轨道交通RAMS工程基础：危害识别目的及排序方法

危害识别是对一个产品、过程、系统或者企业进行系统分析，以确定系统全寿命周期内产生的不利条件。这些不利条件对人的身体有潜在的伤害，也可能造成环境和经济上的损失。危害识别是风险管理过程的基础，它通过提供必要的信息使风险分析和评价更具效果和效率。如果不对系统进行全面系统的危害识别，将会严重降低风险分析过程的可信度，特别是当不恰当的危害识别导致一些重要的危害尚未被识别，这将会导致风险分析不准确和错误，甚至会产生一种安全的假象和虚假的信任感。危害识别工作做得不好，通常意味着风险评价也做不好。可以说一个已识别的风险已不再是风险，而只是一个管理问题。毫无疑问，对危害的错误定义将导致进一步的风险。

危害识别的目的是识别与系统及其运行相关的危害，并找出各危害发生的原因及可能导致的结果。危害识别是风险管理中一项经常性的工作，不是一次就可以完成的，应在项目全寿命周期内执行。

了解系统边界及系统与环境之间的相互作用，是理解系统如何导致事故和存在哪些危害必不可少的条件，因此，在进行危害识别前，首先要对系统进行定义。

1.系统定义

一个系统不仅包括技术组成部件，同时还应包括该系统与其开发、操作和维修工作人员之间的交互作用。系统层次结构中的套式系统结构基本概念如图3-27所示。

图3-27 套式系统及层次

所考虑的系统从外部来看，代表了用户和顾客期望的发生特性。这些特性只对整个系统才有意义，对系统中的任何一部分是没有意义的。根据套式系统的概念，系统由更小的系统组成，而这些更小的系统又由比它们自身更小的系统组成，依此类推。为方便起见，多层次的套式系统一般分为3层处理，这包括：所考虑系统（如子系统D）由其内部的子系统（X、Y和Z）组成，同时它自身又与它并行的子系统（A、B和C）共同组成了母系统，如铁路系统。这种3层结构需要考虑以下关系：一是所考虑系统与它并行的系统之间的相互作用及接口；二是所考虑系统与环境之间的相互作用及影响。

系统的功能是系统作为一个整体所执行的活动。功能和结构为产生系统外部发生特性提供内部的一些特性，同时它们也是系统设计者所关注的。环境由任何可能影响系统或被系统影响的因素组成，这包括以机械、电子或其他方式连接到系统的电磁干扰和热等现象。环境同时也包括影响系统运行或被系统运行所影响的人和程序。

综上所述，了解所考虑系统及其环境之间的边界和所考虑系统及其并行子系统之间的交互作用，是理解系统如何导致事故和存在哪些危害必不可少的条件。因此，在进行危害识别前，首先一定要确定系统的边界和功能，以下方面必须要考虑且清楚地记录。

（1）系统边界与接口 如：界定所分析系统与其他系统或与环境之间的接口，以及所分析系统与其他系统和环境之间的交互作用。

（2）系统欲实现的功能 如：分析包括的系统功能，排除分析之外的系统功能。

（3）工作环境 如：

1）对周围物体、环境、系统及操作人员、驾驶人和公众的影响。

2）系统工作的物理和操作条件及工作环境的精确定义。

3）任何必需的操作动作的描述，同时要对允许执行系统操作的人员进行识别，要确保人员操作的技能和资历。

4）如果分析中不涉及任何人类活动，要注明原因。

（4）操作模式 如：

1）正常，非正常/降级操作模式，非连接/连接状态及其转换。

2）分析所考虑的操作方案，如维修操作的影响（系统是怎么维修的，维修频率以及谁负责维修等）。

（5）外部需求 由铁路权威组织的整体安全政策，或基于盛行的法律引发的外部安全需求，或根据标准强加一个预定的容许危害率（Tolerable Hazard Rate，THR）。

（6）系统和相关文档的版本

1）若对特殊功能或子系统所做的假设使所考虑的系统偏离了既有版本，那么该偏离就要详细地陈述并证明其正确性。

2）若系统在其寿命周期后期阶段被修改，则必须修正其风险分析甚至重新进行风险分析。

3）经常审查风险分析，尤其是危害登记册，以检查新版本对铁路系统安全的潜在影响。

2.危害识别的原则及方法

（1）危害识别的原则 系统性的危害识别一般包括两个阶段：经验阶段和创造性阶段。经验阶段主要依赖经验和知识识别潜在的危害，比如可能通过应用一个合适的清单。依靠经验识别危害的方法对常规的任务有时是足够的，但是对新颖的任务则需要一些更有创造力的危害识别形式。创造性阶段的危害识别需要运用系统技术和创造力技术，这些技术通常依赖集体性的、富有想象力的思维，其目的是识别任务期间产生的一些预先不知道的危害。

危害识别的经验阶段和创造性阶段应该相互弥补，以增加整个潜在危害空间被覆盖的置信度，确保所有重要的危害都被识别出。一个重大危害的识别比很多相对不重大危害的识别更加重要，可见，危害识别的本质在于质量，而不是数量。若对危害本身的术语模糊，得到一系列细小且不现实的危害是一种资源浪费，并可能导致一种易误解的、没有收益的风险分析。除大型任务外，一般识别出大量的危害是不合理的，同时也预示着设计的不合理性或不良的执行性。

为确保风险评估工作的重心放在最重要的危害上，危害一经识别，就要根据危害发生的频率以及由其导致事故后果的严重度进行排序。每个危害的相对排序水平决定了其进一步分析的广度和深度。

（2）危害识别的方法

1）经验型危害识别方法：在识别新任务或修改任务的潜在危害时，依据历史经验和知识是一个很有价值的方法。它是一种简单的、初步的潜在危害的识别，可以确保避免过去的错误、失效和损失的再发生。

典型的经验型危害识别方法有：查检表法（Checklists）、结构化预排法（Structured walkthroughs）、FMEA、人机界面的任务分析。

由EN50126-2可知，铁路行业查检表内容一般包含：

① 功能查检表（警告和预警、互锁、列车分离……）；

② 机械查检表（碰撞、脱轨、冲击和振动……）；

③ 结构查检表（在现场组装的危害、场地准备危害、环境影响……）；

④ 电气查检表（电磁干涉和兼容性、绝缘失效、动力丢失……）；

⑤ 操作和保障查检表（维修可达性、备用、培训……）；

⑥ 职业病查检表（石棉、腐蚀材料、废气……）。

当前，还有很多工业领域的危害查检表已经公开发布。这些公开的危害查检表对后续的研究工作很有帮助，它可以在经验型危害识别时帮助列出危害查检表，对创造型危害识别的全面性也会起到一个指导作用。

当任务需要更为详细的审查时，则需要用以下更正式的经验型危害识别方法：系统和设备的FMEA和人机接口的任务分析。

后两种方法用于识别可能导致系统层次的危害情况的特殊组件失效或者人为错误。当任务没有涉及创新或修改的因素，经验型危害识别方法还是可以识别出一些重要的危害。但很多任务都包括创新的元素或者功能或技术上的变化，这种情况，经验型危害识别只会覆盖一部分潜在危害空间，一些额外且重要的危害只有进一步通过创造型危害识别技术来识别。

2）创造型危害识别方法：创造型危害识别由鼓励横向和富有想象力及创造力的系统技术组成，它由一系列专业背景不同但又互补的个人组成团队的方法来实现危害识别。创造型危害识别方法包括：如果怎么样（what-if）法；头脑风暴法；危害及可操作性（Hazard and Operation，HAZOP）研究。

3）可预见的事故识别方法：危害是事故发生的开端，通过可预见的事故识别是风险评估过程中一个重要的步骤。考虑历史记录和数据、以往的研究等，确保识别出所有可预见的事故。也要考虑识别最常曝光的族群，将用来进行个人风险评估。

事故类型可按以下类别划分：

① 车辆事故，如碰撞、脱轨、与障碍物相撞、起火、爆炸、触电、污染（如有毒气体）。

② 车内事故，与列车运行相关，除车辆事故外的，如上下车可能发生的事故和在车上 可能发生的事故，如滑倒、触电、身体部位被夹等。

③车站事故，如在站台、楼梯、自动扶梯上污染、滑倒、绊倒、坠落等。(www.xing528.com)

3.HAZOP方法

（1）HAZOP方法简介 HAZOP技术最早是20世纪70年代由英国帝国化学公司（ICI）首先开发应用的。ICI对HAZOP的核心内容定义为：

HAZOP为一种用于识别设计缺陷、工艺过程危害及操作性问题的结构化分析方法，方法的本质就是通过系列的会议对工艺图样和操作规程进行分析。在这个过程中，由各专业人员组按规定的方式系统地研究每一个单元（即分析节点），分析偏离设计工艺条件的偏差所导致的危害和可操作性问题。HAZOP分析组分析每个工艺单元或操作步骤，识别出那些具有潜在危害的偏差。这些偏差通过引导词引出，使用引导词的目的就是为了保证对所有工艺参数的偏差都进行分析。分析组对每个有意义的偏差都进行分析，并分析它们的可能原因、后果和已有安全保护等，同时提出应该采取的措施。

HAZOP明显不同于其他分析方法，而是一个系统工程。HAZOP必须由不同专业组成的分析组来完成，这种群体方式的主要优点在于能相互促进、开拓思路。

经过不断改进与完善，在欧洲和美国，HAZOP现已广泛应用于各类项目和工艺过程的风险分析。有些国家（如英国）已通过立法手段强制其在工程建设项目推广应用。HAZOP方法目前广泛应用于国外铁路行业，是铁路行业危害识别的主要方法。

1）HAZOP术语：

●单元：系统的一部分，直接的研究对象。

●要素：单元的一部分，用来识别单元本质特征。要素包括涉及的材料，执行的活动和使用的设备等。

●特性：要素的定性或定量的属性，如温度、电压等。

●设计意图：设计者希望指定的要素和特性的范围。

●引导词：表示与设计意图偏离的词或短语。

●偏差：与设计意图的偏离，其形式通常是“引导词+要素”。

●原因：发生偏差的原因，这些原因可能是设备故障、人为失误和外界干扰（如电源故障）等。

●后果：偏差所造成的结果。

●措施：可能降低危害后果的一些行为动作。

2）单元的划分 单元的划分是定义和准备工作之后的第一步。它是为更准确更充分地确定偏差，如果单元没有得到合理划分，将会导致大量的偏差无法确定，这势必会影响危害识别工作的准确性和可信性。

在有些铁路信号系统中，分析单元的划分可以根据系统的结构来完成，如微机化自动站间闭塞系统由计轴设备、闭塞机、监测机、4050智能I/O模块、交换机及站间通信部分等组成，因此把每个组成部分作为一个单元进行分析。

3）偏差的确定：偏差的确定是整个HAZOP过程的核心。明确设计意图和使用引导词都是为了找出偏差，后续的工作也都是根据偏差来进行的。偏差的确定方法有以下三种：

① 基于偏差库的方法：该方法一般是在HAZOP分析会议前，由HAZOP组织者或记录员对标准偏差库进行调查，以确定每个单元的哪些偏差是适当的，形成要进行分析的偏差库。

② 基于知识的方法：这是一种特殊的基于引导词的HAZOP分析，但所使用的引导词部分或全部来自分析组的知识和特殊的检查表。

③ 基于引导词的方法：对于每一个单元，HAZOP分析组以该单元的设计意图为标准值，分析运行过程中要素或其特性的变动。确定偏差最常用的方法是引导词法，即：偏差=引导词+要素/特性。引导词的选取应仔细考虑，如果一个引导词太具体可能会限制讨论和想法，太普遍将不利于HAZOP研究的有效性。

表3-31列出了HAZOP的引导词及偏差。在开始HAZOP之前，应该把有关系统/元件的引导词列出来。

表3-31 HAZOP引导词及偏差

（2）HAZOP实施过程HAZOP实施全过程分为以下四个主要阶段，如图3-28所示。

图3-28 HAZOP研究过程

1）定义阶段

① 研究开始：研究通常是由项目经理决定开始。项目经理决定需要HAZOP研究时任命一个研究组组长。在研究开始之前，权威机构还需分派一个人确保最后研究出的方案或建议实施。

② 确定研究范围和目的：系统的边界、与其他系统和环境的接口必须明确定义，研究小组必须专注于研究目的，不要涉及与目的无关的方面。研究范围依赖于以下几个方面，包括：系统的物理边界；详细的系统的设计表现；在该研究之前系统所执行的HAZOP或其他相关分析的范围。确定研究目的时应考虑下列因素，包括：该研究结果使用的目的；该研究处于全寿命周期的哪一个阶段；承担风险的人或财产，如工作人员，公众，环境和系统；系统在安全和运营性能方面的标准等。

③ 确定组员及其责任：HAZOP研究小组组长审查设计决定需要什么信息，组员需要什么方面的技能，然后再选定组员，每个组员都是针对一个特定的角色设置的。在具备相关的技术和操作经验的人员的条件下，研究小组应尽可能地小，一般至少4人，不超过7人，研究小组越大，进展越慢，效率越低。研究小组应包括以下角色：组长，记录员，设计者，用户，专家。HAZOP组长应是具有丰富的HAZOP分析经验、独立工作能力且接受过HAZOP专业训练的工程师，并具备一定的领导能力。HAZOP组长应担负起以下职责：小组成员的挑选，工作计划的制定，确保HAZOP分析有序、高效地进行，报告的审查，整改措施的确认等。HAZOP研究小组的知识、技术与经验对确保分析结果的可信度和深度至关重要，这就要求组长应当负责组成有适当人数且有经验的HAZOP研究小组。此外，所有的组员必须对HAZOP技术足够了解，以确保研究工作有效地进行。

2）准备阶段：研究小组组长负责研究的准备工作，包括研究范围和目的，参与研究的人员名单，技术详情；列出参考文件，会议安排包括日期、时间和地点，记录的格式等。

在HAZOP研究的准备阶段，组长根据个人经验提出一个引导词的初始清单。引导词+要素/特性的组合在不同系统的研究，系统寿命周期的不同阶段和适用于不同的设计表现时，其意义都是不同的。

3）审查阶段：审查会议是一个研究组长带领组员按照计划执行研究的结构化过程。在会议开始之前，研究组组长或者一位非常熟悉审查流程的组员要概述一下研究计划，确保所有组员熟悉系统以及研究的范围和目的，其次还要概述设计表现，解释组长推荐的要素和使用的引导词，最后回顾已知的危害和操作性问题，以及潜在关注的方面。

HAZOP有一个严格的审查流程，包括以下两种方式：“要素先”和“引导词先”，二者的区别是前者先考虑要素，再考虑要素对应的每个引导词；后者先考虑引导词，再考虑引导词对应的每个要素。本文在后面的实例中采用的是“要素先”的流程，如图3-29所示。

图3-29 HAZOP审查程序流程图-要素先

4）文件记录和跟踪：HAZOP最重要的好处就是它展现了一种系统的、纪律化的和文件化的方法。为更好地实现HAZOP的初衷，会议中得到的结果必须合理地整理和归档，以便跟踪。HAZOP审查会议上，会议记录人员将分析讨论过程中所有重要的内容精确地记录在事先设计好的工作表内。会后对会议结果记录进行整理、汇总，提炼出恰当的结果，形成HAZOP分析报告文件。

HAZOP工作表用来记录审查的结果以及后续采取的措施的跟踪和进展情况。人工的工作表包括表头和栏。表头含项目、研究主题、设计意图和系统所检查的单元等信息。栏的标题应包括检查当中应该完成的内容和跟踪期间应该完成的内容。采用人工的工作表对于相对不复杂的HAZOP研究来说比较适用，但是对于复杂的HAZOP研究适用性就不强了，因为HAZOP分析会议以表格形式记录，秘书任务繁重，需要做大量的书面工作，鉴于这个原因，HAZOP研究显然要借助于计算机系统，以提高工作效率及工作质量。

HAZOP的最终研究报告应该根据分析得到的HAZOP工作表及其他相关信息整理得来，必须包括以下部分：研究介绍（包括研究背景、范围和目的）；方法（HAZOP会议，HAZOP过程，HAZOP工作表中各栏标题的描述等）；结果（已识别出的危害，建议的措施，进一步需要的信息等）；结论。此外，还应将引导词、工作表的表格形式、最终的HAZOP分析工作表等作为附录放入，使之形成一个最终的完整的HAZOP研究报告。

（3）HAZOP的应用 在传统HAZOP识别技术上发展起来的风险评估技术——HAZOP风险评估是目前一种比较流行的定性风险评估技术，它是在上述介绍的HAZOP危害识别的基础上，结合风险矩阵法进行风险评估的一种技术。

虽然HAZOP在多个行业被证明非常有用，但该方法也有一定的限制，应用时也要加以考虑。

① HAZOP是一种独立考虑系统各部分且独立检查每部分偏差的后果的危害识别方法。当某重大的危害涉及系统各部分之间的交互作用时就必须使用FTA或ETA等方法进一步研究。

② HAZOP虽然是危害和可操作性研究，但并不能保证该方法能识别出所有危害和可操作性的问题。对复杂系统，不能只用HAZOP方法，应与其他合适的方法结合使用。

③ 很多系统都是紧密地联系在一起，若其中一个产生偏差将会影响其他系统。很多事故都是由于微小的局部修改对其他地方引起不可预见的后果造成的。这个问题可以通过考虑偏差从这部分转移到另一部分来解决，但实际应用时很少这样做。

④ HAZOP的成功很大程度上取决于研究团队领导人的能力和经验、队员的知识和经验以及队员之间的交流。