9危害识别案例
在图2模型中我们进行水平裁剪形成板状结构假定代表自动检票机,再进行冠状面裁剪形成条状结构代表自动检票机运行阶段。由于图2模型主要关注系统服务危害,分解的任务是自动检票机运行阶段对系统服务连续性的危害识别,并按照危害原因分类。
实施分解的危害识别任务时,首先应针对已发生事件进行,这些事件可能是类似系统的事件。在此基础上再进行扩展。
以下是几个典型危害案例。
案例1:2007年10月12日凌晨,日本东京都市圈内16家轨道交通运行方的662个车站的4378台自动检票机发生无法正常启动的故障。当天,日本各大媒体均对事件进行了报道。2事件发生的直接原因是:“在搭载了IC卡判定部的自动检票机中,在IC卡判定部的存储部中读取从中央计算机发送的数据的程序的一部分存在缺陷,不能正常地读取数据,导致机器异常,检票机宕机。另外,这个数据的数量达到某数以上,并且在某个条件下会发生问题,在质量保证的过程中没有发现这个潜在缺陷,10月12日从中央计算机发送的这个数据的数量满足上述条件,问题呈现。”[3]软件缺陷的细节可能是对黑名单数据设计了一个定长的数组,当黑名单数据在定长范围内时,不会发生问题。当黑名单数据超出限定长度时,由于最后两字节的校验字节溢出,致使校验失败,从而导致自动检票机无法正常启动。
该事件危害的场景,是软件设计缺陷造成的危害,在数据变化达到边界条件下触发的。这种场景具有普遍性。大部分事件都是由多种危害共同作用引发的。危害场景分析中可以把系统危害分为主要危害和触发危害。在危害识别基础上进行危害场景分析是进一步认识危害特征并进行针对性防范的有效方法。
案例2:某城市某线路维修过程中更换车站计算机硬盘,未进行时间修正即联网运行,造成终端设备时钟错误修改,引发乘客无法正常进出站事件。该事件危害的场景,是硬件存在缺陷,在人为误操作条件下触发。
案例3:某城市在某一特别寒冷日凌晨发生批量自动检票机和自动售票机无法正常启动的事件。该事件危害的场景,是硬件存在缺陷,在环境变化条件下触发。
案例4:某城市进行AFC系统转型试点,发生因系统端服务软件故障导致持二维码过闸乘客无法正常进出站事件。该事件危害的场景,是系统可靠性模型设计缺陷,导致终端设备的可靠性依赖于脆弱的系统端服务软件的可靠性,由系统端服务软件故障触发大面积自动检票机二维码过闸功能丧失可用性。
上述案例进一步分析都可以找到组织管理方面的缺陷因素。
基于多种视点形成多个三维系统危害识别转换模型,事实上实现了多维度的系统危害识别。多种危害识别转换模型可以由不同的相关方分别实施危害识别。针对每一种已识别的危害,可以进一步扩展识别同类危害。已识别危害应分类记录,作为后续风险评估、风险处置、应急预案设计的输入。