《飞机系统安全性设计与评估之FTA》由会员分享,可在线阅读,更多相关《飞机系统安全性设计与评估之FTA(74页珍藏版)》请在金锄头文库上搜索。
1、6 6、故障树分析、故障树分析6 6、1 1 故障树像什么?故障树像什么?当所有下一层级各事件按特定顺序均发生时当所有下一层级各事件按特定顺序均发生时(通常,顺序由一个条件事件展现)该事件发生。(通常,顺序由一个条件事件展现)该事件发生。优先优先”与与”门门6 6、2 2 数学基础数学基础 概率等级概率等级6 6、2 2、1 1 概率理论概率理论 预先分配的概率:预先分配的概率: 适用于已知所有可能结果的情况;适用于已知所有可能结果的情况; 适用于诸如投掷骰子和玩扑克等事件,因为在你开始玩适用于诸如投掷骰子和玩扑克等事件,因为在你开始玩 之前即已知所有可能的结果。之前即已知所有可能的结果。 P
2、 = M/N P = M/N 并且并且 P+ P = 1.0 P+ P = 1.0 这里:这里: P = P = 事件的概率;事件的概率; P = P = 事件不发生的概率事件不发生的概率 ; M = M = 单一事件成功可能性的数值;单一事件成功可能性的数值; N = N = 单一事件所有可能性的数值。单一事件所有可能性的数值。 例如:一个骰子滚出例如:一个骰子滚出2 2点的概率点的概率 = 1 = 1(仅一个面有(仅一个面有2 2点)点)/6/6 (总共(总共6 6个面);个面); 一副扑克抽一个一副扑克抽一个A A的概率的概率 = 4 = 4(一副扑克有(一副扑克有4 4张张A A)/
3、/ 52 52(去掉大小王,一副扑克共有(去掉大小王,一副扑克共有5252张)张) ; 一副扑克抽不出一个一副扑克抽不出一个A A的概率的概率 。 经验概率经验概率 自然界中并非所有的事情都像投掷骰子那么简单。考虑自然界中并非所有的事情都像投掷骰子那么简单。考虑 一下:按时上班的概率是什么?对应某一精确时间的成一下:按时上班的概率是什么?对应某一精确时间的成 功功“事件事件”仅有一个,然而所有的可能性有多少?预先仅有一个,然而所有的可能性有多少?预先分分 配的概率解决不了这个问题。配的概率解决不了这个问题。 使用与基础概率相同的关系:使用与基础概率相同的关系:P = M/N P = M/N 这
4、里:这里:M = M = 成功的数量;成功的数量;N = N = 所有可能性的数量。所有可能性的数量。 用实际到达上班地点的各时间的一个样件(经验数用实际到达上班地点的各时间的一个样件(经验数 据)找出据)找出M M和和N N的值。的值。 P( P(上午上午8:008:00及其之前及其之前)=(40+25+10)/ 133)=(40+25+10)/ 133 P P(上午(上午7:507:50到到8:108:10之间)之间)=(40+30)/133 =(40+30)/133 P( P(中午之前中午之前 注意:不同的注意:不同的“按时按时”定义产生不同的概率;定义产生不同的概率; 而且,对于不同的
5、样件,结果可能不同;而且,对于不同的样件,结果可能不同; 对于经验概率来说,也有对于经验概率来说,也有 P + P = 1.0 P + P = 1.0 。 分布分布 将上面的直方图转换成事件的百分数,并且将各点作平将上面的直方图转换成事件的百分数,并且将各点作平 滑处理:滑处理: 我们发现许多部件具有与该曲线类似的我们发现许多部件具有与该曲线类似的“寿命寿命”周期。周期。每每 个部件都具有自己特性的个部件都具有自己特性的“浴盆浴盆”曲线。下面是一些有曲线。下面是一些有代代 表性的曲线:表性的曲线: 在其寿命周期内,是什么东西引起故障率的这些变化?在其寿命周期内,是什么东西引起故障率的这些变化?
6、 故障机理又是什么?故障机理又是什么? 生命周期的每个阶段有它自己的故障机理。为了精确地生命周期的每个阶段有它自己的故障机理。为了精确地 预计未来,必须使用适当的数学模型。预计未来,必须使用适当的数学模型。 每个阶段都可能发生各种故障机理,然而在每个阶段通每个阶段都可能发生各种故障机理,然而在每个阶段通 常只有一个机理占支配地位。常只有一个机理占支配地位。 可以对正常工作寿命区域内的恒定故障率进行非常简单可以对正常工作寿命区域内的恒定故障率进行非常简单 的数学模型处理。的数学模型处理。 指数分布:对应于曲线的指数分布:对应于曲线的“正常工作寿命正常工作寿命”部分,部件部分,部件的的 故障率是恒
7、定的。这导致了一个极简单的概率表达式:故障率是恒定的。这导致了一个极简单的概率表达式: R = P R = P(事件成功)(事件成功)= e = e tt 这里:这里: R = R = 可靠性;可靠性; P = P = 事件成功的概率;事件成功的概率; = =自然对数基数;自然对数基数; = = 故障率(在这种情况下为常数);故障率(在这种情况下为常数); = = 你所关注的那段(曝露)时间。你所关注的那段(曝露)时间。 注意:这个公式仅在产品工作于浴盆曲线的平坦部分注意:这个公式仅在产品工作于浴盆曲线的平坦部分 时有效。对曲线其它部分,需要其它技术。时有效。对曲线其它部分,需要其它技术。 这
8、里:成功的概率这里:成功的概率 R = e R = e tt;并且;并且 故障的概率故障的概率 Q=1 Q=1e e tt; 当时,上式变为一个简单形式,当时,上式变为一个简单形式, 即:即:Q = tQ = t。 因为可靠的系统具有因为可靠的系统具有0.99.(0.99.(很多个很多个9)9)的可靠性,所以的可靠性,所以 我们通常以故障概率的术语我们通常以故障概率的术语Q Q(或(或1-R1-R)= 1-0.9999= 1-0.9999 =10 =10-N-N来说此事,这既使其更好管理,也使人在四舍五入来说此事,这既使其更好管理,也使人在四舍五入 方面少犯错误少。方面少犯错误少。 概率的乘法
9、法则:概率的乘法法则: 如果如果A A与与B B是两个互相独立事件,即是两个互相独立事件,即P P(A A)的结果完全不)的结果完全不 影响影响P P(B B)的结果,则它们各自概率相乘可以得到它们)的结果,则它们各自概率相乘可以得到它们 两同时发生的概率:两同时发生的概率:P P(A A与与B B)= P= P(A A)PP(B B)。)。 例如:例如:P P(一连串生三个男孩)(一连串生三个男孩)= = P P(生一个男孩和一个男孩和一个男孩)(生一个男孩和一个男孩和一个男孩)= = P P(一个男孩)(一个男孩) P P(一个男孩)(一个男孩) P P(一个男(一个男 孩)孩)= =(1
10、/21/2)(1/21/2)(1/21/2)= 1/8= 1/8 这个计算假设:第二和第三个孩子的性别完全不受此前这个计算假设:第二和第三个孩子的性别完全不受此前 出生结果的影响,所以他们都是独立事件。出生结果的影响,所以他们都是独立事件。 然而然而, ,一些事件并非相互独立,它们更为相互依赖(一个一些事件并非相互独立,它们更为相互依赖(一个 试验的结果依赖其它试验结果)。对于某些事情出自另试验的结果依赖其它试验结果)。对于某些事情出自另 一些事情的更复杂情况(例如一些事情的更复杂情况(例如4 4出自于出自于1010),则需要另一),则需要另一 项技术(二项式)来予以解决。对于这种情形,我们使
11、项技术(二项式)来予以解决。对于这种情形,我们使 用用条件概率条件概率 P P(B|AB|A)的概念,即)的概念,即P P(B|AB|A)是)是A A已发生后已发生后B B 的概率。对于两个相互依赖的事件,概率的乘法法则变的概率。对于两个相互依赖的事件,概率的乘法法则变 为:为:P(AP(A与与B) = P(A)P(B|A)= P(B)P(A|B)B) = P(A)P(B|A)= P(B)P(A|B); 对于具有对于具有n n个事件个事件(E)(E)的情况:的情况: 概率的加法法则:概率的加法法则: 一般的加法表达式:一般的加法表达式: P(Q) = P(A) + P(B) P(A and B
12、) P(Q) = P(A) + P(B) P(A and B) 或或 P(Q) = P(A) + P(B) P(A)P(B P(Q) = P(A) + P(B) P(A)P(BA).A). 如果如果A A和和B B是两个相互排斥的事件,既是两个相互排斥的事件,既A A发生后发生后B B一定不会一定不会 发生(发生(A A和和B B不可能在同一事件中同时出现),任何一个不可能在同一事件中同时出现),任何一个 事件发生的概率仅仅是两个概率的和:事件发生的概率仅仅是两个概率的和: P P(A A或或B B)= P= P(A A)+ P+ P(B B);); 比较两个公式可以看出,该公式总是提供一个保
13、守概率比较两个公式可以看出,该公式总是提供一个保守概率 估计,较前一公式得到的实际值高)。估计,较前一公式得到的实际值高)。 如果如果N N个事件不是相互排斥的事件,则任何一个个事件不是相互排斥的事件,则任何一个 事件发生的概率为事件发生的概率为( (很复杂很复杂) ): 现在有一个两通道的冗余系统,并且两个通道彼此之间是现在有一个两通道的冗余系统,并且两个通道彼此之间是 独立的,而且独立的,而且Q QA A=510=510-5-5,Q QB B=110=110-4-4,则整个系统故障的,则整个系统故障的 概率:概率: P P(A A和和B B都故障)都故障)= =(510510-5-5)(1
14、10110-4-4) = 5.010 = 5.010-9-9 这是一个非常高的系统功能可靠性。然而,系统需要维修这是一个非常高的系统功能可靠性。然而,系统需要维修 的概率又是多少?即:某些东西已经故障了吗?或的概率又是多少?即:某些东西已经故障了吗?或 P P(A A或或B B故障)故障)= P= P(A A)+ P+ P(B B) = 510 = 510-5-5 + 110 + 110-4-4 = 1.510 = 1.510-4-4 增加冗余显著地增加了系统功能的可靠性,但也增加了增加冗余显著地增加了系统功能的可靠性,但也增加了 复杂性和某些故障的概率,进而导致较高的维修成本。复杂性和某些故
15、障的概率,进而导致较高的维修成本。 没有免费的误餐!没有免费的误餐! 6 6、2 2、2 2 布尔代数布尔代数 用布尔代数研究二分系统(如:开关的通断、阀门的开用布尔代数研究二分系统(如:开关的通断、阀门的开 关、逻辑关系的是与否等)特别方便,所以我们将它用在关、逻辑关系的是与否等)特别方便,所以我们将它用在 故障树分析上。故障树分析上。 故障数可以看成是引起顶事件发生的各故障事件之间图示故障数可以看成是引起顶事件发生的各故障事件之间图示 的布尔关系。实际上一个故障树总可以转化为完全等效的的布尔关系。实际上一个故障树总可以转化为完全等效的 一组布尔方程。一组布尔方程。 布尔代数对简化故障树,进
16、而得到故障树最小割集很有益布尔代数对简化故障树,进而得到故障树最小割集很有益 处。进行这些工作使用的主要布尔代数规则如下:处。进行这些工作使用的主要布尔代数规则如下: 交换率:交换率:XY=YXXY=YX,X+Y=Y+XX+Y=Y+X; 结结合合率率:XX(YZYZ)= =(XYXY)ZZ,X+X+(Y+ZY+Z)= =(X+YX+Y)+Z+Z; 分分配配率率:XX(Y+ZY+Z)=XY+XZ=XY+XZ,X+YZ=X+YZ=(X+YX+Y)(X+ZX+Z);); 幂等率:幂等率:XX=XXX=X;X+X=XX+X=X; 吸收率:吸收率:XX(X+YX+Y)=X=X,X+XY=XX+XY=X;
17、 互补法:互补法:XX=XX=,X+X=X+X=,(,(XX)=X=X; 摩根定理:(摩根定理:(XYXY)= X+ Y= X+ Y, (X+YX+Y)= XY= XY; 使用使用和和运算:运算:X=X=,+X=X+X=X,X=XX=X, +X= +X=,=, = =; 其它:其它:X+XY =X+YX+XY =X+Y,XX(X+YX+Y) =XY= =XY=(X+YX+Y)。 注:工程中:注:工程中:XX是是X X的非,常用的非,常用0 0代替代替,用,用1 1代替代替。6 6、3 3 故障树做什么?故障树做什么? FTAFTA表明表明FMEAFMEA呈现的系统构架是否满足呈现的系统构架是否
18、满足FHAFHA为危险的或灾难为危险的或灾难 性的事件确定的数字化标准。性的事件确定的数字化标准。 还记得我们说过必须将一个绝对的安全性水平设计到一个还记得我们说过必须将一个绝对的安全性水平设计到一个 产品中吗?产品中吗?FTAFTA就能告诉我们是否满足了那个水平;用最就能告诉我们是否满足了那个水平;用最 大允许概率验证组合故障的符合性;大允许概率验证组合故障的符合性; 如果系统不满足最低安全性水平,则如果系统不满足最低安全性水平,则FTAFTA能够表明系统的能够表明系统的 哪个地方存在不足和设计的哪个地方需要采取纠正措施。哪个地方存在不足和设计的哪个地方需要采取纠正措施。6 6、4 4 从哪
19、取得信息?从哪开始做从哪取得信息?从哪开始做FTAFTA?6 6、5 5 思考过程和程序思考过程和程序 从顶事件开始向下工作。从顶事件开始向下工作。 对每个不同的顶事件需要不同对每个不同的顶事件需要不同 的树。的树。 每个分支的有序每个分支的有序“路线图路线图”有助于非专业人员弄懂故障树有助于非专业人员弄懂故障树 正走在何处;正走在何处; 向下一直工作到每一分支底部的部件故障模式(来自向下一直工作到每一分支底部的部件故障模式(来自 FMEA FMEA);); 在评估概率之前,应详尽地审查和鉴定树的逻辑。一个逻在评估概率之前,应详尽地审查和鉴定树的逻辑。一个逻 辑错误可能导致顶事件概率偏离许多数
20、量级;辑错误可能导致顶事件概率偏离许多数量级; 用布尔代数进行简化并计算顶事件概率;用布尔代数进行简化并计算顶事件概率; 画出简化的树。画出简化的树。6 6、6 6 最小割集最小割集 要用故障树的最小割集进行故障条件概率的计算。要用故障树的最小割集进行故障条件概率的计算。 最小割集是部件故障的最小组合,如果这些部件故障都发最小割集是部件故障的最小组合,如果这些部件故障都发 生,将引起顶事件发生。生,将引起顶事件发生。 每个故障树均有一个有限数量的最小割集。每个故障树均有一个有限数量的最小割集。 一个顶事件的一般布尔表达式为:一个顶事件的一般布尔表达式为: T = MT = M1 1 + M +
21、 M2 2 + M + M3 3 + + M + + Mk k 其中:其中:M M1 1, M, M2 2, M, M3 3, , M, , Mk k均是最小割集。均是最小割集。 一个由一个由n n个故障模式构成的最小割集个故障模式构成的最小割集M M,其一般的布尔表达,其一般的布尔表达 式为:式为: M = X M = X1 1 X X2 2 X X3 3 X Xn n 其中:其中:X X1 1, X, X2 2, ,等是故障树中的基本故障模式。等是故障树中的基本故障模式。 最小割集是一个减少成最简单组成成分的割集最小割集是一个减少成最简单组成成分的割集, ,即即故障条故障条 件发生所需事件
22、的最小割集。件发生所需事件的最小割集。 用最小割集筛选冗余计算。用最小割集筛选冗余计算。 找出占支配地位的事件。找出占支配地位的事件。 在故障树中,最小割集就是导致部件故障的各故障模式的在故障树中,最小割集就是导致部件故障的各故障模式的 最小组合,其中的各个故障模式对于发生顶事件来说都是最小组合,其中的各个故障模式对于发生顶事件来说都是 必不可少的,如果割集中的某故障事件没有发生,则顶事必不可少的,如果割集中的某故障事件没有发生,则顶事 件不会因这个组合而发生。反之,如果这些部件故障都发件不会因这个组合而发生。反之,如果这些部件故障都发 生,就会引起顶事件发生。生,就会引起顶事件发生。 如果最
23、小割集是一个单故障模式,则表示该单故障模式将如果最小割集是一个单故障模式,则表示该单故障模式将 引起顶事件的发生,这是单点故障;二故障模式最小割集引起顶事件的发生,这是单点故障;二故障模式最小割集 表示这二个故障模式都发生才会引起顶事件发生;对于表示这二个故障模式都发生才会引起顶事件发生;对于n n 故障模式最小割集,要使顶事件发生则割集中所有故障模式最小割集,要使顶事件发生则割集中所有n n个故个故 障模式都必须发生。障模式都必须发生。 在完成一个大的故障树后,应该运用布尔代数运算规则将在完成一个大的故障树后,应该运用布尔代数运算规则将 按大故障树推导出的反映系统故障逻辑关系的复杂布尔代按大
24、故障树推导出的反映系统故障逻辑关系的复杂布尔代 数式简化得到其最小割集表达式,然后再据其绘制出简化数式简化得到其最小割集表达式,然后再据其绘制出简化 了的系统故障树。例如:了的系统故障树。例如: 我们提倡在我们提倡在FTAFTA中使用两种树,每种树都可提供有用的数中使用两种树,每种树都可提供有用的数 据:据: 基本(大)树最好用于理解分析流程、某事件与其它事基本(大)树最好用于理解分析流程、某事件与其它事 件的逻辑关系,并且该树是完整的。件的逻辑关系,并且该树是完整的。 经布尔等效后的经布尔等效后的最小割集最小割集(小)树用来表明现有的实际(小)树用来表明现有的实际 冗余,并用来发现哪些事件是
25、顶事件发生概率的主要驱冗余,并用来发现哪些事件是顶事件发生概率的主要驱 使者。使者。 为节省和追求进度而只画一棵树,是一种不好的方法,应为节省和追求进度而只画一棵树,是一种不好的方法,应 不嫌麻烦地采用画两棵树的方法。不嫌麻烦地采用画两棵树的方法。6 6、7 7 必须考虑的其它输入必须考虑的其它输入 引起引起“与与”门实际起门实际起“或或”门作用(由门作用(由CCACCA发现)的外部发现)的外部 单一事件(或内部单一事件(或内部“串联串联”故障);故障); 潜在的人为错误:在要求由人来实施一些不太关键事情的潜在的人为错误:在要求由人来实施一些不太关键事情的 地方,必须指出不起作用或起错误作用所
26、能导致的严重或地方,必须指出不起作用或起错误作用所能导致的严重或 致命后果(致命后果(FMEAFMEA信息);信息); 最低设备清单:在某些东西已经损坏但系统仍可使用的地最低设备清单:在某些东西已经损坏但系统仍可使用的地 方,方,FTAFTA可从假设这些项目已经故障的情况下开始,然后可从假设这些项目已经故障的情况下开始,然后 往下进行。往下进行。6 6、8 8 何时进行何时进行FTAFTA? 初级的树可在对设计构架有一些初级定义时(概念设计阶初级的树可在对设计构架有一些初级定义时(概念设计阶 段)尽早进行;段)尽早进行; 为了给需求的冗余提供指导,可在为了给需求的冗余提供指导,可在PSSAPS
27、SA中确定初步的故障中确定初步的故障 概率。下面是一个两元件冗余系统:概率。下面是一个两元件冗余系统:6 6、9 9 怎样开始画故障树怎样开始画故障树 如果没有单故障而仅有多故障,则你可以从某些事开始,如果没有单故障而仅有多故障,则你可以从某些事开始, 如下所示:如下所示: 现在考虑:如果使用监测装置来探测冗余的丧失,则初始树现在考虑:如果使用监测装置来探测冗余的丧失,则初始树 的布置可能是:的布置可能是: 极端情况:必须小心处理监测器故障与受它监测的功能极端情况:必须小心处理监测器故障与受它监测的功能 同时发生故障的情况。必须假设监测器首先故障。同时发生故障的情况。必须假设监测器首先故障。
28、不存在所有不存在所有FTAFTA都适合的构架安排;都适合的构架安排; 到目前为止,最困难部分是在向下得到实际硬件故障模式到目前为止,最困难部分是在向下得到实际硬件故障模式 (底事件)之前正确地定义最初几级。一旦通过了该布置(底事件)之前正确地定义最初几级。一旦通过了该布置 阶段,剩余的相对就容易些。在顶部产生的错误可导致非阶段,剩余的相对就容易些。在顶部产生的错误可导致非 常另人误解的结果。常另人误解的结果。 回回忆忆一一下下,FMEAFMEA中中的的“故故障障影影响响”可可帮帮助助发发现现任任何何引引起起危危险险 事件的单故障,并有助于在一个特殊分枝及其中间事件范事件的单故障,并有助于在一个
29、特殊分枝及其中间事件范 围内帮助查找这种故障模式的位置。但是,在一个好的具围内帮助查找这种故障模式的位置。但是,在一个好的具 有有冗冗余余的的系系统统设设计计中中,FMEAFMEA不不会会直直接接展展现现出出可可引引发发“坏坏”事事 的部件故障组合。的部件故障组合。 重申:对于单故障分析,重申:对于单故障分析,FMEAFMEA有用,而且它不能替代有用,而且它不能替代 FTA FTA。反之,。反之,FTAFTA也不能替代也不能替代FMEAFMEA提供的信息提供的信息-他们互为他们互为 补充。补充。6 6、10 10 故障树数据证明故障树数据证明 在在FTAFTA中应给出采用各事件数据的理由。中应
30、给出采用各事件数据的理由。 下面是一个汽车刹车系统故障树数据证明的举例(仅示出下面是一个汽车刹车系统故障树数据证明的举例(仅示出 一小部分):一小部分):而展示。而展示。6 6、11 11 关于监测器的考虑关于监测器的考虑 覆盖因数覆盖因数 不幸地是,在处理故障树中监控器时,有两个具代表性不幸地是,在处理故障树中监控器时,有两个具代表性 的的诡秘假设:诡秘假设: 监控器为执行功能的项目提供了监控器为执行功能的项目提供了100%100%的故障探控;的故障探控; 对监控器的确认或对监控器的确认或“擦净擦净” ” 功能可覆盖功能可覆盖100%100%的监控的监控 器。器。 实际上监控器常常不能提供实
31、际上监控器常常不能提供100%100%的覆盖;的覆盖; FTA FTA应该能够解决有缺陷的监控器覆盖。例如:应该能够解决有缺陷的监控器覆盖。例如: 考虑监测器故障的方法考虑监测器故障的方法 我们通常只需考虑我们通常只需考虑“监测器首先故障监测器首先故障”的情况,其它情况的情况,其它情况 从数字上来说意义不大。从数字上来说意义不大。 故障树的建造技术:为了避免忽略故障树的建造技术:为了避免忽略“监测器首先故障监测器首先故障” 概念,是否存在一种较好的建造故障树方法概念,是否存在一种较好的建造故障树方法? ? 下面是为下面是为 同一个事件建造两种故障树的方法:同一个事件建造两种故障树的方法: 为什
32、么我们选第一个(前)系统作为首次故障为什么我们选第一个(前)系统作为首次故障? ?因为前因为前 系统有一个较高故障率,所以它能导致较高的故障概系统有一个较高故障率,所以它能导致较高的故障概 率,这是保守的安全性考虑。率,这是保守的安全性考虑。 为了建造一个好故障树,应该:为了建造一个好故障树,应该: 不要匆忙向下到达硬件一级;不要匆忙向下到达硬件一级; 沿路线图走沿路线图走-使它容易跟随;使它容易跟随; 可以将每个门作为自己这一枝的一个顶事件进行审可以将每个门作为自己这一枝的一个顶事件进行审 查。门下面每件事必须促成(或直接导致)顶事件查。门下面每件事必须促成(或直接导致)顶事件 的发生。如果
33、一个事件没有促成顶事件,则它就不的发生。如果一个事件没有促成顶事件,则它就不 属于这一枝。属于这一枝。 对一个确定的顶事件,有下面两种故障树:对一个确定的顶事件,有下面两种故障树: 用直觉的方法建立的故障树:用直觉的方法建立的故障树: 用正确而完整的方法建立的故障树:用正确而完整的方法建立的故障树: 树的建造至关重要树的建造至关重要! ! 顶部几级树建立的较差,将导致非常另人误解的结果顶部几级树建立的较差,将导致非常另人误解的结果! ! 可能产生可能产生“危险的系统是可接受的危险的系统是可接受的”这类明显的谬误。这类明显的谬误。6 6、12 12 要求的最低标准要求的最低标准 逻辑完整:没有忽
34、略单故障,或逻辑完整:没有忽略单故障,或没有没有不真实的冗余要不真实的冗余要 求;必须与求;必须与FMEAFMEA保持一致;保持一致; 没有没有“数字游戏数字游戏”:没有为使顶事件概率令人满意而向:没有为使顶事件概率令人满意而向后后 工作的问题;工作的问题; 对不可接受的顶事件必须进行设计更改,要合理地使顶对不可接受的顶事件必须进行设计更改,要合理地使顶 事件概率是可接受的;事件概率是可接受的; 详细、周密;详细、周密; 使用经过验证的故障率和曝露时间;使用经过验证的故障率和曝露时间; 用布尔代数简化;用布尔代数简化; 画出完整的树和简化的树。画出完整的树和简化的树。6 6、1313 几个相关
35、概念几个相关概念 曝露时间:曝露时间:最后一次确认设备功能正常的时刻到随后设备最后一次确认设备功能正常的时刻到随后设备 经受风险结束时的时间间隔;或上一次确认设备功能正常经受风险结束时的时间间隔;或上一次确认设备功能正常 到后一次确认设备功能正常之间的时间间隔。到后一次确认设备功能正常之间的时间间隔。 曝露时间以曝露时间以持续飞行时间计:飞行开始时检查设备,曝持续飞行时间计:飞行开始时检查设备,曝 露时间是典型的平均持续飞行时间。露时间是典型的平均持续飞行时间。 曝露时间以运行日计:运行日的首次飞行开始时检查设曝露时间以运行日计:运行日的首次飞行开始时检查设 备,备,曝露时间是典型运行日中各次
36、飞行的时间之和。曝露时间是典型运行日中各次飞行的时间之和。 曝露时间以维修检查间隔计:在一次规定的维修间隔后曝露时间以维修检查间隔计:在一次规定的维修间隔后 检查设备,检查设备,曝露时间是曝露时间是维修间隔时间。维修间隔时间。 某些项目的曝露时间可能仅仅是一次飞行的一部分。例某些项目的曝露时间可能仅仅是一次飞行的一部分。例 如自动着陆系统,着陆阶段期间经常在如自动着陆系统,着陆阶段期间经常在“接通模式接通模式”进进行行 检查,所以曝露时间是实施自动着陆的时间。对某些自检查,所以曝露时间是实施自动着陆的时间。对某些自 动着陆功能,可在到达动着陆功能,可在到达100100英尺地面高度前试验其功能,
37、英尺地面高度前试验其功能, 这就进一步将曝露时间限制到从这就进一步将曝露时间限制到从100100英尺到触地的时间。英尺到触地的时间。 对于重大的潜在故障,对于重大的潜在故障,“曝露时间曝露时间”受维修措施的控制;受维修措施的控制; 它变成它变成“不应超过不应超过”的时间,或的时间,或“合格审定维修要求合格审定维修要求”的的 “ “候选者候选者”。 关于确定关于确定“曝露时间曝露时间”的原则,参见的原则,参见ARP4761ARP4761附件附件D D; 某喷气式公务机的典型平均持续飞行时间某喷气式公务机的典型平均持续飞行时间:某运输类飞机的典型平均持续飞行时间某运输类飞机的典型平均持续飞行时间:
38、 故障探测方法:为了有效地验证一个功能、试验、或监测故障探测方法:为了有效地验证一个功能、试验、或监测 的适当工作,可要求多种故障探测方法。这些探测层级的的适当工作,可要求多种故障探测方法。这些探测层级的 每一层级可能有不同的曝露时间,因此必须对这些层级进每一层级可能有不同的曝露时间,因此必须对这些层级进 行说明。下面是一些较为通用的探测方法:行说明。下面是一些较为通用的探测方法: 实时自检测;实时自检测; 通电后自检测;通电后自检测; 飞行前自检测;飞行前自检测; 计划的维修检测;计划的维修检测; 初始生产检测;初始生产检测; 返回使用检测。返回使用检测。 潜在故障:发生时不会被探测到的故障
39、:潜在故障:发生时不会被探测到的故障: 它们不会通过自身被发现;它们不会通过自身被发现; 通常与正常工作不依靠的功能相伴:通常与正常工作不依靠的功能相伴: 故障安全覆盖;故障安全覆盖; 监控;监控; 不正常条件的防护;不正常条件的防护; 能够在大于或小于飞行时间的任一时间间隔内持续存在。能够在大于或小于飞行时间的任一时间间隔内持续存在。 潜在故障的时间间隔可用各种策略进行管理:潜在故障的时间间隔可用各种策略进行管理: 维修检查;维修检查; 监控循环时间;监控循环时间; 通电试验;通电试验; 或者不用管理:或者不用管理: 使用使用MTBFMTBF、飞机寿命等。、飞机寿命等。 确定硬件的基本事件故
40、障率:确定硬件的基本事件故障率: 如可能,使用实际的外场数据;如可能,使用实际的外场数据; 从在相似环境中运行并应用相似技术的相似系统中获得从在相似环境中运行并应用相似技术的相似系统中获得 数据:数据: 其它工业界数据源:其它工业界数据源: MILHDBK-217MILHDBK-217可靠性分析中心关于电子设备的可靠可靠性分析中心关于电子设备的可靠 性预测;性预测; MILHDBK-338MILHDBK-338可靠性工程师手册;可靠性工程师手册; MILHDBK-978MILHDBK-978美国宇航局零件应用手册;美国宇航局零件应用手册; 罗马实验室的可靠性工程师工具包;罗马实验室的可靠性工程
41、师工具包; 可靠性分析中心的非电子零件可靠性数据(可靠性分析中心的非电子零件可靠性数据(NPRDNPRD) 和故障模式和故障模式/ /机理分布(机理分布(FMDFMD)。)。 对大于对大于1 1的顶事件概率系数是否满足要求的判定的顶事件概率系数是否满足要求的判定, ,可从分析可从分析 的方法着手。如果确信方法保守,可判定为符合要求;否的方法着手。如果确信方法保守,可判定为符合要求;否 则为不符合要求。则为不符合要求。 MMEL MMEL和故障树之间的关系:和故障树之间的关系: MMEL MMEL决定系统可以带什么故障决定系统可以带什么故障“走走”,以及可以走多长时,以及可以走多长时 间。这就控
42、制了带故障运行的曝露时间。间。这就控制了带故障运行的曝露时间。 MMEL MMEL必须与必须与FTAFTA中的假设匹配,或与更改的中的假设匹配,或与更改的FTAFTA假设匹配。假设匹配。 无论是用正常系统运行还是用无论是用正常系统运行还是用MMELMMEL允许的故障系统运行,允许的故障系统运行, 飞机都必须满足适航标准(如飞机都必须满足适航标准(如CCAR25CCAR25)的要求。)的要求。 如果是适航标准要求的系统,如果是适航标准要求的系统,MMELMMEL允许带故障运行的系允许带故障运行的系 统往往是有冗余的系统,这样才能保证该系统剩余部分统往往是有冗余的系统,这样才能保证该系统剩余部分
43、满足适航标准中的最低要求。不同的是故障前的系统故满足适航标准中的最低要求。不同的是故障前的系统故 障树中的曝露时间应该比障树中的曝露时间应该比MMELMMEL允许带故障运行的系统故允许带故障运行的系统故 障树中的曝露时间长。障树中的曝露时间长。 如果是如果是CCARCCAR运行标准要求的系统,运行标准要求的系统,MMELMMEL允许带故障的运允许带故障的运 行必须满足运行标准规定的条件。例如,丧失按行必须满足运行标准规定的条件。例如,丧失按IFRIFR运运 行所需系统,则只可能允许在行所需系统,则只可能允许在VFRVFR条件下运行。条件下运行。 确定并控制潜在故障的维修间隔时间确定并控制潜在故
44、障的维修间隔时间 确定维修时间间隔是确保某潜在故障(在确定维修时间间隔是确保某潜在故障(在FMEAFMEA中发现中发现 的)和它的最大时间门限值(的)和它的最大时间门限值(FTAFTA使用的)受到控制。使用的)受到控制。 在飞机方面,我们现在将关键的维修时间间隔作为飞机在飞机方面,我们现在将关键的维修时间间隔作为飞机 型号合格审定的一部分,如果不做这项工作,就不允许型号合格审定的一部分,如果不做这项工作,就不允许 飞机投入运行。飞机投入运行。 假设有一个为汽车刹车系统建造的故障树,其电路中的假设有一个为汽车刹车系统建造的故障树,其电路中的 差压开关仅在差压开关仅在75007500英里(英里(3
45、00300运行小时)时才做检查:运行小时)时才做检查: 在顶事件的数字中,该电路的曝露时间是故障概率的在顶事件的数字中,该电路的曝露时间是故障概率的 一大促使因素。一大促使因素。 你是否在使用该汽车行驶你是否在使用该汽车行驶75007500英里后没有检查这个开英里后没有检查这个开 关的适当功能关的适当功能? ? 如果是,曝露时间可能变成与如果是,曝露时间可能变成与“汽车汽车 寿命寿命”相同,这是不可接受的刹车故障曝露时间。相同,这是不可接受的刹车故障曝露时间。 系统可靠性与硬件可靠性的比较:系统可靠性与硬件可靠性的比较: 用从外场收集的硬件经验数据和系统设计知识,需要时你用从外场收集的硬件经验
46、数据和系统设计知识,需要时你 可由乘法法则得到系统功能可靠性。因为可由乘法法则得到系统功能可靠性。因为 硬件可靠性来自于:硬件可靠性来自于: 经验数据;经验数据; 零件数量;零件数量; 环境因素(故障的主导机理):环境因素(故障的主导机理): 冲击;冲击; 振动;振动; 温度;温度; 应力;应力; 其它。其它。 系统功能可靠性来自于:系统功能可靠性来自于: 冗余的数量;冗余的数量; 冗余作用的逻辑性。冗余作用的逻辑性。 硬件的可靠性;硬件的可靠性; 改进系统和硬件的可靠性:改进系统和硬件的可靠性: 由下列方法改进硬件可靠性:由下列方法改进硬件可靠性: 减少零件数量;减少零件数量; 改进实际的硬
47、件;改进实际的硬件; 降低零件的额定值;降低零件的额定值; 减少环境因素的影响;减少环境因素的影响; 减少负载。减少负载。 由下列方法改进系统可靠性:由下列方法改进系统可靠性: 提供更有效的冗余;提供更有效的冗余; 改进硬件;改进硬件; 更改更改MMELMMEL(在安全性限制范围内运行)。(在安全性限制范围内运行)。 置信度的概念置信度的概念 某种意义上说,概率学和统计学处理正好相反的问题。在某种意义上说,概率学和统计学处理正好相反的问题。在概率学中,通常给我们的是有关潜在母本的信息(例如,部件概率学中,通常给我们的是有关潜在母本的信息(例如,部件的可靠性、平均数、标准偏差等),并用这些信息计
48、算某事物的可靠性、平均数、标准偏差等),并用这些信息计算某事物发生的可能性。发生的可能性。 另一方面,统计学则从发生的事件开始(例如,另一方面,统计学则从发生的事件开始(例如,5050次试验次试验中的中的5 5次故障、次故障、312312小时的样本平均数),并寻求用这些信息推小时的样本平均数),并寻求用这些信息推论出潜在的总体信息。论出潜在的总体信息。 在概率学中,计算在概率学中,计算5050次试验中发生次试验中发生5 5次或更多次故障的可次或更多次故障的可能性是一个简单的作业。你需要知道的全部就是部件的可靠能性是一个简单的作业。你需要知道的全部就是部件的可靠性,并且你有唯一的解。性,并且你有
49、唯一的解。 假设你已经观察到在假设你已经观察到在5050次试验中的次试验中的5 5次故障,但却没有能够次故障,但却没有能够产生这些结果的唯一可靠性数值,这使人感觉该问题有无限个产生这些结果的唯一可靠性数值,这使人感觉该问题有无限个可能的解;某些情况只是比其它情况更可能的解;某些情况只是比其它情况更“可能可能”。统计学关注。统计学关注的的中心问题是:中心问题是: (a a)以取自母本的样本为基础,推导出有关潜在母本的推)以取自母本的样本为基础,推导出有关潜在母本的推 论,并且论,并且 (b b)指出对我们得到的结论有多大的信心。)指出对我们得到的结论有多大的信心。 这些想法可由下面的例子阐明:这
50、些想法可由下面的例子阐明: 假设制造商担保其生产的某一部件具有假设制造商担保其生产的某一部件具有600600小时的平均寿小时的平均寿命,为测试这个声明的真实性用命,为测试这个声明的真实性用100100个部件进行寿命试验,并个部件进行寿命试验,并且最后一次故障之前它们已经累计试验了且最后一次故障之前它们已经累计试验了5700057000小时。从各次故小时。从各次故障算得的标准偏差为障算得的标准偏差为100100小时。从这个信息,我们能够推断出制小时。从这个信息,我们能够推断出制造商的声明是错误的吗?(假设部件有一个正态故障分布。)造商的声明是错误的吗?(假设部件有一个正态故障分布。) 人的第一个
51、冲动是想知道什么是人的第一个冲动是想知道什么是“平均数点估计值平均数点估计值”, 简简单单地说地说“平均数点估计值平均数点估计值”就是所有故障号对应的小时数。这个就是所有故障号对应的小时数。这个运运作给出一个作给出一个57000/100=57057000/100=570小时的样本小时的样本MTBFMTBF(平均无故障工作时(平均无故障工作时间)。我们试探着从这得出结论:真实的间)。我们试探着从这得出结论:真实的MTBFMTBF的确小于的确小于600600小小时。然而,我们不能作出这个确定的声明,因为即使真实的时。然而,我们不能作出这个确定的声明,因为即使真实的MTBFMTBF有有1000100
52、0小时那样高,我们碰巧也能获得小时那样高,我们碰巧也能获得570570或更小的样本数或更小的样本数值。另一个极端是,即使真实的值。另一个极端是,即使真实的MTBFMTBF有有300300小时那样低,我们也小时那样低,我们也能碰巧再次得到能碰巧再次得到570570或更高的样本数值。但是,这两件事将是非或更高的样本数值。但是,这两件事将是非常不可能的,并且该事实也是我们必须遵循途径的线索。常不可能的,并且该事实也是我们必须遵循途径的线索。 让我们暂时假设制造商的声明是有效的(即,真实让我们暂时假设制造商的声明是有效的(即,真实MTBFMTBF事事实上是实上是600600小时)。在该假设下,观察到小
53、时)。在该假设下,观察到570570小时或更低的小时或更低的MTBFMTBF的概率有多大?的概率有多大? 在能够作这个计算之前,我们首先必须确定引起平均值在能够作这个计算之前,我们首先必须确定引起平均值(570570小时)的那个分布。可以表明,样本平均数(小时)的那个分布。可以表明,样本平均数( )是自身)是自身带有一个平均数(带有一个平均数( )的正态分布,该平均数等于母本平均数)的正态分布,该平均数等于母本平均数()(这就是我们说的)(这就是我们说的MTBFMTBF),并且标准偏差(),并且标准偏差( )等于母)等于母本标准偏差(本标准偏差()除以样本量()除以样本量(N N)。进一步说,
54、对于等于或大)。进一步说,对于等于或大于于3030的样本量,的样本量,可能非常近似于样本标准偏差(可能非常近似于样本标准偏差(S S)。用公式)。用公式表示为:表示为: = = MTBF= = MTBF = / S/ = S/ = = / S/ = S/ = 100/ = 10 100/ = 10正态分布正态分布对于一个样本,假设对于一个样本,假设 = = ,则强调这个假设中的置信度,则强调这个假设中的置信度 并且如果我们假设真实并且如果我们假设真实MTBFMTBF为为600600小时,样本平均数的分布小时,样本平均数的分布如下:如下: 现在我们可以使用正态分布表来确定观察到一个现在我们可以使
55、用正态分布表来确定观察到一个570570小时或小时或更小的样本更小的样本MTBFMTBF的可能性。将的可能性。将570570小时转换成标准单位,我们小时转换成标准单位,我们有:有: K = K =(A-A-)/ = / = (570-600570-600)/10 = -3/10 = -3 从正态分布表中我们发现获得从正态分布表中我们发现获得3 3或更大标准偏差附近的平均或更大标准偏差附近的平均数偏差值仅仅是。从这我们一定得到下面两个结论中的数偏差值仅仅是。从这我们一定得到下面两个结论中的一个:一个: (1 1)我们的假设无效(即,实际的)我们的假设无效(即,实际的MTBFMTBF小于小于600
56、600),或),或 (2 2)我们已经观察到一个事件,其仅在大约)我们已经观察到一个事件,其仅在大约10001000次试验时次试验时发生一次。发生一次。 因为结论(因为结论(1 1)看起来似乎更合理,所以大部分人会愿意说)看起来似乎更合理,所以大部分人会愿意说真实的真实的MTBFMTBF小于小于600600小时,并且在这个声明的置信度(信心的量小时,并且在这个声明的置信度(信心的量值)较高。通常,我们将置信度量值协调到数字(值)较高。通常,我们将置信度量值协调到数字(11);于是,我们说我们对);于是,我们说我们对MTBFMTBF小于小于600600小时的结论有小时的结论有99.87%99.8
57、7%的自信(置信度)。的自信(置信度)。 利用这个非常自然的思考方法,在对有利用这个非常自然的思考方法,在对有90%90%置信度的置信度的MTBFMTBF,我们会做何类声明呢?我们会做何类声明呢? 回顾一下,回顾一下, = = MTBF = = MTBF,我们将改写,我们将改写 的密度函数,的密度函数,如下图所示:如下图所示: 再次参考正态分布表,我们发现有再次参考正态分布表,我们发现有90%90%的时间正态随机变量的时间正态随机变量的数值处于平均值标准偏差范围内。因此,如果我们说的数值处于平均值标准偏差范围内。因此,如果我们说MTBFMTBF大于我们的样本平均值大于我们的样本平均值-1.65
58、10-1.6510,我们知道我们将有,我们知道我们将有95%95%的时间是正确的。另一极端情况下,如果我们说的时间是正确的。另一极端情况下,如果我们说MTBFMTBF小于样本小于样本平均值平均值+1.6510+1.6510,我们再次会有,我们再次会有95%95%的时间是正确的。的时间是正确的。 按上述判断,我们说我们有按上述判断,我们说我们有90%90%的自信(置信度)认为真实的自信(置信度)认为真实MTBFMTBF位于(位于(= 553= 553)和()和(= 587= 587)之间。)之间。 在统计学中,间隔(在统计学中,间隔(553553,587587)被称作置信区间,并且端)被称作置信
59、区间,并且端点被称作置信界限。我们找到这些界限的概率被称作置信水点被称作置信界限。我们找到这些界限的概率被称作置信水平。利用这些术语,我们可以说平。利用这些术语,我们可以说“在在90%90%置信水平,真实置信水平,真实MTBFMTBF位位于于553553和和587587之间之间”,或者说,或者说“在在98.87%98.87%置信水平,我们已经拒置信水平,我们已经拒绝绝MTBFMTBF是是600600小时的假设小时的假设”。 数字数字553553被称作被称作“单侧下单侧下95%95%置信界限置信界限”,而,而587587被称作被称作“单单侧侧上上95%95%置信界限置信界限”。 相同的理由,可以
60、用上述内容计算其它置信水平的置信界相同的理由,可以用上述内容计算其它置信水平的置信界限。通常,从一个正态分布抽取样本时,我们有:限。通常,从一个正态分布抽取样本时,我们有: 99% 99%的自信(置信度)说:真实的自信(置信度)说:真实MTBFMTBF位于位于2.57S/ ;2.57S/ ; 95% 95%的自信(置信度)说:真实的自信(置信度)说:真实MTBFMTBF位于位于1.96S/ ;1.96S/ ; 90% 90%的自信(置信度)说:真实的自信(置信度)说:真实MTBFMTBF位于位于1.65S/ ;1.65S/ ; 80% 80%的自信(置信度)说:真实的自信(置信度)说:真实MT
61、BFMTBF位于位于1.28S/ 1.28S/ 。 这里:这里:= = 样本的样本的MTBFMTBF; S = S = 样本的标准偏差;样本的标准偏差; N = N = 样本量(其大于样本量(其大于3030)。)。 分析中使用的样本量越大,则其置信水平越高。用数据表分析中使用的样本量越大,则其置信水平越高。用数据表示的置信度是以故障经验为基础的,并且故障越多,意味着分示的置信度是以故障经验为基础的,并且故障越多,意味着分析的置信度越高。另一方面来看析的置信度越高。另一方面来看, ,高的可靠性意味着故障少和分高的可靠性意味着故障少和分析的置信度低。析的置信度低。 下面是置信度与故障率之间的关系曲
62、线。从该曲线看到,下面是置信度与故障率之间的关系曲线。从该曲线看到,它与我们的直觉是一致的,即样本量越大,越接近我们的样本它与我们的直觉是一致的,即样本量越大,越接近我们的样本平均数,也就是越接近母本平均值。平均数,也就是越接近母本平均值。 该图还说明,在有关真实该图还说明,在有关真实MTBFMTBF的结论中,我们希望的的置的结论中,我们希望的的置信度越大,置信间隔宽。信度越大,置信间隔宽。 切记,在证明任何零件的安全性的过程中切记,在证明任何零件的安全性的过程中, ,不要轻信故障率不要轻信故障率()(即)(即1/MTBF1/MTBF)能够低到)能够低到“故障决不会发生故障决不会发生”的程度。的程度。
