4、安全案例：从科学中我们能学到什么？

安全案例：从科学中我们能学到什么？

1. 安全案例、假设与挑战

1.1 安全案例假设

在安全案例中，假设并非安全案例本身，安全案例是论证与证据的混合体。假设是安全案例试图证明的内容，即“系统是安全的”。当开始着手安全案例工作时，“系统是安全的”仅仅是一个假设。传统的安全案例方法会将其视为待证明的目标，但我们将其保持为假设而非目标。

从我们所采用的观点来看，假设不是用来被证明的，而是用来被挑战的。那么，构成传统安全案例的论证和证据有什么价值呢？它确实有价值，但并非作为假设的证明。它类似于科学家为其假设提供的论证和证据，用以证明该假设值得认真考虑。通常，一个科学假设在公开之前，其提出者会对其进行检查和挑战，以确保它不会轻易被驳回。安全案例提出者所提供的论证和证据也可以从同样的角度来看待，它表明“系统是安全的”这一假设必须被认真对待，且不能轻易被驳回。这当然不是证明，更类似于一种合理性论证。对于那些无法进行完整、严格安全证明的系统（除最简单的系统外，大多数系统都是如此），安全案例所提供的“证明”仅仅是一个“有说服力的论证”，换句话说，是对假设的合理性论证。

1.2 挑战安全案例假设

挑战假设在科学意义上意味着独立于先前论证和证据的挑战。对于科学假设，通常在假设公开后（通常通过发表或公开演讲），由科学界的其他成员进行挑战。然而，安全案例的情况并非如此简单，原因如下：
- 安全案例通常不会广泛公开以供审查。
- 接受（或拒绝）安全案例的时间通常相当有限。
- 独立挑战的范围通常有限，因为需要涉及系统本身。

可以将对安全案例假设的独立挑战分为以下三个部分：
1. 在安全案例开发过程中进