基于系统思维构筑安全系统2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载

基于系统思维构筑安全系统PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

Ⅰ基础2

第1章 为什么需要不同的方法2

第2章 对传统安全工程基础的质疑5

2.1 混淆安全性和可靠性5

2.2 将事故致因描述为事件链10

2.2.1 直接致因14

2.2.2 选择事件的主观性14

2.2.3 选择事件链条件的主观性16

2.2.4 忽视系统因素17

2.2.5 在事故模型中包括系统因素21

2.3 概率风险评估的局限性24

2.4 事故中操作员的作用27

2.4.1 操作员导致了绝大多数的事故吗？27

2.4.2 事后诸葛亮28

2.4.3 系统设计对人为错误的影响28

2.4.4 心智模型的作用30

2.4.5 另一种人为错误的观点33

2.5 事故中软件的作用34

2.6 系统的静态观和动态观36

2.7 关注追究责任38

2.8 新事故模型的目的41

第3章 系统论及其与安全性的关系44

3.1 系统论概述44

3.2 涌现性和层次性45

3.3 通信和控制46

3.4 用系统论解读事故48

3.5 系统工程与安全49

3.6 将安全融入系统设计51

Ⅱ STAMP：基于系统理论的事故模型54

第4章 致因的系统理论观54

4.1 安全约束55

4.2 分层安全控制结构58

4.3 过程模型63

4.4 STAMP模型64

4.5 事故原因的通用分类66

4.5.1 控制器操作67

4.5.2 执行器和被控过程70

4.5.3 控制器和决策者间的协调和沟通70

4.5.4 背景和环境72

4.6 新模型的应用72

第5章 友军误击事故75

5.1 背景75

5.2 防止误击事故的分层安全控制结构77

5.3 使用STAMP的事故分析86

5.3.1 近因事件87

5.3.2 物理过程故障与异常交互90

5.3.3 飞机与武器的控制器91

5.3.4 ACE与任务指导102

5.3.5 预警机操作员105

5.3.6 更高层控制112

5.4 误击事故结论120

Ⅲ STAMP使用123

第6章 使用STAMP构建和运行更安全的系统123

6.1 为何有时安全工作不经济—有效123

6.2 系统工程在安全中的作用126

6.3 系统安全工程化过程127

6.3.1 管理127

6.3.2 工程开发128

6.3.3 运营129

第7章 基础130

7.1 定义事故和不可接受的损失130

7.2 系统危险132

7.2.1 划分系统边界133

7.2.2 识别高层系统危险134

7.3 系统安全需求和约束137

7.4 安全控制结构139

7.4.1 技术系统的安全控制结构140

7.4.2 社会系统中的安全控制结构144

第8章 STPA：一种新的危险分析技术150

8.1 危险分析新技术的目标150

8.2 STPA过程151

8.3 识别潜在的危险控制（步骤1）154

8.4 确定不安全的控制如何发生（步骤2）156

8.4.1 识别致因场景158

8.4.2 考虑随着时间推移控制的退化161

8.5 人工控制器161

8.6 STPA用于安全控制结构中的组织层164

8.6.1 流程和组织方面的风险分析164

8.6.2 缺陷分析165

8.6.3 识别组织和流程风险的危险分析167

8.6.4 分析和潜在扩展的使用168

8.6.5 与传统的流程风险分析技术的比较169

8.7 重建社会技术系统：药品安全和万络悲剧169

8.7.1 围绕批准和召回万络的事件170

8.7.2 万络案例分析172

8.8 STPA与传统危险分析技术的比较176

8.9 小结177

第9章 安全指导下的设计178

9.1 安全指导下的设计178

9.2 工业机器人的安全指导下设计案例179

9.3 安全设计186

9.3.1 受控过程和物理组件设计187

9.3.2 控制算法的功能设计187

9.4 设计人工控制器的特殊考虑194

9.4.1 容易但无效率的方法194

9.4.2 控制系统中人的作用195

9.4.3 人因错误的基本原理197

9.4.4 提供控制选择199

9.4.5 匹配任务与人的特征201

9.4.6 减少人因错误的设计202

9.4.7 支持产生和维护准确的过程模型203

9.4.8 提供信息和反馈210

9.5 小结217

第10章 将安全整合到系统工程中218

10.1 规范的作用及安全信息系统218

10.2 意图规范219

10.3 整合系统和安全设计的过程222

10.3.1 建立系统的目标223

10.3.2 定义事故225

10.3.3 确定系统危险225

10.3.4 将安全整合到架构选择和系统折中研究中226

10.3.5 记录环境假设233

10.3.6 生成系统级需求234

10.3.7 识别高层设计和安全约束235

10.3.8 系统设计和分析240

10.3.9 记录系统的局限性246

10.3.10 系统验证、维护和演进247

第11章 事故与未遂事故分析248

11.1 事故分析中应用STAMP的一般过程249

11.2 建立相关事件链250

11.3 定义与事故相关的系统和危险251

11.4 编写安全控制结构文档253

11.5 分析物理过程254

11.6 分析安全控制结构的更高层256

11.7 有关事后诸葛亮的讨论及举例265

11.8 协调与沟通269

11.9 动态特性和向高风险状态的迁移271

11.10 CAST分析得出的建议273

11.11 CAST与传统事故分析的比较276

11.12 小结277

第12章 控制运行中的安全279

12.1 基于STAMP的运行279

12.2 在运行中检测开发过程缺陷281

12.3 对变更进行管理或控制283

12.3.1 计划中的变更283

12.3.2 计划外的变更284

12.4 反馈通道285

12.4.1 审核和性能评估286

12.4.2 异常、未遂事故和事故的调查288

12.4.3 报告系统289

12.5 使用反馈293

12.6 教育与培训293

12.7 创建运行安全管理计划295

12.8 将STAMP应用到职业安全296

第13章 管理安全与安全文化298

13.1 为什么管理者应重视安全并在此方面投入298

13.2 实现安全目标的总体安全需求302

13.2.1 管理承诺与领导302

13.2.2 公司的安全方针303

13.2.3 沟通与风险意识304

13.2.4 控制系统向高风险迁移305

13.2.5 安全、文化与处罚306

13.2.6 建立有效的安全控制架构311

13.2.7 安全信息系统316

13.2.8 持续的改进和学习317

13.2.9 教育、训练和能力拓展317

13.2.10 小结318

第14章 SUBSAFE：安全程序成功的案例319

14.1 历史319

14.2 SUBSAFE目标和要求321

14.3 SUBSAFE风险管理基础322

14.4 权能分立323

14.5 认证324

14.5.1 初始认证325

14.5.2 维护认证326

14.6 审核流程和方法326

14.7 问题报告和批评328

14.8 挑战329

14.9 持续的培训和训练329

14.10 在潜艇生命周期中执行和遵守329

14.11 由SUBSAFE中吸取的经验330

结束语332

附录A 定义333

附录B 卫星损失事故334

B.1 物理过程336

B.2 导致事故的近因事件的介绍337

B.3 物理过程和自动控制器故障以及不正常的交互338

B.4 发射场工作341

B.5 空军发射工作管理344

B.6 “半人马座”飞行控制系统的软件/系统开发345

B.7 质量保证347

B.8 开发人员测试过程348

B.9 独立验证和确认348

B.10 系统设计350

B.11 主承包商的项目管理350

B.12 国防合同管理指挥部350

B.13 空军项目办公室351

附录C 公共自来水系统的细菌污染事故353

C.1 沃克顿事故的近因事件353

C.2 系统危险、系统安全约束以及控制结构354

C.3 事故的物理过程视角357

C.4 低层操作358

C.5 市政府361

C.6 省级监管机构（部）362

C.7 省级政府365

C.8 结构动力学368

C.9 沃克顿事故补充分析369

附录D 系统动力学建模简要介绍371

参考文献373

后记383