危害辨识与风险评价方法(1)

目 录

第一节 危害辨识与风险评价的程序„„„„„„„„„„„„„„„„„„„„„„„1 第二节 危害因素„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„1

一、危害因素的产生 „„„„„„„„„„„„„„„„„„„„„„„„„„„1 二、危害因素的分类 „„„„„„„„„„„„„„„„„„„„„„„„„„„3 三、危害因素所造成的事故类别 „„„„„„„„„„„„„„„„„„„„„„4 第三节 危害辨识„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„4

一、概述 „„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„4 二、危害辨识方法 „„„„„„„„„„„„„„„„„„„„„„„„„„„„5 安全检查表分析(SCL)„„„„„„„„„„„„„„„„„„„„„„„„„„5

预先危险性分析(PHA)„„„„„„„„„„„„„„„„„„„„„„„„„„6 危险和可操作性研究(HAZOP) „„„„„„„„„„„„„„„„„„„„„„7 故障类型和影响分析(FMEA)„„„„„„„„„„„„„„„„„„„„„„„10 事故树分析(FTA)„„„„„„„„„„„„„„„„„„„„„„„„„„„„13 第四节 风险评价„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„26

风险矩阵评价(RAM) „„„„„„„„„„„„„„„„„„„„„„„„„„26 一般作业风险评价法(LEC)„„„„„„„„„„„„„„„„„„„„„„„„27 职业卫生评价方法 „„„„„„„„„„„„„„„„„„„„„„„„„„„29

有毒作业危害评价方法 „„„„„„„„„„„„„„„„„„„„„„„29 噪声作业危害评价方法 „„„„„„„„„„„„„„„„„„„„„„„30 粉尘作业危害评价方法 „„„„„„„„„„„„„„„„„„„„„„„31

第五节 风险控制

一、风险控制决策 „„„„„„„„„„„„„„„„„„„„„„„„„„„„31 二、风险控制措施的选择 „„„„„„„„„„„„„„„„„„„„„„„„„32

1

第一节 危害辨识与风险评价的程序

危害辨识和风险评价的一般程序如图1－1所示。

收集资料

事故类型 危害辨识 影响因素、事故机制 事故发生的可能性 事故的严重度 风险值的确定 风险分级 制定风险削减措施 风险评价 监测审查 风险控制 落实风险削减措施

图1-1 危害辨识与风险评价的程序

一、收集资料。明确评价的对象和范围，收集国内外相关法规和标准，了解同类设备、设施或工艺的生产和事故情况、评价对象的地理、气象条件及社会环境状况。

二、危害因素辨识与分析。根据所评价对象的工艺流程、装置布置、主要设备、仪表、原材料、中间体、产品的理化性质，选用适合的方法辨识危害。

三、风险评价。在上述危害辨识的基础上，根据评价目的和评价对象的复杂程度选择具体的一种或多种评价方法，对事故可能发生的可能性和严重程度进行定性或定量评价，确定风险等级。

四、制定并落实风险削减措施。根据风险等级，确定不可承受的风险，采取工程技术或组织管理措施，降低或控制风险；对可承受的风险，建立监测措施，防止条件变更导致危险。

第二节 危 害 因 素

危害：可能造成人员伤亡、职业病、财产损失、工作环境破坏的根源或状态； 一、危害因素的产生

所有危害因素尽管表现形式不同，但本质上都可归结为存在能量、有害物质和能量失去控制两方面因素的综合作用，并导致能量的意外释放或有害物质泄漏、散发的结果。故存在能量、有害物质和失控是危害产生的根本原因。

1、能量、有害物质

一般来说，系统具有的能量越大、存在的有害物质越多，系统的危害性越大。另一方面，只

2

要进行生产活动，就需要相应的能量和物质（包括有害物质），因此所产生的危险因素是客观存在的，是不能完全消除的。

⑴能量既可以造福人类，也可以造成人员伤亡和财产损失；一切产生、供给能量的能源和能量的载体在一定条件下，都可能是危害因素。如，锅炉、爆炸危险物质爆炸时产生的冲击波、温度和压力，高处作业（或吊起的重物）的势能，带电导体上的电能，行驶车辆（或各类机械运动部件、工件等）的动能，噪声的声能，高温作业及剧烈热反应工艺装置的热能，各类辐射能等，在一定条件下都能造成事故。静止的物体棱角、毛刺、地面等之所以能伤害人体，也是人体运动、摔倒时的动能、势能造成的。这些都是由于能量意外释放形成的危害因素。

⑵有害物质在一定条件下能损伤人体的生理机能和正常代谢功能，破坏设备和物品的效能，也是最根本的危害因素。如，作业场所中由于有毒物质、腐蚀性物质、有害粉尘、窒息性气体等有害物质的存在，当他们直接、间接与人体或物体发生接触，能导致人员死亡、职业病、伤害、财产损失或设备、环境的破坏等，都是危害因素。

2、失控

在生产中，人们通过工艺和工艺装备使能量、物质（包括有害物质）按人们的意愿在系统中流动、转换，进行生产；同时又必须约束和控制这些能量及有害物质，消除、减弱产生不良后果的条件，使之不能发生危害后果。如果出现失控，就会发生能量、有害物质的意外释放和泄漏，从而造成人员伤害和财产损失。所以失控也是一类危害因素，它主要体现在设备故障（或缺陷）、人员失误和管理缺陷三个方面，并且三者之间是互相影响的。它们大部分是一些随机出现的现象和状态，很难预测它们在何时、何地、以何种方式出现，是决定危害发生的条件和可能的主要因素。

⑴故障（包括生产、控制、安全装置和辅助设施等）

故障是指系统、设备、元件等在运行中由于性能（含安全性能）低下而不能实现预定功能的现象。造成故障发生的原因很复杂（认识程度、设计、制造、磨损、疲劳、老化、检查和维修保养、人员失误、环境、其他系统影响等），但故障发生的规律是可知的，通过定期检查、维修保养和分析总结可使许多故障在预定期内得到控制（避免或减少）。

系统发生故障并导致事故发生的危害因素主要表现在发生故障、误操作时的防护、保险、信号等装置缺乏、缺陷和设备在强度、刚度、稳定性上有缺陷两方面。

如，电气设备绝缘损坏、保护装置失效造成漏电伤人，短路保护装置失效又造成交配电系统的破坏；控制系统失灵使化学反应装置压力升高，泄压安全装置故障使压力进一步上升，导致压力容器破裂、有毒物质泄漏散发、爆炸危险气体泄漏爆炸，造成巨大伤亡和财产损失；管道阀门破裂、通风装置故障使有毒气体浸入作业人员呼吸带；超载限制或起升限位安全装置失效使钢丝绳断裂、重物坠落，围栏缺损、安全带及安全网质量低劣为高处坠落事故提供了条件等，都是故障引起的危害因素。

⑵人员失误：

人员失误泛指不安全行为中产生不良后果的行为（即职工在劳动过程中，违反劳动纪律、操作程序和方法等具有危险性的做法）。人员失误在一定条件下，是引发危害因素的重要原因。如误合开关使检修中的线路或电气设备带电，使检修中的设备意外启动；不佩带呼吸防护器具进入缺氧、有毒作业场所；注意力不集中、反应釜压力越限时开错阀门使有害气体泄漏；汽车起重机吊装作业时吊臂误触高压线；不按规定穿戴工作服（帽）使头发或衣袖卷入运动工件，都是人员失误形成的危害因素。

⑶管理缺陷：

⑷温度、湿度、风雨雪、照明、视野、噪声、振动、通风换气、色彩等环境因素都会引起设

3

备故障或人员失误，是发生失控的间接因素。

二、危害因素分类

对危害进行分类，是为便于进行危害因素分析。根据G B／T 13816—92《生产过程危险和危害因素分类与代码》将危害因素分为六类。

1、物理性危害因素

⑴设备、设施缺陷（强度不够、刚度不够、稳定性差、密封不良、应力集中、外形缺陷、外露运动件、制动器缺陷、控制器缺陷、设备设施其他缺陷）；

⑵防护缺陷（无防护、防护装置和设施缺陷、防护不当、支撑不当、防护距离不够、其他防护缺陷）；

⑶电危害（带电部位裸露、漏电、雷电、静电、电火花、其他电危害）； ⑷噪声危害（机械性噪声、电磁性噪声、流体动力性噪声、其他噪声）； ⑸振动危害（机械性振动、电磁性振动、流体动力性振动、其他振动）；

⑹电离辐射（电离辐射：Χ射线、γ射线、α粒子、β粒子、质子、中子、高能电子束等；非电离辐射：紫外线、激光、射频辐射、超高压电场）；

⑺运动物危害（固体抛射物、液体飞溅物、反弹物、岩土滑动、料堆垛滑动、气流卷动、冲击地压、其他运动物危害）；

⑻明火；

⑼能造成灼伤的高温物质（高温气体、高温固体、高温液体、其他高温物质）； ⑽能造成冻伤的低温物质（低温气体、低温固体、低温液体、其他低温物质）； ⑾粉尘与气溶胶（不包括爆炸性、有毒性粉尘与气溶胶）；

⑿作业环境不良（作业环境不良、基础下沉、安全过道缺陷、采光照明不良、有害光照、通风不良、缺氧、空气质量不良、给排水不良、涌水、强迫体位、气温过高、气温过低、气压过高、气压过低、高温高湿、自然灾害、其他作业环境不良）；

⒀信号缺陷（无信号设施、信号选用不当、信号位置不当、信号不清、信号显示不准、其他信号缺陷）；

⒁标志缺陷（无标志、标志不清楚、标志不规范、标志选用不当、标志位置缺陷、其他标志缺陷）；

⒂其他物理性危害因素。 2、化学性危害因素

⑴易燃易爆性物质（易燃易爆性气体、易燃易爆性液体、易燃易爆性固体、易燃易爆性粉尘与气溶胶、其他易燃易爆性物质）；

⑵自燃性物质；

⑶有毒物质（有毒气体、有毒液体、有毒固体、有毒粉尘与气溶胶、其他有毒物质）； ⑷腐蚀性物质（腐蚀性气体、腐蚀性液体、腐蚀性固体、其他腐蚀性物质）； ⑸其他化学性危害因素。 3、生物性危害因素

⑴致病微生物（细菌、病毒、其他致病微生物）； ⑵传染病媒介物； ⑶致害动物； ⑷致害植物；

⑸其他生物性危害因素。 4、心理、生理性危害因素

4

⑴负荷超限（体力负荷超限、听力负荷超限、视力负荷超限、其他负荷超限）； ⑵健康状况异常； ⑶从事禁忌作业；

⑷心理异常（情绪异常、冒险心理、过度紧张、其他心理异常）； ⑸辨识功能缺陷（感知延迟、辨识错误、其他辨识功能缺陷）； ⑹其他心理、生理性危害因素。 5、行为性危害因素

（l）指挥错误（指挥失误、违章指挥、其他指挥错误）；

⑵操作失误（误操作、违章作业、其他操作失误）； ⑶监护失误； ⑷其他错误；

⑸其他行为性危害因素。 6、其他危害因素

三、危害因素所造成的事故类别

参照GB6441－86《企业职工伤亡事故分类》，人身伤亡事故类别如下：

⑴物体打击；⑵车辆伤害；⑶机械伤害；⑷起重伤害；⑸触电；⑹淹溺；⑺灼烫；⑻火灾；⑼高处坠落；⑽坍塌；⑾放炮；⑿火药爆炸；⒀化学性爆炸；⒁物理性爆炸；⒂中毒和窒息；⒃其他伤害。

第三节 危害辨识

一、概述

危害辨识：识别危害的存在并确定其性质的过程。 危害性质：危害的类别及其造成事故的类型。

危害辨识是风险管理的基础，许多系统安全评价方法，都可用来进行危害辨识。常用的辨识方法大致可分为两类：

1、直观经验法

适用于可供参考先例、有以往经验可以借鉴的危害辨识过程。 ⑴对照经验法：

对照有关标准、法规、检查表或依靠分析人员的观察分析能力，借助于经验和判断能力直观地评价对象危害的方法。经验法是辨识中常用的方法，其优点是简便、易行，其缺点是受辨识人员知识、经验和占有资料的限制，可能出现遗漏。为弥补个人判断的不足，常采取专家会议的方式来相互启发、交换意见、集思广义，使危害辨识更加细致、具体。

对照事先编制的检查表辨识危害，可弥补知识、经验不足的缺陷，具有方便、实用、不易遗漏的优点。

⑵类比方法

利用相同或相似系统或作业条件的经验和职业安全卫生的统计资料来类推、分析评价对象的危害。多用于作业条件危害因素的辨识过程。

2、系统安全分析方法

即应用系统安全工程评价方法的部分方法进行危害辨识。系统安全分析方法常用于复杂系统或没有事故经验的新开发系统。常用的系统安全分析方法有事故树（FTA）、危害和可操作性研究(HAZOP)、故障类型与影响分析(FMEA)等。

二、危害辨识方法

5

安全检查表分析（SCL）

安全检查表(Safety Check List缩写SCL)是一种最基本、最初步的系统危险性辨识方法。所谓安全检查表，就是为检查某一系统的安全状况而事先拟好的问题清单。如液化石油气球罐区安全检查表见表3－1。具体地讲，就是为了系统的发现工厂、车间、工序或机械、设备、装置以及各种操作、管理和组织措施中的不安全因素，事先把检查对象加以剖析，把大系统分割成小的子系统，查出不安全因素，然后确定检查项目和标准要求，将检查项目按系统、子系统顺序编制成表，以便进行检查，避免遗漏，这种表就叫安全检查表。

表3-1 液化石油气球罐区安全检查表 建议改正/ 序号 检 查 内 容 及 标 准 检查结果（是/否） 增补控制措施 液化石油气球罐区总平面布置，防火间距等符1 你们是多少？ 合规范要求。 罐体无变形、罐基无不均匀下沉，各支柱倾斜2 度、防火及抗震设施符合规定，各部螺栓满扣、 齐整、紧固。 3 3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8 安全设施齐全完好。 紧急放空阀、安全阀数量和泄压量应符合规模要求，安全阀与罐体间的隔离阀应处于全开位置。 安全阀、液面计、温度计及防雷防静电接地应定期校验，保证齐全好用。 放空阀、水幕、压力平稳线、喷淋设施齐全好用。 平台、扶梯焊接牢固。 采用密闭切水措施，并应有防冻防凝措施。 球罐应单独设高液位报警或带联锁的高液位报警。 球罐底部出入口管线应设紧急切断阀，入口紧急切断阀应与球罐高液位报警联锁。 可燃性气体检测报警器定期检查、校验，保证灵敏可靠。

㈠、安全检查表的编制 安全检查表看似简单，但要使其在使用中能切合实际，真正起到全面系统地辨识危害的作用，则需要有一个高质量的安全检查表。要编制这样的检查表，大体需要做好如下几下工作：

1、组织编写组，其成员应是熟悉该系统的专业人员、管理人员和实际工作者。

2、对系统进行全面细致的了解，包括系统的结构、功能、工艺条件等基本情况和有关安全的详细情况。例如，系统发生过的事故、事故原因、影响和后果等。还要收集系统的说明书、布置图、结构图等。

3、收集与系统有关的国家法规、制度、标准及得到公认的安全要求等，作为安全检查表的编制依据。

4、按照系统的结构或功能进行分割、剖析，逐一审查个单元，找出一切影响系统安全的危害因素，列出清单。

5、针对危害因素清单，从有关法规、制度、标准及技术说明书等文件资料中，逐个找出对

6

应的安全要求及避免或减少危害因素发展为事故应采取的安全措施，形成对应危害因素的安全要求与安全措施清单。

6、综合上述两个清单，按系统列出应检查问题的清单。每个检查问题应包括是否存在危害因素，应达到的安全指标，应采取的安全措施。这种检查问题清单就是最初编制的安全检查表。

7、检查表编制后，要经过多次实践的检验，经不断修改完善，才能形成标准的安全检查表。 ㈡、安全检查表的优点： 安全检查表有以下优点：

1、能够事先编制。有条件组织对被检查对象熟悉的人员进行充分讨论，有足够的编定时间，可以做到系统化、完整化，不漏掉任何能导致事故的危害因素，克服检查的盲目性，避免走过场的安全检查方法，达到改进检查质量的效果。

2、根据现有法规、标准编制检查表，按表进行安全检查，可以得到准确的检查、评价结论，便于法规、标准的落实。

3、安全检查表能给出明确的安全要求与具体的数据标准，便于辨识危害。安全目标明确，使人知识应该如何做，做到什么地步，才能达到安全要求。

4、可以和生产责任制相结合。由于安全检查表详细、具体，不仅可以分清各方面有关人员的责任，也可以迅速落实整改措施。

5、安全检查表简明易懂，使用方便，易于接受。

6、应用范围广泛。从目前安全检查表应用范围看，它不仅可以用于系统安全设计、审查、验收，也可以用于现有系统的安全检查、安全评价。

预先危险性分析（PHA）

预先危险性分析（Preliminary Hazard Analysis, PHA）是在一项工程活动(设计、施工、生产运行、维修等)之前，首先对系统可能存在的主要危险源、危险性类别、出现条件和导致事故的后果所作的宏观、概略分析，是一种定性分析、评价系统内危害因素危害程度的方法。其目的是尽量防止采取不安全的技术路线，避免使用危险性物质、工艺和设备。如果必须使用，也可以从设计和工艺上考虑采取安全防范措施，使这些危害性不致发展成为事故。它的特点是把工作做在行动之前，避免由于考虑不周而造成损失。

㈠、 分析步骤

进行危险性预分析，大体分以下几个步骤：

1、熟悉系统。在对系统进行危险性分析之前，首先要对系统的目的、工艺流程、操作运行条件、周围环境作充分的调查了解。在此基础上，请熟悉系统的有关人员进行充分的讨论研究，根据过去的经验、资料以及同类系统过去发生过的事故信息，分析对象系统是否也会出现类似情况和可能发生的事故。

2、辨识危险因素。辨识查找能够造成人员伤亡、财产损失和系统完不成任务的危险因素。 3、找出危险因素形成的原因事件，即所谓的“触发事件”。

4、确定由危险因素发展为事故的客观条件，即形成事故的原因事件。 5、确定危险因素的危险等级。

6、根据危险等级，决定应采取的安全措施。 ㈡、危险等级划分 对辨识出的危险因素，为了按照轻重缓急采取安全防护措施，对预计到的危险因素加以控制，就要按其形成事故的可能性和损失的严重程度确定危险等级。一般划分为以下四个等级：

Ⅰ级 安全的，尚不能造成事故。

7

Ⅱ级 临界的，处于事故的边缘状态，暂时还不会造成人员伤亡和财产损失，应当予以排除或采取控制措施。

Ⅲ级 危险的，必然会造成人员伤亡和财产损失，要立即采取措施。

Ⅳ级 破坏性的，会造成灾难性事故(多人伤亡，系统损毁)，必须立即排除。 ㈢、分析实例

以热水器为例进行预先危险性分析。热水器用煤气加热，装有温度和煤气开关连锁系统，当水温超过规定温度时，连锁动作将煤气阀关小。如果发生故障，则由泄压安全阀放出热水，防止发生事故。其预先危险性分析表如下：

表3-2 热水器预先危险性分析 危险形成事故的原事故危险触发事件 现象 结果 措施 因素 因事件 情况 等级 热水水压煤气连 有气泡伤亡 装爆破板，检查安全阀不动作 器爆Ⅲ 高 续燃烧 产生 损失 安全阀 炸 水温水过同上 同上 同上 烫伤 Ⅱ 同上 高 热 火源和煤气阀火嘴熄灭，煤气煤气充爆炸伤亡 装联锁，定期检煤气 火花 Ⅲ 阀开，煤气泄漏 满 火灾 损失 查，通风，气体检测器 煤气毒气 同上 同上 人在室内 伤亡 Ⅱ 同上 中毒 燃烧排气口 充满CO检查器，警不 同上 同上 同上 Ⅱ 关闭 CO 报器，通风 完全 火嘴附近应有火嘴火嘴附近 火嘴附伤亡 火嘴引燃 火灾 Ⅲ 耐火构造，定期着火 有可燃物 近着火 损失 检查 排气口装联锁，排气排气口温度过高时煤排气口 口 附近 火嘴连续燃烧 同上 同上 Ⅱ 气关闭，排气口关闭 高温 着火 附近应为耐火结构 危险和可操作性研究（HAZOP）

危险和可操作性研究（Hazard and Operability Analysis）是基于工艺过程的状态参数（温度、压力、流量等）一旦与设计规定的基准状态发生偏离，就会发生问题或出现危害的理论，以七个关键词为引导，找出系统中工艺过程或状态的变化（即偏差），然后再继续分析造成偏差的原因、产生的后果及相应的措施。危险和可操作性研究既适用于设计阶段，又可适用于现有装置；既可用于连续的过程，又可用于间歇的过程。

㈠、 危险和可操作性研究的步骤

8

确定分析对象 收集资料 选择关键词 列出可能出现有意义的偏差 分析产生偏差原因 研究偏差造成的影响 提出防范措施 图3-1 危险和可操作性研究的步骤

分析对象可以是一段管道、一个容器、一个转换或连接装置或一个反应器。 HAZOP研究所需资料： 1、管道仪表图 2、工艺流程图 3、设计参数 4、设计说明书 5、工艺过程说明 6、操作规程

㈡、关键词

表3-3 HAZOP分析的关键词及意义 关键词 没有（否） 多（过大） 少（过小） 多余（伴随） 意 义 完全实现不了设计或操作规定的要求；如无流量、无催化剂 与设计规定的标准值相比偏大；如温度、压力、流量数值偏高 与设计规定的标准值相比偏小，如温度、压力、流量数值偏高 在完成规定功能的同时，伴有其他多余事件发生；如物料在输送过程中发生组分及相变化，组分中掺入杂质 部分（局部） 只完成规定功能的一部分；如组分的比例发生变化，无某些组分 出现与设计或操作要求相反的事和物；如流体反向流动，加热而不是冷却，反相反（反向） 应向相反方向进行 出现与设计或操作要求不相同的事或物；如发生异常事件或状态、开停车、维修、改变操作模式 其他（异常） 对某一系统进行HAZOP研究时，是从某一部分的一个规定功能开始，先后使用七个关键词，当七个关键词讨论完了进入下一个规定功能。当全部规定功能讨论完了进入下一部分，直至整个

9

系统审查完备。当工艺指标包括一系列相互联系的工艺参数时(如温度、压力、反应速度、组成等)，最好是对每一个工艺参数顺序使用关键词，而不是每个引导词用于工艺参数组。

㈢、偏差：

在设计状况下工作时，系统运作正常；当偏离设计状况时，就发生问题。使用关键词来定义偏离设计状况时的后果，即引导词＋工艺参数＝偏差

如：关键词 工艺参数 偏差

没有 + 流量 = 无流量 相反 + 流量 = 逆 流 多 + 压力 = 压力高 否 + 压力 = 负 压 多余 + 一相 = 两 相 异常 + 操作 = 维 修

关键词用于两类工艺参数，一类是概念性的工艺参数，如反应、混合；另一类是具体的工艺参数，如压力、温度。对于概念性的工艺参数，当与关键词合成偏差时，常发生歧义，如“过量+反应”可能是指反应速度快，或者是指生成了大量产品。

㈣、分析产生偏差原因 例1：“多+ 流量=过量 ”这一偏差产生的可能原因有： 1、进口压力增加； 2、泵的能力增加； 3、启动了多台泵； 4、输送压力降低； 5、换热器管线泄漏； 6、未安装流量限制孔板； 7、控制故障；

8、控制阀进行了调整。 例2：“低+ 压力= 低压”偏差产生的可能原因有 ： 1、形成真空； 2、冷凝；

3、气体溶解在液体中；

4、泵或压缩机管道受到限制； 5、未检测到泄漏； 6、容器向外排物； 7、沸腾； 8、气体释放；

9、粘度或密度发生变化； 10、天气条件变化。

㈤、危险和可操作性研究举例

设A、B两种物料在该装置中反应生成产品C。如果B的浓度超过A，则发生爆炸反应。

10

原料A 原料A 储罐 反应器 原料B 图3-2 反应装置流程示意图 产品C 表3-4 反应器输送系统危险与可操作性研究 关键词 偏差 可能原因 对系统造成的影响 否 未按设计要求输1、原料A的贮槽是空的； 反应器内B的浓度大，会发生送原料A 2、泵发生故障； 爆炸性反应。 3、管线破裂； 4、阀门关闭。 多 输送了过量的原1、泵流量过大 1、反应器内A量过剩，可能对料A 2、阀门开度过大； 工艺造成影响； 3、A贮槽的压力过高。 2、反应器发生溢流可能引起灾害。 少 输送A原料量过1、阀门部分关闭； 与“否”的情况相同 少 2、管线部分堵塞； 3、泵的性能下降。 伴随 输送原料的同1、从泵吸入口阀门流进别的物可能生成危险性混合物，发生火时，发生了质的质； 灾，出现静电或腐蚀等 变化 2、泵吸入口阀门流出； 3、管线和泵内发生相应变化 部分 输送原料A量只1、原料A中的成分不足； 对A成分不足和对其他反应器达到设计要求的2、输送到其他反应器去了 的影响都要进行评价 一部分 反应器满了，压力上升，向管线原料A向外泄漏，应了解其危和泵逆流 险性 其他 1、输送了与原料A不同的原料； 1、了解有无反应； 2、原料A输向别的地方去了； 2、了解别的地方可能发生的结3、管内原料A凝固了 果 故障类型和影响分析(FMEA)

故障类型和影响分析（Failure Modes and Effects Analysis）主要应用于系统的安全设计，研究对象为设备和材料的故障。它是根据系统可分的特性，按实际需要分析的深度，把系统分割成反向 原料A的输送方向变反 发生了和输送原料A的设计要求完全不同的事件 11

子系统，或进一步分割成元件，然后逐个分析各部分可能发生的所有故障类型及其对子系统和系统产生的影响，以便采取相应措施，提高系统的安全性。

㈠、故障、故障类型

故障：元件、子系统或系统在运行时达不到规定的要求，因而完不成规定的任务或任务完成不好，称为故障。

故障类型：指元件、子系统或系统故障的表现形式，一般指能被观察到的故障现象。如一个阀门发生故障，可能有四种故障类型：内漏、外漏、打不开、关不严等。分析人员应当列出所有故障类型。一般可能出现的故障类型见下表：

表3-5 故障类型表 序 故障类型 序 故障类型 1 18 结构故障（破损） 错误动作 2 19 物理性质的结卡 不能关机 3 20 颤振 不能开机 4 21 不能保持正常位置 不能切换 5 22 不能开 提前运行 6 23 不能关 滞后运行 7 24 错误开机 输入过大 8 25 错误关机 输入过小 9 26 内漏 输出过大 10 27 外漏 输出过小 11 28 超出允许上限 无输入 12 29 超出允许下限 无输出 13 30 意外运行 电短路 14 31 间断性工作不稳定 电开路 15 32 漂移工作不稳定 电泄漏 16 33 错误指示 其他 17 流动不畅 例1：某个常关阀门的故障类型可包括： 1、阀门卡住；

2、阀门处于开的状态； 3、阀门泄漏物料； 4、阀门内漏(未关严)； 5、阀体破裂。

例2：某个正常运行的泵的故障类型可包括： 1、需要时因故障无法停止运行； 2、需要运行时停止不动； 3、密封泄漏/破裂

例3：某管程高压的热交换器的故障类型可包括： 1、管程到壳程的泄漏/破裂 2、壳程到外部环境的泄漏/破裂 3、管程堵塞 4、壳程堵塞

12

㈡、故障产生的后果分析 对发现的每个故障类型，应对故障类型本身所在的元件、子系统和系统造成的直接后果及其他系统可能产生的后果进行分析。如泵密封泄漏的直接后果是泵内液体物料溅射到的工作区域，若是易燃物质，将可能引起火灾，损坏泵及其附近的设备，并威胁操作人员安全；也可使邻近设备受热，引起设备内物料温度升高，加速反应过程，导致反应失控等。FMEA的关键是对所有设备故障和可能后果进行分析，并假定在所有的安全保护失效这种最坏的情况下可能产生的后果。

㈢、确定故障等级

根据故障类型对子系统或系统影响程度的不同而划分的等级称为故障等级。划分故障等级主要是为了分清轻重缓急采取相应措施。一般情况下，故障类型可划分为以下四个等级：

表3-6 故障等级划分表 故障等级 影响程度 可能造成的危害或损失 一级 致命的 可能造成死亡或系统损失 二级 严重的 可能造成重伤、严重职业病或主系统损坏 三级 临界的 可造成轻伤、轻度职业病或次要系统损坏 四级 可忽略的 不会造成伤害和职业病，系统不会受损 上面是定性划分故障等级的方法，基本是根据严重程度来确定等级的，有一定的片面性。为了更全面地确定故障等级，可采用如下定量的方法(评点法)：

致命度点数CE=F1×F2×F3×F4×F5 F1表示风险事件对人的影响 F2表示风险事件造成的财产损失 F3表示风险事件发生的频率 F4表示风险事件发生的难易程度

F5表示设备是否为新技术、新设计或操作人员对设备熟悉程度。 F1～F5取值见下表：

表3-7 F1～F5分值表 项 目 内 容 分 值 故障或事故对人的影响F1 造成生命损失 5.0 造成严重损失 3.0 一定功能损失 1.0 无功能损失 0.5 对系统、子系统、单元造成的对系统造成两处以上重大影响 2.0 影响F2 对系统造成一处以上重大影响 1.0 对系统无大的影响 0.5 故障或事故发生的频率F3 易于发生 1.5 可能发生 1.0 不太可能发生 0.7 防止故障或事故的难易程度F4 不能防止 1.3 能够预防 1.0 易于预防 0.7 是否为新设计(技术)及熟悉程相当新设计(新技术)或不够熟悉 1.2 度F5 类似的设计(技术)或比较熟悉 1.0 同样的设计(技术)或相当熟悉 0.8

13

致命度点数 ＞7 4＜CE≤7 2＜CE≤4 ≤2 ㈣、措施 对每种故障类型，要提出预防措施以降低故障类型造成的后果。 ㈤、举例

表3-9 柴油机燃料供给装置的故障类型与影响分析 影响 设备/元件 故障类型 推断原因 燃料系统 引擎 1、有裂缝 运行时间缩短油箱 漏油 2、材料有缺陷 功能不全 可能发生火灾 3、焊接不良 1、逆止不良 2、被污染 3、加工不良 4、安装不良 1、肮脏 2、螺栓拧死 3、螺杆加工不良 1、肮脏 2、螺栓粘结 3、螺杆加工不良 1、维护不良 2、燃料牌号不对 1、结构不好 2、维护不良 运行时间缩短可能发生火灾 表3-8 评价点数与风险等级对照表 风险等级 说 明 Ⅰ致命的 人员伤亡，系统任务不能完成 Ⅱ重大的 大部分任务完不成 Ⅲ小的 部分任务完不成 Ⅳ轻微的 无影响 故障等级 二级 漏油 功能不全 二级 止逆阀 不能动作(关死) 不能动作(打开) 孔堵塞 失效 停止时有问题 二级 失效 不能运转 二级 功能不良 功能不良 运行有问题 运行有问题 二级 二级 过滤器 破漏

事故树分析（FTA）

事故树分析（Fault Tree Analysis）又称故障树分析，就是从结果到原因描绘事故发生的逻辑树图。主要用于工艺、设备复杂系统和事故分析，对于装置评价出的重大危险单元和危险作业都要用事故树分析。

事故树，形似倒立着的树。树的“根部”顶点节点表示系统的某一个事故(即顶上事件)，树的“梢”底部节点表示发生的基本原因(即原因事件)，树的“枝杈”中间节点表示由基本原因促成的事故结果(即中间事件)。事故因故关系的不同性质用不同的逻辑门表示。这样画成的一个“树”，用来描述某种事故发生的因果关系，称为事故树。

㈠、 事故树分析的基本步骤

事故树分析是根据系统可能发生的事故或已经发生的事故所提供的信息，去寻找与事故发生有关的原因，从而采取有效的防范措施，防止同类事故再次发生。一般按下述步骤进行。

1、编制事故树

14

⑴熟悉系统。对于已经确定的系统要进行深入的调查研究，了解其构成、性能、操作、维修等情况，必要时根据系统的工艺、操作内容画出工艺流程图及布置图。

⑵收集、调查系统的各类事故。要收集调查所分析系统过去、现在以及将来可能发生的事故，同时还要收集调查本单位、外单位、国内和国外同类系统曾发生的所有事故。

⑶确定顶上事件。确定顶上事件应优先考虑风险大的事故事件，即根据事故发生的可能性与事故发生后对系统造成的危害程度两个参量，选择易于发生且后果严重的事故作为事故树分析的对象。当然，也常把不容易发生，但后果非常严重，以及后果虽不严重，但极易发生的事故作为分析对象。确定顶上事件时，要坚持一个事故编一棵树的原则且定义要明确。

⑷详细调查事故发生的原因。从人、机、环境和信息各方面调查与事故树顶上事件有关的所有事故原因。

⑸绘制事故树：从顶上事件开始，采取演绎分析方法，逐层向下找出直接原因事件，直到所有最基本的事件为止，然后按事件之间的逻辑关系，用规定的逻辑门符号把它们连接起来。

2、事故树定性分析

定性分析是事故树的核心内容。其目的是分析某类事故的发生规律及特点，找出控制该事故的可行方案，并从事故树结构上分析各基本原因事件的重要程度，以便按轻重缓急分别采取对策。事故树定性分析的主要内容有：

⑴计算事故树的最小割集或最小径集； ⑵计算各基本事件的结构重要度；

⑶分析各事故类型的危险性，确定预防事故的安全保障措施。 3、事故树定量分析

定量分析是事故树分析的最终目的，其内容包括： ⑴确定引起事故发生的各基本原因事件的发生概率； ⑵计算事故树顶上事件发生的概率；

⑶计算基本原因事件的概率重要度和临界重要度。

根据定量分析的结果以及事故发生以后可能造成的危害，对系统进行风险分析，以确定安全投资方向，制定出最经济、最合理的控制事故措施。

㈡、事故树的符号及意义

事故树是由各种事件符号和与它们连接的逻辑门符号组成的。 1、事件符号 ⑴、矩形符号

表示顶上事件或中间事件，也就是需要往下分析的事件。 ⑵、圆形符号

表示基本原因事件。是最基本的、不能再继续往下分析的事件。如人为差错、设备元件的故障、环境不良因素等

⑶、屋形符号

表示正常事件，是系统在正常状态下出现正常功能的事件。 ⑷、菱形事件 表示省略事件。包括两种情况：

①不必进一步分析的事件；如泵、继电器、开关等都是由厂家制造的定型产品，对于使用单位而言，可不必再做进一步分析

②由于资料反应的情况不具体，不明确，无法作进一步分析。 上述各事件符号中均应记入描述相应事件的文字（事件名称）。

15

2、逻辑门符号

用于明确表示被分析事件（顶上事件或中间事件）与其直接原因事件（中间事件或基本事件、正常事件、省略事件）间的逻辑连接关系。

⑴、与门。其逻辑符号如图3－3，逻辑表达式A＝B1B2，表示原因事件B1和B2都发生，才有结果事件A发生。有若干个原因事件也是如此（下同）。

A

图3－3 与门符号 B1 B2

⑵、或门。其逻辑符号如图3－4，逻辑表达式A＝B1＋B2，表示原因事件B1和B2中，只要有一个发生，结果事件A就会发生。

A

图3－4 或门符号

B1 B2

⑶、条件与门。其逻辑符号如图3－5，逻辑表达式A＝B1B2C，表示原因事件B1和B2都发生，而且还必须满足条件C，结果事件A才发生。 A

C

图3－5 条件与门符号 B1 B2

⑷、条件或门。其逻辑符号如图3－6，逻辑表达式A＝（B1＋B2）C，表示原因事件B1和B2中只要有一个发生，在满足条件C的情况下，结果事件A就发生。

A C

图3－6 条件或门符号 B1 B2

⑸、控制门。其逻辑符号如图3－7，逻辑表达式A＝BC，表示输入事件B在控制条件C同时发生时，输出事件A才发生。 A

C

图3－7 控制门符号

B

16

⑹、排斥或门。其逻辑符号如图3－8，逻辑表达式A＝B1＋B2，表示当原因事件B1或 B2

发生，结果事件A发生，B1、B2不可能同时发生。

A 不同时发生 B1 B2 图3－8 排斥或门符号 3、转移符号：

表示在同一事故树内，与某一部分内容完全相同的转移。在编制事故树时，常会遇到这样两种情况：其一是，树的一个分枝再画下去时，常会重复另外一个分支的一部分；其二是在一页纸上画不下整个树形图而需要换页时，就需要有一种起指示作用的符号说明两部分的关系，即由何处转出，由何处转入。事故树的转移符号就起这种作用。当连线引向三角形上方时，表示从某一部分转入，如图3－9。当连线引向三角形侧面时，表示这一部分向其他完全相同的部位转出，如图3－10。无论转出或转入，应标出相应的代号。

代号 代号 图3－9 转入符号 图3－10 转出符号

㈢、事故树(FT)图作法：

作事故树时，当顶上事件确定后，便可在其下面的一行并排写出构成该事件的物的不安全状态和人的不安全行为等直接原因事件，并与顶上事件间以合适的逻辑门符号连接起来。然后再把第二行各事件有关的缺陷事件写在下一行，并与第二行有关事件之间用合适的逻辑门连接起来。依次类推，逐级向下，就得到如倒立的树一样的模型，即事故树图。

如此作成的FT图，一般到最下面一行时，都不外乎是以下几种事件： 1、正常进行的系统正常事件；

2、基本上可以预见到的设备故障和人为差错的基本事件； 3、因资料不足不能分析，或可以省略分析的省略事件； 4、与该FT其他部分完全相同而转移过来的转移事件。 例1：编制“从脚手架上坠落死亡”事故树(如图3－11) 从脚手架上坠落死亡是经常发生的事故，将其作为事故树顶上事件并编制事故树。死亡的直接原因事件只有一个，即“从脚手架上坠落”，而是否死亡则取决于条件“坠落高度和地面状况”。因此，用控制门将它们连接起来，把条件写在长六边形符号内。“从脚手架上坠落”是由于“不慎坠落”和“安全带未起作用”造成的，把它们并列写在第三行。因为这两个事件同时发生才会导致“从脚手架上坠落”，两者缺一不可，所以用与门将第二、三行的事件连接起来。“安全带未起作用”是由于“机械损坏”或“未用安全带”造成的，写在第四层上。这两个事件任何一个发生，都可形成“安全带未起作用”，所以用或门连接。“未用安全带”是因为“因走动而取下”(这是正常事件，所以用屋形符号表示)或“忘记挂安全带”造成的，故用或门连接。另一分支，“不慎坠落”是因“在脚手架上滑倒”或“身体失去平衡”所致，故写在第四行。但是，只有在“重心超出脚手架”这个条件满足时，才会有事件“不慎坠落”发生，所以用条件或门连接，把条件

17

记入六边形符号内。第五行以下可认为没有必要再分析下去了，故用菱形符号表示。这就是整个树图的作图过程。

从脚手架上坠落死亡 高度和地面状况 从脚手架上坠落 安全带未起作用 身体重心超出脚手架 不慎坠落 机械损坏 未用安全带 在脚手架上滑倒 身体失去平衡 支撑物损坏 安全带损 坏 因走动而取下 忘 挂 安全带 图3－11 “从脚手架上坠落死亡”事故树

18

例2：“炉膛爆炸”事故树图 炉 膛 爆 炸 T 炉膛内可燃气体达到爆炸极限 A1 B2 熄火 B1 炉管漏油 炉管火 嘴焊接 材质 C C 操作波动大 脱火、缩火 炉管烧穿 12腐蚀结 焦 C3 严重 堵塞不良 缺陷 X1 x11 x12 x13 人为仪表 燃料燃料油气火嘴火焰结 焦 猪尾管 调节突然气带配比不 匀， 分 配 不当失灵 中断 液 不当 局部过热 严 重 不 均 X2 x3 x4 x5 x6 x7 x8 x9

图3-12 炉膛爆炸事故树

炉膛内有明火且 高 温 X17 供风系统故障 B3 停 风 x14 鼓、引风机出现故障 X15 风门调节不当 x16 进料 分配 不均 x10

19

㈣、布尔代数运算法则及事故树逻辑表达式的整理和简化：

无论是进行事故树定性分析，还是定量分析，首先都必须根据事故树写出相应的逻辑表达式，有时还要进行必要的化简。

1、布尔代数的运算法则：

A+B=B+A (加法的交换率) A·B=B·A (乘法的交换率) A+(B+C)=(A+B)+C (加法的结合率) (AB)C=A(BC) (乘法的结合率) A(B+C)=AB+AC (分配率) A+BC=(A+B)(A+C) (分配率) A+A=A (幂等法则) A·A=A (幂等法则) A·A＇=0 (求补法则) A+ A＇=I (求补法则) A+I=I A+O=A A·I=A （A+B）＇=A＇·B＇ (摩根定理) (A·B) ＇=A＇+B＇ (摩根定理) A(A+B)=A (吸收法则) A+AB=A (吸收法则) 2、事故树逻辑表达式的整理和简化：

为了将事故树表示为逻辑表达式，并进行适当的整理和化简，在事故树作成后必须将各事件和条件标上适当的代表符号，如图3－13。标注符号时一般应注意以下几点：

⑴顶上事件一般用T表示；

⑵所有中间事件都用A、B、C等英文字母加下标数字来表示。对同一个FT图而言，表示不同中间事件的符号不允许相同(若字母相同时，其下标则不能相同)。

⑶所有基本事件、省略事件及正常事件，以及控制条件等，一般都用X加上下标数字表示。 事故树中所有的事件和条件都标注完以后，一般先从T开始顺序对顶上事件和每个中间事件写出逻辑表达式，然后用代入的方法获得整个事故树的逻辑表达式。此过程应注意以下问题：

⑴控制门及条件与门、条件或门等的条件事件与该门下方的事件，是逻辑积的关系； ⑵最终获得的逻辑表达式中应不含中间事件符号；

⑶回代过程中应按布尔代数分配率展开，并进行相应的化简，以得到最基本的形式。 T

A B

X1 C X3 X4

X2 X3 图3－13 事故树图

20

先从T开始顺序对顶上事件和中间事件写出逻辑表达式：

T＝AB A＝X1＋C B＝X3＋X4 C＝X2X3

T＝（X1＋C）（X3＋X4） ＝（X1＋X2X3）（X3＋X4）

＝X1X3＋X1X4＋X2X3＋X2X3X4 ＝X1X3＋X1X4＋X2X3

则T= X1X3＋X1X4＋X2X3是最简基本形式的逻辑表达式。

㈤、最小割集和最小径集： 1、割集和最小割集：

事故树顶上事件发生与否是由构成事故树的各种基本事件的状态决定的。显然，所有基本事件都发生时，顶上事件肯定会发生。然而，在大多数情况下，并不要求所有基本事件都发生时顶上事件才发生，而只要某些基本事件发生就导致顶上事件发生。在事故树中，引起顶上事件发生的基本事件的集合，称为割集。同一个事故树中的割集一般不止一个，在这些割集中，凡不包含其他割集的割集，叫最小割集。换言之，如果割集中任意去掉一个基本事件后就不是割集，那么这样的割集就是最小割集。

最小割集在事故树分析中的作用：

⑴表示系统的危险性。最小割集的定义明确指出，每个最小割集都是顶上事件发生的一种可能，事故树中有几个最小割集，顶上事件发生就有几种可能。最小割集越多，说明系统越危险。最小割集含有的基本事件越少，这种故障模式越危险。只含有一个基本事件的割集最危险。

⑵表示顶上事件发生的原因。事故树顶上事件发生，必须是某个最小割集中基本原因事件同时发生的结果。一旦发生事故，就可以排除非本次事故的最小割集，而较快地查出本次事故的最小割集，这就是导致本次事故的基本事件组合。掌握了最小割集，对掌握事故发生规律，调查某一事故的发生原因，都是有利的。

⑶为降低系统危险性提出控制方向和预防措施。一个最小割集，代表了一种事故模式。从最小割集能直观地判断哪种事故模式最危险，哪种次之，哪种可以忽略，以及如何采取措施使事故发生概率迅速下降。最小割集含有的基本事件越少，这种事故模式越危险。只含有一个基本事件的割集最危险。

⑷利用最小割集可以判定事故树中基本事件的结构重要度。

最小割集的求法：

布尔代数法：任何一个事故树都可以用布尔函数描述。化简布尔函数，其最简逻辑表达式中每个最小项所属的基本事件构成的集合，便是最小割集。用布尔代数法计算最小割集，通常分二个步骤：

⑴建立事故树的布尔逻辑表达式； ⑵将布尔表达式化为最简逻辑表达式。 现以图3－14所示事故树为例说明。

21

X1

T=A+B

=X1C+X4D

T A B C D X4 E X3 X5 X3 X2 X5 图3－14 事故树图

=X1(X3+X5)+X4(X3+E) =X1X3+X1X5+X4(X3+X2X5) =X1X3+X1X5+X3X4+X2X4X5 则该树的最小割集：｛X1，X3｝，｛X1，X5｝，｛X3，X4｝，｛X2，X4，X5｝。 2、径集和最小径集

在事故树中，当所有基本事件都不发生时，顶上事件肯定不会发生。然而，顶上事件不发生并不要求所有基本事件都不发生，而只要求某些事件不发生时顶上事件就不会发生。这些不发生的基本事件的集合，称为径集。在同一事故树中，不包含其他径集的径集称为最小径集。换言之，如果径集中任意去掉一个基本事件后应不是径集，那么该径集是最小径集。

最小径集在事故树分析中的作用：

⑴表示系统的安全性。最小径集表明，一个最小径集中包含的基本事件都不发生，就可防止顶上事件发生。可见，每一个最小径集都是保证事故树顶上事件不发生的条件，是采取预防措施、防止事故发生的一种途径。

⑵确定保证系统安全的最佳方案。每一个最小径集是防止顶上事件发生的一个方案，可以根据最小径集中包括的基本事件个数的多少，技术上的难易程度，耗费的时间以及投入的资金数量，来选择最经济、最有效的控制事故的方案。

⑶利用最小径集可以判定事故树中基本事件的结构重要度和计算顶上事件发生的概率。在事故树分析中，根据不同的具体情况，有时应用最小径集更为方便。就一个系统而言，如果事故树中与门多，最小割集的数量少，定性分析最小割集入手。反之，如果事故树中或门多，最小径

22

集的数量少，定性分析最好从最小径集入手，反而经济、有效。

最小径集的求法： 第一种方法：是在事故树的最简基本形式的逻辑表达式已知的前提下，根据布尔代数法则中的摩根定理对等式两边同时求反得到的。

T=X1X3+X1X5+X3X4+X2X4X5 T´=(X1X3)´(X1X5)´(X3X4)´(X2X4X5)´ =(X1´＋X3´)(X1´＋X5´)(X3´＋X4´)(X2´＋X4´＋X5´) =(X1´＋X1´X5´＋X1´X3´＋X3´X5´)(X3´＋X4´)(X2´＋X4´＋X5´) =(X1´＋X3´X5´)(X2´X3´＋X3´X4´＋X3´X5´＋X2´X4´＋X4´＋X4´X5´) =(X1´＋X3´X5´)(X2´X3´＋X3´X5´＋X4´) =X1´X2´X3´＋X1´X3´X5´＋X1´X4＋X2´X3´X5´＋X3´X5´＋X3X4X5´ =X1´X2´X3´＋X1´X4´＋X3´X5´ 最小径集为｛X1，X2，X3｝，｛X1，X4｝，｛X3，X5｝。 第二种方法：适用于事故树的最简基本形式的逻辑表达式未知的情况下，利用最小径集与最小割集的对偶性，先求原事故树的对偶事故树，再求此对偶事故树的最小割集，由此可得到原事故树的最小径集。所谓对偶事故树，是把原事故树的逻辑和换成逻辑积(即将“或”门换成“与”门)，逻辑积换成逻辑和(“与”门换成“或”门)，各类事件发生换成不发生产生的新的事故树。

T´

A´ B´

C´ D´ X1´ X4´

X5´ X3´ E´ X3´

X2´ X5´

图3－15 图3－14事故树变换为对偶事故树

T＝A＇B＇

＝（X1＇＋C＇）（D＇＋X4＇） ＝（X1＇）（E＇X3＇＋X4＇） ＝（X1＇＋X3＇X5＇）〔（X2＇＋X5＇）X3＇＋X4＇〕 ＝（X1＇＋X3＇X5＇）（X2＇X3＇＋X3＇X5＇＋X4＇）

＝X1＇X2＇X3＇＋X1＇X3＇X5＇＋X1＇X4＇＋X2＇X3＇X5＇＋X3＇X5＇＋X3＇X4＇X5＇ ＝X1＇X2＇X3＇＋X1＇X4＇＋X3＇X5＇ 最小径集为｛X1，X4｝，｛X3，X5｝，｛X1，X2，X3｝。

23

㈥、基本事件的结构重要度

为了保证系统的安全，在事故预测和分析的基础上，应按轻重缓急采取预防措施。为此，必须了解基本事件对引起顶上事件发生所起的不同作用。

在事故树中，基本事件对顶上事件的发生均产生影响，但影响程度不同，有的影响大，有的影响小，重要程度有差异。

在不考虑各基本事件发生的难易程度，仅从事故树的结构上研究各基本事件对顶上事件的影响程度时，称为结构重要度分析。

结构重要度分析采用方法：利用最小割集或最小径集来判断各基本事件的结构重要度。这是一种近似判断法，可以根据以下几条判断准则来进行：

1、 单事件最小割(径)集中的基本事件结构重要度最大。 例如，某事故树共有如下三个最小割集： K1＝｛X1｝，K2＝｛X2，X3｝，K3＝｛X2，X,4，X5｝

据此原则判断，X1的结构重要度比其他任何基本事件的都大，即 Ik(1)＞Ik(i)， i =2,3,4,5

2、 仅在同一最小割(径)集中出现的所有基本事件结构重要度相等。 例如，某事故树有如下三个最小割集： K1＝｛X1，X2｝，K2＝｛X3，X,4，X5｝，K3＝｛X6，X7，X8，X9｝，且X1～X9在此事故树其他最小割集中没有再出现，据此原则判断有：

Ik(1)＝Ik(2)

Ik(3)＝Ik(4) ＝Ik(5)

Ik(6)＝Ik(7) ＝Ik(8) ＝Ik(9)

3、两基本事件仅出现在基本事件个数相等的若干最小割(径)集中时：在不同最小割(径)集中出现次数相等的基本事件，其结构重要度相等；出现次数多的结构重要度大，出现次数少的结构重要度小。

例如，某事故树有如下四个最小径集： P1＝｛X1，X2，X4｝，P2＝｛X1，X2，X5｝，P3＝｛X1，X3，X6｝，P4＝｛X1，X3，X7｝，且X1 ～X7在此事故树的其他最小径集中没有再出现，据此原则判断：

X4，X5，X6，X7在四个事件中（个数相等）的最小径集中都只出现一次，则Ik(4)＝Ik(5) ＝Ik(6) ＝Ik(7)；又X2，X3在四个最小径集中分别出现两次，则Ik(2)＝Ik(3)；X1在四个最小径集中出现四次，则Ik(1)＞Ik(2)＝Ik(3) ＞Ik(4) ＝Ik(5) ＝ Ik(6) ＝Ik(7)

4、两个事件仅出现在基本事件个数不等的若干个最小割(径)集中，基本事件结构重要度大小依下列不同条件而定：

⑴若它们重复在各最小割(径)集中的出现的次数相等，则少事件最小割(径)集中出现的基本事件结构重要度大；

⑵在少事件最小割(径)集中出现次数少的，与多事件最小割(径)集中出现次数多的基本事件比较，通过如下公式进行计算比较。

I（ｉ）=

XiKj(Pj)1 nj12I（ｉ）： 基本事件Xi的结构重要度系数； Kj（Pj）：事故树的第j个最小割（径）集；

nj： 基本事件Xi所在最小割（径）集中包含基本事件的个数。

24

Xi∈Kj（Pj）：基本事件Xi属于Kj（Pj）最小割（径）集。

例如，某事故树中基本事件X1，X2仅在如下四个最小径集中出现： P1＝｛X1，X3｝，P2＝｛X1，X4｝，P3＝｛X2，X3，X5｝，P4＝｛X2，X4，X6｝ 根据第4条第1项原则判断：

X,1分别在有两个基本事件的最小径集中各出现一次；X2分别在有三个基本事件的最小径集中各出现一次，则Ik(1)＞Ik(2)

㈦、事故树定性分析举例

以工作场地乙炔气泄漏爆炸事故为例，进行事故树定性分析。工作场地乙炔气泄漏爆炸事故树如图3－16所示。由事故树图可见，事故树中或门多，与门少，用最小径集分析较为方便。首先将事故树转换为成功树，如图3－17所示。

用布尔代数法求事故树的最小径集： T＇=X1＇+A1＇+A2＇

=X1＇+B1＇+B2＇+X10＇X11＇X12＇

=X1＇+X2＇X3＇X4＇+X5＇X6＇X7＇X8＇X9＇+X10＇X11＇X12＇ 所以事故树的最小径集为 P1=｛X1｝

P2=｛X2，X3，X4｝

P3=｛X5，X6，X7，X8，X9｝ P4=｛X10，X11，X12｝

因为P1是单事件最小径集，所以X1是最重要的基本事件，其结构重要度最大。X2，X3，X4同在一个最小径集P2中，X5，X6，X7，X8，X9 同在一个最小径集P3中，X10，X11，X12同在一个径集P4中，根据判断准则2有：

Ip(2)= Ip(3) = Ip(4)

Ip(5) = Ip(6) = Ip(7) = Ip(8) = Ip(9) Ip(10) = Ip(11) = Ip(12)

因此，只要判定Ip(2)、Ip(5)、Ip(10)的大小即可。

因为Ip(2)=

12＝311 4 Ip(5)=

125111 161 4 Ip(10)=

231综上所述，各基本事件的结构重要度顺序为：

Ip(1)＞Ip(2)＝Ip(3) = Ip(4) ＝Ip(10) = Ip(11) = Ip(12) ＞Ip(5) = Ip(6) = Ip(7) = Ip(8) = Ip(9) 从以上分析可以看出，工作场地乙炔气爆炸事故的发生途径有4个，而在诸多的基本事件中乙炔气达到爆炸极限是最主要的因素，其次是场地通风差、乙炔气泄漏和火源，它们的重要度是均等的。与此同时，也说明要防止场地乙炔气燃爆，只要抓住爆炸极限的控制、场地通风、乙炔泄漏和火源等四个环节中的任何一个加以防止，即可避免事故的发生。但是，由于乙炔气爆炸威力大，破坏力大，因此，必须采取综合预防措施，防止事故发生。

25

T 工作场地乙炔气爆炸 X1 乙炔气达到爆炸极限 乙炔气聚集 遇火源 A1 A2 场地通风差 金属撞吸烟 工作 B1 击火花 点火 点火 X10 X11 X12 乙炔气泄漏 工作场无通风通风设B2 地闭塞 装 置 备故障 X2 X3 X4 焊枪 接头 阀 门 阀 门 橡胶软 故障 不紧 没关严 不严密 管老化 X8 X5 X6 X7 X9

图3－16 工作场地乙炔爆炸事故树分析

T＇ X1＇ A2＇ A1＇ B1＇ B2＇ X11＇ X10＇ X12＇ X3＇ X4＇ X8＇ X6＇ X7＇ X5＇ X2＇X9＇ 图3－17 图3－16的对偶故障树

26

第四节 风 险 评 价

风险矩阵评价

将风险事件的后果严重程度相对地分成若干级(通常为五级)，将风险事件发生的可能性也相对地定性分为若干级，然后以严重性为表列，以可能性为表行制成表，在行列的交点上定性地给出风险等级。加权指数构成一个矩阵，每一个指数代表一个风险等级。该方法优点是简洁明了，易于掌握，适用范围广；缺点是确定风险可能性、后果严重度过于依赖经验，主观性较大。

表4-1 风险评价矩阵(RAM) 后果严重性(S) 事故发生的可能性(L) 本公司本工厂本行业本行业本公司每年发每年发中未听中听说发生过生数次生数次人 财产 环境 声誉 分说(不过(可 (每10(每1至(每年（P） （A） （E） （R） 值 可 能) 能) 年1次) 2年1数次) 次) 1 2 3 4 5 可忽略的 极小损失 极小影响 极小影响 1 轻微伤害 严重伤害 个体死亡 小损失 较大损失 重大损失 小影响 较大影响 重大影响 小影响 一定范围 国内范围 2 3 4 Ⅰ Ⅱ Ⅲ 多人死亡 巨大损失 巨大影响 国际范围 5 注：Ⅰ级为可承受风险，Ⅱ级为需关注风险，Ⅲ级为不可承受风险。

在矩阵表中，对人、财产、环境、声誉的后果严重性定性给出了五个等级。为便于把握，保证评价的准确性，可根据实际对其进一步说明和明确。

表4-2 对人的伤害 后果严重性 影响程度 说 明 1 可忽略的 对健康没有任何伤害和损害 2 轻微伤害 对完成目前工作有影响，如行动不便或需一周以内的休息才能恢复 3 严重伤害 导致某些工作能力的永久更新丧失或需要长期恢复才能恢复工作 4 个体死亡 单个死亡或永久性能力丧失，来自事故或职业病 5 多人死亡 多个死亡，源于事故或职业病

表4-3 财产损失或浪费 后果严重性 影响程度 说 明 1 极小损失 经济损失在1000元以下 2 小损失 经济损失在1000~10000元 3 较大损失 经济损失在10000~300000元 4 重大损失 经济损失在300000~5000000元 5 巨大损失 经济损失在5000000元以上 27

表4-4 环境影响 后果严重性 1 2 3 4 5 影响程度 极小影响 小影响 较大影响 重大影响 巨大影响 说 明 环境破坏限制在组织的某一范围内 环境破坏限制在组织内部范围内 环境破坏限制在组织所处的区域内 环境破坏涉及到组织的周边地区 环境破坏影响到全国乃至全球 表4-5 名誉损失 说 明 只是在组织的某一范围内被关注和议论 在组织内部被通报和议论 一定范围 受到组织所在的区域媒体的报道和关注 国内范围 受到省级以上的媒体的报道关注和议论 国际范围 受到国外媒体的报道关注和评论 矩阵法往往与安全检查表、危险性预分析、危险和可操作性研究等危害辨识方法结合使用，构成一个完整的危害辨识和风险评价过程。

一般作业风险评价法(LEC)

这是一种简单易行的评价人们在具有潜在危险性环境中作业时的危险性的半定量评价方法。它是用与系统风险率有关的三种因素指标值之积来评价系统人员伤亡风险大小的。这三种因素分别是：L—发生事故可能性大小；E—人体暴露于危险环境的频繁程度；C—一旦发生事故后可能产生的后果。但是，要取得这三种因素的科学准确的数据，却是相当繁琐的过程。为了简化评价过程，可采取半定量计值法，给三种因素的不同等级分别确定不同的分值，再以三个分值的乘积D来评价危险性的大小。即D=L×E×C。D值大，说明该系统危险性大，需要增加安全措施，或改变发生事故的可能性，或减少人体暴露于危险环境中的频繁程度，或减轻事故损失，直至调整到允许范围。

㈠发生事故的可能性(L)大小

事故或危害事件发生的可能性大小可用发生事故的概率来表示，即绝不可能发生的事件为0，而必定要发生的事件为1。然而，在作系统安全考虑时，绝不发生事故是不可能的。所以确定L值时，人为将“发生事故可能性极小”的事件分数定为0.1，而必然要发生的事件的分值定为10，介于这二种情况之间的情况指定为若干中间值。如表4-6所示。

表4-6 发生事故的可能性(L) 分数值 事故发生的可能性 10 完全可以预料 6 相当可能 3 有可能 1 可能性小 0.5 极少可能 0.2 不可能 0.1 极不可能 后果严重性 1 2 3 4 5 影响程度 极小影响 小影响 28

㈡暴露于危险环境的频繁程度(E)

人员出现在危险环境中的时间越多，则危险性越大。规定连续出现在危险环境的情况为10分，而每年仅出现一次为1，而非常罕见地出现在危险环境中定为0.5。对根本不会在危险环境中出现的情况不考虑的。同样介于这二种情况之间的情况规定为若干中间值。如表4-7所示。

表4-7 暴露于危险环境的频繁程度(E) 分数值 暴露于危险环境的频繁程度 10 连续暴露 6 每天工作时间暴露 3 每周一次暴露 2 每月一次暴露 1 每年一次暴露 0.5 非常罕见地暴露

㈢发生事故产生的后果(C)

事故造成的人身伤害的变化范围很大，对伤亡事故来说，可以是极小的轻伤直到很多人死亡的结果。由于范围很广，所以规定分数值范围为1-100。把需要救护的轻微伤害规定分数值为1，把造成很多人死亡的情况分数值定为100，其它情况的数值均在1-100之间。如表4-8所示。

表4-8 发生事故产生的后果(C) 分数值 暴露于危险环境的频繁程度 100 大灾难，多人死亡 40 灾难，数人死亡 15 非常严重，一人死亡 7 严重，重伤 3 重大，致残 1 引人注目，需要救护

㈣危险等级划分(D)

根据经验，总分在20以下是被认为低危险的，这样的危险比日常生活中骑自行车上班还要安全些；如果危险分值达到70～160之间，那就有显著的危险性，需要及时整改；如果危险分值在160～320之间，那么这是一种必须立即采取措施进行整改的高度危险环境值在320以上的高分值表示环境非常危险，应立即停止生产直到环境得到改善为止。危险等级划分见表4-9。

表4-9 危险等级划分(D)

分数值 风险等级 ＞320 极其危险，不能继续作业 160~320 高度危险，要立即整改 70~160 显著危险，需要整改 20~70 一般危险，需要注意 ＜20 稍有危险，可以接受

29

例如，某涤沦化纤厂在生产短丝过程中有一道组件清洗工序，为评价这一操作条件的风险，确定每种因素的分数值为：

事故发生的可能性(L)：组件清洗所使用的三甘醇，属四级可燃液体，如加热至沸点时，其蒸汽爆炸极限范围为0.9－9.2%，属一级可燃蒸汽。而组件清洗时，需将三甘醇加热后使用，致使三甘醇蒸汽容易扩散到空间，若室内通风不良，具有一定的潜在危险，属“可能，但不经常”，其分数值L=3。

暴露于危险环境的频繁程度(E)：清洗人员每天在此环境中工作，取L=6。

发生事故产生的后果(C)：如果发生燃烧爆炸事故，后果将是非常严重的，可能造成人员的伤亡，取C=15。

则D=LEC=3×6×15=270

270处于160－320之间，危险等级属“高度危险，需立即整改”的范畴。

职业卫生评价方法

㈠、有毒作业危害评价方法

应用《有毒作业分级》(GB12331-90)对装置生产运行中的有毒作业危害程度进行分级评价。 有毒作业危害程度分级是通过毒物危害程度级别权数(D)、有毒作业劳动时间权数(L)和毒物浓度超标倍数(B)三项指标求得分级指数(C)，再根据C值的范围大小确定有毒作业危害程度级别的。

1、毒物危害程度级别权数(D)

按照《职业性接触毒物危害程度分级》 (GB5044-85)，将职业卫生接触毒物危害程度分为四级：Ⅰ级(极度危害)、Ⅱ级(高度危害)、Ⅲ级(中度危害)、Ⅳ级(轻度危害)，各级对应的毒物危害程度级别权数(D)如表4-10所示。

表4-10 毒物危害程度级别权数(D)划分表 毒物危害程度级别 Ⅰ级(极度危害) Ⅱ级(高度危害) Ⅲ级(中度危害) Ⅳ级(轻度危害) 8 4 2 1 权系数(D)

2、有毒作业劳动时间权数(L)

有毒作业劳动时间权数(L)以有毒作业劳动时间为判别依据，对应的权数见表4-11。

表4-11 有毒作业劳动时间权数(L) 划分表 有毒作业劳动时间(h) ≤2 ＞2～5 ＞5 1 2 3 权系数(L)

3、毒物浓度超标倍数(B)

毒物浓度超标倍数(B)通过下式计算得出：B= MC/MS-1

式中： MC－测定的毒物浓度平均值(mg/m3)

MS－国家规定的毒物在作业环境中的最高允许浓度(mg/m3)

30

4、分级指数(C )

分级指数(C)=D×L×B。依据C值，按表4-12确定有毒作业危害程度级别。

表4-12 有毒作业危害程度等级划分表 指数范围 级 别 C≤0 0级（安全作业） 0＜C≤6 一级（轻度危害作业） 6＜C≤24 二级（中度危害作业） 24＜C≤96 三级（高度危害作业） C＞96 四级（极度危害作业）

5、分级级别

根据有毒作业的毒物浓度超标倍数、毒物危害程度级别、有毒作业劳动时间三项指标综合评价，并实行简化后的有毒作业危害程度分级级别见表4-13。

表4-13 有毒作业危害程度等级划分表 毒物危毒物浓度超标倍数 害程度≤0 ＞0～1 ＞1～2 ＞2～4 ＞4～8 ＞8～16 ＞16～32 ＞32～64 ＞分 级 64 Ⅳ Ⅲ 0 一 二 三 四 Ⅱ Ⅰ 注：⑴、上表中0、一、二、三、四分别代表安全作业、轻度危害作业、中度危害作业、高度危害作业、极度危害作业；

⑵、跨两级区方格的级别，从左到右：有毒作业劳动时间≤2h,依次分别为一、二、三

级；＞2h，依次分别为二、三、四级。

㈡、噪声作业危害评价方法

根据《噪声作业分级》(LD80-95)，噪声作业分为五级：0级(安全作业)、Ⅰ级(轻度危害)、Ⅱ级(中度伤害)、Ⅲ级(高度危害)、Ⅳ级(极度危害)。

根据《工业企业设计卫生标准》(GBZ1-2002)的规定，工作场所操作人员每天连续接触噪声8小时，噪声声级卫生限值为85dB(A)。对于操作人员接触噪声不足8小时的场合，可根据实际接触噪声的时间，按接触时间减半，噪声声级卫生限值增加3 dB(A)的原则，确定其噪声声级限值。但最高限值不得超过115dB(A)。

非噪声工作场所的噪声声级卫生限值见表4-14。 工作场所噪声作业分级见表4-15。

表4-14 非噪声工作场所的噪声声级卫生限值 计算机室、精密工作地点 噪声车间办公室 非噪声车间办公室 会议室 加工室 75 60 60 70 卫生限值dB(A) 31

表4-15 工作地点噪声作业分级表 声级范围 dB(A) ≤85 级别 接噪时间（h） ～1 ～2 ～4 0 ≥112 ～88 ～91 ～94 ～97 ～100 ～103 ～106 ～109 ～112 Ⅰ Ⅱ Ⅲ Ⅳ ～8 ㈢、粉尘作业危害评价方法 根据《生产性粉尘作业危害程度分级》（GB5817-86），生产性粉尘作业危害程度分为：0级（安全作业）、Ⅰ级（轻度危害）、Ⅱ级（中度危害）、Ⅲ（高度危害）、Ⅳ（极度危害）。

生产性粉尘作业危害程度分级见表4-16。

表4-16 生产性粉尘作业危害程度分级表 生产粉尘中工人接尘时间生产性粉尘浓度超标倍数 游离SiO2含肺总通气量 0 ～1 ～2 ～4 ～8 ～16 ～32 ～64 量（%） （L/日.人） ≤10 ～4000 ～6000 ＞10～40 ＞6000 ～4000 ～6000 ＞40～70 ＞6000 ～4000 ～6000 ＞70 ＞6000 ～4000 ～6000 0 Ⅰ Ⅱ Ⅲ Ⅳ ＞6000 注：工人接尘时间肺总通气量系指工人在一个工作日的接尘时间内吸入含有生产性粉尘的空气总体积。

第五节 风险控制

一、风险控制决策

通过风险评价，确定了风险等级以后，即可根据不同的风险等级对风险控制的决策。 下图为风险水平示意图。上部是不可容许的风险，必须立即采取措施；下部是可承受的风险，不必采取措施；中部属于要尽可能采取措施降低的风险，并在选择措施时，要进行成本与有效性的分析。

32

图5-1 风险水平示意图

风险性不可承受的风险

二、风险控制措施的选择

个体防护 个体防护 管理控制 降低风险 工程技术控制 将危险源与人员隔离 改使用危害性低的物质 消除风险 停止使用该物质，或以无害物质代替

图5-2 风险控制措施的选择原则

风险控制措施包括管理措施和工程措施两类。可按如下顺序选择措施： 1、 消除风险。如用无毒、非可燃物代替高毒、易燃物； 2、 降低风险。

⑴、用低毒、低燃物代替高毒、易燃物； ⑵、将危险源与接受者隔离； ⑶、限制风险。

3、使用个人防护用品。

尽可能降低的风险 可承受的风险

33