生命攸關系統

维基百科,自由的百科全书
跳转至: 导航搜索

生命攸關系統life-critical system)或安全攸關系統safety-critical system)也稱為生命關鍵系統安全關鍵系統,是指一個系統的失效或誤動作會產生以下後果:

  • 人員重傷或死亡,或者
  • 設備的嚴重毀損,或者
  • 環境的危害

這類的風險一般會配合安全工程的工具進行管理。生命攸關系統一般會設計在失效率小於10-9 1/h的條件下[1]。常用的設計工具包括概率风险评估英语Probabilistic Risk Assessment,是一種結合失效模式與影響分析(FMEA)及故障樹分析的技術。越來越多的安全攸關系統是基于電腦的系統。

可靠度作法[编辑]

在生命攸關系統中,有以下幾種可靠度的作法:

  • 失效可操作的系统(Fail-operational systems):在其控制系統英语Control system損壞時,仍要可以正常運作的系統,例如電梯、家用的自動調溫器以及消極安全核反應爐英语Passive nuclear safety。失效可操作的系统有時並不安全,例如美軍的核武不允許使用通訊中斷即發射(launch-on-loss-of-communications)的系統,因為後者是失效可操作的系统,若通訊中斷就自動發射核武,這種運作方式風險太高。美軍的思惟恰好和蘇聯死手系统英语Dead Hand (nuclear war)在失效後自動發射的失效致命特性相反[2]
  • 失效安全(Fail-safe)系統 :是指系統不運作時會處在安全狀態,不會造成人員傷亡的系統。許多醫療系統都是這一類的,例如醫療的輸液泵英语infusion pump可能損壞,但因為其安全間隔期夠長,可以用人工介入處理,只要它會停止輸液,並且發出警告提醒護理人員,並不會造成人員的傷亡。像工業用或是家用的燃燒控制器可能損壞,但也一定要有失效安全的特性(在其偵測到損壞時,自動熄滅火源)。一個接收到發射命令才會發射(launch-on-command)的核武也是失效安全的,因為在通訊系統損壞時,核武不會發射。鐵路信號也會設計成失效安全的。
  • Fail-secure的中文也是失效安全,但主要著重的是事物不被毀損,場地不被入侵的安全性:像失效安全的電動鎖主要是要保護人員,在電力失效時會自動開鎖。但Fail-secure的電動鎖主要是要保護場地安全,在電力失效時會自動上鎖。
  • 失效消极防护系统(Fail-Passive systems)即使在系統失效的情形下仍可以用其他方式運作,例如飛機的自動駕駛系統若失效了,也會讓飛機維持在一個可以控制的狀態,讓飛行員可以接手完成航程,順利降落。
  • 容錯系統英语Fault-tolerant system(Fault-tolerant system)是在系統有錯誤或故障時不會讓系統失效。像一般的核反應爐的控制系統就會是容錯系統。一般容錯的方式是有數台電腦不間斷的測試系統的各部份,若有子系統失效,直接線上熱切換到其他正常的子系統。只要在正常的維修間隔內更換或修復有問題的子系統,此系統就算是安全的。不過在一些系統中,所用的電腦會要求規格要完全相同、電源供應器及人工用的控制面板也不例外。

生命攸關系統的軟體工程[编辑]

生命攸關系統的軟體工程格外困難,有三個層面的考量會對生命攸關系統的軟體工程有幫助。首先是流程的工程及管理,再來是選擇針對此系統,適當的工具及開發環境,這可以讓系統開發者可以利用仿真的方式有效的測試系統,觀察其是否有效果。第三,需解決所有法律及法規上的要求,像是飛行系統需要處理的FAA(美國聯邦航空總署)要求。若設定了在系統開發時需要符合的標準,也就強制設計者需依循相關要求進行開發。航空电子產業已成功的提出了製作生命攸關航空电子軟體的標準方法,即DO-178B英语DO-178B。汽車業的ISO 26262、醫療產品的IEC 62304及核能的IEC 61513也是類似的法規。這些標準作法目的是要小心的編程、檢視、測試、驗證及分析系統,並書寫說明文件 。另一種作法是去驗證一產品系統、編譯器,再依規格產生系統的代碼。還有一種方式是用形式方法,用數學證明來證明代碼符合要求。這些方法都可以提昇生命攸關系統的軟體品質,方式可能是透過測試,或是減少開發程序中的人工步驟,因為人可能會出錯,這也是最常見的生命攸關系統潛在錯誤的原因。

生命攸關系統的例子[编辑]

基礎設備[编辑]

醫療設備[3][编辑]

其技術要求可能超過避免失效的程度,甚至可能包括建立醫療照護(有關病人的醫療)及生命維持英语life support(有關穩定病人的生理狀態)。

核能工程[4][编辑]

娛樂或運動設備[编辑]

運輸[编辑]

鐵路[5][编辑]

汽車[7][编辑]

航空[8][编辑]

太空梭[9][编辑]

相關條目[编辑]

參考資料[编辑]

外部連結[编辑]