质量工具之故障树分析FTA
FTA的历史
故障树分析(Fault Tree Analysis),简称FTA,1962年由贝尔实验室的H.A. Watson为美国空军开发。
FTA现在是最重要的系统可靠性和安全分析技术之一。FTA方法广泛用于航空航天、汽车、化工、核工业、软件业等和系统安全及可靠性工程相关的行业领域,当然也可以用于质量管理中各种问题包括客户投诉的解决,即使是生活中的问题困扰,也可以让FTA大展身手。
英文Fault作为名词,根据其使用场景不同,有很多种解释,FTA中的Fault,最直白的翻译是故障,和故障相近或的词如事故、失效、风险、危险、缺陷或问题等,实际上都是FTA的应用范围。
纵观FTA的发展历史,也是围绕和安全及可靠性工程有关的行业领域发生的事故或灾难等,不断向前推进的。
FTA首先开始应用于美国军工
1958年底,美国开始研制第二代战略导弹,即民兵一号洲际弹道导弹(ICBM),由波音飞机公司负责研制工作,1962年民兵一号服役。
当时根据美国空军弹道系统部门的要求,需要开发一种方法用于评估ICBM发射控制系统的可靠性,FTA由此应运而生。 从那时起,FTA这项技术就被许多重视可靠性工程的公司所采用,故障树分析由此获得了广泛的应用和支持,并经常被可靠性专家作为故障分析工具。
1962年,在民兵一号发射控制安全研究中首次公布使用了FTA后,1963-1964年波音将FTA应用于整个民兵二号系统。
20世纪60年代和70年代,美国军方在皮卡廷尼兵工厂将FTA应用在“引信”上。1976年,美国陆军物资司令部将FTA纳入了《可靠性设计工程手册》。 罗马实验室的可靠性分析中心及其后继组织,即现在的美国国防系统信息分析中心,自20世纪60年代以来出版了关于FTA和可靠性框图(Reliability Block Diagrams,RBDs)的文件MIL-HDBK-338B(电子可靠性设计手册)。
FTA广泛用于民航领域
1965年由波音公司和华盛顿大学在西雅图主办的系统安全研讨会上,FTA被广泛研讨和报道。波音公司在1966年左右开始将FTA用于民用飞机设计。
1970年,美国联邦航空管理局(FAA)在联邦公报中公布了对14 CFR 25.1309运输类飞机适航条例的修改,即35 FR 5665(1970-04-08)。这次适航条列修改采用了飞机系统和设备的故障概率标准,了FTA在民用航空领域的广泛使用。
1998年,FAA发布了8040.4号令,确立了风险管理方针,既包括在飞机认证之外的一系列关键活动中的危险分析,又包括空中交通管制和美国国家空域系统的现代化。这导致了FAA系统安全手册的出版,该手册描述了FTA在各种类型的正式危险分析中的使用情况。
FTA用于核电行业
在核电行业,1974年美国原子能委员会发表了关于核电站危险性评价报告,即“拉姆森报告”,大量有效地应用了FTA,从而迅速推动了它的发展。
美国核管理委员会(NRC)于1975年开始使用包括FTA在内的概率风险评估(Probabilistic Risk Assessment,PRA)方法,并在1979年美国宾夕法尼亚州三里岛核电站事故后大大扩展了PRA研究。这最终导致了1981年NRC出版了故障树手册NUREG-0492,并在NRC的管理权限下强制使用PRA。
FTA用于航天领域
美国阿波罗计划始于1961年5月,1962年FTA已被贝尔实验室开发出来,但开始只是用在了美国军工行业,NASA(美国国家航空航天局)没有足够重视FTA。
从上世纪60年代中期开始,NASA一直抱着FMEA(Failure Mode and Effect Analysis,失效模式和影响分析)的大腿不放,通过使用FMEA和其他定性方法进行阿波罗计划的系统安全评估。
二十多年以后,也就是1986年1月28日,在美国佛罗里达肯尼迪航天中心,“挑战者”号航天飞机在升空73秒后爆炸解体,7名宇航员殉职。这次事故,是美国宇航局也是人类太空探索史上最沉重的悲剧。
美国航空航天安全咨询小组在1987年的年度报告中明确指出:
“为了完成当前航天飞机项目风险评估的初始部分,一个现实的、有用的方法如下:
- 开发一个定性的故障树分析。
- 通过定性评估(通过一个简单的发生概率与严重性矩阵),提供危险的优先次序。
- 在有数据的地方使用选定的定量分析。”
这实际上已为FTA在NASA航空航天的应用指明了方向,即需要使用FTA进行定性和定量的风险分析。在核工业故障树手册NUREG–0492的基础上,NASA发布了用于航空航天的故障树手册。
NASA在其《基于航空航天应用的故障树手册》(Faulit Tree Handbook with Aerospace Appliactions)的前言中写道,
“20世纪60年代初,进行风险和可靠性评估的方法起源于美国的航空航天和导弹项目。故障树分析就是这样一个例子,在60年代中期相当流行。在阿波罗计划的早期,有人问到了成功将宇航员送上月球并安全返回地球的概率问题。进行了某种风险或可靠性的计算,结果是任务成功的概率低得令人无法接受。这个结果使NASA不愿意进一步进行定量的风险或可靠性分析,直到1986年的挑战者号事故之后。相反,NASA决定依靠使用故障模式和影响分析(FMEA)和其他定性方法进行系统安全评估。在挑战者号事故之后,人们意识到PRA和FTA在系统风险和可靠性分析中的重要性,它在NASA的使用也开始增加。”
在美国挑战者号航天飞机事故发生的前后几年时间内,全球流程工业先后出现了几次严重且影响深远的大灾难。这几起大灾难,对全球的影响是巨大且无可估量的,更是推动了FTA在全球的应用普及。
1980s全球大灾难盘点
印度博帕尔灾难
1984年12月3日凌晨,美国联合碳化物公司UCC设在印度博帕尔市(Bhopal, India)的农药厂爆炸,这起事故被认为是人类历史上最严重的灾难。此次事故造成大规模的氰化物泄漏,酿成重大悲剧。UCC因此受到很大损失,被迫进行重大改组。
印度民众也在此次事故中遭受了永久的肉体和心灵创伤。2006年印度政府在一份公开文件指出,泄漏造成558,125人受伤,其中包括38,478人暂时部分受伤和大约3,900人严重和永久致残伤害。 其他人估计有8,000人在两周内死亡,另有8,000 人或更多人死于与气体有关的疾病。
前苏联切尔诺贝利灾难
1986年4月26日,前苏联切乌克兰苏维埃社会主义共和国的切尔诺贝利(Chernobyl)核电站4号反应堆发生核事故,它是国际核事件分级表上仅有的两起被评为7级–最高严重程度的核能事故之(另一起是2011年日本福岛核灾难)。
核事故发生后,最初的应急疏散以及后来的环境净化,涉及50多万人,处理费用截止2019年大约为680亿美元。和印度博帕尔灾难一样,这也是一起严重的生态灾难,水体、动植物群落、人类食物链等都受到不可估量的影响。
核事故造成的辐射尘飘过俄罗斯、白俄罗斯和乌克兰,也飘过欧洲的大部分地区。到目前为止,切尔诺贝利事故对普通民众的健康影响仍无法确定。
英国北海石油平台爆炸灾难
1988年7月9日晚,英国北海油田的阿尔法(Piper Alpha)石油平台突然爆炸并沉没。在灾难发生时,该平台约占北海石油和天然气产量的10%。爆炸导致167人死亡,赔偿金、官司和财产损失、环保罚款及整改等相关费用花费合计约75亿美金。
就生命损失和行业影响而言,这次事故是世界上最严重的海上石油灾难。
可靠性标准国际化
前文我们提到,20世纪60年代,美国国防国防系统信息分析中心出版了关于FTA和RBDs的电子可靠性设计手册,美国核管理委员会和美国国家航空航天局也各自发布了故障树手册。不可否认的是,美国对可靠性工程的标准化起到了积极地推动作用。
可靠性工程的系列标准,包括FTA,1965年开始进入国际标准领域。当时在美国的建议下,根据可靠性工程的标准化发展需要,国际电工委员会(IEC)决定成立一个名为“电子元件和设备可靠性”的技术委员会(即TC 56)。
随着可靠性工程技术的不断拓展,维修性和维修保障性的相继提出,也随着IT产业的高速发展,软件和网络及系统方面的安全和可靠性问题已日益受到普遍关注,与之相应的技术与管理方面的标准需求也不断上升。为了适应可靠性标准发展的需求,TC 56的名称也跟着不断发生改变。
FTA在国际和一些国家标准中都有描述。
1990年10月,国际电工委员会发布了IEC 61025第一版,这是针对FTA专门制定的标准。IEC制定了一系列可靠性标准,IEC 61025只是其中之一,其最新版本为第二版,于2006年12月发布。
欧盟标准EN 61025、德国标准DIN EN 61025、英国标准BS EN 61025、澳大利亚 AS IEC 61025等标准,都等同采用IEC 61025标准。
1992年,美国劳工部职业安全与健康管理局(OSHA)在联邦公报57 FR 6356(1992-02-24)中公布和确认,FTA是流程安全管理(PSM)中流程危险分析(PHA)的一种可接受方法。
1996年12月,美国汽车工程师协会SAE发布了适用于民用航空的标准ARP4761《对民用机载系统和设备进行安全评估过程的准则和方法》,ARP4761中使用大量篇幅描述了FTA方法。
中国可靠性标准制定重新起航
我国的可靠性标准化工作起步于20世纪70年代初。“全国电工电子产品可靠性与维修性标准化技术委员会”(即“可标委”)成立于1982年,是我国与IEC/TC 56对口的专业技术标准化组织。 原由国家技术监督局归口管理,现归国家标准化管理委员管理。从80年代起,“可标委”跟踪和参与了IEC/TC 56 国际标准的制定与修订工作,承担了多项可靠性与维修性领域的国家标准制定任务。
所以改革开放之初,我国在可靠性标准化上与国际是完全接轨的。20世纪80年代,我国就制定了一系列可靠性标准,这其中就包括GB/T 7829《故障树分析程序》,标准在1987年6月发布,于1988年1月正式实施。但是国标GB/T 7829并未随着IEC 61025的发布而随后更新。
2019年12月,我国发布了NB/T 201558《核电厂故障树分析导则》,这是除了GB/T 7829外唯一可见的公开标准,也是我们可靠性行业标准的起点。
