Система, важная для безопасности - Safety-critical system

Примеры[1] критических систем безопасности. По часовой стрелке сверху: стеклянная кабина из С-141, а кардиостимулятор, диспетчерская атомная электростанция и Космический шатл.

А критически важная система безопасности (SCS)[2] или же жизнь-критическая система это система, отказ или сбой которой может привести к одному (или нескольким) из следующих результатов:[3][4]

  • смерть или серьезное ранение людей
  • потеря или серьезное повреждение оборудования / имущества
  • экологический вред

А система безопасности (или иногда система безопасности) включает в себя все (аппаратное обеспечение, программное обеспечение и человеческие аспекты), необходимое для выполнения одной или нескольких функций безопасности, отказ которых приведет к значительному увеличению риска для безопасности людей или окружающей среды.[5] Системы, связанные с безопасностью, - это системы, которые не несут полной ответственности за контроль опасностей, таких как гибель людей, тяжелые травмы или тяжелые травмы. ущерб окружающей среде. Неисправность системы, связанной с безопасностью, будет такой опасной только в сочетании с отказом других систем или человеческая ошибка. Некоторые организации по безопасности предоставляют рекомендации по системам, связанным с безопасностью, например Руководитель по охране труда и технике безопасности (HSE) в объединенное Королевство.[6]

Риски такого рода обычно управляются с помощью методов и инструментов техника безопасности. Критически важная для безопасности система рассчитана на потерю менее одной жизни на миллиард (109) часы работы.[7][8] Типичные методы проектирования включают: вероятностная оценка риска, метод, сочетающий анализ режимов и последствий отказов (FMEA) с анализ дерева отказов. Критические для безопасности системы все чаще компьютер -основан.

Режимы надежности

Существует несколько режимов надежности для систем, важных для безопасности:

  • Отказоустойчивые системы продолжать работать, когда их Системы управления провал. Примеры из них включают лифты, газ термостаты в большинстве домашних печей, и пассивно безопасные ядерные реакторы. Отказоустойчивый режим иногда небезопасен. Ядерное оружие Запуск при потере связи был отвергнут как система управления ядерными силами США, поскольку она работоспособна без сбоев: потеря связи приведет к запуску, поэтому такой режим работы считался слишком рискованным. Это контрастирует с Безотказно поведение Периметр система построена в советское время.[9]
  • Безотказные системы могут продолжать работать на временной основе с пониженной эффективностью в случае отказа.[10] Примером этого является большинство запасных шин: они обычно имеют определенные ограничения (например, ограничение скорости) и приводят к снижению расхода топлива. Другой пример - «Безопасный режим», который есть в большинстве операционных систем Windows.
  • Отказоустойчивый системы становятся безопасными, когда они не могут работать. Многие медицинские системы попадают в эту категорию. Например, инфузионный насос может потерпеть неудачу, и до тех пор, пока он предупреждает медсестру и прекращает сцеживание, он не будет угрожать смерти, потому что интервал безопасности достаточно долго, чтобы позволить человеческий ответ. Аналогичным образом, промышленный или бытовой контроллер горелки может выйти из строя, но должен выйти из строя в безопасном режиме (то есть выключить горение при обнаружении неисправности). Как известно, ядерное оружие Системы, запускаемые по команде, являются отказоустойчивыми, потому что в случае отказа систем связи запуск не может быть отдан. Железнодорожная сигнализация разработан для обеспечения отказоустойчивости.
  • Отказоустойчивый системы поддерживать максимальную безопасность, когда они не могут работать. Например, в то время как отказоустойчивые электронные двери разблокируются во время сбоев питания, отказоустойчивые двери будут заблокированы, обеспечивая безопасность зоны.
  • Отказоустойчивые системы продолжать работать в случае сбоя системы. Пример включает самолет автопилот. В случае отказа самолет останется в управляемом состоянии и позволит пилоту взять на себя управление, завершить полет и выполнить безопасную посадку.
  • Отказоустойчивые системы Избегайте сбоев в обслуживании при появлении неисправностей в системе. Примером могут быть системы управления для обычных ядерные реакторы. Обычный метод устранения сбоев - это постоянное тестирование компонентов системы несколькими компьютерами и включение «горячего» резерва для отказавших подсистем. Пока неисправные подсистемы заменяются или ремонтируются через обычные интервалы технического обслуживания, эти системы считаются безопасными. Компьютеры, источники питания и терминалы управления, используемые людьми, должны каким-либо образом дублироваться в этих системах.

Программная инженерия для систем, критичных к безопасности

Программная инженерия для систем, критичных к безопасности, особенно сложно. Есть три аспекта, которые могут быть применены для помощи инженерному программному обеспечению для критически важных систем. Во-первых, это разработка и управление процессами. Во-вторых, выбор подходящих инструментов и среды для системы. Это позволяет разработчику системы эффективно тестировать систему путем эмуляции и наблюдать за ее эффективностью. В-третьих, соблюдайте все законодательные и нормативные требования, например требования FAA для авиации. Устанавливая стандарт, в соответствии с которым должна разрабатываться система, он заставляет проектировщиков придерживаться требований. В авионика промышленность преуспела в производстве стандартные методы для создания критически важного программного обеспечения авионики. Аналогичные стандарты существуют для промышленности в целом (IEC 61508 ) и автомобильной (ISO 26262 ), медицинский (IEC 62304 ) и ядерный (IEC 61513 ) отрасли в частности. Стандартный подход заключается в тщательном кодировании, проверке, документировании, тестировании, проверке и анализе системы. Другой подход - сертифицировать производственную систему, компилятор, а затем сгенерировать код системы из спецификаций. Другой подход использует формальные методы чтобы генерировать доказательства что код соответствует требованиям.[11] Все эти подходы улучшают качество программного обеспечения в критически важных для безопасности системах путем тестирования или исключения ручных действий в процессе разработки, потому что люди делают ошибки, и эти ошибки являются наиболее частой причиной потенциальных опасных для жизни ошибок.

Примеры систем, важных для безопасности

Инфраструктура

Лекарство[12]

Требования к технологии могут выходить за рамки предотвращения сбоев и даже могут облегчить медицинское обслуживание. интенсивная терапия (который занимается лечением пациентов), а также жизненная поддержка (который предназначен для стабилизации пациентов).

Ядерная инженерия[14]

Отдых

Транспорт

Железнодорожный[15]

Автомобильная промышленность[17]

Авиация[18]

Космический полет[19]

Смотрите также

Рекомендации

  1. ^ Дж. К. Найт (2002). «Критические системы безопасности: проблемы и направления». IEEE.
  2. ^ «Система критичной безопасности». encyclopedia.com. Получено 15 апреля 2017.
  3. ^ Соммервилль, Ян (2015). Программная инженерия (PDF). Пирсон Индия. ISBN  978-9332582699.
  4. ^ Соммервилль, Ян (24.07.2014). «Критические системы». книжный сайт Соммервилля. Получено 18 апреля 2018.
  5. ^ «FAQ - Edition 2.0: E) Ключевые понятия». IEC 61508 - Функциональная безопасность. Международная электротехническая комиссия. Получено 23 октября 2016.
  6. ^ «Часть 1: Основное руководство» (PDF). Управление компетенцией для систем, связанных с безопасностью. ВЕЛИКОБРИТАНИЯ: Руководитель по охране труда и технике безопасности. 2007. Получено 23 октября 2016.
  7. ^ FAA AC 25.1309-1 A - Дизайн и анализ системы
  8. ^ Боуэн, Джонатан П. (Апрель 2000 г.). «Этика систем, критически важных для безопасности». Коммуникации ACM. 43 (4): 91–97. Дои:10.1145/332051.332078. S2CID  15979368.
  9. ^ Томпсон, Николас (21 сентября 2009 г.). «Внутри апокалиптической советской машины судного дня». ПРОВОДНОЙ.
  10. ^ «Определение безотказный».
  11. ^ Боуэн, Джонатан П .; Ставриду, Виктория (июль 1993 г.). «Системы, критически важные для безопасности, формальные методы и стандарты». Журнал программной инженерии. IEE / BCS. 8 (4): 189–209. Дои:10.1049 / sej.1993.0025.
  12. ^ «Проектирование систем безопасности медицинских устройств: систематический подход». mddionline.com. 2012-01-24.
  13. ^ Андерсон, Р.Дж.; Смит, М.Ф., ред. (Сентябрь – декабрь 1998 г.). «Специальный выпуск: конфиденциальность, неприкосновенность частной жизни и безопасность систем здравоохранения». Журнал информатики здравоохранения. 4 (3–4).
  14. ^ «Безопасность ядерных реакторов». world-nuclear.org.
  15. ^ «Системы безопасности на железнодорожном транспорте» (PDF). Rtos.com. Архивировано из оригинал (PDF) на 2013-12-19. Получено 2016-10-23.
  16. ^ а б Wayback Machine
  17. ^ «Автомобильные системы, критически важные для безопасности». sae.org.
  18. ^ Леанна Риерсон (2013-01-07). Разработка программного обеспечения, критически важного для безопасности: практическое руководство по авиационному программному обеспечению и соответствие требованиям DO-178C. ISBN  978-1-4398-1368-3.
  19. ^ «Требования и руководящие принципы оценки людей для систем космического полета» (PDF). Процедуры и руководящие принципы НАСА. 19 июня 2003 г. NPG: 8705.2. Получено 2016-10-23.

внешняя ссылка