第三节系统安全管理的实施

1、系统安全管理的实施系统安全管理的实施过程，实际上就是通过管理的手段，将系统安全要求结 合到系统全寿命周期的过程。系统安全要求一般来说分为网类，一类为一般要求， 即产品设计应满足的基本系统安全要求，也就是必须满足的必要条件。另一类则 为详细要求，即产品的承制方和订购方经讨论协商认为有必要满足的条件或要求。 这类条件或要求随产品的复杂性、危险性、成本、使用环境等多种因素的变化而 变化，是可选择的要求。但当双方经协商达成一致，形成系统安全要求后，两类 要求同样都必须得以满足，才有可能保证产品的安全性达到订购方期塱的水平。一、系统安全一般要求(一) 系统安全大纲为了保证及时、有效地达到系统安全的目标，

2、产品承制方必须建立和实施一 个系统安全大纲。该大纲的主要内容应包拈管理系统和关键的系统安全人员两部 分。(1) 管理系统。产品承制方应建立一个系统安全管理系统，旨在保证产品的 安全性能符合有关要求。在该管理系统中，应由承制方主要负责建立、控制、结 合、指导和实施系统安全大纲，并应保证将事故风险消除或控制在已建立的可接 受风险范围内。此外，该系统中还应设有事故及与安全有关的事件，拈尚未发 生事故或与安全和关的事件的潜在的危险条件的报告、调查、处理程序。(2) 关键的系统安全人员。为保证所建立的系统安全大纲达到上述目标，在 管理系统中应选择合适的人选负责系统安全大纲的建立及实施管理过程，并在产 品

3、安全性方面直接对承制方主要负责人负责。该人选即为关键的系统安全人员， 通常限制为对系统安全工作有管理职责和技术认可权的人员。为保证该类关键人 员能够胜任这一重要角色，根据产品或系统复杂性的高低，对该产品安全负责人 的资质要求也有所差异。有关资料提供了一个可供参照的关键的系统安全人员的 资质要求参考表(表7-1)。表7丨关键系浼安全人s的最低資格鮝求項a教a经历还书在工典.ft然科嗲或荈他学科連卞士*系浼安分或相关肀科4年以上要求为csp或专也工件铎中等学1:加系统安全调闲年以上系统安全戎相关学科鰻好为csp* 成专企工矜畤低高中汪朽细系洗安全调球系恍安全4苹以上xb瑷郎门可能在i作说明中堍定其

4、他学位成比劣： 过榮m全®性的令业资椹认讣的安仝专也人(二) 系统安全大纲目标(1) 及时、经济地将符合任务耍求的安全性设计到系统屮。(2) 在系统整个寿命周期内识别、跟踪、评价和消除系统屮的危险，或将相 应的风险减少到管理部门可接受的水平。(3) 考虑并应用以往的安全资料，包括其他系统的经验、教训。(4) 在采纳和使用新的工艺、材料、设计和新的生产、试验和操作技术时, 寻求最小风险。(5) 将消除危险或将风险减少到管理部门可接受水平所采取的措施记录成 文。(6) 在系统的研究、研制和订购屮及时地考虑安全特性，以尽量减少为改善 安全性而进行的改装。(7) 在设计、建造屮或任务耍求发生

5、更改时，所采用的方法应使风险保持在 管理部门可接受的水y。(8) 在寿命周期内尽早考虑与系统有关的任何有害材科的安全性，并使之易 丁报废和退役处理(包括爆炸性武器的报废处理)。应采取措施尽可能少地使用冇 害材料，使与使用有害材料有关的风险和寿命周期费用减到最小。(9) 把重要的安全数据作为经验记录下来，并记入数据库，或用作更改设计 手册和说明书的建议。(三) 系统安全设计要求为实现系统安全大纲口标，产品承制方必须在设计过程屮满足系统安全设计 耍求，即满足核心目标需耍的一般设计耍求。这类要求是在具备了系统设计所采 用的有关标准、规范、条例、设计手册、安全设计检查表和其他设计指南类资料 后确定的。

6、产品承制方应依据所有可使用的资料，包括初步危险分析(pha)建立 安全设计准则，并以该准则作为编制系统规范屮安全耍求的基础，同时在其后的 研制阶段、研制规范中继续扩充该准则和要求。一般的系统安全设计要求包括以下11个方而：(1) 通过设计，包括原材料的选择和代用，消除已识别的危险或减少相关的 风险。若必须使用有潜在危险的原材料时，应选择那些在系统寿命周期内风险最 小的原材料。(2) 将有害物质、零部件和操作与其他活动、区域、人员及不相容的原材料 相隔离。(3) 设备的位置安排应使工作人员在使用、保养、维护、修理和调整过程屮 最少地暴露于危险环境屮(如危险的化学药品、高压电、电磁辐射、切削刃口或

7、 尖锐部位等)。(4) 使因恶劣的环境条件所导致的风险最小(如温度、压力、噪声、毒性、加 速度和振动等)。(5) 系统设计应使在系统使用和保障屮由于人的差错所导致的风险最小。(6) 考虑采取补偿措施，把不能消除的危险所导致的风险减少到最低程度。 这类措施包括：联锁、冗余、故障安全设计、系统防护、灭火设备和防护服装、 设备、装置和规程等。(7) 用物理隔离或屏蔽的方法，保护冗余子系统的电源、控制装置和关键零 部件。(8) 当各种补偿设计措施都不能消除危险时，应提供安全和报警装置，并在 装配、使用、维护和修理说明书屮给出适当的警告和注意事项，在危险零部件、 原材料、设备和设施上标出醒标记，以确保人

8、员和设备得到保护。对于已有的 标准尚未顾及的问题，通常应按照为生产方和订购方所共同接受的方式或按照管 理部门耍求的条件予以标准化。并应向管理部门提供全部警告、注意和提示标志 的复印件，供检查、评审使用。(9) 使意外事故中人员伤害或设备损坏的严重程度最小(10) 设计软件控制或监测的功能，使危险事件或事故的发生达到最小。(11) 评审设计准则中的对安全不足或过分限制的要求。根据研究、分析或 试验数据推荐新的设计准则。(四) 、系统安全的优先次序系统安全大纲的最终n标是让设计的系统不包含能导致不可接受的事故风 险水乎的危险。由于大多数系统的复杂性，将其设计成完全没冇危险是不可能的 或不切实际的。

9、通过进行危险风险分析，就可确定需耍控制的危险。系统安全优 先次序指出了满足系统安全要求和减少风险所要遵循的采取措施的选择顺序。通 过评估消除具体危险或控制k相关的风险的措施，就可确定出可接受的减少风险 的方法。满足系统安全要求和处理已识别危险的优先次序如下。(1) 最小风险设计。首先在设计上消除危险。若不能消除己识别的危险，应 通过设计方案的选择将其风险减少到管理部门规定的可接受的水平。(2) 应用安全装置。若不能消除已识别的危险或不能通过设计方案的选择充 分地降低相应的风险，则应通过使用固定的、內动的、或其他安全防护设计或装 置，使风险减少到管理部门可接受的水平。可能时，应规定对安全装置作定

10、期的 功能检查。(3) 提供报警装置。若设计和安全装置都不能有效地消除已识别的危险或充 分地降低相关的风险，则应采用报警装置检测危险状况，并向冇关人员发出适当 的报警信号。报警信号及其使用应设计成使人对信号做出错误反应的可能性最小, 并在同类系统中标准化。(4) 制定专用规程和进行培训。若通过设计方案的选择不能消除危险，或采 用安全装置和报警装置也不能充分地降低冇关风险，则应制定规程和进行培训。 除非管理部门放弃要求，对于i级和ii级危险决不能仅仅使用报警、注意事项或 其他形式的书而提醒作为惟一的减少风险的方法。规程可以包括个人防护装备的 使用。警告标志应按管理部门的规定标准化。若管理部门认为

11、是安全关键的工作 和活动，则应要求考核人员的熟练程度。当然，在遵循系统安全优先次序的过程屮，在选择某类方法后仍不能降低危 险风险到可接受的水t的情况下，也可以采用同时选择两类以上方法以尽可能的 减少危险的风险，但前提是必须遵循优先次序的基本原则。此外，由于危险识别、分类及纠正措施是在整个研制阶段中的设计、研制和 试验屮实施的、因而必须结合风险评价以确定必须采用的纠正措施。但无沦采用 何种水平的纠正措施，都应在芥类情况下加以全而验证。(五) 风险评价在风险评价方法屮，应用最为广泛的方法为风险分析矩阵(rac)方法，即用 危险的可能性和严重性来表征危险的特性，进而建立起相应的评价短阵。危险可能性是

12、指危险事件发生的可能程度。危险可能性可用单位时间事件、 人数、项目或活动中可能产生危险的次数来表示。危险严重性是描述某种危险可能引起事故的严重程度。rac方法将危险的严重性划分为4级、可能性划分成5级(表7-2和表7-3)， 按可能性与严重性两个因素建立一个二维的矩阵，矩阵的每一个元素都对应一个 可能性和严重性等级，并用一个数值或代码表示，称为“风险评价指数”，用来 表示风险的大小。最为常见的两种风险评价矩阵见表7-4和表7-5。在两种评价 矩阵屮，均将风险评价指数按风险的大小分为四类，并建议采取不同的控制原则。 如下表所示：表72危啥产i性分类表说明等级沒义灾瓌性的i死系捷拽庚、严«

13、;好堉破评严的n严鳶伤吝、严重轵*麻，系统成环嶙的较产璽玻坏轻境的1u轻9也畜、轻#职永痛，系统或坏巉的轻®破坏町忽格的iv糾伤苒及轻度取我坊.较子豕统戎环堝的破杯a 7-3危性等级表说明*等後镶个项m总<s-饋輦a町筐鬈发史瀛渡龙ib在卿命鶉内.t躧产r次醣置龙±鴒然c江骞僉剩灼叼讓发1»i«t»權少l>也驊兑齲内不旖发|，隹珣胃蠓发1小籌发今，<5有餺由司觥狭期宸免不町鲥的e不麝发生，珣认身不金发t不跡发俐irw鎗®生-说明两的定文岣杏丈教««行鑲al 应定义总体的大小*表7-4也*良飧详资矩

14、*示 危聆等级灾璞性的(id严璽的(111)飪的(|v>疋忽略的（a）韻置 <x>io-|>>ia2a3a<a（d）霣町能c10*l>x>10*g>>ib*«3b4r<o饵然1ck*3c4c<n）咁少cio-1>x>io-n<id2d3h4dcb)不胃饞ie1 2e3e4e定簫琯«蜞侧,吃检馆败1八.ib- 2a. 2ij. 1aid.2c. 2d, 3b. 3cie.2e> 3d> 3e. 4a. ib <c> 4dt 4es议觼刻不町蛇tt受不看铒f笛山ma

15、淨平j 可决受但霭麥最由ma评屮 1表7-s 毛汝良汝详价媒降凊二灾螻性的严歌的鉍哽的的韆輦13t13格可托25h46111a很少8in14不可齣12i.s17的1翰处觼攉败蟪议酰刪竽呵缟受«9不希箏r寫番ma«>1017"i接受.侣富ma坪*1«*-20不鬌评寧典可鑌受此外，为了评价所选择的危险控制措施，还可采用控制程度指数(control rating code, crc)。按能量控制优先顺序构成一个6x4的二维矩阵，如表7-6 所示。表7 $ ckc fe 绎设什11镶凌安全设篇11l主功安全设籤n瞥冉设鏞iva消醵餽量隳1123bw鰂龍ft

16、枳累胤123c 防1z23d提供解醮2134e改变决敗方式23<4f使性*a小化3344在进行产品或系统的危险风险评价吋，可将rac与crc结合一起使用。使 用吋，rac采用的形式见表7-7。表7-7糸铁危隆見f性姐氐承例'类务：校1类别灾搴性的严建的轻吹的可惠略的1i13s111245kiz3siv34s5危«风呤撬歡律议准明1 ft瘦城險一讓戎分析w鰣试2 中度风呤一an餐求与ir分析及进一歩側试3-4通度风险这行m/认可可褛，的离®次分析与测试5级嗖风检一珥投受釆用rac或crc结合在一起进行风险评价时，应遵循以下规则。(1) crc 值彡rac 值。(

17、2) 单点故障的严重性不允许达到i级或ii级。(3) rac=1或2的危险不能只釆用“注意”、“报警”或个体防护设备 來进行控制。釆用rac和crc进行危险风险评价的过程如图7-1所示。另一种风险评价方法是总风险暴露指数(trec) '法，它是对rac评价矩阵加以改进得到的。该方法将严重性等级扩充为10级，用指数110表示，而11 给出了每级对应的损失费用(美元)。同吋用暴露指数(exposure codes)代替 了危险的可能性等级。这里危险的暴露是指在系统寿命周期中暴露了该危险的总 吋数a导致相应严重性指数所表示的可能的次数。挟行改揞yanonorft格受文件$m crc、rac评

18、犄过ft严重指数及暴露指数分别见表7-8,表7-9表7-8严重忒栝教指«蓖限/矢jt平均值/奚元10>10*soooooooooo91010“scmxxvoooo8soooooooo710,6000000065000000510* 10<sooooo4soooo3kp-101s00025001<10»50夂79 8.露枒教w a龜議次甲均值/次10>1000sood9l的woo$0010* lotsot卜s1仏卜1ass0.010.10. os40.001a. cl0,005300010010. 00020.00001 鈦 00010.000051&

19、lt;a ocxwi0. 000005按严重性指数及暴露指数构成一个二维矩阵，阵中每一元索即为trec值, 如表7-10所示。町能扦仿败严<am教109h76s43t110201918ir16is14u12119it1事17i«15ii11111110«is17l«is1413it雇1199?it1<ish13廖2111his141312iih9fftis11131211109黍r64u11ijt11109纛7c$3u12!109r1s5421211jo9876s<311109876$432采用tkec进行风险评价时.可求出以下数据： 总风险赛蒋

20、 the (total risk exposure)7af£=sxloct*r-5>年风睦暴露 are (annual risk exposure)单位风险暴are =the< 目 0775ure (unix risk exposure)ure=tre风险暴痛率 rjr (risk exposure rate)rer =tre(六)已识别危险的处理对已识别的危险，放采取措施将其消除或把相/.、v:的风险减少到可接受的水平。 对灾难性的、严重性的和产品订购方指定的危险的风险，不能仅依赖警告、提示 和规程、培训的手段。在采取了上述措施£；,仍存在一些危险，这包括无合

21、适的控制措施的危险、 不打算采取控制措施的危险和控制措施尚不完善的危险，这三类危险的风险称之 为剩余风险。如剩余风险仍不能满足订购方的耍求，则承制方必须选择是进一步 采取措施。二、系统安全详细要求系统安全详细要求是由产品订购方和承制方经协商选择所确定的系统安全 耍求。这主耍是双方在考虑了资金、进度及技术水平限制等因素的基础之上所确 定的。而且一旦确定以后，与一般要求具有同样的约束力。系统安全详细耍求可分为以k 4大类：(一) 管理与控制(1) 系统安全人纲(2) 系统安全大纲计划(3) 对转承制方、供应方和建筑工程单位协调和管理(4) 系统安全大纲评审(5) 对系统安全工作组的保障(6) 危险

22、跟踪和风险处理(7) 系统安全进展报告(二) 设计与综合(1) 初步危险表(2) 初步危险分析(3) 安全要求/准则分析(4) 子系统危险分析(5) 系统危险分析(6) 使用和保障危险分析(7) 健康危害分析(三) 设计评估(1) 安全评价(2) 试验和评估安全(3) 工程更改、规范更改、软件问题和偏离/废弃申请的安全屯查(四) 符合与验证(1) 安全验证(2) 安全符合评价(3) 爆炸物危险分类和特性资料由于篇幅所限，本书将不对各详细要求的pd容予以介绍，如需要，请见相关 参考文献。系统安全详细要求的选择，取决于被研制的产品或系统的复杂程度，资金投 入和产品或系统所处的研制阶段。制定系统项目

23、的应用矩阵(表7-11)和设施采办 应用矩阵(表7-12)是通用的详细耍求选择指南，它们可以用来初步确定在某一特 定的阶段，一个有效的系统安全大纲应包括的典型的系统安全详细要求的内容。 在使用该表时，可参照表中指定的具体的详细耍求，根据对该详细耍求的描述， 确定是否将该详细的耍求列人大纲之中。表7，11 «足系统項b的应珂貶陣工炸躓bi:作項3类1b項h玢投0111iiiiv101系疣安分大绢mgtcggggig2系晚安仝大纲汁«mgtggggg捕承包子承fe商及螻饫和工卑位的1mgts s s .s sr作項hhh.1作項n史矽項b阶r0111hiiv104系绝安仝沐4审

24、我m<usssss105系疣安全fib系疣安令工什组识的眸mgtggggg106甩羚躐荩和ia嗆消肆mutsgggq通07腻统安仝进廣摘备mgts<g(.g201kngg5ssnm202w班它伦分折ksgggggg204安分轚水磨分析kx<；gsss(>204子事捷危分析kminzagg<cgc205*戊牡*分析engn，agg(i(:<:c2engsgg(x:；（：2<>7鳍讲冰晚分析kn<；w41<ggcci(:301安仝呼价en<；isssssaq2wix粕if估灾仝en<；g(;gg(>mv. weaitu战

25、抵鋒a遞知.牧件mm wuvwiia鹧/废作*请的安仝众engn,agggg401安全投述en(.s<>os«» ws402x全符舍if快kngs；oss403鳓炸物庀岭分炎和柃作麩炽mgtss5ss404煤炸性武灶蓐的陬始教*mlivsssss注，工作項b类ent-mgt-系捷安全管项b阶b ft 方案採黹；i 论2和榷躞 i« ±/«w： jv-使蜊，保障、进州怜代 s-flfi5w» g«适用i gc 餃仅适阁于dll史改；、，八-不边蜊.表7-12 a滬采办应用矩阵上作項h聽h1咚碩r炎沏項rt阶

26、1;111(uiv101系瑰玄仝大炳mgt（；ggg102系统安金大均计埘mgtsg(rs103精承包骞.尹承包庸及谇筑和tft*单位的协/噘胃m<；tssss1cm系晚安全if*/束兗m<tggggios系统安今/系统安全1.作俎妁保醱mgtg（；g1m色检轚sm风解钠隊mg1gggc107筝快安令进翟相快mgtss$5201初步危贿农knucs/anzas工作項r扇r工件項目突b礒s阶段i11iiiiv202铒少电分析enggsn/as203安仝餮求/曜埘分析enggs$gc204子系统分析engn/asggc206篡婕危醱分析encn/agcgc206使埘与瞭色均分析engs

27、gggc207健摩兔晻分析enccsn/an/a301安全评沪engn/asgs測试和诂安仝enggggg303t界更改蠊议蜒龜修改遇扯，饮件切曜 报务扣偏鵰/霪痒申爾的安分寧豪encssss40)安兮驗12engn/asss402安全符合蜱快engn/a$ss403爆炸物吃給分芡和待件徽篱mgtn/as$s404钃炜武a处殤的陬纷教崔mgtn/asss注：工作項r类b knt果统安全t«i mgt系统安全竹8l項0阶丨一计求的定i初步设讨；蜮終设ii: iv 違遗.近用性代码s-可选用 g一般适ffh gc 一ft仅适用4没计壅改n/a不适ffl.此外，在详细耍求选择中，还应考虑资

28、金等方面的限制，表7-13提供了典 型的根据规模和资金选择系统安全详细耍求的模式。当然，上述诸表都仅仅是一 种参考，具体制定系统安全大纲时，还应考虑订购方需要，有关法规标准及技术 水平等具体情况。表7-13卷于資金或氏綸狃度的典4項6的工作项目选蜂示倒金我飫风險項u中等资金政中筹沭晚項a裹资食戚高风除壤d工件項目k»工作項目聪n工汴項b题b101条味安全大蝸101疾堍安全大101系tt安全大綱102跟tt安仝大螨it时102事晚安仝大蛳计划102系h安令大螨汁201初珍危ft我104濘*/审齐103*62錢锌舍贄颺202初少危晻分析i0s系统安全组/系蟪工炸104评事/卑有205快浼

29、羚分析1061郎服觐安令埘/*晚工作想301安全评妗201w涉极略我106&嚙廉踪202的篓戢晚分析107系遭安今进肩报杏204子系洗甩k分析202w穸飪羚分析三、系统安全大纲计划系统安全大纲计划(sspp)应包括11方面的内容:1. 大纲的范围和目标(1) 整个大纲及相关的系统大纲的范围(2) 系统安全管理和系统安全工程的工作内容，系统安全与其他工作1x1的相 互关系(3) 所有合同上要求的工作和责任2. 系统安全组织(1) 阐明在整个系统组织机构屮的系统安全组织及其职能(2) 阐明系统安全人员，其他涉及系统安全工作的部门及系统安全部门的责 任和权力(3) 阐明系统安全机构的人员构成、包括人力分配、资源控制及主耍负责人(4) 阐明产品承制方综合和协调系统安全工作的过程(5) 阐明产品承制方制定管理决策的过程(6) 阐明有关主管部门采取与系统安全冇关的决策