基于对传统安全工程基础的质疑，Nancy教授认为新的模型应该满足以下要求： 促使分析组件失效和人为错误以外的因素，扩展事故分析的范围。 提供更科学地构建事故模型的方法，以形成对事故为什么发生以及如何防止未来事故更好和较少主观的认识。 包含系统设计错误和异常的系统交互。 允许和鼓励新类型的危害分析和风险评估，超越组件失效，并能处理软件和人类在高科技系…