人为因素对安全系统地影响及控制
人为因素对安全的影响及控制
船舶营运安全与否,直接影响到船公司的经济效益,更关系到船员、船舶、货物、港口的安全和人类赖以生存和发展的海洋环境的保护。随着船舶科学与技术的不断发展和应用,船舶正向大型化、高速化和高度复杂化发展,最终将向安全、环保、尖端技术型方向发展。船舶动力装置也逐步向热能、原子能应用方面转化,轮机管理已由人工操作向机舱集控和驾驶遥控管理过渡,大型船舶和新型船舶进入了自动化无人机舱管理模式的高级阶段。现代科学技术的全面介入,给航运业带来效率和收益,节省了大量的人力资源,但由于船上设备和系统构造功能全面而精化,科技含量和自动化程度极高,对航海相关人员在理论知识、技术应用、操作控制和维护管理等方面提出高标准、高要求。同时高科技产品的不可靠性以及内在难以发现的不足和隐患,常导致设备突发性故障、损坏和系统运作的混乱,给船舶航行安全带来一定的危害。为此,只有通过船员在操作时及时发现设备和系统的不正常情况,经过分析和探讨,熟悉其性能、掌握隐患点,并进行有效调整,然后采取应变措施,充分发挥人的主观因素和直接作用。
1 海上安全人为因素研究的状况
IMO在1997年11月27日第20次大会上,通过了A850(20)决议《国际海事组织有关人为因素的范畴、原则和目标》,及附录《人为因素的作用、原则和目标》.国际船级社协会(IACS)成立了人为因素工作组(WPHE),旨在基于船舶检验研究如何应用人类工程学原理减少潜在人为因素的原则,制定出一系列规则、指南,指导各船级社制定本社的检验规则和从事检验工作,以保证船舶及人命安全,保护海洋生态环境.
1.1 关于人的生理、心理特征研究
日本山冈正美通过对具有不同经验的航海人员的适任效果的对比,分析得出了在海难事故的人为失误中,由于人的经验、海上工作经历的长短以及人的生理条件的不同可能造成的失误大小也不同的结论.伦敦理工学院的R.G.Curtis利用模拟实验对海员操船所需的反应时间进行了统计分析,得到了在不同的生理条件制约下,从对方船舶改变运动状态到本船采取决策行动所需要的时间.J.Hagart和C.M.Cramshaw利用卡特尔16因素个性测试法和模拟操船的方法对船员个性与操船行为的关系进行了统计研究,探讨了个性外向者与内向者操船行为的不同.根据四类距离(最近通过距离、最近决策距离、平均通过距离、平均决策距离)与外向性的相关系数和标准差相关系数证明,个性外向者通常比内向者较晚采取行动且采取行动时具有多变性.李建明在疲劳对船员行为的影响一文中,以全球海事统计为依据,对海事发生率居高不下的原因进行分析后得出,在人为因素起主要作用的海事中,疲劳因素可能高达75%左右的结论,并提出,建立合理的工作时间制度尤为重要.澳大利亚海上安全机关1997年发表了由A.W.Parker博士等人对该国船员的调查报告.该报告将船员的自然状况、身体条件、工作压力和疲劳状况以及他们的工作和生活环境造成的行为都列入潜在的危险因素.尽管报告中没有统计由于这些因素造成的船舶事故,但鲜明地阐述了这些因素在造船和船舶运行管理中必须加以考虑.
1.2 关于船员行为可靠性的研究
日本杉畸昭生等人利用问卷调查和实况调查的方法,运用可靠性理论对船员望行为的可靠性进行了研究,得到了不同会遇状态下船员望的可靠性指标.原洁、翁长一彦分别对船员避让操船行为可靠性和各种视认方法进行了研究,最终提出了各种情况下如何正确采取行动的建议.李少军在海事预防中人的因素的作用一文中,对如何减少人为失误,以预防海事进行了较为深入的研究.对人为失误的原因进行了细致的定性分析,提出了利用人为差错率对人的动作可靠性进行定量预测的模型.
1.3 关于人员选拔与人为因素关系的研究
许多文章定性地分析了在人员选拔和人事安排时考虑船员的生理和心理状况,尤其是性
格、气质、意志等与船上作业关系密切的个人因素的重要性,并提出了对海员进行心理素质测试的建议.
1.4 人类工程学在海运系统中应用的研究
目前,国际上各个海运发达国家的专门机构对人类工程学在航海上的应用均做了大量工作,其中美国ABS已出版了《海运系统应用人类工程学指南》,比较系统地阐述了具体应用人类工程学方法.
1.5 人为失误预测研究
世界各国近期对人为因素和人类工程学方法研究很多,但达到实际应用者不多,特别是建立人为失误预测模型更是很少.英国伯明翰大学BARRY.KIRWAN博士对人的可靠性评估研究时,采用了三种人的可靠性量化技术方法,利用这三种方法可建立人为失误预测模型.KIRWAN博士发表了一系列文章,通过实验表明该三种方法可以用于利用人类工程学原理设计的工业系统的预测评估,可达到减少人为事故发生的目的.同时,文章中还指出:这三种方法准确度仅可达到72%,所以,在应用中应与综合分析、失误辨识和数值分析相结合,目前只能达到定性分析水平.
2 人为因素研究的目的和意义
2.1 有针对性地开展船舶检验工作
国际船级社协会(IACS)人为因素工作组(HE)把人为因素分为五个方面,即技术(包括设计、人类工程学、制造结构、安装、认证、保养、维修、更新等)、人员配备(包括资格、船员人数、船员组成、文化背景、工作语言、胜任状况等)、培训(包括基本安全培训、扩充安全培训、技能、熟悉、个人陆地培训等)、管理(包括安全意识、政策、动机、沟通环节、责任、主管权利、工作计划、意外事故计划、应急反应、手册、步骤、工作方法、检查清单、教育和训练等)及环境(包括有毒物质、人员保护、伤害、工作时间、休息时间、疲劳、生存条件、人机界面等).以上五个方面分布于以下六个领域部门:(1)造船(包括设计院所、设备制造商和供应商、船舶制造商);(2)船舶行业管理(主要包括船级社、海事局);(3)船舶营运管理(主要包括船东、代理、货主);(4)船舶保障(主要包括备件供应、修船、油料供应、物料供应、保险);(5)人员培训(主要包括有关航海院校、各企事业单位培训点);(6)相关部门(主要包括港口、海关、商检、卫检、保险等).其中与船舶检验有关的内容主要是技术和环境两方面所包含的相关项目,在这些相关项目中,目前的船舶检验仅仅是对该类项目进行设备或产品是否符合“规范”要求的检验,而没有进行该类项目中所涉及的人为因素方面的检验,如产品或设备在设计时是否考虑了满足人类工程学的相关要求;设备的结构是否适于人员对其进行保养、维修;需要人员重点管理的设备是否考虑了在人机之间“人”能够最高效发挥自己的能动性.因此,通过对人为因素的研究可以有效地解决应该把上述哪些项目列入到以后船舶检验中去的问题.
2.2 对航运的发展将产生巨大影响
从国外的情况来看,美国海岸警备队(USCG)所实施的PTP计划中,将“使用人为失误识别、评估、预防技术作为USCG登船检查的一部分”视为计划的三个要素之一.也就是说在USCG对进入其港口的外国籍船舶进行登船检查时,将运用适当的技术对船上的人为失误风险进行评估.再从港口国管理的发展趋势来看,今后的港口国检查将不再限于对船舶和船员证书的检查以及船舶设备的检查,在必要情况下港口国检查官员将对船员的操作水平进行检查.可以看出:人为因素的研究不仅是一个学术上的问题而且是关系到国家的主权和本国航运发展的大问题.
其一,关于“适航”船舶的技术标准问题历来是发达国家与不发达国家为本国争取利益的焦点问题.发达国家总是利用其具有的技术和经济实力的优势,在制定相关的“规范”问题上片面强调需要“高投入”和“高技术”的所谓“高标准”,并以此把不发达国家的船舶挤
出航运市场.而经济不发达国家则坚持所谓“‘高投入’和‘高技术’的‘高标准’”并非是解决目
前航运安全问题的唯一和最佳途径,要降低海事发生率仅仅依靠设备的改进、可靠性的提高及船舶航行条件的改善等难以达到目的,且从费效比的角度考虑,过多的投资既不能有效地扼制重大海难事故的发生,也不能为船东所接受,因此,可以对人为因素进行深入研究,借助适当的有关船员行为的评估模型,实现人为失误的风险预测,达到潜在危险的预先识别,使管理部门能主动采取相关的预防措施,降低海事发生率.目前国际船级社协会(IACS)进行的人为因素研究的最终目的仍然需要对相应的“规范”进行修改,这又会引发新一轮的发达国家与不发达国家之间的利益之争.因此,加强对人为因素的研究,可以使我们掌握人为因素的精髓,并以此为依据在国际航运界坚持我们的观点,争取我们的利益.
其二,通过对人为因素的研究,可以有效地促进本国航运界的安全管理水平的提高.安全本身就是一个模糊的概念,船舶运输系统不发生事故并不表明该系统是安全的,船舶在人员的操纵下没有发生事故,也不表明人的行为就是安全的,船舶检查的目的就是发现隐患、消除潜在的危险.通过对人为因素研究获得的成果来改变以往的船舶检验仅仅是对设备或系统的硬件进行是否符合“规范”的检验,达到对“人”的检验,最终达到有效地促进本国航运界的安全管理水平提高的目的.
2.3 对航运人才教育和培养产生影响
船舶运输过程中选择配备高素质人员是减少人为因素造成海上风险的必备条件.高素质包括:身体条件良好、掌握充分的安全知识、熟练的海上工作技能和工作语言交流能力、有较强的法律意识和环境保护意识等条件.根据《海上人命安全公约》(SOLAS公约)和人为失误造成的海上重大事故调查,IMO在1995年进一步修订了《船员培训、发证和值班公约》(STCW7895公约).中国海事局相应颁布了若干文件,使我国船员培训、发证和值班有较严格的、规范的、系统的管理.我国航海类院校和培训机构也同时对教学计划、要求等做了详细地修改,建立了自己的教学质量管理体系.这必将对21世纪船员培养起到重要影响,为减少海上风险中的人为因素提供基本条件.虽然,非海上工作人员的培养目前尚没有具体的规定和要求,但人们已经意识到经过较高的教育和专门培训的工作人员,在工作中减少失误、降低风险会起到重要作用.事实上,为减少人为因素失误所必须的法律、安全和环保意识教育已经渗透于教育机构的教学过程中.这使培养出的人才能够基本适应海上安全的需要,对减少人为因素造成海上事故起到积极作用.
3 船上安全管理和人为因素
IMO以促进航运安全和保护海洋环境为己任,制订了一系列国际公约。长期以来,海上重大事故仍不断发生,其中大部分属于责任事故,并且一些发达国家船舶的事故明显少于某些发展中国家的船舶。这就是说,改进船舶管理,提高船员素质,保证船舶的技术状态是海上安全和防污染的重要保证。IMO在SOLAS74国际公约中补充了第9、11章,即国际安全管理规则(ISMCode)和港口国监控(PSC)。实施ISM规则,通过PSC,需要花大量人力、物力和财力,这就使低标准的公司和低标准的船舶很难在国际航运市场上立足与发展。在一些发达国家早已颁布了相似的法令,对到港的船舶进行严格的监管。以船舶防污染为例,《油类记录薄》填写是否正确,油水分离器、焚烧炉的使用是否正常等是通常要检查的项目。含油污水通过油水分离器分离后,对排出的污油要交代船上所采用的处理方法;生活污水和船舶垃圾的处理设备以及垃圾的分类、记录,均要符合MARPOL73/78公约要求,船上油污应急计划也要符合油污防备公约“OPRC90”的要求。一旦被发现某一环节出现差错,轻则罚款,重则扣船。
3.1 船上安全管理的要点
船上安全管理,是指对单船的“人、机、环境、管理”系统的安全管理,效果主要取决
于船员和公司的努力。最好的管理体系也只有通过人员的积极响应才会取得预期效果。良好的人员素质是安全的必要条件。促使员工积极响应管理体系,从而使ISM规则要求的安全管理体系(SMS)能持久地保持对人为因素的有效控制,确保单船安全。
船上安全管理的要求是实现“本质化安全”,即运用现代科学技术,从根本上消除形成事故的主要条件,采取尽可能完善的防护措施,形成某种条件下的“绝对安全”,使事故损害减到最小。传统的安全管理偏重经验式的行政管理和事后控制,注重于发通知、开会、设部门、设专人。大量的安全号召容易造成船员无所适从,难于把握。
船上安全管理的要点在于“组织—素质—响应”,即系统化管理。“组织”是指岸上、船上对单船安全管理的系统化,包括科学的管理文件体系和相应的人员组织体系,依照文件规定和具体情况对安全事务的妥善处理;“素质”包括道德、身心、技术、能力及语言素质;“响应”对岸、船人员同等重要。
3.2 人为因素与船舶事故
人为因素是船上安全管理的根本要点。统计资料表明:人为因素造成海上事故的比例为搁浅90%,火灾爆炸70%,碰撞96%,触碰70%。
人为因素是指人的行为或使命对一特定系统的正确功能或成功性能的不良影响。它涉及人、机、环境、管理的各个方面。“人为失误”是指人未能发挥自身应有的功能,人为地使系统出现故障或发生机能不良事件的一种错误行为。是违背设计、操作和管理规程的错误行为。
由人和设备相互协调完成一定功能的系统称为人机系统。船舶是机械设备和船员一体化的曲型人机系统。人机功能的充分发挥和彼此良好的配合将会使船舶安全地航行,船舶营运获得更大的经济效益和延长船舶的使用寿命。
轮机管理人员与船舶机械构成人机系统,其可靠度取决于船机固有的可靠及其管理人员的可靠度。
管理、操作不当和设计、制造缺陷是船舶机械发生事故的主要因素。可分为两类:
(1)非人为因素:船舶机械工作环境变坏,使用条件恶劣,以及机械的材料、设计、结构、制造、加工和安装等机械本身存在的缺陷,称之为非人为因素。由此产生的故障为自然故障。
(2)人为因素:与机械的检查、管理、使用、保养、维修有关的因素,称之为人为因素。管理、操作人员的行为过失引起的故障,称之为人为故障。
人为故障是不容忽视的故障,在船舶故障中已占80%以上。一般认为,人的失误是由于在人的意识不明确的内部状态下作用于外部因素而产生的。失误的外部因素称之为人的背景因素。美国航空宇航局(NASA)对影响人失误的背影因素采用4M分析法、即人(Man)、管理(Management)、环境(Media)、机器(Machine)。这四项因素在船机损伤事故中对人失误影响程度如图1所示。
因此分析船机损伤的原因及探讨减少事故发生的对策是一项重要课题,应深入研究。
图1 4M对人失误的影响程度
4 人为因素的控制和人员安全素质要求
4.1 人为因素的控制
控制人为因素,是保证安全的关键。然而对人的管理是件不容易的事情。
宏观途径主要有:利用安全系统工程方法进行系统全面的控制;重视人员素质的遴选和培养;激发人员对安全管理的响应程度。具体的方法包括:
(1)按ISM 规则建立SMS(安全管理体系),进行系统化安全管理;
(2)采用PDCA循环方法作为宏观管理模式;
(3)采用目标管理方法。根据需要制定安全目标,并逐级分解到岸、船各级和各部门,直至每个员工,按规定进行检查、考核、评估和完善。各分目标组成总目标。为实现目标而展开的一系列组织、激励、控制等活动称之为目标管理,用于安全目的即为安全目标管理。
4.2 人员安全素质要求
人员包括:船员和岸上管理人员。人员安全素质包括:职业道德素质、身心素质、技术素质、能力素质、语言素质等。
实践证明,没有良好的安全素质,船岸人员就不可能有良好的安全响应,也就不可能有良好的船上安全管理效果。
5 安全教育的内容与手段
5.1 人员安全教育
(1)安全教育的功能和目的
安全教育是提高人员安全素质和控制人为因素的有效途径之一。安全教育的功能是,提高船岸人员的综合素质,提高安全意识、知识和技能水平,掌握安全生产的客观规律,为保护船员人身安全、保证船舶安全生产、提高劳动生产率、创造良好的条件。安全教育的目的是提高船岸人员的安全素质,激发响应,最大限度地防止和减少人身伤亡、财产损失和污染水域环境。
(2)安全教育的内容
安全教育的主要内容包括:法制教育、思想政治教育、劳动纪律教育、安全方针和规章教育、安全知识教育、安全技能训练、安全正反典型教育等。安全教育应因材施教,不同层次的人员有不同的侧重点。如,对公司和部门经理应突出安全对生命和经济效益的影响的教育,内容应包括:领导在安全管理中的重要性;人命价值和人员伤亡的社会后果;公司经营中海事损失比例及直接和间接损失统计分析;系统化安全管理的优势;安全投入与经济效益的关系;加强安全教育管理,减少海事和提高工作效率对企业的好处;对安全管理和监督人员应突出安全管理技术,包括:安全的意义和重要性;心理学、群众路线、行为科学等知识;现场监督者的作用和责任;操作方法的改善及工艺流程;操作人员的合理配置;操作指导、监督、设备保养、海事处理、应变等。对船员则应突出人身安全、船舶安全和健康教育。
对新船员要突出安全意识的树立和熟悉有关的安全规章。国际上常借鉴仁木茂雄的“新人安全教育计划”。在作业现场工作时辅于四阶段安全教育法和四阶段安全作业法。四阶段安全教育法包括进行学习准备、作业说明、使其实作和教学后的查验。而四阶段安全作业法包括作业之前、作业准备、作业之中和作业之后。
在条件具备时,还应考虑增加如下内容:安全的意义和重要性;岗位安全规则、安全须知和相关安全法规;机械、原材料的危险性和有害性以及处理方法;各安全装置的性能及使用方法;护具性能及用法;作业顺序及步骤;作业开始时的清点与检查要求;整理工具与物品,整顿并保持现场清洁;应急与应变反应和措施等。
(3)安全教育的手段
安全教育的基本组织形式可以是企业教育、上船教育、部门教育和岗位教育。教育形式可以是安全活动日、班前班后会、安全会议、广播、电视、录像、事故现场会、展览会等,可以是集体教育、个人教育,还可以是新上岗教育、在职教育、新技术教育、知识更新、工作变动教育、航前、航中、航后现场教育、干部教育。安全教育的方法主要有授课、集体讨
论、会议、案例研究、训练、个别谈话、帮带等。搞好安全教育必须做到:领导重视、有计划性(SMS)、良好的师资、并激发船员的兴趣和热情。
(4)现场四个阶段安全教育和四阶段安全作业法
前者适合于新船员安全和职业技能教育;后者适合于船员作业前的安全教育,如主机吊缸作业前应拟定计划。作业准备包括备件、物料、工具、作业中分组有组织进行,作业或冲试车检查。
6 船舶安全管理的对策
船员是在船上任职和专门从事船上工作的乘员的总称。SOLAS74公约要求船舶持有船旗国签发的“船舶最低安全配员证书”。配员包括船员适任证书要求和人数要求。《中华人民共和国船舶最低安全配员规则》于1998年5月1日起实施。证书要求:船员适任证书、专业训练证书、基本安全训练证书。船员受到国际海事组织(IMO)、船旗国(FlagState)和港口国(PortState)的共同关注,并通过STCW公约及有关规则,对船员的技术素质和行为实施管辖。STCW公约95修正案,给出了国际海员的技术素质和值班行为标准。船公司是指船舶所有人、经营人和管理人。船员的工资待遇受到国际劳工组织(ILO)和国际运输工人联合会(ITF)的关注。船员对安全的影响在于职业素质和行为。职业素质包括道德、身心、技术、能力、语言等方面,有良好的素质才能有良好的行为。人为因素责任主要在于船公司的岸上管理和船上管理。公司在其范围内,直接把握着人、机、环境三大要素的宏观控制。海事发生在船舶,根本原因在公司。重视公司的安全管理已成为国际海事界控制海上事故的重要途径。
船舶安全管理涉及到船员、旅客及港区居民的生命安全,以及船舶、货物、港口和航道设施的安全,既涉及到人命财产安全,还涉及到船公司的经济效益,更涉及到人类赖以生存和发展的海洋环境的保护,对经济、社会、环境的意义重大。船舶安全管理的目标,是保护海上人命财产安全,保护海洋环境,使“航行更安全,海洋更清洁”。船舶安全管理的对象是人、机、环境、管理(MMEC),包括船舶营运系统及其关系密切的外围。
我国的安全管理体系是国家监察(劳动部门)、行政主管(经济主管部门)和群众监督(工会组织)相结合。船舶安全管理由交通部全面负责,包括对国内航运业的安全管理,以及对IMO、港口国政府等的协调。船舶流动性使船舶安全成为国际性问题。因此,逐渐形成了国际化的船舶安全管理途径网络。
IMO的船舶安全管理途径是通过船旗国实施对船公司、船员、船舶的管辖;通过船旗国政府验船机构,要求其授权的船级社加强对船舶建造和技术状况维修的控制;通过港口国对到港的外国船舶采取监控行动,来约束船旗国、船级社、船公司和船舶的安全管理效果;通过影响使行业组织加强本组织内船舶和船公司的安全管理。
船公司在船舶安全管理中地位十分重要。如前所述,人为因素责任主要在于船公司的岸上管理和船上管理,所以船舶的安全目标,只有通过公司对岸上和船上的有机管理才能得以实现。船舶是船舶安全管理的终端,处在安全和防污染的第一线。船长和其他高级船员作用更是重要。有效地组织和激励船员,酌情处理有关事务,是船上安全管理能否成功的关键所在。
检查对象为船上的人、机、环境和管理。人,指检查船上人员的安全意识、知识与技能,对安全管理规章和所管设备等的熟悉和执行情况。机,是指检查船体、设备、器材等的安全技术状况。环境,是指检查船员操作和生活环境、机电运作环境,对复杂交通环境和恶劣天气的应对情况,及有无导致影响船员健康和不安全的缺陷。管理,指检查规章执行是否正常,运作记录是否完备,船上管理的总体外观如何,领导对规章的熟悉程度和运作能力,船员的素质和情绪等。
海上安全范畴内系统安全措施主要通过海事调查和海事预防,并遵循国际安全管理规
则。由传统的侧重于造船和设备等工程技术,转为并重技术和管理,尤其是通过船公司加强对人为因素的控制。这是船舶安全管理的重点。
7 结束语
综上所述,人为因素是影响船机故障的主要原因。因此要想减少船机损伤事故,首先要做的工作是加强人员的培训及管理。
7.1 提高人员素质
知识、技能和经验组合在一起,构成了安全操作与避免事故发生所要求的基础。如果这个基础达不到应有的专业水准,那么机损事故将会不断发生。因此,应当提高船员的素质。
7.2 实践技术训练
主要是轮机实践及技能达到相应的技术标准,且具备在正常、应急和故障情况下操纵各种设备的能力。管理人员的业务水平,对于保证船舶安全营运的可靠性具有头等重要的意义。统计表明,许多故障是由于船员采取了不正确的决策和违反技术操作规程所造成。业务水平高的船员,可以保证船舶技术设备的利用和维护的质量处于完好状态,能正确执行操作规程,充分做好设备起动前的准备工作,正确判断设备的技术状态和正确地确定负荷高低,还可迅速发现和排除故障,用较短时间完成维修工作,在拆装机械、更换零部件时,如果船员水平不高,则可能使部件受异常负荷和额外应力,从而导致故障次数增加。
7.3 知识更新训练
主要与新知识、新技术有关。如新型柴油机对高增压、燃油质量和管理的要求更高。如对自动化程度较高的船舶上工作的船员,应分期分批地去有关培训中心进行自动化机舱及模拟器训练,提高驾驶先进船舶的业务水平。随着船舶的日趋复杂,对船员业务水平、熟练程度、操作技能、发现和排除故障的能力要求越来越高,其完成任务的职责也在加强。
7.4 心理素质训练
保持好良好心态是减少人为因素造成事故的重要途径。航海工作的风险性、复杂性、应急性及机舱特殊的震动和噪音环境,要求轮机管理员具备特有的心理容量及过硬的心理素质。
人为原因的故障中,属于责任心不强(工作不仔细、检查不及时和违章)造成的事故与属于管理水平低(保养维护不良、指挥命令不当、判断错误、操作错误等)所造成的事故几乎各占一半,而低职船员的人为事故所占比例高于高职船员。这些事实说明了提高船员管理水平的重要性和迫切性,并应从思想作风教育和业务能力提高两方面去努力。
在安全方面,增强安全意识有着极其重要的意义。此外,应运用现代管理的理论及方法,实行科学化管理,强化行政管理,严格安全岗位责任制,建立安全生产的法规,依法从严进行安全治理,理顺、简化相应的法规,做到人人了解,熟练操作。
7.5 改善人机关系
人机系统的工作能力与可靠性取决于人的素质与机械设备是否符合人的心理和生理可能,是否能承受一定的载荷及过载量以及传递所需的信息等。为了减少船机损伤,应采用人机系统设计,改善人机关系。
合理分配人机功能。人与机器的能力是有明显的差别的,两者有各自的特征和局限性,应采用两者之长,使综合效果最佳。比如从监控能力讲,人难以监控偶然发生的事件,但机器的监控能力很强。因此可以让机器(包括计算机)对某些物理量进行监控及调节。
改善人机环境。创造舒适的工作生活环境,如休息场所安静等;机器的仪表(信息测定,显示方式,操作方法,排列方式)的设计及布置应符合人的生理及心理特点;保证充分的休息,改善人的精神状态,实现人机和谐统一。
总之,在轮机管理员与船舶机械构成的人机系统中,产生船机损伤的原因是十分复杂的。可主要归纳为船机本身的某种缺陷和人为因素,其中人为因素是主要的。而在影响人失误的
背景因素中,管理占主要地位。
人为因素对安全系统地影响及控制
人为因素对安全的影响及控制 船舶营运安全与否,直接影响到船公司的经济效益,更关系到船员、船舶、货物、港口的安全和人类赖以生存和发展的海洋环境的保护。随着船舶科学与技术的不断发展和应用,船舶正向大型化、高速化和高度复杂化发展,最终将向安全、环保、尖端技术型方向发展。船舶动力装置也逐步向热能、原子能应用方面转化,轮机管理已由人工操作向机舱集控和驾驶遥控管理过渡,大型船舶和新型船舶进入了自动化无人机舱管理模式的高级阶段。现代科学技术的全面介入,给航运业带来效率和收益,节省了大量的人力资源,但由于船上设备和系统构造功能全面而精化,科技含量和自动化程度极高,对航海相关人员在理论知识、技术应用、操作控制和维护管理等方面提出高标准、高要求。同时高科技产品的不可靠性以及内在难以发现的不足和隐患,常导致设备突发性故障、损坏和系统运作的混乱,给船舶航行安全带来一定的危害。为此,只有通过船员在操作时及时发现设备和系统的不正常情况,经过分析和探讨,熟悉其性能、掌握隐患点,并进行有效调整,然后采取应变措施,充分发挥人的主观因素和直接作用。 1 海上安全人为因素研究的状况 IMO在1997年11月27日第20次大会上,通过了A850(20)决议《国际海事组织有关人为因素的范畴、原则和目标》,及附录《人为因素的作用、原则和目标》.国际船级社协会(IACS)成立了人为因素工作组(WPHE),旨在基于船舶检验研究如何应用人类工程学原理减少潜在人为因素的原则,制定出一系列规则、指南,指导各船级社制定本社的检验规则和从事检验工作,以保证船舶及人命安全,保护海洋生态环境. 1.1 关于人的生理、心理特征研究 日本山冈正美通过对具有不同经验的航海人员的适任效果的对比,分析得出了在海难事故的人为失误中,由于人的经验、海上工作经历的长短以及人的生理条件的不同可能造成的失误大小也不同的结论.伦敦理工学院的R.G.Curtis利用模拟实验对海员操船所需的反应时间进行了统计分析,得到了在不同的生理条件制约下,从对方船舶改变运动状态到本船采取决策行动所需要的时间.J.Hagart和C.M.Cramshaw利用卡特尔16因素个性测试法和模拟操船的方法对船员个性与操船行为的关系进行了统计研究,探讨了个性外向者与内向者操船行为的不同.根据四类距离(最近通过距离、最近决策距离、平均通过距离、平均决策距离)与外向性的相关系数和标准差相关系数证明,个性外向者通常比内向者较晚采取行动且采取行动时具有多变性.李建明在疲劳对船员行为的影响一文中,以全球海事统计为依据,对海事发生率居高不下的原因进行分析后得出,在人为因素起主要作用的海事中,疲劳因素可能高达75%左右的结论,并提出,建立合理的工作时间制度尤为重要.澳大利亚海上安全机关1997年发表了由A.W.Parker博士等人对该国船员的调查报告.该报告将船员的自然状况、身体条件、工作压力和疲劳状况以及他们的工作和生活环境造成的行为都列入潜在的危险因素.尽管报告中没有统计由于这些因素造成的船舶事故,但鲜明地阐述了这些因素在造船和船舶运行管理中必须加以考虑. 1.2 关于船员行为可靠性的研究 日本杉畸昭生等人利用问卷调查和实况调查的方法,运用可靠性理论对船员望行为的可靠性进行了研究,得到了不同会遇状态下船员望的可靠性指标.原洁、翁长一彦分别对船员避让操船行为可靠性和各种视认方法进行了研究,最终提出了各种情况下如何正确采取行动的建议.李少军在海事预防中人的因素的作用一文中,对如何减少人为失误,以预防海事进行了较为深入的研究.对人为失误的原因进行了细致的定性分析,提出了利用人为差错率对人的动作可靠性进行定量预测的模型. 1.3 关于人员选拔与人为因素关系的研究 许多文章定性地分析了在人员选拔和人事安排时考虑船员的生理和心理状况,尤其是性
DCS自动控制系统安全验收评价
DCS控制系统安全验收评价 引言(1) 近年来,自动化控制系统,特别是集散控制系统(DCS控制系统)在石油、化工、电力、冶金、轻纺行业中得到广泛的应用。在降低能源和原材料消耗、提高产品质量、确保安全生产、改善和加强企业管理等方面已取得了明显的经济效益和和社会效益。同时,这种生产过程的大型化、连续化、自动化发展趋势和在集控室内的集中控制,也增加了安全生产的复杂性。本文针对DCS控制系统的特点,就安全验收评价中涉及的有关技术问题进行阐述。 安全评价的总体要求(2) 总体要求是:DCS控制系统应能在异常情况下控制设备和装置不发生危险,必要时控制装置要能自动切换到备用电源和备用设备或装置中去;调节装置要有连锁,以防止误操作和自动调节装置的误通、误断;要评价紧急事故开关的设置情况。 下列情况须设置紧急事故开关: (1)发生事故时,不能通过停车开关来终止危险的运行; (2) 不能通过总开关来迅速中断若干个造成危险的运行单元; (3)由于中断某个单元能出现其它危险; (4)控制台不能看到所控制的全部装置和设备,无法分析判断和实施有效控制。 紧急事故控制要有防止灾害的措施,如防窜压、防逆转等措施。紧急事故开关应该用红色,并能明显区别其它开关。 主要危险因素的识别(3) 2.1主要危险因素及相关作业场所 DCS控制系统的主要危险因素有:控制系统断电;控制站失灵;仪表损坏和电气联锁失效等。 主要危险因素的相关作业场所是集中控制室和在现场的检测仪表、执行机构。 2.2 DCS控制系统所涉及的危险因素及存在的部位
DCS控制系统断电、控制站失灵和电气联锁失效将导致系统的非正常停机。对于有毒和高温、高压设备而言可能导致有毒物质的泄漏、引发火灾或高压设备的爆炸。危险因素存在的部位是UPS电源、DCS控制器和可编程控制器(PLC 控制器)。 仪表损坏将导致系统的非正常运行。特别是执行机构损环将导致控制失灵,对于有毒和高温、高压设备而言可能导致有毒物质的泄漏、引发火灾或高压设备的爆炸。危险因素存在的部位是现场的检测仪表、执行机构。 危险因素安全控制措施(4) 首先,要制定DCS控制系统的安全应急救援预案,并组织员工按照安全应急救援预案进行演练。其次,必须针对主要危险因素制定相应的安全控制措施,具体是: 3.1DCS控制系统断电的安全控制措施 DCS控制系统通常采用UPS电源,以保证在供电电源断电后,仍能在规定时间内将系统关闭在安全状态,这就要定期检查UPS电源的工作状态和容量,对于冗余电源,应分别切换,确认系统运行正常。 3.2控制站失灵的安全控制措施——进行控制站冗余安全试验 3.2.1在操作站上调出系统状态显示画面,确认控制站OK,在另一操作台上调入该控制站内的某一位号,送4~20mA信号于该位号,记录测量值(PV)、给定值(SP)和输出值(OP); 3.2.2控制站电源开关置于“OFF”状态,确认冗余的控制站自动投入控制运行,PV、SP和OP值保持不变; 3.2.3主控制站电源开关恢复“ON”状态,再确认PV、SP和OP值不变; 3.2.4重复以上步骤检测冗余控制站。 3.3仪表损坏的安全控制措施 3.3.1把好仪表入口关,"三证"齐全方可使用."三证"包括生产许可证、出厂的合格证及化验单、试验报告等。 3.3.2定期检查、校验强制性检测的仪表运行情况,以避免仪表失灵。 3.3.3对于重要联锁保护系统开关量仪表的整定,及重要调节回路的仪表单体调试,其整定调试完毕到仪表投用之间的存放时间不宜不超过2个月。 3.3.4仪表应备有足够的备品、备件。
工业控制系统安全风险分析
工业控制系统安全风险分析 金山网络企业安全事业部 张 帅 2011年11 月12日,待测伊朗弹道导弹收到控制指令后突然爆炸。事故经媒体披露,迅速引发各国政府与安全机构的广泛关注,对真凶的质疑直指曾攻击布什尔核电站工业控制系统的Stuxnet 蠕虫病毒。截至目前,事故真相与细节并未公布,但工业控制系统长期存在的风险隐患却已是影响国家关键基础设施稳定运行的重要因素,甚至威胁到国家安全战略的实施。为此,工信部于2011年10月发布文件,要求加强国家主要工业领域基础设施控制系统与SCADA 系统的安全保护工作。 文章从IT 领域熟悉的信息安全管理体系的基本理论和潜在威胁的角度,借鉴国际上有关工业控制系统安全保护要求及标准,分析当前我国工业控制系统存在的威胁,并提出一套基于ICS 系统的威胁发现与识别模型。 工业控制系统介绍 工业控制系统(Industrial Control Systems,ICS),是由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件,共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统。其核心组件包括数据采集与监控系统(Supervisory Control And Data Acquisition,SCADA)、分布式控制系统(Distributed Control Systems,DCS)、可编程逻辑控制器(Programmable Logic Controllers,PLC)、远程终端(RTU)、智能电子设备(IED),以及确保各组件通信的接口技术[1] 。 目前工业控制系统广泛应用于我国电力、水利、污水处理、石油天然气、化工、交通运输、制药以及大型制造行业,其中超过80%的涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业,工业控制系统已是国家安全战略的重要组成部分。 一次典型的ICS 控制过程通常由控制回路、HMI、远程诊断与维护工具3部分组件共同完成,控制回路用以控制逻辑运算,HMI 执行信息交互,远程诊断与维护工具确保出现异常操作时进行诊断和恢复,如图1所示。 图1 典型的ICS 操作过程 SCADA 是工业控制系统的重要组件,通过与数据传输系统和HMI 交互,SCADA 可以对现场的运行设备进行实时监视和控制,以实现数据采集、设备控制、测量、参数调节以及各类信号报警等各项功能。目前,SCADA 广泛应用于水利、电力、石油化工、电气化、铁路等分布式工业控制系统中。SCADA 系统总体布局如图2所示。 图2 SCADA 系统总体布局 DCS 广泛应用于基于流程控制的行业,例如电力、石化等行业的分布式作业,实现对各个子系统运行过程的整体管控。 PLC 用以实现工业设备的具体操作与工艺控制。通常,SCADA 或DCS 系统通过调用各PCL 组件来为其分布式业务提供基本的操作控制,例如汽车制造流水线等。 工业控制系统安全现状 与传统的信息系统安全需求不同,ICS 系统设计需要兼顾应用场景与控制管理等多方面因素,以优先确保系统的高可用性和业务连续性。在这种设计理念的影响下,缺乏有效的工业安全防御和数据通信保密措施是很多工业控制系统所面临的通病。据权威工业安全事件信息库(Repository of Security Incidents,RISI)统计,截止2011年10月,全球已发生200余起针对工业控制系统的攻击事件。2001年后,通用开发标准与互联网技术的广泛使用,使得针对ICS 系统的攻击行为出现大幅度增长,ICS 系统对于信息安全管理的需求变得更加迫切。1982-2009年工业系统攻击事件如图3所示。 图3 1982-2009 年工业系统攻击事件 纵观我国工业控制系统的整体现状,西门子、洛克
浅谈访问控制策略
浅谈访问控制策略 身份鉴别与访问控制是信息安全领域的两个十分重要的概念。然而,对这两个概念的含义往往有不同的理解。希望通过本文所引发的讨论能对统一这两个概念的理解有所帮助。 在GB17859中.身份鉴别指的是用户身份的鉴别,包括用户标识和用户鉴别。在这里.用户标识解决注册用户在一个信息系统中的惟一性问题.用户鉴别则解决用户在登录一个信息系统时的真实性问题。一般情况下.当用户注册到一个系统时,系统应给出其惟一性的标识.并确定对其进行鉴别使用的信息(该信息应是保密的、并且是难以仿造的.一方面以一定方式提供给用户.另一方面由系统保存)。当用户登录到该系统时,用户应提供鉴别信息,系统则根据注册时所保留的鉴别信息对用户所提供的鉴别信息的真实性进行鉴别。 其实.从更广义的范围来讲.信息系统中的身份鉴别应包括用户身份鉴别和设备身份鉴别.用户身份鉴别又分为注册用户的身份鉴别和网上数据交换用户的身份鉴别。上述GB17859中的身份鉴别主要指的是注册用户的身份鉴别。网上数据交换时用户的身份鉴别是指非注册用户间进行数据交换时的身份鉴别。也就是通常所说的在相互不知道对方身份的情况下,又要确认对方身份的真实、可信.从而确认数据交换的可信赖性。这就需要通过所谓的可信第三方(如由CA 系统提供的认证机制)实现数据交换双方身份的真实性认证。关于设备的身份鉴别.其实与注册用户的身份鉴别没有多大区别.只是鉴别的对象是接入系统的设备而已。对接入系统的设备进行身份鉴别.同样要先对其进行注册,并在注册时确定鉴别信息(鉴别信息既与设备相关联.又由系统保留)。当需要将设备接入系统时.被接入设备需提供鉴别信息,经系统确认其身份的真实性后方可接入。 访问控制在GB17859中同样有其特定的含义.并对自主访问控制和强制访问控制的策略做了具体的说明。其实.访问控制在更广的范围有着更广泛的含义。在许多情况下.人们往往把身份鉴别也称作是一种访问控制。如果我们把是否允许登录系统看作是是否允许对系统进行访问.把身份鉴别称为访问控制也未尝不可。问题是需要对其具体含义做清晰的描述。这也是我们为什么把身份鉴别与访问控制这两个概念一起进行讨论的原因
浅谈工业控制系统网络安全问题与应对策略
浅谈工业控制系统网络安全问题与应对策略 、工业控制系统 工业控制系统(Industrial Control Systems, ICS)是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成。其组件包括数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED),以及确保各组件通信的接口技术。 工业控制系统广泛应用于工业、电力、能源、交通运输、水利、公用事业和生产企业,被控对象的范围包括生产过程、机械装置、交通工具、实验装置、仪器仪表、家庭生活设施、家用电器等。它通过对工作过程进行自动化监测、指挥、控制和调节,保证工业设施的正常运转,是国家关键基础设施和信息系统的重要组成部分。SCADA是广域网规模的控制系统,RTU作为远程终端;DCS是局域网规模的控制系统,主要采用PLC作为远程终端。 当前工业控制系统的核心自动化部件是计算机或嵌入式芯片,经过几十年的发展已走过了专用机、通用机和因特网终端等阶段。抽象地看,工业控制系统由三个部分组成:主控站、远程终端和受控工业过程。 2、工业控制系统安全问题 2.1、工业控制系统网络化带来严重的安全问题 工业控制系统在最初发展的几十年里是完全独立的,与企业管理系统是隔离的。但是随着各行业企业对实现管理与控制的一体化需求的增
加,工业控制系统和企业管理信息系统逐步实现了网络化集成,管理信息网络与生产控制网络之间实现了数据交换,导致工业控制系统不再是一个独立运行的系统,而要与管理系统甚至互联网进行互通、互联。 另外,工业控制系统的结构也在向工业以太网结构发展,开放性越来越强。基于TCP/IP协议以太网通讯技术在该领域得到广泛应用。工业控制系统中大量使用了使用了通用PC服务器、PC终端、通用的操作系统和数据库,这样很容易遭到来自企业管理网或互联网的病毒、木马以及黑客的攻击。 2.2、典型案例 1982年的夏天,前苏联西伯利亚一条天然气输送管道发生了大爆炸。这场爆炸可谓是迄今为止最为壮观的非核弹爆炸,爆炸引起的熊熊大火甚至可以从太空中观测到。苏联通往西欧国家的输气管线大面积中断,前苏联的国内经济几乎因此一蹶不振。美国专家评估这次爆炸等级相当于3000吨TNT。这是由里根时期的白宫官员托马斯C里德所著的个人回忆录《在深渊:一个内幕人的冷战历史》解密的内容。 当时根据美国政府的计划,美国中情局在天然气管道的操作软件上做了手脚,对那些关系到油泵、涡轮和阀门运作的软件程序进行了特定的编程,特意安置了定时炸弹。这些软件可以正常运作一段时间,但不久就会重新调整油泵的速度和阀门的设置,产生大大超过油管接头和焊接承受的压力,最终破坏整个管道系统。 2010年,以美国为首的西方国家通过网络对伊朗核设施发动了攻击。国际核能组织观察到伊朗浓缩铀工厂在接下来的几个月内就有两千
工业控制系统安全现状与风险分析--省略-CS工业控制系统安全(精)
c o m p u t e r s e c u r i t y 工控安全专题 导语 :本文将从 IT 领域熟悉的信息安全管理体系的基本理论和潜在威胁的角度,借鉴国际上有关工业控制系统安全保护要求及标准,分析当前我国工业控制系统存在的风险,并提出一套基于 I C S 系统的威胁发现与识别模型。 工业控制系统安全现状与风险分析——ICS 工业控制系统安全风险分析之一 张帅 2011年 11月 12日,待测伊朗弹道导弹收到控制指令后突然爆炸。事故经媒体披露,迅速引发各国政府与安全机构的广泛关注,对真凶的质疑直指曾攻击布什尔核电站工业控制系统的 Stuxnet 蠕虫病毒。截至目前,事故真相与细节并未公布,但工业控制系统长期存在的风险隐患却已是影响国家关键基础设施稳定运行重要因素,甚至威胁到国家安全战略实施。为此工信部于 2011年 10月份发布文件,要求加强国家主要工业领域基础设施控制系统与 SCADA 系统的安全保护工作。 1 工业控制系统介绍 工业控制系统(Industrial Control Systems, ICS ,是由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件,共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统。其核心组件包括数据采集与监控系统(SCADA 、分布式控制系统(DCS 、可编程逻辑控制器(PLC 、远程终端(RTU 、智能电子设备 (IED ,以及确保各组件通信的接口技术。 目前工业控制系统广泛地应用于我国电力、水利、污水处理、石油天然气、化工、交通运输、制药以及大型制造行业,其中超过 80%的涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业,工业控制系统已是国家安全战略的重要组成部分。
基于安全策略的信息系统一体化管理的
基于安全策略的信息系统一体化管理的 摘要:随着企业信息化建设的多年发展和不断推进,电网企业已建设推广了众 多信息系统,并已深入到企业日常业务和管理的各个角落。各类信息系统的高效 访问集成是提高公司员工工作效率的有效途径,信息系统安全稳定的运行是整个 企业正常运转的重要保障,自动化、不间断的监控报警系统是及时发现隐患、保 证系统正常工作的有效手段。因此,建设一个集信息系统监控、预警、全生命周 期管理等功能于一体的管理工具在信息系统的日常运营中是非常重要的。 关键词:安全策略;信息系统;现象描述 1、现象描述 随着公司信息化建设的不断推进,公司已上线了各类国网公司、省公司统推 系统,且各类系统版本较为复杂,造成在管理过程中存在诸多的问题。 (1)依靠手工Excel方式对这些数量众多的信息系统进行监管,监管力度不够,对信息系统上下线管理缺乏有效管控工具,一些不应继续使用的遗留系统仍 在运行并局部使用。 (2)信息系统能否正常使用只能依靠管理员人工查看或用户报修,缺乏有效手段及时发现系统故障,对各子系统运行状况无实时监控,发生故障后无法及时 察觉,恢复速度慢导致故障排除周期较长,信息运维用户满意度降低。 (3)公司所有的信息子系统缺乏统一入口,不少信息系统还没有与统一门户集成,各个子系统使用各自的访问控制手段,杂乱难记,用户日常使用时只能靠 输入链接地址进行访问,系统访问不方便,带来安全隐患。 2、处理过程 设计信息系统一体化管理工具,实现信息系统资源统筹管理,消除信息孤岛,促进各信息系统间互通互联,实现数据集中、文档集中、资源整合;实现信息系 统实时监控及风险预警缩短系统故障响应周期,提供信息运维服务水平,提高用 户满意度;实现信息系统全生命周期管理,确保系统安全稳定可靠运行。 1)、通过“信息系统访问控制管理”研究,基于安全访问控制策略,合理设置 各类用户的权限,构建公司各类信息系统的统一入口,建立信息系统快速搜索功能,方便用户准确快速链接到需要使用的信息系统,无需刻意记忆,提高工作效率。 ● 面向方面的应用程序访问控制 利用运行时织入(runtime weaving)手段,可以将访问控制逻辑实现为AOP 方面模块后,在部署平台上织入到应用系统中,而不用修改应用系统的源代码。 安全方面代码织入之后,即可拦截过滤用户对系统的访问,实现按规则的访问控制。 AOP工具在多种语言上都有实现。其中在Java上有运行良好的AspectJ库, 此库可结合Spring框架及Spring Security子框架,实现高品质的安全控制特性。在.NET环境,有通过MSIL动态注入来实现AOP的PostSharp库。这样,公司多 数应用都可以在同一种技术框架下实现访问控制了。 ● 基于Apache的访问控制方案 Apache服务器集成了访问控制能力,通过编辑.htaccess文件,可以设定特定 来源的用户对特定资源的访问允许和禁止规则,Apache将会执行该文件中设定的 规则,对某些请求进行拦截。此外,读取.htaccess文件并作出拦截或放行决定的,并不是Apache核心代码,而是Apache中的几个模块(以mod_auth为核心)提
人为因素与航空安全
人为因素与航空安全 __浅谈影响航空安全的三大人为因素 随着飞机的出现,交通运输的模式发生了巨大的变化。航空运输以方便、快捷的优势吸引着大量的旅客。世界间的距离随之“缩短”,朝发夕至已成为不争的事实,然而航空安全一直是困扰着人们选择出行的一大难题。在航空运输发展的初期,由于科学技术较为落后,因飞机本身的机械故障而引发的飞行事故居高不下,占据主要原因。近几十年来,随着科学技术的不断发展,新材料的大量使用,飞机已是高新科技的代表作,自身的安全系数不断提高,由于人为因素而造成的航空事故比例大大增加。据统计数字显示近七成事故由人为原因导致,成为制约航空安全的最大障碍。这一现象已引起业内专家的高度重视,于是逐渐探索出通过加强机组资源管理,从而有效降低人为因素的不安全隐患,达到提高航空安全水平的目的。 航空安全是一个系统工程,包括人、机、环境三大环节,随着科技的不断发展,运行环境的不断完善,人为因素已成为制约航空安全水平的首要环节。 影响航空安全的三大基本人为因素 一、技术因素: 众所周知,航空器是诸多尖端科技的综合产物,以高速安全的特点帮助人类实现了许多梦想、缩短了世界各点之间的距离、加强相互之间的联系、加速了社会文明的发展。在享受这些便捷的同时我们也应该意识到它的复杂性和挑战性,航空人员是不同于一般群体的特殊人员,航空器的特点决定了他们必须具备高度的专业素质和精湛的驾驶技术,不但要全面了解相关学科的专业知识还要对航空器的工作原理谙熟于胸,不但要熟知各个系统还要在出现异常时的分析问题和解决问题的能力,不但要能够熟练操纵飞机做各种机动而且还要能够从容应对特殊情况的发生,发扬人的聪明才智发挥飞机的最大性能从而确保航空安全。 从我国培养飞行人员模式的变化即可看出对从业人员要求的不断提高,中国民航飞行学院是培养飞行员的摇篮,其前身仅为一般的技术专科学校,随着民航的不断发展逐渐升格成一所综合性本科学院,所培养的人才从单一的航空器”司机”到今天的高素质综合型人才除传授综合性的专业知识以外更加注重再学习能力的培养以适应航空技术的不断更新与发展,并以积极的态度去面对高新技术的不断涌现,从而有效合理的利用和再创造,为营造良好的人机环境、够建相互影响相互促进的良性循环、航空安全与可持续发展奠定基础。 从飞行员的后期培训来看,近年来增加了新雇员培训、公司运行政策培训、应急训练和定期复训等,培训体系已向系统化、职业化发展。教学模式也从师傅带徒弟的经验型转变到理论与实践紧密结合的综合型,侧重于传授技术而不是简单的技巧,所有这些改变都为今后的航空安全储备人才,有利于从根本上改善人为因素这一重大环节。 二、法规因素 航空法规是从事航空运输的行为规范,没有规矩不成方圆。从初始飞行学员到成熟的机长要经历许多法规制度的培训,其中包括《飞行基本规则》《民航法》
实施功能安全标准完善安全评估体系
摘要:从功能安全标准的进展和功能安全评估的现状两个方面进行了论述,强调了实施安全仪表系统功能安全评估的重要意义,并提出了建议。 关键词:安全仪表系统;功能安全;安全完整性等级;评估 安全仪表系统也被称为仪表型安全系统,由3部分(检测部分、执行部分和逻辑部分)组成,其在事故和故障状态下,能够迅速、正确地做出响应,使生产装置在安全模式下停车,避免灾难事故的发生,减少事故给设备、环境和人员造成的危害。 安全仪表系统作为保障生产安全的重要措施,需要在危险发生时正确地执行其安全功能。安全仪表系统的安全功能是指对某个具体的潜在危险事件实行的保护措施。如某管道或容器在出现超高压情况时的泄压或停车属于一个安全功能。而功能安全则是指安全功能本身的安全性,用于描述安全仪表系统执行其安全功能的能力。但由于系统结构、硬件、软件、周围环境及维护等原因,安全仪表系统会不可避免地存在着安全性问题。在石化装置开展安全仪表系统功能安全评估,合理、有效地设置安全仪表系统,实现安全仪表系统的功能安全,保障石化装置安全,已经成为目前迫切需要解决的问题。1功能安全标准的进展 电气、电子、可编程电子安全相关系统功能安全标准 IEC61508,于1998年发布其第1、3、4和第5部分,于2000年发布其第2、6和第7部分;与之对应的过程工业领域分支标准IEC61511于2003年发布。随着IEC61508/61511相继成为国际标准,功能安全,特别是在过程工业领域,已形成完整的理论、技术,以及管理体系,成为工业安全不可或缺的组成部分。 世界上第一个过程工业安全设备分级标准,是德国的DIN 19250 (DIN 19250:控制技术;测量和控制设备应考虑的基本安全原则)/DIN V VDE0801(计算机在安全相关系统中的原理)。功能安全的概念也由此产生。该标准将安全设备分为AK (Anforderungs Klasse ) 1~8个等级。AK 等级越高,意味着制造产品的技术难度越大。AK 代表了为在产品内控制和避免失效所采取的技术措施的多寡。DIN 19250标准于2008年8月废止,并被IEC61508取代。 在美国,ISA 标准委员会SP84发布了过程工业功能安全标准ANSI/ISA-84.01-1996“安全仪表系统在过程工业中的应用”。该标准提供了一个安全完整性等级SIL 的分级标准,将安全完整性等级定义为SIL 1~3级;同时,该标准定义了用于管理安全仪表系统(SIS )的安全生命李玉明 姜巍巍 (中国石油化工股份有限公司青岛安全工程研究院,山东青岛266071) 收稿日期:2009-01-19 作者简介:李玉明,高级工程师,功能安全工程师(TUV FSEng ),1984年毕业于南京化工学院自动化专业,从事功能安全评估方面的工作。 实施功能安全标准完善安全评估体系 专题介绍 安全健康环境 、和 编辑李文波 2009年第9卷第4期 2
浅谈工业控制系统网络安全问题与应对策略
浅谈工业控制系统网络安全问题与应对策略 1、工业控制系统 工业控制系统(Industrial Control Systems, ICS)是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成。其组件包括数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED),以及确保各组件通信的接口技术。 工业控制系统广泛应用于工业、电力、能源、交通运输、水利、公用事业和生产企业,被控对象的范围包括生产过程、机械装置、交通工具、实验装置、仪器仪表、家庭生活设施、家用电器等。它通过对工作过程进行自动化监测、指挥、控制和调节,保证工业设施的正常运转,是国家关键基础设施和信息系统的重要组成部分。SCADA是广域网规模的控制系统,RTU作为远程终端;DCS是局域网规模的控制系统,主要采用PLC作为远程终端。 当前工业控制系统的核心自动化部件是计算机或嵌入式芯片,经过几十年的发展已走过了专用机、通用机和因特网终端等阶段。抽象地看,工业控制系统由三个部分组成:主控站、远程终端和受控工业过程。 2、工业控制系统安全问题 2.1、工业控制系统网络化带来严重的安全问题 工业控制系统在最初发展的几十年里是完全独立的,与企业管理系统是隔离的。但是随着各行业企业对实现管理与控制的一体化需求的增加,工业控制系统和企业管理信息系统逐步实现了网络化集成,管理信息网络与生产控制网络之间实现了数据交换,导致工业控制系统不再是一个独立运行的系统,而要与管理系统甚至互联网进行互通、互联。 另外,工业控制系统的结构也在向工业以太网结构发展,开放性越来越强。基于 TCP/IP协议以太网通讯技术在该领域得到广泛应用。工业控制系统中大量使用了使用了通用PC服务器、PC终端、通用的操作系统和数据库,这样很容易遭到来自企业管理网或互联网的病毒、木马以及黑客的攻击。 2.2、典型案例 1982年的夏天,前苏联西伯利亚一条天然气输送管道发生了大爆炸。“这场爆炸可谓是迄今为止最为壮观的非核弹爆炸,爆炸引起的熊熊大火甚至可以从太空中观测到。苏联通往西欧国家的输气管线大面积中断,前苏联的国内经济几乎因此一蹶不振。美国专家评估这次爆炸等级相当于3000吨TNT。”这是由里根时期的白宫官员托马斯?C?里德所著的个人回忆录《在深渊:一个内幕人的冷战历史》解密的内容。 当时根据美国政府的计划,美国中情局在天然气管道的操作软件上做了手脚,对那些关系到油泵、涡轮和阀门运作的软件程序进行了特定的编程,特意安置了“定时炸弹”。这些软件可以正常运作一段时间,但不久就会重新调整油泵的速度和阀门的设置,产生大大超过油管接头和焊接承受的压力,最终破坏整个管道系统。 2010年,以美国为首的西方国家通过网络对伊朗核设施发动了攻击。国际核能组织观察到伊朗浓缩铀工厂在接下来的几个月内就有两千个离心机报废。占伊朗浓缩铀工厂离心机的四分之一。伊朗核发展因此受到严重阻碍。而致使离心机报废的原因,就是受到了著名的“震网”病毒武器的攻击。
工业控制系统信息安全
工业控制系统信息 安全
工业控制系统信息安全 一、工业控制系统安全分析 工业控制系统(Industrial Control Systems, ICS),是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成。其组件包括数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED),以及确保各组件通信的接口技术。 典型的ICS 控制过程一般由控制回路、HMI、远程诊断与维护工具三部分组件共同完成,控制回路用以控制逻辑运算,HMI 执行信息交互,远程诊断与维护工具确保ICS能够稳定持续运行。 1.1 工业控制系统潜在的风险 1. 操作系统的安全漏洞问题 由于考虑到工控软件与操作系统补丁兼容性的问题,系统开车后一般不会对Windows平台打补丁,导致系统带着风险运行。 2. 杀毒软件安装及升级更新问题 用于生产控制系统的Windows操作系统基于工控软件与杀毒软件的兼容性的考虑,一般不安装杀毒软件,给病毒与恶意代码传染与扩散留下了空间。 3. 使用U盘、光盘导致的病毒传播问题。
由于在工控系统中的管理终端一般没有技术措施对U盘和光盘使用进行有效的管理,导致外设的无序使用而引发的安全事件时有发生。 4. 设备维修时笔记本电脑的随便接入问题 工业控制系统的管理维护,没有到达一定安全基线的笔记本电脑接入工业控制系统,会对工业控制系统的安全造成很大的威胁。 5. 存在工业控制系统被有意或无意控制的风险问题 如果对工业控制系统的操作行为没有监控和响应措施,工业控制系统中的异常行为或人为行为会给工业控制系统带来很大的风险。 6. 工业控制系统控制终端、服务器、网络设备故障没有及时发现而响应延迟的问题 对工业控制系统中IT基础设施的运行状态进行监控,是工业工控系统稳定运行的基础。 1.2 “两化融合”给工控系统带来的风险 工业控制系统最早和企业管理系统是隔离的,但近年来为了实现实时的数据采集与生产控制,满足“两化融合”的需求和管理的方便,经过逻辑隔离的方式,使工业控制系统和企业管理系统能够直接进行通信,而企业管理系统一般直接连接Internet,在这种情况下,工业控制系统接入的范围不但扩展到了企业网,而且面临着来自Internet的威胁。
功能安全 Functional Safety ISO26262-2 中文翻译
ISO 26262-2 功能安全管理 译者:逯建枫 图1 ISO26262概览 1 范围 ISO26262适用于包含有一个或多个电子电气系统的安全相关系统,且该系统安装于车辆最大总质量为3500kg的一系列乘用车车型上。ISO26262不适用于特殊用途车辆(比如残疾人专用车辆)中的特殊电子电气系统。 在ISO26262发布日期之前已发布生产的、或已在开发过程中的系统及其零部件,不受此标准约束。在对ISO26262发布前生产的系统及其零部件进行开发或更改时,只需要使得更改的部分符合ISO26262的要求即可。 ISO26262阐述了E/E安全相关系统故障或系统相互作用故障可能导致的危害。ISO26262不涉及电击、火灾、烟雾、热量、辐射、毒性、易燃性、反应性、腐蚀性、能量释放等相关危害,除非以上这些危害是由于E/E安全相关系统故障直接导致的。 ISO26262不涉及E/E系统的名义性能,尽管这些系统(例如主动和被动安全系统、制动系统、自适应巡航系统)有专门的性能标准。
ISO26262-2部分规定了汽车应用的功能安全管理要求,包括: -相关组织的项目独立要求(全面安全管理),以及 -与安全生命周期的管理活动有关的具体项目要求(即概念阶段、产品开发期间以及生产发布后的管理)。 2 相关标准 略 3 术语、定义和缩略语 见ISO26262-1部分。 4 合规性要求 4.1 一般化要求 若声称符合ISO26262要求时,应当遵守每项要求,除非有以下其中一项: a)计划按照ISO26262-2对安全活动进行裁剪,发现该要求不适用,或者 b)有缘由表明,不合规是可以接受的,且该缘由经评估符合ISO26262-2。 标记为“注释”或“示例”的信息仅用于指导理解或澄清相关要求,不应理解为要求本身或完整需求或详细需求。 安全活动的结果是以工作产品的形式输出的。“先决条件”是指作为前一阶段工作产品提供的信息。考虑到某条款的某些需求是ASIL依赖的或定制的,某些工作产品可能不需要作为先决条件。 “进一步的支持信息”是可以考虑的信息,但在某些情况下,ISO 26262不要求该信息作为前一阶段的工作产品,并且可以由非功能安全人员或组织外部人员提供。 4.2 表格释义 根据上下文信息,表格可能是规范性的或信息性的。表中列出的不同方法,有助于将置信度提升到符合相应要求的水平。表中每个方法都是: a)连续条目(用最左边列中的序列号标记,例如1、2、3),或 b)一个可选条目(用数字和最左边一列中的字母标记,例如2a、2b、2c)。 对于连续条目,应按照ASIL的建议,考虑使用所有方法。如果要采用其他方法,应给出满足相应要求的理由。 对于替代条目,要根据ASIL的要求,采用适当的方法组合;至于表中是否有列出这些方法则无关紧要。若列出的这些方法的ASIL等级不相同,那么应当优先选择等级较高的方法。且要给出所选方法组合符合相应要求的理由。
人为因素对交通安全的影响
I If 编号:SM-ZD-24250 人为因素对交通安全的影 Orga nize enterp rise safety man ageme nt planning, guida nee, inspection and decisi on-mak ing. en sure the safety status, and unify the overall plan objectives 编制: 审核: 时间: 本文档下载后可任意修改
人为因素对交通安全的影响 简介:该安全管理资料适用于安全管理工作中组织实施企业安全管理规划、指导、检查和决策等事项,保证生产中的人、物、环境因素处于最佳安全状态,从而使整体计划目标统一,行动协调,过程有条不紊。文档可直接下载或修改,使用时请详细阅读内容。 从我国长期的咼速公路交通事故统计中可以看出,人为 的因素造成交通事故占到99%左右,驾驶员是道路交通安全的维护者,对是否造成交通事故起着关键作用。 2.1驾驶员的直接原因事故发生的前一瞬间内,驾驶员所做的行为 使得增加了 发生事故的风险就是直接原因。在驾驶员因素而发生交通事故中,直接原因有很大的份戏。 2.1.1超速行驶驾驶员在驾驶车过程中大脑活动的过程:发现外界 刺激 信息---注意---大脑接受---分析---判断。注意、分析、判断三者属于思维范畴,是每个驾驶员从接受外界刺激信息进行心理活动的必然程序和规律。驾驶员接收信息是为分析判断提供材料,驾驶员的动作措施则是分析判断的结果。在超速行驶过程中驾驶员注意力和判断机能降低,接收外界信息减弱,随之而来的分析、判断、动作就容易产生失误,从而导
工业控制系统网络安全防护建设浅析 刘斌
工业控制系统网络安全防护建设浅析刘斌 发表时间:2019-03-27T11:19:48.810Z 来源:《电力设备》2018年第29期作者:刘斌 [导读] 摘要:计算机技术、网络技术已经遍及生活、生产和学习等领域,成为21世纪人类的必需。 (光大环保能源(莱芜)有限公司) 摘要:计算机技术、网络技术已经遍及生活、生产和学习等领域,成为21世纪人类的必需。在这样的历史背景下,基于信息交流和计算机运用的工业自动化控制系统也发展起来,并迅速得到普及。笔者针对存在于我国当前工业自动化控制系统信息安全方面的主要问题,提出了相应的应对措施。 关键词:工业自动化;控制系统;网络 安全信息是工业生产不可获缺的组成部分,信息化是工业生产的必然趋势,它不仅能大大减少人工的使用量,还能降低生产成本、提高生产效率。在这个信息化的时代,信息交换日益频繁,工业自动化控制系统的信息安全问题日益成为业内关注的焦点。我国当前的工业自动化控制系统与先进国家的差距依然较大,信息安全隐患较多。 1概述 1.1工业自动化控制系统的内涵 工业自动化控制系统通过提前设定生产目标、借助一系列参数来对生产过程进行控制从而实现生产目标的一整套硬件和软件。 1.2工业自动化控制系统的优势 传统的工业生产操作以人力为主,离不开人的直接干预,往往让人精疲力竭还经常出错。而自动化控制系统控制下的生产,不仅可以大大降低劳动强度,还可以减少不合格产品、提高生产效率,比起投入来工业自动化控制系统为企业创造的效益要多得多。工业自动化生产让人类向前迈了一大步,手工操作被大规模的智能机械代替,而工人只要熟练掌握自动化控制系统的操作技术就能轻松完成生产任务,很多时候只需要动动手指头。工业自动化控制的优越性逐渐被人认识,被广泛的运用于建筑、机械制造、信息技术和交通运输等领域,促进了生产效率的稳步提高和社会的快速发展。 1.3工业自动化控制系统的分类 工业自动化控制系统的构成较为复杂,往往需要较多的机器和设备,这些设备设施可以分为三个部分:执行层、驱动层和控制层。根据一定的标准可以对工业自动化控制系统进行分类,比如:根据采用控制原理的不同,可以分为闭环控制系统和开环控制系统;根据给定信号的不同可以分为程序控制系统、恒值控制系统和随动控制系统。 2存在于保障工业自动化控制系统网络安全方面的主要问题 2.1管理制度亟待完善 我国市场经济的真正发展始于上世纪七十年代末期,至今不足四十年,还很不成熟。当前,就算是效率较好的大型国有企业,也存在较多的管理漏洞。企业运行以人为主体,所以企业管理首先是人的管理,只有把人员管理好了,企业才有可能进入良性发展的轨道。调查表明,为数不少的生产企业在门禁制度上存在不规范的地方,外来人员可以轻易的进入企业,与内部员工鱼龙混杂,增加了企业管理的难度,企业的重要信息很有可能被外来人员窃取,给企业造成不同程度的损失。另外,对于工业自动化控制系统的管理也没有严格执行人和系统一一对应的制度,企业内部人员规范起来很难,信息的绝对安全无从得到保障。 2.2专业技术人才短缺 科技是第一生产力,掌握现代先进科学技术的人才对于企业的发展具有举足轻重的作用。一方面,工业自动化控制系统日新月异并被广泛运用,另一方面相应的专业人才青黄不接,人才的培养远不能满足工业自动化控制系统发展的需要。造成这种局面原因主要有两方面:其一,我国尚未建成健全的工业自动化控制系统专业技术人才的培养体系,学科教学周期长、效率低。其二,自动化控制系统是建立在计算机信息技术的基础之上的,而计算机信息技术的更新换代周期越来越短,往往是我们的技术人员刚刚熟悉一套系统,这套系统就面临淘汰的边缘了,人才的培养远远不上技术更新的脚步。中国企业急需能熟练掌握自动化控制的人才,更需要既懂控制系统又能为信息安全提供保障的人才。 2.3系统控制协议加密技术薄弱 通信协议的加密和登录认证技术上相对比较薄弱,这严重威胁到了系统运行中的信息安全。诸如安全绕过技术以及缓冲区溢出技术,是入侵方常用的几种破坏系统运行通信协议的方式。另外,加密技术的薄弱,与信息系统的管理维护人员本身的思想意识也有一定的关系。 3工业自动化控制系统网络安全防护措施 3.1引进国外先进管理理念 俗话说,他山之石可以攻玉。在历史上的四次工业革命中,中国就错过了两次。从第一次工业革命算起,欧美国家的工业生产经历了二百五十余年,在长期发展过程中,欧美国家积累了丰富的工业管理经验,中国当前所面临的问题欧美企业也都曾出现过,也总结出了相应的应对策略,比如微软的“高压管理策略”、IBM公司的“开门政策”、松下公司“经营就是下雨打伞”的管理理念以及诺基亚公司的“优秀团队构建”策略等都是具有十分重要借鉴价值。在工业自动化控制系统信息安全的保障方面,欧美企业也有许多值得中国企业借鉴的成功经验,也有成熟的操作系统防护体系、企业网络防护体系以及防病毒体系等。 3.2加大专业技术人才培养力度 习总书记提醒我们:先进技术是买不来的。我们提倡引进欧美先进的管理理念,但是如是我们掌握工业自动化控制系统,信息安全保障的核心技术,我们终将受制于人,因此我们必须培养出我们自己的专业技术人才。首先,企业应增加培训经费、完善培训体系、健全培训制度,站在世界工业生产前沿的高度,培养出与国际接轨的专业性操作人才;其次,要强化安全教育,改变员工安全意识薄弱的局面,让每位员工都深刻认识到信息安全的重要性;第三,进一步完善管理体系,强化对系统设备及人员的管理,为工业自动化系统安全信心提供强有力的保障。 3.3安全监测平台的建立 建设专门的工业网络防护设备安全监测管理平台,对关键部位的网络链路、安全设备、网络设备和服务器等的运行状况、设备信息、
软件安全风险评估
1概述 1.1安全评估目的 随着信息化的发展,政府部门、金融机构、企事业单位等对信息系统依赖程度的日益增强,信息安全问题受到普遍关注。对信息系统软件进行安全测评,综合分析系统测试过程中有关现场核查、技术测试以及安全管理体系评估的结果,对其软件系统安全要求符合性和安全保障能力作出综合评价,提出相关改进建议,并在系统整改后进行复测确认。以确保信息系统的安全保护措施符合相应安全等级的基本安全要求。 根据最新的统计结果,超过70%的安全漏洞出现在应用层而不是网络层。而且不只发生在操作系统或者web浏览器,而发生在各种应用程序中-特别是关键的业务系统中。因此,有必要针对xxx系统应用软件进行安全风险评估,根据评估结果,预先采取防范措施,预防或缓解各种可能出现的信息数据安全风险。 安全评估要求 XXXXXXXX 软件安全评估具体需求 安全评估指导原则 软件安全风险评估作为一项目标明确的项目,应分为以下五个阶段,每个阶段有不同的任务需要完成。 1、启动和范围确定:在安全相关软件的合同或任务书中应提出软件安全性分析的范围和要求。实施方明确责任,管理者检查必备的资源(包括人员、技术、基础设施和时间安排),确保软件安全性分析的开展; 2、策划:软件安全性分析管理者应制定安全性分析计划,该计划可作为所属软件过程或活动的计划的一部分。 3、执行和控制:管理者应监控由软件安全性分析计划规定的任务的执行。管理者应控制安全性分析进展并对发现的问题进行调查、分析和解决(解决方案有可能导致计划变更)。 4、评审和评价:管理者应对安全性分析及其输出的软件产品进行评价,以便使软件安全性分析达到目标,完成计划。 5、结束:管理者应根据合同或任务书中的准则,确定各项软件安全性分析任务是否完成,并核查软件安全性分析中产生的产品和记录是否完整。 安全评估主要任务 根据安全评估指导原则,为尽量发现系统的安全漏洞,提高系统的安全标准,在具体的软件安全评估过程中,应该包含但不限于以下七项任务: 软件需求安全性分析 需要对分配给软件的系统级安全性需求进行分析,规定软件的安全性需求,保证规定必要的软件安全功能和软件安全完整性。