基于危險要素的危險分析技術

趙 遠 焦 健 趙廷弟

(北京航空航天大學 可靠性與系統工程學院，北京100191)

為了提高系統的安全性水平，必須在系統設計過程中開展安全性工作，以消除危險或降低危險的風險.安全性工作的關鍵是危險識別［1-4］.與系統設計緊密相關的首個危險識別工作是初步危險分析［5-8］.初步危險分析工作是在系統的初步設計階段開展，通常能發現設計初期潛在的危險和其他與安全相關的信息，例如系統層次危險、頂層事故、安全關鍵功能等，以盡可能早地從安全性角度來影響設計.初步危險分析是后續危險分析和安全性工作的基礎［4，9］.在 GJB/Z 99—97 以及美軍的系統安全標準MIL-STD-882E等多個標準和文獻中都明確要求或建議在系統設計過程中，要開展初步危險分析工作［10-14］.

在開展初步危險分析工作中，往往采用填寫表格的形式［2-4］，表格中要填寫的內容已經確定.卻沒有說明如何獲取這些內容，表格中的內容是開展初步危險分析工作結束后應給出的信息.雖然在GJB/Z 99—97中介紹了多種常見的危險及其控制，但仍不足以支撐結合具體系統來開展初步危險分析.從而，在對具體的系統開展初步危險分析過程中，分析人員即使知道表格中應填寫的內容，仍然很難開展該項工作.

結合對某型飛機初步危險分析的工作經驗，本文以能量意外釋放事故致因理論為基礎，從安全性與可靠性的關系以及危險三角理論角度，分析危險的構成要素及其與風險的關系，提出了面向初步危險分析工作的危險識別技術，即基于危險要素的危險分析技術.該分析技術，以危險元素為切入點，對分析對象內部件進行分類，通過分析部件的各種情況及其耦合關系，來辨識系統危險.

1 危險構成原理

1.1 危險元素

人類利用能量做功以實現生產目的，在正常生產過程中，能量受到多種約束限制，按人們的意志流動、轉換和做功.Gibson和Haddon等人提出了能量意外釋放論，從能量的角度揭示了事故的發生規律［15-16］.該理論認為如果由于某種原因能量失去了控制，超越了人們設置的約束或限制而意外地逸出或釋放，則發生事故，即事故是一種不正常的或不希望的能量釋放并轉移于人體［17］.

能量意外釋放論闡明了事故發生的物理本質，防止事故就是阻止能量意外釋放，避免人體接觸能量.在系統設計階段安全性分析人員應注意系統設計中能量轉換、流動，以及不同形式能量的相互作用，尋找可能導致危險元素意外泄漏或釋放的事件.在此基礎上，本文提出的危險分析技術正是從明確對象中涉及的危險元素為起點，分析對象中導致危險元素意外泄漏或釋放的事件.

1.2 危險特點

危險的存在以及事故的發生都涉及多個事件.在系統設計過程中，通常考慮系統內部某些產品故障或缺陷，以及產品之間交互的缺陷使得能量意外釋放.危險的這一特點也就決定了安全性研究的對象層次較高，并且涉及多個產品，無法研究單個產品的安全性.例如，對于一個閥門，可以單獨地研究其可靠性，分析它的故障原因和模式，但無法研究閥門的安全性.只有將閥門和與其相關的部件放在一起才能研究安全性.比如，飛機起落架中液壓系統中的閥門，就可以研究它對飛機安全性的影響.這是安全性研究與可靠性研究特點的差異之一.

危險涉及的多個事件往往與具體產品的可靠性相關，可靠性與安全性又有交叉.比如，在研究飛行控制系統的安全性過程中，就需要考慮舵機、桿位移傳感器和操縱臺等產品的可靠性，確保它們的可靠性，也就提高了飛行控制系統的安全性.

1.3 危險構成

危險的存在是由多個事件導致的，通常將這些事件分為3類:危險元素、觸發機制和威脅/對象，它們是危險存在的基本要素［2-3］.危險元素是構成危險的基本危險源，如具有危害性的物質、高危能量等.觸發機制是引起危險發生的觸發或引發事件，如部件失效、設計缺陷、外部環境影響和人為差錯等.危險的觸發機制事件就包含了特定部件的失效.特定產品的可靠性放在一定的事件場景下將影響對象整體的安全性.威脅/對象是易受到傷害和/或破壞的人或物，如系統的使用人員、系統自身和環境.

危險元素是危險存在的直接原因.由于系統中使用危害物質(具有化學能)或系統運行過程中具有能造成傷害的能量，例如武器裝備，因為某些特定原因，這些有害物質或能量就有可能意外釋放，導致事故發生.系統中具有危險元素，但不一定就會發生事故.觸發機制導致危險向事故轉變.事故發生過程中涉及了多個觸發機制，如部件失效、部件之間或系統之間的接口缺陷、外部環境影響和人為差錯等.若干個觸發機制使得危險元素出現了意外的釋放.

在系統尤其武器裝備系統中，危險總是存在的，但是它們的風險必須控制在可接受的范圍.

當系統中危險的風險是可接受的，那么就認為系統是安全的.風險通過對危險的可能性和嚴酷度的評估來確定，有多種用于確定風險的風險矩陣［5，18］.危險三要素直接與風險相關，如圖1所示.危險元素的特性和量值，直接決定了其意外釋放所帶來的危害大小;威脅/對象直接決定了具體的損失情況.它們兩個共同決定了危險的嚴酷度等級.觸發機制直接決定了事故發生概率.通常屏蔽或控制危險元素的中間環節越多，那么事故發生的概率相對較低.

圖1 危險三要素及其與風險的對應關系Fig.1 Three factors of hazard and its relationship with risk

危險構成原理，為識別危險和控制風險確保系統安全提供了理論基礎.本文提出的基于危險要素的分析技術是通過識別危險三要素來確定系統可能的危險.

2 危險分析技術原理及流程

基于危險要素的危險分析技術原理如圖2所示.對于危險元素(危害物質和高危能量)的分析以兩條線開展:危險元素的存儲、傳輸和使用;危險元素的監測、控制決策和執行機構.對于危害物質和高危能量相關的觸發機制通常是這兩條主線中的若干環節異常或設計缺陷.由危害物質或高危能量以及具體的觸發機制決定了對應的威脅/對象.

在開展該分析過程中，首先明確對象中的危險元素，然后分析可能的觸發機制和相關的威脅/對象，確定對象中的危險，分析流程如圖3所示.

圖2 危險分析技術原理Fig.2 Theory of hazard analysis technique

圖3 基于危險要素的危險分析技術流程Fig.3 Hazard analysis process based on hazard factors

1)明確對象涉及的危險元素.

在明確分析對象后，確定對象涉及的危險元素，如能量源、危害物質、電氣和系統使用過程中可能接觸的外界環境等.比如，對于飛機的燃油系統，與它相關的危險元素是燃油.與其相關的危險都是源自燃油的泄漏、著火和無法供給.確定危險元素是該危險分析的起點.

2)對分析對象中的部件分類.

將對象中的部件分為兩類:一類是對危險元素的存儲、傳輸和使用相關的部件(部件類型Ⅰ);一類是對危險元素監測、控制決策和執行機制相關的部件(部件類型Ⅱ).

3)結合引導詞確定部件的可能狀態.

為了確定可能的觸發機制，必須要明確不同類型部件的可能狀態.由于在系統的初步設計階段，部件的詳細信息難以確定，從而針對部件的使用類型采用引導詞來確定部件的可能狀態.

對于類型Ⅰ中的部件，考慮部件不工作、間歇工作或工作不穩定、運行時間不恰當(過早、過晚)、不能停止工作、結構破損、振動、泄漏或滲漏、受液體和熱影響等.

對于類型Ⅱ中的部件，考慮部件無法運行、間歇工作或工作不穩定、發出錯誤或沖突的信息和數據、超出允差、控制決策的軟件差錯、操作時間不當(過早，過晚)、不能停止運行或意外停止運行、接收到錯誤的信息、受液體和熱影響、滯后運行、振動等.

4)分析相關的觸發機制事件和相應的威脅/對象.

在確定部件的可能狀態以后，分析狀態及其組合對危險元素的影響，確定可能導致危險元素泄漏或意外釋放的事件.在分析可能相關的觸發機制過程中，針對設計方案特點，結合以下幾點確定可能的觸發機制:

①功能原理.以危險元素為起點，結合功能原理和部件的可能狀態確定可能造成危險元素意外釋放的事件.

②現役相似系統的經驗教訓.結合在相似系統中已發生事故的經驗教訓，確定可能的觸發機制，找到薄弱環節.

③任務過程.通過考慮任務過程中環境因素(熱、鹽霧、惡劣氣候等)、人員操作可能差錯、以及安全關鍵部件的故障等這些因素及其組合對危險元素的影響，確定觸發機制.

④與危險元素相關的安全關鍵軟件命令和響應以及軟硬件接口問題.例如，錯誤命令、不適時的命令或響應等觸發機制.

⑤保障和維修.例如，保障或維修過程中引入的部件異常狀態以及人員差錯導致不良后果以及與危險元素相關的射線、噪聲、電源在保障或維修過程中對人員的傷害等.

危險元素意外泄漏或釋放必定對人和物帶來傷害與損失，在確定了危險元素和觸發機制事件后，結合具體的關聯情況也就能確定出其相應的威脅/對象.通常威脅/對象從對分析對象自身、相關產品和系統、人員、環境方面考慮.

5)確定危險及其風險

在確定與危險元素相應的觸發機制與威脅/對象后，明確危險并確定其風險.通過危險元素和威脅/對象來確定風險的嚴酷度，由觸發機制事件來確定風險的可能性.在確定危險及其風險以后，將這些結論填入初步危險分析表中.危險分析結果對初步危險分析表填寫的支持關系見圖4.

通過該危險分析技術能夠識別系統在初步方案階段的危險，并為確定風險提供依據.而且，通過該分析確定出的危險三要素為風險控制提供了方向.在從降低嚴酷度來消減風險的過程中，設計人員可以考慮從危險元素和威脅/對象方面研究.例如，在系統設計中用無毒或低毒性物質來替換危害物質，增加一定的屏蔽措施來阻隔危險元素對人員的傷害.在從降低可能性來消減風險的過程中，設計人員可以考慮從觸發機制方面開展.例如，增加對危險元素的控制裝置、增加對危險元素的監控精度、對關鍵部件采取多冗余設計方式、提高相關部件可靠性等.

圖4 危險分析結果對初步危險分析表的關系Fig.4 Relationship between hazard analysis results and preliminary hazard analysis worksheet

3 應用實例

以某型飛機初步方案階段的燃油系統為研究對象，開展危險分析.燃油系統包括供油分系統、輸油分系統、加油與放油分系統、通氣增壓分系統與燃油測量顯示控制分系統.由于篇幅原因，本文僅列出燃油測量顯示控制分系統的初步危險分析，以說明該技術的可行性和有效性.

燃油測量顯示控制分系統向綜合管理計算機內的機電處理器提供余油告警、供油瞬時流量、全機余油量和2個油泵工作狀態信息.燃油測量顯示控制分系統中涉及的危險元素是燃油.燃油可能由于受熱(熱量可能來自于發動機工作、熱的氣候)增強了燃油的揮發和汽化以及增加氣體壓力，導致油箱爆炸.在飛機飛行階段，如果燃油由于某種原因無法傳輸到發動機，將導致飛機墜毀.

在確定危險元素后，對其部件展開分析.該系統中的部件主要由告警器、油量信號器、壓力信號器、燃油流量計、導管和電纜等附件組成.由于該分系統的功能特點，決定了這些部件都屬于部件類型Ⅱ.

分析可知告警器部件可能無法告警，需要告警時無法告警或無法及時告警，正常情況下異常告警.油量信號器部件可能無法輸出油量信息或輸出油量信息為固定值，輸出的油量信息和實際的油量信息偏差過大.燃油流量計部件可能無法輸出流量信息或輸出流量信息為固定值，輸出的流量信息和實際的流量信息偏差過大.壓力信號器可能無法工作或偏差過大.導管連接處可能松動或裂縫等.電源部件可能無電力供應和電力間斷供應.

通過將部件情況與燃油的使用特點結合，發現了多個危險.例如，油量信號器停止工作或運行過程中誤差過大，都會導致人員對飛機的油量產生錯誤的判斷，當飛機油量低于最低油量時，無法告警或未及時告警，可能導致飛機在飛行過程中燃油耗盡，飛機墜毀.壓力信號器無法工作，都會導致輸送給發動機的油量信息超過誤差范圍，影響飛機飛行品質.流量計工作異常，導致計算機獲取的發動機使用油量信息偏差，影響飛機飛行品質.燃油測量顯示控制分系統中的部分初步危險分析結果見表1.

表1 燃油測量顯示控制分系統初步危險分析表(部分)Table 1 Preliminary hazard analysis worksheet of fuel measurement display control subsystem(part)

采用該分析技術，通過確定燃油測量顯示控制分系統部件的可能狀態以及面臨的異常環境，分析這些狀態對燃油(危害物質)在存儲和使用過程中的影響，確定危險.依據風險評估矩陣，對識別的危險三要素進行評估，確定風險.

對于燃油系統這個安全關鍵系統，在初步方案設計階段采用該危險分析技術后，發現了多個危險和薄弱環節，這些將是設計人員應該注意的因素.

4 結論

針對在開展初步危險分析過程中缺少技術支持的現狀，本文提出了基于危險要素的危險分析技術.通過確定系統中的危險元素，分析可能的觸發機制并得出相關的威脅/對象，識別危險.該分析技術有以下幾個優點:

1)該技術具有較強的工程實用性.安全性分析人員能夠結合設計方案和可靠性分析的結論確定危險三要素并進一步確定危險和風險.

2)對風險的評價提供依據，并為危險的控制或消除提供方向.在風險評價過程中可以從該技術識別的危險三要素來確定危險的風險等級.危險三要素也為危險的控制或消除提供了切入點.

3)適用于后續的安全性工作.該危險分析通過確定危險三要素來識別設計中的可能危險，確定危險控制的關鍵項.在后續的安全性工作中，結合更詳細的設計信息，該技術能夠識別系統中的危險以及故障樹分析的頂事件.

References)

［1］GJB/Z 99—97中華人民共和國國家軍用標準系統安全工程手冊［S］GJB/Z 99—97 Engineering handbook for system safety［S］(in Chinese)

［2］ Ericson C A.Hazard analysis techniques for system safety［M］.Hoboken:Wiley，2005

［3］Ericson C A.危險分析技術［M］.趙廷弟，焦健，趙遠，等譯.北京:國防工業出版社，2012 Ericson C A.Hazard analysis techniques for system safety［M］.Translated by Zhao Tingdi，Jiao Jian，Zhao Yuan，et al.Beijing:National Defense Industry Press，2012(in Chinese)

［4］趙廷弟，焦健，田瑾，等.安全性設計分析與驗證［M］.北京:國防工業出版社，2011 Zhao Tingdi，Jiao Jian，Tian Jin，et al.Safety design analysis and verification［M］.Beijing:National Defense Industry Press，2011(in Chinese)

［5］ MIL-STD-882E Department of defense standard practice system safety［S］

［6］顏兆林.系統安全性分析技術研究［D］.長沙:國防科學技術大學，2001 Yan Zhaolin.A study on the technique of system safety analysis［D］.Changsha:National University of Defense Technology，2001(in Chinese)

［7］熊峻江，劉寶成.系統安全性分析與設計方法研究［J］.北京航空航天大學學報，2002，28(2):141-143 Xiong Junjiang，Liu Baocheng.On the analysis and design method of system safety［J］.Journal of Beijing University of Aeronautics and Astronautics，2002，28(2):141-143(in Chinese)

［8］ NM 87117-5670 Air force system safety handbook［S］

［9］ GEIA-STD-0010 Standard best practices for system safety program development and execution［S］

［10］ Stephans R A.System safety for the 21stcentury the undated and revised edition of system safety 2000［M］.Hoboken:Wiley，2007

［11］ Federal Aviation Administration.FAA system safety handbook［M］.Washington DC:Federal Aviation Administration，2010

［12］ Allocco M.Safety analyses of complex systems considerations of software，firmware，hardware，human，and the environment［M］.Hoboken:Wiley，2010

［13］鄭龍，羅鵬程，高順川，等.系統安全性分析技術綜述［J］.兵工自動化，2006，25(4):22-23 Zheng Long，Luo Pengcheng，Gao Shunchuan，et al.Review of systematic safety analysis technique research［J］.Ordnance Industry Automation，2006，25(4):22-23(in Chinese)

［14］ Vincoli J W.A basic guide to system safety［M］.2nd ed.Hoboken:Wiley，2006

［15］陳寶智.危險源辨識、控制及評價［M］.成都:四川科學技術出版社，1996 Chen Baozhi.Hazard source identification，control and evaluation［M］.Chengdu:Sichuan Science and Technology Press，1996(in Chinese)

［16］陳寶智.安全原理［M］.北京:冶金工業出版社，1995 Chen Baozhi.Safety theory［M］.Beijing:Metallurgical Industry Press，1995(in Chinese)

［17］鐘茂華，魏玉東，范維澄，等.事故致因理論綜述［J］.火災科學，1999，8(3):36-42 Zhong Maohua，Wei Yudong，Fan Weicheng，et al.Overview on accident-causing theories［J］.Fire Safety Science，1999，8(3):36-42(in Chinese)

［18］GJB 900—90中華人民共和國國家軍用標準系統安全性通用大綱［S］GJB 900—90 General program for system safety［S］(in Chinese)