Nie każdy system jest tak samo krytyczny dla bezpieczeństwa. choćby o ile wiele różnych systemów znajduje się na przykład w samolocie, nie oznacza to, iż każdy z nich został wykonany wykorzystując tak samo rygorystyczne techniki. W końcu inaczej podejdziemy do tworzenia systemu sterowania lotem, a inaczej do systemu infotainment wyświetlającego pasażerom filmy podczas lotu. W tym artykule przyjrzymy się jakie poziomy bezpieczeństwa zostały zdefiniowane w różnych normach i czym się kierowano przy ich definiowaniu.
Poziomy w różnych normach
Poszczególne normy mają różną ilość poziomów bezpieczeństwa, różne nazwy i sposoby ich nadawania. Jednak koncepcja pozostaje zawsze bardzo podobna. Im większe niebezpieczeństwo niesie za sobą błędne działanie systemu, tym wyższy poziom, a co za tym idzie bardziej rygorystyczny proces wytwarzania. Najwyższy poziom bezpieczeństwa wiąże się oczywiście z ryzykiem śmierci ludzi, ale także z możliwością zniszczenia mienia o dużej wartości, czy skażenia środowiska. Oto jak do problemu podeszły różne normy.
W normie medycznej IEC 62304 mamy podział na trzy klasy urządzeń:
Class A | Brak negatywnych skutków |
Class B | Możliwe lekkie obrażenia |
Class C | Możliwa śmierć lub poważne obrażenia |
Norma lotnicza DO-178C natomiast definiuje pięć poziomów bezpieczeństwa:
Level A | Utrata życia pasażerów, zniszczenie samolotu |
Level B | Duży negatywny wpływ na bezpieczeństwo i osiągi samolotu, możliwe poważne obrażenia pasażerów |
Level C | Znaczne zmniejszenie marginesu bezpieczeństwa pilotów, możliwe lekkie obrażenia pasażerów |
Level D | Niewielkie zmniejszenie marginesu bezpieczeństwa pilotów, możliwe niedogodności pasażerów i wydłużenie lotu. |
Level E | Brak negatywnych skutków |
Ogólna norma dla urządzeń elektronicznych IEC 61508 definiuje 4 poziomy Safety Integrity Level (SIL). Te same oznaczenia są również wykorzystywane w normach dla pociągów takich jak EN 50128
SIL 4 | Zagrożenie dla życia wielu ludzi |
SIL 3 | Zagrożenie dla życia pojedynczej osoby |
SIL 2 | Zagrożenie poważnego uszczerbku na zdrowiu |
SIL 1 | Zagrożenie drobnego urazu |
W normie samochodowej ISO26262 występują bardzo podobne oznaczenia. ASIL od A do D, gdzie D oznacza najwyższy poziom bezpieczeństwa, a A najniższy. O poziomie decydują trzy czynniki – jak długo jesteśmy narażeni na negatywny efekt (Exposure), jak dobrze jesteśmy w stanie minimalizować jego skutki (Controlability) i jak poważne są jego konsekwencje (Severity).
Istnieje choćby norma bezpieczeństwa dla elektroniki użytkowej takiej jak sterowniki w pralkach, mikrofalówkach, czy kuchenkach gazowych. To IEC 60730:
Class C | Zapobiega szczególnie niebezpiecznym zdarzeniom np. sterownik palnika gazowego |
Class B | Zapobiega niebezpiecznemu działaniu kontrolowanego urządzenia np. blokada bębna pralki po otwarciu drzwi |
Class A | Nie nadaje się do aplikacji bezpieczeństwa |
W każdym z powyższych przypadków do określenia wymaganego poziomu bezpieczeństwa, należy wykonać analizę ryzyka. Polega ona w uproszczeniu na określeniu możliwych błędów w działaniu systemu i ich skutków.
Prawdopodobieństwo wypadku
Poziomy bezpieczeństwa często wiążą się z dopuszczalnym prawdopodobieństwem wystąpienia niebezpiecznego wypadku. Im wyższy poziom bezpieczeństwa, tym niższe dopuszczalne prawdopodobieństwo. Wartości te mogą być różne dla urządzeń pracujących bez przerwy niż dla takich, które są włączane na stosunkowo krótki czas. Na przykład norma IEC 61508 definiuje następujące zakresy dla pracy ciągłej:
SIL 4 | 10-8 - 10-9 |
SIL 3 | 10-7 - 10-8 |
SIL 2 | 10-6 - 10-7 |
SIL 1 | 10-5 - 10-6 |
i dla przerywanej:
SIL 4 | 10-4 - 10-5 |
SIL 3 | 10-3 - 10-4 |
SIL 2 | 10-2 - 10-3 |
SIL 1 | 10-1 - 10-2 |
Należy tutaj zaznaczyć, iż te prawdopodobieństwa nie odnoszą się do wszystkich możliwych błędów, a tylko do tych powodujących niebezpieczny wypadek. Systemy safety-critical są specjalnie projektowane w taki sposób, aby błąd choćby jeżeli wystąpi, nie powodował wypadku.
Wpływ poziomu bezpieczeństwa na projekt
Wiemy już jakie są poziomy bezpieczeństwa według poszczególnych norm i jakim zagrożeniom odpowiadają. Wiemy również jakie wartości liczbowe powinny spełniać. Tutaj pojawia się bardzo ważne pytanie. W jaki sposób mamy zapewnić odpowiednio niskie prawdopodobieństwo wystąpienia wypadku? Przecież nie da się tego w żaden sposób zaplanować ani zmierzyć podczas trwania projektu. Wartości te możemy poznać dopiero jeżeli dysponujemy danymi statystycznymi działającego produktu. Dlatego najlepsze co możemy zrobić, to wzorować się na istniejących systemach, które osiągnęły pożądane wskaźniki bezpieczeństwa i wykorzystywać te same dobre praktyki. A co to za praktyki? O tym w kolejnym wpisie.