第六章失效模式、效应及危害度分析FMECA和故障树分析法FTA.ppt

第六章第六章失效模式、效应及危害度分析失效模式、效应及危害度分析(FMECA)和和故障树分析法故障树分析法(FTA)§§6-1 6-1 FMEA与与FTA分析方法概述分析方法概述§§6-2 6-2 故障模式与影响分析故障模式与影响分析(FMEA)§§6-3 6-3 危害性分析危害性分析(CA)§§6-4 6-4 对FMECA的评价§§6-6 6-6 故障树的定性分析故障树的定性分析§§6-7 6-7 故障树的定量分析故障树的定量分析§§6-5 6-5 故障树的建立故障树的建立§§6-1 6-1 FMECA与与FTA分析方法概述分析方法概述失效模式影响分析(Failure Mode and Effects Analysis，， FMEA)和故和故障树分析障树分析(Fault Tree Analysis，，FTA)是可靠性工程中常用的系统可靠是可靠性工程中常用的系统可靠性分析方法性分析方法基本概念•1.故障模式 所谓故障模式是指元器件或产品能被观察到的故障现象， FMEA和FMECA均需从产品的故障（失效）模式分析中，寻找发生故障的机理与诱因，藉此为排除故障制定相应的对策。

序号故障模式序号故障模式序号故障模式序号故障模式12345678910结构破损机械卡死振动不能保证指定位置不能开不能关误开误关内漏111213141516171819外漏超出允差上限超出允差下限意外运行间歇性工作漂移性工作流动不畅错误指示错误动作192021222324252627不能关机不能开机不能切换提前运行滞后运行输入量过大输入量过小输出量过大输出量过小293031323334无输入无输出电短路电开路电泄漏其他202122232425262728常见故障模式一览表FMECA0•2.故障影响和危害度 危害度等级（严酷度）是指某种故障模式影响的严酷程度 失效效应危害度等级（严酷度）一览表 危害度等级 危 害 状 态I（灾难性）可能成为主要系统丧失功能，从而导致系统或其环境重大损坏的潜在原因或造成人身伤亡潜在原因的任何事件II（致命性）可能成为主要系统丧失功能，从而导致该系统或其环境的重大损坏的潜在原因，而又几乎不危及人身安全的任何事件III （临界）能造成系统功能、性能的退化而对系统或人员的生命或肢体没有可感觉的损伤的任何事件IV （轻度）可能成为系统功能、性能退化的原因而对系统或其环境几乎无损坏，对人身安全无损害的任何事件1.2　　FMECA也可分为：FMEA——侧重于定性分析, CA——侧重于定量分析（有定性和定量两种）。

　　危害性分析(CA)工作的难度较大，需要有一定的基础和数据标准有说明，在条件不具备时可不作危害性分析(CA)　　FMECA包括以下三个部分： FMA(Failure Mode Analysis)——故障模式分析； FEA(Failure Effect Analysis)——故障影响分析； CA(Criticality Analysis)——危害性分析2.1 1. 分析的基本方法： 硬件法：是列出各个产品，对它们可能的失效形式加以分析 功能法：是从每个产品可以完成许多功能，而功能是按输出分类的观点出发，将输出一一列出，并对它们的失效模式进行分析　　“可能的失效”——尽可能地收集类似产品在相似适用条件下积累的有关信息　　FMEA一般可用于产品的研制、生产和使用阶段，特别应在研制、设计的各阶段中采用　　FMEA应在设计的早期阶段就开始进行，以便于对设计的评审、为安排改进措施的先后顺序提供依据§§6-2 6-2 故障模式与影响分析(FMEA)2.2　2. 分析所需的资料：　　技术规范、研制方案、设计资料与图纸、可靠性数据等3. 分析的程序： 定义被分析的系统，包括范围（内部与接口）、任务阶段、环境、功能要求等。

绘制功能或可靠性方框图； 确定失效模式； 确定失效的严酷度、按最坏的潜在后果评定； 确定检测方法； 确定补偿、改进措施； 分析总结，提出薄弱环节，说明不能通过设计计算来改善的环节2.3　4. 严酷度分类 对失效造成的后果的严重程度进行分类，是较笼统的、定性的分类 Ⅰ类（灾难性的）——会引起人员死亡或系统毁坏的失效（机毁人亡） Ⅱ类（致命性的）——会引起人员严重伤亡、重大财产损失或导致任务失　　　　　　　　　　　败的系统严重失效 Ⅲ类（临界的）——会引起人员的轻度损伤、一定人的财产损失或导致任　　　　　　　　　　务延误或降级的系统轻度损坏 Ⅳ类（轻度的）——不足以导致上述三类后果的失效，但它会导致非计划　　　　　　　　　　维护或修理 　　在GB7826-1987中给出的类别的顺序与上述恰相反，即：轻度　　Ⅰ　Ⅱ　Ⅲ　Ⅳ　　严重2.3　　严酷度的分类和确定有一定的任意性，不同的领域应专门给出严酷度的定义例如，航空发动机的严酷度定义为： Ⅰ类（灾难性的）——会引起发动机空中停车且不易重新启动的故障 Ⅱ类（致命性的）——会引起发动机性能严重下降的故障 Ⅲ类（临界的）——会引起发动机不能工作而需要提前拆换发动机的故障。

Ⅳ类（轻度的）——不足以导致提前拆换发动机及发动机寿命降低，但仍　　　　　　　　　　需一定的非计划维修工作的故障　2.45. FMEA表格 　　填写表格是FMEA工作的一个重要体现，填入的失效模式至少应就下述典型的失效状态进行分析研究 提前运行； 在规定的时刻开机失效； 间断地工作； 在规定的时刻关机失效； 工作中输出失效（或消失）； 输出或工作能力下降； 与系统特性有关的其它失效　2.56. FMEA报告 　　应将FMEA的主要内容和结果汇编成文，其中包括: 信息来源说明； 被分析对象的定义； 分析层次； 分析方法说明； FMEA表； Ⅰ、Ⅱ类故障，单点故障清单；　（单点故障指能导致系统失效的某一产品失效，即处于串联系统中的　　元件的失效，若系统中的故障均为单点故障，可不列清单） 遗留问题总结和补偿措施建议　Ⅰ、Ⅱ类故障清单示例序号代号产品或功能标志故障模式严酷度类别注１222511涡轮工作叶片②ⅠFMEA示例3.11. 危害性分析的目的　§§6-3 6-3 危害性分析(CA)（（1）尽量消除危害度高的故障模式）尽量消除危害度高的故障模式 （（2）当无法消除危害度高的故障模式时，要尽量从设计、）当无法消除危害度高的故障模式时，要尽量从设计、 制造、使用制造、使用（（3）和维护等方面去减少其发生的概率）和维护等方面去减少其发生的概率 （（4）根据元器件、零部件或产品不同的危害度，相应提出）根据元器件、零部件或产品不同的危害度，相应提出不同的质量要求不同的质量要求 （（5）根据元部件或产品不同的危害度，相应地对元部件或）根据元部件或产品不同的危害度，相应地对元部件或产品有关部位增设保护、监测或报警装置产品有关部位增设保护、监测或报警装置 　　按每一失效形式的严酷度类别及该失效模式的发生概率所产生的综合影响来对其划等分类，以便全面地评价各潜在失效模式影响。

　　CA是FMEA的补充和扩展，未进行FMEA，不能进行CA3.2　　失效模式发生的概率等级可按以下方法划分： A级：经常发生的事件，概率P>20％； B级：很可能发生的事件，10％

　　 Cr ——是元件就某个特定的严酷度类别和任务阶段而言的　　　究竟选择哪种分析方法，应依据具体情况而决定3.5　3. 危害性分析程序 填写CA表格，1~7栏同FMEA表，对于定性的CA，仅填至第8栏；对于定量的CA，应填满各栏 绘制危害性矩阵危害度增大方向3.6　4. FMECA报告 相应的FMECA 报告(含相应的FMEA 表，Ⅰ、Ⅱ类故障，单点故障清单) 对FMEA中的失效模式应给出其危害度或概率等级 CA表 危害性矩阵与危害性顺序表 关键件清单4.1　1. 优点 简单，基本为定性分析，也可做定量分析 适用于各个行业，各类设计过程 在一定程度上可反映人的因素 有很好的实际效果2. 缺点 分析工作量大、费时，对于较复杂的系统，其分析工作十分繁琐 属单因素分析，未考虑共因素问题 因环境条件而异，结论的通用性差 应该针对FMECA建立数据库，充分采用计算机统计、检索和分析§§6-4 6-4 对FMECA的评价3.FMEA和FMECA的分析步骤 (1)弄清与系统有关的全部情况(2)拟定功能和可靠性框图以及其他图表或数学模型，并作文字说明 •确定分析的基本原则和用于完成分析的相应文件 •找出失效模式、原因和效应以及它们之间相对的重要性和顺序 •找出失效的检测、隔离措施和方法 •找出设计和工作中的预防措施，以防止发生特别不希望发生的事件 •确定事件的危害度(FMEA) •估计失效概率(适用FMECA) •对考虑的多重失效的特定组合进行调查(选作) •分析报告(即提出建议) 4.FMEA及FMECA的分析方法 1)表格分析法 2矩阵分析法（本书不详细介绍） •表格法是利用表格列出各单元故障模式，再通过故障模式分析找出由此产生的后果•具体步骤：•(1)绘制分级功能框图 •(2)对分级功能图中的每一个方框，自下而上逐级进行FMECA分析，指出被分析方框对高一级的隶属等级产的影响 •(3)确定被分析单元的故障模式频数比aij •(4)计算单元危害度Cij •(5)计算产品危害度 •(6)编制单元故障影响分析一览表及相应的故障模式及危害度表 5.FMECA实施方法实施方法§§6-5 6-5 故障树的建立　　故障树分析——Fault Tree Analysis （FTA） FTA 是系统可靠性分析方法之一，包括分定性分析和定量分析 FTA目的在于：寻找导致系统故障的原因，若已知基本事件（原因）　发生的概率，则可依此求出系统的失效概率 FTA以故障树（ FT）为工具对系统的失效进行分析 故障树（ FT）用各种事件的代表符号和逻辑关系符号组成的倒立树　状的因果关系图 故障树分析法(FaultTreeAnalysis)是1961年一1962年间，由美国贝尔实验室的沃特森(H．A．Watson)在研究民兵火箭的控制系统时提出来的。

首篇论文在965年由华盛顿大学与波音公司发起的安全讨论会上发表 1970年波音公司的哈斯尔(Hassl)、舒洛特Schroder)与杰克逊(Jackson)等人研制出故障树分析法的计算机程序，使飞机设计有了重要的改进1974年美国原子能委员会发表了麻省理工学院(MIT)的拉斯穆森(Rasmusson)为首的安全小组所写的“商用轻水核电站事故危险性评价”报告，使故障树分析法从宇航、核能逐步推广到电子、化工和机械等部门  在可靠性工作中，对于零件、部件的可靠度估计，比较起来是较为容易的这是由于单个的零(部)件在规定的环境应力下较易于进行寿命试验；单个零件进行寿命试验所花费的成本不太高但对于由零件组成的系统来讲，要对其进行寿命试验就较困难，有时甚至不可能 因此，就存在着在零(部)件可靠度(或者寿命分布规律及特性参数)已知的情况下，如何去估计系统的可靠度的问题即在零件(子系统)本身的可靠度或其寿命随机规律已知的前提下，根据它们之间不同的组合方式去估计它们所组成的系统的可靠度这就是所谓系统的可靠度预测或称可靠度估计  在系统的可靠性预测中，我们的侧重点是系统正常运行的概率。

而在故障树分析中，我们要讨论的则是从故障(即不满意运行)来估计系统的不可靠度(或不可利用度)因此，故障树分析法实际上是研究系统的故障与组成该系统的零件(子系统)故障之间的逻辑关系，根据零件(子系统)故障发生的概率去估计系统故障发生概率的一种方法它包括研究引起系统故障的人、环境之间因果关系的定性分析，在对失效原因及发生概率统计的基础上，确定失效概率的定量分析在这个基础上，再去寻找改善系统可靠性的方法这就是故障树分析之目的 故障树分析法是与可靠性框图法等价的系统可靠性分析法框图分析法的着眼点是系统的可靠性，而故障树分析法考察系统可靠性时，则是从系统的不可靠（即故障）入手的因此，故障树分析至少有如下的作用：(1)指导人们去查找系统的故障2)指出系统中一些关键零件的失效对于系统的重要度3)在系统的管理中，提供了一种看得见 的图解，以便帮助人们对系统进行故障分析，使人们对系统工况一目了然，从而对系统的设计有指导作用4)为系统可靠度的定性与定量分析提供了一个基础故障树分析一般按以下顺序进行： (1)明确规定“系统”和“系统故障”定义，也就是说，必须首先明确所研究的对象是由什么零件(子系统)组成，它们之间在运行上的彼此关系如何?对于所研究的系统，最终不希望什么样的故障发生(即选定系统的顶事件)。

(2)在系统故障定义明确的基础上，进一步探求引起故障的原因，并对这些原因进行分类归纳(如设计上的，制造上的，运行，其它环境因素等) (3)根据故障之间的逻辑关系，建造故障树 (4)故障树的定性分析分析各故障事件结构的重要度，应用布尔代数对其进行简化，找出故障树的最小割集与最小路集 (5)收集并确定故障树中每个基本事件的发生概率或基本事件分布规律及其特性参数 (6)根据故障树建立系统不可靠度(可靠度)的统计模型，确定对系统作定量分析的方法，然后对该系统进行定量分析，并对分析结果进行验证 FTA02　　故障树分析一例P水泵MK1(手动开关）K2(电磁开关）EM-直流电机电机不转+•M失效M两端无110V直流电压+E<220V开关失效K２失效K1失效　直流电动机驱动水泵的系统原理E-110V直流电源 所有事件符号都以不同的几何形状标志其性质，并在符号图框内用简明、准确的文字写明事件的内容 1 1矩形事件矩形事件 它表示两类事件；一是顶事件，是故障树分析的起始事件，也就是系统的一种不希望发生的失效事件图b的“TOP‘’事件即是顶事件二是表示中间事件，它们在故障树中位于顶事件与各分支末端之间。

如图b中的G1、G2和G3都是中间事件，它们既是上级事件的原因，又是下级事件的结果 2 2圆形事件圆形事件 它表示基本失效事件，是顶事件发生的最基本因素，不再作进一步分析这种处于故障树分支末端的事件统称为底事件 3 3．菱形事件．菱形事件 它表示本可以作进一步分析但不再分析的失效事件，亦称为省略事件省略的原因，通常是以下几种：1)更详细的分析在技术上无意义2)事件发生的概率极小3)再分析到下一级将找不到可靠性数据4)事件发生原因不明菱形事件也是一种底事件一)事件符号4 4房形事件房形事件 多数情况下表示正常事件有时表示开关事件，即作为逻辑门导通条件的事件房形事件也是底事件 (二)逻辑符号 逻辑符号也称逻辑门符号，表示下级事件与上级事件的因果关系门下面的事件称输入事件，门上面的事件是输出事件(也称门事件) 1 1、与门、与门 与门表示只有当全部输入事件都同时存在时，其输出事件才发生设与门共有n个输入事件Bi(i=1，2，…，n), 则其输出事件和输入事件的逻辑关系可表示为：2 2、或门、或门 或门表示只要输入事件中的任何一个发生，则输出事件发生。

设有n个输入事件Bi(i=1，2，…，n)，则其输出事件A的逻辑表达式为： 3、禁门 禁门只有一个输入事件，侧面的长圆框内是条件事件C，只有当该条件存在时，输入事件B的发生才能导致输出事件A发生如下图即是禁门故障树  4、表决门(n取k门) 表决门表示当n个输入事件中有任意k个(k

5)整理与简化  充分熟悉系统是保证正确建树的前提，为了对所分析对象有全面透彻的了解，要深入细致地研究系统的设计、运行资料 对于大型复杂系统，往往需要多种专业人员共同参与建树活动在熟悉系统的功能、结构、工作原理与使用条件的基础上，明确系统正常与故障状态的定义，或它们之间的界限 在顶事件确定之后要定义故障树的边界条件这就是要对系统的某些组成部分(部件、子系统)的状态，环境条件等作出合理的假设如当分析硬件系统时，可将“软件可靠”和“人员操作可靠”作为边界条件，分析电路时， “导线可靠”是常用的边界条件等等供水系统图b故障树的边界条件是“管路及其连接可靠”总之，边界条件应根据分析的需要确定  顶事件和边界条件确定之后，就可以从顶事件出发展开故障树，并应遵循以下原则： 1)要有层次地逐级进行分析可以按系统的结构层次，也可按系统的功能流程或信息流程逐级分析 2)要找出所有矩形事件的全部、直接起因 3)对各级事件的定义要简明、确切 4)正确运用故障树符号 5)当所有中间事件都被分解为底事件时，则故障树 建成  现在以家用洗衣机为例说明故障树的建立。

FTA的目的是分析洗衣机主系统的可靠性 主系统不希望发生的故障事件有：1)波轮不转2)波轮转速过低 3)振动过大等其中最严重的故障事件是波轮不转，所以选定1)为顶事件 边界条件为：1)电源可靠2)支持结构完好按照功能流程逐级发展故障树，下图即其一部分 故障树的规范化和简化§§6-6 6-6 故障树的定性分析故障树的定性分析 故障树的每一个底事件不一定都是顶事件发生的起因，由供水系统图b故障树可以看出，当E或F事件发生时，停水事件一定发生，因为它们的逻辑门是或门但若只有L1件发生时，则不能使顶事件发生，因为L1发生虽然可导致G2发生，使不能使G1发生，只有当G2与G3同时存在时才能使G1与门导通若是G2一侧有某个输入事件，例如S2与L1事件同时存在，则可导致顶事件发生，所以事件的集合（ L1 、S2）是使系统丧失供水能力的一个原因[E]、[F]是仅包括一个事件的集合，可见顶事件发生的原因是一系列底事件的集合  凡是能导致顶事件发生的底事件的集合称为故障树的一个割集除上述3个集合外，[L1，S2，L2]、[L1，S2，F，E]和[L1，F]等也都是供水系统故障树的割集，还可列举出许多，但在工程上没有意义，因为其中有的事件对于顶事件的发生而言是多余的。

人们关心的是最小割集，所谓最小割集是导致顶事件发生的必要而充分的底事件集合如[E]、[F]、[L1，S2]都是供水系统故障树的最小割集，与[L1，S2，L2]，[L1，S2，F，E]，[L1，F]相比较，也可以作出如下的定义：最小割集是那些属于去掉其中任何—个底事件就不再成为割集的底事件集合• 最小割集的性质是，仅当最小割集所包含的底事件都同时存在时，顶事件才发生反言之，只要最小割集中有任何一个事件不发生，则顶事件就不会发生(假设同时无其它最小割集发生)因此，欲保证系统安全、可靠，就必须防止所有最小割集发生反之，如果系统发生了不希望的故障事件，则必定至少有一个最小割集发生故障树的全部最小割集即是顶事件发生的全部可能原因一个最小割集表示系统的一种故障模式，系统的全体最小割集就构成系统的故障谱• 路集是一些底事件的集合，若其中所有底事件都不发生，则顶事件必定不发生例如[E，F，L1，L2，S1]就是供水系统故障树的一个路集 •最小路集是去掉其中任何一个底事件就不再是路集的路集例如上述路集中去掉L2后的底事件集合(E，F，L1，S1)仍是路集， 因而[E，F，L1，L2，S1]不是最小路集。

但(E，F，L1，S1)中不能再去掉任何底事件，否则就不再成为路集，因而它是供水系统故障树的—个最小路集• 一个最小路集表示系统的一种成功模式，系统的全体最小路集构成系统的成功谱 系统的任何一种故障模式的发生，都导致系统不希望事件的发生，因而在产品的设计中要努力降低最小割集发生的可能性，在系统运转中要努力确保不使最小割集发生或者说，为保证系统正常工作，必须至少保证有一个最小路集存在最小割集与最小路集是系统可靠性分析的重要信息，它们来自同一顶事件的相反分析，所以只要知道其中之一就可进行分析下面说明求故障树最小割集的方法 下行表4 结构重要度 在进行可靠性分析时，要根据对顶事件的影响大小来区别最小割集的重要性及各底事件的重要性如果是进行定性分析，由于不进行定量计算，只能根据最小割集的容量，即根据其阶数来决定其重要性一般而言，低阶割集比高阶割集更重要，如果底事件发生概率相差不悬殊的话 在定性分析中，底事件的重要性用其结构重要度评价底事件的结构重要度定义为：底事件状态由不发生变为发生时，顶事件发生次数的变化量与该事件不发生时系统状态总数之比。

可以用状态枚举法计算事件的结构重要度 方法的步骤如下：  (1)用 表示底事件i的状态(底事件总数为m)，且状态枚举表 将所有底事件列入下表所示的表中，并在表中写出全部底事件状态的组合i事件发生1，0， i事件不发生(i=1，2，…，m)2)用 表示顶事件的状态，且 1，顶事件发生 0，顶事件不发生 3)在所有xi=1的系统状奋中挑出 =1的状态，设此类状态数为 4)在所有xi=0的系统状态中挑出 =1的状态，设此类状态数为 5)于是可由下式计算第i个底事件的结构重要度 ：在表中根据底事件状态写出顶事件状态(即系统的状态)此时可利用最小割集进行判断  式中， 为事件i不发生时系统的可能状态数，此数由除事件i外其余底事件的状态组合决定现在举例说明结构重要度的计算例 设某故障树共有3个底事件；已知其最小割集为 [1，2]，[1，3]，试求各底事件的结构重要度 解 为求各底事件的结构重要度，先列状态枚举表  于是，按式计算各底事件的结构重要度为当故障树边界条件限定只考虑硬件故障时，底事件结构重要度也称为部件结构重要度。

5 故障树的定性分析 •在设计阶段，应考虑在技术上是否能充分保证这些低阶割集的可靠性，即是否能充分保证它所包含的硬件、软僻：、人员操作的可靠性尤其对一阶割集更要分析它是否有足够高的可靠性在运行阶段，为保证系统正常实现其功能，则要防止属于同一割集的事件同时发生，这对于复杂系统的安全运行有重要意义•当需要鉴别底事件的薄弱环节时，在定性分析阶段主要是根据其结构重要度进行将底事件按结构重要度大小由大到小排队，其顺序就是对系统可靠性影响大小的顺序 §§6-7 6-7 故障树的定量分析故障树的定量分析 以故障树为系统模型，在已知全部底事件可靠性参数的情况下，可以计算顶事件的发生的概率通常，对于不可修系统，顶事件发生的概率是系统的不可靠度对于可修系统，顶事发生的概率是系统的不可用度在安全性分析中，顶事件的概率是系统的事故发生的概率因此，故障树的定量分析可以对系统的可靠性(无故障性)、可用性和安全性作出定量评价3 概率重要度 在故障树的定量分析中用概率重要度来衡量最小割集或底事件的重要性，从而根据重要度排队顺序来确定关键的最小割集和底事件各种重要度的定义及计算方法很多，这里只提出两种简单的计算方法。

(一)最小割集概率重要度 最小割集概率重要度定义为最小割集发生的概率与顶事件发生的概率之比设最小割集Ci的概率为P（Ci），该最小割集的概率重要度为ICi，则 •最后还应说明一点，当已知故障树底事件概率随时间变化的规律时，可以利用所介绍的方法计算事件概率随系统工作时间变化的动态值，以及最小割集概率、最小割集概率重要度与底事件重要度的动态值，这些对于分析系统可靠性的动态情况是重要的数据。