故障模式、效应及危害性分析 故障树分析 信息产业部电子五所

内容介绍 1 概述 FMECA同FTA的的概念、相互区别及应用 2 FMECA的一般方法 FMECA分析方法 FMECA分析实例 FT的建立和简化、 FT的定量分析、定性分析

概述 FMEA、FMECA 失效模式、影响与危害分析（FMECA），或失效模式与效应分析（FMEA），是一种可靠性分析技术，在工程设计（可以是整个的也可以是局部的）完成后供检查和分析设计图纸（就电子设备来说，是对电路的设计图纸）用。 这种分析方法能对被研究对象具体指明单元可能发生的失效模式（例如，对电路来说，是发生开路失效或短路失效，饱和阻塞，还是参数漂移等）、产生的效应和后果，因而有助于获得供改进可靠性用的具体工程方案。

失效模式、效应与危害度分析又是维修性设计特别是故障安全设计的基础，也是PLP(产品责任预防)分析的代表性方法。 FMECA是在FMEA基础上扩展出来的，它是FMA(故障模式分析)、FEA（失效影响分析）、FCA(失效后果分析)三种方法的总称。它使定性分析的FMEA增加了定量分析的特点。 失效模式、效应与危害度分析又是维修性设计特别是故障安全设计的基础，也是PLP(产品责任预防)分析的代表性方法。 70年代末期，美国发生的几起重大事故均与未周密地进行失效模式、效应与危害度分析有关 。例如： 概述

概述 NASA卫星系统，在发射情况下，由于对旋转天线汇流环进行失效模式、效应与危害分析时只考虑开路失效模式，忽略了短路失效效应，结果因天线汇流环发生短路而使发射失效，损失了九千至一亿五千万美元。 美国DC-10商用飞机，在变更发动机维修方法时，因未进行失效模式、效应与危害度分析，终于在芝加哥上空坠毁。1979年3月28日，美国的三里岛2号反应堆发生的举世瞩目的重大安全事故，也是因未对控保系统中增压安全阀及其监示电路的失效模式进行详细分析的结果。

概述 失效树分析 失效树分析法（Fault Tree Analysis）简称FTA。1961年美国贝尔实验室沃森（Watson）等人在民兵导弹发射控制系统中开始应用，其后波音公司对FTA作了修改使其能用计算机进行处理，推动了FTA技术的迅速发展。FTA现已成为分析各种复杂系统可靠性的重要方法之一。

概述 失效树分析，是把系统不希望发生的失效状态作为失效分析的目标，这一目标在失效树分析中定义为“ 顶事件”。在分析中要求寻找出导致这一失效发生的所有可能的直接原因，这些原因在失效树分析中称之为“ 中间事件”。再跟踪追迹找出导致每一个中间事件发生的所有可能的原因，顺序渐进，直至追踪到对被分析对象来说是一种基本原因为止。这种基本原因，失效树分析中定义为“ 底事件”。

概述 失效树建造是失效树分析的关键 失效树建造是失效树分析的关键，也是工作量最大的部分。由于建树工作量大，因而这种方法在新的复杂系统上使用受到局限。例如，美国原子能委员会发表的WASH-1400核电站风险评价分析报告指出，为了建造失效树，60名专家用了将近三年时间，消耗了大量资金

概述 FMECA同FTA的相互区别

概述 应用注意事项 FMECA、FTA都是可靠性分析方法，但是并非万能。FMECA、FTA不能代替全部可靠性分析。这两种方法不仅要相辅相成地应用，还要重视与其它分析方法、管理方法及数据的结合。尤其，FMECA、FTA都是重视功能型的静态分析方法，在考虑时间序列与外部因素等共同原因方面，即动态分析方面并不完善。

故障模式、效应与危害度分析(FMECA) 的一般方法

通过失效模式、效应及危害度分析可以做到 鉴别出被分析单元会导致的不可接受或非常严重的失效，确定可能会对预期或所需运行情况造成致命影响的失效模式，并列出由此而引起的从属失效； 决定需另选的元器件、零部件和整件； 保证能识别各种检测手段引起的失效模式； 选择预防或正确维护要点，制定故障检修指南，配置测试设备以及为测试点提供资料。 确定单元及子系统失效模式的危害度 FMECA的一般方法

故障模式、效应及危害度分析的基本程序 定义系统及其各种功能要求和相应的失效判据； 制订功能、可靠性等框图，并作扼要的文字说明； 确定在哪一功能级上进行分析，并根据实际情况确定采用的分析方法； 确定失效模式及其发生的原因和效应，以及由此引起的各种继发事件； 确定失效检测方法和可能采取的预防性措施； 针对后果特别严重的失效，进一步考虑修改设计的步骤； 计算相对故障概率及其故障危害等级； 根据失效模式、效应及危害度分析结果提出相应的改进建议 FMECA的一般方法

严酷度分类 为了度量产品故障造成的最坏的潜在影响，应对 每一潜在的故障模式进行严酷度分类，严酷度一般分 为四级： 为了度量产品故障造成的最坏的潜在影响，应对 每一潜在的故障模式进行严酷度分类，严酷度一般分 为四级： Ⅰ类（灾难的）——这种故障会引起人员死亡或系统 （如飞机、导弹）毁坏。 Ⅱ类（致命的）——这种故障会引起人员严重伤害、重大的经济损失或导致任务失败。 Ⅲ类（临界的）——这种故障会引起人员的轻度伤害，一定的经济损失或导致任务延误或降级。 Ⅳ类（轻度的）——这种故障不会造成人员的轻度伤害及一定程度的经济损失，但它会导致非计划维修。

FMECA的一般方法 雷达系统的FMECA分析 第一步、 绘制分级功能框图。这种框图既不是工作原理框图，也不是可靠性框图，而是将系统内部分为子系统、分机、功能单元和元器件等若干功能等级的框图。 它不但表明了构成系统的各个子系统、分机、功能组件和元器件在功能上的相互依赖关系，而且便于看出失效模式、效应及危害度分析应在哪一级上进行。 例 绘制雷达系统功能等级框图（图2.4），图中的分析对象是接收机内的前置放大器，故其它子系统的分机和接收机内其它功能单元及其元器件均被略去了

FMECA的一般方法 图2.4 某系统的功能等级框图 雷n

确定被分析单元的（前置放大器内每一个元器件）失效模式频数比，即某一种失效模式出现的次数与单元出现的全部故障次数之比。α FMECA的一般方法 第二步 确定被分析单元的（前置放大器内每一个元器件）失效模式频数比，即某一种失效模式出现的次数与单元出现的全部故障次数之比。α 可依据GJB299给出的典型电子设备用元器件的失效模式及其频数比，这个比值应根据具体元器件和使用人员的实际经验加以修正，也可以统计获得。

GJB299给出的失效模式分布

第三步 对分级功能图中的每一个方框图自下而上逐级进行失效模式、效应及危害度分析，指出被分析方框对较高一级的隶属等级产生的效应。 FMECA的一般方法 第三步 对分级功能图中的每一个方框图自下而上逐级进行失效模式、效应及危害度分析，指出被分析方框对较高一级的隶属等级产生的效应。 定性估计每个元器件内每种失效模式引起的前置放大器的故障概率βij，当无法得到这种确切数据时，可适当地统一划分失效概率的等级，例如可采用以下等级：肯定上一级单元发生失效的等级为1.00，可能引起失效的等级为0.50；可能性较小的等效为0.10，不可能引起失效的等级为0.00。

FMECA的一般方法 第四步 根据元器件在前置放大器内承受的电应力和热应力，确定各种元器件的使用失效率（表中的使用失效率系国外60年代的水平，目前可见GJB299B可靠性预计手册查得(可参见预计讲义的P15表9）； λ＝λb.πE

第五步 计算每个元器件的每种失效模式的危害度Crij FMECA的一般方法 第五步 计算每个元器件的每种失效模式的危害度Crij αij为单元i以失效模式j发生失效的频数比； βij为单元i以失效模式j发生失效时引起上一级发生失效的概率。 λi为单元i的失效率。t为任务时间

第六步 填写前置放大器所有元器件的失效模式、效应及危害度分析一览表 FMECA的一般方法 第六步 填写前置放大器所有元器件的失效模式、效应及危害度分析一览表

FMECA的一般方法 第七步 计算前置放大器的危害度：

第八步 建立危害度（性）矩阵 危害性矩阵用来确定和比较每一故障模式的危害程度，进而为确定改进措施的先后次序提供依据。 第八步 建立危害度（性）矩阵 危害性矩阵用来确定和比较每一故障模式的危害程度，进而为确定改进措施的先后次序提供依据。 矩阵的横坐标用故障模式的严酷度表示。在进行定性分析时，纵坐标表示发生故障模式发生的概率等级（对上一级的影响）；在进行定量分析时，纵坐标表示产品或故障模式的危害度。 如下图所示，从元点开始，所记录的故障模式分布点沿着对角线方向距离原点越远，其危害性越大，越需尽快采取措施改进。

危害度矩阵图

前置放大器元器件各故障模式的危害度矩阵

举 例

FMECA的标准方法及实例 本部分用实例介绍了GJB 1391-92《故障模式、影响及危害性分析程序》的工作项目101和工作项目102的表格和操作方法。

FMEA 表格

1) 第一栏（代码）：为了使每一故障模式及其与相应的方框图内标志的系统功能关系一目了然，在FMEA表的第一栏填写被分析产品的代码。 栏目说明 1 1) 第一栏（代码）：为了使每一故障模式及其与相应的方框图内标志的系统功能关系一目了然，在FMEA表的第一栏填写被分析产品的代码。 2) 第二栏（产品或功能标志）：在分析表中记入被分析产品或系统功能的名称。原理同中的符号或设计图纸的编号可作为产品或功能的标志。 3) 第三栏（功能）：简要填写产品所需完成的功能，包括零部件的功能及其与接口设备的相互关系。

栏目说明 2 4) 第四栏（故障模式）：分析人员应确定并说明各产品约定层次中所有可预测的故障模式，并通过分析相应方框图中给定的功能输出来确定潜在的故障模式、应根据系统定义中的功能描述及故障判据中规定的要求，假设出各产品功能的故障模式。为了确保进行全面的分析，至少应就下述典型的故障状态对每一故障模式和输出功能进行分忻研究；

g. 在系统特性及工作要求或限制条件方面的其它故障状态。 栏目说明 3 a. 提前运行； b．在规定的应工作的时刻不工作； c. 间断地工作； d. 在规定的不应工作时刻工作； e. 工作中输出消失或故障； f. 输出或工作能力下降； g. 在系统特性及工作要求或限制条件方面的其它故障状态。

栏目说明 4 5) 第五栏（故障原因）；确定并说明与假设的故障模式有关的各种原因，包括直接导致故障或引起使品质降低进一步发展为故障的那些物理或化学过程、设计缺陷、零件使用不当或其它过程。还应考虑相邻约定层次的故障原因。例如，在进行第二层次的分析时，应考虑第三层次的故障原因。 6) 第六栏（任务阶段与工作方式）：简要说明发生故障的任务阶段与工作方式。当任务阶段可以进一步划分为分阶段时，则应记录更详细的时间，作为故障发生的假设时间。

栏目说明 5 7) 第七栏（故障影响）；故障影响系指每个假设的故障模式对产品使用、功能或状态所导致的后果。应评价这些后果并将其记入分析表中。除被分析的产品层次外，所分析的故障还可能影响到几个约定层次。因此，应该评价每一故障模式对局部的、高一层次的和最终的影响。同时还应考虑任务目标、维修要求、人员及系统的安全。

a. 局部影响系指所假设的故障模式对当前所分析约定层次产品的使用、功能或状态的影响、确定局部影响的目的在于为评价补偿措施及提出改进措施建议提供依据。局部影响有可能就是所分析的故障模式本身。 b. 高一层次影响系指所假设的故障模式对当前所分析约定层次高一层次产品使用、功能或状态的影响。 c. 最终影响系指所假设的故障模式对最高约定层次产品的使用、功能或状态的总的影响。最终影响可能是双重故障导致的后果。例如，只有在由一个安全装置所控制的主要功能超出了极限值，而且该安全装置也发生了故障的情况下，该安全装置的故障才会造成灾难的最终影响。这些由欢重故障造成的最终影响应该记入FMEA表格中。

栏目说明 6 8) 第八栏（故障检测方法）：操作人员或维修人员用以检测故障模式发生的方法应记入分析表中。故障检测方法应指明是目视检查或者音响报警装置、自动传感装置、传感仪器或其他独特的显示手段，还是无任何检测方法。 9) 第九栏（补偿措施）；分析人员应指出并评价那些能够用来消除或减轻故障影响的补偿措施。它们可以是设计上的补偿措施，也可以是操作人员的应急补救措施。

设计补偿措施包括： a. 在发生故障的情况下能继续安全工作的冗余设备； b. 比安全或保险装置，如能有效工作或控制系统不致发生损坏的监控及报警装置； c. 可替换的工作方式，如备用或辅助设备。 应说明为消除或减轻故障影响而需操作人员采取的补救措施。为此，也许有必要对接口设备进行分析，以确定操作人员应采取的最恰当的补救措施。此外，还要考虑操作人员按照异常指示采取的不正确动作而可能造成的后果，并记录其影响。

栏目说明 7 10) 第十栏（严酷度类别）；根据故障影响确定每一故障模式及产品的严酷度类别： 栏目说明 7 10) 第十栏（严酷度类别）；根据故障影响确定每一故障模式及产品的严酷度类别： 11) 第十一栏（备注）。这一栏上要记录与其它栏有关的注释及说明，如对改进设计的建议、异常状态的说明及冗余设备的故障影响等。

3 FTA的方法基础

FTA的方法基础 FTA分析中的标准符号

FTA分析中的标准符号

FTA分析中的标准符号

布尔代数运算法则 幂 等 律 X+X=X X.X=X 加法交换律 X+Y=Y+X 乘法交换律 X.Y=Y.X 加法吸收律 X+(X.Y)=X FTA的方法基础 布尔代数运算法则 幂 等 律 X+X=X X.X=X 加法交换律 X+Y=Y+X 乘法交换律 X.Y=Y.X 加法吸收律 X+(X.Y)=X 乘法吸收律 X.(X+Y)=X 加法结合律 X+(Y+Z)=(X+Y)+Z 乘法结合律 X.(Y.Z)=(X.Y).Z 加法分配律 X.Y+X.Z=X.(Y+Z) 用 + 表示 OR 用 · 表示 AND

布尔代数运算法则 乘法分配律 (X+Y).(X+Z)=X+(Y.Z) 常数运算定理 X+0=X;X+I=I; X.0=0; X.I=X FTA的方法基础 布尔代数运算法则 乘法分配律 (X+Y).(X+Z)=X+(Y.Z) 常数运算定理 X+0=X;X+I=I; X.0=0; X.I=X 德.摩根定理 用 + 表示 OR 用 · 表示 AND

FTA的方法基础 可靠性框图与FTA－－串联模型 可靠度: R=R1.R2 不可靠度: F=F1+F2-F1F2

FTA的方法基础 可靠性框图与FTA－－并联模型 可靠度 R=R1+R2-R1.R2 不可靠度 F= F1F2

最小路集和最小割集 最小路集定义：可靠性框图中表示功能流的实线从输入端致输出端所经过的单元的最小集合。 FTA的方法基础 最小路集和最小割集 最小路集定义：可靠性框图中表示功能流的实线从输入端致输出端所经过的单元的最小集合。 只要各单元皆无故障，则系统可靠。（串联） 最小割集定义：从垂直于可靠性框图中连接实线的方向将系统单元的功能切断（使之处于故障状态）时引起系统故障的被切单元的最小集合。

路集：(B,B)=B; (B,C) 所以，最小路集为（B） 割集：(B,C) ,(B) 所以，最小割集为(B) 由图可得： 路集：(B,B)=B; (B,C) 所以，最小路集为（B） 割集：(B,C) ,(B) 所以，最小割集为(B) FTA的方法基础

4 故障树因果分析法 （1） 故障树的建造 （2）故障树的划简 （3） 定性分析； （4） 定量计算； （5） 改进措施。

失效树建造 失效树建造是失效树分析的关键，也是工作量最大的部分。由于建树工作量大，因而这种方法在新的复杂系统上使用受到局限。例如，美国原子能委员会发表的WASH-1400核电站风险评价分析报告指出，为了建造失效树，60名专家用了将近三年时间，消耗了大量资金。然而，对于某种性能渐变失效分析来说，失效树分析是易于实现的，且比其它方法更加有效。

长期生物实验室的地下室照明系统 建树之前首先要熟悉对象，确定顶事件，用统一的标准符号表示树结构，对各事件进行编码。

通过分析，确定顶事件为： 室内黑暗

故障树的简化 为了进行定量计算和处理共因事件，需对已建好的故障树进行简化 化简可依据上级事件发生的必要条件进行，也可用布尔代数运算进行。

全为AND门时 运算： Z=A.E1=A.B.E2=A.B.C.D

全为OR门 运算： Z=A＋E1=A＋B＋E2=A＋B＋C＋D

有共因事件时的简化 运算中应用了加法吸收率 Z=A+E=A+(A.B)=A 运算中应用了乘法吸收率 Z=A.E=A.(A+B)=A

有共因事件时的简化（2） Z=E1+E2=(A.B)+(A.C) =A.(B+C) Z=E1.E2=(A+B).(A+C)=A+(B.C)

用最小割集计算顶事件发生概率 当故障树中，最小割集中无相同的底事件（称为各最小割集不相交），或底事件数量少时，上述方法计算是可行的，也是可以理解的。当故障树复杂或最小割集中有相同底事件且其概率不可忽略时，计算比较复杂且易出错。此时用最小割集进行计算比较合适。 方法是在求出最小割集的基础上，把故障树顶事件表示为最小割集中底事件积之合的布尔表达式。计算的条件是底事件是相互独立的并且已知其发生的概率。若相当多的底事件不能估计或给出其概率时，则不宜进行定量分析。只可进行定性分析。

近似计算 利用容斥定理可得上下限平均近似计算式是（证明略） 近似计算 利用容斥定理可得上下限平均近似计算式是（证明略） 式中： S1——是首项近似算式 r――是最小割集数 kj――是第j个最小割集的集合 Xi ――第j个最小割集中第i个底事件， n―――第j个最小割集中底事件的个数 S2―――近似计算的第二项

计算示例： 设一故障树的最小割集是 : 则： 设底事件X1,X2,X3,X4,X5的概率为q1=q2=q3=q4=0.01

所以：

精确计算： 最小割集之间完全不相交时: 最小割集之间相交时:

定量分析―――结构重要度 工程实践表明，从可靠性、安全性角度看，系统中各部件并不是同等重要的，因此，引入重要度的概念用以标明某个部件对顶事件发生的影响大小是很必要的。重要度是故障树分析中的一个重要概念，对改进系统设计，制订维修策略是十分有利的。对于不同的对象和要求，应采用不同的重要度。 某最小割集元素的结构重要度表示对应基本事件的元素，其正常状态与故障状态相比，在系统所有可能的状态数中正常状态数增加比例。

结构重要度计算示例

结构重要度计算用真值表

结构重要度计算结果 同样可算得： 元素2的结构重要度为：

概率重要度 定义为某元素从1（故障）状态变为0（正常）状态时，系统的不可靠度改善了多少？ 因此，事先必须知到所有元素的可靠度。

概率重要度计算示例 设各元素的可靠度 R1=R2=R3=0.9 元素1故障时，F1＝1,则F系统＝1 F系统＝F2.F3=0.01 所以，F1的概率重要度为△F1=1-0.01=0.99

谢 谢 2001年2月7日