Sisteme%20de%20

1
Sisteme de Încredere- Siguran?a -

• Ciprian Dobre
• ciprian.dobre_at_cs.pub.ro

2
Siguran?a

• Se refera la (în timpul operarii normale
  anormale)
• Controlarea unor sisteme poten?ial periculoase
• Prevenirea accidentarii sau omorârii unor
  persoane
• Prevenirea distrugerii mediului
• Adesea vazuta ?i ca specializare a fiabilita?ii
• Minimizarea apari?iei de defecte în special
  acelora cu consecin?e catastrofice

3
Sisteme de siguran?a

• Siguran?a directa (primare)
• Sisteme critice de siguran?a
• Chiar sistemul poate provoca daune / accidente
• Controlul unei centrale electrice, control de
  zbor, etc.
• Siguran?a indirecta (secundare)
• Asista sistemul cu implica?ii legate de siguran?a
• Opera?ii asupra bazei de date, managerul de
  mentenan?a, etc.

4
Lan?ul de Hazarde
Hazard Fenomenul sau situa?ia cu poten?ial
periculos Incident Apari?ia acelei situa?ii de
hazard Accident - Moarte, accidentare sau
pierderi rezultate în incident
5
Compara?ie
Poate vi vazut ca o instan?a specifica,
socio-tehnica legata de siguran?a, a
6
Exemple

• Hazard
• Cablul electric este lasat nesupravegheat
• Tuburi de aerisire sub?iri
• Incident
• Taietorul de iarba taie cablul
• Tubul de racire se blocheaza
• Accident
• Gradinarul se electrocuteaza
• Core meltdown

7
Valoarea vie?ii umane
Suntem tenta?i sa spunem ca via?a umana nu are
pre? ?i ca nu poate fi precupe?it nici un efort
pentru a o proteja. Totu?i, asemenea argumente nu
stau în fa?a logicii.
Neil Storey
8
Compromisul

• Trebuie pus un pre? pe via?a ?i suferin?a
• Siguran?a perfecta nu e posibila
• Fiabilitatea extrem de ridicata este scumpa
• Ajungerea la un compromis acceptabil între
• Siguran?a, Practicalitate, Cost
• Multe aspecte sociale, tehnice sau politice la
  mijloc

9
Efort siguran?a vs. cost
10
Exemplu

• Ca ?i coordonator de activita?i de rechemare în
  produc?ie, aveam urmatorul job Se ia numarul de
  ma?ini aflate în circula?ie (A), se înmul?e?te cu
  rata probabila a accidentelor (B), apoi cu
  rezultatul medierii costurilor pierdute cu
  diversele procese intentate (C). Daca rezultatul
  (A x B x C) este mai mic decât costul rechemarii
  în fabrica, e acceptabil.

Edward Norton
11
Responsabilitatea Producatorului

• Pentru ca moartea/accidentarea pot fi tolerate
• Manufactorul este deschis unor eventuale litigii
• Amenzi din partea agen?iilor guvernamentale (ex.,
  agen?ia de mediu)
• Procese civile
• Chiar încarcerarea angaja?ilor

12
Apararea Producatorului

• Demonstreaza ca sistemul se potrive?te scopului
• As Safe as Could Reasonably be Expected
• Demonstreaza lipsa de neglijen?a
• Furnizeaza avertismente (semne, etichete,
  disclaimere)
• Apeleaza la asiguratori !!!

13
Evaluarea siguran?ei

• Siguran?a este greu de masurat
• Se bazeaza adesea pe nivelul de siguran?a
  judecat
• Estimeaza propriile noastre nivele de
  con?tiin?a
• De la foarte sigur la foarte nesigur
• Conteaza pentru evaluari profesionale
• Evaluare pe baza unor argumente
• Trebuie sa adreseze atât produsul, cât ?i procesul

14
Factori ce influen?eaza judecata

• Reputa?ia dezvoltatorilor
• Maturitatea procesului de dezvoltare
• Aderen?a la standarde
• Proces bine documentat de VV
• Review-uri/inspec?ii
• Verificare statica
• Testare în amanunt
• Verificari formale
• Cazuri de siguran?a

15
Cazuri de test pentru siguran?a

• Justificare ?i aparare pentru sistem
• Nu garanteaza în totalitate siguran?a sistemului
• Argumente pentru indicarea nivelului de siguran?a
• Demonstreaza proiectul ?i presupunerile facute
• Sus?ine dovezi pe baza
• Evaluare inginereasca experta
• Analiza riscului probabilistica
• Demonstrarea riscurilor ?i verificarea adresarii
  acestora

16
Verificare prin contradic?ie

• Abordare sistematica matematica
• Arata ca anumite stari nesigure nu pot fi atinse
  în func?ionare
• Arata ca anumite condi?ii pentru hazard nu pot
  exista
• Focus pe un singur aspect al sistemului
• Metoda ce împrumuta din mecanismele formale

17
Masuri de asigurare a unui grad înalt de siguran?a

• Folosirea unor metode pentru asigurarea unui grad
  înalt de siguran?a ? problematica
• Adesea imposibil de verificat rezultatul
• Nu se pot executa teste la limita (umana???)
• Putem construi experimente pentru evaluarea
  extremelor?
• Sunt oare astfel de sisteme prea riscante?
• Daca nu putem verifica mai bine nu construim!

18
Masuri de calcul a Severita?ii

• Nu toate defectele au aceea?i severitate
• Putem sa toleram unele minore
• Nivele de integritate
• Neglijabil 10-2 la10-1
• Efect minor 10-4 la 10-3
• Efect major 10-6 la 10-5
• Efect de hazard 10-8 la 10-7
• Efect catastrofic 10-9 ?i mai mic
• (Propusa de fabrican?ii din industria aviatica
  civila)

19
Clasificarea bazata pe consecin?e
20
Exemple de sisteme siguran?a

• Neglijabila (10-2 la10-1 ) ?
• Cu efecte minore (10-4 la 10-3) ?
• Cu efecte majore (10-6 la 10-5) ?
• Hazard (10-8 la10-7) ?
• Catastrofice (10-9 ?i mai mici) ?

Amortizoare, ?oc static
Taieturi, oase minore rupte
Pierderi de membre, accidentari serioase
Accident auto fatal, accident cu un balon cu aer
cald
Accident feroviar, sau nuclear
21
Hazarde ?i defecte

• Hazard-ul este vazut adesea de speciali?ti ca un
  tip specializat de defect
• Defec?iune de siguran?a
• Perspectiva socio-tehnica largita
• Harzardele pot fi gestionate în maniera similara
• Evitarea hazardului (eq. evitarea defectelor)
• Limitarea problemelor (eq. toleran?a la defecte)

22
Prevenirea accidentelor
Evitarea Hazardului
Limitarea pagubelor
Înlaturarea Hazardului
Siguran?a împrumuta abordari asemanatoare celor
tratate la fiabilitate
23
Evitarea ?i înlaturarea hazardelor

• Evaluari formale
• Argumentari informale
• Ciclu de dezvoltare matur ?i supravegheat
• Analiza hazardelor
• Instrumente suport
• Liste de verificare
• Brainstorming

24
Ciclu de dezvoltare de Siguran?a

• Analiza hazardelor
• Gestiunea hazardelor (logare, tracing)
• Engineri specializa?i în probleme de siguran?a
• Folosirea extensiva a review-urilor de siguran?a
• Certificarea siguran?ei
• Management detaliat al configura?iei

25
Ciclu de dezvoltare de siguran?a
Identificarea Preliminara a Hazardelor
Analiza Preliminara a Hazardelor
Review de Siguran?a
Analiza detaliata a Hazardelor
Producerea de Cazuri de Siguran?a
Audit Independent Al Siguran?ei
26
Procesul de analiza al hazardelor
Identificarea Hazardelor
Clasificarea Hazardelor
Evaluarea Riscurilor
Filtrarea Hazardelor
Descompunerea Hazardelor
Propunerea de Solu?ii (Guards)
27
Colaborare în procesul de analiza a hazardelor

• Dezvoltatori
• Exper?i ai domeniului
• Exper?i în siguran?a
• Manageri
• Utilizatori finali
• Organisme de control
• Organiza?ii de certificare

28
Analiza de Hazard

• Lunga ?i consumatoare de timp
• Dificila ?i complexa
• Costisitoare
• Susceptibila la omisiuni ?i erori
• Estimarea probabilita?ilor ?i severita?ii
  hazardelor este greu de facut

29
Procesul de Analiza a Hazardelor
Identify Hazards
Classify Hazards
Assess Risks
Filter Hazards
Decompose Hazards
Propose Guards
30
Identificarea Hazardelor

• Identificarea tuturor posibilelor hazarde
• Adesea sunt multe posibile hazarde ce pot aparea
• Greu de identificat toate hazardele
• Poten?ial pentru interac?iunea hazardelor
• Majoritatea accidentelor se datoreaza mai multor
  hazarde/incidente (Perrow 1984)

31
Mecanisme pentru Identificare

• Introspec?ia
• Group brainstorming
• Studii pe cazuri cheie
• Instrumente suport
• Liste de verificare

32
Analiza HazOp

• Suport pentru cooperare între exper?i
• Ajuta la acoperirea diferen?ei culturale
• Suport de gândire sistematic
• Prompt pentru operatorii umani
• Entita?i ?i fenomene
• Lucruri rele dependente de domeniu
• Toate combina?iile sunt considerate

33
Concepte HazOp

1. Inten?ie cum ar trebui sa func?ioneze sistemul
2. Cuvânt de ghidare abstractizeaza lucrurile
   rele
3. Parametru entitate sau fenomen modificabil
4. Devia?ie opera?ie neinten?ionate (2 x 3)
5. Cauza cauza devia?iei
6. Consecin?a rezultatul devia?iei
7. Ac?iune sugerata previne devia?ia

34
Exemplu de analiza HazOp

• Producerea unei cani cu ceai

Parametrii Frunze de ceai Caldura Apa Zahar
Lapte Scaun confortabil
Cuvinte de ghidare Mai mult Mai pu?in La fel
ca ?i Altfel cât Mai devreme Mai târziu
35
Devia?ii posibile

• Mai multe frunze de ceai prea puternic
• Mai pu?ina caldura infuzare slaba, ceai rece
• Lapte pus prea târziu (ceaiul mai întâi)
  distrugerea proteinelor
• Mai mult zahar prea dulce
• Altceva decât scaun confortabil experien?a
  ruinata

36
Procesul de analiza a Hazardelor
Identify Hazards
Classify Hazards
Assess Risks
Filter Hazards
Decompose Hazards
Propose Guards
37
Clasificarea hazardelor

• Natura stricaciunii (ex., toxic)
• Exemplul fiind etichetarea containerelor de marfa
  
• Probabilitatea de stricare/defectare
• Severitatea defectului

38
Hazard analysis process
Identify Hazards
Classify Hazards
Assess Risks
Filter Hazards
Decompose Hazards
Propose Guards
39
Evaluarea riscurilor

• Produce valori pentru riscurile calculate
• Se considera acceptabilitatea riscului
• Intolerabil
• As Low As Reasonably Practical (ALARP)
• Acceptabil
• Se considera o serie de factori socio-politici
• costul prevenirii
• Ajuta la deciderea ac?iunii ce trebuie luata

40
Fenomenul riscului

• Riscul reprezinta un fenomen straniu
• Dependent de o gândire poate ilogica
• Dependent de presiuni politice ?i sociale
• Riscul perceput poate adesea diferi de riscul real

41
Percep?ia riscului

• Accident grav, multe fatalita?i impact mare
• Accident minor, pu?ine fatalita?i impact mic
• Chiar daca sunt multe accidente minore la un
  moment dat
• Numarul total de victime rezultat nu este atât de
  important !!!
• Ce omoara mai mul?i oameni Avioanele sau
  magarii?
• 2004 9000 decese cauzate de magari fa?a de 172
  accidente aviatice soldate cu doar 771 de decese

42
Riscuri stranii

• Accident de tren multe decese
• Reac?ie publica
• Guvernul este imediat supus unei presiuni publice
• Se introduc noi sisteme de protec?ie feroviara
• Se reduc vitezele legale permise pentru
  deplasarea trenurilor, cresc pre?urile biletelor
• Mai mul?i pasageri aleg în aceste condi?ii ma?ina
  ca mijloc de deplasare
• Dar ma?inile sunt mai pu?in sigure decât
  trenurile
• Deci mai mul?i oameni ajung în final sa decedeze
  decât daca guvernul nu ar fi facut nimic ?i ar fi
  ignorat accidentul !!!

43
Calcularea riscului

• Probabilitatea de apari?ie a hazardului
  (apari?ie)
• Probabilitatea de apari?ie a incidentelor
  (conversie)
• Probabilitatea de apari?ie a accidentelor
  (completare)
• Severitatea hazardului (paguba în cel mai rau
  caz)
• Hazard risk
• haz_prob x incident_prob x accident_prob x
  haz_sev

44
Dimensiuni ale riscului

• Probabilitate valoare sau scala numerica
• Frecvent, Probabil, Ocazional, Pu?in probabil,
  Improbabil, Incredibil (N.B. nimic nu este însa
  imposibil!)
• Severitate valoarea sau scala numerica
• Catastrofic, de Hazard, Major, Minor, Neglijabil,
  Nici un efect
• Risc numeric (decese / an) sau scala
• Intolerabil, Nedorit, Tolerabil, Neglijabil

45
Întrebari despre estimarea riscului

• Identifica?i poten?ialele accidente rezultate în
  urma urmatoarelor situa?ii ?i estima?i riscurile
  percepute ?i reale
• Condusul pe A1 pe zapada
• Zborul cu un avion Concorde
• Plimbare în rollercoaster
• A fi un student la Master

46
Analiza arborelui de evenimente

• Cum contribuie hazardele la accidente
• Interac?iuni între hazarde ?i evenimente
• Efecte combinate ale hazardelor
• Ajuta la reflec?ia asupra a ceea ce s-ar putea
  întâmpla
• La baza probabilitatea de apari?ie a hazardelor
  ?i a unor evenimente
• Calculeaza probabilitatea unui accident
• Folosit în evaluarea riscului

47
Exemplu

• Barca cu coca neetan?a
• Sistem de detec?ie a apei de mare
• Pompa automata
• Alarma de detec?ie a defectarii pompei
• Nivel de alarma
• Pompa manuala disponibila

48
Analiza bazata pe arbore de evenimente
Pump succeeds
Boat Saved
Water detector succeeds
Manual pump succeeds
Boat Saved
Alarm succeeds
Manual pump fails
Pump fails
Fluid level rises
Boat Lost
Alarm fails
Boat Lost
Water detector fails
Boat Lost
49
Procesul de analiza a hazardelor
Identify Hazards
Classify Hazards
Assess Risks
Filter Hazards
Decompose Hazards
Propose Guards
50
Filtrarea hazardelor

• Minimizeaza setul de hazarde supuse analizei
• Înlatura hazardele imposibile
• Înlatura hazardele mult improbabile
• Înlatura hazardele cu risc scazut
• Pastreaza înregistrari ale hazardelor înlaturate
• Se re?in cele ra?ionale pentru a fi înlaturate

51
Procesul de analiza a hazardelor
Identify Hazards
Classify Hazards
Assess Risks
Filter Hazards
Decompose Hazards
Propose Guards
52
Descompunerea hazardelor

• Se identifica cauzele fiecarui hazard
• Adesea o combina?ie de mai mul?i factori conduc
  la un hazard
• Un singur hazard poate avea mai multe cauze
• Esen?ial în?elegerea fiecarui hazard

53
Analiza bazata pe arborele de defecte

• Documentarea sistematica a hazardelor
• Poate utiliza probabilita?ile de apari?ie a
  diverselor evenimente
• Tabele cu probabilita?ile asociate unor defecte
  sunt disponibile pentru componente mai comune
• Se calculeaza probabilitatea de apari?ie a unui
  hazard
• Tinde sa conduca la producerea unor arbori de
  mari dimensiuni
• Evolueaza de-a lungul procesului de analiza

54
Analiza bazata pe arborele de defecte
Hazard
AND-urile sunt mai bune decât OR-urile
OR
Cauza 1
Cauza 2
AND
OR
Cauza 1.1
Cauza 1.2
Cauza 2.2
Cauza 2.1
55
Ex analiza pentru un circuit
Sistem de avertizare pt. nivelul de fluid
56
Arbore de defecte
Warning lamp does not operate
Ellipse top level event the ultimate system
level fault or hazard
AND/OR sometimes shown using logic gate symbols
OR
Diamond undeveloped event, i.e. could have a
separate sub-tree of its own
Primary Lamp failure
No voltage to lamp
Rectangle fault event
OR
Battery failure
Fuse open-circuit
Primary connector failure
Switch contacts fail to close
OR
OR
Circle Basic Event (i.e. initial cause of fault)
Primary Fuse failure
Primary switch failure
2ndry Fuse failure
2ndry Fuse failure
57
Procesul de analiza a hazardelor
Identify Hazards
Classify Hazards
Assess Risks
Filter Hazards
Decompose Hazards
Propose Guards
58
Propozi?ia Garda

• Previne cauze ale hazardelor
• Interlock-uri
• Garzi fizice
• Software de control
• Practici ?i proceduri de lucru
• Blocheaza consecin?a incidentelor
• În contradic?ie cu limitarea defectelor

59
Limitarea defectelor
Hazard avoidance
Damage limitation
Hazard removal
60
Abordari pt. limitare

• Aser?iuni ?i verificari de stare
• Gestiunea excep?iilor
• Stari de siguran?a (sisteme fail-safe)
• Flexibilitate umana
• Raportarea incidentelor
• Proceduri de urgen?a (ex., exerci?ii de evacuare
  în caz de urgen?a)

61
Stari de oprire

• Fail-controlled defec?iune eleganta
• Fail-uncontrolled defec?iune scandaloasa
• Fail-stop oprire fara output
• Fail-silent continuare a operarii, fara output
• Fail-safe oprire ?i trecere într-o stare de
  siguran?a
• Fail-operational înca exista o parte din
  func?ionalitate operabila

62
Componentele umane

• Ce efect au oamenii asupra unui sistem
• Injectare de nesiguran?a sau ne-predictibilitate?
• Injectare de flexibilitate ?i rezilien?a?
• Probabil un pic din ambele
• Trebuie luat în calcul avantajele provenite din
  includerea componentelor umane
• raportat la limitarile umane
• Avioanele moderne înca au nevoie ?i de un pilot!
• (se deschid tot felul de probleme legate de trust)

63
Vina

• Toate defec?iune au la baza oameni
• Dezvoltatori
• Administratori
• Operatori
• Operatorii în particular sunt buni ?api
  ispa?itori daca lucrurile nu merg precum ar
  trebui
• Mai ales daca au ?i decedat!
• Adesea erorile de operatori au la baza UI-ul

64
FMECA (sau doar FMEA)

• Failure Mode o modalitate ca ceva sa se
  defecteze
• Cause ce a condus la defec?iune
• Effect consecin?a defec?iunii
• Severity seriozitatea efectelor
• Occurrence prob. de apari?ie a cauzei
• Criticality - severity x occurrence
• Current control existen?a unei garzi asupra
  cauzei
• Detection prob. de succes a controlului
• Risk priority - criticality x detection

65
Exerci?iu de grup

• Identifica?i cât mai multe hazarde poten?iale ale
  unui zbor efectuat într-un Airbus A320. Se vor
  considera toate probleme socio-tehnice ce pot
  aparea. Se vor folosi urmatoarele mecanisme de
  identificare
• Brainstorming
• Compara?ie între preceden?a ?i cazuri de test
• Analiza HazOp