概率安全評估和可靠性分析中故障樹的重要度分析

宋述芳，馬藝琰，王璐

(西北工業(yè)大學(xué) 航空學(xué)院，西安 710072)

0 引 言

故障樹分析(Fault Tree Analysis，簡稱FTA)是復(fù)雜系統(tǒng)可靠性、安全性和風(fēng)險評估的一種有效方法[1-2]。FTA方法是由H.A.Watson在1961年首次提出，并應(yīng)用于民兵式導(dǎo)彈發(fā)射系統(tǒng)，取得了卓越的成績。經(jīng)過幾十年的發(fā)展，F(xiàn)TA逐步形成了完整的理論，并廣泛應(yīng)用于核工業(yè)、航空航天、機(jī)械制造、電子電力、交通和化工等各個領(lǐng)域。

FTA方法是將系統(tǒng)故障的形成原因按照樹枝狀逐級細(xì)化的圖形演繹方法，可以形象地反映故障發(fā)生的因果關(guān)系。通過概率安全評估的定性和定量分析，可以分析出系統(tǒng)的薄弱環(huán)節(jié)，指導(dǎo)系統(tǒng)的安全運(yùn)行，并最終實現(xiàn)系統(tǒng)的優(yōu)化設(shè)計[2]。故障樹的定性分析是通過尋找最小割集，來識別所有導(dǎo)致系統(tǒng)故障的故障模式，從而發(fā)現(xiàn)系統(tǒng)的薄弱環(huán)節(jié)，判別系統(tǒng)的潛在故障，以便優(yōu)化系統(tǒng)的設(shè)計，指導(dǎo)系統(tǒng)的故障診斷。故障樹的定量分析是利用故障樹的計算模型，在已知基本事件發(fā)生概率的條件下，求頂事件的發(fā)生概率，即失效概率，以及通過臨界重要度分析來全面考慮基本事件對頂事件發(fā)生概率的影響程度。

在故障樹的可靠性分析中，將故障樹的基本事件的發(fā)生概率看作隨機(jī)輸入變量，將故障樹的結(jié)構(gòu)函數(shù)作為可靠性分析的狀態(tài)函數(shù)，可通過數(shù)字模擬法求得系統(tǒng)的失效概率[3]。全局靈敏度(也稱為重要測度)[4]可以全面求解基本變量對失效概率的影響，從而確定重要的基本事件，以指導(dǎo)系統(tǒng)的優(yōu)化設(shè)計，具有與臨界重要度相同的目的和作用。

在工程結(jié)構(gòu)分析中，安全性和可靠性都是結(jié)構(gòu)質(zhì)量管理的重要方面。針對相同的故障樹，安全概率評估和可靠性分析都可以進(jìn)行結(jié)構(gòu)故障的概率分析和重要度分析，那么兩者分析的頂事件發(fā)生的概率以及基本事件的重要度有哪些區(qū)別和聯(lián)系？由于安全性和可靠性的理論體系有差異，無法直接定量推導(dǎo)進(jìn)行分析比較。本文通過對三個飛機(jī)系統(tǒng)的故障樹進(jìn)行概率安全評估和可靠性分析，以期得出失效概率和重要度表征的定性結(jié)論。

1 概率安全評估的故障樹分析

故障樹分析方法是安全系統(tǒng)工程中常用的一種分析方法。這種方法將系統(tǒng)可能發(fā)生的某種事故與導(dǎo)致事故發(fā)生的各種原因之間的邏輯關(guān)系用樹形圖的方式表示出來，通過對故障樹的定性和定量分析，找出事故發(fā)生的主要原因，為確定安全對策提供可靠依據(jù)，達(dá)到預(yù)防和控制事故發(fā)生的目的。

1.1 最小割集

將同時發(fā)生就能導(dǎo)致頂事件發(fā)生的基本事件的組合稱為割集，最小割集是能夠引起頂事件發(fā)生的最低數(shù)量的基本事件的組合。最小割集指明了哪些基本事件同時發(fā)生就可以使頂事件發(fā)生的故障模式，即每個最小割集都是頂事件發(fā)生的可能途徑。最小割集的數(shù)目越多，系統(tǒng)的危險性越大。

1.2 概率函數(shù)

故障樹的概率函數(shù)是指由基本事件X1,X2,…,Xn發(fā)生的概率q1,q2,…,qn組成的頂事件發(fā)生概率的計算式g(q)。求出故障樹的最小割集后，可依據(jù)其來表達(dá)故障樹的概率函數(shù)。

(1) 當(dāng)不同的最小割集中不包含相同基本事件時，故障樹的概率函數(shù)可以寫成最小割集邏輯“加”形式。

(2) 有相同的基本事件，需要使用不交化方法，利用布爾代數(shù)運(yùn)算法則，使最小割集的交集變?yōu)椴唤患缓蟀疵總€最小割集發(fā)生概率的代數(shù)和來計算頂事件的發(fā)生概率。

1.3 臨界重要度

定義臨界重要度為基本事件發(fā)生概率的相對變化率與頂事件發(fā)生概率的相對變化率的比值，反映了當(dāng)基本事件發(fā)生概率變化時，對頂事件發(fā)生概率變化量的影響程度。則第i個基本事件的臨界重要度系數(shù)Ic(i)[2]為

(1)

2 可靠性估計中的故障樹分析

將故障樹的結(jié)構(gòu)函數(shù)作為可靠性分析的狀態(tài)函數(shù)，將基本事件的發(fā)生概率作為隨機(jī)輸入變量，就可以對故障樹進(jìn)行可靠性分析。

2.1 失效概率

假設(shè)隨機(jī)輸入變量的聯(lián)合概率密度分布函數(shù)為ρ(X)，用Monte Carlo法隨機(jī)抽取N個樣本點(diǎn)xj(j=1,2,…,N)，即可估計得出失效發(fā)生的概率Pf[3]為

(2)

2.2 全局靈敏度指標(biāo)

可靠性分析中，局部靈敏度指標(biāo)通常用失效概率對分布參數(shù)的偏導(dǎo)數(shù)來表達(dá)，不能考慮參數(shù)的變異性對結(jié)構(gòu)響應(yīng)的影響。全局考慮輸入變量的不確定性對輸出響應(yīng)不確定性的影響程度，需要進(jìn)行全局靈敏度分析。

(3)

失效概率全局靈敏度指標(biāo)具有如下特性：(1)ηi≥0, 如果ηi=0，則輸入變量Xi對失效概率沒有影響；(2)如果設(shè)置變量組，則可以考慮該變量組對失效概率的交叉影響，且ηmax=η1,2,…,n。失效概率全局靈敏度指標(biāo)表征隨機(jī)變量的取值規(guī)律對失效概率的影響程度，能夠全面地衡量各輸入變量對失效概率的貢獻(xiàn)，為可靠性設(shè)計提供有用信息。

3 算例分析及說明

式(2)確定的失效概率與概率安全評估中頂事件發(fā)生的概率是否一致？式(1)和式(3)確定的重要度排序是否一致？它們之間是否存在一定的關(guān)系？用以下三個飛機(jī)結(jié)構(gòu)的故障樹為例，進(jìn)行分析說明。

算例1 以某飛機(jī)襟翼失效[5]為例，將該飛機(jī)襟翼機(jī)構(gòu)的單側(cè)不對稱運(yùn)動失效作為傳動及控制系統(tǒng)失效的頂事件。襟翼傳動機(jī)構(gòu)及控制系統(tǒng)運(yùn)行的聯(lián)接關(guān)系描述如下：內(nèi)襟翼由1號和2號作動器驅(qū)動，且這兩個作動器都未設(shè)置監(jiān)控內(nèi)襟翼傾斜角的傳感器。外襟翼由3號和4號作動器驅(qū)動，這兩個作動器都設(shè)置監(jiān)控外襟翼傾斜角的傳感器。襟翼傳動機(jī)構(gòu)最外側(cè)的扭力管處裝有兩個位置傳感器，用于監(jiān)控單側(cè)襟翼的位置。襟翼位置控制系統(tǒng)由1號和2號襟翼控制單元組成，該控制系統(tǒng)是冗余的，能夠自動隔離故障控制單元的信號從而采用正常的控制裝置進(jìn)行控制。如果控制單元的信號顯示襟翼系統(tǒng)是傾斜或者非對稱的，那么控制驅(qū)動裝置將會使襟翼停止運(yùn)動并將襟翼控制在安全范圍內(nèi)。

飛機(jī)襟翼的單側(cè)不對稱運(yùn)動故障樹如圖1所示。在圖1中，頂事件T表示襟翼不對稱運(yùn)動失效事件。故障樹由8個中間事件(用Mi(i=1,2,…,8)表示)、12個基本事件(用Xi(i=1,2,…,12)表示)和多個邏輯門構(gòu)成。中間事件和基本事件的物理意義如表1所示[6]。

圖1 單側(cè)襟翼不對稱運(yùn)動模型故障樹

事 件物理意義基本事件的發(fā)生概率M1可監(jiān)控的襟翼不對稱運(yùn)動單側(cè)傳動故障且監(jiān)控功能失效-M2內(nèi)襟翼分傳動路線故障使內(nèi)襟翼發(fā)生不對稱運(yùn)動-M3襟翼不對稱運(yùn)動監(jiān)控功能失效-M4可監(jiān)控的單側(cè)傳動故障使襟翼不對稱運(yùn)動-M5總傳動路線故障-M6外襟翼分傳動路線故障-M7外襟翼分傳動翼展方向故障-M8外襟翼分傳動翼弦方向故障-X11號襟翼控制裝置監(jiān)控功能失效4.6×10-3X22號襟翼控制裝置監(jiān)控功能失效4.6×10-3X3襟翼驅(qū)動裝置至1號襟翼作動器之間的扭力管組件故障4.0×10-4X4兩個105°角齒輪箱中至少一個發(fā)生故障5.8×10-2X51號襟翼作動器機(jī)械故障不能帶動扭力管運(yùn)動4.0×10-2X61號襟翼作動器翼弦方向傳動故障不能驅(qū)動內(nèi)襟翼運(yùn)動1.8×10-6X72號襟翼作動器翼弦方向傳動故障不能驅(qū)動內(nèi)襟翼運(yùn)動1.8×10-6X82號襟翼作動器翼展方向傳動故障不能帶動外側(cè)扭力管3.5×10-4X92號和3號襟翼作動器之間扭力管組件傳動故障4.5×10-2X10161°角齒輪箱中傳動故障不能帶動外側(cè)扭力管運(yùn)動8.5×10-2X113號襟翼作動器翼弦方向傳動故障不能驅(qū)動外襟翼運(yùn)動2.5×10-6X124號襟翼作動器翼弦方向傳動故障不能驅(qū)動外襟翼運(yùn)動2.5×10-6

(1) 概率安全評估的分析結(jié)果

頂事件發(fā)生的概率：g(q)=8.052×10-6

臨界重要度排序：Ic(1)=Ic(2)>Ic(6)=Ic(7)>Ic(10)>Ic(4)>Ic(9)>Ic(5)>Ic(3)>Ic(8)>Ic(11)=Ic(12)

通過概率安全評估的確定性分析，認(rèn)為飛機(jī)襟翼單側(cè)不對稱運(yùn)動故障中應(yīng)重點(diǎn)關(guān)注1號、2號襟翼作動器翼弦方向故障(X6與X7)和1號、2號襟翼控制裝置對于襟翼不對稱運(yùn)動的監(jiān)控功能失效(X1與X2)，同時也應(yīng)關(guān)注161°角齒輪箱中傳動故障不能帶動其外側(cè)扭力管運(yùn)動事件(X10)。

(2) 可靠性模型及分析結(jié)果

將可靠性模型的輸出量假定為頂事件T發(fā)生的概率，而12個基本事件發(fā)生的概率看作模型的輸入量，且用Xi(i=1,2,…,12)來表示[6]。12個輸入變量均服從對數(shù)正態(tài)分布，其均值在表1最后一列給出，并假定所有輸入變量的誤差因子均為2?？煽啃苑治鏊庙斒录l(fā)生的概率為8.060×10-6，全局靈敏度指標(biāo)確定的重要度排序為：η6η7η11η12η1η2η8η3η10η4η5η9。

概率安全評估的臨界重要度和可靠性分析的全局靈敏度指標(biāo)的對照如表2所示。

表2 算例1臨界重要度和全局靈敏度指標(biāo)的對照表

故障樹頂事件發(fā)生的概率值基本一致；可靠性分析的全局靈敏度指標(biāo)η所確定的基本事件的重要性排序與概率安全評估中的臨界重要度的排序順序并不一致；{X6,X7,X1,X2}依然是重要基本事件，但{X11,X12}的重要度排序發(fā)生了巨大的變化。

算例2 以波音飛機(jī)升降舵操縱分系統(tǒng)為例，依據(jù)其功能的示意圖(如圖2所示)，建立故障樹。設(shè)頂事件為升降舵不能到達(dá)指定位置；構(gòu)建故障樹的邊界條件為：不考慮安定面的影響，并且側(cè)重于分析其機(jī)械故障[7-8]。構(gòu)建的升降舵操縱系統(tǒng)的故障樹如圖3所示，其中的頂事件、中間事件及基本事件的名稱說明以及基本事件發(fā)生的概率如表3所示。

(1) 概率安全評估的分析結(jié)果

頂事件發(fā)生的概率：g(q)≈2.464×10-10

臨界重要度排序：Ic(1)>Ic(2)>Ic(3)>Ic(4)>Ic(9)>Ic(6)=Ic(5)>Ic(7)=Ic(10)>Ic(8)=Ic(11)

可以看出：離合器和傳感器的信號傳遞是重要事件，要保證升降舵正常工作，首先要確保的是離合器和傳感器的正常工作，而后的臨界重要度排序基本是按照基本事件發(fā)生的概率大小進(jìn)行排序的，即著重考慮軸承的磨損和間隙等漸變損傷造成的升降舵不能到達(dá)指定位置的失效。

圖2 波音737-NG飛機(jī)升降舵操縱系統(tǒng)的功能示意圖

圖3 波音737-NG飛機(jī)升降舵操縱系統(tǒng)的故障樹

序號事件事件名稱基本事件發(fā)生的概率1T升降舵不能到達(dá)指定位置-2M1升降舵動作量與指令不符-3M2升降舵機(jī)械卡滯無動作助力器與機(jī)械操縱卡滯,同時離合器故障-4M3升降舵軸承組件故障-5M4助力器與機(jī)械操縱卡滯-6M5左側(cè)助力器與機(jī)械操縱卡滯-7M6右側(cè)助力器與機(jī)械操縱卡滯-8M7左側(cè)機(jī)械操縱卡滯-9M8右側(cè)機(jī)械操縱卡滯-10X1傳感器故障3.65×10-611X2離合器故障1.85×10-612X3升降舵軸承磨損變形1.87×10-513X4升降舵軸承間隙過大1.66×10-514X5左側(cè)助力器卡滯1.00×10-515X6右側(cè)助力器卡滯1.00×10-516X7左側(cè)搖臂卡滯9.09×10-617X8左側(cè)拉桿卡滯7.43×10-618X9方向盤卡滯1.05×10-520X10右側(cè)搖臂卡滯9.09×10-621X11右側(cè)拉桿卡滯7.43×10-6

(2) 可靠性模型及分析結(jié)果

將可靠性模型的輸出量假定為頂事件T發(fā)生的概率，而11個基本事件發(fā)生的概率看做模型的輸入量，且用Xi(i=1,2,…,11)來表示。11個輸入變量均服從對數(shù)正態(tài)分布，其均值在表3最后一列給出，并假定所有輸入變量的誤差因子均為2。頂事件發(fā)生的概率估計為2.463×10-10，失效概率全局靈敏度指標(biāo)確定的輸入量的重要性排序為：η2η1η3η4η8η11η9η6η5η10η7。

概率安全評估的臨界重要度和可靠性分析的全局靈敏度指標(biāo)的對照如表4所示。

表4 算例2臨界重要度和全局靈敏度指標(biāo)的對照表

概率安全評估和可靠性分析所得的失效概率值基本一致；而基本事件的重要性排序并不一致，但重要的基本事件都是{X1,X2,X3,X4}，且基本事件{X5,…,X11}的重要性影響相差不大。

算例3 某型飛機(jī)的起落架系統(tǒng)主要由前、主起落架組成。前起落架固定在前機(jī)身，向機(jī)頭方向收起到前起落架艙內(nèi)，艙口有兩塊護(hù)板蓋住。兩個主起落架分別連接在左、右機(jī)翼主梁和前梁之間的支座上，向機(jī)身方向收到機(jī)翼的主起落架艙內(nèi)，艙口有三塊護(hù)板蓋住。前、主起落架在正常情況下由液壓系統(tǒng)來收放，當(dāng)液壓系統(tǒng)發(fā)生故障時，可采用應(yīng)急系統(tǒng)放下前、主起落架。前、主起落架收上時，由上位鎖鎖住，放下時由收放作動筒的鋼珠鎖及液壓油鎖鎖住。由于主起落架系統(tǒng)較為復(fù)雜，此處只針對“主起落架未到放下位置”這一故障進(jìn)行分析。“主起落架未到放下位置”指的是主起落架放不下來，或者主起落架放下后鎖不住。所建立的故障樹如圖4所示，各事件的名稱及基本事件的發(fā)生概率如表5所示[9]。

圖4 主起落架未到放下位置的故障樹

序號事件事件名稱基本事件發(fā)生的概率1T主起落架未到放下位置-2M1正常情況下未到放下位置-3M2應(yīng)急情況下未到放下位置-4M3主起落架放不下-5M4主起落架放下后鎖不住-6X1液壓電磁閥失效2.50×10-57X2開鎖作動筒失效1.25×10-58X3護(hù)板鎖打不開1.00×10-139X4護(hù)板作動筒失效7.15×10-510X5上位鎖機(jī)構(gòu)卡住2.00×10-1311X6主起落架收放作動筒失效1.25×10-512X7液壓油鎖失效2.00×10-813X8主起落架收放作動筒滾珠鎖失效1.50×10-514X9應(yīng)急放下時上位鎖及護(hù)板鎖打不開3.57×10-5

(1) 概率安全評估的分析結(jié)果

頂事件發(fā)生概率：g(q)≈1.250×10-5

臨界重要度排序：Ic(6)>Ic(9)>Ic(4)>Ic(8)>Ic(1)>Ic(2)>Ic(7)>Ic(5)>Ic(3)

該故障樹的最小割集較多，即造成頂事件發(fā)生的途徑較多，因此頂事件發(fā)生的危險性高。降低基本事件X6、X8、X9的發(fā)生概率，可以大幅降低頂事件發(fā)生概率。

(2) 可靠性模型及分析結(jié)果

將可靠性模型的輸出量假定為頂事件T發(fā)生的概率，而9個基本事件發(fā)生的概率看作模型的輸入量，且同理用Xi(i=1,2,…,9)來表示。計算所得頂事件發(fā)生的概率為：1.252×10-5?？紤]輸入量不同的分布類型和分布參數(shù)，概率安全評估的臨界重要度和四種情況下可靠性分析的全局靈敏度指標(biāo)的結(jié)果如表6所示。

表6 算例3臨界重要度和全局靈敏度指標(biāo)的對照表

概率安全評估和可靠性分析所得的失效概率值基本一致；而從表6可以看出：四種情況下(Case1 輸入量均為對數(shù)正態(tài)分布，誤差因子為2；Case2輸入量均為對數(shù)正態(tài)分布，誤差因子為1.2；Case3輸入量均為指數(shù)分布；Case4輸入量均為均勻分布)可靠性分析的失效概率全局靈敏度指標(biāo)所確定的基本事件的重要性排序與概率安全評估中的臨界重要度的排序順序完全不同，概率安全評估中的重要基本事件是{X6,X9,X8}，非重要基本事件是{X5,X3,X7}；而可靠性分析的重要基本事件均為{X3,X5}，四種情況下的基本變量的重要性排序順序也基本一致。

從飛機(jī)結(jié)構(gòu)的三個故障樹的分析結(jié)果可以看出，概率安全評估和可靠性分析的失效概率值是基本一致的。而可靠性分析的失效概率全局靈敏度指標(biāo)所確定的基本事件的重要性排序與概率安全評估中的臨界重要度的排序順序不一致，甚至?xí)蓄嵏残缘呐判蚪Y(jié)果。究其原因是基本事件發(fā)生概率的隨機(jī)不確定性的引入，且隨機(jī)分布類型和分布參數(shù)不同，重要性指標(biāo)數(shù)值也不同。若想獲得準(zhǔn)確的全局靈敏度指標(biāo)以高效快速指導(dǎo)可靠性設(shè)計，需獲取精準(zhǔn)的隨機(jī)變量分布類型和分布參數(shù)，則需借助于先進(jìn)的機(jī)器學(xué)習(xí)算法及Bayes理論。

4 結(jié) 論

(1) 概率安全評估和可靠性分析所得的失效概率值基本一致；而由于引入基本事件發(fā)生概率的隨機(jī)性，會使得基本事件的重要性排序發(fā)生變化。

(2) 概率安全評估是在基本事件發(fā)生概率取其名義值時得出的，其魯棒性欠缺，即當(dāng)基本事件發(fā)生的概率值有微小擾動時，概率安全評估必須要進(jìn)行重新分析和計算。相對而言，考慮基本事件發(fā)生概率的不確定性得出的可靠性結(jié)果會更加可靠。

(3) 對于基本事件相關(guān)或最小割集相交或不確定信息不完善等情況下，概率安全評估與可靠性分析之間的差異有待進(jìn)一步考慮，這將為飛行器結(jié)構(gòu)安全工程理論體系的完善依據(jù)。