Järjestelmätasojen vaara-analyysit ja kriittisyyslista

Seuraavaksi laaditaan kriittisyyslista, jossa esitetään ja kuvataan mahdolliset vakavat poikkeamien vaikutukset järjestelmätasoilla. Järjestelmätasot voivat olla esimerkiksi ohjattava prosessi, säätöventtiili tai jokin muu, johon sovellusprojektin ohjelmistolla on ohjaavaa vaikutusta. Kriittisyyslistaan kirjattavia vaikutuksia ovat mm. prosessin vaarat (räjähdys, kalliiksi tuleva keskeytys jne.), jotka usein on selvitetty poikkeamatarkastelun tyyppisillä riskianalyysitekniikoilla.

Kriittisyyslistan laatimisella tarkoitetaan ohjelmiston toiminnallisen tason vaatimusmää-rittelyä, ylempien järjestelmätasojen vaarojen tunnistamista ja alustavaa seurausten merkityksen arviointia [MIL-STD-882B 1994, Friedman & Voas 1997]. Yksi tapa tun-nistamiseen on haastatella järjestelmätasojen asiantuntijoita. Ainakin osa vaaroista saa-daan mahdollisista aikaisemmin tehdyistä vaara-analyyseista, käyttökokemuksista tai mahdollisista onnettomuuksista. Tiedostamattomien vaarojen tunnistamiseksi tulisi käyttää tietyt tilanteet kattavia riskianalyysin vika- ja vaikutusanalyyseja.

Vika- ja vaikutusanalyyseihin liitetään mukaan riskin suuruuden arviointi, jolla tulisi tutkia tunnistettujen vaarojen alkutapahtumat tai olosuhteet, kyseessä olevat tapahtuma-ketjut, riskin vähentämismahdollisuudet ja mahdollisten vahingollisten seurausten luon-ne ja taajuus, jotta saataisiin kattava mitta analysoitavien riskien tasolle. Mitta voi si-sältää ihmisiin, omaisuuteen tai ympäristöön kohdistuvat riskit, ja sen tulisi sisi-sältää ar-vio arar-viointeihin liittyvästä epävarmuudesta.

Vaarojen tunnistamisessa voidaan käyttää apuna seuraavia dokumentteja tai konsultoida asiaa tietäviä:

− luonnossuunnitelmat ja -piirrokset

− erilaiset toimintakaaviot

− alustavat valmistus-, testi-, ylläpito-, korjaus- ja käyttösuunnitelmat

− muut analyysit, testit ja hallinnolliset toimet.

Leveson [1995] luettelee hyödyllisiä apukeinoja (ks. Taulukko 17) kriittisyyslistan laa-timiseksi mutta mainitsee erityisesti, että vaarojen tunnistamiseen ei ole olemassa hyviä ja jäsenneltyjä menettelytapoja.

Taulukko 17. Levesonin [1995] suosittamat toimenpiteet vaarojen tunnistamiseksi.

Ohje Tarkenne

Tarkastele olemassa olevia tietoja. Historiatietoja, häiriö- ja vikaraportteja, onnetto-muustietoja.

Hyödynnä julkaistuja tietoja vaaroista. Vaarojen tarkistuslistat, standardit ja suunnittelu-ohjeet, jotka usein peilautuvat tapahtuneista on-nettomuuksista.

Tarkastele järjestelmän energiaa. Energialähteitä, -virtoja ja -kohteita.

Tarkastele vaarallisia aineita. Polttoaineet, ponnekaasut, laserit, räjähdysaineet, myrkylliset ja paineistetut aineet.

Tarkastele aikaisemmin tehtyjä vaara-analyyseja.

Järjestelmätasojen HAZOP, FMECA ja ETA.

Tarkasta tehtävä- ja suoritusvaatimukset käyttöympäristössä.

Liitä tarkasteluun kaikki mahdolliset järjestelmän käyttäjät, ympäristöt, käyttötilat ja -ajat.

Ota huomioon rasitustilat. Eri toimintatilat.

Tarkastele käyttöliittymiä. Operaattorin ja automaattisen järjestelmän väli-nen vuorovaikutus.

Tarkastele erityisesti muutostilanteita järjestelmässä, teknisessä ja sosiaalisessa ympäristössä sekä järjestelmän tilanvaih-doissa.

Onnettomuusalttiita kohteita ovat käynnistys, uu-delleen käynnistys, alasajo, testaus, uusien me-netelmien kokeilu, huolto, korjaus, tarkastus, häi-riön etsintä, modifikaatiot, stressitilanteet jne.

Käy läpi koko prosessi kohta kohdalta. Mikä voi mennä vikaan, kuinka korjata ja mitä tehdä, jos niin tapahtuu.

Kriittisyyslistassa vaarat luetteloidaan määrättyyn formaattiin, mikä täydellisenä voi sisältää kaikki seuraavat Levesonin [1995] suosittelemat tiedot:

− osa tai järjestelmä tai yksikkö – se ryhmä, jossa vaara on

− vaaran kuvaus

− vaaran syy

− mahdolliset vaikutukset järjestelmätasolla ja ympäristöön

− vaaran taso

− korjaavat ja ehkäisevät keinot, suojaukset, suositukset ja suunnitteluohjeet

− käyttötila

− vastuuorganisaatio toimenpiteille

− todentamismenetelmät (testit, demonstraatiot, analyysit, tarkistukset) vaaran te-hokkaasta kontrollista

− muut ehdotukset ja välttämättömät toimet.

Kriittisyyslistaa voidaan myös hyödyntää järjestelmätasoilla mm. kehitettäessä ja laa-dittaessa seuraavia tehtäviä ja asioita:

− järjestelmätason luotettavuusvaatimukset, -ohjeet ja -kriteerit

− suoritus- ja suunnitteluspesifikaatiot

− järjestelmäsuunnittelun arvioinnit

− testisuunnitelmat

− käyttöohjeiden valmistelu

− hallinnollinen suunnittelu.

Järjestelmätasot ovat hierarkkinen rakenne, joka tarkentuu sovellusohjelmiston toimin-toihin. Ylin taso on ohjelmistolla ohjattava prosessi, järjestelmä, laite tai laitos. Järjes-telmätasojen analyysit käsittävät kaikki ne mahdolliset tasot, jotka ovat ohjelmiston vaatimusmäärittelyä ylempänä. Tasoja voi olla useampia (ohjelmiston sisältävä kompo-nentti, laite, järjestelmä), joita ei ole vielä käsitelty alustavan kriittisyyslistan tekemisessä.

Tarkastelu on aluksi laitteistokeskeistä (toimielimet, anturit, …) ja suuntautuu myö-hemmissä analyyseissa järjestelmätoimintoihin [Leveson 1995]. Tunnistettuihin vaaroi-hin liitetään myös syiden tunnistaminen ja ehdotetaan ohjaavia tai suojaavia toimenpi-teitä., mikä merkitsee sitä, että soveliaimpia tekniikoita olisivat vika- ja vaikutusanalyy-sien tyyppiset tekniikat. Järjestelmätason analyysi tarkastelee yksityiskohtaisesti mah-dollisia vaaroja, jotka aiheutuvat osajärjestelmien rajapinnoista tai hajautetun järjestel-män toiminnasta kokonaisuudessaan. Leveson [1995] käynnistää järjesteljärjestel-män vaara-analyysit järjestelmäsuunnittelun alussa ja jatkaa, kunnes suunnitelma on valmis. Hän suosittelee, että analyysit suoritetaan suunnittelukatselmusten yhteydessä.

Osajärjestelmien vaara-analyysien [MIL-STD-882B 1994, Leveson 1995] tarkoituksena on paljastaa vaarat, jotka liittyvät osajärjestelmien suunnitteluun, komponenttien vi-kaantumiseen, inhimillisiin virheisiin ihminen-kone-yhteydenpidossa tai osajärjestel-mien toiminnallisiin suhteisiin. Analyysi käynnistyy, kun osajärjestelmät on suunniteltu riittävän yksityiskohtaisesti.

Alustavan kriittisyyslistan kattavuuden varmistamiseksi tarkastellaan ja arvioidaan, minkälaisia vaaroja ohjelmistolla voi olla järjestelmätasolla. Ohjelmistolla on ainakin seuraavat neljä mahdollista vaikutustapaa kuhunkin kriittiseen luotettavuustekijään [Lawrence & Gallager 1997]:

1. Ohjelmiston virhetoiminta voi merkitä kriittistä tilaa järjestelmätasoilla, mikä edellyttää joko kriittisen tilan eliminoimista tai vaikutuksen lieventämistä jolla-kin toimenpiteellä (esim. varmistava järjestelmä).

2. Ohjelmiston tehtävänä voi olla estää kriittisen tapahtuman syntyminen. Siten ohjelmiston virhetoiminta voi aiheuttaa kriittisen tapahtuman johtamisen ei-toivottuun seuraukseen, mahdollisesti onnettomuuteen.

3. Ohjelmiston tehtävänä voi olla siirtää järjestelmän tila kriittisestä vähemmän kriittiseen.

4. Ohjelmistoa voidaan käyttää seurausvaikutusten lieventämiseen.

Määritellään jokaisen tunnistettavan vaaran riskitaso (vakavuusluokka ja esiintymisto-dennäköisyys) käyttäen kohdassa 3.5.2 kuvattua taulukointiin perustuvaa menetelmää.

7.3.3 Luotettavuusprofiili

Luotettavuusprofiili (ks. luku 3) kuvaa luotettavuustavoitteet, joiden toteutumista Stérnalla tarkastellaan. Se määritetään yleensä suoraan järjestelmätasojen vaara-analysoinneista ja merkitään kriittisyyslistan kuhunkin vaaraan. Usein se kuitenkin laa-ditaan iteroivasti ensimmäisessä Stérna-analysoinnissa. Ohjelmiston elinkaarivaiheissa luotettavuusprofiilia allokoidaan yksityiskohtaisiin ohjelmistokomponentteihin (Kuva 5). Allokoitaessa luotettavuustavoitteet voivat vähentyä tai myös kasvaa. Tavoitteena on aina pienentää luotettavuusprofiilia, esimerkiksi arkkitehtuurisuunnittelussa virhesietoi-silla ratkaisuilla, mutta usein se juuri ohjelmiston erityisominaisuuksista johtuen saattaa kasvaa. Esimerkiksi tavoite voi kasvaa arkkitehtuurisuunnittelussa, jos usea sovellus-ohjelmiston toiminto kohdistuu samaan sovellus-ohjelmiston arkkitehtuuriosaan, tai suunnitte-lussa ja koodauksessa, jos käytetään riskialttiita menetelmiä, esimerkiksi muistin dy-naamista hallintaa tai standardoimattomia ohjelmakieliä ja -kääntäjiä.