Система, критически важная для безопасности

Система, отказ которой будет серьезным

Примеры ^[1] систем, критически важных для безопасности. Слева направо, сверху вниз: стеклянная кабина C -141 , кардиостимулятор , космический челнок и диспетчерская атомной электростанции .

Система , критически важная для безопасности ^[2] или жизненно важная система — это система, отказ или неисправность которой может привести к одному (или нескольким) из следующих результатов: ^{[3] [4]}

• смерть или тяжкие телесные повреждения людей
• потеря или серьезный ущерб оборудованию/имуществу
• вред окружающей среде

Система , связанная с безопасностью (или иногда система, связанная с безопасностью ), включает в себя все (аппаратное обеспечение, программное обеспечение и человеческие аспекты), необходимые для выполнения одной или нескольких функций безопасности, в которых отказ может привести к значительному увеличению риска безопасности для людей или окружающей среды. ^[5] Системы, связанные с безопасностью, — это те, которые не несут полной ответственности за контроль опасностей, таких как потеря жизни, серьезные травмы или серьезный ущерб окружающей среде . Неисправность системы, связанной с безопасностью, будет представлять опасность только в сочетании с отказом других систем или человеческой ошибкой . Некоторые организации по безопасности предоставляют руководство по системам, связанным с безопасностью, например, Health and Safety Executive в Соединенном Королевстве . ^[6]

Риски такого рода обычно управляются с помощью методов и инструментов техники безопасности . Критически важная для безопасности система спроектирована так, чтобы терять менее одной жизни на миллиард (10 ⁹ ) часов работы. ^{[7] [8]} Типичные методы проектирования включают вероятностную оценку риска , метод, который сочетает анализ характера и последствий отказов (FMEA) с анализом дерева неисправностей . Критически важные для безопасности системы все чаще становятся компьютерными .

Системы, критически важные для безопасности, — это концепция, часто используемая вместе с моделью швейцарского сыра для представления (обычно в виде диаграммы «галстук-бабочка ») того, как угроза может перерасти в крупную аварию из-за отказа нескольких критических барьеров. Такое использование стало обычным, особенно в области безопасности процессов , в частности, когда применяется к бурению и добыче нефти и газа как для иллюстративных целей, так и для поддержки других процессов, таких как управление целостностью активов и расследование инцидентов . ^[9]

Надежность схем

Существует несколько режимов надежности для систем, критически важных для безопасности:

• Системы с отказом продолжают работать, когда их системы управления выходят из строя. Примерами этого являются лифты , газовые термостаты в большинстве домашних печей и пассивно безопасные ядерные реакторы . Режим с отказом иногда небезопасен. Запуск ядерного оружия при потере связи был отклонен как система управления для ядерных сил США, потому что он является отказоустойчивым: потеря связи привела бы к запуску, поэтому этот режим работы считался слишком рискованным. Это контрастирует со смертельным поведением системы Периметр , построенной в советское время. ^[10]
• Системы Fail-soft способны продолжать работать на временной основе с пониженной эффективностью в случае отказа. ^[11] Большинство запасных шин являются примером этого: они обычно имеют определенные ограничения (например, ограничение скорости) и приводят к снижению экономии топлива. Другим примером является «Безопасный режим», который есть в большинстве операционных систем Windows.
• Системы безопасности становятся безопасными, когда они не могут работать. Многие медицинские системы попадают в эту категорию. Например, инфузионный насос может выйти из строя, и пока он оповещает медсестру и прекращает накачку, он не будет угрожать потерей жизни, потому что его безопасный интервал достаточно велик, чтобы позволить человеку отреагировать. В том же духе промышленный или бытовой контроллер горелки может выйти из строя, но должен выйти из строя в безопасном режиме (т. е. отключить горение при обнаружении неисправностей). Известно, что системы ядерного оружия , которые запускаются по команде, являются отказоустойчивыми, потому что если системы связи выходят из строя, запуск не может быть скомандован. Железнодорожная сигнализация спроектирована так, чтобы быть отказоустойчивой.
• Системы Fail-Secure обеспечивают максимальную безопасность, когда они не могут работать. Например, в то время как Fail-Safe электронные двери разблокируются при отключении электроэнергии, Fail-Secure заблокируются, сохраняя зону в безопасности.
• Системы Fail-Passive продолжают работать в случае отказа системы. Примером может служить автопилот самолета . В случае отказа самолет останется в управляемом состоянии и позволит пилоту взять управление на себя и завершить полет, а также выполнить безопасную посадку.
• Системы с отказоустойчивостью избегают сбоев в работе при возникновении сбоев в системе. Примером могут служить системы управления для обычных ядерных реакторов . Обычный метод преодоления сбоев заключается в том, чтобы несколько компьютеров постоянно проверяли части системы и включали горячие резервы для отказавших подсистем. Пока неисправные подсистемы заменяются или ремонтируются с обычными интервалами обслуживания, эти системы считаются безопасными. Компьютеры, источники питания и терминалы управления, используемые людьми, должны быть каким-то образом продублированы в этих системах.

Разработка программного обеспечения для систем, критически важных для безопасности

Разработка программного обеспечения для систем, критически важных для безопасности, особенно сложна. Есть три аспекта, которые можно применить для помощи в разработке программного обеспечения для систем, критически важных для жизни. Во-первых, это разработка и управление процессами. Во-вторых, выбор соответствующих инструментов и среды для системы. Это позволяет разработчику системы эффективно тестировать систему путем эмуляции и наблюдать ее эффективность. В-третьих, учитывать любые правовые и нормативные требования, такие как требования Федерального управления гражданской авиации для авиации. Устанавливая стандарт, в соответствии с которым должна быть разработана система, он заставляет проектировщиков придерживаться требований. Авиационная промышленность преуспела в разработке стандартных методов для производства программного обеспечения для жизненно важных систем авионики . Аналогичные стандарты существуют для промышленности в целом ( IEC 61508 ) и автомобильной ( ISO 26262 ), медицинской ( IEC 62304 ) и ядерной ( IEC 61513 ) отраслей в частности. Стандартный подход заключается в тщательном кодировании, осмотре, документировании, тестировании, проверке и анализе системы. Другой подход заключается в сертификации производственной системы, компилятора , а затем в генерации кода системы из спецификаций. Другой подход использует формальные методы для генерации доказательств того, что код соответствует требованиям. ^[12] Все эти подходы повышают качество программного обеспечения в критически важных для безопасности системах путем тестирования или устранения ручных шагов в процессе разработки, поскольку люди совершают ошибки, и эти ошибки являются наиболее распространенной причиной потенциально опасных для жизни ошибок.

Примеры систем, критически важных для безопасности

Инфраструктура

• Автоматический выключатель
• Системы диспетчеризации экстренных служб
• Генерация , передача и распределение электроэнергии
• Пожарная сигнализация
• Пожарный спринклер
• Предохранитель (электрический)
• Предохранитель (гидравлический)
• Системы жизнеобеспечения
• Телекоммуникации

Лекарство[13]

Требования к технологиям могут выходить за рамки простого предотвращения сбоев и даже способствовать проведению интенсивной терапии (которая занимается лечением пациентов), а также жизнеобеспечения (которая направлена ​​на стабилизацию состояния пациентов).

• Аппараты искусственного кровообращения
• Аппараты для анестезии
• Системы механической вентиляции
• Инфузионные насосы и инсулиновые насосы
• Аппараты лучевой терапии
• Роботизированные хирургические машины
• Дефибрилляторы​
• Кардиостимуляторы​
• Аппараты для диализа
• Устройства, которые с помощью электроники контролируют жизненно важные функции (электрография; в частности, электрокардиография , ЭКГ или ЭКГ, и электроэнцефалография , ЭЭГ)
• Медицинские приборы визуализации ( рентген , компьютерная томография - КТ или CAT, различные методы магнитно-резонансной томографии - МРТ, позитронно-эмиссионная томография - ПЭТ)
• Даже информационные системы здравоохранения имеют значительные последствия для безопасности ^[14]

Ядерная энергетика[15]

• Системы управления ядерным реактором

Добыча нефти и газа[16]

• Сдерживание процесса
• Целостность скважины
• Целостность корпуса (для хранения и выгрузки плавучей продукции )
• Опорные и верхние конструкции
• Подъемное оборудование
• Вертолетные площадки
• Системы швартовки
• Обнаружение пожара и газа
• Критические инструментальные функции ( остановка процесса , аварийное отключение )
• Приводные запорные клапаны
• Устройства сброса давления
• Продувочные клапаны и факельная система
• Контроль буровых скважин ( противовыбросовые превенторы , буровой раствор и цемент )
• Вентиляция и отопление, вентиляция и кондиционирование воздуха
• Дренажные системы
• Системы балласта
• Система инертизации грузовых танков корпуса
• Контроль направления
• Предотвращение возгорания ( сертифицированное электрооборудование Ex , изолированные горячие поверхности и т. д.)
• Пожарные насосы
• Трубопроводы распределения пожарной воды и пены
• Лафетные стволы для пожаротушения водой и пеной
• Дренчерные клапаны
• Системы газового пожаротушения
• Пожарные гидранты
• Пассивная противопожарная защита
• Временное убежище
• Пути эвакуации
• Спасательные шлюпки и плоты
• Личное спасательное снаряжение (например, спасательные жилеты )

Отдых

• Аттракционы
• Альпинистское снаряжение
• Парашюты
• Оборудование для подводного плавания
  • Ребризер для дайвинга
  • Компьютер для подводного плавания (в зависимости от использования)

Транспорт

Железнодорожный^[17]

• Системы железнодорожной сигнализации и управления
• Обнаружение платформы для управления дверями поезда ^[18]
• Автоматическая остановка поезда ^[18]

Автомобильный^[19]

• Системы подушек безопасности
• Тормозные системы
• Ремни безопасности
• Системы гидроусилителя руля
• Современные системы помощи водителю
• Электронное управление дроссельной заслонкой
• Система управления аккумулятором для гибридов и электромобилей
• Электрический стояночный тормоз
• Системы переключения передач по проводам
• Системы управления по проводам
• Парк по проводам

Авиация^[20]

• Системы управления воздушным движением
• Авионика , в частности системы электродистанционного управления
• Радионавигация ( автономный контроль целостности приемника )
• Системы управления двигателем
• Системы жизнеобеспечения экипажа
• Планирование полета для определения потребности в топливе для полета

Космический полет^[21]

• Пилотируемые космические аппараты
• Системы безопасности запуска ракет на полигоне
• Безопасность ракеты-носителя
• Системы спасения экипажа
• Системы перемещения экипажа

Смотрите также

• Биомедицинская инженерия  – применение инженерных принципов и концепций проектирования в медицине и биологии
• Фактор безопасности  – прочность системы сверх предполагаемой нагрузки
• Формальные методы  – Математические спецификации программ
• Высоконадежное программное обеспечение
• Критически важный фактор  – фактор, критически важный для работы организации.
• Ядерный реактор  – Устройство для управляемых ядерных реакций.
• Избыточность (инженерия)  – дублирование критических компонентов для повышения надежности системы.
• Вычисления в реальном времени
• Надежность техники  – раздел системной инженерии, который уделяет особое внимание надежности.
• Клуб систем, критически важных для безопасности
• SAPHIRE  – Программы системного анализа для практических комплексных оценок надежности (программное обеспечение для анализа рисков)
• Therac-25  – Аппарат радиотерапии, попавший в шесть аварий
• Зональный анализ безопасности

Ссылки

1. JC Knight (2002). «Системы, критически важные для безопасности: проблемы и направления». IEEE. С. 547–550.
2. "Система, критически важная для безопасности". encyclopedia.com . Получено 15 апреля 2017 г. .
3. Соммервилл, Ян (2015). Программная инженерия (PDF) . Pearson India. ISBN 978-9332582699. Архивировано из оригинала (PDF) 2018-04-17 . Получено 2018-04-18 .
4. Соммервилль, Ян (2014-07-24). «Критические системы». Сайт книги Соммервилля . Архивировано из оригинала 2019-09-16 . Получено 18 апреля 2018 .
5. "FAQ – Edition 2.0: E) Ключевые концепции". IEC 61508 – Функциональная безопасность . Международная электротехническая комиссия . Архивировано из оригинала 25 октября 2020 г. Получено 23 октября 2016 г.
6. "Часть 1: Ключевое руководство" (PDF) . Управление компетенцией для систем, связанных с безопасностью . Великобритания: Health and Safety Executive . 2007. Получено 23 октября 2016 г.
7. FAA AC 25.1309-1 A – Проектирование и анализ системы
8. Боуэн, Джонатан П. (апрель 2000 г.). «Этика систем, критически важных для безопасности». Сообщения ACM . 43 (4): 91–97. doi : 10.1145/332051.332078 . S2CID  15979368.
9. CCPS совместно с Energy Institute (2018). Bow Ties in Risk Management: A Concept Book for Process Safety . Нью-Йорк, Нью-Йорк и Хобокен, Нью-Джерси: AIChE и John Wiley & Sons . ISBN 9781119490395.
10. Томпсон, Николас (21.09.2009). «Внутри апокалиптической советской машины Судного дня». WIRED .
11. "Определение отказоустойчивости".
12. Боуэн, Джонатан П.; Ставриду, Виктория (июль 1993 г.). «Системы, критически важные для безопасности, формальные методы и стандарты». Журнал программной инженерии . 8 (4). IEE/BCS: 189–209. doi :10.1049/sej.1993.0025. S2CID  9756364.
13. «Проектирование системы безопасности медицинских устройств: систематический подход». mddionline.com . 2012-01-24.
14. Андерсон, Р. Дж.; Смит, М. Ф., ред. (сентябрь–декабрь 1998 г.). «Специальный выпуск: Конфиденциальность, приватность и безопасность систем здравоохранения». Журнал медицинской информатики . 4 (3–4).
15. "Безопасность ядерных реакторов". world-nuclear.org . Архивировано из оригинала 2016-01-18 . Получено 2013-12-18 .
16. Шаг изменения в безопасности (2018). Руководство для специалистов по обеспечению и проверке . Абердин: Шаг изменения в безопасности.
17. "Системы, критически важные для безопасности на железнодорожном транспорте" (PDF) . Rtos.com . Архивировано из оригинала (PDF) 2013-12-19 . Получено 2016-10-23 .
18. Wayback Machine
19. «Автомобильные системы, критически важные для безопасности». sae.org .
20. Лианна Риерсон (2013-01-07). Разработка критически важного для безопасности программного обеспечения: практическое руководство по авиационному программному обеспечению и соответствие DO-178C . CRC Press. ISBN 978-1-4398-1368-3.
21. "Human-Rating Requirements and Guidelinesfor Space Flight Systems" (PDF) . Процедуры и руководства NASA . 19 июня 2003 г. NPG: 8705.2. Архивировано из оригинала (PDF) 2021-03-17 . Получено 2016-10-23 .

Внешние ссылки

• Пример жизненно важной системы
• Виртуальная библиотека систем, критически важных для безопасности
• Объяснение терминов «отказ эксплуатационный» и «отказ пассивный» в авионике
• Система технических стандартов NASA. Стандарт обеспечения безопасности программного обеспечения и программного обеспечения.

Архивировано 2020-07-15 в Wayback Machine