故障树分析(fault tree analysis)

一种逻辑演绎的分析工具，用描绘事故发生的有向逻辑树，分析事故的现象、原因及结果，从而找出预防事故的措施。它是一种复杂系统可靠性分析方法。1961年美国贝尔电话研究所的沃森(watson)在研究民兵式导弹发射控制系统的安全性时首先提出了这种方法。随后，该研究所的门斯(A.B.Mearns)等人改进了这种方法，成功地预测了导弹发射意外事故。波音公司进一步发展了故障树分析技术，使之与计算机的运用相结合。在美国原子能委员会进行的核电站危险性评价中，大量地用故障树分析方法进行概率危险性评价，1974年发表了WASH-1400研究报告，引起世界各国关注，并被迅速推广到各工业部门的安全工作中。

故障树是演绎地表示事故或故障事件发生原因及其逻辑关系的逻辑树图。故障树的形状象一株倒置的树，其中的事件一般都是故障事件。

事件及事件符号    故障树用来表示事件间的因果关系及逻辑关系。在故障树的每个分支中，上层故障事件是下一层故障事件的结果，下层事件是引起上一层故障事件的原因。事件间的逻辑关系用逻辑门表示。因此，把作为结果的上层事件称作逻辑门的输出事件，而把作为原因的下层事件称作输入事件。

位于故障树最上部的事件叫做顶事件，一般为造成严重后果的故障事件或事故，是故障树分析、研究的对象。位于故障树各分支末端的事件叫做基本事件，它们是造成顶事件发生的最初始的原因。在系统安全分析中，故障树的基本事件主要是物的故障及人的失误。位于故障树顶事件与基本事件之间的诸事件被称为中间事件，它们是造成顶事件发生的原因，又是基本事件造成的结果。

故障树的各种事件的内容记在事件符号之内。常用的事件符号有如下几种。

矩形符号。表示需要进一步分析的故障事件，如顶事件和中间事件。

圆形符号。表示作为基本事件的故障事件。

房形符号。表示作为基本事件的正常事件。有时，系统元素的正常状态对于上一层故障事件的发生是必不可少的，但是正常事件并非分析研究和采取措施的对象，故用特殊记号区别于其他故障事件。

菱形符号。表示目前不能进一步分析或认为没有进一步分析必要的省略事件。在故障树分析中，菱形符号内的事件按基本事件对待。

椭圆形符号。是一种条件事件符号。条件事件是指输入事件发生能够导致输出事件发生；输入事件不发生。椭圆形符号要与限制门结合使用。

逻辑门及其符号    故障树的邻近两层事件之间用逻辑门相连接。对于任一上层故障事件，作为其发生原因的下层事件可能有两个或两个以上，即对应于每个输出事件有多个输入事件。输出事件和输入事件之间的逻辑关系有逻辑与、逻辑或及逻辑非等。

逻辑“与门”表示全部输入事件都发生则输出事件才发生，只要有一个输入事件不发生则输出事件就不发生的逻辑关系。

逻辑“或门”表示只要有一个或一个以上输入事件发生则输出事件就发生，只有全部事件都不发生，输出事件才不发生的逻辑关系。有时把“与门”记为“AND 门”，“或门”记为“OR 门”。

异或门不能同时发生输入事件中任一个发生而其他都不发生的时候，输出事件发生。在故障树中，除了上述几种逻辑门外，还有一种叫做限制门的逻辑门，它与条件事件符号相结合，表示只有满足一定条件的输入事件发生时，输出事件才发生，如果该条件未被满足，则输出事件不会发生的逻辑关系。

当故障树比较复杂时，用转移符号可省去与其他部分内容相同的部分，或把故障树的一部分画在另外的地方，使故障树变得简明、清晰。表示由其他部分引入的为转入符号；表示向其他部分转出的是转出符号。输入符号及转出符号应有相互一致的编号。

故障树的编制是故障树分析的第一步，也是以后分析的基础。首先要确定作为分析研究对象的顶事件。一般把后果严重的或发生频繁的系统故障事件或事故作为顶事件。然后分析直接造成顶事件发生的原因事件，并用恰当的逻辑门与顶事件连接。再找出造成直接原因事件发生的原因事件，确定恰当的逻辑门与直接原因事件连接。如此逐层分析，直到画出基本事件为止。

为了正确地编制故障树，需要深刻地了解系统及其结构，元素、子系统的故障模式及影响，以及有关系统安全的丰富知识。系统元素有以下三种故障。

(1)原生故障。由于元素自身缺陷或老化等原因引起的故障，不同元素的原生故障往往是统计独立的。

(2)次生故障。由于元素之外的一些原因引起的故障，不同元素的次生故障可能是统计不独立的，即由共同原因引起的。

(3)指令故障。到达元素的指令故障，往往是由系统内其它元素故障引起的。

利用电子计算机自动编制故障树，已经进行了长期的研究。鉴于实际系统的复杂性及故障模式的多样性，目前只能编制非常简单系统的故障树。

故障树布尔表达式    故障树事件之间的关系是逻辑关系，这些逻辑关系只能借助布尔代数来描述。用布尔代数建立的故障树数学模型叫做故障树布尔表达式，它是进行故障树分析，特别是定量分析的基础。

布尔代数又称逻辑代数，它的运算是逻辑运算，变量为二值变量，仅取0或1中的一个值。布尔代数中的函数为二值函数，其数值也只能取。或1中的一个，它通过布尔代数变量的逻辑运算组合而成。布尔代数中的逻辑运算主要有逻辑积运算及逻辑和运算，逻辑运算规则与普通代数运算规则有很大不同。

在故障树分析中，研究的事件是取故障发生或不发生两种状态之一的事件，不考虑任何中间状态。于是，可以利用布尔代数作数学工具来研究。故障树中故障事件发生的状态对应于布尔代数值1，故障事件不发生时对应于数值0；逻辑“与门”对应于布尔代数的逻辑积运算，逻辑“或门”对应于逻辑和运算。如果用二值变量表示故障树中各事件的状态，则很容易用这些二值变量的逻辑运算组合来表达故障树事件之间的关系。这就是故障树的布尔表达式。可以由顶事件开始，自上而下用逻辑运算取代逻辑门来逐层展开，最后获得布尔表达式。如果输入事件为E1，E2，…，En，输出事件为E，逻辑与门的布尔代数式为

E=E1∩E2∩…∩En。

逻辑或门的布尔代数式为

E=E1∪E2∪…∪En。

当故障树中同样的基本事件出现在两处以上的地方时，应考虑是否有多余的基本事件。利用布尔代数的运算规则可以去除多余的基本事件。这一过程被称作故障树的化简。

故障树定性分析    包括三方面的内容。

(1)查明造成系统故障或事故的全部初始原因，以便针对初始原因采取改进措施。

(2)找出最容易引起系统故障或事故发生的初始原因集合。

(3)考察哪些初始原因对系统故障或事故发生影响更大。

通过编制故障树，获得了引起顶事件发生的全部初始原因。接下去的分析是找出基本事件的最小割集合与最小径集合，比较基本事件的重要度。

最小割集合与最小径集合    故障树中的全部基本事件都发生，则顶事件一定发生。但大多数情况下并不一定全部基本事件都发生顶事件才发生，而是只要某些基本事件组合在一起发生就可以导致顶事件发生。在故障树分析中，把能使顶事件发生的基本事件的集合叫做割集合。换言之，割集合中的基本事件发生，则顶事件必然发生。在割集合中，能够引起顶事件发生的最小限度的基本事件集合，即其中有一个基本事件不发生，顶事件就不发生的割集合叫做最小割集合。最小割集合表明系统故障或事故发生的途径。

故障树中的全部基本事件都不发生，则顶事件一定不发生。但是某些基本事件的组合不发生，也可以使顶事件不发生。能保证顶事件不发生的基本事件的集合叫做径集合。在径集合中，保证顶事件不发生的最小限度的基本事件集合，即其中若有一个基本事件发生就会导致顶事件发生的径集合叫做最小径集合。最小径集合表明应该如何采取措施使一些初始原因不同时出现就可以避免事故。

最小割集合求法    比较流行的是利用布尔表达式和福赛尔(J.B.Fussell)法。

(1)利用布尔表达式。基本作法是把布尔表达式展开成事件逻辑积或逻辑和的形式，实行逻辑和运算的各项就为割集合，利用布尔代数法则化简后，得到最小割集合。

(2)福赛尔法。又称行列法，是一种适合计算机运算的求解最小割集的方法。特别适用于求复杂故障树的最小割集合。该方法的基本出发点是，逻辑“与门”使割集合内包含的基本事件数增加；逻辑“或门”使割集合的数目增加。具体做法是：自上而下用输入事件取代输出事件。如果遇到逻辑“与门”，则把输入事件写在同一行里；如果遇到逻辑“或门”，则把输入事件分别写在不同行里。这样一直进行到全部中间事件被基本事件取代为止，每一行里的基本事件构成一个割集合。比较这些割集合，消去不是最小的割集合，就得到了所求的最小割集合。

最小径集合求法    首先把故障树变换为与之对偶的成功树，然后求该成功树的最小割集合，则成功树的最小集合就是原故障树的最小径集合。把故障树的故障发生事件用与其相反的故障不发生事件代替，把逻辑“与门”用逻辑“或门”、逻辑“或门”用逻辑“与门”代替，得到的新树就是成功树。

基本事件的结构重要度    造成系统故障或事故的初始原因很多，但它们所起的作用是不同的。在采取对策时，应该按轻重缓急，优先解决那些最重要的问题。基本事件在故障树结构中所处的位置决定了它们对顶事件影响的重要程度，即基本事件的结构重要度。基本事件结构重要度是说明基本事件重要程度相对顺序的定性评价指标，只有相对意义。

根据各基本事件在最小割集合中出现的情况，可以判断其结构重要度顺序：在包含较少基本事件的最小割集合中出现的基本事件结构重要度较高；在不同最小割集合中出现次数较多的基本事件结构重要度较高。

故障树定量分析    根据各基本事件发生概率求解顶事件发生概率，从而为概率危险性评价提供依据。对于简单的故障树，根据概率论中事件逻辑积与事件逻辑和的概率计算公式，把故障树布尔表达式转变为由基本事件发生概率计算顶事件发生概率的公式。代人基本事件发生概率后，即可算出顶事件发生概率。对于复杂的故障树，人力解算费时费力，往往利用计算机求解。故障树定量分析涉及一些特殊的理论和方法。

相关结构理论    由巴洛(R.E.Barlow)和普鲁森(F.Proschan)提出的复杂系统可靠性分析理论，是故障树分析的数学基础。

(1)相关结构。如果故障树中任一基本事件的发生与否都影响顶事件的发生，则称该故障树为相关结构。前述的利用布尔代数法则化简后的故障树是相关结构。事件状态仍然为二值的，只能取0或1中的一个值。具有相关结构的故障树，其顶事件的状态完全取决于基本事件的状态，即顶事件状态是基本事件状态的函数。该函数的形式取决于故障树的结构，故称相关结构函数。包含几个基本事件的故障树，其相关结构函数被称作n阶相关结构函数。n阶相关结构函数的一般形式为

式中xj，为对应第j个基本事件的状态矢量；yj为第j个基本事件所取的状态值，0或1；表示在全部n阶二值矢量范围内求和；Φ(y)为对应于某n阶二值矢量的函数状态值，0或1。所谓二值矢量是指各基本事件状态值的组合，由于每个基本事件可能取的状态数为2，故以阶二值矢量总数为2n。对于任意的故障树，通过调查2ⁿ个二值矢量，按上面公式得到具体的结构函数形式。

(2)顶事件发生概率的精确解。对于不十分复杂的故障树，可以精确地求解顶事件发生概率。对相关结构函数表达式两端取数学期望，则顶事件发生概率可表示为

式中pi为第i个基本事件发生的概率。这种方法很适合计算机运算，但是当故障树中包含的基本事件数目n很大时，调查2ⁿ个二值矢量要耗费大量计算机时间，所以已很少采用。比较常用的方法是最小径集合或最小割集合的方法。定性分析找出最小径集合与最小割集合后，可按下式计算顶事件发生的概率：

式中Sj为前j个最小径集合中包含的基本事件不发生概率的乘积，或者按下式计算：

式中Fj为前j个最小割集合中基本事件发生概率的乘积。

(3)顶事件发生概率的近似解。当故障树非常复杂时，精确求解顶事件发生概率是很困难的。为了节省计算机内存及运算时间，可以求近似解。利用最小径集合或最小割集合的计算公式计算前胛项，就可以得到相当精度的近似解。

当故障树中的基本事件统计不独立时，只能计算顶事件发生概率的上、下限。它的上限为发生概率最小的最小径集合发生概率；它的下限为发生概率最大的最小割集合的发生概率。

(4)基本事件的重要度。在相关结构理论中，把对应于割集合的二值矢量叫做割矢量，对于某基本事件，如果它发生则顶事件发生，否则顶事件也不发生的割矢量为该基本事件的临界割矢量。显然，临界割矢量数目多的基本事件对顶事件发生的影响较大。对于n阶相关结构，调查除某基本事件外的2^n-1个二值矢量中临界割矢量比例，就得到了该基本事件的结构重要度。除结构重要度之外，还有概率重要度、关键重要度等评价指标。

蒙特卡罗法    利用数学模拟概率过程及随机数来确定一事件能否发生及发生概率的方法。它可以解决仅依靠经验、分析等方法难以解决的问题。在故障树的基本事件非常多的情况下，前面介绍的分析方法的应用受到了限制，可以借助蒙特卡罗法解决。在应用蒙特卡罗法进行故障树分析时，把各种事件，事件间的逻辑关系及事件发生的概率分布输入到计算机中，计算机产生随机数并判断事件能否发生，按规定时间内基本事件发生情况来确定顶事件的发生概率。