Критическая система безопасности

Система, отказ которой будет серьезным

Примеры ^[1] систем, критичных по безопасности. Слева направо, сверху вниз: стеклянная кабина С -141 , кардиостимулятор , космический челнок и диспетчерская атомной электростанции .

Система , критичная для безопасности ^[2] или система, критически важная для жизни, — это система, отказ или неисправность которой может привести к одному (или нескольким) из следующих результатов: ^{[3] [4]}

• смерть или серьёзные травмы людей
• утрата или серьезное повреждение оборудования/имущества
• вред окружающей среде

Система , связанная с безопасностью (или иногда система, связанная с безопасностью ), включает в себя все (аппаратное обеспечение, программное обеспечение и человеческие аспекты), необходимое для выполнения одной или нескольких функций безопасности, сбой в которых может привести к значительному увеличению риска безопасности для людей или окружающей среды. вовлеченный. ^[5] Системы, связанные с безопасностью, — это системы, которые не несут полной ответственности за контроль таких опасностей, как гибель людей, тяжелые травмы или серьезный ущерб окружающей среде . Неисправность системы, связанной с безопасностью, может быть настолько опасной только в сочетании с отказом других систем или человеческой ошибкой . Некоторые организации по безопасности предоставляют рекомендации по системам, связанным с безопасностью, например Управление по охране труда и технике безопасности в Соединенном Королевстве . ^[6]

Рисками такого рода обычно управляют с помощью методов и средств техники безопасности . Критически важная для безопасности система рассчитана на потерю менее одной жизни на миллиард (10 ⁹ ) часов работы. ^{[7] [8]} Типичные методы проектирования включают вероятностную оценку риска , метод, который сочетает в себе анализ видов и последствий отказов (FMEA) с анализом дерева отказов . Критически важные для безопасности системы все чаще становятся компьютерными .

Критически важные для безопасности системы — это концепция, часто используемая вместе с моделью швейцарского сыра для представления (обычно в виде диаграммы-бабочки ), как угроза может перерасти в крупную аварию из-за отказа нескольких критических барьеров. Такое использование стало распространенным, особенно в области технологической безопасности , в частности, применительно к бурению и добыче нефти и газа как для иллюстративных целей, так и для поддержки других процессов, таких как управление целостностью активов и расследование инцидентов . ^[9]

Режимы надежности

Существует несколько режимов надежности для критически важных для безопасности систем:

• Отказоустойчивые системы продолжают работать, когда их системы управления выходят из строя. Примеры этого включают лифты , газовые термостаты в большинстве домашних печей и пассивно безопасные ядерные реакторы . Отказоустойчивый режим иногда небезопасен. Запуск ядерного оружия при потере связи был отвергнут как система управления ядерными силами США, поскольку она отказоустойчива: потеря связи могла бы вызвать запуск, поэтому этот режим работы считался слишком рискованным. Это контрастирует с безотказным поведением системы «Периметр» , построенной в советское время. ^[10]
• Системы Fail-soft способны продолжать работу на временной основе с пониженной эффективностью в случае сбоя. ^[11] Большинство запасных шин являются примером этого: они обычно имеют определенные ограничения (например, ограничение скорости) и приводят к снижению топливной экономичности. Другим примером является «Безопасный режим», присутствующий в большинстве операционных систем Windows.
• Отказоустойчивые системы становятся безопасными, когда они не могут работать. Многие медицинские системы попадают в эту категорию. Например, инфузионный насос может выйти из строя, и пока он предупредит медсестру и прекратит сцеживание, это не будет угрожать потерей жизни, поскольку его интервал безопасности достаточно велик, чтобы позволить человеку отреагировать. Аналогичным образом, промышленный или бытовой контроллер горелки может выйти из строя, но он должен выйти из строя в безопасном режиме (т. е. отключить горение при обнаружении неисправности). Известно, что системы ядерного оружия , которые запускаются по команде, являются отказоустойчивыми, поскольку в случае выхода из строя систем связи запуском невозможно управлять. Железнодорожная сигнализация спроектирована так, чтобы быть отказоустойчивой.
• Системы отказоустойчивости обеспечивают максимальную безопасность, когда они не могут работать. Например, в то время как отказоустойчивые электронные двери разблокируются во время сбоев в подаче электроэнергии, безопасные двери запираются, обеспечивая безопасность территории.
• Fail-Passive системы продолжают работать в случае сбоя системы. Пример включает автопилот самолета . В случае отказа самолет останется в управляемом состоянии и позволит пилоту взять на себя управление, завершить полет и совершить безопасную посадку.
• Отказоустойчивые системы позволяют избежать сбоев в обслуживании при возникновении ошибок в системе. Примером могут служить системы управления обычными ядерными реакторами . Обычный метод устранения сбоев состоит в том, чтобы несколько компьютеров постоянно тестировали части системы и включали «горячие» резервы для неисправных подсистем. Пока неисправные подсистемы заменяются или ремонтируются через обычные интервалы технического обслуживания, эти системы считаются безопасными. Компьютеры, источники питания и терминалы управления, используемые людьми, должны быть каким-то образом дублированы в этих системах.

Разработка программного обеспечения для критически важных систем безопасности

Разработка программного обеспечения для систем, критически важных для безопасности, является особенно сложной задачей. Есть три аспекта, которые можно применить для разработки программного обеспечения для жизненно важных систем. Во-первых, это процесс проектирования и управления. Во-вторых, выбор подходящих инструментов и среды для системы. Это позволяет разработчику системы эффективно тестировать систему путем эмуляции и наблюдать за ее эффективностью. В-третьих, учтите любые законодательные и нормативные требования, такие как требования Федерального управления гражданской авиации к авиации. Устанавливая стандарт, в соответствии с которым должна разрабатываться система, он заставляет проектировщиков придерживаться этих требований. Авиационная промышленность преуспела в разработке стандартных методов создания жизненно важного программного обеспечения для авионики . Подобные стандарты существуют для промышленности в целом ( IEC 61508 ), автомобильной ( ISO 26262 ), медицинской ( IEC 62304 ) и атомной ( IEC 61513 ) отраслей в частности. Стандартный подход заключается в тщательном кодировании, проверке, документировании, тестировании, проверке и анализе системы. Другой подход — сертифицировать производственную систему, компилятор , а затем сгенерировать код системы на основе спецификаций. Другой подход использует формальные методы для получения доказательств того, что код соответствует требованиям. ^[12] Все эти подходы улучшают качество программного обеспечения в критически важных для безопасности системах за счет тестирования или устранения ручных шагов в процессе разработки, поскольку люди совершают ошибки, и эти ошибки являются наиболее распространенной причиной потенциально опасных для жизни ошибок.

Примеры критически важных для безопасности систем

Инфраструктура

• Автоматический выключатель
• Системы диспетчеризации экстренных служб
• Производство , передача и распределение электроэнергии
• Пожарная тревога
• Спринклер пожарный
• Предохранитель (электрический)
• Предохранитель (гидравлический)
• Системы жизнеобеспечения
• Телекоммуникации

Медицина [13]

Технологические требования могут выходить за рамки предотвращения сбоев и даже облегчать интенсивную медицинскую помощь (которая занимается лечением пациентов), а также жизнеобеспечение (что предназначено для стабилизации состояния пациентов).

• Аппараты искусственного кровообращения
• Системы механической вентиляции
• Инфузионные насосы и инсулиновые помпы
• Аппараты лучевой терапии
• Роботизированные хирургические машины
• Дефибрилляторы _
• Кардиостимуляторы _
• Аппараты для диализа
• Устройства, осуществляющие электронный контроль жизненно важных функций (электрография; особенно электрокардиография , ЭКГ или ЭКГ, и электроэнцефалография , ЭЭГ)
• Приборы медицинской визуализации ( рентген , компьютерная томография – КТ или КАТ, различные методы магнитно-резонансной томографии – МРТ, позитронно-эмиссионная томография – ПЭТ)
• Даже информационные системы здравоохранения имеют значительные последствия для безопасности ^[14].

Атомная энергетика [15]

• Системы управления ядерными реакторами

Добыча нефти и газа [16]

• Сдерживание процесса
• Ну целостность
• Целостность корпуса (для плавучего хранения и разгрузки продукции )
• Оболочка и верхние конструкции
• Грузоподъемное оборудование
• Вертолетные площадки
• Швартовые системы
• Обнаружение пожара и газа
• Критические инструментальные функции ( остановка процесса , аварийный останов )
• Запорные клапаны с приводом
• Устройства сброса давления
• Продувочные клапаны и факельная система
• Контроль бурения скважин ( превенторы , раствор и цемент )
• Вентиляция и отопление, вентиляция и кондиционирование
• Дренажные системы
• Балластные системы
• Система инертизации грузовых танков корпуса
• Управление курсом
• Предотвращение возгорания ( взрывозащищенное электрооборудование , изолированные горячие поверхности и т. д.)
• Пожарные насосы
• Трубопроводы для распределения пожарной воды и пены
• Датчики пожарной воды и пены
• Дренчерные клапаны
• Системы газового пожаротушения
• Гидранты пожарные
• Пассивная противопожарная защита
• Временное убежище
• Пути эвакуации
• Спасательные шлюпки и спасательные плоты
• Личное спасательное оборудование (например, спасательные жилеты )

Отдых

• Аттракционы
• Альпинистское снаряжение
• Парашюты
• Оборудование для подводного плавания
  • Ребризер для дайвинга
  • Подводный компьютер (в зависимости от использования)

Транспорт

Железная дорога ^[17]

• Системы железнодорожной сигнализации и управления
• Обнаружение платформы для управления дверями поезда ^[18]
• Автоматическая остановка поезда ^[18]

Автомобильная промышленность ^[19]

• Системы подушек безопасности
• Тормозные системы
• Ремни безопасности
• Системы гидроусилителя руля
• Передовые системы помощи водителю
• Электронное управление дроссельной заслонкой
• Система управления аккумулятором для гибридов и электромобилей
• Электрический стояночный тормоз
• Сдвиг по проводам
• Системы привода по проводам
• Парковаться по проводу

Авиация ^[20]

• Системы управления воздушным движением
• Авионика , особенно электродистанционные системы
• Радионавигация ( Автономный контроль целостности приемника )
• Системы управления двигателем
• Системы жизнеобеспечения экипажа
• Планирование полета для определения потребности в топливе для полета

Космический полет ^[21]

• Пилотируемые космические аппараты
• Системы безопасности запуска ракетных полигонов
• Безопасность ракеты-носителя
• Системы спасения экипажа
• Системы перемещения экипажа

Смотрите также

• Биомедицинская инженерия  - Применение инженерных принципов и концепций дизайна в медицине и биологии.
• Фактор безопасности  – прочность системы сверх предполагаемой нагрузки
• Формальные методы  . Спецификации математических программ.
• Программное обеспечение высокой надежности
• Критическая миссия  - фактор, критически важный для работы организации.
• Ядерный реактор  - устройство, используемое для инициирования и управления цепной ядерной реакцией.
• Резервирование (инжиниринг)  – дублирование критически важных компонентов для повышения надежности системы.
• Вычисления в реальном времени
• Проектирование надежности  - раздел системной инженерии, в котором особое внимание уделяется надежности.
• Клуб систем, критичных к безопасности
• SAPHIRE  – Программы системного анализа для практической комплексной оценки надежности (программное обеспечение для анализа рисков)
• Therac-25  - аппарат лучевой терапии стал причиной шести несчастных случаев.
• Зональный анализ безопасности

Рекомендации

1. Джей Си Найт (2002). «Системы, критичные к безопасности: проблемы и направления». IEEE. стр. 547–550.
2. «Система, критичная для безопасности». энциклопедия.com . Проверено 15 апреля 2017 г.
3. Соммервилл, Ян (2015). Программная инженерия (PDF) . Пирсон Индия. ISBN 978-9332582699. Архивировано из оригинала (PDF) 17 апреля 2018 г. Проверено 18 апреля 2018 г.
4. Соммервилл, Ян (24 июля 2014 г.). «Критические системы». Книжный сайт Соммервилля . Архивировано из оригинала 16 сентября 2019 г. Проверено 18 апреля 2018 г.
5. «Часто задаваемые вопросы - Издание 2.0: E) Ключевые понятия» . МЭК 61508 – Функциональная безопасность . Международная электротехническая комиссия . Архивировано из оригинала 25 октября 2020 года . Проверено 23 октября 2016 г.
6. «Часть 1: Основные рекомендации» (PDF) . Управление компетентностью в отношении систем, связанных с безопасностью . Великобритания: Исполнительный директор по охране труда и технике безопасности . 2007 . Проверено 23 октября 2016 г.
7. FAA AC 25.1309-1 A - Проектирование и анализ системы.
8. Боуэн, Джонатан П. (апрель 2000 г.). «Этика критически важных для безопасности систем». Коммуникации АКМ . 43 (4): 91–97. дои : 10.1145/332051.332078 . S2CID  15979368.
9. CCPS совместно с Энергетическим институтом (2018). Галстуки-бабочки в управлении рисками: Концептуальная книга по технологической безопасности . Нью-Йорк, штат Нью-Йорк, и Хобокен, штат Нью-Джерси: AIChE и John Wiley & Sons . ISBN 9781119490395.
10. Томпсон, Николас (21 сентября 2009 г.). «Внутри апокалиптической советской машины Судного дня». ПРОВОДНОЙ .
11. «Определение отказоустойчивости» .
12. Боуэн, Джонатан П.; Ставриду, Виктория (июль 1993 г.). «Системы, критичные к безопасности, формальные методы и стандарты». Журнал программной инженерии . ИЭЭ/БКС. 8 (4): 189–209. дои : 10.1049/sej.1993.0025. S2CID  9756364.
13. «Проектирование системы безопасности медицинского оборудования: системный подход» . mddionline.com . 24 января 2012 г.
14. Андерсон, Р.Дж.; Смит, М.Ф., ред. (сентябрь – декабрь 1998 г.). «Специальный выпуск: Конфиденциальность, конфиденциальность и безопасность систем здравоохранения». Журнал медицинской информатики . 4 (3–4).
15. «Безопасность ядерных реакторов». world-nuclear.org . Архивировано из оригинала 18 января 2016 г. Проверено 18 декабря 2013 г.
16. Шаговое изменение безопасности (2018). Руководство для специалистов по заверению и верификации . Абердин: шаг вперед в области безопасности.
17. «Системы, критически важные для безопасности на железнодорожном транспорте» (PDF) . Rtos.com . Архивировано из оригинала (PDF) 19 декабря 2013 г. Проверено 23 октября 2016 г.
18. Wayback Machine
19. «Автомобильные системы, критически важные для безопасности». sae.org .
20. Леанна Риерсон (07.01.2013). Разработка программного обеспечения, критически важного для безопасности: Практическое руководство по авиационному программному обеспечению и обеспечению соответствия DO-178C . ЦРК Пресс. ISBN 978-1-4398-1368-3.
21. «Требования и рекомендации по человеческому рейтингу для систем космических полетов» (PDF) . Процедуры и рекомендации НАСА . 19 июня 2003 г. НПГ: 8705.2. Архивировано из оригинала (PDF) 17 марта 2021 г. Проверено 23 октября 2016 г.

Внешние ссылки

• Пример жизненно важной системы
• Виртуальная библиотека систем, критически важных для безопасности
• Объяснение эксплуатационных и пассивных отказов в авионике. Архивировано 15 июля 2020 г. на Wayback Machine.