【公司网站建设排名】

 当自动化系统发生故障，经常没有警告。我在自己的其他书和很多论文里非常详细地梳理过这种状况，很多在安全与自动化领域的人都有同感。当发生故障时，人“在系统环路之外”。这意味着人没有太注意系统的运转情况，人们需要一些时间才能注意到故障，评价分析，然后决定如何处置。

    在飞机上，当自动驾驶失效，飞行员通常有相当长的时间了解状况并做出反应。飞机飞得很高：地面上空一万米（6英里），所以即使飞机开始下降，飞行员还有几分钟做出反应。此外，机组都受过很好的培训。但当汽车的自动驾驶失效，司机恐怕只有几分之一秒来避免发生事故。即使对于多数熟练的司机，这都非常困难，更何况很多司机并在另外一些状况下，诸如船只，会有更多时间做出反应，但经注意到自动驾驶发生故障。有一个戏剧性的案例，在1997年，下”号搁浅。故障持续数日，只是在事故发生后才发现问题，那经触礁，造成数百万美元的损失。到底发生了什么？通常由全球 GPS)确定船的位置，但是将卫星天线连接到导航系统的线缆不开了（没有人知道是如何断开的），结果，导航系统自动从使用转入到“死循环”，即使用估算的速度和航行的方向来给轮船定设计导航系统时没有将这个模式显示出来。结果，当轮船从百豢的地波士顿时，太偏向南方，搁浅在科德角（Cape Cod，波士蛔突出的一个半岛）。自动导航几年来都工作得毫无瑕疵，人们信它，所以没有人对它进行正常的人工定位，或者仔细分辨显示烈[细小的字母“dr”代表“dead reckoning”船只定位故障模式]。

严重的功能状态失效。应对差错的设计原则