Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
IEC 62502:事件树分析(ETA)——可信性与风险评估工程指南
IEC 62502 定义了事件树分析(ETA)的基本原则和程序,这是一种通过安全功能、系统或操作人员的成功或失败序列来评估初始事件可能结果的系统化技术。该国际标准于 2010 年发布,是 IEC 60300 可信性管理系列的一部分。ETA 首次成功应用于 1975 年具有里程碑意义的 WASH 1400 核安全研究,此后已发展成为核能、航空、化工、海上油气、汽车安全和铁路信号等领域广泛使用的成熟方法。对于可靠性和安全工程师而言,IEC 62502 提供了一致且可审计地构建、分析和解释事件树的正式框架。
1960 年代
方法起源
6+ 个
行业领域
归纳法
分析方法
3 类
后果分类
📖 一、事件树分析原理
1.1 什么是事件树分析?
事件树分析是一种归纳性(前瞻性)技术,从初始事件(如冷却剂丧失、部件故障、外部危害)开始,沿着系统响应和操作员行动序列向前追踪。每个分支点代表安全功能或屏障的成功或失败。每个序列的最终状态定义了可能的后果,范围从安全恢复到灾难性失效。
ETA 区别于其他可信性技术的关键特征包括:
- 归纳导向:从原因到结果(与从结果到原因的故障树分析相反)
- 时间依赖排序:事件顺序至关重要——树结构反映保护系统动作的时间序列
- 多结果能力:单一初始事件可导致具有不同概率和严重程度的多个最终状态
- 定量与定性:既提供事故序列识别,也提供概率量化
💡 工程经验——ETA 与 FTA 的互补性
ETA 和故障树分析(FTA,由 IEC 61025 规定)是互补而非竞争关系。在实践中,两种技术结合使用:FTA 分析每个安全功能(事件树中的分支点)的失效,而 ETA 分析整体事故序列。FTA 的概率直接输入 ETA 分支概率。这种组合方法是核电站概率安全评价(PSA)的标准做法,并越来越多地应用于功能安全(IEC 61508)领域。
ETA 和故障树分析(FTA,由 IEC 61025 规定)是互补而非竞争关系。在实践中,两种技术结合使用:FTA 分析每个安全功能(事件树中的分支点)的失效,而 ETA 分析整体事故序列。FTA 的概率直接输入 ETA 分支概率。这种组合方法是核电站概率安全评价(PSA)的标准做法,并越来越多地应用于功能安全(IEC 61508)领域。
| 符号 | 名称 | 含义 |
|---|---|---|
| ▶ | 初始事件 | 事故序列的起始 |
| ■ | 分支点 | 安全功能或系统动作 |
| ↑ | 成功路径(上分支) | 安全功能成功 |
| ↓ | 失效路径(下分支) | 安全功能失效 |
| ◉ | 安全最终状态 | 风险可接受的后果 |
| ◎ | 危险最终状态 | 具有重大风险的后果 |
| ✖ | 灾难性最终状态 | 风险不可接受的后果 |
🏂 二、ETA 实施过程
2.1 分步程序
IEC 62502 定义了进行事件树分析的结构化程序:
- 定义系统和范围:确定边界、假设和分析目标
- 识别初始事件:使用系统化方法(HAZOP、FMEA、检查表、运行经验)
- 识别安全功能:确定可以预防或减轻后果的系统和操作人员行动
- 排序安全功能:根据事故发展时间线按时间顺序排列
- 构建事件树:绘制从初始事件经过分支点到最终状态的树
- 收集数据:估算初始事件频率和分支点成功/失败的概率
- 量化序列:计算每个唯一序列路径的概率
- 解释结果:识别主导风险贡献因素、敏感性案例和不确定性范围
- 记录和更新:作为持续安全案例的一部分维护分析
⚠️ 常见陷阱——分支排序不当
事件树中安全功能的排序必须反映事件的实际时间顺序。一个常见错误是按感知的重要性而非时间顺序排序。例如,在核反应堆的冷却剂丧失事故中,正确的序列是:反应堆停堆首先发生,然后是应急堆芯冷却,然后是安全壳隔离,然后是安全壳排热。颠倒此顺序会产生误导性结果,因为分析会表明安全壳排热可能影响反应堆停堆的需求,这在物理上是不可能的。
事件树中安全功能的排序必须反映事件的实际时间顺序。一个常见错误是按感知的重要性而非时间顺序排序。例如,在核反应堆的冷却剂丧失事故中,正确的序列是:反应堆停堆首先发生,然后是应急堆芯冷却,然后是安全壳隔离,然后是安全壳排热。颠倒此顺序会产生误导性结果,因为分析会表明安全壳排热可能影响反应堆停堆的需求,这在物理上是不可能的。
❓ 常见问题解答
- 问 1:事件树分析与故障树分析有何区别?
- ETA 是归纳法(原因到结果),可处理单一初始事件的多个后果。FTA 是演绎法(结果到原因),分析导致单一顶事件的所有可能根本原因。ETA 更适合分析事故进展;FTA 更适合诊断特定失效机制。两者互补,常在 PSA 中结合使用。
- 问 2:事件树应该有多少个分支点(安全功能)?
- 没有固定限制,但实践经验表明,超过 15–20 个分支点的树变得难以管理和解释。对于复杂系统,考虑将分析分解为多个关联的事件树:一个主事件树用于主要事故进展,支持性事件树用于详细子系统分析。
- 问 3:如何处理 ETA 中的共因失效?
- 共因失效(CCF)可能同时影响多个安全功能。IEC 62502 建议将 CCF 显式建模为额外分支点,或使用参数化模型(如 beta 因子、多希腊字母法)在分支之间引入依赖性。忽略 CCF 可能使冗余安全系统的风险低估 10–100 倍。
- 问 4:IEC 62502 是否要求使用软件工具进行 ETA?
- 不需要,标准未强制要求任何特定软件。小型事件树(5–10 个分支)可手动或使用电子表格分析。对于较大规模的分析或需要不确定性传播时,建议使用专业的 PSA 软件工具以保持一致性、可追溯性和可审计性。
