风险分析方法

1、风险分析方法1 .故障树分析（FTA ）故障树分析（FTA）是风险分析的一种方法，可进行定量和定性的分析。这里仅就 FTA方法简单作以介绍，读者可由 GJB/Z 768A98故障树分析指南（参考文献3） 中了解更详细的资料。1. 1 FTA中使用的符号故障树是一种特殊的倒立树状逻辑因果关系图，用表示事件的符号、逻辑门符号描述 系统中各种事件之间的因果关系。逻辑门的输入事件是输出事件的“因”，逻辑门的输出 事件是输入事件的“果”。（1）表示事件的符号主要有（见图4）:底事件（导致其他事件的原因事件）包括“基本事件”（无须探明其发生原因的底事件）及“未探明事件”（暂时不必或不能探明其原因的底事件）

2、结果事件（由其它事件或事件组合所导致的事件），包括“顶事件”（所关心的最后结果事件）及“中间事件”（位于底事件和顶事件之间的结果事件，它既是某个逻辑门的输出事件，同时又是别的逻辑门的输入事件）此外还有开关事件、条件事件等特殊事件符号。I 底事件结果事件基本事珅符号 未探明6件符号 顶事件符号 中间事件符号图4 几个主要表示事件的符号（2）逻辑门符号：在FTA中逻辑门只描述事件间的因果关系。与门、或门和非门是三个基 本门，其它的逻辑门如“表决门”、“异或门”、“禁门”等为特殊门。1. 2 FTA的步骤（1）建造故障树将拟分析的重大风险事件作为“顶事件”，“顶事件”的发生是由于若干”中间事 件”的

3、逻辑组合所导致，“中间事件”又是由各个“底事件”逻辑组合所导致。这样自上 而下的按层次的进行因果逻辑分析，逐层找出风险事件发生的必要而充分的所有原因和原 因组合，构成了一个倒立的树状的逻辑因果关系图。例如，对上述飞机例中的机翼重量这个风险事件进行分析：“重量”为顶事件，可能 使飞机的速度达不到预期的要求；造成超重的原因可能是“材料”的问题，或“设计”未 满足重量的预期值的要求；造成“设计”问题的原因（假设）是设计“人员”只注意靠增加发动机的能力来提高速度，未考虑重量的影响，而同时也未按设计控制“程序”的要求 进行认真的评审、未能及时发现问题。“设计”即为中间事件，而“人员”、“程序”及“材料”

4、即为底事件。根据逻辑关系画出故障树如图5重量T材0材料（Xi J设计M人员上、| |三科序图5故0X2（怖X X3 ）则 事件 T = XiU M = Xw/X2AX 3）符号“ u”表示 逻辑“或"；“n”表示逻辑“与”这只是建造故障树的一个简单的例子，实际情况要复杂得多。除用人工演绎建造故障树外还可用计算机进行自动建树。人工建造故障树的基本规则如下：明确建树的边界条件，确定简化系统图顶事件应严格定义故障树演绎过程首先寻找的是直接原因而不是基本原因事件应从上而下逐级建树建树时不允许逻辑门一一逻辑门直接相连妥善处理共因事件（2）对故障树进行规范化、简化和模块分解a）将建造好的故障树简

5、化变成规范化故障树，“规范化故障树”是仅含底事件、结果事件及“与”、“或”、“非”三种逻辑门的故障树。故障树的规范化的基本规则为：按规则处理未探明事件、开关事件、条件事件等特殊事件保持输出事件不变、按规则将特殊门等效转换为“与”、“或”、“非”门b）按集合运算规则（结合律、分配律、吸收律、幕等律、互补律）去掉多余事件和多余 的逻辑门。c）将已规范化的故障树分解为若干模块，每个模块构成一个模块子树，对每个模块子树用一个等效的虚设的底事件来代替，使原故障树的规模减少。可单独对每个模块子树进行定性分析和定量分析。然后，可根据实际需要，将顶事件与各模块之间的关系转换为顶事件和底事件之间的关系。3）求故

6、障树的最小割集，进行定性分析“割集”指的是故障树中一些底事件的集合，当这些底事件同时发生时顶事件必然发生。若在某个割集中将所含的底事件任意去掉一个，余下的底事件构不成割集了（不能使顶事件必然发生），则这样的割集就是“最小割集”。最小割集是底事件的数目不能再减少的割集，一个最小割集代表引起故障树顶事件发生的一种故障模式。a）求最小割集求最小割集的方法有“下行法”和“上行法”：下行法的特点是根据故障树的实际结构，从顶事件开始，逐级向下寻查，找出割集。规定在下行过程中，顺次将逻辑门的输出事件置换为输入事件。遇到与门就将其输入事件排在同一行（布尔积），遇到或门就将其输入事件各自排成一行（布尔和），直到

7、全部换成底事件为止。这样得到的割集再两两比较，划去那些非最小割集，剩下的即为故障树的全部最小割集。上行法是从底事件开始，自下而上逐步地进行事件集合运算，将或门输出事件表示为输入事件的布尔和，将与门输出事件表示为输入事件的布尔积。这样向上层层代入，在逐步代入过程中或者最后，按照布尔代数吸收律和等幂律来化简，将顶事件表示成底事件积之和的最简式。其中每一积项对应于故障树的一个最小割集，全部积项即是故障树的所有最小割集。b）定性分析：找出故障树的所有最小割集后，按每个最小割集所含底事件数目（阶数）排序，在各底事件发生概率都比较小，差别不大的条件下：阶数越少的最小割集越重要在阶数少的最小割集里出现的底事

8、件比在阶数多的最小割集里出现的底事件重要在阶数相同的最小割集中，在不同的最小割集里重复出现次数越多的底事件越重要。例如，一个故障树有4 个最小割集： X1， X2， X 5 ， X3，X 5， X2 ， X3， X4底事件 X1 最重要，X 5 比 X2 、 X3 重要， X 4最不重要；底事件的重要程度依次为X 1 ， X 5 ， X2 或 X3 ， X 4 。在数据不足的情况下，进行上述的定性比较，找出了顶事件（风险事件）的主要致因，定性的比较结果可指示改进系统的方向。（ 4）定量分析：在掌握了足够数据的情况下，可进行定量的分析。a）顶事件发生概率（失效概率）的计算在掌握了“底事件”的发生

9、概率的情况下，就可以通过逻辑关系最终得到“顶事件”即所分析的重大风险事件的发生概率，用Pf 表示，又称为“失效概率”。故障树顶事件 T 发生概率是各个底事件发生概率的函数，即Pf （T） = Q （qi , q2 , ；qn）（式 1）工程上往往没有必要精确计算，采用近似的计算方法一般可满足工程上的要求。例如，当各个最小割集中相同的底事件较少且发生概率较低时，可以假设各个最小割集之间相互独立，各个最小割集发生（或不发生）互不相关，则顶事件的发生概率：rPf（ T） = 1 1 P（Ki）（式2）i=1式中 r 为最小割集数在飞机重量风险事件的例子中，假设底事件X1， X2， X 3 的发生概率

10、分别是q1 , q2 及q3 ，顶事件T 的发生概率Pf 为 ：Pf = 1 （1 q1 ）（1 q2 q3）（式3）b）重要度的计算故障树中各底事件并非同等重要，工程实践表明，系统中各部件所处的位置、承担的功能并不是同等重要的，因此引入“重要度”的概念，以标明某个部件（底事件）对顶事件（风险）发生概率的影响大小，这对改进系统设计、制定应付风险策略是十分有利的。对于不同的对象和要求，应采用不同的重要度。比较常用的有四种重要度，即：结构重要度、概率重要度、相对概率重要度及相关割集重要度。各自的定义及计算公式见参考文献3。底事件结构重要度从故障树结构的角度反映了各底事件在故障树中的重要程度底事件概

11、率重要度表示该底事件发生概率的微小变化而导致顶事件发生概率的变化率底事件的相对概率重要度表示该底事件发生概率微小的相对变化而导致顶事件发生概率的相对变化率底事件的相对割集重要度表示包含该底事件的所有最小割集中至少有一个发生的概率与顶事件发生概率之比定量的分析方法需要知道各个底事件的发生概率，当工程实际能给出大部分底事件的发生概率的数据时，可参照类似情况对少数缺乏数据的底事件给出估计值；若相当多的底事件缺乏数据且又不能给出恰当的估计值，则不适宜进行定量的分析，只进行定性的分 析。2 故障模式影响及危害性分析（FMECA ）故障模式即故障表现的形式，例如短路、断路（开路）、断裂等。故障模式影响及危

12、害性分析（FMECA）是确定系统所有可能的故障，根据对每一个故 障模式的分析，确定每一个故障对系统工作的影响，找出单点故障，并按故障模式的严酷度及其发生概率确定其危害性。FMECA 分两个步骤完成，即：故障模式及影响分析（FMEA）危害性分析（CA）2 1 FMECA 使用的几个术语（ 1）约定层次根据分析的需要，按产品的相对复杂程度或功能关系划分产品层次，这些层次从比较复杂的（系统）到比较简单的（零件）进行划分。初始约定层次：要进行FMECA 总的、完整的产品所在的层次。其它约定层次：相继的约定层次（第二、第三、第四等），这些层次表明了直至较简单的组成部分的有顺序的系列。（ 2）严酷度严酷度

13、是故障模式所产生后果的严重程度。严酷度应考虑到故障造成的最坏的潜在后果，并应根据最终可能出现的人员伤亡、系统损坏和经济损失的程度来确定。严酷度的分类 类（灾难的）一一 这是一种会引起人员死亡或系统（如飞机、坦克、导弹及船舶等）毁坏的故障 类（致命的）一一这种故障会引起人员的严重伤害、重大经济损失或导致任务失败的系统严重损坏 类（临界的）一一这种故障会引起人员的轻度伤害、一定的经济损失或导致任务延误或降级的系统轻度损坏 类（轻度的）一一这是一种不足以导致人员伤害、一定的经济损失或系统损坏的故障，但它会导致非计划性维护或修理1） 1） 危害性危害性是对某种故障模式的后果及其发生概率的综合度量。可进

14、行定性的分析，相关数据具备的情况下可定量分析。2） 2 故障模式及影响分析（FMEA ）进行 FMEA 的目的是为了分析产品故障对系统工作所产生的后果，并将每一故障按其严酷度分类，通过FMEA 来确定那些高风险产品及改进措施。2 2 . 1 FMEA 的方法有两种 FMEA 的方法：硬件法及功能法硬件法：根据产品的功能对每个故障模式进行评价，用表格列出各个产品，并对可能发生的故障模式及其影响进行分析。当产品可按设计图纸及其它工程设计资料明确确定时，一般采用硬件法。这种方法适用于从零件级开始分析再扩展到系统级，即自下而上进行分析。功能法：这种方法认为每个产品可以完成若干功能，而功能可以按输出分类

15、。将输出一一列出，并对它们的故障模式进行分析。当产品构成尚不能明确确定时（例如，在产品研制的初期，尚得不到详细的产品原理图、部件清单及产品装配图），或当产品的复杂程度要求从初始约定层次开始向下分析，即自上而下分析时，一般采用功能法。2 2 . 2 FMEA 的步骤FMEA一般按下列步骤进行（详细说明请见参考文献 4 GJB 1391 92故障模式影 响及危害性分析程序）：（ 1）定义被分析的系统（包括系统的每项任务、每一任务阶段及每一种工作方式相对应的功能的详细说明、内部和外部接口、各约定层次的预期性能、系统限制及故障判据的说明）；（ 2）绘制功能和可靠性方框图；（ 3）确定产品及接口设备所有

16、潜在故障模式，并确定其对相关功能或产品的影响，以及对系统和所需完成任务的影响；（ 4）按最坏的潜在后果评估每一故障模式，确定其严酷度类别；（ 5）为每一故障模式确定检测方法和补偿措施；（ 6）确定为排除故障或控制风险所需的设计更改或其它措施；（ 7）记录分析结果。2. 2. 3 FMEA 表格采取FMEA表格，从约定层次（例如零部件）开始逐级向上分析故障造成的影响。表格中各栏目应填写的内容如下：第一栏（代码）：填写被分析产品的代码。第二栏（产品或功能标志）：被分析产品的功能名称，原理图上的符号或设计图纸的 编号。第三栏（功能）：需完成的功能，包括零部件的功能及与接口设备的关系。第四栏（故障模式

17、）：在约定层次中所有可预测的故障模式，如：提前运行在规定的应工作时刻不工作间断地工作在规定的不应工作的时刻工作工作中输出消失或故障输出或工作能力下降在系统特性及工作要求或限制条件方面的其它故障状态第五栏（故障原因）：包括导致故障的物理或化学过程、设计缺陷、零件使用不当等 各种原因。第六栏（任务阶段与工作方式）：说明发生故障的任务阶段与工作方式。第七栏（故障影响）：评价每一故障模式对局部的（对当前分析的约定层次的产品的 使用、功能或状态的影响）、高一层次的和最终的影响。第八栏（故障检测方法）：记入检测故障模式的方法。第九栏（补偿措施）：指出消除或减轻故障影响的补偿措施。第十栏（严酷度类别）：根据

18、故障影响确定每一故障模式的严酷度类别。对运载火箭助推器捆绑结构前联接杆的故障模式影响的分析示例见表2,这里给出的FMEA表格只是其中的一部分，详细的 FMEA表格请参见文献5。表2FMEA表格示例 （部分故障模式的示例）初始约定层次：运载火箭约定层次：捆绑结构产品功故障故障任务阶故障影响故障补偿严代或能模式原因段检测措施酷功能与方法度标志工作方局部高一层最终类式影响次影响影响别码2前联保证助联杆材料起飞阶联杆助推器运载目视设计留I3接杆推器与断裂严重段断裂与芯级火箭检查有安全类1(CB芯级联缺陷联结失发射仪器系数严灾1EO 一接，强度效失效测试格材料难010)传递助不合强度检的推器的格查推力；

19、联杆联接发射联接助推器运载目视设计上IV分离时松动螺母飞行杆松有轻微火箭检查采取防类保证助松动阶段动扰动有轻仪器松动措轻推器与锁紧微扰测试施度芯级及不起动的时脱开作用接至IJ爆炸推进器接至IJ影响助影响目视设计上n分离螺栓与芯级分离推器与将有检查米取冗类信号未炸分离阶信号芯级正效载仪器余措施致联杆开段联杆常分离荷送测试（每个命未及未及入预联杆2的时断时断定轨个爆炸开开道螺栓）联杆分离飞行联杆助推器影响测试设计上n提前筒因阶段误炸失去前火箭与试采取全类炸开静电联杆，飞行验箭的防致或雷推力不任务雷击防命击误能正常的完静电措的炸传递成施2 . 3危害性分析（CA）危害性分析的目的是按每一故障模式的严

20、酷度类别及故障模式的发生概率所产生的综 合影响对其划等分级，以便全面地评价各种故障模式的影响。可见，危害性分析是对 FMEA的补充和扩展，是在进行 FMEA的基础上才能进行的，总的分析过程即为故障模式 影响及危害性分析（FMECA）。危害性分析有定性分析和定量分析两种方法，选择哪种方法应根据具体情况决定。在 不能获得产品的技术状态数据或故障率数据的情况下，应选择定性的分析方法。进行定量 分析时所用的故障率数据源应与其他可靠性分析时所用的数据源相同。（1）危害性的定性分析定性分析的方法是对 FMEA中确定的各故障模式发生的概率进行评价，将故障模式 发生概率按一定规定分成不同的等级：A级（经常发生

21、）一一在产品工作期间内某一故障模式的发生概率大于产品在该期 间内总的故障概率的20%B级（有时发生）一一在产品工作期间内某一故障模式的发生概率大于产品在该期间 内总的故障概率的10%,但小于20%C级（偶然发生）一一在产品工作期间内某一故障模式的发生概率大于产品在该期间内总的故障概率的1%，但小于10%D 级（很少发生）在产品工作期间内某一故障模式的发生概率大于产品在该期间内总的故障概率的0.1%，但小于1%E 级（极少发生）在产品工作期间内某一故障模式的发生概率小于产品在该期间内总的故障概率的0.1%（ 2）危害性分析表格（参见文献4）危害性分析表格的前七个栏目的内容与FMEA 表格相同。第

22、八栏（故障概率或故障数据源）：当进行定性分析时，将对该故障模式发生概率评定的等级填入即可，不再填写表格的其余栏目而直接绘制危害性矩阵。（定性分析时也可在FMEA 表格的最右侧加一列栏目，填写评定的该 “故障模式发生概率等级”而不必另绘危害性分析表格）。第九栏（故障率p） : p可通过可靠性预计得到。第十栏（故障模式频数比dj）：dj 表示产品以故障模式j 发生故障的百分比。第十一栏（故障影响概率j）：j 是产品以故障模式j 发生故障而导致系统任务丧失的条件概率。第十二栏（工作时间t）:以产品每次任务的工作小时数或工作循环次数表示。第十三栏（故障模式危害度Cmj）：Cmj 是产品危害度的一部分，

23、是产品的第j 个故障模式的危害度：Cmj = p * dj * j * t（式4）第十四栏（产品危害度Cr）：Cr 是该产品在某一特定的严酷度类别下的各故障模式危害度的总和：nnCr =Cmj =p * dj * j * t（式5）j=1j=1式中 n 为该产品在相应严酷度类别下的故障模式数（ 3）危害性矩阵危害性矩阵用来确定和比较每一故障模式的危害程度，进而为确定改进措施或进行风险处理的先后顺序（排序）提供依据。矩阵图的横坐标用严酷度表示，纵坐标用产品危害度Cr 或故障模式发生概率等级表示（如图6）。将各故障模式的严酷度类别及故障模式发生概率或产品的危害度标在矩阵的相应位置，从原点开始，所记

24、录的故障模式分布点沿着对角线方向距离原点越远，其危害性越大，即风险越大，越需要采取措施应对。故障模式发 生概率等级危害性增大3 .建模和仿真模型是利用物理学、数学或逻辑学的方法对系统实体、现象或过程进行的描述。仿真 使模型栩栩如生，并显示具体客体或现象的表现或行为。建模和仿真能够虚拟地复制产品和过程，并能在较容易地获得和易于操作的真实环境 中模仿这些产品或过程，采用建模和仿真能够发现系统或过程存在的问题，能降低产品寿 命期内各种活动的风险和费用、加快进度，可作为分析风险问题的有力手段，随着计算机 技术和信息技术的发展，建模和仿真得到更加广泛的应用。仿真分为三类：虚拟仿真：从物理学和电子学两方面

25、来模仿系统。结构仿真：模仿系统及其应用，包括计算机模型、计算机辅助设计（ CAD）、计 算机辅助工程（CAE ）、计算机辅助制造（CAM ）、计算机辅助系统工程（CASE）等。实况仿真：利用真实的人员在真实的环境下模拟真实系统的运行程序，使系统经 受一种场景的某些条件和环境与真实的势态和环境极其相似，以便发现问题。4 .可靠性预计可靠性预计是进行可靠性设计的重要内容之一。可靠性预计是根据组成系统的元件、 组件、分系统的可靠性来推测系统的可靠性。这是一个从小到大、自下而上的综合过程。 可将预计的结果与要求的可靠性的指标相比较，审查设计能否达到目标的要求，比较不同 的设计方案，发现设计中的薄弱环节

26、，为设计决策、改进设计、进行可靠性试验的方案设 计提供依据。可靠性预计也可作为风险分析的一种方法，找出须重点关注的单元和环节并 确定其影响程度，作为进行风险处理的依据。可靠性预计的方法有：（参考文献5）性能参数法：根据所统计的大量相似系统的性能参数与可靠性的关系，预计初步 确定了性能及结构参数的新系统的可靠性。相似产品法：利用成熟的相似产品的经验数据（来自现场使用评价或试验结果） 来估计新产品的可靠性。故障率预计法：对已有了产品原理图和结构图，选出了元部件，已知其类型、数 量、环境及使用应力，且可得到有关故障率的数据时，采用故障率预计法。专家评分法：依靠有经验的工程技术人员，按照复杂度、技术水

27、平、工作时间、 环境条件等因素对系统中的各单元进行评分，由已知的某产品单元故障率及相对 的评分系数，计算出其余各单元的故障率。3. 5关联图关联图是用于分析事物因果关系的图，它是把几个问题和涉及这些问题的关系极为复 杂的因素之间的因果关系用箭头连接起来形成的图，所关注的“问题”及相关的“原因” 用 及圈起来。CD关联图的型式比较灵活，例如，把应解决的问题安排在中央位置，从和它们最直接的 原因开始（放在离“问题”最近的位置），将有关的因素各按因果关系排列在周围，形成 一个“中央集中型”的关联图（图 7a）;把应解决的问题安排在右（或左）侧，按各因素的因果关系尽量从右向左（或从左向右）排列，形成一个“单向汇集型关联图”（图7b）。图7关联图示例应用关联图的步骤：/（1）确定待分析的问题，提出与此问题有关的所有因素（2）用灵活的语言简明扼要地表示各主要因素（3）用箭头把因果关系有逻辑地表示出来（4）根据图形纵观和掌握全局，分析重要影响因素（5）针对重要影响因素拟订措施计划关联图用于风险分析时，