系統(tǒng)安全的機(jī)遇（下）

劉卓軍中國(guó)科學(xué)院研究員

系統(tǒng)安全如果僅僅停留在理念層面，就失去了其本來(lái)的意義，其價(jià)值也會(huì)大打折扣。系統(tǒng)安全既是方法也是目標(biāo)，形式上是對(duì)流程和規(guī)則的遵守，而本質(zhì)上體現(xiàn)的是對(duì)管理和工程方面的原理、標(biāo)準(zhǔn)及技術(shù)實(shí)施有意圖和有計(jì)劃的應(yīng)用。

實(shí)施系統(tǒng)安全要從確定系統(tǒng)安全規(guī)劃（SSP）開(kāi)始。有一個(gè)很形象的認(rèn)識(shí)，“沒(méi)有計(jì)劃等于是計(jì)劃著失敗”，既沒(méi)有規(guī)劃就非常有可能帶來(lái)可怕的結(jié)果。SSP通常要基于系統(tǒng)的規(guī)模、復(fù)雜程度、安全臨界性質(zhì)、資金、系統(tǒng)生命周期各階段的特征等因素建立安全規(guī)劃和要求，明確闡述管理和實(shí)施規(guī)劃中所需要面對(duì)的基本問(wèn)題，尤其重要的是，所有這些都要建立起與之相應(yīng)的文檔。這些文檔一般應(yīng)包括：列出對(duì)于有效的安全規(guī)劃必須要完成的任務(wù);為完成任務(wù)而準(zhǔn)備使用的方法，包括任務(wù)的執(zhí)行和時(shí)間等的規(guī)定;對(duì)任務(wù)執(zhí)行人員的資格和條件的要求;各管理層對(duì)執(zhí)行任務(wù)的授權(quán)以及確保任務(wù)完成所需必要資源的說(shuō)明。如此文檔化的正式文件的整體常被稱(chēng)為系統(tǒng)安全規(guī)劃計(jì)劃或系統(tǒng)安全規(guī)劃方案（SSPP）。制定旨在獲得系統(tǒng)安全規(guī)劃的系統(tǒng)安全規(guī)劃方案，需要有一個(gè)專(zhuān)門(mén)的工作團(tuán)隊(duì)，通常稱(chēng)為系統(tǒng)安全規(guī)劃工作小組（SSPG）。容易理解，辦好任何事情都需要有合適的人和恰當(dāng)?shù)臏?zhǔn)備，所以，SSPG是取得高質(zhì)量SSPP乃至高質(zhì)量SSP的關(guān)鍵。

盡管對(duì)SSPP的格式?jīng)]有硬性要求，但它所應(yīng)包含的必要和適當(dāng)?shù)膬?nèi)容卻是基本的：

首先，概述是必要的，應(yīng)當(dāng)對(duì)系統(tǒng)做出明確定義，要明晰其基本構(gòu)成、結(jié)構(gòu)和功能，要包括系統(tǒng)的配置圖，系統(tǒng)的硬件、軟件及人員的接口信息。一般說(shuō)來(lái)，系統(tǒng)不同，例如金融系統(tǒng)和交通系統(tǒng)，其在構(gòu)成、結(jié)構(gòu)和功能等方面所體現(xiàn)出的特點(diǎn)也會(huì)不同，這又必然會(huì)反映在系統(tǒng)安全規(guī)劃（SSP）的內(nèi)容上;

明確界定SSP將“覆蓋”的范圍。一般來(lái)說(shuō)，規(guī)劃覆蓋的內(nèi)容不是“越多越好”，而是應(yīng)科學(xué)合理。盡管我們可以把所有事物都解釋成系統(tǒng)，但每個(gè)系統(tǒng)都還可以看成是一個(gè)更大系統(tǒng)的一部分。邊界和范圍清晰了，責(zé)任就更加明確，任務(wù)就更有針對(duì)性;

描述系統(tǒng)安全規(guī)劃的構(gòu)成內(nèi)容和整體架構(gòu)，每一部分的作用和責(zé)任，對(duì)應(yīng)的時(shí)間進(jìn)度。規(guī)劃有效性的支撐主要來(lái)自技術(shù)和工程性方面，但道德倫理方面的理念也是必要的。這一點(diǎn)在后面的案例分析中會(huì)看得很清楚;

指明可以使用的安全需求、指南和標(biāo)準(zhǔn)等文件系統(tǒng)，以及可能要采用的危險(xiǎn)要素識(shí)別方法和分析方法，必要的話(huà)還要指明進(jìn)行危險(xiǎn)要素分析的深度，因?yàn)橄到y(tǒng)安全是有成本的，不是無(wú)限責(zé)任的，而且時(shí)間的有限約束也是明顯的;

使用和建立安全數(shù)據(jù)庫(kù)的安排。其中，相關(guān)的危險(xiǎn)要素信息是重中之重，收集、評(píng)估分析、追蹤、處置應(yīng)對(duì)（包括減緩和終止排除），以及處置結(jié)果的證實(shí)都要有相應(yīng)的可行方法和準(zhǔn)則可使用和可遵循。

對(duì)定期發(fā)布安全評(píng)估報(bào)告以及建立規(guī)劃實(shí)施督察委員會(huì)要做出規(guī)定，因?yàn)樵u(píng)估和檢查規(guī)劃的實(shí)施狀況并在必要時(shí)做出適當(dāng)?shù)母深A(yù)是保證規(guī)劃效果的必要舉措。進(jìn)一步，系統(tǒng)安全綜合支撐的協(xié)同工作以及資源保障的復(fù)雜工作也都必須做出適宜的安排。

盡管SSPP在內(nèi)容上會(huì)包含同樣的基本要素，但也并非所有的SSPP都是一樣的或看上去是相似的，實(shí)際上它們也不應(yīng)這樣。每個(gè)SSP所考慮的系統(tǒng)，由于其類(lèi)型、規(guī)模及涉及的安全臨界性不同，因而必定是獨(dú)一無(wú)二的，它甚至還會(huì)反映出產(chǎn)品和系統(tǒng)開(kāi)發(fā)組織及人員的管理風(fēng)格和個(gè)性。

SSPP不是靜止不變的文檔，必要時(shí)在規(guī)劃的生命周期中會(huì)修改和更新。每當(dāng)系統(tǒng)進(jìn)入新的開(kāi)發(fā)階段，或外部環(huán)境發(fā)生重大變化，都要做出更新以反映新的信息和項(xiàng)目的變化。例如，新冠疫情的暴發(fā)，幾乎對(duì)所有系統(tǒng)運(yùn)行的外部環(huán)境都產(chǎn)生了重大影響，因此從安全角度講，一些具體的SSPP需要做出變更是非常自然的。另外，在一個(gè)特別長(zhǎng)的系統(tǒng)安全開(kāi)發(fā)階段，SSPP也可能由于各種與規(guī)劃相關(guān)的原因需要更新，例如，載人航天工程、登月工程，由于前期階段取得的新發(fā)現(xiàn)，就有可能導(dǎo)致對(duì)相應(yīng)的SSPP做出改變。

SSP及SSPP的制定和編寫(xiě)是重要的，當(dāng)然也是必要的，但還不是充分的，即是說(shuō)，認(rèn)真按SSP規(guī)定的內(nèi)容去執(zhí)行更重要。這將是我們需要長(zhǎng)期面對(duì)的挑戰(zhàn)任務(wù)。

系統(tǒng)安全對(duì)于國(guó)家安全戰(zhàn)略綱要的實(shí)施將成為重要的概念和理念

不妨回顧一下一件令人感觸深刻的案例。福特斑馬（Pinto）是福特汽車(chē)公司生產(chǎn)的1971-1980年款超小型汽車(chē)。1977年后出現(xiàn)的對(duì)斑馬汽車(chē)的爭(zhēng)論，指責(zé)斑馬的結(jié)構(gòu)設(shè)計(jì)不合理，存在發(fā)生油箱漏斗管徑折斷的可能性，在汽車(chē)尾部被撞而出現(xiàn)油箱被刺穿的情形時(shí)，就會(huì)導(dǎo)致可怕火災(zāi)的發(fā)生。批評(píng)者指控說(shuō)，汽車(chē)在后圍和油箱之間缺少加固結(jié)構(gòu)，這意味著在發(fā)生車(chē)后身被撞時(shí)油箱會(huì)向前擠壓，而被差速器的凸螺栓刺穿。在生產(chǎn)設(shè)計(jì)之初，福特公司是意識(shí)到了這種設(shè)計(jì)缺陷的，但卻拒絕為重新設(shè)計(jì)做投入，因?yàn)楦Ｌ毓菊J(rèn)為當(dāng)發(fā)生事故后，采取對(duì)可能的訴訟做賠付的解決方式將會(huì)更便宜。然而，在1972年的一起一人死亡一人嚴(yán)重?zé)齻氖鹿噬狭朔ㄍズ?，原告獲得了250萬(wàn)美元的補(bǔ)償性賠償和350萬(wàn)美元對(duì)于福特的懲罰性賠償。這個(gè)判決結(jié)果部分是因?yàn)楦Ｌ卦谏a(chǎn)斑馬之前就已經(jīng)意識(shí)到了設(shè)計(jì)存在缺陷，但卻持反對(duì)變更設(shè)計(jì)的”僥幸“的和”不道德“的態(tài)度。到了1978年，福特公司不得不宣布召回斑馬的決定，提供了加裝在油箱和差速器凸螺栓之間的塑料防護(hù)罩，加裝了另一個(gè)轉(zhuǎn)移接觸的右后減震器，以及讓新的油箱漏斗管徑延長(zhǎng)到油箱的深處，這樣在后部碰撞時(shí)更能阻止其斷裂。

就福特的案例來(lái)說(shuō)，如果執(zhí)行了形式的SSP并重視系統(tǒng)安全的道德要求，在產(chǎn)品的開(kāi)發(fā)階段，出現(xiàn)在設(shè)計(jì)中的危險(xiǎn)要素就應(yīng)當(dāng)已經(jīng)被消除了。這些危險(xiǎn)要素在當(dāng)時(shí)顯然已經(jīng)被識(shí)別了出來(lái)，但由于成本和責(zé)任的權(quán)衡而受到忽略。此外，如果存在有效的安全現(xiàn)場(chǎng)監(jiān)督系統(tǒng)幫助快速地分辨識(shí)別出安全問(wèn)題，就可能更早地執(zhí)行召回而不必打官司了。

今天，福特“事件”已經(jīng)過(guò)去了半個(gè)世紀(jì)，社會(huì)擁有的技術(shù)條件有了巨大進(jìn)步，其中，行車(chē)記錄儀的使用使得（汽車(chē)）交通事故的辨別分析更加快速有效。而且生活必將會(huì)變得更好更安全，因?yàn)榧夹g(shù)的發(fā)展使得社會(huì)普遍推行系統(tǒng)安全的理念成為可能。系統(tǒng)安全將給社會(huì)和民眾帶來(lái)更廣泛的安全，金融行業(yè)、制造行業(yè)、建筑行業(yè)、醫(yī)療行業(yè)、體育行業(yè)、新聞行業(yè)、司法行業(yè)等等幾乎所有的領(lǐng)域和行業(yè)都會(huì)從中受益。特別地，系統(tǒng)安全對(duì)于國(guó)家安全戰(zhàn)略綱要的實(shí)施也將成為重要的概念和理念，這一點(diǎn)將會(huì)被社會(huì)逐步認(rèn)識(shí)和理解，這是系統(tǒng)安全的機(jī)遇的一個(gè)方面。從另一方面看，系統(tǒng)安全作為實(shí)用的工具，若更有效地“滲透”入社會(huì)的方方面面，也還有很多工作要做。例如，更多智能傳感器的配置和嵌入到相應(yīng)的系統(tǒng)內(nèi)，不但是傳感器行業(yè)發(fā)展的福音，也能促進(jìn)系統(tǒng)安全有效性的提升。有針對(duì)性的自動(dòng)化技術(shù)的加強(qiáng)，有目標(biāo)導(dǎo)向的數(shù)據(jù)處理系統(tǒng)的開(kāi)發(fā)，系統(tǒng)安全知識(shí)的普及，系統(tǒng)安全教育的開(kāi)展，系統(tǒng)安全（軟件系統(tǒng)）工具的設(shè)計(jì)和研發(fā)等等，這些都包含著創(chuàng)新發(fā)展的機(jī)會(huì)。系統(tǒng)安全的機(jī)遇值得牢牢抓??！