計算機相關係統

與計算機相關的系統越來越廣泛地套用於加工業，以提供靈活可靠的控制。這些系統採用計算機系統(包括硬體、軟體和外圍設備)按預定義的操作指令控制一個過程或實現一種功能(與設備配合)。管理部門常常並未意識到目前的發展趨勢是：以軟體為基礎的系統已經廣泛用於與安全相關、甚至在對安全有嚴格要求的生產過程中，因為這樣的系統一般都嵌入在標準設備中(如，線性積分一微分控制器和操作面板)。

計算機相關係統的套用實例包括有可程式邏輯控制器(PLC)、計算機監控和數據採集(SCADA)系統、分散式控制系統(DCS)、製造執行系統(MES)等等。

供應商對他們所提供的系統的用途幾乎沒有控制，也缺乏認識。許多使用計算機相關係統的用戶抱怨系統製造商、軟體編程人員、系統集成商等對他們產品的套用沒有作出任何擔保。管理者對這種觀點感到驚訝，他們認為不稱職的供應商應該承擔法律責任。實際上，供應商在法律上確有責任關注他們提供的產品和服務，但用戶在如何使用上也應負有責任，影響可信性的問題必須由用戶和供應商及時地協商解決。事後才想到往往會造成巨大的損失。用戶有責任與供應商建立和維持有效的聯繫。

技術進步對計算機相關係統的影響與其說是一種促進，不如說是一場革命，因為計算機的能力在過去十年間大約以每兩年翻一翻的速度在增長。技術的進步無疑帶來了實在的效益，但很多情況下，市場競爭導致了明明簡單系統已可以滿足套用需求，卻仍使用更複雜的系統。Kletz提出了這個疑題：為什麼寧願花錢購買複雜系統而不用簡單系統呢?最基本的經驗是：最簡單的套用系統常常是最好的，甚至某些情況下根本可以不用計算機系統。複雜性會使可信性管理變得更加困難。

影響與計算機相關係統進一步發展的是，操作人員與他們負責的運行過程之間的互動作用越來越少。Leveson根據操作人員的獨立程度，將用於控制迴路的計算機相關係統分成四類：

(i)提供信息並建議操作人員讀取感測器數據；

(ii)為操作人員讀取和解釋感測器數據；

(iii)為操作人員解釋、導出和顯示數據，並根據操作人員作出的各種層次的決策發布命令；

(iV)根據操作人員提供的建議或高層指令，承擔全部的過程控制。

在生產加工業領域中，計算機越來越多地採用第三和第四種方法，而15或20年前，絕大部分套用中都只用在第一和第二種方法。

操作人員更青睞於智慧型計算機，過程的自動化程度和可信性越高，操作人員的監控工作量就越少，而且他們下意識地認為計算機“永遠不會出錯”。但如果考慮到大部分個人、團體甚至整個工業都害怕計算機相關係統出問題，因此這種絕對信任完全是不可取的。

深入了解可信性事故是很有用的。下面將回顧對生產加工工業中計算機相關係統可信性的研究，來看看應該吸取什麼教訓，特別是運行管理方面。計算機技術的飛速發展，使它沒有太多機會從其他領域(如機械工程領域)吸取經驗教訓。然而，運行管理的改進和成功在很大程度上是要保證在前進的道路上不重複過去的錯誤，避免可以避免的錯誤。

許多機構都有可信性不夠、而且沒能及時在實踐中改進的經驗教訓：

“重大事故的代價要遠遠大於從教訓中得到的好處，尤其是如果事故中發生的問題實際上都是我們事先已經知道，只是沒有引起足夠重視而造成的。”

這樣的事故包括1984年Bhopal聯合碳化物農藥廠的悲慘事故，Bhopal 1981～1984年間先後發生過6起小事故，其中幾起都與農藥廠事故有關。1984年農藥廠事故前，Bhopal在對其進行內部審查時也曾經給出建議，但工廠還是沒有提出安全措施。他們認為當前的措施已經足夠，所以沒有採取措施防患於未然——直到1984年的事故證明，一切都不是構想的那樣。

Kletz在論文中令人信服地列舉了用計算機控制生產過程時系統整個生命周期中的許多事故，包括從確定技術規格說明、設計、實施、安裝、提交、運行、維修、變更到最後退役。他認為計算機的事故可以分類如表1所示。

表2是根據包含1990～1995年間化學和製藥業中發生的近300起事件，涉及到250個計算機系統事故的資料庫內容綜合而得的。資料庫內容表明45%的意外事故與硬體或電源供應不穩定有關，剩下的則與軟體有關。如果設計時對計算機的運行環境和電源電壓的影響重視不夠，則電壓不穩定可能成為系統失效的主要原因。

在表2中，“重啟動”這類事件無法作出分析診斷，因為操作人員為了恢復控制經常立刻重新啟動計算機系統，從而抹去了事故分析所需的蹤跡和證據。“重啟動”事件似乎與軟體有關，因為事故並沒有造成計算機任何設備的物理損壞。但是，也許有一部分“重啟動”事件是由環境干擾造成的，例如電磁干擾(EMI)、無線電頻率干擾(RFI)等瞬變影響。有人認為，表中可能低估了環境干擾的失效率。

發現的由於缺陷影響到軟體的例子包括：因錯誤理解用戶需求導致的設計錯誤；在沒有變更控制的情況下修改套用軟體；操作人員擅自關閉報警裝置；在沒有版本控制的情況下升級國外知名軟體商提供的軟體包；安裝不正確的固件等。這些錯誤往往是因為操作人員一味追求“為完成任務而工作”，而這完全可以通過由管理者提供的良好訓練和質量保證來避免——只有能做到這一點的領導才是合格的，這也是培養好的企業文化所必需的。

運行管理中必須考慮人為錯誤，建立計算機系統的目的是用軟體工程師的工作替代操作人員的某些活動，而軟體工程師和操作人員都可能犯錯誤。對核電工業中人為錯誤的診斷髮現人為錯誤的分類及各類錯誤所占比例如表3所示。

Bucher和Fretz給出了80台過程計算機(每台計算機控制15個迴路)兩年來的運行情況報告，他們的發現概括為表4在獨立的安全系統被調用前，操作人員已經發現有30個輸入/輸出(I/O)模組失效。

這些問題促使許多公司建立了一套新的方針，即在計算機系統中採用不基於可程式電子器件的獨立斷開裝置和鎖定裝置。這種方針可能會被證明對一個尼龍批量反應器過程失控的事故有效，該反應器中由於鎖定裝置未按計算機系統的要求啟動而造成了毒氣泄漏。Kletz建議：計算機系統中可以使用獨立於主系統的斷開裝置和鎖定裝置。獨立性得不到保證的危險可從下例中看到：一個醫療設備的升級版本用軟體鎖定替代了經測試和試用的硬連線鎖定，由於軟體鎖定不能防止過量用藥，導致若干名病人死亡。

在與安全相關或有嚴格安全要求的套用中不使用與計算機相關的系統，等於否定了計算機無可置疑的優點，包括控制上的靈活性。但是為了保證系統的可信性，運行管理中必須明確建立通用的原則。

組織結構既可能削弱可信性，也可能增強可信性，因為使用計算機系統後必然會出現的副作用是整個過程中會出現大量的工作組。這些工作組中包括操作人員、維護人員、控制專家、計算機支持人員和調試人員等等。運行的可信性依賴於集體的責任感。高層管理人員必須保證整個組織結構，包括每個人的職責，是支持而不是妨礙可信性的實現。

高層管理人員能勇於承擔責任並積極參與將對可信性帶來明顯的好處。ISO 9001標準[ISO 94a]中指出管理應該能：

“定義質量方針和質量目標並將其文檔化，對質量負責。”

以及

“確保方針能被各級組織所理解、執行和維護。”

這個要求可以具體化為高級管理人員的六項關鍵任務：

●建立一個專門工作小組來定義整個組織機構的可信性方針和目標；

●將可信性方針寫成檔案，包括對它的承諾和它的目標；

●開展推廣和培訓工作，向所有高層管理人員及其下屬傳達並解釋檔案；

●根據預先定義的對運行階段的要求和認證，為每一個計算機相關係統指定一名管理者，負責系統的可信性及功能的實現；

●按資金和時間排列項目的優先權，檢查項目內容並分配資源，以便能與目標一致，並有序地實現各項目標；

●建立一個委員會，在既定方針(包括規程)指導下監督並支持各項後續工作。

所有這些行動都應當由代表研究、運行、質量控制和質量保證、倉儲、IT支持和規章遵循等各方面的專門小組來完成。將這些步驟納入公司的發展軌道，即可建立起可信性文化。

如何將風險管理與運行管理集成在一起，這是確保系統可信性的更關鍵的一步。

負責計算機系統可信性的管理者必須有足夠的許可權履行他們的職責。缺乏資歷可能會在很大程度上限制他們的成功，因此可以指派資深管理者支持和幫助這些管理者。如果這些管理者已經有足夠的權利，那么資深管理者只要起指導和監督作用。這要比直接由資深管理者組成一個委員會來批准並指派工作要好得多。

組織的內部結構必須形成文檔，在文檔中清楚地規定每個成員的位置和責職，註明通信聯繫地址，信息有變更時要及時更新。

在建立一個有實用價值的可信性框架時，從實際經驗中得到反饋信息很重要。可以請一名內部專家或外面的顧問獨立地提出看法，對當前的工業實踐提出建議，對管理上的有關問題提出改進意見。機構應該鼓勵自己的專家參與外面的各種研究機構，如電器工程師學會(IEE)下屬的安全關鍵系統委員會(Safety Critical Systems Committee)。邀請有經驗的管理者參加這樣的委員會有利於制訂標準和指導工作。高層管理人員不能把這種參與看作只是一種額外的負擔，而應該看成是能使工程需求更實際、成本更經濟的機會。這種參與還能為機構提供對當前工業實際情況的洞察力和不同的可信性管理方法等好處。