【摘要】本文介紹了英國鐵路系統20世紀90年代后期建立的安全保障體系。詳細介紹了按年保障體系的核心的廣義上不受到傷害的概念。這與以前只重設備不重人的偏誤形成鮮明對比，還介紹了安全工程和安全管理系統兩個概念及其實現手段。
【關鍵詞】鐵路安全 年個體致命風險 安全工程 安全管理系統 風險辨認

1背景
英國巨大的鐵路系統是—個復雜的分布的線網絡系統，和其他復雜系統一樣，它像一個大熔爐，產生了一個以包括安全為主要指標的總體性能。英國鐵路在1990--1993年間進行了一系列的風險研究，導致了整個系統對安全風險概念的認知。這些研究對兩種暴露在鐵路的運行而產生的風險中的人群，即員工和經常性乘客，這種致命的風險進行了量化的研究。
經過同期一些重要的安全舉措后，英國鐵路將人群“年個體致命風險”作為安全測量尺度。路軌公司隨后評審了這一尺度并將之與“安全與健康署”(HSE)的“風險的可容忍度”的指導概念相結合，在“鐵路安全論證文件”中定義了系統總體下性能的范圍。
這一量化尺度在路軌公司的“鐵路安全論證文件”中從戰略和戰術上強調了整個系統的安全性要求，它被表達為人群的“年個體致命風險”，人群包括員工、乘客和公眾(鐵路的周圍)。另外路軌公司每年還要發表一個“鐵路行業安全計劃”，公布全行業的安全目標，安全業績報告和安全管理的具體安排。
但是，正如現代企業將總體性能的附加值作為其主要功能來審視一樣，鐵路系統的安全具有同樣地位。大熔爐的說法不能再繼續下去，不能再忽略真正安全意義上敏感和需要投資的地方了。集中和系統的安全管理全過程方針將貫穿從投資優先到風險管理控制。真正的以風險為基礎的標準管理制度的建立和實施，作為一個戰略上的管理和控制手段只有在這樣一個全面和系統化的框架的基礎上才能實現。
本文介紹了這一成果是女響取得的，包括安全容忍度和在商業范圍內的全面風險管理。本文描述的
安全保障體系主要是建立在作者在近年內接觸的英國鐵路廣泛的戰略性的設施控制與管理的經驗上。
2 安全，英國法律體系
英國現行的健康與安全法規建立在“健康與安全工作法案”的基礎上，這一法案從根本上影響著法律和法規的制訂。這—法案與以前約束性的法律的主要不同點是它鼓勵自我約束和設立目標。與一系列被動的、不連貫的和不一致的法規相比，新法案的范圍包括生產活動的一切，這樣提高了對公眾的保護程度。
法案要求所有雇主盡可能避免對雇員、顧客和公眾的危險。但是它并沒有強制規定對有關生產活動相關的危險做出評價和承擔。這些在二十年后的“健康和安全管理法”中才得到確認，這是在上一部法案的基礎上的第二部法律，它強制要求對一個產品和其生產過程可能產生的潛在安全上的風險進行適當的和全面的評估。
這種確立目標的方法為企業提供了一種先進的和漸進式的符合法律和社會義務的道路。在這種精神下，它被剛出現的國際安全標準因為其簡明和實現自我監督的潛力而認可。
3 安全保障體系
安全是以人類為核心的廣義上即不受到傷害的同義詞。這同過去傳統上鐵路以設備為中心的，強調設備故障形式而不注重它所帶來的給人群的危害的做法形成鮮明對比。但這種只重設備不重人的偏誤在正出現的國際和歐洲安全標準中還在被延續，它們以“危險故障’的頻率來評價安全。
產品及其生產過程給人類帶來的潛在危害可能涉及他們的根本特性，和它們應用／使用的模式／環
境。在這種精神下，安全廣泛地關系到整個設計進程的質量和特性，及在一定的應用環境中的應用模式。理想情況下，這些特陛可滿足在一定的應用環境中，使用或誤用的預見性分析的要求。
(1)安全工程；
(2)安全管理系統。
盡管簡單熟悉的系統可以通過在設計過程中給予足夠的考慮來獲得安全性能，而復雜的高風險系統則需要嚴格的規范和使用嚴格的操作和維護制度確保開發過程。以上兩點框架是由以下幾點支持的：
(1)不同的參與者有不同的目標和目的；
(2)不同的工具、技術和活動；
(3)經常不同的時間尺度要求；
(4)不同組暴露在不同的風險和程度；
(5)不同的風險；
(6)不同的知識、技能、能力和功能需求；
(7)不同的改正缺點和故障的費用。
這里提出的安全保障體系是一個全面的產品，系統和過程的規范，及其實現和開發的理論。它是一個關于三方面的參與者損失的預測商業決策系統；
(1)安全損失。代表由產品、系統和過程產生的對人的潛在危害，包括從健康到具體的身體傷害及致命傷害。安全損失和其可容忍性由法規制約。
(2)商業損失。包括產品損失、延誤、間斷及對財產的損壞和由不良產品導致的名譽的影響，也包括產品損失的賠償和保險費的增加等可以由錢來衡量的損失。
(3)環境損失。是對環境的損壞，是由放出的有害物質，管理不良或對自然資源不當開發引起的。結果通常是污染，惡化甚至生態平衡的解體。環境的損壞正在面臨更嚴格的法律制約。
三種損失經常是相互關聯的并和商業決策高度相聯的。
3.1 安全工程
安全工程一般與產品周期的設計和生產過程相連，包括概念、可行性、計劃、需求和規格、系統設計、系統實現、測試、證實和認證。
路軌公司開發和應用了以產品和過程的系統化風險分析為基礎的安全工程。它包括七個階段的過程，包括設計風險來源的辨別，識別和評估實現和應用階段產生的風險，選擇安全優選的策略。這一系統化的過程包括七個過程。
(1)風險辨認
這一主要步驟集中在辨認和排列從不當的固有特性、故障、負面的影響或潛在的對產品的錯誤的使用，或過程產生的風險。風險(hazard)在這里的意思是對人群，環境和商業存在的潛在損害的行動或情況。風險辨認通常包括使用經驗值/歷史的經驗和創造性，與廣泛的分析相結合。
(2)原因分析
這需要對故障導致風險進行辨認、模擬和數量化分析，包括人為錯誤，并在分析的基礎上估計風險產生的頻率。
(3)后果分析
故障，不良影響或產品的誤用會導致一系列的包括安全、商業上的和環境上的損失。后果分析包括預測和數量化風險可轉化成為的所有事件和事故。
(4)損失分析
風險的后果(事件和事故)經常與財政或與對人和環境的損害相連。在這種框架上的損失分析包括對系統化的產品、過程對人員和環境或商業上的損害的預測，其結果用一種通用貨幣表示。
(5)選項分析
這種分析主要是集中在可以轉化或控制風險的辦法的識別和排列及其需用費用。用于阻止或減低風險出現頻率的選擇稱為減低型，其他的減少風險造成損失的類型稱為限制型。
(6)影響分析
客觀的選擇和實施減低型和限制型的選擇需要一個對三種損失及每種風險和每種選擇作評價的分析過程。這主要通過每種選擇的原因和后果及其損失的得/失的反復分析來實現。
(7)符合性的證明
安全工程的第一至四個系統化的階段在考慮根除，轉移或控制風險前識別了風險并評價了所有潛在的損失。第五和六步集中在阻止和限制風險的不利的結果。這和全面損失分析相結合，產生了一個優化目標和安全管理并符合法律的決策支持環境。
3．2 安全管理系統
安全管理與產品周期的應用和維護／拆除階段相連；包括安裝、調試、測試、操作、改進、提高、維護和拆除。實踐上，安全管理是一個從不同的深度和廣度實施的系統的管理力式。這對高風險的系統更加重要，因為它們正常運行的證據不充足，對此類系統運行和所提供的服務的信心需要一定時間來建立。安全管理系統(sMs)可以保證產品、系統或過程具有一定的安全性能，損失—旦出現將局限于一定范圍。這些包括—系列的不同的活動，它的總和將產生高性能的抗拒故障的能力，這些活動包括：
(1)計劃和資源預測
一個成功的安全管理系統的實施在很大程度上取決于充足的資源和明確的計劃。實施計劃必須確認關鍵步驟，時間范圍，同時和序列事件，里程標和每階段所需的資源。計劃需要包括活動，觀察和測試來監測產品，系統和過程的表現直到滿意的運行產生了足夠的信心。
(2)資源的組織
計劃和資源預測之后，需要建立起來一個具有充足的設備，過程和人員的適當的和充足的組織來執行計劃。組織的結構，組成，權力和權力結構，能力和權限等必須建立起來并讓所有有關安全管理的人都知道。軟性的如精神，責任感，過程的擁有和承包商的參與都是有效的資源組織的一部分。
(3)實施和培訓
計劃及其執行組織必須在產品，系統或過程被使用之前實施或同時實施。對人員進行他們所從事的職位，責任和權力的培訓是很重要的。如果有對現有能力的需要和補充的需要，則需要提供適當的培訓。
(4)配置和變更控制
安全工程對產品，系統或過程所產生的風險所進行的階段性確認是建立在經驗和預見上的后的風險分析和安全優化，在大環境的基礎配置，組成部分的數目，組成和功能還是按照原始的參數的前提下，仍然是有效的。配置的維護和管理是保證安全措施有效的重要工作。
如果組成部分的層次，結構或組成，組織結構或對內有影響的外部因素有重大改變，那么安全戰略就要從新評價。這最好是通過安全工程的反復執行包括修改或制定新的安全保障戰略。
(5)審查和連續改進
除了改變和外部觸發例如環境的改變或新技術的出現之外，安全保障還需要進行定期的審查潛在的改進。特別地，從計劃的監測和視察中得到的教訓需要被審查并在持續改進的精神下應用于過程中。
(6)應急措施
安全工程采用經驗加創造陛思維來辨認一系列的對人有危害，對商業和環境造成破壞的情況。產品，系統或過程內在的特點主要集中在防止限制已被辨識的風險所造成的損失。因為沒有可預見的益處，整個的潛在風險不能被描畫下來，以前不知道的情況總可能產生新的風險。所以在安全管理中利用緊急措施作為應付一切不可預見的風險的安全網是很重要的。
(7)審計制度
安全工程和管理的過程必須詳細記錄潛在風險的容量，定性分析過程。然后必須有一個可以審查是否按條款做事的審計制度。審計的頻率和深度需要根據組織安全保障體系的規模和范圍來定。審計的結果需要在審查和連續改進階段來評審。
安全管理系統需要以活的和動態的系統來對待，需要經常更新并以有備的優化狀態來對待不可預
見的故障和障礙。
4 安全保障，一個平衡的方式
產品，過程的安全程度及證明須與其內部特性和外部使用環境和結合。這主要包括了本文所介紹的安全保障體系。但是，現今的安全評價方法主要是負面的并集中在新的或改動了的產品或過程。這反映了傳統上的忽視產品的正面特點而集中在風險花費上的做法。需要一個更加平衡的可行的和實際的方法來支持決策，并考慮各種因素。這種觀念也與資源應該分配給風險最小這—管理觀念相同。
安全工程的保障體系是—個負面過程，集中于辨認和評價方面。一個平衡和現實的方法應當同時考慮正面的益處，但是—些內在的和外部的本質特點可以通過選項和影響分析來給與足夠處理。其他益處如旅行時間減少，舒適程度，收入增加潛力等與該負面制度并不兼容。這需要相同的系統化的分析來預測潛在的安全，商業和環境上的收益。在這種精神下，在安全工程的基礎上可以增加以下階段：
(1)益處識別
(2)原因分析
(3)后果分析
(4)得益分析
(5)選項分析
(6)影響分析
這些是在對產品或過程的傳統的風險識別和分析的基礎上增加益處的分析。增益和損失的結果可以由統一貨幣表示，并且合并為統一的平衡收支。
以上建議的擴展的安全工程是一個真正的完全的優化安全管理過程，它補償了現有的不足。這一全面的系統化的安全保障體系是真正的決策支持工具，是一個理性的，可審計的和客觀的證明系統安全的方法。它可以以質或量的方式實施。但是，根據系統的結構，兩種方式可以和并成為一個測量產品或過程的得失的方式。進一步，這種保障體系產生了記錄和符合安全規定和要求的證明。