系统安全

系统安全的概念是以识别、分析危害（英语：hazards）为基础的风险管理策略，并且以系统为基础来进行补救控制的方法^[1]。系统安全和传统的安全策略不同，传统安全策略是以类似流行病学分析为基础，或是以针对过往事件的调查为基础，避免出现会造成意外的条件及发生原因^[2]。当几率性风险分析（英语：Risk analysis (engineering)）资料不易取得时，系统安全的概念有助于分析现有技术是否已经足够^[3]。其背后的原理是协同效应：整体的效果大于所有元件效果的总和。对于安全的系统化方法需要应用科学、技术及管理技巧，在系统（或是专案、软件、活动或是产品）的整个生命周期。进行危害识别、危害分析（英语：hazard analysis）、并且消除、控制或是管理危害^[1]。危害与可操作性分析（HAZOP）就是一种危害识别的方法。

系统化方法编辑

系统可定义为一组互相作用、相关连、或是彼此相依的元件，为了达成共同的目的而整合成的整体^[4]^[5]。此定义强调为了在工作环境中达成任务，系统中元件的交互作用，或是外在环境和系统的交互作用。强调交互作用是为了确认系统中预期或是非预期的需求，以及为了达到此一需求，是否有必须而且充足的资源。这些会以压力的形式出现。压力可能是预期的，是正常运作条件的一部分，也可能是非预期的，一些非预期的动作或是事件造成了额外（异常的）压力。上述对系统的定义，不只是指产品或是制程，也包括周围环境（包括人员的操作及互动）对产品或是制程安全性能的影响。相对的，系统安全也要考虑系统对周围环境的影响。因此正确的定义界面及管理界面就格外地重要^[4]^[5]。关于系统较广的定义包括硬件、软件、人员系统整合、程序及训练。因此系统安全是系统工程中的一部分，必需系统性的处理工程以及操作中的所有层面以及领域，以协调的方式来预防、消除或是控制危害。

在系统化的进行危害识别、危害分析及控制时，系统可能会有明确的范围定义，不过可能也会有隐含的范围定义。系统可能复杂到有太空人的太空船，也可能是自动的机械工具。系统安全的概念可以让系统设计者针对危害进行建模、分析，有危害意识、了解并且消除危害，应用控制工具达到可接受的安全程度。有关安全事务的无效决策是有关事故因果关系的瑞士奶酪理论中，危险事件因果的第一步^[6]。在修正风险认知上，有关系统风险的沟通扮演重要的角色，可以透过创造、分析及了解相关资讯模型，来显示那些因素创造及控制了有危害的程序^[3]。对于绝大多数的系统、产品及服务，最有效降低产品责任及意外风险的方式是建构组织化的系统安全机能，系统安全从概念阶段开始，经过开发、制造、测试、生产、使用一直到最后的最终处置为止。系统安全概念目的是确保系统及相关机能的行为是安全的，也可以安全的运作。这样的确认有其必要性。过去的科技进步带来了不少正面影响，不过也有其负面影响^[1]。

根本原因分析编辑

根本原因分析（Root cause analysis）可以识别可能会造成问题的一些因素。根本原因分析法原来源自其他领域，现在也用在系统安全的主题中，最广为人知的是本来是工程技术的故障树分析^[7]。根本原因分析技术可以分为两类，一些是树分析法，另一类则是检查表法。有许多根本原因分析技术，例如管理疏忽与危险树（Management Oversight and Risk Tree、MORT）分析^[2]^[8]^[9]，其他方法包括事件和意外事故因素分析（Event and Causal Factor Analysis、ECFA）、多重线性事件序列（Multilinear Events Sequencing）、事件时间排序图（Sequentially Timed Events Plotting Procedure）及萨瓦那河电厂（Savannah River Plant）的Root Cause Analysis System等^[7]。

在其他领域的应用编辑

安全工程编辑

安全工程描述在核能及其也产业中使用的安全方法。传统的安全工程技术着重在人为错误的结果，没有探讨人为错误发生的原因或是理由系统安全可以用应用在这些领域中，找出系统安全运作的条件组合。像军事或是NASA使用的先进系统，配合电脑应用程序及控制，这类的系统需要机能性的危害分析，并订定一组针对各层面的具体规范，说明在设计中需要加入的固有安全特性。相关的有系统安全程序计划、初步危害分析、机能危害评估及系统安全评估，在这些程序中的目的是产生以证据为基础的文件系统，不但让安全系统可以通过认证，也在一但有诉讼发生时可以佐证。系统安全计划、危害分析及安全评估的主要重点是形成一个全面性的过程，可以有系统的预测或是识别可能会造成危险或潜在事故的安全关键系统失效条件、故障条件或是人为失误，以及这方面的运作特点。这可以用来调整控制策略及安全属性相关的需求，有安全设计特性或是安全设备来预防、消除或是控制（缓解）安全风险。

在非常早期时，针对很简单的系统，只会关注其危害。但是随着1970年代及1980年代技术及复杂性的提升，已利用整体性的方式发展了更先进，更有效率的方法。现代的系统安全是全面性的、以风险为基础、以需求为基础、以机能为基础，其结构化的目标是获得工程上的实证，验证在预期的操作环境下，安全机能是确定性的，风险也是在可接受的范围。指挥，控制和监控安全关键系统的软件密集系统需要有广泛的软件安全分析，来调整细部的设计需求，特别是很少人为介入或是不需人为介入的自动化系统或是机器人系统。由不同系统组成的系统，例如现代的太空船或是战舰，其中包括了许多的零件及系统，也有多重整合、感测器融合、网络及互操作系统，需要各供应商及设备商之间的大量合作和协调，使系统的安全是其中重要的特性。

武器系统安全编辑

武器系统若失效或是误动作，其可能的破坏影响很大，因此武器系统安全（英语：Weapon System Safety）是系统安全领域中重要的应用。不论是在需求定义阶段或是绘图阶段，都要用健康而怀疑的态度来看待系统，透过导入机能性的危害分析，有助于学习会产生危害的因素，并且来缓解这些造成危害的因素。严谨的流程一般会是系统工程的一部分，目的是要调整设备，在错误及故障影响系统防卫能力或是发生意外之前，可以提升系统的状态^[1]^[2]^[3]^[4]。

一般而言，轮船、车辆、导弹及航空器的武器系统有不同的危害及破坏影响，有些是武器的固有特性，例如爆炸，也有些是特殊操作环境下会有的（例如飞机在飞行状态下）。在军用飞机产业中，会透过经证实的危害分析过程，来识别安全关键机能、彻底分析硬件、软件及人员系统整合的整体设计架构、衍生并且指定明确的安全需求，目的是确保基本机能仍维持有效，而且机能是以预期的方式正常运作。进行全面性的危害分析，确认会造成危害的可信故障（credible faults）、故障条件、影响因素及因果因素，都是系统工程程序的重要内容。必须衍生、开发、实现明确的安全需求，并且用客观的安全例证，以及可表示尽职调查的充份安全文件来以加验证。若是高度复杂的软件密集系统，又有复杂的交互作用会影响安全关键的机能，更需要密集的计划、特殊的专业知识、使用分析工具、精确的模型、先进的方法及经验证的技术。以预防事故是目标。

参考资料编辑

^ ^1.0 ^1.1 ^1.2 ^1.3 Harold E. Roland; Brian Moriarty. System Safety Engineering and Management. John Wiley & Sons. 1990 [2018-12-19]. ISBN 0471618160. （原始内容存档于2019-12-08）.
^ ^2.0 ^2.1 ^2.2 Jens Rasmussen, Annelise M. Pejtersen, L.P.Goodstein. Cognitive Systems Engineering. John Wiley & Sons. 1994 [2018-12-19]. ISBN 0471011983. （原始内容存档于2019-12-08）.
^ ^3.0 ^3.1 ^3.2 Baruch Fischhoff. Risk Perception and Communication Unplugged : Twenty Years of Process. Risk Analysis, Vol 15, No.2. 1995.
^ ^4.0 ^4.1 ^4.2 Alexander Kossiakoff; William N.Sweet. System Engineering Principles and Practice. John Wiley & Sons. 2003 [2018-12-19]. ISBN 0471234435. （原始内容存档于2019-12-08）.
^ ^5.0 ^5.1 Charles S. Wasson. System analysis, design and development. John Wiley & Sons. 2006 [2018-12-19]. ISBN 0471393339. （原始内容存档于2019-12-08）.
^ James Reason. Human Error. Ashgate. 1990 [2018-12-19]. ISBN 1840141042. （原始内容存档于2019-12-08）.
^ ^7.0 ^7.1 UK Health & Safety Executive. Contract Research Report 321, Root Cause Analysis, Literature review. UK HMSO. 2001. ISBN 0 717619664.
^ The Management Oversight and Risk Tree (MORT). International Crisis Management Association. [1 October 2014]. （原始内容存档于27 September 2014）.
^ Entry for MORT on the FAA Human Factors Workbench （页面存档备份，存于互联网档案馆）

外部链接编辑

组织编辑

系统安全指南编辑

FAA System Safety Handbook （页面存档备份，存于互联网档案馆）

[roland-1] 1.0 ^1.1 ^1.2 ^1.3 Harold E. Roland; Brian Moriarty. System Safety Engineering and Management. John Wiley & Sons. 1990 [2018-12-19]. ISBN 0471618160. （原始内容存档于2019-12-08）.

[rasmussen-2] 2.0 ^2.1 ^2.2 Jens Rasmussen, Annelise M. Pejtersen, L.P.Goodstein. Cognitive Systems Engineering. John Wiley & Sons. 1994 [2018-12-19]. ISBN 0471011983. （原始内容存档于2019-12-08）.

[fischoff-3] 3.0 ^3.1 ^3.2 Baruch Fischhoff. Risk Perception and Communication Unplugged : Twenty Years of Process. Risk Analysis, Vol 15, No.2. 1995.

[sweet-4] 4.0 ^4.1 ^4.2 Alexander Kossiakoff; William N.Sweet. System Engineering Principles and Practice. John Wiley & Sons. 2003 [2018-12-19]. ISBN 0471234435. （原始内容存档于2019-12-08）.

[wasson-5] 5.0 ^5.1 Charles S. Wasson. System analysis, design and development. John Wiley & Sons. 2006 [2018-12-19]. ISBN 0471393339. （原始内容存档于2019-12-08）.

[reason-6] James Reason. Human Error. Ashgate. 1990 [2018-12-19]. ISBN 1840141042. （原始内容存档于2019-12-08）.

[UK_HSE-7] 7.0 ^7.1 UK Health & Safety Executive. Contract Research Report 321, Root Cause Analysis, Literature review. UK HMSO. 2001. ISBN 0 717619664.

[ICMA2014-8] The Management Oversight and Risk Tree (MORT). International Crisis Management Association. [1 October 2014]. （原始内容存档于27 September 2014）.

[9] Entry for MORT on the FAA Human Factors Workbench （页面存档备份，存于互联网档案馆）

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

系统安全

系统化方法 编辑

根本原因分析 编辑

在其他领域的应用 编辑

安全工程 编辑

武器系统安全 编辑

参考资料 编辑

外部链接 编辑

组织 编辑

系统安全指南 编辑