安全工程管理3黄皮书.docx
《安全工程管理3黄皮书.docx》由会员分享,可在线阅读,更多相关《安全工程管理3黄皮书.docx(15页珍藏版)》请在冰豆网上搜索。
安全工程管理3黄皮书
安全工程管理3(黄皮书)
工程安全管理
模块三:
评估和降低风险
2009年10月27日星期二Hollysys
模块三:
评估和降低风险
定义你的工作
?
基本原理
–你的组织必须定义其工作的范围和背景。
2009年10月27日星期二Hollysys
模块三:
评估和降低风险
定性风险评估
?
适用于较小的风险
?
优点
–不需要详细的分析工作
–相对简单
–与定量分析评估相比,费用较低?
缺点
–非常依赖于假设
–对主要风险仅做定性分析是不够的–应记录所有的假设(依赖性和警示)2009年10月27日星期二Hollysys
模块三:
评估和降低风险
定量风险评估
?
适用于较大的风险
?
优点
–比定性风险评估更精确
–有助于识别隐藏的假设
–能更好的理解危害的潜在原因及后果
?
缺点
–
–
–
–
–复杂需要专家需要非常小心确保数据的精确和客观比定性风险评估费用要高最好用作为项目内的比较,不推荐用于计算绝对的数值
Hollysys
模块三:
评估和降低风险2009年10月27日星期二
工作分工
步骤
危害识别
原因分析
后果分析
损失分析
方案分析
影响分析
证实满足
ALARP
2009年10月27日星期二铁路运营人员系统提供商活动活动确定和扩充危害清单审核分析开展分析开展分析审核分析提供最初模型数据开展分析审核分析开展分析提供最初模型数据开展分析确定可接受/证实达到可接受度危害率或可容忍的危害率证实满足ALARPHollysys
模块三:
评估和降低风险
危害识别和风险评估
?
危害识别-基本原理第15章
–你的单位必须建立一套系统的健全的方法去尽可能的识别所有与其进行的活动和负责的工作有关的危害?
风险评估-基本原理
影响第15章–你的单位必须评估其活动和负责的工作对铁路造成的
2009年10月27日星期二Hollysys
模块三:
评估和降低风险
降低风险
?
降低风险-基本原理第17节
–你的组织必须做彻底的研究,确定控制措施,控制由其负责的工作而造成对铁路的风险。
–必须判定每个措施是否合理
–必须采用每个合理的措施的或者是法律要求的措施–如果在使用了所有的控制措施后风险仍然很高,将不能接受此风险
2009年10月27日星期二Hollysys
模块三:
评估和降低风险
危害识别
?
目的
–识别与系统和操作有关的危害?
方法
–系统的、全面的查找
–使用资料与技术相结合的方法
资料来源
–专家的知识
–先前的经验
经验性的技术
?
检查表(黄皮书附录)
?
结构性的走查
?
(FMEA)(失效模式与影响分析)
创造性的技术
?
头脑风暴
?
HAZOP危害和可操作性研究
?
任务分析
2009年10月27日星期二Hollysys
模块三:
评估和降低风险
危害识别:
HAZOP
?
是对设计的系统性、创造性的检查方法?
由一个多学科人员组成的小组来完成?
轮流检查每个组件
–考虑设计的意图
–应用引导词
–
确定合理的背离设计意图的偏差2009年10月27日星期二Hollysys
模块三:
评估和降低风险
初始HAZOP引导词
?
NO/NOT:
完全没有到达目的
?
MORE:
数量超过预期的
?
LESS:
数量少于预期的
?
ASWELLAS:
定性的增加,与预计的同时发生?
PARTOF:
定性描述,部分达到?
REVERSE:
与预计的相反
?
OTHERTHAN:
与预计的完全不同2009年10月27日星期二Hollysys
模块三:
评估和降低风险
初始HAZOP引导词
?
NO/NOT:
完全没有到达目的
?
MORE:
数量超过预期的
?
LESS:
数量少于预期的
?
ASWELLAS:
定性的增加,与预计的同时发生?
PARTOF:
定性描述,部分达到?
REVERSE:
与预计的相反
?
OTHERTHAN:
与预计的完全不同2009年10月27日星期二Hollysys
模块三:
评估和降低风险
HAZOP例子
?
考虑一辆旅客列车,电控双叶车门
?
车门有许多的设计目标,例如:
车门的大小、运开/关门的速度、耗电等
?
我们现在只考虑一个设计目的,并且识别所有的危害
?
该设计目的是:
–“一旦列车在站台上停稳,就可以开启车上的电控车门”2009年10月27日星期二Hollysys
模块三:
评估和降低风险
原因分析
?
目的
–确定导致危害的原因
?
方法
–推荐使用图形化的方法
–发生概率的合理的定量估计?
技术
–失效模式与影响分析(FMEA)–故障树分析(FTA)
2009年10月27日星期二Hollysys
模块三:
评估和降低风险
失效模式与影响分析(FMEA)?
由下至上地分解系统的结构或功能?
选择适当的层次作为起点?
考虑本层的所有组件
?
记录失效模式及其的原因与影响
?
某一层次的失效模式是下一层的失效原因2009年10月27日星期二Hollysys
模块三:
评估和降低风险
共模失效
?
原因
–设计
–制造
–操作
–环境
–维护
?
减轻方法
–多样性
–隔离
–检查和测试
–区域分析
2009年10月27日星期二Hollysys
模块三:
评估和降低风险
结果分析
?
目的
–分析出由危害引起的中间状况和最终结果?
方法
–推荐使用图形化的方法
–发生概率的合理的定量估计
?
技术
–原因后果图
–(事件树)
2009年10月27日星期二Hollysys
模块三:
评估和降低风险
人为错误
?
任何系统都会有人参与。
理解人为错误的原因和防护就很重要。
?
黄皮书4第二卷增加了人为错误相关的基本原理和建议
?
人为错误率来源
–THERP-人为错误率预测技术
–概率树图
–二元树(正确/错误)
?
手册给出了人为错误在特定条件下发生的概率
2009年10月27日星期二Hollysys
模块三:
评估和降低风险
人为错误概率
?
数量级估计
–一般疏忽错误(例如:
打字错误)<=2%–疏忽错误(经过很好的练习)0.3%–一般的监督错误(例如:
移交)10%–在很大压力下的决策失误20%-30%
–在很大压力的情况下、短时间内做出正确的行动的失败比例
30%-100%
闯红灯率(98%的闯红灯是人为错误)
–露天信号机(不常显示红灯)~1/5000–站台信号机(出站)~1/37000
–站台信号机(进站)~1/24000闯红灯的原因
–忽视信号(最大的可能):
例如没看见,违反,没有提早行动–判断有误:
例如刹车不灵
–通信错误:
例如命令可以通过
2009年10月27日星期二Hollysys
模块三:
评估和降低风险?
?
损失分析
?
目的
–确定后果分析中与所确定的后果相关联的损失–损失是对人有害的,对环境有损的或者商业损失。
?
方法
–以通用货币的形式,估算后果产生的损失?
技术
–以表格的形式,列出后果及其对应的损失2009年10月27日星期二Hollysys
模块三:
评估和降低风险
安全损失分析
?
等效死亡(生命)或换算死亡(FWI)
–以死亡人数来衡量安全性
?
方法*
–合计死亡,轻伤和重伤
–一个等效死亡相当于
?
10个重伤
?
200个可报告的轻伤(一类休克/外伤)?
1000个不可报道的轻伤(二类休克/外伤)由此可作出经济上的估计
*铁路战略安全计划2005在它的支持文档内使用以上比率2009年10月27日星期二Hollysys
模块三:
评估和降低风险
防止一人死亡的价值
?
2008年的铁路战略安全计划支持文档提出防止一人死亡的价值为1,652,000英镑
?
这一数字用于做ALARP决策
2009年10月27日星期二Hollysys
模块三:
评估和降低风险
防止一人死亡的价值
26February2008
Dear
RSSBGuidanceontheuseofCost-BenefitAnalysisinmakingdecisionsaffectingsafetyThisletteristoinformyouofthelatestRSSBguidanceonhowtoincorporatesafetyriskintoyourdecisionmakingprocess.Itupdatesthevalueofpreventingafatality(VPF)for2008andadvisesofachangeintherelativeweightingofcertainminorinjurieswhencalculatingfatalitiesandweightedinjuries.
Valueofpreventingafatality(2008)
Thevalueofpreventingafatalityfor2008hasbeencalculatedbyRSSBfromDepartmentforTransport(DfT)guidancetobe:
VPF2008=£1,652,000
Thisfigureisforusewithinquantitativeanalysistosupportdecisionmaking.TheVPFisalsoavailableelectronicallyontheRSSBwebsite:
2008
2009年10月27日星期二Hollysys
模块三:
评估和降低风险
?
严重碰撞
轻微碰撞
无碰撞
每年总损失
2009年10月27日星期二举例:
损失分析2/2频率*损失0.0033*54=0.180.0049*0.34=0.00151.0918*0.015=0.016=0.20Hollysys
模块三:
评估和降低风险£M/年
方案分析
?
目的
–确保所有降低风险的合理方法已经被考虑。
?
方法
–确定可能和已知的控制措施,并且使用这些控制措施来降低总体风险
–确定每个方案的代价
?
技术
–风险降低
2009年10月27日星期二Hollysys
模块三:
评估和降低风险
消除危害
?
应该始终首先考虑是否能够把危害消除?
可行的消除策略
–用无害的原材料替换掉有毒的原材料–用阻燃材料替换掉易燃材料
–用低电压代替高的致命电压
–取消维护和设置操作
2009年10月27日星期二Hollysys
模块三:
评估和降低风险
降低事故概率和严重性
?
外部风险降低可以减小事故的概率和严重程度。
有很多方式:
–灭火器
–警告信息和紧急措施
–抗撞性
–立法
?
人因
–做设计上的改变以避免错误
–应用人类特征和功能知识来设计
–考虑到物理、认知和行为的情况
2009年10月27日星期二Hollysys
模块三:
评估和降低风险
举例:
方案分析
?
提出影响危害概率的两个方案
1.重做评估器的软件
–每年花费£0.10M
2.完全重新设计
–每年花费£0.50M
2009年10月27日星期二Hollysys
模块三:
评估和降低风险
影响分析
?
目的
–用来评估实施的风险降低方案的影响?
方法
–对每个风险降低方案进行评估?
技术
–使用第一步到第四步的过程2009年10月27日星期二Hollysys
模块三:
评估和降低风险
举例:
影响分析
?
确定两个方案
1.重做评估器软件
?
降低计轴器故障率3个百分点
?
降低每年损失从£0.20M到£0.07M?
风险降低量为每年£0.13M
2.完全重新设计
?
降低计轴器故障率10个百分点?
降低每年损失从£0.20M到£0.02M?
风险降低量为每年£0.18M2009年10月27日星期二Hollysys
模块三:
评估和降低风险
证实满足ALARP
?
接受一个已识别的风险的要求
–所有的风险已经在可容忍区域中,也就是位于可容忍区域上限的下方
–所有风险已经降低到合理可行的最低:
所有实用的和有效的成本风险消除、减低、减缓和控制措施已经被应用。
2009年10月27日星期二Hollysys
模块三:
评估和降低风险
符合和ALARP的定性证据?
满足容忍度上限的定性证据
–修改前的风险在容忍度上限之下
–风险没有增加
–容忍度上限没有被较大的降低
–铁路系统的安全目标没有被较大的调整
?
ALARP的定性证据
–专家通过表决,得出所有被拒绝的方案是不合理可行的。
表决结果需要记录并通知
2009年10月27日星期二Hollysys
模块三:
评估和降低风险
符合和ALARP的定性证据?
满足容忍度上限的定量证据
–为铁路系统分配容忍度上限
–得到系统的可容忍的危害率(THR)
–证明实际的系统危害率在得到的可容忍上限值下
2009年10月27日星期二Hollysys
模块三:
评估和降低风险
风险目标
?
铁路道口风险
–路网公司目标:
2003年到2006年期间降低风险15%?
闯红灯风险
–在2001年的基础上到2006年预期降低风险到70%?
袭击和破坏
–报告的破坏行为在2005年末达到降低7.5%(BTP目标)?
基于风险降低目标的机会
–每年等效死亡要总体减少6个(2005年战略安全计划)的安全增进计划,也成为了其它铁路公司的安全增进工作的一部分(SSP铁路设想)
2009年10月27日星期二Hollysys
模块三:
评估和降低风险
总体系统风险
?
考虑你的系统如何降低由铁路其它系统引起的风险。
必须增进铁路总体安全。
?
铁路其它系统如何响应你的系统故障
?
考虑铁路如何检测你系统的故障、以及如何响应危险故障。
估计风险时间
?
方法是模拟潜在故障情况
2009年10月27日星期二Hollysys
模块三:
评估和降低风险
监督风险
?
基本原理
–你的组织必须使用所有合理的步骤去检查和增进对风险的管理
–必须寻找、收集和分析可增进风险的管理的数据
–必需在安全责任的全程保持监测,以防环境改变会影响风险
–新的信息出现并认为是必要监督风险的时候2009年10月27日星期二Hollysys
模块三:
评估和降低风险
监测风险
?
基本原理
–你的组织必须使用所有合理的步骤去检查和增进对风险的管理
–必须寻找、收集和分析可增进风险的管理的数据
–必需在安全责任的全程保持监测,以防环境改变会影响风险
–新的信息出现并认为是必要监督风险的时候2009年10月27日星期二Hollysys
模块三:
评估和降低风险
审核风险评估
?
问题
–危害识别和分析是否更新了?
–是否评估了所有潜在事故?
–是否评估了所有相关概率?
–概率的评估是否谨慎?
–风险容忍度是否已经给出估值?
–风险容忍度估值的方法是否合理?
–风险是否降到合理可行的最低?
–文件是否正式签署?
–风险将如何监测?
?
密切注意
–共模故障
–对系统故障的乐观主意
–没有明说的假设
2009年10月27日星期二Hollysys
模块三:
评估和降低风险
总结
?
?
?
?
我们要理解变化/项目的范围我们要理解如何造成危害并对它们的原因和结果建模我们确定会造成什么损失和为此做什么黄皮书使用通用7步法来说明这一方法。
开始于危害识
别,最后结果是可以证明风险已经降低到合理可行的最低。
?
我们必须寻找、收集和分析可增进风险的管理的数据。
2009年10月27日星期二Hollysys
模块三:
评估和降低风险