STPA一种新的危险分析技术.doc

8 STPA：一种新的危险分析技术 危险分析，可以称为“事故发生之前的调查”。目的那些潜在的事故原因，可以导致损失的以在危险发生之前将它们在设计或操作。广泛使用的危险分析技术五十年前当今复杂、软件密集型、社会技术系统应用存在严重的局限。本章介绍基于STAMP模型的危险分析新方法，称为STPA（系统理论过程分析）。 8.1 目前广泛用的三种危险分析技术：故障树分析，事件树分析和HAZOP。这三种技术相结合的，比如因果分析技术（合自上而下的故障树和前分析的事件树）和领结分析（结合前和后望的链接技术）时常被应用。《》和其基础教材。 FMEA （失效模式与影响分析）有时被作危险性分析技术，但它是一种自下而上的可靠性分析技术，在安全性分析具有非常。 STPA的首要原因是STAMP辨识出的、而老技术因素。更具体地说，危险性分析技术应当包括设计错误包括软件缺陷部件交互事故认知复杂决策失误社会、组织和管理。总之，目标就是涵盖事故过程不仅仅那些机电。虽然尝试在传统危险分析技术中添加新的特来处理新技术，但这些努力，因为老技术因果关系模型新的因素的特征。STPA第2章新假设。 设计STPA另目标是给用户提供指导。故障树和事件树分析分析师树本身分析结果。系统模型。使用这些技术至关重要，故障树和事件树的质量也就。 在工业生产过程中广泛使用HAZOP方法向分析师提供了更多的指导 HAZOP分析基于故障树和事件树略有不同的事故模型，即事故系统参数的偏差，比如当要求向前流动时，通过管道向前流动太多或回流。HAZOP使用了一套来检查管道和接线图的各个部分、小于或者相反。因此，执行过程物理结构具体模型。 HAZOP类似 ，STPA是系统模型，并协助分析，但由于STAMP中认为事故往往是由控制不造成的模型功能控制图，而不是物理部件图。此外，套控制缺乏，而不是物理参数偏差。仍然需要工程，但STPA完整性。 STPA的第三最目标是设计，也就是说，设计过程的信息，而不是在分析可以开始前要求设计。最早的概念设计阶段开始统中，是设计更安全系统。，分析技术也。 8.2 STPA STPA （System-Theoretic Process Analysis，系统理论过程分析）系统生命周期的任何阶段。它危险分析技术相同的目标：系统危险行为安全约束的信息。根据使用，它提供信息和文件以在系统设计、开发、制造和中安全约束，包括这些过程中随着时间推移发生自然变化。 STPA功能控制图、系统危以及第7章部件的安全约束和安全求。STPA用有设计，分析过程开始时这个信息。 当STPA安全设计，过程只有系统级的求和约束。在后一种情况下，在迭代设计和过程分析中这些求和和追踪系统部件。 STPA有两个主要步骤： 识别导致危险状态的系统控制。危险状态来源于控制和安全约束，发生的原因如下： a. 未提供或者没有遵守安全的控制。 b. 提供一个不安全的控制。 c. 提供安全控制，即错误的时或。 d.安全的控制太快或太长。 定步中潜在的危险控制会发生。场景 a.对于每一个不安全的控制，要检查控制回路的各个部分以是否会导致这些控制会发生。如果控制和缓解措施设计如果已的设计则要对有的措施进行评估。对于同部件或安全约束多控制器，应识别冲突和潜在的协调问题。 b.考虑设计控制随着时间的推移如何护，包括 i. 管理变更程以确保在的变中安全约束能够得。 ii.对危险分。 iii. 。 分析可以在一个步骤中进行，并把过程分解成若干散的步骤以降低安全工程师的分析负担提供一个的危险分析程。 步骤２（识别不安全控制的原因）步（识别不安全的控制）的信息 本章中假设STPA时系统设计。下一章描述的是用STPA的安全导设计和控制系统的安全设计原则。 在本章中用两个例子来定义STPA。第一个较为简单，即通用锁。所涉及的危险是人有潜在危险的源，如高。负责控制器，锁来防止危险。在物理控系统中，门或屏障防止。为简化，假设当屏障存在时人身体无法进入里面的区域，也就是说屏障简单的覆盖了电源。门或盖手动操作，所以自动控制器唯一功能是当门打开时关闭电源和当门关闭时打开电源。 这样的设计，过程： 危：暴露高源 约束：当门未关闭时源必须关闭。 图8.1显示了这个简单系统的控制结构。在图中，系统的每个部件可提供的控制指令控制源。自动控制器控制操作包括关闭和打开。操作可以打开和关闭门。自动控制器反馈包括门打开或关闭。在STPA （危害性分析）过程可能。复杂例子，即一个虚构但现实的弹道导弹拦截系统（ FMIS ），如图8.2所示。佩雷拉李和霍华德[154]创建了这个例子来描述STPA用美国弹道导弹防御系统（BMDS）在第一次部署和现场测试前疏忽造成发射。 BMDS是所有飞行阶段（中和）。出于安全原因本章所使用的例子实际系统，但它，本章中利用STPA发