《系统安全分析》课件.ppt

第三章系统安全分析李艳伟,主要内容3.1概述3.2系统安全分析基本原理3.3安全检查表3.4预先危险性分析3.5故障类型、影响和危险度分析3.6事件树分析3.7故障树分析3.8作业条件危险性评价法3.9原因-后果分析方法3.10管理疏忽及风险树,3.1概述3.1.1系统安全分析,1.系统安全分析是使用系统工程的原理和方法，辨别、分析和存在的危险因素，并根据实际需要对其进行定性、定量描述的技术方法。,2.系统安全分析的特点,（1）系统性（2）预测性（3）层序性（4）择优性（5）技术与管理的融合性,3.系统安全分析的内容(六个调查与分析),(1)对可能出现的初始的、诱发的以及直接引起事故的各种危险因素以及相互关系；(2)对与系统有关的环境条件、设备、人员以及其他有关因素进行；(3)对能够利用适当的设备、规程、工艺或材料控制或根除某种特殊危险因素；(4)对可能出现的危险因素的控制措施以及实施这些措施的最好方法；(5)对不能根除的危险因素失去或减少控制可能出现的后果；(6)对危险因素一旦失去控制，对防止伤害和损害的安全防护措施。,4.系统安全分析的主要技术方法,（1）安全检查表法（SafetyChecklist），SCL（2）预先危险性分析（PreliminaryHazardAnalysis），PHA（3）故障类型和影响分析（FailuremodesandeffectsAnalysis），FMEA（4）危险性和可操作性研究（HazardandOperabilityAnalysis），HAZOP（5）事件树分析（EventTreeAnalysis），ETA（6）故障树分析（FaultTreeAnalysis），FTA（7）因果分析（CauseConsequenceAnalysis），CCA（8）作业条件危险性评价法（LEC）（9）管理疏忽及风险树（ManagementOversightandRiskTree），MORT,3.2系统安全分析基本原理,3.2.1相关性原理相关性是指一个系统，其属性、特征与事故和职业危害存在着因果的相关性。,系统的结构可用下列公式表达：,E=maxf（X，R，C）E最优结合效果；X系统组成的要素集，即组成系统的所有元素；R系统组成要素的相关关系集，即系统各元素之间的所有相关关系；C系统组成的要素及其相关关系在各阶层上可能的分布形式；fX，R，C的结合效果函数。对系统的要素集（X）、关系集（R）和层次分布形式（C）的分析，可阐明系统整体的性质。要使系统目标达到最佳程度，只有使上述三者达到最优结合，才能产生最优的结合效果E。,寻求X、R和C的最合理的结合形式寻求系统在最佳生产（运行）状态下的最安全的有机结合研究与系统安全有关的系统组成要素，要素之间的相关关系，以及它们在系统各层次的分布情况必须要对要素之间及要素与系统之间的相关形式和相关程度给出量。,因果关系,事故的原因与结果之间存在着类似函数一样的密切关系事故和导致事故的原因之间存在着相关关系，表现为依存关系和因果关系。事故的因果关系是：事故发生是有原因的，而且往往不是单一原因因素造成的，而是由若干个原因因素耦合在一起导致的。而每一个原因因素又由若干个二次原因因素构成，以此类推三次原因因素。,事故因果类型,几个原因各自独立，共同导致事故发生，或多种原因在同一时序共同造成一个事故后果的，叫“集中型”。某一原因要素促成下一要素发生，因果连锁发生的事故，叫“连锁型”。,某些因果连锁，又有一系列原因集中，复合组成事故结果，叫“复合型”。单纯的集中型或单纯的连锁型均较少，事故的发生多为复合型的。,因果是继承性的、多层次的。一次原因是二次原因的结果，二次原因又是三次原因的结果，依此类推。,3.2.2类推原理,类推”亦称“类比”。是根据两个或两类对象之间存在着某些相同或相似的属性，从一个已知对象具有某个属性来推出另一个对象具有此种属性的一种推理。,类比推理的结论是或然性的。所以，在应用时要注意提高其结论可靠性，方法有：,要尽量多地列举两个或两类对象所共有或共缺的属性；两个类比对象所共有或共缺的属性愈本质，则推出的结论愈可靠；两个类比对象共有或共缺的对象与类推的属性之间具有本质和必然的联系，则推出结论的可靠性就高。,常用的类推方法,1）平衡推算法指根据相互依存的平衡关系来推算所缺的有关指标的方法。2）代替推算法指利用具有密切联系（或相似）的有关资料、数据，来代替所缺资料、数据的方法。3）因素推算法指根据指标之间的联系，从已知因素的数据推算有关未知指标数据的方法。抽样推算法指根据抽样或典型调查资料推算系统总体特征的方法。,比例推算法是根据社会经济现象的内在联系，用某一时期、地区、部门或单位的实际比例，推算另一类似时期、地区、部门或单位有关指标的方法。概率推算法概率是指某一事件发生的可能性大小。事故的发生是一种随机事件；任何随机事件，在一定条件下是否发生是没有规律的，但其发生概率是一客观存在的定值。因此，根据有限的实际统计资料，采用概率论和数理统计方法可求出随机事件出现各种状态的概率。可以用概率值来预测未来系统发生事故可能性的大小，以此来衡量系统危险性的大小、安全程度的高低。,3.2.3惯性原理,任何事物的发展都带有一定的延续性，或者称为惯性。应用惯性原理注意2点：惯性的大小一个系统的惯性是这个系统内的各个内部因素之间互相联系、互相影响，互相作用按照一定的规律发展变化的一种状态趋势。,3.2.4量变到质变原理,任何一个事物在发展变化过程中都存在着从量变到质变的规律。同样，在一个系统中，许多有关安全的因素也都一一存在着量变到质变的规律；在评价一个系统的安全时，也都离不开从量变到质变的原理。,3.3安全检查表,3.3.1安全检查（定义）安全检查是运用常规、例行的安全管理工作及时发现不安全状态以及不安全行为的有效途径，也是消除事故隐患，防止伤亡事故发生的重要手段。,1.安全检查的内容,2.安全检查形式,做到“三定”（定措施、定负责人、定完成期限）、“三不交”（班组能整改的不交车间、车间能整改的不交厂、厂能整改的不交上级）,3.3.2安全检查表,安全检查表（SafetyCheckList,简称SCL）是利用检查条款按照相关的标准、规范等对已知的危险类别、设计缺陷以及一般工艺设备、操作、管理有关的潜在危险性和有害性进行判别检查。,安全检查表的作用,安全检查表能避免安全检查流于形式，克服了许多传统检查的弊端，有利于完成安全检查，所以安全检查表应有以下的作用：（1）根据不同的单位、对象和具体要求编制相应的安全检查表，可以实现安全检查的标准化和规范化。（2）使检查人员能够根据预定的目的去实施检查，避免遗漏和疏忽，以便发现和查明各种问题和隐患。（3）依据安全检查表检查，是监督各项安全规章制度的实施、制止“三违”的有效方法。也是安全教育的一种手段。（4）检查表是主管安全部门和检查人员履行安检职责的凭证，有利于落实安全生产责任制，便于分清责任。（5）安全检查表能够带动广大干部职工认真遵守安全纪律，提高安全意识，掌握安全知识，形成全员管安全的局面。,3.3.3安全检查表的适用范围及应用情况,安全检查表应用较广，可以在项目的现状评价、验收评价及专项评价中，不推荐在预评价中使用，不能应用于研究开发阶段及事故调查阶段。安全检查表广泛用于建造和生产现场，民航中所使用的检查单也类似于安全检查表，但是这些检查单是在长时间的积累和发现潜在的风险因素后制定出来的。,3.3.4安全检查表的种类,基本类型：定性检查表、半定量检查表、否决型检查表。按照使用场合不同分为：（1）设计用安全检查表（2）厂级安全检查表（3）车间级安全检查表（4）班组及岗位用安全检查表（5）专业性安全检查表,3.3.5编制安全检查表的主要依据,(1)有关标准，规程，规范及规定。(2)国内外事故案例。搜集国内外同行业及同类产品行业的事故案例，从中发掘出不安全因素，作为安全检查的内容。国内外及本单位在安全管理及生产中的有关经验，自然也是一项重要内容。(3)通过系统安全分析确定的危险部位及防范措施，也是制定安全检查表的依据。系统安全分析的方法可以多种多样，如预先危险分析、可操作性研究、故障树，等等。（4）研究的成果等有关资料,3.3.6安全检查表结果形式,安全检查表采用提问的方式，将事先进行深入剖析的检查对象的各个项目分系统编制成表格，以便检查和避免漏检。1.检查结果定性化安全检查表应列举需查明的所有导致事故的不安全因素，通常采用提问方式，并以“是”或“否”来回答，“是”表示符合要求；“否”表示还存在问题，有待于进一步改进；“部分符合”表示有一部分符合条件，另一部分不符合条件。,为了使提出的问题有所依据，可以收集有关的此项问题的规章制度、规范标准，在有关条款后面注明名称和所在章节。,表3.1提问型安全检查表,2.检查结果的半定量,菲利浦石油公司安全检查表采用了检查表判分一分级系统，在这里作为安全检查表的判分系统采用的是三级判分系列0一l23，0l一35，0一157，其中评判的“0”为不能接受的条款，低于标准较多的判给“l”；稍低于标准的条件判给刚低于最大值的分数；符合标准条件的判给最大的分数。,表3.2半定量打分法安全检查表,3.检查结果的定量化,根据安全检查表检查结果及各分系统或子系统的权重系数，按照检查表的计算方法，首先计算出各子系统或分系统的评价分数值，再计算出各评价系统的评价得分，最后计算出评价系统(装置)的评价得分，确定系统(装置)的安全评价等级。,（1）划分系统,以装置作为总系统每个系统又依次分为若干分系统和子系统，对最后一层各子系统(或分系统)根据不同的评价对象制订出相应的安全检查表。,（2）评分方法,采用安全检查表赋值法，安全检查表按检查内容和要求逐项赋值，每一张检查表以100分计。不同层次的系统、分系统、子系统给予权重系数，同一层次各系统权重系数之和等于1。评价时从安全检查表开始，按实际得分逐层向前推算，根据子系统的分数值和权重系数计算上一层分系统的分数值，最后得到系统的评价得分。系统满分应为100分。,（4）安全评价结果计算方法,1）系统或分系统评价分数值计算：式中Mi分系统或子系统分数值；Kij分系统或子系统的权重系数；mij分系统或子系统的评价分数值；n分系统或子系统的数目。,2）缺项计算,式中mi安全检查表评价得分；mij安全检查表实得分；kij安全检查表除去缺项应得分。,3）装置最终评价结果计算：,式中A装置最终评价分数值；g综合安全管理分系统分数值；Ki各系统权重系数；Mi各系统评价分数值。,4）系统(装置)安全等级划分,表3.3确定系统(装置)的安全等级,3.3.7安全检查表检查的实施办法,每张检查表归纳了子系统(或分系统)内应检查的内容和要求，并制订评分标准和应得分。依照制订的安全检查表中各项检查的内容及要求，采取现场检查或查资料、记录、档案或抽考有关人员等方法，对评价对象进行检查。对不符合要求之项，根据“评分标准”给予扣分，扣完为止，不计负分。根据检查表检查的实得分，按系统划分图逐层向前推算，计算出评价系统的最终得分，并根据分数值划分安全等级，最后，汇总安全检查中发现的隐患，提出相应的整改措施。,3.3.8编制程序及应用说明,选择安全检查表。安全检查评价的结果,3.3.8安全检查表的优点,（1）能够事先有充足的时间编制和讨论检查表。这样可以做到系统化、完整化、不漏掉任何可能导致危险的关键因素,可以克服目的性不明确,走过场的安全检查方法，起到提高检查质量的效果。（2）安全检查表用提问方式,给人的印象深刻，有问就有答,能使人知道如何做才是正确的，因而可起到安全教育的作用。（3）可以和生产责任制相结合,由于不同检查对象有不同的检查表,易于分清责任,检查表还可以注明对改进措施的要求,隔一段时间可以重新检查改进。（4）安全检查表简明易懂，容易掌握，既适合我国现阶段使用，又可以为进一步使用更先进的安全系统工程方法，进行事故预测和安全评价打下基础。（5）可以根据已有的规章制度、规程、标准化要求及检查执行、遵守的情况，容易得出准确的评价。发现违章违纪的，应立即纠正或采取必要措施。,手持灭火器安全检查表单位：检查对象：检查人：检查时间：被检查单位负责人：整改负责人：,作业1.请编制学生宿舍防火安全检查表；2.编制候机楼消防安全日常检查表；,3.4预先危险性分析,预先危险性分析方法是一种定性分析评价系统内危险因素和危险程度的方法。是指一个系统或子系统（包括设计、施工、生产之前，或技术改造之后，即制定操作规程和使用新工艺等情况之后）运转活动之前，对系统存在的危险类别、出现条件、可能造成事故的后果进行客观的概略分析。,适用范围及应用状况,适用于各类系统设计、施工、生产、维修前的概略分析和评价。对固有系统中采取新的操作方法、接触新的危险性物质、工具和设备时，进行分析也比较合适。该方法目前在化工生产、工程项目、交通环境和设备大修等方面均已有广泛应用。主要用于危险物质和装置的主要工艺区域进行分析,3.4.1预先危险分析目的,识别危险，确定安全性关键部位；评价各种危险的程度；确定安全性设计准则，提出消除或控制危险的措施。总之，其目的是通过预先对系统存在的危险性分析、评价、分级，而后根据其危险性的大小，在设计、施工或生产中采取恰当的控制措施，避免事故的发生。,预先危险分析还可提供下述信息：(1)为制（修）定安全工作计划提供信息；(2)确定安全性工作安排的优先顺序；(3)确定进行安全性试验的范围；(4)确定进一步分析的范围，特别是为故障树分析确定不希望发生的事件；(5)编写初始危险分析报告，作为分析结果的书面记录；(6)确定系统或设备安全要求，编制系统或设备的性能及设计说明书。,3.4.2PHA的研究内容其分析的内容至少应包括以下几个方面：1）审查相应的安全性历史资料；2）列出主要能源的类型，并调查各种能源，确定其控制措施；3）确定系统或设备必须遵循有关的人员安全、环境安全和有毒物质的安全要求及其它有关的规定；4）提出纠正措施建议，在完成识别危险、评价危险的严重程度及可能性之后，还应提出如何控制危险的建议。,3.4.3分析步骤,流程图步骤一：选择待分析的系统或子系统研究分析的对象应该是不可分割的子系统，如：原料罐区的子系统为储槽和泵。步骤二：提出所有可能的假设问题假设问题用于识别系统存在的各种潜在危险因素。例如，假如危险物料溢流到地面，操作人员有被烟雾或蒸汽毒害或腐蚀的可能。,步骤三：识别危险结合步骤二中提出的假设问题，分析并记录每一个假设中存在的与物料化学性质(毒性、可燃性、反应性等)和工艺操作条件(温度、压力等)有关的潜在危险。步骤四：分析危险可能产生的后果分析并识别每一项危险可能带来的后果，有些危险可能会带来多个后果。分析小组应该记录对所有步骤三中识别的危险的讨论情况。即使有些危险没有实质性的后果，也要记录，这样可以看出小组成员对此危险的分析过程。,步骤五：分析并列出已考虑的安全措施分析并记录系统中已有的或已经设计的安全措施。这些安全措施用于预防、监测、降低所提假设产生的危险可能带来的后果。记录系统中已有的或已经设计的安全措施是非常重要的，因为可以从中看出已经采取了哪些方法和手段，同时也可以帮助小组成员来考虑是否应该做进一步的补充或修改。对于会产生高度危险的假设问题，小组负责人应保证已经列出足够多的安全措施。,步骤六：提出建议或需要补充提供的信息在分析表“建议”栏中提出小组一致同意的对现有安全措施的整改补充意见，列出需要补充提供的文件或信息，或提出是否需要做进一步的研究分析。“建议”应紧密围绕步骤四中列出的后果。步骤七：是否有其他系统对其他的系统或子系统，重复步骤16.,步骤八：划定危险等级根据已建立的危险程度分级定义，对所有的后果划定风险等级。因为不同的系统内可能会出现相同的后果，所以此项工作最好在所有系统的分析都结束后进行，这样可以保证分级的连贯性，同时也可简化工作，提高工作效率。危险等级的划分可参照下表：,步骤九：对提出的建议指定落实负责人员对提出的“建议”应指定相应的人员或团体负责，以便保证所提建议在随后的工作中得以落实。上述步骤进行完毕后，分析小组负责人应负责整理出完整的分析工作表，并在此基础上完成分析研究报告,3.4.4预先危险分析所需资料,获得装置设计标准、设备说明、材料说明及其他资料收集与装置或系统有关的有用资料，以及其他类比装置的资料尽可能从不同渠道汲取相关经验，包括相似设备的危险性分析、相似设备的操作经验等,3.4.5预先危险分析常用的几种表格,注：1所分析子系统归属的车间或工段的名称；2所分析子系统的名称；3子系统处于何种状态或运行方式；4子系统可能发生的潜在危害；5产生潜在危害的原因；6导致产生危险因素(5)的那些不希望事件或错误；7使危险因素(5)发展成为潜在危害的那些不希望发生的错误或事件；8导致产生“发生事故的条件(7)”的那些不希望发生的事件及错误；9事故后果；10危害等级；11为消除或控制危害可能采取的措施，其中包括对装置、人员、操作程序等几方面的考虑；12有关必要的说明。,注：这些伤害是由于施加了超过局部或全身性损伤阈的能量引起的。,注：这些伤害是由于施加了超过局部或全身性损伤阈的能量引起的。,注：这些损伤是由于影响了局部的或全身的能量交换引起的。,2.能量失控的情况,化学模式（1）直接火灾（2）间接火灾（3）自动反应物理模式（1）物理爆炸（2）锅炉爆炸（3）机械失控（4）电气控制（5）其他物理能量失控,事故危险性分类表,事故危险性分类表,3从人的操作失误考虑,人是操作机器的主人，但人的可靠性极低，往往由于生理和心理状态造成误操作而发生事故。通常从操作的角度上分析，有以下几点：不正确行为，不安全行为，错误行为，严重错误行为，极端错误行为。,4.从外界因素考虑外力因素,外力包括人为力和自然力两个方面。人为力系指受外界发生事故的波及，例如受到外厂爆炸造成的冲击波、爆破碎片的袭击等。自然力是指地震、洪水、雷击、飓风等。,3.4.5危险源的控制,事故预防对策的基本要求（1）预防生产过程中产生的危险和有害因素；（2）排除工作场所的危险和有害因素；（3）处置危险和有害物并减低到国家规定的限值内；（4）预防生产装置失灵和操作失误产生的危险和有害因素；（5）发生意外事故时能为遇险人员提供自救条件的要求。,选择事故预防对策,（1）直接安全技术措施生产设备本身，应具有本质安全性能，保证不出现任何事故和危害。（2）间接安全技术措施若不能或不完全能实现直接安全技术措施时，必须为生产设备设计出一种或多种安全防护装置，最大限度地预防、控制事故或危害的发生。,（3）指示性安全技术措施间接安全技术措施也无法实现时须采用检测报警装置、警示等措施，警告、提醒作业人员注意，以便采取相应的对策或紧急撤离危险场所。（4）若间接、指示性安全技术措施仍然不能避免事故、危害发生，则应采用安全操作规程，安全教育、培训和个人防护用品等来预防、减弱系统的危险、危害程度。,选择事故预防对策的原则,按事故预防对策等级顺序的要求，设计时应遵循以下具体原则：（1）消除：通过合理的设计和科学的管理，尽可能从根本上消除危险、有害因素；如采用无害工艺技术、生产中以无害物质代替有害物质、实现自动化作业、遥控技术等。（2）预防：当消除危险、有害因素有困难时，可采取预防性措施，预防危险、危害发生，如使用安全阀、安全屏护、漏电保护装置、安全电压、熔断器、防爆膜、事故排风装置等。,（3）减弱：在无法消除危险、有害因素和难以预防的情况下，可采取减少危险、危害的措施，如局部通风排毒装置、生产中以低毒性物质代替高毒性物质、降温措施、避雷装置、消除静电装置、减振装置、消声装置等。（4）隔离：在无法消除、预防、减弱的情况下，应将人员与危险、有害因素隔开和不能共存的物质分开，如遥控作业、安全罩；防护屏、隔离操作室、安全距离、事故发生时的自救装置（如防毒服、各类防毒面具）等。,（5）连锁：当操作者失误或设备运行一旦达到危险状态时，应通过连锁装置终止危险、危害发生。（6）警告：在易发生故障和危险性较大的地方，配置醒目的安全色、安全标志；必要时，设置声、光或声光组合报警装置。,3.4.7优缺点,它是进一步进行危险分析的先导，是一种定性的宏观概略分析，在项目初期使用这种方法有下面的优点：能识别可能的危险，用较少的费用或时间就能进行改正能帮助分析人员分析或设计操作指南；给出危险事件的类型、潜在的危害事件、原因、结果、风险等级及对应的措施，表格简洁明了、一目了然。缺点：分析程度不够，风险等级的确定不准确，主观性较强。,实例：,在一些实际系统（工业或民用）设计中，经常需要应用到石油液化气作为燃料或原料。在实际生产活动中石油液化气引起的火灾和爆炸事故时有发生。以石油液化气火灾和爆炸事故为例，进行预先危险性分析。,作业：利用预先危险性分析法分析学生宿舍发生火灾的危险性,3.5故障类型和影响分析,3.5.1概述3.5.2故障的基本概念3.5.3分析步骤3.5.4致命度分析3.5.5故障模式及影响分析例题,3.5.1概述,故障及影响分析及致命度分析是安全系统工程中重要的分析方法之一。它是由可靠性工程发展起来的，主要分析系统、产品的可靠性和安全性。它采用系统分割的概念，根据实际需要分析的水平，把系统分割成子系统或进一步分割成元件。然后逐个分析元件可能发生的故障和故障呈现的状态（故障模式），进一步分析故障类型对子系统以致整个系统产生的影响，最后采取措施加以解决。,在系统进行初步的分析后，对于其中特别严重，甚至会造成死亡或重大财物损失的故障类型，则可以单独拿出来进行详细分析，这种方法叫致命度分析。它是故障模式及影响分析的扩展，分析量化。,1957年美国开始在飞机发动机上使用FMEA方法。航天航空局和陆军进行工程项目招标时，都要求承包方提供FMECA分析。航天航空局还把FMEA当作保证宇航飞船可靠性的基本方法。尽管该方法是由可靠性发起来的，但目前它已在核电站、动力工业、仪器仪表工业中得到广泛应用，日本的机械制造业如丰田汽车发动机厂也使用该法多年，并和质量管理结合起来，积累了相当完备的FMEA资料。,OSHA认可FMEA作为合法的安全系统分析方法。在许多重要领域该方法也被规定为设计人员必须掌握的技术，其有关资料被规定为不可缺少的文件。在我国军用标准GJB-450-88的可靠性设计及评价一节明确指出，FMEA是找出设计上潜在缺陷的手段，是设计审查中必须重视的资料之一。,应用范围,用于分析复杂的关键设备。任何电气、各种失电子和航空电子设备或硬件系统，子系统都可用这一方法分析，以识别失效和失效模式。优点对于一个系统内部每个部件的每一种可能的失效模式或不正常运行模式都可进行详细分析，并推断它对于整个系统的影响、可能产生的后果以及如何才能避免或减少损失。缺点：只能用于考虑非危险性失效、花费时间，一般不能考虑各种失效的综合因素。,3.5.2故障的基本概念,1.故障(failure)指元件、子系统、系统在规定的运行时间、条件内达不到设计规定的功能。并不是所有故障都会造成严重恶果，而是其中一些故障会影响系统完不成任务或造成事故损失。,2.故障类型(failuremode)系统、子系统或元件发生的每一种故障的形式称为故障类型。,3.故障分级根据故障类型对系统或子系统影响程度的不同而划分的等级称为故障等级。4.故障类型分级方法（1）定性分级方法定性分级方法按故障类型对子系统或系统影响的严重程度分为4级划分故障等级主要是为了分出轻重缓急以采取相应的对策，提高系统的安全性。,（2）半定量故障等级划分法依据损失的严重程度、故障的影响范围、故障的发生频率、防止故障的难易程度和工艺设计等情况来确定半定量等级评点法在难于取得可靠性数据的情况下，可以采用评点法，此法较简单，划分精确。它从几个方面来考虑故障对系统的影响程度，用一定的点数表示程度的大小，通过计算，求出故障等级。,式中Cs总点数，0Cs10；Ci因素系数，0Ci10。,Ci的确定可通过头脑风暴集中智慧法和德尔菲函询调查法。,另一种求点数的方法列于表5，可根据评点因素求出点数，然后相加，计算出总点数Cs。,由以上两种方法求出的总点数Cs，均可按表6选取故障等级。,风险矩阵法,故障发生的可能和故障发生后引起的后果，综合考虑后得到比较准确的衡量标准。我们称这个标准为风险率（也称危险度），它代表故障概率和严重度的综合评价。严重度是指故障模式对系统功能的影响程度，分为四个等级。故障概率指在一特定时间故障模式所出现的次数。时间可规定为一定的期限。如一年、一月等；或是根据大修间隔期、完成一项任务的周期或其它被认为适当的时间来决定。可以使用定性的或定量的方法确定单个故障模式的概率,故障概率,故障概率是指在一特定时间，故障类型所出现的次数。时间可规定为一定的期限(如一年、一月等)；或根据大修间隔期、完成一项任务的周期或其他被认为适当的期间来决定。可以使用定性和定量方法确定单个故障类型的概率。,定性方法故障概率可分为4级：,级：故障概率很低，元件操作期间出现的机会可忽略；级：故障概率低，元件操作期间不易出现；级：故障概率中等，元件操作期间出现的机会为50；级：故障概率高，元件操作期间易于出现故障。,定量方法故障概率可分4级,级：在元件操作期间，任何单个故障的概率少于全部故障概率的0.01；级：在元件操作期间，任何单个故障的概率，多于全部故障概率的0.01而少于0.10；级：在元件操作期间，任何单个故障的概率，多于全部故障概率的0.10而少于0.20；级：在元件操作期间，任何单个故障的概率，大于全部的故障概率的0.20。,严重度和故障概率的数据后，就可运用风险率矩阵的评价法,可靠性框图。,对于复杂的系统，为了说明子系统间功能的传输情况，可用可靠性框图表示系统状况,5.制表,使用FMEA方法的特点之一就是制表。由于表格便于编码、分类、查阅、保存，所以很多部门根据自己情况拟出不同表格，但基本内容相似,3.5.3分析步骤,明确系统本身的情况确定分析程度和水平绘制系统图和可靠性框图列出所有故障类型，并选出对系统有影响的故障类型列出造成故障的原因及故障检测方法确定故障等级,3.5.4致命度分析,致命度分析一般都和故障类型影响分析合用，美国汽车工程师学会(SAE)把故障致命度分成4个等级,使用下式计算出致命度指数Cr，它表示元件运行106h(次)发生的故障次数。,3.5.5故障模式及影响分析例题,柴油机燃料供应系统的FDEA分析一柴油机燃料供应示意图。柴油经膜式泵送往壁上的中间贮罐，再经过滤器流入曲轴带动的柱塞泵，将燃料向柴油机气缸喷射。,此处共有5个子系统，即燃料供应子系统、燃料压送子系统、燃料喷射子系统、驱动装置、调速装置，,2004年2月24日下午，俄罗斯建筑师卡罗耶夫在瑞士苏黎世杀死了一名36岁男子，男子名字叫尼尔逊。,树与事件树形状的区别,树的形状,事件树的形状,3.6事件树,事件树分析（EventTreeAnalysis,ETA）又称决策树分析，也是风险分析的一种重要方法。事件树分析法是一种时序逻辑的事故分析方法。是从给定的一个初始事件开始，按时间进程采用追踪方法，对构成系统的各要素（事件）的状态逐项一步一步地进行分析，每一步都从成功和失败两种可能后果考虑，直到最终用水平树状图表示其可能的结果。,初始事件可能引发系统安全性后果的系统内部的故障或外部的事件。后续事件在初因事件发生后，可能相继发生的其他事件，这些事件可能是系统功能设计中所决定的某些备用设施或安全保证设施的启用，也可能是系统外部正常或非正常事件的发生。后续事件一般是按一定顺序发生的。后果事件由初因事件和后续事件的发生或不发生所构成的不同的结果。,3.6.1事件树分析原理,事件树分析的理论基础是系统工程决策论，是由决策树演化而来的,最初是用于可靠性分析。它的原理是每个系统都是由若干个元件组成的，每一个元件对规定的功能都存在具有和不具有两种可能。元件具有其规定的功能,表明正常(成功)，其状态值为1；不具有规定功能，表明失效(失败)，其状态值为0。按照系统的构成顺序,从初始元件开始,由左向右分析各元件成功与失败两种可能，直到最后一个元件为止。分析的过程用图形表示出来,就得到近似水平的树形图。,通过事件树分析，可以把事故发生发展的过程直观地展现出来，如果在事件(隐患)发展的不同阶段采取恰当措施阻断其向前发展，就可达到预防事故的目的。,3.6.2事件树分析的目的,能够判断出事故发生与否，以便采取直观的安全方式。能够指出消除事故的根本措施，改进系统的安全状况；从宏观角度分析系统可能发生的事故，掌握事故发生的规律可以找出最严重的事故后果，为确定顶上事件提供依据。,3.6.3事件树分析过程,1.确定初始事件(可能引发感兴趣事故的初始事件)；初始事件应当是系统故障、设备故障、人为失误或是工艺异常，这主要取决于安全系统或操作人员对初始事件的反应。,识别能消除初始事件的安全设计功能；（后续事件）初始事件做出响应的安全功能可被看成为防止初始事件造成后果的预防措施。安全功能措施通常包括：a.系统自动对初始事件的做出响应(包括自动停车系统)b.当初始事件发生时，报警器向操作者发出警报c.操作工按设计要求或操作规程对报警做出响应d.启动冷却系统、压力释放系统和破坏系统，以减轻事故的严重程度；e.设计对初始事件的影响起限制作用的围堤或封闭方法,编制事件树；,编制事件树的第一步，是写出初始事件和用于分析的安全功能(措施)，初始事件列在左边，安全功能(措施)。,第二步是评价安全功能(措施)。通常，只考虑两种可能：安全措施成功还是失败。假设初始事件已经发生，分析人员须确定所采用的安全措施成功或失败的派定标准；接着判断如果安全措施成功或失败了，对事故的发生有什么影响。,展开事件树的每一个分叉(节点)都会创生新的事故，都必须对每一项安全功能(措施)依次进行评价。,描述导致事故的顺序；,事件树分析的下一步骤是对各事故序列结果进行解释(说明)。应说明由初始事件引起的一系列结果，其中某一序列或多个序列有可能表示安全回复到正常状态或有序地停车。,确定事故顺序的最小割集,用故障树分析对事件树事故序列加以分析，以便确定其最小割集。每一事故序列都由一系列安全系统失败组成，并以“与门”逻辑及初始事件相关。这样，每一事故序列都可以备看做是由“事故序列(结果)”作为顶上事件的故障树，并用“与门”将初始事件和一系列安全系统失败(故障)与“事故序列(结果)”(顶上事件)相连接。,编制分析结果。,事件树的最后一步是将分析研究的结果汇总，分析人员应对初始事件、一系列的假设和事件树模式等进行分析，并列出事故的最小割集。列出讨论的不同事故后果和从事件树分析得到的建议措施。,说明,目的：评价初始事件发展为事故的过程及后果适用范围：设计时找出适用的安全装置，操作时发现设备故障及误操作导致事故使用方法：各事件发展阶段均有成功和失败两种可能，由初始事件经过各事件、阶段一直分析出事件、发展的最后各种结果资料准备：有关初始事件和各种安全措施的知识人力、时间：24人组成小组，分析小型单元几个初始事件需36天，大型复杂单元需24周效果：定性和定量，找出初始事件发展的各种结果，分析其严重性可在各发展阶段采取措施使之朝成功方向发展,3.6.4优缺点,优点1.可以定性、定量识别初始事件发展为事故的各种过程及后果，并分析其严重程度。根据树图可在各发展阶段的每一步采取有效措施，使之向成功方向发展。2.ETA是一种图解形式，层次清楚、阶段明显，可以进行多阶段、多因素复杂事件动态发展过程的分析，预测系统中事故发展的趋势。3.既可看作FTA的补充，因为它可以将严重事故的动态发展过程全部揭示出来，也可以结合事故发生概率，对影响严重的事故进行定量分析。,缺点,在国内外数据较少，进行定量分析还需要做大量地工作。用于大系统时，容易产生遗漏和错误。不能分析平行产生的后果，不能进行详细分析，在事件树上不允许讨论条件独立关系。不能直接有效地理解与回答在决策分析和概率计算中有关的较深层次的问题。事件树的大小随着问题中变量个数呈指数增长。,3.6.5适用范围,ETA可以用来分析系统故障、设备失效、工艺异常、人的失误等，应用比较广泛。但它不能分析平行产生的后果，不适用于详细分析。该方法目前已在矿山事故、数据库监测、潜艇事故和航空安全等方面有了应用。,3.6.6事件树的简化,故障树简化：当某一非正常事件的发生概率极低时可以不列入后续事件中；当某一后续事件发生后，其后的其他事件无论发生与否均不能减缓该事件链的后果时，该事件链即已结束。,3.6.7事件树的定性分析,事件树定性分析在绘制事件树的过程中就已进行，绘制事件树必须根据事件的客观条件和事件的特征作出符合科学性的逻辑推理，用与事件有关的技术知识确认事件可能状态，所以在绘制事件树的过程中就已对每一发展过程和事件发展的途径作了可能性的分析。,找出事故连锁事件树的各分枝代表初始事件一旦发生其可能的发展途径。其中，最终导致事故的途径即为事故连锁。一般地，导致系统事故的途径有很多，即有许多事故连锁。事故连锁中包含的初始事件和安全功能故障的后续事件之间具有“逻辑与”的关系，显然，事故连锁越多，系统越危险；事故连锁中事件越少，系统越危险。,找出预防事故的途径事件树中最终达到安全的途径指导我们如何采取措施预防事故。在达到安全的途径中，发挥安全功能的事件构成事件树的成功连锁。如果能保证这些安全功能发挥作用，则可以防止事故。一般地，事件树中包含的成功连锁可能有多个，即可以通过若干途径来防止事故发生。显然，成功连锁越多，系统越安全，成功连锁中事件数越少，系统越安全。由于事件树反映了事件之间的时间顺序，所以应该尽可能地从最先发挥功能的安全功能着手。,3.6.8事件树的定量分析,事件树定量分析是指根据每一事件的发生概率，计算各种途径的事故发生概率，比较各个途径概率值的大小，作出事故发生可能性序列，确定最易发生事故的途径。一般地，当各事件之间相互统计独立时，其定量分析比较简单。当事件之间相互统计不独立时（如共同原因故障，顺序运行等），则定量分析变得非常复杂。这里仅讨论前一种情况。,1.各发展途径的概率,各发展途径的概率等于自初始事件开始的各事件发生概率的乘积。2.事故发生概率事件树定量分析中，事故发生概率等于导致事故的各发展途径的概率和。定量分析要有事件概率数据作为计算的依据，而且事件过程的状态又是多种多样的，一般都因缺少概率数据而不能实现定量分析。,事件树定量分析,确定初因事件的概率确定后续事件及各后果事件的发生概率计算事故发生的概率,P(IS1S2)=P(I)P(S1)P(S2)P(IS1F2)=P(I)P(S1)P(F2)P(IF1S2)=P(I)P(F1)P(S2)P(IF1F2)=P(I)P(F1)P(F2),系统状态成功失败失败失败,应用举例,有一泵和两个串联阀门组成的物料输送系统（如图所示）。物料沿箭头方向顺序经过泵A、阀门B和阀门C，泵启动后的物料输送系统的事件树如图所示。设泵A、阀门B和阀门C的可靠度分别为0.95、0.9、0.9，计算系统成功的概率及系统失败的概率。,有一泵和两个并联阀门组成的物料输送系统，图中A代表泵，阀门C是阀门B的备用阀，只有当阀门B失败时，C才开始工作。同上例一样，假设泵A、阀门B和阀门C的可靠度分别为0.95、0.9、0.9，则按照它的事件树（下页图），计算系统的成功概率和失败概率,从以上两例可以看出，阀门并联物料系统的可靠度比阀门串联时要大得多。,3.事故预防事件树分析把事故的发生发展过程表述得清楚而有条理，对设计事故预防方案，制定事故预防措施提供了有力的依据。从事件树上可以看出，最后的事故是一系列危害和危险的发展结果，如果中断这种发展过程就可以避免事故发生。因此，在事故发展过程的各阶段，应采取各种可能措施，控制事件的可能性状态，减少危害状态出现概率，增大安全状态出现概率，把事件发展过程引向安全的发展途径。采取在事件不同发展阶段阻截事件向危险状态转化的措施，最好在事件发展前期过程实现，从而产生阻截多种事故发生的效果。但有时因为技术经济等原因无法控制，这时就要在事件发展后期过程采取控制措施。显然，要在各条事件发展途径上都采取措施才行。,5.应用举例题目：试绘制行人过马路事件树。提示：确定起始事件行人过马路，过马路的状态有没有车子，有车子的话是在车前过还是车后过，车前过的话有没有充裕的时间逃避，司机有没有采取措施考虑每种状态造成的后果是顺利通过，还是涉险通过还是发生车祸。,提升矿车事件树,一斜井提升系统，为防止跑车事故，在矿车下端安装了阻车叉，在斜井里安装了人工启动的捞车器。当提升钢丝绳或连接装置断裂时，阻车叉插入轨道枕木下阻止矿车下滑。当阻车叉失效时，人员启动捞车器拦住矿车。设钢丝绳断裂概率10-4，连接装置断裂概率10-6，阻车叉失效概率10-3，捞车器失效概率10-3，人员操作捞车器失误概率10-2。画出因钢丝绳（或连接装置）断裂引起跑车事故的事件树，计算跑车事故发生概率。,提升矿车事件树,连接装置断裂,钢丝绳正常,提升矿车,阻车叉失效,人员正常启动捞车器,捞车器有效,连接装置正常,阻车叉有效,捞车器失效,人员启动捞车器失误,钢丝绳断裂,阻车叉有效,阻车叉失效,人员正常启动捞车器,人员启动捞车器失误,捞车器有效,捞车器失效,正常工作,事故中止,事故中止,跑车事故,跑车事故,跑车事故,跑车事故,事故中止,事故中止,由上可知，系统状态为“跑车事故”的有、，它们的概率分别为：P4=P(A)P(B)P(C)P(D)P(E)=(110-4)10-610-3(110-2)10-3=9.8990110-13P5=P(A)P(B)P(C)P(D)=(110-4)10-610-310-2=9.99910-12P8=P(A)P(C)P(D)P(E)=10-410-3(110-2)10-3=9.910-11P9=P(A)P(C)P(D)=10-410-310-2=10-9由上得，跑车事故发生的概率为P跑车=P4+P5+P8+P91.1099880110-9,作业,1.反应炉夹套冷却系统。冷却水管道损坏造成系统失水，探测器探得失水后将启动备用水泵P1和P2。若两台备用泵均启动成功，则系统成功(S)，若只一台成功，则系统部分成功(P)，两台泵均停则系统失败(F)。试建造事件树。当所有元件成功概率均为0.99时，求各种输出情况的概率。,2.反应器冷冻盐水流量减少事件树分析,某反应器系统如图所示。该反应是放热的，为此在反应器的夹套内通入冷冻盐水以移走反应热。如果冷冻盐水流量减少，会使反应器温度升高，反应速度加快，以致反应失控。在反应器上安装有温度测量控制系统，并与冷冻盐水入口阀门联结，根据温度控制冷冻盐水流量。为安全起见，安装了温度报警仪，当温度超过规定值时自动报警，以便操作者及时采取措施。,反应器的温度控制,A冷冻盐水流量减少,B高温报警仪未报警,D操作者未恢复冷却剂流量,C操作者未发现反应器超温,D未恢复冷却剂流量,E未关闭反应器,B高温报警仪报警,C操作者发现反应器超温,D操作者恢复冷却剂流量,E紧急关闭反应器,D操作者恢复冷却剂流量,E紧急关闭反应器,反应器冷冻盐水流量减少事件树1,继续运转,紧急关闭,反应失控,继续运转,紧急关闭,反应失控,反应失控,E未关闭反应器,由上可知，系统状态为“反应失控”的有、，它们的概率分别为：P3=P(B)P(D)P(E)=0.090.250.1=2.47510-2P6=P(B)P(C)P(D)P(E)=0.010.750.250.1=1.87510-4P7=P(B)P(C)=0.010.25=2.510-3由上得，发生“反应失控”事故的概率为P反应失控=P3+P6+P72.7410-2,答：以管道损坏作为初始事件除考虑控制器与水泵外还要考虑电源的成功与失败。,3.7故障树分析,3.7.1概论3.7.2故障树的编制3.7.3数学基础3.7.4故障树的定性分析3.7.5故障树的定量分析3.7.6重要度分析3.7.7故障树分析的一些技巧,重点：1、了解故障树符号及其意义；2、掌握故障树的编制；3、熟悉最小割集和最小径集的意义，掌握其在故障树分析中的应用；4、了解结构重要度、概率重要度和关键重要度的意义，并掌握其在故障树分析中的作用；5、掌握顶上事件发生概率的计算方法。难点：1、故障树的编制；2、最小割集和最小径集的求解；3、顶上事件发生概率的计算。,3.7.1概述,1.故障树分析的产生与发展2.故障树的概念,1.故障树分析的产生与发展,故障树分析首先由美国贝尔电话研究所于1961年为研究民兵式导弹发射控制系统时提出来。随后，该所的MEARNS等人改进了这种方法，对预测导弹发射偶然事故做出了贡献。后来，波音公司对FTA进行了重要改革，使之能够利用计算机模拟。1974年美国原子能委员会运用FTA对核电站事故进行了风险评价，发表了著名的拉姆逊报告。该报告对故障树分析作了大规模有效的应用。迅速在许多国家和许多企业应用和推广。我国开展故障树分析方法的研究是从1976年开始的。,随着概率论、图论、集合论及电子计算机技术的发展，FTA得以迅速发展和完善，并广泛应用于设计和生产实践这对安全管理的现代化起到了很大的推动作用。八、九十年代，美国、日本和欧洲主要发展中国家，在经济发展的情况下，事故率都有大幅度下降，这一成就的取得显然与系统可靠性设计和现代安全管理密切相关。,我国的FTA方法的研究与介绍是从可靠性研究开始的。1976年，清华大学核能技术研究所等可靠性工程研究机构根据国外文献报导，对FTA核反应堆安全评价方面的应用作了初步探索，接着又在电视机等系统上作了实际研究，取得了可喜的结果。1978年天津东方化工厂首先用FTA分析并控制生产中的事故，取得了成功的经验。1982年在北京市劳动保护研究所召开了第一次安全系统工程座谈会。这种方法开始在许多省市企业中介绍、试行、推广，充分显示了它的科学性与先进性。1985年，中国劳保科技学会管理专业委员会成立时，安全系统工程已经形成了一支不小的队伍，取得了不小的成果。地矿系统自1983年以来，在开办的安全技术短训班中都讲授了安全系统工程的课程。实践证明FTA完全适合于我国国民经济各部门各行业的安全管理，是具有广阔应用范围和发展前途的分析方法。,GJB768.1768.3-89故障树分析GJB768.1-1989,建造故障树的基本规则和方法GJB768.2-1989,故障树表述GJB768.3-1989,正规故障树定性分析GB4888故障树名词术语和符号,故障树分析的国家标准,2.故障树的基本概念,(1)故障树分析是对既定的生产系统或作业中可能出现的事故及可能导致的灾害后果，按工艺流程、先后次序和因果关系绘成程序方框图，表示导致灾害、伤害事故的各种因素间的逻辑关系。,故障树,泰坦尼克海难,海难后果,船体钢材不适应海水低温环境，