事故树分析在大型电力事故（事件）调查中的应用

萧镜辉 梁伟民 吕 涛 徐伟东

（1. 广东电网有限公司东莞供电局，广东 东莞 523012；2. 深圳市佳保安全股份有限公司，广东 深圳 518067）

随着社会经济的发展，城乡用电需求持续增长，导致电网结构日益复杂，一旦发生大型电力事故（事件），将严重影响居民生活以及企业生产的正常秩序。科学地分析已知大型电力事故（事件），能有效确定电力系统中各种不安全因素，以及各因素可能带来的风险，从而帮助管理者采取有效措施，保障电力系统安全运行。

电力事故（事件）调查通常以调查者自身经验为主导，往往关注某些单一环节，对事故的分析仅限于查清事故原因，从而采取相应措施，预防事故再次发生。这种调查方式往往侧重于找出事故的显著原因，因而难以反映出事故（事件）的发展过程，调查结果也不足以为安全措施的制定提供全面科学依据。因此，需对事故（事件）进行系统全面分析，确定引起事故发生的基本原因事件。

事故树分析（FTA）作为安全科学中常用分析方法，通过逆向逻辑进行演绎分析，对危险性进行系统的辨识和评价，不仅能分析出事故的直接原因，而且能深入地揭示出事故的间接原因[2]。利用该方法分析大型电力事故（事件），能直观反映各事件间的因果关系，引导人员逐级向下分析，并通过定性分析确定系统危险性。

Bowtie一种风险分析和风险管理的工具，通过识别风险、分析风险因素、设置风险屏障、采取风险控制和控制措施，有效预防事故发生。该方法可以对危害事件发生的原因、后果、屏障建立是否充足提供一个可视化的评估。

本文基于实际电力事故，对其进行事故树分析，并结合Bowtie可视化功能，对分析的结果和防护措施进行可视化展示，从而为日常的安全管理提供科学和可信的参考依据。

1 方法概述

1.1 事故树分析方法

事故树分析主要基于演绎分析的思想，按因果关系逐层深入分析，确定可能引起顶上事件发生的基本事件，并将所有事件通过树形图的形式展现出来。

利用事故树进行定性分析时，通常先求出事故树的最小割集和最小径集，再通过计算得到基本事件的结构重要度大小。

1）最小割集：可能导致顶上事件发生的最小基本事件集合。

2）最小径集：本身不发生即可防止顶上事件发生的最小基本事件集合。

3）结构重要度：各基本事件影响顶上事件发生的重要程度。

本文选用常用结构重要度算法进行近似计算：

式中，Iφ(i)为第i个基本事件的结构重要度系数；k为最小割集总数；kj为第j个最小割集；nj为第i个基本事件所在的kj割集的基本事件数。

1.2 BowTie风险分析

BowTie风险分析方法是基于屏障防护理论的一套风险分析方法。该方法借鉴了事故树及事件树的分析流程，同时又加入了屏障理论的思想，从危险、顶级事件、威胁和后果的相互关系详细说明风险。在事故树分析的基础上，应用该方法对事故风险进行分析，评估应对措施并制定安全防护措施/屏障，可直观判别对策措施的有效性。

1.3 Bow-tie可视化事故树分析

本文在事故树分析的基础上，结合 BowTie风险分析方法及工具，确定图1所示分析步骤[1-3]。

图1 事故树&BowTie分析步骤

2 大型电力事故（事件）案例分析

以某市220kV母线失压事件为例，该事件发生时，运行人员正在进行母线侧部分刀闸机构箱更换、刀闸机构箱二次回路连锁调试、刀闸直流接触电阻测试等工作，工作时需要部分线路及母线停电检修。检修中发生某刀闸短路故障，并引起#1、#2、#3主变重瓦斯误动，从而扩大跳闸范围。事后共导致425条配网线路失压，其中涉及两个重要用户。

2.1 事故树分析

第一步，确定顶上事件。针对该事件，确定“大面积停电”为顶上事件。

第二步，调查或分析造成顶上事件的各种原因：首先分析造成顶上事件的直接原因，一般从人为因素、机器设备或环境原因等角度进行分析。经过调查与分析发现，此次事故的直接原因为设备故障：#1，#2，3#主变重瓦斯误动。

对于该类电力事故（事件），结合安全系统人-机-环三要素，可从安全意识、作业程序执行、电力设备及生产用具使用、人员安全防护、设备、生产用具、防护系统、自然灾害、外力破坏、作业环境9个方面对进行原因分析[4-5]。值得注意的是，该事件为已发生电力事件，在利用事故树进行分析时，基本事件往往基于调查结果进行选取，因此事故树中为实际导致电力事件发生的中间/基本事件，而排除了部分可能事件（即在传统事故树分析时涉及的可能导致事故发生、实际上未发生的假设事件）。

该事件的分析如下：

1）T（大面积停电）的直接原因

主要是22035刀闸短路（A1）和#1、#2、#3主变重瓦斯误动（A2）。

#3主变中22035刀闸在发生短路故障时，#1、#2、#3主变重瓦斯的穿越性电流产生的短路点动力引起主变绕组快速挤压和扩张，使本体油快速往油枕方向涌动，油流经过瓦斯继电器时，达到重瓦斯继电器动作值，触发重瓦斯继电器动作，从而跳开#1、#2、3#主变三侧开关，扩大跳闸范围，造成线路的失压，引起大面积的停电事件。

2）事件A2的原因

引起事件A2的原因主要有三个：22305刀闸短路，瓦斯继电器动作值过小和无防重瓦斯误动措施。三者共同组成本事故主变重瓦斯误动的原因，若其中一项不成立，则本案例的大面积停电事件就不会发生，其关系为： A2= A5× A1× X1。

3）22305刀闸短路（A1）原因

通过分析发现，刀闸发生短路是由两个事件组成即 22306刀闸合闸不到位（A3）和误判断 22306刀闸在合闸位置（A4），两事件的同时发生导致了事件A1的发生，即A3和A4是与门关系：A1= A3× A4。

A3原因有两个：人员进行合闸操作（X2）和刀闸有缺陷（A6），X2和 A6的同时发生导致了事件A3的发生，故两者的关系为与门关系：A3=X3×A6；分析A6，主要由于刀闸内部生锈且阻力过大（A8）及未按厂家要求每年至少操作刀闸一次（X6）两个原因共同导致，即两个原因为与门关系：A6= A3× X6；分析 A8，若弹簧组件生锈（X9）和油缓冲器生锈（X10）其中任何一个发生，都会导致事件A8的发生，故两者为或门关系：A8= X9+ X10。

分析A4，有两个原因即刀闸缺少限位标识（X3）和刀闸位置显示错误（A7），两个原因共同发生导致A4的发生，故X3和A7的关系为与门关系，关系式表示为： A4= X3× A7；分析 A7，是由刀闸指示牌指示不准确（X7）和刀闸位置显示二次先于一次（X8）共同造成的，故两者的关系为与门关系：A7= X7+ X8。

分析造成A5（瓦斯继电器动作值过小）的原因：对于瓦斯继电器动作值过小，是由于整定值设置不正确（X4）和反措不当（X5）两个原因共同造成的，故 X4和 X5的关系为与门关系，表达为：A5= X4× X5。

为了便于进行事故树分析，将各事件进行编号，见表1，事故树如图2所示。

表1 事件符号说明

2.2 定性和定量分析

根据大面积停电事件的事故树计算，得到其最小割集及最小径集见表2。

表2 大面积停电事件最小割集及最小径集表

结合公式（1）及表2中最小割集对各基本事件的结构重要度进行计算并排序，见表3。

表3 最小割集结构重要度计算结果

图2 大面积停电事故树

对于已发生事故进行事故树分析时，基本事件往往基于前期调查结果进行选取且排除了可能事件，导致事故树以与门为主，或门较少。由表2和表3可以看出，该大面积停电事故树共有2个最小割集，9个最小径集，但各事件间的结构重要度差别较小。通过分析其最小割集及最小径集，能够分析事故发生的基本事件组合及应采取的安全措施，但未能突出事件关键起因。此时，需对数据进行适当处理，以便为后期事故调查及原因分析提供更具指导意义的理论依据。

鉴于该种情况，结合电力事件常见分类，对10个基本事件进行重新整理并分析（见表4）。

对比表3和表4结果可见，表4中整理后的数据结构重要度差异较大，并看出设备质量不良和日常运行维护不当是该次事件发生的主要原因，与实际的调查报告也是相符的，故验证本次事故树的分析的正确性。

表4 基本事件整理结果

2.3 BowTie可视化分析

通过事故树分析结果可知，此次大面积事件发生主要由设备质量不良和日常运行维护不当引起，针对这两个原因，应制定防范措施，以避免该类事件的再次发生。

对设备质量不良和日常运行维护不当，归根结底是由于电网运行管理缺失导致的。因此，从设备质量不良、日常运行维护不当和电网运行管理缺失三个威胁角度进行Bowtie分析，并且结合电网的日常管理进行安全防护屏障设置[6-9]。

据调查统计，本次大面积停电事件造成的损失主要有负荷损失、重要用户停电和设备损坏及损失三个方面。本次大面积停电事件共损失负荷604MW，造成两个重要用户停电，以及主变220kV侧22035刀闸三相动静触头和盆式绝缘子损坏。

通过上述分析，确定设备质量不良、日常运行维护不当及电网运行管理缺失为三个威胁事件；负荷损失、重要用户停电及设备损坏和损失为后果事件；结合电网管理实际，从电网的设备设计、风险控制、应急处置角度建立屏障和安全措施，见表 5和表6。

经过上述对威胁、防护屏障、后果及控制措施分析，建立以大面积停电为顶级事件的 Bow-tie可视化分析图，如图3所示。

表5 BowTie屏障

表6 BowTie安全措施

图3 BowTie风险分析图

2.4 结果分析

1）根据事故树结构可知，该事件有2个割集，9个径集，因此，事故防止途径较多，可通过加强割集中基本事件的管理以提供系统的安全性。

2）该事件2个最小割集均为9阶，说明事故模式多方原因同时发生导致，较难发生。同时，有 8个1阶最小径集以及1个2阶最小径集，说明通过对这些基本事件进行控制，能有效防止该类事件的发生。

3）根据结构重要度分析结果可知，该事件主要由设备质量不良引起，同时，日常运维不当也是其关键原因之一，而这两者归根结底是由于电网运行管理缺失导致的。

4）为防止同类大型电力事件的发生，利用BowTie对事故树分析结果进行深入分析：设备质量不良、日常运行维护不当及电网运行管理缺失为三个威胁事件；负荷损失、重要用户停电及设备损坏和损失为后果事件；结合电网管理实际和基于已有的研究成果，建立了安全防护措施，具体有防护屏障和控制措施，从而建立了可视化的 Bow-tie风险分析图[10-11]。

3 结论

1）本文通过对电力事故分析，得到最小径集9个，最小割集2个。通过最小割集，确定系统危险性；根据最小径集，提供预防事故（事件）发生的有效途径。

2）计算基本事件结构重要度，并根据实际需要进行适当处理，确定引起事故发生的主要及次要原因，为事故调查提供科学依据。

3）本文基于实际的电力事故，对其进行事故树分析，最后得到此次大面积事件发生主要由设备质量不良、日常运行维护不当及电网运行管理缺失导致的。

4）利用BowTie对事故树分析结果进行深入分析，建立了可视化的 Bow-tie分析图，直观的显示威胁、防护屏障、威胁及控制措施之间关系，屏障即为控制风险的措施，为电网的安全管理提供依据。

[1] 王鹏飞. 事故树法在脚手架施工安全分析中的应用[C]. Proceedings of 2010:Shenyang International Colloquium on Safety Science and Technology, 2010:55.

[2] 郝彩霞, 许彦, 龚声武. 事故树分析法在 LPG 储罐火灾爆炸事故中的应用[J]. 中国安全生产科学技术,2012, 8(1): 154-159.

[3] 吴芳, 肖雄, 吴汉斌, 等. 事故树分析法在高处施工人员坠落事故中的应用[J]. 四川建筑科学研究,2014, 40(2): 354-357.

[4] 杜娟, 马骁, 黄新, 等. 10kV母线失压分析[J]. 电工技术, 2013(1): 21-22.

[5] 檀英辉, 姚文军, 李佩军, 等. 500kV变压器瓦斯保护误动分析及整改[J]. 高压电器, 2012, 48(3):117-122.

[6] 李洪卫. 220kV变电站一条母线失压事故处理方式及风险预控措施[J]. 电工技术, 2013(11): 38-39, 49.

[7] 王世祥. 电网大面积停电的推动关键因素分析及预控措施研究[J]. 华东电力, 2014, 42(1): 77-81.

[8] 刘红岩. 仿真极限断面下220kV母线失压及控制措施[J]. 电力科学与工程, 2014, 30(z1): 32-34, 38.

[9] 郭全有, 樊平, 付正伟, 等. 惠州 220 kV 三栋变差动保护动作分析[J]. 电力科学与工程, 2011, 27(1):66-69.

[10] 姚建刚, 肖辉耀, 章建. 电力安全评估与管理, 8[M].北京: 中国电力出版社, 2009: 72-84.

[11] 宋守信, 吴声声, 陈明利. 电力安全风险管理, 4[M].北京: 中国电力出版社, 2011: 44-55.