1.2 系统安全理论
系统安全是指在系统生命周期内应用系统安全工程和系统安全管理方法,辨识系统中的隐患,并采取有效的控制措施使其危险性最小,从而使系统在规定的性能、时间和成本范围内达到最佳的安全程度。系统安全理论是人们为解决复杂系统的安全性问题而开发、研究出来的安全理论、方法体系。复杂的系统往往由数以千万计的元素组成,元素之间以非常复杂的关系相连接,在被研究制造或使用过程中往往涉及高能量,系统中微小的差错就会导致灾难性的事故。大规模复杂系统安全性问题受到了人们的关注,于是,出现了系统安全理论和方法。
1.2.1 安全系统要素理论
从安全系统的动态特性出发,人类的安全系统是人、社会、环境、技术、经济等因素构成的大协调系统。无论从社会的局部还是整体来看,人类的安全生产与生存需要多因素的协调和组织才能实现。安全系统的基本功能和任务是满足人类的安全生产与生存,以及保障社会经济生产发展的需要,因此安全活动要以保障社会生产、促进社会经济发展、降低事故和灾害对人类自身生命和健康的影响为目的。为此,安全活动首先应与社会发展基础、科学技术背景和经济条件相适应和相协调。安全活动的进行需要经济和科学技术等资源的支持,安全活动既是一种消费活动(以生命与健康安全为目的),也是一种投资活动(以保障经济生产和社会发展为目的)。
从安全系统的静态特性看,安全系统论理论要研究两个系统对象:一是事故系统;二是安全系统。
事故系统涉及四个要素,见图1-4。事故要素涉及四个方面,即:人因(men)——人的不安全行为;物因(machine)——物的不安全状态;环境因素(medium)——生产环境的不良;管理因素(management)——管理的欠缺。其中,人、机、环境与事故的关系是逻辑“或”,而管理与事故的关系是逻辑“与”,因此,管理因素非常重要,因为管理对人、机、环境都会产生作用和影响。
图1-4 事故系统要素及逻辑关系
重要和更具现实意义的系统对象是安全系统(图1-5)。其要素是:人——人的安全素质(心理与生理、安全能力、文化素质);物——设备与环境的安全可靠性(设计安全性、制造安全性、使用安全性);环境——决定安全的自然、人工环境因素及状态;信息——充分可靠的安全信息流(管理效能的充分发挥)是安全的基础保障。
图1-5 安全系统要素及结构
认识事故系统要素,可以指导我们通过控制、消除事故系统来保障安全,这种认识是必要的,并且可以通过事故规律及原因的认知,来促进预防。但更有意义的是,从安全系统的角度,通过研究安全系统规律,应用超前、预防方法论来建立创造安全系统,实现本质安全。因此,从建设安全系统的角度来认识安全原理更具有理性的意义,更符合科学性原则。
从事故系统和安全系统的分析中,我们看到,人、机、环境三个因素具有三重特性,即:一是三者都是安全的保护对象;二是事故的因素;三是安全的因素。如果人、机、环境仅仅认识到事故因素是不够的,比如人因,从事故因素的角度,我们想到的是追责、查处、监督、检查;从安全因素的角度,我们就应该激励、自律、自责,变“要他安全”为“他要安全”。显然,重视安全因素建设是高明、治本的。
1.2.2 系统本质安全理论
1.2.2.1 系统本质安全的含义及现实意义
本质安全源于20世纪50年代世界宇航技术界,主要是指电气系统具备防止可能导致可燃物质燃烧所需能量释放的安全性。
对于技术系统而言,关于本质安全的定义大多是从系统自身及其构成要素的零缺陷上来阐述。这是因为技术系统的构成元素间的关系是线性、确定的,系统的本质安全性等于所有元器件本质安全性的乘积,只要能够保证所有元器件的本质安全性,整个技术系统也就是本质安全的。
但对于复杂的社会技术系统,是由其构成要素(个人、物、信息、文化)通过复杂的交互作用形成的有机整体,系统具有自组织性,系统构成部分之间是一种非线性关系,系统的大部分构成要素是一种智能体,客观地讲,这些智能体是无法达到本质安全性的,对于这些智能体来说,安全性本身就是一个具有相对性的概念,会随着时代发展和技术进步而不断得到提升,虽然复杂社会技术系统的构成要素也许永远达不到本质安全性要求,但这并不意味着系统作为一个整体无法达到本质安全性。这里我们需要特别强调的一点是,对于复杂的社会技术系统,系统的本质安全性并不代表系统的构成要素是本质安全的,由于系统自身及其要素都具有一定的容错性和自组织性,只要在保证系统的构成元素是相对可靠的条件下,完全可以通过系统的和谐交互机制使系统获得本质安全性。
系统本质安全是通过微观层面的和谐交互以达到系统整体的和谐所取得的,本质安全形成应该是由外而内的,最终通过文化交互的和谐性而达到系统的内在本质安全性。
本质安全理论具有重要的现实意义。首先,它给人们带来了安全管理理念的变化,使得人们认识到事故不是必然存在的,只是偶然发生的,不发生事故才是必然的,即使是复杂社会技术系统的事故也是可以绝对预防的,只不过这种绝对是指对系统可控事故的长效预防。其次,该理论的出现改变了人们对事故预防模式的认识,从过去建立在功能分割和经验判断基础之上的事故预防模式转变为从系统和谐及系统整体交互作用的匹配性来重新思考复杂系统安全问题的控制模式,由于过去建立在功能分割基础之上的事故预防模式过分强调职能分工和经验判断在预防事故过程中的重要作用,通过对系统层层分解,试图从事故源头入手,将事故隐患扼杀在摇篮里,但由于缺乏有效系统集成技术,虽然能够找到事故源头,仍然缺乏对事故成因的整体认识,最终导致“只见树木,不见森林”,无法把握事故成因的整体交互机制,最终还是难以有效预防事故。
1.2.2.2 系统本质安全的实现
系统本质安全实现是有前提条件的。首先,系统必须具备内在可靠性。即要达到内在安全性,能够抵抗一定的系统性扰动,也就是说能够应付系统内部交互作用波动引起的系统内部不和谐性。其次,系统能够适应环境变化引起的环境性扰动,即要其具备抵御系统与外部交互作用的不和谐性能力。再次,本质安全必须能够合理配置系统内外部交互作用的耦合关系,实现系统和谐,这将涉及技术创新、规范制度、法律完善、文化建设等方方面面。最后,本质安全概念体现了事故成因的整体交互机制,因此,事故预防应该从系统整体入手,最终实现全方位的系统安全。由此可见,本质安全是一个动态演化的概念,也是一个具有一定相对性的概念,它会随着技术进步、管理理论创新而演化;它是安全管理的终极目标,最终达到对可控事故的长期有效预防;其主要措施是理顺系统内外部交互关系,提高系统和谐性;实现方式是对事故进行超前管理,从源头上预防事故。
1.2.2.3 本质安全模式及技术方法
技术系统的本质安全具有如下两种基本模式。
(1)失误-安全功能(fool-proof) 指操作者即使操作失误,也不会发生事故或伤害。
(2)故障-安全功能(fail-safe) 指设备、设施或技术工艺发生故障或损坏时,还能暂时维持正常工作或自动转变为安全状态。
本质安全的实现可通过如下的技术方法:最小化(minimize)或强化(intensify)、替代(substitute)、稀释(attenuate)或缓和(moderate)、简化(simplify)、限制危害后果(limitation of effects)、容错(error tolerance)、改进早期化(change early)、避免碰撞效应(avoiding knock-on effect)、状况清楚(making status clear)、避免组装错误(making incorrect assembly impossible)、容易控制(ease of control)、管理控制/程序(management control/procedure)等。
1.2.3 人本安全理论
任何系统仅仅依靠技术来实现全面的安全是不可能的,俗话说“没有最安全的技术,只有最安全的行为”。科学的本质安全概念,是全面的安全、系统的安全、综合的安全。任何系统既需要物的本质安全,更需要人的本质安全,“人本”与“物本”相结合,才能构建全面本质安全的系统。
“物本”是安全的硬实力,“人本”是安全的“软实力,硬道理”。根据安全科学“3E对策理论”为基础的研究,安全“软实力”具有重要的作用,“软实力”对于安全的贡献率占有很大的比重。
基于安全文化学理论,人们提出了“人本安全原理”,其基本理论规律见图1-6。即人本安全的目标是塑造“本质安全型”人,这需要从安全观念文化和安全行为文化入手,同时,需要创造良好的安全物态及环境文化。
图1-6 人本安全理论
依据“人本安全理论”,在安全生产领域,提出了企业安全文化建设的策略,即安全文化建设的范畴体系:安全观念文化建设,安全行为文化建设,安全制度文化建设,安全物态文化建设。
人员安全素质是安全生理素质、安全心理素质、安全知识与技能要求的总和。其内涵非常丰富,主要包括安全意识、法制观念、安全技能知识、文化知识结构、心理应变能力、心理承受适应性能力和道德行为约束能力。安全意识、法制观念是安全素质的基础;安全技能知识、文化知识结构是安全素质的重要条件;心理应变能力、承受适应能力和道德、行为规范约束力是安全素质的核心内容。三个方面缺一不可,相互依赖,相互制约,构成人员安全素质。
(1)安全生理素质 指人员的身体健康状况、感觉功能、耐力等。
(2)安全心理素质 指个人行为、情感、紧急情况下的反应能力,事故状态下的个人承受能力等。人的心理素质取决于人的心理特征。心理素质标准一般包括气质、性格、情绪与情感、意志、能力。
(3)安全知识与技能要求 从业人员不仅要掌握生产技术知识,还应了解安全生产有关的知识。生产技术知识内容包括:生产经营单位基本生产概况、生产技术过程、作业方法或工艺流程,专业安全技术操作规程,各种机具设备的性能以及产品的构造、性能、质量和规格等。安全技术知识内容包括:生产经营单位内危险区域和设备设施的基本知识及注意事项,安全防护基本知识和注意事项,机械、电气和危险作业的安全知识,防火、防爆、防尘、防毒安全知识,个人防护用品的使用,事故的报告处理等。
1.2.4 系统全过程管理理论
1.2.4.1 过程安全管理
过程安全(process safety)是指可避免任何处理、使用、制造及储存危险性化学物质工艺过程所产生重大意外事故的操作方式,须考虑技术、物料、人员与设备等动态因素,其核心是一个化工过程得以安全操作和维护,并长期维持其安全性。
过程安全管理是利用管理的原则和系统的方法,来辨识、掌握和控制化工过程的危害,确保设备和人员的安全。从过去的事故案例看,单一的管理或技术途径无法有效地避免安全事故的发生。对一个复杂的石化生产过程而言,涉及化学品安全、工艺安全、设备安全和作业环境安全多个方面,要防止因单一失误演变成重大灾难事故,就必须从过程控制、人员操控、安全设施、应急响应等多方面构筑安全防护体系,即建立完备的“保护层”。因此,作为过程安全工作的重点就是通过技术、设施及员工建立完备的“保护层”,并维持其完整性和有效性。
(1)技术 首先要考虑的是只要可行就必须选择危害性最小或本质安全的技术,并从技术上保证设备本体的安全。
(2)设施 硬件上的安全考虑应包括安全控制系统、安全泄放系统、安全隔离系统、备用电力供应等。
(3)员工 最后的保护措施是员工需要适当训练,以提高应对紧急情况的能力。
1.2.4.2 设备完整性管理
过程安全管理极其重要的一环是相关设备的设计、制造、安装及保养,不符合规格或规范的设备是造成化学灾害及安全事故的主要原因之一。设备完整性管理技术对应于PSM中的第八条款,是从设备上保障过程安全。设备完整性管理技术是指采取技术改进措施和规范设备管理相结合的方式,来保证整个装置中关键设备运行状态的完整性。其特点如下。
(1)设备完整性具有整体性,是指一套装置或系统的所有设备的完整性。
(2)单个设备的完整性要求与设备的装置或系统内的重要程度有关。即运用风险分析技术对系统中的设备按风险大小排序,对高风险的设备需要加以特别的照顾。
(3)设备完整性是全过程的,从设计、制造、安装、使用、维护,直至报废。
(4)设备资产完整性管理是采取技术改进和加强管理相结合的方式来保证整个装置中设备运行状态的良好性,其核心是在保证安全的前提下,以整合的观点处理设备的作业,并保证每一作业的落实与品质保证。
(5)设备的完整性状态是动态的,设备完整性需要持续改进。
设备完整性管理是以风险为导向的管理系统,以降低设备系统的风险为目标,在设备完整性管理体系的构架下,通过基于风险技术的应用而达到目的,见图1-7。
图1-7 设备完整性安全管理体系
设备完整性管理包括基于风险的检验计划和维护策略,即基于时间、基于条件、正常运行情况或故障情况下的维护。其核心是利用风险分析技术识别设备失效的机理、分析失效的可能性与后果,确定其风险的大小;根据风险排序制定有针对性的检维修策略,并考虑将检维修资源从低风险设备向高风险设备转移;以上各环节的实施与维持用体系化的管理加以保证。因此,设备完整性管理的实施包括管理和技术两个层面:在管理上建立设备完整性管理体系;在技术上以风险分析技术作支撑,包括针对静设备与管线的RBI技术、针对动设备的RCM技术和针对安全仪表系统的SIL技术等。
1.2.5 工程结构可靠度理论
工程结构可靠度是指工程结构在规定的时间内、规定的条件下完成预定功能的概率。其中,规定时间是指分析结构可靠度时考虑各项基本变量与时间关系取得的时间参数,即设计基准期;规定条件是指结构设计时所确定的正常设计、正常施工和正常使用的条件,不考虑人为过失的影响。
1.2.5.1 可靠性特征量
通常把表示和衡量产品的可靠性的各种数量指标统称为可靠性特征量。
(1)可靠性 可靠性是产品在规定条件下和规定时间内完成规定功能的概率。显然,规定时间越短,产品完成规定功能的可能性越大,规定时间越长,产品完成规定功能的可能性就越小。可靠性是时间t的函数,故也称为可靠性函数,记作R(t),如已知工作时间的概率密度函数为f(t),其函数如图1-8所示。
图1-8 可靠性函数
(1-1)
且有R(0)=1,R(∞)=0。
(2)平均寿命和有效度 不可修产品的平均寿命是指产品失效前的平均工作时间,记为MTTF(mean time to failure);可修产品的平均寿命是指响铃两次故障间的平均工作时间,称为平均无故障工作时间或平均故障间隔时间,记作MTBF(mean time between failures)。它们都表示无故障工作时间的期望值E(t)。则:
(1-2)
系统稳态有效度A(availability)表示产品处于完好状态的概率。
(1-3)
式中,MTTR为平均维修时间(mean time to repair)。
(3)失效率和失效率曲线 失效率(瞬时失效率)是工作到t时刻尚未失效的产品,在该时刻t后的单位时间内发生失效的概率,也称为失效率函数,记为
(t),其观测值可表示为:
(1-4)
可靠性取决于各部件的失效率,根据长期以来的理论研究和数据统计,失效率曲线的典型形态如图1-9所示,由于它的形状与浴盆的剖面相似,所以又称为浴盆曲线(bathtubcurve),它明显地分为三段,分别对应三个不同阶段或时期:早期失效期,失效率曲线为递减型;偶然失效期,失效率曲线2段为恒定型;耗损失效期,失效率曲线是递增型。
图1-9 浴盆曲线
1.2.5.2 系统可靠性
系统的组成结构从可靠性的角度来看可分为串联系统、并联系统、冗余表决系统和混联系统,这些都是基本可靠性模型,也称为传统可靠性模型。
(1)串联系统 如果一个系统由多个子系统组成,要完成规定功能,每个子系统都不能出现故障,这样的系统是典型的串联系统,其可靠性计算可以使用串联系统可靠性模型进行,其故障率为:
(1-5)
式中,λ1,…,λn分别为串联的n个部件的故障率。
如静定桁架结构,其中每个杆件均可看成串联系统的一个元件,只要其中一个元件失效,整个系统就失效。串联系统的可靠度随着单元可靠度的减小及单元数的增加而迅速下降,因此为提高串联系统的可靠性,单元数宜少,而且重视改善最薄弱单元的可靠性。
(2)并联系统 与串联系统不同,如果一个系统由多个子系统组成,要完成规定功能,只要一个子系统不出现故障即可,这样的系统是典型的并联系统,其可靠性计算可以使用并联系统可靠性模型进行,两单元并联的系统故障率的倒数为:
(1-6)
式中,λ1、λ2分别为并联单元的故障率。
当各λ相同时,两单元的并联系统即为2选1的表决系统。
如超静定结构的失效可用并联模型表示,一个多跨的排架结构,每个柱子都可以看成是并联系统的一个元件,只有当所有柱子均失效后,该结构体系才失效。一个两端固定的刚梁,只有当梁两端和跨中形成了塑性铰(塑性铰截面当作一个元件),整个梁才失效。并联系统对提高系统的可靠度有显著的效果,但是所需材料等都会成倍增加。
(3)冗余表决系统 并联系统中,如果要求多个子系统不出现故障才能完成规定功能,这样的系统就是冗余表决系统,其可靠性计算可以使用冗余表决系统可靠性模型进行。冗余表决系统是指由n个可靠性特征相同的单元构成,须至少r(r≤n)个单元正常工作的系统,其故障率的倒数为:
(1-7)
(4)混联系统 串联系统对子系统的可靠性要求较高,特别是系统中的一些关键件,如果可靠性不高,实践中往往采用子系统并联或冗余表决的方法增加系统的可靠性,这样的系统的可靠性模型为混联模型。混联模型最终可简化为串联模型或并联模型。
1.2.6 工程项目风险理论
工程项目风险理论是指通过风险识别、风险分析和风险评价,去认识工程项目的风险,并以此为基础合理地使用各种风险应对措施、管理方法、技术和手段对项目的风险实行有效的控制,妥善处理风险事件造成的不利后果,以最少的成本保证项目总体目标实现的管理工作。
1.2.6.1 风险的基本概念
风险是指引发危险的概率及其损害的严重程度,有不确定性和损失性两个基本特征。
风险是可度量的,虽然个别的风险事件很难预测,但可以对其发生的概率进行分析,并可以评估其发生的影响,同时利用分析预测的结果为人们的决策服务,预防风险事件的发生,减少风险发生造成的损失。
风险由以下因素构成:风险因素、风险事件、风险损失。
(1)风险因素 风险因素是指能够增加风险事故发生频率或严重程度的因素,它是风险事故发生的潜在原因,是造成损失的间接和内在的原因。根据其性质,通常把风险因素分为实质性风险因素、道德风险因素和心理风险因素。
实质性风险因素属于有形因素,是指能引起或者增加损失机会与损失程度的物质条件,如失灵的刹车系统、恶劣的气候、易爆物品等;道德风险因素属于无形因素,与人的不正当社会行为和个人的道德品质修养有关,表现为不良企图或恶意行为,故意促使风险事故发生或损失扩大,如不诚实、纵火、勒索等;心理风险因素也属于无形因素,是指可能引起或增加风险事故发生和发展的人的心理状态方面的原因,强调的是无意或者疏忽的行为,而非恶意。
(2)风险事件 风险事件是指直接造成损失或损害的风险条件,是造成事故和损失的直接原因和条件。风险事件的发生导致损失的可能性转化为现实的损失,它的可能发生或不可能发生是不确定性的外在表现形式。例如,火灾的发生可能造成生产资料的损失和人员的伤亡,火灾就可以定义为风险事件。风险事件是否能造成风险损失还由其他因素决定。
(3)风险损失 风险控制和风险管理中的损失不同于一般损失,它是风险的结果,是风险承担者不愿意看到的后果,是指非故意、非计划和非预期的经济价值损失。这种损失分为直接损失和间接损失两种。直接损失是指实质性的经济价值的损失,是可以观察、计量和测定的。间接损失是由直接损失引起的破坏事实,一般是指额外的费用损失、收入的减少和责任的追究。例如,由于机器损失导致生产线的中断所引起的直接损失是机器的价值和产出的减少,因未按期交货引起客户的索赔和造成订单的减少为间接损失。
风险因素、风险事件和风险损失三者联系紧密,风险因素引起风险事件,风险事件导致风险损失,产生的结果与预期结果的不同即为风险,其关系如图1-10所示。
图1-10 风险因素、风险事件、风险损失与风险的关系
1.2.6.2 风险管理步骤
风险管理一般经过以下几个步骤。
(1)风险辨识 识别各种可能造成损失的重大风险。
(2)风险分析 衡量风险的损失频率和损失程度,对各因素影响大小进行分析。
(3)风险管理 制定企业风险管理策略。
(4)风险预防 持续不断地对企业风险管理战略的实施情况进行监督和评估,并反馈结果。