子学习领域三系统安全定量分析.ppt

子学习领域三 系统安全定量分析,学习目标,掌握并能够熟练应用系统安全定量分析技术； 了解事故树编制方法； 掌握事故树分析方法，并能够根据分析结果提出事故和改进系统安全状况的意见或建议。,一、系统可靠性分析,可靠性技术是为了分析由于机械零部件的故障或人的差错而使设备或系统丧失原有功能或功能下降的原因而产生的学科。故障（物的不安全状态）和差错（人的不安全行为）不仅使设备或系统功能下降，而且往往还是意外事故和灾害的原因。因此，可靠性在安全系统工程中占有很重要的位置。它不仅直接反映着产品的质量指标，而且还关系到整个系统运行过程中的可靠性和安全性。,事件或现象,确定性,不确定性即随机性,介于确定性与不确定性之间是混沌现象,可靠性分析研究的是随机事件或随机现象。 世界上有些事件是确定的，只要满足了一定条件，这些事件的结果是不变的，如水由两个氢原子和一个氧原子组成；地球是自西向东旋转的等等。 但世界上有些事是不确定的，每次观测的结果是不同的，是有差异的。如测量同一批规格零件尺寸，会出现不同的结果。,1.可靠性工程的发展,萌芽期 20世纪40年代是可靠性萌芽时期， 1943年美国成立了电子管研究委员会专门研究电子管的可靠性问题。 形成期 1951年ARINC开始了最早的一个可靠性改进计划； 1952年美国国防部成立了电子设备可靠性咨询组(AGREE)； 1955年AGREE开始实施从设计、试验、生产到交付、储存和使用的全面的可靠性发展计划，并于1957年发表了军用电子设备可靠性的研究报告，从9个方面阐述了可靠性设计、试验及管理的程序及方法，确定了美国可靠性工程的发展方向，成为可靠性发展的奠基性文件，标志着可靠性已经成为一门独立的学科，是可靠性工程发展的重要里程碑。,1.可靠性工程的发展,成熟与综合发展 20世纪60年代70年代,是可靠性工程全面发展和步入成熟的阶段。美国在许多武器装备中推行可靠性工程，美军形成了一系列较完善的标准； 20世纪80年代以来，可靠性向更广泛和更深入的方向发展，并以武器装备的效能为目标，将可靠性、维修性和保障性有机的综合在一起，形成可靠性系统工程； 我国从20世纪80年代，才真正在武器装备中开展可靠性工程； 21世纪初，可靠性工程在我国全面深入的研究与应用。,2. 可靠性分析的意义,（1）提高系统或产品的可靠性，防止故障和事故发生。随着科技进步，系统或产品的规模越来越大，产品的复杂性增加。,一台600MW的发电机由于故障停运一天，使电厂的收入减少432万元； 最为惨痛的教训是乌克兰的切尔诺贝利核电站，1986年4号反应堆因核泄漏导致爆炸，直到2000年12月完全关闭，14年里乌克兰共有336万人遭到核辐射侵害。,波音747喷气客机有450万个部件，当单个元件可靠性为99.999%时，若系统由10个、100个、，元件组成串联系统，可靠性为： 系统个数(个) 产品可靠性 1 99.999 10 99.99 100 99.90 1000 99.01 1万 90.48% 10万 36.79% 100万 0.1%,2. 可靠性分析的意义,（2）提高系统或产品的可靠性，能使产品的总费用降低。 （3）提高系统或产品的可靠性，能提高设备的使用率。 （4）提高系统或产品的可靠性，能提高企业信誉，提高经济效益。,在进行定量的系统安全分析时，比如事件树或事故树分析时各种事件的发生概率（包括事件树起始事件的发生概率、环节事件成功或失败的概率、事故树基本事件的发生概率）一般都需要通过分析相关设备或单元以及人的可靠性来获得。 因此，可靠性分析是系统安全定量分析的基础，在安全系统工程中占有很重要的位置。,3. 基本概念,（1）可靠性和可靠度,可靠性是指系统、设备或元件在规定的条件下和规定的时间内，完成其规定功能的能力。,规定 条件,是指系统或产品所处的使用环境与维护条件，包括：机械条件、气候条件、生物条件、物理条件和使用维护条件等。,规定 时间,规定 功能,是指系统或设备(产品)执行任务的时间。,一般指由用户提出的指标和要求。,3. 基本概念,（1）可靠性和可靠度,可靠性问题： 例如：火车在运行时发生故障，造成运行中断或误点； 有的产品结构坚固，经久耐用，可靠性是好的，但若设计时对安全问题考虑不周，容易对操作人员造成伤害，则安全性是差的，也就是不可靠的。 可靠性是一个定性的概念，与之对应的定量指标是可靠度。,3. 基本概念,（1）可靠性和可靠度,可靠度是衡量系统可靠性的标准，是产品不发生故障的概率。 可靠度的定义是系统、设备或元件等在预期的使用周期（规定的时间）内和规定的条件下，完成其规定功能的概率。 相反的，系统在规定的条件下和规定的时间内不能完成规定功能的概率就是系统的不可靠度。,3. 基本概念,（1）可靠性和可靠度 在可靠度的内涵中应明确五个要素 : 具体的对象 ( 指系统、设备、元件等 )； 规定的时间，产品的可靠度不仅与其使用条件有关，还依赖于时间，这个时间可以用周期、次数、距离等来计量； 规定的条件； 所规定的功能及失效现象； 概率，关于概率似乎没有另加说明的必要，这里就是多数的对象在明确了上述 的情况下观测的结果，作为完成其功能的比率 (01.0之间的数值 ) 来把握。 五要素中“规定功能”是依存于规定条件和规定期限的。同一产品，由于使用条件、维护条件不同，其可靠度也将有所不同。同样，环境条件不同，如冲击、振动、温度、湿度等环境应力(称为外部应力)，负荷、荷重等的对象功能应力(称为内部应力)，都对可靠度有影响。,3. 基本概念,（2）维修度 维修度是指系统在发生故障后在规定的条件下和容许的时间内完成维修的概率。其中，规定的条件是与维修人员的技术水平、熟练程度、维修方法、备件以及补充部件的后勤体质等密切相关。 对于可维修系统（贵重耐用的产品，如生产设备、汽车、计算机、电视机等），通常在发生故障后并不可能马上抛弃，而是经过维修后再继续正常使用。这类产品或系统，除了要有不发生故障的可靠度外，还要有易于维修的特性。 对于这类系统，是否易于维修对系统实现其功能有重要影响。可修复系统维修的难易程度一般可用维修度来衡量。,3. 基本概念,（2）维修度 要提高产品或系统的维修度，就必须要考虑维修三要素： （1）维修性设计时，要做到产品发生故障时，易于发现或检查，且易于修理； （2）维修人员要有熟练的技能； （3）维修设备、后勤系统要优良。 对于可维修的产品或系统，其广义可靠性包括： （1）不发生故障的狭义可靠度； （2）发生故障后进行修复的维修度。 广义可靠性就是系统的有效度。,3. 基本概念,（3）有效度 有效度是指对于可维修系统在规定的使用条件和时间内能够保持正常使用状态的概率。 系统有效度的计算公式： 给定某系统的预期使用时间为t，维修所容许的时间为（远小于t），该系统的可靠度为R(t)， 维修度为M()，有效度为A(t, )，则 式中， 第一项是在时间t内不发生故障的可靠度R(t) ； 第二项包括在时间t内发生故障的概率1- R(t)和在时间 内维修好的概率M()。 由此可见，提高系统的有效度可以提高系统的可靠度和系统的维修度。,3. 基本概念,（3）有效度 为了满足某种有效度，最好一开始就做到高维修度或高可靠度。 当然，也可以使可靠度很低，通过提高维修度来满足所需要的有效度，但这样就会经常发生故障，导致维修费用提高；反之，若采用高可靠度低维修度，则产品的初始费用过高（即初始投资高）。 因此，设计师在设计时，必须考虑产品的价值和产品的可靠度二者之间达到均衡。,3. 基本概念,（4）安全性 系统安全性的定义就是指人们在某一种环境中工作或生活感受到的危险或危害是己知的，并且是可控制在可接受的水平上。 安全性不同于可靠性，但它们之间有密切关系。从伤亡事故的预防角度来看，系统功能丧失并不意味着一定会导致工伤事故，而系统在正常运转时也并不意味着就不出事故。因此，如何保证系统安全运行以及如何在系统故障时保证安全都是非常重要的。 例如： 火车在运行时发生故障，造成运行中断或误点，人们都认为是可靠性的问题，但飞机发生故障，起落架放不下来，则认为是安全性的问题。 又如有的产品结构坚固，经久耐用，可靠性是好的，但若设计时对安全问题考虑不周，容易对操作人员造成伤害，则安全性是差的。,3. 基本概念,（5）风险性 风险性是指在一定时间内，造成人员伤亡和财物损失的可能性，其程度可用发生概率和损失大小的乘积来表示。 安全性是通过风险值或接受的危险概率来定量评价安全性程度的。,4. 可靠度、维修度和有效度的常用度量指标,可靠度、维修度和有效度可以用概率来表示，同时也可以用时间或单位时间的次数来衡量。 （1）平均无故障时间（MTTF） 平均无故障时间（Mean Time To Failure；MTTF）是指系统由开始工作到发生故障前连续正常工作的平均时间，通常用来衡量不可修复系统的可靠度。 对于某不可修复系统，其无故障时间也就是其寿命t，显然，t可以在0到内取任意值，即t(0, )。 对于某两件产品来说，其寿命t可能是不同的。而这里所说的平均无故障时间应该是指大量的产品由开始工作到发生故障前连续的正常工作时间的一个平均值，也就是一个数学期望值。即： 式中， f(t)为寿命t的概率密度函数。,4. 可靠度、维修度和有效度的常用度量指标,（2）平均故障间隔时间（MTBF） 平均故障间隔时间（Mean Time Between Failure；MTBF）是指可修复系统发生了故障后经修理后仍然能正常工作，其在两次相邻故障间的平均工作时间。 例如，某产品第一次开始工作，经过时间t1后出现故障，修复后第二次开始工作，过了时间t2后又出现故障。以此类推，设第n次开始工作后经过了tn时间后又发生故障，则平均故障间隔时间为：,4. 可靠度、维修度和有效度的常用度量指标,（3）平均故障修复时间（MTTR） 平均故障修复时间（Mean Time To Repair； MTTR ）指可修复系统出现故障到恢复正常工作平均所需的时间。 式中，i为从第i次出现故障到恢复正常工作所需的时间。,5. 系统可靠度计算,一个系统通常是由若干个子系统组成的，各子系统间相互联系、相互依赖，以完成一定的功能。 系统的可靠度一方面取决于各子系统本身的可靠度，同时还取决于各子系统间的功能作用关系。 根据子系统间功能作用关系的不同，系统可分为 串联系统 并联系统,5. 系统可靠度计算,串联系统可靠度 串联系统是指系统中任何一个子系统发生故障，都会导致整个系统发生故障的系统。 设一个串联系统中各子系统的可靠度是相互独立的，且分别为R1，R2，Rn，则这个串联系统的可靠度为：,1,2,n,5. 系统可靠度计算,串联系统可靠度 若子系统可靠度是时间的函数，则： 若所有子系统的故障率都是常数，则： 这一公式说明由故障率为常数的子系统组成的串联系统的可靠度服从指数分布，且系统的故障率等于各单元故障率之和。 例如，某系统包含两个串联的子系统，故障率均为（即子系统的平均寿命为1/），则系统的故障率为2，系统的平均寿命则为0.5/，为子系统平均寿命的一半。,5. 系统可靠度计算,串联系统可靠度 要提高串联系统的可靠度有以下三个途径： 提高各子系统的可靠度，即减少子系统的故障率； 减少串联级数； 缩短任务时间。 串联系统中的任何部件或单元都是缺一不可的，即没有任何的备用部件，当其中的任何一个部件发生故障时都会导致整个系统的失效。,5. 系统可靠度计算,并联系统可靠度 为了提高系统的可靠性，通常需要使系统的部分子系统乃至全部子系统都要有一定的数量储备，即使某一个子系统发生故障，相应的储备子系统可以继续顶替它的工作，从而保证整个系统的正常工作。 利用系统储备提高系统可靠性最常用的方法就是采用并联结构的系统，即并联系统。 在并联系统中，只有在所有子系统或单元发生故障时系统才发生故障。 并联系统一般可分为两种情况： 热储备系统 冷储备系统,5. 系统可靠度计算,并联系统可靠度 热储备系统 热储备系统是指储备的单元也参与工作，即参与工作的设备数量大于实际所必须的数量，这种系统又称为冗余系统。,1,2,r,n,5. 系统可靠度计算,并联系统可靠度 热储备系统 设系统各个单元的可靠性是相互独立的，各单元的不可靠度分别为F1，F2，Fn，根据概率乘法定理，可得系统的不可靠度为： 由此可以看出，可靠性并联相当于不可靠性的串联，因此： 该系统的可靠度为： 可以证明，热储备系统并联系统的可靠度大于等于各并联单元可靠度的最大值。,5. 系统可靠度计算,并联系统可靠度 热储备系统 冗余设计法是指由两个或两个以上同功能的重复单元并行工作构成热储备系统（冗余系统）来提高系统的可靠度的方法。 在进行冗余设计时需考虑以下两个方面的问题： （1）冗余度的选择问题。系统的总可靠度总是随着冗余度的提高而提高，但提高的效率越来越低。用低可靠度的单元构成的冗余系统可靠度提高的效率比用高可靠度单元构成冗余系统可靠度提高的效率高（可靠度的绝对数值仍比以高可靠度单元构成的系统高）。（例） （2）冗余级别的选择问题。部件级冗余比系统级冗余的效率高。 （例）,串并联基本模型的对偶性,串联模型和并联模型是两种最基本的可靠性模型。可以看出，串联系统和并联系统恰好构成一个互逆的关系，也称为相互对偶性。,5. 系统可靠度计算,并联系统可靠度 冷储备系统 冷储备系统是指储备的单元不参加工作，并且假定在储备中不失效，储备时间的长短不影响以后的使用寿命。 如图所示，在A和B两点间有N+1个部件，通过转换开关连接。当部件1失效时，转换到部件2，由部件2顶替部件1工作；当部件2失效时，由部件3顶替，以此类推，直到所有部件失效时系统失效。,1,2,3,N+1,A,B,5. 系统可靠度计算,并联系统可靠度 冷储备系统 假设转换开关完全可靠，若所有部件的故障率均相等且为，则系统的可靠度计算公式为： 系统的平均寿命为： 由此可见，冷储备系统的平均寿命为各单元平均寿命的总和。,5. 系统可靠度计算,并联系统可靠度 冷储备系统 如果系统各部件的故障率不相等，且分别为1，2，N+1，则系统的可靠度计算公式为： 系统的平均寿命为：,5. 系统可靠度计算,串-并联系统可靠度 以上讨论的是两种基本结构的可靠度计算方法，实际的系统可能不是这种纯粹的串联或并联，而可能是串、并联的组合，甚至是更为复杂的系统。对串-并联系统可以通过适当的功能模块分解，将一个大系统转化为若干个子系统的串联或并联，然后计算各子系统的可靠度，进而再求出整个系统的可靠度或其他相应的参数。 实例分析,例1:试比较下列五个系统的可靠度，设备单元的可靠度相同，均为R0=0.99 (1)四个单元构成的串联系统； (2)四个单元构成的并联系统；,例2: 系统的可靠性框图如下图所示，R1=R2=0.9，R3=R4=0.8，R5=R6=0.7，R7=R8=0.6 求系统的可靠度。,5,6,1,7,2,3,4,8,例3,A,B,C,B,图(a)和(b)所示的两个系统中，含有四个相同元件，已知每个元件的失效率为(常数)，若系统运行2000小时的可靠度要求至少为0.95，两种情况下元件的失效率应满足什么要求？,C,A,(a),(b),例1:设各单元可靠度相同，均为R0=0.99,(6)比较:(略),例2: 系统的可靠性框图如下图所示，R1=R2=0.9，R3=R4=0.8，R5=R6=0.7，R7=R8=0.6 求系统的可靠度。,5,6,1,7,2,3,4,8,解：R78=1-(1-R7) (1-R8)=1-0.4*0.4=0.84 R34=R3*R4=0.8*0.8=0.64 R56=R5*R6=0.7*0.7=0.49 R3456=1-(1-R34)*(1-R56)=1-(1-0.64)*(1-0.49)=0.8164 R总= R78*R3456*R2*R1=0.84*0.8164*0.9*0.9=0.5555,例3,A,B,C,B,图(a)和(b)所示的两个系统中，含有三个相同元件，已知每个元件的失效率为(常数)，若系统运行2000小时的可靠度要求至少为0.95，两种情况下元件的失效率应满足什么要求？,C,A,(a),(b),二、事件树分析,很多事故都是由多环节事件发展变化形成的。从一个起因事件开始，事故发展过程中出现的环节事件可能有两种情况，发生与不发生。交替考虑发生与不发生两种可能性，然后再把这两种可能性又分别作为新的初因事件进行分析，直到分析最后结果为止。如果这些环节事件都失败或部分失败，就会导致事故发生。 分析的过程用图形表示出来，就得到近似水平的树形图。,由于事件序列是按一定时序进行的，因此，事件树分析是一种动态分析过程，同时，事件序列是以图形表示的，其形状呈树校形，故称为事件树。 事件树分析（Event Tree Analysis ；ETA） 是安全系统工程中的重要分析方法之一，其理论基础是运筹学中的决策论。 它是一种归纳法，是从给定的一个初始事件的事故原因开始，按时间进程采用追踪方法，对构成系统的各要素( 事件)的状态(成功或失败) 逐项进行二者择一的逻辑分析，分析初始条件的事故原因可能导致的事件序列的结果，将会造成什么样的状态，从而定性与定量地评价系统的安全性，并由此获得正确的决策。,事件树的分析目的,(1) 事件树分析是一个动态分析过程，因此，通过事件树分析可以看出系统变化过程，查明系统中各个构成要素对导致事故发生的作用及其相互关系，从而判别事故发生的可能途径及其危害性。 (2) 由于事件树分析时，在事件树上只有两种可能状态，成功或失败，而不考虑某一局部或具体的故障情节，因此，可以快速推断和找出系统的事故，并能指出避免发生事故的途径，便于改进系统的安全状况。 (3) 根据系统中各个要素(事件) 的故障概率，可以概略地计算出不希望事件的发生概率。 (4) 找出最严重的事故后果，为事故树确定顶上事件提供依据。 (5) 该法可以对已发生的事故进行原因分析。,事件树的分析原理,如前所述，事件树分析是从初始事件出发考察由此引起的不同事件。一起事故的发生，是许多事件按时间顺序相继出现的结果，一些事件的出现是以另一事件首先发生为条件的。 在事故发展过程中出现的事件可能有两种状态：事件出现或不出现 ( 成功或失败) 。 这样，每一事件的发展有两条可能的途径，而且事件出现或不出现是随机的，其概率是不相等的。如果事故发展过程中包括有 n个相继发生的事件，则系统一般总计有 2n条可能发展途径，即最终结果有2n个。 在相继出现的事件中，后一事件是在前一事件出现的情况下出现的，它与更前面的事件无关。后一事件选择某一种可能发展途径的概率是在前一事件做出某种选择的情况下的条件概率。 为了便于分析，根据逻辑知识，我们把事件处于正常状态记为成功，其逻辑值为1；把失效状态记为失败，其逻辑值为0。,事件树的分析步骤,（1）确定初始事件 事件树分析是一种系统地研究作为危险源的初始事件如何与后续事件形成时序逻辑关系而最终导致事故的方法。 正确选择初始事件十分重要。初始事件是事故在未发生时，其发展过程中的危害事件或危险事件，它可以使机器故障、设备损坏、能量外逸或失控、人的误动作等。可以用两种方法确定初始事件： 根据系统设计、系统危险性评价、系统运行经验或事故经验等确定； 根据系统重大故障或事故树分析，从其中间事件或初始事件中选择。 一般情况下分析人员选择最感兴趣的异常事件作为初始事件。,事件树的分析步骤,（2）找出与初始事件有关的环节事件 所谓环节事件就是出现在初始事件后一系列可能造成事故后果的其他原因事件。 （3）绘制事件树 从初始事件开始，按事件发展过程自左向右绘制事件树，用树枝代表事件发展途径。 首先考察初始事件一旦发生时最先起作用的安全功能，每个要素两个分支，结果好的(成功的)，画上支(可用1或任意大写字母标记)，结果坏的(失败、故障的)画为下支(用0或对应上支字母的补标记)，然后依次考察各种安全功能的两种可能状态，直至得出最后结果为止。根据需要，可标示出各支(成功与失败)的概率值，以便进行定量计算。 实际上，画图的过程就是分析的过程。,事件树的分析步骤,（4）简化事件树 在绘制事件树的过程中，可能会遇到一些与初始事件或与事故无关的安全功能，或者其功能关系相互矛盾、不协调的情况，需用工程知识和系统设计的知识予以辨别，然后从树枝中去掉，即构成简化的事件树。 在绘制事件树时，要在每个树枝上写出事件状态，树枝横线上面写明事件过程内容特征，横线下面注明成功或失败的状况说明。 （5）进行定量计算,事件树的建造,1. 事件树的建造方法（p40举例说明） （1）物料输送系统由一台泵和两个串联阀门组成，物料沿箭头方向顺序经过泵A，阀门B和C。这是一个三因素（元件）串联系统，在这个系统里有三个节点，因素（元件）A，B，C都有成功或失败两种状态。,根据系统实际构成情况，所建造的树的初始条件是泵A启动节点，当泵A接受启动信号后，可能有两种状态：泵启动成功或启动失败。从泵A的节点处，将成功做为上分支，失败做为下分支，画出两个树枝。 同时，阀门B也有两种状态，成功或失败，将阀门B的节点分别画在泵A的成功状态与失败状态分支上，再从阀门B的两个节点分别画出两个分支，上分支表示阀门B成功，下分支表示失败。 同样阀门C也有两种状态，将阀门C的节点分别画在阀门B的4个分支上，再从其节点上分别画出两个分支，上分支表示成功，下分支表示失败，这样就建造成了这个物料输送系统的事件树。,事件树的建造,1. 事件树的建造方法（p40举例说明） （2）物料输送系统由一台泵和两个并联阀门组成，物料沿箭头方向顺序经过泵A，阀门B和C。这也是一个三因素（元件）系统，有三个节点。,当泵A接到启动信号后，可能有两种状态，成功或失败，将成功做为上分支，失败做为下分支。 将阀门B的节点分别画在泵A的成功与失败状态分支上。再从阀门B的两个节点上分别画出两个分支。 由于此系统是并联系统，当阀门B失败时，备用阀门C可开始工作，因此，阀门C的两种状态应接在阀门B的失败状态的分支上，这样就建造成了并联系统的事件树。,事件树的建造,2. 事件树的简化 从原则上讲，一个因素有两种状态，若系统中有n个因素，则有2n个可能结果。一个系统中包含因素较多，不仅事件树中分支很多，而且有些分支并没有发展到最后的功能时，事件的发展己经结束，因此，事件树可以简化，其简化原则有： 失败概率极低的系统可以不列入事件树中； 当系统已经失败，从物理效果来看，在其后继的各系统不可能减缓后果时，或后继系统已由于前置系统的失败而同时失败，则以后的系统就不必再分支。例如上两例中，当泵失败时其后继因素阀门的成功对系统已无实际意义，所以可以省略。,事件树的建造,3. 事件树分析的定量计算 事件树分析的定量计算就是计算每个分支发生的概率。为了计算这些分支的概率，首先必须确定每个因素的概率。如果各个因素的可靠度已知，根据事件树就可求得系统的可靠度。 （1）各发展途径的概率 各发展途径的概率等于自初始事件开始的各事件发生概率的乘积。 （2）事故发生概率 事件树定量分析中，事故发生概率等于导致事故的各发展途径的概率和。 定量分析要有事件概率数据作为计算的依据，而且事件过程的状态又是多种多样的，一般都因缺少概率数据而不能实现定量分析。,事件树的建造,3. 事件树分析的定量计算 （3）事故预防 事件树分析把事故的发生发展过程表述得清楚而有条理，为设计事故预防方案，制定事故预防措施提供了有力的依据。 从事件树上可以看出，最后的事故是一系列危害和危险的发展结果，如果中断这种发展过程就可以避免事故发生。因此，在事故发展过程的各阶段，应采取各种可能措施，控制事件的可能性状态，减少危害状态出现概率，增大安全状态出现概率，把事件发展过程引向安全的发展途径。 采取在事件不同发展阶段阻截事件向危险状态转化的措施，最好在事件发展前期过程实现，从而产生阻截多种事故发生的效果。但有时因为技术经济等原因无法控制，这时就要在事件发展后期过程采取控制措施。显然，要在各条事件发展途径上都采取措施才行。,事件树的建造,3. 事件树分析的定量计算 （3）事故预防 例如：图2-10的串联系统，若泵A和阀门B、C的概率分别为P(A)=0.95，P(B)=0.9，P(C)=0.9，则系统的概率P(S)为泵A和阀门B、C均处于成功状态时，3个因素的积事件概率，即 P(S)P(A)P(B) P(C)=0.7695 系统的失败概率，即不可靠度F(S)为： F(S)1-P(S)=0.2305 同理，可以求出图2-12并联系统的概率。设各个因素的可靠度与上列相同，则并联系统成功的概率为： P(S)P(A)P(B) + P(A)1-P(B) P(C)=0.9405 并联系统失败的概率为： F(S)1-P(S)=0.2305 并联系统可靠度比串联时要大得多。,例1、1984年，某厂工人甲上班，欲从仓库乘升降机上二楼，因不懂开机。请教在场的生产股长乙，乙教甲开机，仓管员丙随机上楼。升降机开至二楼时发生操纵开关失灵，继续上升过五楼，由于升降机无装限位开关，吊钩到极限位置不能停止，甲从吊栏跳出，甲的头、腿被坠吊栏与栏杆剪切死亡。试以事件树分析。 解：找出起因事件。从整个事故过程可以看出，如果有限位开关，则吊车就不至于到最高极限还停不下来，若能停下来，则可避免这场事故。所以起因事件应为无限位开关。 起因事件确定后，根据其发展过程做事件树。,无限位开关,及时安装,（成功）1,升降机带故障,（失败）0,工人甲不开,（成功）1,工人甲要开,（失败）0,生产股长制止,（成功）1,股长未制止,（失败）0,仓管员制止,（成功）1,仓管员未制止,（失败）0,操纵开关无故障,（成功）1,开关故障,（失败）0,临时处理成功,（成功）1,临时处理失败,（失败）0,意外生存,（成功）1,人出机外,（失败）0,1,01,001,0001,00001,000001,0000001,0000000,例2：1981年1月，福建省某煤矿发生外源火灾，死亡28人。试编制该外源火灾伤亡事故的事件树图。,外源火灾发生,及时扑灭成功,1,及时扑灭失败, 0,撤离烟雾污染区成功,1,撤离烟雾污染区失败, 0,撤离井下成功,撤离井下失败,1, 0,自救、躲避、外部救援成功,自救、躲避、外部求援失败,1, 0,（1）,（011）,（0101）,（0100）,（00）,从事件树分析可见：如果事件树中的、事件发生，则就会导致火灾伤亡事故。所以，要预防伤人事故的发生，起码应消除掉S4、S5状态中和中的任一事件。 显然，为消除、事件，则需对其原因作进一步分析，找出它的危险因素，然后加以预防。如果采用事故树分析，、均可做为顶上事件。,例3,某工厂的氯磺酸罐发生爆炸，致使3人死亡，用事件树分析的结果。 该厂有4台氯磺酸贮罐。因其中两台的紧急切断阀失灵而准备检修，一般按如下程序准备： 将罐内的氯磺酸移至其他罐； 将水徐徐注入，使残留的浆状氯磺酸分解； 氯磺酸全部分解且烟雾消失以后，往罐内注水至满罐为止； 静置一段时间后，将水排出； 打开入孔盖，进入罐内检修。 可是在这次检修时，负责人为了争取时间，在上述第3项任务未完成的情况下，连水也没排净就命令维修工人去开入孔盖。由于入孔盖螺栓锈死，两检修工用气割切断螺栓时，突然发生爆炸，负责人和两名检修工当场死亡。,例4. 反应器冷冻盐水流量减少事件树分析,某反应器系统如图所示。该反应是放热的，为此在反应器的夹套内通入冷冻盐水以移走反应热。如果冷冻盐水流量减少，会使反应器温度升高，反应速度加快，以致反应失控。在反应器上安装有温度测量控制系统，并与冷冻盐水入口阀门联结，根据温度控制冷冻盐水流量。为安全起见，安装了温度报警仪，当温度超过规定值时自动报警，以便操作者及时采取措施。,反应器的温度控制,A冷冻盐水流量减少,B高温报警仪未报警,D操作者未恢复冷却剂流量,C操作者未发现反应器超温,D未恢复冷却剂流量,E未关闭反应器,B高温报警仪报警,C操作者发现反应器超温,D操作者恢复冷却剂流量,E紧急关闭反应器,D操作者恢复冷却剂流量,E紧急关闭反应器,反应器冷冻盐水流量减少事件树1,继续运转,紧急关闭,反应失控,继续运转,紧急关闭,反应失控,反应失控,E未关闭反应器,由上可知，系统状态为“反应失控”的有、，它们的概率分别为： P3 = P(B) P(D) P(E) = 0.99 0.25 0.1= 2.475 10 -2 P6 = P(B)P(C) P(D) P(E) =0.01 0.75 0.25 0.1 =1.875 10-4 P7 = P(B)P(C) =0.01 0.25=2.5 10-3 由上得，发生“ 反应失控 ”事故的概率为： P反应失控= P3 + P6 + P7 2.74 10-2,反应器冷冻盐水流量减少事件树2,冷冻盐水流量减少,高温报警仪报警,高温报警仪未报警,操作者未恢复冷却剂流量,紧急关闭反应器,未关闭反应器,操作者恢复冷却剂流量,操作者发现反应器超温,操作者未发现反应器超温,操作者恢复冷却剂流量,未恢复冷却剂流量,关闭反应器,未关闭反应器,继续运转,紧急关闭,反应失控,继续运转,紧急关闭,反应失控,反应失控,未恢复冷却剂流量,操作者恢复冷却剂流量,紧急关闭,继续运转,未关闭反应器,紧急关闭反应器,例5.提升矿车事件树,一斜井提升系统，为防止跑车事故，在矿车下端安装了阻车叉，在斜井里安装了人工启动的捞车器。当提升钢丝绳或连接装置断裂时，阻车叉插入轨道枕木下阻止矿车下滑。当阻车叉失效时，人员启动捞车器拦住矿车。设钢丝绳断裂概率10-4，连接装置断裂概率10-6，阻车叉失效概率10-3，捞车器失效概率10-3，人员操作捞车器失误概率10-2。画出因钢丝绳（或连接装置）断裂引起跑车事故的事件树，计算跑车事故发生概率。,连接装置断裂,钢丝绳正常,提升矿车,阻车叉失效,人员正常启动捞车器,捞车器有效,连接装置正常,阻车叉有效,捞车器失效,人员启动捞车器失误,钢丝绳断裂,阻车叉有效,阻车叉失效,人员正常启动捞车器,人员启动捞车器失误,捞车器有效,捞车器失效,正常工作,事故中止,事故中止,跑车事故,跑车事故,跑车事故,跑车事故,事故中止,事故中止,由上可知，系统状态为“跑车事故”的有、，它们的概率分别为： P4 = P(A) P(B) P(C) P(D) P(E) = (110-4) 10-6 10-3 (110-2) 10-3 = 9.89901 10-13 P5 = P(A) P(B) P(C) P(D) = (1 10-4) 10-6 10-3 10-2 = 9.999 10-12 P8 =P(A) P(C) P(D) P(E) =10-410-3 (110-2) 10-3 = 9.9 10-11 P9 = P(A) P(C) P(D) = 10-410-3 10-2 = 10-9 由上得，跑车事故发生的概率为 P跑车= P4 +P5 + P8 + P9 1.10998801 10-9,ETA的注意事项及优点,注意事项 、应适当地选定起因事件 在选择时，重点应放在对系统的安全影响最大、发生频率最高的事件上。 、逻辑思维要首尾一贯，无矛盾，有根据。 、要注意人的不安全因素，否则会得错误结果。,ETA的优点,、简单易懂，启发性强； 、逻辑严密，判断准确，能找出事故发展规律； 、可以定性，也可以定量分析。,桥网络系统事件树,桥网络系统简化事件树,有备用或安全装置的系统事件树,化学反应器事件树,考虑人为因素的事件树,三、原因-后果分析,原因-后果分析（Cause-Consequence Analysis，CCS），是一种将事故树分析和事件树分析结合在一起的分析方法。它用事故树作原因分析（cause analysis），用事件树作后果分析（consequence analysis），是一种演绎和归纳相结合的方法。 原因-后果分析是以事件树的起始事件和被识别为失败的环节事件为顶上事件绘制事故树，利用事故树定量分析方法计算事件树的起始事件和环节事件的发生概率，进而计算事件树所归纳的各种后果出现的概率，通过后果与概率的结合得出关于系统风险的评价。,电机发热事件树,四、作业条件危险性分析,作业条件危险性分析是一种简单易行的评价人们在具有潜在危险性环境中作业时的危险性半定量评价方法。 美国 格雷厄姆（K. J. Graham）& 金尼（G. F. Kinney） 提出以所评价的环境与某些作为参考环境的对比为基础，以作业条件的危险性为因变量（D），以事故或危险事件发生的可能性（L）、人员或设备暴露于潜在危险环境的频率（E）及危险严重程度（C）为自变量，确定了它们之间的函数式。 根据实际经验，他们给出3个自变量的各种不同情况的数值，采取对所评价的对象根据情况进行打分的办法，然后根据公式计算出其危险性分数值，再在按经验将危险性分数值划分的危险程度等级表或图上查出其危险程度。,方法介绍,对于一个具有潜在危险性的作业条件，KJ格雷厄姆和GF金尼认为，影响危险性的主要因素有3个： 发生事故或危险事件的可能性； 暴露于这种危险环境的情况； 事故一旦发生可能产生的后果。 用公式来表示，则为： DLEC D为作业条件的危险性； L为事故或危险事件发生的可能性； E为暴露于危险环境的频率； C为发生事故或危险事件的可能结果。,1)发生事故或危险事件的可能性 事故或危险事件发生的可能性与其实际发生的概率相关。若用概率来表示时，绝对不可能发生的概率为0；而必然发生的事件，其概率为1。 但在考察一个系统的危险性时，绝对不可能发生事故是不确切的，即概率为0的情况不确切。所以，将实际上不可能发生的情况作为“打分”的参考点，定其分数值为0.1。 此外，在实际生产条件中，事故或危险事件发生的可能性范围非常广泛，因而人为地将完全出乎意料之外、极少可能发生的情况规定为1；能预料将来某个时候会发生事故的分值规定为10；在这两者之间再根据可能性的大小相应地确定几个中间值，如将“不常见，但仍然可能”的分值定为3，“相当可能发生”的分值规定为6。 同样，在0.1与1之间也插入了与某种可能性对应的分值。 于是，将事故或危险事件发生可能性的分值从实际上不可能的事件为0.1，经过完全意外有极少可能的分值1，确定到完全会被预料到的分值10为止(表1)。,发生事故的可能性大小,注：为“打分”的参考点,2)暴露于危险环境的频率 众所周知，作业人员暴露于危险作业条件的次数越多、时间越长，则受到伤害的可能性也就越大。为此，KJ格雷厄姆和GF金尼规定了连续出现在潜在危险环境的暴露频率分值为10，一年仅出现几次非常稀少的暴露频率分值为1。 以10和1为参考点，再在其区间根据在潜在危险作业条件中暴露情况进行划分，并对应地确定其分值。 例如，每月暴露一次的分值定为2，每周一次或偶然暴露的分值为3。当然，根本不暴露的分值应为0，但这种情况实际上是不存在的，是没有意义的，因此毋须列出。关于暴露于潜在危险环境的分值见表2。,E人体暴露在这种危险环境中的频繁程度,注：为“打分”的参考点,3)发生事故或危险事件的可能结果 造成事故或危险事故的人身伤害或物质损失可在很大范围内变化，以工伤事故而言，可以从轻微伤害到许多人死亡，其范围非常宽广。 因此，KJ格雷厄姆和GF金尼需要救护的轻微伤害的可能结果，分值规定为1，以此为一个基准点；而将造成许多人死亡的可能结果规定为分值100，作为另一个参考点。 在两个参考点1100之间，插入相应的中间值，列出表3所示的可能结果的分值。,C发生事故产生的后果,注：为“打分”的参考点,4)危险性 确定了上述3个具有潜在危险性的作业条件的分值，并按公式进行计算，即可得危险性分值。据此，要确定其危险性程度时，则按下述标准进行评定。 由经验可知，危险性分值在20以下的环境属低危险性，一般可以被人们接受，这样的危险性比骑自行车通过拥挤的马路去上班之类的日常生活活动的危险性还要低；当危险性分值在20-70之间时，则需要加以注意；危险性分值在70-160的情况时，则有明显的危险，需要采取措施进行整改；同样，根据经验，危险性分值在160-320的作业条件则属高度危险的作业条件，必须立即采取措施进行整改；危险性分值在320以上时，则表示该作业条件极度危险，应该立即停止作业直到作业条件得到改善为止。,D危险性分值,注：为“打分”的参考点,优缺点及适用范围,作业条件危险性评价法评价人们在某种具有潜在危险的作业环境中进行作业的危险程度。该法简易易行，危险程度的划分比较清楚、醒目。 但是，由于它主要是根据经验来确定3个因素的分数值及划定危险程度等级，因此具有一定的局限性。而且它是一种作业的局部评价，不能普遍适用。 此外，在具体应用时，还可根据自己的经验、具体情况对该评价方法作适当修正。 容易在企业内部应用，已在航空工业系统、部分铁路交通系统、石化系统试点使用。 有利于掌握企业内部各危险点的危险状况，有利于整改措施的实施。,例如，某涤纶化纤厂在生产短丝过程中有一道组件清洗工序，组件清洗使用三甘醇，清洗人员每天在此环境中工作。 为了评价这一操作条件的危险度，分两步： （1）确定每种因素的分数值为： （事故发生的可能性）：组件清洗所使用的三甘醇，属四级可燃液体，如加热至沸点时，其蒸汽爆炸极限范围为0.99.2，属一级可燃蒸汽。而组件清洗时，需将三甘醇加热后使用，致使三甘醇蒸汽容易扩散的空间，如室内通风设备不良，具有一定的潜在危险，属“可能，但不经常”，其分数值3; （暴露于危险环境的频繁程度）：清洗人员每天在此环境中工作，取E6; （发生事故产生的后果）：如果发生燃烧爆炸事故，后果将是非常严重的，可能造成人员的伤亡，取15。 （2）计算危险性分值： 3615270 270处于160320之间，危险等级属“高度危险、需立即整改的范畴。,五、事故树分析,1. 事故树分析概述,1. 事故树分析的基本概念 事故树分析（Fault Tree Analysis；FTA）又称故障树分析或失效树分析，是从结果到原因找出与灾害事故有关的各种因素之间因果关系和逻辑关系的作图分析法。事故树分析法是安全系统工程中常用的一种分析方法。 1961年，美国贝尔电话研究所的维森（H.A.Watson）首创了FTA并应用于研究民兵式导弹发射控制系统的安全性评价中，用它来预测导弹发射的随机故障概率。 接着，美国波音飞机公司的哈斯尔（Hassle）等人对这个方法又作了重大改进，并采用电子计算机进行辅助分析和计算。 1974年，美国原子能委员会应用FTA对商用核电站进行了风险评价，发表了拉斯姆逊报告（Rasmussen Report），引起世界各国的关注。,1. 事故树分析概述,1. 事故树分析的基本概念 目前事故树分析法已从宇航、核工业进入一般电子、电力、化工、机械、交通等领域，它可以进行故障诊断、分析系统的薄弱环节，指导系统的安全运行和维修，实现系统的优化设计。 事故树分析 (FTA) 是一种演绎推理法，即从结果分析原因的分析方法。这种方法是从一个可能的事故开始一层一层的逐步寻找引起事故的触发事件、直接原因与间接原因。并分析这些事故原因之间的相互逻辑关系，用一种称为事故树的树形图表示这些原因以及它们的逻辑关系。最后通过对事故树的定性与定量分析，找出事故发生的主要原因，为确定安全对策提供可靠依据，以达到预测与预防事故发生的目的。,1. 事故树分析概述,1. 事故树分析的基本概念 事故树分析 (FTA) 能对各种系统的危险性进行辨识和评价，不仅能分析出事故的直接原因，而且能深入地揭示出事故的潜在原因。用它描述事故的因果关系直观、明了，思路清晰，逻辑性强，即可定性分析，又可定量分析。目前Matlab等计算工具都有用于FTA定量分析的子程序（模块），其功能非常强大，使用方便。事故树分析已成为系统安全分析中应用最广泛的方法之一。,1. 事故树分析概述,1. 事故树分析的基本概念 事故树分析的目的是： 1）帮助判明可能发生的故障模式和原因，发现可靠性和安全性薄弱环节，采取改进措施，以提高产品可靠性和安全性； 2）计算故障发生概率； 3）发生重大故障或事故后，FTA是故障调查的一种有效手段，可以系统而全面地分析事故原因，为故障“归零”提供支持； 4）指导故障诊断、改进使用和维修方案等。,1. 事故树分析概述,1. 事故树分析的基本概念 FTA法具有以下特点： 事故树分析是一种图形演绎方法，是事故事件在一定条件下的逻辑推理方法。它可以围绕某特定的事故作层层深入的分析，因而在清晰的事故树图形下，表达系统内各事件间的内在联系，并指出单元故障与系统事故之间的逻辑关系，便于找出系统的薄弱环节。 FTA具有很大的灵活性，不仅可以分析某些单元故障对系统的影响，还可以对导致系统事故的特殊原因如人为因素、环境影响进行分析。,1. 事故树分析概述,1. 事故树分析的基本概念 进行FTA的过程，是一个对系统更深入认识的过程，它要求分析人员把握系统内各要素间的内在联系，弄清各种潜在因素对事故发生影响的途径和程度，因而许多问题在分析的过程中就被发现和解决了，从而提高了系统的安全性。 利用事故树模型可以定量计算复杂系统发生事故的概率，为改善和评价系统安全性提供了定量依据。,1. 事故树分析概述,1. 事故树分析的基本概念 事故树分析还存在许多不足之处，主要是： 1）FTA需要花费大量的人力、物力和时间； 2）FTA的难度较大，建树过程复杂，需要经验丰富的技术人员参加，即使这样，也难免发生遗漏和错误； 3）FTA只考虑（0，1）状态的事件，而大部分系统存在局部正常、局部故障的状态，因而建立数学模型时，会产生较大误差； 4）FTA虽然可以考虑人的因素，但人的失误很难量化。 事故树分析仍处在发展和完善中。目前，事故树分析在自动编制、多状态系统FTA、相依事件的FTA、FTA的组合爆炸、数据库的建立及FTA技术的实际应用等方面尚待进一步分析研究，以求新的发展和突破。,1. 事故树分析概述,2. 事故树的符号及其意义 1）事件及事件符号 （1）结果事件