事故树分析详解.docx
《事故树分析详解.docx》由会员分享,可在线阅读,更多相关《事故树分析详解.docx(67页珍藏版)》请在冰豆网上搜索。
事故树分析详解
第一节事故树分析概述
一、事故树分析的基本概念
事故树分析(FaultTreeAnalysis,简称FTA)是安全系统工程中常用的一种分析方法。
1961年,美国贝尔电话研究所的维森(H.A.Watson)首创了FTA并应用于研究民兵式导弹发射控制系统的安全性评价中,用它来预测导弹发射的随机故障概率。
接着,美国波音飞机公司的哈斯尔(Hassle)等人对这个方法又作了重大改进,并采用电子计算机进行辅助分析和计算。
1974年,美国原子能委员会应用FTA对商用核电站进行了风险评价,发表了拉斯姆逊报告(RasmussenReport),引起世界各国的关注。
目前事故树分析法已从宇航、核工业进入一般电子、电力、化工、机械、交通等领域,它可以进行故障诊断、分析系统的薄弱环节,指导系统的安全运行和维修,实现系统的优化设计。
事故树分析(FTA)是一种演绎推理法,这种方法把系统可能发生的某种事故与导致事故发生的各种原因之间的逻辑关系用一种称为事故树的树形图表示,通过对事故树的定性与定量分析,找出事故发生的主要原因,为确定安全对策提供可靠依据,以达到预测与预防事故发生的目的。
FTA法具有以下特点:
(1)事故树分析是一种图形演绎方法,是事故事件在一定条件下的逻辑推理方法。
它可以围绕某特定的事故作层层深入的分析,因而在清晰的事故树图形下,表达系统内各事件间的内在联系,并指出单元故障与系统事故之间的逻辑关系,便于找出系统的薄弱环节。
(2)FTA具有很大的灵活性,不仅可以分析某些单元故障对系统的影响,还可以对导致系统事故的特殊原因如人为因素、环境影响进行分析。
(3)进行FTA的过程,是一个对系统更深入认识的过程,它要求分析人员把握系统内各要素间的内在联系,弄清各种潜在因素对事故发生影响的途径和程度,因而许多问题在分析的过程中就被发现和解决了,从而提高了系统的安全性
(4)利用事故树模型可以定量计算复杂系统发生事故的概率,为改善和评价系统安全性提供了定量依据。
事故树分析还存在许多不足之处,主要是:
FTA需要花费大量的人力、物力和时间;FTA的难度较大,建树过程复杂,需要经验丰富的技术人员参加,即使这样,也难免发生遗漏和错误;FTA只考虑(0,1)状态的事件,而大部分系统存在局部正常、局部故障的状态,因而建立数学模型时,会产生较大误差;FTA虽然可以考虑人的因素,但人的失误很难量化。
事故树分析仍处在发展和完善中。
目前,事故树分析在自动编制、多状态系统FTA、相依事件的FTA、FTA的组合爆炸、数据库的建立及FTA技术的实际应用等方面尚待进一步分析研究,以求新的发展和突破。
二、事故树分析步骤
事故树分析是根据系统可能发生的事故或已经发生的事故所提供的信息,去寻找同事故发生有关的原因,从而采取有效的防范措施,防止事故发生。
这种分析方法一般可按下述步骤进行。
分析人员在具体分析某一系统时可根据需要和实际条件选取其中若干步骤。
1.准备阶段
(1)确定所要分析的系统。
在分析过程中,合理地处理好所要分析系统与外界环境及其边界条件,确定所要分析系统的范围,明确影响系统安全的主要因素。
(2)熟悉系统。
这是事故树分析的基础和依据。
对于已经确定的系统进行深入的调查研究,收集系统的有关资料与数据,包括系统的结构、性能、工艺流程、运行条件、事故类型、维修情况、环境因素等。
(3)调查系统发生的事故。
收集、调查所分析系统曾经发生过的事故和将来有可能发生的事故,同时还要收集、调查本单位与外单位、国内与国外同类系统曾发生的所有事故。
2.事故树的编制
(1)确定事故树的顶事件。
确定顶事件是指确定所要分析的对象事件。
根据事故调查报告分析其损失大小和事故频率,选择易于发生且后果严重的事故作为事故的顶事件。
(2)调查与顶事件有关的所有原因事件。
从人、机、环境和信息等方面调查与事故树顶事件有关的所有事故原因,确定事故原因并进行影响分析。
(3)编制事故树。
采用一些规定的符号,按照一定的逻辑关系,把事故树顶事件与引起顶事件的原因事件,绘制成反映因果关系的树形图。
3.事故树定性分析
事故树定性分析主要是按事故树结构,求取事故树的最小割集或最小径集,以及基本事件的结构重要度,根据定性分析的结果,确定预防事故的安全保障措施。
4.事故树定量分析
事故树定量分析主要是根据引起事故发生的各基本事件的发生概率,计算事故树顶事件发生的概率;计算各基本事件的概率重要度和关键重要度。
根据定量分析的结果以及事故发生以后可能造成的危害,对系统进行风险分析,以确定安全投资方向.
5.事故树分析的结果总结与应用
必须及时对事故树分析的结果进行评价、总结,提出改进建议,整理、储存事故树定性和定量分析的全部资料与数据,并注重综合利用各种安全分析的资料,为系统安全性评价与安全性设计提供依据。
目前已经开发了多种功能的软件包(如美国的SETS和德国的RISA)进行FTA的定性与定量分析,有些FTA软件已经通用和商品化。
三、事故树的符号及其意义
事故树采用的符号包括事件符号、逻辑门符号和转移符号三大类。
1.事件及事件符号
在事故树分析中各种非正常状态或不正常情况皆称事故事件,各种完好状态或正常情况皆称成功事件,两者均简称为事件。
事故树中的每一个节点都表示一个事件。
1)结果事件
结果事件是由其他事件或事件组合所导致的事件,它总是位于某个逻辑门的输出端。
用矩形符号表示结果事件,如图3-la所示。
结果事件分为顶事件和中间事件。
(1)顶事件。
是事故树分析中所关心的结果事件,位于事故树的顶端,总是所讨论事故树中逻辑门的输出事件而不是输入事件,即系统可能发生的或实际已经发生的事故结果。
(2)中间事件。
是位于事故树顶事件和底事件之间的结果事件。
它既是某个逻辑门的输出事件,又是其他逻辑门的输入事件。
2)底事件
底事件是导致其他事件的原因事件,位于事故树的底部,它总是某个逻辑门的输入事件而不是输出事件。
底事件又分为基本原因事件和省略事件。
(1)基本原因事件。
它表示导致顶事件发生的最基本的或不能再向下分析的原因或缺陷事件,用图3-1b中的圆形符号表示。
(2)省略事件。
它表示没有必要进一步向下分析或其原因不明确的原因事件。
另外,省略事件还表示二次事件,即不是本系统的原因事件,而是来自系统之外的原因事件,用图3-1c中的菱形符号表示。
3)特殊事件
特殊事件是指在事故树分析中需要表明其特殊性或引起注意的事件。
特殊事件又分为开关事件和条件事件。
(1)开关事件,又称正常事件。
它是在正常工作条件下必然发生或必然不发生的事件,用图3-M中房形符号表示。
(2)条件事件。
是限制逻辑门开启的事件,用图3-1e中椭圆形符号表示。
2.逻辑门及其符号
逻辑门是连接各事件并表示其逻辑关系的符号。
1)与门
与门可以连接数个输入事件E1、E2,…,En和一个输出事件E,表示仅当所有输入事件都发生时,输出事件E才发生的逻辑关系。
与门符号如图3-2a所示。
2)或门
或门可以连接数个输入事件E1,E2,…,En和一个输出事件E,表示至少一个输入事件发生时,输出事件E就发生。
或门符号如图3-2b所示。
3)非门
非门表示输出事件是输入事件的对立事件。
非门符号如图3-2c所示。
4)特殊门
(1)表决门。
表示仅当输入事件有m(m≤n)个或m个以上事件同时发生时,输出事件才发生。
表决门符号如图3-3a所示。
显然,或门和与门都是表决门的特例。
或门是m=1时的表决门;与门是m=n时的表决门。
(2)异或门。
表示仅当单个输入事件发生时,输出事件才发生。
异或门符号如图3-3b所示。
(3)禁门。
表示仅当条件事件发生时,输入事件的发生方导致输出事件的发生。
禁门符号如图3-3c所示。
(4)条件与门。
表示输入事件不仅同时发生,而且还必须满足条件A,才会有输出事件发生。
条件与门符号如图3-3d所示。
(5)条件或门。
表示输入事件中至少有一个发生,在满足条件A的情况下,输出事件才发生。
条件或门符号如图3-3e所示。
3.转移符号
转移符号如图3-4所示。
转移符号的作用是表示部分事故树图的转人和转出。
当事故树规模很大或整个事故树中多处包含有相同的部分树图时,为了简化整个树图,便可用转人(图a)和转出符号(图b)。
第二节事故树的编制
事故树编制是FTA中最基本、最关键的环节。
编制工作一般应由系统设计人员、操作人员和可靠性分析人员组成的编制小组来完成,经过反复研究,不断深入,才能趋于完善。
通过编制过程能使小组人员深入了解系统,发现系统中的薄弱环节,这是编制事故树的首要目的。
事故树的编制是否完善直接影响到定性分析与定量分析的结果是否正确,关系到运用FTA的成败,所以及时进行编制实践中有效的经验总结是非常重要的。
编制方法一般分为两类,一类是人工编制,另一类是计算机辅助编制。
一、人工编制
1.编制事故树的规则
事故树的编制过程是一个严密的逻辑推理过程,应遵循以下规则:
(1)确定顶事件应优先考虑风险大的事故事件。
能否正确选择顶事件,直接关系到分析结果,是事故树分析的关键。
在系统危险分析的结果中,不希望发生的事件远不止一个。
但是,应当把易于发生且后果严重的事件优先作为分析的对象,即顶事件;也可以把发生频率不高但后果很严重以及后果虽不严重但发生非常频繁的事故作为顶事件。
(2)合理确定边界条件。
在确定了顶事件后,为了不致使事故树过于繁琐、庞大,应明确规定被分析系统与其他系统的界面,并作一些必要的合理的假设。
(3)保持门的完整性,不允许门与门直接相连。
事故树编制时应逐级进行,不允许跳跃;任何一个逻辑门的输出都必须有一个结果事件,不允许不经过结果事件而将门与门直接相连,否则,将很难保证逻辑关系的准确性。
(4)确切描述顶事件。
明确地给出顶事件的定义,即确切地描述出事故的状态,什么时候在何种条件下发生。
(5)编制过程中及编成后,需及时进行合理的简化。
2.编制事故树的方法
人工编制事故树的常用方法为演绎法,它是通过人的思考去分析顶事件是怎样发生的。
演绎法编制时首先确定系统的顶事件,找出直接导致顶事件发生的各种可能因素或因素的组合即中间事件。
在顶事件与其紧连的中间事件之间,根据其逻辑关系相应地画上逻辑门。
然后再对每个中间事件进行类似的分析,找出其直接原因,逐级向下演绎,直到不能分析的基本事件为止。
这样就可得到用基本事件符号表示的事故树。
二、计算机辅助编制
由于系统的复杂性使系统所含部件愈来愈多,使人工编制事故树费时费力的问题日益突出,必须采用相应的程序,由计算机辅助进行。
计算机辅助编制是借助计算机程序在已有系统部件模式分析的基础上,对系统的事故过程进行编辑,从而达到在一定范围内迅速准确地自动编制事故树的目的。
计算机编制的主要缺点是分析人员不能通过分析系统而对系统进行透彻了解。
目前计算机编制的应用还有一定困难,主要是目前还没有规范化、系统化的算法。
计算机辅助编制主要可分为两类:
一类是1973年Fussell提出的合成法(STM-SyntheticTreeMethod),主要用于解决电路系统的事故树编制问题;另一类是由Apostolakis等人提出的判定表法(DT-DecisionTable)
1.合成法(STM)
合成法是建立在部件事故模式分析的基础上,用计算机程序对子事故树(MFT)进行编辑的一种方法。
合成法与演绎法的不同点是:
只要部件事故模式所决定子事故树一定,由合成法得到的事故树就惟一,所以,它是一种规范化的编制方法。
部件的MFT与所分析系统是独立考虑的,因此由这些部件组成的任何系统都可以借助己确定的事故树重新组合该系统的事故树。
因此建立系统典型的子事故树库是合成的关键。
但合成法不能像演绎法有效地考虑人为因素和环境条件的影响,它是针对系统硬件事故而编制事故树的。
2.判定表法
判定表法是根据部件的判定表(DT)来合成的。
判定表法要求确定每个事件的输入/输出事件,即输入/输出的某种状态。
把每个部件的这种输入/输出事件的关系列成表,该表称作判定表。
一格判定表上只允许有一个输出事件,如果事件不只一个输出事件,则必须建立多格判定表。
编制时将系统按节点(输入与输出的连接点)划分开,并确定顶事件及其相关的边界条件。
一般认为来自系统环境的每一个输入事件属于基本事件,来自部件的输出事件属于中间事件。
在判定表都已齐备后,从顶事件出发根据判定表中间事件追踪到基本事件为止,这样就制成所需要的事故树。
判定表的优点是可以任意确定部件的状态数目、多态系统以及有关的参量,因此特别适用于带反馈和自动控制的系统。
三、编程举例
[例3-1]用演绎法编制"油库燃爆"事故树。
油库燃烧并爆炸是危害性极大的事故,因而可以将"油库燃爆"事故作为事故树的顶事件并编制其事故树。
编制事故树从顶事件开始,逐级分析导致顶事件发生的中间事件和基本事件,按照逻辑关系,用逻辑门符号连接上下层事件。
例如,“油气达到可燃浓度”与存在“火源”两个中间事件同时存在并且达到爆炸极限时,顶事件才能发生,因而两个中间事件与顶事件之间用与门连接起来,“达到爆炸极限”可以作为“与门”的条件记人椭圆内。
“油气泄漏”和“库内通风不良”是使油气达到可燃浓度缺一不可的先决条件,因而也用与门连接。
而任一种火源、任一种油气泄漏方式或任一种通风不良原因都是上层事件发生的条件,因此,上下层事件必须用或门连接。
以此逐级向下演绎成如图3-5所示的事故树。
图3-5
为了不使事故树太复杂,树中引用了省略事件:
“作业中与导体接近”“避雷器设计缺陷”和“油罐密封不良”
[例3-2]用判定表法编制事故树。
图3-6是一个具有反馈调节的硝酸热交换系统简图。
由化学反应产生的热硝酸通过热交换器将热量释放给冷却水而得到冷硝酸。
冷却水经水泵打人,其流率取决于阀门开启度和冷却水压力。
阀门开启度由自动跟踪硝酸入口温度的阀门控制器确定,硝酸的出口温度
依赖于硝酸人口温度和进入热交换器的冷却水流率。
它的输入/输出关系如图3-7所示。
图中,泵的输入事件是泵的运行状态(正常,停止),被认为是来自系统环境的输入事件,属于基本事件。
冷却水压力(正常,零)是泵的输出事件又是阀门的输入事件。
阀门的另一个输入事件是阀门的开启度(正常,零),又是阀门控制器的输出事件。
阀门的冷却水出口流率(正常,零)是热交换器的输入事件,属于基本事件。
为方便计算机输入,用字母和数字代替各种状态:
(高,正常,零)=(+1,0,-1)
(正常,故障,停转)=(N,F,B)
把顶事件取为热交换器硝酸出口温度高于允许值,由输入/输出关系可建立系统各有关部件的判定表,见表3-1、表3-2、表3-3、表3-4
表3-1泵的判定表表3-2阀门控制器的判定表
输入
输出
泵运行状态
加于阀门的冷却水压力
F
N
O
G
B
-1
输入
输出
阀门控制器状态
阀门开启度
H
N
O
I
B
-1
表3-3阀门的判定表
输入
输出
阀门开启度
阀门的冷却水压力
进入热交换器的冷却水流率
J
O
O
O
K
-1
O
-1
L
—
-1
-1
表3-4热交换器的判定表
输入
输出
冷却水流率
硝酸人口温度
硝酸出口温度
A
O
+1
O
B
O
O
O
C
-1
+1
+1
D
-1
O
+1
E
-1
—
+1
下面从上述判定表出发建立以“硝酸出口温度过高”为顶事件的事故树。
表3-4中E行为C、D两行合并而来,“一”表示不管硝酸人口温度高或正常其后果都一样。
所以只有“进入热交换器的冷却水流率为零”事件将导致顶事件发生。
而表3-4中的A行,当热交换器硝酸人口温度高时,热交换器硝酸的出口温度仍正常是因为阀门开启度可随人口温度的高低自动调节,这是引入反馈的作用。
由表3-3得“进入热交换器的冷却水流率为零”是K、L行,用或门将两行连接起来。
从L行查得使其发生的是“加于阀门的冷却水压力为零”这一中间事件,查表3-1中G行知引起它发生的为输入事件“泵停转”,这是基本事件。
K行有两个输入事件,用与门将它们连接起来,这两个事件均为中间事件,查表3-2知“阀门开启度为零”的输入事件是“阀门控制器故障”这一基本事件:
“加于阀门的冷却水压力正常”的输入事件是“泵正常运转”这一基本事件。
按上述逻辑建立事故树如图3-8所示。
初步画成的事故树千差万别,给事故树的定性分析和定量计算带来诸多不便。
因此,对这种事故树一般都要进行规范化处理。
其原则如下:
(1)按照对特殊事件的处理规则和对特殊门进行逻辑等效变换的规则,将事故树变换成仅含基本事件、结果事件以及“与”、“或”、“非”三种逻辑门的规范化事故树。
(2)除去明显的多余事件,即把那些不经过逻辑门直接相连的一串事件除去,只保留最下面的一个事件(即最直接、最基本的事件)。
(3)除去明显多余的逻辑门。
凡上下相邻的两级逻辑门相同时,可将中间事件和一个逻辑门除去,只保留下层的输入事件。
依据上述原则,将图3-8(见9页)所示的事故树变换为相应的规范化事故树,如图3-9(见9页)所示。
第三节事故树的定性分析
事故树定性分析,是根据事故树求取其最小割集或最小径集,确定顶事件发生的事故模式、原因及其对顶事件的影响程度,为经济有效地采取预防对策和控制措施,防止同类事故发生提供科学依据。
一、结构函数
1.结构函数的定义
若事故树有n个相互独立的基本事件,Xi表示基本事件的状态变量,X1仅取1或0两种状态;φ表示事故树顶事件的状态变量,φ也仅取1或0两种状态,则有如下定义:
因为顶事件的状态完全取决于基本事件Xi的状态变量(i=1,2,…,n),所以φ是X的函数,即:
φ=φ(X)
其中,X=(X1,X2,…Xn),称φ(X)为事故树的结构函数。
2.结构函数的性质
结构函数φ(X)具有如下性质:
(1)当事故树中基本事件都发生时,顶事件必然发生;当所有基本事件都不发生时,顶事件必然不发生。
(2)当基本事件Xi以外的其他基本事件固定为某一状态,基本事件Xi由不发生转变为发生时,顶事件可能维持不发生状态,也有可能由不发生状态转变为发生状态。
(3)由任意事故树描述的系统状态,可以用全部基本事件作成"或"结合的事故树表示系统的最劣状态(顶事件最易发生),也可以用全部基本事件作成"与"结合的事故树表示系统的最佳状态(顶事件最难发生)。
(4)由n个二值状态变量Xi构成的事故树,其结构函数φ(X)对所有状态变量Xi(i=1,2,…,n)都可以展开为:
事故树转化为规范化事故树
3事故树的结构函数
若取尽所有状态变量Xi(i=1,2,…,n)的所有状态Yi=0或1(i=1,2,…,n),则利用数学归纳法,含有n个基本事件的事故树的结构函数可展开为:
式中 Xi——第i个基本事件的状态变量;
Yi——第i个基本事件的状态值(0或1);
2n——n个基本事件构成的状态组合数;
P——基本事件的状态组合序号(P=1,2,…,2n)
ΦP(X)——第P个事件的状态组合所对应的顶事件的状态值(0或1)。
任意事故树的结构函数,处于由“与门”结合的事故树的结构函数和由“或门”结合的事故树的结构函数之间。
由“与门”结合的事故树如图3-10所示,其结构函数可表达为:
上式表明,由n个独立事件用“与门”结合的事故树,只要n个基本事件中有一个不发生(状态值为0),则顶事件就不会发生(状态值为0)。
所以,函数φ(X)决定于基本事件Xi中的最小状态值。
由“或门”结合的事故树如图3-11所示,其结构函数表达式为:
式(3-4)表明,由n个独立事件用“或门”结合构成的事故树,只要n个基本原因事件中有一个发生(状态值为1),顶上事件就会发生(状态值为1)。
所以,函数Φ(X)决定于基本事件Xi中的最大状态值。
二、最小割集
1.割集和最小割集
事故树顶事件发生与否是由构成事故树的各种基本事件的状态决定的。
很显然,所有基本事件都发生时,顶事件肯定生。
然而,在大多数情况下,并不是所有基本事件都发生时顶事件才发生,而只要某些基本事件发生就可导致顶事件发生。
在事故树中,我们把引起顶事件发生的基本事件的集合称为割集,也称截集或截止集。
一个事故树中的割集一般不止一个,在这些割集中,凡不包含其他割集的,叫做最小割集。
换言之,如果割集中任意去掉一个基本事件后就不是割集,那么这样的割集就是最小割集。
所以,最小割集是引起顶事件发生的充分必要条件。
图3-12所示的事故树中,顶事件的发生状态完全由5个基本事件的状态所决定,可应用真值表列出顶事件发生状态与基本事件发生状态的关系,见表3-5。
若用1表示事件发生,用0表示事件不发生,则5个基本事件有25=32种状态组合。
对应于32种状态中任何一种状态,是否引起顶事件发生,应根据图3-12所示事故树的结构及布尔代数运算来确定。
如果布尔函数Φ的变元是仅取0与1两个值的变量,根据布尔代数运算规则计算每种状态下的布尔函数,并用表格形式给出,这种表称为真值表。
由表3-5可知,导致顶事件发生(Φ(X)=1)的基本事件组合共有15种,即该事故树有15个割集。
15个割集中,有的割集包含在其他割集中,例如割集{X1,X4}包含在割集{X1,X2,X3,X4,X5}中。
只要事件X1和事件X4发生,顶事件必然发生;且在事件X1和事件X4中任一个不发生,顶事件就不会发生。
因此,割集{X1,X4}是最小割集,而割集{X1,X2,X3,X4,X5}不是