系统可靠性分析方法详解演示文稿

系统可靠性分析方法详解演示文稿当前1页，总共140页。3/26/20231可靠性设计（优选）系统可靠性分析方法当前2页，总共140页。3/26/20232可靠性设计1.FMECA当前3页，总共140页。3/26/20233可靠性设计内容提要概述FMECA的定义、目的和作用FMECA的方法FMECA的步骤系统定义故障模式影响分析危害性分析FMECA结果输出与注意的问题应用案例当前4页，总共140页。3/26/20234可靠性设计概述元部件的故障对系统可造成重大影响灾难性的影响挑战者升空爆炸——发动机液体燃料管垫圈不密封致命性的影响起落架上位锁打不开以往设计师依靠经验判断元部件故障对系统的影响依赖于人的知识和工作经验当前5页，总共140页。3/26/20235可靠性设计概述系统的、全面的和标准化的方法——FMECAFMECA的发展设计阶段发现对系统造成重大影响的元部件故障设计更改、可靠性补偿是可靠性、维修性、保障性和安全性设计分析的基础当前6页，总共140页。3/26/20236可靠性设计FMECA的概念FMECA的定义故障模式影响及危害性分析(FailureMode,EffectsandCriticalityAnalysis,记为FMECA)是分析系统中每一产品所有可能产生的故障模式及其对系统造成的所有可能影响，并按每一个故障模式的严重程度及其发生概率予以分类的一种归纳分析方法。FMECA是一种自下而上的归纳分析方法；FMEA和CA。当前7页，总共140页。3/26/20237可靠性设计FMECA的概念FMECA的目的从产品设计（功能设计、硬件设计、软件设计）、生产（生产可行性分析、工艺设计、生产设备设计与使用）和产品使用角度发现各种影响产品可靠性的缺陷和薄弱环节，为提高产品的质量和可靠性水平提供改进依据。当前8页，总共140页。3/26/20238可靠性设计FMECA的概念FMECA的作用保证有组织地定性找出系统的所有可能的故障模式及其影响，进而采取相应的措施。为制定关键项目和单点故障等清单或可靠性控制计划提供定性依据；为制定试验大纲提供定性信息；为确定更换有寿件、元器件清单提供使用可靠性设计的定性信息；为确定需要重点控制质量及工艺的薄弱环节清单提供定性信息。可及早发现设计、工艺中的各种缺陷。为可靠性（R）、维修性（M）、安全性（S）、测试性（T）和保障性（S）工作提供一种定性依据。当前9页，总共140页。3/26/20239可靠性设计FMECA方法分类当前10页，总共140页。3/26/202310可靠性设计论证与方案阶段工程研制阶段生产阶段使用阶段方法功能FMECA·硬件FMECA·软件FMECA·损坏模式影响分析过程FMECA统计FMECA目的分析研究系统功能设计的缺陷与薄弱环节，为系统功能设计的改进和方案的权衡提供依据。分析研究系统硬件、软件设计的缺陷与薄弱环节，为系统的硬件、软件设计改进和保障性分析提供依据。分析研究所设计的生产工艺过程的缺陷和薄弱环节及其对产品的影响，为生产工艺的设计改进提供依据。分析研究产品使用过程中实际发生的故障、原因及其影响，为提供产品使用可靠性和进行产品的改进、改型或新产品的研制提供依据。产品寿命周期各阶段的FMECA方法当前11页，总共140页。3/26/202311可靠性设计FMECA的步骤当前12页，总共140页。3/26/202312可靠性设计①系统定义明确分析范围根据系统的复杂度、重要程度、技术成熟性、分析工作的进度和费用约束等，确定系统中进行FMECA的产品范围产品层次示例约定层次——规定的FMECA的产品层次初始约定层次——系统最顶层最低约定层次——系统最底层当前13页，总共140页。3/26/202313可靠性设计系统任务分析和功能分析描述系统的任务要求及系统在完成各种功能任务时所处的环境条件任务剖面、任务阶段分析明确系统中的产品在完成不同的任务时所应具备的功能、工作方式及工作时间等功能描述确定故障判据制定系统及产品的故障判据。选择FMECA方法等故障判据分析方法①系统定义当前14页，总共140页。3/26/202314可靠性设计②故障模式影响分析FMEAFMEA的工作内容故障模式分析找出系统中每一产品所有可能出现的故障模式。故障原因分析找出每一个故障模式产生的原因。故障影响分析找出系统中每一产品的每一个可能的故障模式所产生的影响，并按这些影响的严重程度进行分类。当前15页，总共140页。3/26/202315可靠性设计②故障模式影响分析FMEAFMEA的工作内容故障检测方法分析分析每一种故障模式是否存在特定的发现该故障模式的检测方法，从而为系统的故障检测与隔离设计提供依据。补偿措施分析针对故障影响严重的故障模式，提出设计改进和使用补偿的措施。当前16页，总共140页。3/26/202316可靠性设计②故障模式影响分析FMEA当前17页，总共140页。3/26/202317可靠性设计③危害性分析(CA)目的是按每一故障模式的严重程度及该故障模式发生的概率所产生的综合影响对系统中的产品划等分类，以便全面评价系统中可能出现的产品故障的影响。CA是FMEA的补充或扩展，只有在进行FMEA的基础上才能进行CA。常用方法风险优先数（RiskPriorityNumber,RPN）法主要用于汽车等民用工业领域危害性矩阵法主要用于航空、航天等军用领域当前18页，总共140页。3/26/202318可靠性设计③危害性分析(CA)风险优先数法RPN=OPR×ESR×DDROPR（OccurrenceProbabilityRanking）——故障模式发生概率等级ESR（EffectSeverityRanking）——影响严酷度等级DDR（DetectionDiffcultyRanking)——检测难度等级

上述三项因素通过评分获得。因此，首先应给出各项因素的评分准则。当前19页，总共140页。3/26/202319可靠性设计③危害性分析(CA)发生概率等级OPR用于评定某一特定的故障原因导致的某故障模式实际发生的可能性。等级故障发生的可能性参考值1稀少故障模式发生的可能性极低1/10623低故障模式发生的可能性相对较低1/200001/4000456中等故障模式发生的可能性中等1/10001/4001/8078高故障模式发生的可能性高1/401/20910非常高故障模式发生的可能性非常高1/81/2当前20页，总共140页。3/26/202320可靠性设计③危害性分析(CA)严酷度等级ESR用于评定所分析的故障模式的最终影响。等级故障影响的严重程度1轻微对系统的性能不会产生影响，用户注意不到的轻微故障2,3低对系统性能有轻微影响的故障，用户可能会注意到并引起轻微抱怨4,5,6中等引起系统性能下降的故障，用户感觉不舒适和不满意7,8高中断操作的重大故障或提供舒适性的子系统不能工作的故障，用户感到强烈不满意。但此类故障不会引起安全性后果也不违反政府法规9,10非常高引起生命、财产损失的致命故障或不符合政府法规的故障当前21页，总共140页。3/26/202321可靠性设计③危害性分析(CA)检测难度等级DDR用于评定通过企业内部预定的检验程序查出引起所分析的故障模式的各种原因的可能性。等级检验程序查出故障的难度1,2非常低检验程序可以检出的潜在设计缺陷3,4低检验程序有较大机会检出的潜在设计缺陷5,6中等检验程序可能检出的潜在设计缺陷7,8高检验程序不大可能检出的潜在设计缺陷9非常高检验程序不可能检出的潜在设计缺陷10无法检出检验程序绝不可能检出的潜在设计缺陷当前22页，总共140页。3/26/202322可靠性设计③危害性分析(CA)危害性矩阵法分类：定性和定量CA表当前23页，总共140页。3/26/202323可靠性设计③危害性分析(CA)危害性矩阵图绘制危害性矩阵图的目的是比较每个故障模式的危害程度，进而为确定改进措施的先后顺序提供依据。危害性矩阵是在某一特定严酷度级别下，产品各个故障模式危害程度或产品危害度相对结果的比较。与RPN一样具有指明风险优先顺序的作用。12当前24页，总共140页。3/26/202324可靠性设计FMECA结果输出FMECA输出单点故障模式清单Ⅰ、Ⅱ类故障模式清单可靠性关键件、重要件不可检测故障模式清单危害性矩阵图等FMEA/CA表当前25页，总共140页。3/26/202325可靠性设计实施FMECA应注意的问题强调“谁设计、谁分析”的原则“谁设计、谁分析”的原则，也就是产品设计人员应负责完成该产品的FMECA工作，可靠性专业人员应提供分析必须的技术支持。实践表明，FMECA工作是设计工作的一部分。“谁设计、谁分析”、及时改进是进行FMECA的宗旨，是确保FMECA有效性的基础，也是国内外开展FMECA工作经验的结晶。如果不由产品设计者实施FMECA，必然造成分析与设计的分离，也就背离了FMECA的初衷。当前26页，总共140页。3/26/202326可靠性设计实施FMECA应注意的问题重视FMECA的策划实施FMECA前，应对所需进行的FMECA活动进行完整、全面、系统地策划，尤其是对复杂大系统，更应强调FMECA的重要性。其必要性体现在以下几方面：结合产品研制工作，运用并行工程的原理，对所需的FMECA进行完整、全面、系统地策划，将有助于保证FMECA分析的目的性、有效性，以确保FMECA工作与研制工作同步协调，避免事后补做的现象。对复杂大系统，总体级的FMECA往往需要低层次的分析结果作为输入，对相关分析活动的策划将有助于确保高层次产品FMECA的实施。FMECA计划阶段事先规定的基本前提、假设、分析方法和数据，将有助于在不同产品等级和承制方之间交流和共享，确保分析结果的一致性、有效性和可比性。当前27页，总共140页。3/26/202327可靠性设计实施FMECA应注意的问题保证FMECA的实时性、规范性、有效性实时性。FMECA工作应纳入研制工作计划、做到目的明确、管理务实；FMECA工作与设计工作应同步进行，将FMECA结果及时反馈给设计过程。规范性。分析工作应严格执行FMECA计划、有关标准/文件的要求。分析中应明确某些关键概念，比如：故障检测方法是系统运行或维修时发现故障的方法；严酷度是对故障模式最终影响严重程度的度量，危害度是对故障模式后果严重程度的发生可能性的综合度量，两者是不同的概念，不能混淆。有效性。对分析提出的改进、补偿措施的实现予以跟踪和分析，以验证其有效性。这种过程也是积累FMECA工程经验的过程。当前28页，总共140页。3/26/202328可靠性设计实施FMECA应注意的问题FMECA的剪裁和评审FMECA作为常用的分析工具，可为可靠性、安全性、维修性、测试性和保障性等工作提供信息，不同的应用目的可能得到不同的分析结果。各单位可根据具体的产品特点和任务对FMECA的分析步骤、内容进行补充，剪裁，并在相应文件中予以明确。当前29页，总共140页。3/26/202329可靠性设计实施FMECA应注意的问题FMECA的数据故障模式是FMECA的基础。能否获得故障模式的相关信息是决定FMECA工作有效性的关键。若进行定量分析时还需故障的具体数据，这些数据除通过试验获得外，一般是需要通过相似产品的历史数据进行统计分析。有计划有目的地注意收集、整理有关产品的故障信息，并逐步建立和完善故障模式及频数比的相关故障信息库，这是开展有效的FMECA工作的基本保障之一。当前30页，总共140页。3/26/202330可靠性设计实施FMECA应注意的问题FMECA应与其他分析方法相结合FMECA虽是有效的可靠性分析方法，但并非万能，它不能代替其他可靠性分析工作。应注意FMECA一般是静态的、单一因素的分析方法。在动态方面还很不完善，若对系统实施全面分析还需与其他分析方法（如FTA、ETA等）相结合。当前31页，总共140页。3/26/202331可靠性设计故障模式分析故障与故障模式故障是产品或产品的一部分不能或将不能完成预定功能的事件或状态（对电子元器件、弹药、机械产品也称失效）。故障模式是故障的表现形式，如短路、开路、起落架撑杆断裂、作动筒间隙不当、收放不到位、过度耗损等。一般在研究产品的故障时往往从产品的故障现象入手，进而通过现象找出故障原因。故障模式是FMECA分析的基础，同时也是进行其它故障分析（如故障树分析、事件树分析等）的基础之一。当前32页，总共140页。3/26/202332可靠性设计故障模式分析故障判据产品的故障与产品所属系统的规定功能和规定条件密切相关，在对具体的系统进行故障分析时，必须首先明确系统在规定的条件下丧失规定功能的判别准则，即系统的故障判据，这样才能明确产品的某种非正常状态是否为该产品的故障模式。注意区分两类不同性质的故障功能故障指产品或产品的一部分不能完成预定功能的事件或状态。潜在故障指产品或产品的一部分将不能完成预定功能的事件或状态。当前33页，总共140页。3/26/202333可靠性设计故障模式分析注意穷尽可能的故障模式一个产品可能具有多种功能起落架：支撑、滑跑、收放等每一种功能又可能具有多种故障模式支撑：降落时折起滑跑：震动收放：收不起、放不下因此，分析人员的任务就是找出产品每一种功能的全部可能的故障模式。对于一般具有多种任务功能的复杂系统，要说明产品的故障模式是在哪一个任务剖面的哪一个任务阶段的哪种工作模式下发生的。当前34页，总共140页。3/26/202334可靠性设计故障模式分析系统研制初期分析故障模式的原则在系统的寿命周期内，分析人员经过各种目的FMECA即可掌握系统的全部故障模式，但首先遇到的问题是在系统研制初期如何分析各产品可能的故障模式。一般地说，可通过统计、试验或分析预测来解决，即可遵循如下原则：对系统中直接采用的现有产品，可以以该产品在过去的使用中所发生的故障模式为基础，再根据该产品使用环境条件的异同进行分析修正，得到该产品的故障模式。对系统中的新产品，可根据该产品的功能原理进行分析预测，得到该产品的故障模式，或以与该产品具有相似功能的产品所发生的故障模式为基础，分析判断该产品的故障模式。当前35页，总共140页。3/26/202335可靠性设计典型故障模式GJB1391《故障模式影响及危害性分析》序号故障模式序号故障模式序号故障模式1结构故障(破损)12超出允差(下限)23滞后运行2捆结或卡死13意外运行24错误输入(过大)3振动14间歇性工作25错误输入(过小)4不能保持正常位置15漂移性工作26错误输出(过大)5打不开16错误指示27错误输出(过小)6关不上17流动不畅28无输入7误开18错误动作29无输出8误关19不能关机30(电的)短路9内部漏泄20不能开机31(电的)开路10外部漏泄21不能切换32(电的)漏泄11超出允差(上限)22提前运行33其它当前36页，总共140页。3/26/202336可靠性设计机械产品典型故障模式故障模式可分为以下七大类：损坏型：如断裂、变形过大、塑性变形、裂纹等。退化型：如老化、腐蚀、磨损等。松脱型：松动、脱焊等失调型：如间隙不当、行程不当、压力不当等。堵塞或渗漏型：如堵塞、漏油、漏气等。功能型：如性能不稳定、性能下降、功能不正常。其他：润滑不良等。当前37页，总共140页。3/26/202337可靠性设计故障原因分析分析故障原因一般从两个方面着手：直接原因：导致产品功能故障的产品自身的那些物理、化学或生物变化过程等，直接原因又称为故障机理。间接原因：由于其他产品的故障、环境因素和人为因素等引起的间接故障原因。例如——起落架上位锁打不开直接原因：锁体间隙不当、弹簧老化等间接原因：锁支架刚度差当前38页，总共140页。3/26/202338可靠性设计任务阶段与工作方式任务剖面又由多个任务阶段组成起落架任务阶段：起飞、着陆、空中飞行、地面滑行工作方式：可替换有余度上位锁开锁：液压、手动钢索、冷气因此，在进行故障模式分析时，要说明产品的故障模式是在哪一个任务剖面的哪一个任务阶段的什么工作方式下发生的。当前39页，总共140页。3/26/202339可靠性设计任务剖面L=123L=209T=12.15L=419.6T=24.40L=117.7T=6.84L=38L=827.4T=48.10T=48.1投720L副油箱投960L副油箱T=12.2M=0.86M=0.86M=0.86M=0.86航程L（km）航时T（min）高度H（km）T=24.4T=6.8T=5.0

空—空剖面151011当前40页，总共140页。3/26/202340可靠性设计故障影响分析约定层次复杂系统通常具有层次性结构，随着设计的进展，层次划分方式也不同。早期，按照系统功能划分深入后，可按系统结构划分FMEA之前，先规定从哪个产品层次到哪个产品层次结束，这种规定FMEA层次称为约定层次。约定层次示例初始约定层次最低约定层次当前41页，总共140页。3/26/202341可靠性设计故障影响分析约定层次的划分应当从系统效能、费用、进度等方面进行权衡。在系统的不同研制阶段内由于FMEA的目的或侧重点不同，因而约定层次的划分不必强求一致。即使在同一研制阶段，由于组成系统的复杂性，在约定层次的划分上也不必完全相同，应依据组成系统的产品的实际情况确定约定层次。较多成熟产品的系统，约定层次可划分的粗而少不成熟产品组成的系统，划分应多而细，并做认真详细的分析当系统中某一产品的故障将直接引起灾难的或致命的后果时，则最低约定层次应至少划分到这一产品所在的层次。层次划分的多而细，进行FMEA的工作量越大。当前42页，总共140页。3/26/202342可靠性设计故障影响分析故障影响指产品的每一个故障模式对产品自身或其他产品的使用、功能和状态的影响。局部影响:某产品的故障模式对该产品自身和与该产品所在约定层次相同的其他产品的使用、功能或状态的影响。高一层次影响:某产品的故障模式对该产品所在约定层次的高一层次产品的使用、功能或状态的影响。最终影响:指系统中某产品的故障模式对初始约定层次产品的使用、功能或状态的影响。当前43页，总共140页。3/26/202343可靠性设计严酷度类别定义系统中各产品的故障模式产生的最终影响往往是不同的。为了划分不同故障模式产生的最终影响的严重程度，在进行故障模式分析之前，一般需要对最终影响的后果等级进行预定义，从而对系统中各故障模式按其严重程度进行分级。在某些系统（一般为武器系统）中，最终影响的严重程度等级又称为严酷度类别。严酷度：故障模式所产生后果的严重程度。当前44页，总共140页。3/26/202344可靠性设计严酷度类别武器系统的严酷度类别定义(GJB1391)严酷度类别严重程度定义Ⅰ类(灾难的)这是一种会引起人员死亡或系统(如飞机、坦克、导弹及船舶等)毁坏的故障。Ⅱ类(致命的)这种故障会引起人员的严重伤害、重大经济损失或导致任务失败的系统严重损坏。Ⅲ类(临界的)这种故障会引起人员的轻度伤害，一定的经济损失或导致任务延误或降级的系统轻度损坏。Ⅳ类(轻度的)这是一种不足以导致人员伤害、一定的经济损失或系统损坏的故障，但它会导致非计划性维护或修理。当前45页，总共140页。3/26/202345可靠性设计故障检测方法针对分析找出的每一个故障模式，分析其故障检测方法，以便为系统的维修性、测试性设计以及系统的维修工作提供依据。故障检测方法一般包括目视检查、离机检测、原位测试等手段：自动传感装置、传感仪器、音响报警装置、显示报警装置等故障检测一般分为事前检测与事后检测两类，对于潜在故障模式，应尽可能设计事前检测方法。当前46页，总共140页。3/26/202346可靠性设计补偿措施分析是关系到能否有效地提高产品可靠性的重要环节。它针对每个故障模式的原因、影响，提出可能的补偿措施。设计补偿措施产品发生故障时，能继续安全工作的冗余设备；安全或保险装置(如监控及报警装置)；可替换的工作方式(如备用或辅助设备)；可以消除或减轻故障影响的设计或工艺改进(如概率设计、计算机模拟仿真分析和工艺改进等)。操作人员补偿措施特殊的使用和维护规程，尽量避免或预防故障的发生；一旦出现某故障后操作人员应采取的最恰当的补救措施。当前47页，总共140页。3/26/202347可靠性设计约定层次示例故障影响系统定义当前48页，总共140页。3/26/202348可靠性设计故障概率等级或数据来源故障概率等级——定性分析方法A级——经常发生，>20%B级——有时发生，10%<<20%C级——偶然发生，1%<<10%D级——很少发生，0.1%<<1%E级——极少发生，<0.1%数据来源预计值分配值外场评估值等当前49页，总共140页。3/26/202349可靠性设计故障模式频数比气体控制活门故障模式故障模式频数比α产品故障率λp模式故障率λm不闭合不打开外部漏气34%57%9%0.123450.041970.070360.01111总计1.00.12345故障模式频数比故障模式频数比α是产品的某一故障模式占其全部故障模式的百分比率。如果考虑某产品所有可能的故障模式，则其故障模式频数比之和将为1。模式故障率λm是指产品总故障率λp与某故障模式频数比α的乘积。例：故障模式频数比及模式故障率当前50页，总共140页。3/26/202350可靠性设计故障影响概率故障影响概率β是指假定某故障模式已发生时，导致确定的严酷度等级的最终影响的条件概率。某一故障模式可能产生多种最终影响，分析人员不但要分析出这些最终影响还应进一步指明该故障模式引起的每一种故障影响的百分比，此百分比即为β。这多种最终影响的β值之和应为1。故障影响概率示例当前51页，总共140页。3/26/202351可靠性设计故障模式危害度与产品危害度故障模式危害度——评价单一故障模式危害性Cmi(j)=α×β×λp×t, j=Ⅰ,Ⅱ,Ⅲ,Ⅳ

Cmi(j)代表了产品在工作时间t内以第i种故障模式发生第j类严酷度类别的故障次数产品危害度——评价产品的危害性

n为该产品在第j类严酷度类别下的故障模式总数，j=Ⅰ,Ⅱ,Ⅲ,ⅣCr(j)代表产品在工作时间t内产生的第j类严酷度类别的故障次数当前52页，总共140页。3/26/202352可靠性设计[例]某型军用教练飞机升降舵系统的FMECA系统定义

系统组成及功能约定层次绘制可靠性方框图故障判据严酷度类别FMECA表的填写FMECA表格的选取FMECA表中信息来源主要故障模式系统在不同严酷度下的危害度

FMECA报告当前53页，总共140页。3/26/202353可靠性设计系统定义系统组成及功能某型军用教练飞机升降舵系统是单梁盒式薄壁结构，并是由梁、小梁、肋、蒙皮所组成的双闭室剖面结构。为保证升降舵系统的操作，由负载、配平性能需要，还装有配重的调整片、翼尖配重。约定层次

初始约定层次为某型军用教练机约定层次图

当前54页，总共140页。3/26/202354可靠性设计系统定义绘制方框图绘制功能结构方框图绘制可靠性框图故障判据严酷度类别当前55页，总共140页。3/26/202355可靠性设计升降舵系统约定层次当前56页，总共140页。3/26/202356可靠性设计功能结构方框图当前57页，总共140页。3/26/202357可靠性设计可靠性框图当前58页，总共140页。3/26/202358可靠性设计故障判据升降舵系统凡发生不满足以下要求的情况之一，即认为该系统发生了故障：舵面偏转时应准确及时偏转到规定位置；左、右升降舵应保持同步偏转；飞机长期稳定飞行时，舵面应保持确定的平衡位置；舵面偏转时无卡滞现象；飞行中舵面无强烈振动现象；调整片按要求能正常偏转；配重无松动现象；舵面结构满足了强度、刚度要求，没有因疲劳、腐蚀等导致其结构的损伤。

当前59页，总共140页。3/26/202359可靠性设计严酷度类别升降舵系统严酷度类别的定义严酷度类别严重程度定义Ⅰ类（灾难的）危及人员或安全（如一等、二等飞行事故及重大环境损坏）Ⅱ类（致命的）损伤人员或飞机损伤（如三等飞行事故及严重环境损害）Ⅲ类（临界的）人员程轻度伤害或影响任务完成（如误飞、中断或取消飞行、降低飞行品质、增加着陆困难、中等程度环境损害）Ⅳ类（轻度的）无影响或影响很小，增加非计划性维护或修理当前60页，总共140页。3/26/202360可靠性设计FMECA表格的填写FMECA表格的选取根据本案例的实际情况，将FMEA表、CA表合并成一个表。这使FMECA表更简明、直观和减少工作量。FMECA表中信息来源表中的故障模式、故障原因、故障率等均是在多个相似飞机升降舵的调研和分析基础上进行的，其结果比较真实可靠。主要故障模式——归纳该升降舵的故障模式是：舵面偏转不到位。其表现为驾驶杆行程加大，操纵不到位。舵面偏转困难（偏重），但无卡死现象。卡滞。舵面转动不灵活，有卡滞现象。振动。由舵面的振动导致驾驶杆抖动。结构故障。由于长期使用，舵面结构局部损伤，造成结构强度、刚度下降，变形加大。当前61页，总共140页。3/26/202361可靠性设计FMECA表格的填写针对上述故障模式提示了相应的改进措施，进而提高了产品的可靠性、保证了该教练机飞行一次成功。系统在不同严酷度下的危害度据表结果，升降舵系统在不同严酷度下的危害度是：CRs(I)＝6.001×10-6；CRs(Ⅱ)＝31.6724×10-6；CRs(Ⅲ)＝1.4183×10-6；CRs(Ⅳ)＝0.0252×10-6当前62页，总共140页。3/26/202362可靠性设计FMECA表格当前63页，总共140页。3/26/202363可靠性设计FMECA报告可靠性关键产品清单ⅠⅡ类故障模式清单单点故障模式清单不可检测故障模式清单危害性矩阵图等当前64页，总共140页。3/26/202364可靠性设计2.FTA当前65页，总共140页。3/26/202365可靠性设计内容提要概述故障树的基本概念定义目的、特点FTA工作要求常用事件、逻辑门符号故障树分析定性分析定量分析重要度分析故障树的简化当前66页，总共140页。3/26/202366可靠性设计概述切尔诺贝利核泄露事故、美国的挑战者号升空后爆炸和印度的博帕尔化学物质泄露。FMECA：单因素分析法，只能分析单个故障模式对系统的影响。FTA可分析多种故障因素（硬件、软件、环境、人为因素等）的组合对系统的影响。FMECA和FTA是工程中最有效的故障分析方法，FMECA是FTA的基础。各工程领域广泛应用：核工业、航空、航天、机械、电子、兵器、船舶、化工等。当前67页，总共140页。3/26/202367可靠性设计泰坦尼克海难海难后果船体钢材不适应海水低温环境，造成船体裂纹观察员、驾驶员失误，造成船体与冰山相撞船上的救生设备不足，使大多数落水者被冻死距其仅20海里的California号无线电通讯设备处于关闭状态，无法收到求救信号，不能及时救援顶事件逻辑门中间事件底事件当前68页，总共140页。3/26/202368可靠性设计电机故障树当前69页，总共140页。3/26/202369可靠性设计基本概念故障树定义故障树指用以表明产品哪些组成部分的故障或外界事件或它们的组合将导致产品发生一种给定故障的逻辑图。故障树是一种逻辑因果关系图，构图的元素是事件和逻辑门事件用来描述系统和元、部件故障的状态逻辑门把事件联系起来，表示事件之间的逻辑关系故障树实例当前70页，总共140页。3/26/202370可靠性设计基本概念故障树分析（FTA）通过对可能造成产品故障的硬件、软件、环境、人为因素进行分析，画出故障树，从而确定产品故障原因的各种可能组合方式和(或)其发生概率。定性分析定量分析当前71页，总共140页。3/26/202371可靠性设计基本概念FTA目的帮助判明可能发生的故障模式和原因，发现可靠性和安全性薄弱环节，采取改进措施，以提高产品可靠性和安全性；计算故障发生概率；发生重大故障或事故后，FTA是故障调查的一种有效手段，可以系统而全面地分析事故原因，为故障“归零”提供支持；指导故障诊断、改进使用和维修方案等。

FTA特点是一种自上而下的图形演绎方法；有很大的灵活性；综合性：硬件、软件、环境、人为因素等；主要用于安全性分析。当前72页，总共140页。3/26/202372可靠性设计FTA工作要求在产品研制早期就应进行FTA，以便早发现问题并进行改进。随设计工作进展，FTA应不断补充、修改、完善。“谁设计，谁分析”故障树应由设计人员在FMEA基础上建立。可靠性专业人员协助、指导，并由有关人员审查，以保证故障树逻辑关系的正确性。应与FMEA工作相结合应通过FMEA找出影响安全及任务成功的关键故障模式（即I、II类严酷度的故障模式）作为顶事件，建立故障树进行多因素分析，找出各种故障模式组合，为改进设计提供依据。当前73页，总共140页。3/26/202373可靠性设计FTA工作要求FTA输出的设计改进措施，必须落实到图纸和有关技术文件中应采用计算机辅助进行FTA由于故障树定性、定量分析工作量十分庞大，因此建立故障树后，应采用计算机辅助进行分析，以提高其精度和效率。当前74页，总共140页。3/26/202374可靠性设计故障树常用事件符号符号说明底事件元、部件在设计的运行条件下发生的随机故障事件。实线圆——硬件故障虚线圆——人为故障未探明事件表示该事件可能发生，但是概率较小，勿需再进一步分析的故障事件，在故障树定性、定量分析中一般可以忽略不计。顶事件人们不希望发生的显著影响系统技术性能、经济性、可靠性和安全性的故障事件。顶事件可由FMECA分析确定。中间事件故障树中除底事件及顶事件之外的所有事件。当前75页，总共140页。3/26/202375可靠性设计故障树常用事件符号符号说明开关事件：已经发生或必将要发生的特殊事件。条件事件：描述逻辑门起作用的具体限制的特殊事件。入三角形：位于故障树的底部，表示树的A部分分支在另外地方。出三角形：位于故障树的顶部，表示树A是在另外部分绘制的一棵故障树的子树。A当前76页，总共140页。3/26/202376可靠性设计故障树常用逻辑门符号符号说明相同转移符号（A是子树代号，用字母数字表示）：左图表示“下面转到以字母数字为代号所指的地方去”右图表示“由具有相同字母数字的符号处转移到这里来”相似转移符号（A同上）：左图表示“下面转到以字母数字为代号所指结构相似而事件标号不同的子树去”，不同事件标号在三角形旁注明右图表示“相似转移符号所指子树与此处子树相似但事件标号不同”当前77页，总共140页。3/26/202377可靠性设计故障树常用逻辑门符号符号说明与门Bi(i=1,2,…,n)为门的输入事件，A为门的输出事件Bi同时发生时，A必然发生，这种逻辑关系称为事件交。用逻辑“与门”描述，逻辑表达式为或门当输入事件中至少有一个发生时，输出事件A发生，称为事件并。用逻辑“或门”描述，逻辑表达式为当前78页，总共140页。3/26/202378可靠性设计故障树常用逻辑门符号符号说明表决门：n个输入中至少有r个发生，则输出事件发生；否则输出事件不发生。异或门：输入事件B1，B2中任何一个发生都可引起输出事件A发生，但B1，B2不能同时发生。相应的逻辑代数表达式为当前79页，总共140页。3/26/202379可靠性设计故障树常用逻辑门符号符号说明禁止门：仅当“禁门打开条件”发生时，输入事件B发生才导致输出事件A发生；打开条件写入椭圆框内。顺序与门：仅当输入事件B按规定的“顺序条件”发生时，输出事件A才发生。非门：输出事件A是输入事件B的逆事件。当前80页，总共140页。3/26/202380可靠性设计故障树示例当前81页，总共140页。3/26/202381可靠性设计故障树分析建树步骤广泛收集并分析系统及其故障的有关资料→选择顶事件→建造故障树→简化故障树。注意事项明确建树边界条件，简化故障树；故障事件应严格定义。如希望分析“电路开关合上后马达不转”，但由于省略，表达为“马达不转”，则故障树就不同。当前82页，总共140页。3/26/202382可靠性设计故障树分析分析步骤建立故障树→故障树定性分析→故障树定量分析→重要度分析→分析结论：薄弱环节→确定改进措施当前83页，总共140页。3/26/202383可靠性设计故障树定性分析目的

寻找顶事件的原因事件及原因事件的组合（最小割集），即识别导致顶事件发生的所有故障模式集合。帮助分析人员发现潜在的故障，发现设计的薄弱环节，以便改进设计。指导故障诊断，改进使用和维修方案。

割集、最小割集概念割集：故障树中一些底事件的集合，当这些底事件同时发生时，顶事件必然发生。最小割集：若将割集中所含的底事件任意去掉一个就不再成为割集了，这样的割集就是最小割集。当前84页，总共140页。3/26/202384可靠性设计故障树定性分析最小割集的意义最小割集对降低复杂系统潜在事故的风险具有重大意义如果能使每个最小割集中至少有一个底事件恒不发生(发生概率极低)，则顶事件就恒不发生(发生概率极低)，设计时系统潜在事故的发生概率降至最低。消除可靠性关键系统中的一阶最小割集，可消除单点故障可靠性关键系统设计要求不允许有单点故障。方法之一就是设计时进行故障树分析，找出一阶最小割集，在其所在的层次或更高的层次增加“与门”，并使“与门”尽可能接近顶事件。最小割集可以指导系统的故障诊断和维修如果系统某一故障模式发生了，则一定是该系统中与其对应的某一个最小割集中的全部底事件全部发生了。进行维修时，如果只修复某个故障部件，虽然能够使系统恢复功能，但其可靠性水平还远未恢复。根据最小割集的概念，只有修复同一最小割集中的所有部件故障，才能恢复系统可靠性、安全性设计水平。当前85页，总共140页。3/26/202385可靠性设计故障树定性分析示例根据与、或门的性质和割集的定义，可方便找出该故障树的割集是：

{X1},{X2,X3},{X1,X2,X3},{X2,X1},{X1,X3}

根据与、或门的性质和割集的定义，可方便找出该故障树的最小割集是：

{X1},{X2,X3}最小割集求解方法常用的有下行法与上行法两种当前86页，总共140页。3/26/202386可靠性设计下行法求解最小割集步骤123456过程x1

x1

x1

x1

x1

x1

M1

M2

M4,M5

M4,M5

x4,M5

x4,x6

x2

M3

M3

x3

x5,M5

x4,x7

x2

x2

M6

X3

x5,x6

x2

M6

x5,x7

x2

x3

x6

x8

x2

故障树当前87页，总共140页。3/26/202387可靠性设计最小割集比较根据最小割集含底事件数目(阶数)排序，在各个底事件发生概率比较小，且相互差别不大的条件下，可按以下原则对最小割集进行比较：阶数越小的最小割集越重要在低阶最小割集中出现的底事件比高阶最小割集中的底事件重要在最小割集阶数相同的条件下，在不同最小割集中重复出现的次数越多的底事件越重要当前88页，总共140页。3/26/202388可靠性设计故障树定量分析假设独立性：底事件之间相互独立；两态性：元、部件和系统只有正常和故障两种状态指数分布：元、部件和系统寿命故障树的数学描述结构函数典型逻辑门的结构函数结构函数示例单调关联系统典型逻辑门的概率计算顶事件发生概率计算当前89页，总共140页。3/26/202389可靠性设计故障树结构函数故障树的数学描述故障树结构函数——表示系统状态布尔函数：当前90页，总共140页。3/26/202390可靠性设计典型逻辑门的结构函数

序号名称描述1与门2或门3n中取r4异或门当前91页，总共140页。3/26/202391可靠性设计结构函数示例当前92页，总共140页。3/26/202392可靠性设计结构函数示例当前93页，总共140页。3/26/202393可靠性设计单调关联系统定义指系统中任一组成单元的状态由正常（故障）转为故障（正常），不会使系统的状态由故障（正常）转为正常（故障）的系统。性质系统中的每一个元、部件对系统可靠性都有一定影响，只是影响程度不同。系统中所有元、部件故障（正常），系统一定故障（正常）。系统中故障元、部件的修复不会使系统由正常转为故障；正常元、部件故障不会使系统由故障转为正常。单调关联系统的可靠性不会比由相同元、部件构成的串联系统坏，也不会比由相同元、部件构成的并联系统好。当前94页，总共140页。3/26/202394可靠性设计序号名称描述1与门2或门3n中取r4异或门典型逻辑门的概率计算当前95页，总共140页。3/26/202395可靠性设计顶事件概率计算最小割集之间不相交最小割集之间相交全概率法直接化法递推化法近似算法示例1示例2当前96页，总共140页。3/26/202396可靠性设计最小割集之间不相交当前97页，总共140页。3/26/202397可靠性设计全概率法当前98页，总共140页。3/26/202398可靠性设计直接化法当前99页，总共140页。3/26/202399可靠性设计递推化法当前100页，总共140页。3/26/2023100可靠性设计近似算法一阶近似：二阶近似：当前101页，总共140页。3/26/2023101可靠性设计故障树最小割集：{x1}，{x4,x7}，{x5,x7}，{x3}，{x6}，{x8}一阶近似算法：近似算法计算示例当前102页，总共140页。3/26/2023102可靠性设计顶事件概率计算示例二阶近似算法：当前103页，总共140页。3/26/2023103可靠性设计示例2当前104页，总共140页。3/26/2023104可靠性设计示例2直接化法当前105页，总共140页。3/26/2023105可靠性设计示例2递推化法当前106页，总共140页。3/26/2023106可靠性设计重要度分析重要度的概念定义底事件或最小割集对顶事件发生的贡献目的确定薄弱环节和改进设计方案重要度分类概率重要度结构重要度当前107页，总共140页。3/26/2023107可靠性设计概率重要度概率重要度概念第i个部件不可靠度的变化引起系统不可靠度变化的程度。用数学公式表达为

——概率重要度； ——元、部件不可靠度； ——顶事件发生概率， ——系统不可靠度，

当前108页，总共140页。3/26/2023108可靠性设计概率重要度概率重要度示例已知：λ1=0.001/h,λ2=0.002/h,λ3=0.003/h,试求当t=100h时各部件的概率重要度、结构重要度和关键重要度。解当前109页，总共140页。3/26/2023109可靠性设计结构重要度结构重要度概念元、部件在系统中所处位置的重要程度，与元、部件本身故障概率毫无关系。其数学表达式为 ——第i个元、部件的结构重要度； ——系统所含元、部件的数量；两种状态当前110页，总共140页。3/26/2023110可靠性设计结构重要度结构重要度示例求解如图所示故障树中的底事件结构重要度解：二个部件，共有23-1=4种状态：当前111页，总共140页。3/26/2023111可靠性设计故障树的逻辑简化故障树的简化当前112页，总共140页。3/26/2023112可靠性设计故障树的简化当前113页，总共140页。3/26/2023113可靠性设计故障树的模块分解割顶点法示例当前114页，总共140页。3/26/2023114可靠性设计故障树的早期不交化当重复事件多时，无法应用模块分解法。早期不交化可有效地消除重复事件。规则是遇到与门，其输入、输出均不变；遇到或门，对输入不交化。

当前115页，总共140页。3/26/2023115可靠性设计故障树示例求解最小割集顶事件概率计算算例故障树示例当前116页，总共140页。3/26/2023116可靠性设计3.ETA当前117页，总共140页。3/26/2023117可靠性设计内容提要事件树分析的基本概念事件树的建造事件树的定量分析ETA与FTA的综合应用当前118页，总共140页。3/26/2023118可靠性设计事件树分析的基本概念初因事件——可能引发系统安全性后果的系统内部的故障或外部的事件。后续事件——在初因事件发生后，可能相继发生的其他事件，这些事件可能是系统功能设计中所决定的某些备用设施或安全保证设施的启用，也可能是系统外部正常或非正常事件的发生。后续事件一般是按一定顺序发生的。后果事件——由初因事件和后续事件的发生或不发生所构成的不同的结果。当前119页，总共140页。3/26/2023119可靠性设计事件树的分支事件树分析的基本概念当前120页，总共140页。3/26/2023120可靠性设计事件树分析的基本概念确定初因事件：确定和分析可能导致系统安全性后果的初因事件并进行分类，对那些可能导致相同事件树的初因事件划分为一类。建造事件树：确定和分析初因事件发生后，可能相继发生的后续事件，并进一步确定这些事件发生的先后顺序，按后续事件发生或不发生（二态）分析各种可能的结果，找出后果事件。事件树的建造过程也是对系统的一个再认识过程。事件树的定量分析：对所建完的事件树，收集、分析各事件的发生概率及其相互间的依赖关系，定量计算各后果事件的的发生概率，并进一步分析评估其风险。当前121页，总共140页。3/26/2023121可靠性设计事件树建造连续运转部件组成系统的事件树有备用或安全装置的系统事件树考虑人为因素的事件树当前122页，总共140页。3/26/2023122可靠性设计桥网络系统事件树当前123页，总共140