郝恒，曹海斌，張康，杜一凡

（中國船舶科學(xué)研究中心深海載人裝備國家重點實驗室，江蘇無錫214082）

故障模式、影響及危害性分析（Failure Mode，Effect and Criticality Analysis，F(xiàn)MECA）是航空、航天、武器等裝備可靠性設(shè)計過程中普遍采用的一種故障分析方法。FMECA包括故障模式及影響分析（FMEA）和危害性分析（CA）。

FMEA屬于定性分析，目前已發(fā)展的比較完善，參照GJB/Z 1391[1]及相關(guān)教材[2-3]能夠順利開展并取得良好效果。

CA進(jìn)行故障模式風(fēng)險評價和排序，也已得到廣泛應(yīng)用，目前針對CA方法的文獻(xiàn)[4-7]主要集中在采用模糊數(shù)學(xué)的方法進(jìn)行危害性評價，而針對航空、航天、艦船等重大裝備領(lǐng)域常用的危害性矩陣分析方法，可能由于技術(shù)保密等原因，現(xiàn)有的FMECA指導(dǎo)標(biāo)準(zhǔn)[1]、可靠性工程手冊[8]和文獻(xiàn)[9-10]關(guān)于危害性矩陣方法的內(nèi)容只給出分析原理及流程，示例僅給出最終結(jié)果，缺乏斜率取值、縱橫坐標(biāo)劃分、非單點故障情況等關(guān)鍵問題的處理過程，造成設(shè)計人員在進(jìn)行裝備故障模式危害性矩陣分析時缺乏指導(dǎo)文件，出現(xiàn)分析困難、甚至分析結(jié)果不合理等問題。同時，采用手工繪圖的方式使得分析效率和精度都比較低。

針對以上危害性矩陣方法在使用中的困難，本文對矩陣斜率取值、坐標(biāo)劃分、單點與非單點故障處理、危害度與危害性等關(guān)鍵問題進(jìn)行研究，推導(dǎo)出危害性定量計算式，并以某型軍機升降舵操縱分系統(tǒng)為例，給出分析實例。

1 危害性矩陣分析方法

1.1 繪制危害性矩陣圖

繪制方法[11]：橫坐標(biāo)一般按等距離表示嚴(yán)酷度等級，縱坐標(biāo)為產(chǎn)品危害度Cr或故障模式危害度Cm,j或故障概率發(fā)生等級（定性分析時），見圖1。首先，按Cr值或Cm,j值在縱坐標(biāo)上查到對應(yīng)的點，再在橫坐標(biāo)上選取代表其嚴(yán)酷度類型的區(qū)間，并在區(qū)間內(nèi)標(biāo)注產(chǎn)品或故障模式的位置（利用產(chǎn)品或故障模式代碼標(biāo)注），從而構(gòu)成產(chǎn)品或故障模式的危害性矩陣圖。在產(chǎn)品設(shè)計初期不能獲取產(chǎn)品的故障數(shù)據(jù)時，一般繪制定性危害性矩陣，故障概率發(fā)生等級一般分為5個等級，即A、B、C、D、E。

圖1 危害性矩陣圖Fig.1 Criticality matrix

產(chǎn)品第j個故障模式危害度Cm,j計算公式為：[12]式（1）中：αj為故障模式頻數(shù)比；βj為故障影響概率，是產(chǎn)品在某故障模式發(fā)生的條件下，其最終影響導(dǎo)致“初始約定層次”出現(xiàn)某嚴(yán)酷度等級的條件概率[13]；λp為被分析產(chǎn)品在其任務(wù)階段內(nèi)的故障率（1/h）；t為產(chǎn)品任務(wù)階段的工作時間（h）。

當(dāng)產(chǎn)品獲得的故障數(shù)據(jù)為任務(wù)階段某一故障模式的故障率λm,j或故障模式的發(fā)生概率Pm,j，故障模式危害度Cm,j還可以表示為：

產(chǎn)品的危害度Cr是該產(chǎn)品在給定嚴(yán)酷度類別下的各種故障模式危害度Cm,j之和，即

式（3）中，N為該產(chǎn)品在相應(yīng)嚴(yán)酷度類別下的故障模式總數(shù)。

應(yīng)針對每一嚴(yán)酷度分別計算產(chǎn)品在該嚴(yán)酷度下的產(chǎn)品的危害度，記為Cr（Ⅰ）、Cr（Ⅱ）等，不同嚴(yán)酷度下的故障模式危害度Cm,j不能相加。

1.2 危害性矩陣圖的應(yīng)用

從圖1標(biāo)記的故障模式分布點向?qū)蔷€（虛線OP）作垂線，以該垂線與對角線的交點到原點的距離作為度量故障模式（或產(chǎn)品）危害性的依據(jù)，距離越長，其危害性越大，越應(yīng)盡快采取改進(jìn)措施。在圖1中，因O1距離比O2距離長，則故障模式M1比故障模式M2的危害性大。

2 危害性矩陣方法應(yīng)用時的困難

目前，危害性矩陣應(yīng)用時存在以下困難：

1）危害性矩陣圖對角線斜率大小影響故障模式（或產(chǎn)品）危害性的分析結(jié)果，但現(xiàn)有資料沒有給出對角線斜率的選取方法或建議值，使得繪制矩陣圖時缺少指導(dǎo)依據(jù)和參考標(biāo)準(zhǔn)。

2）現(xiàn)有資料給出了矩陣圖橫坐標(biāo)為嚴(yán)酷度、縱坐標(biāo)為危害度，但沒有給出坐標(biāo)值標(biāo)注方法或推薦的作圖比例，給出的示例中危害度大多采用等比例標(biāo)注，合理性有待驗證。

3）危害性矩陣圖需手工繪制，工作量很大，且精度比較低，故障模式較多時垂線繪制困難且難以分辨；產(chǎn)品設(shè)計狀態(tài)的更新時，危害性矩陣圖也應(yīng)進(jìn)行更新，多數(shù)情況下需重新繪制，效率比較低。

4）由于沒有統(tǒng)一的繪圖標(biāo)準(zhǔn)，不同系統(tǒng)的故障模式危害性由各系統(tǒng)設(shè)計師繪制在不同的矩陣圖中，系統(tǒng)之間危害性大小難以比較。

5）危害性矩陣分析過程中非單點故障的處理、危害度計算所涉及相關(guān)參數(shù)的概念理解與取值等問題也存在一定難度，缺少詳細(xì)解讀資料。

3 危害性矩陣分析方法關(guān)鍵問題研究

本節(jié)對危害性矩陣斜率確定、縱橫坐標(biāo)劃分、單點故障與非單點故障的處理、危害度和危害性定量計算等問題進(jìn)行研究，用以解決危害性矩陣分析方法在應(yīng)用時存在的困難。

3.1 對角線斜率與坐標(biāo)劃分

危害性矩陣對角線的斜率大小直接影響故障模式分布點向?qū)蔷€所作垂線與對角線的交點位置。如圖2所示，對角線斜率k=1時，故障模式M1的危害性大于故障模式M2的危害性，對角線斜率k=0.75時，故障模式M1的危害性顯然又小于故障模式M2的危害性，所以危害性矩陣對角線斜率的取值直接影響危害性分析結(jié)果。

圖2 不同斜率的危害性矩陣圖Fig.2 Criticality matrix with different slope

危害性矩陣的坐標(biāo)劃分影響故障模式點在矩陣圖中的位置，從而影響故障模式危害性分析結(jié)果。

危害性矩陣斜率與坐標(biāo)劃分是相互關(guān)聯(lián)的，斜率一旦確定，可以通過調(diào)整坐標(biāo)獲得合理的分析結(jié)果，若先劃分好坐標(biāo)，也可以通過調(diào)整斜率值得到合理的分析結(jié)果。

本文采用先確定斜率再劃分坐標(biāo)的方法繪制危害性矩陣圖。文獻(xiàn)[11]進(jìn)行某型飛機升降舵操縱分系統(tǒng)危害性分析時，危害性矩陣斜率為1，文獻(xiàn)[14-15]雖沒有明確指出危害性矩陣斜率值，但根據(jù)矩陣圖可以觀察出，其斜率值都在1附近。且斜率為1時便于繪圖、所繪圖形美觀，故確定危害性矩陣斜率為1。

危害性矩陣橫坐標(biāo)劃分明確，通常分為4類嚴(yán)酷度，等距離劃分?？v坐標(biāo)劃分目前很多文獻(xiàn)[3，8-9]采用等比例坐標(biāo)，即縱坐標(biāo)值大小與其距原點的距離成正比，如圖3所示。這種縱坐標(biāo)劃分方式存在以下缺點。

圖3 等比例坐標(biāo)劃分的危害性矩陣圖Fig.3 Criticality matrix with isometric coordinates

1）縱坐標(biāo)等比例劃分方式在航空、航天、艦船等特別重視安全性的領(lǐng)域缺乏合理性。圖3中，危害度為1.0×10-5的Ⅳ類故障模式M1的危害性與危害度為0.15×10-5的Ⅰ類故障模式M2的危害性幾乎相等。根據(jù)矩陣圖，應(yīng)對故障模式M1和M2的風(fēng)險做出同時接受，或同時拒絕的結(jié)論。但在軍用航空、航天和艦船領(lǐng)域，Ⅰ類故障模式可接受的危害度[16]一般小于1.0×10-6，Ⅳ類故障模式可接受的危害度[16]一般小于1.0×10-1，所以故障模式M1的風(fēng)險是可以接受的，故障模式M2的風(fēng)險是不可以接受的。由此可以看出，等比例劃分縱坐標(biāo)的方式在這些領(lǐng)域是不合適的。

2）復(fù)雜裝備的故障模式危害度分散在1.0×10-10～0.1各個區(qū)間，圖3縱坐標(biāo)僅畫出了0～1.0×10-5部分，若要等比例畫出1.0×10-10～0.1的縱坐標(biāo)，1.0×0-5～0.1部分會使縱軸變長1萬倍，1.0×10-10～1.0×10-6部分則集中在圖3縱軸1/2個坐標(biāo)間距內(nèi)，難以區(qū)分。

鑒于等比例坐標(biāo)的缺點，推薦縱坐標(biāo)采用對數(shù)坐標(biāo)，文獻(xiàn)[11]中繪制的危害性矩陣圖縱坐標(biāo)采用的便是對數(shù)坐標(biāo)。

縱坐標(biāo)采用對數(shù)坐標(biāo)的危害性矩陣做法如下：縱軸等距分為n段，從原點向縱軸正方向，第1個坐標(biāo)為10-x（10-x小于Ⅰ類故障模式最大可接受嚴(yán)酷度），后續(xù)坐標(biāo)點坐標(biāo)值依次為10-x+1、10-x+2、10-x+3、…。坐標(biāo)間距及具體坐標(biāo)值一般參考產(chǎn)品的嚴(yán)酷度定義和風(fēng)險接受準(zhǔn)則[17]來確定。以軍品為例進(jìn)行對數(shù)坐標(biāo)標(biāo)注，軍用飛機、艦船和武器裝備發(fā)生Ⅰ類故障模式的可接受危害度一般小于1.0×10-6，Ⅳ類故障模式的可接受危害度一般小于1.0×10-1。因此，認(rèn)為危害度為10-6的Ⅰ類故障模式與10-1的Ⅳ類故障模式危害性相同，故在合適位置作出對角線的一條垂線，在垂線上找到Ⅰ類故障模式點M2和Ⅳ類故障模式點M1，M2對應(yīng)的縱坐標(biāo)值即為10-6，M1對應(yīng)的縱坐標(biāo)值即為10-1，10-1～10-6之間縱軸等分為5段，按照對數(shù)坐標(biāo)標(biāo)注。10-6坐標(biāo)點與原點之間建議距離為2個坐標(biāo)間隔，因為小于10-8的危害度已經(jīng)很小，其危害性都屬于可接受范圍，可將故障模式點標(biāo)注在10-8位置上。采用對數(shù)坐標(biāo)系的軍用產(chǎn)品危害性矩陣如圖4所示。

圖4 縱坐標(biāo)為對數(shù)坐標(biāo)系的危害性矩陣圖Fig.4 Criticality matrix with logarithmic coordinates of Y-axis

3.2 單點故障與非單點故障分析

單點故障[18]與非單點故障在危害性分析時的區(qū)別在于危害度計算，具體又體現(xiàn)在故障影響概率βj的取值。

1）單點故障分析。有人認(rèn)為單點故障的故障影響概率βj=1，即單點故障一旦發(fā)生就一定會造成系統(tǒng)故障，并導(dǎo)致的故障影響概率為100%。這種觀點不完全正確，單點故障一旦發(fā)生就會導(dǎo)致系統(tǒng)故障是正確的，但系統(tǒng)故障導(dǎo)致的影響可能有多種，所以βj不一定為1。如飛機升降舵軸承滾珠掉出就會導(dǎo)致升降舵喪失操縱功能，但輕度影響為影響飛機操控，增大機組負(fù)擔(dān)，最壞影響會導(dǎo)致飛機操縱失效，撞上障礙物，導(dǎo)致人員傷亡。因此，對于單點故障，仍然要仔細(xì)分析某一故障模式可能產(chǎn)生的多種影響，并根據(jù)統(tǒng)計經(jīng)驗或標(biāo)準(zhǔn)推薦值確定每一種最終故障影響的百分比，即βj。

2）非單點故障分析。非單點故障，即某個部件或設(shè)備存在備份設(shè)計，分析其故障影響時必須考慮備份設(shè)計的存在。當(dāng)發(fā)生故障時，該故障模式對系統(tǒng)或產(chǎn)品造成的影響至少可以分成2種情況。第1種情況是故障模式發(fā)生后，備份設(shè)計正常啟動，這種情況下對系統(tǒng)或產(chǎn)品造成的影響假設(shè)為E1，故障影響概率為β1；第2種情況是故障模式發(fā)生后，備份設(shè)計未能正常啟動，這種情況下對系統(tǒng)或產(chǎn)品造成的影響假設(shè)為E2，故障影響概率為β2。顯然E2的嚴(yán)酷度要高于或等于E1。假設(shè)備份設(shè)計未能正常啟動概率P1，則β2=P1，β1=1-P1。

稍微復(fù)雜的情況為，存在備份設(shè)計的某部件發(fā)生故障后，在不考慮備份設(shè)計時，其故障影響就存在多種，假設(shè)為E1、E2，對應(yīng)故障影響概率為P1、P2（P1+P2=1），備份設(shè)計未能正常啟動概率P3，最終影響為以下3種：

1）故障模式發(fā)生后，備份設(shè)計未能正常啟動，導(dǎo)致影響E1，故障影響概率β1=P1P3。

2）故障模式發(fā)生后，備份設(shè)計未能正常啟動，導(dǎo)致影響E2，故障影響概率β2=P2P3。

3）故障模式發(fā)生后，備份設(shè)計正常啟動，導(dǎo)致影響E3，故障影響概率β3=1-P3。

3.3 故障模式危害性定量計算式

鑒于第2節(jié)所述手工作圖的缺點，推導(dǎo)故障模式危害性定量計算公式。

設(shè)危害性矩陣圖對角線斜率為k，故障模式點坐標(biāo)為M(xm,ym)，過點M做對角線的垂線，垂足為N(xn,yn)，如圖5所示。故障模式M的危害性可以用垂足點N與原點O之間的距離表示，即

由數(shù)學(xué)知識分析可得，垂足N的坐標(biāo)。

代入上式，得到：

圖5 故障模式危害性定量計算分析圖Fig.5 Quantitative calculation chart of failure mode criticality

因此，危害性矩陣對角線斜率為k，故障模式點的坐標(biāo)為(x,y)時的故障模式危害性為：

x、y并非直接采用嚴(yán)酷度等級和危害度數(shù)值，而需要對其進(jìn)行坐標(biāo)數(shù)值轉(zhuǎn)化。轉(zhuǎn)化時，可以借助繪制的危害性矩陣，參考以下幾項原則：

1）轉(zhuǎn)化后的坐標(biāo)是等比例標(biāo)注的，且橫、縱坐標(biāo)比例尺相同；

2）轉(zhuǎn)化后的Ⅳ、Ⅲ、Ⅱ、Ⅰ類嚴(yán)酷度坐標(biāo)值依次為s、2s、3s、4s，s可為任意正數(shù)；

3）設(shè)Ⅰ類故障最高可接受危害度為10-a，Ⅳ類故障最高可接受危害度為10-b，危害度10-b的Ⅰ類故障模式點在對角線上；

4）危害度為10-a的Ⅰ類故障模式與危害度為10-b的Ⅳ類故障模式危害性相等，即2點連線與對角線斜率垂直；

5）故障模式危害度Cm＜10-a-2時，故障模式危害度Cm可以視作10-a-2。

根據(jù)以上原則，可以列出以下坐標(biāo)變化關(guān)系：

參數(shù)A和B滿足方程：

求解可得：

整理后坐標(biāo)變化關(guān)系為：

進(jìn)行危害性定量計算時，首先，通過式（11）～（12）計算得到故障模式坐標(biāo)轉(zhuǎn)化后的坐標(biāo)值(x,y)；最后，通過式（6）計算得到故障模式危害性數(shù)值。

3.4 危害度與危害性

由式（1）可以看出，危害度為產(chǎn)品故障率或故障概率與一系列系數(shù)的乘積，本質(zhì)上還是一個概率量，表示產(chǎn)品發(fā)生故障并造成某種影響的可能性。而危害性是故障嚴(yán)酷度與故障發(fā)生可能性的綜合度量，是故障帶來的風(fēng)險。實際工作中有些人會將危害度與危害性的概念混淆。

同一產(chǎn)品同一嚴(yán)酷度下的故障模式危害度可以相加，得到產(chǎn)品特定嚴(yán)酷度下的產(chǎn)品危害度，相加時不區(qū)分產(chǎn)品故障模式。通過產(chǎn)品危害度可以繪圖或計算得到產(chǎn)品危害性，并對產(chǎn)品危害性進(jìn)行排序，危害性大于某一規(guī)定數(shù)值的產(chǎn)品即可確定為裝備的可靠性關(guān)鍵重要產(chǎn)品，以便在設(shè)計、生產(chǎn)、使用中進(jìn)行控制。

文獻(xiàn)[11]認(rèn)為產(chǎn)品的危害性數(shù)值等于各部件、零件危害性數(shù)值相加，這不恰當(dāng)。由式（6）、（11）～（12）可知，危害性與危害度之間存在數(shù)值關(guān)系，但不是簡單的比例關(guān)系，因而危害性數(shù)值大小只表達(dá)危害性的相對關(guān)系，即危害性數(shù)值為20的故障模式的危害性大于危害性數(shù)值為10的故障模式危害性，但危害性并不是其2倍。

因此，產(chǎn)品的危害性數(shù)值不等于各零部件危害性數(shù)值相加，零部件危害性也不等于零部件各故障模式危害性相加。

產(chǎn)品的危害性應(yīng)先計算得到產(chǎn)品危害度，再通過產(chǎn)品危害度計算得到產(chǎn)品危害性。

4 定量危害性矩陣分析示例

以某軍機升降舵操縱分系統(tǒng)[1]為例，進(jìn)行定量危害性矩陣分析。升降舵操縱分系統(tǒng)的功能是保證飛機的縱向操縱性，由安定面支承、軸承組件、扭力臂組件、操縱組件、配重組件和調(diào)整片組成。

該軍機Ⅰ類故障模式可接受危害度為1.0×10-6，Ⅳ類故障模式可接受危害度為1.0×10-1，以對角線斜率k=1繪制危害性矩陣圖，縱坐標(biāo)采用對數(shù)坐標(biāo)，危害性矩陣如圖4所示。

危害性定量計算的坐標(biāo)轉(zhuǎn)化參數(shù)：坐標(biāo)轉(zhuǎn)化公式為：

故障模式危害性定量計算式為：

應(yīng)用式（13）～（14），可以定量計算升降舵操縱分系統(tǒng)各故障模式的危害性。該軍機升降舵操縱分系統(tǒng)定量危害性分析結(jié)果如表1所示，限于篇幅僅展示部分結(jié)果。

從分析結(jié)果可以看出，升降舵操縱分系統(tǒng)故障模式危害性數(shù)值全部集中在9～19范圍內(nèi)，手工繪圖繪制難度較大，且有些值難以區(qū)分，甚至?xí)霈F(xiàn)排序相反的情況。而借助本文中的計算方法，則可以很容易地進(jìn)行精確排序。

調(diào)整片電動效應(yīng)機構(gòu)不工作危害性最大，為18.803，軸承組件滾珠掉出危害性次之，為18.562，兩者都可能造成Ⅰ類事故，危及飛機安全。根據(jù)“軍機Ⅰ類故障模式可接受危害度為1.0×10-6”，可以計算得到可接受故障模式危害性值為17.677 8，即故障模式危害性值大于17.677 8的均不滿足風(fēng)險要求，應(yīng)采取設(shè)計改進(jìn)或使用補償措施降低其故障模式危害性。

操縱組件搖臂間隙過大、連桿間隙過大和支架裂紋3個故障模式均為Ⅲ類嚴(yán)酷度，若將其危害性數(shù)值直接相加，則操縱組件Ⅲ類故障危害性高達(dá)25.111，而采用式（3）先計算產(chǎn)品危害度再計算產(chǎn)品危害性的方法，得到操縱組件Ⅲ類故障危害性只有9.408 6，驗證了“產(chǎn)品危害性值由零部件危害性值或故障模式危害性值直接相加”的說法是不合適的。

表1 某軍用飛機升降舵操縱分系統(tǒng)定量危害性分析Tab.1 Quantitative criticality analysis of a military aircraft elevator control subsystem

表1中，計算得到了升降舵操縱分系統(tǒng)各組成部分在各類嚴(yán)酷度下的產(chǎn)品危害性，可以用各類嚴(yán)酷度下產(chǎn)品危害性的最大值近似產(chǎn)品危害性，得到升降舵操縱分系統(tǒng)的產(chǎn)品危害度排序，也即改進(jìn)措施的先后順序為：06調(diào)整片→02軸承組件→04操縱組件。

5 結(jié)論

本文針對航空、航天產(chǎn)品設(shè)計過程常用的危害性矩陣分析方法在應(yīng)用過程中存在的困難，以及采用手工繪圖方式效率低、精度低的問題，進(jìn)行了危害性矩陣斜率取值、坐標(biāo)劃分、非單點故障的處理、危害性定量計算公式等關(guān)鍵問題研究，得到以下結(jié)論：

1）危害性矩陣的斜率與坐標(biāo)劃分之間是相互聯(lián)系的，縱坐標(biāo)采用對數(shù)坐標(biāo)更符合產(chǎn)品的故障數(shù)據(jù)分布規(guī)律和不同嚴(yán)酷度的危害性接收準(zhǔn)則；

2）單點故障發(fā)生時也可能造成多種故障，因而單點故障的故障影響概率不一定為1；非單點故障由于備份設(shè)計存在，發(fā)生故障后的故障影響不唯一，確定故障影響概率時必須考慮備份設(shè)計是否正常啟動；

3）通過推導(dǎo)危害性定量計算公式計算故障模式的危害性，解決了作圖法中如果幾個故障模式的危害性接近時，由于作圖法的誤差導(dǎo)致難以判斷危害性相對大小的問題，且提高了工作效率；

4）產(chǎn)品危害度可由同一嚴(yán)酷度下的故障模式危害度直接相加得到，產(chǎn)品危害性不能由零部件危害性或故障模式危害性直接相加得到，須先計算產(chǎn)品危害度，再通過產(chǎn)品危害度繪圖或計算得到產(chǎn)品危害性。