第7章--系统安全管理课件

第七章第七章 系统安全管理系统安全管理n事故预防是事故控制的最主要的手段，也是安全管理工作最主要的内容，而技术手段是事故预防的最好方法。n随着系统的复杂化、大型化，人失误行为的不可避免性这一问题会越来越严峻，而通过严格的管理制度束缚人的行为，也不是现代安全管理追求的目标。n系统安全管理通过在系统设计阶段对系统的安全问题进行系统、全面、深入的分析和研究，并合理采取相应措施，较好地解决了这一问题。n提高系统的安全性的同时，降低了对人的行为的约束和限制，用较低的代价取得了很好的安全效果。.第七章系统安全管理事故预防是事故控制的最主要的手段，1第一节 系统安全性1.问题的提出n任何一个企业，其经营的最主要目标就是经济效益，而经济效益是靠为市场提供高质量的产品及服务来获得的。高质量的名牌产品又会带来巨大的无形资产和更大的经济效益。安全性是产品质量的主要性能指标之一，其重要性是不言而喻的。n另一方面，企业大多数生产工具、设备又是其他企业的产品。从这一点上讲，我们可以说，安全问题，无论对制造者还是使用者，都是某种产品的技术上管理上的缺陷。.第一节系统安全性1.问题的提出.2n产品作为一个系统是由不同的子系统和操作人员组成的整体，同时产品研制涉及不同的学科，如光、电、机械、化学等，这些子系统及学科都有着自身的安全问题，并且它们之间相互作用会产生复杂的后果而影响产品的安全性。n在产品的研制、试验、生产和使用以至退役处理的整个寿命周期中，都可能存在着导致事故发生的潜在危险，都有可能发生事故，这是安全问题的一个方面，即从产品研制生产的纵向来研究安全问题。n因此，产品的安全性必须从上述两个方面，即产品的全寿命周期各阶段与其子系统之间的联系中找出事故发生发展的客观规律和内部联系。第一节 系统安全性.产品作为一个系统是由不同的子系统和操作人员组成的整体，同时产3n系统安全学科的任务系统安全学科的任务 通过科学的分析，识别潜在的危险并做出定性和定量的评价，提出在设计制造和使用装备中消除潜在危险或控制这些危险使之降低到可接受程度的措施，达到保证产品或系统安全的目的。第一节 系统安全性.系统安全学科的任务第一节系统安全性.42.系统安全的发展n工业生产中传统的安全技术工作已有150年的历史。其间预防事故的理论和实践也取得了较大的进展。n美国空军于1962年4月第一次明确提出“空军弹道导弹系统安全工程”。此后，做了5次修订，系统安全工作在全寿命周期内得到了明确全面的规定。n除了颁布军用标准外，1970年代后期美国国防部颁发和修订了一系列指令和指示，对武器采办中的系统安全工作提出了高层次的规定。第一节 系统安全性.2.系统安全的发展第一节系统安全性.5n70年代美国在核武器和核工业领域相继提出了保证安全的问题。1975年美国核能委员会（NRC）应用事件树（ETA）和故障树（FTA）分析技术成功地作出了核电站定量安全评价。这是核能安全分析技术发展的一个重要里程碑。它说明概论安全评价（PSA）是复杂系统进行安全评价的重要方法。n 与上述同步发展，国际上建立了专门研究安全的学术团体国际系统安全学会。第一节 系统安全性.70年代美国在核武器和核工业领域相继提出了保证安全的问题。16n我国的安全工作解放后开始得到重视。形成以安全生产责任制为主体的安全管理方法及“国家监督、行业管理、企业负责、群众监督”的安全管理体制。许多高校设置了安全工程专业，1996年教育部也委托当时的劳动部主持建立了全国安全工程专业教学指导委员会。n但是，由于各方面的原因，特别是我国企业传统的产品设计体制的影响，保证产品在全寿命周期的安全性的研究与应用方面却进展甚微。因而，将系统安全管理与系统安全工程的理论与方法应用与产品设计之中，是我国产品走向世界的必由之路。n本章目的：本章目的：正确理解与应用系统安全管理的基本概念正确理解与应用系统安全管理的基本概念。第一节 系统安全性.我国的安全工作解放后开始得到重视。形成以安全生产责任制为主体7三.系统安全的定义及概念1.1.系统安全的定义系统安全的定义 所谓系统安全，是指在系统的寿命周期的所有阶段，以使用效能、时间、成本为约束条件，应用工程和管理的原理、准则、技术，使系统获得最佳的安全性。第一节 系统安全性.三.系统安全的定义及概念第一节系统安全性.8从上述定义可以看出以下从上述定义可以看出以下3 3点：点：提高系统的安全性，并非不计代价。提高系统的安全性，并非不计代价。首先要考虑到产品的成本，保证产品的性能，使产品及时地投入应用。而只有在这个基础上，通过设计提高系统的安全性才具有真正的现实意义，企业才可能有最大的发展，达到其最高的目标，获得更大的利益。追求产品的安全性，应当考虑产品全寿命周期的安全追求产品的安全性，应当考虑产品全寿命周期的安全性，性，即力争产品在其寿命周期的各个阶段，总的安全性能最佳。使产品达到最佳的安全性能应力争产品的各个子系统结合在一起时的总体安全性能最佳总体安全性能最佳，而不是某一个子系统的安全性能最佳。第一节 系统安全性.从上述定义可以看出以下3点：第一节系统安全性.92.系统安全的主要特点 利用系统安全的方法保证产品的安全性，也很好地体现了系统安全的几个主要特点：早早 即在系统的设计和构思阶段分析整个系统寿命 周期的安全问题。快快 由于早期分析，只对图纸加以修改即可，这比在试验甚至使用阶段发现问题后再采取措施自然要快的多。省省 由于只需对图纸加以修改，如果在构思阶段，甚至只需修改设计方案即可，这与在试验、生产甚至使用阶段发现问题后在再进行全面的更改，所付出的代价可以说是天壤之别。第一节 系统安全性.2.系统安全的主要特点第一节系统安全性.10 好好 通过设计方案的选择保证安全性，比在产品投入使用后再因安全问题附加安全装置，效果自然不能同日而语。接口接口 子系统间既有分工，又有合作。使每一个子系统达到最佳的安全性并不一定能使整个系统达到最佳的安全性。只有所有子系统相互结合在一起达到最佳，才会使系统的总体安全性能达到最佳，而关注子系统间的接口（也称界面），注意子系统间的相互影响，正是系统安全的主要特点之一。第一节 系统安全性.好通过设计方案的选择保证安全性，比在产品投入使用后再11q系统安全是从根本上提高产品或系统的安全水平的有效的技术工作方法，它是在企业生产的传统技术安全工作基础上发展起来的，也是人们对安全问题深化认识的产物。人们对付事故是从查找事故原因，采取措施，防止事故重复发生开始。q措施的内容通常包括：在生产和使用部门设立专职机构，如技术安全处、科，颁发安全法规，设置安全防护设备及用具，监督安全生产和使用、进行安全生产和使用的宣传和教育等。q但是这种传统的安全技术工作很难做到防患于未然，而且只有发生一次甚至多次事故才能找出防止事故的措施和办法，在经济上付出的代价在绝大多数的情况下也是企业难以承受的。第一节 系统安全性.系统安全是从根本上提高产品或系统的安全水平的有效的技术工作方12第一节 系统安全性n系统安全与传统的技术安全的目的虽然都是实现系统的安全，但它们的工作范围和实施方法都有较大的区别，具体体现在以下5个方面：技术安全的工作范围主要是生产和使用场所，其目的是保证操作人员和设备不致受到伤害和损坏，它并 不直接涉及产品或系统的设计。而系统安全则主要研究产品全寿命过程，包括方案论证、设计、试验、制造、使用直至报废处理等各方面的安全问题，并且把重点放在研制阶段。.第一节系统安全性系统安全与传统的技术安全的目的虽然都是实13第一节 系统安全性 传统的技术安全工作大多凭经验和直觉来处理安全问题，而且较少由表及里深入分析，因而难以彻底改善安全状态，而系统安全正是利用系统工程的方法，从系统、子系统和环境影响以及它们之间的相互关系来研究安全问题，从而能比较深入而全面地找到潜在危险，预防事故的发生。.第一节系统安全性传统的技术安全工作大多凭经验和直觉来14 传统的技术安全多从定性方面进行研究，一般只提出“安全”或“不安全”的概念，对安全性没有定量的描述，因而难以做出准确的判断和评价，也不便于控制和管理。n而系统安全利用危险严重性、可能性等参数和指标来定量评价安全的程度，从而使预防事故的措施有了客观的度量，安全程度更加明确。第一节 系统安全性.传统的技术安全多从定性方面进行研究，一般只提出“安全”或15 传统的技术安全是从局部，或处于被动状态来解决安全问题，因而不能从根本上提高系统的安全水平。而系统安全从产品或系统论证设计起就开始做系统的安全分析，它考虑到产品全系统中所有可能的危险，如危险源、各子系统接口、软件对安全的影响等，并随着研制工作的进展，逐步细化安全分析的内容，使安全主动而全面地得以实现。第一节 系统安全性.传统的技术安全是从局部，或处于被动状态来解决安全问题，因16 传统的技术安全目标值不明确，不具体，究竟到什么程度才算安全问题解决得好，才能控制重大事故发生？目标值不明确，则工作盲目性较大。n系统安全通过安全分析、试验、评价和优化的应用，可以找出最佳的减少和控制危险的措施，使产品或系统的各子系统之间，设计、制造和使用之间达到最佳配合，用最少投资获得最好的安全效果，从而在最大程度上提高产品的安全水平。第一节 系统安全性.传统的技术安全目标值不明确，不具体，究竟到什么程度才算安17第二节 系统安全管理的基本概念 系统安全系统安全由由系统安全管理系统安全管理和和系统安全工程系统安全工程两部分组成。两部分组成。一.系统安全管理的定义n系统安全管理是确定系统安全大纲要求，保证系统按工作项目和活动的计划、实施与完成与整个项目的要求相一致的一门管理学科。n任何管理工作，都是由计划、组织、协调、控制四大部分组成。n而系统安全管理，实际上就是对产品全寿命周期的安全问题的计划、组织、协调与管理。也就是说，通过管理的手段，合理选择危险控制方法，合理分配危险风险到产品寿命周期的各个阶段，使产品在满足性能、成本、时间等约束条件的前提下，取得最佳的安全性。.第二节系统安全管理的基本概念系统安全由系统安全管理18n因而我们可以说，系统安全管理是产品或系统寿命周期工程管理的组成部分。n系统安全管理的主要任务是：在寿命周期内规划、组织、协调和控制应进行的全部系统安全工作。n系统安全管理的核心是建立并实施系统安全大纲。二.系统安全管理与系统安全工程n系统安全工程则是应用科学和工程的原理、准则和技术，识别和消除危险，以减少有关风险所需的专门业务知识和技能的一门工程学科。第二节 系统安全管理的基本概念.因而我们可以说，系统安全管理是产品或系统寿命周期工程管理的组19n从系统安全工程和系统安全管理定义可以看出，系统安全工程与系统安全管理是系统安全的两个组成部分。n二者一个是工程学科，一个是管理学科，两者相辅相二者一个是工程学科，一个是管理学科，两者相辅相成：成：前者为后者提供各类危险分析、风险评价的理论与方法及消除或减少风险的专门知识和技能，而后者则选择合适的危险风险分析与风险评价的方法，确定分析的对象和分析深入的程度，并根据前者分析评价的结果做出决策，要求后者对危险进行相应的消除或控制。因而要想使系统达到全寿命周期最佳的安全性，二者缺一不可，而且还应有机结合在一起。第二节 系统安全管理的基本概念.从系统安全工程和系统安全管理定义可以看出，系统安全工程与系统20三.系统安全管理与美军标882Cn军事工业是应用高新技术的主要领域之一。为获得战争中的优势地位，人们将许多新材料、新技术、新的理论应用到军用产品装备之中，对安全问题的研究也是如此。n在20世纪60年代因产品安全问题遭受了一系列的恶性事故的惨痛打击之后，美国推出了旨在约束军事装备生产商保证其产品达到安全性能要求的纲领性文献军用标准MILSTD882系统安全大纲要求，并经过多次修改，至1993年推出882C。第二节 系统安全管理的基本概念.三.系统安全管理与美军标882C第二节系统安全管理的基21n该标准的主要目的是使厂商与军方签订军用产品合同时，按标准要求建立一个系统安全大纲。保证在与任务要求相一致的前提下，使安全贯穿与技术研制和对系统、子系统、设备、设施及其接口的使用和设计之中，以保证产品获得最佳的安全性能。n经过近40年的修订完善，该标准在保证军用产品的安全性能方面发挥了极为重要的作用，并成为系统安全管理与系统安全工程的基本概念与方法应用于工程实践的典型范例。特别是在系统安全管理方面所进行的探索，在国际系统安全管理方面所进行的探索，在国际系统安全领域占有相当重要的地位。n因而，全面深入地了解该军用标准，对理解系统安全管理的基本概念，学会应用其于工程实践之中，具有十分重要的意义。第二节 系统安全管理的基本概念.该标准的主要目的是使厂商与军方签订军用产品合同时，按标准要求22第三节 系统安全管理的实施n系统安全管理的实施过程，实际上就是通过管理的手段，将系统安全要求系统安全要求结合到系统全寿命周期的过程。n系统安全要求系统安全要求一般来说分为两类，一类为一般要求一类为一般要求，即产品设计应满足的基本系统安全要求，也就是必须满足的必要条件。另一类则为详细要求另一类则为详细要求，即产品的承制方和订购方经讨论协商认为有必要满足的条件或要求。这类条件或要求随产品的复杂性、危险性、成本、使用环境等多种因素的变化而变化，是选择的要求。n但当双方经协商达成一致，形成系统安全要求后，两类要求同样都必须得以满足，才有可能保证产品的安全性达到订购方期望的水平。.第三节系统安全管理的实施系统安全管理的实施过程，实际上就23一、系统安全一般要求1.1.系统安全大纲系统安全大纲 为了保证及时、有效地达到系统安全的目标，产品承制方必须建立和实施一个系统安全大纲。该大纲的主要内容应包括管理系统管理系统和关键的系统安全人员关键的系统安全人员两个部分：管理系统管理系统 产品承制方应建立一个系统安全管理系统，旨在保证产品的安全性能符合有关要求。在该管理系统中，应由承制方主要负责建立、控制、结合、指导和实施系统安全大纲，并保证将事故风险消除或控制在可接受风险范围内。该系统中还应设事故及与安全有关的事件，包括尚未发生事故或与安全相关的事件的潜在危险条件的报告、调查、处理程序。第三节 系统安全管理的实施.一、系统安全一般要求第三节系统安全管理的实施.24 关键的系统安全人员关键的系统安全人员n为保证所建立的系统安全大纲达到上述目标，在管理系统中应选择合适的人选负责系统安全大纲的建立及实施管理过程，并在产品安全性方面直接对承制方主要负责人负责。n 该人选即为关键的系统安全人员，通常限制为对系统安全工作有管理职责和技术认可权的人员。n为保证该类关键人员能够胜任这一重要角色，根据产品或系统复杂性的高低，对该产品安全负责人的资质要求也有所差异。有关资料提供了一个可供参考的关键的系统安全人员的资质要求参考表（表71）。第三节 系统安全管理的实施.关键的系统安全人员第三节系统安全管理的实施.25 表71 关键系统安全人员的最低资格要求项项 目目复杂性复杂性教育教育经历经历证书证书高高工程、自然科学或其他学科理学士*系统安全或相关学科4年以上要求为CSP*或专业工程师中等中等学士加系统安全训练两年以上系统安全或相关学科最好为CSP*或专业工程师低低高中证书加系统安全训练系统安全4年以上无*管理部门 可能在工作说明中规定其他学位或证书*通过美国全国性的专业资格认证的安全专业人员第三节 系统安全管理的实施.表71关键系统安全人员的最低资格要求项目教262.2.系统安全大纲目标系统安全大纲目标n在系统安全大纲中，应定义一种系统的方法以保证下列目标得以实现：及时、经济地将符合任务要求的安全性设计到系统中。在系统整个寿命周期内识别、跟踪、评价和消除系统中的危险，或将相应的风险减少到管理部门可接受的水平。考虑并应用以往的安全资料，包括其他系统的经验、教训。在采纳和使用新的工艺、材料、设计和新的生产、试验和操作技术时，寻求最小风险。第三节 系统安全管理的实施.2.系统安全大纲目标第三节系统安全管理的实施.27将消除危险或将风险减少到管理部门可接受水平所采取的措施记录成文。在系统的研究、研制和订购中及时地考虑安全特性，以尽量减少为改善安全性而进行的实施。在设计、建造中或任务要求发生更改时，所采用的方法应使风险保持在管理部门可接受的水平。在寿命周期内尽早考虑与系统有关的任何有害材料的安全性，并使之易于报废和退役处理。应采取措施尽可能少地使用有害材料，使与使用有害材料有关的风险和寿命周期费用减少到最小。把重要的安全数据作为经验记录下来，并记入数据库，或用作更改设计手册和说明书的建议。第三节 系统安全管理的实施.将消除危险或将风险减少到管理部门可接受水平所采取的措施记录283.3.系统安全设计要求系统安全设计要求n为实现系统安全大纲目标，产品承制方必须在设计过程中满足系统安全设计要求，即满足核心目标需要的一般设计要求。n这类要求是在具备了系统设计所采用的有关标准、规范、条例、设计手册、安全设计检查表和其他设计指南类资料后确定的。n产品承制方应依据所有可使用的资料，包括初步危险分析（PHA）建立安全设计准则，同时在研制规范中继续扩充该准则和要求。第三节 系统安全管理的实施.3.系统安全设计要求第三节系统安全管理的实施.29一般的系统安全设计要求包括以下一般的系统安全设计要求包括以下11个方面：个方面：通过设计，包括原材料的选择和代用，消除已识别的危险或减少相关的风险。若必须使用有潜在危险的原材料时，应选择那些在系统寿命周期内风险最小的原材料。将有害物质、零部件和操作与其他活动、区域、人员及不相容的原材料相隔离。设备的位置安排应使工作人员在使用、保养、维护、修理和调整过程中最少地暴露于危险环境中（危险的化学药品、高压电、电磁辐射、切削刃口或尖锐部位等）。使恶劣的环境条件所导致的风险最小（温度、压力、噪声、毒性、加速度和振动等）。第三节 系统安全管理的实施.一般的系统安全设计要求包括以下11个方面：第三节系统安全30系统设计应使在系统使用和保障中由于人的差错所导致的风险最小。考虑采取补偿措施，把不能消除的危险所导致的风险减少到最低程度。这类措施包括：联锁、冗余、故障安全设计、系统防护、灭火设备和防护服装、设备、装置和规程等。用物理隔离或屏蔽的方法，保护冗余子系统的电源、控制装置和关键零部件。当各种补偿设计措施都不能消除危险时，应提供安全和报警装置，并在装配、使用、维护和修理说明书中给出适当的警告和注意事项，在危险零部件、原材料、设备和设施上标出醒目标记，以确保人员和设备得到保护。第三节 系统安全管理的实施.系统设计应使在系统使用和保障中由于人的差错所导致的风险最小31n对于已有的标准尚未顾及的问题，通常应按照为生产方和订购方所共同接受的方式或按照管理部门要求的条件予以标准化。并应向管理部门提供全部警告、注意和提示标志的复印件，供检查、评审使用。使意外事故中人员伤害或设备损坏的严重程度最小。设计软件控制或监测的功能，使危险是或事故的发生达到最小。评审设计准则中的对安全不足或过分限制的要求。根据研究、分析或试验数据推荐新的设计准则。第三节 系统安全管理的实施.对于已有的标准尚未顾及的问题，通常应按照为生产方和订购方所共324.4.系统安全优先次序系统安全优先次序n系统安全大纲的最终目标是让设计的系统不包含能导致不可接受的事故风险水平的危险。由于大多数系统的复杂性，将其设计成完全没有危险是不可能的或不切实际的。n通过进行危险风险分析，就可确定需要控制的危险。系统安全优先次序指出了满足系统安全要求和减少风险所要遵循的采取措施的选择顺序。n通过评估消除具体危险或控制其相关的风险的措施，就可确定出可接受的减少风险的方法。第三节 系统安全管理的实施.4.系统安全优先次序第三节系统安全管理的实施.33 满足系统安全要求和处理已识别危险的优先次序如下：满足系统安全要求和处理已识别危险的优先次序如下：（1）最小风险设计。）最小风险设计。首先在设计上消除危险。若不能消除已识别的危险，应通过设计方案的选择将其风险减少到管理部门规定的可接受的水平。（2）应用安全装置。）应用安全装置。若不能消除已识别的危险或不能通过设计方案的选择充分地降低相应的 风险，则应通过使用固定的、自动的、或其他安全防护设计或装置，使风险减少到管理部门可接受的水平。可能时，应规定对安全装置作定期的 功能检查。（3）提供报警装置。）提供报警装置。若设计和安全装置都不能有效地消除已识别的危险或充分地降低相关的风险，则应采用报警装置检测危险状况，并向有关人员发出适当的报警信号。报警信号及其使用应设计成使人对错误反应的可能性最小并在同类系统中标准化。第三节 系统安全管理的实施.满足系统安全要求和处理已识别危险的优先次序如下：第三节34（4）制定专用规程和进行培训。）制定专用规程和进行培训。若通过设计方案的选择不能消除危险，或采用安全装置和报警装置也不能充分地降低有关风险，则应制定规程和进行培训。n 除非管理部门放弃要求，对于I级和II级危险决不能仅仅使用报警、注意事项或其他形式的书面提醒作为唯一的减少风险的方法。n规程可以包括个人防护装备的使用。警告标志应按管理部门的规定标准化。若管理部门认为是安全关键的工作和活动，则应要求考核人员的熟练程度。第三节 系统安全管理的实施.（4）制定专用规程和进行培训。若通过设计方案的选择不能消除危35n当然，在遵循系统安全优先次序的工作和活动中，在选择某类方法后仍不能降低危险风险到可接受的水平的情况下，也可以同时选择两类以上方法尽可能减少危险风险，但前提是必须遵循优先次序的基本原则。n此外，由于危险识别、分类及纠正措施是在整个研制阶段中的设计、研制和试验中实施的，因而必须结合风险评价以确定必须采用的纠正措施。但无论采用何种水平的纠正措施，都应在各类情况下加以全面验证。第三节 系统安全管理的实施.当然，在遵循系统安全优先次序的工作和活动中，在选择某类方法后365.5.风险评价风险评价n为了确定为消除或控制已识别的危险应采取的措施，必须建立能确定系统所含风险的风险评价模型。一个好的风险评价模型应能使决策者正确了解到风险的大小及为把该风险降低到可接受水平所要付出的代价。n在风险评价方法中，应用最为广泛的方法为风险分析风险分析矩阵（矩阵（RACRAC）方法）方法，即用危险可能性和严重性来表征危险的特性，进而建立起相应的评价矩阵。第三节 系统安全管理的实施.5.风险评价第三节系统安全管理的实施.37n按系统安全优先次序，首先应是通过设计消除危险。在设计阶段初期设计阶段初期，通常在风险评价中只考虑危险的严只考虑危险的严重性重性；若在设计初期未能消除相应的危险未能消除相应的危险，则应综合则应综合考虑危险严重性和可能性考虑危险严重性和可能性，以及风险影响的风险评价方法，来确定纠正措施和处理已识别危险的优先次序。n危险可能性危险可能性是指危险事件发生的可能程度。是指危险事件发生的可能程度。危险可能性可用单位时间事件、人数、项目或活动中可能产生危险的次数来表示。n危险严重性危险严重性是描述某危险可能引起事故的严重程度。是描述某危险可能引起事故的严重程度。n危险严重性等级给出了由人的失误、环境条件、设计缺陷或系统、子系统或部件故障或失效引起的最严重事故的定性度量。第三节 系统安全管理的实施.按系统安全优先次序，首先应是通过设计消除危险。在设计阶段初期381）风险分析矩阵（）风险分析矩阵（RAC）方法）方法nRAC方法将危险的严重性划分为4级（表72）；可能性划分成5级（表73）表表72 72 危险严重性分类表危险严重性分类表说明说明等级等级定义定义灾难性灾难性的的I死亡、系统报废、严重环境破坏严重的严重的II严重伤害、严重职业病、系统或环境的较严重破坏轻度的轻度的III轻度伤害、轻度职业病、系统或环境的轻度破坏可忽略可忽略的的IV轻于轻度伤害或轻度职业病，轻于系统或环境的轻度破坏。第三节 系统安全管理的实施.1）风险分析矩阵（RAC）方法说明等级定义灾难性的I死亡39表表73 73 危险可能性等级表危险可能性等级表说明说明*等级等级单个项目单个项目总体总体*频繁频繁A可能经常发生连续发生很可能很可能B在寿命期内出现若干次频繁发生偶然偶然C在寿命期内可能有时发生发生若干次很少很少D在寿命期内不易发生，但有可能发生不易发生，但有理由可能预期发生不可能不可能E不易发生，可认为不会发生不易发生，但有可能发生*说明词的定义可根据有关数值进行修改*应定义总体的大小第三节 系统安全管理的实施.表73危险可能性等级表说明*等级单个项目总体*频繁A可40n风险评价指数风险评价指数：RAC方法按可能性与严重性两个因素建立一个二维的矩阵，矩阵的每一个元素都对应一个可能性和严重性的等级，并用一个数值和代码表示，称为风险评价指数风险评价指数，表示风险的大小。n最为常见的两种风险评价矩阵见表74和75。n在这两种评价矩阵中均将风险评价指数按风险的大小分为四类，并建议采取不同的控制原则。第三节 系统安全管理的实施.风险评价指数：RAC方法按可能性与严重性两个因素建立一个二41表表74 74 危险风险评价矩阵示例一危险风险评价矩阵示例一危险等级危险等级（）灾）灾难性的难性的（）严重）严重性的性的（）轻）轻度的度的（）可）可忽略的忽略的（A）频繁（）频繁（X10-1）1A2A3A4A（B）很可能）很可能（10-1 X10-2）1B2B3B4B（C）偶然）偶然（10-2 X10-3）1C2C3C4C（D）很少）很少（10-3 X10-6）1D2D3D4D（E）不可能）不可能（10-6X）1E2E3E4E第三节 系统安全管理的实施.表74危险风险评价矩阵示例一危险等级（）灾难性的（）42n定量准则举例 危险风险指数危险风险指数 建议准则建议准则1A、1B、2A、2B、3A 不可能接受1D、2C、2D、3B、3C 不希望（需要由MA评审）1E、2E、3D、3E、4A、4B 可接受，需要量由MA评审4C、4D、4E 不需评审即可接受第三节 系统安全管理的实施.定量准则举例第三节系统安全管理的实施.43表表75 75 危险风险评价矩阵示例二危险风险评价矩阵示例二危险类别危险类别灾难性的灾难性的严重的严重的轻度的轻度的可忽略的可忽略的频繁频繁13713很可能很可能25916偶然偶然461118很少很少8101419不可能不可能12151720危险风险指数危险风险指数 建议准则建议准则15 不可接受69 不希望（需要MA决策）1017 可接受，但需MA评审1820 不需评审即可接受 第三节 系统安全管理的实施.表75危险风险评价矩阵示例二危险类别灾难性的严重的轻度的44n为了评价所选择的危险措施，还可采用控制程度指数（CRC），按能量控制优先顺序构成矩阵，如下表所示。表表76 76 CRC（Control Rating Code）矩阵矩阵设计被动安全设施主动安全设施警告设施A消除能量源1123B限制能量积累1123C防止逸散1223D提供屏障2234E改变逸散方式2344F使伤害最小化3344第三节 系统安全管理的实施.为了评价所选择的危险措施，还可采用控制程度指数设计被动安全45n在进行产品或系统的危险风险评价时，可将RAC与CRC结合一起使用，RAC采用的形式见表77。表77 系统危险性矩阵示例 危险类危险类别别控制类别控制类别灾难灾难性的性的严重严重性的性的轻度轻度的的可忽略可忽略的的1135124523553455第三节 系统安全管理的实施.在进行产品或系统的危险风险评价时，可将RAC与CRC结合一起46采用采用RAC或或CRC结合在一起进行风险评价时，应遵循以下规则：结合在一起进行风险评价时，应遵循以下规则：CRC值=RAC值。单点故障的严重性不允许达到级或级。RAC=1或2的危险不能只采用“注意”、“报警”或个体防护设备 来进行控制。第三节 系统安全管理的实施危险风险指数危险风险指数 建议准则建议准则 1 高度风险重点分析和测试2 中度风险进行要求与设计分析及进一步测试34适度风险进行MA认可可接受的高层次分析与测试5低度风险可接受.采用RAC或CRC结合在一起进行风险评价时，应遵循以下规则：47第三节 系统安全管理的实施采用采用RAC和和CRC进行危险风险评价的过程图进行危险风险评价的过程图.第三节系统安全管理的实施采用RAC和CRC进行危险风险评482）总风险暴露指数（）总风险暴露指数（TREC）法）法nTREC法是另外一种风险评价方法，它是对RAC评价矩阵加以改进得到的。n该方法将严重性等级扩充为10级，用指数110表示，而且给出了每级对应的损失费用（美圆）。同时用暴露指数代替了可能性等级。n这里危险的暴露是指在系统寿命周期中暴露了该危险的总时数内导致相应严重性指数所表示的可能的次数。n严重性指数表和暴露指数表可以见课本p226页。n按严重性指数及暴露指数构成一个二维矩阵，阵中每一元素为TREC值。见课本p227页。第三节 系统安全管理的实施.2）总风险暴露指数（TREC）法第三节系统安全管理的实施49采用采用TREC进行风险评价时，可求出以下数据：进行风险评价时，可求出以下数据：n总风险暴露TRE（Total Risk Exposure）TRE=510(TREC-5)n年风险暴露ARE（Annual Risk Exposure）ARE=TRE/项目寿命（项目寿命（a）n单位风险暴露URE（Unit Risk Exposure）URE=TRE/装置总数装置总数 n风险暴露率RER（Risk Exposure Rate）REC=TRE/总投资总投资 第三节 系统安全管理的实施.采用TREC进行风险评价时，可求出以下数据：第三节系统安506.6.已识别危险的处理已识别危险的处理n对已识别的危险，应采取措施将其消除或把相应的风险减少到可接受的水平。n对灾难性的、严重性的和产品订购方指定的危险的风险，不能仅依赖警告、提示和规程、培训的手段。如难以实现上述目标，应向主管部门推荐替代的方法。n在采取上述措施后，仍存在一些危险，这包括无合适的控制措施的危险、不打算采取控制措施的危险和控制措施尚不完善的危险，这三类危险的风险称之为剩余风险。n产品承制方应将每个剩余危险的现状和解决方法不完善的原因及时告知产品订购方或有关主管部门。第三节 系统安全管理的实施.6.已识别危险的处理第三节系统安全管理的实施.51二、系统安全详细要求n系统安全详细要求是由产品订购方和承制方经协商 选择所确定的系统安全要求。n 这主要是双方在考虑了资金、进度及技术水平限制等因素的基础上所确定的。而且一旦确定以后，与一般要求具有同样的约束力。n系统安全详细要求可分为4大类，即大纲的管理与控制大纲的管理与控制、设计与综合设计与综合、设计评估设计评估和符符合与验证合与验证。各类的主要内容如下：第三节 系统安全管理的实施.二、系统安全详细要求第三节系统安全管理的实施.521.1.管理与控制管理与控制n系统安全大纲n系统安全大纲计划n对转承制方、供应方和建筑工程单位协调和管理n系统安全大纲评审n对系统安全工作组的保障n危险跟踪和风险处理n系统安全进展报告第三节 系统安全管理的实施.1.管理与控制第三节系统安全管理的实施.532.2.设计与综合设计与综合n初步危险表n初步危险分析n安全要求/准则预测n子系统危险分析n系统危险分析n使用和保障危险分析n健康危害分析第三节 系统安全管理的实施.2.设计与综合第三节系统安全管理的实施.543.3.设计评估设计评估n安全评价n测试和评估安全n工程更改、规范更改、软件问题和偏离/废弃申请的安全审查4.4.符合与验证符合与验证n安全验证n安全符合评价n爆炸物危险分类和特性资料详细要求的内容可见相关的资料。详细要求的内容可见相关的资料。第三节 系统安全管理的实施.3.设计评估第三节系统安全管理的实施.55n系统安全详细要求的选择，取决于被研制的产品或系统的复杂程度，资金投入和产品或系统所处的研制阶段。n制定系统项目的应用矩阵（表711,书p228）和设施采办应用矩阵（表712,书p229）是通用的详细要求选择指南，它们可以用来初步确定在某一特定的阶段，一个有效的系统安全大纲应包括的典型的系统安全详细要求的内容。n使用该表时，可参照表中指定的具体详细要求，确定是否应将详细的要求列入大纲之中。n此外，在详细要求选择中，还应考虑资金等方面的限制，表713(书p230)提供了典型的根据规模和资金选择系统安全详细要求的模式。n上述诸表仅是一种参考，具体制定系统安全大纲时，还应考虑订购方需要，有关法规标准及技术水平等具体情况。第三节 系统安全管理的实施.系统安全详细要求的选择，取决于被研制的产品或系统的复杂程度，56三、系统安全大纲计划n在实施系统安全大纲过程中，最主要的工作包括在实施系统安全大纲过程中，最主要的工作包括制定、制定、完成工作计划完成工作计划，提出执行计划的合格人选提出执行计划的合格人选，赋予各级赋予各级管理人员应有的权力及合理地分配人力、物力资源管理人员应有的权力及合理地分配人力、物力资源。n系统安全大纲计划的制定，为整个系统寿命周期内识别、评价及消除或控制危险，提供了重要的参考依据。n系统安全大纲计划的制定，为使相应的风险减少到管理部门可接受的水平而提供了详细的描述。n系统安全大纲计划的制定，为产品订购方与承制方之间在怎么执行系统安全大纲以满足各项系统安全要求，建立了相互理解沟通的基础。第三节 系统安全管理的实施.三、系统安全大纲计划第三节系统安全管理的实施.57 系统安全大纲计划（SSPP）应包括11方面的内容：1.1.大纲的范围和目标大纲的范围和目标 SSPP应当确定系统大纲的范围和目标，其内容应包括以下3个方面：整个大纲及相关的系统大纲的范围系统安全管理和系统安全工程的工作内容，系统安全与其他工作间的相互关系。所有合同上要求的工作和责任。第三节 系统安全管理的实施.系统安全大纲计划（SSPP）应包括11方面的内容：第三58系统安全组织系统安全组织阐明在整个系统组织机构中的系统安全组织及其职能。阐明系统安全人员，其他涉及系统安全工作的部门及系统安全部门的责任和权力。阐明系统安全机构的人员构成、包括人力分配、资源控制及主要负责人。阐明产品承制方综合和协调系统安全工作的过程。阐明产品承制方制定管理决策的过程。阐明有关主管部门采取与系统安全有关的决策和措施的详情。第三节 系统安全管理的实施.系统安全组织第三节系统安全管理的实施.593.3.系统安全大纲的关键点系统安全大纲的关键点确定系统安全大纲的关键点，并将它们与整个项目的关键点相联系。提供整个系统安全工作的日程安排。为避免重复工作，确定在其他产品研究和开发工作中进行的各项与系统安全大纲的执行有关的工作。提出完成各项系统安全工作的人力需求。第三节 系统安全管理的实施.3.系统安全大纲的关键点第三节系统安全管理的实施.604.4.一般系统安全要求和准则一般系统安全要求和准则阐明对安全的一般工程要求和设计准则。阐明对保障设备的安全要求和系统寿命周期各阶段，包括报废阶段的安全要求，列出应服从的安全标准和含有安全要求的系统规范。描述风险评价过程。确定危险严重性和可能性水平及为满足产品的安全要求所应遵循的系统安全优先次序。阐述在风险评价中应用的定性或定量评价方法及可接受的安全水平。阐述采取措施解决已确定的不可接受风险的过程。第三节 系统安全管理的实施.4.一般系统安全要求和准则第三节系统安全管理的实施.615.5.危险分析危险分析阐明为确定危险及其原因与后果，确定危险消除方法或危险降低措施而进行的定性或定量分析所采用的分析技术。阐明每项分析技术在分析中应用的深度和广度。阐明转承制方所做的危险分析与整个系统危险分析的结合。阐明识别和控制与在系统全寿命周期内使用的材料相关的危险的工作。第三节 系统安全管理的实施.5.危险分析第三节系统安全管理的实施.626.6.系统安全资料系统安全资料阐明应收集和处理的与以往有关的危险、事故的资料和已有的安全方面的经验教训等。确定资料的交付方式。确定资料的获取方式及保存方法。第三节 系统安全管理的实施.6.系统安全资料第三节系统安全管理的实施.637.7.安全验证安全验证阐明通过试验、分析、检查等手段进行安全验证的要求，以保证所有安全问题都经过适当的验证。确定对软件、安全装置或其他特殊的安全性能（如应急处理过程）的鉴定要求。阐明保证将与安全相关的验证信息发送到有关部门以供评审和分析所用的规程。阐明保证所有试验安全进行的规程。第三节 系统安全管理的实施.7.安全验证第三节系统安全管理的实施.648.8.大纲审查大纲审查n阐明产品承制方采用的方法和程序以保证能达到系统安全大纲的目标和要求。9.9.培训培训n阐明对工程、技术、维修人员应进行的安全培训。10.10.事故报告事故报告n阐明事故和事故征兆的通知和调查、报告过程。第三节 系统安全管理的实施.8.大纲审查第三节系统安全管理的实施.6511.11.系统安全接口系统安全接口 系统安全大纲计划（SSPP）中应详细定义：系统安全与所有其他应用安全学科之间的接口。这类学科包括电气安全、核安全、爆炸物安全、化学和生物安全等安全学科；系统安全与系统工程及其支持学科，如可维修性、质量控制、可靠性、软件开发、人机工程、医疗保障等之间的接口；系统安全与所有其他系统综合核试验学科之间的接口。第三节 系统安全管理的实施.11.系统安全接口第三节系统安全管理的实施.66第四节全寿命周期各阶段的系统安全工作n无论是产品还是工程项目，全寿命周期总的系统安全目标都是一致的。n但是在寿命周期的各个阶段，其具体的系统安全工作还是各有不同。n深入了解这一点，对于搞好系统安全管理工作还是十分有必要的，特别在产品研制过程中更是如此。.第四节全寿命周期各阶段的系统安全工作无论是产品还是工程项目67一、技术指标论证阶段n技术指标论证阶段的大部分工作集中在设计方案的评价。在评价每个备选的设计方案时，系统安全是一个很重要的因素。n在系统设计阶段，系统安全工作有两个主要作用：在系统设计阶段，系统安全工作有两个主要作用：n一是对于系统的设计，即确定各备选方案的安全状态和安全要求，以作为选择设计方案的基础；n另一个是对于大纲的管理，主要为使系统安全工作贯穿系统的 寿命周期而制定总体的特别是本阶段的系统安全工作计划。n本阶段具体的系统安全工作包括本阶段具体的系统安全工作包括10方面的内容。方面的内容。第四节全寿命周期各阶段的系统安全工作.一、技术指标论证阶段第四节全寿命周期各阶段的系统安全工作.68制定SSPP，以阐明本阶段要进行的系统安全工作。评价考虑采用的而且在寿命周期内会影响系统的安全性的材料，设计特性，维修、保养、使用方案和环境。考虑在整个系统、其部件、专用保障设备的专用处理时因其含有有害材料与物质所可能遇到的危险。运用PHL和/或PHA确定各备选方案相关的危险。确定可能的安全接口问题，包括与软件控制的系统功能相关的问题。强调特殊的安全问题，如系统限制条件，风险和人员等级要求等。第四节全寿命周期各阶段的系统安全工作.制定SSPP，以阐明本阶段要进行的系统安全工作。第四节全69考察与备选方案类似的在安全方面获得成功的系统。根据类似系统的经验确定系统安全要求。确定所有对安全设计的分析、测试、论证与批准的要求。将有希望的备选方案的系统安全分析及其结果和建议记录成文。制定下以阶段的系统安全大纲，包括合同文件中的详细要求。第四节全寿命周期各阶段的系统安全工作.考察与备选方案类似的在安全方面获得成功的系统。第四节全寿70二、方案论证及初步设计阶段n在方案论证及初步设计阶段，系统研制的重点转向初始的硬件设计。n本阶段的系统安全工作的目的是论证并确认系统的设计方案能达到并维持在满意的安全水平。n本阶段的系统安全工作包括本阶段的系统安全工作包括危险分析危险分析、危险控制措施的选危险控制措施的选取取等。等。第四节全寿命周期各阶段的系统安全工作.二、方案论证及初步设计阶段第四节全寿命周期各阶段的系统安全71制定或修改SSPP，阐明本阶段要进行的系统安全工作参与与系统安全要求和风险影响有关的综合权衡研究，并根据研究结果提出系统设计改进意见，以确定获得符合性能和系统要求的最佳安全水平。采用或修改PHL和/或PHA报告评估要被测试的系统结构，并根据计划的测试环境和测试方法进行结构测试的系统危险分析（SHA）建立系统设计的系统安全要求及验证的原则，并确定这些要求已被纳入相应规范之中。对设计进行详细的危险分析（SSHA或SHA）以评价在系统硬件和软件试验中的风险。获取在系统论证试验中要采用的其他承制方提供的设备以及所有接口和辅助设备的风险评价结果。确定论证/评估安全性所需的特殊试验要求。第四节全寿命周期各阶段的系统安全工作.制定或修改SSPP，阐明本阶段要进行的系统安全工作第四节72确定可能影响安全性的关键零件、组件、生产技术、组装程序、设施、试验和检查要求，确保：确保：n在生产线的规划和布局设计中已包括了适当的安全保障措施，以建立对在生产过程和使用中系统的安全控制方法；n在为所生产的设备实施质量控制所做的检查、测试、规程和检查表中包括充分的安全保障措施，以使设计中的安全考虑在生产中得以保证。n生产技术手册或制造规程中包含了所需的警告、提示及专门的安全规程；n尽早地运用试验和评价手段检测和矫正安全方面的缺陷;n在采用新设计、新材料及新的生产和试验技术中，涉及的风险最小化。第四节全寿命周期各阶段的系统安全工作.确定可能影响安全性的关键零件、组件、生产技术、组装程序、设73确定对订购方或其他承制方提供的设备的分析、检查与试验要求，以确认在使用前系统已满足相关的系统安全要求。对每项试验进行使用和保障危险分析，并评审所有的试验计划和规程。n在试验系统的装配、调试、使用、出现可预见的紧急情况，或拆卸、拆除时，评估试验系统与人员、保障设备、专用试验设备、试验设施及测试环境之间的接口，确保通过分析和测试识别出的危险备消除或使相关的风险最低，确定论证和平谷试验功能安全性能所需的特殊试验。第四节全寿命周期各阶段的系统安全工作.确定对订购方或其他承制方提供的设备的分析、检查与试验要求，74评审培训大纲和培训计划以确保充分考虑了安全性问题。评审系统在使用和维护方面的规程、规范是否充分考虑了安全问题，并确保其符合职业安全卫生方面的法规要求。评审后勤保障方面的规程、规范，以确保其符合国家有关环保、职业安全卫生方面的要求。评估在本阶段所做的安全测试、故障分析和事故调查的结果，并提出设计更改或其他矫正措施。第四节全寿命周期各阶段的系统安全工作.评审培训大纲和培训计划以确保充分考虑了安全性问题。第四节75确保已将系统安全要求纳入基于最新的系统安全研究、分析及试验的系统规范与设计文件之中。编写在本阶段所进行的系统安全工作的总结报告，以保障决策过程。继续完善系统安全大纲，并制定和修订下阶段的SSPP。进行初步的使用和保障危险分析，以识别所有与环境、人员、规程及设备相关的主要风险。确定系统寿命周期中可能需要废弃或偏离的安全要求。第四节全寿命周期各阶段的系统安全工作.确保已将系统安全要求纳入基于最新的系统安全研究、分析及试验76三、工程研制阶段n工程研制阶段的系统安全工作大多是前阶段工作的延续。n本阶段的重点是本阶段的重点是使用和维修的安全性使用和维修的安全性，具体的系统安，具体的系统安全工作包括以下内容：全工作包括以下内容：制定或修订本阶段系统安全工作计划，在设施的最后设计阶段继续及时有效地实施SSPP。评审初步工程设计，以确保充分考虑了安全设计要求，并且前2个阶段识别出的危险已被消除或将其风险降低到了可接受水平。修改系统规范及设计文件中的系统安全要求。第四节全寿命周期各阶段的系统安全工作.三、工程研制阶段第四节全寿命周期各阶段的系统安全工作.77应用或修改系统危险分析、子系统危险分析、使用和保障危险分析与设计、试验工作同时进行的安全研究，以确定设计和使用与保障的危险，并提出必要的设计更改和控制措施。进行每项试验的使用和保障危险分析并评审所有的试验计划和规程。n在试验系统结构的装配、调试、运行、出现可预见的紧急状况及拆卸和拆除过程中，评估实验系统与人员、保障设备、专用试验设备，试验设施及测试环境之间的接口，确保消除经过分析和试验识别出的危险或控制其相关的风险。确定论证或评估系统安全功能所需的专门试验。确定对其他承制方或订购方提供的设备的分析、检查和试验要求，确保在使用前这类设备已满足了相应的安全要求。第四节全寿命周期各阶段的系统安全工作.应用或修改系统危险分析、子系统危险分析、使用和保障危险分析78参与技术设计和项目评审，并提交子系统危险分析、系统危险分析、使用和保障危险分析的结果。确定和评估储存、包装、运输、装卸、试验、使用和维护等各项工作对系统及其部件安全性的影响。评估安全性试验、其他的系统试验、失效分析和事故调查的结果，并提出设计更改方案或其他矫正措施。确定、评估并提出对安全性的考虑或权衡研究。评审有关工程文件，如图纸、规范等，确保其充分考虑了安全问题。确定系统寿命周期可能需要废弃或偏离的安全要求。第四节全寿命周期各阶段的系统安全工作.参与技术设计和项目评审，并提交子系统危险分析、系统危险分析79评审后勤保障方面的规程、规范，确保其充分考虑了安全性问题，并保证它们符合国家有关环境保护、职业安全卫生方面的要求。验证安全和告警装置、生命保障设备和人员防护设备是否完备。确定安全培训需求，并且为培训提供安全资料。为使生产和全面投产规划提供系统安全监督和保障，确定可能影响安全的关键零部件、生产技术、装配规程、设施、试验及检查的要求，确保：确保：第四节全寿命周期各阶段的系统安全工作.评审后勤保障方面的规程、规范，确保其充分考虑了安全性问题，80n 在生产线的规划和布局中充分考虑了安全要求，以确认在生产过程或运行中实施了安全控制；n 对制造中的设备进行质量控制的检查、试验、规程及检查表中充分考虑了安全要求，使在生产过程中充分实现了设计中对安全性的考虑；n 生产和制造过程控制的手册和规范中含有所需的告警、提示及专门的安全规程；n 尽早地采用试验和评估方法检测和矫正安全缺陷；n 在采用新设计、新材料及新的生产和试验技术时应使风险最小。第四节全寿命周期各阶段的系统安全工作.在生产线的规划和布局中充分考虑了安全要求，以确认在生产过81确保为系统试验、维修、使用和保养制定的规程中考虑了对有害材料的安全处理方法；在计划的使用、拆除或维修工作中，或在有理由预见到的由操作引起的意外事件中，人员可能接近的所有含有有害物质的材料或部件。n在子系统危险分析、系统危险分析和职业卫生危险分析中得出的和在安全评价报告中汇总的安全资料也必须确定在系统或其部件在最终退役或清除时必须考虑的所有危险。编写在本阶段实施的系统安全工作的总结报告，以保障决策过程。完善系统安全大纲，制定或修改下阶段的系统安全大纲要求。第四节全寿命周期各阶段的系统安全工作.确保为系统试验、维修、使用和保养制定的规程中考虑了对有害材82四、生产阶段1.产品或系统的生产阶段n生产阶段的系统安全工作的主要目的是生产阶段的系统安全工作的主要目的是确保按批准的确保按批准的规范和设计进行产品或系统的生产规范和设计进行产品或系统的生产。n本阶段的系统安全工作包括以下内容：本阶段的系统安全工作包括以下内容：制定或SSPP，以反映对本阶段的系统大纲要求。第四节全寿命周期各阶段的系统安全工作.四、生产阶段第四节全寿命周期各阶段的系统安全工作.83确定可能影响安全性的关键部位、生产技术、装配规程、设施、试验和检查要求，并确保：n在生产线的规划和布局中采取了合适的安全措施，建立了对在生产和使用中的系统的安全控制；n在对所生产的设备实施质量控制而进行的检查、试验、规程和检查表中，充分考虑了安全问题，使设计中的安全考虑得以实现；n在生产技术手册和制造规程中包括了必要的告警、提示及专门的安全规程；n在采用新设计、新材料及新的生产和试验技术时，涉及的风险最小。第四节全寿命周期各阶段的系统安全工作.确定可能影响安全性的关键部位、生产技术、装配规程、设施、试84保证在生产初期完成相关的试