考虑不确定性情况下的故障树重要度分析方法及应用

李贵杰, 詹 扬, 李大伟, 夏广庆

(1. 大连理工大学航空航天学院, 辽宁 大连 116024; 2. 大连理工大学工业装备结构分析国家重点实验室, 辽宁 大连 116024; 3. 海军大连舰艇学院, 辽宁 大连 116018)

0 引 言

故障树分析(fault tree analysis,FTA)是一种图形演绎方法,采用逻辑符号描述事件和系统之间的因果关系[1-2],用于分析造成系统失效的潜在因素,以确定不同因素的组合而导致的系统故障以及发生的概率,从而找出系统全部的可能失效状态。基于FTA结果,设计人员可以直观地对系统制定相应的改进措施,并进行优化设计,以提高系统的安全性和可靠性。1961年,美国贝尔实验室在导弹的发射控制系统可靠性研究中首先采用了FTA技术[3]。1966年,美国波音公司将该技术应用于飞机领域[4]。1990年,国际电工委员会制定了第一个针对FTA的标准[5],系统地介绍了开展FTA的具体方法。目前,FTA已广泛应用于核工业[6]、航空航天及船舶等装备领域[7-10]的安全评估、故障分析和系统可靠性分析。在传统FTA中,往往将底事件发生的概率处理为确定性的、单一估计值。然而,在实际工程中,很难获得充足的数据来计算底事件出现概率的精确值[1]。特别是在设计初期,元件的具体设计细节还没有被确定,几乎不可能获得失效概率的精确值,也就是说底事件的失效概率值存在着不确定性[11-12]。本文采用概率分布的形式对这种不确定性进行描述。为了有效度量底事件发生概率的不确定性对顶事件的影响,本文在建立故障树顶事件发生概率数学表达式的基础上,根据不确定性重要性测度分析(uncertainty importance measure analysis, UIMA)方法,建立了考虑不确定性的故障树重要度分析方法,用以量化底事件不确定性对顶事件发生概率的影响程度。

UIMA也称为逆向不确定性分析,主要研究系统输出不确定性的来源和输入不确定性对输出不确定性的影响程度[13]。UIMA不仅能够定量分析系统输入不确定性变量对响应输出的影响程度,还能给出影响大小的排序。根据排序结果设计人员可以有针对性地开展设计与分析,以提高分析效率,降低设计的复杂程度。20世纪90年代中期,基于方差的重要性测度(variance-based importance measure, VBIM)被提出[14-15],该方法能够反映输入不确定性变量在其整个取值区域内变化时对响应输出方差的影响,方法简单,易于理解,得到了广泛的应用。但由于VBIM方法使用输出方差来表征响应输出的不确定性并不够充分,在某些情况下会造成信息的损失。为此,学者们提出了矩独立重要性测度(moment independent importance measure, MIIM),用以反映输入变量对输出整个概率分布的影响[16-19],其中Borgonovo[17]提出的MIIM能够较好地反映各输入变量对输出性能概率密度函数的影响程度,被广泛应用于工程实际中。鉴于MIIM方法的优越性,基于此方法,本文构建了考虑故障树底事件发生概率不确定性对顶事件影响的重要度分析方法。

另外,本文以某飞机结冰探测系统为例,阐述了所提出的故障树重要度分析方法的具体流程及分析步骤,推导出了该系统顶事件发生概率数学表示式,计算得到了各底事件的重要度指标,同时分析给出了设计改进措施,证明了所提出重要度方法的合理性和工程适用性。

1 故障树顶事件概率模型

FTA的目的是运用演绎法逐级分析,寻找导致某种故障事件(顶事件)的各种可能原因,直至最基本的原因,通过逻辑关系的分析确定潜在的设计缺陷,以便采取改进措施。故障树采用标准化的符号构建逻辑关系图,以将所有的故障和原因联系起来。

FTA分为定性分析和定量分析。定性分析在于寻找导致顶事件发生的原因事件及原因事件组合,即识别导致顶事件发生的所有故障模式集合,帮助分析人员发现潜在的故障;而定量分析则是在底事件互相独立和已知其发生概率的条件下,计算顶事件发生的概率和底事件重要度等定量指标[20]。

对于由n个独立的底事件组成的连续系统,故障树的顶事件用T表示,底事件用Xi(i=1,2,…,n)表示。设底事件Xi出现的概率为pi,顶事件出现的概率为PT,则有

(1)

对于一个与门故障树,当所有底事件都发生时,顶事件才会发生,其概率组成函数可以表示为

(2)

对于一个或门故障树,当有一个底事件发生时,顶事件就会发生,其概率组成函数可以表示为

(3)

一般的情况下,故障树顶事件发生概率的计算方法有两种:最小割集方法和不交和展开方法。

(1) 最小割集方法。设某故障树的全部N个最小割集为K1,K2,…,KN,当各最小割集中没有重复出现的底事件,即假定最小割集之间是不相交时,顶事件发生的概率组成函数为

(4)

(2) 不交和展开方法。在大多数情况下,底事件可能在不同的最小割集中重复出现,也就是说最小割集之间是相交的,此时顶事件发生的概率需要采用相容事件的概率公式[21]进行计算:

(-1)N-1P(KiKj…KN)

(5)

式中:P(·)为事件发生的概率;Ki,Kj和Kk分别为第i,j和k个最小割集;N为最小割集数。

从式(5)中可以看出,共有2N-1项,对于复杂系统,最小割集数N往往很大时,将会出现“组合爆炸”的问题,导致计算量十分巨大。为此,需要先将最小割集中的相交和转化为不交和,即为不交和展开法,具体方法为如下。

假设某故障树有3个最小割集,分别为K1,K2和K3,根据集合运算的性质,集合K1,K2和K3的并集可以由三项不交和表示:

(6)

将其推广到一般通用的情况,不交和展开如下:

(7)

将式(7)代入到相容事件的概率式(5)中,便可计算得到顶事件发生的概率。

上述方法为计算顶事件发生概率的精确求解方法,但当故障树中最小割集数较多时会发生“组合爆炸”的情况。即使采用不交和展开方法时,计算成本也非常大。在某些实际工程中,精确解往往不是必须的,这是因为对于高价值装备,产品具有较高的可靠性,也就是说产品的失效概率很小。故障树顶事件发生的概率(系统失效概率)计算收敛得非常快,式(5)中的2N-1项代数和中起主要作用的是第一项或前两项。因此,在实际工程中,可根据具有情况进行近似如下:

(8)

或

(9)

2 故障树底事件的矩独立重要度

FTA重要度分析是研究部件(底事件)发生故障时对顶事件发生概率的贡献程度,设计人员可以根据底事件重要度的大小来制订维修策略,改进系统设计。可见,重要度对于系统可靠性分析及优化设计十分重要。较为常用的重要度分析有概率重要度、结构重要度以及关键性重要度等[22]。上述重要度分析方法,虽然能从不同的角度反映底事件对顶事件发生的影响大小,但并没有充分考虑各底事件发生概率存在不确定性时对顶事件的影响。为此,本文基于不确定性重要性测度分析技术,建立了考虑底事件发生概率不确定性的故障树重要度分析方法。

鉴于MIIM的优越性[17],本文基于该重要性测度构建故障树底事件UIMA方法。

(10)

S(pi)的几何意义如图1的阴影区域面积所示。

图1 S(pi)几何意义示意图Fig.1 Schematic diagram of geometric significance of S(pi)

用S(pi)的平均值来度量pi对顶事件发生概率PT分布上的平均影响,可用S(pi)的数学期望Epi[S(pi)]进行表示[9],其计算公式如下:

(11)

为了方便分析,将底事件对顶事件发生概率的重要性测度做[0,1]处理,其可以表达为

(12)

类似地,定义一组底事件对顶事件发生概率重要度如下:

(13)

式中:fpi1,pi2,…,pir(pi1,pi2,…,pir)为pi1,pi2,…,pir的联合PDF,fPT|pi1,pi2,…,pir(pT)为当pi1,pi2,…,pir为给定实现值时,顶事件出现的条件概率密度函数。

3 故障树不确定性重要度求解方法

通过上述分析可知,故障树概率组合函数为显式的形式,因此可采用蒙特卡罗模拟(Monte Carlo simulation, MCS)方法进行求解,该方法适用范围广泛,而且易于编程实现。当随机抽取的样本量足够大时,就能保证计算结果估计的高精度。针对MIIM求解,学者们提出了双层蒙特卡罗方法[24-25],其基本思想是通过等价转换,将重要度指标式(12)转换为双重期望的形式,进而采用双层MCS方法进行求解。重要度指标式(12)等价转换如下:

(14)

式中:EPT|pi(·)为顶事件条件概率密度函数fPT|pi(pT)的数学期望。

值得指出的是,对于复杂系统来说,由于概率组成函数的复杂性,在调用其进行重要度分析时,双层MCS方法较为耗时。因此,可采用目前较为常用的Kriging代理模型方法[28-29],建立顶事件概率组成函数的代理模型,之后再采用双层MCS方法调用已建立的代理模型计算底事件的重要度,这样将大大提高计算效率。

根据故障树不确定性重要度的定义以及求解算法,总结重要度分析流程如图2所示。

图2 考虑底事件存在不确定性情况的故障树重要度分析流程Fig.2 Fault tree importance analysis process considering uncertainty of base events

4 某飞机结冰探测系统故障树UIMA

为验证本文所建立的考虑底事件不确定性的故障树重要度分析方法的合理性以及工程适用性,以文献[30]中的某飞机结冰探测系统为例,进行故障树UIMA。

机翼结冰将导致飞机的空气动力学性能恶化,影响飞机的稳定性和操纵性,致使飞机的飞行安全性降低,甚至造成机毁人亡的事故[30]。为此,飞机结冰探测系统在防除冰系统中扮演着重要的角色,该系统能给出飞机飞行中结冰的信息,配合机载除冰装置,可使飞机在结冰气象条件下减小失事的概率。因此,研究飞机结冰探测系统可靠性对飞机飞行安全具有重要意义。

文献[30]给出的某飞机结冰探测系统示意图如图3所示。其工作原理为当飞机遇到结冰环境时,结冰探测器通过总线(图3中实线)和硬线(图3中虚线)向系统数据采集计算机发送结冰告警信号,之后由数据采集计算机进行处理,再通过总线传输给两台独立的飞行告警计算机。同时,结冰探测器还将通过硬线方式直接将结冰信息传输给飞行告警计算机。飞行告警计算机将结冰告警信息以文字、灯光及语音等方式传递给飞行机组人员。两个结冰探测器相互独立,互不影响。

图3 某飞机结冰探测系统示意图Fig.3 Schematic diagram of an aircraft icing detection system

当结冰探测系统无法完成结冰告警及指示时,则表明探测系统发生失效。根据系统的功能及失效模式,构建结冰探测系统故障树如图4所示[30]。图4中,Ei(i=1,2,…,7)表示中间事件。各事件的详细信息如表1所示。

图4 某飞机结冰探测系统故障树Fig.4 Fault tree of an aircraft icing detection system

表1 飞机结冰探测系统故障树各事件Table 1 Events for the aircraft icing detection system of fault tree

在实际工程中,很难获得该飞机结冰探测系统各底事件发生概率的准确值,因此需考虑各底事件的不确定性。为验证本文所提方法,假设飞机结冰探测系统各底事件发生概率的分布类型及分布参数如表2所示。

表2 底事件发生概率的分布形式及分布参数Table 2 Distribution form and distribution parameters of the bottom event probability

根据故障树定性分析方法,分析得到该结冰探测系统共有9个最小割集[30],分别为:K1={X1,X4,X5},K2={X2,X4,X5},K3={X3,X4,X5},K4={X1,X6,X7,X8,X9},K5={X2,X6,X7,X8,X9},K6={X3,X6,X7,X8,X9},K7={X1,X6,X7,X10,X11},K8={X2,X6,X7,X10,X11}和K9={X3,X6,X7,X10,X11}。

上述最小割集之间具有交和的情况,根据第2节中所介绍的不交和展开法,可以得到飞机结冰探测系统概率组成函数的表达式为

PT=[p1+(1-p1)p2+(1-p1)(1-p2)p3]·

[p4p5+(1-p4p5)p6p7p8p9+(1-p4p5)·

p6p7(1-p8p9)p10p11]

(15)

式(15)为显式函数,采用第4节给出的双层MCS方法计算得到各底事件重要度指标如表3所示。{X4,X5},{X6,X7},{X8,X9}及{X10,X11}这4组底事件中每一组两两功能相同互为备份,考虑到共因失效[31],即相同的原因造成一组底事件同时失效。根据一组底事件不确定性重要度式(13),分别计算得到各种底事件重要度指标如表4所示。为了更直观地反映不同底事件发生概率不确定性对顶事件发生概率的影响程度,各底事件重要度对比图如图5所示。

表3 考虑不确定性情况的底事件重要度计算结果Table 3 Calculation results of bottom event improtance considering uncertainty

表4 各组底事件重要度计算结果Table 4 Calculation results of bottom events importance in each group

图5 考虑不确定性下的底事件重要度指标分析对比图Fig.5 Comparison chart of bottom events importance index analysis considering uncertainty

由表3和图5可以看出,底事件X3对系统顶事件发生概率的影响最为显著,底事件X2对系统顶事件发生概率的影响次之,接下来分别为底事件{X4,X5},X1,{X6,X7}及{X10,X11},底事件{X8,X9}对系统顶事件发生概率的影响最小。由于{X4,X5},{X6,X7},{X8,X9}及{X10,X11}这4组底事件两两互为备份,不确定性分布类型和分布参数相同,因此计算得到的重要度是一致的(数值上差异是由计算误差所造成)。从表4中可以看出,{X4,X5}这组底事件对顶事件发生概率的影响最大,其次为{X6,X7}和{X10,X11},{X8,X9}这组底事件对顶事件发生概率的影响最小。

基于上述分析可知,在文中所给定的状态下,若要降低飞机结冰探测系统发生失效的概率,应重点关注探测棒灯发生的故障,其次应关注控制开关发生的故障,再次应该关注飞行告警计算机1和飞行告警计算机2的故障。另外,供电引起的故障,左右ID硬线信号输出丧失及左右ID总线信号输出丧失的故障也应给予适当的关注。而系统数据采集计算机1和2的故障对顶事件发生的影响较小,可以少关注甚至不关注。根据上述分析,设计人员可以有针对性地采取措施,通过改进设计、收集信息等方式减小底事件不确定性对顶事件的影响,以提高系统的可靠性。

5 结 论

随着装备日趋复杂和精密化,工程实际中所涉及的不确定性越来越受到关注。本文在传统故障树分析的基础上,充分考虑工程实际中的不确定性,将MIIM方法引入到故障树重要度分析中,建立了考虑底事件不确定性的重要度分析方法,给出了基于MCS方法的求解算法。根据重要度分析结果,不仅能够定量地辨识底事件出现概率不确定性对系统失效概率的影响程度,而且可以获得影响程度大小的排序。UIMA结果可以有效地指导设计人员及工程师们进行系统可靠性设计及概率安全评估。文中以某飞机结冰探测系统为例,验证了所提出的考虑不确定性故障树重要度分析方法的合理性及可行性,为工程应用奠定了基础。