唐天尧
航空发动机系统的安全性,不仅直接影响发动机的安全运行,而且还可能影响其他系统的可靠运行,甚至发生飞行事故。因此,航空发动机安全性研究意义重大。故障树分析是通过对可能造成故障的环节进行分析,画出相應的故障树进行研究,通过故障树对故障现象进行定性分析和定量分析,从而确定故障原因的各种可能组合方式及其发生概率。
FTA的基本要求分析
运用FTA方法对航空发动机进行安全性分析时,在树建成后尽可能请有关设计、运行、检修等方面有经验的技术人员进行审查、找出故障树中的错误、矛盾和遗漏之处,对故障树作全面修改。其具体要求如下:
a. 为保证分析工作的及时性,应在设计阶段早期开始分析工作,并随设计的深入逐步细化并应作合理的简化。
b. 应该首先开展FHA工作,针对其中发现的系统重要及危害性故障后果进行FTA;
c. 贯彻“谁设计、谁分析”的原则,必须由经验丰富的设计、使用和维修人员进行FTA;
d. 必须考虑软件、人为因素及环境对系统的影响;软件的影响可以归结为指令故障进行分析;当系统处于多个环境剖面下工作时,应分别进行分析;
e. 若系统具有多个工作模式,各工作模式的顶事件应该单独分析;
f. 必须完成故障树的定性分析,根据需求确定是否需完成定量分析;
g. 必须进行薄弱环节分析,并提出可能的改进措施;
h. 对分析结果进行跟踪管理,以验证分析结果的正确性和改建措施的有效性。
FTA的一般流程
FTA在航空发动机安全性分析中的一般流程如图2.1所示,由分析前的准备工作、故障树的建造、故障树定性分析、故障树定量分析以及编写故障树分析报告五部分组成。
故障树分析前的准备工作
a. 熟悉资料
建树者必须熟悉发动机设计,包括设计图(如:原理图、流程图、结构图)、运行规程、维修规程和有关数据库以及其它有关资料。建树初期,资料往往不全,建树者必须补充收集某些资料或作必要假设来弥补这种欠缺,随着资料的逐步完善,故障树也会修改得更加符合实际情况。
b. 熟悉系统
建树者应透彻掌握系统的设计意图、结构、功能、边界(包括人机接口)和环境情况,应辨明人为因素和软件对系统的影响,并且还应辨识系统可能采取的各种状态模式以及它们和各单元状态的对应关系,辨识这些模式之间的相互转换,必要时应绘制系统状态模式及转换图以帮助弄清系统成功或故障与单元成功或故障之间的关系。
c. 确定分析目的及建树深度
建树者应根据系统的任务要求和对系统的了解确定分析目的及建树深度。同一个系统,因分析目的不同,系统模型化结果会大不相同,反映在故障树上也大不相同。
故障树的建造
完成上述准备工作后,即可从搜集的对象资料入手,遵循建造故障树的基本要求和一般步骤建造出所需要的故障树。
故障树定性分析
对故障树进行规范化处理,使其只包含基本事件、结果事件以及“与”、“或”两种逻辑门;对规范化的故障树进行简化和模块分解,减小故障树的规模和分析工作量;用上行法或下行法求出故障树的所有最小割集。
故障树定量分析
假如能给出故障树中各底事件的发生概率,则在所有底事件相互独立的条件下,即可求出顶事件发生概率和所需的重要度数值。
编写故障树分析报告
在定性和定量分析的基础上分析薄弱环节,提出改进意见并根据要求完成故障树分析报告。
故障树的建造
建树步骤
a. 选择顶事件并写出顶事件表示符号作为第一层
顶事件是指系统最不希望发生的故障事件,是对安全性有直接影响的事件,它是分析的目标。对航空发动机进行故障树分析,通常选择FAR33.75或AC33.75-1A中规定的危害性的或重要的发动机影响为顶事件,也可以选择FHA中确定的重要的、危害性的或灾难性的失效状态为顶事件。
b. 在其顶事件下面并列写出导致顶事件发生的直接原因——包括硬件故障、软件故障、环境因素、人为因素等作为第二层,把它们用相应的符号(中间事件或底事件)表示出来;
c. 对于第二层的各个事件,选用适合于它们之间逻辑关系的逻辑门与顶事件相连接;
d. 如果还要继续往下分析,则对于第二层中需要继续深入分析的每个事件,按照步骤2)、3)步步深入,逐层展开,一直追溯到引起系统发生故障的全部原因,或其失效机理和概率分布都是已知,因而不需继续分析其原因为止,此时故障事件称为底事件。
建树应注意的问题
a. 对系统中各事件的逻辑关系及条件必须分析清楚,不能有逻辑上的矛盾,条件要统一;
b. 所有事件应该具有完整的定义和分析用简化符号,且其定义要严格、明确,尽量做唯一解释,以防误解,切忌模棱两可,含糊不清;
c. 底事件之间应该具有独立性,对于不满足独立性的底事件应当剔除,并对此做出说明;
d. 产品定义、故障判据、建树的边界条件等必须明确;顶事件的选择应合理恰当。即,要合理地确定边界条件,明确故障树建到何处为止。边界条件包括:系统的初始条件,规定的不许可事件,顶事件等;
e. 建树时应从上而下逐级进行,不允许门与门直接相连。
故障树定性分析
故障树定性分析的目的在于寻找导致顶事件发生的原因事件及原因事件的组合,即识别导致顶事件发生的所有故障模式集合,帮助分析人员发现潜在的故障,发现设计的薄弱环节,以便改进设计,还可用于指导故障诊断,改进使用和维修方案。
故障树的规范化
遵循故障树建造方法建成的故障树往往是非规范化的,例如有“禁止门”、“表决门”等,必须使其变换为规范化的、工程化的故障树以便于处理,故障树的规范化包括如下步骤:
a. 將“禁止门”简化为“与门”。
b. 将“表决门”转为“或门”及“与门”。
c. 将故障率很低的底事件或中间事件删除,但必须满足精度要求。
故障树的简化
在明确定义系统接口和进行合理假设的情况下,可以对所建故障树进行必要的简化;再者对于复杂庞大的故障树可应用修剪法、模块分解法、逻辑简化法和早期不交化方法等进行合理的简化。
a. 修剪法
修剪法就是去掉逻辑多余。对于简单的小故障树,可以用目测直接将逻辑多余去掉。对于复杂的大故障树,可利用计算机,运用布尔代数运算规则进行吸收运算,从而去掉逻辑多余。一般地,与(或)门下的与(或)门是逻辑多余。
b. 模块化分解
所谓模块分解法是指把故障树的底事件化为若干底事件的集合,每一个集合都不包含其他集合中的底事件,这样可以把每个模块看成一个底事件。故障树模块化后进行定性定量分析的计算量一般按指数率下降。
故障树的模块是故障树中至少两个底事件的集合,向上可到达同一逻辑门,而且必须通过此门才能到达顶事件,该逻辑门称为模块的输出或模块的顶点。模块不能有来自其余部分的输入,而且不能有与其余部分重复的事件。
故障树的模块可从整个故障树中分割出来,单独进行最小割集分析和概率计算。此时,在原树中把分割出的模块用一个“准底事件”代替,而“准底事件”的概率即为此模块的概率。
故障树定量分析
故障树定量分析计算的主要任务就是要计算或估计顶事件发生的概率并进行重要度分析。复杂系统的故障树定量计算一般是很繁杂的,特别是当故障不服从指数分布时,难以用解析法求得精确结果,这时可用蒙特卡罗仿真的方法进行估计。
定量分析的假设
在进行故障树定量计算时,一般要做以下几个假设:
a. 底事件之间互相独立;
b. 底事件和顶事件都只考虑二种状态——发生或不发生,也就是说元器件和系统都是只有二种状态——正常或故障;
c. 一般情况下,故障分布都假定为指数分布;
e. 所分析系统为单调关联系统。
故障树的结构函数
结构函数是表示系统状态的一种布尔函数,其自变量为该系统组成单元的状态。设xi为表示底事件的状态变量,xi仅取0或1两种状态。Ф表示顶事件状态,Ф也仅取0或1两种状态,定义如下:
顶事件发生概率计算
顶事件发生概率计算通常有概率组成函数法与最小割集法两种。
a. 概率组成函数法
概率组成函数法也称为直接化方法,基于结构函数给出的一种故障树顶事件概率计算方法,计算公式的推导过程如下:
1)顶事件发生概率为结构函数的期望
2)底事件发生概率为表示底事件状态的布尔变量的期望
3)顶事件的发生概率可根据随机变量积与和的期望公式求得:
式中,,式(6)也称为故障树的概率组成函数。
典型逻辑门的概率组成函数见表1.4。
应用概率组成函数求解顶事件发生概率时,应当注意故障树中不能有重复出现的底事件,即所有逻辑的门的输入事件均相互独立。
b. 最小割集法求重要度
以T为顶事件的故障树,其最小割集为K1,K2,…Kn,则顶事件发生概率为:
当最小割集的数量足够大时,按照式(7)求顶事件发生概率的复杂度极高,此时可采用近似方法,式(7)的一阶近似公式见式(8):
重要度分析
一个零件、部件或最小割集对顶事件的贡献称为重要度。由于设计的对象与要求不同,所采用的重要度分析方法也不同,常用的重要度包括:概率重要度、相对重要度以及结构重要度。
故障树分析报告
FTA报告的正文部分的内容包括以下各项:
a. 产品描述
说明产品的功能原理、系统定义、运行状态、系统边界定义等。
b. 产品FTA约定与要求
说明进行FTA时的若干基本假设,系统故障的定义和判据,顶事件的定义和描述等。
c. 故障树建造
建立故障树的图形表示,并进行简化、规范化和模块分解。
d. 故障树定性分析
计算故障树的最小割集。若采用CAD软件,则补充说明软件名称,开发单位等。
e. 故障树定量分析
故障树顶事件发生概率的计算,故障树的重要度分析等。若采用CAD软件,则补充说明软件名称,开发单位等。对数据的来源要进行说明。
f. 分析结论和建议
g. 附件
附件可以包括:作为依据的安全性数据表及数据来源说明、系统资料(如原理图,功能框图,安全性框图等)以及其它的补充资料。