故障樹手冊（Fault Tree handbook)（5）

第八章 壓力罐的例子

8.1 系統定義和故障樹構建

在本章和下一章裏，我們將用兩個簡答的例子來定義非預期事件。讀者將看到在第V章的幫助下，故障樹是怎樣一步一步的建立起來的。在故障樹的建立過程中，可以得到一些比較淺顯的結論，但是詳細的評估過程將在第11章纔會介紹。

考慮圖VIII-1的壓力罐的例子，裏邊有一個管道馬達裝置和一些相關控制組件。首先我們先看系統功能，系統的功能模型如圖VIII-2所示。

操作系統的功能是調節管道的運轉。後一個水管的水從一個無限的書庫到壓力罐。我們嘉定它要花費60秒來給罐子加壓。壓力開關有接觸點，這些接觸點會在罐子爲空時關閉。當達到閾值壓力時，壓力開關就打開了，繼電器線圈K2就會斷電，於是繼電器K2接觸點打開，水管喪失動力，水管馬達停止運轉。儲罐配有出口閥，可在幾乎可以忽略的時間內排放整個儲罐。但是這個出口閥門並不是一個壓力解除閥門。當罐子是空的，壓力開關的接觸點關閉，循環再次重複。

系統在最開始位於休眠狀態：開關S1打開，繼電器K1打開，繼電器K2打開，控制系統斷電。在這個斷電的狀態，時鐘繼電器是閉合的。我們還可以假設這個罐子是空的，壓力開關因此也是閉合的。

系統運開始於按下開關$S_1$，而後繼電器$K_1$線圈通電，因此繼電器$K_1$觸點閉合，$K_1$自鎖，繼電器$K_1$的閉合使得繼電器$K_2$的線圈通電，從而啓動了管道馬達。

當發生壓力開關關閉失敗時的事件時，能使用定時繼電器緊急關閉。在開始階段，定時繼電器是關閉狀態，定時繼電器的線圈也不通電。這就使得定時開關啓動。如果這個時鐘註冊了60秒的能源供應到定時繼電器的線圈，那麼定時繼電器的觸點就會打開（並鎖定到該狀態），斷開到$K_1$線圈的電路（先前關閉鎖定），從而導致系統關閉。在常規的操作下，當壓力開關觸點打開（因此，繼電器$K_2$打開），定時器重置到0秒。

我們選擇“當管道打開時壓力罐發生破損”這個事件作爲我們的非期望事件。如果我們忽略管道和電路的故障，以及其他的所有次要故障，當然我們主要的關注點“當管道打開時壓力罐發生破損”這個事件除外，這個問題將是十分簡單的。

讀者可能會反對這樣一個系統，該系統包括一個無限大的儲液罐和一個可在短時間內將水箱內的水排盡的出口閥，這是不現實的。我們建議忽略可能導致頂部事件發生的管道和佈線故障。關鍵是，有了這個簡化的系統，我們可以說明了故障樹構建中的大多數重要步驟。在更復雜的系統中，讀者可能傾向於忽略整個系統，而變得參與細節。

首先，我們檢查我們的頂層事件都被寫成故障，且都指定了“內容”和“時間“。下一步，我們提出問題：”這個故障能由一個部件故障組成嗎？“，如果答案是肯定的，我們馬上加一個或門在頂層事件的下方，並且思考主要的，次要的，命令模式。如圖VIII-3所示：

在這個問題中，我們將在“組件故障級別”建立分辨率極限。“組件”是指在圖VIII-1中專門命名的那些項。因此，罐子的主要故障已經在解析極限中，並且已經在圈中現實。我們是否在鑽石中加入該聲明尚無定論。我們可以一開始就假設該油箱適合於所涉及的工作壓力。無論如何，我們選擇不再跟蹤該故障。

因此我們的關注點轉移到罐子的次要故障方面。讀者可能還記得第五章中，主要故障，是一個在限制環境內的一個部件的故障，而次要故障，是一個部件在非限制環境下的故障形式。因爲次要故障由部件故障組成，我們引入了另一個“或”門，我們的樹採用圖VIII-4所示的形式。

在這裏，我們再次用菱形表示一組條件，這些條件是我們選擇不尋求的原因。請注意，在矩形中指出的故障是頂層事件的特定情況，並詳細說明了原因。

現在可能發生了這樣的情況：我們的儲罐可以奇蹟般地經受住大於60秒的連續抽水，但是“無奇蹟”規則的應用使我們不得不接受這樣的說法：儲罐在這些條件下總是會破裂。我們能用一個“禁止門”來表示這個情況，這個禁止門的輸入是“連續抽水大於60秒”。

這個到禁止門的輸入事件能包括一個部件故障嗎？答案是否定的，管道在簡單的運轉，任意時長的管道功能都不能包含一個部件故障。因此，這個錯誤事件必須分類到“系統狀態”。我們現在回想下第五章的規則。在系統狀態錯誤下，我們能有一個或門，一個與門，或者什麼門都沒有。進一步講，我們在尋找最小的，直接的，必要的和充分的原因。在這個案例中，直接原因是“馬達運轉超過60秒”。它的直接原因是：“到馬達的能量供應超過了60秒”，一個系統狀態錯誤。後一個事件的直接原因是“K2繼電器觸點保持關閉超過了60秒”。我們現在把事件描述加上，如圖VIII-6.

在這個案例中，從“管道持續運轉超過60秒”直接跳轉到“K2繼電器觸點保持關閉超過60秒”，我們沒有損失任何東西。詳細說明中間原因不會有任何損害，事實上，這樣做能降低出錯的機率。

我們現在來考慮故障事件“K2繼電器觸點關閉時間大於60秒”，這個事件能包括一個部件故障嗎？答案是肯定的，繼電器的觸點可能會被擠掉、腐蝕掉或融化掉。因此我們繪製一個或門，並且在圖VIII-7上添加主要，次要和命令模式。

這裏我們的目標事件是畫在長方形中的命令模式事件。回憶下，一個命令故障會影響一個部件的正常功能，但是因爲一個來自於其他部件的錯誤信號指令，在錯誤的地點，或者在錯誤的時間。在本例中，錯誤的信號是EMF作用於繼電器線圈超過60秒。系統狀態錯誤可以如圖VIII-8那樣分析。

注意到圖VIII-8的與門的兩個輸入事件都被當成錯誤。實際上，正如我們所瞭解的，連接到故障樹上的所有事件都應該寫成錯誤，除非是當成簡單摘要添加的陳述（如橢圓中的陳述）。壓力開關的觸點本身不是故障，但是當我們關閉超過60秒，它就成爲了故障。同樣的，添加EMF到觸點本身也不是故障。注意根據與門的另一個輸入事件，導致事件成爲錯誤的條件被限制住了。

錯誤事件，“壓力開關觸點關閉超過60秒”能包括一個部件故障，於是圖VIII-8的兩個輸入事件跟隨在或門後。我們逐個分析他們，先從左手邊的事件開始（圖VIII-9）。

我們看到該故障樹的腿到達了它的終點（所有輸入事件都是圓形或鑽石型），除非在某些原因下，我們想要在左側的鑽石圖例中繼續分析該事件（例如隔膜破裂等）。

我們現在分析圖VIII-8右手邊的事件，如圖VIII-10.

圖VIII-10的兩個事件都是部件狀態錯誤。左手邊的更好分析一些，如圖VIII-11.

這裏我們看樹的另一個終點。圖VIII-10中剩下的輸入事件的分析參見圖VIII-12所示。讀者請注意我們最終實現了我們的方法，用一步一步的方式，最終到了時鐘繼電器錯誤。最終，我們畫出了對壓力罐的所有故障樹，如圖VIII-13.

實際上，圖VIII-13的故障樹有點過於完整了。因爲我們開發的次要故障只有抽水過量導致的壓力罐破裂，其他的次要故障（點狀的鑽石形狀）從圖中被簡單的省略了。進一步的簡化也可以，以致到基本故障樹，如圖VIII-14，該圖中圓形表示主要故障，錯誤事件E1，E2等定義如下：

E表示錯誤事件：

• E1: 壓力罐破裂（頂層事件）
• E2: 由於管道運轉超過60秒，等效於繼電器K2觸點關閉超過60秒，導致的壓力罐破裂
• E3: 電動勢作用於K2繼電器線圈超過60秒
• E4: 當壓力開關觸點已經關閉超過60秒電動勢還持續作用於壓力開關觸點
• E5: 當壓力開關觸點閉合超過60秒，等效於當壓力開關觸點關閉超過60秒時，定時繼電器觸點打開失敗，電動勢通過K1繼電器開關觸點。

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-UrPCMRMd-1586626467125)(asserts/figureVIII-12.png)]

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-oyHtcOER-1586626467126)(asserts/figureVIII-13.png)]

8.2 故障樹的評估

故障樹的一般性評估將在第十一章講解。評估故障樹是非常有用的，我們可以粗暴的評價壓力罐控制電路的健壯性和特殊的弱點。

根據圖VIII-14的基礎故障樹，我們能用第七章的方法，運用主要輸入事件的布爾方程來表示頂層事件。這是通過從樹的頂部開始向下進行的。

$\begin{aligned} E1 &= T+E2 \\ &=T+(K2+E3) \\ &=T+K2+(S\cdot E4) \\ &=T+K2+S\cdot (S1+E5) \\ &=T+K2+(S\cdot S1)+(S\cdot E5) \\ &=T+K2+(S\cdot S1)+S\cdot(K1+R) \\ &=T+K2+(S\cdot S1)+(S\cdot K1)+(S\cdot R) \end{aligned}$

有關故障樹基本輸入的頂層事件的表達式是等效故障樹自身的布爾表達式。E1相當於基本事件的組合（交集），它還是頂層事件的最小切割集合。在我們的例子中，我們找到了五個最小切割集——兩個單一的，和一個三個雙的：

$\begin{aligned} K2 \\ T \\ S\cdot S1 \\ S\cdot K1 \\ S\cdot R \\ \end{aligned}$

上邊的各個項每一個都定義了存在的或聯合存在的事件或系列事件，這些事件初始化了故障樹的頂層事件。

我們先開始定性的評估我們的結果，下一步，加上一些數據，一些粗略的量化評估。定性的說，引起頂層事件的最主要原因是單一的繼電器K2，因爲它代表一個活動部件的主要故障。因此，系統安全性應該重點加強，將K2繼電器變成一對平行的繼電器。實際上，我們的系統還有很多設計錯誤：我們監視控制器，而不是監控參數（罐子中的壓力）。反之亦然！因此，改進系統最明顯的方法，就是在罐子上安裝一個降壓閥門並移除定時器。

另一個基本事件，按重要程度排序，是T，壓力罐的主要故障。因爲壓力罐是被動部件，回憶一下第五章的相關內容我們可以知道，事件T的發生概率應該要小於（按照重要性排序也是這樣）事件K2的概率。。相對重要性弱一些的是三個雙部件切割集$S\cdot S1, S\cdot K1, S\cdot K2$，我們需要注意壓力開關的失敗事件和他們都有關係。

爲了對結果進行量化，我們需要對部件的故障概率做一個評價。表格VIII-1給出了部件失效概率的值。得到這些數值有關的計算我們將在後續的文中進行討論，在這個時間例我們先假設這些數值都已經是已知的。

因爲最小切割集是一個事件的交集，我們五個最小切割集的概率能通過對概率相乘的方式獲得（假設他們互相獨立）。

$\begin{aligned} P[T] &=5\times 10^{-6} \\ P[K2] &=3\times 10^{-5} \\ P[S\cdot K1] &=(1\times 10^{-4})(3\times 10^{-5})=3\times 10^{-9} \\ P[S\cdot R] &= (1\times 10^{-4})(1\times 10^{-4})=1\times 10^{-8} \\ P[S\cdot S1] &=(1\times 10{-4})(3\times 10^{-5})=3\times 10^{-9} \\ \end{aligned}$

我們現在來估計頂層事件E1的概率。觀察到頂層事件的概率可以從最小切割集合的並集中得出,每個獨立的最小切割集的的概率也是很小的，我們總結得到，稀有概率的概率可以用公式VI-7進行估算。我們因此簡單的相加最小切割集合的概率，得到
$P(E_1) \approx 3.4 \times 10^{-5}$

可以採用最小切割集的概率和總的系統概率的比率來得到各類切割集合的相關量化重要性。

切割集合	重要性
T	14%
K2	86%
$S \cdot K1$	小於0.1%
$S\cdot R$	小於0.1%
$S\cdot S1$	小於0.1%

很多場合都提供了壓力罐的例子，來爲學生作爲工作訓練使用，學習如何構建一個故障樹。學生常犯的錯誤是從破裂的事件直接跳到壓力開關。當這麼做的時候，單一的故障最小切割集K2，比如，K2的主要故障，就會完全丟失。這一點說明了第五章的規則的重要性。

我們能從這個例子中得到一個設計相關的規則，就是一個系統設計，與門應該儘可能的靠近故障樹的頂端，從而消除單事件切割集。家用汽車是一個好例子，它不是這個類型的，讀者可以列出一個很長的單事件列表，來弄停自己的車。

第九章 三個馬達的例子

1. 系統定義與故障樹的構建

在這一章裏，我們討論一個更加複雜的故障樹的構建與評估。圖IX-1描繪了一個動力分配盒，圖IX-2給出了系統的工作形式。KT1,KT2,KT3通常是閉合，按下按鈕S1會將電池1的電提供給繼電器K1和K2。於是K1和K2閉合並保持鎖止狀態。

接下來，一個60秒的測試信號會通過K3給出，目的是檢查馬達1，2，3的功能是否正常。一旦K3關閉，電池1的電能就會提供給繼電器的線圈K4和K5。K4的閉合會啓動馬達1.K5的閉合會將電池2的能量提供給線圈K6且啓動馬達2.最終，K6閉合將電池1的能量提供給K7。K7閉合從而啓動馬達3.

在一個60秒的週期之後，假設K3打開，停止所有三個馬達。如果K3在超過60秒後關閉失敗，所有三個計時器（KT1，KT2，KT3）打開，線圈K1斷電，因此係統停止運行。假設K3在60秒後正常打開，但是K4關閉失敗。在這種情況下，KT1打開，引起K1斷電和馬達1停止。如果K5或者K7無法關閉，那麼KT2和KT3作用類似於停止馬達2或馬達3.

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-4diQlLNe-1586626467131)(asserts/figureIX-2.png)]

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-rC3HKZuB-1586626467132)(asserts/figureIX-3.png)]
我們主要關係的是在測試快開始後任何一個馬達的“超限”（運行大於60秒）的問題。所以我們的樹頂如圖IX-3所示。

或門的三個輸入的任何一個都應該單獨分析。我們提議先分析馬達2.爲了避免一層中的樹的混亂，“轉換出”的標誌被用於表達有關馬達1和3的故障事件。

在這一點，我們能夠決定我們的分析應該有多完整。簡單的方法將是將我們限制在繼電器和開關的故障，我們第一步先做完成此方面。更全面的分析（我們將在後邊講）也將包括可能的導線故障。現在先限制在通常的故障上，我們面臨着頂層事件：

電動勢作用於馬達2超過了60秒
因爲這是一個系統狀態的故障，我們尋找直接，必要的和充分的原因。我們看到圖IX-1，兩個故障事件導致目標事件的發生：

1. K5繼電器觸點保持關閉超過六十秒；
2. 當K5繼電器關閉超過60秒，K2繼電器觸點打開失敗
   這兩個故障事件在圖IX-4中作爲到第二層與門的輸入，他顯示了馬達2超限的整個樹。注意K5或K2觸點打開故障不是關於他們自己的故障；但是當時間限制被指定，它們就成爲了故障。

我們現在將注意力轉到故障事件：

K5繼電器的觸點保持關閉超過60秒

因爲這是一個部件狀態故障，它需要一個帶有主要，次要，以及命令輸入的或門。爲了簡化系統，讓我們不再關注次要故障。因此，圖IX-4展示了只有主要和命令輸入。K5繼電器的主要故障已經是一個基礎樹的輸入（一個分辨極限）；我們現在將關注點放在一個命令輸入上：

電動勢保持在K5線圈超過60秒

我們注意到這個事件是一個系統狀態故障。從圖IX-1中我們發現當K3和K1在時間大於60秒打開失敗的限制下將會發生。這兩個事件在圖IX-4中作爲第四層與門的輸入。繼電器K3有關的故障事件是部件狀態故障，他要求一個帶有主要和命令輸入的或門。在這種情況下，命令輸入被繪製成一個鑽石形狀，因爲它的原因被放置在我們所定義的系統之外。樹的腿現在是完整的。

現在返回繼電器K1相關的故障事件，我們意識到，這將是一個相當大的附屬樹自己的頂部事件，因此我們將它轉到另一張圖紙上（如圖IX-5）。實際上，因爲在分析馬達1和3的超限問題上同樣的故障事件會再次出現，因此這個策略是特別有用的。如圖IX-5的附屬故障樹的研究留給讀者自己進行。

再次參考圖IX-4，我們現在思考第二層與門的右邊的輸入，這個故障事件是：

當K5繼電器關閉超過60秒時K2繼電器觸點打開失敗

這是部件狀態錯誤，他的命令輸入是一個系統狀態錯誤。當K5繼電器觸點關閉超過60秒後，K2繼電器線圈的電動勢依然存在。這是確實是一個單輸入事件，除非我們選擇去考慮K2線圈通過S1，KT1，KT2，KT3觸點的電動勢的概率（高不可能性）。後一個事件在圖IX-4的鑽石圖形中描述。

故障樹右邊的腿部的剩下部分交給讀者自行分析。基礎輸入是K1繼電器，S1開關和KT2定時器的主要故障。

有關馬達1和3的相關故障樹如圖IX-6和IX-7所示。關於馬達2超限的更詳細的研究（包括導線故障）如圖IX-8和IX-9所示。讀者可能想去親自嘗試其他的頂層故障，如馬達1在測試信號作用時啓動失敗。馬達1的解決方案如圖IX-10所示。

2. 故障樹的評估（最小切割集合）

我們現在轉到圖IX-4的故障樹的定性評估，並決定馬達2超限的最小切割集合。爲了便於說明，我們將處理圖IX-4的簡化版本，我們去除了圖中的鑽石表示和房屋標誌。簡化過的圖如圖IX-11.

圖IX-11中，圓代表部件的主要故障，故障事件E1，E2，等定義如下：

• E1: 作用於馬達2的電動勢超過60秒
• E2：K5繼電器保持關閉超過60秒
• E3：當K5繼電器保持關閉超過60秒，K2繼電器開啓失敗
• E4: 電動勢作用於K5線圈超過60秒
• E5：當K5觸點保持關閉超過60秒，K1繼電器觸點打開失敗
• E6: 當K3觸點保持關閉超過六十秒，K1繼電器觸點打開失敗
• E7: K3觸點保持關閉超過60秒，K1繼電器電動勢依然存在

讀者需要注意，K5和K6雖然相似，但是卻不一樣，因爲發生的事件不一樣。因此，必須堅決抵制將故障事件E5轉移到圖IX-5的附屬故障樹中去。

每一個故障事件都在下方用布爾方程的形式表示，工程標誌在此被應用。

$\begin{aligned} E1&=E2\cdot E3 \\ E2&=K5+E4 \\ E3&=K2+E5 \\ E4&=K3\cdot E6 \\ E5&=K1+KT2+S1 \\ E6&=K1+E7+S1 \\ E7&=KT1\cdot KT2 \cdot KT3 \end{aligned}$

接下來，觀察樹的底部，每一個故障事件都以基本樹輸入表示。

$\begin{aligned} E7 &=KT1\cdot KT2\cdot KT3 \\ E6 &=K1+(KT1\cdot KT2\cdot KT3)+S1 \\ E5 &=K1+KT2+S1 \\ E4 &=K3\cdot (K1+KT1\cdot KT2\cdot KT3+S1) \\ &=K3\cdot K1+K3\cdot (KT1\cdot KT2\cdot KT3)+K3\cdot S1 \\ E3&=K2+K1+KT2+S1 \\ E2&=K5+K3\cdot K1+K5+K3\cdot(KT1\cdot KT2\cdot KT3)+K5+K3\cdot S1 \\ E1&=[K5+K3\cdot K1+K5+K3\cdot(KT1\cdot KT2\cdot KT3)+K5+K3\cdot S1]\cdot[K2+K1+KT2+S1]\\ \end{aligned}$

E1的布爾表達式化簡得：
$E1={K=(K3\cdot K1)+[K3\cdot (KT1\cdot KT2\cdot KT3)]+(K3\cdot S1)}\cdot{K2+K1+KT2+S1}$

用分配律展開這個式子，最小切割集（消除了所有冗餘）是：

$K5\cdot K2 \\ K5\cdot K1 \\ K5\cdot KT2 \\ K5\cdot S1 \\ K3\cdot K1 \\ K3\cdot S1 \\ K3\cdot KT1 \cdot KT2 \cdot KT3$

注意，舉個例子，因爲從關係$(K3\cdot K1\cdot K1)=(K3\cdot K1)$起$(K3\cdot K1)$最小，因此$(K3\cdot K1\cdot K2)$不是最小的。

以上所有的最小切割集都是兩項的，而最後一個卻是四項的。如果所有三個定時器是已定義的，它們可能像“常見案例失敗”的候選人。在這種情況下，我們表面上的四項最小切割集會變成本質上的兩項。在下一節中，我們會進一步討論更通用的情況。

讀者現在應該親自對其他兩個問題定義最小切割集：馬達1超限和馬達3超限。隨着馬達2的過程細節他應該能夠檢查下邊的解決方案：