摘要：为提高系统安全性，装备在研制生产过程中开展全面的安全性分析设计，提高固有安全性，但在装备使用安全方面仍存在不足。在分析化工领域广泛使用的HAZOP方法的基础上，针对装备系统安全性的特点，提出面向装备使用安全的HAZOP分析流程：查找装备使用操作过程中可能存在的偏差，并对偏差进行分析，确定原因和后果。实际装备分析证明该方法科学。

0、引言

装备安全性水平是保证其使用效能的重要因素，装备安全性是其必须满足的设计特性。国内外由于武器装备安全性问题导致的事故很多。为提高装备安全性水平，就要在全寿命周期的各个阶段系统、深入地开展安全性分析、设计、评估工作，实施系统安全性工程，系统化地分析整个装备系统的安全、危险与风险。目前，经过近20年的发展，在装备系统设计、研制阶段已经广泛开展安全性工作，并提供了相应的分析/设计方法，提高了装备的固有安全特性。但在装备的使用阶段，系统安全性分析工作仍存在较大差距，缺乏有效的技术手段。故以装备使用/操作过程为分析对象，对传统HAZOP方法进行适当改进，提出面向装备使用安全的HAZOP方法，为装备使用安全分析提供技术支持。

1、HAZOP方法

1.1HAZOP方法内涵与特点

危险与运行分析（HAZardand OPerabili tyanalysis，HAZOP）作为一种定性的系统安全性分析方法，由英国帝国化学工业公司（ICI）石油化学部于20世纪60年代末提出，目前已成为公认的系统安全性分析方法，广泛应用于石油、化工等过程工业（processindustry）领域，其基本指导思想是：如果一个设备在其预期的或者设计的状态范围（即“设计意图”）内运行，则不希望的危险事件就不会发生；反之，如果某些指标超出了设计范围（也就是发生“偏差”），就可能会导致危险发生，造成事故和损失。

HAZOP由设计、可靠性/安全性、使用、维护等各方面专业人员组成分析小组，在熟悉HAZOP方法的专家指导下，采用“头脑风暴”（brain-storming）的方式共同完成。HAZOP分析过程如图1。

1.2HAZOP与其它安全性分析方法

在装备研制过程中，特别是在设计阶段，常用的安全性分析方法有故障模式与影响分析（FMEA）和故障树分析（FTA）。FMEA是一种从下至上、从原因到后果的归纳分析方法。FTA是一种从上至下、结果到原因的演绎分析方法。与这2种方法不同，HAZOP是一种以系统为中心的（system-centered）分析方法，从某个中间环节（偏差）出发，开展双向分析，向前查找发生的原因，向后推测可能造成的后果，从而形成一个完整的危险演变过程。

HAZOP和FMEA一样，都是对单点故障或偏差进行分析，但FMEA一般只考虑设备的静态故障模式及其影响，而HAZOP则不仅考虑硬件中固有的危险性，而且从设备运行的角度进行动态分析，从设备运行中分析偏差的原因和后果，不仅能发现静态危险，而且能找出动态危险。同时，HAZOP以过程为线索，因此有可能综合分析一个过程中多个偏差造成的综合效果。

与FMEA和FTA类似，HAZOP分析过程中也需要对分析对象进行分解，以方便问题的发现和解决。但前2种方法是按照功能结构对系统进行层次性划分，以便逐级分析影响后果或原因；而HAZOP则是一种面向过程或“流”的成熟的分析方法，它以流程为线索进行时序划分（line-by-lineorstage-by-stageexamination），不论前后节点是否在同一功能层次，只要都属于被分析的流程即可。当然，根据分析的详细程度，HAZOP的分析“节点”也可能达到元器件的级别，但它并不进行层次划分。HAZOP和FMEA都属于定性分析方法，而FTA则还能进行定量计算，确定事故发生概率。HAZOP分析了一个过程中可能发生的偏差和危险，在此基础上再利用FTA对关键部位（或者说关键偏差）进行深入的原因分析，就能构成一个完整的事故场景（scenario）过程，为进一步开展概率风险评估（PRA）奠定基础。但需要注意的是，开展HAZOP分析通常需要系统的详细设计资料，因此HAZOP分析工作一般在设计定型前或者使用过程中开展，这时设计方案已基本固定，不太可能进行大的设计更改，因此对分析出的问题一般是通过制定操作规范或增加安全保护装备加以解决。

2、装备使用安全的HAZOP方法

装备系统的安全性分析实质上就是识别系统中可能存在的危险（或危险源），分析评价其后果，并采取相应措施将风险降低到可以接受的程度。因此，安全性分析的首要任务是识别危险。

2.1危险的构成

危险指可能会造成人员伤亡、财产损失或环境影响的状态。而事故则是已经发生的、造成了人员伤亡、财产损失或环境影响的事件。也就是说，危险是事故的前奏，事故是危险造成的后果，两者是同一现象的不同阶段，在特定条件下会发生“转移”，危险演变成事故。危险转移为最终事故的风险由组成危险的要素所决定，分别是：

1)危险物质。指系统中的基本危险源，如高温、高压等能量源等，决定了事故危害的大小。

2)触发机制。是导致危险向事故转移的一个或多个事件，如设备故障、操作失误、外部干扰等，并且这些事件以特定的次序发生才会导致事故发生。触发机制决定了发生事故的可能性。

3)威胁目标。指可能会受到伤害或损失的对象，包括人、物或者环境等外部对象，决定了事故影响的范围。

危险物质、触发机制和威胁目标构成了一个“危险三角形”，如图2。三者缺一不可，消除任何一项，危险都不可能演变成事故，因此危险也就不复存在。且它们还决定了事故的风险：降低触发机制中的事件发生概率就是降低事故发生概率，而减少危险物质或缩小威胁目标就是降低事故严酷度，从而降低了整个事故的风险；反之亦然。因此，所谓装备的安全性分析就是对危险的三类要素进行分析，识别出具体的装备中的危险三要素，并消除或减缓它们，从而达到提高装备系统安全性的目的。

2.2装备系统使用安全的HAZOP分析

装备的使用操作过程涉及装备、使用人员、操作规程、使用环境等要素，其中的核心是人—机交互的操作过程。使用人员按照操作规程操作装备，装备做出相应的响应从而形成交互；同时，人与装备又都受到使用环境影响下，做出不同的反应。在这一过程中，如果设备故障、人为失误、环境影响等原因导致人员操作或设备运行偏离了操作规程要求（相当于设计意图），就可能导致危险发生。因此，可以将HAZOP方法应用于装备使用操作过程，对过程中可能存在的偏差进行分析。

HAZOP分析的核心是查找装备使用操作过程中可能存在的偏差，并对偏差进行分析，确定原因和后果。使用操作是1个人机交互的过程，在查找系统偏差时，分别考虑人员和装备两方面可能出现的偏差。其中，装备偏差的引导词可参照HAZOP方法的常用引导词，人员偏差则主要是与时间相关，包括没有执行、过早或过晚执行等。在对偏差进行分析时，根据危险的三角形构成，对识别出的偏差从危险物质、触发机制、威胁目标方面进行分析，查找原因及评估后果，并提出改进建议。基于HAZOP方法的装备系统使用安全分析流程如图3。

2.3应用实例

以潜艇的均衡系统为例，均衡系统用于潜艇在上浮、下潜以及作战过程保持平衡，其原理结构图略。均衡系统工作时，海水经阀门、管线和泵流入水箱中或从水箱中经上述管线设备流至外部，完成相应的注水、排水功能。这些功能由系统中的电液球阀、通海阀、泵件以及相应的控制按钮来完成。在任务开始前，首先将各阀门置于初始状态，即除通海阀之外所有阀门均关闭；然后按下F3按钮和排水按钮，开启电液球阀；之后打开舱底泵启动开关，启动舱底泵，浮力调整水舱的水开始通过各阀门和管线流出艇外。当排水量达到要求值之后，首先关闭舱底泵，然后顺序关闭各阀门。在这一过程中，如果某项操作不能正确完成，或者操作的次序发生错误，则海水不能正确、及时地排出，会给潜艇造成危险。

利用HAZOP方法，对均衡系统的排水过程进行分析，可以找出可能存在的危险，从而提出改进措施，提高装备系统安全性。排水任务HAZOP分析表（部分）如表1。

表 1 均衡系统 HAZOP 分析表（部分）

3、结束语

安全性是装备系统的重要特性，是必须满足的基本要求。系统安全性工作贯穿于装备整个寿命周期，不仅要利用安全性分析/设计手段来提高其固有的安全特性，还要注重提高使用安全。该方法对如何分析装备使用安全以及利用其分析结果做进一步分析进行了有益的探讨，对进一步提高装备安全、保障装备效能具有积极意义。