在本章和下一章里，我们将用两个简答的例子来定义非预期事件。读者将看到在第V章的帮助下，故障树是怎样一步一步的建立起来的。在故障树的建立过程中，可以得到一些比较浅显的结论，但是详细的评估过程将在第11章才会介绍。

考虑图VIII-1的压力罐的例子，里边有一个管道马达装置和一些相关控制组件。首先我们先看系统功能，系统的功能模型如图VIII-2所示。

操作系统的功能是调节管道的运转。后一个水管的水从一个无限的书库到压力罐。我们嘉定它要花费60秒来给罐子加压。压力开关有接触点，这些接触点会在罐子为空时关闭。当达到阈值压力时，压力开关就打开了，继电器线圈K2就会断电，于是继电器K2接触点打开，水管丧失动力，水管马达停止运转。储罐配有出口阀，可在几乎可以忽略的时间内排放整个储罐。但是这个出口阀门并不是一个压力解除阀门。当罐子是空的，压力开关的接触点关闭，循环再次重复。

系统在最开始位于休眠状态：开关S1打开，继电器K1打开，继电器K2打开，控制系统断电。在这个断电的状态，时钟继电器是闭合的。我们还可以假设这个罐子是空的，压力开关因此也是闭合的。

系统运开始于按下开关 S 1 S_1 S1​，而后继电器 K 1 K_1 K1​线圈通电，因此继电器 K 1 K_1 K1​触点闭合， K 1 K_1 K1​自锁，继电器 K 1 K_1 K1​的闭合使得继电器 K 2 K_2 K2​的线圈通电，从而启动了管道马达。

当发生压力开关关闭失败时的事件时，能使用定时继电器紧急关闭。在开始阶段，定时继电器是关闭状态，定时继电器的线圈也不通电。这就使得定时开关启动。如果这个时钟注册了60秒的能源供应到定时继电器的线圈，那么定时继电器的触点就会打开（并锁定到该状态），断开到 K 1 K_1 K1​线圈的电路（先前关闭锁定），从而导致系统关闭。在常规的操作下，当压力开关触点打开（因此，继电器 K 2 K_2 K2​打开），定时器重置到0秒。

我们选择“当管道打开时压力罐发生破损”这个事件作为我们的非期望事件。如果我们忽略管道和电路的故障，以及其他的所有次要故障，当然我们主要的关注点“当管道打开时压力罐发生破损”这个事件除外，这个问题将是十分简单的。

读者可能会反对这样一个系统，该系统包括一个无限大的储液罐和一个可在短时间内将水箱内的水排尽的出口阀，这是不现实的。我们建议忽略可能导致顶部事件发生的管道和布线故障。关键是，有了这个简化的系统，我们可以说明了故障树构建中的大多数重要步骤。在更复杂的系统中，读者可能倾向于忽略整个系统，而变得参与细节。

首先，我们检查我们的顶层事件都被写成故障，且都指定了“内容”和“时间“。下一步，我们提出问题：”这个故障能由一个部件故障组成吗？“，如果答案是肯定的，我们马上加一个或门在顶层事件的下方，并且思考主要的，次要的，命令模式。如图VIII-3所示：

在这个问题中，我们将在“组件故障级别”建立分辨率极限。“组件”是指在图VIII-1中专门命名的那些项。因此，罐子的主要故障已经在解析极限中，并且已经在圈中现实。我们是否在钻石中加入该声明尚无定论。我们可以一开始就假设该油箱适合于所涉及的工作压力。无论如何，我们选择不再跟踪该故障。

因此我们的关注点转移到罐子的次要故障方面。读者可能还记得第五章中，主要故障，是一个在限制环境内的一个部件的故障，而次要故障，是一个部件在非限制环境下的故障形式。因为次要故障由部件故障组成，我们引入了另一个“或”门，我们的树采用图VIII-4所示的形式。

在这里，我们再次用菱形表示一组条件，这些条件是我们选择不寻求的原因。请注意，在矩形中指出的故障是顶层事件的特定情况，并详细说明了原因。

现在可能发生了这样的情况：我们的储罐可以奇迹般地经受住大于60秒的连续抽水，但是“无奇迹”规则的应用使我们不得不接受这样的说法：储罐在这些条件下总是会破裂。我们能用一个“禁止门”来表示这个情况，这个禁止门的输入是“连续抽水大于60秒”。

这个到禁止门的输入事件能包括一个部件故障吗？答案是否定的，管道在简单的运转，任意时长的管道功能都不能包含一个部件故障。因此，这个错误事件必须分类到“系统状态”。我们现在回想下第五章的规则。在系统状态错误下，我们能有一个或门，一个与门，或者什么门都没有。进一步讲，我们在寻找最小的，直接的，必要的和充分的原因。在这个案例中，直接原因是“马达运转超过60秒”。它的直接原因是：“到马达的能量供应超过了60秒”，一个系统状态错误。后一个事件的直接原因是“K2继电器触点保持关闭超过了60秒”。我们现在把事件描述加上，如图VIII-6.

在这个案例中，从“管道持续运转超过60秒”直接跳转到“K2继电器触点保持关闭超过60秒”，我们没有损失任何东西。详细说明中间原因不会有任何损害，事实上，这样做能降低出错的几率。

我们现在来考虑故障事件“K2继电器触点关闭时间大于60秒”，这个事件能包括一个部件故障吗？答案是肯定的，继电器的触点可能会被挤掉、腐蚀掉或融化掉。因此我们绘制一个或门，并且在图VIII-7上添加主要，次要和命令模式。

这里我们的目标事件是画在长方形中的命令模式事件。回忆下，一个命令故障会影响一个部件的正常功能，但是因为一个来自于其他部件的错误信号指令，在错误的地点，或者在错误的时间。在本例中，错误的信号是EMF作用于继电器线圈超过60秒。系统状态错误可以如图VIII-8那样分析。

注意到图VIII-8的与门的两个输入事件都被当成错误。实际上，正如我们所了解的，连接到故障树上的所有事件都应该写成错误，除非是当成简单摘要添加的陈述（如椭圆中的陈述）。压力开关的触点本身不是故障，但是当我们关闭超过60秒，它就成为了故障。同样的，添加EMF到触点本身也不是故障。注意根据与门的另一个输入事件，导致事件成为错误的条件被限制住了。

错误事件，“压力开关触点关闭超过60秒”能包括一个部件故障，于是图VIII-8的两个输入事件跟随在或门后。我们逐个分析他们，先从左手边的事件开始（图VIII-9）。

我们看到该故障树的腿到达了它的终点（所有输入事件都是圆形或钻石型），除非在某些原因下，我们想要在左侧的钻石图例中继续分析该事件（例如隔膜破裂等）。

我们现在分析图VIII-8右手边的事件，如图VIII-10.

图VIII-10的两个事件都是部件状态错误。左手边的更好分析一些，如图VIII-11.

这里我们看树的另一个终点。图VIII-10中剩下的输入事件的分析参见图VIII-12所示。读者请注意我们最终实现了我们的方法，用一步一步的方式，最终到了时钟继电器错误。最终，我们画出了对压力罐的所有故障树，如图VIII-13.

实际上，图VIII-13的故障树有点过于完整了。因为我们开发的次要故障只有抽水过量导致的压力罐破裂，其他的次要故障（点状的钻石形状）从图中被简单的省略了。进一步的简化也可以，以致到基本故障树，如图VIII-14，该图中圆形表示主要故障，错误事件E1，E2等定义如下：

E表示错误事件：

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-UrPCMRMd-1586626467125)(asserts/figureVIII-12.png)] [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-oyHtcOER-1586626467126)(asserts/figureVIII-13.png)]

故障树的一般性评估将在第十一章讲解。评估故障树是非常有用的，我们可以粗暴的评价压力罐控制电路的健壮性和特殊的弱点。

根据图VIII-14的基础故障树，我们能用第七章的方法，运用主要输入事件的布尔方程来表示顶层事件。这是通过从树的顶部开始向下进行的。

E 1 = T + E 2 = T + ( K 2 + E 3 ) = T + K 2 + ( S ⋅ E 4 ) = T + K 2 + S ⋅ ( S 1 + E 5 ) = T + K 2 + ( S ⋅ S 1 ) + ( S ⋅ E 5 ) = T + K 2 + ( S ⋅ S 1 ) + S ⋅ ( K 1 + R ) = T + K 2 + ( S ⋅ S 1 ) + ( S ⋅ K 1 ) + ( S ⋅ R ) \begin{aligned} E1 &= T+E2 \\ &=T+(K2+E3) \\ &=T+K2+(S\cdot E4) \\ &=T+K2+S\cdot (S1+E5) \\ &=T+K2+(S\cdot S1)+(S\cdot E5) \\ &=T+K2+(S\cdot S1)+S\cdot(K1+R) \\ &=T+K2+(S\cdot S1)+(S\cdot K1)+(S\cdot R) \end{aligned} E1​=T+E2=T+(K2+E3)=T+K2+(S⋅E4)=T+K2+S⋅