事故树分析详解Word文档格式.docx

1、在分析过程中,合理地处理好所要分析系统与外界环境及其边界条件,确定所要分析系统的范围, 明确影响系统安全的主要因素。 （2） 熟悉系统。这是事故树分析的基础和依据。对于已经确定的系统进行深入的调查研究,收集系统的有关资料与数据, 包括系统的结构、性能、工艺流程、运行条件、事故类型、维修情况、环境因素等。 （3） 调查系统发生的事故。收集、调查所分析系统曾经发生过的事故和将来有可能发生的事故,同时还要收集、调查本单位与外单位、国内与国外同类系统曾发生的所有事故。 2. 事故树的编制 （1） 确定事故树的顶事件。确定顶事件是指确定所要分析的对象事件。根据事故调查报告分析其损失大小和事故频率, 选择

2、易于发生且后果严重的事故作为事故的顶事件。（2） 调查与顶事件有关的所有原因事件。从人、机、环境和信息等方面调查与事故树顶事件有关的所有事故原因,确定事故原因并进行影响分析。 （3） 编制事故树。采用一些规定的符号,按照一定的逻辑关系,把事故树顶事件与引起顶事件的原因事件,绘制成反映因果关系的树形图。3. 事故树定性分析 事故树定性分析主要是按事故树结构,求取事故树的最小割集或最小径集,以及基本事件的结构重要度,根据定性分析的结果,确定预防事故的安全保障措施。4. 事故树定量分析 事故树定量分析主要是根据引起事故发生的各基本事件的发生概率,计算事故树顶事件发生的概率；计算各基本事件的概率重要度

3、和关键重要度。根据定量分析的结果以及事故发生以后可能造成的危害,对系统进行风险分析,以确定安全投资方向.5. 事故树分析的结果总结与应用必须及时对事故树分析的结果进行评价、总结,提出改进建议,整理、储存事故树定性和定量分析的全部资料与数据, 并注重综合利用各种安全分析的资料,为系统安全性评价与安全性设计提供依据。 目前已经开发了多种功能的软件包（如美国的SETS和德国的RISA）进行 FTA的定性与定量分析,有些 FTA 软件已经通用和商品化。三、事故树的符号及其意义事故树采用的符号包括事件符号、逻辑门符号和转移符号三大类。 1. 事件及事件符号 在事故树分析中各种非正常状态或不正常情况皆称事

4、故事件,各种完好状态或正常情况皆称成功事件,两者均简称为事件。事故树中的每一个节点都表示一个事件。 1） 结果事件 结果事件是由其他事件或事件组合所导致的事件,它总是位于某个逻辑门的输出端。用矩形符号表示结果事件,如图 3-la 所示。结果事件分为顶事件和中间事件。 （1） 顶事件。是事故树分析中所关心的结果事件,位于事故树的顶端,总是所讨论事故树中逻辑门的输出事件而不是输入事件,即系统可能发生的或实际已经发生的事故结果。 （2） 中间事件。是位于事故树顶事件和底事件之间的结果事件。它既是某个逻辑门的输出事件,又是其他逻辑门的输入事件。2） 底事件 底事件是导致其他事件的原因事件,位于事故树的

5、底部,它总是某个逻辑门的输入事件而不是输出事件。底事件又分为基本原因事件和省略事件。（1） 基本原因事件。它表示导致顶事件发生的最基本的或不能再向下分析的原因或缺陷事件,用图 3-1b中的圆形符号表示。（2） 省略事件。它表示没有必要进一步向下分析或其原因不明确的原因事件。另外,省略事件还表示二次事件,即不是本系统的原因事件,而是来自系统之外的原因事件,用图3-1c 中的菱形符号表示。 3） 特殊事件 特殊事件是指在事故树分析中需要表明其特殊性或引起注意的事件。特殊事件又分为开关事件和条件事件。（1） 开关事件,又称正常事件。它是在正常工作条件下必然发生或必然不发生的事件,用图 3-M中房形符

6、号表示。（2） 条件事件。是限制逻辑门开启的事件,用图 3-1e 中椭圆形符号表示。2. 逻辑门及其符号 逻辑门是连接各事件并表示其逻辑关系的符号。 1） 与门 与门可以连接数个输入事件 E1 、 E2 , ,En 和一个输出事件 E, 表示仅当所有输入事件都发生时,输出事件 E 才发生的逻辑关系。与门符号如图 3-2a 所示。 2） 或门 或门可以连接数个输入事件 E1 ,E2 , ,En 和一个输出事件 E, 表示至少一个输入事件发生时,输出事件 E 就发生。或门符号如图 3-2b 所示。 3） 非门 非门表示输出事件是输入事件的对立事件。非门符号如图 3-2c 所示。4） 特殊门 （1）

7、 表决门。表示仅当输入事件有 m （mn） 个或 m 个以上事件同时发生时, 输出事件才发生。表决门符号如图3-3a 所示。显然,或门和与门都是表决门的特例。或门是m=1时的表决门;与门是m=n时的表决门。 （2） 异或门。表示仅当单个输入事件发生时,输出事件才发生。异或门符号如图3-3b所示。 （3） 禁门。表示仅当条件事件发生时,输入事件的发生方导致输出事件的发生。禁门符号如图 3-3c 所示。 （4） 条件与门。表示输入事件不仅同时发生,而且还必须满足条件A,才会有输出事件发生。条件与门符号如图 3-3d 所示。 （5） 条件或门。表示输入事件中至少有一个发生,在满足条件 A 的情况下,

8、输出事件才发生。条件或门符号如图 3-3e 所示。 3. 转移符号转移符号如图 3-4 所示。转移符号的作用是表示部分事故树图的转人和转出。当事故树规模很大或整个事故树中多处包含有相同的部分树图时,为了简化整个树图,便可用转人（ 图a ）和转出符号（ 图 b）。第二节 事故树的编制事故树编制是FTA中最基本、最关键的环节。编制工作一般应由系统设计人员、操作人员和可靠性分析人员组成的编制小组来完成,经过反复研究,不断深入,才能趋于完善。通过编制过程能使小组人员深入了解系统,发现系统中的薄弱环节, 这是编制事故树的首要目的。事故树的编制是否完善直接影响到定性分析与定量分析的结果是否正确,关系到运用

9、FTA 的成败,所以及时进行编制实践中有效的经验总结是非常重要的。 编制方法一般分为两类,一类是人工编制,另一类是计算机辅助编制。 一、人工编制 1. 编制事故树的规则 事故树的编制过程是一个严密的逻辑推理过程, 应遵循以下规则： （1） 确定顶事件应优先考虑风险大的事故事件。能否正确选择顶事件,直接关系到分析结果,是事故树分析的关键。在系统危险分析的结果中,不希望发生的事件远不止一个。但是, 应当把易于发生且后果严重的事件优先作为分析的对象, 即顶事件; 也可以把发生频率不高但后果很严重以及后果虽不严重但发生非常频繁的事故作为顶事件。 （2） 合理确定边界条件。在确定了顶事件后,为了不致使事

10、故树过于繁琐、庞大 , 应明确规定被分析系统与其他系统的界面 , 并作一些必要的合理的假设。 （3） 保持门的完整性,不允许门与门直接相连。事故树编制时应逐级进行,不允许跳跃;任何一个逻辑门的输出都必须有一个结果事件,不允许不经过结果事件而将门与门直接相连,否则,将很难保证逻辑关系的准确性。 （4） 确切描述顶事件。明确地给出顶事件的定义,即确切地描述出事故的状态,什么时候在何种条件下发生。 （5） 编制过程中及编成后,需及时进行合理的简化。2. 编制事故树的方法人工编制事故树的常用方法为演绎法,它是通过人的思考去分析顶事件是怎样发生的。演绎法编制时首先确定系统的顶事件, 找出直接导致顶事件发

11、生的各种可能因素或因素的组合即中间事件。在顶事件与其紧连的中间事件之间, 根据其逻辑关系相应地画上逻辑门。然后再对每个中间事件进行类似的分析, 找出其直接原因, 逐级向下演绎, 直到不能分析的基本事件为止。这样就可得到用基本事件符号表示的事故树。二、计算机辅助编制由于系统的复杂性使系统所含部件愈来愈多, 使人工编制事故树费时费力的问题日益突出,必须采用相应的程序,由计算机辅助进行。计算机辅助编制是借助计算机程序在已有系统部件模式分析的基础上,对系统的事故过程进行编辑, 从而达到在一定范围内迅速准确地自动编制事故树的目的。计算机编制的主要缺点是分析人员不能通过分析系统而对系统进行透彻了解。目前计

12、算机编制的应用还有一定困难, 主要是目前还没有规范化、系统化的算法。 计算机辅助编制主要可分为两类: 一类是 1973 年 Fussell 提出的合成法（STM-Synthetic Tree Method）,主要用于解决电路系统的事故树编制问题；另一类是由Apostolakis等人提出的判定表法 （DT-Decision Table） 1. 合成法 （STM） 合成法是建立在部件事故模式分析的基础上,用计算机程序对子事故树（MFT） 进行编辑的一种方法。合成法与演绎法的不同点是: 只要部件事故模式所决定子事故树一定, 由合成法得到的事故树就惟一,所以,它是一种规范化的编制方法。部件的 MFT

13、与所分析系统是独立考虑的,因此由这些部件组成的任何系统都可以借助己确定的事故树重新组合该系统的事故树。因此建立系统典型的子事故树库是合成的关键。但合成法不能像演绎法有效地考虑人为因素和环境条件的影响,它是针对系统硬件事故而编制事故树的。 2. 判定表法 判定表法是根据部件的判定表 （DT） 来合成的。判定表法要求确定每个事件的输入/输出事件 , 即输入/输出的某种状态。把每个部件的这种输入/输出事件的关系列成表, 该表称作判定表。一格判定表上只允许有一个输出事件,如果事件不只一个输出事件,则必须建立多格判定表。编制时将系统按节点（输入与输出的连接点）划分开,并确定顶事件及其相关的边界条件。一般

14、认为来自系统环境的每一个输入事件属于基本事件,来自部件的输出事件属于中间事件。在判定表都已齐备后, 从顶事件出发根据判定表中间事件追踪到基本事件为止,这样就制成所需要的事故树。 判定表的优点是可以任意确定部件的状态数目、多态系统以及有关的参量, 因此特别适用于带反馈和自动控制的系统。三、编程举例 例 3-1 用演绎法编制 油库燃爆 事故树。 油库燃烧并爆炸是危害性极大的事故,因而可以将 事故作为事故树的顶事件并编制其事故树。 编制事故树从顶事件开始, 逐级分析导致顶事件发生的中间事件和基本事件,按照逻辑关系, 用逻辑门符号连接上下层事件。例如,“油气达到可燃浓度”与存在“火源”两个中间事件同时

15、存在并且达到爆炸极限时,顶事件才能发生,因而两个中间事件与顶事件之间用与门连接起来, “达到爆炸极限” 可以作为 “与门” 的条件记人椭圆内。 “油气泄漏” 和 “库内通风不良” 是使油气达到可燃浓度缺一不可的先决条件,因而也用与门连接。而任一种火源、任一种油气泄漏方式或任一种通风不良原因都是上层事件发生的条件,因此,上下层事件必须用或门连接。以此逐级向下演绎成如图3-5 所示的事故树。 图3-5 为了不使事故树太复杂,树中引用了省略事件:“作业中与导体接近”“避雷器设计缺陷”和“油罐密封不良” 例 3-2 用判定表法编制事故树。图3-6是一个具有反馈调节的硝酸热交换系统简图。由化学反应产生的

16、热硝酸通过热交换器将热量释放给冷却水而得到冷硝酸。冷却水经水泵打人,其流率取决于阀门开启度和冷却水压力。阀门开启度由自动跟踪硝酸入口温度的阀门控制器确定, 硝酸的出口温度依赖于硝酸人口温度和进入热交换器的冷却水流率。它的输入/输出关系如图3-7所示。图中, 泵的输入事件是泵的运行状态 （ 正常,停止）, 被认为是来自系统环境的输入事件,属于基本事件。冷却水压力（正常,零）是泵的输出事件又是阀门的输入事件。阀门的另一个输入事件是阀门的开启度（正常,零）, 又是阀门控制器的输出事件。阀门的冷却水出口流率（ 正常,零）是热交换器的输入事件,属于基本事件。为方便计算机输入,用字母和数字代替各种状态 :

17、 （高,正常,零）=（+1,0, -1） （正常,故障,停转）=（N,F,B） 把顶事件取为热交换器硝酸出口温度高于允许值, 由输入/输出关系可建立系统各有关部件的判定表, 见表3-1 、表3-2 、表3-3、表3-4 表 3-1 泵的判定表 表 3-2 阀门控制器的判定表输入输出泵运行状态加于阀门的冷却水压力FNOGB-1阀门控制器状态阀门开启度HI表 3-3 阀门的判定表阀门的冷却水压力进入热交换器的冷却水流率JKL表 3-4 热交换器的判定表冷却水流率硝酸人口温度硝酸出口温度A+1CDE下面从上述判定表出发建立以 “硝酸出口温度过高”为顶事件的事故树。 表3-4中E行为C、D两行合并而来

18、,“一”表示不管硝酸人口温度高或正常其后果都一样。所以只有“进入热交换器的冷却水流率为零”事件将导致顶事件发生。而表3-4 中的A行,当热交换器硝酸人口温度高时,热交换器硝酸的出口温度仍正常是因为阀门开启度可随人口温度的高低自动调节,这是引入反馈的作用。 由表3-3得“进入热交换器的冷却水流率为零”是 K 、L 行 , 用或门将两行连接起来。从L行查得使其发生的是“加于阀门的冷却水压力为零”这一中间事件,查表3-1中G行知引起它发生的为输入事件“泵停转”,这是基本事件。K 行有两个输入事件,用与门将它们连接起来,这两个事件均为中间事件,查表 3-2知 “阀门开启度为零” 的输入事件是“阀门控制

19、器故障” 这一基本事件：“加于阀门的冷却水压力正常”的输入事件是“泵正常运转”这一基本事件。按上述逻辑建立事故树如图 3-8 所示。 初步画成的事故树千差万别,给事故树的定性分析和定量计算带来诸多不便。因此,对这种事故树一般都要进行规范化处理。其原则如下: （1） 按照对特殊事件的处理规则和对特殊门进行逻辑等效变换的规则,将事故树变换成仅含基本事件、结果事件以及“与”、 “或”、“非”三种逻辑门的规范化事故树。 （2） 除去明显的多余事件, 即把那些不经过逻辑门直接相连的一串事件除去,只保留最下面的一个事件（即最直接、最基本的事件）。 （3） 除去明显多余的逻辑门。凡上下相邻的两级逻辑门相同时

20、,可将中间事件和一个逻辑门除去, 只保留下层的输入事件。依据上述原则,将图 3-8 （见9页）所示的事故树变换为相应的规范化事故树,如图 3-9（见9页） 所示。第三节 事故树的定性分析事故树定性分析, 是根据事故树求取其最小割集或最小径集, 确定顶事件发生的事故模式、原因及其对顶事件的影响程度,为经济有效地采取预防对策和控制措施,防止同类事故发生提供科学依据。 一、结构函数 1. 结构函数的定义 若事故树有 n 个相互独立的基本事件, Xi 表示基本事件的状态变量, X1仅取 1 或 0 两种状态；表示事故树顶事件的状态变量,也仅取1或0两种状态,则有如下定义： 因为顶事件的状态完全取决于基

21、本事件Xi的状态变量 （i=1, 2, , n）, 所以是X的函数, 即： = （X） 其中,X=（X1，X2，Xn）, 称（X）为事故树的结构函数。2. 结构函数的性质结构函数（X）具有如下性质:（1） 当事故树中基本事件都发生时,顶事件必然发生;当所有基本事件都不发生时,顶事件必然不发生。（2） 当基本事件Xi以外的其他基本事件固定为某一状态,基本事件Xi由不发生转变为发生时,顶事件可能维持不发生状态,也有可能由不发生状态转变为发生状态。（3） 由任意事故树描述的系统状态,可以用全部基本事件作成 或 结合的事故树表示系统的最劣状态（顶事件最易发生）, 也可以用全部基本事件作成 与结合的事故

22、树表示系统的最佳状态（顶事件最难发生） 。（4） 由 n 个二值状态变量 Xi 构成的事故树,其结构函数（X）对所有状态变量Xi（i=1,2,n）都可以展开为：事故树转化为规范化事故树3 事故树的结构函数若取尽所有状态变量 Xi（i=1,2,n ）的所有状态Yi = 0或1（i=1, 2 , ,n ）,则利用数学归纳法,含有 n个基本事件的事故树的结构函数可展开为: 式中 Xi第i个基本事件的状态变量; Yi第i个基本事件的状态值 （0 或1）; 2nn个基本事件构成的状态组合数; P基本事件的状态组合序号（P=1, 2 , ,2n） P（X） 第 P 个事件的状态组合所对应的顶事件的状态值

23、（0 或 1） 。 任意事故树的结构函数,处于由“与门”结合的事故树的结构函数和由“或门”结合的事故树的结构函数之间。由“与门”结合的事故树如图3-10所示,其结构函数可表达为:上式表明, 由 n 个独立事件用“与门”结合的事故树,只要 n 个基本事件中有一个不发生（状态值为0）,则顶事件就不会发生（状态值为0）。所以,函数（X）决定于基本事件Xi 中的最小状态值。 由“或门” 结合的事故树如图 3-11 所示,其结构函数表达式为:式 （3-4） 表明, 由n个独立事件用 “或门” 结合构成的事故树, 只要 n 个基本原因事件中有一个发生（状态值为1）, 顶上事件就会发生（状态值为1） 。所以

24、,函数（X）决定于基本事件Xi中的最大状态值。二、最小割集1. 割集和最小割集 事故树顶事件发生与否是由构成事故树的各种基本事件的状态决定的。很显然,所有基本事件都发生时,顶事件肯定生。然而,在大多数情况下, 并不是所有基本事件都发生时顶事件才发生,而只要某些基本事件发生就可导致顶事件发生。在事故树中,我们把引起顶事件发生的基本事件的集合称为割集,也称截集或截止集。一个事故树中的割集一般不止一个,在这些割集中,凡不包含其他割集的,叫做最小割集。换言之,如果割集中任意去掉一个基本事件后就不是割集, 那么这样的割集就是最小割集。所以,最小割集是引起顶事件发生的充分必要条件。 图 3-12所示的事故

25、树中,顶事件的发生状态完全由5个基本事件的状态所决定,可应用真值表列出顶事件发生状态与基本事件发生状态的关系,见表3-5。若用1表示事件发生,用0表示事件不发生, 则5个基本事件有25=32 种状态组合。对应于32种状态中任何一种状态,是否引起顶事件发生,应根据图3-12所示事故树的结构及布尔代数运算来确定。 如果布尔函数的变元是仅取0与1两个值的变量,根据布尔代数运算规则计算每种状态下的布尔函数,并用表格形式给出,这种表称为真值表。 由表3-5可知,导致顶事件发生（X）=1）的基本事件组合共有15种,即该事故树有15个割集。15个割集中,有的割集包含在其他割集中,例如割集 X1, X4包含在割集 X1, X2, X3, X4, X5 中。只要事件X1和事件X4发生,顶事件必然发生; 且在事件X1和事件X4中任一个不发生,顶事件就不会发生。因此,割集 X1, X4是最小割集,而割集 X1, X2, X3, X4, X5 不是