在之前關于民用飛機和系統安全性的文章中，我們介紹了系統安全性評估過程三部曲：FHA、PSSA 和 SSA，也提到了 FTA、FMEA 和 CCA 等安全性分析方法。

今天，我們結合 SAE ARP4761，對 FTA（Fault Tree Analysis，故障樹分析）這樣一種演繹的安全性分析方法， 進行詳細介紹。

注：與 FTA 類似的分析方法還包括 關聯圖分析（Dependence Diagrams, DD）和 馬爾可夫分析（Markov Analysis, MA）。但目前主流的飛機制造商和供應商，大多采用 FTA，因此這裡不再讨論關聯圖或馬爾可夫分析。

02 “故障樹” 與 “故障樹分析”

A. 故障樹 Fault Tree

故障樹：是一種倒立的、樹狀邏輯、因果關系圖，它用各種事件符号、邏輯門和轉移符号來描述系統中各種事件之間的因果關系。邏輯門的輸入事件是輸出事件的 “因”，邏輯門的輸出事件是輸入事件的 “果”。

B. 故障樹分析 Fault Tree Analysis

故障樹分析：是一種對 “不期望發生的事件” 進行的自上而下的分析技術，通過對可能造成飛機或系統故障的系統、硬件、軟件、環境、人為因素等進行分析，從而确定故障原因的各種組合和發生概率。

典型的故障樹示例如下：

03 FTA 目的和用途

A. FTA 目的

FTA 是一種常用的安全性分析方法。它通過演繹的故障分析方法，研究系統特定的 “不希望發生的事件”（即頂事件）。

FTA 是一種系統化的評估流程，自上而下嚴格按照故障的層次，進行因果邏輯分析。逐層找出故障事件的直接原因，畫出邏輯關系圖（樹狀模型），最終找出導緻頂事件發生的所有原因和原因組合（即識别導緻頂事件發生的所有故障模式）。

通過 FTA 的分析結果，可以确定被分析系統的薄弱環節、關鍵部位、應采取的措施等。

此外，FTA 還可以确定與該頂事件相關的各種隐蔽故障，揭示系統内部的聯系，指導故障檢測和維修計劃的制定，确定系統監控的設計等。

B. FTA 用途

FTA的具體用途如下：

• 便于工程技術人員和型号審查方進行評估和評審；

• 用于評估設計更改對安全性的影響；

• 定量計算頂事件的發生概率；

• 分配下層事件的概率指标；

• 針對研制差錯，提供了一種定性和定量的混合評估方式；

• 評估單個失效或組合失效的影響；

• 評估暴露時間、隐蔽故障檢查間隔及對系統的影響；

• 評估共因故障的影響；

• 評估失效-安全的設計特征。

C. FTA 注意事項

通常 FHA 識别的失效狀态都應得到合适的處理。對于所有災難級和危險級失效狀态，應開展定量 FTA；對于較大的失效狀态，若有必要也可進行FTA。

在進行 FTA 時，應建立全機通用的命名規則，用于标記故障樹中的所有基本事件。根據命名規則為故障樹基本事件分配名稱，并在各個設計團隊間通用。這對于識别多次出現的事件、增加故障樹可讀性、便于系統間交叉引用是很有必要的。該方法可确保多次出現的事件能夠正确地在故障樹和割集中體現出來。

當為 PSSA 或 SSA 進行 FTA 時，維修任務相關的故障檢測方法和允許的時間間隔，建議與飛機級規定的維修任務和時間間隔相匹配。

FTA 不隻是定量的，也可以是定性的。

04 FTA 輸入輸出及工作安排

A. 輸入輸出

在飛機和系統設計過程中，FTA 主要用于安全性評估。在飛機初步設計和詳細設計階段，FTA 作為 PSSA 過程的一部分，對安全性需求進行分解；在全面試制和試飛取證階段，FTA 作為 SSA 過程的一部分，對安全性需求進行驗證。

FTA 的輸入數據包括系統 FHA 和建立故障樹所必須的技術資料。這些技術資料包括系統方案設計、架構原理、運行程序、維修程序、設備失效數據等相關資料。

FTA 的輸出數據包括 FTA 報告、FTA 發現的系統薄弱環節等。FTA 結果也可反過來驅動系統設計。

B. 工作安排

典型的 FTA 工作安排，如下圖所示。

1. 在 FHA 定義階段，執行初始 FTA，在系統頂層确定導緻 FHA 中 FC 的失效組合，并分配初步的失效概率；

2. 進入初步設計階段後，系統架構漸漸清晰，需求确認逐步深入，FTA 需完成第一次叠代，以支持系統架構的權衡和選擇，并分配下一層級安全性需求；

3. 進入詳細設計階段後，軟硬件設計需求逐步确定，此時可結合相似硬件的 FMEA/FMES 等經驗數據，為故障樹底事件分配預計的失效率。并計算預計的頂事件失效率是否可滿足 FHA 要求。此版本的故障樹用于支持 “設計凍結”；

4. 進入全面試制階段後，試驗過程中暴露的問題，将導緻設計更改不可避免，此時需要對故障樹進行修正；

5. 進入試飛取證階段後，需要綜合考慮試飛過程中的問題，建立最終的故障樹。此時的故障樹作為 SSA 的一部分，用于支持合格審定工作。

注：值得注意的是，FMEA/FMES 作為一種評估系統、産品、功能或零件的故障模式及對上一層次影響的系統方法，其結果可以為 FTA 提供支持。例如 SSA 中故障樹的底事件信息就采用了 FMEA/FMES 的結果。

05 FTA 邏輯門和事件符

故障樹作為圖形化的樹狀結構，一般由邏輯門和事件符組成。邏輯門用來連接故障樹各分支，它的輸入輸出均是事件。

注：故障樹構建可采用多種軟件，常見的有 CAFTA、RAM Commander 等。不同的 FTA 軟件，其邏輯門或事件符的樣式可能不同，本文列出的樣式僅供參考。

A. FTA 邏輯門

故障樹分析中，常見的邏輯門定義如下，其中 “與門” 和 “或門” 的使用最為普遍。

• 與門：與門表示僅當所有輸入事件（故障）全部發生，輸出事件（故障）才會發生。

• 或門：或門表示隻要有一個輸入事件發生，輸出事件就會發生。

• 表決門（ N 中取 K 門）：表決門表示當 N 個輸入事件中有 K 個或 K 個以上的事件發生，輸出事件才會發生。

• 非門：非門表示輸出事件是輸入事件的對立事件。

• 異或門：異或門表示當且僅當一個輸入事件發生時，輸出事件才會發生。

• 順序與門：順序與門表示僅當輸入事件按規定的順序發生時，輸出事件才發生。

B. FTA 事件符

故障樹分析中，常用到的事件符定義如下：

• 事件：在故障樹分析中各種故障狀态或不正常情況稱故障事件，各種完好狀态或正常情況稱正常事件。兩者均可簡稱為事件，一般采用長方形表示。

• 頂事件：頂事件是故障樹分析中所關心的最後結果事件。它位于故障樹的頂端，是故障樹中邏輯門的最終輸出事件。

• 中間事件：中間事件是位于底事件和頂事件之間的結果事件。它既是某個邏輯門的輸出事件，同時又是别的邏輯門的輸入事件。

• 底事件：底事件是故障樹中僅導緻其它事件發生的原因事件，它位于故障樹的底端，是某個邏輯門的輸入事件而不是輸出事件。基本事件和未探明事件統稱底事件。一般采用圓形表示。

• 外部事件：又叫 “房形事件”、“開關事件”，是待分析的外部事件，它必然發生或者必然不發生。一般采用房形表示。

• 非展開事件：因為其結果對頂事件影響很小，或者難以獲得進一步展開所必須的細節，而不需要深入分析的事件。一般采用菱形表示。

• 轉移事件：在故障樹分析中，為了避免畫圖重複，使圖形簡明易讀，一般采用轉移事件，轉到相應的子樹去。一般采用三角形表示。

06 FTA 實施過程

A. 定義 FTA 目标

故障樹是作為 PSSA 的一部分，用于分解安全性需求？還是作為 SSA 的一部分，用于驗證安全性需求？故障樹是用于定性評估？定量評估？還是二者兼有？

确定 FTA 的目标，有助于分析人員确定工作範圍。

在 PSSA 過程中，故障樹可用于分配定量概率需求。在具體開展 FTA 時，我們一般會基于工程經驗，使用 “預計” 的失效率，“預計值” 通常會比故障樹數學分配的失效率要求更高。此外，FTA 通過檢查失效-安全的定性目标，還可用于指導系統架構設計。

在 SSA 過程中，故障樹需采用真實的失效率數據（通常來自 FMEA/FMES），自下而上檢查安全性需求的符合性。

B. 定義 FTA 的分析深度

FTA 需要深入到系統的什麼層級？是否需要将系統細分為多個層次，以支持多層級 FTA？

确定 FTA 的分析深度，有助于分析人員确定工作範圍。

在飛機、系統、組件等不同層級開展 FTA，其工作邊界和工作内容是不同的。

C. 定義 “不希望發生的事件”

開展 FTA 時，應編制 “不希望發生的事件” 清單，即 “頂事件” 列表。頂事件可直接指向 FHA 中的 FC，也可能指向其他故障樹中的事件（如果故障樹細分為多個層級）。

不同層級的 FTA，其頂事件來源不同，具體如下圖所示。

D. 分析導緻頂事件的失效和失效組合

分析人員應搜集完整的系統設計數據，包括本系統和交聯系統的架構方案、系統描述等，并對這些數據進行全面分析，以确定可能引發頂事件的失效事件及其組合。

分析過程應針對難以進行分析的情況、需簡化處理的情況，進行合理的假設，在不影響分析結果的基礎上，簡化分析過程或使分析過程能夠順利進行。

E. 構建故障樹

應采用清晰的、準确的頂事件描述方式，明确頂事件故障率要求。

應采用直接的、充分的、最少的中間事件，逐級展開故障樹的上層和中層，并使用相應的邏輯門将事件連接起來。

向下展開每一個中間事件，直至故障根源或無需進一步展開為止。

分配預計的概率指标，評估是否可以滿足安全性要求（PSSA 過程）。或者采用真實失效率，驗證安全性需求已得到滿足（SSA 過程）。

舉例如下：當一個事件可由單個失效或組合失效事件導緻，則構建故障樹如左圖；當一個事件隻由組合失效事件導緻，則構建故障樹如右圖。

進一步舉例，說明隐蔽故障和發生順序相關的故障樹應用：假設組件 1 失效為隐蔽故障（檢查周期 T1），組件 1 必須在組件 2 之前失效才能導緻頂事件。可構建故障樹如下圖。

F. 分析并總結 FTA 結果

完成故障樹構建之後，可針對 FTA 結果開展定性分析和定量分析。

F1. 故障樹定性分析

故障樹的最小割集代表了引起頂事件發生的一種失效模式，它可用于定性評價失效事件的重要程度，并用于共因分析。

這裡引入割集（Cut Sets）和最小割集的定義：

割集：指單個故障樹的若幹底事件的集合，這些底事件都發生将導緻頂事件發生。

最小割集：指底事件的數目不能再減少的割集，即在該最小割集中任意去掉一個底事件之後，剩下的底事件集合就不是割集。最小割集中的事件之間應保證獨立性。

如今在故障樹軟件的支持下，我們一般不需要經過人工邏輯運算，就能導出最小割集。但分析人員仍需驗證所有 “與門” 事件的獨立性，這是共因分析的重要内容。

此外作為 PSSA 過程的一部分，故障樹最小割集，還可用于 ARP4754A 所定義的功能和項目研制保證等級（FDAL / IDAL）的分配。

F2. 故障樹定量分析

确定故障樹最小割集後，需确定所有底事件的失效率、暴露時間或隐蔽故障檢查間隔、順序因子，最後執行故障樹數值計算。

如果頂事件計算結果不能滿足指标要求，則需采取設計更改、降低評估保守性等措施。

在完成故障樹定性分析和定量分析之後，應編寫故障樹分析報告。

07 FTA 總結

本文針對故障樹分析（FTA），結合 ARP4761 進行了簡要介紹，使大家對 FTA 的理念、目的、方法等有所認識。

錯誤之處，還請指正。

相關文章，點擊閱讀：

1. 民用飛機和系統安全性評估 初探與入門！

2. 如何開展飛機和系統級 "功能危險性評估"（FHA）？

3. 如何開展飛機系統級 "初步系統安全性評估"（PSSA）？

4. 如何開展民用飛機 "系統安全性評估"（SSA）？

5. SAE ARP4761 初探與入門！

,

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!

查看全部