高完整性系统工程（一）： Safety Engineering, HAZOP & Fault Tree Analysis

software and hardware used under correct operating conditions don’t cause unacceptable harm to people or environment. 在正确的操作条件下使用的软件和硬件不会对人或环境造成不可接受的伤害。

1.2 Safety Engineering Process

1.3 Safety Engineering

How do we engineer safe systems? 我们如何设计安全的系统？

History

Safety engineers are experts in their domain: medical, rail signalling, aviation etc. 安全工程师是他们领域的专家：医疗、铁路信号、航空等。

Safety engineers are experts in past accidents, incidents and failures. 安全工程师是过去事故、事件和失败方面的专家。

It is difficult to guard against what you can’t predict. 要防范你无法预测的事情是很难的。

Is why air crashes are so thoroughly investigated. 这就是为什么对空难的调查如此彻底。

1.4 Hazards

Safety engineers examine past accidents etc. looking for hazards: 安全工程师检查过去的事故等，寻找危险：

things that could lead to (future) accidents 可能导致（未来）事故的事情

Then design the system to be safe in the face of these things, reducing the chance of accidents happening. 然后将系统设计成在面对这些事情时是安全的，减少事故发生的机会。

Tends to be the same factors over and over again. 往往是相同的因素反复出现。

Doing it properly requires determining causation. 做好这一点需要确定因果关系。

Not enough to know that the accident occurred because a device failed; need to understand why it failed, what caused it to fail and e.g. why the pilot didn’t notice. 仅仅知道事故的发生是由于一个设备的故障是不够的；需要了解它为什么会故障，是什么导致了它的故障，例如，为什么飞行员没有注意到。

1.5 Causality 因果关系

Not correlation.

Often contested, not always clear cut. 往往有争议，不总是明确的。

Determined by counterfactual reasoning. 通过反事实推理来确定。

A counterfactual: “if A hadn’t happened, what would be the case …” 反事实："如果A没有发生，情况会是怎样......"

“A is a cause of B when, if A hadn’t happened, B wouldn’t have happened. "如果A没有发生，B就不会发生，那么A就是B的原因。

1.6 Causality is not Correlation 因果关系不是相关关系

Absence of causation is revealed by counterfactual reasoning. 不存在因果关系是通过反事实推理来揭示的。

Confounding: deaths by drowning correlated with ice-cream consumption (common cause: warm weather) 混杂因素：溺水死亡与雪糕消费相关（共同原因：温暖的天气）

Reversed Causality: barometer reading always drops before a storm (but the barometer reading doesn’t cause the storm) 反向因果关系：气压计读数总是在暴风雨前下降（但气压计读数并不导致暴风雨的发生）

Absence of causation is revealed by counterfactual reasoning. 因果关系的缺失是通过反事实推理揭示的。

1.7 Past Causes as Hazards

Safety engineers study past accident causes to determine hazards for new systems 安全工程师研究过去的事故原因以确定新系统的危险性

Works because new systems tend to be similar to old ones. 因为新系统往往与旧系统相似。

e.g. entirely new modes of transport tend to be invented rarely. 例如，全新的运输方式往往很少被发明出来。

But must be done systematically by following a process, to ensure repeatability. 但必须按照一个过程系统地进行，以确保可重复性。

(This is true of all engineering activities, of course.) (当然，所有工程活动都是如此）。

1.8 Safety Engineering Tasks

整个课程学习的脉络！！！

Preliminary Hazard Analysis 初步的危险分析

Based on requirements and early design: “what could go wrong?” 基于需求和早期设计： "什么会出错？"

Hazard brainstorming. 危险集思广益。

e.g. HAZOP

e.g. Fault-Tree Analysis

Design

Given those hazards, design the system to eliminate or mitigate them (depending on their risk) 鉴于这些危险，设计系统以消除或减轻它们（取决于其风险）。

e.g. Formal Specification

Implementation

Was it done right? 做得对吗？

e.g. Program Verification

2. HAZOP

HAZARDS AND OPERABILITY STUDY（危害和可操作性研究）

2.1 学习HAZOP

它是一个初步危险分析的方法

探索性分析，系统地集思广益，找出可能出错的地方
20世纪50年代，最初是为了了解化学过程中的危险而引入的。
由于其有效性，在安全关键型软件工程中被采用

2.2 HAZOP概览

Input：作为 design items 集合的高级系统描述

Design item：一个预期的行为，例如，一个过程中的事件或一个状态转换。例如：当传感器X被触发时，阀门B立即被关闭。

每个设计项目都要系统地进行 mutated（突变），以分析当预期行为没有发生时可能发生的情况，并确定 risk（后果和频率）。

2.3 Assessing Hazard Risks 评估

Class I: Intolerable risk. 不可容忍的风险
Class II: Undesirable risk and tolerable only if risk reduction is impractical. 不理想的风险，只有在减少风险不切实际的情况下才可以容忍
Class III: Tolerable risk if the cost of risk reduction would exceed the improvement gained. 可容忍的风险，如果减少风险的成本超过所获得的改善
Class IV: Negligible risk. 可忽略的风险

2.4 示例场景

当检测到制动踏板压力迅速增加时，ECU将全力制动，以实施紧急制动。制动控制器的控制回路被安排为每1/10秒运行一次。当脚下压力发生变化时，制动控制器ECU接收来自制动踏板的信号。

Design Item

制动控制器ECU在其脚部压力变化时，接收来自制动踏板的信号

What if there is no signal from the brake pedal? 如果制动踏板没有信号怎么办？

What if the signal comes early? 如果信号来得早呢？

What if the signal comes late? 如果信号来得晚怎么办？

对于每一项，思考可能出现的潜在危险，并对其后果进行评级（catastrophic 灾难性的、critical 关键的、marginal 边缘的、negligible 可忽略的）。

What if there is no signal from the brake pedal?

1. car fails to stop. Consequence: Catastrophic 灾难性的
2. car gets stuck. 汽车卡住 Consequence: Critical 关键的

What if the signal comes early?

1. nonsensical, not applicable 毫无意义，不适用
2. car brakes too quickly 汽车刹车太快

What if the signal comes late?

1. car fails to stop in time. Consequence: Catastrophic 灾难性的
2. car fails to start in time. Consequence: Critical 关键的

2.5 HAZOP Guidewords

NO or NONE

This is the complete negation of the design intention. No part of the intention is achieved and nothing else happens. 这是对设计意图的完全否定。意图的任何部分都没有实现，也没有其他事情发生。

MORE

This is a quantitative increase. 这是一个数量上的增加。

LESS

This is a quantitative decrease. 这是一个数量上的减少。

AS WELL AS

All the design intention is achieved together with additions. 所有的设计意图都是通过添加来实现的。

PART OF

Only some of the design intention is achieved. 只实现了部分设计意图。

REVERSE

The logical opposite of the intention is achieved. 实现了意图的逻辑相反。

OTHER THAN

Complete substitution, where no part of the original intention is achieved but something quite different happens. 完全替代，即没有实现原始意图的一部分，而是发生了一些完全不同的事情。

EARLY

Something happens earlier than expected relative to clock time. 相对于时钟时间，某些事情发生得比预期的早。

LATE

Something happens later than expected relative to clock time. 相对于时钟时间，有些事情发生得比预期的晚。

BEFORE

Something happens before it is expected, relating to order or sequence. 一些事情发生在预期之前，与顺序或次序有关。

AFTER

Something happens after it is expected, relating to order or sequence. 事情发生在预期之后，与顺序或次序有关。

2.6 HAZOP Process

对每个 design item 设计项目

对每个 guideword 指导词

对照设计项目 interpret 解释导语（问 "它可能意味着什么"？）

给出与预期行为的 deviations 偏差，确定每个偏差的潜在 causes 原因

潜在的 consequences 后果

为减轻其影响而采取的 safeguards 保障措施

risk 风险

设计 recommendations 建议

2.7 HAZOP Outcomes

大的危害电子表格

大量的文件

有助于建立安全案例

用于分析未来的安全事故（但必须有人手动分析）

具有挑战性、创造性和有趣的过程

通过将建议反馈到设计中来完成，因为设计建议会改变风险等级

2.8 HAZOP Summary

Overall Process

Identify design items 确定设计项目
For each, do each guideword 对每个项目，做每个指导词
1. causes 原因
2. consequences 后果
3. safeguards 保障措施
4. risk (design) 风险（设计）
5. recommendations 建议