Sistema critico

Un sistema critico (dall'inglese critical system) è un generico sistema che, in caso di fallimento nel suo funzionamento, può provocare danni non considerati accettabili. Essi si distinguono tra sistemi critici per la sicurezza e sistemi critici per la missione, meglio noti con i loro rispettivi termini inglesi safety-critical e mission-critical. L'ingegneria della sicurezza e l'ingegneria dell'affidabilità sono la branche dell'ingegneria che si occupano della coordinazione delle attività di progettazione di questi sistemi.

Esempi[1] di sistemi critici per la sicurezza. In senso orario dall'alto: il glass cockpit di un C-141, un pacemaker, una sala di controllo di una centrale nucleare e lo Space Shuttle.

Un sistema critico per la sicurezza è definito come un sistema il cui fallimento può portare a[1][2]:

  • morte o ferimento di persone
  • perdita o grave danneggiamento di mezzi e impianti di particolare valore
  • gravi danni ambientali.

Esempi di questi sistemi includono dispositivi medici, sistemi avionici, razzi o missili, impianti nucleari[1].

Un sistema critico per la missione è definito come un sistema il cui fallimento può causare danni economici potenzialmente irreparabili per l'azienda che produce e/o usa il sistema. Un esempio di questi sistemi sono i satelliti artificiali[2] o i sistemi bancari[3][4].

Classificazione dei sistemiModifica

Regimi di affidabilitàModifica

 
Un ascensore è un sistema fail-safe[5]: in caso di rottura dei cavi, i freni di sicurezza sulle guide laterali assicurano che l'ascensore non precipiti seppur non più funzionante. Un caso particolare possono essere gli ascensori anti-incendio, in alcuni casi classificati come safe-operational[6].

Una distinzione tra sistemi critici riguarda il loro comportamento previsto in caso di guasti. Diversi termini e classificazioni sono stati proposti, tra i quali i più comuni sono:

  • Fail-operational systems[7]: il sistema nel suo complesso continua ad operare correttamente anche quando un sotto-sistema (o un componente) presenta un guasto. In questa categoria rientrano svariate tipologie di apparati, tra cui alcuni sistemi automotive[8], i sistemi fly-by-wire[9] e i sistemi di protezione delle centrali nucleari[10].
  • Fail-safe systems[11][12]: il sistema o una parte di esso, diventa non funzionante ma si trova in uno stato sicuro. Molti strumenti medici rientrano in questa categoria, come gli apparati per la trasfusione di sangue, i quali impediscono l'ingresso di bolle di gas nel sistema circolatorio del paziente anche quando smettono di funzionare. Altro esempio classico sono alcuni sistemi ferroviari, che azionano i freni di emergenza in caso di guasto.
  • Fail-soft systems[13][14]: a seguito di un guasto, il sistema è in grado di fornire solo alcune funzionalità oppure tutte le funzionalità ma con performance ridotte.
  • Fail-passive systems[15]: termine intermedio tra fail-safe e fail-operational. Se un sottosistema fallisce, non causa problemi al sistema più grande, ma tipicamente un'azione esterna deve essere presa per poter consentire il funzionamento del sistema completo. Questa modalità è tipica degli autopiloti[16]: se il sistema di autoland fallisce, è garantito che non causa problemi al volo, ma richiede l'intervento umano del pilota per consentire l'atterraggio.
  • Fail-secure systems[17]: concetto simile a fail-safe, ma la sicurezza si intende contro attacchi da parte di terzi. Un esempio sono le serrature elettroniche[18], che in caso di mancanza di alimentazione rimangono bloccate (stato sicuro).

Non è sempre possibile classificare a priori dell'analisi dei requisiti di sicurezza il regime di affidabilità richiesto da un sistema. Per esempio, un autopilota può essere classificato semplicemente fail-passive, perché il suo malfunzionamento può essere gestito dai piloti, ma deve essere fail-operational se offre funzionalità di atterraggio completamente automatico, dove i piloti non avrebbero sufficiente tempo per reagire a un guasto dell'autopilota[15].

Ingegnerizzazione della probabilità di guastoModifica

Essendo materialmente impossibile costruire un sistema che non si guasti mai, l'ingegnerizzazione dei sistemi critici prevede il controllo della probabilità di guasto o più in generale della riduzione del rischio. Per ottenere questi risultati si applicano approfondite analisi (ad esempio analisi dei materiali) e miglioramento dei sistemi di sicurezza. Quando non è possibile migliorare ulteriormente un dato componente, o nel caso sia non vantaggioso da un punto di vista economico, si applicano tecniche di ridondanza.

I requisiti di un sistema criticoModifica

Secondo la norma IEC 61508 i requisiti in termini di probabilità di guasto di un sistema critico si esprimono attraverso:

  • PFH - Probabilità di guasto catastrofico per unità di tempo
  • PFD - Probabilità di guasto catastrofico on-demand

La scelta tra i due requisiti dipende dal la frequenza con la quale la funzione critica del sistema viene attivata. Se essa è continua, si sceglierà PFH, se essa è da considerarsi sporadica, il requisito sarà espresso da PFD. La volutamente non oggettiva distinzione lascia al progettista, e all'eventuale ente certificatore, la valutazione di quale requisito è più appropriato.

Un valore tipico utilizzato per i sistemi aeronautici critici è un  , ovvero ogni ora un incidente catastrofico deve avvenire con una probabilità minore di  [19]. In altre parole, il tempo medio al primo guasto catastrofico è di circa 100.000 anni.

Stima della probabilità di guastoModifica

Uno dei modelli più utilizzato per stimare la probabilità di guasto di un sistema è la curva a vasca da bagno.

Resilienza ai guastiModifica

 Lo stesso argomento in dettaglio: Tolleranza ai guasti.

Sistemi critici informaticiModifica

Nei moderni sistemi critici, i sistemi informatici svolgono un ruolo fondamentale per il funzionamento e la sicurezza del sistema stesso. La maggior parte di questi sistemi sono solitamente classificabili come sistemi real-time, perché il funzionamento di detti sistemi è determinato anche dal tempo di risposta degli stessi. Questo richiede che il tempo di esecuzione peggiore di un programma sia stimato correttamente.

NoteModifica

  1. ^ a b c (EN) J.C. Knight, Safety critical systems: challenges and directions, IEEE, 2002.
  2. ^ a b Ian Summerville, Critical Systems (PDF) [collegamento interrotto], su courses.cs.washington.edu. URL consultato il febbraio 2020.
  3. ^ Mission-Critical Computing, SUSE. URL consultato il febbraio 2020.
  4. ^ Stephen M.W., Why mission-critical encryption remains a must for IT security, TechGenix, 2019. URL consultato il febbraio 2020.
  5. ^ Elevator plunges are rare because brakes and cables provide fail-safe protections, Washington Post, 2013.
  6. ^ UPS SYSTEMS USED TO SUPPORT EMERGENCY SYSTEMS SUCH AS EVACUATION LIFTS MUST COMPLY WITH BS EN 50171 REGULATION, su powercontrol.co.uk. URL consultato il 24 febbraio 2020.
  7. ^ (EN) Adam Schnellbach, Fail-operational automotive systems - Doctoral Thesis, Graz University of Technology, 2016.
  8. ^ (EN) Bülent Sari, Hans-Christian Reuss, Fail-Operational Safety Architecture for ADAS Systems Considering Domain ECUs, SAE International, 2018, DOI:10.4271/2018-01-1069.
  9. ^ (EN) Ellis F. Hitt, Dennis Mulcare, Fault-Tolerant Avionics (PDF), su cs.unc.edu, 2001. URL consultato il febbraio 2020.
  10. ^ (EN) Safe and Reliable Power Automation, MEN Mikro Elektronik GmbH. URL consultato il febbraio 2020.
  11. ^ Nancy Leveson, Basic Design for Safety Principles (PDF), MIT, 2016. URL consultato il 24 febbraio 2020.
  12. ^ 10 fail-safe examples, su simplicable.com, 2016. URL consultato il 24 febbraio 2020.
  13. ^ fail soft - Glossary, NIST. URL consultato il 24 febbraio 2020.
  14. ^ Duane Kritzinger, Aircraft System Safety, Woodhead Publishing, 2006, ISBN 9781845691363.
  15. ^ a b (EN) A detailed explanation of the terms Fail Operational and Fail Passive, International Aviation Safety Association. URL consultato il febbraio 2020.
  16. ^ Autoland, SkyBrary. URL consultato il 24 febbraio 2020.
  17. ^ Lawrence J. Fennelly, Effective Physical Security, Elsevier, 2003, ISBN 9780080470047.
  18. ^ (EN) Lori Greene, Decoded: Fail Safe vs. Fail Secure – When and Where? (PDF), Allegion, 2018. URL consultato il 24 febbraio 2020.
  19. ^ System Design and Analysis Harmonization and Technology Update (PDF), FAA, 2002. URL consultato il febbraio 2020.

BibliografiaModifica

  • Marvin Rausand, Reliability of Safety-Critical Systems, Wiley, 2014, ISBN 9781118112724.

Voci correlateModifica