Система, отказ которой будет серьезным
Система , критически важная для безопасности [2] или жизненно важная система — это система, отказ или неисправность которой может привести к одному (или нескольким) из следующих результатов: [3] [4]
- смерть или тяжкие телесные повреждения людей
- потеря или серьезный ущерб оборудованию/имуществу
- вред окружающей среде
Система , связанная с безопасностью (или иногда система, связанная с безопасностью ), включает в себя все (аппаратное обеспечение, программное обеспечение и человеческие аспекты), необходимые для выполнения одной или нескольких функций безопасности, в которых отказ может привести к значительному увеличению риска безопасности для людей или окружающей среды. [5] Системы, связанные с безопасностью, — это те, которые не несут полной ответственности за контроль опасностей, таких как потеря жизни, серьезные травмы или серьезный ущерб окружающей среде . Неисправность системы, связанной с безопасностью, будет представлять опасность только в сочетании с отказом других систем или человеческой ошибкой . Некоторые организации по безопасности предоставляют руководство по системам, связанным с безопасностью, например, Health and Safety Executive в Соединенном Королевстве . [6]
Риски такого рода обычно управляются с помощью методов и инструментов техники безопасности . Критически важная для безопасности система спроектирована так, чтобы терять менее одной жизни на миллиард (10 9 ) часов работы. [7] [8] Типичные методы проектирования включают вероятностную оценку риска , метод, который сочетает анализ характера и последствий отказов (FMEA) с анализом дерева неисправностей . Критически важные для безопасности системы все чаще становятся компьютерными .
Системы, критически важные для безопасности, — это концепция, часто используемая вместе с моделью швейцарского сыра для представления (обычно в виде диаграммы «галстук-бабочка ») того, как угроза может перерасти в крупную аварию из-за отказа нескольких критических барьеров. Такое использование стало обычным, особенно в области безопасности процессов , в частности, когда применяется к бурению и добыче нефти и газа как для иллюстративных целей, так и для поддержки других процессов, таких как управление целостностью активов и расследование инцидентов . [9]
Надежность схем
Существует несколько режимов надежности для систем, критически важных для безопасности:
- Системы с отказом продолжают работать, когда их системы управления выходят из строя. Примерами этого являются лифты , газовые термостаты в большинстве домашних печей и пассивно безопасные ядерные реакторы . Режим с отказом иногда небезопасен. Запуск ядерного оружия при потере связи был отклонен как система управления для ядерных сил США, потому что он является отказоустойчивым: потеря связи привела бы к запуску, поэтому этот режим работы считался слишком рискованным. Это контрастирует со смертельным поведением системы Периметр , построенной в советское время. [10]
- Системы Fail-soft способны продолжать работать на временной основе с пониженной эффективностью в случае отказа. [11] Большинство запасных шин являются примером этого: они обычно имеют определенные ограничения (например, ограничение скорости) и приводят к снижению экономии топлива. Другим примером является «Безопасный режим», который есть в большинстве операционных систем Windows.
- Системы безопасности становятся безопасными, когда они не могут работать. Многие медицинские системы попадают в эту категорию. Например, инфузионный насос может выйти из строя, и пока он оповещает медсестру и прекращает накачку, он не будет угрожать потерей жизни, потому что его безопасный интервал достаточно велик, чтобы позволить человеку отреагировать. В том же духе промышленный или бытовой контроллер горелки может выйти из строя, но должен выйти из строя в безопасном режиме (т. е. отключить горение при обнаружении неисправностей). Известно, что системы ядерного оружия , которые запускаются по команде, являются отказоустойчивыми, потому что если системы связи выходят из строя, запуск не может быть скомандован. Железнодорожная сигнализация спроектирована так, чтобы быть отказоустойчивой.
- Системы Fail-Secure обеспечивают максимальную безопасность, когда они не могут работать. Например, в то время как Fail-Safe электронные двери разблокируются при отключении электроэнергии, Fail-Secure заблокируются, сохраняя зону в безопасности.
- Системы Fail-Passive продолжают работать в случае отказа системы. Примером может служить автопилот самолета . В случае отказа самолет останется в управляемом состоянии и позволит пилоту взять управление на себя и завершить полет, а также выполнить безопасную посадку.
- Системы с отказоустойчивостью избегают сбоев в работе при возникновении сбоев в системе. Примером могут служить системы управления для обычных ядерных реакторов . Обычный метод преодоления сбоев заключается в том, чтобы несколько компьютеров постоянно проверяли части системы и включали горячие резервы для отказавших подсистем. Пока неисправные подсистемы заменяются или ремонтируются с обычными интервалами обслуживания, эти системы считаются безопасными. Компьютеры, источники питания и терминалы управления, используемые людьми, должны быть каким-то образом продублированы в этих системах.
Разработка программного обеспечения для систем, критически важных для безопасности
Разработка программного обеспечения для систем, критически важных для безопасности, особенно сложна. Есть три аспекта, которые можно применить для помощи в разработке программного обеспечения для систем, критически важных для жизни. Во-первых, это разработка и управление процессами. Во-вторых, выбор соответствующих инструментов и среды для системы. Это позволяет разработчику системы эффективно тестировать систему путем эмуляции и наблюдать ее эффективность. В-третьих, учитывать любые правовые и нормативные требования, такие как требования Федерального управления гражданской авиации для авиации. Устанавливая стандарт, в соответствии с которым должна быть разработана система, он заставляет проектировщиков придерживаться требований. Авиационная промышленность преуспела в разработке стандартных методов для производства программного обеспечения для жизненно важных систем авионики . Аналогичные стандарты существуют для промышленности в целом ( IEC 61508 ) и автомобильной ( ISO 26262 ), медицинской ( IEC 62304 ) и ядерной ( IEC 61513 ) отраслей в частности. Стандартный подход заключается в тщательном кодировании, осмотре, документировании, тестировании, проверке и анализе системы. Другой подход заключается в сертификации производственной системы, компилятора , а затем в генерации кода системы из спецификаций. Другой подход использует формальные методы для генерации доказательств того, что код соответствует требованиям. [12] Все эти подходы повышают качество программного обеспечения в критически важных для безопасности системах путем тестирования или устранения ручных шагов в процессе разработки, поскольку люди совершают ошибки, и эти ошибки являются наиболее распространенной причиной потенциально опасных для жизни ошибок.
Примеры систем, критически важных для безопасности
Инфраструктура
Лекарство[13]
Требования к технологиям могут выходить за рамки простого предотвращения сбоев и даже способствовать проведению интенсивной терапии (которая занимается лечением пациентов), а также жизнеобеспечения (которая направлена на стабилизацию состояния пациентов).
Ядерная энергетика[15]
Добыча нефти и газа[16]
Отдых
Транспорт
Железнодорожный[17]
Автомобильный[19]
Авиация[20]
Космический полет[21]
Смотрите также
Ссылки
- ^ JC Knight (2002). «Системы, критически важные для безопасности: проблемы и направления». IEEE. С. 547–550.
- ^ "Система, критически важная для безопасности". encyclopedia.com . Получено 15 апреля 2017 г. .
- ^ Соммервилл, Ян (2015). Программная инженерия (PDF) . Pearson India. ISBN 978-9332582699. Архивировано из оригинала (PDF) 2018-04-17 . Получено 2018-04-18 .
- ^ Соммервилль, Ян (2014-07-24). «Критические системы». Сайт книги Соммервилля . Архивировано из оригинала 2019-09-16 . Получено 18 апреля 2018 .
- ^ "FAQ – Edition 2.0: E) Ключевые концепции". IEC 61508 – Функциональная безопасность . Международная электротехническая комиссия . Архивировано из оригинала 25 октября 2020 г. Получено 23 октября 2016 г.
- ^ "Часть 1: Ключевое руководство" (PDF) . Управление компетенцией для систем, связанных с безопасностью . Великобритания: Health and Safety Executive . 2007. Получено 23 октября 2016 г.
- ^ FAA AC 25.1309-1 A – Проектирование и анализ системы
- ^ Боуэн, Джонатан П. (апрель 2000 г.). «Этика систем, критически важных для безопасности». Сообщения ACM . 43 (4): 91–97. doi : 10.1145/332051.332078 . S2CID 15979368.
- ^ CCPS совместно с Energy Institute (2018). Bow Ties in Risk Management: A Concept Book for Process Safety . Нью-Йорк, Нью-Йорк и Хобокен, Нью-Джерси: AIChE и John Wiley & Sons . ISBN 9781119490395.
- ^ Томпсон, Николас (21.09.2009). «Внутри апокалиптической советской машины Судного дня». WIRED .
- ^ "Определение отказоустойчивости".
- ^ Боуэн, Джонатан П.; Ставриду, Виктория (июль 1993 г.). «Системы, критически важные для безопасности, формальные методы и стандарты». Журнал программной инженерии . 8 (4). IEE/BCS: 189–209. doi :10.1049/sej.1993.0025. S2CID 9756364.
- ^ «Проектирование системы безопасности медицинских устройств: систематический подход». mddionline.com . 2012-01-24.
- ^ Андерсон, Р. Дж.; Смит, М. Ф., ред. (сентябрь–декабрь 1998 г.). «Специальный выпуск: Конфиденциальность, приватность и безопасность систем здравоохранения». Журнал медицинской информатики . 4 (3–4).
- ^ "Безопасность ядерных реакторов". world-nuclear.org . Архивировано из оригинала 2016-01-18 . Получено 2013-12-18 .
- ^ Шаг изменения в безопасности (2018). Руководство для специалистов по обеспечению и проверке . Абердин: Шаг изменения в безопасности.
- ^ "Системы, критически важные для безопасности на железнодорожном транспорте" (PDF) . Rtos.com . Архивировано из оригинала (PDF) 2013-12-19 . Получено 2016-10-23 .
- ^ ab Wayback Machine
- ^ «Автомобильные системы, критически важные для безопасности». sae.org .
- ^ Лианна Риерсон (2013-01-07). Разработка критически важного для безопасности программного обеспечения: практическое руководство по авиационному программному обеспечению и соответствие DO-178C . CRC Press. ISBN 978-1-4398-1368-3.
- ^ "Human-Rating Requirements and Guidelinesfor Space Flight Systems" (PDF) . Процедуры и руководства NASA . 19 июня 2003 г. NPG: 8705.2. Архивировано из оригинала (PDF) 2021-03-17 . Получено 2016-10-23 .
Внешние ссылки
- Пример жизненно важной системы
- Виртуальная библиотека систем, критически важных для безопасности
- Объяснение терминов «отказ эксплуатационный» и «отказ пассивный» в авионике. Архивировано 15 июля 2020 г. на Wayback Machine