一種結(jié)構(gòu)化的信息技術(shù)系統(tǒng)危害識(shí)別方法

摘 要：危害識(shí)別是系統(tǒng)安全管理體系的一項(xiàng)基礎(chǔ)性研究任務(wù)。系統(tǒng)危害識(shí)別面臨的挑戰(zhàn)是：你不知道忽略了哪些危害？這是工程技術(shù)系統(tǒng)安全事件不斷發(fā)生的主要因素。本文提出一種工程技術(shù)系統(tǒng)危害識(shí)別的結(jié)構(gòu)化方法，由于該方法具有系統(tǒng)性和有序性的特點(diǎn)，應(yīng)用這種方法進(jìn)行危害識(shí)別后，其成果具有較高的可信性。

關(guān)鍵詞：安全管理工程；危害識(shí)別方法；自動(dòng)售檢票系統(tǒng)；城市軌道交通

中圖分類號：U284 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號：2096-4706（2018）07-0153-04

Abstract：Hazard identification is the primary task of system safety management system. The challenge of system hazard identification is：do you not know what hazards are ignored. This is a major factor in the continuous occurrence of safety incidents in engineering and technology systems. In this paper，a structured method for hazard identification of engineering technology system is proposed. Because the method has the characteristics of systematic and orderly，the results have high credibility after the application of this method to identify the hazards.

Keyword：safety management engineering；hazard identification method；automatic fare collection system；urban rail transit

0 引 言

針對健康安全、信息安全的安全管理體系已經(jīng)相對成熟并獲得廣泛應(yīng)用，但針對特定產(chǎn)品、系統(tǒng)或服務(wù)的安全管理體系，普及應(yīng)用程度仍然很低。原因之一是不同系統(tǒng)具有不同的安全、風(fēng)險(xiǎn)、危害特征，其危害識(shí)別方法和風(fēng)險(xiǎn)評估方法缺乏健康安全和信息安全等對應(yīng)方法的通用性。其中，系統(tǒng)危害識(shí)別是系統(tǒng)安全管理體系的一項(xiàng)基礎(chǔ)性研究任務(wù)。有些組織忽略了一些對組織達(dá)成目標(biāo)具有重大影響的危害，可能給組織帶來重大風(fēng)險(xiǎn)。本文針對工程技術(shù)系統(tǒng)，提出一種系統(tǒng)危害識(shí)別的結(jié)構(gòu)化方法。為了說明這種方法的應(yīng)用，本文以城市軌道交通自動(dòng)售檢票系統(tǒng)（AFC，automatic fare collection system）為案例研究對象，基于危害識(shí)別的基礎(chǔ)模型和轉(zhuǎn)換模型，給出一些典型危害識(shí)別案例。

1 危害

有關(guān)hazard的定義，可以考察以下經(jīng)典文獻(xiàn)：

在職業(yè)健康安全管理體系語境中，經(jīng)典文獻(xiàn)來自英國標(biāo)準(zhǔn)協(xié)會(huì)（BSI）等13個(gè)組織聯(lián)合推出的類國際性標(biāo)準(zhǔn)OHSAS18001：2007，中國國家標(biāo)準(zhǔn)GB/T28001-2011《職業(yè)健康安全管理體系要求》等同采用該標(biāo)準(zhǔn)，并將hazard譯為危險(xiǎn)源。危險(xiǎn)源是“可能導(dǎo)致人身傷害和（或）健康損害的根源、狀態(tài)或行為，或其組合”。

上述標(biāo)準(zhǔn)已經(jīng)由國際標(biāo)準(zhǔn)化組織（ISO）于2018年3月12日在其官方網(wǎng)站發(fā)布為ISO標(biāo)準(zhǔn)：ISO45001：2018[1]。該標(biāo)準(zhǔn)定義hazard為“可能對人的身體、精神或認(rèn)知狀況造成不利影響的來源或環(huán)境”。該標(biāo)準(zhǔn)對應(yīng)的中文標(biāo)準(zhǔn)尚未發(fā)布。

在系統(tǒng)安全工程語境中，有關(guān)危害概念的經(jīng)典定義，可以考察美國國防部《系統(tǒng)安全標(biāo)準(zhǔn)實(shí)踐》，危害是“任何可能對人員造成傷害、疾病或死亡，對系統(tǒng)、設(shè)備或資產(chǎn)造成損害或損失，對環(huán)境造成損害的真實(shí)或潛在的情況”。

在軌道交通行業(yè)，國家標(biāo)準(zhǔn)GB/T21562-2008《軌道交通可靠性、可用性、可維修性和安全性規(guī)范及示例》等同采用了IEC62278：2002標(biāo)準(zhǔn)，并將hazard譯為危害。危害是“對人造成潛在傷害或?qū)Νh(huán)境造成潛在損害的物理狀況”。

本文研究的范圍屬于系統(tǒng)安全工程語境，案例研究是城市軌道交通自動(dòng)售檢票系統(tǒng)，因此參考文獻(xiàn)GB/T21562將hazard譯為危害。而有關(guān)危害的定義，則參考ISO45001和《系統(tǒng)安全標(biāo)準(zhǔn)實(shí)踐》定義為：危害是“任何對人的身體、精神或認(rèn)知狀況造成不利影響，對系統(tǒng)或設(shè)備及資產(chǎn)造成損害或損失，對環(huán)境造成損害的來源、狀態(tài)或行為，或其組合”。

在交通客運(yùn)系統(tǒng)中，對人的傷害不應(yīng)該僅關(guān)注對人員造成傷害、疾病或死亡，也應(yīng)該重視對人的精神或認(rèn)知狀態(tài)造成的不利影響。媒體經(jīng)常報(bào)道航空客運(yùn)、郵輪客運(yùn)、城市軌道交通客運(yùn)等由于環(huán)境變化、系統(tǒng)故障、管理不善等因素導(dǎo)致的乘客滯留事件。這些系統(tǒng)的安全工程的從業(yè)人員應(yīng)該以公眾的關(guān)注為焦點(diǎn)，關(guān)注這些危害，并采取適當(dāng)?shù)拇胧ò☉?yīng)急措施）來預(yù)防這些危害的發(fā)生或減輕這些危害的損害程度。

特別地，由于城市軌道交通具有客流密集的特征，乘客滯留可能引發(fā)公共交通安全風(fēng)險(xiǎn)。預(yù)防系統(tǒng)服務(wù)連續(xù)性中斷導(dǎo)致的乘客大面積滯留事件應(yīng)該成為城市軌道交通自動(dòng)售檢票系統(tǒng)安全工程中關(guān)注的焦點(diǎn)。

2 系統(tǒng)危害識(shí)別基礎(chǔ)模型

系統(tǒng)危害識(shí)別可以基于多種視點(diǎn)進(jìn)行。本質(zhì)上系統(tǒng)危害識(shí)別模型是一個(gè)多維度模型。不過，由于認(rèn)知的限制，我們一般基于三維模型來認(rèn)識(shí)世界?；痉椒ㄊ牵菏紫冉⒁粋€(gè)三維基礎(chǔ)模型，當(dāng)需要認(rèn)識(shí)現(xiàn)實(shí)世界中的多維實(shí)體時(shí)，通過模型的變換來實(shí)現(xiàn)。

本節(jié)首先定義一個(gè)系統(tǒng)危害識(shí)別的三維基礎(chǔ)模型，即把系統(tǒng)危害識(shí)別要素分為三個(gè)維度：系統(tǒng)生命周期、系統(tǒng)分解結(jié)構(gòu)、系統(tǒng)危害類別。

使用如圖1所示的三維矩陣來說明系統(tǒng)危害識(shí)別基礎(chǔ)模型。

圖1中：

X軸或橫向軸，代表系統(tǒng)生命周期要素。

Y軸或縱向軸，代表系統(tǒng)分解結(jié)構(gòu)要素。

Z軸或深向軸，代表系統(tǒng)危害類別要素。

為了后續(xù)研究、敘述方便，引入解剖學(xué)的幾個(gè)術(shù)語：

矢狀面（sagittal plane）：沿前后方向?qū)⑽矬w縱切為左右兩部分的所有斷面。

冠狀面（coronal plane）：沿左右方向?qū)⑽矬w縱切為前后兩部分的所有斷面。

水平面（horizontal plane）或橫斷面（transverse pla ne）：與縱軸垂直，將物體橫切為上下兩部分的所有斷面。

3 系統(tǒng)生命周期階段

有關(guān)生命周期概念，早期以階段劃分。經(jīng)典的表述是美國國防部《電子可靠性設(shè)計(jì)手冊》[1]的定義：

生命周期階段（life cycle phases）：產(chǎn)品從概念到退役的生存期中的可識(shí)別階段。

該手冊將武器裝備系統(tǒng)生命周期正式定義為四個(gè)階段：概念探索（Concept Exploration）；程序定義和風(fēng)險(xiǎn)降低（Program Definition and Risk Reduction）；工程和制造開發(fā)（Engineering and Manufacturing Development）；生產(chǎn)、部署和運(yùn)行支持（Production，Deployment，and Operational Support）。盡管沒有定義為一個(gè)階段，但武器裝備系統(tǒng)的非軍事化和退役活動(dòng)應(yīng)在生命周期末端執(zhí)行。

該手冊也推薦了商用領(lǐng)域系統(tǒng)生命周期的一種五階段劃分方法：顧客要求分析（Customer Need Analysis）；設(shè)計(jì)和開發(fā)（Design and Development）；生產(chǎn)和建造（Production and Construction）；運(yùn)行和維護(hù)（Operation and Maintenance）；退役和逐步淘汰（Retirement and Phase-out）。

在系統(tǒng)生命周期的五個(gè)階段都可能發(fā)生各種危害。重大的危害通常發(fā)生在系統(tǒng)運(yùn)行階段，但運(yùn)行階段發(fā)生的危害大部分來源于顧客要求分析、系統(tǒng)設(shè)計(jì)和開發(fā)以及生產(chǎn)和建造階段。

系統(tǒng)危害識(shí)別的主要目的之一是降低危害發(fā)生所產(chǎn)生的風(fēng)險(xiǎn)成本。包括危害發(fā)生的直接成本（危害損失成本、應(yīng)急處置成本等）和間接成本（聲譽(yù)損失成本、市場損失成本等）。

從全生命周期成本優(yōu)化的角度，危害識(shí)別付出的努力越大，危害識(shí)別成本越高，但可以顯著降低危害發(fā)生的成本損失。理論上，危害識(shí)別成本和危害造成的損失成本之間的總成本存在一個(gè)最優(yōu)極值點(diǎn)。不幸的是這個(gè)最優(yōu)極值點(diǎn)很難用模型或算法表達(dá)。不過，有一條顯而易見的危害識(shí)別原則：在生命周期階段中越早識(shí)別危害，修復(fù)的成本越低。特別地，在顧客要求分析階段識(shí)別危害，修復(fù)成本最低。更進(jìn)一步，在國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、地方標(biāo)準(zhǔn)或者由行業(yè)協(xié)會(huì)主導(dǎo)的團(tuán)體標(biāo)準(zhǔn)或設(shè)計(jì)規(guī)范中，如果能明確識(shí)別一種危害并提出相關(guān)的安全要求，則可以促進(jìn)標(biāo)準(zhǔn)采用方避免這種危害所造成的損失，其效益是最佳的。

4 系統(tǒng)生命周期模型

上世紀(jì)90年代管理科學(xué)的最重大進(jìn)展是“過程方法”的普及應(yīng)用?；谶^程方法，有關(guān)生命周期概念開始采用“生命周期模型”概念。經(jīng)典的表述是ISO/IEC 15288系統(tǒng)和軟件工程—系統(tǒng)生命周期過程[3]的定義：

生命周期（life cycle）：系統(tǒng)、產(chǎn)品、服務(wù)、項(xiàng)目或其他人造實(shí)體從概念到退役的演化。

生命周期模型（life cycle model）：是與生命周期相關(guān)的過程和活動(dòng)的框架，可能組織成階段，作為一個(gè)共同交流和理解的參考。

生命周期模型的概念實(shí)際上涵蓋了生命周期階段的概念，可以采用過程和活動(dòng)的框架分解生命周期，也可以使用階段劃分的方法。

在ISO/IEC 15288中，可以將生命周期過程按照過程類別分解為合同過程、組織過程、項(xiàng)目過程、系統(tǒng)工程過程、軟件工程過程等，也可以按照主要相關(guān)方類別分解為建設(shè)過程、供應(yīng)過程、開發(fā)過程、運(yùn)行過程、維護(hù)過程等。

在系統(tǒng)危害識(shí)別模型中，根據(jù)不同的系統(tǒng)特征、不同的研究方法，或基于不同相關(guān)方的視點(diǎn)，可以使用多種方法將系統(tǒng)生命周期劃分為階段或者過程和活動(dòng)的框架。每個(gè)階段可以進(jìn)一步劃分為更細(xì)的階段，每個(gè)過程可以劃分為更細(xì)的子過程或活動(dòng)。這些階段或過程可能重疊或迭代。

為保持系統(tǒng)危害識(shí)別過程以及其后的危害風(fēng)險(xiǎn)評估過程、風(fēng)險(xiǎn)處置過程的有效性，應(yīng)遵循一項(xiàng)設(shè)計(jì)原則：與組織業(yè)務(wù)過程融合集成為一體。使用生命周期模型更容易貫徹此項(xiàng)原則。

在城市軌道交通自動(dòng)售檢票系統(tǒng)的危害識(shí)別模型中，本文推薦生命周期首先按照建設(shè)過程、供應(yīng)過程、開發(fā)過程、運(yùn)行過程、維護(hù)過程分解，由建設(shè)方、供應(yīng)方、開發(fā)方、運(yùn)行方、維護(hù)方分別承擔(dān)對應(yīng)過程的危害識(shí)別任務(wù)。其他相關(guān)方過程的危害識(shí)別可以歸并到主要相關(guān)方之一統(tǒng)籌實(shí)施。如建設(shè)方統(tǒng)籌規(guī)劃設(shè)計(jì)方、監(jiān)理方、檢測方、施工方危害識(shí)別，供應(yīng)方統(tǒng)籌包裝、運(yùn)輸、倉儲(chǔ)方危害識(shí)別，開發(fā)方統(tǒng)籌生產(chǎn)方危害識(shí)別等等。另外還有一些特殊相關(guān)方，如AFC系統(tǒng)采用電子支付技術(shù)和互聯(lián)網(wǎng)支付技術(shù)后，與銀行、銀聯(lián)和第三方支付相關(guān)的危害識(shí)別也應(yīng)歸并到適當(dāng)?shù)南嚓P(guān)方統(tǒng)籌管理其危害識(shí)別過程和活動(dòng)。

危害識(shí)別的分工并不能識(shí)別全部危害，主要相關(guān)方之間接口的危害識(shí)別應(yīng)該由牽頭方協(xié)調(diào)組織?？梢詫⑾到y(tǒng)生命周期分為建設(shè)和運(yùn)維兩個(gè)大階段，建設(shè)階段的危害識(shí)別由建設(shè)方牽頭，運(yùn)維階段的危害識(shí)別由運(yùn)行方牽頭。

分工之后的更進(jìn)一步細(xì)分，可以采用第8節(jié)模型轉(zhuǎn)換方法實(shí)施。

5 系統(tǒng)分解結(jié)構(gòu)

系統(tǒng)是實(shí)現(xiàn)一個(gè)或多個(gè)目的的相互作用的元素的組合。在本文中考察的系統(tǒng)，限于人造的、在特定環(huán)境中、為特定用戶提供服務(wù)的系統(tǒng)。

任何系統(tǒng)都包含特定的元素。系統(tǒng)元素是構(gòu)成系統(tǒng)的一組元素的成員。

基于觀察者的視點(diǎn)的不同，一個(gè)系統(tǒng)可能是另一個(gè)系統(tǒng)的元素。如交通運(yùn)輸系統(tǒng)包含客運(yùn)系統(tǒng)、貨運(yùn)系統(tǒng)?？瓦\(yùn)系統(tǒng)包含軌道交通客運(yùn)、公路客運(yùn)、航空客運(yùn)、海上客運(yùn)、輪渡客運(yùn)、城市公共交通客運(yùn)等系統(tǒng)性元素。軌道交通客運(yùn)系統(tǒng)包含城市軌道交通客運(yùn)、城際軌道交通客運(yùn)、鐵路干線客運(yùn)等系統(tǒng)性元素。城市軌道交通系統(tǒng)包含了隧道、軌道、車輛、信號、供電、電梯、自動(dòng)售檢票、屏蔽門等系統(tǒng)性元素；其中每一個(gè)系統(tǒng)性元素，也可以視為一個(gè)系統(tǒng)，例如城市軌道交通自動(dòng)售檢票系統(tǒng)。

考查一個(gè)特定系統(tǒng)的細(xì)節(jié)時(shí)，系統(tǒng)元素可以進(jìn)一步按照硬件、軟件、數(shù)據(jù)、過程、規(guī)范、流程、設(shè)施、設(shè)備、模塊、材料、人力資源、財(cái)務(wù)資源等分解。

在系統(tǒng)危害識(shí)別模型中，系統(tǒng)元素可以按照裝備、技術(shù)、業(yè)務(wù)等進(jìn)行結(jié)構(gòu)分解。

在傳統(tǒng)AFC系統(tǒng)危害識(shí)別模型中，系統(tǒng)可以按照裝備分解為清分中心、線路計(jì)算機(jī)系統(tǒng)、車站計(jì)算機(jī)系統(tǒng)、自動(dòng)檢票機(jī)、自動(dòng)售票機(jī)等。

在互聯(lián)網(wǎng)+AFC系統(tǒng)危害識(shí)別模型中，系統(tǒng)可以按照裝備分解為云、網(wǎng)、端等。

也可以按照技術(shù)層級將AFC系統(tǒng)分解為終端設(shè)備、網(wǎng)絡(luò)通信、數(shù)據(jù)服務(wù)、智能應(yīng)用、監(jiān)控管理等。

不同的系統(tǒng)分解方式，在危害識(shí)別中具有各自的特色。

無論何種分解，必須在子系統(tǒng)危害識(shí)別的基礎(chǔ)上實(shí)施整體系統(tǒng)危害識(shí)別（SHI，System Hazard Identification），SHI應(yīng)重點(diǎn)關(guān)注子系統(tǒng)之間接口危害和系統(tǒng)變化觸發(fā)的危害。

6 系統(tǒng)危害類別

系統(tǒng)危害可以用多種方式分類，如依照危害對象、危害來源等分類。

（1）依照危害對象，可以將系統(tǒng)危害分解為5類：

（2）對人的身體、精神或認(rèn)知狀況造成不利影響的危害；

（3）對信息資產(chǎn)造成損失的危害；

（4）對其他資產(chǎn)造成損失的危害；

（5）對環(huán)境造成損害的危害；

（6）對系統(tǒng)服務(wù)造成損害的危害。

（7）在系統(tǒng)危害識(shí)別模型中包含各種危害對象，為系統(tǒng)安全管理體系與健康安全、信息安全、環(huán)境安全等管理體系的融合奠定基礎(chǔ)。其中，對系統(tǒng)服務(wù)造成損害的危害，在不同系統(tǒng)中具有不同的特征。這是特定系統(tǒng)領(lǐng)域安全管理人員需要重點(diǎn)關(guān)注的危害。

7 系統(tǒng)危害識(shí)別的任務(wù)分解

對圖1所示的系統(tǒng)危害識(shí)別基礎(chǔ)模型進(jìn)行任意裁剪，形成板狀結(jié)構(gòu)、條狀結(jié)構(gòu)、塊狀結(jié)構(gòu)，本質(zhì)上應(yīng)用了系統(tǒng)分析中的抽象方法，即暫時(shí)不關(guān)注其他要素，可以實(shí)現(xiàn)危害識(shí)別任務(wù)的分解，并分配給系統(tǒng)的各相關(guān)方進(jìn)行危害識(shí)別。

圖1模型右側(cè)的板狀結(jié)構(gòu)是基礎(chǔ)模型的一個(gè)矢狀面裁剪，每個(gè)板狀結(jié)構(gòu)代表某種系統(tǒng)危害類別。假定該板狀結(jié)構(gòu)代表對系統(tǒng)服務(wù)造成損害的危害。

可以對圖1模型右側(cè)的板狀結(jié)構(gòu)進(jìn)一步進(jìn)行冠狀面或水平面裁剪，形成條狀結(jié)構(gòu)。例如水平面裁剪形成的條狀結(jié)構(gòu)，可以代表系統(tǒng)結(jié)構(gòu)分解的一部分，像AFC終端設(shè)備或自動(dòng)檢票機(jī)或自動(dòng)售票機(jī)的全生命周期的某種特定對象的危害識(shí)別。

進(jìn)一步，對條狀結(jié)構(gòu)進(jìn)行裁剪可以形成塊狀結(jié)構(gòu)，如圖1模型右側(cè)的塊狀結(jié)構(gòu)，可以代表自動(dòng)檢票機(jī)或自動(dòng)售票機(jī)在生命周期某一階段（如運(yùn)行階段）針對系統(tǒng)服務(wù)損害的危害識(shí)別。

當(dāng)然，也可以對三維模型先進(jìn)行水平面或冠狀面裁剪。

例如：對AFC系統(tǒng)終端設(shè)備開發(fā)方，可以首先進(jìn)行水平面裁剪，形成的板狀結(jié)構(gòu)代表AFC系統(tǒng)終端設(shè)備全生命周期各種系統(tǒng)危害的識(shí)別模型。

例如：對AFC系統(tǒng)運(yùn)行方，可以首先進(jìn)行冠狀面裁剪，形成的板狀結(jié)構(gòu)代表AFC系統(tǒng)運(yùn)行階段各種系統(tǒng)危害的識(shí)別模型。

8 系統(tǒng)危害識(shí)別的轉(zhuǎn)換模型

如前所述，本質(zhì)上系統(tǒng)危害識(shí)別模型是一個(gè)多維度模型。

當(dāng)需要研究三維基礎(chǔ)模型以外的維度時(shí)，我們可以在抽象分解基礎(chǔ)上再擴(kuò)展一個(gè)維度實(shí)現(xiàn)模型的轉(zhuǎn)換。

如圖1模型右側(cè)的板狀結(jié)構(gòu)，假定該板狀結(jié)構(gòu)代表對系統(tǒng)服務(wù)造成損害的危害。我們需要進(jìn)一步按照系統(tǒng)危害原因類別分解，以便進(jìn)行更細(xì)致的危害識(shí)別。此時(shí)可將板狀結(jié)構(gòu)進(jìn)行Z軸或深向軸擴(kuò)展，形成新的三維模型。如圖2所示。

圖2中，新擴(kuò)展的維度是系統(tǒng)危害原因類別，可以分為硬件設(shè)計(jì)缺陷、軟件設(shè)計(jì)缺陷、人為失誤、環(huán)境變化因素、組織因素等。

圖2模型右側(cè)的板狀結(jié)構(gòu)是轉(zhuǎn)換模型的一個(gè)矢狀面裁剪，每個(gè)板狀結(jié)構(gòu)代表某種系統(tǒng)危害原因類別。假定該板狀結(jié)構(gòu)代表軟件設(shè)計(jì)缺陷對系統(tǒng)服務(wù)造成損害的危害。

可以對圖2模型右側(cè)的板狀結(jié)構(gòu)進(jìn)一步進(jìn)行冠狀面或水平面裁剪形成條狀結(jié)構(gòu)。例如水平面裁剪形成的條狀結(jié)構(gòu)，可以代表系統(tǒng)結(jié)構(gòu)分解的一部分，例如AFC終端設(shè)備或自動(dòng)檢票機(jī)或自動(dòng)售票機(jī)的全生命周期中對系統(tǒng)服務(wù)的危害識(shí)別。

進(jìn)一步，對條狀結(jié)構(gòu)進(jìn)行裁剪可以形成塊狀結(jié)構(gòu)，如圖2模型右側(cè)的塊狀結(jié)構(gòu)，可以代表自動(dòng)檢票機(jī)或自動(dòng)售票機(jī)在生命周期某一階段（如運(yùn)行階段）有軟件設(shè)計(jì)缺陷引發(fā)的對系統(tǒng)服務(wù)損害的危害識(shí)別。

當(dāng)然，也可以對三維模型先進(jìn)行水平面或冠狀面裁剪，再擴(kuò)展新的危害識(shí)別維度成為另一個(gè)危害識(shí)別轉(zhuǎn)換模型。

9 危害識(shí)別案例

在圖2模型中我們進(jìn)行水平裁剪形成板狀結(jié)構(gòu)假定代表自動(dòng)檢票機(jī)，再進(jìn)行冠狀面裁剪形成條狀結(jié)構(gòu)代表自動(dòng)檢票機(jī)運(yùn)行階段。由于圖2模型主要關(guān)注系統(tǒng)服務(wù)危害，分解的任務(wù)是自動(dòng)檢票機(jī)運(yùn)行階段對系統(tǒng)服務(wù)連續(xù)性的危害識(shí)別，并按照危害原因分類。

實(shí)施分解的危害識(shí)別任務(wù)時(shí)，首先應(yīng)針對已發(fā)生事件進(jìn)行，這些事件可能是類似系統(tǒng)的事件。在此基礎(chǔ)上再進(jìn)行擴(kuò)展。

以下是幾個(gè)典型危害案例。

案例1：2007年10月12日凌晨，日本東京都市圈內(nèi)16家軌道交通運(yùn)行方的662個(gè)車站的4378臺(tái)自動(dòng)檢票機(jī)發(fā)生無法正常啟動(dòng)的故障。當(dāng)天，日本各大媒體均對事件進(jìn)行了報(bào)道。[2]事件發(fā)生的直接原因是：“在搭載了IC卡判定部的自動(dòng)檢票機(jī)中，在IC卡判定部的存儲(chǔ)部中讀取從中央計(jì)算機(jī)發(fā)送的數(shù)據(jù)的程序的一部分存在缺陷，不能正常地讀取數(shù)據(jù)，導(dǎo)致機(jī)器異常，檢票機(jī)宕機(jī)。另外，這個(gè)數(shù)據(jù)的數(shù)量達(dá)到某數(shù)以上，并且在某個(gè)條件下會(huì)發(fā)生問題，在質(zhì)量保證的過程中沒有發(fā)現(xiàn)這個(gè)潛在缺陷，10月12日從中央計(jì)算機(jī)發(fā)送的這個(gè)數(shù)據(jù)的數(shù)量滿足上述條件，問題呈現(xiàn)?！盵3]軟件缺陷的細(xì)節(jié)可能是對黑名單數(shù)據(jù)設(shè)計(jì)了一個(gè)定長的數(shù)組，當(dāng)黑名單數(shù)據(jù)在定長范圍內(nèi)時(shí)，不會(huì)發(fā)生問題。當(dāng)黑名單數(shù)據(jù)超出限定長度時(shí)，由于最后兩字節(jié)的校驗(yàn)字節(jié)溢出，致使校驗(yàn)失敗，從而導(dǎo)致自動(dòng)檢票機(jī)無法正常啟動(dòng)。

該事件危害的場景，是軟件設(shè)計(jì)缺陷造成的危害，在數(shù)據(jù)變化達(dá)到邊界條件下觸發(fā)的。這種場景具有普遍性。大部分事件都是由多種危害共同作用引發(fā)的。危害場景分析中可以把系統(tǒng)危害分為主要危害和觸發(fā)危害。在危害識(shí)別基礎(chǔ)上進(jìn)行危害場景分析是進(jìn)一步認(rèn)識(shí)危害特征并進(jìn)行針對性防范的有效方法。

案例2：某城市某線路維修過程中更換車站計(jì)算機(jī)硬盤，未進(jìn)行時(shí)間修正即聯(lián)網(wǎng)運(yùn)行，造成終端設(shè)備時(shí)鐘錯(cuò)誤修改，引發(fā)乘客無法正常進(jìn)出站事件。該事件危害的場景，是硬件存在缺陷，在人為誤操作條件下觸發(fā)。

案例3：某城市在某一特別寒冷日凌晨發(fā)生批量自動(dòng)檢票機(jī)和自動(dòng)售票機(jī)無法正常啟動(dòng)的事件。該事件危害的場景，是硬件存在缺陷，在環(huán)境變化條件下觸發(fā)。

案例4：某城市進(jìn)行AFC系統(tǒng)轉(zhuǎn)型試點(diǎn)，發(fā)生因系統(tǒng)端服務(wù)軟件故障導(dǎo)致持二維碼過閘乘客無法正常進(jìn)出站事件。該事件危害的場景，是系統(tǒng)可靠性模型設(shè)計(jì)缺陷，導(dǎo)致終端設(shè)備的可靠性依賴于脆弱的系統(tǒng)端服務(wù)軟件的可靠性，由系統(tǒng)端服務(wù)軟件故障觸發(fā)大面積自動(dòng)檢票機(jī)二維碼過閘功能喪失可用性。

上述案例進(jìn)一步分析都可以找到組織管理方面的缺陷因素。

基于多種視點(diǎn)形成多個(gè)三維系統(tǒng)危害識(shí)別轉(zhuǎn)換模型，事實(shí)上實(shí)現(xiàn)了多維度的系統(tǒng)危害識(shí)別。多種危害識(shí)別轉(zhuǎn)換模型可以由不同的相關(guān)方分別實(shí)施危害識(shí)別。針對每一種已識(shí)別的危害，可以進(jìn)一步擴(kuò)展識(shí)別同類危害。已識(shí)別危害應(yīng)分類記錄，作為后續(xù)風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)處置、應(yīng)急預(yù)案設(shè)計(jì)的輸入。

10 結(jié) 論

本文根據(jù)實(shí)踐經(jīng)驗(yàn)提出一個(gè)基于系統(tǒng)生命周期、系統(tǒng)分解結(jié)構(gòu)、系統(tǒng)危害類別的系統(tǒng)危害識(shí)別基礎(chǔ)研究模型，結(jié)合模型轉(zhuǎn)換實(shí)現(xiàn)一種結(jié)構(gòu)化的多維度系統(tǒng)危害識(shí)別方法。由于該方法具有系統(tǒng)性和有序性的特點(diǎn)，應(yīng)用這種方法進(jìn)行危害識(shí)別，其成果具有較高的可信性。

將基礎(chǔ)研究模型中的系統(tǒng)危害類別改為風(fēng)險(xiǎn)類別、成本類別、故障類別或者系統(tǒng)安全性、可靠性、可用性、維修性等，可用于研究系統(tǒng)全生命周期風(fēng)險(xiǎn)管理、成本優(yōu)化、故障管理、RAMS管理等。

參考文獻(xiàn)：

[1] ISO45001：2018，Occupational health and safety management systems·Requirements with guidance for use [S].Current status，2018.

[2] 日經(jīng)，「Suica」「PASMO」の改札機(jī)が使用不能になるトラブル，なぜ首都圏全域でサービスが止まったのhttp：//tech.nikkeibp.co.jp/dm/article/NEWS/20071012/140569/.

[3] 西村和義，弊社自動(dòng)改札機(jī)の不具合について，http//www.signal.co.jp/uploads/071015owabi.pdf.

作者簡介：宋維（1960-），男，山西大同人，1983年畢業(yè)于中國科學(xué)技術(shù)大學(xué)自動(dòng)控制專業(yè)，學(xué)士。研究方向：自動(dòng)控制系統(tǒng)及系統(tǒng)安全。