保险管熔断
723事件链模型分析结果
Fuse F2 broke up Impedance of the CAN bus droped down Lots of TC senders and receivers broke down (Both main and backup TC senders of 5829AG was broken)
相关事件 • 往往作为进一步因果分析的基础
事件链分析方法（2）
伊拉克友军误伤事故的事件链模型
7.23事故 2011年7月23日20：30：05，甬温线温州境内，由北京
南开往福州的D301次列车与杭州开往福州南的D3115次列车发生 动车组列车追尾事故。中断上下行线行车32小时35分，造成40 人死亡、172人受伤，直接经济损失19371.65万元。
传染病学事故模型（1）
事故致因事件与疾病传播非常相似，即此二者都 是在一定时间和空间范围内同时存在的各种因素 相互作用的产物。
防御屏障
AGENT
总量 传染性 致病性 破坏性
HOST
固有的 物理的 心理的免疫
不利的环境会减弱防 御能力
环境
物理 心理 社会
传染病学事故模型（2）
用“行为偏差（ performance deviation）” 代替“非安全行为（unsafe action）”。 以“环境条件（ enviromental conditions） ”作为原因推理终点。 传染病学模型增加了“防御 屏障（defense barriers） ”要素。 引入“潜在因素”的概念。
事件链模型（1）
事件链总是存在初始点。提出根原因（Root Cause）概 念，即每条事件链总是存在唯一的根原因。 事件之间有清楚的因果关系，意外事件的影响通过因果链 传播出去。
事故分析的目的就 是找出这一因果链 ，即从事故出发反 绎推理出其原因。
事件链分析方法（1）
多米诺骨牌
• 事故是一连串原件的一定顺序下发生的结果。 • 按因果顺序，伤亡事故的五因素：社会环境和管理欠缺(A1)，促
度追，尾使了行正车在控以制15由km故/h障慢状行态的转D3为11危5次险列工车作。状态。
事故直接原因
19时30分左右，温州南 站区域发生强雷电活动，信 号系统多个地面设备损坏， 造成LKD2-T1型列控系统保 险管F2熔断。因列控中心设 备的严重缺陷，导致后续时 段实际有车占用时，列控中 心设备仍按照熔断前无车占 用状态进行控制输出，致使 区间信号机错误升级保持绿 灯状态，导致D301次列车驶 向，D3115次列车进入同一 闭塞分区并发生追尾。
from Yongjia Station
D 3115 stoped in 5829BG
D 3115 was restarted in OS mode
Extremely strong
lightening
Around 19:30
19:39 19:40
19:54 19:55
20:09
WS noticed the Red Line Strip
事故调查的目的
确定导致失效的事件序列 辨识事故致因 找出避免类似事故再次发生的方法
Basic Causes
Management Safety Policies & Decisions Personal Factors Environmental Factors
Indirect Causes
Unsafe Act
• 将事故描述成因果序 列
• 是另一种表达形式形 式的鱼骨图
Analysis Results from Event Chain
事件链模型的问题
在事件链模型中事件之间的（或多米诺骨牌之间 的或瑞士奶酪片之间的）因果关系需要是直接的 和线性的 事件链中的初始事件（根原因）的选择并不客观 ，我们总能增加新的前置事件和条件。 以一个事件、行为和错误的方法（根原因）来解 释事故发生的原因，对系统设计和改善并没有太 大作用
Maintainers located the failures and tried to fix them
Maintainers replaced breakdown equipments with backup elements in Mechanical Room
D 3115 departed
• 通过获取“事故教训”向系统设计提供反馈
事件序列分析方法中关心的事件
• 失效failures – 哪些事件 /系统状态会引发故障? • incidents / accidents – 什么样的事件序列会导致事故?
事故序列 Accident Sequences
第一步：事件有一个清晰的定义
• 事故 – 引发伤害（如：死亡, 受伤, 环境伤害或者物质伤害等）的 意外事件 • 如:平交路口的碰撞事件
Unsafe Condition
Direct Causes
Unplanned Release of Energy and/or Hazardous Material
Incident
致因因素
MATERIAL
TASK
ENVIRONMENT
(1) 任务 Task (2) 材料 Material (3) 环境 Environment MANAGEMENT (4) 人因 Human Factor ( Personal) (5) 管理 Management/Process Failure
SH disparched D3115 and inform the driver about the failure of 5829AG
D 301 departed from Yongjia Station
WS informed D301 about D3115
鱼骨图
鱼骨图
• 从图的右边进入主干骨 • 问题的主要原因作为分支进入脊骨
第二步：追溯事故发生经过，也称为事故序列
• 事故序列描述了将危险源（平台条件）演变为事故（平台事件+ 环境事件）的事件的序列 • 如： 如何由 ‘轴承过热’ 转化为 ‘发动机关机’
• 事件发生序列的表示: • 文字说明 • 图形化表示
第三步：确定事故发生原因。
文本描述
文本描述存在的问题
• 零散证据之间的复杂关联性 • e.g. 同一事件可能在多节中交叉引用
事件序列的图像化表示
• 时间轴Timeline • 鱼骨图Ishikawa Diagrams (原因—后果) • 事故树分析 (ATA)
事件链分析方法（2）
时间轴Timeline分析
• 确定事故相关角色 • 按照时间顺序分角色整理事故中的各种事件、条件和
状态 • 可以方便描述不同角色之间的交互 • 因果关系隐含在时间关系中 • 注意：时间先后关系≠因果关系，即时间轴上存在不
事件链模型（1）
事件链模型是一种最简单的事故模型。 该模型的基础是著名的工程安全第一公理：
损失的产生总是源于一个完整的因素序列—— 序列最末端是事故本身，而事故总是由人类不安全 行为和机械或物理危险直接或间接导致的。
—— Heinrich, H. W.,Petersen, D.,Roos, N., Industrial accident prevention[M]. McGraw-Hill New York: 1950.
传染病学事故模型（3）
事故是多个因素相互作用的结果。 潜在因素在以下几种情况下会和活性失效一起导 致事故发生：
• 1) 缺乏防御措施； • 2）缺少资源导致系统对抗或免疫某种事件的能力降
低； • 3）系统的某部分处于不稳定状态，一个很小的活性
失效就能导致雪崩效应，激活潜在因素并引发事故。
• e.g.例如：在平交路口，列车（或道路车辆）的碰撞。
• 不希望发生的Unintended – 对于武器系统来说这里指的是附带 伤亡
• 损害Harm – 有些定义不包括受伤或物质损失（大多数不包括金 钱损失）
与事故非常近似的概念： 未遂事故（Incident） – 使安全系数大大降低的事件，但 是没有引发事故。
PERSONAL
事故致因模型和分析方法
事故致因的模型
所有事故模型都有一个基本假设：事故中存在某 些普遍规律，这些规律并不是简单的随机事件。*
* Hollnagel, E., Barriers and accident prevention[M]. Ashgate Publishing, Ltd.: 2004.
事故调查及事故分析
本节内容
事故的定义 事故调查
• 目的 • 致因因素
事故模型与事故分析方法
• 事故致因的模型 • 事故分析方法
系统安全基础 - 2
事 故（accident）
事故（Accident） – event or sequence of events leading to unintended harm – death, injury, environmental or material damage
该定义非常重要，因为许多分析方法都是通过识别系统中的 能量或者将储存的能量来来进行危险源识别的。
事故调查
事故调查
事故调查就是回答如下问题的过程：
When you get an answer, ask “WHY” Then ask “WHY” again And AGAIN And “who?”, “what?”, and ...”why?”
• 不一致的对象引用 • 不完整性 – 某些序列信息不存在，无法判别 • 描述并发行为 • 篇幅问题
图形化描述
解决方案 – 图形化标识 允许对事件的属性/序列进行标识，如：
• 事件类型 (主要根源, 促成因素, 常规行为) • 时序 (顺行/ 并行)