第四章-概率安全分析(五次课、六次课、七次课)

核安全基础,核动力仿真研究中心,第四章概率安全分析,第四章概率安全分析,4.1核事故分类与国际核事件分级表4.2概率安全评价（PSA）4.3事件树分析法4.4故障树分析法4.5事故序列分析4.6核电厂安全性两种评价方法的比较,本章概述,Prof.RasmussenWASH-1400报告,概率安全评价基本思想,1选择一组始发事件；2始发事件发生后系统或人员响应；3确定事件的成功判据；4故障树与统计分析，确定各事件发生概率；5每个始发事件发生产生的风险及总风险；6各事件对风险的贡献，发现薄弱环节，提出改进意见。,始发事件：在设计时确定的能导致预计运行事件或事故工况的事件。,4.1核事故分类与国际核事件分级表,、事故分类方法,为了确保核电厂安全，规定对工况、的事故要作详细的安全分析计算，给出定量结果并评定是否满足规范和标准要求（表3-1）。核电厂事故分析涉及反应堆物理、热工、控制、结构、屏蔽及剂量防护等，范围很广。,、典型始发事故；8类，轻水压水堆核电站47种美国核管会1975年轻水堆核电厂安全分析报告标准格式及内容（1）、二回路系统排热增加（5种）（2）、二回路系统排热减少（8种）（3）、反应堆冷却剂系统流量减少（4种）（4）、反应性与功率分布异常（9种）（5）、反应堆冷却剂装量增加（3种）（6）、反应堆冷却剂装量减少（6种）（7）、系统或设备的放射性释放（5种）（8）、未能紧急停堆的预期瞬变ATWS（7种）,核电厂设计部门须针对这47种典型始发事故，对所设计的核电厂进行详细计算分析，并证明所设计的核电厂能满足有关的安全标准。,4.1核事故分类与国际核事件分级表,4.2核事故分类,我国的核电站事故分类（HAF102）,正常运行预计运行事件设计基准事故严重事故,核动力厂在规定的运行限值和条件范围内的运行。,在核动力厂运行寿期内预计至少发生一次的偏离正常运行的各种运行过程；由于设计中已采取相应措施，这类事件不至于引起安全重要物项的严重损坏，也不至于导致事故工况。,核动力厂按确定的设计准则在设计中采取了针对性措施的那些事故工况，并且该事故中燃料的损坏和放射性物质的释放保持在管理限值以内。,严重性超过设计基准事故并造成堆芯明显恶化的事故工况。,严重事故严重性超过设计基准事故，造成堆芯严重损坏和熔化甚至安全壳也遭到损坏，进而可能导致放射性物质大量释放到环境的一种事故，是一种超设计基准事故。后果非常严重：给环境、公众健康、经济和社会心理造成巨大影响。实践证明：单纯考虑设计基准事故，不考虑严重事故的防止和缓解，不足以保证工作人员、公众和环境的安全。,4.1核事故分类与国际核事件分级表,核电厂设计安全规定HAF102国家核安全局,核电厂运行状态,严重事故！,4.1核事故分类与国际核事件分级表,为了一规范化的统一用语向公众快速通报核电厂所发生事件的严重程度而采用的工具。判别准则厂内影响厂外影响纵深防御功能的削弱,4.1核事故分类与国际核事件分级表,切尔诺贝利,三哩岛,4.1核事故分类与国际核事件分级表,等级表的基本逻辑,4.1核事故分类与国际核事件分级表,4.2概率安全评价（PSA）,PSA是一种系统工程安全评价技术；可靠性评价技术、概率风险分析；早先，尝试法试验、差错、改进、再试验，不断使样机完善化（缓慢、昂贵、危险的）；新思路70年代，PSA技术成功应用于航空航天部门；70年代中期，PSA首次被用于轻水堆安全分析，获得巨大成功（WASH-1400报告）；三哩岛核事故的整个发展过程在WASH-1400中已有明确预测。,4.2概率安全评价（PSA）,人类生活在一个充满风险的社会中,地震,台风,疾病,晒太阳,汽车,火车,炸药,战争,睡觉,社会不安定,劳动,科学探索,4.2概率安全评价（PSA）,概率安全评价法的概念随机事件数学期望风险风险的概念,4.2概率安全评价（PSA）,例如1971年美国发生车祸约1.5107起，每发生一起车祸平均损失300美元，每300起事故引起1人死亡。,如果美国有2108人，则平均个人死亡风险为：,则因汽车事故造成的经济损失为：,则因汽车事故造成的死亡数为：,4.2概率安全评价（PSA）,核电厂风险评价的主要任务识别潜在事故，寻找薄弱环节；计算放射性物质分布，确定对周围公众与环境的影响；求出潜在核事故产生的总风险，并评估。,4.2概率安全评价（PSA）,PSA的三个等级,4.2概率安全评价（PSA）,基本内容找出导致堆芯损坏的事故序列分析安全系统的工作性能和可靠性事故序列概率定量计算基本方法采用事件树和故障树技术对运行系统和安全系统进行可靠性分析目的帮助分析设计中的弱点指出防止堆芯损坏的途径,4.2概率安全评价（PSA）,基本内容分析堆芯熔化物理过程和放射性物质在安全壳内的释放、迁移研究安全壳在严重事故工况下的响应，安全壳失效模式估计放射性向环境的释放目的对各种堆芯损坏事故序列造成放射性释放的严重性作出分析，找出设计上的弱点，对减缓事故后果的途径和事故处理提出具体意见。,三级PSA分析,基本内容核电厂厂外不同距离处放射性核素浓度随时间变化结合二级PSA分析结果按公众风险的概念确定放射性事故造成的厂外后果目的能够对后果减缓措施的相对重要性作出分析，也能对应急响应计划的制定提供支持。,基本方法放射性微粒扩散迁移,场外,核电厂概率安全分析程序,4.2概率安全评价（PSA）,电厂设计、厂址和运行的信息；一般性数据和电厂具体数据；关于PSA方法的文件报告。一级PSA分析需要有：最终安全分析报告、管路系统图、电气系统图和仪表系统图；关于所研究系统的说明性资料；试验、维修、运行以及审批规程。这些信息是需要的，以便向分析人员提供一套尽可能完整的电厂设计和运行的文件报告。二级PSA分析所需要的附加信息包括：关于反应堆冷却剂系统和安全壳更详细的设计资料。安全壳结构设计的信息应包括它的尺寸、质量和材料。三级PSA分析需要：厂址处具体的气象数据，以计算放射性核素在环境中的输运问题。,系统分析初始信息收集,4.2概率安全评价（PSA）,分析由始发事件与各系统成功或失效组合而形成的各种事故序列，包括：确定所要分析的各类始发事件，说明响应始发事件所涉及的系统或采取的行动；对每一始发事件或具有同一事件树结构的一类始发事件形成各自的事件树。,系统分析形成事件树,4.2概率安全评价（PSA）,对PSA中所涉及的电厂系统进行可靠性分析方法：可靠性框图法；故障树方法；马尔可夫分析法；GO法等；,以故障树为工具对系统故障进行评价的方法称为故障树分析法。(FaultTreeAnalysis,FTA）,系统分析系统建模,4.2概率安全评价（PSA）,根据对LER(执行申请者事件报告)的研究发现，在造成对环境有放射性释放的事件中，40以上是由于人员差错违章或规程缺乏所造成的。,系统分析人因可靠性和操作规程的分析,4.2概率安全评价（PSA）,PSA分析中通常不包括外部事件。外部事件包括有火灾、地震和水淹。这项任务利用电厂系统分析中建立起的模式，可以从外部事件的观点独立地对模式进行分析，或者是对模型加以修正，以明确反映外部事件的影响。为了描绘所分析的外部事件序列，要建立一些附加的事件树。,系统分析外部事件分析,4.2概率安全评价（PSA）,事故序列定量分析需要有部件的数据库。PSA中所使用的数据可以有两个来源：现有的通用数据电厂运行所累积的特有数据,系统分析形成数据库,4.2概率安全评价（PSA）,根据始发事件的发生频率和相应各电厂系统失效概率或人因可靠性，计算出事件树中各事故序列的发生频率。,系统分析事故序列定量分析,4.2概率安全评价（PSA）,堆芯熔化事故将会引起堆芯、压力容器、反应堆冷却剂系统和安全壳内许多物理过程。已经发展了一些计算机程序来分析这些物理过程。其计算结果可帮助人们透彻了解与事故序列有关的各物理现象和预计安全壳是否失效。对每个所讨论的事故序列建立安全壳事件树。,安全壳分析物理过程分析,4.2概率安全评价（PSA）,安全壳分析放射性核素释放和输运分析,对每一种可能造成安全壳破裂的堆芯熔化事故，必须估计释放到环境中去的放射性核素总量。利用计算模型分析事故期间从反应堆燃料释放出的放射性核素总量，并估计安全壳失效之前放射性核素在安全壳内的输运和沉积。该分析的结果是预计每个事故序列下安全壳失效时释放到环境中去的放射性核素总量。,4.2概率安全评价（PSA）,厂外后果评价放射性迁移和后果分析,由安全壳分析提供的从安全壳释放出的源项，利用厂址处具体的气象数据和局部地形信息，分析放射性核素在环境中的输运和弥散，计算核电厂周围居民接受到的放射性剂量和造成的健康效应。最后给出核电厂放射性释放造成的各种后果：早期死亡、晚期癌症死亡和财产损失。,4.2概率安全评价（PSA）,厂外后果评价不确定性分析,不管分析的范围如何，不确定性分析都是PSA中的一个必要的组成部分。在PSA分析的每一步都有不确定性问题，有些不确定性可能还很大。不管是定性还是定量分析，都要考虑数据库的不确定性、模型化时假设的不确定性以及分析的完整性。,4.2概率安全评价（PSA）,风险评价的基本步骤确定初因事件；事件树与故障树分析，确定发生概率；确定堆芯内和安全壳内放射性物质的沉积和迁移；确定向环境放射性物质的释放量；对公众与环境的影响评估。,4.2概率安全评价（PSA）,3导致燃料熔化,1一系列始发事故电厂瞬态运行,2时序响应构成事故序列,4一回开路破损，放射性释放,5安全壳破损，放射性释放到环境,6对环境与公众的影响,（3）计算安全壳内的放射性物质迁移；,（4）向环境的释放量计算；,4.2概率安全评价（PSA）,pApC1,pApE1,管道破裂（A）,PARR裂变产物去除系统（D）,CI安全壳完整性（E）,ECI应急堆芯冷却系统（C）,EP电源（B）,事故序列发生概率pi=0.11-pi1,初因事件,pA,失效pB,1-pB成功,1pC1,pC1,1pD1,pD1,pE1,1pE1,1pD3,1pE7,1pE3,pE2,pE3,pE4,1pE2,1pE4,1pE5,1pE6,1pE8,1pC2,pC2,1pD2,pD2,pD3,1pD4,pD4,pE5,pE6,pE7,pE5,pA,pApD1pE2,pApC1pE3,pApC2pD2,pApC1pD2pE4,pApD1,pApB,pApBpE5,pApBpD3,pApBpD3pE6,pApBpC2,pApBpC2pE7,pApBpC2pD4,4.2概率安全评价（PSA）,初因事件,pA,失效pB,1-pB成功,1pC1,pC1,1pD1,pD1,pE1,1pE1,1pD2,pD2,1pE2,1pE3,1pE4,pE2,pE3,pE4,pA,pApE1,pApD1pE2,pApC1,pApC1pE3,pApC2pD2,pApD1,pApB,管道破裂（A）,PARR裂变产物去除系统（D）,CI安全壳完整性（E）,ECI应急堆芯冷却系统（C）,EP电源（B）,事故序列发生概率pi=0.11-pi1,4.2概率安全评价（PSA）,事件序列风险,总风险,4.2概率安全评价（PSA）,始发事件的确定与分组,始发事件是造成核电厂扰动并且有可能导致堆芯损坏的事件，它究竟能否造成堆芯损坏，依赖于核电厂各个缓解事故的系统是否能成功地运行。始发事件是建造事件树的起始点。要求始发事件的确定应力求完善，需要有一份尽可能完备的始发事件清单。形成一个绝对完整的始发事件清单是非常困难的，只希望没有被识别的始发事件对总风险的贡献应是极小的。始发事件的确定方法：工程评价法和演绎分析法,4.2概率安全评价（PSA）,始发事件的分类,内部始发事件包括：核电厂硬件失效由人误或计算机软件缺陷造成核电厂硬件的错误运行。,外部危害（外部事件）是指若干个系统造成共同的极端环境条件的事件：地震洪水飓风飞机坠落等。内部危害包括内部水淹、火灾飞射物撞击。,4.2概率安全评价（PSA）,始发事件的确定方法,实施PSA的第一步就是要产生一个需分析的始发事件（IE）清单，并对这些始发事件进行分组以便减轻事故序列模型化和定量化的工作量。,工程评价法就是根据核电厂的运行历史和设计数据，并参照其他核电厂概率安全评价的经验，经过工程判断编制出始发事件的清单。,演绎分析法是通过构造顶事件-底事件逻辑框图，逻辑图最低一层事件就是核电厂的始发事件。,4.2概率安全评价（PSA）,演绎分析法,4.2概率安全评价（PSA）,轻水堆始发事件分类,一个核电厂的始发事件数量庞大，即便是对几十个始发事件建立事件树也是不现实的。按安全功能或者系统响应进行分组。同一组内的所有始发事件基本上具有相同的前沿系统成功准则，并且具有相同的特殊条件（对操纵员要求，核电厂自动响应），因而能够利用相同的事件树故障树分析进行模型化。冷却剂丧失事故（LOCA）和瞬态两大类,4.2概率安全评价（PSA）,安全功能、前沿系统和支持系统,对每一个始发事件，必须确定为防止堆芯损坏所需要执行的安全功能。轻水堆内防止堆芯损坏的安全功能有：,4.2概率安全评价（PSA）,安全功能、前沿系统和支持系统,前沿系统：直接执行安全功能的系统。支持系统：为保证前沿系统正确执行功能所需的系统。,4.2概率安全评价（PSA）,PSA研究结果,核事故风险的大小:潜在核事故的后果远小于人们的想象核事故的发生概率远小于非核事故,伤亡概率为非核事故的一万倍！,4.2概率安全评价（PSA）,PSA研究结果,小破口失水事故2.610-545.5,4.2概率安全评价（PSA）,PSA研究结果,小破口失水事故5.710-566.54,4.2概率安全评价（PSA）,PSA研究结果,概率分析研究结论:核电站的主要风险来自导致燃料熔化的事故，真正导致放射性释放的潜在事故并不多；小破口失水事故及瞬态事故最易造成燃料熔化；人为失误造成核事故的概率较高并往往加剧事故的严重性。,4.3事件树分析法,事件树分析法,事件树的概念及构造事件序列定量化事件树模型化,事件树的概念及构造,事件树题头：事件树最上层是按顺序列出可能影响事故进程的一系列事件。在树的分支点处，上分支表示系统成功，下分支表示系统失效。事件树分析采用“两态模型”：不是成功就是失效，结果偏于保守。事故序列：在事件树表示的每一条途径代表着一种事故状态。它从特定的始发事件开始，导致一种电厂损坏状态。,4.3事件树分析法,事件序列定量化,它表示始发事件I发生后，系统A和C成功，而系统B和D失效的一个事故序列。该事故序列的频率可以用下式表示:,始发事件I发生、系统A成功、系统B失效下系统C成功的份额,事件序列频率,始发事件I的频率,始发事件I发生下系统A成功的份额,始发事件I发生、系统A成功下系统B失效的份额,始发事件I发生、系统A成功、系统B失效和系统C成功下系统D失效的份额,每一事故序列频率为始发事件频率乘以分支点上的分支概率。,故障树方法,4.3事件树分析法,事件树模型化方法,大事件树-小故障树法（显示法）带支持系统状态的小故障树法，或者带有边界条件的事件树方法。所有支持系统的状态将明显地出现在事件树题头中，亦可考虑基本事件、人员操作。优点：在事件树中反映了现有的相关性，与事件树相关联的故障树规模不大；每个事故序列的发生频率计算比较简单，为响应各个分支概率的乘积。缺点：只有丰富经验的专家经过精心处理才可能在事件树建立起正确的相关性；事件树复杂程度迅速加大；故障树的规模虽然变小，但故障树的数目可能增加。,4.3事件树分析法,事件树模型化方法,小事件树-大故障树法WASH-1400中使用的方法，美国NRC推荐使用方法。事件树不包括支持系统，因此事件树比较简洁。对于支持系统，在前沿系统分析时应考虑，因而对前沿系统形成一颗大故障树。,4.3事件树分析法,小事件树-大故障树法,题头的选择：按照对始发事件响应的时间顺序来排列。（保护系统、高压安注、高压再循环等）。考虑系统功能上和硬件上的相互关系。如余热排出系统可能需要安全壳喷淋系统的成功运行，所以，余热排出系统的题头应在安全壳喷淋系统之后。,功能事件树,系统事件树,安全功能为题头的事件树。不是最终的产品，是一个中间步骤,将前沿系统的状态作为题头,4.3事件树分析法,大破口事件树例,事故进程,4.3事件树分析法,大破口事件树,反应性控制，紧急停堆；安全壳喷淋系统动作，以降低安全壳压力(COI)；一回路冷却剂装量的维持和堆芯余热的导出，向堆芯注入应急冷却水(ECI)安全壳内热量排出，安全壳再循环冷却（COR）；堆芯再循环冷却(ECR)，进入堆芯再循环冷却阶段。,安全功能分析,WASH-1400报告中大LOCA功能事件树,大破口事件树,大破口事件树,系统间相互关系的分析,系统事件树,安注箱注入失效，认为堆芯已经熔化；安全壳喷淋系统出现故障，则不考虑安全注射系统再循环运行：此时地坑水得不到冷却；如果低压安全注射在直接阶段失效，再循环运行已不起作用，堆芯已经熔化。,故障树分析(FTA)技术是美国贝尔电报公司的电话实验室于1962年开发的，它采用逻辑的方法，形象地进行危险的分析工作，特点是直观、明了，思路清晰，逻辑性强，可以做定性分析，也可以做定量分析。体现了以系统工程方法研究安全问题的系统性、准确性和预测性。,4.4故障树分析法,泰坦尼克海难,海难后果,船体钢材不适应海水低温环境，造成船体裂纹,观察员、驾驶员失误，造成船体与冰山相撞,船上的救生设备不足，使大多数落水者被冻死,距其仅20海里的California号无线电通讯设备处于关闭状态，无法收到求救信号，不能及时救援,顶事件,逻辑门,中间事件,4.4故障树分析法,故障树分析WHY？Pi确定,事件树重要要素：系统的成功或失效？系统可能没有建成（崭新的系统），无可供使用的数据不希望为获得数据而产生不希望的后果（破坏性试验）；冗余技术的使用使系统可靠性很高，整个系统失效是件稀有事件，无法根据经验直接确定系统可靠性，而部件的失效数据可能是容易解决的。需要采用有效的系统模型方法，以便根据部件失效数据来预测系统的可靠性。,故障树分析,故障树分析的概念把系统最不希望发生的状态作为系统故障的分析目标，然后寻找直接导致这一状态发生的全部因素，跟踪追击找出造成下一级事件发生的全部直接因素，直到毋需再深究其发生的因素为止。通过分析找出出现不希望状态的所有可信途径。这个最不希望发生的事件顶事件；毋需再深究的事件底事件；介于顶事件与底事件之间的一切事件中间事件。,用适当的逻辑门把顶事件、中间事件和底事件连接成树形图，这种树形图就称为“故障树”（FaultTree,FT）。以故障树为工具对系统故障进行评价的方法称为故障树分析法（FTA）。,4.4故障树分析法,故障树分析步骤,是故障树分析最为关键的一步，是定量分析的基础。,4.4故障树分析法,故障树分析常用符号,4.4故障树分析法,故障树的建造规则,明确建树的边界条件并形成简化系统图严格定义顶事件FMEA分析（失效模式与影响分析）找出部件失效模式和造成的影响试验、维修和人因相关性故障树的层次结构事件的命名和描述,部件失效模式可分为3类：需求失效；贮备失效；运行失效,采用一种标准化格式来对故障树中基本事件进行编码命名是极为重要的，必须与所选用的计算机程序匹配，应清楚地说明：部件失效模式、部件标识和类型、部件所处的系统、部件的电厂编码,在用故障树分析法计算事件树中支点的分支概率时，通常由系统在事件树中的成功准则来规定顶事件。有时一个系统在不同的事故始发事件下必须采用不同的成功准则,一颗故障树能建得过大。为了减小树的规模和突出重点，应在FMEA分析的基础上，舍去那些不重要的部件，从系统图的主要逻辑关系形成一个等效的简化系统图，然后从简化系统图出发进行建树。,4.4故障树分析法,故障树建造例一,反应堆压力保护系统图，试画出该系统的故障树,该系统是一个由三个输入通道组成的3取2系统，其正常的功能是当3个输入通道中有2个通道的压力信号超出容许的范围时，则输出通道有信号输出，反应堆就停闭。反之，该系统故障。因此把反应堆压力保护系统故障选为顶事件。,4.4故障树分析法,反应堆压力保护系统建树过程,超压停堆失效,（待发展事件x1，x2，x3）,Top,x4,x5,x1,x2,x1,x3,x2,x3,H1,H2,H3,H4,H5,H6,反应堆压力保护系统故障树,故障树建造例二,简化的应急堆芯冷却系统如下图示。该系统投入由安注信号触发，安注信号将向安注泵及有关阀门发出,4.4故障树分析法,失去工程安全电源的故障树,失去工程安全电源的事故,4.4故障树分析法,故障树的定性分析,目的：寻找导致顶事件发生的基本事件或基本事件的组合，识别导致顶事件发生的所有失效模式，进而决定系统或单元的薄弱环节，以便在设计中采取措施，实现设计最优化。定性分析工作包括以下三个方面的内容：首先对建立起来的故障树进行规范化处理，将非规范化的逻辑门或事件等效变换为规范化的逻辑门或事件，使建造出来的故障树仅含基本事件、结果事件以及与、或、非三种逻辑门的故障树；然后对故障树进行简化和模块化处理，以减小故障树规模，节省处理工作量；最后采用故障树算法（上行法或下行法）对故障树处理，并按布尔代数规则进行化简吸收求得全部最小割集。,4.4故障树分析法,故障树的结构函数,故障树中每个事件所处的状态只有成功或失效两种状态，布尔变量，故障树中的逻辑关系表示成布尔表示式。故障树系根据全部底事件由逻辑关系连接而成，通过运用布尔函数的运算法则求出故障树的数学表达式,底事件可定义：,事件可定义为：,为故障树的结构函数，反映了系统和单元之间的功能关系。若能求得系统的结构函数，则系统和单元之间的好坏关系也就完全清楚了。,4.4故障树分析法,或门,该系统结构函数为：,一个系统，如果至少一个部件故障即可导致整个系统故障，或者说全体部件都正常，系统才正常，这样的系统就叫做串联系统。,4.4故障树分析法,与门,该系统结构函数为：,n个部件构成的系统，若至少一个部件正常，系统即正常，或者必须n个部件都故障系统才故障，这样的系统就叫做n部件并联系统。,4.4故障树分析法,反应堆压力保护系统的故障树如图，求其结构函数。,4.4故障树分析法,解：该故障树由“与门”和“或门”混合组成的，其结构函数为：,=H4H5H6+H3,=(x1+x2)(x1+x3)(x2+x3)+x4x5,写出如图所示故障树的结构函数,4.4故障树分析法,割集是故障树底事件集合的一个子集合，如果该子集的所有这些底事件发生，则顶事件必定发生。割集是导致顶事件发生的底事件的集合。最小割集是割集集合的一个子集，是底事件数量不能再减少的割集。最小割集就是引起顶事件发生的底事件的最低限度的集合。最小割集的阶数：最小割集中所含底事件数目。一个最小割集代表系统发生故障的一种模式，而全部最小割集的集合就代表系统的全部故障模式。,割集与最小割集,4.4故障树分析法,求最小割集的方法：上行法：从底事件开始，由下向上逐步将顶事件展为底事件的积之和的形式，经过吸收得到全部最小割集。下行法（Fussell法）：从顶事件开始，由上而下逐步将顶事件展为底事件的积之和的形式，经过吸收得到全部最小割集。逐步代入法。,4.4故障树分析法,4.4故障树分析法,该法的特点是从故障树最下面一级的复合事件开始。如果复合事件与底事件间是用逻辑“与门”联结的，则为“交”运算；如果是用逻辑“或门”联结的，则为“并”运算。按类似的方法逐步往上进行，直至顶事件展成底事件的积之和形式为止，故该法又称上行法。,上行法（Semanderes算法）,4.4故障树分析法,用上行法求图示的最小割集,利用等幂律：,4.4故障树分析法,于是得到五个割集为：,利用吸收律进行处理，可得最小割集：,Fussell方法是从顶事件开始的，由上往下逐级展开，顺序地把上级事件置换成下一级事件。在逐级展开过程中，遇到“与门”时，可将其下面紧接着的所有输入事件都排在同一行中，增加每一项中的元素；遇到“或门”时，可把它下面的每个输入都单独排一行，在同一列中，增加的是项。这样直到底事件为止。,下行法（Fussell算法）,4.4故障树分析法,用下行法（Fussell算法）求最小割集,OR,展开项,每项的元素集,输入置换输出,运算方法,吸收x1x2x1x3x2x3x4x5,用布尔表达式逐步代入法求该图的最小割集,H1=H2+H3H2=H4H5H6，H3=x4x5H4=x1+x2，H5=x1+x3，H6=x2+x3T=(x1+x2)(x1+x3)(x2+x3)+x4x5=(x1x1+x1x3+x1x2+x2x3)(x2+x3)+x4x5=(x1+x2x3)(x2+x3)+x4x5=(x1x2+x1x3+x2x2x3+x2x2x3)+x4x5=x1x2+x1x3+x2x3+x4x5,4.4故障树分析法,逐步代入法,F1,F2,F1,F2,H,B,B,F,O,A1=A+B+B1=A+B+C1C2,=A+B+(C+B+D1)(D+B+D1),=A+B+CD+CB+B+E+E1,=A+B+CD+E+F1+F2,=A+B+CD+CB+D1,=A+B+CD+E+F+B+O+B+H,=A+B+CD+E+F+O+H,组合爆炸问题,逐步代入法是常用的方法，它是下行法和上行法的综合。必须注意，当故障树中部件数量较大时，其运算量是很大的。一个由n个底事件组成的系统，底事件组合的种类为2n-1种可能性。上行法或下行法求得全部布尔显示割集比2n-1少得多，但绝对数目还是很大，用大型计算机求解仍然存在计算容量和速度的问题。为此，人们提出了各种各样的算法和技术来缓解这种困难，模块化技术、早期不交化技术等。,4.4故障树分析法,模块化技术,首先找出一些最大可能的独立部分用一个准底事件或超级事件代替称为故障树的模块或独立子树。原故障树中有关部分就用这些独立子树代替，新形成的故障树在规模上要比原来的故障树小得多。对新形成的故障树进行分析求出最小割集表达式（包含一些独立子树代表的超级事件）。将独立子树的最小割集代入，经过布尔运算化简即可得到原故障树的全部最小割集。实践表明，采用模块化技术可以大大减少分析工作量。,4.4故障树分析法,故障树的定量分析,故障树定量分析的目的：根据最小割集计算故障树顶事件的发生概率及其不确定性和底事件或割集的重要度。故障树定量分析的基本内容归结如下：底事件概率的定量分析。由收集到的部件失效数据，经过统计