北京交通大學(xué)系統(tǒng)安全保障技術(shù)課堂討論組

1、FAO系統(tǒng)初步危害分析報(bào)告1引言32.1背景6.1.1目的3.1.2文件結(jié)構(gòu)3.1.3縮略語3.1.4安全術(shù)語4.1.5參考文件4.6.2系統(tǒng)綜述2.2系統(tǒng)功能6.2.3系統(tǒng)架構(gòu)7.3初步危害分析方法9.3.1頭腦風(fēng)暴103.2檢查表103.3危害和可操作性研究（HAZO）1.03.4結(jié)構(gòu)性假設(shè)分析技術(shù)（SWIFT 1.34基于HAZO初步危害分析154.1初步危害分析1.54.2系統(tǒng)定義164.3 HAZOP 分析16定義系統(tǒng)邊界1.6建立 HAZOP 表1.6確定危險(xiǎn)描述 1.7具體分析1.7175結(jié)論1引言1.1目的本文檔旨在提供FAO系統(tǒng)的初步危害分析報(bào)告。本報(bào)告介紹了 FAO系統(tǒng)定義

2、以及初步危害分析方法。本報(bào)告是對(duì)FAO系統(tǒng)使用前預(yù)先危害分析，是從各種局部單元的危險(xiǎn)狀態(tài)歸納出最終的 潛在事故和事故的嚴(yán)重性，確定潛在事故影響的危害性，并建立初步的安全規(guī)范要求，以減少 或控制所確定的危險(xiǎn)狀態(tài)和潛在事故， 由這種分析得到的結(jié)果可以預(yù)測(cè)硬件、 規(guī)程和系統(tǒng)接口 問題區(qū)域，為進(jìn)一步制訂安全性大綱提供信息， 并確定安全性工作進(jìn)度的優(yōu)先順序、 安全性試 驗(yàn)的范圍、進(jìn)一步安全性分析的范圍。1.2文件結(jié)構(gòu)該報(bào)告描述FAO系統(tǒng)初步危害分析。共4部分包括：1、引言2、系統(tǒng)概述3、初步危害分析方法4、基于HAZOP初步危害分析第1章簡(jiǎn)要介紹編寫此分析報(bào)告的目的、 范圍、相關(guān)的安全術(shù)語及參考文件；第

3、2章描述 系統(tǒng)的概況，系統(tǒng)功能和系統(tǒng)定義；第3章描述了初步危害分析的各種方法；第4章基于HAZOP 方法對(duì)FAO系統(tǒng)進(jìn)行初步危害分析。1.3縮略語縮寫全稱中文ATOAutomatic Train Operation列車自動(dòng)駕駛ATPAutomatic Train Protection列車自動(dòng)防護(hù)FAOFully Automatic Operation全自動(dòng)無人駕駛FMEAFailure Mode and Effect Analysis故障模式及影響分析FTAFault Tree Analysis故障樹分析PHAPreliminary Hazard Analysis初步危險(xiǎn)源分析RAMRelia

4、bility, Availability and Maintainability可靠性、可用性和可維護(hù)性SILSafety Integrity Level安全完善度等級(jí)HAZOPHazop and operability studies危險(xiǎn)與可靠性分析SWIFTStructured What-If Technique結(jié)構(gòu)性假設(shè)1.4安全術(shù)語事故：指不期望發(fā)生且導(dǎo)致?lián)p失的事件。故障-安全：安全苛求系統(tǒng)的一個(gè)設(shè)計(jì)準(zhǔn)則，硬件故障的或軟件錯(cuò)誤時(shí)防止系統(tǒng)呈現(xiàn)或維 持一種不安全狀態(tài)，或者使系統(tǒng)導(dǎo)向安全狀態(tài)。失效：相當(dāng)于系統(tǒng)指定運(yùn)行的偏差。失效是系統(tǒng)故障或錯(cuò)誤的結(jié)果。危險(xiǎn)源：可能會(huì)導(dǎo)致事故的狀態(tài)或條件。危險(xiǎn)

5、源分析：為識(shí)別危險(xiǎn)條件并進(jìn)行有目的的消除或控制而執(zhí)行的分析活動(dòng)。危險(xiǎn)源嚴(yán)重度：對(duì)由于指定危險(xiǎn)源導(dǎo)致的事故造成的后果評(píng)估結(jié)果。事件或險(xiǎn)性事故：指不期望發(fā)生且未導(dǎo)致?lián)p失的事件。 但是在不同條件下，有可能會(huì)導(dǎo)致 損失?？煽啃裕涸谠O(shè)計(jì)參數(shù)范圍，特定運(yùn)營條件及在特定的時(shí)間內(nèi)， 系統(tǒng)無故障完成指定功能的 概率?？煽啃酝ǔＳ闷骄鶡o故障時(shí)間衡量。風(fēng)險(xiǎn)：事故發(fā)生的可能性及可能出現(xiàn)的危險(xiǎn)源。安全性：避免不能接受的危險(xiǎn)源風(fēng)險(xiǎn)，如導(dǎo)致人員傷亡，職業(yè)病，設(shè)備/財(cái)產(chǎn)損失及對(duì)環(huán)境的破壞。安全完善度等級(jí)：對(duì)于安全相關(guān)系統(tǒng)的安全功能確定安全完善度要求的諸多規(guī)定的分立等 級(jí)進(jìn)行分配。最高的安全完善度等級(jí)具有最高級(jí)的俄安全完善度。

6、系統(tǒng)安全：貫穿列控、信號(hào)系統(tǒng)生命周期的運(yùn)營、技術(shù)性、管理技術(shù)及原理的應(yīng)用，將危 險(xiǎn)源盡可能合理可行的降低。安全工程：在列控、信號(hào)系統(tǒng)生命周期內(nèi)應(yīng)用科學(xué)、工程技術(shù)原理以滿足項(xiàng)目/工程的安全目標(biāo)。安全管理：直接影響系統(tǒng)安全的有組織的計(jì)劃、控制及集成活動(dòng)。安全程序：安全管理與安全工程結(jié)合的任務(wù)及活動(dòng)。安全計(jì)劃：用于執(zhí)行組織結(jié)構(gòu)、責(zé)任、程序、活動(dòng)、性能和資源按時(shí)間排定的活動(dòng)、資源 和事件具有證明文件的設(shè)置，共同保證項(xiàng)目滿足規(guī)定的與簽訂的合同或工程相關(guān)的安全要求。 通過分析與測(cè)試，證明產(chǎn)品滿足所有指定要求的活動(dòng)。確認(rèn)人員：被指定為執(zhí)行確認(rèn)的人或機(jī)構(gòu)。驗(yàn)證人員：被指定為執(zhí)行驗(yàn)證的人或機(jī)構(gòu)。1.5參考文件E

7、N50126:鐵路應(yīng)用：可靠性、可用性、可維護(hù)性和安全性的規(guī)范（RAMS）-1:基本要求與一般過程EN50128-2001 :鐵路應(yīng)用：鐵路控制和防護(hù)系統(tǒng)軟件EN50129-2003:鐵路應(yīng)用：與安全相關(guān)的信號(hào)電子系統(tǒng)EN50125-1-1999:鐵路應(yīng)用：設(shè)備的環(huán)境條件第一部 車載設(shè)備EN50121-4-2003:鐵路應(yīng)用：電磁兼容性-4:信號(hào)設(shè)備和電信設(shè)備的輻射和抗干擾IEEE1474: CBTC 系統(tǒng)規(guī)范IEC-61882:危險(xiǎn)與可操作性分析（HAZOP分析）應(yīng)用導(dǎo)則Automatic Train Operati on on2系統(tǒng)綜述2.1冃景FAO (Fully Automatic O

8、peration)是一個(gè)被應(yīng)用在世界很多城市軌道交通系統(tǒng)中的成熟技術(shù)。在服務(wù)、運(yùn)營、安全和成本方面有如下優(yōu)點(diǎn)：?服務(wù)消除人工駕駛帶來的偏差，站間運(yùn)行時(shí)間更加趨于統(tǒng)一。具有乘客門自動(dòng)開關(guān)和列車自動(dòng) 離站、自動(dòng)折返功能的無司機(jī)、無人自動(dòng)駕駛可以進(jìn)一步減少線路運(yùn)營的變化，提供標(biāo)準(zhǔn)化的 服務(wù)質(zhì)量。?運(yùn)營可以使線路運(yùn)營者擺脫對(duì)列車乘務(wù)人員需求的限制，具有頻繁改變列車編組的靈活性。 對(duì)于配有全自動(dòng)維修車間和駐車線的無人駕駛系統(tǒng)，不需要增加司機(jī)或人工干預(yù)就可以靈活地對(duì)非預(yù)期的客流增加的情況下添加額外的服務(wù)列車。列車自動(dòng)調(diào)整功能可以便于換乘，減少系統(tǒng) 整體延誤。?安全通過減少人因錯(cuò)誤，采用自動(dòng)故障檢測(cè)和處理可

9、以更加有效地針對(duì)系統(tǒng)干擾和緊急情況做 出反應(yīng)。?成本自動(dòng)化可以減少人力成本，節(jié)能優(yōu)化算法可以減少能源成本。2.2系統(tǒng)功能考慮到客流密度和經(jīng)濟(jì)成本因素，北京地鐵公司計(jì)劃將北京地鐵昌平線的列控系統(tǒng)升級(jí)為 FAO系統(tǒng)。ATO的功能主要如該系統(tǒng)應(yīng)包含如下功能：正線無人駕駛區(qū)域信號(hào)管理可實(shí)現(xiàn)無人駕駛列車運(yùn)營的區(qū)域信號(hào)模式管理 該區(qū)域內(nèi)無人駕駛列車的故障處理以及恢復(fù)正線的無人駕駛列車管理實(shí)現(xiàn)無人駕駛列車的喚醒-待命-運(yùn)營狀態(tài)管理地面突發(fā)事件監(jiān)控處理正線的設(shè)備故障監(jiān)控緊急制動(dòng)管理乘客上下車管理對(duì)乘客上下車的監(jiān)督對(duì)上下車過程發(fā)生的突發(fā)狀況進(jìn)行處理車站內(nèi)的監(jiān)控車站內(nèi)乘客的監(jiān)督車站內(nèi)突發(fā)事件的監(jiān)督列車安全啟動(dòng)管理

10、列車安全啟動(dòng)監(jiān)督列車緊急制動(dòng)管理2.3系統(tǒng)架構(gòu)FAO產(chǎn)品的系統(tǒng)架構(gòu)如圖1所示。圖1 FAO產(chǎn)品系統(tǒng)架構(gòu)由圖1所示，F(xiàn)AO產(chǎn)品中，控制中心的主要任務(wù)是正線無人駕駛區(qū)域信號(hào)管理、正線的 無人駕駛列車管理、地面突發(fā)事件監(jiān)控處理；列車的主要功能為列車自動(dòng)操作、 車載設(shè)備工況 監(jiān)控、乘客管理；車站的主要任務(wù)為乘客上下車管理、車站內(nèi)的監(jiān)控、列車安全啟動(dòng)管理。在本項(xiàng)目的危險(xiǎn)源識(shí)別過程中，會(huì)考慮在以下情況下，但不保證在這些情況下使用的安全 問題。?極端惡劣天氣條件（如洪水、國家災(zāi)難）；?惡劣地質(zhì)條件（如地震，滑坡）；?軌道損毀或遭到破壞；?在信號(hào)系統(tǒng)未投入使用情況下的列車運(yùn)行；?違反信號(hào)系統(tǒng)使用手冊(cè)、操作手冊(cè)

11、或信號(hào)系統(tǒng)操作與維護(hù)安全須知的操作規(guī)程；?維修人員違反規(guī)定的維修規(guī)程；?其他非信號(hào)系統(tǒng)設(shè)備故障（如車輛緊急制動(dòng)系統(tǒng)故障、車門故障、屏蔽門故障、緊急停車按鈕故障）3初步危害分析方法危險(xiǎn)源是指可能造成人員傷害、職業(yè)病、財(cái)產(chǎn)損失、作業(yè)環(huán)境破壞的根源或狀態(tài)。危險(xiǎn)因 素是指能使人造成傷亡，對(duì)物造成突發(fā)性損壞，或影響人的身體健康導(dǎo)致疾病，對(duì)特造成慢性 損壞的因素。安全科學(xué)理論根據(jù)危險(xiǎn)源在事故發(fā)生發(fā)展過程中的作用，把危險(xiǎn)源劃分為兩大類。根據(jù)能量意外釋放理論，能量或危險(xiǎn)物質(zhì)的意外釋放是傷亡事故發(fā)生的物理本質(zhì)。于是把生產(chǎn)過程中存在的，可能發(fā)生意外釋放的能量（能源或能量載體）或危險(xiǎn)物質(zhì)稱作第一類危險(xiǎn) 源。為了防止

12、第一類危險(xiǎn)源導(dǎo)致事故，必須采取措施約束、限制能量或危險(xiǎn)物質(zhì)，控制危險(xiǎn)源。正常情況下，生產(chǎn)過程中的能量或危險(xiǎn)物質(zhì)受到約束或限制， 不會(huì)發(fā)生意外釋放，即不會(huì) 發(fā)生事故。但是，一旦這些約束或限制能量或危險(xiǎn)物質(zhì)的措施受到破壞或失效（故障） ，則將 發(fā)生事故。導(dǎo)致能量或危險(xiǎn)物質(zhì)約束或限制措施破壞或失效的各種因素稱作第二類危險(xiǎn)源、第二類危險(xiǎn)源主要包括物的故障、人的失誤和環(huán)境因素。物的故障是指機(jī)械設(shè)備、裝置、元部件等由于性能低下而不能實(shí)現(xiàn)預(yù)定的功能的現(xiàn)象。從安全功能的角度，物的不安全狀態(tài)也是物的故障。物的故障可能是固有的，由于設(shè)計(jì)、制造缺 陷造成的；也可能是由于維修、使用不當(dāng)，或磨損、腐蝕、老化等原因造成的

13、。人的失誤是指 人的行為結(jié)果偏離了被要求的標(biāo)準(zhǔn)，即沒有完成規(guī)定功能的現(xiàn)象。人的不安全行為也屬于人的 失誤。人的失誤會(huì)造成能量或危險(xiǎn)物質(zhì)控制系統(tǒng)故障， 使屏蔽破壞或失效，從而導(dǎo)致事故發(fā)生。人和物存在的環(huán)境，即生產(chǎn)作業(yè)環(huán)境中的溫度、濕度、噪聲、振動(dòng)、照明或通風(fēng)換氣等方 面的問題，會(huì)促使人的失誤或物的故障發(fā)生。一起傷亡事故的發(fā)生往往是兩類危險(xiǎn)源共同作用的結(jié)果。第一類危險(xiǎn)源是傷亡事故發(fā)生的 能量主體，決定事故后果的嚴(yán)重程度；第二類危險(xiǎn)源是第一類危險(xiǎn)源造成事故的必要條件，決定事故發(fā)生的可能性。兩類危險(xiǎn)源相互關(guān)聯(lián)、相互依存。第一類危險(xiǎn)源的存在是第二類危險(xiǎn)源 出現(xiàn)的前提；第二類危險(xiǎn)源的出現(xiàn)是第一類危險(xiǎn)源導(dǎo)致

14、事故的必要條件。因此，危險(xiǎn)源辨識(shí)的首要任務(wù)是辨識(shí)第一類危險(xiǎn)源；在此基礎(chǔ)上再辨識(shí)第二類危險(xiǎn)源。傳統(tǒng)的危險(xiǎn)源辨識(shí)主要依據(jù)事故經(jīng)驗(yàn)進(jìn)行， 主要采用與操作人員交談、現(xiàn)場(chǎng)安全檢查、查 閱記錄等方法。20世紀(jì)60年代以后，國外開始根據(jù)法規(guī)、標(biāo)準(zhǔn)和安全檢查表進(jìn)行危險(xiǎn)源辨識(shí)。 隨著系統(tǒng)安全工程的興起，系統(tǒng)安全分析方法逐漸成為危險(xiǎn)源辨識(shí)的主要方法。系統(tǒng)安全分析 是從安全的角度進(jìn)行的系統(tǒng)分析，它通過揭示系統(tǒng)中可能導(dǎo)致系統(tǒng)故障或事故的各種因素及其 相互關(guān)聯(lián)來辨識(shí)系統(tǒng)中的危險(xiǎn)源。系統(tǒng)中危險(xiǎn)源的存在是絕對(duì)的，任何工業(yè)生產(chǎn)系統(tǒng)中都存在 許多危險(xiǎn)源。受實(shí)際技術(shù)、人力、物力等方面因素的限制，不可能徹底消除或完全控制危險(xiǎn)源，

15、只能集中有限的人力、物力消除或控制風(fēng)險(xiǎn)較大的危險(xiǎn)源。當(dāng)危險(xiǎn)源的風(fēng)險(xiǎn)很小可以忽略時(shí)， 不必采取控制措施。在風(fēng)險(xiǎn)評(píng)價(jià)的基礎(chǔ)上，按其風(fēng)險(xiǎn)大小把危險(xiǎn)排序，為確定采取控制措施的 優(yōu)先次序提供依據(jù)。3.1頭腦風(fēng)暴頭腦風(fēng)暴法師為了克服群體壓力抑制不同見解而設(shè)計(jì)的，鼓勵(lì)人的創(chuàng)造性的思維，開展危險(xiǎn)辨識(shí)?？梢猿浞掷米约旱慕?jīng)驗(yàn)，發(fā)貨創(chuàng)造性，通過提出和回答一系列問題，揭示潛在事故 的后果。這種方法能解釋生產(chǎn)過程中其他方法不易辨識(shí)的危險(xiǎn)，較為靈活，并具有創(chuàng)造性。運(yùn) 用頭腦風(fēng)暴開展危險(xiǎn)辨識(shí)，目的在于營造一種鼓勵(lì)大家暢所欲言的氛圍。運(yùn)用頭腦風(fēng)暴開展危險(xiǎn)辨識(shí)的具體步驟是：(1)參與人員圍桌而坐或身臨現(xiàn)場(chǎng)，主持人闡明項(xiàng)目的具

16、體內(nèi)容和程序，并保證每名參與 人員都完全了解該項(xiàng)目的具體內(nèi)容。每名工作人員各抒己見，闡明自己對(duì)問題的看法，說出自己認(rèn)為系統(tǒng)某一部分工作中 可能存在的一項(xiàng)或幾項(xiàng)危險(xiǎn)因素和可能導(dǎo)致的事故模式。(3)主持人組織全體人員逐一討論分析所有觀點(diǎn)，確定危險(xiǎn)因素并制定針對(duì)性預(yù)防措施。3.2檢查表檢查表是在大量實(shí)踐經(jīng)驗(yàn)基礎(chǔ)上編制的，實(shí)際上就是實(shí)施安全檢查和診斷的項(xiàng)目明細(xì)表。 也就是說將整個(gè)被檢系統(tǒng)分成若干分系統(tǒng)，對(duì)所要查明的問題，根據(jù)生產(chǎn)和工程經(jīng)驗(yàn)、有關(guān)范圍標(biāo)準(zhǔn)以及事故情況進(jìn)行考慮和布置。把要檢查的項(xiàng)目和具體要求列在表上，以備在檢查和設(shè)計(jì)時(shí)按預(yù)定項(xiàng)目去檢查。檢查表的內(nèi)容一般包括分類項(xiàng)目、檢查內(nèi)容及要求、檢查以后

17、處理意見、隱患整改日期等，每次檢查后都應(yīng)填寫具體的檢查情況。檢查表應(yīng)包含的內(nèi)容：Hazardous materialsEn vir onmentEn ergy sourcesHuma n in teractio ns/processes ；3.3危害和可操作性研究(HAZO)概述HAZOP采用結(jié)構(gòu)化和系統(tǒng)化方式分析給定系統(tǒng)，目的是：(1) 識(shí)別系統(tǒng)中潛在的危險(xiǎn)。這些危險(xiǎn)既包括與系統(tǒng)臨近區(qū)域密切相關(guān)的危險(xiǎn)，也包括一 些影響范圍更廣的危險(xiǎn)，如某些環(huán)境危害；(2) 識(shí)別系統(tǒng)中潛在的可操作性問題，尤其是識(shí)別可能導(dǎo)致各種事故的生產(chǎn)操作失誤與設(shè)備故障。HAZOP分析的重要作用在于，通過結(jié)構(gòu)化和系統(tǒng)化的方式

18、識(shí)別潛在的危險(xiǎn)與可操作性問題，分析結(jié)果有助于確定合適的補(bǔ)救措施。HAZOP分析的特點(diǎn)是由各專業(yè)技術(shù)人員組成分析 小組，以“分析會(huì)議”的形式進(jìn)行。會(huì)議期間，在分析小組組長(zhǎng)的引導(dǎo)下，使用一套核心引導(dǎo) 詞，對(duì)系統(tǒng)的設(shè)計(jì)進(jìn)行全面、系統(tǒng)地檢查，識(shí)別對(duì)系統(tǒng)設(shè)計(jì)意圖的偏差。該技術(shù)旨在利用系統(tǒng) 的方法激發(fā)參與者的想象力，識(shí)別系統(tǒng)中潛在的危險(xiǎn)與可操作性問題。HAZOP的分析步驟如下圖所示：圖2 HAZOP分析步驟332分析原則HAZOP分析的基礎(chǔ)是“引導(dǎo)詞檢查”，它是對(duì)系統(tǒng)與設(shè)計(jì)目的偏差的縝密查找過程。為 便于分析，可將系統(tǒng)分成多個(gè)部分，并充分明確各部分的設(shè)計(jì)目的。所選部分的大小取決于系 統(tǒng)的復(fù)雜性和危險(xiǎn)的嚴(yán)重

19、程度。HAZOP小組使用預(yù)先確定的“引導(dǎo)詞”，對(duì)每種要素（和相關(guān)的特性）進(jìn)行分析，通過 問詢過程，識(shí)別并確認(rèn)會(huì)導(dǎo)致不利后果的偏差。引導(dǎo)詞的作用是激發(fā)分析人員的想象性思維， 使其專注于分析，提出觀點(diǎn)并進(jìn)行討論，從而盡可能使分析完整全面。基本引導(dǎo)詞及其含義見 表1:表1基本引導(dǎo)詞及其含義引導(dǎo)詞含義無，空白（NO或者NOT）設(shè)計(jì)目的的完全否定多，過量（MORE）量的增加少，減量（LESS）量的減少伴隨（AS WELL AS）性質(zhì)的變化/增加部分（PART OF）性質(zhì)的變化/減少相反（REVERSE）設(shè)計(jì)目的的邏輯取反異常（OTHER THAN）完全替代早（EARLY）相對(duì)于給定時(shí)間早晚（LATE）相

20、對(duì)于給定時(shí)間晚先（BEFORE）相對(duì)于順序或序列提前后（AFTER）相對(duì)于順序或序列延引導(dǎo)詞/要素的組合可視為一個(gè)矩陣，其中，引導(dǎo)詞定義為行，要素定義為列，所形成的 矩陣中每個(gè)單元都是特定引導(dǎo)詞/要素的組合。為全面進(jìn)行危險(xiǎn)識(shí)別，要素及關(guān)聯(lián)特性應(yīng)涵蓋 設(shè)計(jì)目的的所有相關(guān)方面，引導(dǎo)詞應(yīng)能引導(dǎo)出所有偏差。并非所有組合都會(huì)給出有意義的偏差, 因此，考慮所有引導(dǎo)詞/要素的組合時(shí)，矩陣可能會(huì)出現(xiàn)空格。矩陣中各單元的分析順序有兩種，一種是逐列，也就是要素優(yōu)先；一種是逐行，也就是引導(dǎo)詞優(yōu) 先。3.4結(jié)構(gòu)性假設(shè)分析技術(shù)（SWIFT結(jié)構(gòu)化假設(shè)分析（Structure What-if Technique,簡(jiǎn)稱SWI

21、FT）是作為HAZOP更簡(jiǎn)單的替代 性方法推出的。它是一種系統(tǒng)的、團(tuán)隊(duì)合作式的研究方法，利用了引導(dǎo)員在討論會(huì)上運(yùn)用的一 系列“提示”詞或短語來激發(fā)參與者識(shí)別風(fēng)險(xiǎn)。引導(dǎo)員和團(tuán)隊(duì)使用標(biāo)準(zhǔn)的“假定分析”式短語 以及提示詞來調(diào)查正常程序和行為的偏差對(duì)某個(gè)系統(tǒng)、設(shè)備組件、組織或程序產(chǎn)生影響的方式。 通常，與HAZOP相比，SWIFT用于某個(gè)系統(tǒng)的更多層面，同時(shí)細(xì)節(jié)要求較低。在開始進(jìn)行研究之前，必須對(duì)系統(tǒng)、設(shè)備組件、程序及/或變化進(jìn)行認(rèn)真界定。引導(dǎo)員應(yīng)通過訪談以及對(duì)文件、計(jì)劃和圖紙的全面分析建立內(nèi)外部背景。一般來說，研究涉及的項(xiàng)目、 情況或系統(tǒng)應(yīng)劃分成節(jié)點(diǎn)或關(guān)鍵要素以便于開展分析過程，而這在HAZOP的界

22、定層面中很少涉及。另一個(gè)關(guān)鍵輸入數(shù)據(jù)是經(jīng)過認(rèn)真挑選的研究團(tuán)隊(duì)的專業(yè)知識(shí)和經(jīng)驗(yàn)。其中，所有利益相關(guān)者的觀點(diǎn)都要得到反映，如果可能的話，應(yīng)當(dāng)將其與擁有類似項(xiàng)目經(jīng)驗(yàn)或情況經(jīng)歷的人員的觀 點(diǎn)統(tǒng)籌考慮。一般過程如下所示：1）在開展研究之前，引導(dǎo)員應(yīng)準(zhǔn)備一份相關(guān)的詞語或短語提示單。該清單可以基于一系 列標(biāo)準(zhǔn)的詞語或短語，也可以是為便于對(duì)危險(xiǎn)或風(fēng)險(xiǎn)進(jìn)行綜合分析而形成的詞語或短語。2）討論會(huì)應(yīng)討論并約定項(xiàng)目、系統(tǒng)、變化或情況的內(nèi)外部背景以及研究范圍。3）引導(dǎo)員要求參與者提出并討論：已知的風(fēng)險(xiǎn)和危險(xiǎn)；以往的經(jīng)歷和事件；已知和現(xiàn)有的控制及保障措施；監(jiān)管要求和限制措施。4）使用“假定分析”這樣的短語及提示詞或主題以

23、形成問題，達(dá)到引導(dǎo)討論的目的。計(jì) 劃使用的“假定分析”短語包括“要是怎么辦”、“如果會(huì)發(fā)生”、“某人或某事會(huì)” 以及“有人或有事曾經(jīng)”。其目的是激發(fā)研究團(tuán)隊(duì)探討潛在的情景及其原因和后果以及影響。5）總結(jié)風(fēng)險(xiǎn)，同時(shí)團(tuán)隊(duì)分析現(xiàn)有的控制措施。6）與團(tuán)隊(duì)確認(rèn)風(fēng)險(xiǎn)及其原因、后果和預(yù)期控制的描述，并進(jìn)行記錄。7）團(tuán)隊(duì)分析控制措施是否充分有效，同時(shí)就風(fēng)險(xiǎn)控制效果的聲明達(dá)成一致。如果未達(dá)到 滿意的效果，團(tuán)隊(duì)?wèi)?yīng)繼續(xù)風(fēng)險(xiǎn)應(yīng)對(duì)工作并界定潛在的控制措施。8）在本次討論中，提出更多的“假定分析”問題，以識(shí)別更多的風(fēng)險(xiǎn)。9）引導(dǎo)員利用提示單來監(jiān)督討論并建議團(tuán)隊(duì)討論其他問題和情景。10）通常要使用定性或半定量風(fēng)險(xiǎn)評(píng)估方法來

24、將按先后順序排列的行動(dòng)進(jìn)行等級(jí)劃分。 般來說，在使用這種風(fēng)險(xiǎn)評(píng)估方法時(shí)，我們要考慮現(xiàn)有的控制措施及其效果。4基于HAZO初步危害分析系統(tǒng)安全性分析是安全系統(tǒng)工程的核心內(nèi)容，也是安全性評(píng)價(jià)的基礎(chǔ)。系統(tǒng)安全性分析方 法目前提出的有數(shù)十種之多。我國應(yīng)用較多的是事故樹分析、事件數(shù)分析、故障類型影響分析、 因果分析圖法、安全檢查表法等系統(tǒng)安全性評(píng)價(jià)方法目前應(yīng)用較多的是風(fēng)險(xiǎn)評(píng)價(jià)、層次評(píng)價(jià)、 模糊評(píng)價(jià)等，及一些分析方法附帶的評(píng)價(jià)功能。對(duì)于城市軌道交通系統(tǒng)的安全性分析，由于缺乏可借鑒的資料和規(guī)范的統(tǒng)計(jì)數(shù)據(jù)，并且目的是發(fā)現(xiàn)潛在的危險(xiǎn)因素，采用初步危害分析對(duì)系統(tǒng)進(jìn)行安全性分析和評(píng)價(jià)是比較合適的。4.1初步危害分析

25、初步危害分析（preliminary hazard analysis,簡(jiǎn)為PHA）是一種事前歸納方法，是從各種 局部單元的危險(xiǎn)狀態(tài)歸納出最終的潛在事故和事故的嚴(yán)重性。初步危害分析通常是系統(tǒng)安全性大綱中所執(zhí)行的第一種安全性分析方法，它包含了危險(xiǎn)源的分析和評(píng)價(jià)。初步危害分析最好是在系統(tǒng)進(jìn)行技術(shù)設(shè)計(jì)是就開始進(jìn)行，這樣才能減少系統(tǒng)建成后因?yàn)榇嬖诟鞣N不安全因素或各類事故頻發(fā)傾向而必須進(jìn)行改造的費(fèi)用。但由于國內(nèi)城市軌道交通系統(tǒng)在設(shè)計(jì)、建造和運(yùn)營時(shí)，沒有編制和執(zhí)行系統(tǒng)安全性大綱，也沒有進(jìn)行過各種系統(tǒng) 的安全性分析與評(píng)估，所以對(duì)已建成的城市軌道交通系統(tǒng)進(jìn)行初步危害分析也是必要的和有意 義的。PHA的主要目的：

26、1）確定系統(tǒng)中危險(xiǎn)單元、危險(xiǎn)狀態(tài)和潛在事故；2）確定潛在事故影響的危害性；3）建立初步的安全規(guī)范要求，以減少或控制所確定的危險(xiǎn)狀態(tài)和潛在事故。由這種分析得到的數(shù)據(jù)和信息有以下幾個(gè)方面的作用：1）預(yù)測(cè)硬件、規(guī)程和系統(tǒng)接口問題區(qū)域；2）為進(jìn)一步制訂安全性大綱提供信息；3）確定安全性工作進(jìn)度的優(yōu)先順序；4）確定安全性試驗(yàn)的范圍；5）確定進(jìn)一步安全性分析的范圍。PHA的原理基于事故因果聯(lián)鎖鏈理論，即認(rèn)為：事故的發(fā)生首先要有危險(xiǎn)狀態(tài)的產(chǎn)生（人 的不安全行為或物的不安全狀態(tài)），并且危險(xiǎn)狀態(tài)的產(chǎn)生有其原因：危險(xiǎn)狀態(tài)并不一定會(huì)導(dǎo)致 事故發(fā)生，須在某個(gè)或幾個(gè)觸發(fā)事件的作用下轉(zhuǎn)化為事故。根據(jù)危險(xiǎn)狀態(tài)發(fā)生的頻率和觸發(fā)事 件發(fā)生的概率，可以推算出事故發(fā)生的頻率，再根據(jù)事故后果的嚴(yán)重級(jí)別和事故發(fā)生的頻率推 算出