随着技术的不断发展，现在系统的复杂程度越来越高，系统相应的安全性要求也越来越高。

在复杂系统中，系统安全性已经是系统的一个涌现特性[1]，是系统组件行为的动态组合所表现出来的系统层特性。保障系统安全性就是有目的的引导系统的涌特性[2]。控制是引导和约束系统涌现性的有效手段。

在控制理论中，开放系统被看作相互关联的部件，它们通过信息和控制的反馈回路达到动态平衡，如图1所示。为了控制一个过程，达到预期的效果和这目的，控制器需要具备四个条件：目标条件、行为条件、模型条件及可观性条件[3]。控制器必须具有一个或多个目标，以作为对过程控制的驱动；控制器必须具有能够改变过程的状态的控制措施，即行动条件；控制器必须对过程有所刻画和理解，内部有一个反映过程的模型，即过程模型；控制器必须通过可观测量对过程的状态进行实时的掌握，以便进行进一步的控制。传感器所反馈回来的信号尤为重要，是直接决定控制器对被控过程所处的阶段和状态的了解，是知道下一步控制的依据。

                                                                图1 标准控制回路

现在的绝大多数的控制系统，用于控制功能的反馈信息都是为了控制而去采集的。这样的可观测量往往是使用的是替代量，如控制中心用轨道电路的状态来表示列车的位置。这样的替代量与其所表示的变量意义之间有着远近关系。同一个变量通过不同的替代量来进行表示，得出的结果可能有所偏差，例如对道路上行驶的汽车位置的描述：（1）车载GPS给出的位置其实是GPS本身的位置信息，由于其直接固定在列车上，就可以以很高的可信度或者百分之百的可信度来表示汽车位置；（2）通过道路监控进行列车位置信息的采集，由于监控这是与列车位置没有必然的强关联性，则其表示的汽车的位置信息相比于有强关联性的车载GPS设备来说精度和准确度就低很多。如果要追踪一辆汽车，其车载GPS所代表汽车位置的可信性要比道路监控给出的可信性要高，是因为道路监控容易受到相似车辆的干扰。如果我们没有意识到相似车辆干扰的情况，我们可能会提高我们对道路监控所采集的汽车位置数据的可信性，以此做出了错误的决策，如警察最终错误，直接影响相关的营救或追捕行动。

反过来，在现代的控制系统中，我们通过大量的基于计算机系统的采集信息，直接显示的是阀门的状态、屏蔽门的状态或火车的位置信息。而这些信息对设计所要采集的信息表示程度有着不同的可信性，如上一段的中所举例子情况。如果，我们在早期的安全活动中未能对这些相关的替代性指标进行全面的危险和风险分析，并告知相关的操作人员和工作人员，当出现输出的异常现象时，可能直接导致决策的错误。如火车中通过轨道电路“红光带”表示火车位置，其实其原理是火车压在钢轨上短接钢轨，而现实出来的真实意义只是那一区段钢轨被短接了，而我们通过相应的跟踪分析，认为那是某一火车的占用情况；而这造成“红光带”现象的情况很多，如线路上异物短接，如果没有相应的连续追踪，直接判断那是一列火车，这样结论的可信性是比较低的。因此，对于系统指示性的信息，如果设计时与所代表的信息有着紧密的替代关系，其可信性就比较高，如果没有其可信性就比较低，我们需要在系统的运行过程的其他部分来弥补这些。但是，可惜的是，相关的决策者，尤其是人员，很少都能够意识到这些反馈信息本身就有可信性高低的差别，因此作出相应的决策也就与香肠情况有所差距。差距达到一定程度，就会产生南辕北辙的效果，此时，事故就会发生。

我们需要重新审视，我们闭环控制系统中传感器所采集信息对我们所需要的信息的替代的可信性，以便于在系统的运行过程中，对不同的反馈信息作出不同的决策行动。

[1] 约翰·霍兰[美]. 涌现——从混沌到有序[M]. 上海科技，2006.

[2] Leveson N G. Engineering a Safer World: Systems Thinking Applied to Safety [M]. Boston: MIT Press, 2012.

[3] Ashby, W.R. An Introduction to Cybernetics[M]. John Wiley and Sons, Oxford, England, 1956.