Pf（T）= Q（q1 , q2 ,……， qn）
（式 1）
工程上往往没有必要精确计算，采用近似的计算方法一般可满足工程上的要
求。例如，当各个最小割集中相同的底事件较少且发生概率较低时，可以假设各个
最小割集之间相互独立，各个最小割集发生（或不发生）互不相关，则顶事件的发
生概率：
r
Pf（T）= 1 — Π [ 1 — P（Ki）]
致任务失败的系统严重损坏 z Ⅲ类（临界的）——这种故障会引起人员的轻度伤害、一定的经济损失或
导致任务延误或降级的系统轻度损坏 z Ⅳ类（轻度的）——这是一种不足以导致人员伤害、一定的经济损失或系
统损坏的故障，但它会导致非计划性维护或修理 （1） 危害性
危害性是对某种故障模式的后果及其发生概率的综合度量。可进行定性的分 析，相关数据具备的情况下可定量分析。
i=1
（式 2）
式中 r 为最小割集数
在飞机重量风险事件的例子中，假设底事件 X1，X2，X 3 的发生概率分别是 q1 , q2 及 q3 ，顶事件 T 的发生概率 Pf 为 ：
Pf = 1 —（1 — q1 ）（1 — q2 q3）
（式 3）
b）重要度的计算 故障树中各底事件并非同等重要，工程实践表明，系统中各部件所处的位置、
重量 T
+=பைடு நூலகம்
+
材料 X1
设计 M .
人员
X2
程序
X3
图 5 故障树（示例） 则 事件 T = X1∪ M = X1 ∪（X2∩X 3）
符号 “ ∪” 表示 逻辑“或” ；“∩”表示逻辑“与”
这只是建造故障树的一个简单的例子，实际情况要复杂得多。除用人工演绎建 造故障树外还可用计算机进行自动建树。
人工建造故障树的基本规则如下： z 明确建树的边界条件，确定简化系统图 z 顶事件应严格定义 z 故障树演绎过程首先寻找的是直接原因而不是基本原因事件 z 应从上而下逐级建树 z 建树时不允许逻辑门——逻辑门直接相连 z 妥善处理共因事件
2．2．3 FMEA 表格 采取 FMEA 表格，从约定层次（例如零部件）开始逐级向上分析故障造成的
影响。表格中各栏目应填写的内容如下： 第一栏（代码）：填写被分析产品的代码。 第二栏（产品或功能标志）：被分析产品的功能名称，原理图上的符号或设计
图纸的编号。 第三栏（功能）：需完成的功能，包括零部件的功能及与接口设备的关系。 第四栏（故障模式）：在约定层次中所有可预测的故障模式，如： z 提前运行 z 在规定的应工作时刻不工作 z 间断地工作 z 在规定的不应工作的时刻工作 z 工作中输出消失或故障 z 输出或工作能力下降 z 在系统特性及工作要求或限制条件方面的其它故障状态 第五栏（故障原因）：包括导致故障的物理或化学过程、设计缺陷、零件使用
并对可能发生的故障模式及其影响进行分析。当产品可按设计图纸及其它工 程设计资料明确确定时，一般采用硬件法。这种方法适用于从零件级开始分 析再扩展到系统级，即自下而上进行分析。 z 功能法：这种方法认为每个产品可以完成若干功能，而功能可以按输出分 类。将输出一一列出，并对它们的故障模式进行分析。当产品构成尚不能明 确确定时（例如，在产品研制的初期，尚得不到详细的产品原理图、部件清 单及产品装配图），或当产品的复杂程度要求从初始约定层次开始向下分 析，即自上而下分析时，一般采用功能法。
z 底事件结构重要度从故障树结构的角度反映了各底事件在故障树中的重要 程度
z 底事件概率重要度表示该底事件发生概率的微小变化而导致顶事件发生概 率的变化率
z 底事件的相对概率重要度表示该底事件发生概率微小的相对变化而导致顶 事件发生概率的相对变化率
z 底事件的相对割集重要度表示包含该底事件的所有最小割集中至少有一个 发生的概率与顶事件发生概率之比
号描述系统中各种事件之间的因果关系。逻辑门的输入事件是输出事件的“因”， 逻辑门的输出事件是输入事件的“果”。 （1）表示事件的符号主要有（见图 4）：
z 底事件（导致其他事件的原因事件）包括“基本事件”（无须探明其发生 原因的底事件）及“未探明事件”（暂时不必或不能探明其原因的底事 件）
z 结果事件（由其它事件或事件组合所导致的事件），包括“顶事件”（所 关心的最后结果事件）及“中间事件”（位于底事件和顶事件之间的结果 事件，它既是某个逻辑门的输出事件，同时又是别的逻辑门的输入事件）
（4）定量分析： 在掌握了足够数据的情况下，可进行定量的分析。
a）顶事件发生概率（失效概率）的计算 在掌握了“底事件”的发生概率的情况下，就可以通过逻辑关系最终得
到“顶事件”即所分析的重大风险事件的发生概率，用 Pf 表示，又称为“失 效概率”。故障树顶事件 T 发生概率是各个底事件发生概率的函数，即
（3）求故障树的最小割集，进行定性分析 “割集”指的是故障树中一些底事件的集合，当这些底事件同时发生时顶事件
必然发生。若在某个割集中将所含的底事件任意去掉一个，余下的底事件构不成割 集了（不能使顶事件必然发生），则这样的割集就是“最小割集”。最小割集是底 事件的数目不能再减少的割集，一个最小割集代表引起故障树顶事件发生的一种故 障模式。
2．2 故障模式及影响分析（FMEA） 进行 FMEA 的目的是为了分析产品故障对系统工作所产生的后果，并将每一故
障按其严酷度分类，通过 FMEA 来确定那些高风险产品及改进措施。
2．2 . 1 FMEA 的方法 有两种 FMEA 的方法：硬件法及功能法 z 硬件法：根据产品的功能对每个故障模式进行评价，用表格列出各个产品，
承担的功能并不是同等重要的，因此引入“重要度”的概念，以标明某个部件（底 事件）对顶事件（风险）发生概率的影响大小，这对改进系统设计、制定应付风险
策略是十分有利的。对于不同的对象和要求，应采用不同的重要度。比较常用的有 四种重要度，即：结构重要度、概率重要度、相对概率重要度及相关割集重要度。 各自的定义及计算公式见参考文献[3]。
（2）绘制功能和可靠性方框图； （3）确定产品及接口设备所有潜在故障模式，并确定其对相关功能或产品的影 响，以及对系统和所需完成任务的影响； （4）按最坏的潜在后果评估每一故障模式，确定其严酷度类别； （5）为每一故障模式确定检测方法和补偿措施； （6）确定为排除故障或控制风险所需的设计更改或其它措施； （7）记录分析结果。
a）求最小割集 求最小割集的方法有“下行法” 和“上行法”： z 下行法的特点是根据故障树的实际结构，从顶事件开始，逐级向下寻查， 找出割集。规定在下行过程中，顺次将逻辑门的输出事件置换为输入事 件。遇到与门就将其输入事件排在同一行（布尔积），遇到或门就将其输 入事件各自排成一行（布尔和），直到全部换成底事件为止。这样得到的 割集再两两比较，划去那些非最小割集，剩下的即为故障树的全部最小割 集。 z 上行法是从底事件开始，自下而上逐步地进行事件集合运算，将或门输出 事件表示为输入事件的布尔和，将与门输出事件表示为输入事件的布尔 积。这样向上层层代入，在逐步代入过程中或者最后，按照布尔代数吸收 律和等幂律来化简，将顶事件表示成底事件积之和的最简式。其中每一积 项对应于故障树的一个最小割集，全部积项即是故障树的所有最小割集。
件越重要。 例如，一个故障树有 4 个最小割集：
{ X1}，{ X2，X 5 }，{ X3，X 5}，{ X2 ，X3 ，X4} 底事件 X1 最重要，X 5 比 X2 、X3 重要，X 4 最不重要； 底事件的重要程度依次为 X1 ，X 5 ， X2 或 X3 ，X 4 。 在数据不足的情况下，进行上述的定性比较，找出了顶事件（风险事件）的主 要致因，定性的比较结果可指示改进系统的方向 。
（2） 对故障树进行规范化、简化和模块分解 a）将建造好的故障树简化变成规范化故障树，“规范化故障树”是仅含底事 件、结果事件及“与”、“或”、“非”三种逻辑门的故障树。 故障树的规范化的基本规则为： z 按规则处理未探明事件、开关事件、条件事件等特殊事件 z 保持输出事件不变、按规则将特殊门等效转换为“与”、“或”、“非” 门 b) 按集合运算规则（结合律、分配律、吸收律、幂等律、互补律）去掉多余事件 和多余的逻辑门。 c) 将已规范化的故障树分解为若干模块，每个模块构成一个模块子树，对每个 模块子树用一个等效的虚设的底事件来代替，使原故障树的规模减少。可单独对 每个模块子树进行定性分析和定量分析。然后，可根据实际需要，将顶事件与各 模块之间的关系转换为顶事件和底事件之间的关系。
将拟分析的重大风险事件作为“顶事件”，“顶事件”的发生是由于若干“中 间事件”的逻辑组合所导致，“中间事件”又是由各个“底事件”逻辑组合所导 致。这样自上而下的按层次的进行因果逻辑分析，逐层找出风险事件发生的必要而 充分的所有原因和原因组合，构成了一个倒立的树状的逻辑因果关系图。
例如，对上述飞机例中的机翼重量这个风险事件进行分析：“重量”为顶事 件，可能使飞机的速度达不到预期的要求；造成超重的原因可能是“材料”的问 题，或“设计”未满足重量的预期值的要求；造成“设计”问题的原因（假设）是 设计“人员”只注意靠增加发动机的能力来提高速度，未考虑重量的影响，而同时 也未按设计控制“程序”的要求进行认真的评审、未能及时发现问题。“设计”即 为中间事件，而“人员”、“程序”及“材料”即为底事件。根据逻辑关系画出故 障树如图 5
2．2 . 2 FMEA 的步骤 FMEA 一般按下列步骤进行（详细说明请见参考文献[4] GJB 1391 —92《故
障模式影响及危害性分析程序》）： （1）定义被分析的系统（包括系统的每项任务、每一任务阶段及每一种工作方
式相对应的功能的详细说明、内部和外部接口、各约定层次的预期性能、系统限制 及故障判据的说明）；
b）定性分析： 找出故障树的所有最小割集后，按每个最小割集所含底事件数目（阶数）排 序，在各底事件发生概率都比较小，差别不大的条件下：
z 阶数越少的最小割集越重要 z 在阶数少的最小割集里出现的底事件比在阶数多的最小割集里出现的底事