系统安全流程外文翻译资料

 2023-01-16 09:01

第三单元

系统安全流程

系统安全流程确实是一个容易理解的概念。总的目的是识别、消除或控制危害并减轻剩余的风险。该过程应将管理监督和工程分析相结合,以提供全面、系统的方法来管理系统风险。图3A.1详细介绍了此过程。

定义目标

darr;

系统描述

darr;

危害识别

darr;

风险评估

darr;

危害控制

darr;

验证控制

darr;

风险接受?—(不接受)→修改系统

(接受)

darr;

风险接受与逻辑原理文件

darr;

定期系统审查

图3A.1 系统安全流程

与任何问题一样,第一步是定义边界条件或分析目标,这就是需要保护的范围或级别,必须了解以什么代价需要怎样的安全水平。工程师需要回答这个问题:要多安全才足够安全?需要问的其他问题是:

  • 什么东西构成灾难性事故?
  • 什么东西构成重大事故?
  • 预防事故的费用是否可以接受?

大多数行业都以相同的方法来执行这一步。然而,它们如何区分灾难性、严重性、较小的和可忽略的危害可能会有所不同。工程师将需要修改定义以适合特定的问题。重要的是要在工作开始之前确定这些定义。每个方面的经验法则定义是:

灾难性——任何可能导致死亡或严重人员伤害或系统损失的事件(例如,无水氨油罐车翻倒,导致重大泄漏)。

严重性——可能导致严重伤害或关键任务硬件或高价设备丢失的任何事件(例如,调压器无法打开并导致远程液压管路过压,损坏设备并使系统停机几天)。

较小的——可能导致轻伤或轻度系统损坏但对任务没有重大影响的任何事件(例如,压力控制阀无法打开,导致压力下降和腐蚀性水平升高)。

可忽略的——不会导致伤害或系统损坏并且不影响任务的任何事件(例如,失去商业力量,导致自助餐厅关闭)

下一步是系统描述。应该花一些时间去了解系统如何工作以及硬件、软件、人员和环境如何相互作用。如果没有正确描述系统,则安全分析和控制程序会存在缺陷。

危害识别

危害识别是系统安全流程的关键部分。在没有先确定危害的情况下,实际上不可能充分保护系统或控制风险。安全工程中经常发生的一个错误是跳过此步骤或不给予足够的重视。危害识别过程是“安全头脑风暴”的一种。目的是识别尽可能多的危害。通过此过程,工程师将制定初步危害清单(PHL),稍后将评估对系统的影响。

为了开发PHL,工程师希望使用各种方法尽可能收集最详尽的清单。这可能包括:

  • 调查现场
  • 采访现场人员。
  • 召集技术专家小组。
  • 分析和比较相似的系统。
  • 识别代码,标准和规定。
  • 审查相关技术数据(电气和机械图纸,分析,操作员手册和程序,工程报告等)
  • 分析能源(电压/电流源,高温/低温源等)

下一步是分析确定的危害。危害分析是一种研究系统中潜在的危害的因果关系的技术,目的是使初步危害清单更深一层,并评估每种危害如何影响系统。这是灾难性的吗?或是严重性的?危害分析还将帮助工程师进一步评估哪些危害很重要,哪些不重要,因此不需要进一步研究。有多种危害分析技术通常在不同行业中使用。

在确定和分析危害之后,工程师需要控制危害的发生或减轻其影响。这是通过评估风险来完成的。危险可能发生吗?如果这样,事件将造成多大损失?工程师需要了解危害原因和后果之间的关系。通过这些信息,可以对相关风险进行排名,工程管理人员可以更好地确定哪些风险值得控制,哪些风险需要较少的关注。

危害控制

在评估风险并确定其重要性之后,工程师必须控制其影响。控制分为两大类:工程控制和管理控制。工程控制是硬件中的更改,可以消除危害或减轻其风险。工程控制的示例包括:在2000 psi的氧气系统中增加一个安全阀,在储油罐周围建立护堤,在爆炸性环境中仅使用密封开关,或在旋转机械中设置硬性挡块,以防止扭矩过大。

管理控制是对组织本身的更改。制定和实施工厂安全计划是对危害进行管理控制的好方法。一些例子是:使用生产线员工作为他们所在区域的安全代表;要求对任何工厂或系统的修改进行中间管理的审查和批准,以考虑安全隐患;或为所有工程变更单和图纸的安全工程师分配签名权限。

一旦实施了控制措施,就需要使用一种方法来验证控制措施是否确实控制了危害或将风险降低到可接受的水平。危害控制的验证通常通过公司或工程管理机构来完成。最常见的方式是检查。但是,众所周知,检查也是确保控制到位的最昂贵的方法之一。危害控制验证的有效方法是使用闭环跟踪和解决过程。

风险接受

安全仅仅与管理层想要做到的一样重要。在安全流程的这一点上,这变得显而易见。在对系统进行了研究并确定了危害之后,通过适当的控制措施进行了分析和评估,管理层必须对他们愿意承担哪些风险和不愿意承担哪些风险做出正式决定。至此,良好的成本效益分析将有助于管理层做出这一决定。有时这并不容易。

风险接受过程的一部分是系统的决策方法。如果风险是不可接受的,则必须修改系统,并且必须再次遵循危害识别过程。如果风险是可以接受的,则必须提供具有书面理由的良好文件,以防止发生责任索赔。

系统安全流程的关键点之一可能是它是一个闭环系统。这意味着工程和管理组织会定期审查安全程序,工程流程,管理组织和产品现场使用情况。由于安全问题,美国汽车业在汽车召回中损失了数十亿美元,其中一些本来可以通过定期检查产品使用情况而避免的。

第四单元

为什么我们需要一种新模式?

事故模型是为安全而进行的所有努力的基础:它们是(1)调查和分析事故(2)设计以防止未来的损失;(3)通过评估与活动,产品使用或系统操作相关的风险来确定系统是否适合使用。尽管您可能没有意识地意识到自己在从事这些活动时使用的是模型,但某些(也许是潜意识的)现象模型始终是过程的一部分。

模型之所以重要,是因为它们提供了一种理解现象的方式,并以可以与他人交流的方式记录了这种理解。要注意所有模型都是抽象的,它们通过抽象化被认为无关的细节并集中于被认为最相关的现象的特征来简化被建模的事物。在大多数情况下,选择过程是任意的,并且完全取决于建模者的选择,但是对于确定模型在预测未来事件中的有效性和准确性至关重要。

事故模型用于解释事故是如何发生的。所有事故模型的基本假设是,事故中存在常见的模式,而不仅仅是简单的随机事件。事故模型对事故施加模式,并影响任何安全分析中考虑的因素。因此,所使用的模型可以充当过滤器并偏向仅考虑某些事件和条件,也可以通过强制考虑经常被省略的因素来扩展活动。由于事故模型会影响归因于事故的原因,因此为防止将来发生事故而采取的对策,以及对操作系统风险的评估,模型的功能和特性,将极大地影响我们识别和控制危害并预防事故的能力。

最常见的系统安全事故模型源于工业安全,并认为事故是由一系列事件或一系列事件造成的。对于物理组件和相对简单的系统故障引起的损失,此类模型非常有效。但是自第二次世界大战以来,我们试图构建的系统类型以及构建它们的环境已经发生了变化。这些变化正在扩展当前事故模型和安全工程技术的范围:

  • 技术变革的快节奏:技术变革的速度要快于应对新技术的工程技术。如果将旧技术替换为新技术,则数百年来从设计中学到的预防事故的经验教训可能会丢失或失效。新技术将未知因素引入了我们的系统,甚至将未知数引入了未知数。在新技术的发展突飞猛进的同时,新产品的上市时间已大大缩短,并且存在进一步缩短这一时间的强大压力。在本世纪初,将基本技术发现转化为商业产品的平均时间为30年。今天,我们的技术将在两到三年内投放市场,并可能在五年内淘汰。我们不再拥有经过仔细测试的系统和设计的奢侈,他们可以在商业或科学使用之前了解所有潜在的行为和风险。
  • 事故性质的不断变化:数字技术在大多数工程领域掀起了一场悄然的革命,但系统工程和系统安全工程技术却未与时俱进。数字系统正在改变事故的性质。防止发生在机电组件上的事故的许多方法(例如复制组件以防止单个组件故障)在控制由于使用数字系统和软件而引起的事故方面均无效,对冗余和误解的过分自信软件实现功能的“故障”模式中的一些在最近的航空事故中起了重要作用,例如,阿丽亚娜5号首次失事。
  • 新型危害:最常见的事故模型基于以下基本假设:事故是不受控制的,不希望的能量释放或干扰正常能量流的结果。但是,我们对信息系统的日益依赖正在造成信息丢失或信息不正确的潜在危险,这些信息或错误信息可能导致不可接受的物理,科学或财务损失。当软件仅提供信息且不直接释放能量(某些应用程序中的普遍态度,例如空中交通管制)时,简单地否认软件对安全至关重要的“沙土”方法越来越受到关注。软件在以下方面起着越来越重要的作用。
  • 复杂性和耦合性不断提高:复杂性具有许多方面,其中大多数在我们正在构建的系统中都在增加,尤其是交互式复杂性。我们正在设计的系统中,组件之间可能存在潜在的相互作用,无法进行彻底的计划,理解,预期或防范。某些系统的操作是如此复杂,以至于除了少数专家之外,违背了所有其他专家的理解,有时甚至不完整有关其潜在行为的信息。在这里,软件是一个重要因素-它使我们能够在包含大量动态交互组件的系统中实施更集成的多环控制,其中紧密耦合使系统某一部分的中断或功能障碍的交互产生广泛的涟漪效应。问题是我们正在尝试构建超出我们的智力管理能力的系统:不断增加的交互复杂性和耦合性使设计人员难以考虑所有潜在的系统状态或操作员难以处理所有正常和异常情况和安全有效地进行骚扰。这种情况并不新鲜。纵观历史,发明和新技术常常超越其科学基础和工程知识,但结果一直是风险和事故增加,直到科学和工程赶上来。
  • 对单个事故的容忍度降低:由于我们构建的系统的成本和潜在的破坏性,事故造成的损失正在增加。我们的新科学技术发现不仅造成了新的或增加的危害(例如辐射暴露和化学污染),而且还提供了随着我们系统规模的扩大而伤害越来越多的人并通过环境污染和基因损伤对未来世代产生影响的手段。在这样一个时代,例如,航天器可能要花费10年才能造出高达10亿美元的资金,经济损失和科学发展潜力的丧失也在增加。从事故中学习(安全的飞行修正飞行方法)需要得到补充,并越来越强调预防第一个事故。
  • 人与自动化之间的关系更加复杂:人们越来越多地共享具有自动化的系统的控制权,并通过自动化实施决策而进入更高层次的决策制定位置。这些变化导致了新的人为错误类型,例如新型的模式混乱,以及新的人为错误分布,例如,遗漏与佣金的错误增加。所有人类行为都会受到其发生的环境的影响,高科技系统中的操作员通常会受其使用的自动化设计的支配。归因于操作员错误的许多近期事故可以更准确地标记为由有缺陷的系统,软件和界面设计引起的事故。人机之间的通信不足已成为事故中越来越重要的因素。
  • 不断变化的监管和公众对安全的看法:在当今复杂且相互关联的社会结构中,安全责任正在从个人转移到政府。个人不再具有控制周围风险的能力,并要求政府承担更大的责任,以通过法律以及各种形式的监督和管制来控制行为。随着公司面临着越来越大的压力,他们不得不满足上市时间和预算方面的压力,政府将不得不介入以提供公众需求的保护。另一种选择是个人和团体向法院寻求保护,这可能会产生更糟的潜在影响,例如由于担心诉讼而不必要地扼杀创新。

这些变化正在挑战我们的事故模型以及基于它们的事故预防和风险评估技术。需要使用危害分析和工程技术来处理我们正在构建的新型系统。本文认为,系统理论是此类技术的适当基础,提出了基于该理论的新事故模型,并描述了基于新模型的新事故分析和预防程序。

剩余内容已隐藏,支付完成后下载完整资料


资料编号:[239317],资料为PDF文档或Word文档,PDF文档可免费转换为Word

原文和译文剩余内容已隐藏,您需要先支付 30元 才能查看原文和译文全部内容!立即支付

以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。