如何開展民用飛機「故障樹分析」(FTA)?

01 前面的話

在之前關於民用飛機和系統安全性的文章中，我們介紹了系統安全性評估過程三部曲：FHA、PSSA 和 SSA，也提到了 FTA、FMEA 和 CCA 等安全性分析方法。

今天，我們結合 SAE ARP4761，對 FTA（Fault Tree Analysis，故障樹分析）這樣一種演繹的安全性分析方法， 進行詳細介紹。

註：與 FTA 類似的分析方法還包括 關聯圖分析（Dependence Diagrams, DD）和 馬爾可夫分析（Markov Analysis, MA）。但目前主流的飛機製造商和供應商，大多採用 FTA，因此這裡不再討論關聯圖或馬爾可夫分析。

02 「故障樹」 與 「故障樹分析」

A. 故障樹 Fault Tree

故障樹：是一種倒立的、樹狀邏輯、因果關係圖，它用各種事件符號、邏輯門和轉移符號來描述系統中各種事件之間的因果關係。邏輯門的輸入事件是輸出事件的 「因」，邏輯門的輸出事件是輸入事件的 「果」。

B. 故障樹分析 Fault Tree Analysis

故障樹分析：是一種對 「不期望發生的事件」 進行的自上而下的分析技術，通過對可能造成飛機或系統故障的系統、硬體、軟體、環境、人為因素等進行分析，從而確定故障原因的各種組合和發生概率。

典型的故障樹示例如下：

03 FTA 目的和用途

A. FTA 目的

FTA 是一種常用的安全性分析方法。它通過演繹的故障分析方法，研究系統特定的 「不希望發生的事件」（即頂事件）。

FTA 是一種系統化的評估流程，自上而下嚴格按照故障的層次，進行因果邏輯分析。逐層找出故障事件的直接原因，畫出邏輯關係圖（樹狀模型），最終找出導致頂事件發生的所有原因和原因組合（即識別導致頂事件發生的所有故障模式）。

通過 FTA 的分析結果，可以確定被分析系統的薄弱環節、關鍵部位、應採取的措施等。

此外，FTA 還可以確定與該頂事件相關的各種隱蔽故障，揭示系統內部的聯繫，指導故障檢測和維修計劃的制定，確定系統監控的設計等。

B. FTA 用途

FTA的具體用途如下：

便於工程技術人員和型號審查方進行評估和評審；

用於評估設計更改對安全性的影響；

定量計算頂事件的發生概率；

分配下層事件的概率指標；

針對研製差錯，提供了一種定性和定量的混合評估方式；

評估單個失效或組合失效的影響；

評估暴露時間、隱蔽故障檢查間隔及對系統的影響；

評估共因故障的影響；

評估失效-安全的設計特徵。

C. FTA 注意事項

通常 FHA 識別的失效狀態都應得到合適的處理。對於所有災難級和危險級失效狀態，應開展定量 FTA；對於較大的失效狀態，若有必要也可進行FTA。

在進行 FTA 時，應建立全機通用的命名規則，用於標記故障樹中的所有基本事件。根據命名規則為故障樹基本事件分配名稱，並在各個設計團隊間通用。這對於識別多次出現的事件、增加故障樹可讀性、便於系統間交叉引用是很有必要的。該方法可確保多次出現的事件能夠正確地在故障樹和割集中體現出來。

當為 PSSA 或 SSA 進行 FTA 時，維修任務相關的故障檢測方法和允許的時間間隔，建議與飛機級規定的維修任務和時間間隔相匹配。

FTA 不只是定量的，也可以是定性的。

04 FTA 輸入輸出及工作安排

A. 輸入輸出

在飛機和系統設計過程中，FTA 主要用於安全性評估。在飛機初步設計和詳細設計階段，FTA 作為 PSSA 過程的一部分，對安全性需求進行分解；在全面試製和試飛取證階段，FTA 作為 SSA 過程的一部分，對安全性需求進行驗證。

FTA 的輸入數據包括系統 FHA 和建立故障樹所必須的技術資料。這些技術資料包括系統方案設計、架構原理、運行程序、維修程序、設備失效數據等相關資料。

FTA 的輸出數據包括 FTA 報告、FTA 發現的系統薄弱環節等。FTA 結果也可反過來驅動系統設計。

B. 工作安排

典型的 FTA 工作安排，如下圖所示。

在 FHA 定義階段，執行初始 FTA，在系統頂層確定導致 FHA 中 FC 的失效組合，並分配初步的失效概率；

進入初步設計階段後，系統架構漸漸清晰，需求確認逐步深入，FTA 需完成第一次迭代，以支持系統架構的權衡和選擇，並分配下一層級安全性需求；

進入詳細設計階段後，軟硬體設計需求逐步確定，此時可結合相似硬體的 FMEA/FMES 等經驗數據，為故障樹底事件分配預計的失效率。並計算預計的頂事件失效率是否可滿足 FHA 要求。此版本的故障樹用於支持 「設計凍結」；

進入全面試製階段後，試驗過程中暴露的問題，將導致設計更改不可避免，此時需要對故障樹進行修正；

進入試飛取證階段後，需要綜合考慮試飛過程中的問題，建立最終的故障樹。此時的故障樹作為 SSA 的一部分，用於支持合格審定工作。

註：值得注意的是，FMEA/FMES 作為一種評估系統、產品、功能或零件的故障模式及對上一層次影響的系統方法，其結果可以為 FTA 提供支持。例如 SSA 中故障樹的底事件信息就採用了 FMEA/FMES 的結果。

05 FTA 邏輯門和事件符

故障樹作為圖形化的樹狀結構，一般由邏輯門和事件符組成。邏輯門用來連接故障樹各分支，它的輸入輸出均是事件。

註：故障樹構建可採用多種軟體，常見的有 CAFTA、RAM Commander 等。不同的 FTA 軟體，其邏輯門或事件符的樣式可能不同，本文列出的樣式僅供參考。

A. FTA 邏輯門

故障樹分析中，常見的邏輯門定義如下，其中 「與門」 和 「或門」 的使用最為普遍。

與門：與門表示僅當所有輸入事件（故障）全部發生，輸出事件（故障）才會發生。

或門：或門表示只要有一個輸入事件發生，輸出事件就會發生。

表決門（ N 中取 K 門）：表決門表示當 N 個輸入事件中有 K 個或 K 個以上的事件發生，輸出事件才會發生。

非門：非門表示輸出事件是輸入事件的對立事件。

異或門：異或門表示若且唯若一個輸入事件發生時，輸出事件才會發生。

順序與門：順序與門表示僅當輸入事件按規定的順序發生時，輸出事件才發生。

B. FTA 事件符

故障樹分析中，常用到的事件符定義如下：

事件：在故障樹分析中各種故障狀態或不正常情況稱故障事件，各種完好狀態或正常情況稱正常事件。兩者均可簡稱為事件，一般採用長方形表示。

頂事件：頂事件是故障樹分析中所關心的最後結果事件。它位於故障樹的頂端，是故障樹中邏輯門的最終輸出事件。

中間事件：中間事件是位於底事件和頂事件之間的結果事件。它既是某個邏輯門的輸出事件，同時又是別的邏輯門的輸入事件。

底事件：底事件是故障樹中僅導致其它事件發生的原因事件，它位於故障樹的底端，是某個邏輯門的輸入事件而不是輸出事件。基本事件和未探明事件統稱底事件。一般採用圓形表示。

外部事件：又叫 「房形事件」、「開關事件」，是待分析的外部事件，它必然發生或者必然不發生。一般採用房形表示。

非展開事件：因為其結果對頂事件影響很小，或者難以獲得進一步展開所必須的細節，而不需要深入分析的事件。一般採用菱形表示。

轉移事件：在故障樹分析中，為了避免畫圖重複，使圖形簡明易讀，一般採用轉移事件，轉到相應的子樹去。一般採用三角形表示。

06 FTA 實施過程

A. 定義 FTA 目標

故障樹是作為 PSSA 的一部分，用於分解安全性需求？還是作為 SSA 的一部分，用於驗證安全性需求？故障樹是用於定性評估？定量評估？還是二者兼有？

確定 FTA 的目標，有助於分析人員確定工作範圍。

在 PSSA 過程中，故障樹可用於分配定量概率需求。在具體開展 FTA 時，我們一般會基於工程經驗，使用 「預計」 的失效率，「預計值」 通常會比故障樹數學分配的失效率要求更高。此外，FTA 通過檢查失效-安全的定性目標，還可用於指導系統架構設計。

在 SSA 過程中，故障樹需採用真實的失效率數據（通常來自 FMEA/FMES），自下而上檢查安全性需求的符合性。

B. 定義 FTA 的分析深度

FTA 需要深入到系統的什麼層級？是否需要將系統細分為多個層次，以支持多層級 FTA？

確定 FTA 的分析深度，有助於分析人員確定工作範圍。

在飛機、系統、組件等不同層級開展 FTA，其工作邊界和工作內容是不同的。

C. 定義 「不希望發生的事件」

開展 FTA 時，應編制 「不希望發生的事件」 清單，即 「頂事件」 列表。頂事件可直接指向 FHA 中的 FC，也可能指向其他故障樹中的事件（如果故障樹細分為多個層級）。

不同層級的 FTA，其頂事件來源不同，具體如下圖所示。

D. 分析導致頂事件的失效和失效組合

分析人員應搜集完整的系統設計數據，包括本系統和交聯繫統的架構方案、系統描述等，並對這些數據進行全面分析，以確定可能引發頂事件的失效事件及其組合。

分析過程應針對難以進行分析的情況、需簡化處理的情況，進行合理的假設，在不影響分析結果的基礎上，簡化分析過程或使分析過程能夠順利進行。

E. 構建故障樹

應採用清晰的、準確的頂事件描述方式，明確頂事件故障率要求。

應採用直接的、充分的、最少的中間事件，逐級展開故障樹的上層和中層，並使用相應的邏輯門將事件連接起來。

向下展開每一個中間事件，直至故障根源或無需進一步展開為止。

分配預計的概率指標，評估是否可以滿足安全性要求（PSSA 過程）。或者採用真實失效率，驗證安全性需求已得到滿足（SSA 過程）。

舉例如下：當一個事件可由單個失效或組合失效事件導致，則構建故障樹如左圖；當一個事件只由組合失效事件導致，則構建故障樹如右圖。

進一步舉例，說明隱蔽故障和發生順序相關的故障樹應用：假設組件 1 失效為隱蔽故障（檢查周期 T1），組件 1 必須在組件 2 之前失效才能導致頂事件。可構建故障樹如下圖。

F. 分析並總結 FTA 結果

完成故障樹構建之後，可針對 FTA 結果開展定性分析和定量分析。

F1. 故障樹定性分析

故障樹的最小割集代表了引起頂事件發生的一種失效模式，它可用於定性評價失效事件的重要程度，並用於共因分析。

這裡引入割集（Cut Sets）和最小割集的定義：

割集：指單個故障樹的若干底事件的集合，這些底事件都發生將導致頂事件發生。

最小割集：指底事件的數目不能再減少的割集，即在該最小割集中任意去掉一個底事件之後，剩下的底事件集合就不是割集。最小割集中的事件之間應保證獨立性。

如今在故障樹軟體的支持下，我們一般不需要經過人工邏輯運算，就能導出最小割集。但分析人員仍需驗證所有 「與門」 事件的獨立性，這是共因分析的重要內容。

此外作為 PSSA 過程的一部分，故障樹最小割集，還可用於 ARP4754A 所定義的功能和項目研製保證等級（FDAL / IDAL）的分配。

F2. 故障樹定量分析

確定故障樹最小割集後，需確定所有底事件的失效率、暴露時間或隱蔽故障檢查間隔、順序因子，最後執行故障樹數值計算。

如果頂事件計算結果不能滿足指標要求，則需採取設計更改、降低評估保守性等措施。

在完成故障樹定性分析和定量分析之後，應編寫故障樹分析報告。

07 FTA 總結

本文針對故障樹分析（FTA），結合 ARP4761 進行了簡要介紹，使大家對 FTA 的理念、目的、方法等有所認識。

錯誤之處，還請指正。

相關文章，點擊閱讀：

民用飛機和系統安全性評估 初探與入門！

如何開展飛機和系統級 "功能危險性評估"（FHA）？

如何開展飛機系統級 "初步系統安全性評估"（PSSA）？

如何開展民用飛機 "系統安全性評估"（SSA）？

SAE ARP4761 初探與入門！