安全系统工程3.1

一、事故树分析概述1.DefinitionofFaultTreeAnalysis

事故树分析（FaultTreeAnalysis，FTA）是安全系统工程中常用的一种分析方法。1961年，美国贝尔电话研究所的维森（H.A.Watson）首创了FTA并应用于研究民兵式导弹发射控制系统的安全性评价中，用它来预测导弹发射的随机故障概率。1974年，美国原子能委员会应用FTA对商用核电站进行了风险评价，发表了拉斯姆逊报告（RasmussenReport），引起世界各国的关注。目前事故树分析法已从宇航、核工业进入一般电子、化工、交通等领域，它可以进行故障诊断、分析系统的薄弱环节，指导系统的安全运行和维修，实现系统的优化设计。

一、事故树分析概述1.DefinitionofFaultTreeAnalysis

FTAwasfirstusedbyBellTelephoneLaboratoriesinconnectionwiththesafetyanalysisoftheMinutemanmissilelaunchcontrolsystemin1962TechniqueimprovedbyBoeingCompanyExtensivelyusedandextendedduringtheReactor

safetystudy(WASH1400)一、事故树分析概述1.DefinitionofFaultTreeAnalysis

事故树分析（FTA）是一种演绎推理法，即从结果分析原因的分析方法。这种方法把系统可能发生的某种事故与导致事故发生的各种原因之间的逻辑关系用一种称为事故树的树形图表示，通过对事故树的定性与定量分析，找出事故发生的主要原因，为确定安全对策提供可靠依据，以达到预测与预防事故发生的目的。FTAisadeductivereasoning,whichcansignifythelogicrelationsbetweensystempossiblefaultsandtheircausesbymeansofFT.ThroughqualitativeandquantitativeanalysisofFT,majorcausesoffaultsareidentified,whichwilloffersolidfoundationtosafetycountermeasurestopredicateandpreventfaults.

2.FTA的特点事故树分析是一种图形演绎方法,是事故事件在一定条件下的逻辑推理方法。它可以围绕某特定的事故作层层深入的分析,因而在清晰的事故树图形下,表达系统内各事件间的内在联系,并指出单元故障与系统事故之间的逻辑关系,便于找出系统的薄弱环节。FTA具有很大的灵活性,不仅可以分析某些单元故障对系统的影响,还可以对导致系统事故的特殊原因如人为因素、环境影响进行分析。一、事故树分析概述进行FTA的过程,是一个对系统更深入认识的过程,它要求分析人员把握系统内各要素间的内在联系,弄清各种潜在因素对事故发生影响的途径和程度,因而许多问题在分析的过程中就被发现和解决了,从而提高了系统的安全性利用事故树模型可以定量计算复杂系统发生事故的概率,为改善和评价系统安全性提供了定量依据。一、事故树分析概述2.FTA的特点FTA需要花费大量的人力、物力和时间；FTA的难度较大,建树过程复杂,需要经验丰富的技术人员参加,即使这样,也难免发生遗漏和错误；FTA只考虑

(0,1)状态的事件,而大部分系统存在局部正常、局部故障的状态,因而建立数学模型时,会产生较大误差；FTA虽然可以考虑人的因素,但人的失误很难量化。

一、事故树分析概述2.FTA的特点一、事故树分析概述3.ProceduresofFaultTreeAnalysis

熟悉系统确定顶上事件建造事故树修改简化事故树制定安全措施调查事故调查原因时间收集系统资料定性分析定量分析一、事故树分析概述3.ProceduresofFaultTreeAnalysis

1.Seedtime2.ConstructFT3.QualitativeassessmentofFT4.QuantitativeassessmentofFT5.SummaryandapplicationofFTAresults.DefinethesystemGetfamiliarwiththesystemInvestigatefaultsofthesystemDefinetopundesiredevent(UE)offaulttree(FT)InvestigateallthereasoneventsrelevanttothetopUEConstructFT一、事故树分析概述3.ProceduresofFaultTreeAnalysis

准备阶段(1)确定所要分析的系统。在分析过程中,合理地处理好所要分析系统与外界环境及其边界条件,确定所要分析系统的范围,明确影响系统安全的主要因素。(2)熟悉系统。对于已经确定的系统进行深入的调查研究,收集系统的有关资料与数据,包括系统的结构、性能、工艺流程、运行条件、事故类型、维修情况、环境因素等。(3)调查系统发生的事故。收集、调查所分析系统曾经发生过的事故和将来有可能发生的事故,同时还要收集、调查本单位与外单位、国内与国外同类系统曾发生的所有事故。一、事故树分析概述3.ProceduresofFaultTreeAnalysis

事故树的编制(1)确定事故树的顶事件。确定顶事件是指确定所要分析的对象事件。根据事故调查报告分析其损失大小和事故频率,选择易于发生且后果严重的事故作为事故的顶事件。(2)调查与顶事件有关的所有原因事件。从人、机、环境和信息等方面调查与事故树顶事件有关的所有事故原因。(3)编制事故树。采用一些规定的符号,按照一定的逻辑关系,把事故树顶事件与引起顶事件的原因事件,绘制成反映因果关系的树形图。

一、事故树分析概述3.ProceduresofFaultTreeAnalysis

事故树定性分析事故树定性分析主要是按事故树结构,求取事故树的最小割集或最小径集,以及基本事件的结构重要度,根据定性分析的结果,确定预防事故的安全保障措施。事故树定量分析事故树定量分析主要是根据引起事故发生的各基本事件的发生概率,计算事故树顶事件发生的概率；计算各基本事件的概率重要度和关键重要度。根据定量分析的结果以及事故发生以后可能造成的危害,对系统进行风险分析,以确定安全投资方向。事故树分析的结果总结与应用必须及时对事故树分析的结果进行评价、总结,提出改进建议,整理DefinethetopeventTodefinethetopeventthetypeoffailuretobeinvestigatedmustbeidentified.Thiscouldbewhatevertheendresultofanincidentmayhavebeen,suchasaforkliftoverturning.Determinealltheundesiredeventsinoperatingasystem.Separatethislistintogroupshavingcommoncharacteristics.SeveralFTAmaybenecessarytostudyasystemcompletely.Finally,oneeventshouldbeestablishedrepresentingalleventswithineachgroup.Thiseventbecomestheundesiredeventtostudy.一、事故树分析概述3.ProceduresofFaultTreeAnalysis

Knowthesystem.Allavailableinformationaboutthesystemanditsenvironmentshouldbestudied.Ajobanalysismayprovehelpfulindeterminingthenecessaryinformation.Constructthefaulttree.Thisstepisperhapsthesimplestbecauseonlythefewsymbolsareinvolvedandtheactualconstructionisprettystraightforward.一、事故树分析概述3.ProceduresofFaultTreeAnalysis

Principlesofconstruction.Thetreemustbeconstructedusingtheeventsymbolslistedabove.Itshouldbekeptsimple.Maintainalogical,uniform,andconsistentformatfromtiertotier.Useclear,concisetitleswhenwritingintheeventsymbols.Thelogicgatesusedshouldberestrictedtotheandgateandorgatewithconstraintsymbolsusedonlywhennecessary.Anexamplewouldbetheuseoftheovalconstraintsymboltoillustrateanecessaryorderofeventsthatmusthappentohaveaneventoccur.Thetransfertriangleshouldbeusedsparinglyifatall.Themorethetransfertriangleisused,themorecomplicatedthetreebecomes.Thepurposeofthetreeistokeeptheprocedureassimpleaspossible.一、事故树分析概述3.ProceduresofFaultTreeAnalysis

Studytradeoffs.Inthisstep,anyalternativemethodsthatareimplementedshouldbefurtherevaluated.Thiswillallowevaluatorstoseeanyproblemsthatmayberelatedwiththenewprocedurepriortoimplementation.Consideralternativesandrecommendaction.Thisisthelaststepintheprocesswherecorrectiveactionoralternativemeasuresarerecommended.一、事故树分析概述3.ProceduresofFaultTreeAnalysis

Validatethetree.Thisrequiresallowingapersonknowledgeableintheprocesstoreviewthetreeforcompletenessandaccuracy.Evaluatethefaulttree.Thetreeshouldthenbescrutinizedforthoseareaswhereimprovementsintheanalysiscanbemadeorwheretheremaybeanopportunitytoutilizealternativeproceduresormaterialstodecreasethehazard.一、事故树分析概述3.ProceduresofFaultTreeAnalysis

一、事故树分析概述4.SymbolsandMeansofFaultTreeAnalysis事故树采用的符号包括事件符号、逻辑门符号和转移符号三大类.(1)Eventandsymbols/事件符合

在事故树分析中各种非正常状态或不正常情况皆称事故事件，各种完好状态或正常情况皆称成功事件，两者均简称为事件。事故树中的每一个节点都表示一个事件。

一、事故树分析概述4.SymbolsandMeansofFaultTreeAnalysis(1)矩形符号。用它表示顶上事件或中间事件。将事件扼要记入矩形框内。必须注意，顶上事件一定要清楚明了，不要太笼统。例如“交通事故”，“爆炸着火事故”，对此无法下手分析，而应当选择具体事故。如“机动车追尾”、“机动车与自行车相撞”，等具体事故。(1)Rectangle

-TherectangleisthemainBuildingblockfortheanalyticaltree.Itrepresentsthenegativeeventandislocatedatthetopofthetreeandcanbelocatedthroughoutthetreetoindicateothereventscapableofbeingbrokendownfurther.Thisistheonlysymbolthatwillhavealogicgateandinputeventsbelowit.

一、事故树分析概述4.SymbolsandMeansofFaultTreeAnalysis

(2)圆形符号。它表示基本(原因)事件，可以是人的差错，也可以是设备、机械故障、环境因素等。它表示最基本的事件，不能再继续往下分析了。例如，影响司机瞭望条件的“照明不好”，“酒后开车”等原因，将事故原因扼要记入圆形符号内。(2)Circle–Acirclerepresents

abaseeventinthetree.Thesearefoundonthebottomtiersofthetreeandrequirenofurtherdevelopmentorbreakdown.Therearenogatesoreventsbelowthebaseevent.一、事故树分析概述4.SymbolsandMeansofFaultTreeAnalysis

(3)屋形符号。它表示正常事件，是系统在正常状态下发生的正常事件。如：“机车或车辆经过道岔”、“因走动取下安全带”等，将事件扼要记入屋形符号内。（3）normalevent,whicheitheroccursordoesnotoccurduringnormalsystemoperation

一、事故树分析概述4.SymbolsandMeansofFaultTreeAnalysis(4)菱形符号。它表示省略事件，即表示事前不能分析，或者没有再分析下去的必要的事件。例如，“天气不好”、“操作不当”等。3.Diamond

–Thediamondidentifiesanundevelopedterminalevent.Suchaneventisonenotfullydevelopedbecauseofalackofinformationorsignificance.Afaulttreebranchcanendwithadiamond.Forexample,mostprojectsrequirepersonnel,procedures,andhardware.Thetreedevelopermaydecidetoconcentrateonthepersonnelaspectoftheprocedureandnotthehardwareorproceduralaspects.Inthiscasethedeveloperwouldusediamondstoshow“procedures”and“hardware”asundevelopedterminalevents.一、事故树分析概述4.SymbolsandMeansofFaultTreeAnalysis

（5）椭圆形符号。为条件事件，是限制逻辑门开启的事件。Oval–

Anovalsymbolrepresentsaspecialsituationthatcanonlyhappenifcertaincircumstancesoccur.Thisisspelledoutintheovalsymbol.Anexampleofthismightbeifswitchesmustbethrowninaspecificsequencebeforeanactiontakesplace.一、事故树分析概述4.SymbolsandMeansofFaultTreeAnalysis顶事件。是事故树分析中所关心的结果事件,位于事故树的顶端,总是所讨论事故树中逻辑门的输出事件而不是输入事件。中间事件。是位于事故树顶事件和底事件之间的结果事件。它既是某个逻辑门的输出事件,又是其他逻辑门的输入事件。

结果事件底事件

(1)原因事件。它表示导致顶事件发生的最基本的或不能再向下分析的原因或缺陷事件，用图

圆形符号表示。

(2)省略事件。它表示没有必要进一步向下分析或其原因不明确的原因事件。另外,省略事件还表示二次事件,即不是本系统的原因事件,而是来自系统之外的原因事件。用的菱形符号表示。特殊事件

(1)开关事件,又称正常事件。它是在正常工作条件下必然发生或必然不发生的事件,用图房形符号表示。

(2)条件事件。是限制逻辑门开启的事件,用椭圆形符号表示。一、事故树分析概述4.SymbolsandMeansofFaultTreeAnalysis(2)逻辑门及其符号/Logicgatesandsymbols

逻辑门是连接各事件并表示其逻辑关系的符号

LogicgatesconnecteventandshowtheirlogicrelationsANDgate/与门ORgate/或门NOTgate/非门Specialgates/特殊门一、事故树分析概述4.SymbolsandMeansofFaultTreeAnalysis(1)与门符号。与门连接表示输入事件B1、B2同时发生的情况下，输出事件A才会发生的连接关系。二者缺一不可，表现为逻辑积的关系，即A=B1∩B2。在有若干输入事件时，也是如此，如图所示。一、事故树分析概述4.SymbolsandMeansofFaultTreeAnalysis(1)Andgate-

representsaconditioninwhichalltheeventsshownbelowthegate(inputgate)mustbepresentfortheeventshownabovethegate(outputevent)tooccur.Thismeanstheoutputeventwilloccuronlyifalloftheinputeventsexistsimultaneously.一、事故树分析概述4.SymbolsandMeansofFaultTreeAnalysis“与门”用与门电路图来说明更容易理解。当B1、B2都接通(B1=1，B2=1)时，电灯才亮，用布尔代数表示为X=B1·B2=1。当B1、B2中有一个断开或都断开(B1=1，B2=0或B1=0，B2=1或B1=0，B2=0)时，电灯不亮，用布尔代数表示为X=B1·B2=0。一、事故树分析概述4.SymbolsandMeansofFaultTreeAnalysis(2)或门符号。表示输入事件B1或B2中，任何一个事件发生都可以使事件A发生，表现为逻辑和的关系即A=B1∪B2。在有若干输入事件时，情况也是如此。一、事故树分析概述4.SymbolsandMeansofFaultTreeAnalysis(2)Orgate-representsasituationinwhichanyoftheeventsshownbelowthegate(inputgate)willleadtotheeventshownabovethegate(outputevent).Theeventwilloccurifonlyoneoranycombinationoftheinputeventsexists.一、事故树分析概述4.SymbolsandMeansofFaultTreeAnalysis逻辑门符号举例灯亮K1闭合K2闭合灯亮K1闭合K2闭合灯不亮K1断开K2断开灯不亮K1断开K2断开一、事故树分析概述4.SymbolsandMeansofFaultTreeAnalysis逻辑门符号举例油库爆炸氧气瓶超压爆炸火源油气聚集与火源接近接近热源在阳光下曝晒达到爆炸极限1.4%—7.6%应力超过钢瓶强度极限一、事故树分析概述4.SymbolsandMeansofFaultTreeAnalysis

与门可以连接数个输入事件

E1、E2,…,En和一个输出事件

E,表示仅当所有输入事件都发生时,输出事件

E才发生的逻辑关系。

与门或门非门非门表示输出事件是输入事件的对立事件

或门可以连接数个输入事件

E1,E2,…,En和一个输出事件

E,表示至少一个输入事件发生时,输出事件

E就发生。

一、事故树分析概述4.SymbolsandMeansofFaultTreeAnalysis(3)条件与门符号。表示只有当B1、B2同时发生，且满足条件α的情况下，A才会发生，相当于三个输入事件的与门。即A=B1∩B2∩α，将条件α记入六边形内。ExclusiveORgate.TheoutputeventoccursiftheinputeventoccurssimultaneouslyandConditionAismet.

一、事故树分析概述4.SymbolsandMeansofFaultTreeAnalysis(4)条件或门符号。表示B1或B2任何一个事件发生，且满足条件β，输出事件A才会发生，将条件β记入六边形内。ExclusiveORgate.TheoutputeventoccursiftheinputeventoccurssimultaneouslyandConditionAismet一、事故树分析概述4.SymbolsandMeansofFaultTreeAnalysis(5)限制门符号。它是逻辑上的一种修正符号，即输入事件发生且满足条件γ时，才产生输出事件。相反，如果不满足，则不发生输出事件。Inhibitgate.Theoutputeventoccursifinputeventoccurandconditionaleventoccurs.一、事故树分析概述4.SymbolsandMeansofFaultTreeAnalysis(6)表决门。表示仅当输入事件有

m(m≤n)个或

m个以上事件同时发生时,输出事件才发生。显然,或门和与门都是表决门的特例。或门是m=1时的表决门;与门是m=n时的表决门。Votinggate.Onlywhenm（m≤n）ormorethanminputeventhappens,theoutputeventoccurs.ItisobviouslythatORgateandANDgatearespecialcasesofvotinggate.Ifm=1,thevotinggatesisORgate;ifm=n,thevotinggateisANDgates.m/nE1E2En…E一、事故树分析概述4.SymbolsandMeansofFaultTreeAnalysis(7)异或门。表示仅当单个输入事件发生时,输出事件才发生。XORgate.Theoutputeventoccursifonlyexactlyoneinputeventoccurs.+E1E2En…ENotconcurrence一、事故树分析概述4.SymbolsandMeansofFaultTreeAnalysis表决门异或门禁门表示仅当单个输入事件发生时,输出事件才发生

表示仅当输入事件有

m(m≤n)个或

m个以上事件同时发生时,输出事件才发生。

表示仅当条件事件发生时,输入事件的发生方导致输出事件的发生。

条件与门条件或门表示输入事件不仅同时发生,而且还必须满足条件A,才会有输出事件发生

表示输入事件中至少有一个发生,在满足条件

A的情况下,输出事件才发生。

·E1E2En…EA+E1E2En…EAm/nE1E2En…E+E1E2En…ENotconcurrenceAEE1一、事故树分析概述4.SymbolsandMeansofFaultTreeAnalysis转移符号的表示部分事故树图的转入和转出。当事故树规模很大或整个事故树中多处包含有相同的部分树图时，为了简化整个树图，便可用转入和转出符号。whichindicatethetransferinandoutofapartofFT.TransferinandtransferoutsymbolswillbeappliedtosimplifythewholetreeifFTistoocomplicatedoritcontainsmanysameparts.转入转出

TransferinTransferout一、事故树分析概述5.RegulationsofConstructFaultTree

事故树编制是事故树分析中最基本、最关键的环节。编制工作一般应由系统设计人员、操作人员和可靠性分析人员组成的编制小组来完成，经过反复研究，不断深入，才能趋于完善。

ConstructsFTisthemostfundamentalandcriticallinkinFTA.Itiscompletedbyateamcomposedofsystemdesigners,operatorsandreliableanalysts.TheFTmustundergorepeatedresearchandfurtherdevelopmentsoastoapproachperfection.一、事故树分析概述5.RegulationsofConstructFaultTree

编制方法一般分为两类，一类是人工编制，另一类是计算机辅助编制。

Thecompilingmethodsarecommonlydividedintotwocategories:artificialconstructandcomputerassistantconstruct.ConstructingaFTisarigorouslogicreasoningprocess.Itshouldfollowthefollowingregulations:一、事故树分析概述5.RegulationsofConstructFaultTree

（1）确定顶事件应优先考虑风险大的事故事件。

（2）合理确定边界条件。

（3）保持门的完整性，不允许门与门直接相连。

（4）确切描述顶事件。

（5）编制过程中及编成后，需及时进行合理的简化。事故树的编制过程是一个严密的逻辑推理过程，应遵循以下规则：确定顶事件应优先考虑风险大