引起危险制动.ppt

* MBSA and STPA 系统安全定义 在项目或活动的全生命周期中，系统地应用特定技术和管理方法辨识并控制危险。 任何安全分析方法的目的最终都是消除危险或减少危险带来的影响。 安全分析方法的原理 事故致因模型 事故致因理论：事故致因理论是用来阐明事故的成因、始末过程和事故后果，以便对事故现象的发生、发展进行明确的分析。 模型：是理解理论和描述理论的一种方式。 目的：解释事故发生原因，对事故发生过程和演变规律进行描述。 作用：指引事故推理的思维方式和事故调查的方向； 决定安全分析的方法； 以及风险控制的措施。 事故致因模型 根据事故模型的表述方式和理论基础可以将事故模型分为三类：事件链、传染病、系统论。 根据安全分析的建模方式可分为如下： 安全分析方法 模拟ASCAP 逻辑验证NuSMV 基于失效传播FPTN、Hip-HOPS 数值分析SPN 基于状态 基于事件 综合HAZOP 归纳FMEA 推演FTA 系统论 MBSA 基于模型的安全分析(Model- Based Safety Analysis) 含义：把系统描述模型化，通过形式化模型进行的安全分析。可能通过data、code、visual graph进行建模。 兴起（目的）： 1、把安全分析与系统设计结合起来，为两者建立一个正式的共同平台。 2、随着系统的不断复杂化，人工得到安全分析结果越来越困难，我们希望自动得到分析结果。 MBSA MBSA是一类分析方法，而不是一种分析方法。更是一种理念。它贯穿于安全设计的全生命周期。 MBSA MBSA的事故致因模型是：事件链模型和失效传播模型。 MBSA常用的工具有：SCADE，Simulink , Altarica, UML, Simfia. MBSA比较注重分析component failures, physical failures. 忽视human factors , social factors, environment, management, interaction between components. MBSA过程 The process of MBSA MBSA特点（优点） 1、定性、定量的安全分析。 2、针对组件进行建模，通过模型控制，而不是变量控制输出。模型是由可重复使用的组件库建立。 3、节约时间：通过软件实现，各种分析结果自动生成。 4、系统发生改变，各种分析结果自动改变，而传统的分析方法做出改变需要时间精力就很多。 5、可自上而下建模，也可自下而上建模，由所用软件功能决定。 MBSA特点（优点） 6、接口简化，却包含了PSSA所有失效模式，应用于复杂系统。 7、安全分析：避免由于系统复杂性丢失失效情景，快速建模结构选择，对复杂功能确认、验证和综合。 8、系统工程师与安全性工程师能够在一个共同的清晰的系统模型上开展工作，这个共同模型保证了安全性分析结果能够伴随着系统研制过程及时地更新，使得系统设计过程早期就能进行安全性评估。 STAMP（Systems-Theoretic Accident Model and Process） 系统论的基本观点： 整体性、层次性、涌现性、系统的开放性、系 统的动态性。 STAMP的目的：识别传统致因模型不能识别的方面：组件交互、人员、社会、管理、环境等。 STAMP（Systems-Theoretic Accident Model and Process） 传统事故模型： 1、一个失效直接引起下一个失效，传播模型。 2、事故是随机事件的叠加。 3、都无法准确表现复杂社会技术系统模块交 互的非线性特性和动态特性。 STAMP事故模型： 1、传播路径是整体，不可割裂。 2、事故不是随机事件简单叠加，系统可能大于部分之和也可能小于部分之和，涌现性。 STAMP（Systems-Theoretic Accident Model and Process） 3、事件间仍有因果次序，但每个事件可能有多个前驱事件和后序事件，因此不是链而是网。 STAMP（Systems-Theoretic Accident Model and Process） 由于STAMP把安全性视为涌现性，把安全问题转化为控制问题，认为事故的产生是由于没有对系统施加适当的控制。 STAMP最基本的概念不是事件，因为它不是把事件作为直接导致事故的因素。它最基本的概念是约束。 STAMP三个基本概念：安全约束，分层控制结构， 过程模型。 STAP系统理论过程分析 （System Theoretic Process Analysis） 基于ST