基於系統思維構築安全系統

本書從傳統安全工程在現代工業中表現出的主要問題和侷限性入手，提出了一種新的構建更安全系統的系統性方法，包括基於系統理論的事故致因模型——STAMP，以及以此為基礎的STPA安全分析、在安全指導下的設計和CAST事故分析等方法，從而將安全融入到系統設計和運行的方方面面。本書結合國防、航天醫藥、化工等典型安全事故案例，深入淺出地論述了在這一方法集指導下的系統設計安全保障、系統運行安全控制與管理以及事故深層致因分析。本書將系統思維融入到整個安全系統的開發和使用中，體現了當前系統安全理論的研究熱點，內容具有先進性、系統性和實用性，可作為企業管理人員和政府安全生產監督管理人員的參考書，也可作為高校安全工程等相關專業研究生的教材。 ^[1] 

Ⅰ基礎

第1章為什麼需要不同的方法2

第2章對傳統安全工程基礎的質疑5

2.1混淆安全性和可靠性5

2.2將事故致因描述為事件鏈10

2.2.1直接致因14

2.2.2選擇事件的主觀性14

2.2.3選擇事件鏈條件的主觀性16

2.2.4忽視系統因素17

2.2.5在事故模型中包括系統因素21

2.3概率風險評估的侷限性24

2.4事故中操作員的作用27

2.4.1操作員導致了絕大多數的事故嗎？27

2.4.2事後諸葛亮28

2.4.3系統設計對人為錯誤的影響28

2.4.4心智模型的作用30

2.4.5另一種人為錯誤的觀點33

2.5事故中軟件的作用34

2.6系統的靜態觀和動態觀36

2.7關注追究責任38

2.8新事故模型的目的41

第3章系統論及其與安全性的關係44

3.1系統論概述44

3.2湧現性和層次性45

3.3通信和控制46

3.4用系統論解讀事故48

3.5系統工程與安全49

3.6將安全融入系統設計51

ⅡSTAMP：基於系統理論的事故模型

第4章致因的系統理論觀54

4.1安全約束55

4.2分層安全控制結構58

4.3過程模型63

4.4STAMP模型64

4.5事故原因的通用分類66

4.5.1控制器操作67

4.5.2執行器和被控過程70

4.5.3控制器和決策者間的協調和溝通70

4.5.4背景和環境72

4.6新模型的應用72

第5章友軍誤擊事故75

5.1背景75

5.2防止誤擊事故的分層安全控制結構77

5.3使用STAMP的事故分析86

5.3.1近因事件87

5.3.2物理過程故障與異常交互90

5.3.3飛機與武器的控制器91

5.3.4ACE與任務指導102

5.3.5預警機操作員105

5.3.6更高層控制112

5.4誤擊事故結論120

ⅢSTAMP使用

第6章使用STAMP構建和運行更安全的系統123

6.1為何有時安全工作不經濟—有效123

6.2系統工程在安全中的作用126

6.3系統安全工程化過程127

6.3.1管理127

6.3.2工程開發128

6.3.3運營129

第7章基礎130

7.1定義事故和不可接受的損失130

7.2系統危險132

7.2.1劃分系統邊界133

7.2.2識別高層系統危險134

7.3系統安全需求和約束137

7.4安全控制結構139

7.4.1技術系統的安全控制結構140

7.4.2社會系統中的安全控制結構144

第8章STPA：一種新的危險分析技術150

8.1危險分析新技術的目標150

8.2STPA過程151

8.3識別潛在的危險控制（步驟1）154

8.4確定不安全的控制如何發生（步驟2）156

8.4.1識別致因場景158

8.4.2考慮隨着時間推移控制的退化161

8.5人工控制器161

8.6STPA用於安全控制結構中的組織層164

8.6.1流程和組織方面的風險分析164

8.6.2缺陷分析165

8.6.3識別組織和流程風險的危險分析167

8.6.4分析和潛在擴展的使用168

8.6.5與傳統的流程風險分析技術的比較169

8.7重建社會技術系統：藥品安全和萬絡悲劇169

8.7.1圍繞批准和召回萬絡的事件170

8.7.2萬絡案例分析172 ^[1] 

8.8STPA與傳統危險分析技術的比較176

8.9小結177

第9章安全指導下的設計178

9.1安全指導下的設計178

9.2工業機器人的安全指導下設計案例179

9.3安全設計186

9.3.1受控過程和物理組件設計187

9.3.2控制算法的功能設計187

9.4設計人工控制器的特殊考慮194

9.4.1容易但無效率的方法194

9.4.2控制系統中人的作用195

9.4.3人因錯誤的基本原理197

9.4.4提供控制選擇199

9.4.5匹配任務與人的特徵201

9.4.6減少人因錯誤的設計202

9.4.7支持產生和維護準確的過程模型203

9.4.8提供信息和反饋210

9.5小結217

第10章將安全整合到系統工程中218

10.1規範的作用及安全信息系統218

10.2意圖規範219

10.3整合系統和安全設計的過程222

10.3.1建立系統的目標223

10.3.2定義事故225

10.3.3確定系統危險225

10.3.4將安全整合到架構選擇和系統折中研究中226

10.3.5記錄環境假設233

10.3.6生成系統級需求234

10.3.7識別高層設計和安全約束235

10.3.8系統設計和分析240

10.3.9記錄系統的侷限性246

10.3.10系統驗證、維護和演進247

第11章事故與未遂事故分析248

11.1事故分析中應用STAMP的一般過程249

11.2建立相關事件鏈250

11.3定義與事故相關的系統和危險251

11.4編寫安全控制結構文檔253

11.5分析物理過程254

11.6分析安全控制結構的更高層256

11.7有關事後諸葛亮的討論及舉例265

11.8協調與溝通269

11.9動態特性和向高風險狀態的遷移271

11.10CAST分析得出的建議273

11.11CAST與傳統事故分析的比較276

11.12小結277

第12章控制運行中的安全279

12.1基於STAMP的運行279

12.2在運行中檢測開發過程缺陷281

12.3對變更進行管理或控制283

12.3.1計劃中的變更283

12.3.2計劃外的變更284

12.4反饋通道285

12.4.1審核和性能評估286

12.4.2異常、未遂事故和事故的調查288

12.4.3報告系統289

12.5使用反饋293

12.6教育與培訓293

12.7創建運行安全管理計劃295

12.8將STAMP應用到職業安全296

第13章管理安全與安全文化298

13.1為什麼管理者應重視安全並在此方面投入298

13.2實現安全目標的總體安全需求302

13.2.1管理承諾與領導302

13.2.2公司的安全方針303

13.2.3溝通與風險意識304

13.2.4控制系統向高風險遷移305

13.2.5安全、文化與處罰306

13.2.6建立有效的安全控制架構311

13.2.7安全信息系統316

13.2.8持續的改進和學習317

13.2.9教育、訓練和能力拓展317

13.2.10小結318

第14章SUBSAFE：安全程序成功的案例319

14.1歷史319

14.2SUBSAFE目標和要求321

14.3SUBSAFE風險管理基礎322

14.4權能分立323

14.5認證324

14.5.1初始認證325

14.5.2維護認證326

14.6審核流程和方法326

14.7問題報告和批評328

14.8挑戰329

14.9持續的培訓和訓練329

14.10在潛艇生命週期中執行和遵守329

14.11由SUBSAFE中吸取的經驗330

結束語332

附錄A定義333 ^[1]