12第六章-系统安全分析方法-事故树分析(段振伟)

事故树分析2023/1/311事故树分析2一、事故树的发展

事故树分析(FaultTreeAnalysis,简称FTA)是安全系统工程中常用的一种分析方法。#1961年,美国贝尔电话研究所的维森

(H.A.Watson)首创了FTA并应用于研究民兵式导弹发射控制系统的安全性评价中,用它来预测导弹发射的随机故障概率。接着,美国波音飞机公司的哈斯尔

(Hassle)等人对这个方法又作了重大改进,并采用电子计算机进行辅助分析和计算。

1974年,美国原子能委员会应用FTA对商用核电站进行了风险评价,发表了拉斯姆逊报告

(RasmussenReport),该报告对事故树分析作了大规模有效的应用，引起世界各国的关注。

##事故树分析至今仍处在发展和完善中。目前,事故树分析在自动编制、多状态系统FTA、相依事件的

FTA、FTA的组合爆炸、数据库的建立及

FTA技术的实际应用等方面尚待进一步分析研究,以求新的发展和突破。###

第一节事故树分析方法概述3二、FTA的基本概念与原理

事故树分析

(FTA)是一种演绎推理法，即从结果分析原因的分析方法。这种方法是从一个可能的事故开始一层一层的逐步寻找引起事故的触发事件、直接原因与间接原因。并分析这些事故原因之间的相互逻辑关系，用一种称为事故树的树形图表示这些原因以及它们的逻辑关系。最后通过对事故树的定性与定量分析,找出事故发生的主要原因，为确定安全对策提供可靠依据，以达到预测与预防事故发生的目的。事故树分析4三、FTA的特点(1)事故树分析是一种图形演绎方法,在清晰的事故树图形下,表达系统内各事件间的内在联系,并指出单元故障与系统事故之间的逻辑关系,便于找出系统的薄弱环节。(2)FTA具有很大的灵活性,不仅可以分析某些单元故障对系统的影响,还可以对导致系统事故的特殊原因如人为因素、环境影响进行分析。(3)进行FTA的过程,是一个对系统更深入认识的过程,它要求分析人员把握系统内各要素间的内在联系,弄清各种潜在因素对事故发生影响的途径和程度,因而许多问题在分析的过程中就被发现和解决了,从而提高了系统的安全性(4)利用事故树模型可以定量计算复杂系统发生事故的概率,为改善和评价系统安全性提供了定量依据。

事故树分析5四、FTA的不足之处

事故树分析还存在许多不足之处,主要是:1、FTA需要花费大量的人力、物力和时间；2、FTA的难度较大,建树过程复杂,需要经验丰富的技术人员参加,即使这样,也难免发生遗漏和错误；#3、FTA只考虑

(0,1)状态的事件,而大部分系统存在局部正常、局部故障的状态,因而建立数学模型时,会产生较大误差；4、FTA虽然可以考虑人的因素,但人的失误很难量化。

事故树分析6事故树分析一、事故树分析的程序熟悉系统确定顶上事件建造事故树修改简化事故树制定安全措施调查事故调查原因事件收集系统资料定性分析定量分析7事故树分析一、事故树分析的程序—说明

准备阶段(1)确定所要分析的系统。在分析过程中,合理地处理好所要分析系统与外界环境及其边界条件,确定所要分析系统的范围,明确影响系统安全的主要因素。(2)熟悉系统。这是事故树分析的基础和依据。对于已经确定的系统进行深入的调查研究,收集系统的有关资料与数据,包括系统的结构、性能、工艺流程、运行条件、事故类型、维修情况、环境因素等。(3)调查系统发生的事故。收集、调查所分析系统曾经发生过的事故和将来有可能发生的事故,同时还要收集、调查本单位与外单位、国内与国外同类系统曾发生的所有事故。

8事故树分析一、事故树分析的程序—说明

事故树的编制(1)确定事故树的顶事件。确定顶事件是指确定所要分析的对象事件。根据事故调查报告分析其损失大小和事故频率,选择易于发生且后果严重的事故作为事故的顶事件。(2)调查与顶事件有关的所有原因事件。从人、机、环境和信息等方面调查与事故树顶事件有关的所有事故原因,确定事故原因并进行影响分析。

(3)编制事故树。采用一些规定的符号,按照一定的逻辑关系,把事故树顶事件与引起顶事件的原因事件,绘制成反映因果关系的树形图。

9事故树分析一、事故树分析的程序—说明

事故树定性分析

事故树定性分析主要是按事故树结构,求取事故树的最小割集或最小径集,以及基本事件的结构重要度,根据定性分析的结果,确定预防事故的安全保障措施。

事故树定量分析

事故树定量分析主要是根据引起事故发生的各基本事件的发生概率,计算事故树顶事件发生的概率；计算各基本事件的概率重要度和关键重要度。根据定量分析的结果以及事故发生以后可能造成的危害,对系统进行风险分析,以确定安全投资方向。

事故树分析的结果总结与应用

必须及时对事故树分析的结果进行评价、总结,提出改进建议,整理、储存事故树定性和定量分析的全部资料与数据,并注重综合利用各种安全分析的资料,为系统安全性评价与安全性设计提供依据。

10事故树分析二、事故树基本符号事故树是由各种符号和其连接的逻辑门组成的。最简单、最基本的符号有：

事件符号逻辑门符号转移符号下面分别进行介绍。11事故树分析事件符号

(1)矩形符号。用它表示顶上事件或中间事件。将事件扼要记入矩形框内。必须注意，顶上事件一定要清楚明了，不要太笼统。例如“交通事故”，“爆炸着火事故”，对此人们无法下手分析，而应当选择具体事故。如“机动车追尾”、“机动车与自行车相撞”，“建筑工人从脚手架上坠落死亡”、“道口火车与汽车相撞”等具体事故。(2)圆形符号。它表示基本(原因)事件，可以是人的差错，也可以是设备、机械故障、环境因素等。它表示最基本的事件，不能再继续往下分析了。例如，影响司机了望条件的“曲线地段”、“照明不好”，司机本身问题影响行车安全的“酒后开车”、“疲劳驾驶”等原因，将事故原因扼要记入圆形符号内。12事故树分析(3)屋形符号。它表示正常事件，是系统在正常状态下发生的正常事件。如：“机车或车辆经过道岔”、“因走动取下安全带”等，将事件扼要记入屋形符号内。(4)菱形符号。它表示省略事件，即表示事前不能分析，或者没有再分析下去的必要的事件。例如，“司机间断了望”、“天气不好”、“臆测行车”、“操作不当”等，将事件扼要记入菱形符号内。13事故树分析顶事件。中间事件。结果事件底事件

(1)基本原因事件。

(2)省略事件。特殊事件

(1)开关事件。

(2)条件事件。结果事件是由其他事件或事件组合所导致的事件、它总是位于某个逻辑门的输出端。底事件是导致其他事件的原因事件，位于事故树的底部，它总是某个逻辑门的输入事件而不是输出事件。底事件是导致其他事件的原因事件，位于事故树的底部，它总是某个逻辑门的输入事件而不是输出事件。14事故树分析三.逻辑门符号即连接各个事件，并表示逻辑关系的符号。其中主要有：与门、或门、条件与门、条件或门、以及限制门。(1)与门符号。与门连接表示输入事件B1、B2同时发生的情况下，输出事件A才会发生的连接关系。二者缺一不可，表现为逻辑积的关系，即A=B1∩B2。在有若干输入事件时，也是如此，如图所示。15逻辑门符号举例灯亮K1闭合K2闭合灯不亮K1断开K2断开164。逻辑门符号举例油库爆炸火源油气聚集达到爆炸极限1.4%—7.6%空气(氧气)17事故树分析(2)或门符号。表示输入事件B1或B2中，任何一个事件发生都可以使事件A发生，表现为逻辑或的关系即A=B1∪B2。在有若干输入事件时，情况也是如此。如图4-14(a)所示。或门用相对的逻辑电路来说明更好理解。见图4-14(b)。当B1、B2断开(B1=0，B2=0)时，电灯才不会亮(没有信号)，用布尔代数表示为X=B1+B2=0。当B1、B2中有一个接通或两个都接通(即B1=1，B2=0或B1=0，B2=1或B1=1，B2=1)时，电灯亮(出现信号)，用布尔代数表示为X=B1+B2=1。18事故树分析19逻辑门符号举例灯亮K1闭合K2闭合灯不亮K1断开K2断开204。逻辑门符号举例氧气瓶超压爆炸与火源接近接近热源在阳光下曝晒应力超过钢瓶强度极限21

与门可以连接数个输入事件

E1、E2,…,En和一个输出事件

E,表示仅当所有输入事件都发生时,输出事件

E才发生的逻辑关系。

与门或门非门

非门表示输出事件是输入事件的对立事件。

或门可以连接数个输入事件

E1,E2,…,En和一个输出事件

E,表示至少一个输入事件发生时,输出事件

E就发生。

22事故树分析(3)条件与门符号。表示只有当B1、B2同时发生，且满足条件α的情况下，A才会发生，相当于三个输入事件的与门。即A=B1∩B2∩α，将条件α记入六边形内，如图4-15所示。23事故树分析(4)条件或门符号。表示B1或B2任何一个事件发生，且满足条件β，输出事件A才会发生，将条件β记入六边形内，如图4-16所示。24事故树分析(5)限制门符号。它是逻辑上的一种修正符号，即输入事件发生且满足条件γ时，才产生输出事件。相反，如果不满足，则不发生输出事件，条件γ写在椭圆形符号内，如图4-17所示。25事故树分析条件与门条件或门表示输入事件不仅同时发生,而且还必须满足条件A,才会有输出事件发生

表示输入事件中至少有一个发生,在满足条件

A的情况下,输出事件才发生。

特殊门26事故树分析表决门异或门限制门符号表示仅当单个输入事件发生时,输出事件才发生

表示仅当输入事件有

m(m≤n)个或

m个以上事件同时发生时,输出事件才发生。

表示仅当条件事件发生时,输入事件的发生方导致输出事件的发生。

27事故树分析3、转移门转入转出转移符号的作用是表示部分事故树图的转人和转出。当事故树规模很大或整个事故树中多处包含有相同的部分树图时,为了简化整个树图,便可用转入

28上海外滩海关大钟，这座高达79米的大钟楼，为亚洲第一，世界第三，仅次于英国伦敦钟楼和俄罗斯莫斯科钟楼。29上海外滩海关大钟，这座高达79米的大钟楼，为亚洲第一，世界第三，仅次于英国伦敦钟楼和俄罗斯莫斯科钟楼。四周搭起了维修的施工脚手架，即将全面大修。30第二节事故树的编制编制举例从脚手架坠落死亡事故树31第二节事故树的编制事故树编制是FTA最基本、最关键的环节。编制工作一般应由系统设计入员、操作人员和可靠性分析入员组成的编制小组来完成．经过反复研究，不断深入，才能趋于完善。通过编制过程能使小组人员深入了解系统，发现系统中的薄弱环节，这是编制事故树的首要目的：事故树的编制是否完善直接影响到定性分析与定量分析的结果是否正确．关系到运用FTA的成败，所以及时进行编制实践中有效的经验总结是非常重要的。编制方法一般分为两类，一类是人工编制，另一类是计算机辅助编制。32第二节事故树的编制一、人工编制事故树人工编制事故树的常用方法为演绎法，它是通过人的思考去分析顶事件是怎样发生的。演绎法编制时首先确定系统的顶事件，找出直接导致顶事件发生的各种可能因素或因素的组合即中间事件。在顶事件与其紧连的中间事件之间，根据其逻辑关系相应地画上逻辑门。然后再对每个中间事件进行类似的分析，找出其直接原因，逐级向下演绎，直到不能分析的基本事件为止。这样就可得到用基本事件符号表示的事故树。正确性检查：事故树编出后，要进行全面检查。其正确与否的判别原则是：上一层事件是下一层事件的必然结果；下一层事件是上一层事件的充分条件。33第二节事故树的编制二、计算机辅助编制由于系统的复杂性使系统所含部件愈来愈多，使人工编制事故树费时费力的问题日益突出，必须采用相应的程序，由计算机辅助进行。#计算机辅助编制是借助计算机程序在已有系统部件模式分析的基础上，对系统的事故过程进行编辑，从而达到在一定范围内迅速准确地自动编制事故树的目的。目前计算机编制的应用还有一定因难，主要是目前还汉有规范化、系统化的算法。34第三节事故树的定性分析一、结构函数1.定义（基本事件的状态变量）=

（事故树顶事件的状态变量）＝因为完全取决于，所以是的函数，即：其中，，称为事故树的结构函数。1基本事件Xi发生0基本事件Xi不发生（i=1，2，…，n）1顶事件发生0顶事件不发生（i=1，2，…，n）2023/1/3135二、最小割集1.割集和最小割集在事故树中，我们把引起顶事件发生的基本事件的集合称为割集，也称截集或截止集。在这些割集中，凡不包含其他割集的，叫做最小割集。最小割集是引起顶事件发生的充分必要条件。2.求最小割集的方法求最小割集的方法有布尔代数法、行列法、矩阵法等。1）布尔代数法用布尔代数法计算最小割集，分三个步骤进行。第一，建立事故树的布尔代数式。一般从事故树的顶事件开始，用下一层事件代替上一层事件，直至顶事件被所有基本事件代替为止。第二，将布尔表达式化为析取标准式。第三，化析取标准式为最简析取标准式。2023/1/3136AB用一条封闭曲线直观地表示集合及其关系的图形称为文氏图（也称韦恩图）.

A∩BA·BA∪BA+B准备知识:2023/1/3137AB用一条封闭曲线直观地表示集合及其关系的图形称为文氏图（也称韦恩图）.

A∩BA·BA∪BA+B准备知识:2023/1/3138例3－3用布尔代数法求图3－12所示事故树的最小割集。解：①写出事故树的布尔表达式：②化布尔表达式为析取标准式：③求最简析取标准式：2023/1/3139即该事故树有三个最小割集：

根据最小割集的定义，原事故树可以化简为一个新的等效事故树，如图3－13所示。在以后计算顶上事件发生概率时，必须按化简后的布尔代数式表达式进行计算。2023/1/3140三、最小径集1.径集与最小径集在事故树中，某些基本事件不发生，顶事件就不会发生，这些不发生的基本事件的集合称为径集，也称通集或路集。在同一事故树中，不包含其他径集的径集称为最小径集。

最小径集是保证顶事件不发生的充分必要条件。2.求最小径集的方法1）对偶树法①首先将事故树变换成其对偶的成功树，方法如下：将原来事故树中的逻辑或门改成逻辑与门，将逻辑与门改成逻辑或门，并将全部事件符号加上’，变成事件补的形式，这样便可得到与原来事故树对偶的成功树。②求出成功树的最小割集，就是所求事故树的最小径集。2023/1/3141例3－6用对偶树法求图3－12事故树的最小径集。2023/1/3142例3－6用对偶树法求图3－12事故树的最小径集。2023/1/31432）布尔代数法2023/1/3144总结规律:1.性质（1）当事故树中基本事件都发生时，顶事件必然发生；当所有基本事件都不发生时，顶事件必然不发生。（2）当基本事件以外的其他基本事件固定为某一状态，基本事件由不发生转变为发生时，顶事件可能维持不发生状态，也有可能由不发生状态转变为发生状态。（3）由任意事故树描述的系统状态，可以用全部基本事件作成“或”结合的事故树表示系统的最劣状态（顶事件最易发生），也可以用全部基本事件作成“与”结合的事故树表示系统的最佳状态（顶事件最难发生）。（4）由个二值状态变量构成的事故树，其结构函数对所有状态变量都可以展开为：2023/1/3145式中，

表示

=1；表示=0。2023/1/31463.事故树结构函数含有个基本事件的事故树的结构函数可展开为：式中第i个基本事件的状态变量；第i个基本事件的状态值（0或1）；

n个基本事件构成的状态组合数；基本事件的状态组合序号；第个事件的状态组合所对应的顶事件的状态值（0或1）。

2023/1/3147任意事故树的结构函数，处于由“与门”结合的事故树的结构函数和由“或门”结合的事故树的结构函数之间。由“与门”结合的事故树如图3－10所示，其结构函数可表达为：上式表明，由个独立事件用“与门”结合的事故树，只要个基本事TX1X2Xn…TX1X2Xn…图3－10与门连接的事故树图3－11或门连接的事故树．+2023/1/3148只要有一个不发生（状态值为0），则顶事件就不会发生（状态值为0）。所以，函数决定于基本事件中的最小状态值。由“或门”结合的事故树如图3－11所示，其结构函数表达式为：式中上式表明，由个独立事件用“或门”结合的事故树，只要个基本原因事件中有一个发生（状态值为1），顶上事件就会发生（状态值为1）。所以，函数决定于基本事件中的最大状态值。2023/1/3149第四节事故树的定量分析事故树的定量分析首先是确定基本事件的发生概率，然后求出事故树顶事件的发生概率。在进行事故树定量计算时，一般做以下几个假设:

（1）基本事件之间相互独立；（2）基本事件和顶事件都只考虑两种状态；（3）假定故障分布为指数函数分布。一、基本事件的发生概率基本事件的发生概率包括系统的单元（部件或元件）故障概率及人的失误概率等，工程上计算时，往往用基本事件发生的频率来代替其概率值。2023/1/3150#2023/1/31512023/1/31522.人的失误概率

人的失误是另一种基本事件，系统运行中人的失误是导致事故发生的一个重要原因。人的失误通常是指作业者实际完成的功能与系统所要求的功能之间的偏差。人的失误概率通常是指作业者在一定条件下和规定时间内完成某项规定功能时出现偏差或失误的概率，它表示人的失误的可能性大小，因此，人的失误概率也就是人的不可靠度。一般根据人的不可靠度与人的可靠度互补的规则，获得人的失误概率。影响人失误的因素很复杂，很多专家、学者对此做过专门研究，目前能被大多数人接受的就是1961年斯温（Swain）和罗克（Rock）提出的“人的失误率预测方法”2023/1/3153这种方法的分析步骤如下：（1）调查被分析者的作业程序。（2）把整个程序分解成单个作业。（3）再把每一单个作业分解成单个动作。（4）根据经验和实验，适当选择每个动作的可靠度（常见人的可靠度见表3-11）。（5）用单个动作的可靠度之积表示每个操作步骤的可靠度。如果各个动作中存在非独立事件，则用条件概率计算。（6）用各操作步骤可靠度之积表示整个程序的可靠度。（7）用可靠度之补救（1减可靠度）表示每个程序的不可靠度，这就是该程序人的失误概率。2023/1/31542023/1/3155人在人机系统中的功能主要是接受信息（输入）、处理信息（判断）和操纵控制机器将信息输出。因此，就某一动作而言，作业者的基本可靠度为：2023/1/3156由于受作业条件、作业者自身因素及作业环境的影响，基本可靠度还会降低。例如，有研究表明，人的舒适温度一般是18～22℃，当人在作业时，环境温度超过27℃时，人体失误概率大约会上升40％。因此，还需要用修正系数加以修正，从而得到作业者单个动作的失误率为：2023/1/3157二、顶事件的发生概率事故树定量分析，是在已知基本事件发生概率的前提条件下，定量地计算出在一定时间内发生事故的可能性大小。假定:(1)事故树中不含有重复的或相同的基本事件(2)各基本事件又都是相互独立的2023/1/3158TX1X2Xn…TX1X2Xn…图3－10与门连接的事故树图3－11或门连接的事故树．+用“与门”连接的顶事件的发生概率为：用“或门”连接的顶事件的发生概率为：（3-15）（3-16）2023/1/3159事故树计算示例:

如图3-15所示的事故树。已知各基本事件的发生概率，顶事件的发生概率为：

2023/1/3160当事故树中含有重复出现的基本事件时，或基本事件可能在几个最小割集中重复出现时，最小割集之间时相交的。这时，采取以下几种方法计算。

1．状态枚举法设某事故树有个基本事件，这个基本事件两种状态的组合数为个。根据事故树模型的结构分析可知，所谓顶事件的发生概率，是指结构函数的概率。因此，顶事件的发生概率可用下式定义：2023/1/3161从式（3-17）可看出：在个基本事件两种状态的所有组合中，只有当时，该组合才对顶事件的发生概率产生影响。所以在用该式计算时，只需考虑的所有状态组合。首先列出基本事件的状态值表，根据事故树的结构求得结构函数的值，最后求出使的各基本事件对应状态的概率积的代数和，即为顶事件的发生概率。该方法规律性强，适用于计算机编制程序上机计算，可用来计算较复杂系统事故发生概率。但当值较大时，计算中要涉及个状态组合#，并需求出相应顶事件（3-17）2023/1/3162的状态，因而计算工作量很大，花费事件