安全設(shè)計(jì)分析與驗(yàn)證作業(yè)：3.事故致因理論與事故模型

1、2020/12/22,1,事故致因理論與事故模型,北航可靠性與系統(tǒng)工程學(xué)院,事故致因理論與事故模型,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,2,1986年1月28日，挑戰(zhàn)者號(hào)航天飛機(jī)在執(zhí)行第10次太空任務(wù)過程中，由于右側(cè)固體火箭推進(jìn)器中一個(gè)O形密封圈失效，導(dǎo)致一連串連鎖反應(yīng)，在升空73秒時(shí)爆炸。7名宇航員全部罹難。,事故致因理論與事故模型,I know its hard to understand, but sometimes painful things like this happen. Its all part of the process of exploration and

2、discovery. Its all part of taking a chance and expanding mans horizons. The future doesnt belong to the fainthearted; it belongs to the brave. The Challenger crew was pulling us into the future, and well continue to follow them. -Ronald Reagan,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,3,事故致因理論與事故模型,你很清楚你在干什么，你所接受的訓(xùn)練就

3、是為了終生執(zhí)行該任務(wù)； 你已經(jīng)仔細(xì)計(jì)算了所有角度； 你已經(jīng)無數(shù)次地成功完成該任務(wù)； 對(duì)你而言，這簡直就是天生的技能。 絕不會(huì)出錯(cuò)了。 你真的肯定嗎？,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,4,主要內(nèi)容,概述 常用的事故致因理論 事故頻發(fā)傾向論 事故因果論 能量轉(zhuǎn)移論 擾動(dòng)起源論 軌跡交叉論 事故模型的新發(fā)展 社會(huì)技術(shù)系統(tǒng) 典型的系統(tǒng)化事故模型,2020/12/22,5,北航可靠性與系統(tǒng)工程學(xué)院,概述,事故致因理論（Accident Causation Theory），是從大量事故的本質(zhì)原因中分析提煉出的事故機(jī)理和事故模型（Accident Model），用于描述系統(tǒng)中的危險(xiǎn)如何演變成

4、最終的事故。 事故致因理論是對(duì)具體事故過程的抽象，是事故發(fā)展的一般規(guī)律。能夠?yàn)槭鹿试虻亩ㄐ院投糠治?、事故的預(yù)測預(yù)防、安全管理工作的改進(jìn)，提供科學(xué)的、完整的理論依據(jù)。 事故致因理論是開展系統(tǒng)安全工作的理論基礎(chǔ)。,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,6,概述,事故的特征 因果性：事故是許多因素互為因果連續(xù)發(fā)生的結(jié)果。 個(gè)人觀點(diǎn)：相關(guān)性 偶然性：偶然性決定了完全杜絕事故是困難的。 潛在性 必然性和規(guī)律性 因果性決定了事故的必然性； 必然性中包含著規(guī)律性。 再現(xiàn)性、預(yù)測性 核心是：非線性,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,7,概述,事故模型的作用,2020/12/22,北

5、航可靠性與系統(tǒng)工程學(xué)院,8,概述,建立事故模型有以下四方面意義： 從個(gè)別抽象到一般，把同類事故抽象為模型，可以深入研究導(dǎo)致傷亡/損失的原理和機(jī)理； 可以查明以往發(fā)生過的事故的直接原因，進(jìn)而找出背后的主要原因，用以預(yù)測類似事故發(fā)生的可能性； 根據(jù)事故模型可以作出危險(xiǎn)評(píng)價(jià)以及預(yù)防事故的決策； 從描述性模型可以向數(shù)學(xué)模型發(fā)展，由定性分析逐步向事故預(yù)測定量化發(fā)展，為事故預(yù)測與判定奠定基礎(chǔ)。,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,9,常見的事故致因理論,事故頻發(fā)傾向論 事故因果論 能量轉(zhuǎn)移論 擾動(dòng)起源論 軌跡交叉論 從調(diào)查原因逐漸轉(zhuǎn)向解釋過程； 從宏觀說明逐漸轉(zhuǎn)向微觀描述。,2020/12/2

6、2,北航可靠性與系統(tǒng)工程學(xué)院,10,事故頻發(fā)傾向論,事故頻發(fā)傾向：個(gè)別人員容易發(fā)生事故的、穩(wěn)定的、個(gè)人的內(nèi)在傾向。 歐美學(xué)者在二十世紀(jì)初期對(duì)工廠傷亡事故進(jìn)行統(tǒng)計(jì)檢驗(yàn)，有些人比其他人更容易發(fā)生事故，存在事故頻發(fā)傾向。 事故遭遇傾向：某些人員在某些工作條件下容易發(fā)生事故的傾向。,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,11,事故頻發(fā)傾向論,目前的研究表明，事故頻發(fā)傾向論觀點(diǎn)基本是錯(cuò)誤的，并不存在事故頻發(fā)傾向者。 更多的統(tǒng)計(jì)顯示事故的發(fā)生服從泊松分布，表明個(gè)體基本不存在差異； 某一段時(shí)間內(nèi)發(fā)生事故次數(shù)多的人，在以后的時(shí)間里往往不再發(fā)生事故； 人員調(diào)離并不影響事故發(fā)生率。 由該理論引出的重視人

7、員選擇的做法有一定的可取之處。,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,12,統(tǒng)計(jì)是把雙刃劍,海因里希模型,通過對(duì)55萬起事故統(tǒng)計(jì)分析得到的統(tǒng)計(jì)規(guī)律：1:29:300，即，在每330起事故中，造成死亡重傷的事故1起，輕傷、微傷事故29起，無傷事故300起。 新的比例是1:59:600 在發(fā)生嚴(yán)重事故前，已經(jīng)發(fā)生了眾多的微小事故；也就是說，如果不解決小問題，必然會(huì)發(fā)生大事故。 另一種解讀：冪律,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,13,事故因果論,事故因果論由海因里希首先提出，是最經(jīng)典的事故模型：多米諾骨牌模型 該理論認(rèn)為，事故的發(fā)生不是一個(gè)孤立的事件，盡管傷害可能發(fā)生在某個(gè)

8、瞬間，卻是一系列互為因果的原因事件相繼發(fā)生的結(jié)果。,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,14,事故因果論,事故的發(fā)生、發(fā)展是一個(gè)具有因果關(guān)系的事件連鎖： 人員傷亡的發(fā)生是意外事件的結(jié)果； 事故的發(fā)生是由于人的不安全行為或物的不安全狀態(tài)； 人的不安全行為或物的不安全狀態(tài)是由于人的失誤導(dǎo)致的； 人的失誤是由于社會(huì)環(huán)境和管理缺陷造成的。 事故因果論在宏觀層面上解釋了事故發(fā)生的內(nèi)在邏輯關(guān)系。,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,15,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,16,事故因果論,事故現(xiàn)象的發(fā)生與其原因存在必然的因果關(guān)系。 事故原因分為直接原因和間接原因 直接

9、原因又稱一次原因，是在時(shí)間上最終接近事故發(fā)生的原因。包括：物的原因和人的原因。 間接原因是二次、三次以至多層次繼發(fā)、來自事故本源的基礎(chǔ)原因。 技術(shù)、教育、身體、精神、管理、社會(huì)及歷史原因 可將因果繼承原則看作一個(gè)連鎖“事件鏈”：損失直接原因間接原因基礎(chǔ)原因。,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,17,事故因果論,事故因果類型 集中型 連鎖型 復(fù)合型,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,18,事故因果論,奶酪模型（Reason） 每片奶酪代表一類條件； 奶酪上的“洞”代表該類條件存在的缺陷； 當(dāng)每片奶酪上的洞連成一條直線，則導(dǎo)致事故發(fā)生。 每片奶酪自身處于運(yùn)動(dòng)狀態(tài)。,20

10、20/12/22,北航可靠性與系統(tǒng)工程學(xué)院,19,能量轉(zhuǎn)移論,1961年吉布森（Gibson）、1966年哈登（Haddon）等人提出了能量意外釋放論，認(rèn)為事故是一種不正常的或不希望的能量釋放并轉(zhuǎn)移于人體或物體。 工業(yè)系統(tǒng)總是在實(shí)現(xiàn)做功或能量轉(zhuǎn)換，從能量在系統(tǒng)中流動(dòng)的角度，應(yīng)該控制能量按照人們規(guī)定的渠道或途徑流動(dòng)。如果由于某種原因失去了對(duì)能量的控制，就會(huì)發(fā)生能量異常釋放或逸出，使進(jìn)行中的活動(dòng)中止而發(fā)生事故。,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,20,能量轉(zhuǎn)移論,所有的傷害/損害事故都是因?yàn)椋?接觸了超過機(jī)體組織（或結(jié)構(gòu)）抵抗力的某種形式的過量能量； 有機(jī)體與周圍環(huán)境的正常能量交換受

11、到干擾。 各種形式的能量是構(gòu)成傷害的直接原因。 該理論闡明了事故發(fā)生的物理本質(zhì)，指明了防止事故就是防止能量意外釋放，防止接觸意外釋放的能量。,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,21,基于能量觀點(diǎn)的事故因果模型,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,22,擾動(dòng)起源論,狀態(tài)與事件 事件是指系統(tǒng)狀態(tài)的轉(zhuǎn)變。 行為與擾動(dòng)（Perturbation) 外部影響的變化。 系統(tǒng)運(yùn)行或生產(chǎn)活動(dòng)可以看作是一系列指向預(yù)期的結(jié)果的相繼出現(xiàn)的事件，其中包含系統(tǒng)各元素間的相互作用和外界的影響。這些相繼事件在一種“自動(dòng)調(diào)節(jié)”的動(dòng)態(tài)平衡中進(jìn)行，并向預(yù)期的結(jié)果發(fā)展。擾動(dòng)及其累加會(huì)破壞這一平衡而導(dǎo)致事故

12、。,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,23,擾動(dòng)起源論,外部變化產(chǎn)生的擾動(dòng)可以作用于系統(tǒng)內(nèi)元素。 當(dāng)系統(tǒng)元素能夠適應(yīng)不超過其承受能力的擾動(dòng)時(shí)，系統(tǒng)的運(yùn)行可以維持動(dòng)態(tài)平衡而不發(fā)生事故；如果某一個(gè)元素不能適應(yīng)這種擾動(dòng)，則自動(dòng)動(dòng)態(tài)平衡過程被破壞，開始一個(gè)新的事件過程，即事故過程。 擾動(dòng)起源論從微觀層面解釋了事故發(fā)展的邏輯關(guān)系。,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,24,擾動(dòng)起源論,擾動(dòng)導(dǎo)致事故的示例,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,25,軌跡交叉論,系統(tǒng)運(yùn)行或生產(chǎn)過程的核心是人機(jī)交互過程。 軌跡交叉論的基本思想是：事故是許多互相關(guān)聯(lián)的事件順序發(fā)展的結(jié)果，這些

13、事件概括起來不外乎人和物兩個(gè)發(fā)展系列。當(dāng)人的不安全行為和物的不安全狀態(tài)在各自發(fā)展過程中（軌跡），在一定時(shí)間、空間發(fā)生了接觸（交叉），能量“逆流”于人體時(shí)，傷害事故就會(huì)發(fā)生。 人的不安全行為或物的不安全狀態(tài)是受多種因素作用的結(jié)果。,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,26,軌跡交叉論,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,27,軌跡交叉論,人的因素和物的因素互為因果，有時(shí)物的不安全狀態(tài)誘發(fā)了人的不安全行為；反之，人的不安全行為又促進(jìn)了物的不安全狀態(tài)發(fā)展，或?qū)е滦碌牟话踩珷顟B(tài)出現(xiàn)。人和物兩條軌跡交叉呈現(xiàn)復(fù)雜的因果關(guān)系。 在工程上，首先應(yīng)考慮實(shí)現(xiàn)物的本質(zhì)安全，在此基礎(chǔ)上加強(qiáng)人員

14、培訓(xùn)，防止人為失誤。 軌跡交叉論是能量釋放論和擾動(dòng)論的集成，并將系統(tǒng)運(yùn)行過程明確界定為人機(jī)交互過程。,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,28,其它事故致因理論,人失誤主因論 管理失誤論 分別強(qiáng)調(diào)人和管理因素在事故中的作用。 變化論 與擾動(dòng)論類似，把系統(tǒng)中發(fā)生的“變化”作為事故的起點(diǎn)進(jìn)行研究。 綜合論 事故的發(fā)生是社會(huì)因素、管理因素、生產(chǎn)運(yùn)行中各種危險(xiǎn)源被偶然事件觸發(fā)所造成的結(jié)果。,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,29,混合動(dòng)態(tài)事故模型,在能量釋放論和擾動(dòng)起源論的基礎(chǔ)上提出事故過程的混合動(dòng)態(tài)模型。 離散事件 連續(xù)時(shí)間 事故過程在宏觀上呈現(xiàn)為一系列離散事件，在微觀上，

15、它是系統(tǒng)內(nèi)/外部行為導(dǎo)致的系統(tǒng)狀態(tài)連續(xù)變化。當(dāng)狀態(tài)變化累積到一定程度，超過特定的閥值，狀態(tài)發(fā)生躍變，在新的狀態(tài)下產(chǎn)生新的行為。,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,30,事故模型的新發(fā)展,三類事故模型： 序列模型（Sequential Accident Model）：事故是一系列按照特定次序發(fā)生的離散事件的結(jié)果。通常是單因素的。 多米諾骨牌模型 流行病學(xué)模型（Epidemiological Accident Model）：將導(dǎo)致事故的事件類比為疾病傳播，事故是這些因素共同作用的結(jié)果。 瑞士奶酪模型 系統(tǒng)化模型（Systemic Accident Model）：將事故視為系統(tǒng)涌現(xiàn)現(xiàn)象

16、，從整個(gè)系統(tǒng)層面，重點(diǎn)考慮系統(tǒng)部件的交互及其影響。,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,31,事故模型的新發(fā)展,系統(tǒng)化事故模型通常在社會(huì)技術(shù)系統(tǒng)層面研究事故與安全問題 社會(huì)技術(shù)系統(tǒng)基本理論最早由Eric Trist和Ken Bamforth于1951年提出。 社會(huì)技術(shù)系統(tǒng)（Socio-technical System) “社會(huì)技術(shù)”是指一個(gè)組織中社會(huì)因素和技術(shù)因素的相互關(guān)聯(lián)的現(xiàn)象。 社會(huì)技術(shù)理論基于如下兩個(gè)基本原理： 社會(huì)和技術(shù)因素的交互決定了組織的成功（或者失敗），兩者之間的關(guān)系往往是非線性的。 單獨(dú)優(yōu)化一方面只會(huì)使局面更加復(fù)雜而難以控制。 紅綠燈交通系統(tǒng),2020/12/22,

17、北航可靠性與系統(tǒng)工程學(xué)院,32,事故模型的新發(fā)展,復(fù)雜系統(tǒng)中事故的新特點(diǎn)：事故屬于涌現(xiàn)現(xiàn)象(Emergingphenomenon)。 事故不是單獨(dú)的部件故障或人為失誤的后果，而是由于系統(tǒng)單元的交互，導(dǎo)致多種因素在特定的時(shí)間、空間上同時(shí)發(fā)生，從而引發(fā)事故。 事故的發(fā)生不能僅僅視為一個(gè)因果事件鏈，而是一個(gè)復(fù)雜的相互影響的事件“網(wǎng)”。 非線性 不確定性,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,33,事故模型的新發(fā)展,現(xiàn)有觀點(diǎn) 通過提高系統(tǒng)或部件的可靠性可以提高安全性。 事故由于一系列直接相關(guān)的事件導(dǎo)致。 基于事件鏈的概率風(fēng)險(xiǎn)是評(píng)估和表達(dá)安全與風(fēng)險(xiǎn)信息的最佳途徑。,新觀點(diǎn) 對(duì)于安全性而言，高可

18、靠性既不是必要也不是充分條件。 事故是一個(gè)包含整個(gè)社會(huì)技術(shù)系統(tǒng)的復(fù)雜過程。 可以通過概率風(fēng)險(xiǎn)評(píng)估以外的途徑來更好地理解和交流風(fēng)險(xiǎn)與安全。,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,34,事故模型的新發(fā)展,現(xiàn)有觀點(diǎn)（續(xù)） 大多數(shù)事故是由操作人員錯(cuò)誤造成，可通過獎(jiǎng)懲來消除或減少人為差錯(cuò)。 高可靠的軟件是安全的。 多數(shù)事故源于多個(gè)隨機(jī)事件偶然間同時(shí)發(fā)生。 責(zé)任確定對(duì)于提高安全很必要。,新觀點(diǎn)（續(xù)） 操作人員行為是它所處環(huán)境的產(chǎn)物，只有改變環(huán)境才能減少人員差錯(cuò)。 高可靠軟件未必安全。 系統(tǒng)總是趨向高風(fēng)險(xiǎn)狀態(tài)。 責(zé)任是安全的敵人。,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,35,事故模型的新

19、發(fā)展,典型的系統(tǒng)化事故模型 Hierarchical Socio-technical Framework (Rasmussen, 1997) Cognitive Reliability and Error Analysis Method, CREAM (Hollnagel, 1998) Systems-Theoretic Accident Model and Processes, STAMP (Leveson, 2002) Functional Resonance Analysis Method, FRAM (Hollnagel, 2004) Resilience Engineering,20

20、20/12/22,北航可靠性與系統(tǒng)工程學(xué)院,36,Hierarchical Socio-technical Framework,系統(tǒng)的安全依賴于在運(yùn)行環(huán)境限制下對(duì)工作過程的控制。 安全是一個(gè)控制問題 決策過程與人員行為受到管理、財(cái)政（經(jīng)費(fèi)）、安全要求等條件的限制，并且還在這些因素的影響下發(fā)生波動(dòng)。 我們處在一個(gè)動(dòng)態(tài)系統(tǒng)中，而人員又會(huì)隨著系統(tǒng)狀態(tài)的變化而進(jìn)行自適應(yīng)調(diào)整。,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,37,Hierarchical Socio-technical Framework,動(dòng)態(tài)系統(tǒng) 技術(shù)更新速度加快，新產(chǎn)品上市和被淘汰的速度加快，從經(jīng)驗(yàn)中學(xué)習(xí)的能力下降； 系統(tǒng)規(guī)模增大

21、導(dǎo)致事故的嚴(yán)重程度不斷提升，對(duì)單個(gè)事故的容忍力下降； 信息技術(shù)的廣泛應(yīng)用導(dǎo)致系統(tǒng)的復(fù)雜性和耦合程度不斷提高。 交互復(fù)雜性 動(dòng)態(tài)復(fù)雜性 分解復(fù)雜性：功能分解和結(jié)構(gòu)分解不一致 非線性復(fù)雜性：原因和結(jié)果之間沒有直接或明顯的聯(lián)系 競爭壓力越來越大。,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,38,系統(tǒng)存在多種目標(biāo)或約束，這些約束條件也就構(gòu)成了系統(tǒng)狀態(tài)的各個(gè)邊界。 經(jīng)濟(jì)/成本 產(chǎn)量/工作量 安全 在動(dòng)態(tài)系統(tǒng)的壓力下（經(jīng)濟(jì)和工作量），系統(tǒng)狀態(tài)總是滑向安全邊界。 人員：自適應(yīng)行為 設(shè)備：老化、磨損、維修、保養(yǎng) 管理：制定及執(zhí)行管理制度,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,39,Hierar

22、chical Socio-technical Framework,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,40,Hierarchical Socio-technical Framework,對(duì)人為差錯(cuò)及其影響的理解： 在系統(tǒng)運(yùn)行過程中，人員不可能絕對(duì)的、百分之百的按規(guī)定執(zhí)行，這本身是一種正常的偏差； 在費(fèi)用和工作量壓力下，更容易發(fā)生適應(yīng)性變化； 甚至某些要求或規(guī)定本身就存在矛盾； 最終，在某個(gè)時(shí)刻，某個(gè)具體的行為偏差導(dǎo)致了某個(gè)事故的發(fā)生。 與其研究事故過程中的一系列“事件”，不如分析在動(dòng)態(tài)社會(huì)下為何會(huì)出現(xiàn)這些違規(guī)事件。 與其消除這些偏差，不如讓安全邊界清晰可知并提供在邊界區(qū)域的處理手段

23、。,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,41,Hierarchical Socio-technical Framework,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,42,Hierarchical Socio-technical Framework,STAMP Approach,社會(huì)技術(shù)系統(tǒng)的風(fēng)險(xiǎn)管理是一個(gè)控制問題。人員傷亡、環(huán)境破壞、經(jīng)濟(jì)損失都是由于對(duì)過程的失控。 基于系統(tǒng)理論，包含了復(fù)雜社會(huì)技術(shù)系統(tǒng)的技術(shù)（硬件/軟件）、人員和組織因素。 事故的發(fā)生是由于系統(tǒng)的研制、生產(chǎn)、運(yùn)行過程中不充分或不恰當(dāng)?shù)目刂疲蛘叱隽伺c安全相關(guān)的限制范圍。 在STAMP模型中，最基本的概念不再

24、是“事件”，而變?yōu)椤凹s束”。 一起事故的原因不再視為傳統(tǒng)意義上的（異常的）事件鏈，而是由于系統(tǒng)的設(shè)計(jì)和運(yùn)行缺乏約束。,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,43,STAMP Approach,研究為何發(fā)生事故就需要確定控制為何無效。 預(yù)防事故需要將焦點(diǎn)從防止失效轉(zhuǎn)變?yōu)樵O(shè)計(jì)和應(yīng)用控制以便實(shí)施必要的約束。 STAMP的三個(gè)基本結(jié)構(gòu) 安全約束 層次化安全控制結(jié)構(gòu) 過程模型,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,44,STAMP Approach,安全約束 目標(biāo)轉(zhuǎn)化成約束 約束的實(shí)現(xiàn)形式-控制方式 在設(shè)計(jì)和運(yùn)行中確定并落實(shí)安全約束的難度已比過去顯著增加。 被動(dòng)控制 主動(dòng)控制 人員和

25、設(shè)備的分工 在系統(tǒng)和產(chǎn)品設(shè)計(jì)開發(fā)過程中，安全約束會(huì)被分解成子要求或子約束，并隨著設(shè)計(jì)的推進(jìn)而分配給部件。,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,45,STAMP Approach,層次化安全控制結(jié)構(gòu) 在系統(tǒng)理論中，系統(tǒng)被視為層次結(jié)構(gòu)，其中每一層都對(duì)其下面層次的行為施加約束-也就是，較高層次的約束控制著較低層次的行為。 在層次結(jié)構(gòu)的每一個(gè)層次上，不充分的控制可能是由于： 缺乏約束（未分配安全責(zé)任）； 不充分的安全控制指令； 指令在較低層次上未得到正確執(zhí)行； 實(shí)施約束的反饋信息未得到充分交流或處理。,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,46,STAMP Approach,過程

26、模型 任何控制器無論人員或者自動(dòng)化設(shè)備都需要一個(gè)被控過程的模型以便對(duì)其進(jìn)行有效的控制。 恒溫器的模型 v.s. 飛控系統(tǒng)的模型 過程模型包含的信息 系統(tǒng)變量之間所需的關(guān)系（控制律） 當(dāng)前狀態(tài)（系統(tǒng)變量的當(dāng)前值） 改變狀態(tài)的方式,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,47,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,48,STAMP Approach,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,49,為確保系統(tǒng)的正常運(yùn)行，需要滿足以下四方面條件： 控制方必須有一個(gè)運(yùn)行目標(biāo)； 控制方必須能夠影響被控過程的狀態(tài)； 控制方必須掌握被控過程的模型； 控制方必須能夠估計(jì)被控過程的狀態(tài)。

27、被控過程有其自身的輸入/輸入過程，且會(huì)受到干擾。,STAMP Approach,根據(jù)控制理論，當(dāng)發(fā)生功能障礙時(shí)就可能導(dǎo)致系統(tǒng)事故。而功能障礙不僅可能是由于部件故障，也可能是由于不正確的系統(tǒng)模型或者不正確的控制規(guī)則等原因。 給出了不正確或不安全的控制指令； 沒有提供所需的（安全）控制活動(dòng)； 在錯(cuò)誤的時(shí)間提供了原本正確的控制命令（過早或過遲）；或者 控制結(jié)束得過快或持續(xù)得過久。,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,50,導(dǎo)致危險(xiǎn)的控制缺陷類型,控制措施不充分 未能識(shí)別的危險(xiǎn) 對(duì)已識(shí)別的危險(xiǎn)缺乏足夠、有效的控制措施 控制規(guī)則的設(shè)計(jì)存在不足 設(shè)計(jì)制造過程中的缺陷 過程發(fā)生了變化而控制規(guī)則沒

28、有相應(yīng)調(diào)整 不正確的修改或調(diào)整 過程模型不一致、不完整或者不正確 設(shè)計(jì)制造過程中的缺陷 過程更新中的缺陷 時(shí)間滯后 控制方與決策方之間協(xié)調(diào)不充分,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,51,導(dǎo)致危險(xiǎn)的控制缺陷類型,控制措置的執(zhí)行不充分 通訊/溝通缺陷 執(zhí)行器的運(yùn)行不充分 時(shí)間滯后 反饋不充分或沒有反饋 系統(tǒng)設(shè)計(jì)中沒有考慮反饋 通訊/溝通缺陷 時(shí)間滯后 傳感器運(yùn)行不充分（提供的信息錯(cuò)誤或不提供信息）,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,52,STAMP 分析,基于STAMP模型進(jìn)行分析包括兩個(gè)階段： 建立層次化控制結(jié)構(gòu)（Hierarchical Control Struct

29、ure），包括對(duì)系統(tǒng)內(nèi)部交互關(guān)系的識(shí)別和安全要求及約束條件的識(shí)別。 對(duì)導(dǎo)致事故的控制缺陷進(jìn)行分類和分析，查找突破約束（控制規(guī)律）的原因： 事前沒有識(shí)別所需的約束， 還是現(xiàn)有約束不充分。,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,53,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,54,FRAM基本原理,對(duì)于事故過程的理解 簡單線性思維 多米諾骨牌模型 復(fù)雜線性思維 瑞士奶酪模型 動(dòng)態(tài)系統(tǒng)中的因果關(guān)系 事件B發(fā)生于事件A之后，僅僅表明A和B之間的時(shí)間順序，并不意味著A是B發(fā)生的原因。 因果關(guān)系不是簡單的先后（線性）關(guān)系。 控制過程的失控 負(fù)反饋回路可以補(bǔ)償偏差 多層多級(jí)的控制回路有可能會(huì)

30、放大響應(yīng)而不是抑制。 “需求-價(jià)格-供應(yīng)”過程,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,55,FRAM基本原理,構(gòu)建FRAM模型的四個(gè)基本觀點(diǎn)： 失敗和成功同源，從這個(gè)角度看，它們是等價(jià)的。換言之，事物運(yùn)行無論正確還是錯(cuò)誤都是由于相同的原因引起的。 社會(huì)-技術(shù)系統(tǒng)的日常運(yùn)轉(zhuǎn)，包括人員的個(gè)體行為和群體行為，都是在不斷調(diào)整以適應(yīng)其環(huán)境。 許多事物都不是“因果繼發(fā)”的產(chǎn)物，而是“涌現(xiàn)”的產(chǎn)物。 系統(tǒng)功能間的相關(guān)性不能簡單界定為因果關(guān)系，而是一種“功能共振”。,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,56,FRAM基本原理,共振 經(jīng)典共振（機(jī)械共振） 一個(gè)系統(tǒng)在某些頻率上的振幅會(huì)大于在

31、其它頻率上的振幅，在這些頻率上，即使很小的外力反復(fù)作用也能產(chǎn)生大幅振蕩。 隨機(jī)共振-沒有外力作用 如果弱信號(hào)中混雜有隨機(jī)噪聲，則設(shè)備對(duì)該弱信號(hào)的敏感度會(huì)增強(qiáng)。 但系統(tǒng)的中功能和行為往往不是隨機(jī)的。 功能共振 在FRAM中，變化可被視為噪聲。 FRAM采用共振的觀點(diǎn)來取代因果關(guān)系的觀點(diǎn)，但共振只是一個(gè)類比，目前還不能量化。,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,57,FRAM基本原理,分析步驟一 識(shí)別與描述功能 （層次化）任務(wù)分析 任務(wù)描述與功能描述 功能可以從6個(gè)方面進(jìn)行描述 輸入（Input, I）：啟動(dòng)功能的事物或功能將要處理或轉(zhuǎn)化的事物。 輸出（Output, O）：功能運(yùn)行的

32、結(jié)果。 前提（Preconditions, P）：功能執(zhí)行前必須存在的條件。 資源（Resources, R）：功能執(zhí)行所需要或消耗的事物。 時(shí)間（Time, T）：影響功能的時(shí)間約束。 控制（Control, C）：功能是如何被監(jiān)控或控制的。,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,58,FRAM基本原理,功能描述時(shí)需要注意： 功能何時(shí)起止 功能與狀態(tài)：功能改變系統(tǒng)狀態(tài) 上游功能與下游功能,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,59,FRAM基本原理,分析步驟二 識(shí)別功能的變化 重點(diǎn)是功能輸出的變化。如果某功能的輸出并不隨著該功能的變化而變化，則該功能的變化基本也就不用關(guān)注

33、了。 從技術(shù)功能、人員功能、組織功能等不同角度分析功能的變化。 內(nèi)在變化與外在變化 功能變化的表述 故障模型 偏差：時(shí)間/時(shí)序，精確度,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,60,FRAM基本原理,分析步驟三 變化的聚合 針對(duì)前提的上下游耦合：上游功能的輸出是下游功能的前提； 針對(duì)資源或執(zhí)行條件的上下游耦合：上游功能的輸出為下游功能提供資源或使用相同的資源； 針對(duì)控制的上下游耦合：上游功能的輸出對(duì)下游功能進(jìn)行監(jiān)管或調(diào)控。 針對(duì)時(shí)間的上下游耦合：上下游功能在啟動(dòng)或終止時(shí)間上存在關(guān)系。 針對(duì)輸入的上下游耦合：上游功能輸出是下游功能的輸入。,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,

34、61,FRAM基本原理,分析步驟四 分析結(jié)果 FRAM前3個(gè)步驟能夠發(fā)現(xiàn)不可控的行為變化，或者是可能的功能共振條件，第4步則是提出相應(yīng)的解決方法。 消除、預(yù)防、保護(hù) 監(jiān)控（行為指標(biāo)） 抑制,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,62,FRAM基本原理,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,63,Resilience Engineering,Systems are ever-changing. This should be regarded as a destiny. The incompleteness of a system is partly attributable

35、to this ever-changing nature. Changes take place because of external drivers and internal drivers. This floating nature often causes mismatches between administrative framework and the ways in which the system is actually utilized.,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,64,Resilience Engineering,Resilience Enginee

36、ring-彈性工程（柔性工程） Resilience is the ability to prevent something bad from happening, Or the ability to prevent something bad from becoming worse, Or the ability to recover from something bad once it has happened. 國內(nèi)學(xué)者的理解： 柔性是系統(tǒng)對(duì)外界變化或威脅作出反應(yīng)的性質(zhì)。 柔性也可理解為能夠迅速從故障、變化、事故中恢復(fù)的能力。,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,65,Res

37、ilience Engineering,對(duì)危險(xiǎn)可分為三類： 具有規(guī)律性的危險(xiǎn)：可以預(yù)料到危險(xiǎn)的發(fā)生，可以制訂預(yù)案對(duì)其進(jìn)行處置。 不規(guī)律的危險(xiǎn)：也就是小概率事件。小概率事件是如此之多，通常無法對(duì)其全部制訂預(yù)案。但可以有一些基本處置原則。 沒有先例的事件 柔性系統(tǒng)應(yīng)該能夠應(yīng)對(duì)所有危險(xiǎn)。,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,66,Resilience Engineering,預(yù)測和規(guī)避 利用過去的經(jīng)驗(yàn)進(jìn)行預(yù)測； 對(duì)征候信號(hào)的處理。 對(duì)當(dāng)前問題的處置 監(jiān)控系統(tǒng)當(dāng)前狀態(tài)的能力是成功處置的關(guān)鍵； 盡快識(shí)別問題的根源。 災(zāi)難后的迅速修復(fù)或重建 Resilience often seems to mean the ability to put things back together once they have fallen apart.,2020/12/22,北航可靠性與系統(tǒng)工程學(xué)院,67,Resilience Engineering,Engineers endow a