生命攸關系統
生命攸關系統(life-critical system)或安全攸關系統(safety-critical system)也稱為生命關鍵系統或安全關鍵系統,是指若系統失效或誤動作,會產生以下後果的系統:
- 人員重傷或死亡,或者
- 設備的嚴重毀損,或者
- 環境的危害
這類的風險一般會配合安全工程的工具進行管理。生命攸關系統一般會設計在失效率小於10-9 1/h的條件下[1]。常用的設計工具包括概率风险评估,是一種結合失效模式與影響分析(FMEA)及故障樹分析的技術。越來越多的安全攸關系統是基于電腦的系統。
目录
1 可靠度作法
2 生命攸關系統的軟體工程
3 生命攸關系統的例子
3.1 基礎設備
3.2 醫療設備[3]
3.3 核能工程[4]
3.4 娛樂或運動設備
3.5 運輸
3.5.1 鐵路[5]
3.5.2 汽車[7]
3.5.3 航空[8]
3.5.4 太空梭[9]
4 相關條目
5 参考文献
6 外部連結
可靠度作法
在生命攸關系統中,有以下幾種可靠度的作法:
- 失效可操作的系统(Fail-operational systems):在其重要或主要系統損壞時,仍可正常完成正常或最终的重要动作的系統,例如配有紧急或备用系统的電梯、家用的自動調溫器,以及消極安全核反應爐。失效可操作的系统有時並不安全,例如美軍的核武不允許使用通訊中斷即發射(launch-on-loss-of-communications)的系統,因為後者是失效可操作的系统,若通訊中斷就自動發射核武,這種運作方式風險太高。美軍的思惟恰好和蘇聯死手系统在失效後自動發射的失效致命特性相反[2]。
失效安全(Fail-safe)系統 :是指系統不運作時會處在安全狀態,不會造成人員傷亡的系統。許多醫療系統都是這一類的,例如醫療的輸液泵可能損壞,但因為其安全間隔期夠長,可以用人工介入處理,只要它會停止輸液,並且發出警告提醒護理人員,並不會造成人員的傷亡。像工業用或是家用的燃燒控制器可能損壞,但也一定要有失效安全的特性(在其偵測到損壞時,自動熄滅火源)。一個接收到發射命令才會發射(launch-on-command)的核武也是失效安全的,因為在通訊系統損壞時,核武不會發射。鐵路信號也會設計成失效安全的。- Fail-secure的中文也是失效安全(可理解为“失效保障”),但主要著重于事物不被毀損、場地不被入侵的安全性:例如Fail-safe的電動鎖是为保護人員,在電力失效時自動開鎖;而Fail-secure的電動鎖是为保護場地安全,在電力失效時自動上鎖。
- 失效消极防护系统(Fail-Passive systems)即使在系統失效的情形下仍可以用其他方式運作,例如倘若飛機的自動駕駛系統失效,飛機也會維持在一個可控制的狀態,讓飛行員可以接手完成航程,順利降落。
容錯系統(Fault-tolerant system)是在系統有錯誤或故障時不會讓系統失效。像一般的核反應爐的控制系統就會是容錯系統。一般容錯的方式为數台電腦不間斷地測試系統的各部份,若有子系統失效,直接線上熱切換到其他正常的子系統。只要在正常的維修間隔內更換或修復有問題的子系統,此系統就视作是安全的。不過在一些系統中,會要求所用的電腦規格完全相同,電源供應器及人工控制面板等也不例外。
生命攸關系統的軟體工程
生命攸關系統的軟體工程格外困難,有三個層面的考量會對生命攸關系統的軟體工程有幫助。首先是流程的工程及管理,再來是为此系統選擇適當的工具及開發環境,這可以讓系統開發者可以利用仿真的方式有效地測試系統,觀察其是否有效果。第三,需解決所有法律及法規上的要求,像是飛行系統需要處理的美國聯邦航空總署(FAA)要求。若有設定在系統開發時需要符合的標準,也就強制了設計者需依循相關要求進行開發。航空电子產業已成功提出了製作生命攸關航空电子軟體的標準方法,即DO-178B。汽車業的ISO 26262、醫療產品的IEC 62304及核能的IEC 61513也是類似的法規。這些標準作法目的是要小心地編程、檢視、測試、驗證及分析系統,並書寫說明文件。另一種作法是驗證一產品系統、編譯器,再依規格產生系統的代碼。還有一種方式是用形式方法,用數學證明來證明代碼符合要求。這些方法都可以提昇生命攸關系統的軟體品質,方式可能是透過測試,或是減少開發程序中的人工步驟,因為人可能會出錯,這也是最常見的生命攸關系統潛在錯誤的原因。
生命攸關系統的例子
基礎設備
- 斷路器
灾难应对調度系統
發電、輸電系統及配電系統- 火災警報
- 自動灑水系統
- 保險絲
- 液壓保險器
- 电信
醫療設備[3]
其技術要求可能超過避免失效的程度,甚至可能包括建立醫療照護(有關病人的醫療)及生命維持(有關穩定病人的生理狀態)。
- 人工心肺機
機械通風系統
輸液泵及胰岛素泵
放射線療法機器- 機器人手術
去顫機器
透析機器- 電子式監控生命機能的儀器(例如心电图,ECG或EKG,以及腦電圖EEG)
- 醫療影像儀器(X光,X射线计算机断层成像- CT或CAT,核磁共振影像-MRI,正电子发射计算机断层扫描- PET)
核能工程[4]
核反应堆控制系統
娛樂或運動設備
- 機動遊戲
- 登山裝備
- 降落伞
- 水肺裝備
運輸
鐵路[5]
鐵路信號及控制系統- 控制列車車門的平台檢測[6]
- 列車自動停止[6]
汽車[7]
安全气囊系統
剎車系統- 座位安全帶
動力轉向系統- 高级辅助驾驶系统
- 电子节气门控制
- 電動車及油電混合車的电池管理系统
- 電子停車剎車
變速線控系統
驱动线控系統- 停車線控
航空[8]
航空交通管制系統
航空电子,特別是飛行線控系統
无线电导航接收机自主完好性监测(RAIM)- 发动机控制系统
航空生命維持系統- 航程的飛行計劃,以確認油料需求
太空梭[9]
载人航天太空梭
航天发射中心安全系統
发射载具安全- 太空人救援系統
- 太空人傳輸系統
相關條目
- 关键任务
- 核反应堆
- 生物醫學工程
- 形式化方法
- Therac-25案例
- 可靠度理論
- 可靠度
- 冗餘
- 生物医学工程
- SAPHIRE
- 区域安全性分析
- 安全相關系統
参考文献
^ AC 25.1309-1A
^ Inside the Apocalyptic Soviet Doomsday Machine. WIRED.
^ Medical Device Safety System Design: A Systematic Approach. mddionline.com.
^ Safety of Nuclear Reactors. world-nuclear.org.
^ 存档副本 (PDF). [2016-10-23]. (原始内容 (PDF)存档于2013-12-19).
^ 6.06.1 存档副本 (PDF). [2013-12-18]. (原始内容 (PDF)存档于2013-12-19).
^ Safety-Critical Automotive Systems. sae.org.
^ Leanna Rierson. Developing Safety-Critical Software: A Practical Guide for Aviation Software and DO-178C Compliance. ISBN 978-1-4398-1368-3.
^ http://www.dept.aoe.vt.edu/~cdhall/courses/aoe4065/NASADesignSPs/N_PG_8705_0002_.pdf
外部連結
- An Example of a Life-Critical System
- Safety-critical systems Virtual Library
- They Write the Right Stuff
- Explanation of Fail Operational and Fail Passive in Avionics
Useful Slides which explain Fault Tolerance and Fail * in distributed Systems[永久失效連結]
