04第三章(上)-IntroductionToSafetyEngineering《安全学原理》(段振

1《安全原理》主讲：段振伟Tel:13569129972Mail:SafetyDuan@163.comSafetyPrinciple2IntroductiontoSafetyengineeringSafetyengineeringisanappliedsciencestronglyrelatedtosystemsengineering.Safetyengineeringassuresthatalife-criticalsystembehavesasneededevenwhenpieces(部件)fail.安全工程是一门应用科学，与系统工程关系密切。安全工程确保生命关键系统即使部件发生故障也能按需要运行。3IntroductiontoSafetyengineeringAlife-criticalsystemorsafety-criticalsystemisasystemwhosefailureormalfunction(故障)mayresultindeathorseriousinjury.AnExampleofaLife-CriticalSystem：Thepicturebelowillustrateswhatcanhappenwhenalife-criticalsystemfails.ThisparticularcrashtookplaceattheParisAirShowafewyearsago.Ourunderstandingisthatamechanicalfailurecausedthecrash.Thepilotsustainedonlyminorinjuries.生命关键系统或安全关键系统指的是当该系统发生故障时，可能导致死亡或者严重的伤害。一个生命关键系统的例子：下图显示了一个生命关键系统发生故障时能够导致什么事情发生。这次特殊的坠落发生在几年前的巴黎航空表演上。据我们理解是机械故障导致这次坠落。飞行员伤害较小。4IntroductiontoSafetyengineeringSafetyengineersdistinguishdifferentextentsofdefective(有缺陷的)operation:Afaultissaidtooccurwhensomepieceofequipmentdoesnotoperateasdesigned.Afailureonlyoccursifahumanbeing(otherthanarepairperson)hastocopewiththesituation.Acriticalfailureendangersoneorafewpeople.Acatastrophic“(灾难的)failureendangers,harmsorkillsasignificantnumberofpeople.安全工程师能够区分不同程度的不正常运行状态：故障发生在设备某零件不按设计运转的时候；事故仅发生在工作人员（不是修理工）不得不应付该情况的时候；严重事故能够危及一个或几个人；灾难性的事故危及、伤害或杀死大量的人。5IntroductiontoSafetyengineeringSafetyengineersalsoidentifydifferentmodesofsafeoperation:A“probabilistically(概率的)safe”systemhasnosinglepointoffailure,andenoughredundant(多余的)sensors(传感器),computersandeffectorssothatitisveryunlikelytocauseharm(usuallyveryunlikelymeanslessthanonehumanlifelostinabillionhoursofoperation).安全工程师也能够鉴别不同方式的安全运行状态：“概率安全”系统没有个别失灵的部件，并且有足够多的传感器，计算器和效应器以至于完全不可能引起伤害（通常“完全不可能”指小于十亿小时的运行导致一人丧命的概率）。6IntroductiontoSafetyengineeringAn“inherently(本固有的)safe”systemisaclevermechanicalarrangementthatcannotbemadetocauseharm-obviouslythebestarrangement,butthisisnotalwayspossible.Forexample,“inherentlysafe”airplanesarenotpossible.A“fail-safe”systemisonethatcannotcauseharmwhenitfails.A“fault-tolerant(容忍)systemcancontinuetooperatewithfaults,thoughitsoperationmaybedegradedinsomefashion.“本质安全”系统是一种很巧的机械布置，不会产生伤害（很明显是一种最佳的布置形式，但通常不可能）。例如“本质安全”飞机是不可能的。“故障安全”系统指的是当发生故障时不会产生伤害。“故障容许”系统发生故障时还能继续工作，尽管其运行能力从某种形式上下降了。7IntroductiontoSafetyengineeringThesetermscombinetodescribethesafetyneededbysystems:Forexample,mostbiomedical(生物医学的)equipmentisonly“critical,”andoftenanotheridentical(同样的)pieceofequipmentisnearby,soitcanbemerely“probabilistically(概率)fail-safe”.Trainsignalscancause“catastrophic(灾难的)”accidents(imaginechemicalreleasesfromtank-cars(油罐车,洒水车))andareusuallyinherentlysafe.这些术语可以相互联合来描述系统所需要的安全。例如，大多数生物医学设备称为“关键的(重要的)”，而通常另外的同样的设备则与此相似，因此通常被称为“概率故障安全”系统。火车信号问题能够引发灾难性的事故(可以想象化学物质从油罐车里泄漏出来的情景)，这(火车信号)通常是“本质安全型”的。8IntroductiontoSafetyengineeringAircraft“failures”are“catastrophic”(atleastfortheirpassengersandcrew(工作人员),)soaircraftareusually“probabilisticallyfault-tolerant”.Withoutanysafetyfeatures,nuclearreactorsmighthave“catastrophicfailures”,sorealnuclearreactorsarerequiredtobeatleast“probabilisticallyfail-safe”,andsomepebble(小圆石)bedreactorsare“inherentlyfault-tolerant.空难是灾难性的(至少对乘客和机组人员是这样)，因此飞机通常是“概率故障容许”系统。在没有任何安全特征的情况下，核反应堆也许就有了“灾难性的事故”，因此，现实的核反应堆要求至少是概率故障安全系统，并且圆石反应床是本质故障容许系统。9TheprocessIdeally,safety-engineerstakeanearlydesignofasystem,analyzeittofindwhatfaultscanoccur,andthenpropose(提出)changestomakethesystemmoresafe.Inanearlydesignstage,oftenafail-safesystemcanbemadeacceptablysafewithafewsensorsandsomesoftwaretoreadthem.Probabiliticallyfault-tolerantsystemscanoftenbemadebyusingmore,butsmallerandless-expensivepiecesofequipment.从理想的角度说，安全工程师参与到早期的系统设计中，分析该系统以发现哪些故障可能发生，然后提出修改方案使系统更安全。在早期设计阶段，通常故障安全系统借助一些传感器及其数据显示软件可以成为可接受的安全系统。概率故障容许系统通常由更多，更小和更便宜的设备元件组成。10TheprocessHistorically,manyorganizationsviewedsafetyengineeringasaprocesstoproducedocumentationtogainregulatoryapproval,ratherthanarealassettotheengineeringprocess.Thesesameorganizationshaveoftenmadetheirviewsintoaself-fulfillingprophecy(自我实现的预言)byassigningless-ablepersonneltosafetyengineering.（Aself-fulfillingprophecyisapredictionthat,inbeingmade,actuallycausesitselftobecometrue.）从历史上来看，许多组织把“安全工程”看成提出文件以得到规章制度批准的过程，而不是工程过程的真正的资源。这些相同组织通常指派少些称职的人员参与到安全工程中，从而使他们的观点成为自我实现的预言。自我实现的预言是指预言一旦制定就会自我促进成为现实。11TheprocessFartoooften,ratherthanactuallyhelpingwiththedesign,safetyengineersareassignedtoprovethatanexisting,completeddesignissafe.Ifacompetentsafetyengineerthendiscoverssignificantsafetyproblemslateinthedesignprocess,correctingthemcanbeveryexpensive.Thisprojectmanagementerrorhaswastedlargesumsofmoneyinthedevelopmentofcommercialnuclearreactors.通常，与其说指派安全工程师来实际地帮助设计，还不如说让他们来证明存在的、已完成的设计是安全的。如果称职的安全工程师在设计后期发现重大安全问题，那么要纠正这些问题的代价将是巨大的。在发展商用的核反应堆时，项目管理失误已浪费大量的金钱。12TheprocessAdditionally,failuremitigation(减少)cangobeyonddesignrecommendations,particularlyintheareaofmaintenance.Thereisanentirerealm(领域)ofsafetyandreliabilityengineering(可靠性工程)knownas“ReliabilityCenteredMaintenance”(RCM),whichisadiscipline(纪律)thatisadirectresultofanalyzingpotentialfailureswithinasystem,andd