fbpx
维基百科

生命攸關系統

一月 04, 2023

生命攸關系統life-critical system)或安全攸關系統safety-critical system)也稱為生命關鍵系統安全關鍵系統,是指若系統失效或誤動作,會產生以下後果的系統:

  • 人員重傷或死亡,或者
  • 設備的嚴重毀損,或者
  • 環境的危害

這類的風險一般會配合安全工程的工具進行管理。生命攸關系統一般會設計在失效率小於10-9 1/h的條件下[1]。常用的設計工具包括概率风险评估英语Probabilistic Risk Assessment,是一種結合失效模式與影響分析(FMEA)及故障樹分析的技術。越來越多的安全攸關系統是基于電腦的系統。

可靠度作法

在生命攸關系統中,有以下幾種可靠度的作法:

  • 失效可操作的系统(Fail-operational systems):在其重要或主要系統損壞時,仍可正常完成正常或最终的重要动作的系統,例如配有紧急或备用系统的電梯、家用的自動調溫器,以及消極安全核反應爐英语Passive nuclear safety。失效可操作的系统有時並不安全,例如美軍的核武不允許使用通訊中斷即發射(launch-on-loss-of-communications)的系統,因為後者是失效可操作的系统,若通訊中斷就自動發射核武,這種運作方式風險太高。美軍的思惟恰好和蘇聯死亡之手在失效後自動發射的失效致命特性相反[2]
  • 失效安全(Fail-safe)系統 :是指系統不運作時會處在安全狀態,不會造成人員傷亡的系統。許多醫療系統都是這一類的,例如醫療的輸液泵英语infusion pump可能損壞,但因為其安全間隔期夠長,可以用人工介入處理,只要它會停止輸液,並且發出警告提醒護理人員,並不會造成人員的傷亡。像工業用或是家用的燃燒控制器可能損壞,但也一定要有失效安全的特性(在其偵測到損壞時,自動熄滅火源)。一個接收到發射命令才會發射(launch-on-command)的核武也是失效安全的,因為在通訊系統損壞時,核武不會發射。鐵路信號也會設計成失效安全的。
  • Fail-secure的中文也是失效安全(可理解为“失效保障”),但主要著重于事物不被毀損、場地不被入侵的安全性:例如Fail-safe的電動鎖是为保護人員,在電力失效時自動開鎖;而Fail-secure的電動鎖是为保護場地安全,在電力失效時自動上鎖。
  • 失效消极防护系统(Fail-Passive systems)即使在系統失效的情形下仍可以用其他方式運作,例如倘若飛機的自動駕駛系統失效,飛機也會維持在一個可控制的狀態,讓飛行員可以接手完成航程,順利降落。
  • 容錯系統(Fault-tolerant system)是在系統有錯誤或故障時不會讓系統失效。像一般的核反應爐的控制系統就會是容錯系統。一般容錯的方式为數台電腦不間斷地測試系統的各部份,若有子系統失效,直接線上熱切換到其他正常的子系統。只要在正常的維修間隔內更換或修復有問題的子系統,此系統就视作是安全的。不過在一些系統中,會要求所用的電腦規格完全相同,電源供應器及人工控制面板等也不例外。

生命攸關系統的軟體工程

生命攸關系統的軟體工程格外困難,有三個層面的考量會對生命攸關系統的軟體工程有幫助。首先是流程的工程及管理,再來是为此系統選擇適當的工具及開發環境,這可以讓系統開發者可以利用仿真的方式有效地測試系統,觀察其是否有效果。第三,需解決所有法律及法規上的要求,像是飛行系統需要處理的美國聯邦航空總署(FAA)要求。若有設定在系統開發時需要符合的標準,也就強制了設計者需依循相關要求進行開發。航空电子產業已成功提出了製作生命攸關航空电子軟體的標準方法,即DO-178B英语DO-178B汽車業的ISO 26262、醫療產品的IEC 62304及核能的IEC 61513也是類似的法規。這些標準作法目的是要小心地編程、檢視、測試、驗證及分析系統,並書寫說明文件。另一種作法是驗證一產品系統、編譯器,再依規格產生系統的代碼。還有一種方式是用形式方法,用數學證明來證明代碼符合要求。這些方法都可以提昇生命攸關系統的軟體品質,方式可能是透過測試,或是減少開發程序中的人工步驟,因為人可能會出錯,這也是最常見的生命攸關系統潛在錯誤的原因。

生命攸關系統的例子

基礎設備

醫療設備[3]

其技術要求可能超過避免失效的程度,甚至可能包括建立醫療照護(有關病人的醫療)及生命維持英语life support(有關穩定病人的生理狀態)。

核能工程[4]

娛樂或運動設備

運輸

鐵路[5]

汽車[7]

航空[8]

  • 航空交通管制系統
  • 航空电子,特別是飛行線控系統
  • 无线电导航接收机自主完好性监测英语Receiver Autonomous Integrity Monitoring(RAIM)
  • 发动机控制系统英语Aircraft engine controls
  • 航空生命維持英语Life support (aviation)系統
  • 航程的飛行計劃,以確認油料需求

太空梭[9]

相關條目

参考文献

  1. ^ AC 25.1309-1A (PDF). [2012-10-25]. (原始内容 (PDF)于2014-02-11). 
  2. ^ Inside the Apocalyptic Soviet Doomsday Machine. WIRED. [2016-03-29]. (原始内容于2014-03-22). 
  3. ^ Medical Device Safety System Design: A Systematic Approach. mddionline.com. [2016-03-31]. (原始内容于2017-09-03). 
  4. ^ Safety of Nuclear Reactors. world-nuclear.org. [2016-03-31]. (原始内容于2016-01-18). 
  5. ^ (PDF). [2016-10-23]. (原始内容 (PDF)存档于2013-12-19). 
  6. ^ 6.0 6.1 (PDF). [2013-12-18]. (原始内容 (PDF)存档于2013-12-19). 
  7. ^ Safety-Critical Automotive Systems. sae.org. [2016-03-31]. (原始内容于2013-12-19). 
  8. ^ Leanna Rierson. Developing Safety-Critical Software: A Practical Guide for Aviation Software and DO-178C Compliance. [2016-03-31]. ISBN 978-1-4398-1368-3. (原始内容于2016-05-06). 
  9. ^ 存档副本 (PDF). [2016-03-31]. (原始内容 (PDF)于2021-03-17). 

外部連結

  • An Example of a Life-Critical System (页面存档备份,存于互联网档案馆
  • They Write the Right Stuff (页面存档备份,存于互联网档案馆
  • Explanation of Fail Operational and Fail Passive in Avionics (页面存档备份,存于互联网档案馆
  • Useful Slides which explain Fault Tolerance and Fail * in distributed Systems[永久失效連結]

一月 04, 2023
生命攸關系統, life, critical, system, 或安全攸關系統, safety, critical, system, 也稱為生命關鍵系統或安全關鍵系統, 是指若系統失效或誤動作, 會產生以下後果的系統, 人員重傷或死亡, 或者, 設備的嚴重毀損, 或者, 環境的危害這類的風險一般會配合安全工程的工具進行管理, 一般會設計在失效率小於10, h的條件下, 常用的設計工具包括概率风险评估, 英语, probabilistic, risk, assessment, 是一種結合失效模式與影響分析, fmea. 生命攸關系統 life critical system 或安全攸關系統 safety critical system 也稱為生命關鍵系統或安全關鍵系統 是指若系統失效或誤動作 會產生以下後果的系統 人員重傷或死亡 或者 設備的嚴重毀損 或者 環境的危害這類的風險一般會配合安全工程的工具進行管理 生命攸關系統一般會設計在失效率小於10 9 1 h的條件下 1 常用的設計工具包括概率风险评估 英语 Probabilistic Risk Assessment 是一種結合失效模式與影響分析 FMEA 及故障樹分析的技術 越來越多的安全攸關系統是基于電腦的系統 目录 1 可靠度作法 2 生命攸關系統的軟體工程 3 生命攸關系統的例子 3 1 基礎設備 3 2 醫療設備 3 3 3 核能工程 4 3 4 娛樂或運動設備 3 5 運輸 3 5 1 鐵路 5 3 5 2 汽車 7 3 5 3 航空 8 3 5 4 太空梭 9 4 相關條目 5 参考文献 6 外部連結可靠度作法 编辑在生命攸關系統中 有以下幾種可靠度的作法 失效可操作的系统 Fail operational systems 在其重要或主要系統損壞時 仍可正常完成正常或最终的重要动作的系統 例如配有紧急或备用系统的電梯 家用的自動調溫器 以及消極安全核反應爐 英语 Passive nuclear safety 失效可操作的系统有時並不安全 例如美軍的核武不允許使用通訊中斷即發射 launch on loss of communications 的系統 因為後者是失效可操作的系统 若通訊中斷就自動發射核武 這種運作方式風險太高 美軍的思惟恰好和蘇聯死亡之手在失效後自動發射的失效致命特性相反 2 失效安全 Fail safe 系統 是指系統不運作時會處在安全狀態 不會造成人員傷亡的系統 許多醫療系統都是這一類的 例如醫療的輸液泵 英语 infusion pump 可能損壞 但因為其安全間隔期夠長 可以用人工介入處理 只要它會停止輸液 並且發出警告提醒護理人員 並不會造成人員的傷亡 像工業用或是家用的燃燒控制器可能損壞 但也一定要有失效安全的特性 在其偵測到損壞時 自動熄滅火源 一個接收到發射命令才會發射 launch on command 的核武也是失效安全的 因為在通訊系統損壞時 核武不會發射 鐵路信號也會設計成失效安全的 Fail secure的中文也是失效安全 可理解为 失效保障 但主要著重于事物不被毀損 場地不被入侵的安全性 例如Fail safe的電動鎖是为保護人員 在電力失效時自動開鎖 而Fail secure的電動鎖是为保護場地安全 在電力失效時自動上鎖 失效消极防护系统 Fail Passive systems 即使在系統失效的情形下仍可以用其他方式運作 例如倘若飛機的自動駕駛系統失效 飛機也會維持在一個可控制的狀態 讓飛行員可以接手完成航程 順利降落 容錯系統 Fault tolerant system 是在系統有錯誤或故障時不會讓系統失效 像一般的核反應爐的控制系統就會是容錯系統 一般容錯的方式为數台電腦不間斷地測試系統的各部份 若有子系統失效 直接線上熱切換到其他正常的子系統 只要在正常的維修間隔內更換或修復有問題的子系統 此系統就视作是安全的 不過在一些系統中 會要求所用的電腦規格完全相同 電源供應器及人工控制面板等也不例外 生命攸關系統的軟體工程 编辑生命攸關系統的軟體工程格外困難 有三個層面的考量會對生命攸關系統的軟體工程有幫助 首先是流程的工程及管理 再來是为此系統選擇適當的工具及開發環境 這可以讓系統開發者可以利用仿真的方式有效地測試系統 觀察其是否有效果 第三 需解決所有法律及法規上的要求 像是飛行系統需要處理的美國聯邦航空總署 FAA 要求 若有設定在系統開發時需要符合的標準 也就強制了設計者需依循相關要求進行開發 航空电子產業已成功提出了製作生命攸關航空电子軟體的標準方法 即DO 178B 英语 DO 178B 汽車業的ISO 26262 醫療產品的IEC 62304及核能的IEC 61513也是類似的法規 這些標準作法目的是要小心地編程 檢視 測試 驗證及分析系統 並書寫說明文件 另一種作法是驗證一產品系統 編譯器 再依規格產生系統的代碼 還有一種方式是用形式方法 用數學證明來證明代碼符合要求 這些方法都可以提昇生命攸關系統的軟體品質 方式可能是透過測試 或是減少開發程序中的人工步驟 因為人可能會出錯 這也是最常見的生命攸關系統潛在錯誤的原因 生命攸關系統的例子 编辑基礎設備 编辑 斷路器 灾难应对調度系統 發電 輸電系統及配電系統 火災警報 英语 Fire alarm 自動灑水系統 保險絲 液壓保險器 电信醫療設備 3 编辑 其技術要求可能超過避免失效的程度 甚至可能包括建立醫療照護 有關病人的醫療 及生命維持 英语 life support 有關穩定病人的生理狀態 人工心肺機 英语 Heart lung machine 機械通氣 輸液泵 英语 Infusion pump 及胰岛素泵 放射線療法機器 機器人手術 英语 Robotic surgery 去顫機器 透析機器 電子式監控生命機能的儀器 例如心电图 ECG或EKG 以及腦電圖EEG 醫療影像儀器 X光 X射线计算机断层成像 CT或CAT 核磁共振影像 MRI 正电子发射计算机断层扫描 PET 核能工程 4 编辑 核反应堆控制系統娛樂或運動設備 编辑 機動遊戲 登山裝備 英语 Climbing equipment 降落伞 水肺裝備運輸 编辑 鐵路 5 编辑 鐵路信號及控制系統 控制列車車門的平台檢測 6 列車自動停止 6 汽車 7 编辑 安全气囊系統 剎車系統 座位安全帶 動力輔助轉向系統 高级辅助驾驶系统 电子节气门控制 英语 Electronic throttle control 電動車及油電混合車的电池管理系统 電子停車剎車 英语 Electric Park Brake 變速線控 英语 Shift by wire 系統 驱动线控 英语 Drive by wire 系統 停車線控 英语 Park by wire 航空 8 编辑 航空交通管制系統 航空电子 特別是飛行線控系統 无线电导航接收机自主完好性监测 英语 Receiver Autonomous Integrity Monitoring RAIM 发动机控制系统 英语 Aircraft engine controls 航空生命維持 英语 Life support aviation 系統 航程的飛行計劃 以確認油料需求太空梭 9 编辑 载人航天太空梭 航天发射中心安全系統 发射载具安全 太空人救援系統 太空人傳輸系統相關條目 编辑关键任务 核反应堆 生物醫學工程 形式化方法 Therac 25案例 可靠度理論 英语 Reliability theory 可靠度 冗餘 生物医学工程 SAPHIRE 英语 SAPHIRE 区域安全性分析 英语 Zonal safety analysis 安全相關系統 The Power of 10参考文献 编辑 AC 25 1309 1A PDF 2012 10 25 原始内容存档 PDF 于2014 02 11 Inside the Apocalyptic Soviet Doomsday Machine WIRED 2016 03 29 原始内容存档于2014 03 22 Medical Device Safety System Design A Systematic Approach mddionline com 2016 03 31 原始内容存档于2017 09 03 Safety of Nuclear Reactors world nuclear org 2016 03 31 原始内容存档于2016 01 18 存档副本 PDF 2016 10 23 原始内容 PDF 存档于2013 12 19 6 0 6 1 存档副本 PDF 2013 12 18 原始内容 PDF 存档于2013 12 19 Safety Critical Automotive Systems sae org 2016 03 31 原始内容存档于2013 12 19 Leanna Rierson Developing Safety Critical Software A Practical Guide for Aviation Software and DO 178C Compliance 2016 03 31 ISBN 978 1 4398 1368 3 原始内容存档于2016 05 06 存档副本 PDF 2016 03 31 原始内容存档 PDF 于2021 03 17 外部連結 编辑An Example of a Life Critical System 页面存档备份 存于互联网档案馆 Safety critical systems Virtual Library They Write the Right Stuff 页面存档备份 存于互联网档案馆 Explanation of Fail Operational and Fail Passive in Avionics 页面存档备份 存于互联网档案馆 Useful Slides which explain Fault Tolerance and Fail in distributed Systems 永久失效連結 取自 https zh wikipedia org w index php title 生命攸關系統 amp oldid 75135301, 维基百科,wiki,书籍,书籍,图书馆,

文章

,阅读,下载,免费,免费下载,mp3,视频,mp4,3gp, jpg,jpeg,gif,png,图片,音乐,歌曲,电影,书籍,游戏,游戏。