系统安全理论及应用(共74张PPT)

系统安全理论及应用第一页，共74页。SHENYANGINSTITUDEOFAREONAUTICALENGINEERINGSHENYANGINSTITUDEOFAREONAUTICALENGINEERING安全工程专业保险工程专业消防工程专业安全防范专业民航与安全工程学院沈阳航空工业学院第二页，共74页。系统安全理论及应用

吴穹

第三页，共74页。一位老船长的话：

不论何时有人要问我怎么样才能最好地描述我这近四十年的航海经历，我只能说：很平常。当然我也经历了大风大浪，还有大雾天，但在所有的经历中，我从来没有遇上可以说道的事故。在我的航海生涯里，除了见过一艘遇险的船只外再也未见过海险事件，从未见过也没有经历过船只失事，更没有感受过被灾难威胁的困境。第四页，共74页。爱德华•J•史密斯泰坦尼克号船长第五页，共74页。第六页，共74页。第七页，共74页。safetysafety由此想到问题问题1为什么会产生这一问题?问题2如何解决这一问题?问题3设计人员能否做到?第八页，共74页。safetysafety注册安全工程师的三个问题问题一注册安全工程师=安全生产工程师?问题二注册安全工程师还应该关注什么?问题三注册安全工程是的知识与能力主要应该体现在什么方面?第九页，共74页。safetysafety美国注册安全工程师CSP

近200种安全、健康、环境和人机工程的资质认定只有13种得到了较为广泛的认可和授权。

CSPCESBNCCA第十页，共74页。safetysafetyBCSP1969年设立非盈利组织20000多人获得资质11000多人正在工作99%在美国和加拿大每年有数千人应试

第十一页，共74页。safetysafetyCSP基本条件学历：安全类专业大专或其他专业本科以上经历：四年职业安全经验考试一：助理CSP考试基础考试二：CSP考试专业第十二页，共74页。safetysafetyCSP年收入（2008年）人均99244美元其中40%超过10万美元，6%超过15万美元比非CSP安全专业人员平均高23000美元

一般本科毕业25000-40000具有工作经验50000-70000

第十三页，共74页。safetysafetyCSP学历分布（2008年）高中0.1%

专科3.9%

本科48.8%

硕士42.7%

博士2.6%第十四页，共74页。safetysafety工作领域分布

保险业22%制造业19%化工业15%

咨询业15%政府9%建筑业5%

公共场所4%交通2%其它工业9%

第十五页，共74页。safetysafety我国的安全问题

工伤事故死亡人数＜3万非正常死亡人数＞70万第十六页，共74页。safetysafety2006年

美国：召回产品数量的60%

欧盟：召回产品数量的50%

产品种类：

玩具、电器、服装、汽车等

我国的安全问题第十七页，共74页。safetysafety注册安全工程师或CSP的知识结构危险识别与分析风险评价与控制第十八页，共74页。safetysafety解决产品安全问题设计人员质量管理人员其他技术人员第十九页，共74页。safetysafety风险的解决方案第二十页，共74页。safetysafety解决产品安全问题规范与安全性经验与安全性第二十一页，共74页。safetysafety解决产品安全问题危险识别与分析风险评价与控制设计阶段系统安全工程师第二十二页，共74页。safetysafety产品的安全性与可靠性

故障与事故可靠性与安全性第二十三页，共74页。Systemsafety

系统安全的定义在系统的寿命周期的所有阶段，以使用效能、时间、成本为约束条件，应用工程和管理的原理、准则和技术，使系统获得可接受的安全性。第二十四页，共74页。第七十三页，共74页。第五十五页，共74页。（2）联锁红色：禁止、停止、消防和危险1分保险业22%制造业19%化工业15%安全系数概率设计(1)系统安全管理的文件化在寿命期内会出现若干次系统安全的核心是危险分析，即对危险的识别—分析—评价—控制。（2）进入危险区域第五十二页，共74页。减少事故风险到可接受水平SHENYANGINSTITUDEOFAREONAUTICALENGINEERING第五十六页，共74页。4、确定剩余风险跟踪方法Systemsafety

系统安全的主要特点早快省好接口第二十五页，共74页。Systemsafety

系统安全与传统的技术安全（1）工作范围（2）工作方法（3）工作深度（4）局部与全面（5）安全目标值第二十六页，共74页。Systemsafety

“飞—停—飞”法

Fly-Fix-Fly第二十七页，共74页。Systemsafety

对于现代成本高昂复杂的系统，既使在第一次试验时发生的事故，也是难于被接受。“首次安全”的要求First-TimeSafe第二十八页，共74页。Systemsafety

识别—分析—评价—控制

Identify-Analyze-Assess-Control

早期的努力UpstreamEffort

系统安全的核心是危险分析，即对危险的识别—分析—评价—控制。第二十九页，共74页。Systemsafety

实施系统安全需要进行的两类活动：系统安全工程SystemSafetyEngineering系统安全管理SystemSafetyManagement第三十页，共74页。Systemsafety

系统安全工程SystemSafetyEngineering

应用科学和工程的原理、准则和技术，识别和消除危险，以减少有关风险所需的专门业务知识和技能的一门工程学科。第三十一页，共74页。Systemsafety

系统安全管理SystemSafetyManagement

为识别、评价、降低及不间断地跟踪、控制和记录在系统、子系统、设备和设施的开发、试验、制造、使用和处理过程中产生的环境、安全和健康事故的风险而采取的所有计划和措施。第三十二页，共74页。系统安全管理的主要工作程序(1)系统安全管理的文件化(2)危险的识别(3)风险评估(4)风险控制措施的确定(5)减少事故风险到可接受水平(6)控制措施效果验证(7)剩余风险的复查和接受(8)危险与剩余风险的跟踪第三十三页，共74页。safetysafety系统安全管理的文件化1、危险分析风险评价方法的确定2、将系统安全结合进总体的工作内容中3、确定危险接受限度4、确定剩余风险跟踪方法第三十四页，共74页。safetysafety系统安全管理的文件化系统安全大纲：

制定完成工作的计划

确定执行任务的人选

赋予管理人员的权力

分配人力物力的资源第三十五页，共74页。safetysafety系统安全管理计划确定安全性能要求

建立系统安全组织或职能

设定系统安全关键点

建立事故调查报告制度

确定上报安全相关信息的要求

确立接受或记录剩余风险的方法

建立报告危险及相关风险和剩余风险的方法

规定其他必须满足的特殊安全要求第三十六页，共74页。safetysafety危险的识别1、系统安全分析2、软件与硬件3、环境与用途4、经验与教训5、全寿命周期的危险第三十七页，共74页。safetysafety5、事故的严重性6、事故的可能性风险评价第三十八页，共74页。Systemsafety

危险严重性等级表等级名称定义Ⅰ灾难性的死亡、系统报废、严重环境破坏Ⅱ严重的严重伤害、严重职业病、系统或环境的较严重破坏Ⅲ轻度的轻度伤害、轻度职业病、系统或环境的较轻度破坏Ⅳ可忽略的轻于轻度伤害及轻度职业病、轻于系统或环境的较轻度破坏第三十九页，共74页。Systemsafety

危险可能性等级表可能性等级说明元件设备A频繁频繁发生连续发生B很可能在寿命期内会出现若干次频繁发生C偶然的在寿命期内有时可能发生发生若干次D极少在寿命期内不易发生，但有时可能发生不易发生，但有理由可预期发生E不可能极不易发生，几乎认为不会发生不易发生第四十页，共74页。Systemsafety

风险评价矩阵可能性严重性灾难性的严重的轻度的可忽略的频繁13713很可能25916偶然的461118极少8101419不可能121517201~5，不可接受6~9，不希望有10~17，有控制的接受18~20，可接受第四十一页，共74页。safetysafety风险控制措施的确定1、控制与筛选控制方案2、反复进行以达到可接受的安全水平第四十二页，共74页。safetysafety减少事故风险到可接受水平与设计与管理人员沟通与试验验证人员沟通第四十三页，共74页。safetysafety控制措施效果验证分析、测试、检查等手段确定剩余风险。发现新的危险。第四十四页，共74页。safetysafety剩余风险的复查和接受RAC（风险评价矩阵）复查和接受部门的确定复查和接受程序的确定第四十五页，共74页。剩余风险A已确定危险及其风险B未确定危险及其风险A+B实际风险C被控制的风险A+B-C剩余风险第四十六页，共74页。1、危险，危险控制与剩余风险。

2、跟踪系统的建立（全寿命周期）

3、跟踪信息的沟通危险及剩余风险的跟踪第四十七页，共74页。不可接受的设计*可能导致“灾难性”或“严重性”事故的单点失效，共因失效，人失误的设计缺陷。*可使安全性关键指令和控制功能失效进而导致“灾难性”或“严重性”事故的两个相互独立的人失误或故障。第四十八页，共74页。不可接受的设计*产生有害的辐射或能量且未采取措施保护人和关键设备*可能导致事故的包装特性和搬运过程且未采取措施保护。第四十九页，共74页。可接受的设计至少两个相互独立的人失误或系统故障同时发生事故才发生安全关键指令或控制功能，至少三个以上能主动防止导致事故发生的人失误的系统设计能主动防止故障传递导致事故的系统设计能通过对操作和操作次序实施限制来预防事故的系统设计能控制可导致事故的能量积聚的系统设计第五十页，共74页。可接受的设计能通过安全系数方法将可能引发事故的机构失效控制到可接受水平的系统设计利用元件的残留强度或备用运行途径，可暂时容忍其元件失效进而保证安全的系统设计能主动提出危险状况的进而保证人员反应时间的系统设计能限制有害原材料供应的系统设计第五十一页，共74页。系统安全管理五要素管理对危险进行全过程跟踪﹑分析和纪录收集并充分利用各类数据资料及经验教训安全﹑环境和健康诸内容被及时结合到系统设计中使系统中有害工作环境和人失误导致事故的风险最小化使系统使用人员及时了解其安全特性并在决策中加以考虑第五十二页，共74页。S预防事故的安全技术1、控制能量2、危险最小化设计（1）通过设计消除危险（2）降低危险严重性3、隔离4、闭锁、锁定和联锁（1）闭锁和锁定（2）联锁第五十三页，共74页。S5、故障—安全设计

（1）故障—安全消极设计（2）故障—安全积极设计（3）故障—安全工作设计第五章事故预防与控制第五十四页，共74页。S5、故障—安全设计第五章事故预防与控制进水阀门第五十五页，共74页。S6、故障最小化（1）降低故障率安全系数概率设计降额冗余筛选定期更换

（2）监控

第五十六页，共74页。S6、故障最小化故障最小化----降低故障率有效寿命ⅠⅡⅢ初期故障随机故障磨损故障tλ(t)第五十七页，共74页。S6、故障最小化故障最小化----降额设计

预期不出现安全性问题的系统；1分l

安全性潜在损坏费用高的系统；2分

危及操作人员生命安全的系统3分

已经证实的设计；利用标准元件及（或）电路1分l

可靠性高可靠性要求，需要专门设计的系统；

2分

为满足先进技术要求需要采用新设计、新方案的系统3分

易接近、且可以快速、经济修理的系统；

1分l

系统修理

修理费用高、难接近、技术等级高、工作时间长的系统；2分

不能修理、或进行修理经济上不合算的系统3分

无严格的限制、符合标准方法设计的系统；1分l

体积与重量

需要专门设计技术、要求难实现的系统；2分

需要新方案、且设计受严格限制的系统；3分

修理费用省、无高备件费用的系统；1分l

寿命周期费用

修理费用较高、备件费用较高的系统；2分

可能要求完全更换的系统3分第五十八页，共74页。S6、故障最小化故障最小化----概率设计第五十九页，共74页。S6、故障最小化故障最小化----备用冗余λλ··n··sw第六十页，共74页。S6、故障最小化λλλv故障最小化----表决冗余第六十一页，共74页。S6、故障最小化故障最小化----筛选取参数参数限值检查和试验元件淘汰第六十二页，共74页。S6、故障最小化故障最小化----定期更换

使用制造商提供的故障及寿命数据

注意元件性能的降低和漂移

第六十三页，共74页。S6、故障最小化故障最小化----监控

四个功能检测、量度、判断、响应三大部分检知、判断、响应第六十四页，共74页。S7、告警

（1）视觉告警亮度颜色信号灯小旗和飘带标记标志书面警告（2）听觉告警（3）嗅觉告警（4）触觉告警（5）味觉告警

第五章事故预防与控制第六十五页，共74页。S7、告警

第五章事故预防与控制告警----安全色红色：禁止、停止、消防和危险黄色：注意