事故分析树FTA在制药行业的应用.docx

事故分析树FTA在制药行业的应用.docx

《事故分析树FTA在制药行业的应用.docx》由会员分享，可在线阅读，更多相关《事故分析树FTA在制药行业的应用.docx（24页珍藏版）》请在冰豆网上搜索。

事故分析树FTA在制药行业的应用

第三讲事故分析树（FTA）在制药行业的应用

[学习要点]FTA是逻辑性非常强的工具，应用的基础是分析人员对于产品、工艺或服务的真实完整的理解。

建议编制适当的软件系统来有效的管理制药生产和管理过程中出现的事故，有效的防范风险和错误的再次发生。

注意本文大量篇幅介绍了分析计算的方法，而实际上同等重要的是对你的工艺和问题的理解和本质原因的分析（这是后续数据分析的基础，必须先确定事故模型）。

一、ICHQ9对于FTA的阐述

FaultTreeAnalysis（FTA）事故分析树（FTA）

TheFTAtool（seeIEC61025）isanapproachthatassumesfailureofthefunctionalityofaproductorprocess.Thistoolevaluatessystem（orsub-system）failuresoneatatimebutcancombinemultiplecausesoffailurebyidentifyingcausalchains.Theresultsarerepresentedpictoriallyintheformofatreeoffaultmodes.Ateachlevelinthetree,combinationsoffaultmodesaredescribedwithlogicaloperators（AND,OR,etc.）.FTAreliesontheexperts’processunderstandingtoidentifycausalfactors.

FTA工具（参考IEC61025）是分析产品或工艺功能缺陷的一个工具。

本工具将系统（或附属系统）的每次事故计数一次，但是该工具允许综合考虑造成事故的多重原因来确认事故发生的可能性。

分析结果借鉴了树形图的方式来表达。

在树形图的每个层面，各个错失模式可以用逻辑演绎因子（和，或，等）来描述。

FTA分析的效果依靠专家对于工艺的理解以确认风险概率。

PotentialAreasofUse（s）潜在的应用范围

FTAcanbeusedtoestablishthepathwaytotherootcauseofthefailure.FTAcanbeusedtoinvestigatecomplaintsordeviationsinordertofullyunderstandtheirrootcauseandtoensurethatintendedimprovementswillfullyresolvetheissueandnotleadtootherissues（i.e.solveoneproblemyetcauseadifferentproblem）.FaultTreeAnalysisisaneffectivetoolforevaluatinghowmultiplefactorsaffectagivenissue.TheoutputofanFTAincludesavisualrepresentationoffailuremodes.Itisusefulbothforriskassessmentandindevelopingmonitoringprograms.

FTA可以被用于建立寻找事故的本质原因。

FTA可以被用于客户投诉项目的调查，或是偏差的调查来了解这些问题的本质原因，并确保针对性的整改措施可以完全解决问题并不会带来其他的问题（例如，解决了老的问题却带来了新的问题）。

FTA是用于分析指定问题的影响因素的有效工具。

FTA分析的结果包括事故的虚拟模型。

这个工具在风险评估和开发监控程序中都非常有用。

二、FTA的定义、历史和分析符号

风险树分析法（FaultTreeAnalysis,FTA）也叫事故树分析法,它是一种从结果到原因逻辑分析事故发生的有向过程,遵循逻辑学的演绎分析原则,即仿照树型结构,将多种风险画成树状,进行多种可能性分析。

若能在此基础上对每种可能性给出概率,则为概率树法,它可以更为准确地判断每种风险发生的概率大小,进而计算出风险的总概率。

被作为事故、故障的事件称顶上事件；其前导事件中是其它事件的结果的事件称中间事件；不能或不必再继续分解的事件称为基本事件。

通过对故障树简化或模块化，既可对事故进行定性分析评价，也可进行定量评价。

事故树分析首先由美国贝尔电话研究所于1961为研究民兵式导弹发射控制系统时提出来，1974年美国原子能委员会运用FTA对核电站事故进行了风险评价，发表了著名的《拉姆逊报告》。

该报告对事故树分析作了大规模有效的应用。

此后，在社会各界引起了极大的反响，受到了广泛的重视，从而迅速在许多国家和许多企业应用和推广。

我国开展事故树分析方法的研究是从1978年开始的。

目前已有很多部门和企业正在进行普及和推广工作，但是至今在制药行业的应用还是非常有限的，可见我们的行业管理意识相对而言是滞后的。

分析中所涉及到的各种事件、原因及其相互关系，需要运用一定的符号予以表达。

故障树分析所用符号有三类，即事件符号，逻辑门符号，转移符号。

图1故障树的事件符号

   事件符号如图1所示包括：

（1）矩形符号

   矩形符号如图1a）所示。

它表示顶上事件或中间事件，也就是需要往下分析的事件。

将事件扼要记入矩形方框内。

（2）圆形符号

   圆形符号如图1b）所示。

它表示基本原因事件，或称基本事件。

它可以是人的差错，也可以是机械、元件的故障，或环境不良因素等。

它表示最基本的、不能继续再往下分析的事件。

（3）屋形符号

   屋形符号如图1c）所示。

主要用于表示正常事件，是系统正常状态下发生的正常事件。

   （4）菱形符号

   菱形符号如图1d）所示。

它表示省略事件，主要用于表示不必进一步剖析的事件和由于信息不足，不能进一步分析的事件。

图2故障树逻辑门符号

逻辑门符号如图2所示包括：

●逻辑与门。

表示仅当所有输入事件都发生时，输出事件才发生的逻辑关系，如图2a）所示。

●逻辑或门。

表示至少有一个输入事件发生，输出事件就发生的逻辑关系，如图2b）所示

●条件与门。

图2c）所示，表示B1、B2不仅同时发生，而且还必须再满足条件α，输出事件A才会发生的逻辑关系。

●条件或门。

图2d），表示任一输入事件发生时，还必须满足条件α，输出事件A才发生的逻辑关系。

●排斥或门。

表示几个事件当中，仅当一个输入事件发生时，输出事件才发生的逻辑关系，其符号如图2e）所示。

●限制门。

图2f）所示，表示当输入事件B发生，且满足条件X时，输出事件才会发生，否则，输出事件不发生。

限制门仅有一个输入事件。

●顺序与门。

表示输入事件既要都发生，又要按一定的顺序发生，输出事件才会发生的逻辑关系，其符号如图2g）表示。

●表决门。

表示仅当n个事件中有m（m≤n）个或m个以上事件同时发生时，输出事件才会发生，其符号如图2h）所示。

图3故障树转移符号

转移符号包括：

●转入符号表示转入上面以对应的字母或数字标注的子故障树部分符号，其符号如图3a）。

●转出符号表示该部分故障树由此转出，其符号如图3b）。

三、FTA的编制程序、分析程序以及相关注意事项

编制故障树应从以下十个基本程序入手：

●熟悉系统。

要求要确实了解系统情况，包括工作程序、各种重要参数、作业情况。

必要时画出工艺流程图和布置图。

●调查事故。

要求在过去事故实例、有关事故统计基础上，尽量广泛地调查所能预想到的事故，即包括已发生的事故和可能发生的事故。

●确定顶上事件。

所谓顶上事件，就是我们所要分析的对象事件。

分析系统发生事故的损失和频率大小，从中找出后果严重，且较容易发生的事故，作为分析的顶上事件。

●确定目标。

根据以往的事故记录和同类系统的事故资料，进行统计分析，求出事故发生的概率（或频率），然后根据这一事故的严重程度，确定我们要控制的事故发生概率的目标值。

●调查原因事件。

调查与事故有关的所有原因事件和各种因素，包括设备故障、机械故障、操作者的失误、管理和指挥错误、环境因素等等，尽量详细查清原因和影响。

●画出事故树。

根据上述资料，从顶上事件起进行演绎分析，一级一级地找出所有直接原因事件，直到所要分析的深度，按照其逻辑关系，画出事故树。

●定性分析。

根据事故树结构进行化简，求出最小割集和最小径集，确定各基本事件的结构重要度排序。

●计算顶上事件发生概率。

首先根据所调查的情况和资料，确定所有原因事件的发生概率，并标在事故树上。

根据这些基本数据，求出顶上事件（事故）发生概率。

●进行比较。

要根据可维修系统和不可维修系统分别考虑。

对可维修系统，把求出的概率与通过统计分析得出的概率进行比较，如果二者不符，则必须重新研究，看原因事件是否齐全，事故树逻辑关系是否清楚，基本原因事件的数值是否设定得过高或过低等等。

对不可维修系统，求出顶上事件发生概率即可。

●定量分析。

定量分析包括下列三个方面的内容：

◆当事故发生概率超过预定的目标值时，要研究降低事故发生概率的所有可能途径，可从最小割集着手，从中选出最佳方案。

◆利用最小径集，找出根除事故的可能性，从中选出最佳方案。

◆求各基本原因事件的临界重要度系数，从而对需要治理的原因事件按临界重要度系数大小进行排队，或编出安全检查表，以求加强人为控制。

事故树分析方法原则上是这10个步骤。

但在具体分析时，可以根据分析的目的、投入人力物力的多少、人的分析能力的高低、以及对基础数据的掌握程度等，分别进行到不同步骤。

如果事故树规模很大，也可以借助电子计算机进行分析。

一般来说，利用FTA可以进行定性和定量的分析。

A.故障树定性分析

在定性分析中，主要包括最小割集、最小径集和重要度分析。

割集，也叫做截集或截止集，它是导致顶上事件发生的基本事件的集合。

也就是说事故树中一组基本事件的发生，能够造成顶上事件发生，这组基本事件就叫割集。

引起顶上事件发生的基本事件的最低限度的集合叫最小割集。

径集，也叫通集或导通集，即如果事故树中某些基本事件不发生，顶上事件就不发生。

那么，这些基本事件的集合称为径集。

不引起顶上事件发生的最低限度的基本事件的集合叫最小径集。

3.1最小割集的求解方法

   1.行列法

行列法是1972年福塞尔提出的方法，所以也称其为福塞尔法。

其理论依据是：

“与门”使割集容量增加，而不增加割集的数量；“或门”使割集的数量增加，而不增加割集的容量。

这种方法是从顶上事件开始，用下一层事件代替上一层事件，把“与门”连接的事件，按行横向排列；把“或门”连接的事件，按列纵横向摆开。

这样，逐层向下，直至各基本事件，列出若干行，最后利用布尔代数化简。

化简结果，就得出若干最小割集。

为了说明这种计算方法，我们以图4-25所示的事故树为例，求其最小割集。

我们看到，顶上事件T与中间事件A1、A2是用“或门”连接的，所以，应当成列摆开，即

A1、A2与下一层事件B1、B2、X1、X2、X4的连结均为“与门”，所以成行排列：

下面依此类推：

整理上式得：

下面对这四组集合用布尔代数化简，根据A·A＝A，则X1·X1＝X1，X4·X4＝X4，即

又根据A＋A·B＝A，则X1·X2＋X1·X2·X3＝X1·X2，即

于是，就得到三个最小割集{X1，X2}，{X4，X5}，{X4，X6}。

按最小割集化简后的事故树，如图4－26所示:

2．结构法

这种方法的理论根据是：

事故树的结构完全可以用最小割集来表示。

下面再来分析图4－25事故树示意图：

A1∪A2＝X1·B1·X2∪X4·B2 

＝X1·（X1∪X3）·X2∪X4·（C∪X6）

＝X1·X2∪X1·X3·X2∪X4·（X4·X5∪X6） 

＝X1·X2∪X1·X2·X3∪X4·X4·X5∪X4·X6 

＝X1·X2∪X1·X2·X3∪X4·X5∪X4·X6 

＝X1·X2∪X4·X5∪X4·X6

这样，得到的三个最小割集{X1，X2}、{X4，X5}、{X4，X6}完全与上例用行列法得到的结果一致。

说明这种方法是正确的。

3．布尔代数化简法

这种方法的理论依据是：

上述结构法完全和布尔代数化简事故树法相似，所不同的只是“∪”与“+”的问题。

实质上，布尔代数化简法中的“+”和结构式中的“∪”是一致的。

这样，用布尔代数化简法，最后求出的若干事件逻辑积的逻辑和，其中，每个逻辑积就是最小割集。

现在还以图4－25为例，进行化简。

T＝A1＋A2＝X1·B1·X2＋X4·B2

＝X1·（X1＋X3）·X2＋X4·（C＋X6）

＝X1·X1·X2＋X1·X3·X2＋X4·（X4·X5＋X6）

＝X1·X2＋X1·X2·X3＋X4·X4·X5＋X4·X6

＝X1·X2＋X1·X2·X3＋X4·X5＋X4·X6

＝X1·X2＋X4·X5＋X4·X6

所得的三个最小割集{X1，X2}、{X4，X5}、{X4，X6}与第一、第二种算法的结果相同。

总的来说，三种求法都可应用，而以第三种算法最为简单，较为普遍采用。

3.2最小径集的求解方法

求最小径集是利用它与最小割集的对偶性，首先作出与事故树对偶的成功树，就是把原来事故树的“与门”换成“或门”，“或门”换“与门”，各类事件发生换成不发生。

然后，利用上节所述方法，求出成功树的最小割集经对偶变换后就是事故树的最小径集。

图4-27给出了两种常用的转换方法。

与事故树对偶的成功树的转换关系图

为什么要这样转换呢？

因为，对于“与门”连接输入事件和输出事件的情况，只要有一个事件不发生，输出事件就可以不发生，所以，在成功树中换用“或门”连接输入事件和输出事件；而对于“或门”连接的输入事件和输出事件的情况，则必须所有输入事件均不发生，输出事件才不发生，所以，在成功树中换用“与门”连接输入事件和输出事件。

例如图4-27所示，其中：

T’、X1’、X2’表示事件T，X1，X2不发生。

例如，与图4-25事故树对偶的成功树，如图4-28所示。

事故树对偶的成功树图

用T’、A1’、A2’、B1’、B2’、C’、X1’、X2’、X3’、X4’、X5’、X6’分别表示各事件T、A1、A2、B1、B2、C、X1、X2、X3、X4、X5、X6不发生。

用求最小割集的第三种方法，即用布尔代数化简法，求最小径集：

T’＝A1’·A2’ 

＝（X1’＋B1’＋X2’）·（X4’＋B2’） 

＝（X1’＋X1’·X3’＋X2’）·（X4’＋C’·X6’） 

＝（X1’＋X2’）·[X4’＋（X4’＋X5’）·X6’］

＝（X1’＋X2’）·（X4’＋X4’·X6’＋X5’·X6’） 

＝（X1’＋X2’）·（X4’＋X5’·X6’） 

＝X1’·X4’＋X1’·X5’·X6’＋X2’·X4’＋X2’·X5’·X6’

这样，就得到成功树的四个最小割集，经对偶变换就是事故树的四个最小径集，即

               T＝（X1＋X4）·（X1＋X5＋X6）·（X2＋X4）·（X2＋X5＋X6）

每一个逻辑和就是一个最小径集，则得到事故树的四个最小径集为

              {X1,X4}，{X2,X4}，{X1,X5,X6}，{X2,X5,X6}

同样，也可以用最小径集表示事故树，如图4—29所示。

其中P1,P2,P3,P4分别表示四个最小径集。

用最小径集等效表示的事故树

3.3最小割集和最小径集在事故树分析中的作用以及实例

最小割集和最小径集在事故树分析中起着极其重要的作用，其中，尤以最小割集最突出，透彻掌握和灵活运用最小割集和最小径集能使事故树分析达到事半功倍的效果，并为有效地控制事故的发生提供重要依据。

最小割集和最小径集的主要作用是：

1）最小割集表示系统的危险性。

求出最小割集可以掌握事故发生的各种可能，为事故调查和事故预防提供方便。

一起事故的发生，并不都遵循一种固定的模式，如果求出了最小割集，就可以马上知道，发生事故的所有可能途径。

例如：

求得图4-25事故树的最小割集为{X1，X2}、{X4，X5}、{X4，X6}，并绘出了它的等效图。

这样，它就直观明了地告诉我们，造成顶上事件（事故）发生的途径共三种；或者X1，X2同时发生；或者X4，X5同时发生；或者X4，X6同时发生。

这对全面掌握事故发生规律，找出隐藏的事故模式是非常有效的。

而且对事故的预防工作提供了非常全面的信息。

这样就可防止头痛医头，脚疼医脚、挂一漏万的问题。

2）最小径集表示系统的安全性。

求出最小径集我们可以知道，要使事故不发生，有几种可能方案。

例如：

从图4-25的等效图中知道，图4-26（最小径集等效表示的图4-25中的事故树）共有4个最小径集：

{X1，X4}，{X2，X4}，{X1，X5，X6}，{X2，X5，X6}。

从这个等效图的结构看出，只要卡断“与门”下的任何一个最小径集Pi，就可以使顶上事件不发生，也就是说，上述四组事件中，任何一组不发生，顶上事件就可以不发生。

3）最小割集能直观地、概略地告诉人们，哪种事故模式最危险，哪种稍次，哪种可以忽略。

例如，某事故树有三个最小割集：

{X1}、{X1，X3}、{X4，X5，X6}（如果各基本事件的发生概率都相等）。

一般来说，一个事件的割集比两个事件的割集容易发生；两个事件的割集比三个事件的割集容易发生……。

因为一个事件的割集只要一个事件发生，如X1发生，顶上事件就会发生；而两个事件的割集则必须满足两个条件（即X1和X3同时发生）才能引起顶上事件发生，这是显而易见的。

4）利用最小径集可以经济地、有效地选择采用预防事故的方案。

我们从图4—29中看出，要消除顶上事件T发生的可能性，可以有四条途径，究竟选择哪条途径最省事、最经济呢？

从直观角度看，一般以消除含事件少的最小径集中的基本事件最省事、最经济。

消除一个基本事件应比消除两个或多个基本事件要省力。

5）利用最小割集和最小径集可以直接排出结构重要度顺序。

6）利用最小割集和最小径集计算顶上事件的发生概率和定量分析

实际应用就请完成下面的作业1：

作业1：

休息，休息一下！

触电伤亡事故树

图中&表示与门符号，>=1表示或门符号。

写出此事故树的所有最小割集和最小径集并给出分析结论

3.4结构重要度分析 

结构重要度分析是从事故树结构上入手分析各基本事件的重要程度。

结构重要度分析一般可以采用两种方法，一种是精确求出结构重要度系数，一种是用最小割集或用最小径集排出结构重要度顺序。

1）求各基本事件的结构重要度系数

在事故树分析中，各个事件都是两种状态，一种状态是发生，即Xi=1；一种状态是不发生，即Xi=0。

各个基本事件状态的不同组合，又构成顶上事件的不同状态，即Φ（X）=1或Φ（X）=0。

在某个基本事件Xi的状态由0变成1（即0i→li），其他基本事件的状态保持不变，顶上事件的状态变化可能有三种情况：

Φ（0i,X）=0→Φ（li,X）=0，则Φ（li,X）—Φ（0i,X）=0

Φ（0i,X）=0→Φ（li,X）=1，则Φ（li,X）—Φ（0i,X）=1

Φ（0i,X）=1→Φ（li,X）=1，则Φ（li,X）—Φ（0i,X）=0

第一种情况和第三种情况都不能说明Xi的状态变化对顶上事件的发生起什么作用，唯有第二种情况说明Xi的作用，即当基本事件Xi的状态，从0变到1，其他基本事件的状度保持不变，顶上事件的状态Φ（0i,X）=0变到Φ（li,X）=1，也就说明，这个基本事件Xi的状态变化对顶上事件的发生与否起了作用。

我们把所有这样的情况累加起来乘以一个系数1/2n-1，就是结构重要度系数1（i）（n是该事故树的基本事件的个数。

）

现在，我们以图4-30为例，求出各基本事件的结构重要度系数。

事故树示意图

图4—30所示事故树共有五个基本事件，其状态组合和顶上事件的状态如表4-3所示。

表4-3基本事件的状态值与顶上事件的状态值表

编号

X1X2X3X4X5

Φ（X）

编号

X1X2X3X4X5

Φ（X）

1

00000

0

17

10000

0

2

00001

0

18

10001

1

3

00010

0

19

10010

0

4

00011

0

20

10011

1

5

00100

0

21

10100

1

6

00101

0

22

10101

1

7

00110

1

23

10110

1

8

00111

1

24

10111

1

9

01000

0

25

11000

0

10

01001

0

26

11001

1

11

01010

0

27

11010

0

12

01011

1

28

11011

1

13

01100

0

29

11100

1

14

01101

0

30

11101

1

15

01110

1

31

11110

1

16

01111

1

32

11111

1

以基本事件X1为例，我们可以从表4—3查出，基本事件X1发生（即X1=1），不管其他基本事件发生与否，顶上事件也发生（即Φ（X）=1）的组合共12个，即编号18，20，21，22，23，24，26，28，29，30，31，32。

这12个组合中的基本事件X1的状态由发生变为不发生时，即X1=0其顶上事件也不发生（即Φ（X）=0）的组合，共7个组合，即编号18（10001），20（10011），21（10100），22（10101），26（11001），29（11100），30（11101）。

也就是说，在12个组合当中，有5个组合不随基本事件X1的状态由发生变为不发生的变化而改变顶上事件的状态，即X1=0时，顶上事件也发生，编号为23,24,28,31,32的5个组合就是这类情况。

上面7个组合就是前面讲的第二种情况的个数。

我们用7再乘一个系数1/2n-1=1/16，就得出基本事件X1的结构重要度系数7/16，用公式表示为：

同样，我们可以逐个求出事件2～5的结构重要度系数为：

因而，基本事件结构重要度排序如下：

I

（1）=I（3）＞I（4）=I（5）＞I

（2）

如果不考虑基本事件的发生概率