基于系统思维构筑安全系统PDF电子书下载

Ⅰ基础 2

第1章 为什么需要不同的方法 2

第2章 对传统安全工程基础的质疑 5

2.1 混淆安全性和可靠性 5

2.2 将事故致因描述为事件链 10

2.2.1 直接致因 14

2.2.2 选择事件的主观性 14

2.2.3 选择事件链条件的主观性 16

2.2.4 忽视系统因素 17

2.2.5 在事故模型中包括系统因素 21

2.3 概率风险评估的局限性 24

2.4 事故中操作员的作用 27

2.4.1 操作员导致了绝大多数的事故吗？ 27

2.4.2 事后诸葛亮 28

2.4.3 系统设计对人为错误的影响 28

2.4.4 心智模型的作用 30

2.4.5 另一种人为错误的观点 33

2.5 事故中软件的作用 34

2.6 系统的静态观和动态观 36

2.7 关注追究责任 38

2.8 新事故模型的目的 41

第3章 系统论及其与安全性的关系 44

3.1 系统论概述 44

3.2 涌现性和层次性 45

3.3 通信和控制 46

3.4 用系统论解读事故 48

3.5 系统工程与安全 49

3.6 将安全融入系统设计 51

Ⅱ STAMP：基于系统理论的事故模型 54

第4章 致因的系统理论观 54

4.1 安全约束 55

4.2 分层安全控制结构 58

4.3 过程模型 63

4.4 STAMP模型 64

4.5 事故原因的通用分类 66

4.5.1 控制器操作 67

4.5.2 执行器和被控过程 70

4.5.3 控制器和决策者间的协调和沟通 70

4.5.4 背景和环境 72

4.6 新模型的应用 72

第5章 友军误击事故 75

5.1 背景 75

5.2 防止误击事故的分层安全控制结构 77

5.3 使用STAMP的事故分析 86

5.3.1 近因事件 87

5.3.2 物理过程故障与异常交互 90

5.3.3 飞机与武器的控制器 91

5.3.4 ACE与任务指导 102

5.3.5 预警机操作员 105

5.3.6 更高层控制 112

5.4 误击事故结论 120

Ⅲ STAMP使用 123

第6章 使用STAMP构建和运行更安全的系统 123

6.1 为何有时安全工作不经济—有效 123

6.2 系统工程在安全中的作用 126

6.3 系统安全工程化过程 127

6.3.1 管理 127

6.3.2 工程开发 128

6.3.3 运营 129

第7章 基础 130

7.1 定义事故和不可接受的损失 130

7.2 系统危险 132

7.2.1 划分系统边界 133

7.2.2 识别高层系统危险 134

7.3 系统安全需求和约束 137

7.4 安全控制结构 139

7.4.1 技术系统的安全控制结构 140

7.4.2 社会系统中的安全控制结构 144

第8章 STPA：一种新的危险分析技术 150

8.1 危险分析新技术的目标 150

8.2 STPA过程 151

8.3 识别潜在的危险控制（步骤1） 154

8.4 确定不安全的控制如何发生（步骤2） 156

8.4.1 识别致因场景 158

8.4.2 考虑随着时间推移控制的退化 161

8.5 人工控制器 161

8.6 STPA用于安全控制结构中的组织层 164

8.6.1 流程和组织方面的风险分析 164

8.6.2 缺陷分析 165

8.6.3 识别组织和流程风险的危险分析 167

8.6.4 分析和潜在扩展的使用 168

8.6.5 与传统的流程风险分析技术的比较 169

8.7 重建社会技术系统：药品安全和万络悲剧 169

8.7.1 围绕批准和召回万络的事件 170

8.7.2 万络案例分析 172

8.8 STPA与传统危险分析技术的比较 176

8.9 小结 177

第9章 安全指导下的设计 178

9.1 安全指导下的设计 178

9.2 工业机器人的安全指导下设计案例 179

9.3 安全设计 186

9.3.1 受控过程和物理组件设计 187

9.3.2 控制算法的功能设计 187

9.4 设计人工控制器的特殊考虑 194

9.4.1 容易但无效率的方法 194

9.4.2 控制系统中人的作用 195

9.4.3 人因错误的基本原理 197

9.4.4 提供控制选择 199

9.4.5 匹配任务与人的特征 201

9.4.6 减少人因错误的设计 202

9.4.7 支持产生和维护准确的过程模型 203

9.4.8 提供信息和反馈 210

9.5 小结 217

第10章 将安全整合到系统工程中 218

10.1 规范的作用及安全信息系统 218

10.2 意图规范 219

10.3 整合系统和安全设计的过程 222

10.3.1 建立系统的目标 223

10.3.2 定义事故 225

10.3.3 确定系统危险 225

10.3.4 将安全整合到架构选择和系统折中研究中 226

10.3.5 记录环境假设 233

10.3.6 生成系统级需求 234

10.3.7 识别高层设计和安全约束 235

10.3.8 系统设计和分析 240

10.3.9 记录系统的局限性 246

10.3.10 系统验证、维护和演进 247

第11章 事故与未遂事故分析 248

11.1 事故分析中应用STAMP的一般过程 249

11.2 建立相关事件链 250

11.3 定义与事故相关的系统和危险 251

11.4 编写安全控制结构文档 253

11.5 分析物理过程 254

11.6 分析安全控制结构的更高层 256

11.7 有关事后诸葛亮的讨论及举例 265

11.8 协调与沟通 269

11.9 动态特性和向高风险状态的迁移 271

11.10 CAST分析得出的建议 273

11.11 CAST与传统事故分析的比较 276

11.12 小结 277

第12章 控制运行中的安全 279

12.1 基于STAMP的运行 279

12.2 在运行中检测开发过程缺陷 281

12.3 对变更进行管理或控制 283

12.3.1 计划中的变更 283

12.3.2 计划外的变更 284

12.4 反馈通道 285

12.4.1 审核和性能评估 286

12.4.2 异常、未遂事故和事故的调查 288

12.4.3 报告系统 289

12.5 使用反馈 293

12.6 教育与培训 293

12.7 创建运行安全管理计划 295

12.8 将STAMP应用到职业安全 296

第13章 管理安全与安全文化 298

13.1 为什么管理者应重视安全并在此方面投入 298

13.2 实现安全目标的总体安全需求 302

13.2.1 管理承诺与领导 302

13.2.2 公司的安全方针 303

13.2.3 沟通与风险意识 304

13.2.4 控制系统向高风险迁移 305

13.2.5 安全、文化与处罚 306

13.2.6 建立有效的安全控制架构 311

13.2.7 安全信息系统 316

13.2.8 持续的改进和学习 317

13.2.9 教育、训练和能力拓展 317

13.2.10 小结 318

第14章 SUBSAFE：安全程序成功的案例 319

14.1 历史 319

14.2 SUBSAFE目标和要求 321

14.3 SUBSAFE风险管理基础 322

14.4 权能分立 323

14.5 认证 324

14.5.1 初始认证 325

14.5.2 维护认证 326

14.6 审核流程和方法 326

14.7 问题报告和批评 328

14.8 挑战 329

14.9 持续的培训和训练 329

14.10 在潜艇生命周期中执行和遵守 329

14.11 由SUBSAFE中吸取的经验 330

结束语 332

附录A 定义 333

附录B 卫星损失事故 334

B.1 物理过程 336

B.2 导致事故的近因事件的介绍 337

B.3 物理过程和自动控制器故障以及不正常的交互 338

B.4 发射场工作 341

B.5 空军发射工作管理 344

B.6 “半人马座”飞行控制系统的软件/系统开发 345

B.7 质量保证 347

B.8 开发人员测试过程 348

B.9 独立验证和确认 348

B.10 系统设计 350

B.11 主承包商的项目管理 350

B.12 国防合同管理指挥部 350

B.13 空军项目办公室 351

附录C 公共自来水系统的细菌污染事故 353

C.1 沃克顿事故的近因事件 353

C.2 系统危险、系统安全约束以及控制结构 354

C.3 事故的物理过程视角 357

C.4 低层操作 358

C.5 市政府 361

C.6 省级监管机构（部） 362

C.7 省级政府 365

C.8 结构动力学 368

C.9 沃克顿事故补充分析 369

附录D 系统动力学建模简要介绍 371

参考文献 373

后记 383