[科普中國]-故障樹

簡介

故障樹分析（FTA）是由上往下的演繹式失效分析法，利用布林邏輯組合低階事件，分析系統(tǒng)中不希望出現(xiàn)的狀態(tài)。故障樹分析主要用在安全工程以及可靠度工程的領(lǐng)域，用來了解系統(tǒng)失效的原因，并且找到最好的方式降低風(fēng)險(xiǎn)，或是確認(rèn)某一安全事故或是特定系統(tǒng)失效的發(fā)生率。故障樹分析也用在航空航天、核動(dòng)力、化工制程、制藥、石化業(yè)及其他高風(fēng)險(xiǎn)產(chǎn)業(yè)，也會(huì)用在其他領(lǐng)域的風(fēng)險(xiǎn)識(shí)別，例如社會(huì)服務(wù)系統(tǒng)的失效。故障樹分析也用在軟件工程，在偵錯(cuò)時(shí)使用，和消除錯(cuò)誤原因的技術(shù)很有關(guān)系。

在航空航天領(lǐng)域中，更廣泛的詞語“系統(tǒng)失效狀態(tài)”用在描述從底層不希望出現(xiàn)的狀態(tài)到最頂層失效事件之間的故障樹。這些狀態(tài)會(huì)依其結(jié)果的嚴(yán)重性來分類。結(jié)果最嚴(yán)重的狀態(tài)需要最廣泛的故障樹分析來處理。這類的“系統(tǒng)失效狀態(tài)”及其分類以往會(huì)由機(jī)能性的危害分析來處理。

用途故障樹分析可以用于：

了解最上方事件和下方不希望出現(xiàn)狀態(tài)之間的關(guān)系。

顯示系統(tǒng)對(duì)于系統(tǒng)安全/可靠度規(guī)范的符合程度。

針對(duì)造成最上方事件的各原因列出優(yōu)先次序：針對(duì)不同重要性的量測(cè)方式建立關(guān)鍵設(shè)備/零件/事件的列表。

監(jiān)控及控制復(fù)雜系統(tǒng)的安全性能（例如：特定某飛機(jī)在油料閥x異常動(dòng)作時(shí)是否可以安全飛行？此情形下飛機(jī)可以飛行多久？）

最小化及最佳化資源需求。

協(xié)助設(shè)計(jì)系統(tǒng)。故障樹分析可以作為設(shè)計(jì)工具，創(chuàng)建輸出或較低層模組的需求。

診斷工具，可以用來識(shí)別及修正會(huì)造成最上方事件的原因，有助于創(chuàng)建診斷手冊(cè)或是診斷程序。

方法論許多工業(yè)及政府的技術(shù)標(biāo)準(zhǔn)中都有提到故障樹分析的方法論，包括核能產(chǎn)業(yè)的NRC NUREG–0492 、美國國家航空航天局針對(duì)航天修改的NUREG–0492版本、汽車工程師協(xié)會(huì)（SAE）針對(duì)民用航空器的ARP4761、軍用的MIL–HDBK–338、IEC標(biāo)會(huì)IEC61025，故障樹分析已用成許多產(chǎn)業(yè)中，也被采納為歐盟標(biāo)準(zhǔn)EN61025。

系統(tǒng)復(fù)雜到一個(gè)程度，就可能會(huì)因?yàn)橐粋€(gè)或是多個(gè)子系統(tǒng)失效而讓整個(gè)系統(tǒng)失效。不過整體失效的可能性可以透過系統(tǒng)設(shè)計(jì)的提升來降低。故障樹分析利用建置整個(gè)系統(tǒng)的邏輯圖示，來找到失效、子系統(tǒng)以及冗余安全設(shè)計(jì)元件之間的關(guān)系。

不想出現(xiàn)的結(jié)果會(huì)放在失效樹的根（最上方事件），例如金屬?zèng)_壓程序中不想要出現(xiàn)的結(jié)果是工人的肢體受到?jīng)_壓。在最上方事件進(jìn)行分析后，可以確認(rèn)有上述事件可能會(huì)以二種不同的方式出現(xiàn)：正常操作時(shí)以及維修時(shí)。這二個(gè)在邏輯上的關(guān)系是OR。在正常操作的分析可能也可能確認(rèn)出二種不同的情形：沖壓行程中，傷害到操作員，另一個(gè)是沖壓行程中，傷害到其他人。這二個(gè)在邏輯上的關(guān)系也是OR?？梢栽谠O(shè)計(jì)上改善此一情形，例如修改程式，讓操作員需要用雙手同時(shí)按二個(gè)按鈕才能啟動(dòng)沖壓程序，這二個(gè)在邏輯上的關(guān)系是AND。按鈕本身也有其固有的失效率，這個(gè)變成一個(gè)可以分析的失效來源。若故障樹上標(biāo)示了每個(gè)失效的實(shí)際機(jī)率值，可以用計(jì)算機(jī)程序計(jì)算故障樹的失效可能率。

若有某個(gè)特定事件有出現(xiàn)在結(jié)果事件中，也就會(huì)它會(huì)影響多個(gè)子事統(tǒng)，這個(gè)稱為共因（common cause）或共同模式（common mode）。若用圖的角度來說，就是一個(gè)事件會(huì)在故障樹中多次出現(xiàn)。共因會(huì)帶來事件之間的相依關(guān)系，這種故障樹的機(jī)率計(jì)算會(huì)比所有事件都獨(dú)立時(shí)的故障樹機(jī)率計(jì)算要復(fù)雜。巿面也不是所有故障樹分析的軟件都能進(jìn)行這類的計(jì)算。

故障樹一般會(huì)用傳統(tǒng)的邏輯門符號(hào)表示，故障樹中從初始事件（initiator）到事件之間的路徑稱為分割集合（cut set）。從初始事件到事件之間的最短可能路徑稱為最小分割集合（Minimal Cut Set）。

有些產(chǎn)業(yè)會(huì)同時(shí)用故障樹及事件樹（參考概率風(fēng)險(xiǎn)評(píng)估）。事件樹從不希望出現(xiàn)的初始事件（initiator）（例如停電、元件失效等）開始，根據(jù)可能的系統(tǒng)事件而到一系列的最終結(jié)果。每多考慮一個(gè)新事件，就要在樹上增加一個(gè)節(jié)點(diǎn)，再列出各分枝的機(jī)率。“最上方事件”的機(jī)率就會(huì)由各初始事件的機(jī)率計(jì)算而得。

標(biāo)準(zhǔn)的故障樹分析程式包括電力研究所（EPRI）的CAFTA軟件，美國有許多核電廠使用，美國政府評(píng)估核反應(yīng)堆、航天飛機(jī)及國際空間站的安全性及可靠則是利用愛達(dá)荷國家實(shí)驗(yàn)室的SAPHIRE軟件。美國以外的地區(qū)，RiskSpectrum是常用的故障樹及事件樹分析工具，世界上幾乎有半數(shù)核電廠為了概率安全評(píng)估的需求而注冊(cè)此軟件使用。

符號(hào)故障樹分析的符號(hào)可以分為事件、閘以及轉(zhuǎn)移符號(hào)。不同的故障樹分析可能會(huì)有一些些差異。

事件符號(hào)事件符號(hào)用來表示主要事件（primary events）以及中間事件（intermediate events）。主要事件在故障樹上不會(huì)繼續(xù)展開，中間事件會(huì)在閘的輸出端出現(xiàn)。其符號(hào)如下：

主要事件的符號(hào)的規(guī)則如下：

基本事件：系統(tǒng)元件或是單元的失效或是錯(cuò)誤（例如：開關(guān)卡在打開的位置）

外部事件：一般預(yù)期事件會(huì)發(fā)生（本身不是一個(gè)失效）

未發(fā)展事件：事件的相關(guān)資訊不明，或是沒有后續(xù)影響

條件式事件：一些會(huì)影響或是限制邏輯門的條件（例如：目前運(yùn)作的模式）

中間事件的閘可以直接接在主要事件的上面，可以保留更多空間作事件的描述。

閘符號(hào)閘符號(hào)描述輸入及輸出事件的關(guān)系，這些符號(hào)是衍生自布林邏輯符號(hào)。

閘運(yùn)作的方式如下：

或閘：若發(fā)生任何一個(gè)輸入事件，輸出事件也會(huì)發(fā)生

及閘：若發(fā)生所有的輸入事件，輸出事件才會(huì)發(fā)生

互斥或閘：若輸入事件中恰好有一個(gè)發(fā)生，輸出事件就會(huì)發(fā)生

優(yōu)先及閘：若輸入依照條件式事件指定的順序出現(xiàn)，輸出事件就會(huì)發(fā)生

禁止閘：若在某條件式事件指示有效時(shí)，發(fā)生輸入事件，輸出事件就會(huì)發(fā)生

轉(zhuǎn)移符號(hào)轉(zhuǎn)移符號(hào)用來連接相關(guān)故障樹的輸入及輸出，像是子系統(tǒng)的故障樹及系統(tǒng)的故障樹。

基本數(shù)學(xué)基礎(chǔ)故障樹分析中的事件和統(tǒng)計(jì)學(xué)的概率論有關(guān)。例如元件失效一般會(huì)有固定的失效率λ（危害函數(shù)為定值）。在這個(gè)最簡單的例子中，失效機(jī)率跟失效率λ 和持續(xù)時(shí)間t有關(guān)：

P = 1 - exp(-λt)

P ≈ λt, λt

故障樹分析會(huì)根據(jù)特定的時(shí)間區(qū)間來正規(guī)化，例如飛行時(shí)數(shù)或是平均發(fā)射時(shí)間。事件機(jī)率和這段時(shí)間內(nèi)的危害函數(shù)有關(guān)。

傳統(tǒng)的邏輯門，其輸入及輸出都是二進(jìn)制，不是真（1）就是偽（0），但故障樹中的閘輸出機(jī)率和邏輯代數(shù)中的集合代數(shù)有關(guān)，閘輸出事件的機(jī)率和閘輸入事件的機(jī)率有關(guān)。

及閘表示是獨(dú)立事件的組合。及閘中任何一個(gè)輸入事件的機(jī)率不受其他輸入事件的影響。在集合論的術(shù)語中，這等效于輸入事件集合的交集，及閘輸出的機(jī)率是：

P (A and B) = P (A ∩ B) = P(A) P(B)

相反的，或閘表示是兩個(gè)輸入事件集合的聯(lián)集：

P (A or B) = P (A ∪ B) = P(A) + P(B) - P (A ∩ B)

因?yàn)楣收蠘浞治鲋械氖C(jī)率一般都很小（小于0.01），P (A ∩ B)多半會(huì)變成非常小的項(xiàng)次，而或閘一般會(huì)假設(shè)兩個(gè)輸入可以近似為互斥事件，因此輸出機(jī)率會(huì)比較簡單：

P (A or B) ≈ P(A) + P(B), P (A ∩ B) ≈ 0

二個(gè)輸入的互斥或閘表示其中只有一個(gè)成立的機(jī)率：

P (A xor B) = P(A) + P(B) - 2P (A ∩ B)

因?yàn)镻 (A ∩ B)數(shù)值多半很小，互斥或閘近似于或閘，在故障樹分析中不常用到。

分析方式故障樹分析有許多不同進(jìn)行的方式，不過最常見也最多人使用的方式可以整理成幾個(gè)步驟。一個(gè)故障樹可以分析一個(gè)不想要的事件（或是最上方事件），也只能分析一個(gè)。其結(jié)果可以連接到其他的故障樹去，成為基本事件。雖然不想要事件的本質(zhì)可能有很大的差異，事件可能是發(fā)電系統(tǒng)晚了0.25ms發(fā)電，未檢測(cè)到的貨艙失火，或是洲際導(dǎo)彈隨機(jī)的意外發(fā)射等，但其故障樹分析的程序都相同。因?yàn)槿肆Τ杀镜目剂?，一般只?huì)對(duì)不想要事件中最嚴(yán)重的進(jìn)行故障樹分析。

故障樹分析可以分為五個(gè)步驟：

定義要探討的不想要事件

不想要事件的定義可能非常困難，不過也有些事件很容易分析及進(jìn)行觀察。充份了解系統(tǒng)設(shè)計(jì)的工程師或是有工程背景的系統(tǒng)分析師最適合定義及列舉不想要的事件。不想要的事件可以用來進(jìn)行故障樹分析，一個(gè)故障樹分析只能對(duì)應(yīng)一個(gè)不想要的事件。

獲得系統(tǒng)的相關(guān)資訊

若選擇了不想要的事件，所有影響不想要事件的原因及其發(fā)生機(jī)率都要研究并且分析。要得知確切的機(jī)率需要很高的成本及時(shí)間，多半是不可能的。電腦軟件可以用來研究相關(guān)機(jī)率，可以進(jìn)行成本較低的系統(tǒng)分析。系統(tǒng)分析師可以了解整個(gè)系統(tǒng)。系統(tǒng)設(shè)計(jì)者知道有關(guān)系統(tǒng)的所有知識(shí)，這些知識(shí)相當(dāng)重要，可以避免遺漏任何一個(gè)會(huì)造成不想要事件的原因。最后要將所有事件及機(jī)率列出，以便繪制故障樹。

繪制故障樹

在選擇了不想要的事件，并且分析系統(tǒng)，知道所有會(huì)造成此事件的原因（可能也包括發(fā)生機(jī)率），就可以繪制故障樹了。故障樹是以或閘及及閘構(gòu)成，定義故障樹的主要特性。

評(píng)估故障樹

在針對(duì)不想要的事件繪制故障樹后，需評(píng)估及分析所有可能的改善方式，換一個(gè)方式來說，是進(jìn)行風(fēng)險(xiǎn)管理，并且設(shè)法改善系統(tǒng)。這個(gè)步驟會(huì)導(dǎo)入下一個(gè)步驟，也就是控制所識(shí)別的風(fēng)險(xiǎn)。簡單來說，此一步驟會(huì)設(shè)法找出降低不想要的事件發(fā)生機(jī)率的方式。

控制所識(shí)別的風(fēng)險(xiǎn)

此步驟會(huì)隨系統(tǒng)而不同，但主要重點(diǎn)是在識(shí)別所有風(fēng)險(xiǎn)后，確認(rèn)有使用所有可行的方來降低事件的發(fā)生率1。

和其他分析方式的比較故障樹分析是演繹推理，是從上到下的方式，分析復(fù)雜系統(tǒng)初始失效及事件的影響。故障樹分析恰好和失效模式與影響分析（FMEA）相反，F(xiàn)MEA是歸納推理，是從下到上的方式，分析設(shè)備或是子系統(tǒng)的單一元件失效或是機(jī)能失效的影響。故障樹分析若用來分析系統(tǒng)如何避免單一般（或是多重）初始故障發(fā)生，是很好的工具，但無法用故障樹分析找到所有可能的初始故障。FMEA可以用窮舉的方式列出所有的初始故障，并識(shí)別其局部的影響，不適合用來檢驗(yàn)多重失效，或是他們對(duì)系統(tǒng)層級(jí)的影響。故障樹分析會(huì)考慮外部事件，而FMEA不會(huì)在民航機(jī)產(chǎn)業(yè)常會(huì)同時(shí)使用故障樹分析及失效模式與影響分析，并且用故障模式效應(yīng)概述（failure mode effects summary, FMES）作為兩者的界面。

其他可以取代故障樹分析的分析方式有可靠度方塊圖（RBD，也稱為相依圖dependence diagram，簡稱DD）及馬爾可夫鏈?？煽慷确綁K圖等效于成功樹分析（STA），在邏輯上恰好和故障樹分析相反，而且用路徑來代替閘。相依圖和成功樹分析成功（避免不想要事件）的機(jī)率，而不是不想要事件發(fā)生的機(jī)率2。

歷史故障樹分析（FTA）一開始是由貝爾實(shí)驗(yàn)室的H.A. Watson所發(fā)展的，一開始是因?yàn)槊绹哲姷?26 ICBM系統(tǒng)群的委托，要評(píng)估義勇兵一型洲際彈道導(dǎo)彈（ICBM）的發(fā)射控制系統(tǒng)。之后故障樹分析開始成為可靠度分析者進(jìn)行失效分析的工具。1962年義勇兵一型洲際彈道導(dǎo)彈的發(fā)射控制安全研究，第一次公布使用故障樹分析技術(shù)，之后波音及Avco在1963年至1964年開始將故障樹分析用在義勇兵二型的完全系統(tǒng)上。在1965年由波音及華盛頓大學(xué)贊助，在西雅圖進(jìn)行的系統(tǒng)安全研討會(huì)中，廣泛的報(bào)導(dǎo)了故障樹分析的相關(guān)技術(shù)。波音公司在1966年開始將故障樹分析用在民航機(jī)的設(shè)計(jì)上。

之后，美國軍方的皮卡汀尼·阿森納在1960及1970年代開始將故障樹分析用在引線的應(yīng)用上。美國陸軍裝備司令部在1976年代開始將故障樹分析整合到可靠度設(shè)計(jì)工程設(shè)計(jì)手冊(cè)（Engineering Design Handbook on Design for Reliability）中。羅馬實(shí)驗(yàn)室的可靠度分析中心以及后續(xù)在美國國防技術(shù)資訊中心下的組織自1960年代起出版了故障樹分析及可靠度方塊圖的文件。MIL-HDBK-338B中有更近期的參考資料。

美國聯(lián)邦航空管理局（FAA）在1970年在聯(lián)邦公報(bào)35 FR 5665（ 1970-04-08）中發(fā)布了14CFR25.1309的修訂，是針對(duì)運(yùn)輸類航空器適航性的規(guī)定。這項(xiàng)修訂采用了飛機(jī)系統(tǒng)及設(shè)備的失效機(jī)率準(zhǔn)則，因此民航機(jī)業(yè)者開始普遍使用故障樹分析。FAA在1998年發(fā)行了Order 8040.4，建了包括危害分析在內(nèi)的風(fēng)險(xiǎn)管理政策，包括了在飛機(jī)通過認(rèn)證之后的許多關(guān)鍵活動(dòng)，包括航空交通管制及美國國家空域系統(tǒng)的現(xiàn)代化，后來美國聯(lián)邦航空管理局也出版了FAA系統(tǒng)安全手冊(cè)（FAA System Safety Handbook），其中描述了許多正式危害分析的方式，其中也包括了FTA的使用。

在美國的阿波羅計(jì)劃初期，就已經(jīng)針對(duì)將太空人送到月球，并且平安返回地球的可能機(jī)率進(jìn)行分析。根據(jù)一些風(fēng)險(xiǎn)（或可靠度）計(jì)算的結(jié)果，任務(wù)成功的機(jī)率低到無法讓人接受。因此NASA就不進(jìn)行后續(xù)的定量分析或是可靠度分析，只依靠失效模式與影響分析及其他定性的系統(tǒng)安全評(píng)估工具，一直到發(fā)生挑戰(zhàn)者號(hào)事件為止。之后NASA體驗(yàn)到故障樹分析及概率風(fēng)險(xiǎn)評(píng)估（PRA）在系統(tǒng)安全及可靠度分析上的重要性，開始廣為使用，后來故障樹分析變成最重要的系統(tǒng)可靠度及安全分析技術(shù)之一。

在核能產(chǎn)業(yè)中，美國核能管理委員會(huì)在1975年開始使用包括故障樹分析在內(nèi)的概率風(fēng)險(xiǎn)評(píng)估（PRA），在1979年的三哩島核泄漏事故后，大幅擴(kuò)展了概率風(fēng)險(xiǎn)評(píng)估的相關(guān)研究。最后美國核能管理委員會(huì)在1981年出版了NRC Fault Tree Handbook NUREG–0492，也在核能管理委員會(huì)管轄的范圍內(nèi)強(qiáng)制使用概率風(fēng)險(xiǎn)評(píng)估技術(shù)。

在1984年博帕爾事件及1988年阿爾法鉆井平臺(tái)爆炸等工安事件后，美國勞工部職業(yè)安全與健康管理局(OSHA) 在1992年在發(fā)布了聯(lián)邦公報(bào)57 FR 6356（1992-02-24），其中提到19 CFR 1910.119中的流程安全管理（PSM）標(biāo)準(zhǔn)職業(yè)安全與健康管理局的程序安全管理系統(tǒng)將故障樹分析視為是流程危害分析（PHA）的一種可行作法。

目前在系統(tǒng)安全及可靠度分析中廣為使用故障樹分析，故障樹分析也應(yīng)用在所有主要的工程領(lǐng)域中3。