У последњих неколико година микропроцесори играју све већу улогу у области безбедносне технологије. Пошто су читави рачунари (тј. централна процесорска јединица, меморија и периферне компоненте) сада доступни у једној компоненти као „рачунари са једним чипом“, микропроцесорска технологија се користи не само у контроли сложених машина, већ иу заштити релативно једноставног дизајна. (нпр. светлосне решетке, уређаји за управљање са две руке и сигурносне ивице). Софтвер који контролише ове системе обухвата између хиљаду и неколико десетина хиљада појединачних команди и обично се састоји од неколико стотина програмских грана. Програми раде у реалном времену и углавном су написани на асемблерском језику програмера.

Увођење компјутерски контролисаних система у сферу безбедносне технологије праћено је у читавој техничкој опреми великих размера не само скупим истраживачким и развојним пројектима већ и значајним ограничењима усмереним на повећање безбедности. (Ваздухопловна технологија, војна технологија и технологија атомске енергије могу се овде навести као примери примене великих размера.) Колективно поље индустријске масовне производње до сада је третирано само на веома ограничен начин. Ово је делимично из разлога што брзи циклуси иновација карактеристични за дизајн индустријских машина отежавају преношење, на било који осим веома ограничен начин, таквог знања које може бити изведено из истраживачких пројеката који се баве коначним тестирањем великих размера. сигурносни уређаји. Ово чини развој брзих и јефтиних процедура процене жељом (Реинерт и Реусс 1991).

Овај чланак прво испитује машине и објекте у којима рачунарски системи тренутно обављају безбедносне задатке, користећи примере незгода које се претежно дешавају у области заштите машина да би се приказала посебна улога коју рачунари имају у безбедносној технологији. Ове незгоде дају неке назнаке о томе које мере предострожности се морају предузети како компјутерски контролисана безбедносна опрема која тренутно долази у све ширу употребу не би довела до пораста броја незгода. Завршни део чланка скицира процедуру која ће омогућити да се чак и мали рачунарски системи доведу на одговарајући ниво техничке безбедности уз оправдане трошкове иу прихватљивом временском периоду. Принципи наведени у овом завршном делу се тренутно уводе у међународне процедуре стандардизације и имаће импликације на све области безбедносне технологије у којима рачунари налазе примену.

Примери употребе софтвера и рачунара у области заштите машина

Следећа четири примера јасно показују да софтвер и рачунари тренутно све више улазе у апликације које се односе на безбедност у комерцијалном домену.

Инсталације за личну сигнализацију хитних случајева састоје се, по правилу, од централне пријемне станице и већег броја личних уређаја за хитну сигнализацију. Уређаје носе особе које саме раде на лицу места. Ако се неко од ових особа које раде сами нађу у ванредној ситуацији, могу помоћу уређаја да активирају аларм путем радио сигнала у централној пријемној станици. Такав окидач аларма који зависи од воље такође може бити допуњен механизмом за окидање независно од воље који се активира сензорима уграђеним у личне уређаје за хитне случајеве. И појединачним уређајима и централном пријемном станицом често управљају микрорачунари. Могуће је да неуспјех одређених појединачних функција уграђеног рачунара може довести, у хитној ситуацији, до неуспјеха да се активира аларм. Стога се морају предузети мере предострожности да би се приметио и поправио такав губитак функције на време.

Штампарске машине које се данас користе за штампање часописа су велике машине. Папирне мреже се обично припремају у посебној машини на такав начин да се омогући несметан прелазак на нову ролну папира. Одштампане странице се савијају помоћу машине за савијање и затим се обрађују кроз ланац даљих машина. Ово резултира палетама напуњеним потпуно ушивеним магацима. Иако су таква постројења аутоматизована, постоје две тачке на којима се морају извршити ручне интервенције: (1) у увлачењу навоја на стазама папира и (2) у уклањању препрека изазваних тргањем папира на опасним местима на ротирајућим ваљцима. Из тог разлога, контролна технологија мора да обезбеди смањену брзину рада или режим џогинга ограничен на путању или време док се притискају подешавају. Због сложених процедура управљања, свака штампарска станица мора бити опремљена сопственим програмабилним логичким контролером. Сваки квар који се догоди у контроли штампарије док су заштитне решетке отворене мора се спречити да доведе или до неочекиваног покретања заустављене машине или до рада преко одговарајуће смањене брзине.

У великим фабрикама и складиштима, аутоматизована вођена роботска возила без возача крећу се по посебно обележеним стазама. Овим колосецима могу у било ком тренутку ходати особе, или материјали и опрема могу бити нехотице остављени на колосецима, јер нису структурно одвојени од других саобраћајница. Из тог разлога, мора се користити нека врста опреме за спречавање судара како би се осигурало да ће се возило зауставити пре него што дође до опасног судара са особом или објектом. У новијим применама, спречавање судара се врши помоћу ултразвучних или ласерских светлосних скенера који се користе у комбинацији са сигурносним браником. Пошто ови системи раде под контролом компјутера, могуће је конфигурисати неколико сталних зона детекције тако да возило може да модификује своју реакцију у зависности од специфичне зоне детекције у којој се особа налази. Кварови на заштитном уређају не смеју довести до опасног судара са особом.

Гиљотине уређаја за контролу сечења папира се користе за пресовање, а затим сечење дебелих наслаганих папира. Покрећу се помоћу уређаја за управљање са две руке. Корисник мора посегнути у опасну зону машине након сваког сечења. Нематеријална заштита, обично светлосна решетка, користи се у комбинацији са уређајем за управљање са две руке и безбедним системом контроле машине како би се спречиле повреде када се папир убацује током операције сечења. Скоро све веће, модерније гиљотине које се данас користе контролишу вишеканални микрорачунарски системи. И рад са две руке и светлосна мрежа такође морају бити загарантовани да безбедно функционишу.

Несреће са компјутерски контролисаним системима

У скоро свим областима индустријске примене пријављују се незгоде са софтвером и компјутерима (Неуманн 1994). У већини случајева, кварови на рачунару не доводе до повреда особа. Такви пропусти се у сваком случају објављују само када су од општег јавног интереса. То значи да случајеви квара или несреће у вези са рачунарима и софтвером у којима се ради о повредама лица чине релативно висок проценат свих објављених случајева. Нажалост, несреће које не изазивају велику сензацију у јавности се не истражују у погледу њихових узрока са сасвим истим интензитетом као што су то значајније несреће, обично у великим постројењима. Из тог разлога, примери који следе односе се на четири описа кварова или незгода типичних за компјутерски контролисане системе ван области заштите машина, који се користе да би се сугерисало шта треба узети у обзир када се доносе одлуке о безбедносној технологији.

Несреће узроковане случајним кваровима у хардверу

Следећи квар је узрокован концентрацијом насумичних кварова у хардверу у комбинацији са грешком у програмирању: Реактор се прегрејао у хемијском постројењу, након чега су се отворили вентили за ослобађање, омогућавајући да се садржај реактора испусти у атмосферу. Ова незгода се догодила кратко време након што је дато упозорење да је ниво уља у мењачу пренизак. Пажљиво истраживање несреће показало је да је убрзо након што је катализатор покренуо реакцију у реактору — услед чега би реактор захтевао више хлађења — компјутер је, на основу извештаја о ниским нивоима уља у мењачу, замрзнуо све величине под његовом контролом на фиксној вредности. Ово је задржало проток хладне воде на прениском нивоу и као резултат тога реактор се прегрејао. Даља истрага је показала да је индикација ниског нивоа уља била сигнализирана неисправном компонентом.

Софтвер је реаговао у складу са спецификацијом активирањем аларма и фиксирањем свих оперативних варијабли. Ово је била последица ХАЗОП (анализа опасности и операбилности) студије (Кновлтон 1986) урађене пре догађаја, која је захтевала да се све контролисане варијабле не мењају у случају квара. Пошто програмер није био детаљно упознат са процедуром, овај захтев је протумачен тако да се контролисани актуатори (у овом случају регулациони вентили) не мењају; није се обраћала пажња на могућност пораста температуре. Програмер није узео у обзир да би се систем након што је примио погрешан сигнал могао наћи у динамичној ситуацији типа која захтева активну интервенцију рачунара како би се спречио квар. Ситуација која је довела до несреће била је тако мало вероватна, штавише, да није била детаљно анализирана у студији ХАЗОП (Левенсон 1986). Овај пример пружа прелазак на другу категорију узрока софтверских и рачунарских незгода. То су систематски кварови који су у систему од почетка, али се манифестују само у одређеним врло специфичним ситуацијама које програмер није узео у обзир.

Несреће узроковане кваровима у раду

Током теренског тестирања током завршне инспекције робота, један техничар је позајмио касету суседног робота и заменио је другом, а да није обавестио свог колегу да је то урадио. По повратку на радно место, колега је убацио погрешну касету. Пошто је стајао поред робота и очекивао од њега одређени редослед покрета - секвенцу која је испала другачије због размењеног програма - дошло је до судара између робота и човека. Ова незгода описује класичан пример оперативног квара. Улога оваквих кварова у кваровима и незгодама тренутно је све већа због све веће сложености у примени компјутерски контролисаних сигурносних механизама.

Несреће узроковане систематским кваровима у хардверу или софтверу

Торпедо са бојевом главом требало је да буде испаљено за потребе обуке, са ратног брода на отвореном мору. Због квара на погонском апарату торпедо је остало у торпедној цеви. Капетан је одлучио да се врати у матичну луку како би спасио торпедо. Убрзо након што је брод почео да се враћа кући, торпедо је експлодирало. Анализа несреће открила је да су програмери торпеда били обавезни да у торпедо уграде механизам који је направљен да спречи његово враћање на лансирну рампу након испаљивања и на тај начин уништи брод који га је лансирао. Механизам изабран за ово је био следећи: Након испаљивања торпеда извршена је провера, помоћу инерцијалног навигационог система, да се види да ли се његов курс променио за 180°. Чим је торпедо осетило да се окренуло за 180°, торпедо је одмах детонирало, наводно на безбедној удаљености од лансирне рампе. Овај механизам детекције активиран је у случају торпеда који није био правилно лансиран, што је резултирало да је торпедо експлодирало након што је брод променио курс за 180°. Ово је типичан пример несреће која се догодила због грешке у спецификацијама. Захтев у спецификацијама да торпедо не треба да уништи сопствени брод у случају промене курса није довољно прецизно формулисан; мера предострожности је стога била погрешно програмирана. Грешка је постала очигледна само у одређеној ситуацији, коју програмер није узео у обзир као могућност.

14. септембра 1993. године, авион Луфтхансе Аирбус А 320 срушио се приликом слетања у Варшаву (слика 1). Пажљива истрага несреће показала је да су модификације у логици слетања на компјутеру на броду које су направљене након несреће са Лауда Аир Боеинг 767 1991. делимично одговорне за ово несрећно слетање. Оно што се догодило у несрећи 1991. је да је отклон потиска, који преусмерава део моторних гасова тако да закочи авион приликом слетања, активирао још у ваздуху, приморавајући машину да неконтролисано зарони носом. Из тог разлога, у Ербас машине је уграђено електронско закључавање отклона потиска. Овај механизам је омогућио да отклон потиска ступи на снагу тек након што су сензори на оба сета стајног трапа сигнализирали компресију амортизера под притиском точкова који додирују доле. На основу нетачних информација, пилоти авиона у Варшави су предвидели јак бочни ветар.

Слика 1. Луфтханза Ербас након несреће у Варшави 1993

Из тог разлога су унели машину под благим нагибом и Ербас је долетео само десним точком, остављајући леви лежај мањи од пуне тежине. Због електронског закључавања отклона потиска, компјутер на броду је одбио пилоту у трајању од девет секунди такве маневре који би омогућили да авион безбедно слети упркос неповољним околностима. Ова несрећа врло јасно показује да модификације у компјутерским системима могу довести до нових и опасних ситуација ако се опсег њихових могућих последица не размотри унапред.

Следећи пример квара такође показује катастрофалне ефекте које модификација једне једине команде може имати у рачунарским системима. Садржај алкохола у крви се утврђује хемијским тестовима помоћу бистрог крвног серума из којег су крвна зрнца претходно центрифугирана. Због тога је садржај алкохола у серуму већи (фактор 1.2) од гушће пуне крви. Из тог разлога се вредности алкохола у серуму морају поделити са фактором 1.2 да би се утврдиле правно и медицински критичне бројке на хиљаду. У међулабораторијском испитивању одржаном 1984. године, вредности алкохола у крви утврђене идентичним тестовима обављеним у различитим истраживачким институцијама коришћењем серума требало је да буду међусобно упоређене. Пошто је у питању била само поређење, команда за дељење са 1.2 је такође избрисана из програма у једној од институција за време трајања експеримента. Након што се међулабораторијски тест завршио, на овом месту је у програм грешком уведена команда за множење са 1.2. Као резултат тога, између августа 1,500. и марта 1984. израчунато је отприлике 1985 нетачних вредности делова на хиљаду. Ова грешка је била критична за професионалне каријере возача камиона са нивоом алкохола у крви између 1.0 и 1.3 промила, пошто је законска казна која подразумева одузимање возачке дозволе на дужи период последица вредности од 1.3 промила.

Несреће узроковане утицајима радних напрезања или стресова околине

Као последица поремећаја изазваног сакупљањем отпада у ефективном делу ЦНЦ (компјутерске нумеричке контроле) машине за пробијање и грицкање, корисник је ставио на снагу „програмирано заустављање“. Док је покушавао рукама да уклони отпад, потисник машине је почео да се креће упркос програмираном заустављању и тешко је повредио корисника. Анализа удеса показала је да није реч о грешци у програму. Неочекивано покретање није могло да се репродукује. Сличне неправилности су уочене у прошлости на другим машинама истог типа. Чини се да је могуће закључити из њих да је несрећа морала бити узрокована електромагнетним сметњама. Сличне незгоде са индустријским роботима пријављују се из Јапана (Неуманн 1987).

Квар у свемирској сонди Воиагер 2 18. јануара 1986. чини још јаснијим утицај стресова околине на компјутерски контролисане системе. Шест дана пре најближег приближавања Урану, велика поља црно-белих линија прекрила су слике са Воиагера 2. Прецизна анализа је показала да је један бит у командној речи подсистема података о лету изазвао квар, посматрано као слике су компримоване у сонди. Овај бит је највероватније био избачен са места у програмској меморији услед удара космичке честице. Пренос компресованих фотографија из сонде без грешака извршен је само два дана касније, коришћењем програма замене који је способан да заобиђе неуспелу меморијску тачку (Лаесер, МцЛаугхлин и Волфф 1987).

Резиме приказаних незгода

Анализиране незгоде показују да одређени ризици који се могу занемарити у условима једноставне, електромеханичке технологије, добијају на значају када се користе рачунари. Рачунари дозвољавају обраду сложених сигурносних функција специфичних за ситуацију. Недвосмислена, без грешака, потпуна и тестирана спецификација свих безбедносних функција постаје из тог разлога посебно важна. Грешке у спецификацијама је тешко открити и често су узрок несрећа у сложеним системима. Контроле које се слободно могу програмирати се обично уводе са намером да се флексибилно и брзо реагује на тржиште које се мења. Модификације, међутим, – посебно у сложеним системима – имају нежељене ефекте које је тешко предвидети. Због тога све модификације морају бити подвргнуте строго формалном управљању процедуром промене у којој ће јасно одвајање безбедносних функција од делимичних система који нису релевантни за безбедност помоћи да се последице модификација за безбедносну технологију лако прегледају.

Рачунари раде са ниским нивоом електричне енергије. Због тога су подложни сметњама од спољашњих извора зрачења. Пошто модификација једног сигнала међу милионима може довести до квара, вреди обратити посебну пажњу на тему електромагнетне компатибилности у вези са рачунарима.

Сервисирање компјутерски контролисаних система тренутно постаје све сложеније и самим тим нејасније. Софтверска ергономија корисничког и конфигурационог софтвера стога постаје занимљивија са становишта безбедносне технологије.

Ниједан рачунарски систем није 100% тестиран. Једноставан контролни механизам са 32 бинарна улазна порта и 1,000 различитих софтверских путања захтева 4.3 × 10¹² тестови за потпуну проверу. Са брзином од 100 извршених и процењених тестова у секунди, комплетан тест би трајао 1,362 године.

Процедуре и мере за унапређење компјутерски контролисаних сигурносних уређаја

У последњих 10 година развијене су процедуре које омогућавају савладавање специфичних безбедносних изазова у вези са рачунарима. Ове процедуре се односе на грешке рачунара описане у овом одељку. Описани примери софтвера и рачунара у заштити машина и анализирани удеси показују да су обим оштећења, а самим тим и ризик укључен у различите примене, изузетно променљив. Стога је јасно да се потребне мере предострожности за побољшање рачунара и софтвера који се користе у безбедносној технологији треба успоставити у односу на ризик.

Слика 2 приказује квалитативну процедуру у којој се неопходно смањење ризика које се може постићи коришћењем сигурносних система може одредити независно од обима и учесталости настанка штете (Белл и Реинерт 1992). Врсте кварова у рачунарским системима анализиране у одељку „Незгоде са компјутерски контролисаним системима” (горе) могу се довести у везу са такозваним нивоима интегритета безбедности – односно техничким средствима за смањење ризика.

Слика 2. Квалитативна процедура за одређивање ризика

Слика 3 јасно показује да ефикасност мера предузетих, у сваком датом случају, за смањење грешака у софтверу и рачунарима треба да расте са повећањем ризика (ДИН 1994; ИЕЦ 1993).

Слика 3, Ефикасност мера предострожности предузетих против грешака независно од ризика

Анализа горе скицираних незгода показује да је неуспех компјутерски контролисаних заштитних механизама узрокован не само случајним грешкама компоненти, већ и посебним условима рада које програмер није успео да узме у обзир. Не одмах очигледне последице измена програма направљених током одржавања система представљају даљи извор грешака. Из тога произилази да у сигурносним системима контролисаним микропроцесорима може доћи до кварова који, иако настали током развоја система, могу довести до опасне ситуације само током рада. Стога се морају предузети мере предострожности против таквих кварова док су системи везани за безбедност у фази развоја. Ове такозване мере за избегавање отказа морају се предузети не само током фазе концепта, већ иу процесу развоја, инсталације и модификације. Одређени кварови се могу избећи ако се открију и исправе током овог процеса (ДИН 1990).

Као што последња описана незгода јасно показује, квар једног транзистора може довести до техничког квара веома сложене аутоматизоване опреме. Пошто се свако појединачно коло састоји од много хиљада транзистора и других компоненти, морају се предузети бројне мере за избегавање кварова да би се препознали такви кварови који се појаве у раду и да би се покренула одговарајућа реакција у рачунарском систему. Слика 4 описује типове кварова у програмабилним електронским системима, као и примере мера предострожности које се могу предузети да би се избегли и контролисали кварови у рачунарским системима (ДИН 1990; ИЕЦ 1992).

Слика 4. Примери мера предострожности за контролу и избегавање грешака у рачунарским системима

Могућности и перспективе програмабилних електронских система у безбедносној технологији

Савремене машине и постројења постају све сложенији и морају да постижу све свеобухватније задатке у све краћим временским периодима. Из тог разлога, компјутерски системи су преузели скоро све области индустрије од средине 1970-их. Само ово повећање сложености значајно је допринело растућим трошковима који су укључени у побољшање безбедносне технологије у таквим системима. Иако софтвер и рачунари представљају велики изазов за безбедност на радном месту, они такође омогућавају имплементацију нових система који не дозвољавају грешке у области безбедносне технологије.

Смешни, али поучан стих Ернста Јандла помоћи ће да се објасни шта се подразумева под појмом погодан за грешке. „Лицхтунг: Манцхе меинен лецхтс унд ринкс канн ман ницхт велвецхсерн, верцх еин Иллтум“. („Дилекција: многи верују да се светлост и рефт не могу разумети, шта елол“.) Упркос размени писама r l, ову фразу лако разуме нормалан одрасли човек. Чак и неко ко слабо говори енглески језик може га превести на енглески. Задатак је, међутим, скоро немогућ за компјутер за превођење самостално.

Овај пример показује да људско биће може да реагује на начин који је много лакши за грешке него што то може компјутерски језик. То значи да људи, као и сва друга жива бића, могу толерисати неуспехе упућивањем на искуство. Ако се погледају машине које се данас користе, може се видети да већина машина кажњава грешке корисника не незгодом, већ смањењем производње. Ово својство доводи до манипулације или избегавања заштитних мера. Савремена компјутерска технологија ставља на располагање системе безбедности на раду који могу да реагују интелигентно — то јест, на модификован начин. Овакви системи стога омогућавају начин понашања који је погодан за грешке у новим машинама. Они пре свега упозоравају кориснике приликом погрешног рада и искључују машину само када је то једини начин да се избегне несрећа. Анализа незгода показује да у овој области постоји значајан потенцијал за смањење незгода (Реинерт и Реусс 1991).

Назад