初始事件 减缓因素A 减缓因素B
ICS 21.020
L 05
GB/T 37080—2018/IEC 62502:2010
AnaIySiS techniques for dependability—EVent tree analysis (ETA)
(IEC 62502:2010,IDT)
2018-12-28 发布 2018-12-28 实施
国家市场监督管理总局务右 中国国家标准化管理委员会发布
—ɪ__
刖 ≡
本标准按照GB/T 1.1 一2009给出的规则起草。
本标准使用翻译法等同釆用IEC 625O2≡2O1O≪可信性分析技术 事件树分析(ETA)L 本标准由中华人民共和国工业和信息化部提出。
本标准由全国电工电子产品可靠性与维修性标准化技术委员会(SAC/TC 24)归口。
本标准起草单位:工业和信息化部电子第五研究所。
本标准主要起草人:胡宁、潘勇、吴凡。
Ill
本标准规定了可信性分析技术——事件树分析(ETA)的基本原则和程序。
IEC 60300-3-1明确地将ETA列为适用于可信性评估的通用方法.该方法同样适用于风险和安全 性分析研究。IEC 60300-3-9中亦有ETA的简单描述。
ETA自19世纪60年代出现以来,其基本原则一直没有变化。该方法首次成功应用于核工业,即 由美国原子能委员会1975年发表的WASH-1400报告[31T)中。
在随后的几年里,ETA作为一种可信性和风险分析的成熟技术得到普遍接受,并在包括航空、核设 施、汽车、化学、近海石油、天然气、国防和交通系统在内的多个工业领域得到广泛应用。
与其他可信性分析技术(如马尔可夫模型)相比,ETA基于的数学原理相对简单。但是,正如 IEC 60300-3-1所述,由于相关事件的处理过程往往是棘手的,ETA的实施需要高度专业的应用技术。 此外,在应用事件树进行定性和定量分析时,可利用其与故障树分析(FTA)之间的密切关系。
本标准旨在确定ETA统一的基本原则,及其作为一种评估系统可信性和风险相关量度技术方法 的一般应用。
1)方括号中的数字是指参考文献。
1范围
本标准规定了事件树分析(ETA)统一的基本原则,并为初始事件的后果建模和这些后果在可信性 及风险相关量度方面的定性与定量分析提供指南。
具体而言,本标准讨论与事件树相关的下列内容:
a) 定义基本术语,描述符号的应用及图形表示方式;
b) 描述构建事件树的程序步骤;
C)详细说明进行该项分析的假设条件、局限性和优势;
d) 识别该方法与其他可信性及风险相关技术的关系.阐明其适用范围;
e) 给出定性和定量评价的指南;
f) 提供实践案例。
本标准适用于所有需要评估初始事件后果的可信性和风险相关量度的行业。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 2900.13—2008 电工术语 可信性与服务质量(IEc 60050-191 : 1990,IDT)
IEC 61025 :2006 故障树分析[(Fault tree analysis (FTA)J
3术语、定义、缩略语和符号
3.1术语和定义
GB/T 2900.13→008界定的以及下列术语和定义适用于本文件。
3.1.1
节点 node
事件树图形中的点,描述减缓因素的两个或多个可能的输出。
注:相应故障树中的顶事件可直接关联到一个节点。
3.1.2
共因 COmmOn CaUSe
引起多个事件的原因。
[IEC 61025:2006,定义 3.15]
注:在特定情形下,应当指明多个事件发生的时间框架。例如,多个事件在某一时刻同时发生,或在非常短的时间 内相继发生。
示例:特定的自然灾害(例如,火灾、洪灾),工程系统的失效,生物感染或者人为因素。
3.1.3
事件 event
某一状态或活动的发生。
LIEC 61025:2006,定义 3.8]
3.1.4
首咅[5 headings
事件树图形上方列出减缓因素的一行。
3.1.5
初始事件 initiating event
事件树中的起始点,即可能引起不同结果的事件序列的起始事件。
3.1.6
减缓因素 mitigating factor
减轻初始事件后果的系统、功能或者其他具体因素。
注:许多行业使用特定的等效术语.例如,防线、保护线、保护系统、安全柵、保证线、风险减缓因子等。
3.1.7
结果 OUteome
考虑所有相关减缓因素作用后事件序列的可能后果,事件树在此后无需继续展开。
3.1.8
序歹 U SeqUenCe
从初始事件开始,经后续事件,直致特定结果的事件链。
3.1.9
顶事件 top event
预先定义的不期望事件,它是故障树分析的起始点和最关注的事件,位于故障树层次结构中的 顶端。
注:它是所有输入事件组合的结果。
3.1.10
分支 branch
源自同一节点的两个或多个可能输出之一的图形化表示。
3.2缩略语和符号
3.2.1缩略语
下列缩略语适用于本文件。
CCA :因果分析
ETA :事件树分析
FMEA:失效模式和影响分析
FTA:故障树分析
1RF:个体致命风险
LESF:两种可信性技术的结合:大事件树(LE)关联小故障树(SF)
LOPA:防护层次分析
RBD:可靠性框图
PRA:概率风险评估
PRA/PSA:概率风险/安全性分析
SELF:两种可信性技术的结合:小事件树(SE)关联大故障树(LF)
3.2.2符号
A :大写斜体,表示事件A已发生。
&:大写斜体,上面有一条横线,表示事件A未发生。
Ie:斜体,表示初始事件已发生。
O,e.λ.b :表示下标中所有事件(逗号分隔的大写斜体字母)按照下标中的先后顺序依次发生的结果 (见图3中示例)。
α,∙∙∙,S:小写希腊字母,表示事件树的特定结果。
** + ":表示逻辑“或”。
表示逻辑“与”。
P(A):事件A的发生概率。P(A)是闭区间[0,1]中与事件A相关的一个实数,参见[25]。
P(1e.A.B.C):初始事件ZE和事件A已发生,而事件B和C未发生的概率。
F(AUe):在初始事件JE已发生的情况下,事件A发生的条件概率。
/:发生频率(单位时间内的事件数),参见[25] O
f S:结果a的发生频率。
4概述
事件树分析(ETA)是一种归纳的程序方法.用于对给定初始事件可能引发的结果以及减缓因素的 状态进行建模,识别并评估各种可能结果发生的频率或可能性。
事件树的图形化表示要求以统一的方式应用各种符号、标识和标签。由于事件树的表示因用户偏 F存在差异V附录A统f 出子通用的"化表示符号集合H一
从初始事件出发,ETA处理“如果••••••会发生什么”的问题。基于这一问题,分析者可以构建一棵 包含各种可能结果的事件树。因此,针对一个详尽的初始事件清单逐一进行事件树分析,对于合理描述 待分析系统的全部重要事件序列是十分必要的。使用这一逻辑,ETA可描述为一种表示可考虑的减缓 因素对初始事件响应的方法。
从定性的角度,ETA有助于识别所有的事故场景(由成功或失效分支呈树形展开),以及潜在的设 计、程序缺陷。成功分支表达减缓因素按预期实施的情形。与其他分析技术一样,事件树建模中应特别 注意事件之间的相关性,并且事件树定量分析中事件的发生概率与先于该事件发生的事件序列相关。 第8章将讨论定性分析方面的问题.定量评估每种结果的发生概率(无量纲)或频率(单位:l/h)的基本 准则。尽管在理论上可以应用事件树对人员误操作和软件失效的影响进行建模分析,但是鉴于IEC 62508 JEC 62429已覆盖这些内容,其量化分析在本标准中不作介绍。
作为可信性和风险相关的一种技术,ETA的优势和局限性将在第5章讨论。举一个ETA局限性 的例子,随时间演变的动态系统在ETA分析中需要谨慎处理,因为只有在特定的情形下,ETA才能合 理解决这些问题。这一局限性促进了与ETA密切相关的诸如动态事件树分析方法的发展,有助于动 态系统的建模。动态事件树在本标准中不作详述,具体信息见参考文献。
ETA与FTA具有密切的联系,FTA中的顶事件的条件概率与ETA中特定节点相对应。ETA与 FTA、因果分析(CCA)、防护层次分析(LOPA)等其他分析技术的关系将在第6章详述。CCA综合致 因分析和后果分析,因而包含了演绎和归纳两种分析方法。LOPA是ETA在加工工业中开发的一种 特定应用。
由于事件树构建的第一步和良好的构建方法是成功的关键,第7章将从系统的准确定义开始介绍 事件树的构建。此外,第7章还将讨论系统的技术、运行、人因、功能等不同方面以及分析的深度问题。 如何建立相关的初始事件清单是另一个重要的问题。
图1描述了 ETA的主要实施步骤。尽管其程序在表面上比较简单,但是分析者需牢记,构建事件
树是一个不断迭代的过程。
图1事件树建模步骤
第9章简要列举分析需要的文件以及分析结果。
附录A总结了事件树中通用的图形符号。附录B给岀了 ETA的案例,突出其在众多领域的应用, 并为ETA的实施提供了指南。
5 ETA的优势和局限性
5.1优势
ETA具有以下优势:
a) 适用于所有类型的系统;
b) 提供了跟随初始事件的形象化事件链;
C)能评估多重并发的系统故障(导致无法执行规定功能的状态,例如监视系统的缺陷)或失效(执 行规定功能的能力中断,例如-阀门在打开位置卡住事件),以及其他相关事件;
d) 同时用于失效和成功域:
e) 识别其他方法可能无法预知的最终事件;
f) 识别潜在的单点失效、系统脆弱区域和低费用对策,可用于优化资源配置,并通过改进程序和 安全性功能增强对风险的控制;
g) 允许识别和追踪系统的失效传播路径;
h) 能将大型复杂系统分解成较小、更易管理的部分,并分类归并为更小的单元和子系统。
与其他许多分析和风险相关的技术相比,ETA的长处在于对跟随初始事件发生的各种减缓因素序 列及其相互作用建模的能力。因而,系统及其所有减缓因素的相互作用在事故场景中得以可视化.便于 分析者进一步的风险评价。
5.2局限性
下列可信性分析技术一般的局限性,同样适用于ETA:
a) 分析本身并不揭示初始事件,对方法的使用者而言,编制全面的初始事件清单是一项分析 任务;
b) 编制全面的可能运行场景清单是分析者的一项任务;
C)潜在的系统相关性可能被忽视,从而导致与可信性和风险的相关量度估计过于乐观;
d) 方法的实践经验以及预先的系统调研对于正确处理条件概率和相关事件都是必要的;
此外.ETA还具有下列局限性:
e) 仅当相关系统显示其是真正的恒定概率或失效率,或者在恢复和维修策略情况下,其稳态不可 用度很快能达到时,才能处理涉及时间相关性概率的时间相关演进。在处理定期检测系统时, 需要考虑这方面的问题;
f) 对于时间相关演进的另一个难点涉及动态情形,例如,一个减缓因素成功的判据会随其之前的 减缓因素执行情况而变化。通常,会做一个保守的假设反映这种情形;
g) 处于一个特定的状态超过限定的时间可能会导致故障状态的情形。这种状态难以用事件树建 模(例如,轮胎缓慢漏气);
h) 事件树中的相关性,例如,需要仔细考虑初始事件和减缓因素之间的依赖性。然而,很少有方 法能单独适用于处理相关性(相关失效)。在处理这方面的问题时,FTA和ETA的综合应用 证明是有益的;
i) 尽管能识别导致系统失效的多重事件序列,但如果没有附加的分析,仍然难以辨别与特定结果 相关的事故的重大程度。分析者应意识到这一需求。
6与其他分析技术的关系
6.1 ETA与FTA的结合
实际应用中,ETA有时作为一种独立的分析技术,有时会与FTA 一起使用。
FTA主要用于识别并分析导致或可能导致预定不期望事件发生的条件和因素。更多信息参见 IEC 61025o
ETA与FTA结合,克服了 ETA的许多缺陷.例如,在定量分析中可以考虑共因失效。因此,ETA 与FTA结合成为一种强大的可信性和风险分析技术。
ETA与FTA结合(有时作为因果分析(CCA),参见[30]和[36])使用是常见的。例如,FTA可用 于计算ETA中初始事件的发生频率事件序列中各事件的条件概率通常也由FTA计算。另外,核 电站实施的称为PRA的概率风险评价,是ETA与FTA综合应用的一个例子。
理论上,ETA可用于分析任意初始事件的演变。然而,在一种或多种情况下,由于下列某些原因, 这种分析可能并不适用:
a) 最终得到的事件树可能会非常复杂;
b) 有时建立因果关系比构建事件序列更为容易;
C)处理运行(如程序规则)和技术分析通常由不同的团队完成。然而,在分析之初,运行域(如程 序规则、维修规则)和技术域(待分析系统)之间的界面和从属关系往往是不清晰的。因此,在 实操程序中,应首先定义运行域和技术域界面间的潜在事件。在安全性应用的特定情况下,这 是标准程序。通常,利用设计(如失效-安全设计)能排除单点故障.因此,ETA通常不应由单 点故障在没有任何进一步可能的减缓因素情况下直接导致严酷的结果。
有两种事件树与故障树的结合方法供选择。一种是大事件树关联小故障树(LESF)方法;当事件树 变得非常庞大时,可选用小事件树关联大故障树(SELF)方法。
在LESF方法中,支持待分析系统的所有系统(后面简称为支持系统)的状态会明确出现在事件树 中。故障树的顶事件与边界条件关联,该边界条件包含支持系统处于合乎待评价事件序列的特定状态 的假设。分立的故障树被用于给定系统的每一个边界条件的集合。这些分立故障树由单个故障树组 成,单个故障树包含支持系统,并且在关联到一个特定的序列之前,是与这一序列关联的支持系统状态 的“条件这种方法生成明确表示存在相关性的SELF。由于这种方法关联的故障树规模较小,很少 有对计算机资源和程序复杂性方面的要求。但是•事件树的复杂性会随树中明确描述的支持系统数量 及其状态数量组合的增加而迅速増长。而且.量化过程变得更加困难,并受制于可能的疏漏。另一个额 外的考虑:LESF方法不能明确识别什么样的支持系统失效组合导致了系统(即前沿系统)失效。图B.1 给出了一个简化的大事件树例子。更多信息参见[31]o
SELF方法中,首先构建带有初始事件和如首部所示不同减缓系统执行的减缓功能的事件树,然后 再根据首部所示前沿系统的状态进行扩展。前沿系统的故障树模型向下开发至带有支持系统的适当边 界。支持系统的故障树则分别构建,并在后期集成到前沿系统的模型中。这种方法生成简明的故障树, 可从事故序列的角度综合。此外,受可用的计算机程序所限,小事件树可更容易计算。然而,支持系统 的相关性和相对重要程度并不直观。这样一个小事件树的原理例子见图B.3,更多详细信息参见[4丄
6.2防护层次分析
LOPA是一种特定的ETA规范化表格,作为一种简易方法用于为某些特定应用环境剪裁的风险 分析。LOPA与失效模式和影响分析(FMEA)类似,按工作表形式组织;初始事件记录在行.而不同减 缓层次(代表规范化的减缓因素)记录在列.这就意味着,LOPA的任意事件序列也能像ETA 一样处 理。出于风险分析目的,严酷度(或者危险)层次也集成到工作表。
因此,LOPA可视作一种为某些特定应用环境剪裁得到的受限制的可能减缓因素集合的ETA,主 要用于过程行业。更多有关LOPA的详细信息参见[□和[5]。
6.3与其他技术的结合
ETA可以跟任何有助于推导相应的减缓因素成功或失效概率其他技术(如马尔可夫技术、可靠性 框图(RBD),参见[16]O)结合应用,但在这些情形下,其他技术只是作为ETA技术的补充。
对于非常规或时间相关性的系统行为(见8.3.2).如果同时考虑其他限定条件,可采用马尔可夫技 术。更多详细信息参见口7丄
失效模式和影响分析(FMEA)(参见[13])是另外一种密切相关的可信性分析技术。FMEA是一 种形式化的系统程序,用于识别潜在的失效模式及其原因和对系统性能的影响,参见[13]o FMEA有 助于识别潜在失效模式的严酷度,确认包含减缓因素的设计能将各个系统或功能失效的可能性降低到 可接受水平。这种方法通过识别系统至关重要的失效作为可能的初始事件.可充当构建事件树的第 —步。
马尔可夫模型、RBD 和 FMEA 分别参见 IEC 61165™、IEC 61078c'w 和 IEC 60812M。
7事件树的建立
7.1概述
事件序列中各事件通常用下列术语表述其特性:
a) 功能:完成(或未完成)功能作为减缓因素;
b) 系统:系统以减缓因素的形式介入(或未介入),假定这些系统会采取措施防止初始事件演化为 事故,或在减缓因素失效的情况下减缓事故本身;
C)现象:物理现象出现与否。
典型地,先识别出跟随初始事件的必要功能,然后才是执行这些功能的系统(减缓因素)。物理现象 描述了发生在待分析系统内部和外部的演进(例如,压力或温度的瞬变、着火、毒性扩散等)。
在进入7.2的详细步骤之前,应清晰定义ETA的范围和目的。
7.2 ETA的步骤
7.2.1程序
执行ETA(见图1)的程序包括以下6个步骤:
第1步:定义系统或活动(见7.2.2)
明确规定和清晰定义进行ETA的系统和活动的边界。
第2步:识别初始事件(见7.2.3)
执行筛选以识别关注的事件或待分析事件的类别。事件类别包括碰撞、着火、爆炸、毒性扩散等。
第3步:识别减缓因素和物理现象(见7.2.4)
识别能影响初始事件演化到其结果的各种减缓因素。这些减缓因素包含工程系统和人的活动,/决 策。同时,还要识别可能影响初始事件演化及其最终结果的物理现象和偶发事件,如点火装置和气象条 件等。事件树将基于并由含有所有这些减缓因素和物理现象构成(见7.1)。
第4步:定义事件序列和结果.并进行量化(见7.2.5)
对于每个初始事件,定义可能发生的各种结果(如事故场景),并基于构建的事件树进行定量分析。
第5步:结果分析(见7.2.6)
对各种结果的后果和影响进行分析。
第6歩:ETA结果的应用(见7.2.7)
将定性和定量的分析结果转化为必要的措施。
7.2.2定义系统或活动
事件树分析聚焦于初始事件由于各种减缓因素失效导致事故的路径。对减缓因素进行细心的识别 和调查研究是评价其有效性重要的第一步。
很少有孤立运行的实际系统,多数系统与其他系统相连或相互作用。只有清晰地定义边界,尤其是 与电力、压缩空气等支持系统的边界,分析者才能避免忽略系统接口的关键因素,或者无意的将分析对 象与其他(无关)设备关联,妨碍系统分析。
理论上.事件树分析能覆盖所有可能导致特定结果发生的事件或条件,或者对关注的事故提供一定 程度的保护。然而,要考虑到所有可能的因素往往是不实际的。许多分析中需要定义如下边界:
a) 限定分析方案的层次(例如.在导航系统的研究中.分析者可能会决定不详细分析所有配电系 统的问题);
b) 将某些类型的事件或条件明确排除在分析之外,如人为破坏。
包括假定设备初始处于停机状态在内的系统初始状态会影响导致后续结果的事件组合。例如,假 定一个防护联锁装置例行从服务中移除,就需要修改事件树,以反映因潜在增加的风险而修正的场景。
7.2.3识别初始事件
这一步通常涉及综合的危害识别技术应用,例如假设(What-if)分析、初步评价、初步危险分析等, 系统地评价研究范围内的所有活动•例如对特定行业运行经验的考虑。这一步有助于识别危害及源于 这些危害可能的初始事件。这些识别方法广泛考虑研究范围内的所有活动,试图识别所有的一系列潜 在的初始事件及其相关的所有结果,参见[12L这些识别过程的输出结果通常是各种潜在事件及其预 期后果的详尽清单。
识别分析范围内所有可能发生的事件是这一步的总体目标。完成这些工作后,分析者应用筛选规 则识别最为关注的考虑纳入事件树的初始事件。本质上,有两种可选方法筛选出初始事件:即依据不太 可能的物理性质排除(例如压力、温度或者燃料载荷的给定值未超过额定值),或者依据通常以保守方式 估计得到的初始事件发生频率过低排除。这一步有助于识别那些需要进一步分析以弄清系统间复杂相 互作用的事件。在分析期间应检查初始事件和减缓因素相互作用的可能性.例如.初始事件引发的环境 (如地震后能源供应的丧失)是否会给减缓因素带来不利的影响。
在识别并对最初的事件清单筛选后,余下的事件列表即为事件树需考虑的初始事件。这些事件由 富有经验的专家进行识别,鉴于其复杂性,还需要对各种系统和可能导致不同结果的人因交互进行额外 的分析。
如果在考虑的事件树中有许多事件,那么初始事件应当按照不同的类别进行分组,例如碰撞、火灾、 爆炸、毒性泄漏等。某些情况下,这种事件分类可能并不适用。例如,如果分析的目的是要识别仅与火 灾相关的一系列结果,那么此前执行的筛选分析应排除所有与火灾无关的事件,所以,这最后的事件分 类步骤也就没必要了。
同一类别组的初始事件往往需要相似的减缓因素介入,并导致相似的结果。
7.2.4识别减缓因素和物理现象
一旦确定了初始事件,应确定所有需要用于减缓结果或事故场景的减缓因素,并按其介入的时间组 织。这些因素包括工程部件(如报警器、联锁装置、自动阀门)和管理或者人体系统(如消防,紧急响应. 以及人通过视觉、触觉、声音、气味的察觉)。
由上述部件或减缓因素执行的功能构成了功能事件树的首部。对于每一功能,应识别并列出其可 能的成功或失效集合。每一成功或失效集合各自与一个减缓因素关联,引出事件树的一个分支,不需限 于两个分支节点。
物理现象,有时也称为现象事件,也会影响初始事件的结果。例如,如果可燃液体泄漏,可能会有工 程安全部件隔离泄漏液;然而,如果泄漏液没有被隔离,那么泄漏的最终结果将受不同物理响应的影响, 例如瞬时着火、延时着火和扩散特点。这些物理响应通常也被建模为事件树中的节点。
一个系统分析需要多个事件树对应多个初始事件。根据减缓因素对这些事件树进行分类,可减轻 绘制这些事件树的工作量。这种分类使同一事件树逻辑(如具有相同失效或成功的减缓因素)在关注的 不同的初始事件中得以重复使用。如果一个减缓因素以相同方式响应不同的事件,那么其中的每一个 事件的频率相加即可得到这类事件的典型发生频率。定量分析的更多细节见8.3。
7.2.5定义事件序列和结果,并进行量化
如前所述,ETA技术的一个优势是其对响应初始事件的各种系统介入和交互作用的顺序建模的能 力。因而,各种系统的介入可依次建模。为充分说明考虑这些交互作用,分析者应:
—确定初始事件经过各种减缓因素演化为可能的结果或事故场景的逻辑顺序;
——识别减缓因素间的相关性;
——对给定的先期系统的行为,说明一个系统对其有条件响应的原因;
—构建处理上述问题的事件树。
当然,并非所有初始事件(如系统失效)都会导致灾难性的结果。类似地.也不是每个减缓因素或联 锁装置都会被激发以响应发生的事件。有一逻辑顺序对应自初始事件发生时开始的事故序列。随着事 故序列的演进并变得更为严重,系统以不同的方式响应。理解(事故序列)演进以及系统和物理响应的 时机,对建立事件树种的正确逻辑是必不可少的。例如,一个废物箱中因自燃引起失火,当有人在场且 有灭火器可用时,那么初始的响应将是由人使用手持灭火器扑灭大火。除非事故的严酷程度进一步升 级,整个防火装置和消防队的响应则不会被激发。
大多数系统与其他产品和过程是有联系或相互作用的。这些相互作用,或相关性,会影响(降低)共 享某些设备的冗余系统提供的保护级别。在一个具有冗余转向和动力系统的油罐车例子中,如果这些 转向系统共享相同的液压液供应,那么其中每一系统的失效都可能不是独立的。
事件树包含条件概率。也就是说,减缓因素特定响应(如成功或者失效)的概率以其前面的减缓因 素的特定响应为条件。
推荐的事件树构建过程包含以下步骤:
a) 首先将初始事件置于树的最左边;
b) 从树的顶部开始,按照减缓因素和物理现象影响事故演化的逻辑顺序进行建模;
C)考虑以下两个方面,并在每个节点处标记每个减缓因素的成功(通常置于上面的分支)和失效 (下面的分支):
1) 有些节点可能会有多种结果,从而需要画出多个分支(参见附录A);
2) 有些节点可能只有一种结果,也就是说,只有一条直线经过这个减缓因素。当条件概率等 于1时,这种情况就会发生。由于之前减缓因素的成功或者失效,该因素对结果没有 影响。
这些步骤在附录A中用通用的术语作了更具体的说明,并在铁路系统和发电厂两个应用案例的图 B.1和图B.4中详细说明。
定量分析在8.3和B.2.6的案例中有更详细的介绍。
7.2.6结果分析
事件树分析的结果由事件树每个分支的终点确定。每一结果都能定性或定量评估。对于前者,由 结果识别因研究的初始事件发生的各种事件序列。定量分析能对减缓因素的相对重要程度提供更好的 洞悉,因为这种情况下结果的概率用频率表示。定量ETA需要充足可靠的事件发生数据。
某些情况下依据特定的损害类型(人员伤亡、物质损坏、环境破坏或重大损害、燃料损害)对可能的 结果进行分类被证实是有益的。事件树中结果的数量将由定义的待分析结果类型决定,例如:
a) 系统的故障或损坏状态;
b) 系统的损毁;
C)对环境影响的严酷度;
d)或者人员伤亡。
为对待评估的多个结果实施评价,对相似的结果进行归类和分组是有益的,可简化分析结果。
7.2.7 ETA结果的应用
ETA的结果可构成决策制定的基础,有助于选择明智的最佳安全性方案,并在健全的技术和组织 基础上改进可信性和降低风险。纠正措施可能包括奨系统架构的、运行及维修程序等。
特勒地,基于丄述分析的决策可概括为以下几个方面:
a) 评价风险耐受性和可接受性的能力:基于相应的风险可接受性标准,将相关损害纳入考虑,结 果是否可容忍。
b) 潜在的改进:识别降低风险的因素和被监视系统结构的变化,以达到可接受的标准。
C)改进建议:为改进系统性能提出具体的建议,包括:
D设备变更;
2) 程序更改;
3) 改进管理策略,如规划的维修任务、人员培训等。
d)调整资源配置:评估确定如何实施改进建议以影响性能。
由于被分析系统可能会历经其整个寿命周期中的变化,ETA的不断更新也应贯穿系统的寿命周 期,从而保证其有助于决策过程。这种定期更新的过程在某些行业被称为“活的PRA∕PSA"(概率风 险/安全性评价)。这种在通用的风险管理过程中嵌入必要的分析的更详细描述参见[12]。
8评价
8.1 概述
在开始对不同事件序列结果的频率或概率进行定量分析之前,应首先对事件树模型进行详细的定 性分析,包括覆盖含初始事件和关联的故障树顶事件、中间事件和基本事件的事件相关性分析。
为便于描述评价的基本原则.用图2所示的事件树基本的图形表示作为图例。
8.2定性分析——相关性管理
8.2.1概述
定性分析的目标可以归纳为以下几点:
a) 增进对可能决定系统功能之间或系统部件之间相关性的因素的了解;
b) 识别重要的潜在相关失效事件;
C)辅助事件树定量分析,并与故障树建立适当的关联关系。
定性分析,尤其是相关性分析.在不同章条中阐述•目的是强调特定的主题,并非因为这些分析项目 有必要在事件序列分析和系统分析中分别执行。
主要有两个方面的相关性,即:
——功能相关性(见8.2.2);
——结构或物理相关性(见8.2.3)o
例如,当一个减缓因素的失效致使相继的某一减缓因子不可能介入起作用时,相关性可以是功能上 的。例如,若不同减缓因素包含相同的部分,则该部分故障会导致这些减缓因素同时失效。更详细的这 些特征参见[40]。
为简单起见,后面的故障树都是在系统层面考虑的。
初始事件 减缓因素A 减缓因素B
|
初始事件 |
减缓因素A |
减缓因素B |
8.2.2功能相关性
事件树序列中各种减缓因素的次序,不仅受其可能发生作用的时间而且受其逻辑顺序支配影响。 同时应考虑一个减缓因素的成功介入是否会与另一减缓因素的成功介入相关联。例如,这可能会是这 种情形,如果:
a) 一个减缓因素表现为另一个的支持系统;或者
b) 环境参数的变化以这样的方式出现,其他减缓因素的成功或失效受到影响。
例如,在图3所示的事件树中,相继发生的系统A和系统B(减缓因素)的失效导致了图示的结果。 此例中,系统A由系统B保障。
在事件树中对系统A和系统B重新排序后(见图3),系统B失效后的分支不必再为系统A分解为 两个分支,因为系统B失效意味着系统A也不能执行其功能。这就允许所谓的修剪事件树。由于这些 工作主要由计算机程序完成,分析者的主要作用在于考虑模型的各种相关性。
在应用重新排序的过程之前,分析者应牢记,对事件树的描述可建立系统失效的一个特定时间序列 模型。因此,特定的事件树并未建立初始事件后可能的时间序列完整域模型。当应用关联故障树或布 尔方法(见8.3.2及B.2)工具,应考虑这一因素。
8.2.3结构或物理相关性
结构或物理相关性通常会导致共因失效•这样的失效会导致多重事件(见定义3.1.2)o共因失效的 例子包括由火灾、地震、飓风、工程系统失效(如内部或外部引发的大规模供电失效或爆炸)等事件或者 人的行为(如人为差错、蓄意破坏活动)引起的失效。
因此,需要执行共因分析以确定各种减缓因素对源自内部或外部条件的、系统或功能的失效的脆
IO
弱性。
需要澄清的是,初始事件(如地震)的发生与否会影响关联的故障树中所有顶事件发生的条件概率 (见 8.3.2)o
定性分析的另外一个步骤是识别影响各种减缓因素的共因系统或共因功能。例如,某事件树中系 统B将随系统A的失效而失效,从而导致不期望的结果发生。如果系统A功能为成功实现功能的正常 运行,依赖于系统B的部件,那么就可提取“共同部分”.从而考虑三个系统:由系统A和系统B去除共 同部分得到的系统AJ和系统B",以及代表系统A和系统B中共同部分的系统CO图4描述了这一 情形。
初始事件 系统A 系统B 赢
iv⅛,B∙A
图3事件树中的功能相关性
多数情况下.相关性比图3、图4所示要复杂得多。
例如,由相同维修团队成员实施的维修活动所引入的共因失效就不能使用上述方法简易地建模。 对于相关系统及其部件的多重组合的情况,可借助8.3.2详细介绍的关联故障树进行处理。
8.3定量分析
8.3.1 独立事件序列
当所有减缓因素成功或失效的条件概率相互独立时,定量分析变得非常简单。
考虑包含三个减缓因素-系统A、系统B、系统C的事件树。图5描述了结果事件树中一个特定的 事件序列(用虚线表示),其中的系统A成功执行功能而系统B和系统C失效。下面介绍评估该特定序 列5的结果的频率或发生概率的基本原理。下面是事件树的实际例子。
依据条件概率理论和第3章的相关定义,可应用下面的式(1)计算该序列8的发生概率P。)。
P(5)=P(/EXA ∙ B ∙ C)
= P(∕e) ×P(AIlE)XP(BIiE ∙ A)XP(C∣ Je ∙ A ∙ B) ..................( 1 )
式中:
P(JE) ——初始事件IE发生的概率;
P(A IIE)——初始事件JE发生后系统A成功的条件概率。
A.
iE-
|
初始事件 |
系统C |
系统A* |
系统B* |
结果
图4结构或物理相关性建模
|
初始事件 |
系统A |
系统B |
系统C |
结果
|
初始事件 |
系统A |
系统B |
如果一个系统成功或者失效的概率独立于其他系统成功或者失效的概率.那么其概率就仅以初始 事件∕e发生为条件。从而,式(1)可简化为下面的形式:
P(S) =P(IE) XP(A I /,.;)XP(B I ∕e) ×P(C ∖ IE) .....................( 2 )
式中:
P(Ik)——初始事件Je的发生概率。
初始事件可用无量纲的发生概率F(IE)或者频率人|.:(时间的倒数)来表示。如果使用频率这一概 念,那么这一数学模型也可用来计算序列a的频率心.如式(3)所示。
fs=fκ×P<A I ʃE)XP(BI IE)XP(C I Je) ........................( 3 )
式中:
/1E--初始事件的发生频率。
式⑶在B.1.3、B.2.5和B.2.6给出的案例中均有应用。
对每个可能的序列α ,β,γ^8,-,ω执行上述评估过程,就会得到对初始事件所有结果完整的定量 评价。
如果初始事件发生的数据不足,不宜完全依赖定量分析,而应采用敏感性分析来确定关键的事件 序列。
8.3.2关联故障树和布尔化简
正如6.1所指出,以及受5.2所述局限性制约,可利用故障树计算减缓因素发生的条件概率。
图6是一个包含两个减缓因素(系统A和系统B)的事件树;系统A和系统B故障的概率分别由 F(FA)和P(FB)表示,并由关联故障树计算得到,如图6所示。图6中,依据IEC 61078&,仅描绘了 作为“与”门和•'或”门输出的故障树顶事件。
系统A和系统B对应的顶事件FA和FB的发生概率分别为条件概率P(FA)和P(FB))因而.系 统成功的条件概率分别为1 —P(F,∖)和1—P(Fb)°
当减缓因素受共因事件影响时,可使用布尔代数简化事件树,并识别共因事件。
事件树每一序列产生的结果使用[14]给出的原理管控。[16]给出了必要的布尔约简和隐含项分析 指引。
B. 3给出了特定事件树布尔约简和隐含项分析的详细案例。
在其初始形式中.关联到各种减缓因素的故障树顶事件构成一个减缓因素的特定状态(例如成功或 失效)的概率。这些由故障树计算的概率可与初始事件发生的概率或者频率结合(见8.3.1)。如果顶事 件的发生以失效率或频率的形式表示,那么这些顶事件发生的量度就不是其与初始事件发生频率的简 单结合。因而,应借助马尔可夫模型(参见口7])等其他分析技术。如果减缓因素涉及特殊的恢复或维 修策略,通过马尔可夫建模可得到一个更加实用的模型。更详细的系统不同运行模式及其相应可信性 量度分析参见[18]。
更多关于事件树计算数学基础的详细信息,参见[32]。
定量分析的基本规则相对直接,适用于计算机实现。有许多便于事件树定性和定量分析的可用软 件包。
附录B给出了实际的例子.解释本章的理论考虑。
除了重新排序、提取和故障树布尔运算的理论方面外,重要的是为分析的目标和需求建立清晰的指 南。更全面的建立ETA简明程序的方法,参见[3]。
9文件编制
ETA文件的编制应包括下列某些基本项目。为了使描述更加清晰,可能需要提供附加信息或补充 材料,尤其是对复杂系统。文件编制的关键是要全面覆盖实施的各个步骤。
下列项目中,括号内的是B.2的条号:
a) 分析的目标和范围(B.2.2),(B.2.4);
b) 系统描述(B.2.3):
1) 设计描述;
2) 系统运行;
3) 详细的系统边界定义。
C) 假设(B.2.3),(B.2.4):
1) 系统设计假设;
2) 运行、维修、试验和检验假设;
3) 可靠性和可用性模型假设。
d) ETA(B.2.5), (B.2.6):
1) 初始事件清单的依据和来源;
2) 分析,包括图形表示;
3) 使用数据的来源。
e) 后果、结论和建议(B.2.7)o
关于文件编制的更一般的指南参见口3丄
附录 A (资料性附录) 图形表示
事件树的常用图形表示如图A.1所示。
首部
|
初始事件 (如火灾、地 震......) |
减缓因素A (如功 能、系统、部件、 人员、现象......) |
减缓因素B |
減緩因素...... |
结果 (如爆炸……) |
系统或功能成功 系统或功能失效
图形元素的说明见表A.l。
表A.1 一图形元素
|
元素 |
说 明 |
|
分支 |
见3.1.10---个节点可分出两个或更多的分支,详见7.2.5C)I)O注意只有在二元分支的情 况下才能使用项目B.3使用的布尔方法 |
|
首部 |
见 3.1.4 |
|
初始事件 |
见 3.1.5 |
|
减缓因素 |
见 3.1.6 |
|
节点 |
见 3.1.1 |
|
结果 |
见 3.1.7 |
|
P(FaHe) |
在初始事件(IE)已经发生的情况下减缓因素Λ失效的概率 |
|
成功/失效 |
为了清楚绘出系统或功能成功或失效可能的结果,有必要分别建立成功与失效的明确的标准 |
附录B
(资料性附录) 案 例
B.1核电站火灾事故
B.1.1概述
过去40年的经验表明,当分析一个严重核事故的总体风险的形成因素时,应考虑核电站的火灾 风险。
概率火灾风险分析有以下两层目的:
a) 关键核电站区域对总的堆芯损坏概率的贡献最大,应通过适当的筛选过程识别出来;
b) 应建立火灾事件序列,反映火灾发生、火灾探测、房间隔离、火灾扑救和由灭火剂造成的设备损 坏所带来的影响。
在定量的事件树分析中,应确定由着火源和不同的堆芯受损状态引起的初始事件的频率。
主要任务是通过定量分析和定性筛选过程,识别关键防火分区,具体过程如下所述。
B.1.2筛选分析
第一步,收集核电站所有房间的详细数据,将其按重要程度和功能分类。下列术语来自于一个特定 分析实例。
防火面积是指通过防火墙充分保护的一幢建筑物或建筑物的一部分,防火墙可以防止火势蔓延到 邻近建筑物或建筑物的其他部分。
防火分区是对防火面积的细分,以防不期望的后果传播到其他分区。
一个基本的防火分区包括电力运行相关设备,安全相关设备,或固定/暂设可燃物。
关键防火分区指的是一个基本防火分区.如果火灾损坏该分区的至少一个安全相关组件或系统,会 造成核电站安全相关的初始事件。
筛选过程从所有满足以下三个条件之一的房间开始:
a) 火灾荷载>7 kWh∕m3;
b) 房间包括安全相关设备或此类设备的电缆;
C)房间包括反应堆保护系统(安全控制系统)的运行或传感设备。
同时满足三个标准的房间会被认定为基本防火分区。
B.1.3定量分析
对于每一个关键防火分区,事件树的节点包括火灾发生、房间通风、火灾探测、火灾扑救和蔓延。事 件树中的所有减缓因素被认为是相互独立的(局限性见5.2)。图B.1展示了一个典型的柴油发电机室 油类火灾的事件树。
对着火频率和不同节点,应使用适当的数据。这些数据应尽可能是核电站特有的。然而,在核电站 的特定数据缺失的情况下,可使用公开的国际数据库,如最新公布的美国核电站数据。为计算一个建筑 物中的单室火灾频率,需要考虑火源数量、电缆绝缘材料重量、相关防火分区数量和火源特殊因素的影 响,增加额外的权重因子。
分析结果分为(a)、(b)、(C)、(d)、(e)五种损坏类型。最严重的一类被定义为(e)“完全损坏并蔓 延”。它指所有的消防措施都不能阻止火势蔓延到相邻房间,相邻房间内所有安全相关设备都被损坏。
对于每个关键防火分区,可得到如下结果:
a) 核电站中火灾引起瞬变的本质和的频率;
b) 损坏的设备按损坏类别a〜e分类的列表 C)各个损坏类别的频率。
|
火灾发生频 率 |
初期火灾探 测 |
闭门器,防 火门关闭 |
闭门器,防 火阀关闭 |
手提式灭火 |
固定安装设 备早期灭火 |
后期火灾探 測 |
灭火剂对设 备的损坏 |
固定安装设 备后期灭火 |
频率 fl∕a) |
危害 类别 | |
|
FR |
C2 |
SI |
S2 |
D2 |
S3 |
2.9e-3
1. 2e~3
2. 8e ∙ 3
2. 6e-4
1. 8e -5
2.3e-4
9.9e 5
2. 3e ∙ 4
2. le-5
1. 51
2.4e Y
1.6e-5
3. 8e 4
3. 8c-O d
2. 7e 6
1. OL 5
图B.1柴油发电机室典型火灾事故的事件树
图B.2是一个简化的事件树。用每年血始事,件的频率IoT乘以每年火灾探测无效的概率10一3,得 到初期火灾引起的闪燃火灾:和髄后火农崖衅效牲的频率。由此得一出,每年发生失火这种不希望事件 的结果频率为IOτ。
|
事件频率: 初期火灾 |
次灾探测无效 |
救火矢效 |
闪火频率 |
|
1. OE-04/a YeS |
2%___________________ | |
|
No |
YeS 99.9% ~ |
1.OE-O7∕a
2E-06∕a
9. 8E-05∕a
98%
图B.2火灾事件的简化事件树
B.1.4 结果
ETA是一个分类、评估和讨论可能的缺陷,并为防火改进措施设置优先级的很好的工具。基于其
分析结果,可进行额外的成本/效益的研究。
B.2 铁路道口系统的ETA
B.2.1符号与缩略语
本附录使用的符号见表B. 1。
表B. 1附录B的符号
|
符号 |
说 明 |
|
Z |
事故场景故 |
|
Ck |
结果概率 |
|
D |
危险期 |
|
E |
每次使用的总暴露量 |
|
Fk |
死亡概率 |
|
IRF |
死亡个体风险 |
|
H |
危险 |
|
HR |
失效率(指“瞬时失效率”,见6.1.3的IEC 61703:2OOlf203) |
|
k |
不同的场景编号 |
|
LX |
平面交叉道口 |
|
N |
一个人每年使用平面交叉道口的次数 |
|
THR |
容许的失效率(指“瞬时失效率",见6.1.3的IEC 61703:2001如) |
|
PC |
“列车碰撞”的概率 |
|
PEA |
“无法采取躲避行动”的概率 |
|
Pn —… |
“没有及时注意到列车”的概率 |
|
PTr |
“列车接近”的概率_一 • |
|
TlR |
个人可接受风险水平目标 |
B.2.2目标
为了说明ETA的应用,B.2以铁路信号路口(平面交叉道口)为例,给出了以风险为导向的安全完 整性要求的分配。
分析的目的是通过考虑到所有的运行、环境和建筑条件,得到某个确定的初始事件的安全目标。这 个目标是通过“逆”事件树分析的方法获得的(见B.2.6)。本文中,“逆”事件树是指由结果逆向演算,来 获得初始事件的容许频率。
本例中,无论是功能还是分析都与特定类型的平面交叉道口的特征没有任何直接的相似之处。本 例的主要目的是提出该方法的一个例子,而不是提供详细的实际分析。特别是在计算中使用的值都是 例子,不应被视为事实。
B.2.3 系统定义
下面的例子来自铁路自动平面道口信号区域,该例已被用作多种分析图示的对象。
本例中,自动道口已运行25年,使用灯光信号警告道路使用者和远程(监测)信号告诉火车司机道 口是否关闭。
图B.3给出了道□(LX)示意图。
由于完整的系统定义超出了这个例子的范畴,这里只给出非正式的功能描述。表B.2提供了涉及 的主要功能单元的概览。
轨距
图B.3 平交道口系统(LX) 表B.Z系统概述
|
No. |
功能单元 |
说 明 |
|
01 |
LX接通 |
当列车接近,触发LX激活(通过车轮检测设备实现,例如计轴) |
|
02 |
LX断开 |
当列车已经离开,触发LX失活(通过车轮检测设备实现,例如计轴) |
|
03 |
LX监测 |
向列车驾驶员或联锁装置反馈道口状态(如通过远程信号实现)以监测道口 动作 |
|
04 |
道路信号 |
向道路使用者展示道口状态 |
|
05 |
正常位置 |
如果LX已经接通,在一定时间内未断开(例如由于一个检测器失效,即使火车 已经通过了 LX或在LX前停下仍然继续向列车发信号).就将其返回到正常位 置(无保护) |
|
06 |
电源 |
包括正常供电系统或者能在有限时期内(如2 h)运行LX的后备电池。电池电 压由联锁装置监测 |
|
07 |
控制器 |
运行和控制道口的可编程电子装置,包含应用软件,网站的具体数据等 |
道口故障树操作的简单描述如下:
a) 驶近的列车由接通元件(Ol)检测.并将信号传递给控制器(07)。接通元件(01)与道口之间的 距离称为“驶入距离”。
b) 控制器发出命令激活道路信号(04)并等待,直至收到成功接通的指示。可视点与道口之间的
距离称为,'制动距离”。
C)控制器发出命令激活远程信号(03),用垂直于水平线的垂直线及上面的小圆圈描述。默认状 态是关闭的(危险)。当信号关闭时.驶近的火车必须在道口停下来.作为备用模式,司机可使 用钥匙手动打开道口。
d) 火车通过的位置由断开元件(02)检测并反馈给控制器。
e) 控制器发出命令切断远程信号,经过一段时间,道路信号被断开。
B.2.4确定危险
在铁路领域.根据有关CENELEC标准,系统层次上的某些初始事件会被标记为危险。 标准中对可能发生的危险没有做完整分析.只是对危险进行如下定义。
危险H:为了保护公众不受列车伤害而发生的道口失效。
它可理解为如下情形:道口应提醒公众有驶近的火车,但却未这样做。
其目的是按照一定的风险接受准则,确定H可接受的失效率HR(1∕时间)。“率”源于IEC 61703: 2001CM3中6.1.3所描述的“瞬时失效率”。
B.2.5事件树分析
为了确定危险H可能的结果,需要分析有人遭遇危险H的情景。因此,司机接近一个未受保护的 道口的情况是一个例子。PTR表示没有列车驶近的概率,Pn为驾驶员没有及时注意到列车的概率∙Pea 为采取躲避行动的概率,Pc为列车碰撞的概率。
图B.4道口系统的事件树分析
因此两种类型的事故(“汽车与列车相撞”和“汽车与道口栅栏相撞”)是确定的。图B.4展示了初始 事件(危险)和结果(事故)之间的外部风险减少因素(即减缓因素,见3.1.6)o
B.2.6定量分析
注:要记住5.2中的限制,下面的定量分析结果偏保守。
铁路公司的铁路集团安全方案(1997∕98)[33]的基准值被认为是驾驶员的个人可接受风险(TIR) 的目标值:“将继续执行合理可行的计划,以确保到2000年,自动化道口导致的私家车主的年死亡风险 不高于10",。
为了确定一个能被广泛接受的限制,增加了额外的安全系数IOO这意味着初始个人风险为Ri< IOT人/(人X年),考虑安全系数后对于一个普通用户应小于每年IO-Iio因此TIR值应小于每 年 10*。
为了获得官方的批准,铁路企业需证明实际个体死亡风险(IRF)小于或等于TlRo下面关于危险 可接受率的推导是基于[4]中的IRF方程。这一确定个人风险的数学模型考虑到从初始事件(如危险) 到结果或事故序列的因果关系。
a) 假定一个人正常使用交叉道口,用使用次数N(每年)来表示。同理,E可定义为每次使用的 总暴露量(例如E是通过道口需要的时间)。
b) 本例中,个体处于危险H中。个体处于危险中的概率取决于危险持续时间D和个体危险暴 露时间E。这个概率包括当个体进入系统时,危险已经存在的概率(约为HRXD)和当个体处 于暴露状态时,危险发生的概率(约HRXET之和。
C)每种危险都可导致一个或多个类型的事故序列。用事故A*发生的结果概率C*描述每个危 险L这个概率代指由事件树分析(图BΛM⅜到的外部风险降低的因素_(即减缓因巻J/L 3.1.6k 「每个相液型塞故A;,有二个相亙兩严重程度「从个体层面说,这种程度被称为致命事故概 率,对于单一个体用F.表示(表B.3)。为了案例分析,估计出事故的严重程度并将其与铁路 数据[33 ]比较。
表B.3 图B.4事故的风险降低参数
|
序号k |
事故A& 一 |
=二风险降低因素CL |
死亡概率Fk |
|
1 |
列车与汽车碰撞 |
5X0.2 ×0.7 = 0.007 |
0.2 |
|
2 |
汽车与道口碰撞__ |
0.1X0.5X0.2X0.3*)∙003一 |
0.05 |
由此推导出个体死亡风险,为
IRF = N XHRX (D+E) X (CtXFλ) ........................( B.1 )
方程B.1可通过使用平均值或插入合适的统计分布参数(例如百分位数)为输入参数来评估。
如果个体风险小于目标个体风险,则计算或估计的失效率(HR)称为容许失效率(THR)O
为了说明问题,例子中认为汽车驾驶员频繁经过铁路线,假设N = IOOo次/年,行人、骑自行车的 人等其他人员不计。
基于运行经验,假设危险H发生,持续时间比个体暴露时间(通过道口的时间)更长。这意味着我 们可以忽略个体暴露时间E。作为一个悲观值,假设危险的持续时间D = Io h,即道口失效持续的时间 (直到取消或修理),该失效导致系统处于危险状态。
H的容许失效率(THR)可通过在下式中插入参数来计算。
IRF = NXHRX(D+E) X ɪɔ (CjtXFQ
事故A*
= IOOOXHR × 10 X (0. 007 X 0. 2 + 0. 003 X 0. 05) ............( B.2 )
≤ TIR = I(T' / 年
由此得出初始事件(即危险)发生的容许率,约7Xl(Ti7h,意思是为保护公众不受列车伤害,道口 大致1 600年失效一次。
B.2.7分析结果和明确必要行动
分析完成后,道口设计者和制造商的任务是探讨自身系统是否可实现容许失效率或者建筑或设计 是否需要作出改变以满足定量指标。
B.2.8 结论
这条铁路信号的例子展示了事件树分析的另一种方法,即使用反向法,利用风险降低参数从观察到 的结果导出初始事件的容许率。
B.3关联故障树和布尔化简
注:本章提供了最常使用的布尔化简软件包的理论概念。读者应了解基本的算法.从而深刻地理解技术。这种方 法只适用于二元分支事件树。
当不同的减缓因素都有一个共因时,布尔代数可在事件树的定性评价中确定这些共同的原因。从 定性分析中得到的“质蕴含”随后被用于一个特定结果频率的量化。
|
初始事件 |
系统1 |
系统2 |
图B.5简单例子
事实上,每个结果是通过一个逻辑与门结合关联故障树中与减缓因素的失效有关的顶事件(见8.3.2) 而得到的。同样地,得到这个新逻辑树的“质蕴含气
最小割集是造成不可接受的结果的最小事件组合,事实上也是质蕴含的特殊实例。当故障树是单 调关联的(只含与门和或门),“质蕴含”可用“最小割集”代替。“质蕴含”和最小割集的理论的更多细节, 参见[38L
“质蕴含”由只与减缓因素失效相关的事件的与门组合所得出的事件确定。事件树布尔化简的例子 见图B.5 „
系统1和系统2失效的概率可通过如8.3.2的关联故障树进行建模。
下列理论故障树分别代表系统1(见B.6)和系统2(见B.7)失效的逻辑结构,涉及七个基本事件A、 B、C、D、E、F、G。使用的符号是根据IEC 61078口6丄
图B.6系统1失效的故障树
图B.7系统2失效的故障树
考虑这些故障树和事件树,结果a.β,γ.δ的布尔化简表达式如:
a =Iκ∙ (A^CJDJjG + A.C.E.F.G) ..............................( B.3 )
β = Iv. ∙ +A.豆己亘.K.+∑7δ.万.K.U 十酉.。.瓦戸.U +
B.C.D.F.G + B.C.E.F.G) ..............................( B.4 )
Z = IE-(A.C.F.G. +A.D.E.F.G) ..............................( B.5 )
O=IE • (F +A.B -∖-A.C +G.C +A.D.E +G.D.E) .....................( B.6 )
如果8是分析的结果,那质蕴含就是
IE.F ,Ie.A.B,Ik.A.C,Ie.G.C,Ie.A.D.E,Ie.G.D.E
基本事件A和F是两个故障树共有的。根据8.2.3,可提取出A和F,产生没有A和F的系统1和 系统2,并作为新的减缓因素引入到新的事件树中(见图B.8)。
注意在本例中使用的A和F是在故障树环境中的,事件A与F的发生会导致系统失效的发生(图 B.6和B.7)。因此上部分支表示向系统失效的方向发展。
|
初始事件 |
A |
F |
Sr |
S/ |
结果 |
图B.8改进的事件树
这两个图的等价关系和下面的等式是可验证的(参见[16]):
β=βi +β2 ..............................( B.7 )
以及 8=8t +52 +⅛3 ..............................( B.8 )
其中,
BI =JE ∙ (Λ.F.S,∙)
BZ=IE ∙ (A.F.Si'.S;) M =IE ∙ (AtF)
= JE ∙ (A.F.S1* )
员 = Je ∙ (A .F)
84 =Ie ・(A.F.SΓ .S;) 下述“全局分组故障”可以得到验证:
|
,'系统1失效”: |
GI =D.E + C …… |
........................(B.9 ) |
|
“系统2失效”: |
G2 =A +G ....... |
.......................(B.1O ) |
|
“系统1和系统2失效”: |
G. =F +A.B ....... |
.......................(B.ll ) |
事件树采用以下形式:
|
初始求件 |
% |
⅛ |
<⅛ |
图B.9 “分组故障”的事件树
这两个图的等价关系和下面的等式是可以验证的(参见IEC 61078M ):
8=为+必+会+當 ..............................(B.12 )
其中,
Si =Gi .G2.G3
§2 =G↑ .G2.G3
泓=GI ∙ G2 ∙ G6
4 =GI .G2
布尔分析更彻底的方法,包括分解方法的详细步骤,可参见IEC 61078c,63o
参考文献
[1] AmeriCan InStitUte Of ChemiCal EngineerS, Layer Of PrOteCtiOn AnalySiS SimPIified PrOCeSS risk assessment ,New YOrk, USA. OCtOber 2001.
[2] ANDREWS, J. D., DUNNETT, S.J. Event Tree AnalySiS USing Binary DeCiSiOn Diagrams, IEEE Trans.Reliability,Vol 49,pp 230-238,2000.
[3] ASME Standard for PrObabiliStiC RiSk ASSeSSment for NUClear POWer Plant APPliCatiOnS) ASME RA-S-2002,2002, Amended by addenda ASME RA-Sa-2003. ASME RA-Sb 2005, and ASME RA-SC-2007.
[4] BRABAND.J., LENNARTZ, K. A SyStematiC PrOCeSS for the DefinitiOn Of Safety TargetS for RaiIWay Signaning APPliCatiOnSWSignaɪ-rDraht. 9/99.
[5] DoWELI.,III, A.M., HENDERSHoT, D.C.Simplified RiSk AnalySiS—Layer Of PrOteCtiOn AnalySiS (LoPA) ,American InStitUte Of ChemiCaI EngineerS,Indianapolis,2002.
[6] EXPert GrOUP On PrObabiIiStiC Sarety AnalySiS for NUClear POWer Plants: UMethOdS for PrObabiliStiC Safety AnalySiS for Nuclear POWer PIantS,Status: AUgUSt 2005v.BfSSCHR-37/05.Salzgitter, October 2005 (In German).
[7] FULLWooD.R.: HALL,R.Probabilistic RiSk ASSeSSment in the NUClear POWer Industry, NeW YOrkWI988
[8] GoLDBERG, B. E., EVERHART, K., STEVENS, R. , BABBlTT III, N., CLEMENS, P., SToUT, L-System Engineering "Toolbox" for DeSign-Oriented EngineerS. NASA ReferenCe Publication 1358,1994.
[9] GUidelineS Orl MOdeling COmmOn CaUSe Failures in PrObabiliStiC RiSk ASSeSSment, NUREG/CR-5485, NRC 1998.
[lθ] HENLEY. E.J.. KUMAMOTO, H.Reliability Engineering and RiSk ASSeSSment, 1981.
[11] HOFER, E.. KLOOS, M., KRZYKACZ-HAUSMANN, B., PESCHKE, J., SoNNENKALB, M. DynamiC EVent IreeS for PrObabiliStiC Safety Analysis, GeSellSChaft fur AnIagen- Und ReaktOrSiCherheit (GRS)9Proceedings EUROSAFE,Berlin 4-5 NoVember 2002.
[12] ISO/IEC 31010 RiSk management—RiSk assessment guidelines.
[13] IEC 60300-3-1: 2003. DePendability Management—Part 3-1: APPliCatiOn guide—∙AnalySiS techniques for dependability一GUide On methodology.
[14] IEC 60300-3-9 : 1995, DePendability management—Part 3 : APPIiCatiOn guide—SeCtiOn 9 : RiSk analysis Of technological systems.
[15] IEC 60812 : 2006 , AnalySiS techniques for SyStem reliability一-PrOCedUre for failure mode and effects analysis (FMEA).
[16] IEC 61078: 2006, AnalySiS techniques for dependability—ReIiablIity block diagram and boolean methods.
[17] IEC 61165 :2006 , APPliCatiOn Of MarkOV techniques.
[18] IEC 61508 (all PartS) ,Functional Safety Of electrical/electronic/PrOgrammabIe electronic Safety-related systems.
[19] IEC 61511-3: 2003, Functional Safety~~Safety instrumented SyStemS for Ihe PrOCeSS industry SeCtOr—Part 3 : GUidanCe for the determination Of the required Safety integrity levels.
[20] IEC 61703 : 2001, MathematiCal expressions for reliability, availability, maintainability and
maintenance SUPPOrt terms.
[21] IEC 62425 : 2007 , RaiIWay applications—COmmUniCation, Signalling and PrOCeSSing systems—Safety related electronic SyStemS for Signalling.
[22] IEC 62429 : 2007, Reliability growth - Stress testing for early failures in UniqUe COnlPIeX SyStems.
[23] IEC 62508 :2010 ,Guidance OrI human aspects Of dependability.
[24] IEC 62551 . AnaIySiS techniques for dependability—Petri net techniques?.
[25] ISO 3534-1: 2006, StatiStiCS—VOCabUIary and SymbOlS—Part 1: Generai StatiStiCal terms and terms USed in probability.
[26] KLOOS, M.,PESCHKE,J. J MCDET: A PrObabiliStiC DynamiCS Method COmbining MOnte CarlO SimUIatiOn With the DiSCrete DynamiC EVent Tree APPrOach,NUCIear SCienCe and Engineering: 153,137-156,2006.
[27] LEVESoN, N. G. SAFEWARE: SyStem Safety and Computers, AddiSOn—WeSIey PUbIiShing Company, 1995.
[28] MCCORMICK. N. J. Reliability and RiSk AnalySiS一-MethOdS and NUCIear POWer Applica-tions, BOStOnw 1981.
[29] NUClear RegUIatOry COmmiSsion, PRA^ PrOCeCIUreS GUide, A GUide to the PerfOrmanCe Of PrObabiliStiC RiSk ASSeSSmentS^fOr HlJCleaf POWer PlanfS∙FinaΓReport.NUREG∕CR-2300 Vol.1 ■» January 1983.
[30] NlELSEN ,D.S.The Cause/ConSeqUenCe Diagram Method as a BaSiS for QUantitatiVe Accident AnaIySiS.Danish AtOmiC Energy CommiSSiOn.RISO-M-1374.May 1971.
[31] NUCIear RegUIatOry COmmiSSiOn,ReaCtOr Safety Study: An ASSeSSment Of ACCident RiSkS in US Commercial NUCIear POWer Plants, Rep. WASH-1400-MR (NUREG-75/014 ), Washington, DC,1975.
[32] PAPAZ()GLoU,I.A.MathcmatiCaL(PUndatiOnS Of event trees?Reliability Engineering and SyStem Safety 61 (2008) 169-183 .Northern ISlan<h2008. 一 —
[33] RaiItraCk, Engineering Safety Management SyStem, ISSUe 2.0, "Yellow Book" , 1997.
[34] RAUSAND, M.. HOYLAND, A.System ReIiabiIity TheOry一Models, StatiStiCal MethOdS and APPIiCatiOnS, HObOken, NeW Jersey, 2004.
[35] SlU.N.Risk ASSeSSment for DynamiC Systems: An OVerVieW,Reliability Engineering and SyStem Safety 43,1994,p.43-73.
[36] SMITH ,D.J.Reliability,Maintainability and Risk,Oxford,2001.
[37] SPeCial SUbjeCt: COmmOn CaUSe failure analysis, KernteChnik VOl 71, NO 1-2, Carl Hanser-VerIag, FebrUary 2006, PP 8-62.
[38] VlLLEMEUR, A. Reliability, Availability, Maintainability and Safety ASSeSSment. VOIUme 1. MethOdS and TeChniqUeS, ChiCheSter. Wiley, 1992.
[39] XU,H.; DUGAN,J.B.Combining DynamiC FaUlt TreeS and EVent TreeS for PrObabiliStiC RiSk ASSeSSment,UniVerSity Of Virginia,JanUary 2004.
[40] ZI(),E. An IntrOdUCtiOn to the BaSiCS Of ReIiabiIity and RiSk AnaIySis, SerieS in Quality, ReliabiIity and Engineering StatiStiCS,Vol. 13,2007.
OLOaSgz9U/85Z——080 忘 J<90
中华人民共和国
国家标准
可信性分析技术事件树分析(ETA)
GB∕zT 37080—2018∕zIEC 62502:2010
÷÷
中国标准出版社出版发行 北京市朝阳区和平里西街甲2号(100029) 北京市西城区三里河北街16号(100045)
网 M -www.spc.org.cn
服务热线:400-168-0010
2018年12月第一版
*
书号:155066 ・ 1-61526
GB/T 37080-2018
版权专有侵权必究