Ⅰ基础 2
第1章 为什么需要不同的方法 2
第2章 对传统安全工程基础的质疑 5
2.1 混淆安全性和可靠性 5
2.2 将事故致因描述为事件链 10
2.2.1 直接致因 14
2.2.2 选择事件的主观性 14
2.2.3 选择事件链条件的主观性 16
2.2.4 忽视系统因素 17
2.2.5 在事故模型中包括系统因素 21
2.3 概率风险评估的局限性 24
2.4 事故中操作员的作用 27
2.4.1 操作员导致了绝大多数的事故吗? 27
2.4.2 事后诸葛亮 28
2.4.3 系统设计对人为错误的影响 28
2.4.4 心智模型的作用 30
2.4.5 另一种人为错误的观点 33
2.5 事故中软件的作用 34
2.6 系统的静态观和动态观 36
2.7 关注追究责任 38
2.8 新事故模型的目的 41
第3章 系统论及其与安全性的关系 44
3.1 系统论概述 44
3.2 涌现性和层次性 45
3.3 通信和控制 46
3.4 用系统论解读事故 48
3.5 系统工程与安全 49
3.6 将安全融入系统设计 51
Ⅱ STAMP:基于系统理论的事故模型 54
第4章 致因的系统理论观 54
4.1 安全约束 55
4.2 分层安全控制结构 58
4.3 过程模型 63
4.4 STAMP模型 64
4.5 事故原因的通用分类 66
4.5.1 控制器操作 67
4.5.2 执行器和被控过程 70
4.5.3 控制器和决策者间的协调和沟通 70
4.5.4 背景和环境 72
4.6 新模型的应用 72
第5章 友军误击事故 75
5.1 背景 75
5.2 防止误击事故的分层安全控制结构 77
5.3 使用STAMP的事故分析 86
5.3.1 近因事件 87
5.3.2 物理过程故障与异常交互 90
5.3.3 飞机与武器的控制器 91
5.3.4 ACE与任务指导 102
5.3.5 预警机操作员 105
5.3.6 更高层控制 112
5.4 误击事故结论 120
Ⅲ STAMP使用 123
第6章 使用STAMP构建和运行更安全的系统 123
6.1 为何有时安全工作不经济—有效 123
6.2 系统工程在安全中的作用 126
6.3 系统安全工程化过程 127
6.3.1 管理 127
6.3.2 工程开发 128
6.3.3 运营 129
第7章 基础 130
7.1 定义事故和不可接受的损失 130
7.2 系统危险 132
7.2.1 划分系统边界 133
7.2.2 识别高层系统危险 134
7.3 系统安全需求和约束 137
7.4 安全控制结构 139
7.4.1 技术系统的安全控制结构 140
7.4.2 社会系统中的安全控制结构 144
第8章 STPA:一种新的危险分析技术 150
8.1 危险分析新技术的目标 150
8.2 STPA过程 151
8.3 识别潜在的危险控制(步骤1) 154
8.4 确定不安全的控制如何发生(步骤2) 156
8.4.1 识别致因场景 158
8.4.2 考虑随着时间推移控制的退化 161
8.5 人工控制器 161
8.6 STPA用于安全控制结构中的组织层 164
8.6.1 流程和组织方面的风险分析 164
8.6.2 缺陷分析 165
8.6.3 识别组织和流程风险的危险分析 167
8.6.4 分析和潜在扩展的使用 168
8.6.5 与传统的流程风险分析技术的比较 169
8.7 重建社会技术系统:药品安全和万络悲剧 169
8.7.1 围绕批准和召回万络的事件 170
8.7.2 万络案例分析 172
8.8 STPA与传统危险分析技术的比较 176
8.9 小结 177
第9章 安全指导下的设计 178
9.1 安全指导下的设计 178
9.2 工业机器人的安全指导下设计案例 179
9.3 安全设计 186
9.3.1 受控过程和物理组件设计 187
9.3.2 控制算法的功能设计 187
9.4 设计人工控制器的特殊考虑 194
9.4.1 容易但无效率的方法 194
9.4.2 控制系统中人的作用 195
9.4.3 人因错误的基本原理 197
9.4.4 提供控制选择 199
9.4.5 匹配任务与人的特征 201
9.4.6 减少人因错误的设计 202
9.4.7 支持产生和维护准确的过程模型 203
9.4.8 提供信息和反馈 210
9.5 小结 217
第10章 将安全整合到系统工程中 218
10.1 规范的作用及安全信息系统 218
10.2 意图规范 219
10.3 整合系统和安全设计的过程 222
10.3.1 建立系统的目标 223
10.3.2 定义事故 225
10.3.3 确定系统危险 225
10.3.4 将安全整合到架构选择和系统折中研究中 226
10.3.5 记录环境假设 233
10.3.6 生成系统级需求 234
10.3.7 识别高层设计和安全约束 235
10.3.8 系统设计和分析 240
10.3.9 记录系统的局限性 246
10.3.10 系统验证、维护和演进 247
第11章 事故与未遂事故分析 248
11.1 事故分析中应用STAMP的一般过程 249
11.2 建立相关事件链 250
11.3 定义与事故相关的系统和危险 251
11.4 编写安全控制结构文档 253
11.5 分析物理过程 254
11.6 分析安全控制结构的更高层 256
11.7 有关事后诸葛亮的讨论及举例 265
11.8 协调与沟通 269
11.9 动态特性和向高风险状态的迁移 271
11.10 CAST分析得出的建议 273
11.11 CAST与传统事故分析的比较 276
11.12 小结 277
第12章 控制运行中的安全 279
12.1 基于STAMP的运行 279
12.2 在运行中检测开发过程缺陷 281
12.3 对变更进行管理或控制 283
12.3.1 计划中的变更 283
12.3.2 计划外的变更 284
12.4 反馈通道 285
12.4.1 审核和性能评估 286
12.4.2 异常、未遂事故和事故的调查 288
12.4.3 报告系统 289
12.5 使用反馈 293
12.6 教育与培训 293
12.7 创建运行安全管理计划 295
12.8 将STAMP应用到职业安全 296
第13章 管理安全与安全文化 298
13.1 为什么管理者应重视安全并在此方面投入 298
13.2 实现安全目标的总体安全需求 302
13.2.1 管理承诺与领导 302
13.2.2 公司的安全方针 303
13.2.3 沟通与风险意识 304
13.2.4 控制系统向高风险迁移 305
13.2.5 安全、文化与处罚 306
13.2.6 建立有效的安全控制架构 311
13.2.7 安全信息系统 316
13.2.8 持续的改进和学习 317
13.2.9 教育、训练和能力拓展 317
13.2.10 小结 318
第14章 SUBSAFE:安全程序成功的案例 319
14.1 历史 319
14.2 SUBSAFE目标和要求 321
14.3 SUBSAFE风险管理基础 322
14.4 权能分立 323
14.5 认证 324
14.5.1 初始认证 325
14.5.2 维护认证 326
14.6 审核流程和方法 326
14.7 问题报告和批评 328
14.8 挑战 329
14.9 持续的培训和训练 329
14.10 在潜艇生命周期中执行和遵守 329
14.11 由SUBSAFE中吸取的经验 330
结束语 332
附录A 定义 333
附录B 卫星损失事故 334
B.1 物理过程 336
B.2 导致事故的近因事件的介绍 337
B.3 物理过程和自动控制器故障以及不正常的交互 338
B.4 发射场工作 341
B.5 空军发射工作管理 344
B.6 “半人马座”飞行控制系统的软件/系统开发 345
B.7 质量保证 347
B.8 开发人员测试过程 348
B.9 独立验证和确认 348
B.10 系统设计 350
B.11 主承包商的项目管理 350
B.12 国防合同管理指挥部 350
B.13 空军项目办公室 351
附录C 公共自来水系统的细菌污染事故 353
C.1 沃克顿事故的近因事件 353
C.2 系统危险、系统安全约束以及控制结构 354
C.3 事故的物理过程视角 357
C.4 低层操作 358
C.5 市政府 361
C.6 省级监管机构(部) 362
C.7 省级政府 365
C.8 结构动力学 368
C.9 沃克顿事故补充分析 369
附录D 系统动力学建模简要介绍 371
参考文献 373
后记 383