识别了机器产生的各种危险后(持久危险和意外出现的危险，见3.6和第4章)，设计者应尽可能地根据定量的因素对每一种危险进行风险评定，并最终依据风险评定的结果决定是否需要减小风险。为此设计者应考虑不同的运行模式和干预过程，尤其是：

a) 在机器的整个寿命周期中人与机器的相互作用，描述如下： 1) 构造。

2) 运输、组装和安装。 3) 试运转。 4) 使用：

——设定、示教/编程或过程转换； ——操作； ——清洗； ——故障排查； ——维护。

5) 停用、拆除及从安全角度进行的处置。 b) 机器的可能状态：

1) 机器执行预定功能(机器正常运转)。

2) 由于各种原因，机器不能执行预定功能(即失效)，这些原因包括： ——被加工材料或工件的性能或尺寸的变化； ——机器的一个(或多个)零部件或辅助装置的失效； ——外部干扰(如冲击、振动、电磁干扰)； ——设计错误或缺陷(如软件错误)； ——动力源干扰；

——环境条件(如损坏的工作地面)。

c) 操作者下意识的行为或机器可预见的误用，例如：

——操作者对机器失去控制(特别是手持式或移动式机器)的行为； ——人对使用中机器发生的失效、事故或故障的条件反射行为； ——精神不集中或粗心大意导致的行为； ——工作中“走捷径”导致的行为；

——为保持机器在所有情况下运转所承受的压力导致的行为； ——特定人员的行为(如儿童、伤残人等)。

在5.4中规定的和图2所示的减小风险的三步法中，完成其每步后均须进行风险评估和风险评定。 进行风险评价时，应考虑在已识别的危险中，其伤害可能是最严重的风险。对可预见的严重程度最高的风险，即使其发生的频率很低，也应加以考虑。 5.4 借助保护措施消除危险或减小风险

通过消除危险，或单独或同时减小下述两个决定风险的因素，可以达到借助保护措施消除危险或减小风险的目标：

a) 所考虑危险产生伤害的严重程度； b) 伤害发生的概率。

所有预定用于达到此目标的保护措施应根据下列顺序进行，即“三步法”(也可见图1和图2)。 ——本质安全设计措施（见GB/T15706.2-2007第4章）。

注：这是不采用诸如安全防护或补充保护措施，而消除危险的唯一阶段。 ——安全防护和可能的补充保护措施（见GB/T15706.2—2007第5章）。 ——关于遗留风险的使用信息（见GB/T15706.2—2007第6章）。

使用信息不应取代本质安全设计措施，或安全防护或补充保护措施的正确使用。

与机器的各种运行模式和干预过程（见5.3）相适宜的保护措施，能防止操作者在遇到技术难题时，使用危险的干预技术。

5.5 风险减小目标的实现

依照5.4和图2，实现充分减小风险和得到一个满意的风险降低的比较结果（若有）后便可终止风险减小的迭代过程（GB/T16856—1997中的8.3）。

能够对下列每个问题给出肯定的回答时，可认为实现了充分的风险减小： ——是否考虑了所有的运行状况和干预程序； ——是否应用了5.4规定的方法；

——危险是否已消除，或由危险产生的风险是否降低到可行的最低水平；

——是否确定所采取的措施不会产生新的危险； ——是否向用户充分告知和警告了遗留风险；

——是否确定所采取的保护措施不会危及操作者的工作状态； ——所采取的保护措施是否彼此协调；

——是否已充分考虑到为专业/工业用设计的机器用于非专业/非工业范围时产生的后果； ——是否确定所采取的措施不会过分地降低机器的功能。 附录A

（资料性附录） 机器的图解表示

图A.1给出了机器的图解表示。

用于GB/T15706的专用术语和表述的英中文对照索引