《安全性评价中的可度量性分析》由会员分享,可在线阅读,更多相关《安全性评价中的可度量性分析(6页珍藏版)》请在金锄头文库上搜索。
1、http:/ - 1 - 安全性评价中的可度量性分析安全性评价中的可度量性分析 郦萌 同济大学电子与信息工程学院,上海(20092) E-mail: 摘摘 要:要:随着经济的发展和社会的进步,关注“安全性”的领域和社会民众越来越多,对于安 全的要求也越来越苛刻。 安全投入究竟带来怎样的回报同样是社会和民众所关心, 安全性度 量自然是一件不可回避的事。问题在于安全性的量化评估(度量)上的困难。本文在分析安 全性本质和安全性度量要素等的基础上, 提出了安全性可度量性的概念, 引入了事故的可承 受性和社会敏感性等问题, 并分析了影响安全性可度量性的度量数值的确定性和度量陈述的 清晰性问题。 安全性问
2、题受到社会越来越多的关注, 为提高安全性所作的投入究竟取得了怎 样的回报就涉及对安全性评价中如何度量安全性的问题。 本文根据安全性的度量要素, 提出 了安全性可度量性分析的概念, 旨在对各类安全性度量体系从度量内涵覆盖性、 度量数值的 确定性和度量陈述的清晰性等方面考察一个度量体系对安全性刻画的完整性和充分性。 关键词:关键词:安全性,可度量性,风险,可承受性 随着经济的发展和社会的进步,关注“安全性”的领域越来越多,对于安全的要求也越来越苛刻。 为了满足社会和民众对安全性的需求所做的投入究竟带来多大回报自然是一件不可回避的事。 不少安全相关领域在对安全性评价时都包含某些量化的安全性定义和方法
3、, 也就是关于安全性的度量体系, 但是这些度量是否完整地反映了安全性的所有相关属性以及满足了关注者的要求,还是可以探讨的。本文在分析安全性本质和安全性度量要素等的基础上,提出了安全性可度量性的概念,同时,以安全性度量内涵的覆盖性、度量数值的确定性和度量陈述的清晰性为基础分析一些安全性的度量模型。 1 安全性问题本质安全性问题本质 1.1 安全和安全性安全和安全性 安全是人类除了“食”、“色”之外最重要的需求。所谓“安全(safe)”,简而言之就是“无忧患”。“安全”在中国古文中就是“安”1。 “今国已定,社稷已安矣 (国策齐策六) 。”中的“安”主要指“当前的无患”; “安得广厦千万间,大庇天
4、下寒士俱欢颜,风雨不动安如山(杜甫诗茅屋为秋风所破歌 ) 。”中“安如山”的“安”主要指“未来的无忧”。在今文(现代文)中在“安”之后又加了一个“全”,想必为了进一步强调安全需求的完整性。 安全性(safety)是反映某一个被考察的对象(危害源)没有造成也不会造成危害的属性。 这里被危害的对象包括了作为实施考察主体的人、 人的群体以及人类。 危害的范围包括:人的生命、免伤残和生存的权利;作为生存基础的财物(实物、现金和它们归属的权利)以及将它们延伸到国家的完整和生存发展的权利。 近年来对环境的危害被提到重要的地位, 因为对环境的危害涉及了人的群体或全体,这就进一步提高了社会对安全性的需求。 1
5、.2 安全性的几个重要属性安全性的几个重要属性 安全性是描述主体“无忧患”的性质。 相比于现代科学和工业技术中涉及的“可靠性”, “安全”和“可靠”是两个相关联而不相同的概念。相关表现在处在“可靠”环境中的主体,理应是无忧患的, 不同在于“可靠”是主体对所依赖客体的感受, 而“安全”是主体自身对处境的感受。主观性是安全性的第一个属性。 对于人来说,安全的追求,首先是“安身立命”,然后是“无所忧虑”。“无患”且“无忧”是http:/ - 2 - 安全性追求的最高境界,不过就人对于安全的感受而言则是因人而异的。有的人能“直面惨淡”,有的人则好“杞人之忧”,差异甚大。因人或人群而不同的安全需求的相异
6、性是安全性的第二个属性。 安全性问题,有“个人感受”和“社会认同”两个层面,特别是社会认同与民族传统、经济和文化发展现状相关,具有人文特征,这是安全性的第三个属性。 安全性虽然需要许多经验作为考察的依据, 但是它要给出的是未来是否安全的信息, 安全性的度量只有在危害发生之前才是有意义的。 一旦危害发生, 人们的关注已经不是安全性(对于安全性预测技术本身进行修正的努力除外)而是事故的善后处置。因此,前瞻性是安全性的第四个属性。 2. 安全性的度量安全性的度量 安全性度量 (safety measurement) 是综合各种安全性相关因素对安全性从经验关系系统到数值关系系统的映射。 随社会的进步,
7、对于生命、环境愈加受到珍视,为了提高安全性的成本急剧上升,昂贵的投入获得如何回报?对安全性度量问题的关注与日俱增。 有些和安全性有关的度量估计了危害发生的可能性(概率或似然率) ,或许,还包括可能造成能够用损失货币(或折算的货币) 、死亡人员(或折算死亡人员)来体现的损失,不过仅这样的度量未必能包含社会对危害事故可承受性的安全性要素,因此并不是完整的安全性度量。 一个受到关注,需要度量的安全性问题,必须覆盖以下安全性度量要素: a某一个(或一类)可能引起危害的危害源(考察对象) ; b针对该危害源的安全防范机制以及防范机制的功能; c公众(社会)对于该危害源涉及被害人、被害群体的安全性敏感性(
8、或对应危害的可承受性) ; d关于该类危害源的基础数据收集以及数据处理方法。 2.1 危害源危害源 危害源(hazard,在以下分析中简记为 H )在不同的领域的文献中上有多种表述,如危险、危害等。但是,根据韦氏词典 ,hazard 第一个解释是:对于一种因抉择而存在胜、败两种可能的博弈因素。hazard 的第二个解释就是“source of danger ” 危害源2。 危害源的概念是:“系统运行中,不期望出现、不能预料其发展、可能对安全带来危害的基本因素”3-5。在论述安全性问题的时,这个定义是最贴切的,表明它是对安全性的潜在威胁和“未然”的危害。如将其理解为已然的“危险(danger)”
9、或“危害(harm)”就不妥当。因为,hazard 即不是 safety 的反义词,也不是 danger 或 harm 的近义词。 危害源具有层次的属性, 最本原的危害源可能只是一个材料中的瑕疵、 一个设计的缺陷、一次错误的操作,进而可能引起(诱发)高一个层次的危害源,直至导致实际的危害。低层次的危害结果,可能就是上一层次的危害根源。 危害源是考察安全性问题的焦点,哪些(类)危害源必须纳入考察者的视线,哪些可以忽略,是评估(度量)安全性的关键。需要纳入考察范围的危害源主要是那些曾经存有出现记录,而且带来危害较大的。但是有些有可能造成巨大损失的危害源,即使它们出现的记录很少,甚至没有记录但通过分
10、析存在出现可能的某些危害源也要纳入。 http:/ - 3 - 2.2 危害防范机制危害防范机制 危害防范机制(protective system against hazards,在以下分析中简记为 P) ,也就是安全保障机制。任何一个涉及安全的系统,通常都设置安全保障机制。安全保障机制根据保障的目标、作用、范围不同,可能是用“软件”来实现,包括行政法规、管理制度等等,也可以用硬件来实现,包括各种保安装置、保安器件等,防止危害源的发生和限制危害源发展成实际的危害。报警(预警)也是一种危害防范机制,它能及时通报危害源的出现,以便尽早采取更有效的防范措施。 如果安全保障机制面对的是重大危害的防范任
11、务,也就是那些对安全负有直接责任的、对安全性有最高要求的,或者会由于一个不正确行为使潜在危害源演变成不可接受风险,从而必须对所使用的安全性技术进行细刻深究的系统,这种系统通常称其为“安全性苛求系统(safety critical system ) ”5。 safety critical 是一个术语成分, 近来被越来越广泛使用。 以往,在国内有的文献中称其为“安全第一的”,有的称其为“安全关键的”。不过“第一”或“关键”并不能非常贴切地传递 safety critical 所包含的全部信息。“安全第一”和“安全关键”都只是说明安全性在系统中重要性地位或所起的决定性作用。critical 最本原的
12、意义是“批判”,包括“对缺陷的揭露”和“对于事物吹毛求疵的挑剔”2,而其它含义都是派生出来的。“安全性苛求系统”是比较合乎原义的概括。 危害防范机制不论是体现为硬件的还是体现为软件的, 它的可靠性对于安全性来说是至关重要的, 如果防范机制设计得非常周密, 防范机制的可靠性就能够在较大程度上反映对象的安全性。 2.3 危害风险的可承受性危害风险的可承受性 大多数技术的和社会的危害防范机制都难以实现“绝对的安全”, 对于安全性的追求受到安全成本的制约。安全性的努力目标是在成本和公众可承受性(tolerability,在以下分析中简记为 T)中找到一个最佳的平衡点。这里不可避免地要引入一个安全敏感性
13、(safety susceptibility)的概念,它与可承受性的关系,需要专门论述。安全敏感性高的问题很可能对应较低的可承受性, 在量化上大体上呈反比的关系。 社会对安全性的敏感性取决于安全性事故对公众的刺激、刺激的频度和刺激阈值,大于阈值的刺激对敏感性的增大影响为正,频繁刺激对于敏感性的影响为负,即使是大于阈值的刺激也会使敏感性随刺激的频繁而降低;空间间隔和时间间隔,感受身边的刺激为正,感受久远的刺激为负。 影响敏感性的因素还有: (1)公众对于不同行业或使用不同工具的风险有来自直接或间接经验的认识。比如,对于采矿行业大家都有风险高的认识,这是因为不时有矿难事故的报道;对于出行工具,大体
14、上会有利用铁路比利用航空风险小一些的认识, 这是因为空难事件中, 一次性群体死难的报导多于铁路,即使每年累计的死难人数正好相反仍改变不了群体死难带来的心理“冲击”。通常,在公众中定势为风险大的行业,对其安全敏感性就低一些,定势为风险小的行业,对其安全敏感性就高一些。 (2)社会对一个封闭环境中运行的行业事故,比之一个在开放环境中运行的行业事故的安全性敏感性要低一些。一次上百人死亡的矿难,虽然引起社会的震惊,但是人们感觉它们毕竟不是身边发生的事。 而像铁路、 航空这样的大众交通工具, 由于和社会成员切身相关,事故死亡率稍微大一点就会引起公众极大的不安。 http:/ - 4 - (3)负有管理责
15、任的主体 社会对于安全性的敏感性还和负有管理责任主体(不一定是直接责任者)的身份有关,这是一个微妙的问题。同样的一件事故,如果负有管理责任主体是政府、国有企业,敏感性就高一些。反之,如果责任者不是依靠国家财政维持运行的企业,敏感性就可能低一些。 有一个例子可以说明因受害人(群)不同而社会容忍度不同。欧洲某国铁路到 2009 年的“安全性整体目标”中事故死亡人员希望降低到 1999 年时的二分之一6, 在这个“目标”中,体现社会对于事故人员死亡容忍度的“折算死亡率”的不同人员属性的分类之比为: “旅客”“ 公众(非旅客、非铁路职工)”“ 铁路职工” = 19.366.7 从中可以看出,由于感受主
16、体(社会成员)很容易变成“旅客”或“公众”这样的角色,所以对“旅客”和“公众”能容忍的死亡率较低,也就是安全敏感性比较高。而对铁路职工死亡的敏感度就比较低。“旅客”由于和铁路经营者通过车票形式存在一种安全保障的“契约”,所以对“旅客”死亡的敏感性比对公众又更高一些。 安全敏感性中包含某些不宜清晰说明但又不可排除的要素。 2.4 安全性度量中基础数据的采集和处理安全性度量中基础数据的采集和处理 根据安全性度量中数据的采集和处理对可度量性有很大的影响。 在某些安全性度量的命题中,系统安全性仅由各相关成分安全性来确定。例如一个用硬件实现的危害防范系统,危害源的检知、危害信息的传输、危害发展的限制等防范功能环节的关系是确定的。在安全性度量中仅需要利用系统综合等工具。 有些度量需要包括危害源发生的可能性、 危害防范机制失效和失效后未被及时纠正的可能性、被
