人因分析方法之O&SHA

操作和支持危险分析（O&SHA）是一种分析技术，用于识别系统操作任务中的危害，以及危害的原因、影响、风险和缓解方法，可以用来识别操作过程、设计过程、人机接口界面的安全需求。

这种分析技术在系统安全工程很早就已经建立，在美军标MIL-STD-882中正式规定，最初称为操作危害分析（OHA），后来范围扩大，适用于所有操作支持过程，O&SHA最初应用于防务系统的安全分析，后来扩展到轨道交通领域，汽车人机接口操作的分析也在应用这一种方法。

适用范围

O&SHA的适用范围包括正常操作、测试、安装、维护、维修、培训、储存、处理、运输和救援所有与人相关的活动，O&SHA应尽早进行，在系统开发阶段开展，以将影响安全的设计要求导入到系统设计中。

目标

1.关注操作和操作任务中的安全性；

2.识别由系统设计、硬件失效、软件错误、人为错误、实时性等引起的任务或操作上的危害；

3.评估以上危害的风险；

4.确定系统的安全要求，以减轻操作任务的风险；

5.确保所有操作过程的安全性。

对分析者的要求

分析者需要理解危害分析和系统安全的概念，对所分析的系统有良好的经验知识。O&SHA方法在识别和减轻操作和支持类型的危害方面提供了充分的指导，因此有经验的分析者可以运用该方法全面地识别操作和支持过程可能存在的危害。

输入

在进行O&SHA前，需要获取充分的输入信息，包括系统设计方案、操作过程说明、作业活动列表、操作手册，顶层的危害和事故清单，前期的PHA、SHA等危害清单，以前人为失误导致事故的经验教训。

过程

确定操作类型：定义系统所需要的操作类型；
获取资料：获取分析所需的设计和操作资料，如操作手册，安装手册；
列出操作程序和其中的各项任务：列出详细的清单，分析所考虑的所有程序和任务，从已有的手册中提取；
进行O&SHA分析：将程序和任务与引导词、危害检查表、经验教训进行比较，识别危害
风险评估：评估危害的发生频度和严重度，确定未采取减轻措施前的风险等级；
减轻措施：提出必要的减轻措施，并记录系统设计中已存在的安全要求；
设计导入：对减轻措施进行记录，并检查导入的资料，确保所有注意事项和措施都导入了设计和手册中；
减轻措施的监控：进行程序和任务的验证与确认，确保安全要求被有效地实施；

输出

危害清单（危害、致因、风险、安全要求、要求落实的设计措施、操作注意事项等）

O&SHA分析可以用来评估初始版本的手册或操作流程文件，在最终版本中增加减轻危害的警示和减轻措施。

典型的O&SHA分析表格

分析表格并没有标准格式的规定，但至少包括以下基本的项目：

分析对象系统；
分析人；
任务，分析的操作任务，列出任务的每个步骤，来自于操作任务的最初手册；
危害编号，分配给O&SHA危害的编号；
危害，任务可能产生的危害，记录所有的危害，有的危害最后被证明是可接受的；
致因，可能导致危害的条件、事件或故障；
影响，危害发生的影响后果，考虑最坏的情况；
初始风险等级，采用事故严重度和频度的组合，常用风险矩阵进行衡量；
推荐措施，在MIL-STD-882E中推荐采用以下优先顺序选取推荐措施：首先通过设计消除危害；通过设计控制危害；补充安全装置控制危害；通过警告装置控制危害；通过程序和培训控制危害。以上顺序是采用先用技术手段，再用管理手段，基于对人的管理和信任是控制危害的下策。
最终风险等级，采取了风险减轻措施后的风险等级；
状态，危害的当前状态，open或closed

操作错误的因素

在很多的事故报告中，人为错误是原因之一，有的是直接原因，有的是系统失效后人为误操作迭加导致，因此设计中应考虑人为的任何可能造成后果。对于人的操作行为，某些方面是可以预测的，典型引起操作错误的因素包括：

工作环境方面：照明条件、噪音条件、通风不畅、极高/极低的温度；
操作地点方面：没有足够的空间、与其它任务的交叉操作、进入工作区的限制、工作负荷过大；
操作者感知方面：长时间集中注意力、极短时间内做出决定；
设备方面：设备提供的接口信息不充分、没有及时的反馈、接口信息的混淆。

执行O&SHA的时机

O&SHA需要基于系统的设计方案，确定维护或操作任务程序之前，因此推荐在系统设计时就需要考虑O&SHA的必要要素，在系统原理样机完成后开始完整的O&SHA分析，最好对照操作任务流程和系统实物进行。为了能够准确地执行O&SHA，分析者需要参考详细的设计方案和其它设计输入，如操作流程图、功能图、人机接口布置图。为了O&SHA分析的目标确实起到消除风险的作用，除了安全分析和设计者，进行系统操作、维护的人员也能参与O&SHA的评审，并落实到最终的设计要求和操作要求中。

以上是对O&SHA分析方法的一些基本说明，在当前系统安全工程体系内，人因安全分析往往被忽视，O&SHA是一种系统性的分析方法，值得在实践中应用。

参考资料：