现危险。

　　在确定危险特征时，系统运行方式是最重要的。电缆插头的过早断开，将产生出不同类型的危险。如果发生在运行期间，插头符合设计的断开不同于非正常断开，分析过程将反映这些不同点。

　　SHA应说明下列几种危险定义中的要素；触发危险的组件，组件危险方式，系统运行方式（对每个组件，方式可以多于一个），危险影响（对每种运行方式，影响可多于一个）。例如，触发危险的组件是飞行器的电压调节器，它有三种失效方式——高压、低压或无输出。观察高压失效方式，会发现，在巡航飞行期间较准备发射期间的危险水平要高得多。

　　于是，以FHA方法为基础的SHA，是将这种方法扩充为对每个组件及其潜在伤害的检查。

　　

　　56 事件树分析（Event tree analysis）（ETA）

　　

　　一起伤亡事故的发生，是许多事件按时间顺序相继出现的结果，其中，一些事件的出现是以另一些事件首先发生为条件的。描述事故发展顺序逻辑次序可以通过事件树来实现。事件树是从1965年前后发展起来的决策树（Decision tree）演化而来的。

　　在事故发展过程中出现的事件可能有两种情况，即事件出现或不出现，或者事件导致成功或导致失败。这样，每一事件的发展有两条可能的途径。究竟事件按哪一条可能的途径发展，具有一定的随机性。但是，往往按各条可能途径发展的概率是不相等的。它涉及到有关的安全状况。

　　如果伤亡事故发展过程中包括m个相继发生的事件，由于每一事件可能的发展途径有两条，则总计会有2m,条可能的发展途径，最终的结果也有2m个。这些结果又可简单的区分为两类：伤亡事故发生或不发生，即成功或失败。通过事件树分析，把事故发生发展过程直观地展现在人们面前，人们可以在事故发展的不同阶段采取恰当的措施阻断事故发展进程，让事件向产生好结果的方面发展。

　　在相继出现的事件中，后一事件是在前一事件出现的情况下出现的，它与更前面的事件无关。后一事件选择某一种可能发展途径的概率是在前一事件做出某种选择的情况下的条件概率。因此，在定量分析时，各事件都要按条件概率来考虑。

　　做成事件树时，按照事件发展过程自左向右画，树枝代表事件发展途径，把结果好的分枝画在上面：把结果不好的分枝画在下面。

　　

　　57风险评价模型（Evaluation model of risk）

　　

　　因为事故及其损失的性质是复杂的，所以风险评价的逻辑关系也是复杂的。

　　风险评价逻辑模型至少有五个因素：基本事件（低级的原始事件），初始事件（对系统正常功能的偏离，例如铁路运输风险评价时，列车出轨就是初始事件之一），后果（初始事件发生的瞬时结果），损失（描述死亡、伤害及环境破坏等财产损失），费用（损失的价值）。见风险评价模型图3-12。

　　

　　图3-12 风险评价模型

　　连系故障树，低级的原始事件也同样是故障树中的基本事件，而初始事件则相当于故障树的一组顶上事件。对风险评价来说，必须考虑系统可能发生的一组顶上事件和总损失。

　　设每暴露单位费用为Ct＜sub＞n＜/sub＞，其概率为P（Ct＜sub＞n＜/sub＞），n为损失类型，则每暴露单位的平均损失可用下式计算：

　　

　　58 安全价值分析（Safety yalue analysis）

　　

　　价值分析过程是经典的交互决策方法论在安全上的应用，其焦点是安全目标与有限的资金可能达到的安全水平之间的差距。图3-13描述了价值分析的过程。

　　第一步建立系统安全目标。

　　第二步是提出系统模型，用以确定现存系统结构是否符合目标，这个模型只须详细和清楚到所需要的程度，以确定目标是否得以满足。

　　第三步分析系统，即研究上述系统模型，以确定是否肯定能达到安全目标，如能达到，则价值分析过程即可终结。如达不到，就进行下一步。

　　第四步拟定安全措施项目，并应用适当的决策方法对这些安全措施进行筛选。实施安全措施所需资金包括在每一项目中。

　　经选定一组能使系统达到安全目标的措施后。系统模型要按照这些安全措施进行修改并进行研究。系统的输出再次与原定目标进行比较，这个循环要继续反复进行，直到可供利用的资金不足以达到新目标为止，就把这时所定安全措施付诸实施，同时要修改原定的目标。

　　这样，一直到最后修正的目标在财力、技术允许条件下可达到的安全水平。倘若达不到预想的安全水平，则系统必须重新设计。

　　

　　图3-14 价值分析过程