4系统可靠性分析方法课件

1、可靠性设计IV.系统可靠性分析方法高嵩8/19/20221可靠性设计第1页，共145页。本章内容故障模式影响及危害性分析法 （FMECA）故障树分析法（FTA）事件树分析法（ETA）8/19/20222可靠性设计第2页，共145页。1.FMECA8/19/20223可靠性设计第3页，共145页。内容提要概述FMECA的定义、目的和作用FMECA的方法FMECA的步骤系统定义故障模式影响分析危害性分析FMECA结果输出与注意的问题应用案例8/19/20224可靠性设计第4页，共145页。概述元部件的故障对系统可造成重大影响灾难性的影响挑战者升空爆炸发动机液体燃料管垫圈不密封致命性的影响起落架上位

2、锁打不开以往设计师依靠经验判断元部件故障对系统的影响依赖于人的知识和工作经验8/19/20225可靠性设计第5页，共145页。概述系统的、全面的和标准化的方法 FMECAFMECA的发展设计阶段发现对系统造成重大影响的元部件故障设计更改、可靠性补偿是可靠性、维修性、保障性和安全性设计分析的基础8/19/20226可靠性设计第6页，共145页。FMECA的概念FMECA的定义故障模式影响及危害性分析(Failure Mode ,Effects and Criticality Analysis , 记为FMECA)是分析系统中每一产品所有可能产生的故障模式及其对系统造成的所有可能影响，并按每一个故

3、障模式的严重程度及其发生概率予以分类的一种归纳分析方法。FMECA是一种自下而上的归纳分析方法；FMEA和CA。8/19/20227可靠性设计第7页，共145页。FMECA的概念FMECA的目的从产品设计（功能设计、硬件设计、软件设计）、生产（生产可行性分析、工艺设计、生产设备设计与使用）和产品使用角度发现各种影响产品可靠性的缺陷和薄弱环节，为提高产品的质量和可靠性水平提供改进依据。8/19/20228可靠性设计第8页，共145页。FMECA的概念FMECA的作用保证有组织地定性找出系统的所有可能的故障模式及其影响，进而采取相应的措施。为制定关键项目和单点故障等清单或可靠性控制计划提供定性依据

4、；为制定试验大纲提供定性信息；为确定更换有寿件、元器件清单提供使用可靠性设计的定性信息；为确定需要重点控制质量及工艺的薄弱环节清单提供定性信息。可及早发现设计、工艺中的各种缺陷。为可靠性（R）、维修性（M）、安全性（S）、测试性（T）和保障性（S）工作提供一种定性依据。8/19/20229可靠性设计第9页，共145页。FMECA方法分类8/19/202210可靠性设计第10页，共145页。论证与方案阶段工程研制阶段生产阶段使用阶段方法功能FMECA硬件FMECA软件FMECA损坏模式影响分析过程FMECA统计FMECA目的分析研究系统功能设计的缺陷与薄弱环节，为系统功能设计的改进和方案的权衡提

5、供依据。分析研究系统硬件、软件设计的缺陷与薄弱环节，为系统的硬件、软件设计改进和保障性分析提供依据。分析研究所设计的生产工艺过程的缺陷和薄弱环节及其对产品的影响，为生产工艺的设计改进提供依据。分析研究产品使用过程中实际发生的故障、原因及其影响，为提供产品使用可靠性和进行产品的改进、改型或新产品的研制提供依据。产品寿命周期各阶段的FMECA方法8/19/202211可靠性设计第11页，共145页。FMECA的步骤8/19/202212可靠性设计第12页，共145页。系统定义明确分析范围根据系统的复杂度、重要程度、技术成熟性、分析工作的进度和费用约束等，确定系统中进行FMECA的产品范围产品层次示

6、例约定层次规定的FMECA的产品层次初始约定层次系统最顶层最低约定层次系统最底层8/19/202213可靠性设计第13页，共145页。系统任务分析和功能分析描述系统的任务要求及系统在完成各种功能任务时所处的环境条件任务剖面、任务阶段分析明确系统中的产品在完成不同的任务时所应具备的功能、工作方式及工作时间等功能描述确定故障判据制定系统及产品的故障判据。选择FMECA方法等故障判据分析方法系统定义8/19/202214可靠性设计第14页，共145页。故障模式影响分析FMEAFMEA的工作内容故障模式分析找出系统中每一产品所有可能出现的故障模式。故障原因分析找出每一个故障模式产生的原因。故障影响分析

7、找出系统中每一产品的每一个可能的故障模式所产生的影响，并按这些影响的严重程度进行分类。8/19/202215可靠性设计第15页，共145页。故障模式影响分析FMEAFMEA的工作内容故障检测方法分析分析每一种故障模式是否存在特定的发现该故障模式的检测方法，从而为系统的故障检测与隔离设计提供依据。补偿措施分析针对故障影响严重的故障模式，提出设计改进和使用补偿的措施。8/19/202216可靠性设计第16页，共145页。故障模式影响分析FMEA8/19/202217可靠性设计第17页，共145页。危害性分析(CA)目的是按每一故障模式的严重程度及该故障模式发生的概率所产生的综合影响对系统中的产品划

8、等分类，以便全面评价系统中可能出现的产品故障的影响。CA是FMEA的补充或扩展，只有在进行FMEA的基础上才能进行CA。常用方法风险优先数（Risk Priority Number, RPN）法主要用于汽车等民用工业领域危害性矩阵法主要用于航空、航天等军用领域8/19/202218可靠性设计第18页，共145页。危害性分析(CA)风险优先数法RPN=OPRESRDDROPR（Occurrence Probability Ranking） 故障模式发生概率等级ESR（Effect Severity Ranking） 影响严酷度等级DDR（Detection Diffculty Ranking )

9、 检测难度等级 上述三项因素通过评分获得。因此，首先应给出各项因素的评分准则。8/19/202219可靠性设计第19页，共145页。危害性分析(CA)发生概率等级OPR用于评定某一特定的故障原因导致的某故障模式实际发生的可能性。等级故障发生的可能性参考值1稀少故障模式发生的可能性极低1/10623低故障模式发生的可能性相对较低1/200001/4000456中等故障模式发生的可能性中等1/10001/4001/8078高故障模式发生的可能性高1/401/20910非常高故障模式发生的可能性非常高1/81/28/19/202220可靠性设计第20页，共145页。危害性分析(CA)严酷度等级ESR

10、用于评定所分析的故障模式的最终影响。等级故障影响的严重程度1轻微对系统的性能不会产生影响，用户注意不到的轻微故障2,3低对系统性能有轻微影响的故障，用户可能会注意到并引起轻微抱怨4,5,6中等引起系统性能下降的故障，用户感觉不舒适和不满意7,8高中断操作的重大故障或提供舒适性的子系统不能工作的故障，用户感到强烈不满意。但此类故障不会引起安全性后果也不违反政府法规9,10非常高引起生命、财产损失的致命故障或不符合政府法规的故障8/19/202221可靠性设计第21页，共145页。危害性分析(CA)检测难度等级DDR用于评定通过企业内部预定的检验程序查出引起所分析的故障模式的各种原因的可能性。等级

11、检验程序查出故障的难度1,2非常低检验程序可以检出的潜在设计缺陷3,4低检验程序有较大机会检出的潜在设计缺陷5,6中等检验程序可能检出的潜在设计缺陷7,8高检验程序不大可能检出的潜在设计缺陷9非常高检验程序不可能检出的潜在设计缺陷10无法检出检验程序绝不可能检出的潜在设计缺陷8/19/202222可靠性设计第22页，共145页。危害性分析(CA)危害性矩阵法分类：定性和定量CA表8/19/202223可靠性设计第23页，共145页。危害性分析(CA)危害性矩阵图绘制危害性矩阵图的目的是比较每个故障模式的危害程度，进而为确定改进措施的先后顺序提供依据。危害性矩阵是在某一特定严酷度级别下，产品各个

12、故障模式危害程度或产品危害度相对结果的比较。与RPN一样具有指明风险优先顺序的作用。128/19/202224可靠性设计第24页，共145页。FMECA结果输出FMECA输出单点故障模式清单、类故障模式清单可靠性关键件、重要件不可检测故障模式清单危害性矩阵图等FMEA/CA表8/19/202225可靠性设计第25页，共145页。实施FMECA应注意的问题强调“谁设计、谁分析”的原则“谁设计、谁分析”的原则，也就是产品设计人员应负责完成该产品的FMECA工作，可靠性专业人员应提供分析必须的技术支持。实践表明，FMECA工作是设计工作的一部分。“谁设计、谁分析”、及时改进是进行FMECA的宗旨，是

13、确保FMECA有效性的基础，也是国内外开展 FMECA工作经验的结晶。如果不由产品设计者实施FMECA，必然造成分析与设计的分离，也就背离了FMECA的初衷。8/19/202226可靠性设计第26页，共145页。实施FMECA应注意的问题重视FMECA的策划实施FMECA前，应对所需进行的FMECA活动进行完整、全面、系统地策划，尤其是对复杂大系统，更应强调FMECA的重要性。其必要性体现在以下几方面：结合产品研制工作，运用并行工程的原理，对所需的FMECA进行完整、全面、系统地策划，将有助于保证FMECA分析的目的性、有效性，以确保FMECA工作与研制工作同步协调，避免事后补做的现象。对复杂

14、大系统，总体级的FMECA往往需要低层次的分析结果作为输入，对相关分析活动的策划将有助于确保高层次产品FMECA的实施。FMECA计划阶段事先规定的基本前提、假设、分析方法和数据，将有助于在不同产品等级和承制方之间交流和共享，确保分析结果的一致性、有效性和可比性。8/19/202227可靠性设计第27页，共145页。实施FMECA应注意的问题保证FMECA的实时性、规范性、有效性实时性。FMECA工作应纳入研制工作计划、做到目的明确、管理务实；FMECA工作与设计工作应同步进行，将FMECA结果及时反馈给设计过程。规范性。分析工作应严格执行FMECA计划、有关标准/文件的要求。分析中应明确某些

15、关键概念，比如：故障检测方法是系统运行或维修时发现故障的方法；严酷度是对故障模式最终影响严重程度的度量，危害度是对故障模式后果严重程度的发生可能性的综合度量，两者是不同的概念，不能混淆。有效性。对分析提出的改进、补偿措施的实现予以跟踪和分析，以验证其有效性。这种过程也是积累FMECA工程经验的过程。8/19/202228可靠性设计第28页，共145页。实施FMECA应注意的问题FMECA的剪裁和评审FMECA作为常用的分析工具，可为可靠性、安全性、维修性、测试性和保障性等工作提供信息，不同的应用目的可能得到不同的分析结果。各单位可根据具体的产品特点和任务对FMECA的分析步骤、内容进行补充，剪

16、裁，并在相应文件中予以明确。8/19/202229可靠性设计第29页，共145页。实施FMECA应注意的问题FMECA的数据故障模式是FMECA的基础。能否获得故障模式的相关信息是决定FMECA工作有效性的关键。若进行定量分析时还需故障的具体数据，这些数据除通过试验获得外，一般是需要通过相似产品的历史数据进行统计分析。有计划有目的地注意收集、整理有关产品的故障信息，并逐步建立和完善故障模式及频数比的相关故障信息库，这是开展有效的 FMECA工作的基本保障之一。8/19/202230可靠性设计第30页，共145页。实施FMECA应注意的问题FMECA应与其他分析方法相结合FMECA虽是有效的可靠

17、性分析方法，但并非万能，它不能代替其他可靠性分析工作。应注意FMECA一般是静态的、单一因素的分析方法。在动态方面还很不完善，若对系统实施全面分析还需与其他分析方法（如FTA、 ETA等）相结合。8/19/202231可靠性设计第31页，共145页。故障模式分析故障与故障模式故障是产品或产品的一部分不能或将不能完成预定功能的事件或状态（对电子元器件、弹药、机械产品也称失效）。故障模式是故障的表现形式，如短路、开路、起落架撑杆断裂、作动筒间隙不当、收放不到位、过度耗损等。一般在研究产品的故障时往往从产品的故障现象入手，进而通过现象找出故障原因。故障模式是 FMECA分析的基础，同时也是进行其它故

18、障分析（如故障树分析、事件树分析等）的基础之一。8/19/202232可靠性设计第32页，共145页。故障模式分析故障判据产品的故障与产品所属系统的规定功能和规定条件密切相关，在对具体的系统进行故障分析时，必须首先明确系统在规定的条件下丧失规定功能的判别准则，即系统的故障判据，这样才能明确产品的某种非正常状态是否为该产品的故障模式。注意区分两类不同性质的故障功能故障指产品或产品的一部分不能完成预定功能的事件或状态。潜在故障指产品或产品的一部分将不能完成预定功能的事件或状态。8/19/202233可靠性设计第33页，共145页。故障模式分析注意穷尽可能的故障模式一个产品可能具有多种功能起落架：支

19、撑、滑跑、收放等每一种功能又可能具有多种故障模式支撑：降落时折起滑跑：震动收放：收不起、放不下因此，分析人员的任务就是找出产品每一种功能的全部可能的故障模式。对于一般具有多种任务功能的复杂系统，要说明产品的故障模式是在哪一个任务剖面的哪一个任务阶段的哪种工作模式下发生的。8/19/202234可靠性设计第34页，共145页。故障模式分析系统研制初期分析故障模式的原则在系统的寿命周期内，分析人员经过各种目的 FMECA即可掌握系统的全部故障模式，但首先遇到的问题是在系统研制初期如何分析各产品可能的故障模式。一般地说，可通过统计、试验或分析预测来解决，即可遵循如下原则：对系统中直接采用的现有产品，

20、可以以该产品在过去的使用中所发生的故障模式为基础，再根据该产品使用环境条件的异同进行分析修正，得到该产品的故障模式。对系统中的新产品，可根据该产品的功能原理进行分析预测，得到该产品的故障模式，或以与该产品具有相似功能的产品所发生的故障模式为基础，分析判断该产品的故障模式。8/19/202235可靠性设计第35页，共145页。典型故障模式GJB1391故障模式影响及危害性分析序号故障模式序号故障模式序号故障模式1结构故障(破损)12超出允差(下限)23滞后运行2捆结或卡死13意外运行24错误输入(过大)3振动14间歇性工作25错误输入(过小)4不能保持正常位置15漂移性工作26错误输出(过大)5

21、打不开16错误指示27错误输出(过小)6关不上17流动不畅28无输入7误开18错误动作29无输出8误关19不能关机30(电的)短路9内部漏泄20不能开机31(电的)开路10外部漏泄21不能切换32(电的)漏泄11超出允差(上限)22提前运行33其它8/19/202236可靠性设计第36页，共145页。机械产品典型故障模式故障模式可分为以下七大类：损坏型：如断裂、变形过大、塑性变形、裂纹等。退化型：如老化、腐蚀、磨损等。松脱型：松动、脱焊等失调型：如间隙不当、行程不当、压力不当等。堵塞或渗漏型：如堵塞、漏油、漏气等。功能型：如性能不稳定、性能下降、功能不正常。其他：润滑不良等。8/19/2022

22、37可靠性设计第37页，共145页。故障原因分析分析故障原因一般从两个方面着手：直接原因：导致产品功能故障的产品自身的那些物理、化学或生物变化过程等，直接原因又称为故障机理。间接原因：由于其他产品的故障、环境因素和人为因素等引起的间接故障原因。例如起落架上位锁打不开直接原因：锁体间隙不当、弹簧老化等间接原因：锁支架刚度差8/19/202238可靠性设计第38页，共145页。任务阶段与工作方式任务剖面又由多个任务阶段组成起落架任务阶段：起飞、着陆、空中飞行、地面滑行工作方式：可替换有余度上位锁开锁：液压、手动钢索、冷气因此，在进行故障模式分析时，要说明产品的故障模式是在哪一个任务剖面的哪一个任务

23、阶段的什么工作方式下发生的。8/19/202239可靠性设计第39页，共145页。任务剖面L=123L=209T=12.15L=419.6T=24.40L=117.7T=6.84L=38L=827.4T=48.10T=48.1投720L副油箱投960L副油箱T=12.2M=0.86M=0.86M=0.86M=0.86航程L（km）航时T（min）高度H（km）T=24.4T=6.8T=5.0 空空剖面1510118/19/202240可靠性设计第40页，共145页。故障影响分析约定层次复杂系统通常具有层次性结构，随着设计的进展，层次划分方式也不同。早期，按照系统功能划分深入后，可按系统结构划分

24、FMEA之前，先规定从哪个产品层次到哪个产品层次结束，这种规定FMEA层次称为约定层次。约定层次示例初始约定层次最低约定层次8/19/202241可靠性设计第41页，共145页。故障影响分析约定层次的划分应当从系统效能、费用、进度等方面进行权衡。在系统的不同研制阶段内由于FMEA的目的或侧重点不同，因而约定层次的划分不必强求一致。即使在同一研制阶段，由于组成系统的复杂性，在约定层次的划分上也不必完全相同，应依据组成系统的产品的实际情况确定约定层次。较多成熟产品的系统，约定层次可划分的粗而少不成熟产品组成的系统，划分应多而细，并做认真详细的分析当系统中某一产品的故障将直接引起灾难的或致命的后果时

25、，则最低约定层次应至少划分到这一产品所在的层次。层次划分的多而细，进行FMEA的工作量越大。8/19/202242可靠性设计第42页，共145页。故障影响分析故障影响指产品的每一个故障模式对产品自身或其他产品的使用、功能和状态的影响。局部影响:某产品的故障模式对该产品自身和与该产品所在约定层次相同的其他产品的使用、功能或状态的影响。高一层次影响:某产品的故障模式对该产品所在约定层次的高一层次产品的使用、功能或状态的影响。最终影响:指系统中某产品的故障模式对初始约定层次产品的使用、功能或状态的影响。8/19/202243可靠性设计第43页，共145页。严酷度类别定义系统中各产品的故障模式产生的最

26、终影响往往是不同的。为了划分不同故障模式产生的最终影响的严重程度，在进行故障模式分析之前，一般需要对最终影响的后果等级进行预定义，从而对系统中各故障模式按其严重程度进行分级。在某些系统（一般为武器系统）中，最终影响的严重程度等级又称为严酷度类别。严酷度：故障模式所产生后果的严重程度。8/19/202244可靠性设计第44页，共145页。严酷度类别武器系统的严酷度类别定义(GJB1391)严酷度类别严 重 程 度 定 义类(灾难的)这是一种会引起人员死亡或系统(如飞机、坦克、导弹及船舶等)毁坏的故障。类(致命的)这种故障会引起人员的严重伤害、重大经济损失或导致任务失败的系统严重损坏。类(临界的)

27、这种故障会引起人员的轻度伤害，一定的经济损失或导致任务延误或降级的系统轻度损坏。类(轻度的)这是一种不足以导致人员伤害、一定的经济损失或系统损坏的故障，但它会导致非计划性维护或修理。8/19/202245可靠性设计第45页，共145页。故障检测方法针对分析找出的每一个故障模式，分析其故障检测方法，以便为系统的维修性、测试性设计以及系统的维修工作提供依据。故障检测方法一般包括目视检查、离机检测、原位测试等手段：自动传感装置、传感仪器、音响报警装置、显示报警装置等故障检测一般分为事前检测与事后检测两类，对于潜在故障模式，应尽可能设计事前检测方法。8/19/202246可靠性设计第46页，共145页

28、。补偿措施分析是关系到能否有效地提高产品可靠性的重要环节。它针对每个故障模式的原因、影响，提出可能的补偿措施。设计补偿措施产品发生故障时，能继续安全工作的冗余设备；安全或保险装置(如监控及报警装置)；可替换的工作方式(如备用或辅助设备)；可以消除或减轻故障影响的设计或工艺改进(如概率设计、计算机模拟仿真分析和工艺改进等)。操作人员补偿措施特殊的使用和维护规程，尽量避免或预防故障的发生；一旦出现某故障后操作人员应采取的最恰当的补救措施。8/19/202247可靠性设计第47页，共145页。约定层次示例故障影响系统定义8/19/202248可靠性设计第48页，共145页。故障概率等级或数据来源故障

29、概率等级定性分析方法A级 经常发生， 20%B级 有时发生， 10% 20%C级 偶然发生， 1% 10%D级 很少发生， 0.1% 1%E级 极少发生， 0.1%数据来源预计值分配值外场评估值等8/19/202249可靠性设计第49页，共145页。故障模式频数比气体控制活门故障模式故障模式频数比产品故障率p模式故障率m不闭合不打开外部漏气34%57%9%0.123450.041970.070360.01111总 计1.0 0.12345故障模式频数比故障模式频数比是产品的某一故障模式占其全部故障模式的百分比率。如果考虑某产品所有可能的故障模式，则其故障模式频数比之和将为1。模式故障率m是指产

30、品总故障率p与某故障模式频数比的乘积。例：故障模式频数比及模式故障率8/19/202250可靠性设计第50页，共145页。故障影响概率故障影响概率是指假定某故障模式已发生时，导致确定的严酷度等级的最终影响的条件概率。某一故障模式可能产生多种最终影响，分析人员不但要分析出这些最终影响还应进一步指明该故障模式引起的每一种故障影响的百分比，此百分比即为。这多种最终影响的值之和应为1。故障影响概率示例8/19/202251可靠性设计第51页，共145页。故障模式危害度与产品危害度故障模式危害度评价单一故障模式危害性Cmi(j)=pt, j =, Cmi(j) 代表了产品在工作时间t内以第i 种故障模式

31、发生第j类严酷度类别的故障次数产品危害度评价产品的危害性n为该产品在第j类严酷度类别下的故障模式总数，j=,Cr(j)代表产品在工作时间t内产生的第j类严酷度类别的故障次数8/19/202252可靠性设计第52页，共145页。例某型军用教练飞机升降舵系统的FMECA 系统定义 系统组成及功能 约定层次 绘制可靠性方框图故障判据 严酷度类别 FMECA表的填写FMECA表格的选取 FMECA表中信息来源 主要故障模式 系统在不同严酷度下的危害度 FMECA报告8/19/202253可靠性设计第53页，共145页。系统定义系统组成及功能某型军用教练飞机升降舵系统是单梁盒式薄壁结构，并是由梁、小梁、

32、肋、蒙皮所组成的双闭室剖面结构。为保证升降舵系统的操作，由负载、配平性能需要，还装有配重的调整片、翼尖配重。 约定层次 初始约定层次为某型军用教练机约定层次图 8/19/202254可靠性设计第54页，共145页。系统定义绘制方框图绘制功能结构方框图绘制可靠性框图故障判据 严酷度类别8/19/202255可靠性设计第55页，共145页。升降舵系统约定层次8/19/202256可靠性设计第56页，共145页。功能结构方框图8/19/202257可靠性设计第57页，共145页。可靠性框图8/19/202258可靠性设计第58页，共145页。故障判据升降舵系统凡发生不满足以下要求的情况之一，即认为该

33、系统发生了故障：舵面偏转时应准确及时偏转到规定位置；左、右升降舵应保持同步偏转；飞机长期稳定飞行时，舵面应保持确定的平衡位置；舵面偏转时无卡滞现象；飞行中舵面无强烈振动现象；调整片按要求能正常偏转；配重无松动现象；舵面结构满足了强度、刚度要求，没有因疲劳、腐蚀等导致其结构的损伤。 8/19/202259可靠性设计第59页，共145页。严酷度类别升降舵系统严酷度类别的定义 严酷度类别 严重程度定义 类（灾难的） 危及人员或安全（如一等、二等飞行事故及重大环境损坏） 类（致命的） 损伤人员或飞机损伤（如三等飞行事故及严重环境损害） 类（临界的） 人员程轻度伤害或影响任务完成（如误飞、中断或取消飞行

34、、降低飞行品质、增加着陆困难、中等程度环境损害） 类（轻度的） 无影响或影响很小，增加非计划性维护或修理 8/19/202260可靠性设计第60页，共145页。FMECA表格的填写FMECA表格的选取根据本案例的实际情况，将FMEA表、CA表合并成一个表。这使FMECA表更简明、直观和减少工作量。FMECA表中信息来源表中的故障模式、故障原因、故障率等均是在多个相似飞机升降舵的调研和分析基础上进行的，其结果比较真实可靠。主要故障模式归纳该升降舵的故障模式是：舵面偏转不到位。其表现为驾驶杆行程加大，操纵不到位。舵面偏转困难（偏重），但无卡死现象。卡滞。舵面转动不灵活，有卡滞现象。振动。由舵面的振

35、动导致驾驶杆抖动。结构故障。由于长期使用，舵面结构局部损伤，造成结构强度、刚度下降，变形加大。8/19/202261可靠性设计第61页，共145页。FMECA表格的填写针对上述故障模式提示了相应的改进措施，进而提高了产品的可靠性、保证了该教练机飞行一次成功。系统在不同严酷度下的危害度据表结果，升降舵系统在不同严酷度下的危害度是：CRs(I) 6.00110-6；CRs()31.672410-6；CRs()1.418310-6；CRs()0.025210-68/19/202262可靠性设计第62页，共145页。FMECA表格8/19/202263可靠性设计第63页，共145页。FMECA报告可靠

36、性关键产品清单类故障模式清单单点故障模式清单不可检测故障模式清单危害性矩阵图等8/19/202264可靠性设计第64页，共145页。2.FTA8/19/202265可靠性设计第65页，共145页。内容提要概述故障树的基本概念定义目的、特点FTA工作要求常用事件、逻辑门符号故障树分析定性分析定量分析重要度分析故障树的简化 8/19/202266可靠性设计第66页，共145页。概述切尔诺贝利核泄露事故、美国的挑战者号升空后爆炸和印度的博帕尔化学物质泄露。 FMECA：单因素分析法，只能分析单个故障模式对系统的影响。FTA可分析多种故障因素（硬件、软件、环境、人为因素等）的组合对系统的影响。FMEC

37、A和FTA是工程中最有效的故障分析方法，FMECA是FTA的基础。各工程领域广泛应用：核工业、航空、航天、机械、电子、兵器、船舶、化工等。8/19/202267可靠性设计第67页，共145页。泰坦尼克海难海难后果船体钢材不适应海水低温环境，造成船体裂纹观察员、驾驶员失误，造成船体与冰山相撞船上的救生设备不足，使大多数落水者被冻死距其仅20海里的California号无线电通讯设备处于关闭状态，无法收到求救信号，不能及时救援顶事件逻辑门 中间事件底事件8/19/202268可靠性设计第68页，共145页。电机故障树8/19/202269可靠性设计第69页，共145页。基本概念故障树定义故障树指用

38、以表明产品哪些组成部分的故障或外界事件或它们的组合将导致产品发生一种给定故障的逻辑图。故障树是一种逻辑因果关系图，构图的元素是事件和逻辑门事件用来描述系统和元、部件故障的状态逻辑门把事件联系起来，表示事件之间的逻辑关系故障树实例8/19/202270可靠性设计第70页，共145页。基本概念故障树分析（FTA）通过对可能造成产品故障的硬件、软件、环境、人为因素进行分析，画出故障树，从而确定产品故障原因的各种可能组合方式和(或)其发生概率。定性分析定量分析8/19/202271可靠性设计第71页，共145页。基本概念FTA目的帮助判明可能发生的故障模式和原因，发现可靠性和安全性薄弱环节，采取改进措

39、施，以提高产品可靠性和安全性；计算故障发生概率；发生重大故障或事故后，FTA是故障调查的一种有效手段，可以系统而全面地分析事故原因，为故障“归零”提供支持；指导故障诊断、改进使用和维修方案等。 FTA特点是一种自上而下的图形演绎方法；有很大的灵活性；综合性：硬件、软件、环境、人为因素等；主要用于安全性分析。8/19/202272可靠性设计第72页，共145页。FTA工作要求在产品研制早期就应进行FTA，以便早发现问题并进行改进。随设计工作进展，FTA应不断补充、修改、完善。“谁设计，谁分析”故障树应由设计人员在FMEA基础上建立。可靠性专业人员协助、指导，并由有关人员审查，以保证故障树逻辑关系

40、的正确性。应与FMEA工作相结合应通过FMEA找出影响安全及任务成功的关键故障模式（即I、II类严酷度的故障模式）作为顶事件，建立故障树进行多因素分析，找出各种故障模式组合，为改进设计提供依据。8/19/202273可靠性设计第73页，共145页。FTA工作要求FTA输出的设计改进措施，必须落实到图纸和有关技术文件中应采用计算机辅助进行FTA由于故障树定性、定量分析工作量十分庞大，因此建立故障树后，应采用计算机辅助进行分析，以提高其精度和效率。 8/19/202274可靠性设计第74页，共145页。故障树常用事件符号符号说明底事件元、部件在设计的运行条件下发生的随机故障事件。实线圆硬件故障虚线

41、圆人为故障未探明事件表示该事件可能发生，但是概率较小，勿需再进一步分析的故障事件，在故障树定性、定量分析中一般可以忽略不计。顶事件人们不希望发生的显著影响系统技术性能、经济性、可靠性和安全性的故障事件。顶事件可由FMECA分析确定。中间事件故障树中除底事件及顶事件之外的所有事件。8/19/202275可靠性设计第75页，共145页。故障树常用事件符号符号说明开关事件：已经发生或必将要发生的特殊事件。条件事件：描述逻辑门起作用的具体限制的特殊事件。入三角形：位于故障树的底部，表示树的A部分分支在另外地方。出三角形：位于故障树的顶部，表示树A是在另外部分绘制的一棵故障树的子树。A8/19/2022

42、76可靠性设计第76页，共145页。故障树常用逻辑门符号符号说明相同转移符号（A是子树代号，用字母数字表示）：左图表示“下面转到以字母数字为代号所指的地方去”右图表示“由具有相同字母数字的符号处转移到这里来”相似转移符号（A同上）：左图表示“下面转到以字母数字为代号所指结构相似而事件标号不同的子树去”，不同事件标号在三角形旁注明右图表示“相似转移符号所指子树与此处子树相似但事件标号不同”8/19/202277可靠性设计第77页，共145页。故障树常用逻辑门符号符号说明与门Bi(i=1,2,n)为门的输入事件，A为门的输出事件Bi同时发生时，A必然发生，这种逻辑关系称为事件交。用逻辑“与门”描述

43、，逻辑表达式为或门当输入事件中至少有一个发生时，输出事件A发生，称为事件并。用逻辑“或门”描述，逻辑表达式为 8/19/202278可靠性设计第78页，共145页。故障树常用逻辑门符号符号说明表决门：n个输入中至少有r个发生，则输出事件发生；否则输出事件不发生。 异或门：输入事件B1，B2中任何一个发生都可引起输出事件A发生，但B1，B2不能同时发生。相应的逻辑代数表达式为 8/19/202279可靠性设计第79页，共145页。故障树常用逻辑门符号符号说明禁止门：仅当“禁门打开条件”发生时，输入事件B发生才导致输出事件A发生；打开条件写入椭圆框内。顺序与门：仅当输入事件B按规定的“顺序条件”发

44、生时，输出事件A才发生。非门：输出事件A是输入事件B的逆事件。8/19/202280可靠性设计第80页，共145页。故障树示例8/19/202281可靠性设计第81页，共145页。故障树分析建树步骤广泛收集并分析系统及其故障的有关资料选择顶事件建造故障树简化故障树。注意事项明确建树边界条件，简化故障树；故障事件应严格定义。如希望分析“电路开关合上后马达不转”，但由于省略，表达为“马达不转”，则故障树就不同。8/19/202282可靠性设计第82页，共145页。故障树分析分析步骤建立故障树 故障树定性分析故障树定量分析重要度分析分析结论：薄弱环节确定改进措施8/19/202283可靠性设计第83

45、页，共145页。故障树定性分析 目的 寻找顶事件的原因事件及原因事件的组合（最小割集），即识别导致顶事件发生的所有故障模式集合。帮助分析人员发现潜在的故障，发现设计的薄弱环节，以便改进设计。指导故障诊断，改进使用和维修方案。 割集、最小割集概念割集：故障树中一些底事件的集合，当这些底事件同时发生时，顶事件必然发生。最小割集：若将割集中所含的底事件任意去掉一个就不再成为割集了，这样的割集就是最小割集。8/19/202284可靠性设计第84页，共145页。故障树定性分析最小割集的意义最小割集对降低复杂系统潜在事故的风险具有重大意义如果能使每个最小割集中至少有一个底事件恒不发生(发生概率极低)，则顶

46、事件就恒不发生(发生概率极低)，设计时系统潜在事故的发生概率降至最低。消除可靠性关键系统中的一阶最小割集，可消除单点故障可靠性关键系统设计要求不允许有单点故障。方法之一就是设计时进行故障树分析，找出一阶最小割集，在其所在的层次或更高的层次增加“与门”，并使“与门”尽可能接近顶事件。最小割集可以指导系统的故障诊断和维修如果系统某一故障模式发生了，则一定是该系统中与其对应的某一个最小割集中的全部底事件全部发生了。进行维修时，如果只修复某个故障部件，虽然能够使系统恢复功能，但其可靠性水平还远未恢复。根据最小割集的概念，只有修复同一最小割集中的所有部件故障，才能恢复系统可靠性、安全性设计水平。8/19

47、/202285可靠性设计第85页，共145页。故障树定性分析示例 根据与、或门的性质和割集的定义，可方便找出该故障树的割集是： X1,X2,X3,X1,X2,X3,X2,X1, X1,X3 根据与、或门的性质和割集的定义，可方便找出该故障树的最小割集是： X1,X2,X3最小割集求解方法常用的有下行法与上行法两种8/19/202286可靠性设计第86页，共145页。下行法求解最小割集步骤123456过程x1 x1 x1 x1 x1 x1 M1 M2 M4, M5 M4, M5 x4, M5 x4, x6 x2 M3 M3 x3 x5, M5 x4, x7 x2 x2 M6 X3 x5, x6

48、x2 M6 x5, x7 x2 x3 x6 x8 x2 故障树8/19/202287可靠性设计第87页，共145页。最小割集比较根据最小割集含底事件数目(阶数)排序，在各个底事件发生概率比较小，且相互差别不大的条件下，可按以下原则对最小割集进行比较： 阶数越小的最小割集越重要 在低阶最小割集中出现的底事件比高阶最小割集中的底事件重要 在最小割集阶数相同的条件下，在不同最小割集中重复出现的次数越多的底事件越重要 8/19/202288可靠性设计第88页，共145页。故障树定量分析假设独立性：底事件之间相互独立；两态性：元、部件和系统只有正常和故障两种状态指数分布：元、部件和系统寿命故障树的数学描

49、述结构函数典型逻辑门的结构函数结构函数示例单调关联系统典型逻辑门的概率计算顶事件发生概率计算8/19/202289可靠性设计第89页，共145页。故障树结构函数故障树的数学描述故障树结构函数表示系统状态布尔函数：8/19/202290可靠性设计第90页，共145页。典型逻辑门的结构函数 序号名称描述1与门2或门3n中取r4异或门8/19/202291可靠性设计第91页，共145页。结构函数示例8/19/202292可靠性设计第92页，共145页。结构函数示例8/19/202293可靠性设计第93页，共145页。单调关联系统 定义指系统中任一组成单元的状态由正常（故障）转为故障（正常），不会使系

50、统的状态由故障（正常）转为正常（故障）的系统。性质 系统中的每一个元、部件对系统可靠性都有一定影响，只是影响程度不同。系统中所有元、部件故障（正常），系统一定故障（正常）。系统中故障元、部件的修复不会使系统由正常转为故障；正常元、部件故障不会使系统由故障转为正常。 单调关联系统的可靠性不会比由相同元、部件构成的串联系统坏，也不会比由相同元、部件构成的并联系统好。8/19/202294可靠性设计第94页，共145页。序号名称描述1与门2或门3n中取r4异或门典型逻辑门的概率计算8/19/202295可靠性设计第95页，共145页。顶事件概率计算最小割集之间不相交最小割集之间相交 全概率法直接化法

51、递推化法近似算法示例1示例28/19/202296可靠性设计第96页，共145页。最小割集之间不相交8/19/202297可靠性设计第97页，共145页。全概率法8/19/202298可靠性设计第98页，共145页。直接化法8/19/202299可靠性设计第99页，共145页。递推化法8/19/2022100可靠性设计第100页，共145页。近似算法一阶近似：二阶近似：8/19/2022101可靠性设计第101页，共145页。故障树最小割集：x1，x4, x7，x5, x7，x3，x6 ，x8 一阶近似算法：近似算法计算示例8/19/2022102可靠性设计第102页，共145页。顶事件概率计

52、算示例二阶近似算法：8/19/2022103可靠性设计第103页，共145页。示例28/19/2022104可靠性设计第104页，共145页。示例2直接化法8/19/2022105可靠性设计第105页，共145页。示例2递推化法8/19/2022106可靠性设计第106页，共145页。重要度分析重要度的概念定义底事件或最小割集对顶事件发生的贡献目的确定薄弱环节和改进设计方案重要度分类概率重要度结构重要度8/19/2022107可靠性设计第107页，共145页。概率重要度概率重要度概念第i个部件不可靠度的变化引起系统不可靠度变化的程度。用数学公式表达为 概率重要度； 元、部件不可靠度； 顶事件发

53、生概率， 系统不可靠度， 8/19/2022108可靠性设计第108页，共145页。概率重要度概率重要度示例 已知：1=0.001/h,2=0.002/h,3=0.003/h,试求当t=100h时各部件的概率重要度、结构重要度和关键重要度。解 8/19/2022109可靠性设计第109页，共145页。结构重要度结构重要度概念元、部件在系统中所处位置的重要程度，与元、部件本身故障概率毫无关系。其数学表达式为 第i个元、部件的结构重要度； 系统所含元、部件的数量；两种状态8/19/2022110可靠性设计第110页，共145页。结构重要度结构重要度示例求解如图所示故障树中的底事件结构重要度解：二个

54、部件，共有 23-1=4 种状态：8/19/2022111可靠性设计第111页，共145页。故障树的逻辑简化故障树的简化8/19/2022112可靠性设计第112页，共145页。故障树的简化8/19/2022113可靠性设计第113页，共145页。故障树的模块分解 割顶点法示例8/19/2022114可靠性设计第114页，共145页。故障树的早期不交化 当重复事件多时，无法应用模块分解法。早期不交化可有效地消除重复事件。规则是遇到与门，其输入、输出均不变；遇到或门，对输入不交化。 8/19/2022115可靠性设计第115页，共145页。故障树示例求解最小割集顶事件概率计算算例故障树示例8/1

55、9/2022116可靠性设计第116页，共145页。3.ETA8/19/2022117可靠性设计第117页，共145页。内容提要事件树分析的基本概念事件树的建造事件树的定量分析ETA与FTA的综合应用8/19/2022118可靠性设计第118页，共145页。事件树分析的基本概念初因事件可能引发系统安全性后果的系统内部的故障或外部的事件。后续事件在初因事件发生后，可能相继发生的其他事件，这些事件可能是系统功能设计中所决定的某些备用设施或安全保证设施的启用，也可能是系统外部正常或非正常事件的发生。后续事件一般是按一定顺序发生的。后果事件由初因事件和后续事件的发生或不发生所构成的不同的结果。8/19

56、/2022119可靠性设计第119页，共145页。事件树的分支事件树分析的基本概念8/19/2022120可靠性设计第120页，共145页。事件树分析的基本概念确定初因事件：确定和分析可能导致系统安全性后果的初因事件并进行分类，对那些可能导致相同事件树的初因事件划分为一类。建造事件树：确定和分析初因事件发生后，可能相继发生的后续事件，并进一步确定这些事件发生的先后顺序，按后续事件发生或不发生（二态）分析各种可能的结果，找出后果事件。事件树的建造过程也是对系统的一个再认识过程。事件树的定量分析：对所建完的事件树，收集、分析各事件的发生概率及其相互间的依赖关系，定量计算各后果事件的的发生概率，并进

57、一步分析评估其风险。8/19/2022121可靠性设计第121页，共145页。事件树建造连续运转部件组成系统的事件树有备用或安全装置的系统事件树考虑人为因素的事件树8/19/2022122可靠性设计第122页，共145页。桥网络系统事件树8/19/2022123可靠性设计第123页，共145页。桥网络系统简化事件树8/19/2022124可靠性设计第124页，共145页。有备用或安全装置的系统事件树8/19/2022125可靠性设计第125页，共145页。化学反应器事件树8/19/2022126可靠性设计第126页，共145页。考虑人为因素的事件树8/19/2022127可靠性设计第127页，共145页。事件树化简当某一非正常事件的发生概率极低时可以不列入后续事件中；当某一后续事件发生后，其后的其他事件无论发生与否均不能减缓该事件链的后果时，该事件链即已结束。8/19/2022128可靠性设计第128页，共145页。事件树定量分析确定初因事件的概率确定后续事件及各后果事件的发生概率评估各后果事件的风险8/19/2022129可靠性设计第129页，共145页。简化计算后果事件的概率P(IS1S2)=P(I)P(S1)P(S2)P(I)P(IS1F2)=P(I)P(S1)P