6事件树分析(ETA)

1、1 引引 言言 事件树分析事件树分析（Event Tree Analysis，ETA）法是一种）法是一种 逻辑的逻辑的演绎法演绎法，它在，它在给定一个初因事件给定一个初因事件的情况下，的情况下，分分 析此初因事件可能导致的各种事件序列的析此初因事件可能导致的各种事件序列的结果结果，从而从而 定性定性与与定量定量的评价了系统的特性，并帮助分析人员以的评价了系统的特性，并帮助分析人员以 获得正确的决策。获得正确的决策。 由于事件序列是以图形表示，并且呈由于事件序列是以图形表示，并且呈扇状扇状，故得名，故得名事事 件树件树。 一起事故的发生，是许多原因事件相继发生的结果，其一起事故的发生，是许多原因

2、事件相继发生的结果，其 中，一些事件的发生是以另一些事件首先发生为条件的，中，一些事件的发生是以另一些事件首先发生为条件的， 而一事件的出现，又会引起另一些事件的出现。而一事件的出现，又会引起另一些事件的出现。 在事件发生的顺序上，存在着因果的逻辑关系。在事件发生的顺序上，存在着因果的逻辑关系。 事件树分析法是一种时序逻辑的事故分析方法，它以事件树分析法是一种时序逻辑的事故分析方法，它以 初始事件为起点，按照事故的发展顺序，分成阶段，一步初始事件为起点，按照事故的发展顺序，分成阶段，一步 一步地进行分析，每一事件可能的后续事件只能取完全对一步地进行分析，每一事件可能的后续事件只能取完全对 立的

3、两种状态（成功或失败，正常或故障，安全或危险等）立的两种状态（成功或失败，正常或故障，安全或危险等） 之一的原则，逐步向结果方面发展，直到达到系统故障或之一的原则，逐步向结果方面发展，直到达到系统故障或 事故为止。事故为止。 事件树分析法既可以定性地了解整个事件的动态变化事件树分析法既可以定性地了解整个事件的动态变化 过程，又可以定量计算出各阶段的概率，最终了解事故发过程，又可以定量计算出各阶段的概率，最终了解事故发 展过程中各种状态的发生概率。展过程中各种状态的发生概率。 初因事件 系统 1 事件序列 系统 2 I 成功 S1 失败 F1 成功 S2 成功 S2 失败 F2 失败 F2 IS

4、1S2 IS1F2 IF1S2 IF1F2 图6.1-1 事件树分叉示意图 2事件树分析的目的 任何事故都是一个多环节事件发展变化过程的结果，通常将 事件树分析常称为事故过程分析。其实质利用逻辑思维的初 步规律和逻辑思维的形式，分析事故形成过程。 其目的有以下四大方面： 1）能够判断出事故发生与否，以便采取直观的安全方式； 2）能够指出消除事故的根本措施，改进系统的安全状况； 3）从宏观角度分析系统可能发生的事故，掌握系统中事故 发生的规律； 4）可以找出最严重的事故后果，为确定顶上事件提供依据。 3事件树分析过程事件树分析过程 事件树分析通常包括六步： 1）确定初始事件（可能引发感兴趣事故的

5、初始事件） 2）识别能消除初始事件的安全设计功能 3）编制事件树 4）描述导致事故序列情况 5）确定事故顺序的最小割集 6） 编制分析结果 3.1 初始事件的识别 初始事件的选定是事件树分析的重要一环，初始事件应当 是系统故障、设备故障、 人为失误或者工艺异常， 这主 要取决于安全系统或操作人员对初始事件的反应。 如果所选定的初始事件能直接导致一个具体事故，事件树 就能较好地确定事故的原因。 在事件树分析的绝大多数应用中，初始事件是预想的， 初始事件是事故在未发生时，其发展过程中的危害事件或 危险事件，如机器故障、设备损坏、能量外逸或失控、人 的误动作等。可以用两种方法确定初始事件： 根据系统

6、设计、系统危险性评价、系统运行经验或事 故经验等确定； 根据系统重大故障或事故树分析，从其中间事件或基本 事件中选择。 3.2初始事件的安全功能 系统中包含许多安全功能，在初始事件发生时起到消除或 减轻其影响以维持系统的安全运行。 对初始事件做出响应的安全功能，可被看成为防止初始事 件造成后果的预防措施。 常见的安全功能措施通常包括： （1）系统自动对初始事件的作出响应（包括自动停车系 统）； （2）当初始事件发生时，报警器向操作者发出警报； （3）操作工按设计要求或规定的操作规程对报警做出响 应； （4）启动冷却系统、压力释放系统，以减轻事故的严重 程度； （5）设计对初始事件的影响起限制作

7、用的围堤或封闭方 法（局限或屏蔽措施）。 3.3 编制事件树 事件树展开的是事件序列，由初始事件开始，再对控制系 统和安全系统如何响应进行处理，其结果是明确地确定出 由初始事件引起的事件。 从初始事件开始，按事件发展过程自左向右绘制事件树， 用树枝代表事件发展途径。 首先考察初始事件一旦发生时最先起作用的安全功能，把 可以发挥功能的状态画在上面的分枝，不能发挥功能的状 态画在下面的分枝。 然后依次考察各种安全功能的两种可能状态，把发挥功能 的状态（又称成功状态）画在上面的分枝，把不能发挥功 能的状态（又称失败状态）画在下面的分枝，直到到达系 统故障或事故为止。 编制事件树的第一步，是写出初始事

8、件和用于分析的安全 功能（措施），初始事件列在左边，安全功能（措施）写 在顶部（格内）。 图1表示出了常见事件树的第一步。 初始事件后面的下边一条线，代表初始事件发生后，虽然 采取安全功能（措施），事故仍继续发展的那一支（路）。 图1 编制事件树的第一步 下一步是评价安全功能（措施）。 通常，只考虑两种可能：安全措施成功还是失败。 假设初始事件已经发生，分析人员须确定所采用的安全措 施成功或失败的判定标准； 接着判断如果安全措施成功或失败了，对事故的发生有什 么影响。 如果对事故有影响，则事件树要分成两支，分别代表安全 措施成功和安全措施失败，一般把成功一支放在上面，失 败一支放在下面。 如果

9、该安全措施对事故的发生没有什么影响，则不需分叉 （分支），可进行下一项安全措施。 用字母标明成功的安全措施（如A,B,C,D），用字母上面 加一横代表失败的安全措施（如A,B,C,D）。 如设第一个安全措施对事故发生有影响，则在节点处分叉 （分支），表示于图2 图2 第一安全措施的展开 展开事件树的每一个分叉（节点）都会产生新的事故， 都必须对每一项安全功能（措施）依次进行评价。 当评价某一事故支（路）的安全功能（措施）时，必须假 定本支（路）前面的安全功能（措施）成功或失败已经发 生过了，如当评价第二项安全功能时。（图3 ）。 图3 事件树中第二安全措施的展开 例中，因为（上面第一支）第一项

10、安全功能（措施）是成 功的，所以上面那一支需要有分叉点（节点），而第二安 全功能（措施）仍可能对事故发生产生影响。 如果第一项安全功能（措施）失败了，则下面那一支（路） 中第二项安全功能（措施）就不会有机会（再去）影响事 故的发生了，故而下面那一支（路）可直接进入第三项安 全功能（措施）的处理（评价）。 图4 示出了我们所举例子的完整事件树。最上面那一支 （路），对第三项安全功能（措施）没有分叉点（节点）， 这是因为本系统的设计中，如果第一、第二两项安全功能 是成功的，就不需要第三项安全功能（措施）有分叉点 （节点），这是因为它对事故的出现没有影响。 图4 事件树编制 3.4 所得事故序列结果

11、的说明 事件树分析的下一步骤是对各事件序列结果进行解释（说 明）。 应说明由初始事件引起的一系列结果，其中某一序列或多 个序列有可能表示安全恢复到正常状态或有序地停车。 从安全角度看，其重要意义在于得到所关心的事故后果。 3.5 确定事故序列最小割集 可以使用故障树分析对事件树事故序列加以分析，以便确 定其最小割集。 每一事故序列都由一系列安全系统失败组成，并以“与门” 逻辑与初始事件相关。 这样，每一事故序列都可以被看作是由“事故序列（结 果）”作为顶上事件的故障树，并用“与门”将初始事件 和一系列安全系统失败（故障）与“事故序列（结果）” （顶上事件）相连接。 例如，图5 是一个故障树，它

12、是由图4 中的事件树中的某 这一事故序列转换而来的（即代表了图4 事件树的某事故 序列）。 通常，初始事件或安全系统的故障逻辑是很复杂的。 分析人员要建造各个系统故障的独立故障树，而且要使用 原事件树去确定（定义）各个能导致所关心后果的组成部 分，然后才能把它（事件树）转换成故障树。 分析人员可用标准定性方法（求解最小割集）来求解这些 事故序列故障树，以求得他们的最小割集。 图5 故障树图 3.6编制评价结果 事件树的最后一步是将分析研究的结果汇总，分析人员 应对初始事件、一系列的假想和事件树模式等进行详尽的 分析，并列出事故的最小割集。 可列出讨论的不同事故后果和从事件树分析得到的建议措 施

13、。 4 4 事件树的定性分析事件树的定性分析 事件树画好之后的工作，就是找出发生事故的途径和类 型以及预防事故的对策。 找出事故连锁 事件树的各分枝代表初始事件一旦发生其可能的发展 途径。其中，最终导致事故的途径即为事故连锁。 一般地，导致系统事故的途径有很多，即有许多事 故连锁。 事故连锁中包含的初始事件和安全功能故障的后续事 件之间具有“逻辑与”的关系，显然，事故连锁越多，系 统越危险；事故连锁中事件树越少，系统越危险。 找出预防事故的途径 事件树中最终达到安全的途径指导我们如何采取措施 预防事故。在达到安全的途径中，发挥安全功能的事件构 成事件树的成功连锁。如果能保证这些安全功能发挥作用

14、， 则可以防止事故。 一般地，事件树中包含的成功连锁可能有多个，即可 以通过若干途径来防止事故发生。显然，成功连锁越多， 系统越安全，成功连锁中事件树越少，系统越安全。 由于事件树反映了事件之间的时间顺序，所以应该尽 可能地从最先发挥功能的安全功能着手。 5 5 事件树的定量分析事件树的定量分析 事件树定量分析是指根据每一事件的发生概率，计 算各种途径的事故发生概率，比较各个途径概率值的大 小，作出事故发生可能性序列，确定最易发生事故的途 径。 一般地，当各事件之间相互统计独立时，其定量分析 比较简单。当事件之间相互统计不独立时（如共同原因 故障，顺序运行等），则定量分析变得非常复杂。这 里

15、仅讨论前一种情况。 （1）各发展途径的概率 各发展途径的概率等于自初始事件开始的各事件发生 概率的乘积。 （2）事故发生概率 事件树定量分析中，事故发生概率等于导致事故的各 发展途径的概率和。 定量分析要有事件概率数据作为计算的依据，而且事 件过程的状态又是多种多样的，一般都因缺少概率数据而 不能实现定量分析。 6 事故预防 事件树分析把事故的发生发展过程表述得清楚而有条 理，对设计事故预防方案，制定事故预防措施提供了有力 的依据。 从事件树上可以看出，最后的事故是一系列危害和危 险的发展结果，如果中断这种发展过程就可以避免事故发 生。 因此，在事故发展过程的各阶段，应采取各种可能措 施，控制

16、事件的可能性状态，减少危害状态出现概率，增 大安全状态出现概率，把事件发展过程引向安全的发展途 径。 采取在事件不同发展阶段阻截事件向危险状态转化的 措施，最好在事件发展前期过程实现，从而产生阻截多种 事故发生的效果。 但有时因为技术经济等原因无法控制，这时就要在事 件发展后期过程采取控制措施。显然，要在各条事件发展 途径上都采取措施才行。 若各元件的可靠度（若各元件的可靠度（R Ri i）已知，求取系统的可靠度（）已知，求取系统的可靠度（RsRs）和不可）和不可 靠度（靠度（FsFs），），R RA A=0.95(=0.95(F FA A=0.05)=0.05)， R RB B=0.9(=0

17、.9(F FB B=0.1),=0.1),R RC C=0.9(=0.9(F FC C=0.1)=0.1)，则可求出系统的可靠度，则可求出系统的可靠度R Rs s和不和不 可靠度可靠度Fs Fs 。 系统正常运行为（系统正常运行为（111111）状态，所以系统可靠度）状态，所以系统可靠度R Rs s为（为（111111） 状态时的概率，即是三事件的积事件概率：状态时的概率，即是三事件的积事件概率： P Ps s= =P PA APPB BPPC C=0.95=0.950.90.90.9=0.76950.9=0.7695 而系统失效概率而系统失效概率, ,即不可靠度为即不可靠度为: :F Fs

18、s=1-=1-R Rs s =1-0.7695=0.2305 =1-0.7695=0.2305 A B C l 例例2 2、如下图所示，系统为一个泵和二个阀门并联的简单系、如下图所示，系统为一个泵和二个阀门并联的简单系 统，试绘出其事件树图并求其成功及失败概率统，试绘出其事件树图并求其成功及失败概率( (A、B、C的可 靠度分别为0.950.95、0.90.9、0.9)0.9)。 启动信号启动信号 泵泵A A正常（正常（1 1） 泵泵A A失效（失效（0 0） 阀阀B B正常（正常（1 1） 阀阀B B失效（失效（0 0） 阀阀C C失效（失效（0 0） 系统正常（系统正常（101101） 爆

19、炸事故（爆炸事故（100100） 爆炸事故（爆炸事故（0 0） 系统正常（系统正常（1111） 阀阀C C正常（正常（1 1） 解： 系统正常运行为（系统正常运行为（1111）和（）和（101101）状态，所以系统可靠度）状态，所以系统可靠度R Rs s为：为： R Rs s=R=RA ARRB B+R+RA AFFB BR RC C=R=RA ARRB B+R+RA A（1-R1-RB B）R RC C =0.95=0.95* *0.9+0.950.9+0.95* *(1-0.9)(1-0.9)* *0.9 0.9 =0.855+0.0855=0.9405 而系统失效概率而系统失效概率, ,

20、即为即为(100)(100)和和(0)(0)状态，状态， 所以所以F Fs s =F =FA A+R+RA AFFB BF FC C =0.05+0.95=0.05+0.95* *0.10.1* *0.1=0.05950.1=0.0595 或者或者F Fs s =1-R =1-Rs s =1-0.9405=0.0595 =1-0.9405=0.0595 题目：题目：试绘制行人过马路事件树试绘制行人过马路事件树 。 提示：提示：确定起始事件确定起始事件行人过马路，行人过马路， 过马路的状态过马路的状态有没有车子，有车子的话是在车前过还有没有车子，有车子的话是在车前过还 是车后过，车前过的话有没有

21、充裕的时间逃避，司机有是车后过，车前过的话有没有充裕的时间逃避，司机有 没有采取措施没有采取措施 考虑每种状态造成的后果考虑每种状态造成的后果是顺利通过，还是涉险通过是顺利通过，还是涉险通过 还是发生车祸。还是发生车祸。 顺利通过顺利通过 行人过行人过 马路马路 没有车辆来往没有车辆来往 有车有车 车辆过后再过车辆过后再过 车前穿过车前穿过 留有充足时间留有充足时间 未留充未留充 足时间足时间 司机采取司机采取 急制动或急制动或 避让措施避让措施 措施有效措施有效 措施无效措施无效 司机未采取措施司机未采取措施 后后 果果 顺利通过顺利通过 顺利通过顺利通过 冒险通过冒险通过 车祸车祸 车祸车

22、祸 练习题： 1、原料输送系统示意图见图go，求ETAgo。 原料输送系统示意图 原料输送系统事件树 练习：某日，某企业工人甲上班，欲从仓库乘升降机到二 楼，因不懂开机，请教在场的生产组长乙，乙教甲开机， 仓管员丙随机上楼。升降机开至二楼时，操作开关失灵， 升降机无法停下继续上升过五楼。由于升降机无起升限位 开关，致使吊钩到极限位置不能停止，甲从升降机中跳出， 被坠落的升降机与栏杆剪切导致身亡，请以事件树进行分 析。 本事故的发展形成过程主要取决于以下几个状态的成败： （1）是否有起升限位开关； （2）是否有人违章强行运行带故障升降机； （3）生产组长是否出面制止； （4）仓管员是否出面制止；

23、 （5）操纵开关是否失灵； （6）升降机内的人员状态。 以上6种状态，都存在肯定与否定的回答，根据各状态的成功与失败 和时序，作出该事件树图。go 升降机乘人起重伤害事故事件树分析图 如图所示系统由一个水泵和三个阀门串并联而成，且已知A、 B、C、D的可靠度分别为qA0.95, qBqCqD0.9, 试绘制出该系统的事件树图； 求出成功和失败的概率； 叙述成功启动的过程。 l考研真题： l如图是某反应炉加套的冷却系统。当正常冷却水突然断水如图是某反应炉加套的冷却系统。当正常冷却水突然断水 （如管道损坏）而造成系统失水，这时失水信号检测器（如管道损坏）而造成系统失水，这时失水信号检测器D D探得

24、探得 失水信号，将启动备用水泵失水信号，将启动备用水泵P1P1和和P2.P2.如果两台备用泵均启动成如果两台备用泵均启动成 功，则系统成功，记为功，则系统成功，记为(S)(S)；若只有其中一台泵启动成功，则；若只有其中一台泵启动成功，则 系统是系统是50%50%的部分成功，记为（的部分成功，记为（P P）；两台泵均停则系统失败，）；两台泵均停则系统失败， 记为（记为（F F）。试建造事件树，若所有元件的成功概率都是）。试建造事件树，若所有元件的成功概率都是0.990.99， 试算出每个系统输出的概率。试算出每个系统输出的概率。 l考研真题： l某储罐装有可燃物质，火灾过程为：可燃物质泄露，火源

25、着某储罐装有可燃物质，火灾过程为：可燃物质泄露，火源着 火，报警灭火，人员脱离。设储罐附近存在火源的概率为火，报警灭火，人员脱离。设储罐附近存在火源的概率为 F(A)=0.1F(A)=0.1；可燃物遇火源着火的概率为；可燃物遇火源着火的概率为F(B)=0.6F(B)=0.6；报警器正；报警器正 确报警的概率为确报警的概率为R(C)=0.9R(C)=0.9；在报警器成功报警的情况下，灭；在报警器成功报警的情况下，灭 火成功的概率火成功的概率R(D1)=0.8R(D1)=0.8，灭火未成功使人员脱离的概率，灭火未成功使人员脱离的概率 R(E1)=0.5R(E1)=0.5；在报警器未成功报警的情况下

26、，成功灭火的概率；在报警器未成功报警的情况下，成功灭火的概率 为：为：R(D2)=0.5R(D2)=0.5，灭火未成功使人员成功脱离的概率为，灭火未成功使人员成功脱离的概率为 R(E2)=0.3R(E2)=0.3。规定灭火未成功且人员也未成功脱离的情况视为。规定灭火未成功且人员也未成功脱离的情况视为 系统失败；发生泄露但没有火源的情况视为安全，其他情况系统失败；发生泄露但没有火源的情况视为安全，其他情况 定性为事故。试求：定性为事故。试求： l（1）绘制事件树图；绘制事件树图； l（2 2）计算各种情况对应的概率。）计算各种情况对应的概率。 l考研真题（中国矿大2008）： 反应器冷冻盐水流量

27、减少事件树分析反应器冷冻盐水流量减少事件树分析 某反应器系统如图所示。该反应是放热的，某反应器系统如图所示。该反应是放热的， 为此在反应器的夹套内通入冷冻盐水以移为此在反应器的夹套内通入冷冻盐水以移 走反应热。如果冷冻盐水流量减少，会使走反应热。如果冷冻盐水流量减少，会使 反应器温度升高，反应速度加快，以致反反应器温度升高，反应速度加快，以致反 应失控。在反应器上安装有温度测量控制应失控。在反应器上安装有温度测量控制 系统，并与冷冻盐水入口阀门联结，根据系统，并与冷冻盐水入口阀门联结，根据 温度控制冷冻盐水流量。为安全起见，安温度控制冷冻盐水流量。为安全起见，安 装了温度报警仪，当温度超过规定

28、值时自装了温度报警仪，当温度超过规定值时自 动报警，以便操作者及时采取措施。动报警，以便操作者及时采取措施。 反应器的温度控制反应器的温度控制 BCDE 安全功能安全功能高温报警仪报高温报警仪报 警警 操作者发现超操作者发现超 温温 操作者恢复冷操作者恢复冷 却剂流量却剂流量 操作者紧急关操作者紧急关 闭反应器闭反应器 故障率故障率0.010.250.250.1 A冷冻盐水冷冻盐水 流量减少流量减少 B高温报高温报 警仪未报警警仪未报警 D操作者未恢操作者未恢 复冷却剂流量复冷却剂流量 C操作者未发操作者未发 现反应器超温现反应器超温 D未恢复未恢复 冷却剂流量冷却剂流量E未关闭反应器 未关闭反应器 B高温报高温报 警仪报警警仪报警 C操作者