航空發(fā)動(dòng)機(jī)FTA分析的程序與方法

唐天堯

航空發(fā)動(dòng)機(jī)系統(tǒng)的安全性，不僅直接影響發(fā)動(dòng)機(jī)的安全運(yùn)行，而且還可能影響其他系統(tǒng)的可靠運(yùn)行，甚至發(fā)生飛行事故。因此，航空發(fā)動(dòng)機(jī)安全性研究意義重大。故障樹(shù)分析是通過(guò)對(duì)可能造成故障的環(huán)節(jié)進(jìn)行分析，畫(huà)出相應(yīng)的故障樹(shù)進(jìn)行研究，通過(guò)故障樹(shù)對(duì)故障現(xiàn)象進(jìn)行定性分析和定量分析，從而確定故障原因的各種可能組合方式及其發(fā)生概率。

FTA的基本要求分析

運(yùn)用FTA方法對(duì)航空發(fā)動(dòng)機(jī)進(jìn)行安全性分析時(shí)，在樹(shù)建成后盡可能請(qǐng)有關(guān)設(shè)計(jì)、運(yùn)行、檢修等方面有經(jīng)驗(yàn)的技術(shù)人員進(jìn)行審查、找出故障樹(shù)中的錯(cuò)誤、矛盾和遺漏之處，對(duì)故障樹(shù)作全面修改。其具體要求如下：

a. 為保證分析工作的及時(shí)性，應(yīng)在設(shè)計(jì)階段早期開(kāi)始分析工作，并隨設(shè)計(jì)的深入逐步細(xì)化并應(yīng)作合理的簡(jiǎn)化。

b. 應(yīng)該首先開(kāi)展FHA工作，針對(duì)其中發(fā)現(xiàn)的系統(tǒng)重要及危害性故障后果進(jìn)行FTA;

c. 貫徹“誰(shuí)設(shè)計(jì)、誰(shuí)分析”的原則，必須由經(jīng)驗(yàn)豐富的設(shè)計(jì)、使用和維修人員進(jìn)行FTA;

d. 必須考慮軟件、人為因素及環(huán)境對(duì)系統(tǒng)的影響;軟件的影響可以歸結(jié)為指令故障進(jìn)行分析;當(dāng)系統(tǒng)處于多個(gè)環(huán)境剖面下工作時(shí)，應(yīng)分別進(jìn)行分析;

e. 若系統(tǒng)具有多個(gè)工作模式，各工作模式的頂事件應(yīng)該單獨(dú)分析;

f. 必須完成故障樹(shù)的定性分析，根據(jù)需求確定是否需完成定量分析;

g. 必須進(jìn)行薄弱環(huán)節(jié)分析，并提出可能的改進(jìn)措施;

h. 對(duì)分析結(jié)果進(jìn)行跟蹤管理，以驗(yàn)證分析結(jié)果的正確性和改建措施的有效性。

FTA的一般流程

FTA在航空發(fā)動(dòng)機(jī)安全性分析中的一般流程如圖2.1所示，由分析前的準(zhǔn)備工作、故障樹(shù)的建造、故障樹(shù)定性分析、故障樹(shù)定量分析以及編寫(xiě)故障樹(shù)分析報(bào)告五部分組成。

故障樹(shù)分析前的準(zhǔn)備工作

a. 熟悉資料

建樹(shù)者必須熟悉發(fā)動(dòng)機(jī)設(shè)計(jì)，包括設(shè)計(jì)圖（如：原理圖、流程圖、結(jié)構(gòu)圖）、運(yùn)行規(guī)程、維修規(guī)程和有關(guān)數(shù)據(jù)庫(kù)以及其它有關(guān)資料。建樹(shù)初期，資料往往不全，建樹(shù)者必須補(bǔ)充收集某些資料或作必要假設(shè)來(lái)彌補(bǔ)這種欠缺，隨著資料的逐步完善，故障樹(shù)也會(huì)修改得更加符合實(shí)際情況。

b. 熟悉系統(tǒng)

建樹(shù)者應(yīng)透徹掌握系統(tǒng)的設(shè)計(jì)意圖、結(jié)構(gòu)、功能、邊界（包括人機(jī)接口）和環(huán)境情況，應(yīng)辨明人為因素和軟件對(duì)系統(tǒng)的影響，并且還應(yīng)辨識(shí)系統(tǒng)可能采取的各種狀態(tài)模式以及它們和各單元狀態(tài)的對(duì)應(yīng)關(guān)系，辨識(shí)這些模式之間的相互轉(zhuǎn)換，必要時(shí)應(yīng)繪制系統(tǒng)狀態(tài)模式及轉(zhuǎn)換圖以幫助弄清系統(tǒng)成功或故障與單元成功或故障之間的關(guān)系。

c. 確定分析目的及建樹(shù)深度

建樹(shù)者應(yīng)根據(jù)系統(tǒng)的任務(wù)要求和對(duì)系統(tǒng)的了解確定分析目的及建樹(shù)深度。同一個(gè)系統(tǒng)，因分析目的不同，系統(tǒng)模型化結(jié)果會(huì)大不相同，反映在故障樹(shù)上也大不相同。

故障樹(shù)的建造

完成上述準(zhǔn)備工作后，即可從搜集的對(duì)象資料入手，遵循建造故障樹(shù)的基本要求和一般步驟建造出所需要的故障樹(shù)。

故障樹(shù)定性分析

對(duì)故障樹(shù)進(jìn)行規(guī)范化處理，使其只包含基本事件、結(jié)果事件以及“與”、“或”兩種邏輯門(mén);對(duì)規(guī)范化的故障樹(shù)進(jìn)行簡(jiǎn)化和模塊分解，減小故障樹(shù)的規(guī)模和分析工作量;用上行法或下行法求出故障樹(shù)的所有最小割集。

故障樹(shù)定量分析

假如能給出故障樹(shù)中各底事件的發(fā)生概率，則在所有底事件相互獨(dú)立的條件下，即可求出頂事件發(fā)生概率和所需的重要度數(shù)值。

編寫(xiě)故障樹(shù)分析報(bào)告

在定性和定量分析的基礎(chǔ)上分析薄弱環(huán)節(jié)，提出改進(jìn)意見(jiàn)并根據(jù)要求完成故障樹(shù)分析報(bào)告。

故障樹(shù)的建造

建樹(shù)步驟

a. 選擇頂事件并寫(xiě)出頂事件表示符號(hào)作為第一層

頂事件是指系統(tǒng)最不希望發(fā)生的故障事件，是對(duì)安全性有直接影響的事件，它是分析的目標(biāo)。對(duì)航空發(fā)動(dòng)機(jī)進(jìn)行故障樹(shù)分析，通常選擇FAR33.75或AC33.75-1A中規(guī)定的危害性的或重要的發(fā)動(dòng)機(jī)影響為頂事件，也可以選擇FHA中確定的重要的、危害性的或?yàn)?zāi)難性的失效狀態(tài)為頂事件。

b. 在其頂事件下面并列寫(xiě)出導(dǎo)致頂事件發(fā)生的直接原因——包括硬件故障、軟件故障、環(huán)境因素、人為因素等作為第二層，把它們用相應(yīng)的符號(hào)（中間事件或底事件）表示出來(lái);

c. 對(duì)于第二層的各個(gè)事件，選用適合于它們之間邏輯關(guān)系的邏輯門(mén)與頂事件相連接;

d. 如果還要繼續(xù)往下分析，則對(duì)于第二層中需要繼續(xù)深入分析的每個(gè)事件，按照步驟2）、3）步步深入，逐層展開(kāi)，一直追溯到引起系統(tǒng)發(fā)生故障的全部原因，或其失效機(jī)理和概率分布都是已知，因而不需繼續(xù)分析其原因?yàn)橹?，此時(shí)故障事件稱(chēng)為底事件。

建樹(shù)應(yīng)注意的問(wèn)題

a. 對(duì)系統(tǒng)中各事件的邏輯關(guān)系及條件必須分析清楚，不能有邏輯上的矛盾，條件要統(tǒng)一;

b. 所有事件應(yīng)該具有完整的定義和分析用簡(jiǎn)化符號(hào)，且其定義要嚴(yán)格、明確，盡量做唯一解釋?zhuān)苑勒`解，切忌模棱兩可，含糊不清;

c. 底事件之間應(yīng)該具有獨(dú)立性，對(duì)于不滿足獨(dú)立性的底事件應(yīng)當(dāng)剔除，并對(duì)此做出說(shuō)明;

d. 產(chǎn)品定義、故障判據(jù)、建樹(shù)的邊界條件等必須明確;頂事件的選擇應(yīng)合理恰當(dāng)。即，要合理地確定邊界條件，明確故障樹(shù)建到何處為止。邊界條件包括：系統(tǒng)的初始條件，規(guī)定的不許可事件，頂事件等;

e. 建樹(shù)時(shí)應(yīng)從上而下逐級(jí)進(jìn)行，不允許門(mén)與門(mén)直接相連。

故障樹(shù)定性分析

故障樹(shù)定性分析的目的在于尋找導(dǎo)致頂事件發(fā)生的原因事件及原因事件的組合，即識(shí)別導(dǎo)致頂事件發(fā)生的所有故障模式集合，幫助分析人員發(fā)現(xiàn)潛在的故障，發(fā)現(xiàn)設(shè)計(jì)的薄弱環(huán)節(jié)，以便改進(jìn)設(shè)計(jì)，還可用于指導(dǎo)故障診斷，改進(jìn)使用和維修方案。

故障樹(shù)的規(guī)范化

遵循故障樹(shù)建造方法建成的故障樹(shù)往往是非規(guī)范化的，例如有“禁止門(mén)”、“表決門(mén)”等，必須使其變換為規(guī)范化的、工程化的故障樹(shù)以便于處理，故障樹(shù)的規(guī)范化包括如下步驟：

a. 將“禁止門(mén)”簡(jiǎn)化為“與門(mén)”。

b. 將“表決門(mén)”轉(zhuǎn)為“或門(mén)”及“與門(mén)”。

c. 將故障率很低的底事件或中間事件刪除，但必須滿足精度要求。

故障樹(shù)的簡(jiǎn)化

在明確定義系統(tǒng)接口和進(jìn)行合理假設(shè)的情況下，可以對(duì)所建故障樹(shù)進(jìn)行必要的簡(jiǎn)化;再者對(duì)于復(fù)雜龐大的故障樹(shù)可應(yīng)用修剪法、模塊分解法、邏輯簡(jiǎn)化法和早期不交化方法等進(jìn)行合理的簡(jiǎn)化。

a. 修剪法

修剪法就是去掉邏輯多余。對(duì)于簡(jiǎn)單的小故障樹(shù)，可以用目測(cè)直接將邏輯多余去掉。對(duì)于復(fù)雜的大故障樹(shù)，可利用計(jì)算機(jī)，運(yùn)用布爾代數(shù)運(yùn)算規(guī)則進(jìn)行吸收運(yùn)算，從而去掉邏輯多余。一般地，與（或）門(mén)下的與（或）門(mén)是邏輯多余。

b. 模塊化分解

所謂模塊分解法是指把故障樹(shù)的底事件化為若干底事件的集合，每一個(gè)集合都不包含其他集合中的底事件，這樣可以把每個(gè)模塊看成一個(gè)底事件。故障樹(shù)模塊化后進(jìn)行定性定量分析的計(jì)算量一般按指數(shù)率下降。

故障樹(shù)的模塊是故障樹(shù)中至少兩個(gè)底事件的集合，向上可到達(dá)同一邏輯門(mén)，而且必須通過(guò)此門(mén)才能到達(dá)頂事件，該邏輯門(mén)稱(chēng)為模塊的輸出或模塊的頂點(diǎn)。模塊不能有來(lái)自其余部分的輸入，而且不能有與其余部分重復(fù)的事件。

故障樹(shù)的模塊可從整個(gè)故障樹(shù)中分割出來(lái)，單獨(dú)進(jìn)行最小割集分析和概率計(jì)算。此時(shí)，在原樹(shù)中把分割出的模塊用一個(gè)“準(zhǔn)底事件”代替，而“準(zhǔn)底事件”的概率即為此模塊的概率。

故障樹(shù)定量分析

故障樹(shù)定量分析計(jì)算的主要任務(wù)就是要計(jì)算或估計(jì)頂事件發(fā)生的概率并進(jìn)行重要度分析。復(fù)雜系統(tǒng)的故障樹(shù)定量計(jì)算一般是很繁雜的，特別是當(dāng)故障不服從指數(shù)分布時(shí)，難以用解析法求得精確結(jié)果，這時(shí)可用蒙特卡羅仿真的方法進(jìn)行估計(jì)。

定量分析的假設(shè)

在進(jìn)行故障樹(shù)定量計(jì)算時(shí)，一般要做以下幾個(gè)假設(shè)：

a. 底事件之間互相獨(dú)立;

b. 底事件和頂事件都只考慮二種狀態(tài)——發(fā)生或不發(fā)生，也就是說(shuō)元器件和系統(tǒng)都是只有二種狀態(tài)——正?；蚬收?

c. 一般情況下，故障分布都假定為指數(shù)分布;

e. 所分析系統(tǒng)為單調(diào)關(guān)聯(lián)系統(tǒng)。

故障樹(shù)的結(jié)構(gòu)函數(shù)

結(jié)構(gòu)函數(shù)是表示系統(tǒng)狀態(tài)的一種布爾函數(shù)，其自變量為該系統(tǒng)組成單元的狀態(tài)。設(shè)xi為表示底事件的狀態(tài)變量，xi僅取0或1兩種狀態(tài)。Ф表示頂事件狀態(tài)，Ф也僅取0或1兩種狀態(tài)，定義如下：

（1）

（2）

結(jié)構(gòu)函數(shù)可表示為：

（3）

其中，為底事件狀態(tài)變量的集合。

頂事件發(fā)生概率計(jì)算

頂事件發(fā)生概率計(jì)算通常有概率組成函數(shù)法與最小割集法兩種。

a. 概率組成函數(shù)法

概率組成函數(shù)法也稱(chēng)為直接化方法，基于結(jié)構(gòu)函數(shù)給出的一種故障樹(shù)頂事件概率計(jì)算方法，計(jì)算公式的推導(dǎo)過(guò)程如下：

1）頂事件發(fā)生概率為結(jié)構(gòu)函數(shù)的期望

（4）

2）底事件發(fā)生概率為表示底事件狀態(tài)的布爾變量的期望

（5）

3）頂事件的發(fā)生概率可根據(jù)隨機(jī)變量積與和的期望公式求得：

（6）

式中，，式（6）也稱(chēng)為故障樹(shù)的概率組成函數(shù)。

典型邏輯門(mén)的概率組成函數(shù)見(jiàn)表1.4。

應(yīng)用概率組成函數(shù)求解頂事件發(fā)生概率時(shí)，應(yīng)當(dāng)注意故障樹(shù)中不能有重復(fù)出現(xiàn)的底事件，即所有邏輯的門(mén)的輸入事件均相互獨(dú)立。

b. 最小割集法求重要度

以T為頂事件的故障樹(shù)，其最小割集為K1，K2，…Kn，則頂事件發(fā)生概率為：

（7）

當(dāng)最小割集的數(shù)量足夠大時(shí)，按照式（7）求頂事件發(fā)生概率的復(fù)雜度極高，此時(shí)可采用近似方法，式（7）的一階近似公式見(jiàn)式（8）：

（8）

式（7）的一階近似公式見(jiàn)式（9）

（9）

重要度分析

一個(gè)零件、部件或最小割集對(duì)頂事件的貢獻(xiàn)稱(chēng)為重要度。由于設(shè)計(jì)的對(duì)象與要求不同，所采用的重要度分析方法也不同，常用的重要度包括：概率重要度、相對(duì)重要度以及結(jié)構(gòu)重要度。

a. 概率重要度

概率重要度概念是指第i個(gè)部件不可靠度的變化引起系統(tǒng)不可靠度變化的程度。用數(shù)學(xué)公式表達(dá)為：

（10）

式中：為概率重要度，為系統(tǒng)不可靠度（即頂事件發(fā)生概率），為零部件不可靠度（即底事件發(fā)生概率）。

b. 相對(duì)重要度

相對(duì)重要度是概率重要度的相對(duì)值，其表達(dá)式為：

（11）

式中：為相對(duì)重要度，為概率重要度，為系統(tǒng)不可靠度（即頂事件發(fā)生概率），為元部件不可靠度（即底事件發(fā)生概率）。

c. 結(jié)構(gòu)重要度

結(jié)構(gòu)重要度概念是元、部件在系統(tǒng)中所處位置的重要程度，與元、部件本身故障概率毫無(wú)關(guān)系。其數(shù)學(xué)表達(dá)式為

（12）

式中，為第i個(gè)元部件的結(jié)構(gòu)重要度，，n為元部件的數(shù)量。

故障樹(shù)分析報(bào)告

FTA報(bào)告的正文部分的內(nèi)容包括以下各項(xiàng)：

a. 產(chǎn)品描述

說(shuō)明產(chǎn)品的功能原理、系統(tǒng)定義、運(yùn)行狀態(tài)、系統(tǒng)邊界定義等。

b. 產(chǎn)品FTA約定與要求

說(shuō)明進(jìn)行FTA時(shí)的若干基本假設(shè)，系統(tǒng)故障的定義和判據(jù)，頂事件的定義和描述等。

c. 故障樹(shù)建造

建立故障樹(shù)的圖形表示，并進(jìn)行簡(jiǎn)化、規(guī)范化和模塊分解。

d. 故障樹(shù)定性分析

計(jì)算故障樹(shù)的最小割集。若采用CAD軟件，則補(bǔ)充說(shuō)明軟件名稱(chēng)，開(kāi)發(fā)單位等。

e. 故障樹(shù)定量分析

故障樹(shù)頂事件發(fā)生概率的計(jì)算，故障樹(shù)的重要度分析等。若采用CAD軟件，則補(bǔ)充說(shuō)明軟件名稱(chēng)，開(kāi)發(fā)單位等。對(duì)數(shù)據(jù)的來(lái)源要進(jìn)行說(shuō)明。

f. 分析結(jié)論和建議

g. 附件

附件可以包括：作為依據(jù)的安全性數(shù)據(jù)表及數(shù)據(jù)來(lái)源說(shuō)明、系統(tǒng)資料（如原理圖，功能框圖，安全性框圖等）以及其它的補(bǔ)充資料。