飞机系统安全性设计与评估之FTA.ppt

资源描述

《飞机系统安全性设计与评估之FTA.ppt》由会员分享，可在线阅读，更多相关《飞机系统安全性设计与评估之FTA.ppt（74页珍藏版）》请在三一办公上搜索。

1、6、故障树分析6、1 故障树像什么？,当所有下一层级各事件按特定顺序均发生时（通常，顺序由一个条件事件展现）该事件发生。,优先”与”门,6、2 数学基础概率等级,6、2、1 概率理论预先分配的概率：适用于已知所有可能结果的情况；适用于诸如投掷骰子和玩扑克等事件，因为在你开始玩之前即已知所有可能的结果。P=M/N 并且 P+P=1.0 这里：P=事件的概率；P=事件不发生的概率；M=单一事件成功可能性的数值；N=单一事件所有可能性的数值。,例如：一个骰子滚出2点的概率=1（仅一个面有2点）/6（总共6个面）=0.16；一副扑克抽一个A的概率=4（一副扑克有4张A）/52（去掉大小王，一副扑

2、克共有52张）=0.0769；一副扑克抽不出一个A的概率=1 0.0769=0.9231。经验概率自然界中并非所有的事情都像投掷骰子那么简单。考虑一下：按时上班的概率是什么？对应某一精确时间的成功“事件”仅有一个，然而所有的可能性有多少？预先分配的概率解决不了这个问题。,使用与基础概率相同的关系：P=M/N 这里：M=成功的数量；N=所有可能性的数量。用实际到达上班地点的各时间的一个样件（经验数据）找出M和N的值。,P(上午8:00及其之前)=(40+25+10)/133=0.564 P（上午7:50到8:10之间）=(40+30)/133=0.526 P(中午之前)=(10+25+

3、40+30+20+8)=1.00 注意：不同的“按时”定义产生不同的概率；而且，对于不同的样件，结果可能不同；对于经验概率来说，也有 P+P=1.0。分布将上面的直方图转换成事件的百分数，并且将各点作平滑处理：,我们发现许多部件具有与该曲线类似的“寿命”周期。每个部件都具有自己特性的“浴盆”曲线。下面是一些有代表性的曲线：,在其寿命周期内，是什么东西引起故障率的这些变化？故障机理又是什么？生命周期的每个阶段有它自己的故障机理。为了精确地预计未来，必须使用适当的数学模型。每个阶段都可能发生各种故障机理，然而在每个阶段通常只有一个机理占支配地位。,可以对正常工作寿命区域内的恒定故障率进

4、行非常简单的数学模型处理。指数分布：对应于曲线的“正常工作寿命”部分，部件的故障率是恒定的。这导致了一个极简单的概率表达式：R=P（事件成功）=e t 这里：R=可靠性；P=事件成功的概率；=自然对数基数；=故障率（在这种情况下为常数）；=你所关注的那段（曝露）时间。,注意：这个公式仅在产品工作于浴盆曲线的平坦部分时有效。对曲线其它部分，需要其它技术。这里：成功的概率 R=e t；并且故障的概率 Q=1e t；当t0.01时，上式变为一个简单形式，即：Q=t。因为可靠的系统具有0.99.(很多个9)的可靠性，所以我们通常以故障概率的术语Q（或1-R）=1-0.9999=10-N来说此

5、事，这既使其更好管理，也使人在四舍五入方面少犯错误少。,概率的乘法法则：如果A与B是两个互相独立事件，即P（A）的结果完全不影响P（B）的结果，则它们各自概率相乘可以得到它们两同时发生的概率：P（A与B）=P（A）P（B）。例如：P（一连串生三个男孩）=P（生一个男孩和一个男孩和一个男孩）=P（一个男孩）P（一个男孩）P（一个男孩）=（1/2）（1/2）（1/2）=1/8 这个计算假设：第二和第三个孩子的性别完全不受此前出生结果的影响，所以他们都是独立事件。,然而,一些事件并非相互独立，它们更为相互依赖（一个试验的结果依赖其它试验结果）。对于某些事情出自另一些事情的更复杂情况（例

6、如4出自于10），则需要另一项技术（二项式）来予以解决。对于这种情形，我们使用条件概率 P（B|A）的概念，即P（B|A）是A已发生后B 的概率。对于两个相互依赖的事件，概率的乘法法则变为：P(A与B)=P(A)P(B|A)=P(B)P(A|B)；对于具有n个事件(E)的情况：,概率的加法法则：一般的加法表达式：P(Q)=P(A)+P(B)P(A and B)或 P(Q)=P(A)+P(B)P(A)P(BA).如果A和B是两个相互排斥的事件，既A发生后B一定不会发生（A和B不可能在同一事件中同时出现），任何一个事件发生的概率仅仅是两个概率的和：P（A或B）=P（A）+P（B）；比较两

7、个公式可以看出，该公式总是提供一个保守概率估计，较前一公式得到的实际值高）。,如果N个事件不是相互排斥的事件，则任何一个事件发生的概率为(很复杂)：,现在有一个两通道的冗余系统，并且两个通道彼此之间是独立的，而且QA=510-5，QB=110-4，则整个系统故障的概率：P（A和B都故障）=（510-5）（110-4）=5.010-9 这是一个非常高的系统功能可靠性。然而，系统需要维修的概率又是多少？即：某些东西已经故障了吗？或 P（A或B故障）=P（A）+P（B）=510-5+110-4=1.510-4,增加冗余显著地增加了系统功能的可靠性，但也增加了复杂性和某些故障的概率，进而导

8、致较高的维修成本。没有免费的误餐！6、2、2 布尔代数用布尔代数研究二分系统（如：开关的通断、阀门的开关、逻辑关系的是与否等）特别方便，所以我们将它用在故障树分析上。故障数可以看成是引起顶事件发生的各故障事件之间图示的布尔关系。实际上一个故障树总可以转化为完全等效的一组布尔方程。布尔代数对简化故障树，进而得到故障树最小割集很有益处。进行这些工作使用的主要布尔代数规则如下：,交换率：XY=YX，X+Y=Y+X；结合率：X（YZ）=（XY）Z，X+（Y+Z）=（X+Y）+Z；分配率：X（Y+Z）=XY+XZ，X+YZ=（X+Y）（X+Z）；幂等率：XX=X；X+X=X；吸收率：X（X+

9、Y）=X，X+XY=X；互补法：XX=，X+X=，（X）=X；摩根定理：（XY）=X+Y，（X+Y）=XY；使用和运算：X=，+X=X，X=X，+X=，=，=；其它：X+XY=X+Y，X（X+Y）=XY=（X+Y）。注：工程中：X是X的非，常用0代替，用1代替。,6、3 故障树做什么？FTA表明FMEA呈现的系统构架是否满足FHA为危险的或灾难性的事件确定的数字化标准。还记得我们说过必须将一个绝对的安全性水平设计到一个产品中吗？FTA就能告诉我们是否满足了那个水平；用最大允许概率验证组合故障的符合性；如果系统不满足最低安全性水平，则FTA能够表明系统的哪个地方存在不足和设计的哪个地方需

10、要采取纠正措施。,6、4 从哪取得信息？从哪开始做FTA？,6、5 思考过程和程序从顶事件开始向下工作。对每个不同的顶事件需要不同的树。每个分支的有序“路线图”有助于非专业人员弄懂故障树正走在何处；向下一直工作到每一分支底部的部件故障模式（来自 FMEA）；在评估概率之前，应详尽地审查和鉴定树的逻辑。一个逻辑错误可能导致顶事件概率偏离许多数量级；用布尔代数进行简化并计算顶事件概率；画出简化的树。,6、6 最小割集要用故障树的最小割集进行故障条件概率的计算。最小割集是部件故障的最小组合，如果这些部件故障都发生，将引起顶事件发生。每个故障树均有一个有限数量的最小割集。一个顶事件的一般布

11、尔表达式为：T=M1+M2+M3+Mk 其中：M1,M2,M3,Mk均是最小割集。一个由n个故障模式构成的最小割集M，其一般的布尔表达式为：M=X1 X2 X3 Xn 其中：X1,X2,等是故障树中的基本故障模式。,最小割集是一个减少成最简单组成成分的割集,即故障条件发生所需事件的最小割集。用最小割集筛选冗余计算。找出占支配地位的事件。在故障树中，最小割集就是导致部件故障的各故障模式的最小组合，其中的各个故障模式对于发生顶事件来说都是必不可少的，如果割集中的某故障事件没有发生，则顶事件不会因这个组合而发生。反之，如果这些部件故障都发生，就会引起顶事件发生。,如果最小割集是一个单故障

12、模式，则表示该单故障模式将引起顶事件的发生，这是单点故障；二故障模式最小割集表示这二个故障模式都发生才会引起顶事件发生；对于n 故障模式最小割集，要使顶事件发生则割集中所有n个故障模式都必须发生。在完成一个大的故障树后，应该运用布尔代数运算规则将按大故障树推导出的反映系统故障逻辑关系的复杂布尔代数式简化得到其最小割集表达式，然后再据其绘制出简化了的系统故障树。例如：,我们提倡在FTA中使用两种树，每种树都可提供有用的数据：基本（大）树最好用于理解分析流程、某事件与其它事件的逻辑关系，并且该树是完整的。经布尔等效后的最小割集（小）树用来表明现有的实际冗余，并用来发现哪些事件是顶

13、事件发生概率的主要驱使者。为节省和追求进度而只画一棵树，是一种不好的方法，应不嫌麻烦地采用画两棵树的方法。,6、7 必须考虑的其它输入引起“与”门实际起“或”门作用（由CCA发现）的外部单一事件（或内部“串联”故障）；潜在的人为错误：在要求由人来实施一些不太关键事情的地方，必须指出不起作用或起错误作用所能导致的严重或致命后果（FMEA信息）；最低设备清单：在某些东西已经损坏但系统仍可使用的地方，FTA可从假设这些项目已经故障的情况下开始，然后往下进行。,6、8 何时进行FTA？初级的树可在对设计构架有一些初级定义时（概念设计阶段）尽早进行；为了给需求的冗余提供指导，可在PSS

14、A中确定初步的故障概率。下面是一个两元件冗余系统：,6、9 怎样开始画故障树,如果没有单故障而仅有多故障，则你可以从某些事开始，如下所示：,现在考虑：如果使用监测装置来探测冗余的丧失，则初始树的布置可能是：,极端情况：必须小心处理监测器故障与受它监测的功能同时发生故障的情况。必须假设监测器首先故障。,不存在所有FTA都适合的构架安排；到目前为止，最困难部分是在向下得到实际硬件故障模式（底事件）之前正确地定义最初几级。一旦通过了该布置阶段，剩余的相对就容易些。在顶部产生的错误可导致非常另人误解的结果。回忆一下，FMEA中的“故障影响”可帮助发现任何引起危险事件的单故障，并有助于在一个

15、特殊分枝及其中间事件范围内帮助查找这种故障模式的位置。但是，在一个好的具有冗余的系统设计中，FMEA不会直接展现出可引发“坏”事的部件故障组合。,重申：对于单故障分析，FMEA有用，而且它不能替代 FTA。反之，FTA也不能替代FMEA提供的信息-他们互为补充。6、10 故障树数据证明在FTA中应给出采用各事件数据的理由。下面是一个汽车刹车系统故障树数据证明的举例（仅示出一小部分）：,而展示。,6、11 关于监测器的考虑覆盖因数不幸地是，在处理故障树中监控器时，有两个具代表性的诡秘假设：监控器为执行功能的项目提供了100%的故障探控；对监控器的确认或“擦净”功能可覆盖100%

16、的监控器。实际上监控器常常不能提供100%的覆盖；FTA应该能够解决有缺陷的监控器覆盖。例如：,考虑监测器故障的方法,我们通常只需考虑“监测器首先故障”的情况，其它情况从数字上来说意义不大。故障树的建造技术：为了避免忽略“监测器首先故障”概念，是否存在一种较好的建造故障树方法?下面是为同一个事件建造两种故障树的方法：,为什么我们选第一个（前）系统作为首次故障?因为前系统有一个较高故障率，所以它能导致较高的故障概率，这是保守的安全性考虑。为了建造一个好故障树，应该：不要匆忙向下到达硬件一级；沿路线图走-使它容易跟随；可以将每个门作为自己这一枝的一个顶事件进行审查。门下面每件事必须促成

17、（或直接导致）顶事件的发生。如果一个事件没有促成顶事件，则它就不属于这一枝。对一个确定的顶事件，有下面两种故障树：,用直觉的方法建立的故障树：,用正确而完整的方法建立的故障树：,树的建造至关重要!顶部几级树建立的较差，将导致非常另人误解的结果!可能产生“危险的系统是可接受的”这类明显的谬误。,6、12 要求的最低标准逻辑完整：没有忽略单故障，或没有不真实的冗余要求；必须与FMEA保持一致；没有“数字游戏”：没有为使顶事件概率令人满意而向后工作的问题；对不可接受的顶事件必须进行设计更改，要合理地使顶事件概率是可接受的；详细、周密；使用经过验证的故障率和曝露时间；用布尔代数简化；画出完

18、整的树和简化的树。,6、13 几个相关概念曝露时间：最后一次确认设备功能正常的时刻到随后设备经受风险结束时的时间间隔；或上一次确认设备功能正常到后一次确认设备功能正常之间的时间间隔。曝露时间以持续飞行时间计：飞行开始时检查设备，曝露时间是典型的平均持续飞行时间。曝露时间以运行日计：运行日的首次飞行开始时检查设备，曝露时间是典型运行日中各次飞行的时间之和。曝露时间以维修检查间隔计：在一次规定的维修间隔后检查设备，曝露时间是维修间隔时间。,某些项目的曝露时间可能仅仅是一次飞行的一部分。例如自动着陆系统，着陆阶段期间经常在“接通模式”进行检查，所以曝露时间是实施自动着陆的时间。对某些

19、自动着陆功能，可在到达100英尺地面高度前试验其功能，这就进一步将曝露时间限制到从100英尺到触地的时间。对于重大的潜在故障，“曝露时间”受维修措施的控制；它变成“不应超过”的时间，或“合格审定维修要求”的“候选者”。关于确定“曝露时间”的原则，参见ARP4761附件D；某喷气式公务机的典型平均持续飞行时间:,某运输类飞机的典型平均持续飞行时间:,故障探测方法：为了有效地验证一个功能、试验、或监测的适当工作，可要求多种故障探测方法。这些探测层级的每一层级可能有不同的曝露时间，因此必须对这些层级进行说明。下面是一些较为通用的探测方法：实时自检测；通电后自检测；飞行前自检测；计划的维修检测

20、；初始生产检测；返回使用检测。,潜在故障：发生时不会被探测到的故障：它们不会通过自身被发现；通常与正常工作不依靠的功能相伴：故障安全覆盖；监控；不正常条件的防护；能够在大于或小于飞行时间的任一时间间隔内持续存在。潜在故障的时间间隔可用各种策略进行管理：维修检查；监控循环时间；通电试验；或者不用管理：使用MTBF、飞机寿命等。,确定硬件的基本事件故障率：如可能，使用实际的外场数据；从在相似环境中运行并应用相似技术的相似系统中获得数据：其它工业界数据源：MILHDBK-217可靠性分析中心关于电子设备的可靠性预测；MILHDBK-338可靠性工程师手册；MILHDBK-978美国宇航局零件应用

21、手册；罗马实验室的可靠性工程师工具包；可靠性分析中心的非电子零件可靠性数据（NPRD）和故障模式/机理分布（FMD）。,对大于1的顶事件概率系数是否满足要求的判定,可从分析的方法着手。如果确信方法保守，可判定为符合要求；否则为不符合要求。MMEL和故障树之间的关系：MMEL决定系统可以带什么故障“走”，以及可以走多长时间。这就控制了带故障运行的曝露时间。MMEL必须与FTA中的假设匹配，或与更改的FTA假设匹配。无论是用正常系统运行还是用MMEL允许的故障系统运行，飞机都必须满足适航标准（如CCAR25）的要求。,如果是适航标准要求的系统，MMEL允许带故障运行的系统往往是有冗余的系统

22、，这样才能保证该系统剩余部分满足适航标准中的最低要求。不同的是故障前的系统故障树中的曝露时间应该比MMEL允许带故障运行的系统故障树中的曝露时间长。如果是CCAR运行标准要求的系统，MMEL允许带故障的运行必须满足运行标准规定的条件。例如，丧失按IFR运行所需系统，则只可能允许在VFR条件下运行。,确定并控制潜在故障的维修间隔时间确定维修时间间隔是确保某潜在故障（在FMEA中发现的）和它的最大时间门限值（FTA使用的）受到控制。在飞机方面，我们现在将关键的维修时间间隔作为飞机型号合格审定的一部分，如果不做这项工作，就不允许飞机投入运行。假设有一个为汽车刹车系统建造的故障树，其

23、电路中的差压开关仅在7500英里（300运行小时）时才做检查：在顶事件的数字中，该电路的曝露时间是故障概率的一大促使因素。你是否在使用该汽车行驶7500英里后没有检查这个开关的适当功能?如果是，曝露时间可能变成与“汽车寿命”相同，这是不可接受的刹车故障曝露时间。,系统可靠性与硬件可靠性的比较：用从外场收集的硬件经验数据和系统设计知识，需要时你可由乘法法则得到系统功能可靠性。因为硬件可靠性来自于：经验数据；零件数量；环境因素（故障的主导机理）：冲击；振动；温度；应力；其它。,系统功能可靠性来自于：冗余的数量；冗余作用的逻辑性。硬件的可靠性；改进系统和硬件的可靠性：由下列方法改进硬件可

24、靠性：减少零件数量；改进实际的硬件；降低零件的额定值；减少环境因素的影响；减少负载。由下列方法改进系统可靠性：提供更有效的冗余；改进硬件；更改MMEL（在安全性限制范围内运行）。,置信度的概念某种意义上说，概率学和统计学处理正好相反的问题。在概率学中，通常给我们的是有关潜在母本的信息（例如，部件的可靠性、平均数、标准偏差等），并用这些信息计算某事物发生的可能性。另一方面，统计学则从发生的事件开始（例如，50次试验中的5次故障、312小时的样本平均数），并寻求用这些信息推论出潜在的总体信息。在概率学中，计算50次试验中发生5次或更多次故障的可能性是一个简单的作业。你需要知道的全部就是部件的可靠

25、性，并且你有唯一的解。,假设你已经观察到在50次试验中的5次故障，但却没有能够产生这些结果的唯一可靠性数值，这使人感觉该问题有无限个可能的解；某些情况只是比其它情况更“可能”。统计学关注的中心问题是：（a）以取自母本的样本为基础，推导出有关潜在母本的推论，并且（b）指出对我们得到的结论有多大的信心。这些想法可由下面的例子阐明：假设制造商担保其生产的某一部件具有600小时的平均寿命，为测试这个声明的真实性用100个部件进行寿命试验，并且最后一次故障之前它们已经累计试验了57000小时。从各次故障算得的标准偏差为100小时。从这个信息，我们能够推断出制造商的声明是错误的吗？（假设部件有一个正态故

26、障分布。）,人的第一个冲动是想知道什么是“平均数点估计值”，简单地说“平均数点估计值”就是所有故障号对应的小时数。这个运作给出一个57000/100=570小时的样本MTBF（平均无故障工作时间）。我们试探着从这得出结论：真实的MTBF的确小于600小时。然而，我们不能作出这个确定的声明，因为即使真实的MTBF有1000小时那样高，我们碰巧也能获得570或更小的样本数值。另一个极端是，即使真实的MTBF有300小时那样低，我们也能碰巧再次得到570或更高的样本数值。但是，这两件事将是非常不可能的，并且该事实也是我们必须遵循途径的线索。让我们暂时假设制造商的声明是有效的（即，真实MTBF事实上是

27、600小时）。在该假设下，观察到570小时或更低的MTBF的概率有多大？,在能够作这个计算之前，我们首先必须确定引起平均值（570小时）的那个分布。可以表明，样本平均数（）是自身带有一个平均数（）的正态分布，该平均数等于母本平均数（）（这就是我们说的MTBF），并且标准偏差（）等于母本标准偏差（）除以样本量（N）。进一步说，对于等于或大于30的样本量，可能非常近似于样本标准偏差（S）。用公式表示为：=MTBF=/S/=S/=100/=10,正态分布对于一个样本，假设=，则强调这个假设中的置信度,并且如果我们假设真实MTBF为600小时，样本平均数的分布如下：现在我们可以使用正态分布表来确定观察

28、到一个570小时或更小的样本MTBF的可能性。将570小时转换成标准单位，我们有：,K=（A-）/=（570-600）/10=-3 从正态分布表中我们发现获得3或更大标准偏差附近的平均数偏差值仅仅是0.0013。从这我们一定得到下面两个结论中的一个：（1）我们的假设无效（即，实际的MTBF小于600），或（2）我们已经观察到一个事件，其仅在大约1000次试验时发生一次。因为结论（1）看起来似乎更合理，所以大部分人会愿意说真实的MTBF小于600小时，并且在这个声明的置信度（信心的量值）较高。通常，我们将置信度量值协调到数字（10.0013）；于是，我们说我们对MTBF小于600小时的结论有99

29、.87%的自信（置信度）。,利用这个非常自然的思考方法，在对有90%置信度的MTBF，我们会做何类声明呢？回顾一下，=MTBF，我们将改写的密度函数，如下图所示：,再次参考正态分布表，我们发现有90%的时间正态随机变量的数值处于平均值1.65标准偏差范围内。因此，如果我们说MTBF大于我们的样本平均值-1.6510，我们知道我们将有95%的时间是正确的。另一极端情况下，如果我们说MTBF小于样本平均值+1.6510，我们再次会有95%的时间是正确的。按上述判断，我们说我们有90%的自信（置信度）认为真实MTBF位于570-16.5（=553）和570+16.5（=587）之间。在统计学中，间

30、隔（553，587）被称作置信区间，并且端点被称作置信界限。我们找到这些界限的概率被称作置信水平。利用这些术语，我们可以说“在90%置信水平，真实MTBF位于553和587之间”，或者说“在98.87%置信水平，我们已经拒绝MTBF是600小时的假设”。,数字553被称作“单侧下95%置信界限”，而587被称作“单侧上95%置信界限”。相同的理由，可以用上述内容计算其它置信水平的置信界限。通常，从一个正态分布抽取样本时，我们有：99%的自信（置信度）说：真实MTBF位于2.57S/;95%的自信（置信度）说：真实MTBF位于1.96S/;90%的自信（置信度）说：真实MTBF位于1.65S/;

31、80%的自信（置信度）说：真实MTBF位于1.28S/。这里：=样本的MTBF；S=样本的标准偏差；N=样本量（其大于30）。,分析中使用的样本量越大，则其置信水平越高。用数据表示的置信度是以故障经验为基础的，并且故障越多，意味着分析的置信度越高。另一方面来看,高的可靠性意味着故障少和分析的置信度低。下面是置信度与故障率之间的关系曲线。从该曲线看到，它与我们的直觉是一致的，即样本量越大，越接近我们的样本平均数，也就是越接近母本平均值。该图还说明，在有关真实MTBF的结论中，我们希望的的置信度越大，置信间隔宽。,切记，在证明任何零件的安全性的过程中,不要轻信故障率(）（即1/MTBF）能够低到“故障决不会发生”的程度。,

展开阅读全文