第6章故障樹分析=系統(tǒng)安全工程=東北大學(xué)

1、6 故障樹分析 6.1 故障樹故障樹分析是從特定的故障事件（或事故）開始，利用故障樹考察可能引起該事件發(fā)生的各種原因事件及其相互關(guān)系的系統(tǒng)安全分析方法。故障樹是一種利用布爾邏輯（又稱布爾代數(shù)）符號(hào)演繹地表示特定故障事件（或事故）發(fā)生原因及其邏輯關(guān)系的邏輯樹圖。因其形狀像一棵倒置的樹，并且其中的事件一般地都是故障事件，故而得名。6.1.1 故障樹中的符號(hào) 故障樹中有事件符號(hào)和邏輯門符號(hào)兩類符號(hào)。6.1.1.1 故障樹中的事件及其符號(hào) 在故障樹中，事件間的關(guān)系是因果關(guān)系或邏輯關(guān)系，用邏輯門來表示。以邏輯門為中心，上一層事件是下一層事件產(chǎn)生的結(jié)果，稱為輸出事件；下一層事件是上一層事件的原因，稱為輸入

2、事件。 作為被分析對(duì)象的特定故障事件（或事故）被畫在故障樹的頂端，叫做頂事件。導(dǎo)致頂事件發(fā)生的最初始的原因事件位于故障樹下部的各分支的終端，叫做基本事件。處于頂事件與基本事件中間的事件叫做中間事件，它們是造成頂事件的原因，又是基本事件產(chǎn)生的結(jié)果。 圖6.1 故障樹的事件符號(hào) 故障樹的各種事件的具體內(nèi)容寫在事件符號(hào)之內(nèi)。常用的事件符號(hào)有以下幾種（見圖6.1）： 1）矩形符號(hào)(a)。表示需要進(jìn)一步被分析的故障事件，如頂事件和中間事件。 2）園形符號(hào)(b)。表示屬于基本事件的故障事件。 3）菱形符號(hào)(c)。一種省略符號(hào)，表示目前不能分析或不必要分析的事件。 4）房形符號(hào)(d)。表示屬于基本事件的正常

3、事件，一些對(duì)輸出事件的出現(xiàn)必不可少的事件。 5）轉(zhuǎn)移符號(hào)(e)。表示與同一故障樹中的其它部分內(nèi)容相同。6.1.1.2 邏輯門及其符號(hào) 系統(tǒng)安全分析中常見的故障樹事件間的邏輯關(guān)系主要是邏輯與和邏輯或的關(guān)系。相應(yīng)地，故障樹中的邏輯門主要是邏輯與門和邏輯或門。 邏輯與門表示全部輸入事件都出現(xiàn)時(shí)輸出事件才出現(xiàn)，只要有一個(gè)輸入事件不出現(xiàn)則輸出事件就不出現(xiàn)的邏輯關(guān)系；邏輯或門表示只要有一個(gè)或一個(gè)以上輸入事件出現(xiàn)則輸出事件就出現(xiàn)，只有全部輸入事件都不出現(xiàn)則輸出事件才不出現(xiàn)的邏輯關(guān)系。邏輯與門和邏輯或門的符號(hào)有許多種畫法，圖6.2中列出了常用的畫法。 除了邏輯與門和邏輯或門之外，故障樹中還有另外一些特殊的邏輯

4、門： 1）控制門。這是一種邏輯上的修正：當(dāng)滿足輸入事件的發(fā)生條件時(shí)輸出事件才出現(xiàn)，如果不滿足輸入事件發(fā)生條件時(shí)，則不產(chǎn)生輸出?？刂崎T符號(hào)如圖6.2(c)所示。 2）條件門。把邏輯與門或邏輯或門與條件事件結(jié)合起來，構(gòu)成附有各種條件的邏輯門。圖6.2(d)、(e)為條件與門和條件或門符號(hào)。 在故障樹分析中，控制門和條件門在性質(zhì)上相當(dāng)于邏輯與門，而要求滿足的條件相當(dāng)于輸入到邏輯與門的一個(gè)基本事件。 圖6.2故障樹的邏輯門符號(hào)6.1.2 故障樹的數(shù)學(xué)表達(dá) 為了進(jìn)行故障樹定性和定量分析，需要建立故障樹的數(shù)學(xué)模型，寫出它的數(shù)學(xué)表達(dá)式。布爾代數(shù)是故障樹分析的數(shù)學(xué)基礎(chǔ)。 布爾代數(shù)是集合論的一部分，是一種邏輯運(yùn)

5、算方法，它特別適合于描述僅能取兩種對(duì)立狀態(tài)之一的事物。故障樹中的事件只能取故障發(fā)生或不發(fā)生兩種狀態(tài)之一，不存在任何中間狀態(tài)，并且故障樹的事件之間的關(guān)系是邏輯關(guān)系，所以可以用布爾代數(shù)來表現(xiàn)故障樹。 在布爾代數(shù)中，與集合的“并”相對(duì)應(yīng)的是邏輯和運(yùn)算，記為“”或“”；與集合的“交”相對(duì)應(yīng)的是邏輯積運(yùn)算，記為“”或“·”。本書中把邏輯和記為“”，把邏輯積記為“·”。表6.1為布爾代數(shù)的主要運(yùn)算法則。 故障樹中的邏輯或門對(duì)應(yīng)于布爾代數(shù)的邏輯和運(yùn)算；邏輯與門對(duì)應(yīng)于邏輯積運(yùn)算。 表6.1 布爾代數(shù)的主要運(yùn)算法則 冪等法則 交換法則 結(jié)合法則 分配法則 吸收法則 對(duì)偶法則（德·摩

6、根法則） 對(duì)合法則 重疊法則 注：表中為的補(bǔ)。6.1.2.1 故障樹的布爾表達(dá)式 把故障樹中連接各事件的邏輯門用相應(yīng)的布爾代數(shù)邏輯運(yùn)算表現(xiàn)，就得到了故障樹的布爾表達(dá)式。一般地，可以自上而下地把故障樹逐步展開，得到其布爾表達(dá)式。 例如，對(duì)于圖6.3所示的故障樹，可以按下面步驟寫出其布爾表達(dá)式： 圖6.3 故障樹 故障樹的布爾表達(dá)式是故障樹的數(shù)學(xué)描述。對(duì)于給定的故障樹可以寫出相應(yīng)的布爾表達(dá)式；給出了布爾表達(dá)式可以畫出相應(yīng)的故障樹。 當(dāng)故障樹中的基本事件相互統(tǒng)計(jì)獨(dú)立時(shí)，布爾表達(dá)式中的事件邏輯積的概率為 (6.1)事件邏輯和的概率為 (6.2)式中，第個(gè)基本事件的發(fā)生概率。 利用上述公式，可以由故障樹

7、的布爾表達(dá)式得到根據(jù)基本事件發(fā)生概率計(jì)算頂事件發(fā)生概率的公式。因?yàn)轫斒录l(fā)生概率是基本事件發(fā)生概率的函數(shù)，所以又把這樣得到的頂事件發(fā)生概率計(jì)算公式叫做概率函數(shù)。 例如，由圖6.3所示故障樹的布爾表達(dá)式，可以得到其概率函數(shù)為 如果知道各基本事件發(fā)生概率，則可以按該式計(jì)算出頂事件發(fā)生概率。這里假設(shè)；，代入上式得。6.1.2.2 故障樹化簡(jiǎn) 在同一故障樹中，如果相同的基本事件在不同的位置上出現(xiàn)時(shí)，需要考慮故障樹中是否有多余的事件必須除掉，否則將造成分析結(jié)果的錯(cuò)誤。 圖6.4 故障樹化簡(jiǎn) 例如，圖6.4a所示的故障樹中基本事件在兩處出現(xiàn)。該故障樹的布爾表達(dá)式為 其概率函數(shù)為 假設(shè)三個(gè)基本事件發(fā)生概率皆

8、為0.1，即，則 實(shí)際上，如果用布爾代數(shù)的冪等法則和吸收法則將布爾表達(dá)式整理，則有 （分配法則） （冪等法則） （吸收法則）通過化簡(jiǎn)去除了多余的基本事件（見圖6.4b）。這時(shí)頂事件發(fā)生概率為 6.2 故障樹定性分析 故障樹定性分析包括三方面的工作，即編制故障樹，找出導(dǎo)致頂事件發(fā)生的全部基本事件；求出基本事件的最小割集合和最小徑集合：確定各基本事件發(fā)生對(duì)頂事件發(fā)生的重要度，為采取防止頂事件發(fā)生措施提供依據(jù)。6.2.1 最小割集合與最小徑集合6.2.1.1 最小割集合 故障樹的全部基本事件都發(fā)生，則頂事件必然發(fā)生。但是，大多數(shù)情況下并不一定要全部基本事件都發(fā)生頂事件才發(fā)生，而是只要某些基本事件組合

9、在一起發(fā)生就可以導(dǎo)致頂事件發(fā)生。 在故障樹分析中，把能使頂事件發(fā)生的基本事件集合叫做割集合。如果割集合中任一基本事件不發(fā)生就會(huì)造成頂事件不發(fā)生，即割集合中包含的基本事件對(duì)引起頂事件發(fā)生不但充分而且必要，則該割集合叫做最小割集合。簡(jiǎn)言之，最小割集合是能夠引起頂事件發(fā)生的最小的割集合，對(duì)于事故原因分析故障樹，最小割集合表明哪些基本事件組合在一起發(fā)生可以使頂事件發(fā)生，為人們指明事故發(fā)生模式。6.2.1.2 最小割集合求法 （1）通過觀察可以直接找出簡(jiǎn)單故障樹的最小割集合。例如，對(duì)于圖6.5所示的故障樹，考察能引起頂事件發(fā)生的基本件組合，可以得到12個(gè)割集合： 上述割集合中有的不是最小割集合。應(yīng)用布爾

10、代數(shù)的冪等法則、吸收法則整理后，得到該故障樹的最小割集合為： 圖6.5 故障樹 （2）利用故障樹的布爾表達(dá)式可以方便地找出簡(jiǎn)單故障樹的最小割集合。根據(jù)布爾代數(shù)運(yùn)算法則，把布爾表達(dá)式變換成基本事件邏輯積的邏輯和的形式，則邏輯積項(xiàng)包含的基本事件構(gòu)成割集合；進(jìn)一步應(yīng)用冪等法則和吸收法則整理，得到最小割集合。例如，對(duì)于圖6.5所示的故障樹，其布爾表達(dá)式展開后化簡(jiǎn)： 最終得到最小割集合為 （3）對(duì)于比較復(fù)雜的故障樹，其布爾表達(dá)式很復(fù)雜，最小割集合數(shù)目也很多，往往利用計(jì)算機(jī)求解。在計(jì)算機(jī)求解法中行列法比較著名，這是福賽爾在計(jì)算機(jī)程序MOCUS中使用的方法。該方法的基本思想是，邏輯與門使割集合內(nèi)包含的基本事

11、件增加，邏輯或門使割集合的數(shù)目增加。 例加，對(duì)于圖6.5所示的故障樹，應(yīng)用行列法求解最小割集合過程如下： 最終得到的最小割集合為、，與前面的結(jié)果一致。6.2.1.3最小徑集合 故障樹中的全部基本事件都不發(fā)生，則頂事件一定不發(fā)生。但是，某些基本事件組合在一起都不發(fā)生，也可以使頂事件不發(fā)生。 在故障樹分析中，把其中的基本事件都不發(fā)生就能保證頂事件不發(fā)生的基本事件集合叫做徑集合。若徑集合中包含的基本事件不發(fā)生對(duì)保證頂事件不發(fā)生不但充分而且必要，則該徑集合叫做最小徑集合。最小徑集合表明哪些基本事件組合在一起不發(fā)生就可以使頂事件不發(fā)生。對(duì)于事故原因分析故障樹，它指明應(yīng)該如何采取措施防止事故發(fā)生。6.2.

12、1.4 最小徑集合求法 根據(jù)布爾代數(shù)的對(duì)偶法則 把故障樹中故障事件用其對(duì)立的非故障事件代替，把邏輯與門用邏輯或門、邏輯或門用邏輯與門代替，便得到了與原來的故障樹對(duì)偶的成功樹。求出成功樹的最小割集合，再用故障事件取代非故障事件，就得到了原故障樹的最小徑集合。 例如，圖6.5所示故障樹其對(duì)偶的成功樹如圖6.6所示。該成功樹的最小割集合為 于是，原故障樹的最小徑集合為 圖6.6 由故障樹得到成功樹6.2.2 基本事件結(jié)構(gòu)重要度 導(dǎo)致頂事件發(fā)生的基本事件很多，在采取防止頂事件發(fā)生措施時(shí)應(yīng)該分清輕重緩急，優(yōu)先解決那些比較重要的問題，首先消除或控制那些對(duì)頂事件影響重大的基本事件。在故障樹分析中，用基本事件

13、重要度來衡量某一基本事件對(duì)頂事件影響的大小。在故障樹分析中常用的基本事件重要度有結(jié)構(gòu)重要度、概率重要度和臨界重要度。這里首先介紹基本事件的結(jié)構(gòu)重要度。 基本事件的結(jié)構(gòu)重要度取決于它們?cè)诠收蠘浣Y(jié)構(gòu)中的位置?；臼录诠收蠘浣Y(jié)構(gòu)中位置的不同，對(duì)頂事件的作用也不同。評(píng)價(jià)基本事件結(jié)構(gòu)重要度的方法有以下2種：（1）根據(jù)基本事件在最小割集合（或最小徑集合）中出現(xiàn)的情況評(píng)價(jià)基本事件在最小割集合（或最小徑集合）中出現(xiàn)的情況直接反映了該基本事件的重要度： 1）在由較少基本事件組成的最小割集合（或最小徑集合）中出現(xiàn)的基本事件，其結(jié)構(gòu)重要度較大； 2）在不同最小割集合（或最小徑集合）中出現(xiàn)次數(shù)多的基本事件，其結(jié)構(gòu)重

14、要度大。 有人提出可以按下式計(jì)算第個(gè)基本事件的結(jié)構(gòu)重要度： (6.3) 式中，故障樹包含的最小割集合（或最小徑集合）數(shù)目； 包含第個(gè)基本事件的最小割集合（或最小徑集合）數(shù)目；包含第個(gè)基本事件的第個(gè)最小割集合（或最小徑集合）中基本事件的數(shù)目。 應(yīng)該注意，按此公式計(jì)算得到的數(shù)值沒有絕對(duì)意義，只有相對(duì)意義。即，基本事件結(jié)構(gòu)重要度的排序。另外，有時(shí)需要分別根據(jù)最小割集合和最小徑集合計(jì)算，再做出判斷。 例如，圖6.3所示故障樹的最小割集合為，。按上式計(jì)算各基本事件的結(jié)構(gòu)重要度如下： 于是，。顯然該結(jié)果不符合實(shí)際情況。另一方面，該故障樹的最小徑集合為，。按上式計(jì)算各基本事件的結(jié)構(gòu)重要度如下： 得到。 （2

15、）計(jì)算各基本事件發(fā)生概率皆為0.5時(shí)的概率重要度。這時(shí)，基本事件結(jié)構(gòu)重要度順序與概率重要度順序一致。在后面的章節(jié)6.3.3中將介紹基本事件的概率重要度。6.3 故障樹定量分析 故障樹定量分析的基本任務(wù)是計(jì)算頂事件發(fā)生概率，在此基礎(chǔ)上考察基本事件的概率重要度和臨界重要度。6.3.1 頂事件發(fā)生概率計(jì)算方法 頂事件發(fā)生概率計(jì)算方法有根據(jù)故障樹的概率函數(shù)計(jì)算的直接計(jì)算法，以及在最小割集合發(fā)生概率基礎(chǔ)上計(jì)算的最小割集合方法。6.3.1.1 直接計(jì)算法 根據(jù)故障樹的結(jié)構(gòu)函數(shù)得到概率函數(shù)后，代入各基本事件發(fā)生概率值，可以直接算出頂事件發(fā)生概率。 當(dāng)基本事件發(fā)生概率很小， 時(shí)，事件邏輯和的概率可以近似地按下

16、式計(jì)算： (6.5)事件邏輯積的概率仍為 (6.6) 利用上述公式由故障樹結(jié)構(gòu)函數(shù)得到的概率函數(shù)比較簡(jiǎn)單，但是得到的是近似值，計(jì)算結(jié)果誤差的大小取決于基本事件發(fā)生概率的大小。當(dāng)基本事件發(fā)生概率很小時(shí)，計(jì)算結(jié)果的誤差不會(huì)很大。例如，對(duì)于圖6.3的故障樹，可以寫出概率函數(shù)為 仍然假設(shè)各基本事件發(fā)生概率分別為，算得，與前面算得的很接近。6.3.1.2 最小割集合方法 求出故障樹的最小割集合之后，可以用最小割集合來表達(dá)故障樹的結(jié)構(gòu)函數(shù)。最小割集合是其中包含的基本事件的邏輯積，故障樹的結(jié)構(gòu)函數(shù)是所包含的最小割集合的邏輯和。設(shè)由個(gè)基本事件組成的故障樹，包含有，共個(gè)最小割集合，則故障樹的結(jié)構(gòu)函數(shù)可以表達(dá)為

17、(6.7)其中， ，為第個(gè)最小割集合中包含的基本事件數(shù)。 故障樹的概率函數(shù)可以表達(dá)為 (6.8) 當(dāng)不同的最小割集合中不包含相同的基本事件，即各最小割集合“不交”時(shí)，故障樹頂事件發(fā)生概率為 (6.9) 一般情況下，按容斥公式計(jì)算故障樹頂事件發(fā)生概率 (6.10)式中，最小割集合的序號(hào)； 故障樹中包含的最小割集合數(shù)目。 故障樹中邏輯或門較多時(shí)，最小割集合數(shù)目較多而最小徑集合數(shù)目較少，利用最小徑集合計(jì)算頂事件發(fā)生概率比較方便。 設(shè)由個(gè)基本事件組成的故障樹，包含有，共個(gè)最小集徑合，則故障樹的結(jié)構(gòu)函數(shù)可以表達(dá)為 (6.11)其中， ，為第個(gè)最小徑集合中包含的基本事件數(shù)。 故障樹的概率函數(shù)可以表達(dá)為 (

18、6.12) 當(dāng)不同的最小徑集合中不包含相同的基本事件，即各最小徑集合“不交”時(shí)，故障樹頂事件發(fā)生概率為 (6.13) 一般情況下，按容斥公式計(jì)算故障樹頂事件發(fā)生概率 (6.14)式中，最小徑集合的序號(hào)； 故障樹中包含的最小徑集合數(shù)目。 當(dāng)基本事件發(fā)生概率很小時(shí)，可以僅計(jì)算上式中的前幾項(xiàng)得到近似值，其誤差不會(huì)超過被略去項(xiàng)中的第一項(xiàng)。 6.3.1.3 不交化方法 當(dāng)故障樹復(fù)雜，基本事件的最小割集合或最小徑集合數(shù)目較多時(shí)，即使利用計(jì)算機(jī)按容斥公式計(jì)算，得到頂事件發(fā)生概率精確解也是一件非常耗費(fèi)時(shí)間的工作。因此，實(shí)際計(jì)算時(shí)往往根據(jù)階截?cái)嗷蚋怕式財(cái)嗟脑瓌t，只計(jì)算容斥公式的前幾項(xiàng)，獲得滿足工程需要的近似解。

19、 應(yīng)用不交化方法可以大大減少頂事件發(fā)生概率計(jì)算的工作量。所謂不交化（Exclusion)是利用布爾代數(shù)運(yùn)算法則使相交的，即相互統(tǒng)計(jì)不獨(dú)立的最小割集合（例如，同一基本事件在不同的最小割集合中出現(xiàn)的情況）變?yōu)椴唤坏?，即相互統(tǒng)計(jì)獨(dú)立且互斥的最小割集合，然后按各最小割集合發(fā)生概率的代數(shù)和來計(jì)算頂事件發(fā)生概率： (6.15) 把相交的最小割集合變?yōu)椴唤坏淖钚「罴?，其基本原理是利用布爾代?shù)的重疊法則 (6.16) 對(duì)于復(fù)雜的故障樹，可以按下述的命題簡(jiǎn)化不交化過程： 1）若集合和不包含共同基本事件，則可以先按對(duì)偶法則將集合變換后按重疊法則進(jìn)行不交化，再按分配法則展開。 2）若集合和包含共同基本事件，則 式

20、中，除去與集合共有的基本事件后，集合中剩余的基本事件的集合。 3）若集合和包含共同基本事件，集合和也包含共同基本事件，則 式中，除去與集合共有的基本事件后，集合中剩余的基本事件的集合； 除去與集合共有的基本事件后，集合中剩余的基本事件的集合。 4）若集合和包含共同基本事件，集合和也包含共同基本事件，且（屬于），則 例如，把圖6.7所示的故障樹的結(jié)構(gòu)函數(shù)做不交化處理，其過程如下： 假設(shè)各基本事件發(fā)生概率分別為，根據(jù)此式計(jì)算頂事件發(fā)生概率如下： 圖6.7 故障樹6.3.2 基本事件發(fā)生概率 在進(jìn)行故障樹定量分析時(shí)需要知道基本事件發(fā)生概率。為了取得關(guān)于基本事件發(fā)生概率的數(shù)據(jù)資料，需要進(jìn)行大量的試驗(yàn)和

21、觀測(cè)。由于取得各種基本事件發(fā)生概率的數(shù)據(jù)非常困難，使得故障樹定量分析的應(yīng)用受到了限制。 物的故障概率可以由其故障率求得。從一些產(chǎn)品手冊(cè)、樣本中可以查得產(chǎn)品的故障率。在不考慮物的元素的故障后修理和更換的場(chǎng)合，可以通過計(jì)算與基本事件對(duì)應(yīng)的物的故障率來獲得基本事件發(fā)生概率。根據(jù)公式 (6.18)于是，故障率為的基本事件的發(fā)生概率為 (6.19) 當(dāng)物的故障率很小時(shí)，可以按級(jí)數(shù)展開后取前兩項(xiàng)作近似計(jì)算： 即，可以近似計(jì)算故障率為的基本事件的發(fā)生概率為 (6.20) 由于基本事件發(fā)生概率與其對(duì)應(yīng)的物的元素運(yùn)行時(shí)間有關(guān)，所以根據(jù)基本事件發(fā)生概率計(jì)算得到的頂事件發(fā)生概率也與系統(tǒng)運(yùn)行時(shí)間有關(guān)。有時(shí)為簡(jiǎn)單計(jì)而忽

22、略時(shí)間因素，計(jì)算單位時(shí)間內(nèi)頂事件發(fā)生的概率。這種場(chǎng)合，基本事件發(fā)生概率亦應(yīng)該取相應(yīng)的物的元素故障概率的時(shí)間平均值： (6.21)根據(jù)求得的單位時(shí)間內(nèi)頂事件發(fā)生概率，可以估計(jì)頂事件發(fā)生次數(shù)的期望值。手冊(cè)、樣本中給出的物的故障率是在試驗(yàn)條件下獲得的，實(shí)際應(yīng)用時(shí)必須考慮實(shí)際使用條件的影響。美國(guó)的MIL-HDBK-217E建議按下式計(jì)算電子元件的實(shí)際故障率： (6.22)式中，試驗(yàn)條件下獲得的基本故障率； 環(huán)境系數(shù)，例如最佳的維護(hù)條件和正常環(huán)境下，取0.2；安裝在移動(dòng)設(shè)備上經(jīng)受振動(dòng)和沖擊，取4；火箭發(fā)射那樣惡劣條件，取10； 適應(yīng)性系數(shù)，考慮附加應(yīng)力和特殊運(yùn)轉(zhuǎn)條件的影響； 質(zhì)量系數(shù)，晶體管的質(zhì)量系數(shù)變

23、化在0.210之間； 其它影響系數(shù)。 迄今為止一些國(guó)家先后建立了用于定量危險(xiǎn)性評(píng)價(jià)的數(shù)據(jù)庫(kù)，提供各類設(shè)備、部件的故障率數(shù)據(jù)。例如，軍用設(shè)備可靠性數(shù)據(jù)庫(kù)，海洋石油平臺(tái)可靠性數(shù)據(jù)庫(kù)，核電站可靠性數(shù)據(jù)庫(kù)等。 表6.2、6.3和6.4列出了核電站和石油化工危險(xiǎn)性評(píng)價(jià)用的部分?jǐn)?shù)據(jù)。 人失誤發(fā)生概率可以根據(jù)前面章節(jié)介紹的方法取得。 表6.2 一些機(jī)械元件的故障率 元 件 故障類型 故障率（平均） 泵（含電機(jī)） 啟動(dòng)故障 啟動(dòng)后運(yùn)轉(zhuǎn)故障（正常條件下） 啟動(dòng)后運(yùn)轉(zhuǎn)故障（惡劣條件，事故后） 啟動(dòng)后運(yùn)轉(zhuǎn)故障（事故后，恢復(fù)正常條件） 閥 電動(dòng)閥 電磁閥 氣動(dòng)閥 運(yùn)行故障（包括驅(qū)動(dòng)部分） 不能保持開啟（堵塞） 破裂

24、運(yùn)行故障（包括驅(qū)動(dòng)部分） 不能保持開啟（堵塞） 破裂 運(yùn)行故障（包括驅(qū)動(dòng)部分） 不能保持開啟（堵塞） 破裂 泄放閥 不能開啟 提前開啟 管線 直徑 直徑 破裂或堵塞 破裂 機(jī)械離合器 運(yùn)行故障 表6.3 一些電氣元件的故障率（取自PRA，1975） 元 件 故障類型 故障率（平均） 電氣離合器 運(yùn)行故障 提前脫開 電機(jī) 啟動(dòng)故障 啟動(dòng)后運(yùn)行故障（正常條件下） 啟動(dòng)后運(yùn)行故障（惡劣條件下） 繼電器 給電故障 給電后常開接點(diǎn)不閉合 不給電時(shí)常閉接點(diǎn)敞開 接點(diǎn)短路 線圈開路 線圈短路 斷路器 送電故障 提前送電 開關(guān) 限位開關(guān) 轉(zhuǎn)動(dòng)開關(guān) 壓力開關(guān) 手動(dòng)開關(guān) 運(yùn)行故障 運(yùn)行故障 運(yùn)行故障 運(yùn)行故障 開

25、關(guān)接點(diǎn) 開關(guān)閉合時(shí)常開接點(diǎn)不閉合 開關(guān)斷開時(shí)常閉接點(diǎn)不敞開 接點(diǎn)短路 電池（濕） 供電系統(tǒng) 不能提供要求的電力 變壓器 一次側(cè)或二次側(cè)開路 一次側(cè)與二次側(cè)短路 一般檢測(cè)儀器 運(yùn)行故障 零點(diǎn)漂移 熔斷器 熔斷故障 提前熔斷 電線（帶幾 個(gè)接頭） 開路 對(duì)地短路 對(duì)電源短路 端子板 開路 與鄰近電路短路 表6.4 坎維島安全研究中使用的一些數(shù)據(jù) 裝置或事件 故障類型 故障率或頻率 壓力容器（液化石油氣、氨、氟化氫罐） 壓力容器自然故障 壓力回路 壓力容器自然故障 操縱失誤導(dǎo)致泄放 被物體穿透 高速旋轉(zhuǎn)機(jī)械 旋轉(zhuǎn)體破壞 液化石油氣管網(wǎng) 管網(wǎng)自然故障（全裝置） 液化石油氣泵 徹底破壞 液化石油氣注入點(diǎn)

26、 大量氣體泄漏 液化天然氣儲(chǔ)罐（地上） 嚴(yán)重疲勞破壞 過載超壓 傾倒使結(jié)構(gòu)破壞 火災(zāi) 煉油廠重大火災(zāi) 爆炸 煉油廠火災(zāi)后爆炸 0.5 碎片 煉油廠爆炸時(shí)產(chǎn)生碎片 煉油廠發(fā)生產(chǎn)生碎片的爆炸 碎片擊中300處大型儲(chǔ)罐 0.1 蒸汽云團(tuán)爆炸 煉油廠發(fā)生蒸汽云團(tuán)爆炸 丁烷管線 管線故障 鐵道運(yùn)輸 槽車出軌 槽車出軌后顛覆 運(yùn)行 0.2 公路運(yùn)輸 公路槽車事故（包括潑濺） 運(yùn)行 海上運(yùn)輸（倫敦港） 港內(nèi)移動(dòng)時(shí)嚴(yán)重船船相撞 入港時(shí)碰撞 擱淺 火災(zāi) 移動(dòng) 港 港 港 直升飛機(jī) 全部事故 死亡事故 飛行 飛行 6.3.3 基本事件概率重要度和臨界重要度6.3.3.1 概率重要度 基本事件概率重要度反映基本事件

27、發(fā)生概率的變化對(duì)頂事件發(fā)生概率的影響。概率重要度的定義為 (6.23)式中，故障樹的概率函數(shù)； 第個(gè)基本事件的發(fā)生概率。 知道了故障樹概率函數(shù)和各基本事件發(fā)生概率，就可以按上式計(jì)算各基本事件的概率重要度。 例如，對(duì)于圖6.3的故障樹，假設(shè)各基本事件發(fā)生概率分別為，則基本事件的概率重要度為 類似地，可以算出其余各基本事件的概率重要度為，。于是，各基本事件概率重要度次序?yàn)?如果能夠減少概率重要度大的那些基本事件發(fā)生概率，則可以有效地控制頂事件發(fā)生。6.3.3.2 臨界重要度 一般情況下，減少發(fā)生概率大的基本事件的發(fā)生概率比較容易。用頂事件發(fā)生概率的相對(duì)變化率與基本事件發(fā)生概率的相對(duì)變化率之比來評(píng)價(jià)

28、的基本事件重要度，叫做臨界重要度?；臼录R界重要度定義為 (6.24) 該式又可以寫成 (6.25) 假設(shè)圖6.3所示故障樹中各基本事件發(fā)生概率同前，則按上式計(jì)算各基本事件臨界重要度為，。于是，各基本事件概率重要度次序?yàn)?6.3.4 故障樹分析用計(jì)算機(jī)程序 當(dāng)故障樹比較復(fù)雜時(shí)人工進(jìn)行定性、定量分析是件費(fèi)時(shí)費(fèi)力的事情。早在60年代人們就開發(fā)了故障樹分析用計(jì)算機(jī)程序，然而受當(dāng)時(shí)計(jì)算機(jī)技術(shù)的限制，應(yīng)用蒙特卡羅模擬方法求解一個(gè)300個(gè)邏輯門的故障樹需要運(yùn)算一個(gè)多月，其應(yīng)用受到限制。60年代末出現(xiàn)的故障樹分析用程序PREP和KITT是最初的實(shí)用程序，在第一次核電站危險(xiǎn)性評(píng)價(jià)中得到應(yīng)用。70年代以后采用

29、各種算法的程序相繼問世，迄今各種故障樹分析用計(jì)算機(jī)程序已經(jīng)多不勝數(shù)。 按其基本功能，把故障樹分析用計(jì)算機(jī)程序劃分為定性分析、定量分析兩類。6.3.4.1 定性分析程序 定性分析程序運(yùn)行時(shí)，輸入故障樹的邏輯門和基本事件，輸出最小割集合。有自上而下和自下而上兩種求解方式。大多數(shù)程序利用布爾代數(shù)化簡(jiǎn)原理，也有行列法那樣特殊的方法。 一般地，求解故障樹的最小割集合需要占用大量的計(jì)算機(jī)內(nèi)存和花費(fèi)許多計(jì)算機(jī)時(shí)間，給分析復(fù)雜的大故障樹帶來許多困難。實(shí)際上，割集合數(shù)目可能隨著邏輯門數(shù)的增加呈冪指數(shù)增加，達(dá)到數(shù)百萬(wàn)、數(shù)千萬(wàn)。另外，基本事件數(shù)目和邏輯門數(shù)目并不能完全代表故障樹的復(fù)雜程度和最小割集合的多少，因此很難

30、預(yù)測(cè)需要的計(jì)算機(jī)內(nèi)存和運(yùn)算時(shí)間。為了便于分析復(fù)雜的大故障樹，人們研究了許多辦法來減少對(duì)計(jì)算機(jī)容量和運(yùn)行時(shí)間的要求。主要辦法有： 1）去掉超過規(guī)定階數(shù)的割集合（階截?cái)啵?2）去掉其發(fā)生概率小于規(guī)定值的割集合（概率截?cái)啵?3）把故障樹分解成若干模塊，每個(gè)模塊是若干基本事件的集合，相當(dāng)于一個(gè)“大基本事件”，然后再求由“大基本事件”組成的故障樹的最小割集合，最終求出原故障樹的最小割集合。一般地，可以把一個(gè)中間事件作為一個(gè)模塊處理； 4）通過二進(jìn)制處理優(yōu)化存儲(chǔ)空間。 一般地，后兩種辦法比較有效。 故障樹定性分析用計(jì)算機(jī)程序種類繁多，商品化軟件也很豐富。下面是其中比較著名的幾種商品軟件： 1） PRE

31、P。 該程序用兩種方法求最小割集合：一種方法是把基本事件1個(gè)、2個(gè)、3個(gè)直到規(guī)定的階數(shù)組合起來，看其能否使頂事件發(fā)生而確定最小割集合；另一種方法是利用事件發(fā)生概率進(jìn)行蒙特卡羅模擬找出最可能發(fā)生的最小割集合。前一種方法花費(fèi)過多的計(jì)算機(jī)時(shí)間；后一種方法則可能漏掉一些最小割集合。該程序可用于分析包含2000個(gè)基本事件、2000個(gè)邏輯門的故障樹，求解3階以內(nèi)的最小割集合時(shí)效率很高。 2） MOCUS。利用福賽爾提出的行列法自上而下地求出最小割集合或最小徑集合。該程序不適于分析含有互斥基本事件的故障樹，故常用來求解最小徑集合。 3）PATHCUS。輸入最小徑集合輸出最小割集合，或者輸入最小割集合輸出最小

32、徑集合。 4）FATRAM。該程序算法與MOCUS的算法類似，由于采用了邏輯門優(yōu)化處理技術(shù)而節(jié)省了大量計(jì)算機(jī)內(nèi)存和運(yùn)算時(shí)間。它可以根據(jù)用戶規(guī)定的階數(shù)輸出最小割集合。 5）TREEL和MICUP。由加利福尼亞大學(xué)開發(fā)，其算法與MOCUS的算法類似，但是采用自下而上的方式求解，其中TREEL確定最小割集合的最大數(shù)目和階數(shù)，然后去除超過規(guī)定階數(shù)的最小割集合，可以節(jié)省計(jì)算機(jī)內(nèi)存和運(yùn)算時(shí)間。6.3.4.2 定量分析程序 （1）利用最小割集合的定量分析程序 在已知最小割集合和基本事件發(fā)生概率的情況下，求解頂事件發(fā)生概率、頂事件發(fā)生次數(shù)期望值和基本事件重要度。 1）KITT。根據(jù)威土利的動(dòng)態(tài)樹理論開發(fā)的定量

33、分析程序，該程序既可以用于不維修問題也可用于維修問題。用PREP或MOCUS獲得的最小割集合可以直接輸入該程序。 2）SPOCUS。KITT的改進(jìn)版，計(jì)算效率較高。 （2）定性和定量分析程序 這類程序可同時(shí)獲得最小割集合與頂事件發(fā)生概率。比較著名的SETS由美國(guó)桑的亞實(shí)驗(yàn)室開發(fā)。它利用布爾代數(shù)公式自上而下方式的分析，可以分析包含8000個(gè)基本事件和邏輯門的故障樹，該程序還可以用于事件樹分析。 類似的程序很多，如美國(guó)的ALLCUTS，PL MOD，RAS，意大利的AWE1，CADI，DICOMICS，SALP-3，德國(guó)的MUSTAFA，MUSTAMO，RALLY，法國(guó)的PATRICK，丹麥的FA

34、UNET等。 （3）直接求解程序 直接利用布爾代數(shù)公式自下而上的計(jì)算出頂事件發(fā)生概率和求出最小割集合。其中比較著名的有法國(guó)的PATREC，加拿大的SIFTA，美國(guó)的WAM-BAM等。6.4 故障樹分析實(shí)例6.4.1 編制故障樹 編制故障樹又稱故障樹合成（Synthesis），是故障樹分析的第一步，其目的在于找出可能導(dǎo)致頂事件發(fā)生的全部基本事件，弄清基本事件之間、基本事件與頂事件之間的關(guān)系。故障樹的基本事件一般地包括物的故障、人失誤或環(huán)境問題，即第二類危險(xiǎn)源。因此，編制故障樹的過程是辨識(shí)危險(xiǎn)源的過程，正確地編制故障樹才能正確地辨識(shí)危險(xiǎn)源。同時(shí)，正確地編制故障樹也是進(jìn)行后面的定性分析和定量分析的基

35、礎(chǔ)。 為了正確地編制故障樹，需要注意如下二個(gè)問題： （1）確定頂事件。頂事件是被故障樹分析的對(duì)象，在危險(xiǎn)源辨識(shí)、控制和評(píng)價(jià)時(shí)，把被分析的系統(tǒng)故障或事故確定為頂事件。為了更有效地進(jìn)行故障樹分析，作為頂事件的系統(tǒng)故障或事故應(yīng)該能清晰地回答“何時(shí)”、“何地”、“何種故障或事故”。例如，以“裝置火災(zāi)”為頂事件就不如“氧化反應(yīng)裝置運(yùn)轉(zhuǎn)中反應(yīng)失控”明確。 （2）規(guī)定分析的邊界條件。編制故障樹時(shí)必須規(guī)定下述的邊界條件： 1）硬件系統(tǒng)的邊界。硬件系統(tǒng)的邊界包括故障樹分析涉及的設(shè)備，這些設(shè)備與銜接工藝間的交接面，公用供應(yīng)系統(tǒng)等。 2）分析的深度。分析的深度是指分析的詳細(xì)程度，即查找的基本原因詳細(xì)到什么程度。例如

36、，可以把閥門作為一個(gè)部件來考慮，也可以把它分解成閥體、閥瓣、閥桿等零件來考慮。確定分析的深度時(shí)一方面考慮分析的目的要求，另一方面也要考慮到可能獲得的故障資料的詳細(xì)程度。 3）初始條件。初始條件包括初始設(shè)備條件和初始運(yùn)轉(zhuǎn)條件。這些條件確定什么樣的狀態(tài)屬于故障狀態(tài)，什么樣的狀態(tài)屬于正常狀態(tài)。例如，閥門可能關(guān)閉也可能開啟，根據(jù)其在系統(tǒng)中的功能情況確定哪種狀態(tài)屬于正常狀態(tài)。 4）不考慮的事件。有些事件或條件在故障樹分析中可以不考慮。例如，在分析儀器故障時(shí)一般不考慮導(dǎo)線故障。 5）現(xiàn)有條件。現(xiàn)有條件是一些在故障樹分析中一定要出現(xiàn)的事件或條件。 不考慮的事件和現(xiàn)有條件不一定在故障樹中出現(xiàn)，但是在分析其它故

37、障時(shí)必須考慮其影響。 6）其它前提條件。其它前提條件是分析者在進(jìn)行故障樹分析時(shí)對(duì)系統(tǒng)做的一些有關(guān)的假設(shè)。 編制故障樹從頂事件開始，演繹地推論其發(fā)生原因，得到第一層中間事件，然后再尋找中間事件發(fā)生原因，直到找出全部基本事件為止。如果只要有一個(gè)輸入事件發(fā)生則輸出事件就發(fā)生，則用邏輯或門把輸入事件和輸出事件連結(jié)起來；如果必須全部輸入事件都發(fā)生輸出事件才發(fā)生，則用邏輯與門把輸入事件和輸出事件連結(jié)起來。 為了系統(tǒng)、全面地編好故障樹，在編制過程中應(yīng)該遵從如下的規(guī)則： 1）故障事件的描述。把故障事件寫入事件符號(hào)中，準(zhǔn)確地描述元素及其故障模式。應(yīng)該寫清楚在“何時(shí)”、“何處”發(fā)生了“何種”故障，并且盡可能做到用

38、語(yǔ)簡(jiǎn)捷。 2）故障事件的分類。在編制故障樹時(shí)把故障事件劃分為兩類：元素故障和系統(tǒng)故障。如果是元素故障，則可以在邏輯或門下分別找出無(wú)素的原生故障、次生故障和指令故障。 原生故障是元素在規(guī)定的條件下運(yùn)轉(zhuǎn)過程中發(fā)生的故障，其發(fā)生往往是由于元素自身的缺陷造成的，而不是由于外力或外部條件引起的。 次生故障是元素在規(guī)定之外的條件下運(yùn)轉(zhuǎn)時(shí)發(fā)生的故障，其發(fā)生是由于外力或外部條件作用的結(jié)果，并非元素自身缺陷引起的。 指令故障是元素的控制指令不正確而出現(xiàn)的功能故障，其發(fā)生不是元素自身的問題而是控制它的指令方面的問題。例如，超溫報(bào)警器在超溫時(shí)沒有報(bào)警，發(fā)生了故障，但是其故障原因是溫度傳感器故障而沒有向報(bào)警器傳達(dá)指令

39、。 一般地，編制故障樹過程中遇到原生故障則不必繼續(xù)分析；如果是次生故障或指令故障則需要繼續(xù)分析，一直分析到原生故障為止。 3）完成每個(gè)邏輯門。應(yīng)該完成每個(gè)邏輯門的全部輸入事件后再去分析其它邏輯門的輸入事件。注意，兩個(gè)邏輯門不能直接連接，必須經(jīng)過中間事件連結(jié)。 在編制故障樹時(shí)，不同的人對(duì)事故發(fā)生機(jī)理認(rèn)識(shí)不同，看問題的角度不同，或者知識(shí)、經(jīng)驗(yàn)不同，對(duì)同一系統(tǒng)中發(fā)生的同樣事故編制出的故障樹也不盡相同，甚至差別很大。特別是涉及到人的因素時(shí)問題變得復(fù)雜起來，編制出得到公認(rèn)的故障樹更加困難。6.4.2 從腳手架上墜落死亡事故的故障樹分析 佐藤吉信在分析一造船廠中發(fā)生的從腳手架上墜落死亡事故原因時(shí)，進(jìn)行了故

40、障樹分析。6.4.2.1 編制故障樹 在某造船廠拆除腳手架的作業(yè)中，一工人扛著拆下的桿子在腳手架上行走時(shí)因身體失去平衡而墜落。當(dāng)時(shí)他沒有佩帶安全帶，所以一直墜落到堅(jiān)硬的地面上，當(dāng)即死亡。這是一起典型的高處墜落傷亡事故。 選擇“從腳手架上墜落死亡”事件作為故障樹的頂事件，它的發(fā)生是由于“從腳手架上墜落”，即是“從腳手架上墜落事故”的結(jié)果。事故發(fā)生后能否造成人員死亡取決于墜落高度和地面狀況（高度、雜物等），因此在頂事件和第一個(gè)中間事件之間用控制門連結(jié)：只有在高度和地面狀況達(dá)到一定程度時(shí)死亡才會(huì)發(fā)生。 “從腳手架上墜落”事故的發(fā)生是由于“不慎墜落”。但是，僅僅“不慎墜落”還不足以造成事故，因?yàn)槿绻?/p>

41、全帶可以把墜落者拉住則能阻止墜落。于是，“安全帶沒起作用”和“不慎墜落”同時(shí)發(fā)生是“從腳手架上墜落”事故的必要原因，把它們用邏輯與門和上一事件連結(jié)起來。 中間事件“不慎墜落”的發(fā)生，可能是由于在腳手架上“滑倒”或“身體失去平衡”，同時(shí)“身體重心超出”腳手架。因此，這里用條件或門連結(jié)，“身體重心超出”是引起“不慎墜落”發(fā)生的必要條件，畫成條件事件。在這里不去追究“滑倒”、“身體失去平衡”的原因，故用了省略符號(hào)。 中間事件“安全帶沒起作用”可能是因?yàn)椤皼]使用安全帶”或安全帶受力時(shí)發(fā)生“機(jī)械性破壞”，用邏輯或門連結(jié)起來?！皼]有使用安全帶”可能是“因走動(dòng)而取下”或“忘帶”，用邏輯或門把它們連結(jié)起來。此

42、處，“因走動(dòng)而取下”安全帶既不是不安全行為也不是人失誤，而是生產(chǎn)活動(dòng)中的正常行為，故畫成房形符號(hào)?！皺C(jī)械性破壞”可能是由于“安全帶損壞”或固定安全帶的“支撐物破壞”，用邏輯或門把它們連結(jié)起來。 得到的故障樹如圖6.8所示。 圖6.8 從腳手架上墜落死亡事故原因分析故障樹6.4.2.2 故障樹分析 該故障樹共包括6個(gè)基本事件、2個(gè)條件事件，包括一個(gè)控制門、一個(gè)邏輯與門和4個(gè)邏輯或門。 故障樹的結(jié)構(gòu)函數(shù)為 最小割集合共8個(gè)，都是由4個(gè)基本事件組成的： 最小徑集合共4個(gè)，它們是： 根據(jù)各基本事件在最小割集合、最小徑集合中出現(xiàn)的情況，可知基本事件（高度和地面狀況）、（身體重心超出）最重要，應(yīng)該優(yōu)先采取措施控制它們。例如，張掛安全網(wǎng)（平網(wǎng)）以降低墜落高度和緩沖；在腳手架外側(cè)張掛安全網(wǎng)（立網(wǎng)）以防止人員身體重心超出等。 根據(jù)前面兩個(gè)最小徑集合，可以采取措施確保安全帶起作用，以及設(shè)法防止人員滑倒和身體失去平衡來防止墜落發(fā)生。6.4.3 化學(xué)反應(yīng)失控事故原因分析故障樹 布郎寧（Browning R·L）曾編制了化學(xué)反應(yīng)失控事故原因分析故障樹，用以說明如