在故障树分析法中,建树工作是最重要的环节。建树的完善与否直接影响到故障树的定性分析和定量分析的准确性。故障树应该是实际系统故障组合和传递的逻辑关系的正确抽象。因而,建树工作要求建树者对系统及其各个组成部分有透彻的了解,最好由系统设计、运行和可靠性等方面的专家密切合作来进行。建树过程往往又是一个多次反复、逐步深入、逐步完善的过程。在这个过程中发现系统的薄弱环节还可以边建边改,以提高系统的可靠性。这比简单地计算出一个系统可靠度数值显得更为意义重大。
1)故障树顶事件的选择
建树工作是由全面熟悉对象、选择顶事件开始的。必须从任务及功能的联系入手,了解系统和设备的运行功能、成功准则、环境应力条件以及在此环境应力条件下的各种故障模式及危害程度,选择一个最不希望发生的事件作为顶事件。在很多情况下,所选择的顶事件就是故障模式及影响分析所识别出来的高危害度事件。这些事件通常具有如下特征:
(1)妨碍任务的完成,如系统停止工作或丧失大部分功能。
(2)对安全构成威胁,如造成人身伤亡或导致财产的重大损失。
(3)严重影响经济效益,如船舶的航速降低或油耗上升等。
因为一棵故障树只能有一个顶事件,所以,一棵故障树只能反映系统一个方面的情况。这样,对于某些多输出状态的复杂系统,往往需要用多个故障树从各个不同的方面对其进行分析。
2)功能逻辑图绘制
绘制系统的功能逻辑图以及进行详细的故障模式及影响分析(FMEA或FMECA)是建立完善的故障树的必不可少的条件。绘制功能框图它不同于产品的原理图、结构图、信号流图,而是表示产品各组成部分所承担的任务或功能间的相互关系,以及产品每个约定层次间的功能逻辑顺序、数据(信息)流、接口的一种功能模型。
3)故障树建立的法则
选定顶事件后,所要做的事情是要研究产生这种顶事件的直接原因事件,并通过一个逻辑门将这些原因事件和顶事件连接起来。然后再寻找这些原因事件的直接原因事件。如此一步一步下去,直到所有的原因都是可分析的,不需要再进一步分解或无法再进一步分解为止。这些最后的原因事件就是底事件。这样就可以得到一棵故障树。
为了得到一棵完整的故障树,建树时还必须遵循以下法则:
(1)故障事件应明确定义。为了正确确定故障事件的全部必要而又充分的直接原因,各级故障事件都必须严格定义,指明故障是什么,在什么条件下产生。遵循这条法则,有时甚至要求进行过于冗长的叙述,但这种“冗长”的叙述是必要的。绝不能因为原来画的框太小而随意删减,从而使得叙述不清,妨碍故障树的正确建造。
(2)问题的边界条件应定义清楚,否则一个大型复杂传统的故障树将不知建到何时为止。为清楚地限定故障树的范围,除对所讨论的系统和其他系统的界面应作明确划分外,还应做出一些必要的假设。这些界面和假设就是限定故障树范围的边界条件。例如,假设船体不会损坏、不考虑人为失误等都是建树时的一些边界条件。
(3)建树应逐级进行。建树的思维方式是从个别到一般的逻辑演绎方式。因而,建树时应有全局观念。首先将本级逻辑门的全部输入事件都确定清楚后,才能去发展这些输入事件。绝不允许跳跃,否则将有可能造成遗漏。
(4)建树时不允许门和门直接相连。门的输出必须用一个结果事件清楚地加以定义,不允许门的输出不经过任何结果事件符号便直接和另一个门连接。否则容易造成逻辑跳跃及输出事件定义不清,导致故障树所反映的逻辑与系统应有的逻辑不一致。
要建立一棵完整的故障树,除了必须遵循以上规则外,以下几条指南也能提供一个良好的帮助。
(1)用等价的比较具体或比较直接的事件取代比较抽象或比较间接的事件。同一个事件在作为输入事件和输出事件时,由于其所处的地位不同,其描述的方法也不一样。在作为输入事件时,它是作为上一级的原因事件来解释的。在作为输出事件时,为了更好地进行分解,有时需要对这一事件进行重新叙述、解释。排在下面的等价事件可以说是排在上面的事件的解释,或是唯一原因。
(2)将故障事件所包括的各种更基本的事件作为故障事件下逻辑或门的输入事件。
(3)存在保护装置时,应将初因事件(起触发作用的事件)和保护失效事件作为故障事件下逻辑与门的输入事件。
(4)若存在相互起促进作用的原因事件,则应将这些原因事件作为故障事件下逻辑与门的输入事件。
(5)凡系单元性故障,均应按典型格式经逻辑或门列出三个原因事件:“一次失效”、“二次失效”和“指令失效”。所谓“一次失效”指的是单元处于设计额定应力条件下所发生的失效,其主要原因是单元自身的磨损和自然老化。“二次失效”指的是单元处于超设计额定应力条件下发生的失效,其主要原因来自外部。如环境条件太差,相邻单元失效导致本单元所承受的应力增大等。“指令失效”指的是单元因收到错误指令而引起的失效。
4)故障树建立示例
下面以水下运载器动力系统水面航行工况的故障树的建立为例,具体说明故障树建立的一般过程。
水下运载器的动力系统由柴油机、主电机、经济航行电机、配电网络、蓄电池和主轴等系统组成,主要功能是为水下运载器提供动力并推动水下运载器前进,系统的工作原理如图6-9所示;功能逻辑如图6-10所示。
在水下运载器水面航行状态时,最不希望动力系统出现的情况是不能推进水下运载器航行。因而,可以选择“不能推进水下运载器进行水面航行”作为故障树的顶事件。水下运载器动力系统及设备的各种可能的故障模式及影响如表6-4所示。
图6-9 水下运载器动力系统工作原理
图6-10 水下运载器动力系统功能逻辑
表6-4 水下运载器动力系统及设备故障模式及影响
(续表)
(续表)
(续表)
由于表6-4主要是为故障树的建立服务的,因而略去了原FMECA中与建树无关的若干因素,仅保留了一些和建树有关的信息。由表6-4可以看出,水下运载器不能进行水面航行的直接原因有两个:一是螺旋桨失效;二是尾轴没有动力输出给螺旋桨。因而,顶事件“不能推进水下运载器进行水面航行”的原因事件有两点:“螺旋桨失效”和“尾轴无动力输给螺旋桨”。只要这两个原因事件中任何一个发生都将导致结果事件“不能推进水下运载器进行水面航行”,因而可以用一个“或”门将它们和“不能推进水下运载器进行水面航行”连接在一起(见图6-11)。
图6-11中,“螺旋桨失效”和“尾轴无动力输给螺旋桨”都可以进一步分析下去,因而可以取作中间事件。
“螺旋桨失效”有两种基本模式:一是“螺旋桨一次失效”;二是“螺旋桨二次失效”。因而可以用一个“或”门将“螺旋桨失效”和“螺旋桨一次失效”及“螺旋桨二次失效”连接起来(见图6-12)。图中“螺旋桨一次失效”是可以单独分析的,因而可取作基本事件。“螺旋桨二次失效”只有一个等效事件:“螺旋桨被撞坏”。而螺旋桨被撞坏的概率无法统计,只能将“螺旋桨被撞坏”取为非基本事件。
图6-11 “不能推进水下运载器进行水面航行”准故障树
图6-12 “螺旋桨失效”准故障树
“尾轴无动力输给螺旋桨”可能由于两个原因造成:一是尾轴系失效;二是位于其前的推力轴承根本无动力输出。因而,可以在“尾轴无动力输给螺旋桨”下面通过一个“或”门连接“尾轴系失效”和“推力轴无动力输出”这两个中间事件(见图6-13)。
图6-13 “尾轴无动力输给螺旋桨”准故障树
尾轴系包括尾轴、刹车装置、尾轴填料箱、前轴承、中轴承和后轴承。只要这六个设备中任何一个出了故障,轴系即不能正常工作。这样,可以通过一个“或”门将它们的失效事件和“尾轴系失效”连接起来(见图6-14)。前轴承、中轴承和后轴承的二次失效事件后都可以接一个等效的基本事件——“前(后、中)轴承无润滑”。而“刹车装置没放开”可以归结为“操作失误”或“刹车装置卡死”。“尾轴失效”为一中间事件。
图6-14 “尾轴系失效”准故障树
有两个原因可能导致“推力轴无动力输出”:一是“推力轴失效”;二是“推力轴无动力输入”,因而,可以用一个“或”门将它们连接起来。其中“推力轴无动力输入”下紧跟一个等效事件“推力轴承无动力输出”,两个原因事件均为中间事件(见图6-15)。
图6-15 “推力轴无动力输出”准故障树
在图6-13中,“尾轴失效”可归结为“尾轴一次断裂”或“尾轴二次断裂”。因而,可以用一个“或”门将它们连接起来。其中“尾轴一次失效”为一基本事件,“尾轴二次断裂”为一中间事件(见图6-16)。
图6-16 “尾轴失效”准故障树
在图6-15中,“推力轴失效”可归结为“推力轴一次断裂”或“推力轴二次断裂”。因而,可用一个“或”门将它们连接起来,其中“推力轴一次断裂”为一基本事件,“推力轴二次断裂”为一中间事件(见图6-17)。
图6-17 “推力轴失效”准故障树
在图6-16中,“尾轴二次断裂”可以归结为“前轴承卡死”“中间轴承卡死”和“后轴承卡死”,因而,可以用一个“或”门将“尾轴二次断裂”与这些基本事件连接起来(见图6-18)。
图6-18 “尾轴二次断裂”准故障树
在图6-17中,“推力轴二次断裂”可归结为“前轴承卡死”“中轴承卡死”“后轴承卡死”“填料箱卡死”或“刹车装置没有放开”。因而,可以用一个“或”门将“推力轴二次断裂”与这些事件连接起来(见图6-19)。
“推力轴承无动力输出”有两个可能原因:一是推力轴承失效;二是推力轴承根本就无动力输入。因而,可以用一个“或”门将“推力轴承无动力输出”和“推力轴承失效”以及“推力轴承无动力输入”这两个事件连接起来。其中“推力轴承失效”可取作基本事件,“推力轴承无动力输入”可取作中间事件(见图6-20)。
图6-19 “推力轴二次断裂”准故障树
图6-20 “推力轴承无动力输出”准故障树
在正常情况下,有三种动力可以输给推力轴承,它们分别是柴油机动力、经济电机动力和主电机动力。只有当这三种动力都无法输给推力轴承时,才会导致“推力轴承无动力输入”。因而,在“推力轴承无动力输入”下可通过一个“与”门连接“柴油机动力输不进推力轴承”“主电机动力输不进推力轴承”和“经济电机动力输不进推力轴承”这三个中间事件(见图6-21)。
图6-21 “推力轴承无动力输入”准故障树
“经济电机动力输不进推力轴承”有三个独立的原因:一是经济电机离合器未合上;二是后离合器没有脱开;三是经济电机无动力输出。因而,可以用一个“或”门将“经济电机动力输不进推力轴承”与它们连接起来(见图6-22)。
图6-22 “经济电机动力输不进推力轴承”准故障树
“后离合器没有脱开”有三种可能原因:一是操作失误;二是后空气分配器失效;三是后离合器轮胎粘连。因而,可以用一个“或”门将“后离合器没有脱开”与这三个基本事件连接起来(见图6-23)。
图6-23 “后离合器没有脱开”准故障树
“经济电机离合器没合上”的原因很多,主要有:“误操作”“压带轮一次破裂”“压带轮二次破裂”“压带机构失效”“皮带一次断裂”“皮带二次断裂”等。而“压带轮二次破裂”和“皮带二次断裂”以及“误操作”均属极小概率事件,可以取作非基本事件。其他事件则可取作基本事件(见图6-24)。
图6-24 “经济电机离合器没合上”准故障树
“经济电机无动力输出”有三个可能的原因:一是经济电机失效;二是经济电机无电能输入;三是经济电机控制板失效。因而,可用一个“或”门将“经济电机无动力输出”和这三个事件连接起来。其中“经济电机失效”和“经济电机控制板失效”为基本事件,“经济电机无电能输入”为一中间事件(见图6-25)。
图6-25 “经济电机无动力输出”准故障树
“经济电机无电能输入”可能由下列两种原因之一导致:“蓄电池组失效”和“蓄电池自动开关失效”。因而,可用一个“或”门将“将经济电机无电能输入”和这二个基本事件连接起来(见图6-26)。
图6-26 “经济电机无电能输入”准故障树
“主电机动力输不进推力轴承”可能有四个原因:一是经济电机离合器未脱开;二是后离合器未合上;三是前离合器未脱开;四是主电机没有动力输出。这四个原因中任何一个发生都有可能导致“主电机动力传输不到推力轴承”。因而,可以通过一个“或”门将“主电机动力传输不到推力轴承”与这四个原因事件连接起来。这四个原因事件均为中间事件(见图6-27)。
图6-27 “主电机动力输不进推力轴承”准故障树
“经济电机离合器未脱开”有两个可能原因:一是压带机构卡死;二是操作失误。因而,可以通过一个“或”门将“经济电机离合器未脱开”和“操作失误”及“压带机构卡死”连接起来(见图6-28)。
图6-28 “经济电机离合器未脱开”准故障树
导致“前离合器未脱开”的可能原因有三个:一是操作失误;二是前离合器轮胎粘连;三是前空气分配器失效。因而,可用一个“或”门将“前离合器未脱开”与这三个基本事件连接起来(见图6-29)。
图6-29 “前离合器未脱开”准故障树
“后离合器未合上”有三个可能原因:“操作失误”“后离合器轮胎破损”和“后空气分配器失效”。因而,可以通过一个“或”门将“后离合器未合上”与这三个基本事件连接起来(见图6-30)。
图6-30 “后离合器未合上”准故障树
“主电机没有动力输出”可能由三个原因导致:“主电机一次失效”“主电机二次失效”和“主电机无电能输入”。因而,可用一个“或”门将“主电机没有动力输出”与这三个基本事件连接起来。其中“主电机一次失效”为基本事件,“主电机二次失效”和“主电机无电能输入”均为中间事件(见图6-31)。
图6-31 “主电机没有动力输出”准故障树
“主电机无电能输入”可以归结为“蓄电池组失效”“蓄电池自动开关失效”和“主电机控制板失效”。因而,可以用一个“或”门将“主电机无电能输入”与这三个基本事件连接起来(见图6-32)。
图6-32 “主电机无电能输入”准故障树
“主电机二次失效”则可归结为“操作失误”和“主电机冷却系统失效”。因而,可以用一个“或”门将“主电机二次失效”和这二个基本事件连接起来(见图6-33)。用上述办法可以将“柴油机动力不能输到推力轴承”的分支故障树表示为如图6-34所示的形式。
图6-33 “主电机二次失效”准故障树
图6-34 “柴油机动力不能输到推力轴承”分支故障树
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
