故障樹手冊（Fault Tree handbook)（3）

第四章 故障樹的基本元素

4.1 故障樹的模式

故障樹分析可以簡單的描述爲一項分析技術，憑藉一個特定系統的非期望狀態（通常是一個安全方面的關鍵狀態），該系統會根據環境和操作的上下文信息來找到非期望事件發生的所有可信途徑。故障樹本身是一種圖形描述方式，這種圖形方式描述了各類導致預定義的非期望事件發生的故障的並行和串行組合。（The fault tree itself is a graphic model of the various parallel and sequential combinations of faults that will result in the occurrence of the predefined undesired event.）這些故障可以是和部件硬件故障相關聯的事件，人爲的錯誤，或者任何其他可導致非期望事件的相關事件。因此故障樹描述了基礎事件的內部邏輯關係，這些基礎事件導致了非期望事件，而這些非期望事件就是故障樹的頂層事件。

很重要的一點是，故障樹並不是一個系統所有故障或者導致系統失效的所有可能原因的模型。一個故障樹由它的頂層事件所決定，這些頂層事件與一些系統的特定故障模式相對應。因此故障樹僅包含導致頂層事件的那些故障。此外，這些故障並不是完備的——它們僅包含分析員評估的最可信的狀態。

另一個需要指出的重點是故障樹本身並不是一個量化的模型。它是一個定性的模型，但是大部分情況下可以被量化評估。當然這一特點幾乎所有的定性模型都具備。故障樹是一個特別方便進行量化的模型，這一事實並沒有改變模型本身的定性性質。

故障樹是一種被看作“門”的複雜實體，它們允許或禁止故障邏輯通過樹。這些門表明了一個高級別事件發生所需要的事件間的關係。高等級事件是門的輸出；而低等級事件是門的輸入。門的符號表明瞭輸出事件所需的輸入事件的關係種類。因此，門有點類似於電路中的開關或在一個管道中的兩個閥門。圖IV-1是一個典型的故障樹。

4.2 符號 —— 故障樹的組成模塊

一個典型的故障樹由許多符號組成，這些符號在本章節中被詳細的講解，並總結在表IV-1中以便於讀者查閱。

4.2.1 主要事件（PRIMARY EVENTS）

故障樹的主要事件是由於這樣或那樣的原因沒有被進一步開發的事件。如果計算頂層事件的概率，則需要提供這些主要事件的概率。主要事件主要分成四種，分別是：

4.2.1.1 基礎事件(basic events)

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-C5Jc0sWu-1586457578196)(asserts/basicEvent.png)]

這個圓表示一個基本的初始故障事件，該事件不需要未來的開發。換句話說，這個圓表明已經到達的分辨極限。

Table IV-1 Fault Tree Symbols 主要事件標識（PRIMARY EVENT SYMBOLS）

標識	名稱	含義
	基本事件	不被進一步開發的基礎初始故障
	條件事件	應用在任何邏輯門上的特定的條件或限制（大部分應用於優先與門（PRIORITY AND）和禁止門（INHIBIT））
	非開發事件	一個不被後續開發的事件，因爲信息不足或後果不可用
.	外部事件	一個通常情況下被認爲會發生的事件

門標識（GATE SYMBOLS）

標識	名稱	含義
	與	如果所有輸入是“故障發生”則輸出也是“故障發生”
	或	如果至少一個輸入是“故障發生”則輸出也爲“故障發生”
	異或	如果輸入中恰好一個故障發生，則輸出故障發生
	優先與	如果所有輸入故障以某種已定義的順序發生則輸出故障發生（序列由繪製在門右邊的條件事件表示）
	禁止	如果（單一）輸入故障出現在使能條件下，則輸出故障（使能條件通過繪製在門右邊的條件事件表示）

交換標識（TRANSFER SYMBOLS）

標識	名稱	含義
	轉入	指示在相應的轉出發生時(例如，在另一個頁面上)，樹將進一步開發
	轉出	指示在樹的這部分必須鏈接對應的轉入

4.2.2.2 未開發事件

該圖形描述了未進一步開發的特定故障事件，原因可能是該事件的後果不足，也可能是與該事件相關的信息不可用。

4.2.2.3 條件事件

橢圓用來記錄應用於任何邏輯門的任何條件或限制。它主要用於禁止和優先與門。

4.2.2.4 外部事件

房子用於表示一個事件，通常預期會發生。例如，一個動態系統的相位變化。因此，房子符號本身不表示錯誤。

4.2.3 中間事件

中間事件是由一個或多個前因通過邏輯門起作用而發生的故障事件。所有中間事件都用矩形表示。

4.2.4 門

門有兩種形式：與門和或門。所有其他的門都是這兩種形式的變種。有一個例外(禁止門），門用一個盾牌和一個平的或彎曲的底座。

4.2.4.1 或門

或門用於顯示僅當一個或多個輸入事件發生時纔會發生輸出事件。一個或門可以有任意數量的輸入事件。圖IV-2顯示了一個典型的雙輸入或門，其中包含輸入事件A和B，輸出事件Q。當事件A發生，事件B發生，或A、B都發生時，事件Q就發生。

重要的是因果關係從來不會穿越或門。這句話的意思是，對於一個或門，輸入故障絕對不會是輸出故障的原因。或門的輸入與輸出相同，但是更爲明確的定義是導致的原因。圖IV-3能更好的幫助理解這一觀點。

圖IV-3的子事件可以在後續進行開發，例如圖IV-4所示：

但是，如下事件

是第一個或門的輸出事件（下圖）的對於一個特殊原因的再次聲明。

檢測繪製錯誤的故障樹的一種方法是尋找因果關係通過或門的情況。這是一個缺失與門的跡象(參見下面的定義)，也是在進行分析時使用不適當邏輯的跡象

與門

與門被用於表示只有所有輸入故障發生，輸出故障才發生。一個與門可以有任意數量的輸入。圖IV-5描繪了一個典型的A，B兩個輸入事件，Q輸出事件的兩輸入與門。事件Q僅在A、B兩事件都發生的情況下發生。

對比或門，與門指定了輸入與輸出的因果關係，例如，輸入故障共同表明了輸出故障的原因。與門對於輸入故障的前因沒有任何作用。圖IV-6顯示了一個與門的示例。柴油發電機和電池的故障將導致所有現場直流電源的故障。

在描述與門的事件輸入時，如果依賴關係影響系統邏輯，則必須將任何依賴關係合併到事件定義中。依賴項通常在故障“更改”系統時存在。例如，當第一次故障發生時(例如，圖IV-5中的輸入A)，系統可能會自動切換到備用單元。第二次故障，圖IV-5的輸入B，和假設已經就位的備用單元一起分析。在這種情況下，輸入B（圖IV-5）將被更精確的定義爲“輸入B導致A的發生”。

圖IV-7中所示的與門的變體顯式地顯示了依賴關係，當其中一個故障的發生改變了系統的工作模式和/或壓力水平，從而影響了另一個故障的發生機制時，這種變體非常有用。

也就是說，描述事件機制或前因的子樹(//TODO:The translation is not clearly here)

與描述事件機制的子樹不同。

對於一個與門，這個與門有多個輸入，還具備影響輸入事件間的系統邏輯的依賴關係，這些“被給與的”必須合併所有前邊的事件。

禁止門

用六邊形表示的禁止門，是與門的一個特例。該模型輸出取決於輸入，但是在輸入產生輸出之前，系統必須滿足某些預設條件。預設條件以條件輸入的形式存在。條件輸入用描繪於門的右邊的橢圓形表示。圖IV-8展示了一個典型的禁止門，該門具有輸入A，條件輸入B，以及輸出Q。僅當預設輸入滿足條件B，輸入A的事件發生時，輸出事件Q發生。

爲了更好的說明這個概念，我們利用兩個例子進行闡述，參見圖IV-9。

1. 許多化學反應只有在催化劑的存在下才能完成。催化劑不參與反應，但它的存在是必要的。
2. 如果一條冷凍汽油管線構成一個事件，這個事件僅在溫度$T$小於$T_{critical}$時發生，其中$T_{critical}$是汽油的冰點。在該案例中，輸出事件是“冷凍石油管線”，輸入事件是“低溫的存在”，條件輸入是$T<T_{critical}$。

有時，特別是在二次失效的研究中(見第五章)，會使用圖IV-10中所示的另一種類型的禁止門。

在圖IV-10中，單一的條件A對於輸出Q是必要的，但是並不是充分的；例如，針對Q的發生，必須具備條件A，但是條件A的發生並不意味着Q一定發生。當右邊橢圓形中的A條件發生時，只有部分情況下Q會發生。

我們上面描述的門是最常用的，現在是故障樹分析領域的標準。然而，有時也會遇到一些其他特殊用途的門。

異或門

異或門是或門的一種特殊應用，該門僅在其中一個輸入事件發生時，輸出事件發生。圖IV-11體現了兩個不同的的方式來描述一個兩輸入的異或門。

在兩個輸入事件都發生被抑制的情況下，異或不同於常規的或門或者同或。因此，輸出事件Q在A發生或B發生的情況下發生。正如我們將在第六章看到的，同或和異或的量化區分是如此的微不足道，所以區分它們是不必要的。在一些區別較爲明顯的特殊例子裏，它可以在量化階段解釋。

優先與門（the PRIORITY AND-Gate）

優先與門是一個與門的特例，它僅在所有輸入以一個特定順序發生的條件下輸出才發生。順序經常在門的右邊以一個橢圓表示。在實際使用中，定義一個序列並不是經常遇到。圖IV-12展示了兩個互相替換的方式來描述一個典型的優先與門。

在圖IV-12中，輸出事件Q僅在輸入A和B都發生且A在B之前發生的時候發生。

轉移符號（TRANSFER SYMBOLS）

引入三角形作爲傳輸符號，是爲了方便避免故障樹中的大量重複。從三角形頂端引出的一條線表示“轉進”，邊上的線表示“轉出”。一個門上的“轉進”將鏈接它對應的“轉出”。這個“轉出”或許在另一張圖紙上，將包含故障樹描述門的輸入的部分。

第五章 故障樹構建基礎

第四章定義和討論了構成故障樹的符號。在本章中，我們將介紹正確選擇和定義故障樹事件以及構造故障樹所需的概念。

5.1 故障（Faults）和失效（Failures)

我們首先要區分“故障（Faults）”這個相對具體的詞語和另一個比較通用的詞語“失效（Failures）”。想象一個繼電器，如果繼電器在它端子外加電壓時正常閉合，我們稱之爲“成功”。否則，如果閉合失敗，我們叫這個繼電器“失效”。另一種可能是繼電器因爲控制端的不正確的驅動導致繼電器在錯誤的時間閉合。這明顯不是繼電器的故障；但是，繼電器的非按時觸發會導致整個電路系統進入到一個不合要求的狀態。我們將把類似現象叫做一個“錯誤”，大體上來說，所有的故障都是錯誤，但是並不是所有的錯誤都是故障。故障是一種基本的非正常現象，然而錯誤是一個“高階”的事件。

我們在考慮一個橋，這個橋可以偶爾打開來允許渡輪的通過。忽然，毫無徵兆的，橋的其中一部分向上翻了幾英尺。這不是橋的故障因爲橋被下達了開啓指令，而它確實打開了。但是，這個事件是一個錯誤因爲橋接機制響應了橋接人員發出的不及時的命令。因此，這個橋接人員也是系統的一部分，是他的不按時的動作導致了這個錯誤。

在美國內戰最早的一場戰役中，包瑞德將軍通過信使1號向他的一位軍官發了一個信息。過了一段時間，情況發生了變化，他通過2號信使發送了一條修改過的消息。稍後，通過信使3號發送了進一步修改的消息。所有的信使都到了，但順序不對。沒有失敗，但這樣的事件很可能對戰鬥進程產生有害的影響——在這種情況下，確實如此。同樣，我們有一個錯誤事件，但不是一個失敗事件。

“錯誤”的正確定義不僅需要指定組件的非期望狀態是什麼，還需要指定它發生的時間。這些“是什麼”和“什麼時間”應該是輸入到故障樹中的事件描述的一部分。

5.2 故障發生與故障存在

在我們討論幾種不同的故障樹門時，我們已經談到了一組故障中的一個或多個故障的發生，或者一組故障中的所有故障的發生。根據系統的性質，故障可能是可修復的，也可能是不可修復的。在無法修復的情況下，發生的故障將繼續存在。在可修系統中，必須區分故障的發生和存在。實際上，這種區別只在故障樹量化中才重要(將在後面的章節中討論)。從構造故障樹的角度來看，我們只需要關注發生的現象。這相當於認爲所有系統都是不可修復的。

5.3 被動部件與主動部件

在大多數情況下，我們能簡單的把部件分成兩種：被動的和主動的（也可以叫做準靜態的和動態的）。被動部件或多或少地以靜態方式對系統的功能作出貢獻。這些部件相當於一個能量轉移器的角色，將能量從一個地點轉移到另一個地點（例如，一根傳輸電流的導線或匯流條，或者傳輸熱能的氣體管道），或者相當於一個傳輸負載的角色（例如一個結構成員）爲了評估被動元件的運行情況，我們進行了應力分析、傳熱研究等測試。被動部件的進一步例子有:管道、軸承、軸頸、焊縫等。

主動通過以某種方式修改系統行爲，以更動態的方式對其上級系統的功能作出貢獻。例如，閥門的開啓和關閉改變了系統的流體流動，開關對電路中的電流也有類似的作用。爲了評估一個主動部件的操作，我們進行了操作特性的參數化研究和功能相互關係的研究。有源元件的例子有:繼電器、電阻、泵等。

被動部件可以看作是“信號”的發送器。這種“信號”的物理性質可能表現出相當大的變化。例如，它可能是電流或力。一個被動成分也可以被認爲是一個活動組件的輸出成爲另一個活動組件的輸入的“機制”(如線路)。無源元件的故障將導致其“信號”無法傳輸(或者，可能是部分傳輸)。

相反，主動部件會產生或修改信號。通常，這樣的部件需要一個輸入信號或其輸出信號的觸發器。在這種情況下，主動部件起着“轉移功能”的作用，這是電氣和數學研究中廣泛使用的術語。如果一個活動組件失敗，可能沒有輸出信號或可能有一個不正確的輸出信號。

舉個例子，一個郵差（被動部件），它轉移一個信號（信件）從一個主動部件（發件人）到另一個（接收人）。接收人之後將以某種方式告訴發件人信息它收到信了。

從數值可靠性來看，被動部件和主動部件的失效機率的區別是非常大的。根據WASH-1400的數據，主動部件的每個請求的失效概率要超過$1 \times 10^{-4}$（還有一種數據形式爲超過3 \times 10^{-7}$每小時），而被動部件失效機率遠小於該數據。實際上，這兩類部件的可靠性一般相差二至三個數量級。

在上文中，主動部件和被動部件的定義適用於部件的主要功能；主動組件的故障(或被動組件的故障)適用於主功能的故障。(例如，如果我們試圖根據“主動”或“被動”的定義對特定的失效模式進行分類，我們可能會有主動部件的“被動”失效模式，例如閥門破裂。)

5.4 部件故障分類：主要錯誤，次要錯誤和命令錯誤

故障樹分析人員還可以將故障分爲三類:主要錯誤、次要錯誤和命令錯誤。主要錯誤是指組件在其正常環境中發生的任何故障。例如：一個用於承壓的壓力罐，設計最大壓力是$P_0$，但是因爲焊接缺陷導致壓力罐在承壓$P<P_0$時破裂。

次要錯誤是指組件在非正常的環境中發生的任何錯誤。換句話說，部件在超出設計的正常工作環境中發生錯誤。例如：一個壓力罐，設最大承受壓力是$P_0$，結果在承壓$P>P_0$時損壞。

因爲主要錯誤和次要錯誤都是常見的錯誤形式，它們通常也被稱作主要故障和次要故障。相反，命令錯誤涉及組件的正確操作，但在錯誤的時間或錯誤的位置；例如：由於一些上游裝置發出的信號不成熟或錯誤，高速列車上的保險裝置過早關閉。

5.5 故障機制、故障模式和故障效果

系統、子系統和組件的定義是相對的，並且依賴於分析的上下文。我們可以說，一個“系統”是被考慮的整體結構，它依次由稱爲“子系統”的從屬結構組成，而子系統又由稱爲“組件”的基本構件組成。

例如，在壓水堆(PWR)中，噴淋系統可能由兩個冗餘的加油噴淋子系統組成，它們將水從加油儲水罐輸送到容器中。每一個子系統依次由閥門，管道等組成，這些都是部件。在特定的分析中，系統、子系統和組件的定義通常是爲了給出問題的層次結構和邊界。

在故障樹的構建過程中，故障效果，故障模式，以及故障機制在決定事件之間的相互關係時是十分重要的。當我們說起故障效果時，我們在考慮爲什麼這個特殊的故障是我們會感興趣，例如，它作用於系統的效果是什麼。當我們研究故障模式時，我們確切說明了部件故障的哪些方面值得關注。當我們列出故障機制時，我們考慮的是一種特定的故障模式是如何發生的，以及可能發生的相應可能性是什麼。因此，失效機制產生的失效模式反過來又對系統的運行產生一定的影響。

爲了說明這些概念，考慮一個控制發動機燃油流量的系統。見表與它們。所述的子系統由閥門和閥門執行機構組成。我們可以從系統、子系統或組件級別對各種可能發生的事件進行分類。有些事件在下表的左列中給出。例如，“閥門打不開”是子系統失效的一種機制，是閥門失效的一種模式，是執行機構失效的一種影響。

Table V-1 油路系統故障分析

事件描述	系統	子系統	閥門	執行器
當需要時子系統裏沒有油	機制	模式	效果
閥門打不開		機制	模式	效果
執行器控制桿捆綁			機制	模式
執行器控制桿腐蝕				機制

爲了更清楚地區分機制-模式-效果，考慮一個簡單的門鈴系統及其相關電路，從系統人員、子系統人員和組件設計人員的角度出發。該系統的示意圖如圖V-1所示。

從系統人員的角度出發，系統故障模式有：

1. 當按動開關，門鈴沒響。
2. 沒有按動開關，門鈴卻響了。
3. 鬆開開關，門鈴還在響。

如果系統人員坐下列出由故障模式引起的故障機制清單，他能生成一個清單，這個清單對應子系統人員的故障模式，子系統人員將獲得開關，螺線管單元，電池和導線。具體有：

1. 開關：
   • 無法閉合（包括接觸不良）
   • 無法斷開
   • 斷開不完全，產生間或接觸
2. 螺線管單元——當驅動後不響（包含通電後不能維持響聲）
3. 電池——電量不足
4. 導線——開路或短路

再次強調，最後這個列表構成了系統人的故障機制和子系統人的故障模式。從部件設計人員的角度來看，它也是一個關於故障效果的列表。讓我們試着想象一下組件設計人員會列出什麼樣的列表。參見表V-2

從上表可以看出系統故障模式組成了各種系統故障。在故障樹技術中，有很多系統分析人員需要考慮的頂層事件。他將拿出其中之一的頂層事件來分析發生的直接原因是什麼。這些直接原因將會是針對所選擇的系統故障的直接故障機制。後面這些故障將成爲子系統人員的故障模式，並將構成我們的故障樹的第二級。我們以這種“直接原因”的方式，一步一步地進行，直到我們遇到部件故障爲止。這些部件將是根據故障樹的分辨極限所定義的基本原因。

如果我們從組件設計人員的角度考慮問題，那麼樹中所有較高的子系統和系統故障都代表了故障效果——也就是說，它們代表了特定組件故障的結果。組件設計人員的故障模式也就是組件故障本身。如果組件設計人員要構造一個故障樹，這些組件故障中的任何一個都可以構成一個合適的頂層事件。換句話說，設計人員的“系統”就是組件本身。設計人員的故障樹的低層級將由該故障的機制或原因組成。它們將包括質量控制效果，環境效果等。而且在很多情況下，利用它們進一步擴展系統人員的故障樹的分辨極限是不值得的。

5.6 “直接原因”的概念

現在回到一個系統分析人員的視角，最開始，他會去分析系統（例如，考慮外邊界），隨後，選擇一個要分析的特定的系統故障模式。這些故障模式構成了系統分析人員故障樹的頂層事件。他第二步確定造成這些頂層事件的直接原因，必要原因和充分原因。這裏需要強調一點是對於事件的分析，沒有基本原因這一概念，而是使用直接原因或直接機制。這在後續的例子中是十分重要的觀點。

頂層事件的直接、必要和充分原因現在被視爲次頂層事件，我們繼續確定它們的直接、必要和充分原因。這樣做，我們將自己放在了子系統人員的位置，對於這一層級的人員，我們的故障機制就是它們的故障模式；也就是說，我們的次頂級事件對應它們的子系統故障樹的頂級事件。

通過這種方式，我們沿着樹不斷地將我們的觀點從機制轉移到模式，並不斷地接近我們的機制和模式中的更細的分辨率，直到最終，我們達到樹的分辨率的極限。這個限制由這樣或那樣的基本組件故障組成。我們的樹現在完成了。

爲了更好的說明“直接原因”這個概念，我們來分析一下圖V-2。

這個系統應該是這樣操作的:A的信號觸發A的輸出，A的輸出爲B和C提供輸入，B和C再將信號傳遞給D, D再將信號傳遞給E。A、B、C和D是被動子系統。
此外，子系統D需要一個來自B或C或兩者的輸入信號來觸發它的輸出到E。我們因此在系統的這一部分有了冗餘。

圖V-2可以被演繹成非常常見的系統。例如,它可以表示一個電氣系統，其中的子系統是模擬模塊(例如:比較器、放大器等);它可以是一個管道系統，其中A，B，C，D是閥門;或者它可以代表公司“指令鏈”的一部分。

我們選擇其中一個關於輸出的頂層事件“沒有信號到E”，在分析中我們忽略傳輸器件（被動部件），這種部件將信號從一個子系統傳輸到其他子系統。這相當於爲連接、管道或命令鏈接分配零故障概率。

我們接下來按步驟分析該頂層事件。事件“沒有信號到E”的直接原因是“D沒有輸出”。分析人員應堅決抵制將事件“D無輸入”列爲“沒有信號到E”的直接原因的誘惑。在決定直接原因時，應該一步一個腳印。“直接原因”的概念有時被稱爲“Think Small”規則，因爲它是有條理的、一步一步來的方法。

我們現在定義次頂級事件，“D沒有輸出”，並且必須確定它的直接原因。有兩種可能性：

1. D有輸入但是沒有輸出
2. D沒有輸入

因此，我們的次頂級事件，“D沒有輸出”，應該是由這兩個事件（1和2）引起的。讀者應該注意到，如果我們沒有按照步驟進行，並(不恰當地)確定了“沒有向D輸入”的原因，那麼上面的事件1就會被遺漏。事實上，考慮直接原因的動機現在已經很清楚了:它保證不會忽略序列中的錯誤事件。

我們現在準備好找出故障的直接原因了。如果我們的分辨極限時子系統層級，那麼事件1（該事件可以換個說法“D因爲一些內部原因無法執行正常功能”）將不被深入分析，並作爲故障樹的一個基礎輸入。對於事件2，它的直接、必要、充分原因是“B沒有輸出並且C也沒有輸出”，這是兩個事件的交集。表示爲：
$2=3 \ and \ 4$
當

• 3 = “沒有B發出的輸出”
• 4 = “沒有C發出的輸出”

就術語而言，如果後續需要對事件進行進一步分析，則可以方便地將其稱爲“錯誤”（例如事件2）。但是，像事件1，它表示一個基本的故障樹輸入，並且後續不會進一步細分，那麼就可以成爲“故障”。這個術語在“錯誤”與“故障”的機制定義方面也是一致的。

我們轉回頭繼續分析事件3和4，就3而言，我們有

$3 =5 or 6$

當

• 5=“B有輸入但是沒有輸出”
• 6=“B沒有輸入”

我們很容易的識別出5是一個故障（基本的故障樹輸入）。事件6是一個錯誤，它會在後續進一步分析。我們用類似的辦法搞定事件4。

該系統後續的分析讀者能很輕易的掌握。當確定了所有相關的基本樹輸入後，分析將終止。在這種情況下，“A無輸入”事件也被認爲是基本的樹輸入。

我們對頂部事件(“E沒有輸入”)的分析結果產生了由“and”和“or”邏輯連接的故障事件的鏈接。這些連接產生的模型就是故障樹。下一章將給出連接錯誤事件到框架（故障樹）的細節。

此時，讀者可能會有興趣自己進行一個簡短的分析，參考之前給出的門鈴電路圖V-1。最常見的情況是“當手指按下按鈕時，門鈴不響”。分析將從以下陳述開始:

門鈴不響 = 電池沒電 OR 螺線管沒有激勵

其中，“電池沒電”事件表示故障或基本樹輸入。

5.7 故障樹構建的基本規則

故障樹構建技術從提出之日起，經歷了超過15年的不斷完善。起初，它被認爲是一種藝術，但很快就認識到，成功的樹都是根據一套基本規則繪製的。遵循這些規則有助於確保故障樹的正確性，於是故障樹開始逐漸脫離藝術而變得越來越科學。我們現在來研究故障樹分析的基本規則。

如圖V-3所示，這是一個簡單的故障樹，它也可以是一個大型故障樹的一部分。注意沒有任何一個故障事件被“寫入”；它們被表示爲Q，A，B，C，D。

當我們面對一個特定的問題時，清晰的描述事件Q，A，B，C，D就變得十分必要。這樣的適當程序構成了基本原則一：

將錯誤以聲明的形式寫入事件框；描述清楚錯誤是什麼，以及它什麼時候發生。（Write the statements that are entered in the event boxes as faults; state precisely what the fault is and when it occurs.）

“what-condition”描述了組件對應的限制（或操作）狀態。"when-condition”描述了系統相對於興趣組件的狀態，這使得組件的特定存在狀態成爲一個錯誤。

需要注意的是基本原則一可能經常需要很長的聲明。那就這樣做。分析師被告誡不要害怕冗長的聲明。請不要因爲你畫的事件框不夠大而裁剪你的聲明。如果有必要，將框畫的大一點。使用縮寫詞是允許的，但是不建議縮略你的陳述。錯誤聲明的一些例子如下所示：

1. 當電動勢作用於線圈時，常閉繼電器觸點不能打開。
2. 加電後馬達啓動失敗。

下一步是檢查每個事件框內的聲明並問這樣的問題：“這個錯誤能否構成一個部件故障？”這個問題和回答引出了基本原則二：

“這個錯誤能否構成一個部件故障”，如果回答爲“是”，那麼這個事件屬於“部件狀態錯誤”。如果回答是“否”，那麼這個事件屬於“系統狀態錯誤”。（If the answer to the question, “Can this fault consist of a component failure?” is “Yes,” classify the event as a “state-of-component fault.” If the answer is “No,” classify the event as a “state-of-system fault.”）

如果錯誤事件屬於“部件狀態”，添加一個或門在事件的下方，並查找主要的、次要的和指令模式。如果事件屬於“系統狀態”，則查找最小必要和充分直接原因。一個“系統狀態”錯誤事件或許需要一個與門、或門、禁止門、或者什麼門都不要。一般來說，如果能量來源於部件外的一個點時，這個事件可能屬於“系統狀態”。

爲了闡明基本原則二，考慮圖V-4中所示的簡單電機開關電池電路。

系統存在兩種狀態：工作狀態和就緒狀態。下面的錯誤可以按照基本規則二進行定義和分類：

工作狀態

系統錯誤	分類
當按下按鈕開關閉合失敗	部件錯誤
當按下按鈕開關不經意的斷開	部件錯誤
當端子接電馬達卻沒有開啓	部件錯誤
在端子持續供電過程中馬達停止運行	部件錯誤

就緒狀態

系統錯誤	分類
沒按按鈕，開關卻不經意的閉合	部件錯誤
馬達不經意的啓動	系統錯誤

除了上述基本規則外，多年來還制定了若干其他程序性聲明。其中第一條就是“沒有奇蹟規則（No Miracles Rule):

如果組件的正常功能傳播一個故障序列，則假定該組件正常工作。(If the normal functioning of a component propagates a fault sequence, then it is assumed that the component functions normally.)

在系統分析的過程中，我們可能會發現，一個特定的故障序列的傳播可能會被某些組件不可思議的、完全意想不到的故障所阻止。正確的假設是組件正常工作，從而允許故障序列通過。但是，如果一個部件的正常功能阻止了錯誤序列的傳輸，如果錯誤序列繼續向故障樹的上方移動，那時錯誤一定會阻礙正常的功能。另一種說法是，如果一個系統中存在“與”的情況，那麼模型必須考慮到它。

另外兩個程序性聲明解決了缺乏條理和試圖簡化分析過程的危險。第一個是“完整門規則（Complete-the-Gate Rule）”:

對特定門的所有輸入應該全部在其中任何一個被後續的分析前被定義（All inputs to a particular gate should be completely defined before further analysis of any one of them is undertaken.）

第二個是“沒有門對門規則（No Gate-to-Gate Rule)：

門的輸入應該是正確定義的錯誤事件，並且門不應該直接與其他門連接。（Gate inputs should be properly defined fault events, and gates should not be directly connected to other gates.）

“完整門規則”指明瞭故障樹應該分層級開發，開發完一層，再去考慮下一層。對於“沒有門對門規則”，圖V-5展示了一個“快捷”的故障樹。

“門到門”的聯繫意味着草率的分析。如果正在執行定量評估並總結故障樹，那麼“門到門”的捷徑可能是正確的。然而，當實際構建樹時，門到門的快捷方式可能會導致混亂，並可能表明分析師對系統的理解不完整。只有當分析人員對要建模的系統有清晰和完整的理解時，故障樹才能成功。