定义
| 来源 | 原文定义 | 出处 | 适用场景优先级 |
|---|---|---|---|
| 美国联邦航空管理局(FAA) | System safety is the application of special technical and managerial skills in a systematic, forward-looking manner to identify and control hazards throughout the life cycle of a project, program, or activity. The primary objective of system safety is accident prevention. | System Safety Handbook(FAA-HDBK-008),2008版,Chapter 1, Section 1.2 | 民航领域最高优先级 |
| 美国国防部(DoD) | System safety is the application of engineering and management principles, criteria, and techniques to achieve acceptable mishap risk, within the constraints of operational effectiveness and suitability, time, and cost, throughout all phases of the system life cycle. | MIL-STD-882E(2012版),Chapter 1, Paragraph 1.1.2;Defense Acquisition University《System Safety Engineering》(2019版)引用 | 国防/军工系统最高优先级 |
| Nancy Leveson(系统安全权威学者) | 1. System safety is an approach to identifying, analyzing, eliminating, and controlling hazards throughout the system life cycle to prevent accidents.<br>2. System safety is a discipline that uses systems thinking and systems theory to prevent accidents in complex sociotechnical systems by identifying and controlling hazards throughout the system life cycle. | 1. 《Safeware: System Safety and Computers》(Addison-Wesley,1995版),p.23<br>2. 《Engineering a Safer World: Systems Thinking Applied to Safety》(MIT Press,2011版),p.45 | 复杂系统/软件安全最高优先级 |
| Clifton A. Ericson II(航空系统安全专家) | System safety is the formal engineering discipline and process for identifying and controlling hazards, and the risk associated with these hazards. It is a proactive, systematic approach to designing safety into systems from the earliest concept phase through decommissioning. | 《Hazard Analysis Techniques for System Safety》(Wiley,2005版),p.11 | 航空危险分析最高优先级 |
| 樊运晓、罗云 | 系统安全是指在系统生命周期内,应用系统安全工程和系统安全管理方法,辨识系统中的隐患,并采取有效的控制措施使其危险性最小,使系统在规定的性能、时间和成本范围内达到最佳的安全程度。 | 《系统安全工程》(第二版,普通高等教育“十一五”国家级规划教材),化学工业出版社,2009版,p.5 | 国内安全工程教材最高优先级 |
| 中国标准出版社 | 系统安全:在作战效能、时间和费用的约束下,在系统寿命周期的各阶段,应用工程和管理原理、准则和技术使各方面的安全达到最佳。 | 《系统安全工程手册》(1997版,等效采用MIL-STD-882C),p.12 | 国内军工/航空标准最高优先级 |
| 徐志胜、姜学鹏 | 系统安全是一种基于系统生命周期的、前瞻性的、系统性的安全管理与工程方法,其核心是通过危险辨识、风险评价和风险控制,将系统风险降低至可接受水平。 | 《安全系统工程》(第四版),机械工业出版社,2020版,p.8 | 国内高校安全工程教材高优先级 |
发展
- 起源(20世纪50-60年代):源于美国空军弹道导弹项目,应对复杂系统事故频发问题,提出“系统安全工程”概念(Ericson《Hazard Analysis Techniques for System Safety》,2005版,p.3)
- 标准形成(20世纪60-80年代):美国国防部发布MIL-STD-882(1969年第一版),成为系统安全领域首个权威标准;FAA开始将系统安全应用于航空系统(FAA-HDBK-008前身)
- 发展(20世纪90年代-至今):
- Nancy Leveson提出STAMP(系统理论事故模型和过程),突破传统事故因果模型(《Safeware》,1995版)
- 系统安全被应用于更广泛领域(铁路、核电、医疗)
- ICAO附件19《安全管理》(2013版)整合系统安全理念到SMS框架
概念
- 系统性:将整个系统(而非单个部件)作为分析对象,关注组件间相互作用产生的风险(这是系统安全与传统安全工程最核心的区别)
System safety looks at the whole system, not just its components. Safety is an emergent system property.(Nancy Leveson《Safeware》,1995版,p.24)
- 前瞻性/预防性:强调从概念设计阶段就开始安全分析,而非事故发生后才进行改进(FAA-HDBK-008,2008版,Chapter 1,p.1-3)
- 全生命周期:覆盖概念→设计→开发→测试→运行→维护→退役全阶段(MIL-STD-882E,2012版,Chapter 2)
- 工程与管理结合:不仅是技术方法,还包括组织架构、责任分配、政策程序、培训等管理要素(FAA-HDBK-008,2008版,Chapter 3)
- 风险可接受性:目标不是“零风险”,而是将风险降低到社会/组织可接受水平(ICAO Doc 9859《安全管理手册》理念一致,虽未定义系统安全)
与相关概念的区别
| 概念 | 核心关注点 | 主要方法 | 适用范围 |
|---|---|---|---|
| 系统安全 | 系统整体的安全性(涌现特性),全生命周期危险控制 | 危险分析(HA)、故障树分析(FTA)、事件树分析(ETA)、STPA(系统理论过程分析) | 复杂系统(航空、国防、交通、能源) |
| 安全管理体系(SMS) | 组织层面的安全管理过程 | 政策、程序、风险管理、安全保证、安全促进 | 组织(航空公司、机场、空管) |
| 可靠性工程 | 系统无故障运行的概率 | 可靠性分配、故障模式与影响分析(FMEA) | 硬件/软件可靠性 |
| 信息安全 | 数据/信息的保密性、完整性、可用性 | 加密、访问控制、防火墙、入侵检测 | 计算机/网络系统 |
系统安全方法
系统安全过程
- 制定系统安全计划(SSP)
- 确定系统安全要求
- 执行危险分析(包括初步危险分析PHA、系统危险分析SHA、操作危险分析OHA等)
- 识别并记录风险缓解措施(遵循安全设计优先级:消除危险→替代危险→隔离危险→工程控制→管理控制→个人防护)
- 验证风险缓解措施有效性
- 进行安全评估
- 实施配置控制与变更管理
- 建立并维护系统安全数据管理
方法
- 危险分析(HA):系统识别潜在危险的过程(FAA-HDBK-008,2008版,Chapter 4)
- 事故树分析(FTA):从顶事件(事故)向下分析原因(Ericson《Hazard Analysis Techniques for System Safety》,2005版)
- 事件树分析(ETA):从初始事件向上分析可能后果
- STPA(系统理论过程分析):基于系统理论的危险分析方法,适用于复杂 sociotechnical 系统(Nancy Leveson《Engineering a Safer World》,2011版)
- FMEA/FMECA:故障模式与影响分析/危害性分析(MIL-STD-882E推荐)
应用
- 航空器设计:从概念阶段就进行危险分析,确保安全设计到系统中(如发动机控制系统、飞行管理系统)
- 空中交通管理(ATM):对空管系统进行全生命周期系统安全分析,识别并控制潜在危险(FAA-HDBK-008,2008版,Chapter 7)
- 机场运行:对跑道、滑行道、航站楼系统进行危险分析
- 民航安全管理:系统安全方法是SMS中**安全风险管理(SRM)**的核心技术支撑
实践应用参考
FSOP
安全属性:
- 程序——完成一个流程的方法,并将其文件化。
- 控制——为确保得到预期结果而设计的检查和限制,并使之成为流程的一部分。
- 流程测量——用来验证一个流程,以及找出问题或潜在的问题,以便纠正它们。
- 接口——各流程之间的接口必须加以管理,以确保预期的结果。
- 权力——能够被明确识别的、具备资格和丰富知识的一个个体、部门、委员会或职位,拥有对流程的设定和变更批准的权力。
引用审定监察系统培训资料
盯组织盯系统
事件调查中,应用“盯组织盯系统”:
- 思想意识类,是指针对国家、民航局、公司安全生产决策部署的学习落实情况。关注相关机制的建立,检查确认实际执行效果。
- 组织管理类,检查企业管理、运行、监督、保障等各部门组织体系的建立和完善情况;安委会工作机制的建立和实际运行情况;安全生产责任的落实情况。
- 规章制度类,是指安全管理框架、政策、工作制度、程序和文件的建立健全情况;行业管理文件的消化吸收和实际执行情况。
- 资源配置类,包括为各岗位配备合格的管理人员和生产运行人员;建立有疲劳管理制度,并定期评估疲劳情况防范安全风险;确保足够的资金投入,保障各项安全工作、教育培训工作的顺利进行。
- 教育培训类,在管理环节建立培训制度程序和评估制度,明确基本要求及职责;建立培训大纲、培训教材、培训考核等体系;在实施环节落实培训制度有效实施包括主要负责人和管理人员、生产运行人员的教育和培训,培训内容贴合实际,满足需要,收到实际效果。
- 工具与环境类,工具设备方面关注为工作顺利开展,建立必要的管理系统,并配置适当的工具设备设施;与工作相关的软件、硬件在数量、可靠性、精准度等方面是否满足运行安全要求。实际运行过程中的自然环境、工作环境、运行环境是否满足安全运行的基本要求。
- 监督检查类,关注独立于运行的安全监督检查工作机制运行情况,通过“盯组织、盯系统”的工作方法,进行了举一反三式的原因分析并完成系统性整改,评价实际的内部监管绩效。
- 风险防控与隐患治理类,建立并运行有效的安全管理体系或等效的安全管理机制,配置足够的、合格的人员,制定风险缓解措施和隐患治理措施,并收到预期效果。
- 系统改进类,关于各类检查或调查中发现的问题及时有效整改情况;对于责任人以及负有管理责任的人员开展教育培训并依规进行责任追究。不断完善安全报告机制、教育培训机制、安全绩效管理机制,事件调查能力、优化管理方式方法和资源配置,确保安全品质处于合理区间。
- 安全文化类,宣传教育环节,建立作风量化考核管理制度,将工作作风作为人员评定、晋升技术等级等重要评价指标;贴合实际,持续推动班组建设、资质能力建设、从业人员作风建设。系统规划文化建设,努力建立积极的安全文化、手册文化、责任文化,沟通文化等
- 应急管理类,成立应急管理机构并配置满足要求的人员;制定各类应急预案,并配置必要的软、硬件资源;定期对预案进行评审修订,并按计划开展应急演练;应急管理工作融入行业和地方的应急工作体系;与上级单位、服务对象、业务交集单位有效衔接;嵌入日常运行环节、工作流程;发现问题并不断改进。
- 调查问责类,建立事件调查机制,具备与运行相适应的调查能力;客观公正全面的开展事件调查,呈现事实经过,分析事件成因,提出安全建议,运用“盯组织、盯系统”思维,围绕调查发现和安全建议,举一反三查找隐患,全面提升安全水平。建立完善的安全责任追究机制、认定程序和判定标准;严格依据纪律处分要求、惩戒制度程序对事件责任人及管理人员进行责任追究。
路径监管
概念
一种基于组织系统理念的监管方法。根据系统安全理念,通过法规、监管事项库、标准、管理制度等途径设置了多层技术手段或管控措施 (以下简称管控手段)以预防不安全事件发生,在同一致因路径上的一组管控手段在防护作用上具有联动性,一旦其中一层失效,其它管控手段必须正常、有效,才能保证整个防护体系有效,这就要求在监管中,如果发现同一致因路径上的管控手段存在缺陷,就必须启动对同一致因路径上的其它管控手段的检查,避免该组管控手段被穿透,导致不安全事件发生,这种针对同一致因路径上的一组管控手段进行关联监管、检查的方法即为路径监管。
实操应用
- 按照 “路径监管”理念将法定自查事项关联 (三级)。民航生产经营单位按照 “路径监管”理念,将同一致因路径上的管控手段涉及的法定自查事项进行关联,以便按照 “路径监管”理念进行法定自查。
- 按照 “路径监管”理念开展法定自查 (三级)。民航生产经营单位按照 “路径监管”理念开展法定自查,当处在同一致因路径上的某一法定自查事项出现问题之后,立即开展对同一路径上其他关联法定自查事项的自查,提高自查的系统性。