第一节 概述
安全系统工程是从系统的观点出发,应用系统工程的方法,不断优化系统总体安全性能的一门边缘学科。“系统的观点”是指从整体的观点、相互联系的观点来看问题。任何系统都不是孤立的,不仅内部各子系统之间相互关联、相互作用、相互制约,它还与周围的环境有关联。“系统工程方法”就是一整套科学的思维方法、工作程序和工作方法。安全系统工程以相关工程技术、人机工程学、医学以及社会科学(管理学、法律、经济学等)的知识为基础,强调“以人为本”、系统分析”、及时评价”、综合控制”、不断优化”。本章重点在阐述基本概念、容易被忽略的重要问题和电力工业中正在引起重视的发展方向。
第二节 安全基本理论
安全基本理论主要讨论安全和事故定义、事故模式、事故规律或法则以及事故预防原理等,它是安全系统工程的基础。各种事故模式和法则很多,如骨牌论、人误论、三角形法则等,各有背景和应用限制。本节着重阐明事故和安全的基本概念。
事故是系统运行过程中发生的意外的、突发的事件的统称,通常会使系统的正常运行中断、造成人员伤亡和财产损失等不良后果。
事故有如下特性:
(1)事故是随机事件,有偶然性,较难确切预料。但随机事件也是有规律的,通常遵循“大数规律”。由大量事故统计的结果,可以发现事故的多发时间段、事故的多发区域、危险作业以及事故倾向型人员。
(2)事故又是一个动态过程,有萌发(通常叫异常)、发展、临界、突变四个阶段。把事故扼杀在萌发状态是最重要的。
(3)事故的发生有它的必然性,这是因为系统内潜在着各种不安全因素,消除和控制这些不安全因素就能控制、防止事故的发生(不包括有意的人为破坏)。
寻找事故规律是预测、预防事故的根本,但它必须依赖于对已发生事故的统计、分析、评价和管理。而后者又促进事故理论的深化和发展,从而有力地指导事故的预测和预防。
尽管有各种各样关于安全的定义和理解,但从系统工程的观点,应给安全作如下定义:安全是指任何一个运行中的系统在规定的条件下,使事故的风险被控制在可接受的水平这样一种状态。
上述定义意味着如下一些重要概念:
一、安全的对立面是风险,不是事故
生,后果很严重,其潜在风险是很大的。必须重视这类频率小而危害大的事故,但也不能轻视频发的、后果不严重或无显见后果的事件。
二、安全是可以量化的
风险是概率,有具体数值。认为安全无法量化的观点是错误的。安全可用风险值来量度,因此,各种不安全因素之间就有了可比性,这是安全决策的需要,也是人们对安全认识的深化。当风险值可以被人们接受时,就认为是安全的。
三、可接受的风险值
系统中操作人员能接受、公众也认可的风险值是可接受的风险值,它不是个人主观臆断而是受当时的客观条件限制的。这些条件包括:时间、成本、当时的科技水平,人们对安全的需要程度等。不同时代、不同系统、不同作业、不同人员可接受的风险值是不同的。在特殊情况下(如战争、天灾、特殊需要等)可以提高可接受的风险值,但不能影响系统的功能。一般情况下,应尽量设法降低可接受的风险值,但不可脱离现实。
四、系统的风险是动态的
因为系统中的机(设备、工具等)的性能由于老化、磨损、更新等因素而变化,环境在系统运行过程中也可能有变化,操作者生理、心理变化对系统影响更大,有时可因人失误而导致事故发生或扩大,有时也可因人及时控制而使事故不发生或不发展。始终把风险值控制在可接受的水平是安全工作者的任务。
第三节 系统安全分析
系统安全是指系统的整体安全,系统安全分析是分析系统中所有的不安全因素,以便进行安全性评价。分析的方法很多,电力工业中常用的有安全检查表、事故树分析、事件树分析等。在此不一一列举。
传统的安全分析往往偏重于对硬件本身的可靠性分析,而忽略对人和软件的分析。但是
随着科学技术的发展,硬件可靠性日益提高,硬件失灵、失效的机率越来越小,而由于人员操作失误或违章导致的人因事故相对上升。根据国电公司“安全情况通报”1999年1月~2000年6月报导的严重设备损坏事故和人身伤亡事故,分析其事故原因,人因事故约占80%。所以,必须重视对人因素的分析(或叫“人的可靠性分析”)。另一方面,各种软件(如:规章制度、系统操作规程、计算机软件等)也影响系统安全,特别是由于计算机技术迅猛发展,许多人的操作(包括指挥)都有计算机参与或替代,这又带来了计算机软件安全性问题。下面就着重讨论人的可靠性和计算机软件的安全性。
一、人的可靠性分析
当要了解一个运行中的系统时,很习惯于看设备说明书,了解它的性能、运行史、可能的故障、使用须知等等,但还不大习惯去了解该系统中人的特性、人的可靠性,或者还不大清楚应该了解哪些方面。系统中,人是最可靠的也是最不可靠的因素,分析人的可靠性是重要的、必需的,也是很困难的,是当今安全研究的热点。关于和安全有关的人的生理、心理特点,以及与人的可靠性有关的因素,这里只强调以下几点。
(1)团队心理倾向。人的行为受人体生物节律、工作应激因素、社会应激因素的影响很大。要分析运行系统中运行人员集体(团队)受到的应激因素是哪些;团队中各人员的生物节律是否比较相似(若比较相似,则失误的机率就大些);团队内是否有较多人员的性格比较相似(这样也不利于团队内协作)等。要特别注意团队内人员的心理失衡情况。心理失衡最易导致团队内不团结、我行我素、意志涣散等不良倾向,不仅容易发生人失误事件,甚至会导致人为破坏事件。这方面过去重视不够,在当今社会竞争愈来愈激烈的时代,心理失衡对运行安全的影响必须引起足够的重视,尤其是团队心理失衡倾向,这是最可怕的。当然,积极向上、协同作战的团队精神又是最可宝贵的,可以避免许多事故的发生。
(2)人机匹配。一方面是由于人机工程设计只能满足人的普遍生理、心理特性,而人有个体差异。所以,对一般人而言,某系统的人机匹配是满足安全要求的,但对某些人,它可能不满足。另一方面,人机工程设计不可能尽善尽美,到运行时会出现新的问题。所以,必须进行运行阶段的人机匹配分析,以避免潜在的不安全因素。
(3)人的主观能动性。人有主观能动性,因而能控制异常情况,避免事故发展,或减少事故后果的严重程度。人的主观能动性是人的可靠性分析的重要因素。目前在人因分析方面存在一个误区,就是只分析人对事故的负面影响,而忽略了正面影响,以致在对人作可靠性定量评价时找不到这方面的数据。对此应引起足够重视。
二、计算机软件安全性分析
计算机软件安全性是指软件不含有可能引起系统损失和人员伤亡的缺陷的能力,或者说软件的缺陷导致的风险在可接受的水平。它是整个系统安全性的一部分。过去人们对计算机软件安全性缺乏认识,在安全性分析中常常将其忽略,或者把它视为安全的(人为确定在可接受水平)。而对计算机安全性,只从电子部件等硬件角度去分析。近年来,大量控制功能的计算机软件引起重大事故,使人们越来越重视计算机软件的安全性;另一方面,计算机软件的保密性也日益受到人们的重视。软件保密性是指软件免于被未授权者使用、修改或蓄意破坏的程度,它与安全性息息相关,也可把它视为安全性的另一含义。计算机在电力系统中的应用越来越广泛,不仅用于系统控制、指挥、监测,将来还有可能发展到无纸化操作,例如用计算机办理工作票。所以,不仅在软件开发时要做安全性分析,在移用现成软件于安全相关功能时,也必须作安全性分析和测试,其中包括保密安全性测试。
根据2002年1月14日《中国电力报》报导,有人在故障录波器的在线软件中设置了“逻辑炸弹”,而这种故障录波器却正被23个省市147个变电所使用,一旦电网发生故障,“逻辑炸弹”会使故障录波器对电网故障的监测失效,严重影响对故障原因的分析,极不利于大电网的运行安全。设置“逻辑炸弹”是一定要防止的。这一事件充分说明了软件安全性分析和测试的重要性和必要性。
第四节 安全性评价
安全性评价也就是风险评价,是安全系统工程的重要组成部分。评价不是目的而是手段。根据评价结果,采取对策,把风险控制在可接受水平才是目的。
评价应贯穿于工程的任何阶段,从可行性研究、设计、制造、调试直至运行阶段。每个阶段的关键过程也要进行评价。对运行中系统进行评价有着双重意义,不但可优化当前运行安全状态,还可把评价结果反馈给前面的各阶段,最终优化系统运行安全。
评价对象应包括硬件(设备、环境)、软件(管理、规程、计算机软件等)和操作人员。
一、评价的程序
(1)组成相对独立的评价小组,即工作组人员应与被评价的对象无关。成员中应包括相应专业的专家、有经验的安全工作者,必要时邀请有经验的运行人员参加讨论。
(2)根据有关安全的国际标准、国家标准或行业标准以及现实经济技术条件,制定评价准则,可以是定性的,也可以是合适的具体风险值,并经审查批准。
(3)确定评价方法和步骤。
(4)实施评价(包括企业自查和专家评价)。写出评价报告,包括评价结论、改进措施。
(5)进行整改。
(6)复查。反馈。
二、评价方法
评价方法有定性评价和定量评价两种,这两种方法不是绝对独立的,而是互为补充和依赖的。定性评价常引入各种量化方法(评分法、统计法等)。这种方法直观、可操作性强、成本较低,但评价结果的可比性较差,也较多依赖于评价者的主观性。定量评价主要就是概率安全分析。它是逻辑分析和数学计算的结合,可直接算出风险值,并与预定风险值比较。它的优点是可比性强,不同设备之间或设备和人员之间都可以风险值相比,便于安全决策。但具体计算中依赖于实践统计数据和专家判断数据,其计算结果具有不确定性,计算难度大。目前,不管是设备的定量安全性评价,还是人员的定量安全性评价,都还处在发展完善阶段。定量评价国外近年来发展迅速,尤其是在航空、航天、电力、化工等工业中。随着计算机技术迅速发展,定量安全评价中的许多困难将逐步解决。
三、操作人员安全性评价
在我国,由于认识上的不足和分析、计算方面的困难,使得对于运行系统中起主要作用的操作人员的安全性评价常常被忽略。但是,人因事故的惨重后果正唤醒人们重视这方面的研究和实践。这里仅对国外常用的两种定量评价方法的基本思路作简要介绍,可能对于作定性的人员安全性评价和全面安全管理也有帮助。
在现代人机系统中,最普遍的作业可归结为两类,一类是系列操作型的,另一类是认知判断型的。电力系统的作业也基本上属于这两大类。
1.系列操作型作业的安全性评价
假定作业是由一系列读数和操作等动作完成的。通过定性分析和逻辑推理建立人员动作的事件树,描述人员动作。每一动作一个分叉,按时间为序;对每一分叉,又分两种状态扩展,成功和失败两种可能状态;最终给出某种作业过程的事件树,便可描述作业中所有动作可能的成功和失败的概率。其中基本的失误概率由专家根据“平均工业条件下”人员执行一个单独动作的失误概率给出。再用下列四个修正因子进行修正:
(1)行为形成因子。考虑了人的生理、心理因素,应激因素,团队因素等。
(2)相关因子。考虑了每个动作成功与失败概率和其他动作的关联。
(3)恢复因子。考虑人的主观能动性有时能弥补失误后果,也包括一些防误装置的作用。
(4)基本人误概率的修正。考虑了基本人误概率不同的专家判断数据之间的差异。
2.认知判断型作业的安全性评价
当使用计算机替代人员操作时,人的作用由一系列操作变为综合认知判断,从而进行控制。当异常情况发生时,运行人员必须在规定时间内完成正确判断和控制,否则就是失误。这种失误常常分为三类:基于认知的、基于规程的和基于技能的。假设失误概率服从威布尔分布,其中的参数由模拟机实验和实践统计的数据给出,或根据专家判断,就能算出失误的概率,再利用各种修正因子进行修正。
第五节 综合安全管理
从人、机、环境三要素互相关联、互相制约的观点,从提高系统整体安全的观点来进行综合安全管理,不但要不断提高人的工作能力,使之减少失误,并能防止事故和减少事故后果;同时,要提高硬件和软件的安全性,以减少失效、故障,并防止有意破坏;要改善作业环境,尽可能排除不利于人员操作和机器运行的因素。因此,既要从组织体制上完善安全保证体系和安全监察体系,还要不断利用现代安全技术来提高系统的固有安全性。即依靠系统自身的安全设计,使得即使在机器发生故障或人员误操作,乃至在出现不可预测的意外时,仍能保持系统安全。同时要应用现代化安全工器具(如各种防误装置)来防止事故发生和减少事故后果。
在种种管理措施中,应特别强调人员管理和事故管理。
一、系统化的人员管理
要用系统化的方法进行人员管理。首先是分析岗位需要和作业需要。根据分析结果,定出各种作业人员应具备的工作能力,包括:健康条件、知识、技能、态度(主动精神、安全责任感等),对安全重要岗位还应提出心理素质要求,以避免事故倾向型人员上岗。根据工作能力招聘和选拔操作人员。再根据岗位作业需要和招选来的人员实际情况,制定各类培训大纲,包括上岗(或授权)培训大纲、定期继续培训大纲、在岗培训大纲,以保证每位上岗人员都具备必需的工作能力,并始终保持其工作能力,还力求有所扩展,以满足发展的需要。对培训大纲要定期评价它的合适性和有效性,根据评价结果不断改进人员培训工作。
二、系统化的事故管理
从长远观点、全局观点(本单位、电力行业)建立事件数据库。分别处理(分析、统计等)已发生的事故和“前级事件”(未遂的、潜在的、起源的事件)。在处理时,应考虑到安全性评价的需要,如:列出事故的起因事件、发展事件、以及触发原因、根本原因;对人因事件,列出人员失误的类型,如读数错误、控制错误、由于规程导致的错误、由于操作技能导致的错误和认知错误、判断错误等;以及有意破坏的人因事故。还要统计由于人的主观能动性而及时控制住了的事件或减少事故损失的事件。这样长期坚持下去,定能积累大量可供定性、定量评价的有用数据。建库是一项很有意义的系统工程,它将为电力工业的安全作出重大贡献。安全工作是一项富有挑战性的、有广阔开发前景的事业,而不是可有可无或不能做出重大成绩的小事。
安全文化网 www.anquan.com.cn上一篇:企业安全生产规章制度建设