打印此頁
週一,4月04 2011 16:56

系統分析

評價這個項目
(0票)

A 系統 可以定義為一組相互依賴的組件,這些組件以在指定條件下執行給定功能的方式組合在一起。 從這個意義上說,機器是系統的有形且特別明確的例子,但還有其他系統,涉及團隊或車間或工廠中的男性和女性,這些系統要復雜得多,也不容易定義。 安全指引 表示不存在事故或傷害的危險或風險。 為了避免歧義,一個的一般概念 不想要的發生 將被雇用。 絕對的安全,從或多或少的不幸事件不可能發生的意義上說,是不可能實現的; 實際上,人們必須以非常低而不是零的意外事件概率為目標。

一個給定的系統可能被認為是安全的或不安全的,僅就其實際預期的性能而言。 考慮到這一點,系統的安全級別可以定義如下:“對於任何給定的意外事件集,系統的安全(或不安全)級別取決於這些事件在給定時間內發生的概率。一段的時間”。 在目前的聯繫中會引起關注的意外事件的例子包括:多人死亡、一人或多人死亡、重傷、輕傷、環境破壞、對生物的有害影響、工廠或建築物的破壞以及重大或有限的材料或設備損壞。

安全系統分析的目的

系統安全分析的目的是確定影響意外事件發生概率的因素,研究這些事件發生的方式,並最終制定預防措施以降低其發生概率。

問題的分析階段可以分為兩個主要方面:

  1. 的識別和描述 類型 功能障礙或失調
  2. 的識別 序列 一種與另一種(或更多“正常”事件)相結合最終導致不希望的事件本身的功能障礙,以及對其可能性的評估。

 

一旦研究了各種功能障礙及其後果,系統安全分析師就可以將注意力轉移到預防措施上。 該領域的研究將直接基於早期的發現。 預防措施的調查遵循系統安全分析的兩個主要方面。

分析方法

系統安全分析可以在事件發生之前或之後進行(先驗或後驗); 在這兩種情況下,所使用的方法可能是直接的,也可能是相反的。 先驗分析發生在意外發生之前。 分析家採取一定數量的此類事件,並著手發現可能導致這些事件發生的各個階段。 相比之下,後驗分析是在意外事件發生後進行的。 其目的是為未來提供指導,特別是得出可能對任何後續先驗分析有用的任何結論。

雖然看起來先驗分析比後驗分析更有價值,因為它先於事件發生,但兩者實際上是互補的。 使用哪種方法取決於所涉及系統的複雜性以及關於該主題的已知信息。 對於機器或工業設施等有形系統,以前的經驗通常可以用來準備相當詳細的先驗分析。 然而,即便如此,該分析也不一定是萬無一失的,並且肯定會受益於主要基於對操作過程中發生的事件的研究的後續後驗分析。 對於更複雜的涉及人的系統,如輪班、車間或工廠,後驗分析就更為重要。 在這種情況下,過去的經驗並不總是足以進行詳細和可靠的先驗分析。

後驗分析可能會發展成先驗分析,因為分析人員會超越導致所討論事件的單一過程,並開始調查可能合理地導致此類事件或類似事件的各種事件。

後驗分析成為先驗分析的另一種方式是,重點不是放在發生的事件上(其預防是當前分析的主要目的),而是放在不太嚴重的事件上。 這些事件,例如技術故障、材料損壞和潛在或輕微事故,本身意義不大,但可被識別為更嚴重事件的警告信號。 在這種情況下,雖然是在小事件發生之後進行的,但分析將是對尚未發生的更嚴重事件的先驗分析。

研究兩個或多個事件序列背後的機製或邏輯有兩種可能的方法:

  1. 直接, 或者 感應的, 方法從原因開始,以預測其影響。
  2. 反轉, 或者 演繹, 方法著眼於結果並回溯到原因。

 

圖1是需要兩個按鈕的控制電路圖(B1 和B.2) 同時按下以激活繼電器線圈 (R) 並啟動機器。 這個例子可以用來說明,在實踐中, 直接反轉 系統安全分析中使用的方法。

圖 1. 雙按鈕控制電路

SAF020F1

直接法

直接法,分析人員首先 (1) 列出故障、功能障礙和失調,(2) 研究它們的影響,以及 (3) 確定這些影響是否對安全構成威脅。 在圖1的情況下,可能會出現以下故障:

  • 2 和 2' 之間的導線斷裂
  • C 處的無意接觸1 (或 C2) 由於機械阻塞
  • B 意外關閉1 (或乙2)
  • 1 和 1´ 之間短路。

然後,分析人員可以推斷出這些故障的後果,並且可以以表格形式列出結果(表 1)。

表 1. 雙按鈕控制電路可能出現的功能障礙及其後果

故障

後果

在 2 和 2' 之間斷開電線

無法啟動機器*

B 意外關閉1 (或乙2 )

沒有直接後果

C處聯繫1 (或 C2 ) 後果
機械阻塞

沒有直接後果,但有可能
機器被簡單地通過壓力啟動 
按鈕 B2 (或乙1 )**

1和1'之間短路

繼電器線圈R的激活——意外啟動
機器***

* 對系統可靠性有直接影響的事件
** 導致系統安全級別嚴重降低的事件
*** 要避免的危險事件

見正文和圖 1。

在表 1 中,危險的或可能嚴重降低系統安全等級的後果可以用 *** 等常規符號表示。

注意: 在表 1 中,2 和 2' 之間的導線斷裂(如圖 1 所示)會導致不被視為危險的情況。 對系統安全無直接影響; 然而,此類事件發生的概率直接關係到系統的可靠性。

直接法特別適用於模擬。 圖 2 顯示了設計用於研究沖壓控制電路安全性的模擬模擬器。 控制電路的仿真可以驗證,只要沒有故障,電路實際上能夠在不違反安全標準的情況下確保所需的功能。 此外,模擬器可以讓分析人員在電路的各個組件中引入故障,觀察它們的後果,從而區分那些設計正確(很少或沒有危險故障)的電路和那些設計不當的電路。 這種類型的安全分析也可以使用計算機進行。

圖 2. 用於研究壓力控制電路的模擬器

SAF020F2

逆向法

逆向法,分析人員從不希望發生的事件、事件或事故向後工作,朝著各種先前的事件確定哪些事件可能導致要避免的事件。 在圖 1 中,要避免的最終情況是機器意外啟動。

  • 機器的啟動可能是由於繼電器線圈 (R) 不受控制地激活而引起的。
  • 反過來,線圈的激活可能是由於 1 和 1' 之間的短路或開關 C 的無意同時閉合引起的1 和C.2.
  • 意外關閉 C1 可能是 C 的機械阻塞的結果1 或意外按下 B1. 類似的推理適用於 C2.

 

這種分析的結果可以用類似於樹的圖表表示(因此反向方法被稱為“故障樹分析”),如圖 3 所示。

圖 3. 可能的事件鏈

SAF020F4

該圖遵循邏輯運算,其中最重要的是“或”和“與”運算。 “或”運算表示 [X1] 將在 [A] 或 [B](或兩者)發生時發生。 “AND”運算表示在 [X2] 可能發生,[C] 和 [D] 都必鬚髮生(見圖 4)。

圖 4. 兩個邏輯操作的表示

SAF020F5

反向方法經常用於有形系統的先驗分析,特別是在化學、航空、航天和核工業中。 還發現它作為調查工業事故的方法非常有用。

儘管它們有很大不同,但正向和反向方法是相輔相成的。 直接方法基於一組故障或功能障礙,因此這種分析的價值在很大程度上取決於開始時考慮的各種功能障礙的相關性。 這樣看來,逆向法似乎更系統一些。 鑑於可能發生什麼類型的事故或事故,分析人員理論上可以應用這種方法來回溯所有能夠導致它們發生的功能障礙或功能障礙的組合。 然而,由於一個系統的所有危險行為都不一定事先知道,它們可以通過直接方法發現,例如應用模擬。 一旦發現這些,就可以通過逆向方法更詳細地分析危害。

系統安全分析問題

上述分析方法不僅僅是機械過程,只需自動應用即可得出有用的結論以提高系統安全性。 相反,分析師在他們的工作過程中會遇到很多問題,他們分析的有用性在很大程度上取決於他們如何著手解決這些問題。 下面描述了可能出現的一些典型問題。

了解要研究的系統及其運行條件

任何系統安全分析中的基本問題都是要研究的系統的定義、它的局限性以及它在整個存在期間應該運行的條件。

如果分析人員考慮的子系統過於有限,結果可能是採取一系列隨機預防措施(在這種情況下,一切都是為了防止某些特定類型的事件發生,而忽略或低估同樣嚴重的危害). 另一方面,如果所考慮的系統對於給定的問題過於全面或籠統,則可能導致概念和責任過於模糊,並且分析可能無法導致採取適當的預防措施。

一個典型的例子說明了定義要研究的系統的問題是工業機器或工廠的安全。 在這種情況下,分析人員可能只想考慮實際設備,而忽略了它必須由一個或多個人操作或控制的事實。 這種簡化有時是有效的。 然而,必須分析的不僅僅是機器子系統,而是整個工人加機器系統在設備生命週期的各個階段(包括,例如,運輸和搬運、組裝、測試和調整、正常運行) 、維護、拆卸以及在某些情況下銷毀)。 在每個階段,機器都是特定係統的一部分,該系統的目的和運行及故障模式與其他階段的系統完全不同。 因此,它的設計和製造方式必須能夠在每個階段都在良好的安全條件下執行所需的功能。

更一般地說,關於公司的安全研究,有幾個系統級別:機器、工作站、輪班、部門、工廠和整個公司。 根據所考慮的系統級別,可能的功能障礙類型以及相關的預防措施大不相同。 一項好的預防政策必須考慮到可能在各個層面發生的功能障礙。

系統的運行條件可以根據系統假定運行的方式以及它可能受到的環境條件來定義。 該定義必須足夠現實,以考慮系統可能運行的實際條件。 如果用戶無法保持在規定的理論操作範圍內,則僅在非常有限的操作範圍內非常安全的系統可能就不那麼安全了。 因此,安全系統必須足夠穩健,能夠承受其運行條件的合理變化,並且必須容忍操作員方面的某些簡單但可預見的錯誤。

系統建模

通常需要開發模型以分析系統的安全性。 這可能會引發某些值得研究的問題。

對於像常規機器這樣簡潔且相對簡單的系統,模型幾乎可以直接從材料組件及其功能(電機、傳動等)的描述以及這些組件相互關聯的方式中推導出來。 可能的組件故障模式的數量同樣受到限制。

計算機和機器人等現代機器包含微處理器和大規模集成的電子電路等複雜組件,這帶來了一個特殊問題。 這個問題在建模或預測不同的可能故障模式方面尚未完全解決,因為每個芯片中有如此多的基本晶體管並且使用了多種軟件。

當被分析的系統是一個人類組織時,建模中遇到的一個有趣的問題在於某些非物質或不完全物質的組件的選擇和定義。 例如,一個特定的工作站可以由一個包括工人、軟件、任務、機器、材料和環境的系統來表示。 (“任務”部分可能難以定義,因為重要的不是規定的任務,而是實際執行的任務)。

在為人類組織建模時,分析師可能會選擇將所考慮的系統分解為一個信息子系統和一個或多個行動子系統。 分析信息子系統不同階段(信息獲取、傳輸、處理和使用)的故障具有很高的指導意義。

與多層次分析相關的問題

與多層次分析相關的問題通常會出現,因為分析人員可能會從不希望發生的事件開始,回溯到時間上越來越遙遠的事件。 根據所考慮的分析水平,發生的功能障礙的性質會有所不同; 這同樣適用於預防措施。 重要的是能夠決定在什麼水平上應該停止分析,在什麼水平上應該採取預防措施。 一個簡單的例子就是在非正常情況下重複使用機器而導致機械故障導致事故的簡單案例。 這可能是由於缺乏操作員培訓或工作組織不當造成的。 根據所考慮的分析級別,所需的預防措施可能是用另一台能夠承受更惡劣使用條件的機器更換機器,僅在正常條件下使用機器,改變人員培訓,或重組工作。

預防措施的有效性和範圍取決於其實施的水平。 在意外事件附近採取預防措施更有可能產生直接和迅速的影響,但其效果可能有限; 另一方面,通過在事件分析中進行合理程度的回溯,應該有可能找到許多事故中常見的功能障礙類型。 在此級別採取的任何預防措施的範圍都會更廣,但其有效性可能不那麼直接。

請記住,存在多個層次的分析,也可能存在多種預防行動模式,每一種模式都在預防工作中發揮著自己的作用。 這是非常重要的一點,人們只需回到目前正在考慮的事故例子中就可以理解這一事實。 提議用另一台能夠承受更嚴酷使用條件的機器替換該機器會使機器承擔預防責任。 決定機器只應在正常條件下使用意味著將責任推給用戶。 同樣,責任可能放在人員培訓、工作組織上,或者同時放在機器、用戶、培訓功能和組織功能上。

對於任何給定的分析水平,事故通常似乎是多種功能障礙或失調共同作用的結果。 根據是針對一種或另一種功能障礙採取行動,還是同時針對多種功能障礙採取行動,所採取的預防措施的模式會有所不同。

 

上一頁

更多內容 7096 最後修改於 20 年 2011 月 01 日星期六 21:XNUMX
出版於 58. 安全應用