生命攸關系統

生命攸關系統life-critical system)或安全攸關系統safety-critical system)也稱為生命關鍵系統安全關鍵系統,是指若系統失效或誤動作,可能會產生以下後果的系統:

  • 人員重傷或死亡
  • 設備的嚴重毀損
  • 環境的危害

安全相關系統(Safety-involved systems)類似安全關鍵系統,但安全性要求略低。若只有此系統失效,不會造成人員傷亡、設備的嚴重毀損或者環境危害等重大危害英语Hazard。安全相關系統的誤動作只有和其他系統的失效或是人為錯誤時才會造造成危害。

安全相關系統或安全相關系統的風險一般會配合安全工程的工具進行管理。生命攸關系統一般會設計在失效率小於10-9 1/h的條件下[1]。常用的設計工具包括概率风险评估英语Probabilistic Risk Assessment,是一種結合失效模式與影響分析(FMEA)及故障樹分析的技術。越來越多的安全攸關系統是基于電腦的系統。

可靠度作法

在生命攸關系統中,有以下幾種可靠度的作法:

  • 失效可操作的系统(Fail-operational systems):在其重要或主要系統損壞時,仍可正常完成正常或最终的重要动作的系統,例如配有紧急或备用系统的電梯、家用的自動調溫器,以及消極安全核反應爐英语Passive nuclear safety。失效可操作的系统有時並不安全,例如美軍的核武不允許使用通訊中斷即發射(launch-on-loss-of-communications)的系統,因為後者是失效可操作的系统,若通訊中斷就自動發射核武,這種運作方式風險太高。美軍的思惟恰好和蘇聯死亡之手在失效後自動發射的失效致命特性相反[2]
  • 失效安全(Fail-safe)系統 :是指系統不運作時會處在安全狀態,不會造成人員傷亡的系統。許多醫療系統都是這一類的,例如醫療的輸液泵英语infusion pump可能損壞,但因為其安全間隔期夠長,可以用人工介入處理,只要它會停止輸液,並且發出警告提醒護理人員,並不會造成人員的傷亡。像工業用或是家用的燃燒控制器可能損壞,但也一定要有失效安全的特性(在其偵測到損壞時,自動熄滅火源)。一個接收到發射命令才會發射(launch-on-command)的核武也是失效安全的,因為在通訊系統損壞時,核武不會發射。鐵路信號也會設計成失效安全的。
  • Fail-secure的中文也是失效安全(可理解为“失效保障”),但主要著重于事物不被毀損、場地不被入侵的安全性:例如Fail-safe的電動鎖是为保護人員,在電力失效時自動開鎖;而Fail-secure的電動鎖是为保護場地安全,在電力失效時自動上鎖。
  • 失效消极防护系统(Fail-Passive systems)即使在系統失效的情形下仍可以用其他方式運作,例如倘若飛機的自動駕駛系統失效,飛機也會維持在一個可控制的狀態,讓飛行員可以接手完成航程,順利降落。
  • 容錯系統(Fault-tolerant system)是在系統有錯誤或故障時不會讓系統失效。像一般的核反應爐的控制系統就會是容錯系統。一般容錯的方式为數台電腦不間斷地測試系統的各部份,若有子系統失效,直接線上熱切換到其他正常的子系統。只要在正常的維修間隔內更換或修復有問題的子系統,此系統就视作是安全的。不過在一些系統中,會要求所用的電腦規格完全相同,電源供應器及人工控制面板等也不例外。

生命攸關系統的軟體工程

生命攸關系統的軟體工程格外困難,有三個層面的考量會對生命攸關系統的軟體工程有幫助。首先是流程的工程及管理,再來是为此系統選擇適當的工具及開發環境,這可以讓系統開發者可以利用仿真的方式有效地測試系統,觀察其是否有效果。第三,需解決所有法律及法規上的要求,像是飛行系統需要處理的美國聯邦航空總署(FAA)要求。若有設定在系統開發時需要符合的標準,也就強制了設計者需依循相關要求進行開發。航空电子產業已成功提出了製作生命攸關航空电子軟體的標準方法,即DO-178B英语DO-178B汽車業的ISO 26262、醫療產品的IEC 62304及核能的IEC 61513也是類似的法規。這些標準作法目的是要小心地編程、檢視、測試、驗證及分析系統,並書寫說明文件。另一種作法是驗證一產品系統、編譯器,再依規格產生系統的代碼。還有一種方式是用形式方法,用數學證明來證明代碼符合要求。這些方法都可以提昇生命攸關系統的軟體品質,方式可能是透過測試,或是減少開發程序中的人工步驟,因為人可能會出錯,這也是最常見的生命攸關系統潛在錯誤的原因。

生命攸關系統的例子

基礎設備

醫療設備[3]

其技術要求可能超過避免失效的程度,甚至可能包括建立醫療照護(有關病人的醫療)及生命維持英语life support(有關穩定病人的生理狀態)。

核能工程[4]

娛樂或運動設備

運輸

鐵路[5]

汽車[7]

航空[8]

太空梭[9]

相關條目

参考文献

  1. ^ AC 25.1309-1A (PDF). [2012-10-25]. (原始内容存档 (PDF)于2014-02-11). 
  2. ^ Inside the Apocalyptic Soviet Doomsday Machine. WIRED. [2016-03-29]. (原始内容存档于2014-03-22). 
  3. ^ Medical Device Safety System Design: A Systematic Approach. mddionline.com. [2016-03-31]. (原始内容存档于2017-09-03). 
  4. ^ Safety of Nuclear Reactors. world-nuclear.org. [2016-03-31]. (原始内容存档于2016-01-18). 
  5. ^ 存档副本 (PDF). [2016-10-23]. (原始内容 (PDF)存档于2013-12-19). 
  6. ^ 6.0 6.1 存档副本 (PDF). [2013-12-18]. (原始内容 (PDF)存档于2013-12-19). 
  7. ^ Safety-Critical Automotive Systems. sae.org. [2016-03-31]. (原始内容存档于2013-12-19). 
  8. ^ Leanna Rierson. Developing Safety-Critical Software: A Practical Guide for Aviation Software and DO-178C Compliance. [2016-03-31]. ISBN 978-1-4398-1368-3. (原始内容存档于2016-05-06). 
  9. ^ 存档副本 (PDF). [2016-03-31]. (原始内容存档 (PDF)于2021-03-17). 

外部連結