 门 可靠性框图的串联 FT 的 AND 门 可靠性框图的并联 利用这种关系绘出可靠性框图，可在

52、框图上求出最小割集由第三步可知，割集为由第三步可知，割集为A,B,C,(DB),(DE)因因B和和DB只能保留最小的集合，所以，可求得最小割集为只能保留最小的集合，所以，可求得最小割集为A,B,C,(DE)利用布尔代数求最小割集利用布尔代数求最小割集 用布尔代数求最小割集时，需用到下述对应关系。 FT 的 OR 门; 逻辑和 记为或 V FT 的 AND 门 ; 逻辑积 记为 . 或 对于图：Z=E1+E2=(A+B+C)+(D.E3)=(A+B+C)+(D.(B+E) D.(B+E)应用加法分配律=A+B+C+D.B+D.E 对B 和 D.B 应用加法吸收律=A+B+C+D.E求最小路集 求

53、最小路集时，可用可靠性框图和布尔代数运算，先将故障树转为“ 成功树” 即可 故障树与成功树的转换故障树与成功树的转换最小路集是 A B C D 和 A B C E 定量分析定量分析概率计算概率计算 从不可靠度出发，利用and or 门的概率计算不可靠度，利用可靠度和不可靠度的对欧性，计算可靠度。niiFF1niiRR1)1 (1niiFF1)1 (1niiRR1一般地，设有一般地，设有n个事件，编号为个事件，编号为1.2.3.n ，其，其失效概率为失效概率为Fi ,成功概率为成功概率为Ri, 则输出事件的概则输出事件的概率参数如下：率参数如下：AND门时门时OR门时门时用最小割集计算顶事件发生

54、概率 当故障树中，最小割集中无相同的底事件（称为各最小割集不相交），或底事件数量少时，上述方法计算是可行的，也是可以理解的。当故障树复杂或最小割集中有相同底事件且其概率不可忽略时，计算比较复杂且易出错。此时用最小割集进行计算比较合适。 方法是在求出最小割集的基础上，把故障树顶事件表示为最小割集中底事件积之合的布尔表达式。计算的条件是底事件是相互独立的并且已知其发生的概率。若相当多的底事件不能估计或给出其概率时，则不宜进行定量分析。只可进行定性分析。 近似计算近似计算 利用容斥定理可得上下限平均近似计算式是（证明略） 式中： S1是首项近似算式 r是最小割集数 kj是第j个最小割集的集合 Xi

55、第j个最小割集中第i个底事件， n第j个最小割集中底事件的个数 S2近似计算的第二项2121121)(21SSSSSQrjjkpS1)(1niijXk1rjijikkpS12)(计算示例：计算示例： 设一故障树的最小割集是 : 则： 设 底 事 件 X 1 , X 2 , X 3 , X 4 , X 5 的 概 率 为q1=q2=q3=q4=0.015, 4, 3,3, 2,3, 1,2, 1XXXXXXXXX5, 4, 34,3, 23,3, 12,2, 11XXXkXXkXXkXXk000301.0)543()32()31()21()4()3()2()1()(154323132141qqq

56、qqqqqqXXXPXXPXXPXXPKPKPKPKPKPSJJ0000030201.0.)43()42()32()41()31()21()(5432543132154321321321543325433131235432132213121412qqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqKKPKKPKKPKKPKKPKKPKKPSjiji 00029949. 02211SSQ所以： 精确计算：精确计算： 最小割集之间相交时:)()()()()(211rjrJjKPKPKPKPKPQ)()()()(121321211rrKKKKPKKKPK

57、KPKPQ最小割集之间完全不相交时:定量分析定量分析结构重要度 工程实践表明，从可靠性、安全性角度看，系统中各部件并不是同等重要的，因此，引入重要度的概念用以标明某个部件对顶事件发生的影响大小是很必要的。重要度是故障树分析中的一个重要概念，对改进系统设计，制订维修策略是十分有利的。对于不同的对象和要求，应采用不同的重要度。 某最小割集元素的结构重要度表示对应基本事件的元素，其正常状态与故障状态相比，在系统所有可能的状态数中正常状态数增加比例。结构重要度计算示例结构重要度计算用真值表结构重要度计算用真值表基 本 事 件123系 统0000001001000111元 素1正 常故障与状态数之比1/

58、41001101111011111元 素1故 障故障与状态数之比4/4元 素1的 重 要度为 :434144结构重要度计算结果 同样可算得： 元素2的结构重要度为： 元素2的结构重要度为：414243414243概率重要度概率重要度 定义为某元素从1（故障）状态变为0（正常）状态时，系统的不可靠度改善了多少？ 因此，事先必须知到所有元素的可靠度。FFFFFii)0) 1（系统系统 设 各 元 素 的 可 靠 度 R1=R2=R3=0.9 元素1故障时，F11,则F系统1 元素1正常时，F10,则F系统等于元素2、3并联系统的不可靠度，即 F系统F2.F3=0.01 所以，F1的概率重要度为F1

59、=1-0.01=0.99概率重要度计算示例概率重要度计算示例至此，我们获得了故障树的定量至此，我们获得了故障树的定量分析结果见下表分析结果见下表基 本 事 件元 素结 构 重 要 度概 率 重 要 度 （ 各 元 素 可 靠 度 为0.9）F110.750.99F220.250.09F330.250.09元素1的重要度最大，2、3元素的重要度最小。这是因为，元素1为系统的最小割集定性分析结果为：最小割集 1，路集 （1，2） 和（1，3） 至此，已经介绍了至此，已经介绍了FTA的一般方法，分析应进行的一般方法，分析应进行到什么程序，要视情况而定，因为所需要分析的到什么程序，要视情况而定，因为所

60、需要分析的详细程度、所选事件的数目和性质各不相同。重详细程度、所选事件的数目和性质各不相同。重要的是获得顶事件发生的概率、概率重要度，以要的是获得顶事件发生的概率、概率重要度，以判断系统是否达到要求及如何改进。判断系统是否达到要求及如何改进。 下面用一个例子说明故障树的应用下面用一个例子说明故障树的应用压力罐系统建树过程压力罐系统建树过程 控制系统的作用是控制泵的开、停，保护罐不致控制系统的作用是控制泵的开、停，保护罐不致过压而造成破裂。控制系统给出了两重保护。当过压而造成破裂。控制系统给出了两重保护。当罐中流体压力达到规定的额定值时，控制系统中罐中流体压力达到规定的额定值时，控制系统中的压力