12第六章_系统安全分析方法_事故树分析(段振伟)

EjectSecurityStudio2019/10/11事故树分析2事故树分析3一、事故树的发展事故树分析(FaultTreeAnalysis,简称FTA)是安全系统工程中常用的一种分析方法。#1961年,美国贝尔电话研究所的维森(H.A.Watson)首创了FTA并应用于研究民兵式导弹发射控制系统的安全性评价中,用它来预测导弹发射的随机故障概率。接着,美国波音飞机公司的哈斯尔(Hassle)等人对这个方法又作了重大改进,并采用电子计算机进行辅助分析和计算。1974年,美国原子能委员会应用FTA对商用核电站进行了风险评价,发表了拉斯姆逊报告(RasmussenReport),该报告对事故树分析作了大规模有效的应用，引起世界各国的关注。##事故树分析至今仍处在发展和完善中。目前,事故树分析在自动编制、多状态系统FTA、相依事件的FTA、FTA的组合爆炸、数据库的建立及FTA技术的实际应用等方面尚待进一步分析研究,以求新的发展和突破。###第一节事故树分析方法概述4二、FTA的基本概念与原理事故树分析(FTA)是一种演绎推理法，即从结果分析原因的分析方法。这种方法是从一个可能的事故开始一层一层的逐步寻找引起事故的触发事件、直接原因与间接原因。并分析这些事故原因之间的相互逻辑关系，用一种称为事故树的树形图表示这些原因以及它们的逻辑关系。最后通过对事故树的定性与定量分析,找出事故发生的主要原因，为确定安全对策提供可靠依据，以达到预测与预防事故发生的目的。事故树分析5三、FTA的特点(1)事故树分析是一种图形演绎方法,在清晰的事故树图形下,表达系统内各事件间的内在联系,并指出单元故障与系统事故之间的逻辑关系,便于找出系统的薄弱环节。(2)FTA具有很大的灵活性,不仅可以分析某些单元故障对系统的影响,还可以对导致系统事故的特殊原因如人为因素、环境影响进行分析。(3)进行FTA的过程,是一个对系统更深入认识的过程,它要求分析人员把握系统内各要素间的内在联系,弄清各种潜在因素对事故发生影响的途径和程度,因而许多问题在分析的过程中就被发现和解决了,从而提高了系统的安全性(4)利用事故树模型可以定量计算复杂系统发生事故的概率,为改善和评价系统安全性提供了定量依据。事故树分析6四、FTA的不足之处事故树分析还存在许多不足之处,主要是:1、FTA需要花费大量的人力、物力和时间；2、FTA的难度较大,建树过程复杂,需要经验丰富的技术人员参加,即使这样,也难免发生遗漏和错误；#3、FTA只考虑(0,1)状态的事件,而大部分系统存在局部正常、局部故障的状态,因而建立数学模型时,会产生较大误差；4、FTA虽然可以考虑人的因素,但人的失误很难量化。事故树分析7事故树分析一、事故树分析的程序熟悉系统确定顶上事件建造事故树修改简化事故树制定安全措施调查事故调查原因事件收集系统资料定性分析定量分析8事故树分析一、事故树分析的程序—说明准备阶段(1)确定所要分析的系统。在分析过程中,合理地处理好所要分析系统与外界环境及其边界条件,确定所要分析系统的范围,明确影响系统安全的主要因素。(2)熟悉系统。这是事故树分析的基础和依据。对于已经确定的系统进行深入的调查研究,收集系统的有关资料与数据,包括系统的结构、性能、工艺流程、运行条件、事故类型、维修情况、环境因素等。(3)调查系统发生的事故。收集、调查所分析系统曾经发生过的事故和将来有可能发生的事故,同时还要收集、调查本单位与外单位、国内与国外同类系统曾发生的所有事故。9事故树分析一、事故树分析的程序—说明事故树的编制(1)确定事故树的顶事件。确定顶事件是指确定所要分析的对象事件。根据事故调查报告分析其损失大小和事故频率,选择易于发生且后果严重的事故作为事故的顶事件。(2)调查与顶事件有关的所有原因事件。从人、机、环境和信息等方面调查与事故树顶事件有关的所有事故原因,确定事故原因并进行影响分析。(3)编制事故树。采用一些规定的符号,按照一定的逻辑关系,把事故树顶事件与引起顶事件的原因事件,绘制成反映因果关系的树形图。10事故树分析一、事故树分析的程序—说明事故树定性分析事故树定性分析主要是按事故树结构,求取事故树的最小割集或最小径集,以及基本事件的结构重要度,根据定性分析的结果,确定预防事故的安全保障措施。事故树定量分析事故树定量分析主要是根据引起事故发生的各基本事件的发生概率,计算事故树顶事件发生的概率；计算各基本事件的概率重要度和关键重要度。根据定量分析的结果以及事故发生以后可能造成的危害,对系统进行风险分析,以确定安全投资方向。事故树分析的结果总结与应用必须及时对事故树分析的结果进行评价、总结,提出改进建议,整理、储存事故树定性和定量分析的全部资料与数据,并注重综合利用各种安全分析的资料,为系统安全性评价与安全性设计提供依据。11事故树分析二、事故树基本符号事故树是由各种符号和其连接的逻辑门组成的。最简单、最基本的符号有：事件符号逻辑门符号转移符号下面分别进行介绍。12事故树分析事件符号(1)矩形符号。用它表示顶上事件或中间事件。将事件扼要记入矩形框内。必须注意，顶上事件一定要清楚明了，不要太笼统。例如“交通事故”，“爆炸着火事故”，对此人们无法下手分析，而应当选择具体事故。如“机动车追尾”、“机动车与自行车相撞”，“建筑工人从脚手架上坠落死亡”、“道口火车与汽车相撞”等具体事故。(2)圆形符号。它表示基本(原因)事件，可以是人的差错，也可以是设备、机械故障、环境因素等。它表示最基本的事件，不能再继续往下分析了。例如，影响司机了望条件的“曲线地段”、“照明不好”，司机本身问题影响行车安全的“酒后开车”、“疲劳驾驶”等原因，将事故原因扼要记入圆形符号内。13事故树分析(3)屋形符号。它表示正常事件，是系统在正常状态下发生的正常事件。如：“机车或车辆经过道岔”、“因走动取下安全带”等，将事件扼要记入屋形符号内。(4)菱形符号。它表示省略事件，即表示事前不能分析，或者没有再分析下去的必要的事件。例如，“司机间断了望”、“天气不好”、“臆测行车”、“操作不当”等，将事件扼要记入菱形符号内。14事故树分析(1)顶事件。(2)中间事件。结果事件底事件(1)基本原因事件。(2)省略事件。特殊事件(1)开关事件。(2)条件事件。结果事件是由其他事件或事件组合所导致的事件、它总是位于某个逻辑门的输出端。底事件是导致其他事件的原因事件，位于事故树的底部，它总是某个逻辑门的输入事件而不是输出事件。底事件是导致其他事件的原因事件，位于事故树的底部，它总是某个逻辑门的输入事件而不是输出事件。15事故树分析三.逻辑门符号即连接各个事件，并表示逻辑关系的符号。其中主要有：与门、或门、条件与门、条件或门、以及限制门。(1)与门符号。与门连接表示输入事件B1、B2同时发生的情况下，输出事件A才会发生的连接关系。二者缺一不可，表现为逻辑积的关系，即A=B1∩B2。在有若干输入事件时，也是如此，如图所示。16逻辑门符号举例灯亮K1闭合K2闭合灯不亮K1断开K2断开174。逻辑门符号举例油库爆炸火源油气聚集达到爆炸极限1.4%—7.6%空气(氧气)18事故树分析(2)或门符号。表示输入事件B1或B2中，任何一个事件发生都可以使事件A发生，表现为逻辑或的关系即A=B1∪B2。在有若干输入事件时，情况也是如此。如图4-14(a)所示。或门用相对的逻辑电路来说明更好理解。见图4-14(b)。当B1、B2断开(B1=0，B2=0)时，电灯才不会亮(没有信号)，用布尔代数表示为X=B1+B2=0。当B1、B2中有一个接通或两个都接通(即B1=1，B2=0或B1=0，B2=1或B1=1，B2=1)时，电灯亮(出现信号)，用布尔代数表示为X=B1+B2=1。19事故树分析20逻辑门符号举例灯亮K1闭合K2闭合灯不亮K1断开K2断开214。逻辑门符号举例氧气瓶超压爆炸与火源接近接近热源在阳光下曝晒应力超过钢瓶强度极限22与门可以连接数个输入事件E1、E2,…,En和一个输出事件E,表示仅当所有输入事件都发生时,输出事件E才发生的逻辑关系。与门或门非门非门表示输出事件是输入事件的对立事件。或门可以连接数个输入事件E1,E2,…,En和一个输出事件E,表示至少一个输入事件发生时,输出事件E就发生。23事故树分析(3)条件与门符号。表示只有当B1、B2同时发生，且满足条件α的情况下，A才会发生，相当于三个输入事件的与门。即A=B1∩B2∩α，将条件α记入六边形内，如图4-15所示。24事故树分析(4)条件或门符号。表示B1或B2任何一个事件发生，且满足条件β，输出事件A才会发生，将条件β记入六边形内，如图4-16所示。25事故树分析(5)限制门符号。它是逻辑上的一种修正符号，即输入事件发生且满足条件γ时，才产生输出事件。相反，如果不满足，则不发生输出事件，条件γ写在椭圆形符号内，如图4-17所示。26事故树分析条件与门条件或门表示输入事件不仅同时发生,而且还必须满足条件A,才会有输出事件发生表示输入事件中至少有一个发生,在满足条件A的情况下,输出事件才发生。特殊门27事故树分析表决门异或门限制门符号表示仅当单个输入事件发生时,输出事件才发生表示仅当输入事件有m(m≤n)个或m个以上事件同时发生时,输出事件才发生。表示仅当条件事件发生时,输入事件的发生方导致输出事件的发生。28事故树分析3、转移门转入转出转移符号的作用是表示部分事故树图的转人和转出。当事故树规模很大或整个事故树中多处包含有相同的部分树图时,为了简化整个树图,便可用转入29上海外滩海关大钟，这座高达79米的大钟楼，为亚洲第一，世界第三，仅次于英国伦敦钟楼和俄罗斯莫斯科钟楼。30上海外滩海关大钟，这座高达79米的大钟楼，为亚洲第一，世界第三，仅次于英国伦敦钟楼和俄罗斯莫斯科钟楼。四周搭起了维修的施工脚手架，即将全面大修。31第二节事故树的编制编制举例从脚手架坠落死亡事故树32第二节事故树的编制事故树编制是FTA最基本、最关键的环节。编制工作一般应由系统设计入员、操作人员和可靠性分析入员组成的编制小组来完成．经过反复研究，不断深入，才能趋于完善。通过编制过程能使小组人员深入了解系统，发现系统中的薄弱环节，这是编制事故树的首要目的：事故树的编制是否完善直接影响到定性分析与定量分析的结果是否正确．关系到运用FTA的成败，所以及时进行编制实践中有效的经验总结是非常重要的。编制方法一般分为两类，一类是人工编制，另一类是计算机辅助编制。33第二节事故树的编制一、人工编制事故树人工编制事故树的常用方法为演绎法，它是通过人的思考去分析顶事件是怎样发生的。演绎法编制时首先确定系统的顶事件，找出直接导致顶事件发生的各种可能因素或因素的组合即中间事件。在顶事件与其紧连的中间事件之间，根据其逻辑关系相应地画上逻辑门。然后再对每个中间事件进行类似的分析，找出其直接原因，逐级向下演绎，直到不能分析的基本事件为止。这样就可得到用基本事件符号表示的事故树。正确性检查：事故树编出后，要进行全面检查。其正确与否的判别原则是：上一层事件是下一层事件的必然结果；下一层事件是上一层事件的充分条件。34第二节事故树的编制二、计算机辅助编制由于系统的复杂性使系统所含部件愈来愈多，使人工编制事故树费时费力的问题日益突出，必须采用相应的程序，由计算机辅助进行。#计算机辅助编制是借助计算机程序在已有系统部件模式分析的基础上，对系统的事故过程进行编辑，从而达到在一定范围内迅速准确地自动编制事故树的目的。目前计算机编制的应用还有一定因难，主要是目前还汉有规范化、系统化的算法。2019/10/135第三节事故树的定性分析一、结构函数1.定义（基本事件的状态变量）=（事故树顶事件的状态变量）＝因为完全取决于，所以是的函数，即：其中，，称为事故树的结构函数。1基本事件Xi发生0基本事件Xi不发生（i=1，2，…，n）1顶事件发生0顶事件不发生（i=1，2，…，n）2019/1