И. Соммервилл - Инженерия программного обеспечения (1133538), страница 91
Текст из файла (страница 91)
332 'Часть 1в. Критические системьз 1. Оярвдглвиив ояасиосже). Это этап определения потенциальных опасностей, которые мокнут возникнуть. Они зависят от окружения, в котором система будет эксплуатироваться. 2. Лиазиз рисков и классификация опасиоппей На этом этапе выявленные опасности рассматриваются каждал в отдельносги. Для дальнейшего анализа выбираются те из них, которые являются потенциально серьезными и наиболее вероятными, Некоторые выявленные опасности исключаются из дальнейшего рассмотрения, по. скольку они маловероятны (например, поражение от молнии при землетрясении).
3. Лиазиз оаасиосвии, Выявляются причины возникновения опасностей. На этом этапе могут использоваться различные методы анализа, например анализ дерева отказов (см. следующий раздел). 4. Оцвкха возможтикиий уивкьжвния рисков. Предлагаются способы уменьшения или устранения рисков. Это требует более детальной спецификации требований безопасности, как показано а модели безопасного жизненного цикла (см. рис. 17.1).
Рис.1 7,2, Лказиз опасностей и рисков Для больших систем анализ опасностей и рисков обычно подразделяется на несколько этапов (215). Они включают: ° предварительный анализ опасностей, для которых определены основные риски; ° более детальный анализ системы и подсистем для выявленил скрытых опасностей; ° анализ компонентов ПО, для которых рассматриваются риски отказов; ° анализ опасностей на этапе эксплуатации, имеющих отношение к пользовательско- му интерфейсу системы, и риска, возникающего в результате ошибок оператора.
Этот анализ определяет потенциальные опасности и с каждой из них связывается риск. Здесь оцениваются вероятности возникновения опасностей, причинения ущерба и вероятности серьезного ущерба. Процесс анализа опасности обычно включает рассмотрение различных классов опасностей, например физических, электрических и биологических, опасностей облучения, опасностей из-за плохого обслуживания системы и т.д. Каждый из этих классов затем тщательно анализируется, чтобы обнаружить взаимосвязанные опасности. Для уже упоминавшейся системы инъекций инсулина опасности и классы, которым онн принадлежат, перечислены ниже.
1. Передозировка инсулина (ошибка обслуживания). 2. Недостаточная доза инсулина (ошибка обслуживания). 3. Сбой питания из-за разрядки аккумулятора (электрическая опасность). 17. Спецификация критических систем ЗБЗ 4. Влияние электрического поля другого медицинского оборудования, например кардностимулятора, на систему (электрическая). 5. Неправильная установка датчика или плохой контакт (физическая). 6. Частичное извлечение иглы из тела пациента (физическая). 7.
Инфекция, вызванная введением иглы (биологическая). 8. Аллергическая реакция пациента на материалы или инсулин (биологическая). Риски, связанные с этими опасносгями. описаны в разделе 17.2.3. Так как данная система небольшая, нет необходимости в многоэтапном анализе опасностей. Но многие системы, критические по обеспечению безопасности, очень большие (например, химичс" ский завод), и анализ опасностей для таких систем — длительный, сложный и дорогостоящий процесс.
17.2.2. Анализ дерева отказов Для каждой выявленной опасности необходимо выполнить детальный анализ, чтобы определить условия, при которых возникает эта опасносгь. Различают дедуктивные и индуктивные методы анализа опасностей. Дедуктивные методы более просты в использовании и заключаются в анализе работы системы, которая запускается в условиях возникновения опасности и работает до момента отказа. В индуктивных методах запускается сис.
тема в условиях предполагаемого отказа и определяются возникающие опасности. По возможности для анализа опасностей должны использоваться и индуктивные и дедуктивные методы. В рамках ишг)ътивных и дедуктивных методов существуют различные подходы к анализу опасностей и рисков, Они включают экспертизы таблиц контрольных проверок и та. кис более формальные методы, как анализ сетей Петри [277), методы формальной логики [188) и анализ дерева отказов [183). Здесь я описываю анализ дерева отказов. Это широко используемая и сравнительно простая методика анализа опасностей, ее можно применять без знаний предметной области, Анализ дерева отказов начинается с описания опасности и далее осуществляется продвижение по дереву отказов для определения возможных причин опасности.
Таким образом, описание опасности находится в корне дерева, а причины опасности соответствуют листьям дерева. На рис. 17.3 показано дерево отказов для возиожных опасностей, связанных с ПО, в системе инъекций инсулина. Здесь опасность "неправильное управление дозой инсулина" представляет серьезную угрозу для пациента. Конечно, программное обеспечение должно отличать опасность передозировки инсулина от опасности недостаточной дозы и поразному реагировать на них. Дерево отказов на рис. 17.3 нс завершено. Здесь показаны только потенциальные сбои и ошибки программного обеспечения.
Сбои оборудования, например понижение напряжения батареи, вызывающие отказ датчика, не показаны. На этом уровне детализации дальнейший анализ опасностей невозиожен. Чтобы использовать дерево отказов для анализа опасностей, возникающих в процессе проектирования и разработки систем, необхо.
дима более детальная и подробная информация. В работах [183, 214) показано, как дерс. вья отказов можно использовать для анализа программного обеспечения вплоть до уровня отдельных операторов программного кода. 354 Часть |У. Критические системы Рис 1 7 3. Дгрввв па~капов аггпмим инзвкний и кг)и и по 17.2.3. Оценка рисков Процесс оцснивання рисков начинается после того, как все опасности определены и описаны.
При оценке риска рассматривается ссрьсзность каждой опасности, вероятность ее возникновения и тех последствий, которые потуг быть ею вызваны. В результате анализа риска для каждой опасности оцснивастся сс допустимость (присмлемость), Обычно опасности классифицируются (по критсрию допустимости) следующим образом. 1. Недппуслшмме.
В этом случае система разрабатывастся таким образом, чтобы опас- ность либо ис возникала, либо, если возникла, нс приводила к тяжелым послсдствиям. 17. Спецификации критических систем ЗББ 2. Мкикклльнв двпустикам В этом случае система разрабатывается так, чтобы вероятность тяжелых последствий была минимальна, при этом должна учитываться стоимость и сроки такой разработки. 5. Двяустиммв.
Разработчики системы, уменьшая вероятность возникновения таких опасностей, не должны увеличивать стоимость и сроки разработки системы. На рис. 17А показаны три области, соответствугощие перечисленным видам опасно. отей [57]. Форма диаграммы отражает затраты на обеспечение безопасности, здесь стоимость проектирования безопасных систем пропорциональна длине основания треугольника. Самые высокие затраты для устранения опасности — в верхней части диаграммы, минимальные затраты на обеспечение безопасности — у вершины треугольника. едопустэмык опасностей Риск не допустим опустим только тогда, епке риска пекокыокко к очень дорого опусткыьк паскостей Риск кгиорпруотсп Гис.1 усй Уровни риска Границы между областями на рис. 17.4 не фиксированы и имеют тенденцию со временем перемещаться вниз в силу изменения общественного мнения и политических соображений.
Хотя финансовые затраты на устранение последствий опасностей могут быть меньше стоимости превентивных мер безопасности, общественное мнение может потребовать, чтобы дополнительные затраты на обеспечение безопасности были приняты. На. пример, часто для компаний дешевле устранить загрязнение, которое может возникнуть с малой долей вероятности, чем устанавливать систему для предотвращения загрязнения. Это было допустимо в 1960-1970-х годах, но в настоящее время общественное и полнтиче.
скос мнение такого допустить не может. Граница между областями недопустимых и минимально допустимых опасностей передвинулась вниз так, что опасности, которые в прошлом бьии допустимы, сейчас стали недопустимыми. Процесс оценки риска заключается в оценке вероятности опасности и серьезности опасности. Обычно трудно сделать это точно, поэтому часто используют относительные оценки типа "вероятно", "маловероятно", "редко", а также "высокая", "средняя" и "низкая".
Иногда с этими оценками можно связать числовые значения. Но поскольку серь взныв последствип опасностей случаются сравнительно редко, практически невозможно проверить точность этих значений. В табл. 17.4 показаны риски для опасностей, определенных в предыдущем разделе для системы инъекций инсулина. Так как я не врач, оценки риска в этой таблице служат толь. Збб Часть 1У. Критические системы ко для иллюстрации. Например, известно, что передозировка инсулина потенциально бо- лее опасна, чем недостаточная доза. Таблица 17.4. Анализ рисков Риск Допустимость опасности Серьезность опасности Опасность Вероятность опасности Высокий Недопустима Передозировка инсули- на Средняя Высокая Низкий Допустима Низкая Недостаточная доза ин- сулина Средняя Низкий Допустима Высокий Недопустима Низкая Высокая Высокал Высокая Повреждение механиз- ма введения инсулина Низкая Высокая Средняя Инфекция через меха- низм введения Средняя Электрические помехи Низкая Высокая Аллергическая реакция Низкая Низкая Если потенциальные опасности и их причины определены, системныс требования фор.
мулнруются таким образом, чтобы опасности. приводящие к тяжелым последствиям, были маловероятны. В главе 16 я определил три стратегии, которые позволяют это сделать. 1. Предоэмраятение опасности Система проектируется так, чтобы опасность пе могла возникнуть. 2. Обнаружение иуежранение оттасносии. Системз разрабатывается таким образом, чтобы опасности обнаруживались н нейтрализовзлись раньше, чем они приведут к серьезным последствиям.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
