故障树手册（Fault Tree handbook)（1）

本文原书为Fault Tree Handbook，所有者为美国核管理委员会（NUREG-0492)。当时学习的时候感觉这本书很不错，故障树对于系统分析很有用，而国内的参考资料相对比较少，就把这本书翻译了下来。本文的英文版所有权归原书发行单位所有，中文翻译的所有权归作者赵星汉所有，未经作者许可，任何人不得将本文用于盈利。

前言

1975年以来，一个题为“系统安全和可靠性分析”的短期课程向200多名核管制委员会人员和承包商开展。本课程由系统科学研究所的David F. Haasl教授、华盛顿大学的Norman H. Roberts教授和美国核管理委员会概率分析人员负责讲授，是概率分析职员组织（Probabilistic Analysis Staff）资助的风险评估培训计划的一部分。
本手册不仅可以作为系统安全可靠性课程的教材，而且还是一份关于故障树构建和评估的文档。这本书的出版是按照风险评估审查小组报告(NUREG/CR-0400)的建议，其中指出，故障/事件树方法应在核管理委员会内外得到更广泛地使用。希望该文件有助于系统分析中故障树方法的制度化和系统化。

（赵星汉同学：在本书中，使用了Fault和Failure两个概念，为了便于区分，在翻译中，我们将Fault翻译为“故障”，将Failure翻译为“失效”。)

第一章 系统分析的基础概念

1.1 系统分析的目的

这本书的主要关注是故障树的相关技术，这是一种获取系统信息的系统化方法。按照该方法获取的信息可以用于决策。因此，在定义系统分析之前，我们应该对决策的过程做一个简要的检查。决策是一个非常复杂的过程，我们将重点介绍有助于系统分析的方面。

大体上来说，我们所做的任何决策都基于我们对目前情况的了解。这种知识部分来自我们对相关情况的直接经验，或来自类似情况的相关经验。通过适当的实验和对结果的分析，我们的知识能得到一定的提升。从某种程度上来讲，我们的知识基于推测，而推测则与我们对事务的看法是乐观的还是悲观的有很大的关系。例如，我们可能会相信，“在这个最好的世界里，一切都是为了最好的”；或者，反过来，我们可能相信墨菲定律:“如果任何事情都能变糟，那它就会变糟。”因此，知识可以通过几种方式获得，但在绝大多数情况下，不可能获得所有相关的信息，因此也几乎不可能消除所有的不确定性因素。

当所有相关信息都收集起来之后再做出决定，这本身就是一个没有意义的假设，这与我们日常生活中被迫做出决定的时机相差甚远，我们一般不可能有十分完备的信息，我们都要面临最后的期限要求。此外，由于在必须作出决定时通常不可能获得所有相关的数据，所以我们根本很难完全弄清楚该决策所导致的全部后续影响。模型I-1 给出了该思想的原理。

由于决策过程往往伴随着时间的限制，因此我们需要区分“好的决策(good decision)”与“正确的决策(correct decision)”。当我们对一件事情进行总结时，我们能判断决策是“好的决策（good decision）”或者“坏的决策（bad decision）”。例如，我买了1000股XYZ公司的股票。六个月后，我发现股票涨了20点，则我之前的决策就是“好的决策（good decision）”。但是，如果股票在这段时间下跌了20点，那么之前的决策就是个“坏的决策（bad decision）”。尽管如此，如果在我做决策时，当时所有可用的信息都表明XYZ公司有一个美好的未来，那么即使后续股票下跌，当初买入股票的的决定依然是一个“正确的决策(correct decision)”。

做出正确的决策（correct decision），需要以下几个方面：

1. 识别所有与决策有关的信息。
2. 建立能获取相关信息的系统流程。
3. 对按流程所获得的信息进行合理的评估和分析。

人们对系统分析有很多种定义。本书的作者们进行过长时间的思考和讨论，选择了如下的定义：

系统分析是指为了制定决策，对特定系统信息进行有序、及时的收集和调查的过程。
(System analysis is a directed process for the orderly and timely aquisition and investigation of specific system information pertinent to a given decision.)

根据上边的定义，系统分析的主要功能是对信息的收集，而不是生成系统模型。这本书的重点（至少在开始阶段）将放在过程（信息的获取）上，而不是产品（系统模型的生成）上。该重点的划分是十分必要的，因为缺乏科学有序的信息收集过程，对应的系统模型往往并不准确和完备。

在信息收集开始前，我们必须确定哪些信息是与决策有关系的。什么信息是必须（essential）的？什么信息是需要（desirable）的？这一点看起来十分简单和自然，但是令人惊讶的是，很多情况下人们并没有遵循这条基本原理。图I-2描述了可能发生的情况。

我们假设图中的大圆表示做出正确的决策所必须的信息。现实中的情况往往是：乔恩斯教授是一个该领域中的一个子领域A的资深专家，并且资金充足。当他开始他的调研后，他的调研发现了一些未知的有意思的问题，这些问题位于A子领域的A1分支上。对A1的调研又导致了A2，如此往复。注意，乔恩斯教授的调研工作使他得到的信息距离实际的决策需要越来越远。阿尔法实验室在一个子领域B的科研中具有重要的位置，调研工作往往从B1导致B2，同样的事情一直在不断发生。当需要决策的时候，必要的决策支持信息并不完备，然而如果有适当的引导，他们的工作本应该是可以获得充足的决策所需的信息的。

一个自然的决策过程如同图I-3所示，A模块表示一个确定的实体。初始阶段，一个实体就像一本“闭合的书”，但是通过实验和调查，我们将会建立对该实体的感知。这时我们会得到代表这个实体的模型B。下一步，通过分析该模型，我们能得到一些结论，这些结论将作为我们决策的基础。因此，我们的决策实际上是我们所建立的模型的衍生物，如果模型建立的不正确，则决策也将是错误的。很明显，决策过程的核心应该是保证所建立的模型应尽可能的与实体相一致。

1.2 系统的定义

在前文中，我们定义了“系统分析”，但什么是“系统”呢？我们常常会说到“太阳能系统”，“政府系统”，“通信系统”等，在这种语境下，系统指的是多个不同种类元素通过某种组织形式存在于一起，它们以某种方式相互作用，这种方式可能是定义好的，也可能是没有完善的定义的。于是，我们可以对系统做出如下的定义：

系统是由相互作用的离散元素集合所构成的确定性实体。（A system is a deterministric entity comprising an interacting collection of discrete elements.)

从实践的角度来看，这个定义并不是很有用，在一些特定的情况下，我们必须指定系统执行的哪些方面是需要着重关注的。系统执行某功能，而对特定执行的状态的选择将决定进行何种分析。例如:我们是否对系统是否成功完成某些任务感兴趣;我们感兴趣的是系统是否会以某种危险的方式失效;或者我们感兴趣的是，该系统是否会比最初预期的成本更高?在这三种情况下，正确的系统分析很可能基于不同的系统定义。

“确定性”一词在定义中意味着所讨论的系统是可定义的，试图对无法明确定义的事物进行分析是完全徒劳的。诗人但丁将地狱看作一个系统，并将它分成了很多令人痛苦的层次，但是，从实践的角度来看，这种系统是很难像家里的管道系统那样被准确的定义。此外，一个系统应该有一些目标——它必须实现某种功能。例如运输系统，热水管道循环系统，地方学校系统等，它们都有自己明确的目标，而不是简单的存在于虚构中。

定义中的离散元素同样也必须是可定义的。例如，太平洋潜艇舰队中的独立潜艇就是其中的可定义元素。需要注意的是，离散元素本身也可以被看成系统。比如说，潜艇由推进系统，导航系统，船体系统，管道系统等组成，它们又可以再向下进一步的划分。

从系统定义中可以看出，系统是由相互作用的若干部件和子系统组成。这些元素间的相互作用可能会非常复杂，这就决定了一个系统的复杂程度不仅仅是这些部件元素相叠加这么简单，这是本书将不断强调的重点。此外，如果系统任何部件的物理特性发生变化（例如，是故障导致的），系统本身也会产生变化。这是一个重要的观点，在某些设计中，假设引入的故障会导致系统的原先的设计发生变化，那么则应针对变化后的新系统开展进一步的分析。以一架四翼飞机为例。假设一个引擎失灵。我们现在有了一个与原来大不相同的新系统，新系统的着陆特性与原系统相比发生了巨大的变化。假设有两个引擎失灵，则会出现六个不同的可能的系统，这取决于哪两个引擎出了故障。

也许在系统定义中必须做出的最重要的决定是如何在系统上设置外部边界。想象一下放在桌子上的电话，简单地将系统定义为仪器本身(耳机、线和支架)就足够了吗？还是应该包括连接墙上插孔的线路？电线杆的外线呢？电线杆上的接线盒呢？那么，由本地、全国乃至全世界的电话系统所组成的庞大而复杂的线路、交换设备等又该怎么办呢？很显然，必须建立系统的外部边界，并且应该根据系统性能的所关注的方面进行决策。如果当前的面临的问题是电话声音太小，那么分析所建立的系统外部系统边界将比较小。如果该问题涉及到线路上的射频传输，则外边界范围将变得很大。

系统定义中的另一个重心是建立分辨极限（limit of resolution)。在电话的例子中，是否应该延申我的分析范围到每个组成设备的独立的部件（螺丝，信号发射器等）？或者是否必要进一步延申到分子层面，或者原子层面或者更低的层面？总而言之，系统分析应该细化到何种程度