《可靠性维修性保障性学术专著译丛：软件工程师可信计算基础》：
　　（2）一些系统失效是由处理已预期故障影响的容错机制的失效导致的。总之，我们的目标是排除未预期故障，并确保所有预期故障都已被妥善处理。为了达到这个目标，我们需要一种系统化的方法来识别并预测故障。为了识别故障，我们将要遵循的方法是首先识别出系统面临的危险，然后再识别出可能导致这些危险的故障。
　　3.11危险
　　3.11.1危险的概念
　　危险是一种系统状态。危险的概念主要来自于安全性领域。不正式地说，危险是一种可能导致灾难性后果的系统状态，即可能导致违犯安全操作的系统状态。
　　“危险”一词在日常用语中有多种含义，而危险是另一个可以说明仔细进行定义的重要性的例子。这里有一个术语定义：
　　危险状态：危险状态，通常缩写为危险，是一种可能导致未预料到的
　　生命损失、财产损失、能量释放或危险材料释放的状态。
　　与危险的概念相关的另一个概念是事故：
　　事故：一个事故是一次损失事件。
　　当系统处于危险状态，运行环境发生了改变，从而导致了损失事件，这个时候就发生了事故。
　　一个系统处于危险状态并不一定意味着会导致事故。系统可以在随意长的时间内处于危险状态，如果没有发生引发损失的环境改变，则不会发生故障。类似地，系统可以进入和退出危险状态很多次，而并不会发生故障。然后，很明显，我们不能相信处于危险状态的系统不会发生事故。
　　下面给出了一些危险和事故的例子：
　　（1）电梯门开着，但是没有升降吊箱。
　　要发生事故，必须产生一种环境状况，如一个人走过了打开的门而没有意料到该状态。
　　（2）铁路、公路交叉路口的门未能升起。
　　如果当火车接近时，汽车穿过铁轨，则很有可能发生碰撞事故，因为司机错误的认为继续前行是安全的。
　　（3）失效的汽车防抱死制动系统（ABS）由于不具备防抱死制动能力，未能对司机发出警报。
　　……

第一章 概述
1.1 可信性的元素
1.1.1 一个警示性的故事
1.1.2 为什么要研究可信性
1.2 软件工程师的角色
1.3 对于计算机的依赖
1.4 一些遗憾的失效
1.4.1 “阿丽亚娜”V火箭
1.4.2 大韩航空801航班
1.4.3 火星气候轨道飞行器
1.4.4 火星极地登陆器
1.4.5 其他重要的事故
1.4.6 如何考虑失效
1.5 失效的后果
1.5.1 不明显的失效后果
1.5.2 失效带来的意外成本
1.5.3 后果的种类
1.5.4 确定失效后果
1.6 对于可信性的需求
1.7 系统和它们的可信性需求
1.7.1 关键系统
1.7.2 帮助构建系统的系统
1.7.3 与其他系统交互的系统
1.8 我们要去往何方?
1.9 本书的组织结构
习题

第二章 可信性需求
2.1 为什么需要可信性需求
2.2 可信性概念的演变过程
2.3 术语的作用
2.4 什么是系统?
2.5 需求和规格说明
2.6 失效
2.6.1 服务失效的概念
2.6.2 服务失效的来源
2.6.3 需求和规格说明的实践观点
2.6.4 服务失效的视角
2.6.5 告知用户失效
2.7 可信性及其属性
2.7.1 可靠性
2.7.2 可用性
2.7.3 每次请求失效
2.7.4 安全性
2.7.5 机密性
2.7.6 完整性
2.7.7 维修性
2.7.8 有关保密安全性的词汇
2.7.9 信任的概念
2.8 系统、软件和可信性
2.8.1 计算机既非不安全也非不保密安全
2.8.2 为什么要考虑应用系统的可信性
2.8.3 应用系统可信性和计算机
2.9 定义可信性需求
2.9.1 第一个例子：汽车巡航控制器
2.9.2 第二个例子：起搏器
2.1 0低至合理可行ALARP
2.1 0.1 对于ALARP的需求
2.1 0.2 ALARP概念
2.1 0.3 ALARP胡萝卜图
习题

第三章 错误、故障和危险
3.1 错误
3.2 错误状态的复杂性
……

第四章 可信性分析
第五章 故障处理
第六章 退化故障和软件
第七章 软件可信性
第八章 软件需求规格说明中的故障避免
第九章 软件实现中的故障避免
第十章 软件故障消除
第十一章 软件容错
第十二章 可信性评价
参考文献
索引