1.概述
(1)目的 通过风险分析与评价,比较不同设计方案的风险,确定关键因素、重要条件、关键部件和系统,分析不同风险控制措施的效果。通过风险分析与评价,选择不同的系统设计方案,改善其中的安全薄弱环节,确定系统设计能否满足安全性要求。并通过采用预防措施,有效降低全寿命周期安全性风险损伤概率。
(2)时机 风险分析与评价方法适用于铁道车辆全寿命周期。风险分析与评价常用于满足用户对铁道车辆安全性要求,并通过风险分析与评价对铁道车辆的设计决策进行支持,帮助综合权衡安全、成本等不同因素。
2.方法和步骤
风险分析与评价过程一般分四个步骤,即风险识别、风险发生的可能性及后果严重性分析、风险排序和风险验收,如图3-31所示。
风险分析与评价过程的输入包括:
①铁道车辆研制合同或招投标有关要求;
②铁道车辆风险管理的目标;
③铁道车辆风险管理计划;
④风险分析方法选择准则、风险排序准则及风险接受准则;
⑤铁道车辆功能、结构分解;
⑥历史产品信息、试验数据等。
图3-31 风险分析与评价过程
(1)风险识别
1)风险识别的输入。风险识别是对铁道车辆设计的各个方面,特别是安全相关的关键技术进行考察研究,从而识别和记录风险源的过程,即确定风险源。识别风险源是风险分析与评价工作的基础,其输入包括:
①影响安全的风险判据;
②相似产品和历史产品的风险源清单;
③试验、运营中影响安全的故障信息;
④专家意见等。
2)风险识别方法。风险识别应参考历史产品的分析经验,方法包括:
①检查单法:根据历史信息和可获得的信息,将铁道车辆可能的风险源列在检查单上,检查产品是否存在检查单中所列出的或者是类似的危险源,并汇总统计。
②头脑风暴法:采用会议的方式,与会者提出自己的意见,充分交流,总计归纳成结论。
③反复函询法:将风险识别有关的问题征求专家意见,并将返回意见经过整理、归纳,将结果反馈给专家,再次征求意见,如此反复指导专家意见稳定。
3)风险识别的输出。风险识别的输出为风险源清单,其为后续的风险发生可能性及后果严重性分析提供信息输入,见表3-40。
表3-40 风险源清单格式示例
(2)风险发生的可能性及后果严重性分析
1)风险发生的可能性及后果严重性分析,是对识别出来的风险,特别是重大风险进一步分析,确定每一个风险发生的可能性,判定后果严重性和关键过程对预期目标的偏离程度。分析结果用风险等级或安全性完整性等级SIL表征。
2)分析方法:进行风险发生的可能性及后果严重性的分析方法包括频度-后果矩阵法、定量法、半定量法、安全层矩阵法、风险图法等。
上述各种方法具体内容为:
①频度-后果矩阵法:频度-后果矩阵法结合危害事件的发生频度及其后果的严重性来确定安全完整性等级。其中,对每种风险源事件进行分析,将风险源危害事件出现频度按照GB/T 21562—2008的规定进行分类,见表3-41;后果严重性等级是对风险严重程度的度量,按照GB/T 21562—2008的规定进行分类,见表3-42,“频度-后果”矩阵见表3-43,大都采用此方法进行分析。
表3-41 危害事件出现的频度
表3-42 危害严酷等级
表3-43 频度-后果矩阵
②定量法:定量法在满足以下两个条件时适用:一是以数据形式规定了容许风险,二是规定了安全相关系统的安全完整性等级的数字目标。
定量法的关键步骤如下,这些步骤需要由安全相关系统实现的每一安全功能来实施。
a)从类似表3-43的表中确定容许风险。
b)确定EUC风险。
c)确定满足容许风险的必要的风险降低。
d)将必要的风险降低分配到安全相关系统和外部风险降低设施。
与EUC存在的风险有关的概率,包括EUC控制系统和人的因素(EUC风险),在没有任何防护因素时,可使用定量风险评估方法进行估计。没有防护因素时,EUC风险包括危险事件可能出现的概率(Fnp)和危险事件的后果。Fnp可由下列方法确定:
a)从可比较的情况分析失效率。
b)有关数据库的数据。
c)使用适当的预计方法进行计算。
图3-32所示为单一安全防护系统的目标安全完整性的计算示例:
PFDavg≤Ft/Fnp
式中 PFDavg——安全防护系统要求的平均失效概率,是低要求工作模式下工作的安全防护系统的安全完整性失效量;
Ft——容许风险频率;
Fnp——安全防护系统的要求率。
另外在图3-32中:C是危险事件的后果;Fp是具有防护因素的风险频率。可以看出,因为Fnp与PFDavg的关系以及由此引起的与安全防护系统的安全完整性等级的关系,确定EUC的Fnp是很重要的。
获得安全完整性等级(当后果C保持不变时)的必要步骤通常如下(图3-32),本内容是针对全部必要的风险降低是通过单一安全防护系统的情况。该安全防护系统必须将危险率从Fnp至少减小至Ft:
图3-32 安全完整性分配:安全防护系统示例
a)确定不附加任何防护因素的EUC风险的频率因素(Fnp)。
b)确定不附加任何防护因素的后果C。
c)通过使用表3-43确定无论频率还是后果是否达到容许风险等级。表3-43用于检查是否需要进一步的风险降低措施,因为可能不采用附加防护因素也能获得容许风险。
d)根据安全防护系统满足必要的风险降低(ΔR)的要求确定失效的概率(PFDavg),对于描述的特定情况中的固定后果,
e)对于
,获得安全完整性等级。
③半定量法:半定量法是在定性分析基础上加入了对安全功能有效性的定量概率分析,使得分析得到的结果具有更高的可信度。半定量法通过事件树分析(ETA)提供一种事故发展的追踪路径,通过概率分析得到安全功能的(PFDavg),根据安全完整性表格确定相应的安全完整性等级。
防护措施分析(Layer of Protection Analysis,LOPA)方法是普遍推荐的半定量分析方法。使用LOPA方法分析时首先定义:作为风险原因的危险事件的发生频率fex(ex(x=1,2,3,…,n)表示危险事件);独立防护措施IPLxy(y=1,2,3,…,m)(不包括安全相关系统)的平均要求失效概率PFDxy;风险的后果C等。
根据风险的后果和相关的标准、规定和社会要求,确定风险的允许频率ft。计算在实施安全保护功能之前铁道车辆的原始风险频率
根据标准,可得安全功能的平均要求失效概率(PFDavg)为
LOPA分析示意图如图3-33所示。
图3-33 LOPA分析示例
④矩阵法:当风险(或风险的频率)不能定量时,可以采用矩阵法,这是一种定性的方法,使得根据对EUC或EUC控制系统有关的风险因素的了解,就能确定安全相关系统的安全完整性等级。
以下要求作为矩阵的基础:
a)安全相关系统与外部风险降低设施是独立的;
b)每一安全相关系统和外部风险降低设施都认为是提供图3-33中所示的部分风险降低的防护措施;
注:仅当执行防护措施的定期检验时,这一假定才有效。
c)当增加一个防护措施时,安全完整性则获得一个数量级的提高;
注:仅当安全相关系统和外部风险降低设施具有足够的独立水平时,这一假定才有效。
d)这一方法建立必要风险完整性等级,且只使用一个安全相关系统(但也可以与另一安全相关系统和/或外部风险降低设施结合)。(www.xing528.com)
上述考虑导出图3-34所示矩阵。应注意矩阵已通过对示例数据计算来说明一般原理。
图3-34 安全层矩阵示例
①一个SIL3安全相关系统不能在这一等级上提供足够的风险降低,需附加风险降低措施。
②一个SIL3安全相关系统不能在这一等级上提供足够的风险降低,要求进行危险和风险分析以确定是否需要附加的风险降低措施。
③可能不需要一个独立的安全相关系统。
④事件的概率是在没有任何安全相关系统或外部风险降低设施下危险事件出现的概率。
⑤SRS=安全相关系统,事件的概率和独立防护措施的数量是根据特定的应用关系来定义的。
⑤风险图法:风险图法是应用最广泛的定性方法。它通过对与EUC和EUC控制系统有关的风险因素的了解来确定安全相关系统的安全完整性等级。该方法基于四个参数,包括:风险后果参数C,风险暴露时间或频率参数F,不能避免危险的概率P,不期望事件发生的概率W。以上描述的风险参数的组合使得可以开发如图3-35中所示的风险图。图3-35中,CA<CB<CC<CD;FA<FB;PA<PB;W1<W2<W3<W4。风险图的示例如下:
风险参数C、F和P的使用引出一系列输出X1,X2,X3,…,Xn(准确的数据依据风险图覆盖的特定应用领域)。图3-35指出了对更加严重后果的无加权考虑的情况。这些输出中的每一个映射为三种尺度之一(W1、W2和W3),这些尺度上的每一点都是由考虑情况下的安全相关系统满足的必要的风险降低的指示。实际中,对待定后果,会出现单一安全相关系统不足以给出必要的风险降低的情况。
图3-35 风险图示例
W1、W2和W3上的映射可以包含其他风险降低措施产生的作用。在W1、W2和W3的尺度的偏移特性可以包含来自其他措施的三种不同等级的风险降低。W3由措施提供的最小风险降低(即不期望发生情况的最高概率),W2由其他风险措施提供的中等风险降低,W1由其他措施提供的最大风险降低。根据风险图的特定中间输出量(即X1,X2,…,Xn)和规定的W尺度(即W1、W2或W3),风险图的最终输出为安全相关系统的安全完整性等级(即1,2,3或4),并作为这一系统要求风险降低的量值。这一风险降低和其他考虑进W尺度机制的措施所取得的风险降低给出特定情况下的必要的风险降低。
(3)风险排序
1)概述:风险排序是对风险发生可能性及后果严重性的综合量化结果进行排序,找出关键和重要的风险,除考虑综合影响外,对于发生的可能性大或后果影响严重的风险应给予特别的关注。风险排序清单(其格式见表3-44)是风险处置的依据。
表3-44 风险排序清单格式示例
2)风险排序方法:风险排序可直接根据风险等级大小进行。对于等级相同或未进行风险等级分析的风险可用专家多次投票法、专家评价法、两两比较法等进一步进行风险排序。
①风险评价指数法:风险评价指数法是对一种根据风险发生的可能性大小及可能造成后果的严重性进行综合度量,以评价指数量化排序的方式,评价每种风险的风险指数,以危害事件的发生频度为纵坐标,风险的后果严重性为横坐标,以可能性和严重性的等级乘积表示风险指数,指数越高,风险越大。
风险评价指数示例见表3-45。
表3-45 风险评价指数
②专家多次投票法:专家多次投票法适用于铁道车辆设计早期缺乏具体安全相关信息支撑的情况,需由各相关领域专家根据风险发生的可能性及后果严重性分析结果以及自己的实际工程经验进行投票表决。
要求专家组成员必须包括铁道车辆研发人员、生产制造人员、试验人员、售后服务人员、质量人员、RAMS人员、路局人员、供应商人员。由该专家组成员分别就每项风险的顺序进行投票,由RAMS人员统计投票结果,并将投票结果反馈给专家组;再次投票,如此反复直到结果不再有任何变化。
一般经过几次投票即可产生最后的结果。如果风险数目很大,可将风险分为若干组进行排序。一般情况下,每次投票中需要排序的对象不超过10项。
③专家评价法:专家评价法与专家投票法类似,需由各相关领域专家根据风险发生的可能性及后果严重性分析结果以及自己的实际工程经验按照评分原则评分。
专家组成员分别对每项风险进行评分,如认为是最重要的风险打10分,最次要的风险打1分,然后根据经验对其余的按相对重要性分别打1~10分,汇总各位专家打分的结果,对同一项目评分差异过大的进行再次确认,统计每个风险所得分数的总和,按得分的多少排序,见表3-46。
表3-46 专家评价法评分表(示例)
3)两两比较法:两两比较法又称配对比较法,将所有要评价的风险列在一起,两两进行比较,相对重要的记为1,然后按照每种风险所得1的数量,即按照行和的大小进行排序,得到1多的为最重要的风险。
两两比较法可采用矩阵法进行,见表3-47。
表3-47 两两比较法(矩阵)示例
(4)风险验收
1)风险验收原理:风险验收应以普遍公认的原理为基础,可以利用的原理有:
①ALARP(风险降到可行)原理:ALARP原理如图3-36所示。
图3-36 ALARP原理简图
最上面的范围为不容许的风险等级,有些风险很大,且结果不可接受,因此任何场合都是不容许的,如果风险等级不能降低到此范围以下就不能投入运营。
最下面的范围规定为主要容许区域,该区域中风险都可认为很小,不需要通过任何ALARP判据的证明。
上边界与下边界之间的区域为ALARP区域,在这个区域内的风险应在可行范围内尽量降低至主要容许区域。
②GAMAB原理:
a.新的导向运输系统应至少具有与现有的等效系统一样的安全等级。
b.采用定量方法描述。
a)τc.ref(=死亡人数/旅客人数,死亡人数为两列列车相撞导致的死亡人数)表示在上一年运行中,轨道交通运输系统的经验数据,在同样的自然环境下,该分数从现有系统的统计数据中提取,并作为同类新型系统的基准。
b)考察新系统,在此系统中规定:
C=列车的载客量(载客人数/车)
F=列车密度(列车/小时)
r=平均满员率(列车不全满)
nc=新型系统中每次碰撞的死亡人数
Dm=吞吐量(旅客人数/小时)=r×C×F因此,实际上每个旅客经历的碰撞次数应该是:
col=(τc.ref/nc)(碰撞次数/旅客人数)
新系统的碰撞率应小于现有系统的碰撞率;
因此
λc≤col×Dm=(τc.ref/nc)×Dm=τc.ref×(r×C/nc)×F(碰撞次数/小时)
对于现有系统和已设计系统而言,假定同一列车中死亡人数在旅客人数中所占比例相同,即nc/r×C=常量。
对于较低的运行质量而言,λc可能是已实现的要求,特别是F值(列车密度)较小时。
新系统的改进由符号“≤”推进;
设计者/供应商可在轨旁设备和车载设备之间自由分配λc。
2)风险接受准则:已排序的风险应按照风险接受准则确定其可接受或不可接受。
根据轨道交通主管部门规定的风险等级及应对每一项风险的措施,见表3-48,表3-49为定性的风险等级对应到“频度-后果矩阵”进行风险评估验收的典型例子。
表3-48 定性的风险等级及其对应处理措施
表3-49 风险评估或验收的典型例子
针对风险排序清单,给出应对每一项风险的纠正措施和使用补偿措施,其格式见表3-50。
表3-50 风险纠正措施表格式示例
(5)风险分析报告 在系统全寿命周期的各个阶段,风险分析与评价应由负责该阶段的主管部门进行,并应形成相应的分析报告。报告内容至少应包括:
1)分析方法;
2)方法的假设、限制和判据;
3)危害鉴定结果;
4)风险估计结果和置信度水平;
5)折中选择的研究结果;
6)数据及其来源与置信度水平;
7)参考文件。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
