(高清版)GBT 9225-2022 核电厂系统与其他核设施可靠性分析应用指南

核电厂系统与其他核设施可靠性分析应用指南2022-12-30发布2023-07-01实施国家市场监督管理总局国家标准化管理委员会前言 I 2规范性引用文件 3术语和定义 4缩略语 35目的与方法 46定性分析原则 77定量分析原则 8数据获取和应用 9可靠性方法的应用 附录A(资料性)说明性的例子 附录B(资料性)数据程序 附录C(资料性)平均修复时间 参考文献 I本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。本文件代替GB/T9225—1999《核电厂安全系统可靠性分析一般原则》,与GB/T9225—1999相比，除结构调整和编辑性改动外，主要技术变化如下：a)修改了术语“可用性”“可靠性”"故障""共因失效"和"试验间隔时间"的定义(见第3章，1999年版的第3章);b)增加了缩略语(见第4章);c)增加了FMEA的严酷度\发生度\可探测度等级划分(见6.2.3);d)增加了可靠性分析方法应用及例子“蒙特卡罗法”(见9.6、附录A)。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国核仪器仪表标准化技术委员会(SAC/TC30)提出并归口。本文件起草单位：中国核电工程有限公司、中国核动力研究设计院。本文件主要起草人：邢继、徐思敏、黄素文、陈浠毓、杜德君、陈日罡、张玉峰、王硕、冯嘉、陈鹏、本文件及其所代替文件的历次版本发布情况为：——1988年首次发布为GB/T9225—1988,1999年第一次修订；——本次为第二次修订。1核电厂系统与其他核设施可靠性分析应用指南本文件提供了核电厂安全系统的设计和运行人员以及有关管理部门用于核电厂安全系统可靠性和可用性分析的一般方法和步骤。本文件适用于定性和定量分析核电厂安全系统的可靠性，且适用于核电厂安全系统生命周期的各个阶段。本文件的定性、定量分析原理适用于分析部件故障对系统可靠性的影响。本文件的通用可靠性和可用性分析方法适用于核电厂和其他核设施的构筑物、系统和部件。2规范性引用文件GB/T7163核电厂安全系统可靠性分析要求GB/T13284.1核电厂安全系统第1部分：设计准则3术语和定义下列术语和定义适用于本文件。在获得所需的外部资源的前提下，某物项或系统在规定条件下在给定时刻或给定时段内执行其规定功能的能力。注：可用性分为稳态可用性和瞬态可用性。稳态可用性steady-stateavailability某物项(或系统)长期运行时预期满意工作的时间份额。注：对可修复物项的可用性，可归入长期稳态可用性。可靠性reliability某物项在给定状态下和给定时间间隔(使命时间)内完成要求功能的概率。构筑物、系统或部件丧失在验收准则范围内执行功能的能力。注：故障可能是下次试验前没有指示和没有检测出来的(未指示的故障),也可能是在产生时可用某种方法指示和检测出来的(有指示的故障)。2故障率failurerate失效率单位时间内，某物项产生一种给定模式失效的预期次数。共因故障commoncausefailure由特定的单一事件或起因导致两个或多个构筑物、系统或部件失效的故障。注：共因故障是诱发故障。早期失效期infantmortalityperiod从某一指定时间开始发生早期失效的一段时间。偶然失效期constantfailureperiod在早期失效后，表现为偶然失效的一段时间。耗损失效期wear-outfailureperiod在偶然失效后，发生耗损失效的一段时间。使命mission某物项或系统的单一目的、任务和(或)用途。使命时间missiontime不中断地完成使命的时间。平均无故障工作时间meantimebetweenfailures;MTBF可修复物项两相邻故障间工作时间的平均值(或预期值)。平均修复时间meantimetorepair;MTTR完成某一修复行动所需时间的平均值(或预期值)。注：平均修复时间包括从发现失效到恢复规定功能所需时间的平均值，即失效诊断、修理准备及修理实施时间之和的平均值。平均故障(失效)前时间meantimetofailure;MTTF不可修复物项的预期寿命，也就是出现故障(失效)的时间平均值(预期值)。单位时间内完成某种修理的预期次数。试验间隔时间testinterval在同一个设备或系统上进行同种试验时，两次试验开始时刻之间所经历的时间。3试验计划testschedule系统或系统各部分的试验方式。注：一般有两种试验计划。a)同时的。指在每一试验间隔开始，冗余物项一个接一个地进行试验。b)完全错开的。指试验间隔分为若干个相等的小间隔，其数目与冗余物项数相同，各冗余物项的试验对应在各小间隔开始时进行。互斥事件mutuallyexclusiveevents不可能同时存在的事件。概率分布函数probabilitydistributionfunction给出概率Pr(X≤x)的数学函数。通过函数的一个或多个自变量的变化引起给定函数值的变化所作的分析。重要度分析importanceanalysis为确定一个部件或一个割集对系统不可用性或系统的故障概率的贡献所作的分析。风险risk给定原因下，事件出现的频率和事件造成的后果的乘积，见公式(1)。以单位时间内对一个工作人员或一个居民造成的预期损害来度量。R——风险(损害/单位时间);H——事件出现频率(事件/单位时间);S——单个事件对一个工作人员或一个居民的损害(损害/事件)。一个装置或系统对另一个装置或系统的直接或间接的影响。4缩略语下列缩略语适用于本文件。FMEA:故障模式与影响分析(FailureModeandEffectsAnalysis)MTBF:平均无故障工作时间(MeanTimeBetweenFailures)MTTF:平均失效(故障)前时间(MeanTimetoFailure)MTTR:平均修复时间(MeanTimetoRepair)45.1概述本文件提供了核电厂安全系统可靠性和可用性的定量、定性分析应用指南。在进行分析时宜符合GB/T13284.1的有关准则和GB/T7163的相关要求。定性分析向设计者提供对系统可靠性有影响的各种部件故障模式，并指出了能够提高系统在相应环境和时间内执行其功能的概率的一些方法。定量分析利用系统部件的可靠性数据和运行经验向设计者提供系统可靠性的数值评估。这些分析的结果可用于确定系统是否适用以及用于建立运行规程(如试验要求等)。5.2人员可靠性方面的考虑以往可靠性分析的重点是放在设备的故障与成功上，这忽略了一个重要的方面，即在大多数系统中人的作用以及人与设备的接口，在决定系统总的成功或失效中起着重要的有时甚至是决定性的作用。已经有过不少例证表明人的因素在系统中可能是薄弱环节，反之也可能是系统中最强的环节。因此在进行系统可靠性分析时，只有考虑了人员可靠性才能对系统准确建模。这不论是对定性分析还是对定量分析都是如此。特别是对计算机软件宜进行彻底的评估，因为它可能包含有以前人们作出的不准确决定。将人员可靠性纳入系统可靠性分析的相关资料，见参考文献[7]。5.3定性分析5.3.1定性分析的目的定性可靠性分析用于判定一个系统发生故障的可能途径以及确定适当的预防措施(如设计变更、管理规程等),从而减少故障发生的频率和减轻故障的后果。定性分析的目的可包括下述一项或多项：a)确定设计中的薄弱环节；b)有助于对全厂安全的系统性评价；c)记录并评估所有已确定的故障的相对重要性；d)为从事安全相关系统设计和系统间接口设计的人员制定规范与目标；e)为定量分析准备系统性的资料汇编。这种分析宜成为正常设计过程必不可少的一部分。设计者通常都是有资格的能够判断系统的特定故障模式及其相对重要性的人员，但是也需注意到设计者可能会忽略一些在原设计过程中他认为是不重要的故障模式，因此对设计者所作的系统性分析宜由一些未参与该设计的有资格的人员(包括可靠性分析人员)进行审评。5.3.2定性分析的一般步骤定性分析的一般步骤为：a)判定所要求的系统功能特性；b)判定系统的边界与包含的部件；c)判定重要的故障及其后果[通常被称为故障模式与影响分析(FMEA)];d)将上述信息以表格、图形、故障树或其他形式表示出来；e)评价与上述信息有关的总的系统可靠性并判别潜在的问题；f)判定对e)项识别出的潜在问题可做出的改进。5每个步骤都要求建立不同的文档和方法，在a)～c)中使用一些专门的格式建立FMEA的文档是有好处的。故障模式由设计与运行人员来判断，而收集这些模式则通常是可靠性工程师的工作。宜咨询有经验的可靠性分析人员以便确定在判断故障的过程中要详尽到什么程度。d)项中采用各种类型的故障逻辑形式(如故障树，系统功能图和可靠性框图)以确定系统内各部件的相互影响并建立文档。f)项，要求分析人员确定系统可改进的地方的优先顺序。5.4定量分析定量分析利用数学模型来表征一个系统，给系统的各个部分分配可靠性与可用性目标，确定相关故障模式的概率，并将计算出的可靠性和可用性预估值与总的系统目标相比较。定量分析提供了一个合适的模型来表征系统，使得在电厂寿期中的各个阶段(设计、制造和运行阶段)易于应用各种可靠性工程技术。数学模型可用于敏感度分析，从而可鉴别出设计中的关键部分并估计输入参数对分析的影响。在对安全系统可靠性和可用性预测中也可确定各个部件故障率的相对重要性。5.5可靠性方法的应用本文件第6章与第7章给出各种可靠性分析方法。5.5概要地说明这些方法可用于增强系统的可靠性。第8章将挑选出部分方法进行更详细地讨论。尽管可靠性方法各种各样，但它们都有一个共同点即试图提出一种系统性的方法来评估可能的设计故障的影响。可靠性评价有的对故障率进行详尽的数学计算，有的则仅是简单列出潜在的故障模式。方法本身仅仅是一种工具，它们得出的一些结果，反映了同时也受到了输入数据质量以及所采用的假设的局限。如果分析者没有对整个设计功能的全面了解，那么分析结果就可能是肤浅的，也无法正确地评估或改进可靠性。可靠性方法分为以下四类来讨论：a)故障模式与影响分析；b)逻辑树分析；c)系统建模；d)可靠性试验。与其他设计规范一样，在实际应用中，一种方法的结果可作为另一种方法的输入，经过多次迭代导出最终的设计。5.5.2故障模式与影响分析FMEA常常作为首次可靠性分析活动，以便对设计中的潜在故障有更好的了解。它可局限于定性分析，但是也可能包括对故障概率进行数值估算的内容，例如关键性分析。FMEA主要用于：a)未来的试验(如设备鉴定试验)技术规格书，这些试验用于确定系统对FMEA中已鉴别出的特定故障机理是否具有足够的设计裕度；c)判别重大故障，如果这类故障模式不能在设计中消除，它们就决定了运行试验的频率或维修间隔；d)估计为达到可靠性目标需要的部件的质量水平(特别是电气系统);e)鉴别为消除不可接受的故障机理所需进行的设计修改，这类故障可能产生不可接受的安全状况或运行状况；6f)判断故障探测的必要性。逻辑树在评估系统的多部件故障(或成功)的影响时是一种有力的工具。它在确定各种系统功能的冗余度时非常有用。它也提供了各种事件的图形显示，使之容易按各种设计规范来评审各种性能的完整性与代表性。应用逻辑树具有下列优点。a)可鉴别单点故障。这是一些单个的(或多个相关的)故障，它们使系统不能执行其预定功能。b)通过关注关键路径的故障模式，提供了一种结构，藉此可评价人员素质的影响，这种影响宜被看作是故障树的一个重要分枝。c)通过判断系统中需要有高可用性的部件，从而有助于确定运行试验的频率。d)能够判断由于冗余或多样性不足而达不到所要求的可靠性目标时是否需要修改系统的结构。e)提供了一种系统性的方法，可对各种故障状况的相对概率进行定量评估。这样，当可用的数据不足而不能对故障概率进行绝对评估时仍能建立起各种故障的优先级别。在计算系统可靠性和可用性时，要用到联系逻辑和部件的数学描述。根据系统的复杂性以及考虑因素(如维修或试验)的重要性的不同，而采用不同的方法。常用的两种建模方法是成功/故障状态建模和马尔可夫建模法。后者在维护活动对总预估具有重要作用时非常有用。对下列应用通常要求使用系统模型。a)对各种系统结构的可靠性估计进行比较，以便对初步设计的选择提供参考。但可靠性只是设计考虑的因素之一；可能由于其他一些因素，最终选取一个具有适当可靠性的(不一定是最佳可靠性的)初步设计。b)敏感度分析。用于判定对系统的可靠性有最大影响的部件故障、维护活动、和/或人员可靠性错误，这些信息可用于考虑采取什么措施，来改善各个部件的可靠性或对修改系统结构提供指导。c)估计对系统可靠性有直接影响的定期试验间隔。通过评估试验间隔的变化对预期可靠性的影响，可在选择试验频率和由试验引入的人员可靠性错误的影响之间得到合适的平衡。d)分配可靠性目标。对下级子系统或部件的可靠性进行合理的分配，从而达到总的系统可靠性e)对预期的系统可靠性是否能满足所分配的目标及能满足到什么程度进行估计。f)确定各种系统元件、部件(或系统本身)的可靠性验证试验量，以验证是否达到了原定的可靠性5.5.5可靠性试验可靠性试验可分成如下两类：a)在系统投入运行前，为确认系统可靠性足够而进行的确认试验；b)在系统投入运行后，为保证高可用性以规定间隔进行的定期试验。试验的目的是要检验所选的部件，是否能够在系统中它所在的位置上达到规定的可靠性要求。当部件或系统不太昂贵时，做确认试验是一种最直接的方法，这通常需要作大量的试验直到故障发生，但7对于可靠性极高的系统或部件来说，这种方法就会使试验计划变得不切实际。在有些情况下分析法可代替确认试验来估计系统或部件的可靠性，在另一些情况下，确认试验则仅是对防止重要故障模式的设计裕度的确认。当被试部件很大而又相当昂贵时，通常采取分析法，因为这时要通过试验来确定可靠性的绝对水平是完全不实际的。例如有主变压器或辅助变压器、反应堆停堆系统(包括机械与电气设备)以及其他大型设备和系统。在这种情况下，故障试验常用于确定重要故障模式的安全裕度(重要故障模式是由分析法鉴别出来的),而不是去定量确定实际的故障概率。在可行的情况下(如对电气设备)可对一批设备样品在典型条件下进行统计试验从而得到对可靠性的估计。这通常是对那些经数学模型分析评估为高可靠性系统的子系统或组件进行的。在某些情况下也可利用对类似设备的试验结果或经验，但要对两者的差别有适当的定量估计。定期试验定期试验验证系统及其部件在正常条件下的可运行性，为此而选择的试验间隔满足核电厂的安全需要是十分必要的。在确定试验间隔时，模拟设备和数字设备有不同的考虑，因为数字设备往往具有自诊断能力，所以它们的定期试验间隔时间可更长。用定量可靠性模型来确定初始试验间隔并考虑被测物项的重要性、复杂性及其用途。试验间隔的长短主要取决于对设备可用性模型的试分析结果，可用性模型反映了预期的与总目标相关的设备工作时间与故障时间。在此计算中使用了该模型的故障率和现场数据。试验间隔选择过程有助于确保已充分考虑了被测部件在预期运行条件下的变化趋势、寿命和性能等因素。在役评价有助于确认初始试验间隔是否合适，或指出由于假设和观察到的分析输入参数之间的不同而需进行修改的必要性。这些修改不宜与安全系统的设计目标相抵触，并宜符合核电厂的安全要求。在役评价宜根据对试验数据的考察，确定对频率、型式、复杂性、机理或扰动等因素的改变是否必要和正当。当存在来自运行经验的反馈数据或系统目标发生了变化，则可能需要修改试验间隔。6定性分析原则6.1概述可靠性分析的第一步是确定各种故障模式。本章将讨论实现这一步的一个特定方法，即FMEA。同时也讨论以图形表示重要事件关系的故障树方法和可靠性框图分析法。6.2故障模式与影响分析6.2.1FMEA分析的目的FMEA方法是一种基本的分析方法，其主要功能是考虑系统的每一主要部件是如何故障的，以及故障对系统的影响。FMEA分析的目的是：a)有助于在设计初期选择可能具有高可靠性和高安全性的设计方案；b)确保已考虑了所有可能的故障模式(如瞬态故障，异常故障和参数漂移)及其对系统运行成功的影响；c)列出潜在的故障并确定其影响的大小；d)有助于制订与试验计划、试验检查系统设计有关的初期准则；e)为可靠性和可用性定量分析提供依据；f)提供历史性文件，为以后的现场故障分析以及设计变更提供参考；g)为权衡研究提供输入数据；h)为确定校正行动优先级提供依据；8i)有助于客观地评估与冗余性、故障探测系统、故障安全特性、自动和手动超驰控制相关的各种设计要求。在考虑设计的可靠性分析时，通常会考虑对部件或系统的可靠性评估有影响的所有分析步骤。一个完整的分析要有全面的输入数据，包括材料特性、设计细节和部件故障率；但是，不需要获取全部输入就能确定很多和设计可靠性相关的内容。通过限定分析范围来确定部件或系统的故障如何发生及其后果，如果不能限定分析范围，通常不需要考虑应力和强度。这个限定范围的分析是一个初步的FMEA分析，并不执行全部工作，但必要时能提供一些初步的解答，还能为后续研究和分析提供依据。FMEA记录了设计中考虑的故障特性，如FMEA关注整个设计过程，还能记录补偿故障的措施。FMEA是概念设计阶段必不可少的一部分，且宜定期修改以反映在设计或应用上的变化。修改后的FMEA是设计审查的主要依据。在整个设计过程，从概念选择到最终设计文件形成，特别是在几个主要节点(概念设计、初步设计、详细设计和设计改进)宜进行FMEA分析。6.2.3FMEA分析处理的问题由于故障发生率或频率不是FMEA的主要关注点，所以设计信息有限时也可能执行FMEA。由FMEA回答的基本问题可能包括：a)组成系统的每一基本元件、部件的可能故障是什么?b)什么机理可能产生这些故障模式?c)如果发生了故障，其影响可能是什么?d)故障是安全的还是不安全的?e)怎样检测故障?f)在设计中提供什么固有措施来补偿故障的影响?随着设计的成熟，建议重新审视FMEA,给每个故障模式添加等级信息，包括故障模式影响的严酷度、故障模式发生度和故障模式可探测度。这些等级有助于分析者优先考虑那些对增加系统安全性和可用性最重要的故障模式。有多种方法用于执行这部分分析，从较完整的危害性分析到附录A所示的简化的分析方法。严酷度等级(S)、发生度等级(O)和可探测度等级(D)通常使用5分制或10分制进行排列，在执行FMEA之前确定评分制度。严酷度等级宜与FMEA的“对系统影响”列中的信息保持一致。作为一个起始点，严酷度的一般分析可为每个故障模式的潜在影响提供指导，但最终的分析需要具体项目的输入。例如，在表A.4,要适当且充分地利用从等级3～等级10的严酷度值则需要具体项目的输入。发生度等级可为主观的或客观的。在获得每个故障模式的故障率数据之前，使用主观的等级。主观等级的一个优点是，它们基于运行经验，能提供比客观等级更好的排序。客观等级仅仅基于部件和系统故障率信息。例如，在表A.5的发生度等级范围中，等级1～等级3代表不太可能发生的故障模式，等级4～等级6代表偶然发生的故障模式，等级7～等级10代表可能重复发生或不可避免的故障模式。可探测度等级宜与FMEA的“探测故障方法”列中的信息保持一致。例如，在表A.6,要适当且充分地利用可探测度等级——尤其是从等级5～等级10——则需要具体项目的输入。准备的深度由系统的复杂程度和分析者的经验所决定。分析前一般需作如下准备。a)定义被分析系统及其使命目标。确定系统的范围、组成及其他系统的分界线。确定系统分析9b)说明给定使命的系统的运行情况，并考虑监视和维修策略。c)定义故障，确定故障类别，可靠性分析基本上涉及两种状态：可运行和不可运行的。d)说明系统的使用环境，确定在什么样运行条件下系统执行其功能。在FMEA分析中可采用功能图表示系统中功能的相应关系，从而明确故障影响，也可采用故障树技术，故障树将在6.3进行讨论。6.2.5故障模式与影响分析的过程在做了上述准备后，即可进行FMEA。分析所有可能的故障模式及其对系统可靠性的影响。一般用FMEA表列出基本信息，FMEA表是分析的核心。常用的FMEA表的格式如表1所示。序号名称功能故障模式故障原因对系统影响探测故障方法备注等级划分SOD表中“名称”是指分析到最低一级的基本元件、部件的名称，可为单个元件，也可为分析者认为不需要再分解的组件或标准单元等的名称。“功能”是指各元件、部件在系统里所完成的功能，如保护系统驱动的断路器完成系统的停堆功能。“故障模式”是指可能设想到的全部故障模式。“故障原因”给出相应每一故障模式的故障原因。“对系统影响”说明对整个系统的影响。“探测故障方法”说明探测故障的方法。“备注”给出分析者认为与其分析有关的其他信息，特别是故障是可接受的还是不可接受的。“等级划分”给出相应故障模式的等级划分[严酷度等级(S)、发生度等级(O)、可探测度等级(D)]。上述的FMEA表的格式可根据所分析系统的繁简和所要求的分析深度而变化。如有的FMEA表不列入表1中的“功能”“故障模式”,而有的表还增列了故障征兆，故障对局部回路的影响以及系统具有的为减轻故障后果的补偿措施等。但是，无论何种格式，FMEA表均宜包括分析的主要信息。6.3故障树分析故障树分析是一种定性或定量的分析技术，是把在FMEA分析中所得的信息用图表示、联系起来的一种方法。故障树是系统的一种故障模型，是对一个特定系统的一个特定顶事件(不希望事件)与引起该事件的事件，用演绎法组织起来的布尔失效逻辑的图形表示。其形式是树状结构，信息从分枝梢头流出，在各分枝的汇聚点是单一的不希望事件(顶事件)。故障树分析方法的优点是。a)促使分析者积极地以演绎方式寻找故障事件。b)故障树是一种直观的、易于理解的、显示系统是如何故障的数学模型。它指出了系统行为的主要方面，为评估修改提供参考。c)为确定系统的多故障和共因故障机理提供依据，也为进行定量分析提供了系统性依据。d)便于定量计算，是系统可靠性分析中最常用的方法。e)故障树技术也提供了与设计过程中考虑的故障特性相一致的、清楚的文件。故障树不包括组成系统的全部元件、部件的所有可能的故障模式，它只包括对引起顶事件有贡献的故障模式。6.3.2故障树中常用的符号及术语故障树中常见的图形符号及术语如表2所示。底事件是故障树分析中仅导致其他事件的原因事件。注1:底事件位于所讨论的故障树底端，总是某个逻辑门的输入事件而不是输出事件。注2:底事件分为基本事件与不发展事件。表2图形符号序号图形符号含义说明基本事件Basicevent在特定的故障树分析中无须探明其发生原因的底事件不发展事件Undevelopedevent原则上宜进一步探明的可能由多个基本事件引起的事件，但因不必要或暂时不能探明其原因，或者因为在这一级已有经验数据而不再发展，被假定为基本事件(准基本事件)中间事件位于底事件和顶事件之间的由其他事件或事件组合所导致的事件。中间事件既是某个逻辑门的输出事件，同时又是别的逻辑门的输入事件条件事件Conditionalevent描述逻辑门起作用的具体限制的特殊事件与门仅当所有输入事件发生时，输出事件才发生或门至少一个输入事件发生时，输出事件就发生不同时发生不同时发生异或门仅当单个事件发生时，输出事件才发生输出条件输入输入禁门仅当条件发生时，输入事件的发生方导致输出事件的发生表2图形符号(续)序号图形符号含义说明相同转向Transferin表示下面转到以字母数字为代号所指的子树去相同转此Transferout表示由具有相同字母数字的转向符号转到这里来输出输入外部事件或房形事件Externaleventorhouseevent用于表示一个预期要出现的事件，如动态系统中的阶段变化，该事件不是表示其本身故障的事件，而是通过置0或置1作为反映边界条件的开关6.3.3建故障树步骤建故障树步骤如下。a)定义系统边界、成功准则和初始条件。b)准确、清楚地定义顶事件(最不希望事件),即所考虑的特定故障，这是故障树的顶点(起始点)。对于一个特定的故障树，有且仅有一个顶事件。c)确定引起上述顶事件的直接原因事件(包括设备故障和子系统故障),称之为中间事件。在FMEA的引导下，在顶事件与中间事件之间根据逻辑关系用逻辑门将两者联结起来。d)然后再确定引起中间事件的直接原因事件，之间也用适当的逻辑门相联。依此类推，直到被考虑的事件是一基本事件或不发展事件(称为底事件),或者当一个转移符可被用来代替已经得出的其他子树时，就达到了树的分枝端头。一旦故障树建成后，就可将数值赋予条件和事件概率，定量计算顶事件的概率值(见第6章)。故障树的价值不在于提供对系统的详细了解，而在于能确定导致顶事件的故障组合，即割集。最小割集是指在这一割集中如果去掉任一故障，则将不成其为割集。通晓最小割集对了解和定量计算系统可靠性有很大意义。设有图1所示的停堆系统(此处仅为举例说明，并非真实的停堆系统)。系统工作原理：在正常运行期间，传感器测得的变量信号经变送器后使双稳开关处于“1”态，经2/3逻辑单元符合后经功率放大使断路器吸合，则串接在控制棒电源回路的断路器接点闭合，控制棒电路有电。当出现停堆工况时，传感器测得保护信号后，使双稳开关翻转，2/3逻辑单元翻转使断路器释放，控制棒电路失电，使棒掉入堆芯停堆。停堆系统的成功准则是：输入通道中任两路工作正常和任一输出通道工作正常，即只要停堆信号能使一个断路器脱扣，则切断棒电源，可使棒下落停堆。设顶事件是出现停堆工况时，停堆系统不能停堆(拒动)。根据系统成功准则可知：当任两路输入通道出现使系统拒动的失效或两路输出通道均出现使系统拒动的失效时，系统拒动。据此建立的系统故障树如图2所示。在进行具体系统的故障树分析时，所建故障树远比例举系统的树复杂。不仅要考虑组成系统的元运行人员失误引入的失效等，但建树的方法相同。输入通道1输入通道2输入通道3功率放大4断路器422/3逻辑元件，功率放大53断路器5输出通道53敏感元件2变送器3变送器2双稳开关双稳开关变送器图1停堆系统简框图系统拒动任二路输入通道失效输山通道均失效X₁Xg通道失效X₁Xy通道失效X₂X:通道失效标引序号说明：X₁——输入通道1失效；X₂——输入通道2失效；X₃——输入通道3失效；X₄——输出通道4失效；X₅——输出通道5失效。图2停堆系统的故障树6.4可靠性框图可靠性框图是一个以成功为导向的图，它表示部件协调工作以执行系统所需功能的方式。可靠性框图对于非可靠性专业人士来说更直观。通过分析功能方块图或线路图中部件间的功能关系来完成可靠性框图。它用图形表示了系统成功的逻辑，用方块相互联系表示事件的相互关系。6.4.2建立可靠性框图建立可靠性框图的一般步骤如下。a)确定系统使命，使命完成即系统获得成功。若系统有一个以上使命，则宜分别考虑每个使命。b)确定系统边界和初始状态。c)仔细分析系统功能方块图、线路图、FMEA表所表示的各元件、部件之间的相互关系及元部件故障与系统成功的关系，建立可靠性框图。d)研究此可靠性框图，确保图中已包含了可能导致系统成功的所有通路。6.4.3可靠性框图的简化由上述步骤给出的可靠性框图，详细显示了达到系统功能成功的各种通路。通过把许多通路简化为更少、更重要的路径，可构建更通用的可靠性框图。简化方法如下。a)每个通路的成功是以某种简单方式和其元件成功相关联的。确定每个通路成功的逻辑描述，并将该通路处理成一个复合部件，然后用这些复合部件构成一个新的框图。b)以此类推直到不再需要简化为止。6.4.4故障树和可靠性框图的对比需要重点关注可靠性框图和故障树的区别。这两种图不宜被比较，它们执行不同的功能并用于不同的目的。故障树表示相关和非相关的事件，仅是系统功能图的间接对应。故障树的使用模拟了可能的故障和事件的识别过程，故障树能表示各种类型的相关性以及共因故障和事件。可靠性框图可直观了解系统的正常功能。所以，故障树是以导致失效的事件来表示系统，而可靠性框图是以导致成功的事件来表示系统。仍以图1系统为例，由系统工作原理可知：如果三个输入通道中有二个成功，输出通道中有一个成功，系统即成功。由此可画出系统的可靠性框图，如图3所示。标引序号说明：E;——表示输出通道i的2/3逻辑及功率放大器工作正常；图3停堆系统的可靠性框图上述可靠性框图可简化为图4。Xy2Lg34L34标引序号说明：X₁——输入通道1正常；X₂——输入通道2正常；X₃——输入通道3正常；X₄——输出通道4正常；X₅——输出通道5正常；1,2——结点，其后的圆(L122/3)3,4——结点，其后的圆(L₃1/2)表示在结点1和2之间的逻辑(三取二);表示在结点3和4之间的逻辑(二取一)。图4停堆系统的简化可靠性框图6.5用于共因故障的扩展的定性分析在评估高可靠系统(如核电厂安全系统)的可靠性和可用性时，常常需要扩大FMEA或故障树分析的定性分析范围，来考虑冗余部件的共因故障。对共因故障的关注，源自核电厂安全系统和其他应用高冗余度的系统的运行经验。数据表明，共因故障在系统失效中占有重要比例，特别是在主要考虑独立故障影响的系统设计中，共因故障可能是系统失效概率的主要贡献因素。在独立部件故障分析中一般不考虑共因故障机理，6.5叙述了一种扩展的定性分析步骤，它基于FMEA且考虑了可能的共因故障机理。共因故障分析的步骤比较灵活，可随分析需要调整。共因故障分析不是标准化的，也不是分析的理想方法，而是给出一般性指导或作为一种设计分析工具。共因故障分析通常是，要找出导致冗余系统不能完成其预定功能的、在两个或多个独立通道中的多个部件故障。分析适用于由完全相同的通道或者由多样化配置的通道(或两者)提供冗余的情况。无论哪种情况，多重故障总是和一个共同事件或共同条件(如单一初因)相关。判定下述三种统计关系有助于判定和分类共因故障：a)判定故障事件间的关系，一个部件故障可能增加第二个部件的应力，从而使第二个部件的故障概率增大(大于第一个部件不故障时第二个部件的故障概率);b)判定故障事件与发生某个初因之间的关系，例如，温度的短暂升高使几个部件早期失效但不同时失效的概率大于该初因事件未发生时的概率；c)判定所有部件同时承受某一极端条件时可能出现的关系，例如地震。共因故障分析用于识别冗余部件的故障模式和机理。故障事件有时以链式出现，一个部件失效导致另一部件的过应力，从而使其失效，而第二个部件失效又导致第三个部件失效，以此类推，通常影响电厂的几个区域或几个系统。这种类型的故障序列称为级联故障。级联故障和共因故障不同，它不涉及系统冗余通道的多个故障事件。级联故障宜直接由FMEA判定而不需要再进行扩展的定性分析，因为FMEA包括了对被评价系统的影响，或与该系统可能有交互的其他系统的影响，或两者皆有，从而提出了可能存在的级联故障序列。是否能完成级联故障分析取决于分析是否全面深入以及分析者的能力和经验。如果在之前的分析中没有体现级联故障，那就需要在扩展的定性分析中开展级联故障分析。6.5.2扩展的故障模式与影响分析分析的深度及范围可根据分析目的和分析对象而变化。操作步骤如下。a)定义系统和系统边界。此步通常在FMEA中完成。宜清楚地确定和列出系统间的通信通道(如管道、接线、继电器等)以及其他的交互(如环境条件、人员等)。某些交互可能难以察觉，如在某种场合，可能通过被控工艺过程本身，控制系统和保护系统以某种不希望的方式相互影响。b)定义所有预期的系统运行模式(包括自动、手动、试验和旁通等)。考虑所有可信的运行模式是很重要的，因为经验表明，在异常但可预见的运行条件下，按某种运行模式设计的系统可能完成功能，也可能以某种非预期的方式失效。为每种运行模式定义系统和系统边界有助于判定可能的共因故障事件。c)说明系统的运行和确定所有运行模式下的环境条件。环境的描述宜包括在核电厂寿期内预期的正常环境条件和任何可能出现的可信的环境条件。d)确定关键物项清单。通过包含系统所有部件和模件的FMEA表，确定并列出组成冗余通道的部件和模件。需特别关注没有完全多样化的部件和模件，并列出在设计或结构上相同或相似的部件和模件构成的非冗余子系统。e)确定故障模式清单。确定并列出以上识别出的通道和子系统所有可能的故障模式。部件或模件的故障模式不宜限于上下量程故障。比如一个放大器发生常数中间档输出的故障，则十分有必要考虑该事件。f)记录结果。确定并列出故障可能发生的所有方式。1)可从下述几方面考虑引起共因故障的原因：——考虑所有可预计的系统运行方式下可能的运行错误；——考虑因安装、维护、试验、仪器标定等可能出现的错误(对安装和维护规程进行评估也是十分必要的); 考虑可能的设计缺陷和系统功能缺陷。如：“独立的”子系统之间及“独立的”部件之间未识别的相互关系；同一生产厂制造的部件可能存在的制造缺陷；未识别的电子或机械对共同因素的依赖；对过程变量行为的错误理解；保护动作的设计不当；不适当的仪器仪表。2)对可能的共因故障采取的预防措施：——功能多样化；——设备多样化；——设计、运行的行政管理；——故障安全模式；——实体隔离；——标准化、采用已验证的设计等。用表格列出上述分析。表格形式可随需要变化，举例见表3。表3可能引起的共因故障及其原因故障(故障设备及故障模式)故障原因外部的工作环境设计缺陷运行出错和维护出错外部灾害功能缺陷灰尘温度湿度振动电干扰未识别的相互关系共同因素故障不独立误刻度不正确的试验过时的规程维护懈怠操作员错误其他人为因素台风火灾洪水地震现象误解不合适(的保护动作不合适的仪器设备×××××××××××最后逐项评定每项可能的共因及采取的预防措施是否恰当，从而最大限度地保证发生共因故障的可能性足够低。6.5.3扩展的故障树分析理论上，对于一个小的系统，可通过构建故障树，确定最小割集，然后检查最小割集并确认是否存在引起一个最小割集中所有部件均故障的因素，从而识别共因故障。这个方法在实践中极其困难，因为很难构建出能详细到发现细微共因的故障树，因为一般故障树没有详细到能发现细微的共因，它们经常过大而十分有必要要拆分成子树或模块，而且可能很难识别出可引起一个最小割集中所有部件均故障的共因。通过故障树方法很难识别共因的假设例子是，一个即将动作的安全系统，引起水击，使构筑物内较远的一个管道破裂，喷淋水启动，并在一段时延后使得可能已经驱动冗余安全系统动作的仪表失效。虽然这个例子看起来很牵强，但是相似的故障曾发生过。只有当建模者已经察觉到这种潜在的多重故障并在故障树中考虑了管道定位，才能通过故障树方法识别这种潜在的多重故障。另外，故障树方法需要仔细定义顶事件。共因故障可能引起未预见到但很严重的顶事件。尽管困难，但已开发了以故障树模型探测潜在共因故障的几种计算机软件程序，应用它们探测到了很多未知的共因故障组合。有关计算机软件程序或其他的技术都不能保证所有可信的共因故障都被探测到。将上述步骤应用于实际系统可能会花费大量时间，但这不是目的。为节约定性分析时间，分析者需应用良好的工程判断确定何时及如何结束分析。特提出如下建议：a)如果被分析故障后果的严重程度小于其他故障的后果，则不再需要详细分析原因；b)对辅助系统，仅需分析其和主系统的联系部分；c)如果多重保障对某个通信通道的影响相同，则后果只需分析一次；d)如果故障原因是明显不可信的，或者出现的概率非常小并可忽略，则不需要对其后果进行详细研究；e)分析者宜尽可能注意故障原因的相对可信度，时间宜花在最可能事件上。7定量分析原则7.1概述定量分析是在定性分析的基础上，利用已知的或假定的单个部件的故障概率和系统的故障特性、适当的计算技术，根据系统的数学模型，进行定量的可靠性计算以估计系统的故障概率。系统成功或失效的数学模型是故障率、修复率、试验间隔、使命时间、系统逻辑和检查试验计划等所有(或部分)因素的函数。定量分析结果的正确性受到数据的质量和数量的限制，但敏感度、重要度分析和定量结果的相对比较并不完全取决于数据的质量，并且对确定系统的关键部件、找出系统的薄弱环节、选取可靠性高的系统设计是很有意义的。定量分析的一般步骤是：a)确定系统任务，明确分析目标；b)建立数学模型；c)取得所有元件的故障率数据或估计值；d)进行数值计算并分析结果的可信度。使命是在系统必须完成其功能的环境条件下，为了在感兴趣的时间间隔内或任务上获得成功，系统必须做什么的详细描述。通常用可靠性、可用性(稳态)这两种方法表示使命的成功。可靠性是物项的一个特性，是指在给定状态下和给定时间间隔内某物项完成要求使命的概率。在所有情况中，宜说明所研究的使命时间，没有附带时间说明的可靠性数字是没有意义的。可靠性是时间函数。给定时间间隔是指使命时间，来自规定的系统使命，例如停堆换料周期，要求系统无故障连续工作时间或系统的试验间隔等。GB/T9225—2022任何连续工作物项在使命时间tm内的可靠性可由式(2)正确计算：R(tm)——可靠性(使命成功概率);…λ(t)——故障率；故障率可考虑为瞬时故障概率，λ(t)dt是时间时隔(t,t+△t)内物项的故障概率。故障率可为任意函数，但许多元件、设备的故障率随时间变化规律如图5所示，即所谓的浴盆曲线。失效分成三个阶段，早期失效期，偶然失效期和耗损失效期。“早期失效期”故障率可能很高，但通常会随着早期故障的发生而降低，接着是故障率相对恒定的“偶然失效期”,随后是因磨损而故障率增加的图5故障率随时间变化曲线一般说来，λ(t)是时间变量，式(2)是一般式，因此原则上在三个失效期均可计算可靠性，关键是给对大多数元件来说，是工作在偶然失效期。在此期间，λ(t)近乎不变，简化为常数，则式(2)可简化为式(3):式中：λ——恒定的元件故障率。指数函数可用泰勒级数来表示，见式(4)。exp(-λt)=1-λt+(λt)²/2!-(at)³/3!+…………(4)在λt=0.1时，采用式(5)的误差近似为0.5%。表4列出不同λt值时，采用式(5)计算R(t)时引起的误差。GB/T9225—2022表4不同λt值时由式(5)计算R(t)时引起的误差0.010.990.990050.0050.020.980.980200.0200.050.950.951230.1300.100.900.904800.5300.150.850.86070不可靠性R(t)是可靠性R(t)的补，且当λt很小时，如式(6)所示：R(t)=1-R(t)=λt…………不是所有物项的可靠性都是使命时间的函数，例如有的物项不是连续工作的，而是按需求，或者说按命令(ondemand)工作。其成功或故障是由该要求施加的应力的函数。它们的可靠性规定为在提出要求时成功的概率。部件也可有不同的故障率，这与它所处的状态(如运行、安装或贮存等)或处在该状态的时间有关。7.2.3稳态可用性稳态可用性概念用于可修复或可更换物质(计算时可假设维修时间为无限以模拟不可修复情况)。一个可修复或可更换物项遵循交替更新过程，该物项一直工作到故障，然后被维修，再工作，又故在一个无限时间内，可用性与平均运行时间和维修时间有关，如式(7)所示。需要区分两种情况。一种情况是一个物项一出现故障即被发现，立即进行修理，对这种情况，假设没有后勤延迟，不工作时间等于维修时间。另一种情况下，故障只能由定期试验发现，则不工作时间是出现故障到下次试验的时间间隔加上维修时间。一般说来，可用性是个复杂的数学函数，取决于试验间隔、运行时间和维修时间的概率分布。如果满足下述假设：a)物项有一恒定故障率λ;b)故障只能由定期试验发现；c)试验间隔时间恒定为T;d)λT足够小，因而可近似认为物项在试验间隔内的故障概率，R(t)=λT;e)不工作时间D(维修时间加后勤延迟时间)远小于试验间隔时间D<T;f)物项在每一试验间隔开始时处于工作状态，故障物项肯定能由试验测得并修理。试验不会引起物项失效，也不会改变物项的故障率。则式(7)可表示为式(8):可用性……(8)式中：U——试验间隔内物项平均工作时间；D——试验间隔内物项平均不工作时间。U和D的关系见式(9)。GB/T9225—2022U+D=T (9) 在间隔T内，物项的故障概率为λT,物项处于故障状态的平均时间T/2。不工作时间则式(7)简化为式(11),如下所示：可用性 (11)如果上述假设a)不成立，并假设物项的可靠性为R(t),则可用性可看作是在给定试验间隔内的平均可靠性，可表示为式(12):可用性 (12)这个表达式是精确的。当时R(t)=e-x,可用性见式(13)。 (13)当满足前述假设条件时，则可用性见式(14)。则式(12)等于式(11)。不可用性可能是由于维修、维护、试验或故障而产生的。不可用性A是可用性A的补数，见式(15)。A=λT/2………………(15)若平均修复时间r。远比试验间隔T长，即T<r。(例如以非常短的周期进行自动试验的系统可能是这样情况),则可忽略试验间隔，可根据部件故障率和维修进行可用性计算。当λ,c,<1.0,维修时间是指数分布时，可用性见式(16),不可用性见式(17)。A,=λ,t…………(17)若平均修复时间和试验时间间隔是同一数量级，要对此提出手算的准确模型比较困难，已超出本文件的范围。式(12)适用于系统也适用于部件，当用于系统时，则宜采用7.3所述的数学方法，从系统部件的故障率或故障概率导出R(t)。还可从其他方法获取可用性的替代表达式，给出了由马尔可夫模型得出的表达式。7.3计算方法为了求得系统的可靠性或可用性的解析解，通常是根据适用的可靠性模型列出数学表达式进行计算。对于简单系统，可手算推导出表达式。对复杂系统，则需借助于计算机软件程序求解。但应用原理是相同的。真值表方法真值表是可靠性计算的一种基本方法。对于由少量元部件构成的系统可用真值表列出系统所有成功和不成功的组合。如以图6a)的三取二系统为例，设A、B、C代表系统的三个通道。12a)可靠性框图b)图6a)的维恩图图6基本的三取二系统表5图6a)所示系统的真值表序号ABC系统项0000ABC0010ABC0100ABC1000ABC0111ABC1011ABC1101ABC1111ABC注1:“1”表示成功，“0”表示失效。注2:“A”表示A部件成功，“A”表示A部件失效。GB/T9225—2022图6a)所示系统要求至少有两个通道成功则系统成功，若两个或两个以上通道失效，则系统失效。表5为真值表。表5中的(4)～(7)的每一项代表一个成功项，前四项(0)～(3)为失效项。对照表5及图6b)可知，表5所列各项是互不相容的。所以系统成功等式为式(18)。S=ABC+ABC+ABC+ABC (18)系统的成功概率见式(19)。Pr(S)=Pr(ABC)+Pr(ABC)+Pr(ABC)+Pr(ABC) 假设三个事件是统计独立的，则可直接代入A、B、C的概率值求系统成功的概率，见式(20)。Pr(S)=Pr(A)Pr(B)Pr(C)+Pr(A)P (20十Pr(A)Pr(B)Pr(C)+Pr(A)Pr(B)Pr(C)同理，系统故障概率Pr(F)等于为表5中序号(0),(1),(2),(3)的故障概率之和，见式(21)。Pr(F)=Pr(ABC)+Pr(ABC)+Pr(ABC)+Pr(ABC)=Pr(A)Pr(B)Pr(C)+Pr(A)Pr(B)Pr(C)+Pr(A)Pr(B)十Pr(A)Pr(B)Pr(C)设Pr(A)=Pr(B)=Pr(C)=0.99Pr(A)=Pr(B)=Pr(C)=0.01代入式(20)和式(21),结果见式(22)和(23)。Pr(S)=(0.01)(0.99)(0.99)+(0.99)(0.01)(0.99)十(0.99)(0.99)(0.01)+(0.99)(0.99)(0.99)=0.999702Pr(F)=(0.01)(0.01)(0.99)+(0.01)(0.99)(0.01)+(0.99)(0.01)(0.01)+(0.01)(0.01)(0.01)=0.000298求出Pr(F)后，可应用Pr(S)=1-Pr(F),求出成功概率Pr(S)。对由少量部件组成的系统，应用真值表很方便。对复杂系统，因项数很多，运用真值表就十分麻烦，所以真值表只适用于简单系统。布尔代数方法布尔代数方法是根据系统模型列出系统成功或失效的布尔表达式。再应用布尔代数的一些基本公式，将布尔表达式各项处理成互斥形式并简化，最后得到概率表达式。在可靠性计算中采用的布尔代数的公式见式(24)～式(29)。A·A=A…(24)A·A=φ………(2A+AB=A (27)A+B=A+AB (28)A·B·C (N-1)·N=A+B+C…N-1+N=A+AB+ABC+ +ABC…(N-1)·N………………(29)当写出系统的布尔表达式后，首先利用式(28)或式(29)把布尔表达式处理成一系列互斥项，即变相容为相斥。用图7来说明A+B=A+AB设二取一系统如图7a)所示，只要A或B成功系统即成功。用布尔表达式S=A+B表示。由GB/T9225—2022Pr(S)=Pr(A)+Pr(A)Pr(B)……………(30)a)可靠性框图b)图7a)的维恩图1c)图7a)的维恩图2图7二取一系统图8三取二系统的维恩图只有当布尔表示式的所有项均为互不相容项时，才可从布尔表示式直接写出概率方程。注意，布尔表示式不是唯一的，例如式(30)。式(31)可写成式(32)。S=A+AB……………(31)S=B+AB……(32)同样可处理图6a)的三取二系统。图6a)系统的成功表达式可写成式(33)。S=AB+AC+BC………(33)式(33)可分成两项，见(34)。S=AB+(AC+BC)…………由式(28)得到式(35)。S=AB+ABCAC+AC(BC)]=AB+AAC+AABC+AACBC+ABAC+ABABC+ABACBC=ABC+ABC+ABC需指出，虽然式(18)与式(35)形式不同，但两者结果是完全相同的。由式(18)得到式(36)。S=ABC+ABC+AB+ABC+ABC=ABC+ABC+AB(C+C)=ABC+ABC+AB结果与式(35)相同。GB/T9225—2022由图8可知式(35)各项是互斥的，可直接写出图6a)的三取二系统的成功概率Pr(S),Pr(S)=Pr(AB)+Pr(ABC)+Pr(ABC)见式(37)。=Pr(A)Pr(B)+Pr(A)Pr(B)Pr(C)+Pr(A)Pr(B)Pr(C)Pr(S)=(0.99)(0.99)+(0.01)(0.99)(0.99)+(0.99)(0.01)(0.99)……(38)=0.999702同样，图6a)三取二系统的故障表达式可写成式(39),Pr(F)计算见式(40)。F=AB+AC+BC=AB+(AC+BC)=AB+(ABCAC+AC(BC)))=AB+(A+B)CAC+(A+C)(BC)]=AB+ABC+ABCPr(F)=(0.01)(0.01)+(0.01)(0.99)(0.01)+(0.99)(0.01)(0.01)=0.000298=1-Pr(S)通常，对故障表达式进行布尔代数处理要比对成功表达式进行处理容易。此外，使用故障表达式有一个很大的优点：由于高可靠性系统的部件故障率很小，因此在近似计算系统故障概率时，即使用未处理成互不相容的布尔表达式进行计算，引起的误差也不大。如上述三取二系统，Pr(F)计算见式(41)。Pr(F)≈Pr(AB)+Pr(AC)+Pr(BC)=(0.01)(0.01)+(0.01)(0.01)+(0.01)(0.01)………………(41与准确值Pr(F)=0.000298相比，误差可忽略。为进一步说明布尔代数法，再考虑如图9所示的系统。A323强FF4图9简单2/3系统的可靠性框图布尔成功等式见式(42)。S=BAD+ACD+BCD+ABE+ACE+BCE进行不交化处理，见式(43)。S=ABD+ABDC₁ACD+ACDC₂BCD+BCD[₃ABE+ABEC₄ACE+ACEBCE]₄J₃]₂]=ABD+[A+AB+ABD]C₁ACD+(A+AC+ACD)[,BCD+B+BC+BCDC₃ABE+(A+AB+ABE)C₁ACE+(A+AC+ACE)BCE]₄J₃J₂]经简化后得式(44)。S=ABD+ABCD+ABCDE+ABCD+ABCDE+ABCDE+ABCDE则系统成功概率为式(45)。Pr(S)=Pr(ABD)+Pr(ABCD)+Pr(ABCDE)+Pr(ABCD)+Pr(ABCDE)+Pr(ABCDE)+Pr(ABCDE)=Pr(A)Pr(B)Pr(D)+Pr(A)Pr(B)Pr(C)Pr(D)+Pr(A)Pr(B)Pr(C)Pr(D)Pr(E)+Pr(A)Pr(B)Pr(C)Pr(D)+Pr(A)Pr(B)Pr(C)Pr(D)Pr(E)+Pr(A)Pr(B)Pr(C)Pr(D)Pr(E)GB/T9225—2022+Pr(A)Pr(B)Pr(C)Pr(D)Pr(E)设Pr(A)=Pr(B)=Pr(C)=Pr(D)=Pr(E)=0.99也可将图9所示系统的布尔成功等式写成式(46)。S=(AB+AC+BC)·(D+E)…………(46)由于第一个括号不包括第二个括号内的任何项，反之亦然，因此只需在每个括号内部不交化，这样可得式(47)。S=(AB+ABC+ABC)·(D+DE)=ABD+ABCD+ABCD+ABDE+ABCDE+ABCDE式(44)与式(47)虽然形式不同，但实际上两者是相同的，由两式的P(S)计算值可证。此外，由式(44)可得式(48)。S=ABD+ABCD+ABCD+(ABCDE+ABCDE)+ABCDE+A=ABD+ABCD+ABCD+[ABDE(C+C)]+ABCDE+ABCDE=ABD+ABCD+ABCD+ABDE+ABCDE+ABCDE…………(48)结果与式(47)相同。Pr(S)=0.999701这样求解较上法简单，因此要善于写出合适的逻辑表达式以减少不交化工作量。同样，可求图9所示系统的故障等式，见式(49)。F=DE+AB+AC+BC 进行不交化处理后可得式(50)。F=AB+ABC+ABDE+ABCDE+ABC+ABCDE (50)一般说来，写出布尔失效率表达式进行不交化处理产生的中间项可能少些，并且由于系统失效概率Pr(F)<1,因而要得到给定精度的数字结果也容易些，所以通常愿意计算系统的失效概率。其计算方法和计算系统成功概率的方法是一样的。当求得Pr(F)后，如果需要，则很容易由Pr(S)=1-Pr(F)求得Pr(S)。最后，将布尔代数方法归纳如下：a)写出布尔表达式，表示所有可能成功(或故障)的途径的集合；b)分出第一项，将其余项用括号括起来，再以第一项的否和其余项相乘，然后再将括号内的其余GB/T9225—2022项再分出第一项，重复上述步骤，直至布尔表达式的最后一项；c)将每个否项表示成互斥事件的集合，即式(51);AB (N-1)N=A+AB+ABC+…+ABC…(N-1)N…………(51)e)成功(或故障)概率等于各互斥事件的概率之和。最小割集方法对一个较复杂的系统，应用布尔代数方法精确求解常常产生很多中间项，使运算十分麻烦。在大多数情况下，可靠性估算并不要求精确解，因此可采用较为简便的最小割集方法求近似解。最小割集方法可用于手算，也可用作计算机求解的基础。“割集”是指属于模型的这样一批部件，若所有这些部件故障，则阻断了所有的成功通道。“最小割集”是唯一的故障部件组，这组的任何一个部件恢复运行就恢复了一个成功通路。.2由可靠性框图求最小割集估算时一般先决定部件的次序，通常有最小冗余度的部件为第一，最大冗余度的部件为最后，然后逐个考虑包含该部件的最小割集。将所有的最小割集代入部件故障概率值并加在一起，即得到系统故障概率的近似值。例如考虑图10所示系统的可靠性。AHEBCb₁AD图10示例系统所以，使图10系统故障的所有最小割集为式(52)和式(53)所示。F=AD+AEG+ABCG+HD+HEGPr(F)=Pr(AD)+Pr(AEG)+Pr(ABCG)+Pr(HD)+Pr(HEG)当部件故障率<0.01时，可按相斥事件考虑，Pr(F)见式(54)。 (52) (53)Pr(F)=Pr(A)Pr(D)+Pr(A)Pr(E)Pr(G)+Pr(A)Pr(B)Pr(C)Pr(G)+Pr(H)Pr(D)+Pr(H)Pr(E)Pr(G)GB/T9225—2022由式(54)可知，代入各部件故障概率(或不可用性),即可求得系统的故障概率(或不可用性)。再以图4为例，可写出系统故障的最小割集为式(55)。F=X₁X₂+X₂X₃+X₁X₃+X₄Xs (55).3由故障树求最小割集故障树本身的逻辑特性适宜于直接写出系统故障的布尔表达式。当写出布尔故障表达式(使系统故障的全割集)后，即可用布尔代数进行处理、简化，得到系统的全部最小割集。例如，图10系统的故障树如图11所示。根据图11故障树，可写出系统故障的布尔表达式F,见式(56)。F=(A+H)·[D+G(E+ABC)]…………(56)=AD+AGE+ABCG+DH+HGE+ABCGHF=AD+AGE+DH+HGE+ABCG(1+H)………………(57)=AD+AGE+DH+HGE+ABCG式(57)与式(52)相同。再以图1系统的故障树图2为例，可导出系统拒动的布尔表达式，见式(58)。F=X₁X₂+X₁X₃+X₂X₃+X₄X₅ 由式(52)可知，式中每一项均是最小割集，所以式(52)给出了系统失效的全部最小割集。一般说来，对较多部件的系统，故障树模型会产生很多项，因而手算工作量很大，所以在进行手算时，宜很好应用工程判断，简化故障树模型。系统失效系统失效支路阻断a₁支路阻断b₁支路阻断c₁支路阻断F.13(’图11图10系统的故障树GB/T9225—2022在求得系统的不可用性或不可靠性的数学表达式后，要求得数值结果需要进行数值代入。在数值代入前，首先宜根据所用的数学模型及求得的数学表达式取得所需的参数值，如部件故障率、使命时间、平均修复时间、试验间隔和试验计划等。如果计算使命时间T内的系统不可靠性，则根据7.2.2对于i部件的不可靠性可用式(59)计算。R;(t)=1-exp(-λ;T)…………………(59)务必避免在整数附近取整，否则数值结果的真正意义可能是错误的。所以，较为可取的做法通常是计算故障的概率而不是成功的概率。如果计算系统的不可用性，则按7.2.3所述，根据平均修复时间和试验间隔的相对关系可手算两种情况的系统不可用性。a)试验间隔T比平均修复时间r。大很多时，i部件的不可性可用式(60)计算。 b)当λ;时，此数值换算能得到可用性区间的一个很好的近似。平均修复时间r。比试验间隔T大很多时，元部件的不可用性用式(61)计算。A₁=λ;t₄ (61)当λ;r,=1.0且修复时间为指数分布时，此换算能得到一个很好的近似。c)如果平均修复时间和试验间隔是同样的数量级，则需借助相应的计算机软件程序进行计算。在7.3.2的例子中，假设了部件故障和事件的统计独立，这个假定常常是不正确的，例如两个部件可能同时承受同一种环境，如果环境恶化，这两个部件的故障概率将高于在良好环境下的故障概率。由下述可知，不能将两个部件的无条件概率相乘以给出两个部件同时故障的概率。在某一给定情况下，可能存在一种“公共原因”同时影响多个部件，数学模型宜反映这种情况。令C₁,C₂,…,C。,为公共条件，在此公共条件下，部件A和部件B工作。这些公共条件宜是互斥的(不可能同时存在两个条件)并且是穷举的(不忽略任一条件)。令Pr(C₁),Pr(C₂),…,Pr(C。)是每一条件出现的概率。设感兴趣的事件是A,B两个部件同时故障AB,令Pr(AB/C;)表示在给定条件C;出现时，AB的条件概率，则AB的无条件概率为式(62)。类似地，每个部件的无条件概率为式(63)和式(64)。………要的。例如，假设有两种原因，正常环境C₁和异常环境C²,假设式(65)