事故树分析(Fault Tree Analysis, FTA)是系统安全分析方法中的一种重要的、得到广泛应用的方法,它是通过对事故内在逻辑的演绎和推理,搞清事故机理,从而找到防止事故的措施和方法。该方法起源于美国贝尔电话研究所。1961年华特逊在研究民兵式导弹发射控制系统的安全性评价时首先提出了这种方法。接着,该所的A.B.门斯等人改进了这种方法,对预测导弹发射偶然事故作出了贡献。后来,波音公司对FTA进行了重要改革,使之能够利用计算机模拟。1974年美国原子能委员会利用FTA对商业原子电站事故危险性进行评价,发表了著名的拉氏姆逊报告,引起世界各国关注。一、事故树的概念事故树由图论发展而来,是一种用逻辑门联结的树图,属于图论的一种。事故树中包含的事件一般都是故障事件(很少出现非故障事件),这些故障事件之间具有一定的逻辑关系,这种逻辑关系用相应的逻辑门来表达。总而言之,事故树是演绎地表示故障事件发生原因及其逻辑关系的逻辑树图。根据事故树的概念可知,事故树主要由各种类型的故障事件和逻辑门组成。1.常见事件及其表示符号事故树分析一般都是从某一伤亡事故或其他不希望的事件开始。它被画在树图的顶端(树根),故称为顶事件。最初始的前兆故障事件是导致顶事件(例如事故)发生的初始原因。它位于树图下部的终端(树叶),被称为基本事件。处于事故树顶事件和基本事件之间的事件,称为中间事件。中间事件既是造成顶事件的原因,又是基本事件产生的结果。当分析的对象是伤亡事故时,基本事件一般是物的不安全状态或人的不安全行为。将前者称为物的故障,后者称为人的失误。在事故原因分析中,人们更为关心的是人的失误,特别是操作者的失误。事故树中常用的事件符号主要有长方形、圆形、菱形等等,具体参见图1。❖ 图1(1)长方形符号:表示需要进一步分析的故障事件(a),如顶事件和中间事件。在符号内写明故障内容。(2)圆形符号:表示基本事件(b)。有时用虚线圆表示人的失误(c),用加斜线的两个同心圆表示操作者的疏忽和对修正的遗漏(d)。(3)房形符号:表示不是故障的事件,是系统内正常状态下所发生的正常事件(e)。(4)菱形符号:表示目前不能分析或者没有分析必要的省略事件(f)。有时用虚线菱形和加斜线的双菱形表示人体差错或者操作者的疏忽和对修正的遗漏(g、h)。此外,当事前关系明确,并可用数量评价且用FT简化时,可用空白双菱形(i)。(5)转移符号:表示在同一FT内,与其他部分内容相同的转符号。连线引向三角形上方时,表示从其他部分转入,连线引向三角形侧部时,表示向其他部分转出。同时标以相互一致的编号(j、k)。当转入部分与转出部分内容一致,而数量不同时,则转移符号采用倒三角形符号(l)。另外,根据事故的演变过程,在事故树中,上一层故障事件是下一层故障事件造成的结果;下一层故障事件是引起上层故障事件的原因。当用逻辑门来联结这些故障事件时,作为结果的上层事件称为输出事件,作为原因的下一层事件叫作输入事件。2.逻辑门及其表示符号逻辑“与门”表示全部输入事件都出现则输出事件才出现,只要有一个输入事件不出现则输出事件就不出现的逻辑关系。逻辑“或门”表示只要有一个或一个以上输入事件出现,则输出事件就出现,只有全部输入事件都不出现输出事件才不出现的逻辑关系。逻辑“非门”表示输入事件出现则输出事件不出现,输入事件不出现则输出事件出现的逻辑关系。逻辑门符号是表示相应事件连接特性的符号,用它可以明确表示该事件与其直接原因事件的逻辑连接关系。事故树的逻辑门符号一般包括与门、或门以及条件门等等,具体参见图2。❖图2(1)与门。与门表示只有所有输入事件B1、B2都发生时,输出事件A才发生。换句话说,只要有一个输入事件不发生,则输出事件就不发生。有若干个输入事件也是如此。(2)或门。或门表示输入事件B1、B2中任一个事件发生时,输出事件A发生。换句话说,只有全部输入事件都不发生,输出事件才不发生。有若干个输入事件也是如此。(3)条件门。条件门又分条件与门和条件或门两种。条件与门表示输入事件B1、B2不仅同时发生,而且还必须满足条件a,才会有输出事件A发生,否则就不发生。a是指输出事件A发生的条件,而不是事件。条件或门表示输入事件B1、B2至少有一个发生,在满足条件a的情况下,输出事件A才发生。在事故树分析中除上述基本逻辑门之外,还有限制门、排斥或门(异或门)、优先与门(顺序优先与门、组合优先与门)等等,具体参见图3。❖图3(5)排斥或门(异或门)。排斥或门(异或门)表示当且仅当输入事件中的任一个发生,而其他都不发生的时候,排斥门才有输出事件A。(6)优先与门。优先与门表示仅当输入事件按规定的由左至右的顺序依次发生时,门的输出事件才发生,具体又包括顺序优先与门和组合优先与门。顺序优先与门:表示当E1、E2输入事件都发生,且满足E1发生于E2之前,则输出事件A发生。这实际是条件概率事件。其逻辑关系为:A=E1·E2/E1。组合优先与门:表示在三个以上输入事件的与门中,如果任意两个事件同时发生,输出事件A才会发生。其逻辑关系为:A=E1·E2+E1·E3+E2·E3。二、事故树分析程序事故树分析也叫故障树分析或事故逻辑分析,它是一种演绎分析方法,其分析流程参见图4。❖图4(1)确定顶上事件。事故树的顶上事件是人们所不期望发生的事件(如火灾、爆炸、中毒等),也是所要分析的对象事件。顶上事件的确定可依据所需分析的目的直接确定或在调查事故的基础上提出。两者均应调查和整理过去的事故,以获得资料。除此之外,也可事先进行事件树分析(ETA)或故障类型和影响分析,从中确定顶上事件。(2)理解系统。要确实掌握被分析系统的情况,如系统的工作程序、各种重要参数、作业情况及环境状况等。必要时,画出工艺流程图和布置图。(3)调查事故原因。应尽量广泛地了解所有事故,不仅要包括过去已发生的事故,而且也要包括未来可能发生的事故;不仅包括本系统发生的事故,也包括同类系统发生的事故。查明造成事故的各种原因,包括机械故障、设备损坏、操作失误、管理和指挥错误、环境不良因素等等。(4)确定目标。根据以往的事故经验和同类系统的事故资料进行统计分析,得出事故的发生概率(或频率),然后根据事故的严重程度,确定要控制的事故发生概率的目标值。(5)构建事故树。首先广泛分析造成顶上事件起因的中间事件及基本事件间的关系,并加以整理,而后从顶上事件起,按照演绎分析的方法,逐级把所有直接原因事件,按其逻辑关系,用逻辑符号给予连接,构成事故树。(6)定性分析。依据所构建出的事故树图,列出布尔表达式,经解算,求出最小割集和最小径集(根据成功树),确定出各基本事件的结构重要度。(7)定量分析。根据各基本事件的发生概率求出顶上事件的发生概率。把求出的概率与通过统计分析得出的概率进行比较,如果两者不符,必须重新分析研究已构造出的事故树是否正确完整,各基本原因事件的故障率是否估计过高或过低等。在求解出顶上事件概率的基础上,进一步求出各基本事件的概率重要度系数和临界重要度系数。在分析时,若当事故发生概率超过预定概率目标时,要研究降低事故发生概率的所有可能,从中选出最佳方案;或者寻找消除事故的最佳方案。进而通过各重要度分析,选择治理事故的突破口,或按重要度系数值排列的大小,编制不同类型的安全检查表,以加强控制。(8)制定预防事故(改进系统)的对策措施。在定性或定量分析的基础上,根据各可能导致事故发生的基本事件组合(最小割集或最小径集)的可预防的难易程度和重要度,结合企业的实际能力,制订出具体、切实可行的预防措施,并付诸实行。三、事故树的编制事故树的编制一般是从某一特定的事故开始,自上而下依次画出其前兆的故障事件,直到达到最初始的故障事件。这里“某一特定的事故”可以是一次伤亡事故或其他不希望的事件。事故树的具体编制过程如下。1.定出顶上事件(第一层)顶上事件,即所要分析的事故(人们所不期望的事件)。在确定时,按照确定顶上事件的方法与原则进行,用矩形符号表示,且放置于最上层,并把内容扼要记入方框内。2.写出造成顶上事件的直接原因事件(第二层)在顶上事件(第一层)之下(第二层),并列写出造成顶上事件的所有直接原因事件。然后依据上、下层各事件的逻辑关系,用“逻辑门”把它们连接起来。比如下层事件必须全部发生,顶上事件才发生,就用“与门”连接;如果当下层任一事件发生顶上事件就发生,则用“或门”连接。应该指出的是,选用连接的“门”是否正确,将直接影响到分析结果的正确性,故必须十分认真。对于造成顶上事件的直接原因,主要可从环境不良因素、机械设备故障或损坏、人的差错(操作、管理、指挥)三方面加以考虑。3.画出往下其他层次当第二层确定出来后,接下来把第二层各事件的所有直接原因画在对应事件的下面(第三层),用适当的逻辑门把二、三层事件连接起来。这样层层往下,直至最基本的原因事件,或根据需要分析到必要的事件为止,这样就构成了一株完整的事故树。下面通过案例来加深对事故树编制过程的理解。【案例】对油库静电爆炸进行事故分析。汽油、柴油作为燃料在生产过程中被大量使用,许多工厂都有小型油库,如何保证油库安全是一个很重要的问题。由于汽油和柴油的闪点温度低,爆炸极限又处于低值范围,所以油料一旦泄漏碰到火源,或挥发后与空气混合到一定比例遇到火源,就会发生燃烧、爆炸事故。火源种类较多,有明火、撞击火花、雷击火花和静电火花等。本例仅就静电火花造成油库爆炸的事故树编制过程作简要介绍,如图5所示。❖图5(1)确定顶上事件,“油库静电爆炸”(一层)。(2)调查爆炸的直接原因事件、事件的性质和逻辑关系。直接原因事件“静电火花”和“油气达到可燃浓度”。这两个事件不仅要同时发生,而且必须在“油气浓度达到爆炸极限”时,爆炸事件才会发生。因此,用“条件与门”连接(二层)。(3)调查“静电火花”的直接原因事件、事件的性质和逻辑关系。直接原因事件“油库静电放电”和“人体静电放电”。这两个事件只要其中有一个发生,则“静电火花”事件就会发生。因此,用“或门”连接(三层)。(4)调查“油气达到可燃浓度”的直接原因事件、事件的性质和逻辑关系。直接原因事件“油气存在”和“库区内通风不良”。“油气存在”这是一个正常状态下的正常功能事件,因此,该事件用房形符号。“库区内通风不良”为基本事件。这两个事件只有同时发生,“油气达到可燃浓度”事件才发生,故用“与门”连接(三层)。(5)调查“油库静电放电”的直接原因事件、事件的性质和逻辑关系。直接原因事件“静电积累”和“接地不良”。这两个事件必须同时发生,才会发生静电放电,故用“与门”连接(四层)。(6)调查“人体静电放电”的直接原因事件、事件的性质和逻辑关系。直接原因事件“化纤品与人体摩擦”和“作业中与导体接近”。同样,这两个事件必须同时发生,才会发生静电放电,故用“与门”连接(四层)。(7)调查“静电积累”的直接原因事件、事件的性质和逻辑关系。直接原因事件“油液流速高”“管道内壁粗糙”“高速抽水”“油液冲击金属容器”“飞溅油液与空气摩擦”“油面有金属漂浮物”和“测量操作失误”。这些事件只要其中有一个发生,就会发生“静电积累”,因此,用“或门”连接(五层)。(8)调查“接地不良”的直接原因事件、事件的性质和逻辑关系。直接原因事件“未设防静电接地装置”“接地电阻不符合要求”和“接地线损坏”。这三个事件只要其中有一个发生,就会发生“接地不良”,因此,用“或门”连接(五层)。(9)调查“测量操作失误”的直接原因事件、事件的性质和逻辑关系。直接原因事件“器具不符合标准”和“静置时间不够”。这两个事件只要其中有一个发生,则“测量操作失误”就会发生,因此用“或门”连接(六层)。在事故树初步编制好之后,需要对事故树进行仔细检查,并利用布尔代数对其进行化简。特别是在事故树的不同部件存在有相同的基本事件时,必须用布尔代数进行整理化简,然后才能进行定性、定量分析,否则就可能造成分析错误。四、事故树分析特点及注意事项1.事故树分析的特点(1)事故树分析是一种图形演绎方法,是故障事件在一定条件下的逻辑推理方法。它可以就某些特定的故障状态作逐层深入的分析,分析各层次之间各因素的相互联系与制约关系,即输入(原因)与输出(结果)的逻辑关系,并且用专门符号标示出来。(2)事故树分析能对导致灾害或功能事故的各种因素及其逻辑关系作出全面、简洁和形象的描述,为改进设计、制定安全技术措施提供依据。(3)事故树分析不仅可以分析某些元、部件故障对系统的影响,而且可对导致这些元、部件故障的特殊原因(人的因素、环境等)进行分析。(4)事故树分析可作为定性评价,也可定量计算系统的故障概率及其可靠性参数,为改善和评价系统的安全性和可靠性提供定性或定量分析基础图形和数据。(5)事故树是图形化的技术资料,具有直观性,即使不曾参与系统设计的管理、操作和维修人员,通过阅读也能全面了解和掌握各项防灾控制要点。(6)可与其他分析技术综合使用,以达到更好的应用效果。进行事故树分析的过程,也是对系统深入认识的过程,可以加深对系统的理解和熟悉,找出薄弱环节,并加以解决,避免事故发生。事故树分析除可作为安全性和可靠性分析外,还可在安全上进行事故分析及安全评价。另外,还可用于设备故障诊断与检修表的制定。2.事故树分析的注意事项(1)只有充分理解系统,才能确定出合理的被分析系统。必须从功能的联系入手,充分了解与人员有关的功能,掌握使用阶段的划分等与任务有关的功能,包括现有的冗余功能以及安全、保护功能等。此外,使用、维修状况也要考虑周全。这就要求广泛地收集有关系统的设计、运行、流程图、设备技术规范等技术文件及资料,并进行深入细致地分析研究。(2)确定顶上事件。事故树的顶上事件是指可能发生或实际的事故结果,对于多因素复合影响的系统,应找出其中的主要危险以便分析。顶上事件的确定不能太笼统。选好顶上事件有利于使整个系统故障分析相互联系起来。因此,对系统的任务、边界以及功能范围必须给予明确的定义。顶上事件在大型系统中可能不是一个,一个特定的顶上事件可能只是许多系统失效事件之一。顶上事件在很多情况下是用FMEA(故障模式及影响分析)、预先危险性分析或ETA(事件树分析)得出的。一般考虑的事件有:对安全构成威胁的事件,如造成人身伤亡,或导致设备财产的重大损失(火灾、爆炸、中毒、严重污染等);妨碍完成任务的事件,如系统停工,或丧失大部分功能;严重影响经济效益的事件,如通信线路中断、交通停顿等妨碍提高直接收益的因素。(3)合理确定系统的边界条件。所谓边界条件是指规定所构建事故树的状况。有了边界条件就明确了事故树建到何处为止。一般边界条件包括确定顶上事件、确定初始条件、确定不许可的事件三项。其中确定初始条件是与顶上事件相适应的。凡具有不止一种工作状态的系统、部件,都有初始条件问题。确定不许可的事件指的是建事故树时规定不允许发生的事件,例如“由系统之外的影响引起的故障”。(4)应明确事故树构建的正确与否事关重大,所以应先找出系统内固有或潜在的危险因素,如设计上的缺陷、操作及人的其他不安全行为、环境的不良因素、设备的隐患等。在构建事故树过程中,应注意弄清事件间的逻辑关系。因为有时事件间的逻辑关系容易混淆,特别是涉及人的因素,其逻辑关系更不容易分清。故在构建事故树时,应特别注意,反复推敲。在构建时,要尽可能不遗漏各种原因事件。(5)避免门连门。门的所有输入事件都应当是正确定义的故障事件,任何门不能与其他门直接相连。(6)事故树分析的程序按人们的目的、要求和场所的不同,可作定性分析;或对灾害的直接原因进行粗略分析;也可进行详细的定量分析。根据邵辉编著的系统安全工程改编
