系统安全的机遇(下)
刘卓军中国科学院研究员
系统安全如果仅仅停留在理念层面,就失去了其本来的意义,其价值也会大打折扣。系统安全既是方法也是目标,形式上是对流程和规则的遵守,而本质上体现的是对管理和工程方面的原理、标准及技术实施有意图和有计划的应用。
实施系统安全要从确定系统安全规划(SSP)开始。有一个很形象的认识,“没有计划等于是计划着失败”,既没有规划就非常有可能带来可怕的结果。SSP通常要基于系统的规模、复杂程度、安全临界性质、资金、系统生命周期各阶段的特征等因素建立安全规划和要求,明确阐述管理和实施规划中所需要面对的基本问题,尤其重要的是,所有这些都要建立起与之相应的文档。这些文档一般应包括:列出对于有效的安全规划必须要完成的任务;为完成任务而准备使用的方法,包括任务的执行和时间等的规定;对任务执行人员的资格和条件的要求;各管理层对执行任务的授权以及确保任务完成所需必要资源的说明。如此文档化的正式文件的整体常被称为系统安全规划计划或系统安全规划方案(SSPP)。制定旨在获得系统安全规划的系统安全规划方案,需要有一个专门的工作团队,通常称为系统安全规划工作小组(SSPG)。容易理解,办好任何事情都需要有合适的人和恰当的准备,所以,SSPG是取得高质量SSPP乃至高质量SSP的关键。
尽管对SSPP的格式没有硬性要求,但它所应包含的必要和适当的内容却是基本的:
首先,概述是必要的,应当对系统做出明确定义,要明晰其基本构成、结构和功能,要包括系统的配置图,系统的硬件、软件及人员的接口信息。一般说来,系统不同,例如金融系统和交通系统,其在构成、结构和功能等方面所体现出的特点也会不同,这又必然会反映在系统安全规划(SSP)的内容上;
明确界定SSP将“覆盖”的范围。一般来说,规划覆盖的内容不是“越多越好”,而是应科学合理。尽管我们可以把所有事物都解释成系统,但每个系统都还可以看成是一个更大系统的一部分。边界和范围清晰了,责任就更加明确,任务就更有针对性;
描述系统安全规划的构成内容和整体架构,每一部分的作用和责任,对应的时间进度。规划有效性的支撑主要来自技术和工程性方面,但道德伦理方面的理念也是必要的。这一点在后面的案例分析中会看得很清楚;
指明可以使用的安全需求、指南和标准等文件系统,以及可能要采用的危险要素识别方法和分析方法,必要的话还要指明进行危险要素分析的深度,因为系統安全是有成本的,不是无限责任的,而且时间的有限约束也是明显的;
使用和建立安全数据库的安排。其中,相关的危险要素信息是重中之重,收集、评估分析、追踪、处置应对(包括减缓和终止排除),以及处置结果的证实都要有相应的可行方法和准则可使用和可遵循。
对定期发布安全评估报告以及建立规划实施督察委员会要做出规定,因为评估和检查规划的实施状况并在必要时做出适当的干预是保证规划效果的必要举措。进一步,系统安全综合支撑的协同工作以及资源保障的复杂工作也都必须做出适宜的安排。
尽管SSPP在内容上会包含同样的基本要素,但也并非所有的SSPP都是一样的或看上去是相似的,实际上它们也不应这样。每个SSP所考虑的系统,由于其类型、规模及涉及的安全临界性不同,因而必定是独一无二的,它甚至还会反映出产品和系统开发组织及人员的管理风格和个性。
SSPP不是静止不变的文档,必要时在规划的生命周期中会修改和更新。每当系统进入新的开发阶段,或外部环境发生重大变化,都要做出更新以反映新的信息和项目的变化。例如,新冠疫情的暴发,几乎对所有系统运行的外部环境都产生了重大影响,因此从安全角度讲,一些具体的SSPP需要做出变更是非常自然的。另外,在一个特别长的系统安全开发阶段,SSPP也可能由于各种与规划相关的原因需要更新,例如,载人航天工程、登月工程,由于前期阶段取得的新发现,就有可能导致对相应的SSPP做出改变。
SSP及SSPP的制定和编写是重要的,当然也是必要的,但还不是充分的,即是说,认真按SSP规定的内容去执行更重要。这将是我们需要长期面对的挑战任务。
系统安全对于国家安全战略纲要的实施将成为重要的概念和理念
不妨回顾一下一件令人感触深刻的案例。福特斑马(Pinto)是福特汽车公司生产的1971-1980年款超小型汽车。1977年后出现的对斑马汽车的争论,指责斑马的结构设计不合理,存在发生油箱漏斗管径折断的可能性,在汽车尾部被撞而出现油箱被刺穿的情形时,就会导致可怕火灾的发生。批评者指控说,汽车在后围和油箱之间缺少加固结构,这意味着在发生车后身被撞时油箱会向前挤压,而被差速器的凸螺栓刺穿。在生产设计之初,福特公司是意识到了这种设计缺陷的,但却拒绝为重新设计做投入,因为福特公司认为当发生事故后,采取对可能的诉讼做赔付的解决方式将会更便宜。然而,在1972年的一起一人死亡一人严重烧伤的事故上了法庭后,原告获得了250万美元的补偿性赔偿和350万美元对于福特的惩罚性赔偿。这个判决结果部分是因为福特在生产斑马之前就已经意识到了设计存在缺陷,但却持反对变更设计的”侥幸“的和”不道德“的态度。到了1978年,福特公司不得不宣布召回斑马的决定,提供了加装在油箱和差速器凸螺栓之间的塑料防护罩,加装了另一个转移接触的右后减震器,以及让新的油箱漏斗管径延长到油箱的深处,这样在后部碰撞时更能阻止其断裂。
就福特的案例来说,如果执行了形式的SSP并重视系统安全的道德要求,在产品的开发阶段,出现在设计中的危险要素就应当已经被消除了。这些危险要素在当时显然已经被识别了出来,但由于成本和责任的权衡而受到忽略。此外,如果存在有效的安全现场监督系统帮助快速地分辨识别出安全问题,就可能更早地执行召回而不必打官司了。
今天,福特“事件”已经过去了半个世纪,社会拥有的技术条件有了巨大进步,其中,行车记录仪的使用使得(汽车)交通事故的辨别分析更加快速有效。而且生活必将会变得更好更安全,因为技术的发展使得社会普遍推行系统安全的理念成为可能。系统安全将给社会和民众带来更广泛的安全,金融行业、制造行业、建筑行业、医疗行业、体育行业、新闻行业、司法行业等等几乎所有的领域和行业都会从中受益。特别地,系统安全对于国家安全战略纲要的实施也将成为重要的概念和理念,这一点将会被社会逐步认识和理解,这是系统安全的机遇的一个方面。从另一方面看,系统安全作为实用的工具,若更有效地“渗透”入社会的方方面面,也还有很多工作要做。例如,更多智能传感器的配置和嵌入到相应的系统内,不但是传感器行业发展的福音,也能促进系统安全有效性的提升。有针对性的自动化技术的加强,有目标导向的数据处理系统的开发,系统安全知识的普及,系统安全教育的开展,系统安全(软件系统)工具的设计和研发等等,这些都包含着创新发展的机会。系统安全的机遇值得牢牢抓住!
猜你喜欢系统安全油箱斑马空客A320系列飞机典型故障引起的通风油箱NACA口溢油装备维修技术(2021年34期)2021-11-18储存在机翼的燃油科教新报(2020年26期)2020-07-31一种防倾斜式油箱设计汽车实用技术(2020年5期)2020-04-10基于层次分析法的隧道机电系统安全评价大陆桥视野·下(2017年12期)2017-11-29农配网自动化系统安全经济运行的实现方式分析中国高新技术企业(2017年5期)2017-05-05红鞭炮学苑创造·A版(2017年1期)2017-01-19民用飞机液压自增压油箱增压源对比分析科技视界(2016年15期)2016-06-30为什么斑马会长条纹?好孩子画报(2016年9期)2016-05-14智能调整铁水罐作业任务的开发与应用新媒体研究(2014年4期)2014-04-21
