1. 什么是FTA？

FTA的全称是Fault Tree Analysis（故障树分析法）。

风险分析主要用于及时发现问题，针对薄弱点的改进和可替代系统之间进行比较。FTA这个分析流程主要就是针对确定系统失效出现的几率和这些失效出现后可能导致的结果。当系统失效可能会引起事故或破坏时，这些结果就需要被评估。

在风险分析中，主要有两个量需要被分析：

• 出现的频率
• 系统失效的结果

下图中列举了一些常用的风险分析方法和工具：

常见的风险分析方法和工具

FTA属于演绎分析法，而FMEA，FMEDA等都属于归纳分析法。

这里就要说一下演绎分析法和归纳分析法的区别。

演绎分析法是一种自顶向下的分析方法，在确定一个分析目标后，通过目标组件分解，功能分析，风险评估，头脑风暴等方法一层层分析，从整体到局部，最终达到底层的分析方法。

而归纳分析法正好反过来，是一种自底向上的分析方法。在产品的设计过程中，针对每一个组件进行结构分解，对每一个功能点进行分析，同时结合过去的开发经验，对失效模式进行分析。通过归纳总结的方法形成分析报告并设计改进措施。

最开始的安全/风险分析仅限于检查系统组件/组件的不同类型故障以及每种故障模式的后果。为了评估失效影响和失效发生的几率，当时人们先试探性地按下面四个等级划分：

失效影响及发生几率等级

但是，短时间之后，人们越来越清晰地发现，随着设备和系统越来越复杂，只基于失效模式和失效结果的分析很难执行，而且不适合定量的可靠性分析。在学习了可靠性理论和布尔代数后，贝尔电话公司的一位工程师（H.Watson，1961）能够使用逻辑标志的布尔模型来表示控制系统的错误行为。这标志着故障树分析法的诞生。特别是最近10年，FTA得到了完善，而且现在可能是在大型复杂系统的安全和可靠性评估中使用的最广泛的方法。

2. 目的

使用FTA时，可以确定导致顶层事件的组件或部分系统失效之间的逻辑连接，并通过图形形式显示出来。这个分析的意义不仅仅是揭示失效的原因，还包括他们之间的函数相关性。

通过FTA，可以达到以下目的：

• 确定所有会导致顶层事件的可能失效和失效关系以及失效原因。
• 显示特别重大的事件和时间之间的关联（比如会导致顶层事件的不正确的功能）
• 需要时可以计算可靠性参量，比如顶层事件发生概率或系统有效性
• 达到系统概念的客观评价标准
• 获得关于失效机制和其函数相关性的清晰且简单易懂的文档。

FTA是一种可以通过多种手段来实施的方法。它即可以用于预防也可以在问题已经发生后用于原因定位。

3. 方法描述

为了进一步描述功能系统结构，开发模型也使得定量说明预期的系统失效行为成为可能。结构和方法模型使用布尔代数。FTA可以根据工作范围，基本分成三组：

• 原因-影响结构描述
• 决定所有基础事件的可靠性参数
• 计算可靠性参数

起点是一个包含n个组件的系统，这些组件可以恰好呈现两种状态中的一种(完善的/有缺陷的)。每个节点（组件/系统状态）都可以且仅可以进入两种状态中的一种。对于每个节点，都有一个函数指定对前置节点状态的依赖性。没有前置节点的所有节点状态都要在一个故障树中描述为独立变量。这一最低层级也被描述为FTA的基本事件。

组件对应于没有前置节点的节点（故障树叶子），而系统状态由没有后续节点的节点描述（顶部事件）

通过前置节点决定当前节点状态的函数是一个布尔函数。通过一个基础函数描述，或称为门。

开发故障树时，组件失效被被分解为三种类别：主要失效，次要失效和指令失效。

一个主要失效是组件失效出现在允许的应用条件。主要失效的原因隐藏在设计或组件本身的材料特性中。

一个次要失效描述组件失效作为一个不允许的外部影响的结果出现，例如环境条件，应用条件或其他系统组件影响。

指令错误是由于非正确的人为操作或错误使用带来的。

实际故障树现在包括用于上述输入及其逻辑操作的图形标记。这些操作基于逻辑相关性，使用特征规则从输入决定其输出。输出描述为二进制值：

0：完整

1：有缺陷

下面的这个例子是一个逻辑与门，当两个输入条件中任意一个是1时，逻辑与门就要输出1。