01 前面的话在之前关于民用飞机和系统安全性的文章中,我们介绍了系统安全性评估过程三部曲:FHA、PSSA 和 SSA,也提到了 FTA、FMEA 和 CCA 等安全性分析方法。 今天,我们结合 SAE ARP4761,对 FTA(Fault Tree Analysis,故障树分析)这样一种演绎的安全性分析方法, 进行详细介绍。
02 “故障树” 与 “故障树分析”A. 故障树 Fault Tree
B. 故障树分析 Fault Tree Analysis
典型的故障树示例如下: 03 FTA 目的和用途A. FTA 目的 FTA 是一种常用的安全性分析方法。它通过演绎的故障分析方法,研究系统特定的 “不希望发生的事件”(即顶事件)。 FTA 是一种系统化的评估流程,自上而下严格按照故障的层次,进行因果逻辑分析。逐层找出故障事件的直接原因,画出逻辑关系图(树状模型),最终找出导致顶事件发生的所有原因和原因组合(即识别导致顶事件发生的所有故障模式)。 通过 FTA 的分析结果,可以确定被分析系统的薄弱环节、关键部位、应采取的措施等。 此外,FTA 还可以确定与该顶事件相关的各种隐蔽故障,揭示系统内部的联系,指导故障检测和维修计划的制定,确定系统监控的设计等。 B. FTA 用途 FTA的具体用途如下:
C. FTA 注意事项 通常 FHA 识别的失效状态都应得到合适的处理。对于所有灾难级和危险级失效状态,应开展定量 FTA;对于较大的失效状态,若有必要也可进行FTA。 在进行 FTA 时,应建立全机通用的命名规则,用于标记故障树中的所有基本事件。根据命名规则为故障树基本事件分配名称,并在各个设计团队间通用。这对于识别多次出现的事件、增加故障树可读性、便于系统间交叉引用是很有必要的。该方法可确保多次出现的事件能够正确地在故障树和割集中体现出来。 当为 PSSA 或 SSA 进行 FTA 时,维修任务相关的故障检测方法和允许的时间间隔,建议与飞机级规定的维修任务和时间间隔相匹配。 FTA 不只是定量的,也可以是定性的。 04 FTA 输入输出及工作安排A. 输入输出 在飞机和系统设计过程中,FTA 主要用于安全性评估。在飞机初步设计和详细设计阶段,FTA 作为 PSSA 过程的一部分,对安全性需求进行分解;在全面试制和试飞取证阶段,FTA 作为 SSA 过程的一部分,对安全性需求进行验证。 FTA 的输入数据包括系统 FHA 和建立故障树所必须的技术资料。这些技术资料包括系统方案设计、架构原理、运行程序、维修程序、设备失效数据等相关资料。 FTA 的输出数据包括 FTA 报告、FTA 发现的系统薄弱环节等。FTA 结果也可反过来驱动系统设计。 B. 工作安排 典型的 FTA 工作安排,如下图所示。
05 FTA 逻辑门和事件符故障树作为图形化的树状结构,一般由逻辑门和事件符组成。逻辑门用来连接故障树各分支,它的输入输出均是事件。
A. FTA 逻辑门 故障树分析中,常见的逻辑门定义如下,其中“与门” 和 “或门”的使用最为普遍。
B. FTA 事件符 故障树分析中,常用到的事件符定义如下:
06 FTA 实施过程A. 定义 FTA 目标 故障树是作为 PSSA的一部分,用于分解安全性需求?还是作为 SSA的一部分,用于验证安全性需求?故障树是用于定性评估?定量评估?还是二者兼有? 确定 FTA 的目标,有助于分析人员确定工作范围。 在 PSSA 过程中,故障树可用于分配定量概率需求。在具体开展 FTA 时,我们一般会基于工程经验,使用 “预计”的失效率,“预计值”通常会比故障树数学分配的失效率要求更高。此外,FTA 通过检查失效-安全的定性目标,还可用于指导系统架构设计。 在 SSA 过程中,故障树需采用真实的失效率数据(通常来自 FMEA/FMES),自下而上检查安全性需求的符合性。 B. 定义 FTA 的分析深度 FTA 需要深入到系统的什么层级?是否需要将系统细分为多个层次,以支持多层级 FTA? 确定 FTA 的分析深度,有助于分析人员确定工作范围。 在飞机、系统、组件等不同层级开展 FTA,其工作边界和工作内容是不同的。 C. 定义 “不希望发生的事件” 开展 FTA 时,应编制“不希望发生的事件”清单,即“顶事件”列表。顶事件可直接指向 FHA 中的 FC,也可能指向其他故障树中的事件(如果故障树细分为多个层级)。 不同层级的 FTA,其顶事件来源不同,具体如下图所示。 D. 分析导致顶事件的失效和失效组合 分析人员应搜集完整的系统设计数据,包括本系统和交联系统的架构方案、系统描述等,并对这些数据进行全面分析,以确定可能引发顶事件的失效事件及其组合。 分析过程应针对难以进行分析的情况、需简化处理的情况,进行合理的假设,在不影响分析结果的基础上,简化分析过程或使分析过程能够顺利进行。 E. 构建故障树 应采用清晰的、准确的顶事件描述方式,明确顶事件故障率要求。 应采用直接的、充分的、最少的中间事件,逐级展开故障树的上层和中层,并使用相应的逻辑门将事件连接起来。 向下展开每一个中间事件,直至故障根源或无需进一步展开为止。 分配预计的概率指标,评估是否可以满足安全性要求(PSSA 过程)。或者采用真实失效率,验证安全性需求已得到满足(SSA 过程)。 举例如下:当一个事件可由单个失效或组合失效事件导致,则构建故障树如左图;当一个事件只由组合失效事件导致,则构建故障树如右图。 进一步举例,说明隐蔽故障和发生顺序相关的故障树应用:假设组件 1 失效为隐蔽故障(检查周期 T1),组件 1 必须在组件 2 之前失效才能导致顶事件。可构建故障树如下图。 F. 分析并总结 FTA 结果 完成故障树构建之后,可针对 FTA 结果开展定性分析和定量分析。 F1. 故障树定性分析 故障树的最小割集代表了引起顶事件发生的一种失效模式,它可用于定性评价失效事件的重要程度,并用于共因分析。 这里引入割集(Cut Sets)和最小割集的定义:
如今在故障树软件的支持下,我们一般不需要经过人工逻辑运算,就能导出最小割集。但分析人员仍需验证所有 “与门” 事件的独立性,这是共因分析的重要内容。 此外作为 PSSA过程的一部分,故障树最小割集,还可用于 ARP4754A所定义的功能和项目研制保证等级(FDAL / IDAL)的分配。 F2. 故障树定量分析 确定故障树最小割集后,需确定所有底事件的失效率、暴露时间或隐蔽故障检查间隔、顺序因子,最后执行故障树数值计算。 如果顶事件计算结果不能满足指标要求,则需采取设计更改、降低评估保守性等措施。 在完成故障树定性分析和定量分析之后,应编写故障树分析报告。 07 FTA 总结本文针对故障树分析(FTA),结合 ARP4761 进行了简要介绍,使大家对 FTA 的理念、目的、方法等有所认识。 错误之处,还请指正。 |
|
来自: 昵称11935121 > 《未命名》