随着系统安全理论的不断发展，相关安全概念的内涵也在发生着变化。例如，我们对事故的认识，最早认为造成人员伤亡的事件才是事故，后来将财产损失、环境破坏、任务失败也都涵盖在内。随着上世纪90年代，社会技术系统在系统安全和风险中逐渐的应用，相关的安全概念也趋于一致 。

任何安全工作的第一步都是要确定需要考虑的事故或损失的类型。这也是所有的安全工作的核心内容。事故不一定涉及生命伤亡，但是它一定是对利益相关者确实造成一些不可接受的损失。系统安全理论一直将非人身伤亡的损失考虑在内，例如，任务失败、环境污染等因素。因此，事故定义如下：

事故：导致生命损失或人身伤害、财产损失、环境污染、任务失败等损失的不期望的或意外的事件。

安全是一个相对概念，是跟随事故定义而定的。所以，安全的定义如下：

安全：免于事故（或损失）的发生。

系统发生事故是因为系统中存在危险。系统安全认为事故不是随机事件，不会无缘无故的发生，而是一组特定条件所导致，是可以通过恰当的分析进行预测和控制的，而这一组特定的条件就是系统所具有的危险。因此，危险定义如下：

危险：在特定的最不利的条件下将会导致事故（损失）的一个系统状态或一系列条件。

事故是已经发生且造成人员伤亡或任务失败等损失类型的实际事件，而危险则是可能造成这类事件的潜在条件。危险是事故的先兆，它们之间有着紧密而复杂的联系。根据危险的定义可以将它们之间的关系表述为：

危险 + 环境条件 => 事故（损失）                 

需要注意的是，上式中“+”表示的危险和环境条件通过特定的耦合方式造成事故的发生，这样的耦合方式并不是简单的线性组合。同时，这里的环境条件是系统运营相关的环境，包括系统运营的自然环境和其他相关环境因素。

一切的系统安全活动都围绕着系统危险展开。然而，危险依然是一个相对的概念，是取决于系统的定义和边界的划分，即出现在系统边界上的系统状态或条件。系统定义具有递归性质（分层性质），在某一层上的系统可能被视为更大系统的子系统，高层次系统的系统状态或行为是其所包含的所有子系统状态或行为的整体表现。单个子系统的状态或行为改变对系统状态或行为的影响取决于与其他子系统之间的交互关系。因此，单个子系统的危险，即子系统边界上的危险，并不一定导致系统危险的发生，即不一定是系统危险的致因。反之，高层次系统危险的致因，不一定是子系统的危险，有可能是子系统的某些正常行为。危险并不等同于失效——失效可能发生但不一定导致危险，而危险发生可能与诱发失效无任何关系。因此，系统危险是由组件失效、系统组件之间不恰当的交互作用或系统外部干扰等多种因素造成的。

在系统安全理论中，安全性是一个系统属性不是组件属性，是系统的涌现特性，源自于系统组件间的相互作用。控制涌现特性的方法是给组件的行为及组件间的交互施加约束。因此，安全问题转化成一个控制问题更为符合现在的安全需求，其目标是通过在系统中设计并实施安全约束以控制系统组件的行为，从而将系统状态或行为限定在安全范围之内，即避免系统危险的发生。在社会技术系统中，组件的行为（包括失效）和不安全的相互作用可通过系统设计、过程管理或外部因素限制等进行控制。其中，过程管理包括系统开发过程管理和系统运营过程管理。

  系统安全的影响因素众多，相互关系错综复杂，已经无法像传统事故链模型那样找到事故的根本原因。基于系统的层次嵌套结构，Reason将事故的原因分为直接原因（如人误）（direct causes）与间接因素（contributing factors），傅贵等人将事故致因描述为直接致因、间接致因、基本致因和根本致因。直接致因和间接致因是通过与系统危险或事故之间的关系的远近进行的区分，能够直接导致危险发生的致因就是直接致因，其他的致因称为间接致因。而基本致因是来自于直接致因和间接致因，表示的是那些对系统危险发生起到至关重要作用的致因。

参考文献：

1.Leveson N G. Engineering a Safer World: Systems Thinking Applied to Safety [M]. Boston: MIT Press, 2012.

2.Reason, J. Human error [M]. New York: Cambridge University Press, 1990.

3.傅贵. 安全管理学：事故预防的行为控制方法 [M]. 北京: 科学出版社, 2013.

4.欧阳莹之[英](著). 田宝国等(译). 复杂系统理论基础[M]. 上海: 上海科技教育出版社, 2002.

5.CENELEC. EN50126-1. Railway Applications-The specification and demonstration of reliability, Availability, Maintainability and Safety (RAMS) - Part 1: Generic RAMS Process [S]. UK: BSI, 2017.