XiaoMi-AI文件搜索系统
World File Search SystemLeveson
对 KNIGHT & LEVESON 的批评的回应...
Avizienis 使用的短语“低概率”和“不太可能”没有量化,因此他的猜想和假设是不可测试的。但是,统计独立性,即不相关的故障,定义明确,在有关该技术的许多讨论中都暗示了这一点,并且一些从业者也假设了这一点 [MAR83, YOU85]。为了测试统计独立性,我们设计并执行了一项实验,其中两所大学的研究生和高年级本科生根据相同的需求规范独立准备了 27 个版本的程序。学生自己测试了程序,但每个程序都要经过由 200 个典型输入组成的实验验收程序。通过在根据应用程序的实际操作配置文件生成的一百万个输入上执行程序来模拟程序的操作使用情况。通过统计假设检验,我们得出结论,故障独立性假设并不适用于我们的程序,因此,使用基于此假设的模型进行的可靠性改进预测可能过于乐观。这就是我们得出的全部结论(见下文)。
软件在航天器事故中的作用 - Nancy Leveson
摘要:解决任何问题的第一步也是最重要的一步是充分了解问题,以便创建有效的解决方案。为此,研究了几起与软件相关的航天器事故,以确定常见的系统性因素。虽然每起事故的细节各不相同,但都发现了与安全文化、管理和组织以及技术缺陷有关的非常相似的因素。这些因素包括自满和低估软件风险、责任和权力分散、沟通渠道有限和信息流不畅、系统和软件工程不充分(规范差或缺失、不必要的复杂性和软件功能、没有适当安全分析的软件重用、违反数字组件的基本安全工程实践)、审查活动不足、系统安全工程无效、测试和模拟环境有缺陷以及人为因素工程不足。本文讨论了这些因素中的每一个,并提出了一些关于如何在未来项目中消除它们的建议。
软件在航天器事故中的作用 - Nancy Leveson
摘要:解决任何问题的第一步也是最重要的一步是充分了解问题,以便创建有效的解决方案。为此,研究了几起与软件相关的航天器事故,以确定常见的系统性因素。虽然每起事故的细节各不相同,但都发现了与安全文化、管理和组织以及技术缺陷有关的非常相似的因素。这些因素包括自满和低估软件风险、责任和权力分散、沟通渠道有限和信息流不畅、系统和软件工程不充分(规范差或缺失、不必要的复杂性和软件功能、没有适当安全分析的软件重用、违反数字组件的基本安全工程实践)、审查活动不足、系统安全工程无效、测试和模拟环境有缺陷以及人为因素工程不足。本文讨论了这些因素中的每一个,并提出了一些关于如何在未来项目中消除它们的建议。
软件在航天器事故中的作用 - Nancy Leveson
摘要:解决任何问题的第一步也是最重要的一步是充分了解问题,以便创建有效的解决方案。为此,研究了几起与软件相关的航天器事故,以确定常见的系统性因素。虽然每起事故的细节各不相同,但都发现了与安全文化、管理和组织以及技术缺陷有关的非常相似的因素。这些因素包括自满和低估软件风险、责任和权力分散、沟通渠道有限和信息流不畅、系统和软件工程不充分(规范差或缺失、不必要的复杂性和软件功能、没有适当安全分析的软件重用、违反数字组件的基本安全工程实践)、审查活动不足、系统安全工程无效、测试和模拟环境有缺陷以及人为因素工程不足。本文讨论了这些因素中的每一个,并提出了一些关于如何在未来项目中消除它们的建议。
软件在航天器事故中的作用 - Nancy Leveson
摘要:解决任何问题的第一步也是最重要的一步是充分了解问题,以便创建有效的解决方案。为此,研究了几起与软件相关的航天器事故,以确定常见的系统性因素。虽然每起事故的细节各不相同,但都发现了与安全文化、管理和组织以及技术缺陷有关的非常相似的因素。这些因素包括自满和低估软件风险、责任和权力分散、沟通渠道有限和信息流不畅、系统和软件工程不充分(规范差或缺失、不必要的复杂性和软件功能、没有适当安全分析的软件重用、违反数字组件的基本安全工程实践)、审查活动不足、系统安全工程无效、测试和模拟环境有缺陷以及人为因素工程不足。讨论了这些因素中的每一个,并提出了一些关于如何在未来项目中消除它们的建议。
软件在航天器事故中的作用 - Nancy Leveson
摘要:解决任何问题的第一步也是最重要的一步是充分了解问题,以便创建有效的解决方案。为此,研究了几起与软件相关的航天器事故,以确定常见的系统性因素。虽然每起事故的细节各不相同,但都发现了与安全文化、管理和组织以及技术缺陷有关的非常相似的因素。这些因素包括自满和低估软件风险、责任和权力分散、沟通渠道有限和信息流不畅、系统和软件工程不充分(规范差或缺失、不必要的复杂性和软件功能、没有适当安全分析的软件重用、违反数字组件的基本安全工程实践)、审查活动不足、系统安全工程无效、测试和模拟环境有缺陷以及人为因素工程不足。本文讨论了这些因素中的每一个,并提出了一些关于如何在未来项目中消除它们的建议。
UPS 1354 航班 CFIT 事故 - Nancy Leveson
提出了一些建议,但很少有被广泛使用的。本案例研究展示了一种结构化流程 CAST(基于系统理论的因果分析),该流程基于更强大的事故因果模型,可以改善事故调查结果。所用的案例研究是 2013 年 8 月 14 日一架 UPS A300-600 飞机在伯明翰-沙特尔斯沃思国际机场降落时发生的 CFIT(受控飞行撞地)事故。将结果与 NTSB 官方事故报告进行了比较。NTSB 流程通常被认为是事故调查的“黄金标准”,事实上,他们做得非常出色。因此,对结果进行比较可以说明如何改进事故调查和分析,超越 NTSB 和大多数其他机构使用的标准方法。
整合人类的模型和机械化方法...
计算机科学的一个分支被称为“形式化方法”(FM),它专门使用数学逻辑形式对自动化系统的行为进行建模,这些逻辑可以使用机械化定理证明器和模型检查器进行非常强大的分析。有限状态机是 FM 中使用的形式化方法之一,该领域的研究人员最近开始将其方法应用于驾驶舱自动化。例如,Butler 等人 [2] 检查自动驾驶仪设计的一致行为,Leveson 等人 [11] 寻找被认为特别容易出错的构造,Rushby [15] 将自动驾驶仪描述与合理的心理模型进行比较。Leveson 和 Palmer [10] 以及 Rushby、Crow 和 Palmer [16] 展示了如何使用他们的方法预测 MD-88 自动驾驶仪 [12] 中已知的自动化意外。
以人为本的工程:STPA 的新扩展
麻省理工学院的 Nancy Leveson 开发的因果关系模型。该模型启发了几种新方法,从事故分析(如基于 STAMP (CAST) 的因果分析)到危险分析(如系统理论过程分析 (STPA))。与基于事件链因果关系模型且通常仅识别组件故障的传统方法不同,STPA 可用于识别设计缺陷、组件交互以及导致事故的人为因素。尽管 STPA 比传统方法对人为错误采取了更为周到的方法(要求分析师考虑系统条件如何导致“错误”),但它并未提供广泛的指导来理解人类行为方式的原因。之前已经做出努力将此类指导添加到 STPA,但尚未出现一种使用 STPA 检查人类行为的广泛接受且易于使用的方法。