闲话安全关键系统系统(二)

1. safety的概念

在闲话安全关键系统系统(一)中，我只是简单说了safety-critical system的概念，初步介绍了它所涉及的安全的含义。这一篇里，我主要想谈一个safety这个概念。

任何学科都是以概念为基础的，在其之上衍生出规则、方法。safety system中最核心的概念之一就是safety。不过到目前为止，对它的定义也没有一个统一的普遍认可的说法。下面是两个比较常用的定义。

“安全是系统的一个属性，它不会对人的生命或环境带来损害。”(原文：Safety is a property of a system that it will not endanger human life or the environment. -- Neil Storey)

“安全就是没有故障或损失。”(原文：Freedom from accidents or losses.-- Nancy G. Leveson)

(注：在safety system领域里，Nancy G. Leveson和Neil Storey都很有名，因为他们各自写了一本关于这方面的书，其实不只是书，还发表了很多非常有影响的论文。)

 

说到根上，这两个概念的核心就是“没有伤害(freedom from harm)”，但是无论是从理论上还是从实践上，我们都无法制造出绝对安全的系统（absolute safety system），有技术方面的限制也有经济成本方面的限制。一个系统连续运行10年不出问题，并不意味着它明天不会出现问题，这样的事情其实发生了不止一次。当1979年美国发生三里岛(three mile island)核事故之后，苏联的科学家就宣称苏联的核反应堆是全世界最安全的，它甚至可以安装在莫斯科的红场上，但是后来的切尔诺贝利核事故让苏联人再无话可说。

 

既然没有绝对的安全，那么在设计安全系统的时候就要考虑到最终的目标，“我们到底把一个系统做到什么程度才够安全”。现有的方法是把harm分类，一类是可接受的，即允许其发生，对其损害已经进行了完全评估，认为我们可以承受；另一类是不可接受的，我们无法容忍这样的事情发生。因此，现在的安全概念的核心是“freedom from unacceptable risk of harm”。

 

harm是事情发生的结果，我们需要理解事情发生的原因，在safety system中一般使用hazard这个词(中文翻译为“危害”，也有翻译成“危险”的，但我觉得“危险”一词与danger就无法区分开)。

 

2. hazard的概念

hazard是一个状态或一组条件，在某种环境条件下，它对导致事故(accident)。发生事故是我们不愿意看到的，有句话叫，“防患于未然”，为了不让事故发生，我们必须找出它们发生的根源，消除根源就能保证安全。这个根源就是hazard，对其继续细分，它有两个属性，一个是发生的可能性(likelihood)，另一个是发生以后的严重程度(severity)。这两个属性构成了hazard的分类，即hazard level(危害等级)。

说到这里，我们先把hazard放到一边，因为以后还要讨论，这里我们先有个初步的概念

hazard level -> f(hazard severity , likelihood of hazard occuring)，即危害等级是危害严重程度和危害发生的可能性的函数。研究safety，本质上是要研究hazard，研究hazard level。

 

3. 系统安全(system safety)

在闲话安全关键系统系统(一)中介绍了safety system，这两个词反过来就是系统安全，它是一个研究方向，或者说是一个研究领域。有些人对它下了定义。

System Safety Society的定义是：

“The essence of System Safety is that the system does what it is supposed to do, and does not do what it is not supposed to do”。

Harold Roland and Brian Moriarty下的定义是：

“System Safety is the application of special technical and managerial skills to the systematic, forward-looking identification and control of hazards throughout the lifecycle of a project, program or activity”。

Nancy Leveson下的定义是：

“System Safety uses systems theory and systems engineering approaches to prevent foreseeable accidents, and to minimise the result of unforeseen ones”。

 

3.1 典型的安全系统故障案例-2  阿里亚娜5火箭

1996年6月4日，欧洲航天局发生的阿里亚娜5火箭在升空40秒后偏离轨道，地面控制系统被迫将其引爆。这场事故调查的最终原因是由于软件复用的问题，在阿里亚娜5火箭中使用了阿里亚娜4火箭的一个软件模块，但没有经过严格的评估，最终导致了灾难的发生。

 

Notes:

Maiden launch on June 4, 1996
Flew for just under 40 seconds before self-destructing
The core problem in the Ariane failure was incorrect software reuse.
A critical piece of software had been reused from the Ariane-4 system