国内事故树分析法的事故应用研究综述.docx

1、国内事故树分析法的事故应用研究综述国内事故树分析法的事故应用研究综述1 事故树概述1.1 事故树简介事故树分析(FaultTreeAnalysis,简称FTA)是安全系统工程中常用的分析方法之一。FTA又称故障树分析，是美国贝尔实验室的Watson等提出和发展起来的一门技术。FTA技术提供了一套科学分析和计算的方法，常用来解决复杂系统的可靠性问题，如可以将该方法用于核电站、航天技术、石油化工企业中成套设备等。事故树分析是一种演绎推理法，这种方法把系统可能发生的某种事故与导致事故发生的各种原因之间的逻辑关系用树形图表示，通过对事故树的定性与定量分析，找出事故发生的主要原因，为确定安全对策提供依据

2、，以达到预防事故发生的目的。它从需要分析的事故或故障(顶上事件)开始，层层分析其发生的原因，直到找出事故的基本原因(底事件)为止。这些底事件又称为基本事件，它们的数据是已知的或者已经有过统计或试验的结果。事故树分析法能对各种系统的危险性进行辨识和评价，不仅能分析出事故的直接原因，而且还能深入地揭示出事故的潜在原因。用事故树分析法描述事故的因果关系，直观、明了，思路清晰，逻辑性强，既可用于定性分析，又可用于定量分析。具有简明、形象化的特点，体现了以系统工程方法研究安全问题的系统性、准确性和预测性。事故树分析法从特定的某一事故开始通过分析查找出引起此次事故发生的原因和系统潜在的危险因素同时可以确定

3、各个潜在危险因素对事故影响的大小程度从而便于对防灾控制要点的掌握和制定为安全设计制定安全技术措施和安全管理要点提供有力依据并为实现系统最佳安全目标打下基础，并被广泛应用于铁路运输业中。1.2 事故树分析思路FTA是以人们对从结果推断可能原因的思维方法为基础而发展起来的分析方法，只抓住一个特殊的事故进行原因分析，而不论这一事故是否真正发生，通过一整套科学有效的方法找出对事故发生起作用的最基本原因（基本事件），即可实现对引发事故的各种基本原因进行分析。FTA的分析思路是：（1）由“结果”导出“原因”。此法有很强的方向性，即逻辑分析仅用于“某一事件T发生”必然有“事件A或事件B或”发生或事件“A、B

4、、”同时发生。（2）令某事件发生以“1”表示，不发生以“0”表示。此法对事故树中任意事件的状态只设置了“0”与“1”两种可能性，或者说，它选用了“非此即彼”的思维方法。1.3 事故树分析方法1.3.1基本方法FTA以系统所不希望发生的事件（顶上事件）作为分析的目标，通过逐层推溯到所有可能的原因。初步建成的事故树，要进行整理和化简，再进行定性、定量分析。定性、定量分析主要是分析最小割集或最小径集，即基本事件对顶上事件产生影响的组合方式与传递途径。FTA的基本分析方法：（1）首先明确要分析的对象某种人们不希望发生的事故，作为顶上事件T。（2）由“果”到“因”，层层追查，直到原因事件不可分为止，从而

5、确定“基本事件”。（3）在每一事件及其直接原因之间确定逻辑关系，如“或”门或“与”门关系等。（4）依据相应的工艺流程和操作条件，包括工艺、设备、控制及安全措施等编制相应的事故树。（5）运用布尔代数规则简化事故树，即整理出顶上事件与若干最小割集（x1，x2，x3，xn）之间的关系，然后按一定的规则算出各基本事件对顶上事件的影响力度的相对结构重要度系数，从而对各基本事件的结构重要度排序。（6）当（5）的工作量太大时，可由事故树导出与其对偶的成功树，同样用布尔代数整理出若干最小补集（x1，x2，x3， xn）。然后，采用近似方法算出各基本事件的结构重要度大小。1.3.2分析过程事故树分析步骤因对象系

6、统的性质和分析目的不同而产生差异其主要步骤如图1-1所示。图1-1事故树分析过程1.4 事故树分析特点（1）事故树分析是一种图形演绎方法，是事故事件在一定条件下的逻辑推理方法。它可以围绕某特定的事故作层层深入的分析，因而在清晰的事故树图形下，表达系统内各事件间的内在联系，并指出单元故障与系统事故之间的逻辑关系，便于找出系统的薄弱环节。（2）FTA具有很大的灵活性，不仅可以分析某些单元故障对系统的影响，还可以对导致系统事故的特殊原因如人为因素、环境影响进行分析。（3）利用事故树模型可以定量计算复杂系统发生事故的概率，为改善和评价系统安全性提供了定量依据。（4）进行FTA的过程，是一个对系统更深入

7、认识的过程，它要求分析人员把握系统内各要素间的内在联系，弄清各种潜在因素对事故发生影响的途径和程度，因而许多问题在分析的过程中就被发现和解决了，从而提高了系统的安全性。1.5 事故树分析基本程序（1）熟悉系统：要详细了解系统状态及各种参数，绘出工艺流程图或布置图。（2）调查事故：收集事故案例，进行事故统计，设想给定系统可能发生的事故。（3）确定顶上事件：要分析的对象即为顶上事件。对所调查的事故进行全面分析，从中找出后果严重且较易发生的事故作为顶上事件。（4）确定目标值：根据经验教训和事故案例，经统计分析后，求解事故发生的概率（频率），以此作为要控制的事故目标值。（5）调查原因事件：调查与事故有

8、关的所有原因事件和各种因素。（6）画出事故树：从顶上事件起，逐级找出直接原因的事件，直至所要分析的深度，按其逻辑关系，画出事故树。（7）定性分析：按事故树结构进行简化，确定各基本事件的结构重要度。（8）事故发生概率：确定所有事故发生概率，标在事故树上，进而求出顶上事件（事故）的发生概率。（9）比较：比较分可维修系统和不可维修系统进行讨论，前者要进行对比，后者求出顶上事件发生概率即可。（10）定量分析：目前我国事故树分析一般都考虑到第（7）步进行定性分析为止，因为基本事件发生的概率通常是一个统计参数，而此参数样本的数量决定其准确性。国内各类统计参数的样本相对不足，其定量分析的数据难免失真较重。2

9、 事故树分析在事故中的应用2.1 事故调查处理过程2.1.1事故调查基本任务（1）查明事故发生经过（2）查明事故发生原因（3）查明人员伤亡情况（4）查明事故的直接经济损失（5）认定事故的性质和事故责任（6）提出对事故责任者的处理建议（7）总结事故教训（8）提出事故防范措施和整改意见（9）提交事故调查报告2.1.2事故调查和事故树有直接关系的任务分析与事故树有直接关系的任务有：查明事故发生原因、认定事故的性质和事故责任、提出事故防范措施和整改意见、提交事故调查报告。2.1.2.1查明事故发生原因以当前发生事故为顶上事件做事故树分析，列出最小割集，从而得到本次事故发生有多少种可能性，再依据事故经过

10、调查找出导致本次事故发生的最小割集，通过对基本事件的分析判断事故原因。（最小割集：能够引起顶上事件发生的最低限度的基本事件的集合称为最小割集。在一个系统中，每个最小割集都是顶上事件发生的一种可能渠道。也就是说，最小割集的数目越多，顶上事件发生的可能就越大，系统就越危险。）2.1.2.2认定事故的性质和事故责任对事故原因分析，判断其中是否有管理责任，认定事故性质和责任。2.1.2.3提出事故防范措施和整改意见依据事故树分析的基本事件，一一对应防范控制措施及整改意见。2.1.2.4提交事故调查报告事故报告依据之前分析内容进行总结编写，生产安全事故报告和调查处理条例规定事故报告的时限和内容。2.2

11、事故树方法应用过程中的具体问题分析2.2.1事故调查时间进度无法保障由于事故树本身的特点决定了事故树的编制通常需要的时间较长，这对于事故调查这种有时间限制的任务来说，造成很大的麻烦，因为事故原因是事故调查的最重要环节。可以说事故原因不清楚，后续工作几乎没法完成。2.2.2难以通过分析结果认定事故性质责任事故树分析所得到的事故原因都是导致事故发生的直接原因，而对事故性质和事故责任判定起重要作用的间接原因如：培训教育不足、劳动组织不合理、操作规程或制度不健全等不能直接通过事故树分析得到。事故树的编制过程中往往要忽略这部分原因，因为如果做下去会导致三个恶果：（1）事故树整体过于庞大，对求其最小割集等

12、定性分析过程造成困难，使得分析时间变得更长。（2）事故树底部的逻辑关系不易理清。（3）事故树无法量化。2.2.3资源浪费事故树分析的目标是查出导致事故发生的所有可能性事件，即找出所有原因事件。这就会导致事故调查过程中对人力、物力等资源消耗变大，调查时间变长，因为通常会使要查清的原因事件相对于本次事故的原因来说过于庞大，不能将资源、能力聚焦于本起事故的原因上。2.2.4定性分析结果对控制措施指导意义有限事故树定性分析的结果，即各基本事件的结构重要度，对本次事故的防范控制措施的制定指导意义不大。因为事故树分析的基本事件，并不都是导致本次事故发生的原因。由于事故发生的偶然性，本起事故的原因可能只是基

13、本事件中结构重要度相对较小的，所以依照事故树结构重要度来制定的本起事故控制措施针对性不强。3 事故树分析典型应用举例3.1 基于事故树分析的4.28铁路事故分析3.1.1事故概况根据高速客运专线的技术标准，在跨越309国道处，应将原胶济客运线在原线位改造成跨线桥。施工期间，为保证火车正常运行，旁边修建一条临时线路。临时线路为S形1.5km左右，有两个圆弧半径大约为400m。由于是临时线路，线路技术等级明显低于正线所以需限速通过。2008年4月28日凌晨，从北京开往青岛的T195次客车在胶济线王村站至周村东站间的段线路脱轨颠覆，第9-17节车厢在弯道处脱轨并侵入了紧邻的下行线路。正常运行的503

14、4次旅客列车行至该路段，刹车不及，与颠覆在轨道上的T195次列车的第15、16节车厢相撞，事故造成72人死亡416人受伤。3.1.2事故树基本事件分析将4.28铁路事故作为顶事件，根据公共媒体披露的事实情况，分析可以确定将线路本身设计缺陷（M1）、超速（M2）、安全管理体制存在漏洞（M3）、命令传达系统存在漏洞（M4）、命令执行确认系统存在漏洞（M5）、应急纠错机制未发挥作用（M6）作为中间，事件事故发生经过和具体情况如表3-1所示。表3-1铁路4.28事故发生经过表时间 事情经过济南局印发154号文件文件，要求事故发生路段限速80公里/小时，定于4月28日0时开始执行，此文件济南局只2008

15、-04-23是在局域网上发布，而且把北京局作为了抄送单位，以普通信件方式传递。并且发布以后并没有确认相关单位是否收到。济南局发布4158号调度命令，要求取消包括王村至周村东冲突的限速命令2008-04-26间便线等的多处限速命令。北京机务段执行人员没有看到154号文件，相反看到,4158号调度命令，于是删除了已经2008-04-28凌晨1时多写入运行监控器的限速指令。路过王村的2245次列车发现现场临时限速标志与运行监控器数据不符，随即向济南局反应。济南局在4时2分补发了4444号调度命令，要求事故发生路段限,80km/h，并通知到铁路站点，但王村值班员对漏发调度2008-04-28凌晨4时多

16、4444号调度命令未与T195次司机进行车机联控，导致命令T195次司机最终没收到这条调度命令。T195次司机没有注意到一闪而过的限速牌，失去了防止事2008-04-28凌晨4时38分疏于瞭望故的最后时机，T195次列车超速脱轨颠覆。事故概况和事故发生经过及具体情况分析出4.28事故的事故树基本事件如下所示：X1为临时线路技术等级不高；X2为缓和曲线太短；X3为半径太小；X6为现场无确保列车减速的安全措施；X8为限速令仅在局网发布且对北京局以文件形式发布；X9这一重要文件从发布到实施仅有4天时间，济南局却以车递平信方式传递于北京局，所以，传达方式不合理；X10为把北京机务段作为抄送单位而非受文

17、单位；X11为对文件是否传达缺乏确认；X13为发布者未对文件执行情况未进行确认；X12为4158号调度命令行文不清晰；X14为接到了4158号调度命令，调度员盲目将运监器数据修改、把限速条件取消是人为错误；X7为调度员漏发调度命令；X5为值班员未认真进行车机联控；X4为运监器无限速指令；X15为疏忽的观察瞭望。3.1.3铁路4.28事故的事故树建立由上述分析建立事故树如图3-1、表3-2、表-3、表3-所示。图3-1铁路4.28事故事故树表3-2事故树种时间符号及意义表事件符号 事件名称 事件描述顶事件/中间事件 需要进一步分析原因的事件在特定事故树种不需要进一步分析的原因基本事件事件表3-3

18、事故树种逻辑符号及意义表符号 名称 因果关系或门 人已输入事件发生，输出事件就发生与门 所有事件同时发生，输出事件才发生表3-4事故树最小割集表事故树最小割集 事故树最小割集G1=X1，X4，X5，X6，X7，X8 G13=X1，X4，X5，X6，X7，X9G2=X2，X4，X5，X6，X7，X8 G14=X1，X4，X5，X6，X7，X10G3=X3，X4，X5，X6，X7，X8 G15=X1，X4，X5，X6，X7，X11G4=X1，X4，X5，X6，X7，X13 G16=X1，X4，X5，X6，X7，X12G5=X1，X4，X5，X6，X7，X15 G17=X2，X4，X5，X6，X7，

19、X9G6=X2，X4，X5，X6，X7，X13 G18=X2，X4，X5，X6，X7，X10G7=X2，X4，X5，X6，X7，X15 G19=X2，X4，X5，X6，X7，X11G8=X3，X4，X5，X6，X7，X13 G20=X2，X4，X5，X6，X7，X12G9=X3，X4，X5，X6，X7，X15 G21=X3，X4，X5，X6，X7，X9G10=X1，X4，X5，X6，X7，X14 G22=X3，X4，X5，X6，X7，X10G11=X2，X4，X5，X6，X7，X14 G23=X3，X4，X5，X6，X7，X11G12=X3，X4，X5，X6，X7，X14 G24=X3，X4，

20、X5，X6，X7，X123.1.4事故树分析3.1.4.1最小割集事故树中并不是所有的事件发生，顶事件就会发生。在事故树中分析中，把引起顶事件发生的基本事件的集合称为割集。引起顶事件发生的基本事件的最低限度的集合叫最小割集，最小割集表示了顶事件发生可能性大小及原因组合。事故树中最小割集数量越多，系统就越危险。根据图3-1的事故树，运用布尔代数法对其进行化简求，其最小割集=M1M2M3=(X1+X2+X3)X4X5X6X7(M4+M5+M6)=(X1+X2+X3)X4X5X6X7(X8+X9+X10+X11+X12+X13+X14)X5X7X15则事故树的最小割集如表-3所示。（1）24个割集说

21、明4.28铁路事故发生有24种可能的原因，即此事件的发生有24种可能性，并且它的发生必然是24个最小割集中的某个最小割集所有基本事件同时作用的结果。从最小割集的数量可以看出，导致4.28事故的可能性非常多、危险性相当高。（2）由24个最小割集可以看出：S行线路设计本身就埋下了安全隐患，如果只是线路本身存在问题，而没有后面的冲突限速命令而导致的超速、漏发的调度命令，以及值班员未认真进行车机联控而导致的纠错机制未发挥作用等各种管理上的原因同时发生，也不会导致事故的发生。3.1.4.2最小径集某些基本事件不发生时顶上事件就不会发生，这些不发生的基本事件的集合称为径集。不能导致顶上事件发生最少基本原因

22、事件的组合称为最小径集。事故树中最小径集越多，系统就越安全。求最小径集的方法是将原事故树中的逻辑与门改成或门，将逻辑或门改成与门，变成事件补的形式，得到与原事故树对偶的成功树，并将全部事件符号加上“”。=M1+M2+M3=X1X2X3(X4+X5+X6+X7)M4M5M6=X1X2X3(X4+X5+X6+X7)X8X9X10X11X12X13X14(X5+X7+X15)P1=X1,X2,X3;P2=X4;P3=X5;P4X6;P4=X7;P5=X8,X9,X10,X11,X12,X15,X13最小径集有6个，但只要能采取6个最小径集方案中的一种，4.28事故就是可以避免的。3.1.4.3结构重

23、要度一个基本事件对顶事件发生的影响大小称为该基本事件的重要度，结构重要度是在不考虑各基本事件的发生概率，或者说在各个基本事件的概率都相等的情况下，分析基本事件的发生对顶事件的影响程度，在事故树分析欠缺数据的情况下显得十分重要。根据结构重要度的计算原则，即𝐼(𝑖)=𝑥𝑖𝑘𝑗21𝑛𝑗1式中𝑋𝑖𝐾𝑗为基本事件属于最小径集Kj；为最小径集包含基本事件的个数。计算基本事件的结构重要度结果如下(6)(7)(4)(5)

24、0.167(1)(2)(3)0.056(8)(13)(14)(9)(10)(11)(12)(15)0.0208（1）由结构重要度系数排序我们可以看出：X6为现场无安全措施确保列车减速；X4为运监器无限速指令；X7为调度员漏发应急命令；X5为值班员未认真进行车机联控对顶事件的影响程度是最大的，由此可以看出铁路运营企业存在领导监督管理责任不到位、对铁路企业不仅是运输的重要方式且是高危行业这一认识不够深刻、员工的责任感不强等问题。（2）线路本身就隐藏着安全隐患，如果不是仅靠平时的调度命令和限速标志，而是对隐患进行排查，进而在现场采取确保列车减速的特殊安全措施，事故可能就不会发生。可见铁路企业对施工现

25、场工作的检查、监督和管理不到位，重点防范部位没有得到特殊对待。（3）还可以看出济南局相关单位安全管理混乱，在有关文件、调度命令的传达上不仅错发，而且漏发，调度命令的行文也不清晰；员工岗位责任制未得到落实，管理和工作标准存在很大差距；发电文多，执行检查少，使得T195次列车的超速行驶没有得到及时制止；基层安全管理混乱，关键部位安全隐患得不到及时整改，相关安全措施未能得到落实等。（4）上述结果与4.28胶济铁路特别重大事故调查报告基本一致，但从上述分析也可以看出，司机未认真瞭望曾被认为是造成事故的最直接原因。事实并非如此，从结构重要度系数我们也可以看出，线路问题和安全管理漏洞对事故发生的影响程度远

26、远大于司机疏于瞭望这一基本事件。大多数情况下，司机不会怀疑调度命令，而且在很多时候无法做到不间断了望，而且T195采用的是两名司机轮流操作的方式，工作量和压力都很大，存在超负荷工作的问题，无法做到不间断瞭望，而当时凌晨4点多列车时速131km，限速牌一晃而过，所以说超速不是司机一个人的责任。3.2 基于事故树分析的城市轨道交通列车门夹人拖行事故分析3.2.1事故树的确立3.2.1.1事故树绘制将可能发生的列车车门夹人拖行事故设为顶上事件，分析原因事件(基本事件)及原因事件之间的关系(逻辑关系)，并绘制城市轨道交通列车车门夹人拖行事故树(图3-2)。图3-2城市轨道交通列车车门夹人拖行事故树3.

27、2.1.2事故树描述城市轨道交通列车车门夹人拖行事故树中所包含“符号”(如T，G，A等)的含义及所代表的“事件”(顶上事件、中间事件、基本事件)的描述见表3-5。表3-5城市轨道交通列车车门夹人拖行事故树的符号及事件描述符号 事件 描述T 顶上事件 城市轨道交通列车车门夹人拖行事故G0 中间事件 乘客肢体被车门夹住G1 中间事件 乘客部门肢体在车厢内，部分在车厢外G2 中间事件 列车关门夹人未自动弹开G3 中间事件 乘客挤不上列车G4 中间事件 乘客被推入列车G5 中间事件 面对以饱和的车厢，乘客试图挤上列车却未被阻拦G6 中间事件 站台候车乘客太多且拥挤G7 中间事件 列车启动G8 中间事件

28、 “未关门、车不动”连锁失效G9 中间事件 车门夹人自动弹开装置失效A0 条件事件 乘客进入或退出车厢犹豫不决A1 基本事件 车厢已饱和A2 基本事件 乘客吊车（上不了列车但堵在车门，车门无法关闭）A3 基本事件 无警示乘客停止上车的信号A4 基本事件 无阻止乘客吊车的干预措施A5 基本事件 运能设计不足（客流预测不足）A6 基本事件 列车晚点（因关门时间增加而导致延误）A7 基本事件 乘客拥挤（后面乘客要上，而推挤前面乘客进入）A8 基本事件 设计中未考虑车门夹人自动弹开功能A9 基本事件 车门夹人自动弹开装置故障A10 基本事件 车门夹人自动弹开灵敏度过低A11 基本事件 未设置“未关门、

29、车不动”连锁A12 基本事件 联锁装置故障A13 基本事件 联锁装置灵敏度过低3.2.2事故树最小径集计算径集指的是事故树中一些基本事件的集合。当这些基本事件不发生时，顶上事件必然不发生。事故树最小径集是指不能够引起顶上事件发生的最小限度的基本事件集合。只要有1个最小径集不发生(在此最小径集中所有基本事件不发生)，顶上事件就不会发生。事故树最小径集的定义为寻找事故控制手段提供了一种思路，即：基于对每个最小径集的控制来制约事故的发生。城市轨道交通列车车门夹人拖行事故树共包含8个最小径集(见图3-3的P0P7)，即有8种控制顶上事件发生的方案。图3-3城市轨道交通列车车门夹人拖行事故树最小径集图3.2.3结构重要度分析结构重要度分析是分析事故树基本事件对顶上事件的影响程度，是为改进系统安全性提供信息的重要手段。其方法是，首先假设各基本事件发生概率相等，然后从事故树结构上分析各基本事件的重要度，最后再按照各基本事件对顶上事件的影响程度进行排序。基本事件在事