故障树分析,故障树分析软件

故障树分析（FTA）一、概述故障树分析FTA（英文为FaultTreeAnalysis）是一种图形演绎的故障分析方法，是故障事件在一定条件下的逻辑推理方法。它将系统故障形成的原因（包括硬件、软件、环境、人为因素等）进行分析，画出逻辑关系图（即故障树），从而确定系统故障的原因和发生的概率。由FTA结果可以确定被分析系统的薄弱环节、关键部位、应采取的措施、对可靠性试验的要求等。同时FTA还可通过分析各种可能的潜在故障，揭示系统内部的联系，指导维修方案及维修策略的制定，确定检修装置的最佳配置，为故障诊断提供依据；另外还为后勤保障、运用维修管理打下相应的基础。FTA从20世纪60年代首先在宇航，以后在核能领域内得到了重视和发展，目前已在电子、化工、电力、机械、交通等行业中得到了广泛的应用，用来作为评价系统可靠性和安全性的有力工具。(一）FTA概念在故障树分析中，对于所研究系统的各种故障状态或不正常的情况均称为故障事件。各种完好状态或正确情况皆称为成功事件。两者均称为事件。FTA所研究的一个事件，也就是系统所不希望发生的事件或FTA中所关心的结果事件称为顶事件，位于故障树的顶端。在FTA中仅导致其它事件发生的原因事件称为底事件，它是可能导致事件发生的基本原因，位于故障树的底端。FTA是以顶事件为分析目标，通过逐层向下查找所有可能发生的原因。每层均查找其直接原因，从而找出系统内可能存在元件失效、环境影响、人为失误以及程序处理等硬件和软件因素（各种底事件）与系统故障（顶事件）之间的逻辑关系，并通过各种符号（事件符号、逻辑符号和转移符号）来描述系统中各种事件间的因果关系，从而形成倒立树状图形，这种图形称之为故障树。图2—16表示出水泵驱动系统故障树，其中图2—16（a）为直流电动机驱动水泵系统的原理图，图2—16（b）为该系统顶事件电机不转的故障树。在建造完故障树以后，再定性分析各底事件对顶事件发生影响的组合方式和传播途径，识别可能的系统故障模式，以及定量计算这种影响的轻重程度，计算出系统在该项事件时的故障概率。系统的可靠性分析基本上分为两种方法，一种是归纳法。另一种是演绎法。FMECA属于归纳法，FTA属于演绎法。FMECA是由下而上，确定产品可能的故障模式，确定各种故障对系统的影响，基本上是面向系统的各种组成部分。而FTA则是由上而下，假设系统故障，分析其可能的原因，基本上是面向整个系统。进行FMECA分析的着眼点在于不漏掉一种可能的故障模式，因此在新产品研制时，原则上要普遍分析各主要零部件可能发生的故障对系统的影响，所以在工程上总是首先进行FMECA，从中确定一切灾难性和严重（a)系统原理图（b）故障树图2-16水泵驱动系统故障树E-110V直流电源；M-直流电动机；K1-手动开关；K2-电磁开关；P-水泵电动机不转M两端无110V直流电压M失效++E电压<110V开关失效K1失效K2失效MPEK2K1（二）FTA特点（1）FTA法直观、形象。它通过从系统到部件再到零件层层下降的分析，采用逻辑符合绘制出树状图形，将系统的故障与导致该故障的各处因素直观而又形象地表现出来，从而评价各种零部件故障原因及其对系统可靠性、安全性的影响程度。（2）FTA法具有灵活性和多用性。它不局限于对系统可靠性做一般的分析，而可以分析系统的各种故障状态，它不仅可以分析由单一部件故障引起的系统故障，还可以分析多个零部件同时故障而导致的系统故障；它不仅可以分析系统中零部件故障树对系统的影响，还可以考虑环境、人为因素或决策失误以及维修状态的影响；FTA不仅可应用于工程技术问题，而且还可应用于经济管理系统工程，可以作为管理和维修人员的管理、维修指南。（3）FTA是一种图形演绎法，是故障事件在一定条件下的逻辑推理方法。它可以围绕某些特定的故障树状态做层层深入的分析。在清晰的故障树图形下表示出系统的内在联系，指出单元故障与系统故障之间的逻辑关系。（4）FTA不但可以进行多目标的定性分析，还可以进行复杂的定量计算。故障树分析的理论基础，除概率论和数理统计外，布尔代数及可靠性数学中的理论均可用于FTA的定量分析中，并且随着计算机技术的发展，图像信息技术、各种计算方法也都在FTA中得到广泛应用。通过FTA定量计算可以求出复杂系统中的故障概率和其它可靠性特征量，为评估和改进产品的可靠性提供定量数据。（5）FTA的缺点是建造过程复杂，耗时太长，收集数据困难。FTA首先需要建树，建树过程复杂，需要经验丰富的工程技术人员、运用维修人员参加。系统越复杂，建树越困难，耗时越长，建造数年的故障树并不罕见。二、故障树的建造（一）名词术语1.故障树：故障树是一种特殊的倒立树状逻辑因果关系图，它用规定的事件符号、逻辑门符号和转移符号描述系统中各种事件之间的因果关系，逻辑门的输入事件是输出事件的“因”，逻辑门的输出事件是输入事件的“果”。2.底事件：底事件是故障树分析中仅导致其它事件的原因事件。它位于故障树底端，总是某个逻辑门的输入事件，而不是输出事件。底事件分为基本事件与未探明事件。3.基本事件：基本事件是在特定的故障树分析中无须探明其发生原因的事件。4.未探明事件：未探明事件是原则上应进一步探明其原因，但暂时不必或者暂时不能探明其原因的底事件。5.结果事件：结果事件是故障树分析中由其它事件或事件组合所导致的事件。结果事件总位于逻辑门的输出结果事件分为顶事件与中间事件。6.顶事件：顶事件是故障分析中所关心的结果事件，它位于故障树的顶端，总是故障树中逻辑门的输出事件，而不是输入事件。7.中间事件：中间事件是位于底事件和顶事件之间的结果事件。中间事件既是某个逻辑门的输出事件，同时又是别的逻辑门的输入事件。8.特殊事件：特殊事件是指故障树分析中须用特殊符号表明其特殊性或引起注意的事件。特殊事件分为开关事件和条件事件。9.开关事件：常用房形符号表示，故又称为房形事件。开关事件是在正常工作条件下必然发生或者必然不发生的特殊事件.10.条件事件：条件事件是描述逻辑门起作用的具体限制的特殊事件。11.逻辑门：在故障树分析中，逻辑门只是描述事件间的逻辑因果关系。逻辑门包括“与门”、“或门”、“非门”和一些特殊事件。12.与门：与门表示仅当所有输入事件发生时，输出事件才发生。13.或门：或门表示至少一门输入事件发生时，输出事件就发生。14.非门：非门表示输出事件是输入事件的对立事件。15.顺序与门：顺序与门表示仅当输入事件按规定的顺序发生时输出事件才发生。16.表决门：表决门表示仅当几个输入事件中有r个或r个以上的事件发生时输出事件才发生。17.异或门：异或门表示仅当单个输入事件发生时，输出事件才发生。18.禁门：禁门表示仅当条件事件发生时，输入事件的发生方导致输出事件的发生。（二）符号1.事件符号：全部事件符号列于表2-18中，其意义已在名词术语中说明。2.逻辑门符号：各种逻辑门符号列于表2-18中，其意义已在名词术语中说明。3.转移符号：转移符号是为了避免画图时重复和使用图形简明而设置的符号。（1）相同转移符号：相同转移符号用以指明子树位置。相同转向符号：表示下面转到以字母数字为代号的子树中去。相同转此符号：表示由具有相同字母数字的转向符号处转到这里来。（2）相似转移符号：相似转移符号是用以指明相似子树的位置。相似转向符号：表示下面转到以字母数字为代号，结构相似而事件标号不同的子树去。不同事件标号在三角形旁边注明。相似转此符号：表示相似转向符号所指子树与此处子树相似，但事件标号不同。表2-18故障树常用符号故障树的建造步骤1.熟悉资料建树者必须熟悉设计说明书、原理图（流程图、结构图）、运用规程、维修规程和有关数据库及其他有关资料。实际上，开始建树时资料往往不全，建树者必须补充收集某些资料或做必要的假设来弥补这些缺欠，随着资料的逐步完善，故障树也会修改得更加符合实际情况。2.熟悉系统(1)应透彻掌握系统的设计意图、结构、功能、边界（包括人机接口）和环境影响；(2)辨明人为因素和软件对系统的影响；(3)辨识系统可能采取的各种状态模式以及它们和各单元状态的对应关系，辨识这些模式之间的相互转换，必要时应绘制系统模式及转换图，以帮助弄清系统成功或故障与单元成功或故障之间的关系，有利于正确建树。(4)根据系统复杂程度和要求，必要时应进行系统FMEA分析，以帮组辨识各种故障事件以及人为失误和共同原因故障。类别符号名称备注事件符号基本事件导致其他事件的原因事件。位于FT底端，不能再分解未探明事件暂时不必或不能探明原因的底事件结果事件其它事件所导致的事件，是顶事件或中间事件开关事件在正常工作条件下必然发生或必然不发生的特殊条件条件事件描述逻辑门起作用的具体限制的特殊事件逻辑与门Bi(i=1,2,,n)同时发生，则A发生或门任一事件Bi(i=1,2,,n)发生，则A发生非门B是A的对立事件。B=A顺序与门Bi(i=1,2,,n)按C规定顺序发生，则A发生表决门Bi，,Bn中有r个以上发生时，则A发生异或门B1和B2中仅有一个发生，则A发生，C为不同时发生+~ЛЛ+AAAA表2-18故障树常用符号(5)根据系统复杂程序，必要时应绘制系统可靠性框图，以帮助正确形成故障树的顶部结构和实现故障树的早期模块化，以缩小故障树的规模。(6)除上述工作外，还应随时征求有经验的设计、运用和维修人员的意见，最好有这些人员参加建树工作，以保证建树工作顺利开展和正确性。3.确定分析目的建树者应根据主管部门下达的任务和对系统的了解来确定分析的目的。同一个系统，因分析目的的不同，系统模型化结果会大不相同，反映在故障树上也大不相同。4.确定故障判据根据系统成功判据来确定系统故障判据，只有故障判据确切，才能辨明什么是故障，从而正确确定导致故障的全部直接、必要、而又充分的原因。5.确定顶事件明显影响系统技术性能、经济性、可靠性和安全性的故障事件可能不止一个，在充分熟悉资料和系统的基础上，做到既不遗漏，又分清主次地将全部重大故障一一列举，必要时可应用FMEA,然后根据分析目的和故障判据确定出本次分析的顶事件。6.建造故障树一般建造故障树的方法可分为两类：演绎法和计算机辅助法或决策表法。演绎法是将已确定的顶事件写在矩形框内，将引起顶事件的直接原因写于相应的符号中，画出第二排，再根据它们的逻辑关系用相应的逻辑门连接起来。如此，遵循建树规则逐渐向下发展，直到最低一排底事件为止。7.故障树简化在给定一些必要假设的情况下，将真实的系统图简化为一个与主要逻辑关系等效的系统图。（四）建造故障树方法1.建树基本规则演绎法建树应遵循以下基本规则；（1）明确建树边界条件，确定简化系统图：建树前应根据分析目的，明确定义所分析的系统和其他系统（包括人和环境）的接口，同时给定一些必要的合理假设(如：不考虑一些设备或接线故障；对一些设备做出偏安全、保守的假设；暂不考虑人为故障等)，从而由真实系统得到一个主要逻辑关系等效简化系统图。建树的出发点不是真实系统图，而是简化系统图。（2）故障事件严格定义：为了正确确定故障事件的全部必要而又充分的直接原因，各级故障事件都必须严格定义，应明确表达是什么故障，是在何种条件下发生的。例如“泵起动后压力罐破裂”，“开关合上后灯泡不亮”。（3）从上向下逐级建树：建树应从上到下逐级进行，在同一逻辑门的全部必要而又充分的直接输入未列出之前，不得进行下一逻辑门的任何输入。（4）建树时不允许门一门直接相连：建树时不允许不经过结果事件而将门一门直接相连。每一个门的输出事件都应清楚定义。（5）用直接事件逐步取代间接事件：为了故障树向下发展，必须用等价的、比较具体的直接事件逐步取代比较抽象的间接事件。这样在建树时也可能形成不经任何逻辑门的事件—事件串。（6）处理共同事件：共同的故障原因会引起不同的部件故障，甚至不同的系统故障。共同原因故障事件简称为共同事件。鉴于共同事件对系统故障发生概率影响很大，故建树时必须妥善处理共同事件。若某个故障事件是共同事件，则对故障树不同分支出现的该事件必须使用同一事件标号。若该共同事件不是底事件，则必须使用相同转移符号简化表示。2.建树方法将已确定的顶事件写在顶部矩形框中。将引起顶事件的全部必要而又充分的直接原因事件置于相应事件符号中，画出第二排，再根据实际系统中它们的逻辑关系，用适当的逻辑门连接顶事件和这些直接原因事件。如此，遵循建树规则逐级向下发展，直到所有最低一排原因事件都是底事件为止，就由演绎法建成了给定顶事件的故障树。下面以建造压力罐控制系统故障树为例，详细说明演绎法的建树方法。（1）压力罐泵控制系统的工作原理图2-17给出了压力罐泵控制系统原理。控制系统的作用是用来控制泵的开停，保护罐不致过压而造成破裂。控制系统给出了双重保护，当罐中压力达到规定值时，控制系统中的压力开关将自动解开，切断电源使泵停转。当压力开关故障不能断开，则系统中的定时继电器将在泵运转60min时自动断开。压力开关的作用是：当罐中压力降至10Pa时，压力开关接点处于闭合状态，并一直维持到压力达到规定值时，接点才断开。由图可见，罐上装有一个排放阀，需要时可手动开启，将罐内流体瞬间排掉。一旦罐内压力下降到10Pa或瞬时排放到10Pa时，压力开关即自动闭合，泵电机重新起动。定时继电器的作用是：继电器线圈通电，即开始计时。当连续通电时间少于规定时间60min之前，若继电器线圈被断电（例如压力开关断开而断电），则定时继电器保持闭合，但计时回零。一旦继电器线圈恢复通电，又开始计时；若线圈连续通电时间达到60min，则接点断开，并锁定在断开位置，计时并不自动回零，仍保持在60min位置。若要使定时继电器恢复工作，须手动定时继电器上的一个装置，方可使计时回零，并使接点闭合。继电器K1定时继电器继电器K2泵压力开关压力罐~排放阀电机开关S1图2-17压力罐控制系统原理图（2）控制系统故障判据控制系统可处于四种不同的状态模式：初始模式，泵加压模式，暂停模式和事故停泵模式。系统处于初始模式时，复位钮S1断开，继电器K1断开，继电器K2断开，定时继电器闭合，定时指针指零，压力开关闭合（压力罐是空的）。一旦按下S1按钮，K1继电器线圈通电，其接点闭合，并自锁定，松手后S1断开，控制回路仍保持有电，K2继电器线圈也通电，K2接点也闭合，于是泵电机通电，泵运转，使系统转向加压模式。泵运转50min左右，罐内压力达到了压力开关规定压力值，压力开关断开，K2继电器线圈断电，泵电机断电，泵停止向罐加压。同时，定时继电器断电，计时自动回零，系统转向暂停模式。待罐中流体用尽，压力开关又闭合，K2通电，接点闭合，泵重新起动，定时器又开始计时，此时又回到泵加压状态。万一压力开关故障，压力升到规定值时仍不能断开，则依靠定时继电器的定时作用使泵停转，系统就转向了事故停泵模式。要从事故停泵模式重新起动，必须完成以下几个动作：排除压力开关故障；压力罐压力降至10Pa；手动恢复定时继电器接点的闭合状态，使计时回零。图2-18是各种状态模式及相互转换的说明。初始模式S1接点开K1接点开K2接点开定时继电器接点合，压力开关接点合泵加压模式S1接点开K1接点合K2接点合定时继电器接点合并计时，压力开关接点合并监测暂停模式压力开关接点开，并继续监测压力S1接点开K1接点合K2接点合定时继电器接点合压力罐压力降至105Pa,压力开关接合点，K2通电并接点合，定时继电器恢复计时，泵起动压力开关接点开K2继电器接点开定时继电器自动复位到零泵停S1瞬间合K1加电并锁定K2加电并接点合定时继电器开始计时，压力开关监测压力泵起动修复压力开关，排空压力罐、手动使定时继电器接点合，计时归零转向开始事故停泵模式S1接点开，K1接点开，K2接点开，定时继电器接点开，压力开关接点合转向事故停泵压力开关断不开定时继电器超过定时，接点断开K1接点开K2接点开泵停转向暂停起动图2-18压力罐系统工作模式及转换确定分析目的和顶事件设顶事件已确定为“启动泵后压力罐破裂”。本次分析目的限于寻找压力罐系统的薄弱环节，故假设泵管道、导线、压力开关测压管道均正常，于是可按照系统结构、工作原理以及各部件与系统、各部件之间的逻辑关系，并遵循基本原则和方法，一步一步地建造出给定顶事件的故障树。（4）建造故障树建树第一步：首先形成故障树顶结构。根据分析，该故障可由一个单元构成，所以应在顶事件下加或门，并考虑引起事件可以是原发性故障、诱发性故障或指定性故障。原发性故障是在规定的工作应力和环境条件范围内，由于部件本身的原因而发生的故障，例如压力罐由于焊接不良而在小于设计应力时就发生的破裂。诱发故障是超过规定压力或环境条件而发生的故障，例如压力罐内压力超过设计压力而发生破裂，而指定性故障则包括部件正常动作，只是时间或位置错误。图2-19给出了建树第一步。建树第二步：然后分析导致压力罐劈裂的诱发故障。因为这种故障不仅仅由一个单元的失效所造成，故引入一个或门，如图2-20所示。图中菱形符号表示不再进一步分析其原因的事件，而矩形符号表示需要更详细地描述其原因的结果事件。建树第三步：泵加压时间大于60min，而压力罐自然不破裂是可能的，但从偏安全的角度出发，我们不允许泵加压时间超过60min压力罐一定破裂。这种假设在故障树中可用禁门表示。因此原因事件“t>60min泵继续工作”发生，结果事件“t>60min泵继续加压过应力导致罐破裂”才发生。这是建树第三步，如图2-21所示。建树第四步：禁门输入事件为：“t>60min泵继续加压”，显然故障的原因绝非泵本身。进一步查找导致上述故障的直接、必要而又充分的原因是“t>60min电机仍转动”，而它的直接原因又是“t>60minK2继电器接点仍闭合”。建树第四步形成的无逻辑门的“事件串”表示在图2-22中。建树第五步：故障事件“K2接点闭合时间超过60min”可由部件本身失效造成，如接点可能卡住或焊住。因此下接或门，并分析其原发故障、诱发故障和指定故障，建树第五步如图2-23所示。建树第六步：在图2-23中感兴趣的事件时举行所描述的指定故障事件。指定故障包括部件动作正常，但由于来自另一部件的错误信号而在错误时间或地点动作。在本例中错误信号是K2继电器加电时间超过60min。这个故障可按图2-24分析。建树第七步：故障事件：“t>60min压力开关接点还闭合”可由于元件本身故障所造成，导致它的原因可按图2-25分析。至此，故障树的这一分支已达终点，所有输入事件均为圆形底事件和菱形未探明事件。建树第八步：再分析图2-24中的另一输入事件，即“t>60min压力开关接点仍闭合时其接点上还有电”。导致它的原因可按图2-26分析。建树第九步：第九步是分析图2-26中的两个输入事件中右侧的一个输入事件，如图2-27所示，这里到达了故障另一分支的终点。建树第十步：图2-26还剩下左边事件，其分析见图2-28，作为建树的最后一步。至此，建树工作已告完成，压力罐破裂完整的故障树示于图2-29中。注意其中已省略的“事件串”中的两个中间事件。三、故障树分析（一）故障树描述由于故障树是一种逻辑关系因果图，而布尔代数正是一种描述逻辑推理的数学方法，因此故障树可用布尔代数来描述。1.结构函数所研究的系统及其所属的元部件只能处于两种状态，即正常状态和故障状态，并假定各元部件的状态时相互独立的。则故障树的结构函数定义为：￠，（X1，X2,…,Xn）=1，若顶事件发生（2-10）0，若顶事件不发生式中n—故障树底事件数目；X1，X2,…,Xn—描述底事件态变量（布尔变量），即Xi=1,若第i个底事件发生0，若第i个底事件不发生i=1,2，…,n（2-11）可见结构函数Φ表示系统顶事件状态的一种布尔函数。系统顶事件的状态（发生为1，不发生为0）完全取决于故障树底时间状态Xi和故障树结构。2.逻辑门的布尔表示与系统的结构函数（1）与门的布尔表示令X1，X2,…,Xn是逻辑与门的输入事件状态变量，则该逻辑与门输出事件的状态变量Φ（X1，X2,…,Xn）可表示为X1，X2,…,Xn的布尔乘积，即Φ（X1，X2,…,Xn）=X1，X2,…,Xn=ⅡXi(2-12)只有一个输入事件不发生（其值为0），则输出事件就不会发生，此时Φ（X1，X2,…,Xn）=ⅡXi=0（2）或门的布尔表示令X1，X2,…,Xn是逻辑或门的输入事件状态变量，则该逻辑或门输出事件的状态变量Φ可表示为X1，X2,…,Xn，即Φ（X1，X2,…,Xn）=X1+X2+…+Xn=1-Ⅱ（1-Xi）(2-13)只要有一个输入事件发生（其值为1），则输出事件就发生，所有输入事件都不发生，则输出事件不发生。此时Φ（X1，X2,…,Xn）=1（3）非门的布尔表示令X1，X2,…,Xn是逻辑非门的输入事件状态变量，则该逻辑非门的输出事件状态变量Φ可表示为：Φ，（X1，X2,…,Xn）=1，当X1=00，当X1=1（2-14）（4）表决门的布尔表示令X1，X2,…,Xn是逻辑表决门的输入事件状态变量，则n中取r的表决门的输出事件状态变量Φ可表示为：Φ，（X1，X2,…,Xn）=1，当有i个输入事件发生，且i≥r0,其他情况（2-15）可见输入事件X1，X2,…,Xn中有等于或大于r个发生时，输出事件就发生。（5）系统的结构函数若某系统的故障树如图2-30所示，其结构函数为：Φ，（X1，X2,…,Xn）={X4[X3+(X2.X5)]}+{X1[X5+(X3.X2)]}一般情况下，在画出故障树以后就可以直接写出其结构函数。但是对于复杂系统来说，其结构参数是相当繁复冗长的，既不便于定性分析，也不易于定量计算，为此将引入最小割集的概念，将上述一般的结构函数改写为特殊的结构函数，以利于故障树的定性分析和定量计算。（二）故障树定性分析在数据足够的情况下，能够对故障树各个底事件发生概率作出推断，则应做定量计算。如果数据不足，则应进行定性分析。故障树定性分析的目的在于寻找顶事件发生的原因和原因组合，即识别导致顶事件发生的所有故障模式，它可以帮助判别潜在的故障，以便改进设计，还可用于指导故障诊断，改进运行和维修方案。1.最小割集（1）割集与最小割集割集：所谓割集指的是，故障树中一些底事件的集合，当这些底事件都发生时，顶事件必然发生，这些底事件的集合就称为故障树的一个割集。最小割集：若割集中任意去掉一个，它就不再是割集，这种割集就是最小割集。为说明最小割集的意义，采用如图2-31的故障树。这是一个由三个部件组成的与或门结构。该故障树共有三个底事件：X1,X2,X3.按定义可找出它的五个割集：{X1},{X2,X3},{X1,X2},{X1,X3},{X1,X2,X3}显然其中{X1},{X2,X3}是它的两个最小割集，因为在这两个割集中去掉一个底事件就不再成为割集了。此两个最小割集分别称为一个阶和二阶最小割集。该故障树的结构函数为：Φ（X1，X2,…,Xn）=X1+(X2X3)也可写为：Φ（X1,X2,…,Xn）=1-（1-X1）(1-X2X3)一个最小割集代表系统的一种故障模式，故障树定性分析的任务就是寻找故障树的全部最小割集。对于给定的正规故障树，由所有最小割集组成的最小割集族是唯一确定的。（2）用最小割集表示结构函数在求得全部最小割集K1,K2,…KN的基础上，可得故障树的结构函数用最小割集表示。有i个底事件的第j个最小割集可表示为：Kj=ⅡXi则故障树的结构函数为：Φ（X1,X2,…,Xn）=∑Kj=∑ⅡXijkjj=1j=1ikj式中∑—布尔和;Ⅱ—布尔积;Xi—底事件，i=1,2,…,n;顶事件T中间事件M2中间事件M1中间事件M5中间事件M6中间事件M3中间事件M4X4X1X5G1G2G3G5G4X3X3X2X5X2G7G6图2-30某系统的故障树顶事件T中间事件MX1X2X3图2-31最小割集示例图n—底事件总数Kj—最小割集，j=1,2,…,N;N—最小割集数；I∈Kj—底事件Xi为Kj最小割集中的第i个底事件。2.故障树定性分析方法对故障树进行定性分析，需要根据每个“底事件最小割集”所含底事件数目（阶数）进行排序。在各个底事件发生概率较小、差别不大的条件下，阶数越小的最小割集越重要；在低价最小割集中出现的底事件比高阶最小割集中的底事件重要；在考虑最小割集阶数的条件下，在不同最小割集中重复出现次数越多的底事件越重要。为了节省分析工作量，在工程上可以略去阶级大于指定值的所有最小割集来进行近似分析。（1）下行法（Fussell-Vesely法）对于已经建造的故障树，首先进行规范化、简化和模块分解，然后从顶事件开始，逐级向下查寻，找出割集。因为只就上下相邻两级来看，与门只增加割集个数；或门只增加割集个数，不增加割集阶数。所以规定在下行过程中，顺次将逻辑门的输出事件换为输入事件。遇到与门就将其输入事件横向排在同一行（取输入事件的布尔积），遇到或门就将其输入事件竖向串成一列（取输入事件的布尔积），这样直到换成全部底时间为止。如此得到的割集再通过两两比较，划去那些非最小割集，剩下的即为故障树的全部最小割集。用下行法求压力罐泵控系统故障树的所有最小割集。压力罐泵控制系统工作原理如图2-17所示，其简化故障树如图2-32所示。底事件T表示压力罐泵原发故障，K2表示继电器K2接点原发故障断不开，S表示压力开关接点原发故障断不开，S1表示按钮开关接点原发故障断不开，K1表示继电器K1接点原发故障断不开，R表示定时继电器开关接点原发故障断不开。用下行法求该故障最小割集的过程如表2-19所示，其步骤为：第一步：顶事件下面是或门，因此把它的输入T、E2竖向串成一列（两行）每一个输入事件都引出一个割集。第二步：由于E2下面也是或门，此或门的输入是K2、E3，故可用K2、E3来替换E2，竖向写在同一列中。这样又多出一行，其结果写于表中第2列。表2-19求最小割集的下行法集③第三步：由于E3下面是与门，此与门的输入是S、E4，故可用S、E4替换E3，横向写在同一行中，没有增加行数，其结果写于表中第3列。表2-19求最小割集的下行法表步骤12345过程TE2TK2E3TE2S,E4TK2S,S1S,E5TK2S,S1S,K1S,RE1E2E5E3E4TRK1S1SK2++++图2-32压力罐泵控系统简化故障树④第四步：由于E4下面又是或门，此或门的输入是S1、E5，故可用S1、E3来替换E4，竖向写在同一列中，这样又多出一行，其结果写于表中第4列。⑤第五步：由于E5下面还是或门，此或门的输入是K1和R，故可用K1、R来替换E5，竖向写在同一列中，这样就得到五行五个割集，即{T}，{K2}，{S,S1}，{S,K1}，{S,R}。⑥找出最小割集：当底事件数较少时，可按如下步骤进行：让每一个底事件依次对应一个素数，则底事件Xi对应第i个正素数ni。把每个割集也对应一个数，此数是割集中底数事件对应之素数的乘积，于是得到一系列数N1,N2,…N，注脚s为割集总数，且将Ni（i=1,2,…,s）按大小顺序排列，把这些数依次相除，用N1遍除各个数，能被整除的数所对应的割集就不是最小割集，而去除之。再用N2遍除剩下的各个数，依此类推，最后得到的都是不能被整除的数，它们相对应的割集就是所求的最小割集。显然这种方法易于计算机实现。例如对本例中的底事件，令其T=2，k=3,S1=7,K1=11,R=13,则上述五个割集{T},{K2}，{S,S1}，{S,K1},{S,R}对应的数分别为2,3,5×7,5×11,5×13。这些数相互不能整除，因此这五个割集就是全部的最小割集。上行法（Semanderes法）（2）上行法是从底事件开始的，自下而上逐步进行事件的集合运算，将或门输出事件表示为输入事件的布尔和，将与门输出事件表示为输入事件的布尔积，然后用布尔代数的运算规则进行运算，以达到简化的目的这样逐级往上做直至顶事件。用上行法求压力罐泵控系统故障树图2-23的所有最小割集。为书写方便，仍用布尔代数工程符号。底事件的上一级为E5=K1+R往上一级E4=S1+E3=S1+K1+R再往上一级E3=SE4=SS1+SK1+SR再往上一级E2=K2+E3=K2+SS1+SK1+SR最上一级是顶事件E1=T+E2=T+K2+SS1+SK1+SR可见与下行法所得结果一致，得到同样的五个最小割集：{T}，{K2}，{SS1}，{SK1}，{SR}上述算法中要检查每一步所得结果是否可以简化，如可以简化，则须按布尔代数运算规则进行，使之留下的是互不包含的事件集合。在计算机上执行时可按下行法中所讲的对应素数的方法来完成。3.定性分析结果的应用故障树定性分析的基本结果是求得全部最小割集。它的基本用途在于识别导致顶事件发生的所有可能的系统故障模式，这种基于严格逻辑演绎求得的所有故障模式和根据系统故障履历或者个人经验得到的认识有原则性的差别。前者可事先推理，后者仅限于事后经验；前者原则上可以保证完整性，而后者遗漏在所难免。因而这种定性分析的结果有助于判明潜在的故障，避免遗漏重要的故障模式；有助于指导故障诊断和制订运用维修方案。另外故障树定性分析结果也是进一步定量分析的基础。在数据不足、无法定量分析时，应进行故障树的定性比较，将定性比较结果应用于指导故障诊断、确定维修次序，或者指示系统的改进方向。仍以压力罐泵控系统故障树（2-32）来说明定性分析结果的应用。由前例所找到的全部五个最小割集可供系统故障模式识别和指导故障诊断使用。如果对各个底事件发生概率仅能做数量级的估计（如表2-20所示），则可做如下分析：（1）两个一阶最小割集{T}、{K2}比较重要，三个二阶最小割集比较不重要；底事件K2发生概率比T发生概率高一个数量级，故K2最重要，底事件T次重要；底事件S在三个二阶最小割集中重复出现，而且发生概率也大一些，故重要性排在第三位。其余底事件重要性较低。（2）由上述可见，提高系统可靠性的关键在于抓住薄弱环节K2继电器，T压力罐和S压力开关，从而提出了改进设计方案，如图2-33所示。其中修改了控制电路，使K2接点在产生断不开的原发性故障时，对系统来说不再是破坏性的。同时在压力罐上加装了安全阀，使最小割集阶数比原设计提高了一阶（加一重保险）。（3）修改控制电路是让定时继电器同时控制两个接点R1和R2，即线圈有电，则接点R1和R2同时接通；线圈断电，则两个接点同时断开。此方案的工作原理同原方案一样，其作用仍然是控制泵的开、停。安全阀是当压力罐压力刚超过规定值时就打开。一旦压力回到规定值时又闭合，保证压力罐压力一般在规定值以内。K2继电器发生打不开的故障时，定时继电器已记满60min，这时接点R1和R2同时断开，泵电机照样停，只有接点R1和继电器K2都断不开时，才使泵电机停步下来，所以单是K2继电器打不开，对系统不是破坏性的。改进方案的故障树如图2-34所示。图中底事件P表示安全阀失效事件，其余底事件符号意义同图2-32。（4）对图2-34故障树求所有最小割集可得：一阶最小割集{T}，三阶最小割集{P,R,K2}，四阶最小割集{P,R,S,K1}、{P,R,S,S1}。可见除最小割集T以外，其余都增加了阶数，特别是原方案的薄弱环节K2割集，增加了两阶，一下子降低了好几个数量级。此时系统薄弱环节只有压力罐本身，已经不是控制系统本身了。（三）故障树定量分析1.概述故障树定量计算的任务时计算或估算系统顶事件发生的概率或不发生的概率及系统的一些可靠性指标，从而对系统的可靠度—安全性及风险作出评价。一般说来，复杂系统的定量计算是十分困难的。有些情况，如故障是任意分布时就无法用解析法精确求解，这时必须用蒙特卡罗法进行估算。计算顶事件发生概率的方法很多，为简便起见，我们只说明计算过程，引用布尔代数中相应的公式与定理，而不做严格的数学证明。（1）几个假定在进行故障树定量计算时，一般要做以下假设：所有底事件之间都是相互独立的；顶事件和底事件都只有两种状态，即发生（零部件失效）和不发生（零部件正常）；③在一般情况下，故障分布可假定为指数分布，即其故障分布函数为：F(t)=1-e故障密度函数为：F(t)=当系统进入稳定工作期时，（2）事件发生的概率在本节第三（一）项中已经对故障树做了数学描述，根据各逻辑门的布尔表示和系统结构函数的计算公式，可以根据底事件发生的概率，按故障树逻辑结构推算出顶事件发生的概率。与门输出事件发生的概率如果与门的几个独立输入事件X1，X2,…,Xn发生的概率分别F1(t)，F2(t),…Fn(t),则其输出事件发生的概率由式（2-12），有Fs(t)=F1(t)·F2（t）…·Fn（t）或门输出事件发生的概率如果或门的几个独立输入事件X1，X2,…,Xn发生的概率分别为F1(t)，F2(t),…Fn(t),则其输出事件发生的概率由式（2-13），有Fs(t)=F1(t)F2（t）…Fn（t）③最小割集存在的概率如果最小割集Kj有j个底事件，各底事件发生的概率分别为Fs(t)=F1(t)F2（t）…Fn（t），则最小割集Kj存在的概率由式（2-16），有④故障树顶事件发生概率如果故障树一共有N个最小割集K1,K2…,KN,且各最小割集之间无重复出现的底事件（即不相交），则故障树顶事件发生的概率由式（2-17），有即顶事件发生的概率是各最小割集存在的概率之和。这个概率也称为系统的不可靠度。2.顶事件发生概率的精确计算式（2-21）给出了最小割集不相交时计算顶事件发生的概率公式。但是在一般情况下，各最小割集是相交的，也就是说各最小割集中有重复出现的底事件。根据概率论知识，此时最小割集相交时顶事件发生的概率为:当N=2时P=（T）=P（K1）+P（K2）-P（K1K2）当N=3时P=（T）=P（K1）+P（K2）+P（K3）-P（K1K2）-P(K1K3)-P（K2K3）+P（K1K2K3）当N=4时P=（T）=P（K1）+P（K2）+P（K3）-P（K1K2）-P(K1K3)-P（K1K4）-P(K2K3)-P（K2K4）-P（K3K4）+P（K1K2K3）+P(K1K2K4)+P(K1K3K4)+P(K2K3K4)-P(K1K2K3K4)可见当N较大时，计算工作量很大，为此而寻求一种方法，将相交的最小割集化为不相交的最小割集。设有两个最小割集K1和K2是相交的，以K1K2表示在割集K2中去掉与割集K1中相交的元素，因此有：K1+K2=K1+K1K2其中P(K1)=1-P(K1),并且K1和K1K2不相交。一个有N个最小割集的顶事件，可按此法逐级演算下去，使其成为N个不相交的最小割集之和：[例1]精确计算压力罐泵控系统故障树（图2-34）顶事件发生概率。[解]在压力罐泵控系统故障树的定性分析中所提出的改进方案故障树（图2-34）。假定压力罐故障的顶事件为压力罐破裂，底事件T、K1、K2、S、S1、P互相独立，它们的故障分布为指数分布，故障概率见表2-20，P故障概率为2×10。该系统故障树的4个最小割集为：{T}，{P,R,K2},{P,R,S,K1},{P,R,S,S1}。因此其故障树的结构函数为：￠（T,K1,K2,S,S1,P）=T+PRK2+PRSK1+PRSS1根据式（2-23），有3.顶事件发生概率的近似计算上述化相交最小割集为不相交最小割集的确计算方法，在最小割集数目较多，割集之间相容情况下，工作量仍然很大，因此需要计算工作量较小的近似计算公式。工程上常常取最小割集相交时顶事件发生概率精确计算公式（2-22）中的第一或第一、二项作为近似值，这是由于该计算收敛很快，取式中第一或第一、二项已足够。另外，由于给出的底事件发生概率本身不可能很精确，精确计算有时意义不大。（1）一项近似式（2）两项近似式(2-25)通过取第一项与第二项一半之差，即[例2]近似计算压力罐泵控系统故障树（图2-34）顶事件发生的概率。[解]采用不同的近似公式进行计算（1）采用一项近似公式（2）采用两项近似式可见近似计算公式所得结果与例1中精确公式计算结果相同。NjNiKiKjPKiPTP211)(21)()(N1)(TPiKiP）（)P(PRSS)P(PRSK)(PRKP(T)P)],SS,K,K(T,P[11212,145545610102103101021055445541031010102103106105P)],SS,,K,K(T,P[121P(T))P(PRSKP(T))P(PRK[P(T)21-)P(PRSS)P(PRSK)P(PRKP(T)12112)]P(PRSS)P(PRSK)P(PRSS)P(PRKP(PRSK)P(PRK)P(PRSS1112121）6-5-4-4-5-6-5-4-5-6-6-10510310101021051031010210[521-105-5-4-4-5-5-4-5-5-4-4-51031010102103101021031010102-5-4-4-5-5-4-4-5-5-4-51031010102103101010210310102]1031010102-5-4-4-5-6105图2-19建树第一步压力罐破裂（诱发故障）由于选择或安装不当导致压力罐破裂压力罐破裂（原发故障）泵起动后压力罐破裂+压力罐破裂（诱发故障）t>60min泵继续加压过应力导致罐破裂由于其他原因引起罐诱发故障+图2-19建树第二步t>60min泵继续加压过应力导致罐破裂t>60min泵继续加压若t>60min泵仍加压，其概率P=1图2-21建树第三步t>60min泵继续加压t>60minK2接点还闭合t>60min电机仍转动t>60min电机还有电图2-22建树第四步K2断电器诱发故障K2接点打不开（原发故障）t>60minK2接点还闭合+t>60minK2继电器线圈还有电图2-23建树第五步t>60minK2线圈还通电t>60min压力开关接点仍闭合时，其接点上还有电t>60min压力开关接点仍闭合图2-24建树第六步t>60minK2接点还闭合K2断电器诱发故障K2断电器诱发故障K2接点打不开（原发故障）+图2-25建树第七步t>60min压力开关还闭合时其接点上还有电t>60min压力开关接点仍闭合时电流通过K1接点构成回路+t>60min压力开关还闭合时电流通过S1接点构成回路图2-26建树第八步t>60min压力开关还闭合时电流通过S1接点构成回路+S1开关因外部压力而闭合S1开关未断开（原发故障）S1开关未断开（诱发故障）图2-27建树第九步K1接点断不开（诱发故障）t>60min压力开关接点仍闭合时电流通过K1接点构成回路t>60min压力开关还闭合时K1线圈未断电t>60min压力开关还闭合时定时继电器接点断不开K1接点断不开（原发故障）定时继电器接点断不开（诱发故障）定时器“定时”失误定时器电器接点断不开（原发故障）++图2-28建树第十步泵起动后压力罐破裂定时器“定时”失误定时继电器接点断不开（诱发故障）压力罐破裂（诱发故障）压力罐破裂（原发故障）由于选择或安装不当造成罐破裂t>60min泵继续加压过应力使罐破裂由于其他原因造成罐破裂（诱发故障）若t>60min泵仍加压，罐破裂概率P=1t>60min泵继续加压t>60minK2接点还闭合K2接点断不开（诱发故障）K2接点断不开（诱发故障）t>60minK2继电器线圈还有电t>60min压力开关还闭合时K1线圈未断电t>60min压力开关接点仍闭合的条件下，压力开关接点还有电S1开关因外部压力而闭合S1开关断不开（原发故障）S1开关断不开（原发故障）t>60min压力开关还闭合时电流通过K1接点构成回路t>60min压力开关还闭合时电流通过S1接点构成回路+++t>60min压力开关接点仍闭合++过压未被压力开关测出压力开关接点打不开（原发故障）压力开关接点打不开（诱发故障）+t>60min压力开关还闭合时继电器接点断不开K1接点断不开（诱发故障）K1接点断不开（原发故障）+定时继电器接点断不开（原发故障）+图2-29压力罐破裂的完整故障树谢谢！