Система, отказ которой будет серьезным
Система , критичная для безопасности [2] или система, критически важная для жизни, — это система, отказ или неисправность которой может привести к одному (или нескольким) из следующих результатов: [3] [4]
- смерть или серьёзные травмы людей
- утрата или серьезное повреждение оборудования/имущества
- вред окружающей среде
Система , связанная с безопасностью (или иногда система, связанная с безопасностью ), включает в себя все (аппаратное обеспечение, программное обеспечение и человеческие аспекты), необходимое для выполнения одной или нескольких функций безопасности, сбой в которых может привести к значительному увеличению риска безопасности для людей или окружающей среды. вовлеченный. [5] Системы, связанные с безопасностью, — это системы, которые не несут полной ответственности за контроль таких опасностей, как гибель людей, тяжелые травмы или серьезный ущерб окружающей среде . Неисправность системы, связанной с безопасностью, может быть настолько опасной только в сочетании с отказом других систем или человеческой ошибкой . Некоторые организации по безопасности предоставляют рекомендации по системам, связанным с безопасностью, например Управление по охране труда и технике безопасности в Соединенном Королевстве . [6]
Рисками такого рода обычно управляют с помощью методов и средств техники безопасности . Критически важная для безопасности система рассчитана на потерю менее одной жизни на миллиард (10 9 ) часов работы. [7] [8] Типичные методы проектирования включают вероятностную оценку риска , метод, который сочетает в себе анализ видов и последствий отказов (FMEA) с анализом дерева отказов . Критически важные для безопасности системы все чаще становятся компьютерными .
Критически важные для безопасности системы — это концепция, часто используемая вместе с моделью швейцарского сыра для представления (обычно в виде диаграммы-бабочки ), как угроза может перерасти в крупную аварию из-за отказа нескольких критических барьеров. Такое использование стало распространенным, особенно в области технологической безопасности , в частности, применительно к бурению и добыче нефти и газа как для иллюстративных целей, так и для поддержки других процессов, таких как управление целостностью активов и расследование инцидентов . [9]
Режимы надежности
Существует несколько режимов надежности для критически важных для безопасности систем:
- Отказоустойчивые системы продолжают работать, когда их системы управления выходят из строя. Примеры этого включают лифты , газовые термостаты в большинстве домашних печей и пассивно безопасные ядерные реакторы . Отказоустойчивый режим иногда небезопасен. Запуск ядерного оружия при потере связи был отвергнут как система управления ядерными силами США, поскольку она отказоустойчива: потеря связи могла бы вызвать запуск, поэтому этот режим работы считался слишком рискованным. Это контрастирует с безотказным поведением системы «Периметр» , построенной в советское время. [10]
- Системы Fail-soft способны продолжать работу на временной основе с пониженной эффективностью в случае сбоя. [11] Большинство запасных шин являются примером этого: они обычно имеют определенные ограничения (например, ограничение скорости) и приводят к снижению топливной экономичности. Другим примером является «Безопасный режим», присутствующий в большинстве операционных систем Windows.
- Отказоустойчивые системы становятся безопасными, когда они не могут работать. Многие медицинские системы попадают в эту категорию. Например, инфузионный насос может выйти из строя, и пока он предупредит медсестру и прекратит сцеживание, это не будет угрожать потерей жизни, поскольку его интервал безопасности достаточно велик, чтобы позволить человеку отреагировать. Аналогичным образом, промышленный или бытовой контроллер горелки может выйти из строя, но он должен выйти из строя в безопасном режиме (т. е. отключить горение при обнаружении неисправности). Известно, что системы ядерного оружия , которые запускаются по команде, являются отказоустойчивыми, поскольку в случае выхода из строя систем связи запуском невозможно управлять. Железнодорожная сигнализация спроектирована так, чтобы быть отказоустойчивой.
- Системы отказоустойчивости обеспечивают максимальную безопасность, когда они не могут работать. Например, в то время как отказоустойчивые электронные двери разблокируются во время сбоев в подаче электроэнергии, безопасные двери запираются, обеспечивая безопасность территории.
- Fail-Passive системы продолжают работать в случае сбоя системы. Пример включает автопилот самолета . В случае отказа самолет останется в управляемом состоянии и позволит пилоту взять на себя управление, завершить полет и совершить безопасную посадку.
- Отказоустойчивые системы позволяют избежать сбоев в обслуживании при возникновении ошибок в системе. Примером могут служить системы управления обычными ядерными реакторами . Обычный метод устранения сбоев состоит в том, чтобы несколько компьютеров постоянно тестировали части системы и включали «горячие» резервы для неисправных подсистем. Пока неисправные подсистемы заменяются или ремонтируются через обычные интервалы технического обслуживания, эти системы считаются безопасными. Компьютеры, источники питания и терминалы управления, используемые людьми, должны быть каким-то образом дублированы в этих системах.
Разработка программного обеспечения для критически важных систем безопасности
Разработка программного обеспечения для систем, критически важных для безопасности, является особенно сложной задачей. Есть три аспекта, которые можно применить для разработки программного обеспечения для жизненно важных систем. Во-первых, это процесс проектирования и управления. Во-вторых, выбор подходящих инструментов и среды для системы. Это позволяет разработчику системы эффективно тестировать систему путем эмуляции и наблюдать за ее эффективностью. В-третьих, учтите любые законодательные и нормативные требования, такие как требования Федерального управления гражданской авиации к авиации. Устанавливая стандарт, в соответствии с которым должна разрабатываться система, он заставляет проектировщиков придерживаться этих требований. Авиационная промышленность преуспела в разработке стандартных методов создания жизненно важного программного обеспечения для авионики . Подобные стандарты существуют для промышленности в целом ( IEC 61508 ), автомобильной ( ISO 26262 ), медицинской ( IEC 62304 ) и атомной ( IEC 61513 ) отраслей в частности. Стандартный подход заключается в тщательном кодировании, проверке, документировании, тестировании, проверке и анализе системы. Другой подход — сертифицировать производственную систему, компилятор , а затем сгенерировать код системы на основе спецификаций. Другой подход использует формальные методы для получения доказательств того, что код соответствует требованиям. [12] Все эти подходы улучшают качество программного обеспечения в критически важных для безопасности системах за счет тестирования или устранения ручных шагов в процессе разработки, поскольку люди совершают ошибки, и эти ошибки являются наиболее распространенной причиной потенциально опасных для жизни ошибок.
Примеры критически важных для безопасности систем
Инфраструктура
Медицина [13]
Технологические требования могут выходить за рамки предотвращения сбоев и даже облегчать интенсивную медицинскую помощь (которая занимается лечением пациентов), а также жизнеобеспечение (что предназначено для стабилизации состояния пациентов).
Атомная энергетика [15]
Добыча нефти и газа [16]
Отдых
Транспорт
Железная дорога [17]
Автомобильная промышленность [19]
Авиация [20]
Космический полет [21]
Смотрите также
Рекомендации
- ^ Джей Си Найт (2002). «Системы, критичные к безопасности: проблемы и направления». IEEE. стр. 547–550.
- ^ «Система, критичная для безопасности». энциклопедия.com . Проверено 15 апреля 2017 г.
- ^ Соммервилл, Ян (2015). Программная инженерия (PDF) . Пирсон Индия. ISBN 978-9332582699. Архивировано из оригинала (PDF) 17 апреля 2018 г. Проверено 18 апреля 2018 г.
- ^ Соммервилл, Ян (24 июля 2014 г.). «Критические системы». Книжный сайт Соммервилля . Архивировано из оригинала 16 сентября 2019 г. Проверено 18 апреля 2018 г.
- ^ «Часто задаваемые вопросы - Издание 2.0: E) Ключевые понятия» . МЭК 61508 – Функциональная безопасность . Международная электротехническая комиссия . Архивировано из оригинала 25 октября 2020 года . Проверено 23 октября 2016 г.
- ^ «Часть 1: Основные рекомендации» (PDF) . Управление компетентностью в отношении систем, связанных с безопасностью . Великобритания: Исполнительный директор по охране труда и технике безопасности . 2007 . Проверено 23 октября 2016 г.
- ^ FAA AC 25.1309-1 A - Проектирование и анализ системы.
- ^ Боуэн, Джонатан П. (апрель 2000 г.). «Этика критически важных для безопасности систем». Коммуникации АКМ . 43 (4): 91–97. дои : 10.1145/332051.332078 . S2CID 15979368.
- ^ CCPS совместно с Энергетическим институтом (2018). Галстуки-бабочки в управлении рисками: Концептуальная книга по технологической безопасности . Нью-Йорк, штат Нью-Йорк, и Хобокен, штат Нью-Джерси: AIChE и John Wiley & Sons . ISBN 9781119490395.
- ^ Томпсон, Николас (21 сентября 2009 г.). «Внутри апокалиптической советской машины Судного дня». ПРОВОДНОЙ .
- ^ «Определение отказоустойчивости» .
- ^ Боуэн, Джонатан П.; Ставриду, Виктория (июль 1993 г.). «Системы, критичные к безопасности, формальные методы и стандарты». Журнал программной инженерии . ИЭЭ/БКС. 8 (4): 189–209. дои : 10.1049/sej.1993.0025. S2CID 9756364.
- ^ «Проектирование системы безопасности медицинского оборудования: системный подход» . mddionline.com . 24 января 2012 г.
- ^ Андерсон, Р.Дж.; Смит, М.Ф., ред. (сентябрь – декабрь 1998 г.). «Специальный выпуск: Конфиденциальность, конфиденциальность и безопасность систем здравоохранения». Журнал медицинской информатики . 4 (3–4).
- ^ «Безопасность ядерных реакторов». world-nuclear.org . Архивировано из оригинала 18 января 2016 г. Проверено 18 декабря 2013 г.
- ^ Шаговое изменение безопасности (2018). Руководство для специалистов по заверению и верификации . Абердин: шаг вперед в области безопасности.
- ^ «Системы, критически важные для безопасности на железнодорожном транспорте» (PDF) . Rtos.com . Архивировано из оригинала (PDF) 19 декабря 2013 г. Проверено 23 октября 2016 г.
- ^ ab Wayback Machine
- ^ «Автомобильные системы, критически важные для безопасности». sae.org .
- ^ Леанна Риерсон (07.01.2013). Разработка программного обеспечения, критически важного для безопасности: Практическое руководство по авиационному программному обеспечению и обеспечению соответствия DO-178C . ЦРК Пресс. ISBN 978-1-4398-1368-3.
- ^ «Требования и рекомендации по человеческому рейтингу для систем космических полетов» (PDF) . Процедуры и рекомендации НАСА . 19 июня 2003 г. НПГ: 8705.2. Архивировано из оригинала (PDF) 17 марта 2021 г. Проверено 23 октября 2016 г.
Внешние ссылки
- Пример жизненно важной системы
- Виртуальная библиотека систем, критически важных для безопасности
- Объяснение эксплуатационных и пассивных отказов в авионике. Архивировано 15 июля 2020 г. на Wayback Machine.