A система можно определить как набор взаимозависимых компонентов, объединенных таким образом, чтобы выполнять заданную функцию в определенных условиях. В этом смысле машина является осязаемым и особенно ярким примером системы, но есть и другие системы, включающие мужчин и женщин в команду, мастерскую или фабрику, которые гораздо сложнее и не так легко поддаются определению. Сохранность предполагает отсутствие опасности или риска несчастного случая или вреда. Во избежание двусмысленности общее понятие нежелательное явление будет трудоустроен. Абсолютная безопасность в смысле невозможности возникновения более или менее неприятных инцидентов недостижима; на самом деле нужно стремиться к очень низкой, а не к нулевой вероятности нежелательных событий.
Данную систему можно рассматривать как безопасную или небезопасную только в отношении тех характеристик, которые от нее действительно ожидаются. Имея это в виду, уровень безопасности системы можно определить следующим образом: «Для любого заданного множества нежелательных событий уровень безопасности (или небезопасности) системы определяется вероятностью того, что эти события произойдут в течение заданного времени. промежуток времени". Примеры нежелательных происшествий, которые могли бы представлять интерес в данной связи, включают: многочисленные смертельные случаи, смерть одного или нескольких человек, серьезные травмы, легкие травмы, ущерб окружающей среде, вредное воздействие на живых существ, разрушение растений или зданий и крупные или ограниченный материальный ущерб или повреждение оборудования.
Цель анализа системы безопасности
Целью анализа безопасности системы является установление факторов, влияющих на вероятность нежелательных событий, изучение того, как эти события происходят, и, в конечном счете, разработка превентивных мер для снижения их вероятности.
Аналитическая фаза проблемы может быть разделена на два основных аспекта:
- идентификация и описание Типы дисфункции или дезадаптации
- идентификация последовательности дисфункций, которые сочетаются друг с другом (или с более «нормальными» явлениями), чтобы в конечном итоге привести к самим нежелательным явлениям, и оценке их вероятности.
После изучения различных нарушений функций и их последствий аналитики системной безопасности могут обратить свое внимание на превентивные меры. Исследования в этой области будут основываться непосредственно на ранее полученных данных. Это исследование превентивных средств следует двум основным аспектам анализа безопасности системы.
Методы анализа
Анализ безопасности системы может проводиться до или после события (априорно или апостериорно); в обоих случаях используемый метод может быть как прямым, так и обратным. Априорный анализ имеет место до нежелательного события. Аналитик берет определенное количество таких случаев и намеревается обнаружить различные стадии, которые могут привести к ним. Напротив, апостериорный анализ проводится после того, как произошло нежелательное событие. Его цель состоит в том, чтобы дать руководство на будущее и, в частности, сделать любые выводы, которые могут быть полезны для любых последующих априорных анализов.
Хотя может показаться, что априорный анализ гораздо более ценен, чем апостериорный, поскольку он предшествует происшествию, на самом деле они дополняют друг друга. Какой метод используется, зависит от сложности задействованной системы и от того, что уже известно о предмете. В случае материальных систем, таких как машины или промышленные объекты, предыдущий опыт обычно может помочь в подготовке довольно подробного априорного анализа. Однако даже в этом случае анализ не всегда безошибочен, и, несомненно, будет полезен последующий апостериорный анализ, основанный главным образом на изучении инцидентов, происходящих в ходе эксплуатации. Что касается более сложных систем с участием людей, таких как рабочие смены, мастерские или фабрики, то апостериорный анализ еще более важен. В таких случаях прошлого опыта не всегда достаточно для детального и надежного априорного анализа.
Апостериорный анализ может перерасти в априорный анализ, поскольку аналитик выходит за рамки одного процесса, который привел к рассматриваемому происшествию, и начинает изучать различные события, которые могут обоснованно привести к такому или подобным инцидентам.
Еще один способ, которым апостериорный анализ может стать априорным, — это когда акцент делается не на происшествии (предотвращение которого является основной целью текущего анализа), а на менее серьезных происшествиях. Эти инциденты, такие как технические неполадки, материальный ущерб и потенциальные или незначительные аварии, сами по себе относительно малозначительные, могут быть идентифицированы как предупредительные признаки более серьезных происшествий. В таких случаях, хотя и проведенный после возникновения незначительных происшествий, анализ будет априорным анализом в отношении более серьезных происшествий, которые еще не произошли.
Есть два возможных метода изучения механизма или логики последовательности двух или более событий:
- Ассоциация направлятьили индуктивный, метод начинается с причин, чтобы предсказать их последствия.
- Ассоциация обратныйили дедуктивный, метод рассматривает следствия и работает в обратном направлении к причинам.
На рис. 1 представлена схема схемы управления, требующей двух кнопок (B1 и B2) нужно нажать одновременно, чтобы активировать катушку реле (R) и запустить машину. Этот пример может быть использован для практической иллюстрации направлять и обратный методы, используемые при анализе безопасности системы.
Рис. 1. Двухкнопочная схема управления
Прямой метод
В прямой методаналитик начинает с (1) перечисления ошибок, дисфункций и неправильных приспособлений, (2) изучения их последствий и (3) определения того, представляют ли эти последствия угрозу безопасности. В случае рисунка 1 могут возникнуть следующие неисправности:
- обрыв провода между 2 и 2´
- непреднамеренный контакт в точке C1 (или С2) в результате механической блокировки
- случайное закрытие B1 (или Б2)
- короткое замыкание между 1 и 1´.
Затем аналитик может сделать вывод о последствиях этих ошибок, а результаты можно представить в табличной форме (таблица 1).
Таблица 1. Возможные неисправности двухкнопочной схемы управления и их последствия
Неисправности |
Последствия |
Обрыв провода между 2 и 2' |
Невозможно запустить машину* |
Случайное закрытие B1 (или Б2 ) |
Нет немедленных последствий |
Контакт в С1 (или С2 ) в результате |
Никаких немедленных последствий, но возможность |
Короткое замыкание между 1 и 1' |
Срабатывание катушки реле R — случайный пуск |
* Возникновение с прямым влиянием на надежность системы
** Происшествие, ответственное за серьезное снижение уровня безопасности системы.
*** Следует избегать опасных происшествий
См. текст и рисунок 1.
В таблице 1 последствия, представляющие опасность или способные серьезно снизить уровень безопасности системы, могут быть обозначены условными знаками типа ***.
Примечание: В таблице 1 разрыв провода между 2 и 2´ (показан на рис. 1) приводит к происшествию, которое не считается опасным. Это не оказывает прямого влияния на безопасность системы; однако вероятность возникновения такого инцидента имеет прямое отношение к надежности системы.
Прямой метод особенно подходит для моделирования. На рис. 2 показан аналоговый тренажер, предназначенный для изучения безопасности цепей управления прессом. Моделирование схемы управления позволяет убедиться, что при отсутствии неисправности схема действительно способна обеспечить требуемую функцию без нарушения критериев безопасности. Кроме того, симулятор может позволить аналитику вносить неисправности в различные компоненты схемы, наблюдать за их последствиями и, таким образом, отличать правильно спроектированные схемы (с небольшим количеством опасных неисправностей или без них) от плохо спроектированных схем. Этот тип анализа безопасности также может быть выполнен с использованием компьютера.
Рис. 2. Тренажер для исследования цепей управления прессом
Обратный метод
В обратный методаналитик работает в обратном направлении от нежелательного события, инцидента или аварии к различным предыдущим событиям, чтобы определить, какие из них могут привести к событиям, которых следует избегать. На рисунке 1 конечным событием, которого следует избегать, будет непреднамеренный запуск машины.
- Запуск машины может быть вызван неконтролируемым включением катушки реле (R).
- Активация катушки может, в свою очередь, произойти в результате короткого замыкания между 1 и 1´ или из-за непреднамеренного и одновременного замыкания выключателей C.1 и C2.
- Непреднамеренное закрытие C1 может быть следствием механической блокировки C1 или случайного нажатия B1. Аналогичные рассуждения применимы к C2.
Результаты этого анализа могут быть представлены в виде диаграммы, напоминающей дерево (по этой причине обратный метод известен как «анализ дерева отказов»), как показано на рисунке 3.
Рисунок 3. Возможная цепочка событий
Схема следует за логическими операциями, наиболее важными из которых являются операции «ИЛИ» и «И». Операция «ИЛИ» означает, что [X1] произойдет, если имеет место либо [A], либо [B] (или оба). Операция «И» означает, что перед [X2] должно иметь место как [C], так и [D] (см. рис. 4).
Рисунок 4. Представление двух логических операций
Обратный метод очень часто используется при априорном анализе материальных систем, особенно в химической, авиационной, космической и атомной промышленности. Он также оказался чрезвычайно полезным в качестве метода расследования промышленных аварий.
Хотя они очень разные, прямой и обратный методы дополняют друг друга. Прямой метод основан на наборе неисправностей или дисфункций, поэтому ценность такого анализа во многом зависит от релевантности различных дисфункций, учитываемых на начальном этапе. В этом свете обратный метод кажется более систематическим. Зная, какие типы несчастных случаев или инцидентов могут произойти, аналитик теоретически может применить этот метод, чтобы вернуться ко всем дисфункциям или комбинациям дисфункций, способным их вызвать. Однако, поскольку все опасные варианты поведения системы не обязательно известны заранее, их можно обнаружить прямым методом, например, с помощью моделирования. Как только они будут обнаружены, опасности могут быть проанализированы более подробно обратным методом.
Проблемы анализа безопасности систем
Описанные выше аналитические методы — это не просто механические процессы, которые нужно применять только автоматически, чтобы сделать полезные выводы для повышения безопасности системы. Наоборот, аналитики в ходе своей работы сталкиваются с рядом проблем, и полезность их анализа во многом будет зависеть от того, как они приступят к их решению. Некоторые типичные проблемы, которые могут возникнуть, описаны ниже.
Понимание исследуемой системы и условий ее работы
Фундаментальными проблемами любого системного анализа безопасности являются определение изучаемой системы, ее ограничений и условий, в которых она должна работать на протяжении всего своего существования.
Если аналитик принимает во внимание слишком ограниченную подсистему, результатом может быть принятие ряда случайных превентивных мер (ситуация, в которой все направлено на предотвращение определенных типов событий, в то время как не менее серьезные опасности игнорируются или недооцениваются). ). Если, с другой стороны, рассматриваемая система является слишком всеобъемлющей или общей по отношению к данной проблеме, это может привести к чрезмерной расплывчатости концепции и ответственности, и анализ может не привести к принятию соответствующих превентивных мер.
Типичным примером, иллюстрирующим проблему определения изучаемой системы, является безопасность промышленных машин или установок. В такой ситуации у аналитика может возникнуть соблазн рассмотреть только фактическое оборудование, упуская из виду тот факт, что оно должно эксплуатироваться или контролироваться одним или несколькими людьми. Упрощение такого рода иногда допустимо. Однако необходимо анализировать не только машинную подсистему, но и всю систему «рабочий плюс машина» на различных этапах жизненного цикла оборудования (включая, например, транспортировку и погрузочно-разгрузочные работы, сборку, испытания и настройку, нормальную эксплуатацию). , техническое обслуживание, разборка и, в некоторых случаях, уничтожение). На каждом этапе машина является частью определенной системы, назначение и режимы функционирования и неисправности которой совершенно отличны от таковых у системы на других этапах. Поэтому он должен быть спроектирован и изготовлен таким образом, чтобы обеспечить выполнение требуемой функции в хороших условиях безопасности на каждом из этапов.
В более общем плане, что касается исследований безопасности на предприятиях, существует несколько системных уровней: машина, рабочее место, смена, отдел, фабрика и фирма в целом. В зависимости от того, какой системный уровень рассматривается, возможные типы дисфункции и соответствующие превентивные меры весьма различны. Хорошая профилактическая политика должна учитывать дисфункции, которые могут возникать на различных уровнях.
Условия работы системы могут быть определены с точки зрения того, как система должна функционировать, и условий окружающей среды, которым она может подвергаться. Это определение должно быть достаточно реалистичным, чтобы учитывать фактические условия, в которых, вероятно, будет работать система. Система, которая очень безопасна только в очень ограниченном рабочем диапазоне, может быть не такой безопасной, если пользователь не может удержаться в предписанном теоретическом рабочем диапазоне. Таким образом, безопасная система должна быть достаточно надежной, чтобы выдерживать разумные изменения условий, в которых она функционирует, и должна допускать определенные простые, но предсказуемые ошибки со стороны операторов.
Моделирование системы
Часто бывает необходимо разработать модель для анализа безопасности системы. Это может вызвать определенные проблемы, которые стоит изучить.
Для краткой и относительно простой системы, такой как обычная машина, модель почти напрямую выводится из описания материальных компонентов и их функций (двигатели, трансмиссия и т. д.), а также того, как эти компоненты взаимосвязаны. Количество возможных режимов отказа компонентов также ограничено.
Особую проблему представляют современные машины, такие как компьютеры и роботы, которые содержат сложные компоненты, такие как микропроцессоры и электронные схемы с очень большой степенью интеграции. Эта проблема не была полностью решена ни с точки зрения моделирования, ни с точки зрения прогнозирования различных возможных режимов отказа, поскольку в каждом кристалле очень много элементарных транзисторов и из-за использования различных видов программного обеспечения.
Когда анализируемой системой является человеческая организация, интересная проблема, возникающая при моделировании, заключается в выборе и определении определенных нематериальных или не полностью материальных компонентов. Конкретная рабочая станция может быть представлена, например, системой, включающей рабочих, программное обеспечение, задачи, машины, материалы и среду. (Компонент «задача» может оказаться трудным для определения, поскольку учитывается не предписанная задача, а задача в том виде, в каком она фактически выполняется).
При моделировании человеческих организаций аналитик может решить разбить рассматриваемую систему на информационную подсистему и одну или несколько подсистем действий. Анализ сбоев на различных этапах информационной подсистемы (сбор, передача, обработка и использование информации) может быть весьма поучительным.
Проблемы, связанные с несколькими уровнями анализа
Проблемы, связанные с многоуровневым анализом, часто возникают из-за того, что, начиная с нежелательного события, аналитик может возвращаться к событиям, которые становятся все более и более отдаленными во времени. В зависимости от рассматриваемого уровня анализа характер возникающих дисфункций различается; то же самое относится и к профилактическим мерам. Важно иметь возможность решить, на каком уровне следует прекратить анализ и на каком уровне следует предпринять превентивные действия. Примером может служить простой случай несчастного случая в результате механической неисправности, вызванной повторным использованием машины в ненормальных условиях. Это могло быть вызвано отсутствием обучения оператора или плохой организацией работы. В зависимости от рассматриваемого уровня анализа, необходимыми предупредительными действиями могут быть замена машины другой машиной, способной выдерживать более жесткие условия эксплуатации, использование машины только в нормальных условиях, изменения в обучении персонала или реорганизация предприятия. работай.
Эффективность и объем меры пресечения зависят от уровня, на котором она вводится. Превентивные действия в непосредственной близости от нежелательного явления, скорее всего, окажут прямое и быстрое воздействие, но их последствия могут быть ограниченными; с другой стороны, при анализе событий в разумной степени в обратном направлении можно будет найти типы дисфункций, которые являются общими для многочисленных несчастных случаев. Любое превентивное действие, предпринятое на этом уровне, будет гораздо шире по масштабу, но его эффективность может быть менее прямой.
Принимая во внимание, что существует несколько уровней анализа, может также существовать множество моделей превентивных действий, каждая из которых несет свою долю работы по предотвращению. Это чрезвычайно важный момент, и достаточно вернуться к рассматриваемому в настоящее время примеру несчастного случая, чтобы оценить этот факт. Предложение о замене машины другой машиной, способной выдерживать более суровые условия эксплуатации, возлагает на машину бремя предотвращения. Решение о том, что машину следует использовать только в нормальных условиях, означает возложение ответственности на пользователя. Таким же образом ответственность может быть возложена на обучение персонала, организацию работы или одновременно на машину, пользователя, функцию обучения и функцию организации.
На любом заданном уровне анализа несчастный случай часто оказывается следствием сочетания нескольких дисфункций или неадекватности. В зависимости от того, предпринимаются ли действия по одной или другой дисфункции или по нескольким одновременно, схема предпринятых профилактических действий будет различаться.