如何开展民用飞机 “故障树分析”（FTA）？

01 前面的话

在之前关于民用飞机和系统安全性的文章中，我们介绍了系统安全性评估过程三部曲：FHA、PSSA 和 SSA，也提到了 FTA、FMEA 和 CCA 等安全性分析方法。

今天，我们结合 SAE ARP4761，对 FTA（Fault Tree Analysis，故障树分析）这样一种演绎的安全性分析方法， 进行详细介绍。

注：与 FTA 类似的分析方法还包括 关联图分析（Dependence Diagrams, DD）和 马尔可夫分析（Markov Analysis, MA）。但目前主流的飞机制造商和供应商，大多采用 FTA，因此这里不再讨论关联图或马尔可夫分析。

02 “故障树” 与 “故障树分析”

A. 故障树 Fault Tree

故障树：是一种倒立的、树状逻辑、因果关系图，它用各种事件符号、逻辑门和转移符号来描述系统中各种事件之间的因果关系。逻辑门的输入事件是输出事件的 “因”，逻辑门的输出事件是输入事件的 “果”。

B. 故障树分析 Fault Tree Analysis

故障树分析：是一种对 “不期望发生的事件” 进行的自上而下的分析技术，通过对可能造成飞机或系统故障的系统、硬件、软件、环境、人为因素等进行分析，从而确定故障原因的各种组合和发生概率。

典型的故障树示例如下：

03 FTA 目的和用途

A. FTA 目的

FTA 是一种常用的安全性分析方法。它通过演绎的故障分析方法，研究系统特定的 “不希望发生的事件”（即顶事件）。

FTA 是一种系统化的评估流程，自上而下严格按照故障的层次，进行因果逻辑分析。逐层找出故障事件的直接原因，画出逻辑关系图（树状模型），最终找出导致顶事件发生的所有原因和原因组合（即识别导致顶事件发生的所有故障模式）。

通过 FTA 的分析结果，可以确定被分析系统的薄弱环节、关键部位、应采取的措施等。

此外，FTA 还可以确定与该顶事件相关的各种隐蔽故障，揭示系统内部的联系，指导故障检测和维修计划的制定，确定系统监控的设计等。

B. FTA 用途

FTA的具体用途如下：

• 便于工程技术人员和型号审查方进行评估和评审；

• 用于评估设计更改对安全性的影响；

• 定量计算顶事件的发生概率；

• 分配下层事件的概率指标；

• 针对研制差错，提供了一种定性和定量的混合评估方式；

• 评估单个失效或组合失效的影响；

• 评估暴露时间、隐蔽故障检查间隔及对系统的影响；

• 评估共因故障的影响；

• 评估失效-安全的设计特征。

C. FTA 注意事项

通常 FHA 识别的失效状态都应得到合适的处理。对于所有灾难级和危险级失效状态，应开展定量 FTA；对于较大的失效状态，若有必要也可进行FTA。

在进行 FTA 时，应建立全机通用的命名规则，用于标记故障树中的所有基本事件。根据命名规则为故障树基本事件分配名称，并在各个设计团队间通用。这对于识别多次出现的事件、增加故障树可读性、便于系统间交叉引用是很有必要的。该方法可确保多次出现的事件能够正确地在故障树和割集中体现出来。

当为 PSSA 或 SSA 进行 FTA 时，维修任务相关的故障检测方法和允许的时间间隔，建议与飞机级规定的维修任务和时间间隔相匹配。

FTA 不只是定量的，也可以是定性的。

04 FTA 输入输出及工作安排

A. 输入输出

在飞机和系统设计过程中，FTA 主要用于安全性评估。在飞机初步设计和详细设计阶段，FTA 作为 PSSA 过程的一部分，对安全性需求进行分解；在全面试制和试飞取证阶段，FTA 作为 SSA 过程的一部分，对安全性需求进行验证。

FTA 的输入数据包括系统 FHA 和建立故障树所必须的技术资料。这些技术资料包括系统方案设计、架构原理、运行程序、维修程序、设备失效数据等相关资料。

FTA 的输出数据包括 FTA 报告、FTA 发现的系统薄弱环节等。FTA 结果也可反过来驱动系统设计。

B. 工作安排

典型的 FTA 工作安排，如下图所示。

1. 在 FHA 定义阶段，执行初始 FTA，在系统顶层确定导致 FHA 中 FC 的失效组合，并分配初步的失效概率；

2. 进入初步设计阶段后，系统架构渐渐清晰，需求确认逐步深入，FTA 需完成第一次迭代，以支持系统架构的权衡和选择，并分配下一层级安全性需求；

3. 进入详细设计阶段后，软硬件设计需求逐步确定，此时可结合相似硬件的 FMEA/FMES 等经验数据，为故障树底事件分配预计的失效率。并计算预计的顶事件失效率是否可满足 FHA 要求。此版本的故障树用于支持“设计冻结”；

4. 进入全面试制阶段后，试验过程中暴露的问题，将导致设计更改不可避免，此时需要对故障树进行修正；

5. 进入试飞取证阶段后，需要综合考虑试飞过程中的问题，建立最终的故障树。此时的故障树作为 SSA的一部分，用于支持合格审定工作。

注：值得注意的是，FMEA/FMES 作为一种评估系统、产品、功能或零件的故障模式及对上一层次影响的系统方法，其结果可以为 FTA 提供支持。例如 SSA 中故障树的底事件信息就采用了 FMEA/FMES 的结果。

05 FTA 逻辑门和事件符

故障树作为图形化的树状结构，一般由逻辑门和事件符组成。逻辑门用来连接故障树各分支，它的输入输出均是事件。

注：故障树构建可采用多种软件，常见的有 CAFTA、RAM Commander 等。不同的 FTA 软件，其逻辑门或事件符的样式可能不同，本文列出的样式仅供参考。

A. FTA 逻辑门

故障树分析中，常见的逻辑门定义如下，其中“与门” 和 “或门”的使用最为普遍。

• 与门：与门表示仅当所有输入事件（故障）全部发生，输出事件（故障）才会发生。

• 或门：或门表示只要有一个输入事件发生，输出事件就会发生。

• 表决门（ N 中取 K 门）：表决门表示当 N 个输入事件中有 K 个或 K 个以上的事件发生，输出事件才会发生。

• 非门：非门表示输出事件是输入事件的对立事件。

• 异或门：异或门表示当且仅当一个输入事件发生时，输出事件才会发生。

• 顺序与门：顺序与门表示仅当输入事件按规定的顺序发生时，输出事件才发生。

B. FTA 事件符

故障树分析中，常用到的事件符定义如下：

• 事件：在故障树分析中各种故障状态或不正常情况称故障事件，各种完好状态或正常情况称正常事件。两者均可简称为事件，一般采用长方形表示。

• 顶事件：顶事件是故障树分析中所关心的最后结果事件。它位于故障树的顶端，是故障树中逻辑门的最终输出事件。

• 中间事件：中间事件是位于底事件和顶事件之间的结果事件。它既是某个逻辑门的输出事件，同时又是别的逻辑门的输入事件。

• 底事件：底事件是故障树中仅导致其它事件发生的原因事件，它位于故障树的底端，是某个逻辑门的输入事件而不是输出事件。基本事件和未探明事件统称底事件。一般采用圆形表示。

• 外部事件：又叫 “房形事件”、“开关事件”，是待分析的外部事件，它必然发生或者必然不发生。一般采用房形表示。

• 非展开事件：因为其结果对顶事件影响很小，或者难以获得进一步展开所必须的细节，而不需要深入分析的事件。一般采用菱形表示。

• 转移事件：在故障树分析中，为了避免画图重复，使图形简明易读，一般采用转移事件，转到相应的子树去。一般采用三角形表示。

06 FTA 实施过程

A. 定义 FTA 目标

故障树是作为 PSSA的一部分，用于分解安全性需求？还是作为 SSA的一部分，用于验证安全性需求？故障树是用于定性评估？定量评估？还是二者兼有？

确定 FTA 的目标，有助于分析人员确定工作范围。

在 PSSA 过程中，故障树可用于分配定量概率需求。在具体开展 FTA 时，我们一般会基于工程经验，使用 “预计”的失效率，“预计值”通常会比故障树数学分配的失效率要求更高。此外，FTA 通过检查失效-安全的定性目标，还可用于指导系统架构设计。

在 SSA 过程中，故障树需采用真实的失效率数据（通常来自 FMEA/FMES），自下而上检查安全性需求的符合性。

B. 定义 FTA 的分析深度

FTA 需要深入到系统的什么层级？是否需要将系统细分为多个层次，以支持多层级 FTA？

确定 FTA 的分析深度，有助于分析人员确定工作范围。

在飞机、系统、组件等不同层级开展 FTA，其工作边界和工作内容是不同的。

C. 定义 “不希望发生的事件”

开展 FTA 时，应编制“不希望发生的事件”清单，即“顶事件”列表。顶事件可直接指向 FHA 中的 FC，也可能指向其他故障树中的事件（如果故障树细分为多个层级）。

不同层级的 FTA，其顶事件来源不同，具体如下图所示。

D. 分析导致顶事件的失效和失效组合

分析人员应搜集完整的系统设计数据，包括本系统和交联系统的架构方案、系统描述等，并对这些数据进行全面分析，以确定可能引发顶事件的失效事件及其组合。

分析过程应针对难以进行分析的情况、需简化处理的情况，进行合理的假设，在不影响分析结果的基础上，简化分析过程或使分析过程能够顺利进行。

E. 构建故障树

应采用清晰的、准确的顶事件描述方式，明确顶事件故障率要求。

应采用直接的、充分的、最少的中间事件，逐级展开故障树的上层和中层，并使用相应的逻辑门将事件连接起来。

向下展开每一个中间事件，直至故障根源或无需进一步展开为止。

分配预计的概率指标，评估是否可以满足安全性要求（PSSA 过程）。或者采用真实失效率，验证安全性需求已得到满足（SSA 过程）。

举例如下：当一个事件可由单个失效或组合失效事件导致，则构建故障树如左图；当一个事件只由组合失效事件导致，则构建故障树如右图。

进一步举例，说明隐蔽故障和发生顺序相关的故障树应用：假设组件 1 失效为隐蔽故障（检查周期 T1），组件 1 必须在组件 2 之前失效才能导致顶事件。可构建故障树如下图。

F. 分析并总结 FTA 结果

完成故障树构建之后，可针对 FTA 结果开展定性分析和定量分析。

F1. 故障树定性分析

故障树的最小割集代表了引起顶事件发生的一种失效模式，它可用于定性评价失效事件的重要程度，并用于共因分析。

这里引入割集（Cut Sets）和最小割集的定义：

割集：指单个故障树的若干底事件的集合，这些底事件都发生将导致顶事件发生。

最小割集：指底事件的数目不能再减少的割集，即在该最小割集中任意去掉一个底事件之后，剩下的底事件集合就不是割集。最小割集中的事件之间应保证独立性。

如今在故障树软件的支持下，我们一般不需要经过人工逻辑运算，就能导出最小割集。但分析人员仍需验证所有 “与门” 事件的独立性，这是共因分析的重要内容。

此外作为 PSSA过程的一部分，故障树最小割集，还可用于 ARP4754A所定义的功能和项目研制保证等级（FDAL / IDAL）的分配。

F2. 故障树定量分析

确定故障树最小割集后，需确定所有底事件的失效率、暴露时间或隐蔽故障检查间隔、顺序因子，最后执行故障树数值计算。

如果顶事件计算结果不能满足指标要求，则需采取设计更改、降低评估保守性等措施。

在完成故障树定性分析和定量分析之后，应编写故障树分析报告。

07 FTA 总结

本文针对故障树分析（FTA），结合 ARP4761 进行了简要介绍，使大家对 FTA 的理念、目的、方法等有所认识。

错误之处，还请指正。