事件树分析(ETA)

定义

事件树分析(Event Tree Analysis, ETA)是从给定初始事件开始,按时间进程追踪,对系统各要素状态(成功/失败)逐项二元逻辑分析,定性与定量评价系统安全性的动态方法。
引用《安全系统工程》(徐志胜)

一种归纳程序方法,对初始事件可能引发的结果及减缓因素状态建模,评估结果发生频率或可能性。
引用IEC 62502

归纳式补充分析技术,定义从初始事件流出的后续事件序列,核心目的是调查损失事件后果,寻找缓解方法,与FTA(关注原因)形成互补。
正向、时序、二元逻辑分析方法,图形呈水平树枝状,从初始事件向最终结果逐步展开,是民航安全风险评估(SRA)/安全风险管理(SRM)的核心工具。
引用ICAO

发展

起源于20世纪60年代美国核工业,1975年美国原子能委员会WASH-1400报告首次成功应用于核电站事故后果预测。随后被推广至航空、化工、铁路等复杂系统,经ICAO标准化后,成为民航全领域(空中交通管理、机场运行、航空器维护等)安全分析的核心方法之一,纳入民航安全管理体系(SMS)工具集。

应用范围

适用于核电、化工、铁路、航空等复杂系统,可用于危险源辨识、风险评估、事故调查、安全改进措施评估、安全教育培训。

基本原理

  1. 从初始事件出发,按时间顺序识别并排序安全功能/防护措施,每个环节仅存在成功(减缓后果)或失败(后果延续)两种状态。

  2. 所有分支互斥且穷尽,逐步构建完整事件序列树,最终形成不同等级的结果。

  3. 定量核心逻辑:序列频率=初始事件频率×各安全功能状态概率的乘积,且所有最终结果频率之和等于初始事件频率(ICAO验证规则)。

  4. 理论基础:系统工程决策论、概率论,以及民航领域特有的风险防控逻辑(多重屏障防护)。

术语

术语 通用定义(教材/IEC) ICAO
初始事件(IE) 分析起点,可导致系统状态变化或事故的事件(设备故障、人员误操作等)。 特指民航场景中不希望发生的事件,如发动机故障、跑道入侵、空中交通冲突、FOD损伤等。
环节事件/安全功能 初始事件后,用于消除或减轻后果的系统功能或防护措施。 又称“防护屏障”,包括自动告警系统、飞行员干预、应急处置程序、驱鸟程序等民航专属措施。
事件序列 从初始事件到最终结果的完整路径(如1-1-0表示前两环节成功、第三环节失败)。 需结合民航运行流程排序,确保符合实际操作时序(如冲突探测→管制员干预→飞行员规避)。
最终结果 序列终点,分为安全、轻微事故、严重事故等等级。 按民航事故等级划分:安全、轻微事件、一般事故、重大事故、灾难,对应ICAO事故分类标准。
分支概率 每个环节成功(p)或失败(q=1-p)的概率。 需结合民航设备维护记录、运行数据、ECCAIRS数据库及专家判断获取。

分析步骤

通用流程(教材/IEC)

  1. 确定初始事件:优先选择对系统安全影响最大、发生频率最高的事件,来源包括系统设计文件、危险辨识结果、事故经验。

  2. 识别并排序安全功能:按动作先后顺序列出防护措施,避免遗漏关键环节。

  3. 绘制事件树:从左至右绘制,标注分支状态与概率。

  4. 定性+定量分析:识别危险路径与关键环节,计算各结果发生概率。

ICAO(扩展七步法)

  1. 明确分析目的与范围:区分设计阶段风险评估、运行阶段安全改进、事故调查、安全教育等场景。

  2. 确定初始事件及频率:通过民航事故/事件数据库(MOR、ECCAIRS)或FTA分析获取,确保数据贴合民航运行实际。

  3. 安全功能排序:严格按民航操作时序排列(如跑道起火→火警探测→灭火系统→疏散程序),兼顾技术措施与人为操作。

  4. 构建模型:使用ICAO标准符号,复杂系统可采用分层事件树或转移符号简化图形。

  5. 定性分析:聚焦民航关键风险点,识别最危险路径(如初始事件→探测失败→灭火失败→疏散失败)及薄弱屏障。

  6. 定量分析:遵循ICAO验证规则,确保数据准确性,计算各后果风险值(风险=概率×严重程度)。

  7. 结果应用与文档化:纳入民航SMS报告,提出设备变更、程序优化、人员培训等改进建议,形成可追溯的分析档案。

图形表示与符号系统

通用符号

符号 用途 ICAO使用规范(民航场景)
矩形框 初始事件、环节事件、最终结果 最终结果需标注民航事故等级(如“一般事故”),便于风险定级。
水平直线 分支,上分支=成功,下分支=失败 分支标注统一用“S/F”(Success/Failure),避免符号混乱。
圆圈 概率标注点 需注明数据来源(如“维护记录统计”“专家判断”)。
转移符号 连接复杂事件树不同部分 适用于空中交通管理等跨子系统分析,标注子系统名称(如“进近管制”“塔台管制”)。

绘制规则

  • 初始事件居左,最终结果居右,分支长度一致,标注清晰。

  • 民航复杂系统可采用分层绘制,按子系统(航空器、空管、机场)拆分事件树。

定性与定量分析方法

定性分析

1. 通用要点(教材/IEC)

  • 识别关键安全功能:对结果影响最大的环节(如灭火系统对跑道起火事件)。

  • 找出最危险路径:导致最严重后果的序列,确定系统薄弱环节。

2. ICAO

  • 优先分析人为因素影响:如飞行员操作可靠性、管制员干预有效性等民航核心人为环节。

  • 结合领结模型:将定性结果与左侧FTA原因链联动,明确“原因-事件-后果”完整逻辑。

  • 应用场景:民航事故调查初期、安全教育培训,快速定位关键失效点。

定量分析

1. 通用步骤(教材/IEC)

  1. 数据准备:收集初始事件频率、各安全功能可靠度数据。

  2. 计算序列概率/频率:各分支概率乘积,汇总结果并验证。

2. ICAO

  1. 数据来源:优先采用民航专属数据库(ECCAIRS、MOR)、设备维护记录、运行统计数据,数据不足时采用ICAO认可的专家判断法。

  2. 核心应用:评估安全改进措施的成本效益(如新增驱鸟设备对风险降低的影响),支持民航安全决策(运行程序优化、设备更新计划)。

  3. 局限应对:针对民航数据稀缺问题,可结合FTA补充共因失效分析,提升定量准确性。

3. 计算示例

初始事件:空中交通冲突(频率1.5/年),安全功能:冲突探测系统(S:0.98)、管制员干预(S:0.95)。成功序列(S-S)频率=1.5×0.98×0.95=1.3965/年;失败序列(S-F/F)频率=1.5×(0.98×0.05+0.02)=0.1035/年,总频率之和=1.5/年(符合验证规则)。

优缺点

优点

  1. 逻辑严密、直观易懂:图形化展示便于民航跨部门沟通(如空管、机场、航空公司协同分析)。

  2. 定性定量结合:适配民航不同分析场景,数据充足时可精确量化风险,数据不足时可定性识别隐患。

  3. 兼容性强:与FTA、领结模型、LOPA等方法无缝衔接,构成民航完整风险分析框架。

  4. 全周期适用:可用于民航系统设计、运行、事故调查全阶段,符合SMS持续改进要求。

局限性

  1. 二元状态局限:仅考虑成功/失败,忽略民航场景中部分成功(如灭火系统部分启动)的中间状态。

  2. 数据依赖性强:民航定量分析需大量运行数据,部分小众场景(如特殊天气下的设备失效)数据稀缺。

  3. 复杂度限制:民航系统涉及多子系统,易出现分支过多的“维度灾难”,需分层简化。

  4. 主观性影响:初始事件选择、安全功能排序受分析人员民航专业经验影响较大。

  5. 动态系统适配不足:对民航动态运行场景(如航班延误连锁反应)建模能力有限,需结合马尔可夫技术补充。

方法对比

对比项 事件树分析(ETA) [[事故树分析(FTA)]] 领结模型(ICAO主推)
分析方向 正向(原因→结果),自上而下 反向(结果→原因),自下而上 双向结合(原因→事件→结果)
逻辑方法 归纳法,聚焦后果推演 演绎法,聚焦原因追溯 归纳+演绎,整合双重逻辑
起点事件 初始事件(民航具体风险事件) 顶上事件(不希望发生的事故) 核心风险事件(连接原因与后果)
民航应用场景 事故后果预测、安全措施有效性评估 事故原因分析、系统可靠性设计 全流程风险管控、SMS体系建设
此外,ETA与LOPA(保护层分析)关系密切,LOPA可视为民航过程行业(如机场油库)专属的简化版ETA,按工作表形式组织分析,集成危险等级评估。

实例

  1. 空中交通管理(ATM):

    • 初始事件:两机空中交通冲突(小于最小间隔)。

    • 安全功能:冲突探测系统、告警系统、管制员干预、飞行员规避操作。

    • 应用:优化管制程序,评估ATM系统风险等级。

  2. 机场运行安全:

    • 初始事件:跑道入侵、FOD损伤、野生动物撞击。

    • 安全功能:跑道监视系统、驱鸟程序、FOD清扫程序、告警系统。

    • 应用:机场安全评估,制定风险缓解措施(如新增跑道入侵告警设备)。

  3. 航空器设计与维护:

    • 初始事件:发动机故障、液压系统失效、起落架故障。

    • 安全功能:冗余系统、故障告警、应急处置程序、维护检查。

    • 应用:优化航空器设计和维护计划,提升运行可靠性。

  4. 仓库自动灭火系统:

    • 初始事件:仓库失火,安全功能:火灾检测系统(S:0.98)、喷淋系统(S:0.95)。

    • 定量结果:自动灭火失败概率=0.02+0.98×0.05=0.069。

注意事项

  1. 逻辑一致性:确保事件排序、分支判断无矛盾,基于客观数据和专业经验。

  2. 初始事件选择:民航场景优先选择影响范围广、发生频率高的事件(如跑道入侵、发动机故障)。

  3. 人为因素重视:充分考虑飞行员、管制员、地勤人员等操作可靠性,避免忽略人为失误影响。

  4. 数据质量管控:定量分析需确保民航数据准确性,数据不足时注明假设条件,采用ICAO认可的替代方法。

  5. 方法协同使用:复杂民航系统建议结合FTA、领结模型,形成“原因-事件-后果”完整分析链,提升结果全面性。

  6. 文档化与更新:分析过程、数据来源、结果建议需完整记录,纳入民航SMS档案,随系统运行变化定期更新(ICAO“活的PRA”要求)。

资料引用

  1. 《安全系统工程》(第3版),徐志胜、姜学鹏编著,机械工业出版社(安全工程专业核心教材)

  2. 《系统安全工程》,樊运晓、罗云编著,化学工业出版社(安全工程专业规划教材)

  3. IEC 62502:2010(GB/T 37080-2018等同采用),可信性分析技术—事件树分析国际标准

  4. 国际民航组织(ICAO)《Fault Tree Analysis (FTA) and Event Tree Analysis (ETA)》手册(2014年)及SMI培训文档

  5. 国际民航组织(ICAO)《Safety Risk Management Methodologies》领结模型指南(2022年)