成都企业安全生产风险实施指引试行

1、成都市企业安全生产风险管理实施指南（试行）成都市安全生产监督管理局二零一六年三月二十三日、人刖百安全生产风险管理对企业识别和管理生产经营过程中存在的安全风险、减少和杜绝安全生产事故具有十分重要的意义。目前，成都市大部分企业安全生产风险管理水平不足，为有效地指导企业对各种安全风险进行管控，保护员工职业健康安全，实现企业安全生产目标，成都市安全生产监督管理局组织成都市安全生产科学技术服务中心编制了成都市企业安全生产风险管理实施指南（试行）。本指南应用PDCAf法论，可帮助企业建立安全生产风险管理机制，通过风险识别、风险分析，并在此基础上运用各种风险管理技术，对安全生产风险实施有效控制，确保企业安全

2、生产。本指南严格依据中华人民共和国安全生产法（中华人民共和国主席令第十三号）、企业安全生产风险公告六条规定（国家安全生产监督管理总局70号令）等法律法规并结合成都市企业安全生产工作的特点进行编写，对成都市企业开展安全生产风险管理工作具有较强的指导性。本指南主要编制人员：杨信林、石金华、卓红、陈倩、姚武英、毛颖、尹左斌、曹磊、王利平、白云中一、安全生产风险管理的基本概念2二、安全生产风险管理的工作程序4三、安全生产风险管理的主要内容6（一）策划与准备6（二）实施8（三）检查12（四）绩效评估与持续改进12附件一安全生产风险管理过程中可能用到的图表示例14（一）风险识别评价表14（二）岗位风险管理

3、汇总表15（三）岗位风险告知卡15（四）职业危害因素告知卡16附件二安全生产风险评估方法17（一）各评估方法的适用阶段17（二）风险评估方法介绍181 .头脑风暴法182 .德尔菲法203 .情景分析214 .检查表245 .预先危险分析266 .危险与可操作性分析（HAZOP）277 .风险矩阵318 .故障树分析349 .事件树分析3710 .作业条件危险性评价法（LE。4011 .五问法4212 .池火灾事故模拟4413 .道化学火灾、爆炸危险指数评价法（DOVV47一、安全生产风险管理的基本概念（一）安全生产风险安全生产风险，是在生产经营过程中存在的发生危险事件或有害暴露的可能性，与随

4、之引发的人身伤害（或健康损害）、财产损失、环境污染的严重性的组合。（二）安全生产事故隐患安全生产事故隐患（以下简称事故隐患），是指生产经营单位违反安全生产法律、法规、规章、标准、规程和安全生产管理制度的规定，或者因其他因素在生产经营活动中存在可能导致事故发生的物的危险状态、人的不安全行为和管理上的缺陷。事故隐患分为一般事故隐患和重大事故隐患。通常，我们把失去管控或管控不足的风险称之为隐患。所以说，风险可能是隐患，也可能不是隐患，但隐患必然存在于风险上。这就要求对风险的管控要比对隐患的治理的要求更全面、更广泛。（三）风险管理风险管理指企业围绕安全生产目标，在企业管理和生产经营的各个环节和作业过程

5、中执行风险管理基本流程，识别生产经营活动中存在的危险有害因素，定性或定量分析风险的后果及可能性，确定风险等级，优化组合各种风险管理技术，对安全生产风险实施有效控制，最大限度地降低风险所导致的损失，以期达到以最少的成本获得最大的安全保障的目标。（四）风险评估风险评估是实施风险管理的重要前提，包括风险识别、风险分析、风险评价三个步骤风险识别是指查找企业安全管理、生产经营过程、作业活动、作业环境、设备设施等各方面存在的危险有害因素。风险分析是对识别出的风险及其特征进行明确的定义描述，分析和描述风险发生可能性的高低、风险发生的条件、风险可能导致的后果。风险评价是评价风险对企业实现目标的影响程度、风险的

6、价值等。风险评价包括将风险分析的结果与预先设定的风险准则相比较，或者在各种风险的分析结果之间进行比较，确定风险的等级。（五）风险准则风险准则是评价风险严重程度的标准，是风险评估的重要依据。它体现企业的风险承受度，反映企业的价值观、目标和资源。风险准则应明确风险的度量方法、风险等级的划分，应当与企业的风险管理方针一致。（六）风险控制风险控制是指企业采取各种措施和方法，消灭或减少风险事件发生的各种可能性，或者减少风险事件发生时造成的损失。企业安全生产风险管理相关概念之间的关系如图1-1所示。图1-1风险管理相关概念之间的关系二、安全生产风险管理的工作程序企业安全生产风险管理流程包括策划与准备、实施

7、、检查、持续改进四个阶段。（一）策划与准备1、设置风险管理机构；2、进行初始风险评估；3、制定具体风险识别及控制方案，确定风险识别方法及制定相关表格；4、对风险识别方法、内容及表格使用进行全员培训。（二）实施1、从人、机、料、环、法、信等方面进行风险识别；2、对识别出的风险进行分析，确定风险的可接受度；3、针对不可接受的风险制定控制措施。（三）检查根据实施阶段情况，结合企业实际，对风险管理过程进行监测，并重点监测不可接受风险的控制效果。（四）持续改进对风险管理效果进行评估，并制定持续改进措施企业安全生产风险管理流程见图2-1:图2-1企业安全生产风险管理流程示意图三、安全生产风险管理的主要内容

8、（一）策划与准备1、明确组织机构企业安全生产管理委员会承担企业风险管理领导职能。企业安全生产管理部门负责风险管理实施过程中的具体组织、协调等日常事务工作。2、初始风险评估对照国家职业健康安全生产有关法律法规的规定和企业安全生产管理规章制度的要求，对企业安全生产管理、设备设施安全条件和生产现场作业环境等现状进行排查。了解存在的主要安全生产风险和缺陷，以及现有控制措施。初始风险评估的结果作为企业安全生产风险管理各个阶段的依据。初始风险评估要考虑但不仅限于图3-1所示的内容图3-1企业初始风险评估的内容3、制定风险管理方针及目标企业应结合初始风险评估结果及企业安全生产方针目标制定风险管理方针及目标。

9、风险管理目标可分为总体目标和年度目标。4、制定风险管理工作方案口腑相关联觞口层次的胪声，材网M及百理工作方案刹三区的管理工作的却耳时联掘本企业可速用打电评矫方法图3-2风险管理工作方案的内容5、全员培训根据风险管理方案，应对从业人员和相关方开展全员培训，并保存相关的培训记录。培训主要内容见图3-3。全员只随培训图3-3全员培训的内容（二）实施企业应对所有生产经营活动、设备设施、作业环境等存在的危险有害因素进行岗位风险识别，对识别出的风险进行分析、评价，提出消除或降低风险的控制措施。风险识别、分析、评价的方法详见附件。1 .风险识别风险识别是发现、认可并记录风险的过程。程序企业风险识别包括公司管

10、理体系风险识别及岗位风险识别。公司管理体系风险识别通常由企业主要负责人组织各部门负责人、车间主任、班组长及重要岗位人员对企业安全生产风险相关的管理体系（如管理制度、程序、规程等）适宜性进行识别。岗位风险识别程序如图3-4所示。岗位风险识别小组至少包括班组长和岗位作业人员。图3-4风险识别程序方法安全生产风险识别可采用安全检查法、头脑风暴法、德尔菲法、五问法等。内容风险识别过程包括识别那些可能对目标产生重大影响的风险源、影响范围、事件及其原因和潜在的后果。应从人的因素、管理因素、物的因素、环境因素等方面进行，涵盖企业的安全生产各个环节，详见下图/x人的国亲：1心理生理性磁力古庄影势境周去1；童内

11、作豆弁慢长品p2金协作必用地坤垃状况.，3-地下£含水祚也用造版况上且他祚上纤有状况产至.二机打我孟性?苗任制菊关情研i3惹声知克制如祝F范安至投入忸足！5.吉懂陆配j6其他苜理囚手段国“图3-5风险识别内容管理因素，风险识别过程中识别的危险有害因素分类应参照企业职工伤亡事故分类标准（GB6441-1986、生产过程危险和有害因素分类和代码（GB13861-2009、职业病危害因素分类目录（2015版）等进行。2 .风险分析风险分析能够加深对风险的理解。它为风险评价提供输入，以确定风险是否需要处理以及最适当的处理策略和方法。三洋T1态以七上工宣可能也图3-6风险分析示意图如图3-6所

12、示，风险分析要考虑导致风险的原因和风险源、影响后果和可能性的因素、现有的风险控制措施及其有效性，同时还要考虑企业生产经营活动中的三种时态（过去、现在、将来）和三种状态（正常、异常、紧急）。风险分析通常涉及对风险事件潜在后果及相关概率的估计，以便确定风险等级。风险分析可以是定性的、半定量的、定量的或以上方法的组合。常用的风险分析方法有安全检查表法、预先危险性分析法、LEC去、故障树法、池火灾事故模拟法、道化学火灾爆炸指数法等。3 .风险评价风险评价包括将风险分析的结果与预先设定的风险准则相比较，或者在各种风险的分析结果之间进行比较，确定风险的等级及管理等级。风险等级一般分为两种：可接受与不可接受

13、。可接受的风险一般只需加强管理，维持现状；不可接受的风险需要进一步采取控制措施，将风险控制在可接受范围内。风险管理等级的确定由企业根据自身组织架构与实际情况，按照识别后的岗位风险等级和需要采取的控制措施等情况综合确定，一般可分为“公司级”、“部门级”、“车间级”、“班组级”。原则上风险等级越高，管理等级越高。4 .风险控制可选用的风险控制措施图3-7风险控制措施示意图如图3-7所示，企业可根据风险评估的结果，按照可行性、可靠性、先进性、安全性和经济合理性的原则，选用有效的风险控制措施。风险控制措施包括工程防护措施、管理措施及个体防护措施。工程防护措施，包括使用设备设施、隔离等降低风险。管理措施

14、，包括：设立目标，制定完善管理程序、操作规程和技术措施，制定落实风险监控管理措施，制定落实应急预案，加强员工的教育培训和现场宣传告知(设置岗位风险告知卡、警示标志标语、职业危害告知卡等)，进行检查监督和绩效评估，建立奖惩机制等。个体防护措施，包括工作服、防护面罩、防护手套、防护鞋等等。企业按照个体防护装备选用规范(GB/T11651-2008)等标准的要求,为岗位作业人员配备适宜的个体防护用品，并监督其正确佩戴。对隐患及外来风险的处理在风险控制过程中，如果构成隐患的要及时在成都市隐患管理系统上进行中报。在控制过程中，要实时的对系统上内容进行修改完善，最终达到消除隐患的目的。如果涉及外部企业或者

15、周边环境对本企业带来风险的，应及时报告安全生产监督管理部门及其它的相关部门以协助进行整改（三）检查为确保企业风险管理的有效性，监督与检查应贯穿风险管理全过程企业应识别影响风险管理绩效的因素，并收集为改进风险管理而监测的数据，具体如下：表3-1风险管理检测内容序号内容序号内容1是否执行了风险管理程序。6员工参与过程的有效性。2风险识别范围是否全覆盖，识别方法选用是否恰当，识别记录是否正确填写，并保存完整，识别结果是否准确。7工作活动有效性评价。3风险控制措施是否有效实施，特别是针对识别出的/、可接受风险制定的控制措施。8作业环境的监视。4风险管理培训的有效性评估。9健康损害的监视。5人的作业行为

16、。10事件的监视。企业应对监测的结果进行分析，并确定成功之处以及所需纠正和改进之处。（四）绩效评估与持续改进企业应每年至少一次对安全生产风险管理绩效进行评估。通过评估与分析，发现风险管理过程中的责任履行、体系运行、检查监测、风险控制等方面存在的问题，由风险管理领导机构讨论提出纠正、预防的管理方案，并纳入下一周期的风险管理工作实施计划。评估可采用的方法如图3-8所示。图3-8风险管理绩效评估方法发生以下情况时，企业应重新进行风险管理绩效评估：1 .发生职业健康损害及死亡事故；2 .生产工艺及设备设施发生重大变化。对评估中发现的问题，企业应采取纠正措施和预防措施，实施PDCA循环，不断提高风险管理

17、绩效。附件：一、安全生产风险管理过程中可能用到的图表示例二、安全生产风险评估方法附件：一、安全生产风险管理过程中可能用到的图表示例（一）风险识别评价表1 .基于LEC法的岗位风险识别评价表F表1-1基于LEC法的岗位风险识别评价表车间（部门）：XXX岗位：XXX识别人：XXX时间：XX年XX月XX日序号分类辨识内容危险有害因素三种时态三种状态可能导致的事故风险评价（LEC法）控制措施备注过去现在将来正常异常紧急LECD风险等级现有新增说明：“危险有害因素”一栏，按照企业职工伤亡事故分类标准（GB6441-1986）、生产过程危险和有害因素分类和代码（GB13861-2009）、职业病危害因素分

18、类目录（2015版）进行识别。三种时态：过去：过去发生其伤害遗留至今的危险源。现在：现在正在发生的危险源。将来：将来可能发生的危险源。三种状态：正常：指正常的施工、活动使用的产品或服务过程中的危险源。异常：指非正常但可预见的施工、活动使用的产品或服务过程中的危险源。紧急：指施工、活动使用的产品或服务过程中紧急状态下发生的危险源。可能导致的事故：从下列20种事故类型中选择：1）物体打击2）车辆伤害3）机械伤害4）起重伤害5）触电6）淹溺7）灼烫8）火灾9）高处坠落10）坍塌11）冒顶片帮12）透水13）放炮14）火药爆炸15）瓦斯爆炸16）锅炉爆炸17）容器爆炸18）其它爆炸19）中毒和窒息20

19、）其它伤害。风险评价（LEC法），L表示“事故发生的可能性”，E表示“人员暴露于危险环境中的频繁程度”，C表示“一旦发生事故可能造成的后果”，D表示“危险性”。风险等级是根据D=L*E*C的分值确定的等级，一般分为5级：>320,极其危险，不能继续作业，V;160-320,高度危险，要立即整改，IV;70-160,显著危险，需要整改，W;20-70,一般危险，需要注意，口；<20稍有危险，可以接受，I。控制措施：现有措施是指企业目前已采取的措施；新增措施是指针对现有风险需增加的控制措施，以降低现有的风险等级。2 .基于安全检查法的岗位风险识别评价表F表1-2基于安全检查法的风险识别

20、评价表车间（部门）：XXX岗位：XXX识别人：XXX时间：XX年XX月XX日序号检查内容检查依据检查结果风险等级新增控制措施备注说明：检查的内容包括人、机、料、环、法等环节内容。检查依据包括国家法律法规、技术标准、企业安全管理制度、行业先进经验等。检查结果一般分为“符合”、“不符合”。风险等级可简单分为“可接受”、“不可接受”，一般“不符合”的项目，风险等级判断为“不可接受”。企业也可以根据自身情况制定更详细的风险准则。（二）岗位风险管理汇总表F表1-3岗位风险管理汇总表单位：XXX公司行业：XXX序号车间岗位责任人危险有害因素风险等级风险管理等级备注批准人：审核人：统计人：日期：说明：行业按

21、照国民经济行业分类（GB/T4754-2011）确定。责任人是指岗位负责人。风险管理等级是指根据LEC法计算出的风险等级来确定管理等级，风险等级越高，管理级别越周IO企业可结合自身组织架构与实际情况，按照识别后的岗位风险等级和需要采取的控制措施等情况来确定岗位风险管理等级，原则上风险等级越高，管理等级越高。如根据LEC法确定高度危险风险及以上（D>160）的管理等级可定为“公司级风险管理”，由公司进行管控；显著危险风险（160>D>70）的管理等级可定为“车间级或部门风险管理”，由车间或部门进行管控；一般危险及稍有危险风险（D<70）的管理等级可定为“班组级风险管理”，

22、由班组进行管控。（三）岗位风险告知卡F表1-4岗位风险告知卡岗位名称责任人主要危险有害因素风险等级风险管理等级事故后果预防措施应急措施报告电话对外应急电话报警电话110急救电话120（四）职业危害因素告知卡F图1-1粉尘职业危害因素告知卡二、安全生产风险评估方法(一)各评估方法的适用阶段各种风险评估方法在风险评估各阶段中的适用性参见下表。F表2-1评估方法在风险评估各阶段的适用性评估方法风险评估过程风险识别风险分析风险评价头脑风暴法SAAA德尔菲法SAAA情景分析SASAA检查表SANANA预先危险分析SANANA危险与可操作性分析(HAZOP)SASASA风险矩阵SASAA故障树分析NAAA

23、事件树分析NASANA作业条件危险性评价法(LEQASASA五问法SAAA池火灾事故模拟NAASA道化学火灾、爆炸危险指数评价法(DOWNAASASA表小非鬲适用，A表小适用，NA表小不适用。（二）风险评估方法介绍1.头脑风暴法概述头脑风暴法（Brainstorming）是指刺激并鼓励一群知识渊博的人员畅所欲言，以发现潜在的失效模式及相关危险、风险、决策标准及处理办法。“头脑风暴法”这个术语经常用来泛指任何形式的小组讨论。然而，真正的头脑风暴法包括旨在确保人们的想象力因小组内其他成员的思想和话语而得到激发的特殊技术。在这种技术中，有效的引导很重要，其中包括开始阶段刺激讨论；定期鼓励小组进入相关

24、领域；捕捉讨论中产生的问题（讨论通常很活跃）用途头脑风暴法可以与下述的其他风险评估方法一起使用，也可以单独使用，来激发风险管理过程及系统生命周期中任何阶段的想象力。头脑风暴法可以用作旨在发现问题的高层次讨论，也可以用作更细致的评审或是特殊问题的细节讨论。输入召集一个熟悉被评估的组织、系统、过程或应用的专家团队。过程头脑风暴法可以是正式的，也可以是非正式的。正式的头脑风暴法组织化程度很高，其中参与人员提前准备就绪，而且会议的目的和结果都很明确，有具体的方法来评价讨论思路。非正式的头脑风暴法组织化程度较低，经常更具针对性。在一个正式的过程中，应至少包括以下环节：讨论会之前，主持人准备好与讨论内容相

25、关的一系列问题及思考提 确定讨论会的目标并解释规则；引导员首先介绍一系列想法，然后大家探讨各种观点，尽量多发现问题。此刻无需讨论是否应该将某些事情记在清单上或是某句话究竟是什么意思，因为这样做会妨碍思绪的自由流动。一切输入都要接受，不要对任何观点加以批评，同时，小组思路快速推进，使这些观点激发出大家的横向思维。 当某一方向的思想已经充分挖掘或是讨论偏离主题过远，那么引导员可以引导与会人员进入新的方向。但目的在于收集尽可能多的不同观点，以便进行后面的分析。输出输出取决于该结果所应用的风险管理过程的阶段。例如，在识别阶段，输出可能是风险及当前控制手段的清单。优点及局限：头脑风暴法的优点包括： 激发

26、了想象力，有助于发现新的风险和全新的解决方案； 让主要的利益相关者参与其中，有助于进行全面沟通； 速度较快并易于开展。局限包括： 参与者可能缺乏必要的技术及知识，无法提出有效的建议； 由于头脑风暴法相对松散，因此较难保证过程的全面性（例如，一切潜在风险都被识别出来）； 可能会出现特殊的小组状况，导致某些有重要观点的人保持沉默而其他人成为讨论的主角。这个问题可以通过电脑头脑风暴法，以聊天论坛或名义群体技术的方式加以克服。电脑头脑风暴法可以是匿名的，这样就避免了有可能妨碍思路自由流动的个人或政治问题。在名义群体技术中，想法匿名提交给主持人，然后集体讨论。2,德尔菲法概述德尔菲技术(Delphi)是

27、在一组专家中取得可靠共识的程序。尽管该术语经常用来泛指任何形式的头脑风暴法，但是在形成之初，德尔菲技术的根本特征是专家单独、匿名表达各自的观点，同时随着过程的进展，他们有机会了解其他专家的观点。用途无论是否需要专家的共识，德尔菲技术可以用于风险管理过程或系统生命周期的任何阶段。输入达成共识所需的一系列方法。过程使用半结构化问卷对一组专家进行提问。专家无需会面，因此他们的观点具有独立性。具体步骤如下： 组建一支团队，开展并监督德尔菲过程； 挑选一组专家(可能是一个或多个专家组)； 编制第一轮问卷调查表； 测试问卷调查表； 将问卷调查表分别发给每位专家组成员； 对第一轮答复的信息进行分析和综合，并

28、再次下发给专家组成员； 专家组成员重新做出答复，然后重复该过程，直到达成共识。输出逐渐对现有事项达成共识。优点及局限优点包括： 由于观点是匿名的，因此更有可能表达出那些不受欢迎的看法； 所有观点有相同的权重避免名人占主导地位的问题； 获得结果的所有权； 人们不必一次聚集在某个地方。局限包括： 这是一项费力、耗时的工作； 参与者要能进行清晰的书面表达。3.情景分析概述情景分析(ScenarioAnalysis)是指通过分析未来可能发生的各种情景，以及各种情景可能产生的影响来分析风险的一类方法。换句话说，情景分析是类似“如果-怎样”的分析方法。未来总是不确定的，而情景分析使我们能够“预见”将来，对

29、未来的不确定性有一个直观的认识。用情景分析法来进行预测，不仅能得出具体的预测结果，而且还能分析达到未来不同发展情景的可行性以及提出需要采取的技术、经济和政策措施，为管理者决策提供依据。用途情景分析可用来帮助决策并规划未来战略，也可以用来分析现有的活动。它在风险评估过程的三个步骤中都可以发挥作用。在识别和分析那些反映诸如最佳情景、最差情景及期望情景的多种情景时，可用来识别在特定环境下可能发生的事件并分析潜在的后果及每种情景的可能性。情景分析可用来预计威胁和机遇可能发生的方式，以及如何将威胁和机遇用于各类长期及短期风险。在周期较短及数据充分的情况下，可以从现有情景中推断出可能出现的情景。对于周期较

30、长或数据不充分的情况，情景分析的有效性更依赖于合乎情理的想象力。如果积极后果和消极后果的分布存在比较大的差异，情景分析就会有很大用途。输入情景分析的必要前提是要有一支团队，其成员了解相关变化的特征（例如，可能的技术进步），同时有丰富的想象力，能预见到未来发展，而无需从过去事件中进行推断。掌握现有变化的文献和数据也很必要。过程情景分析的结构可以是正式的，也可以是非正式的。在建立了团队和相关沟通渠道，同时确定了需要处理的问题和事件的背景之后，下一步就是确定可能出现变化的性质。这就要求对主要趋势、趋势变化的可能时机以及对未来的预见进行研究。需要分析的变化可能包括： 外部情况的变化（例如技术变化）；

31、不久将要做出的决定，而这些决定可能会产生各种不同的后果；利益相关者的需求以及需求可能的变化方式； 宏观环境的变化（如监管及人口统计等）；有些变化是必然的，而有些是不确定的。有时，某种变化可能归因于另一个风险带来的结果。例如，气候变化的风险正在造成与食物链有关的消费需求发生变化，这样会改变哪些食品的出口会盈利以及哪些食品可能在当地生产。局部及宏观因素或趋势可以按重要性和不确定性进行列举并排序。应特别关注那些最重要、最不确定的因素。可以绘制出关键因素或趋势的图形，以显示那些情景可以进行开发的区域。建议使用一系列的情景，关注每个情景参数的合理变化。为每个情景编写一个“故事”，讲述你如何从此时此地转向

32、主题情景。这些故事可以包括那些能为情景带来附加值的合理细节。现在，这些情景可以用来测试或评估最初的问题。这项测试考虑到任何重要但可预测的因素（例如，使用模式），然后分析政策在这种新情景中的“成功”概率，并通过使用以模型假设为基础的“假定分析”来“预先测定”结果。当对每个情景的问题或建议进行评估时，显然需要进行修正，以使其更全面或风险更小。当情景正在发生变化时，也可能找出一些能够表明变化的先行指标，监测先行指标并做出反应，可以为改变计划好的战略提供机会。由于情景只是可能出现的未来经过界定的“片段”，因此关键是要确定需考虑的正在发生的某个特定结果（情景）的可能性。例如，对于最好的情景、最差的情景以

33、及预期的情景，应努力描述或说明每个情景发生的可能性。输出可能不会有最合适的情景，但可以对最终应对各种选项以及随着指标的变化而调整行动方案的方法有更清晰的认识。优点及局限情景分析考虑到各种可能的未来情况，而这种未来情况更适合于通过使用历史数据，运用基于“高级-中级-低级”的传统方法而进行的预测。这些预测假设未来的事件有可能延续过去的趋势。如果目前不甚了解预测的依据或者现在探讨的风险会何时发生，那么这一点就很重要了。但是，与这种优点相关的是一种缺点：在存在较大不确定性的情况下，有些情景可能不够现实。在运用情景分析时，主要的难点涉及到数据的有效性以及分析师和决策者开发现实情境的能力，这些难点对结果的

34、分析具有修正作用。如果将情景分析作为一种决策工具，其危险在于所用情景可能缺乏充分的基础，数据可能具有随机性，同时可能无法发现那些不切实际的结果。4.检查表概述检查表(Check-lists)是危险、风险或控制故障的清单，而这些清单通常是凭经验(要么是根据以前的风险评估结果，要么是因为过去的故障)进行编制的。用途检查表法可用来识别危险及风险或者评估控制效果。它们可以用于产品、过程或系统的生命周期的任何阶段。它们可以作为其他风险评估技术的组成部分进行使用，但最主要的用途是检查在运用了旨在识别新问题的更富想象力的技术之后，是否还有遗漏问题。输入有关某个问题的事先信息及专业知识，例如可以选择或编制一个

35、相关的、最好是经过验证的检查表。过程具体步骤如下： 确定活动范围； 选择一个能充分涵盖整个范围的检查表。为此，应仔细选择检查表。例如，不可使用标准控制的检查表来识别新的危险或风险。 使用检查表的人员或团队应熟悉过程或系统的各个因素，同时审查检查表上的项目是否有缺失。输出输出结果取决于应用该结果的风险管理过程的阶段。例如，输出结构可以是不全面的控制清单或是风险清单。优点及局限检查表的优点包括： 非专家人士可以使用； 如果编制精良，它们将各种专业知识纳入到了便于使用的系统中； 它们有助于确保常见问题不会遗忘。局限包括： 它们会限制风险识别过程中的想象力；它们论证了“已知的已知因素”，而不是“已知的

36、未知因素”或是“未知的未知因素”； 它们鼓励“在方框内画勾”的习惯； 它们往往基于已观察到的情况，因此会错过还没有被观察到的问题。5.预先危险分析概述预先危险分析（PrimaryHazardAnalysis,简称PHA走一种简单易行的归纳分析法，其目标是识别危险以及可能给特定活动、设备或系统带来危害的危险情况及事项。用途这是一种在项目开发初期最常用的方法。因为当时有关设计细节或操作程序的信息很少，所以这种方法经常成为进一步研究工作的前奏，同时也为系统设计规范提供必要信息。在分析现有系统，从而将需要进一步分析的危险和风险进行排序时，或是现实环境使更全面的技术无法使用时，这种方法会发挥更大的作用。

37、输入输入包括： 被评估系统的信息。 可获得的与系统设计有关的细节。过程通过考虑如下因素来编制危险、一般性危险情况及风险的清单。 使用或生产的材料及其反应性； 使用的设备； 运行环境；,布局； 系统组成要素之间的分界面等。对不良事项结果及其可能性可进行定性分析，以识别那些需要进一步评估的风险。若需要，在设计，建造和验收阶段都应展开预先危险分析，以探测新的危险并予以更正。获得的结果可以使用诸如表格和树状图之类的不同形式进行表示。输出输出包括：危险及风险清单。包括接受、建议控制、设计规范或更详细评估的请求等多种形式的建议。优点及局限优点包括：在信息有限时可以使用；可以在系统生命周期的初期分析风险。局

38、限包括：PHAR能提供初步信息。它不够全面也无法提供有关风险及最佳风险预防措施方面的详细信息。6.危险与可操作性分析(HAZOP)概述HAZOP1危险与可操作性分析(HazardandOperabilitystudies)的英文首字母缩写，也是对一种规划或现有产品、过程、程序或体系的结构化及系统分析。该技术可以识别人员、设备、环境及/或组织目标所面临的风险。分析团队应尽量提供解决方案，以消除风险。HAZOPJ程是一种基于危险和可操作性研究的定性技术，它对设计、过程、程序或系统等各个步骤中，是否能实现设计意图或运行条件的方式提出质疑。该方法通常由一支多专业团队通过多次会议进行。HAZOPE识别过

39、程、系统或程序的故障模式的原因和后果方面与FMEA类似。其不同在于团队通过考虑不希望的结果、与预期的结果以及条件之间的偏差来反查可能的原因和故障模式，而FMEAU确定故障模式，然后才开始。用途最初开发HAZO岐术是为了分析化学过程系统，但是该技术目前已拓展到其他类型的系统及复杂的操作中，包括机械及电子系统、程序、软件系统，甚至包括组织变更及法律合同设计及评审。HAZO过程可以处理由于设计、部件、计划程序和人为活动的缺陷所造成的各种形式的对设计意图的偏离。这种方法广泛地用于软件设计评审中。当用于关键安全仪器控制及计算机系统时，该方法称作CHAZO腌制危险及可操作性分析或计算机危险及可操作性分析）

40、。HAZO分析通常在详细设计阶段开展，因为此时有计划过程的全图，尽管设计仍可进行调整。但是，随着设计的详细发展，可以对每个阶段用不同的导语以阶段法进行。HAZO分析也可以在操作阶段进行，但是，该阶段需要的变更可能有较大成本。输入HAZO分析的主要输入数据是有关计划审批的系统、过程或程序，以及设计意图与效果说明书的现有信息。输入数据可能包括图形、说明书、过程图、逻辑图、布局图、操作及维修程序，以及紧急情况响应程序。对于非硬件系统来说，HAZO的输入数据可以是描述所分析的系统或程序的功能和因素的任何文件。例如，输入数据可以是组织图或角色说明、合同草案甚至程序草案。过程HAZO在要对分析中的流程、程

41、序或系统进行“设计”及规范化，并审查各组成部分，以发现与预期效果的偏差、潜在的原因以及偏差可能造成的结果。通过使用合适的引导词，对于系统、过程或程序的各个部分对关键参数变化的反应方式进行系统性分析，我们就可以实现上述目标。可以使用针对某个特殊系统、过程或程序的引导词，也可以使用能涵盖各类偏差的通用词。附表2-1举例说明了技术系统常用的引导词。类似的导语如“过早”、“过迟”、“过多”、“过少”、“过长”、“过短”、“错误方向”、“错误目的”、“错误行动”可以用来标明人为错误的模式。HAZO分析的一般步骤包括：提名某个有必要责任和职权的人员开展HAZO分析，并承担由此产生的一切行动； 确定这项研究

42、的目标及范围； 为研究建立一系列关键的引导词；确定HAZOPF究团队。该团队通常是多专业的，应包括掌握了相应技术专业知识的设计及操作人员，来评价与计划或当前设计的偏差产生的影响。建议团队中包括一些不直接参与设计或者被审核的系统、过程或程序的人员。 收集必要的文件； 在研究团队的引导式研讨班上： 将系统、过程或程序划分成更小的因素或子系统/过程或因素，以进行具体的审核； 约定各子系统/过程或因素的设计意图，然后对于该子系统或因素中的各项依次使用引导词，以假设那些会产生不良结果的可能偏差； 如果发现不良结果，约定各种情况下的原因及结果，同时就处理方式提出建议，从而减少或消除影响（如果可能的话）；

43、将讨论内容记录在案，同时约定用于处理被识别风险的具体行动。F表2-2HAZOP引导词的例子术语定义“无”或“不”更多（更局）更少（更低）以及部分颠倒/相反而/、是兼容性引导词适附于卜列参数：计划结果根本没有实现或是计划条件缺失输出结果或运行状况的定量增长电减少定量增长（例如，附加材料）定量减少（例如，仅限混合物中的一个或两个成分）相反（例如，回流）意图根本没有实现，而截然不问的事情发生了（例如，流动或资料错误）材料；环境材料或过程的物理特征温度、速度等物理条件系统或设计组件的规定目的（例如，信息转化）运行方卸输出对于每个评审点的项目，做好HAZO陛议的会议记录。这包括：使用的引导词、偏差、可能

44、的原因、处理所发现问题的行动以及行动负责人。对于任何无法纠正的偏差，需要对偏差风险进行评估。优点及局限HAZO的优点包括： 为系统、彻底地分析系统、过程或程序提供了有效的方法； 涉及多专业团队，包括那些拥有实际操作经验的人员以及那些必须采取处理行动的人员； 形成了解决方案和风险应对行动方案； 适用于各种系统、过程及程序； 有机会对人为错误的原因及结果进行清晰的分析； 对用来说明尽职调查的过程可以进行书面记录。局限包括： 很耗时，因此成本较高； 对文件或系统/过程以及程序规范的要求较高； 主要重视的是找到解决方案，而不是质疑基本假设（然而，这可以减轻分阶段的办法）。 讨论可能会集中在设计细节上，

45、而不是在更宽泛或外部问题上。 受制于设计（草案）及设计意图，以及传递给团队的范围及目标； 过程对设计人员的专业知识要求很高，结果，专业人员会发现在寻找设计问题的过程中很难保证完全客观。7.风险矩阵概述风险矩阵（RiskMatrix）是一种将定性或半定量的后果分级与产生一定水平的风险或风险等级的可能性相结合的方式。矩阵格式及适用的定义取决于使用背景，关键是要在这种情况下使用合适的设计。用途风险矩阵可用来根据风险等级对风险、风险来源或风险应对进行排序。它通常作为一种筛查工具，以确定哪些风险需要更细致的分析，或是应首先处理哪些风险，这需要提到一个更高层次的管理。它还可以用作一种筛查工具，以挑选哪些风

46、险此时无需进一步考虑。根据其在矩阵中所处的区域，此类的风险矩阵也被广泛用于决定给定的风险是否被广泛接受或不接受。风险矩阵也可以用于帮助在全组织内沟通对风险定性等级的共同理解。设定风险等级的方法和赋予他们的决策规则应当与组织的风险偏好一致。风险矩阵的一种形式可用于FMEC的危险度分析，或是在HAZO的束后确定先后顺序。如果缺乏足够的数据进行细致的分析，或是实际情况无法保证进一步定量分析的时间和精力时，后果可能性矩阵也可以使用。输入过程的输入数据为个性化的结果及可能性等级，以及将两者结合起来的矩阵。后果等级应涵盖需分析的各类不同的结果（例如，经济损失、安全、环境或其他取决于背景的参数），并应从最大

47、可信结果拓展到最小结果。标度可以为任何数量的点。最常见的是有3、4或5个点的等级。可能性标度也可为任何数量的点。需要选择的可能性的定义应尽量避免含混不清。如果使用数字指南来界定不同的可能性，那么应给出单位。可能性等级需要跨越现有研究范围，牢记最低可能性必须为最高界定结果所接受，否则，就把一切最严重结果的活动界定为不可容忍。绘制矩阵时，结果在一个轴上，可能性在另一个轴上。附图2-1显示了矩阵的部分事例，该矩阵带有6点结果和5点可能性等级。各单元的风险等级将取决于可能性结果等级的定义。可以以特别突出结果（如图所示）或可能性建立矩阵，根据实际应用情况，该矩阵可以是对称的。风险等级与决策规则相关，例如

48、管理层关注度水平或所需反应的时间标度密切相关结果等级F图2-1风险矩阵示例分级评分和矩阵可以用定量等级进行建立。例如，在可靠性背景中，可能性等级表示指示故障率，而结果等级表示故障的美元成本。工具的使用需要有掌握相关专业知识的人员（最好是团队），以及有助于对结果和可能性进行判断的现有数据。过程为了进行风险分级，使用者首先要发现最适合当时情况的结果描述符，然后界定那些结果发生的可能性。然后，从矩阵中读取风险等级。很多风险事项会有各种结果，并有各种不同的相关可能性。通常，次要问题比灾难更为常见。因此，有必要选择是对最常见的问题评分，还是对最严重的结果，抑或是两者的统一体进行评分。在很多情况下，有必要

49、关注最严重的可信事项，因为这些事项会带来最大的威胁，经常也是管理者最关注的事情。有时，有必要将常见问题和不可能的灾难归为独立风险。关键是要使用与所选结果相关的可能性，而不是整个事项的可能性。矩阵定义的风险水平可能与是否应对风险的决策规则相联系。输出输出结果是对各类风险的分级或是确定了重要性水平的、经分级的风险清单。优点及局限优点包括： 比较便于使用； 将风险很快划分为不同的重要性水平。局限包括： 必须设计出适合具体情况的矩阵，因此，很难有一个适用于组织各相关环境的通用系统； 很难清晰地界定等级； 使用具有很强的主观色彩，分级者之间会有明显的差别； 无法对风险进行总计（例如，人们无法确定一定数量

50、的低风险或是界定过一定次数的低风险相当于中级风险）。 组合或比较不同类型后果的风险等级是困难的。 结果将取决于分析的详细程度，即分析越详细，情景数字就越高，每个数字的概率越低。这将低估实际风险等级。在描述风险时将情景分组的方法应当在研究开始时确定并且是一致的。8.故障树分析概述故障树（FaultTreeanalysis,简称FTA）是用来识别并分析造成特定不良事件（称作顶事件）因素的技术。因果因素可通过归纳法进行识别，也可以按合乎逻辑的方式进行编排并用树形图进行表示，树形图描述了原因因素及其与重大事件的逻辑关系。故障树中识别的因素可以是与组件硬件故障、人为错误或造成不良事项的其他相关事项用途故

51、障树可以用来对故障（顶事件）的潜在原因及途径进行定性分析,也可以在掌握因果事项可能性的知识之后，定量计算重大事件的发生概率。故障树可以在系统的设计阶段使用，以识别故障的潜在原因并在不同的设计方案中进行选择；也可以在运行阶段使用，以识别重大故障发生的方式和导致重大事件不同路径的相对重要性；故障树还可以用来分析已出现的故障，以便通过图形来显示不同事项如何共同作用造成故障。输入对于定性分析，需要了解系统及故障原因、系统失效的方式。详细的图表有利于帮助分析。对于定量分析，需要了解故障树中各基本事件的故障率或者失效的可能性。过程建构故障树的步骤包括： 界定计划分析的重大事件。这有可能是故障或该故障影响面

52、更大的结果。如果要分析结果，那么故障树可能有一部分涉及到实际故障的缓解； 从重大事件入手，识别造成重大事件的直接原因或失效模式； 对其中的每个原因/失效模式进行分析，以识别造成故障的原因； 分步骤地识别不良的系统操作方式，沿着系统自上而下地分析，直到进一步分析不会产生任何成效为止。在硬件系统，这可能是组件故障水平。处于分析中系统最低水平的事项及原因因素称作基本事件。 如果基本事件有可能发生，那么可以计算顶事件的发生概率。要想使定量化有效，就必须说明，对于每个控制节点而言，所有的输入数据都必不可少，并足以产生输出事项。否则，故障树不足以进行可能性分析，但可以成为说明因果关系的有效工具。作为定量化

53、的组成部分，有必要通过布尔代数来简化故障树，以说明那些重复的失效模式。除了估算顶事件发生的可能性之外，还要识别那些形成顶事件独立路径的最小分割集合，并计算它们对顶事件的影响。除了简单的故障树之外，当故障树存在几处重复事件时，需要使用软件包正确处理计算，并计算最小割集。软件工具有助于保证一致性、正确性和可检验性。输出故障树分析的输出结果包括： 用图形表示重大事件发生的方式，以说明同时有两个或更多事项发生时那些相互影响的途径； 最小分割集合清单（单个故障路径），并说明每个路径的发生概率（如果有相关数据）； 重大事件的发生概率。优点及局限故障树（FTA）的优点包括：它提供了一种系统、规范的方法，同时

54、有足够的灵活性，可以对各种因素进行分析，包括人际交往和客观现象等；运用简单的“自上而下”方法，可以关注那些与重大事件直接相关故障的影响;FTA对具有许多界面和相互作用的分析系统特别有用；图形表示有助于理解系统行为及所包含的因素。然而，由于故障树通常较大，故障树的处理可能离不开计算机系统。这样便可以将更复杂的逻辑关系包括在内（EGNANtMNOR）对故障树的逻辑分析和对分割集合的识别有利于识别高度复杂系统中的简单故障路径。在这种系统中，人们可能会忽视那些导致顶事件的诸多事项的综合体。局限包括： 计算出的顶事件的概率或频率很不确定；基础事件概率的不确定性被包括在首要事件概率的计算中。当不能准确知道基础事件故障概率时，可能导致高度的不确定性；当然，对于一个被充分理解的系统有可能得到高的可信度。,有时，起因事件（causalenvents）未得到限制，因此很难确定顶事件的所有重要途径是否都包括在内。（例如，将火灾