A kutatómunka az Assurance Case-ek egy bizonyos fajtáját, a Safety Case-t vizsgálja. A kifejezés definíciójától kezdődően tekinti át a Safety Case projektek megvalósítását az ISO/IEC 15026 szabványon keresztül. Röviden feltárja a Risk Managementtel való kapcsolatát, az ezek közötti összefüggéseket és különbségeket. Ezutóbbiak jelentik a Safety Case projektek indikációit és jelzik ezek szükségességét. Legvégül pedig egy konkrét példán át mutatja be egy lehetséges alkalmazását a Safety Case-eknek dialízisgépek fejlesztése során.
Szerző: Weltz Boglárka, egyetemi tanuló, PPKE Információt Technológiai Kar
2013. 08. 30.
SAFETY ASSURANCE CASE
A Safety Assurance Case (továbbiakban Safety Case) egy olyan érveléses módszert jelent, melyen
keresztül bizonyosságot adunk a rendszer megfelelő működéséről adott szakértők, főként mérnökök
és kutatók, felé. A Safety Case jól felépített érvek rendszeréből áll, melyeket különböző jellegű
bizonyítékokkal támasztanak alá, melyek együtt meggyőző, érthető és érvényes úton mutatják meg,
hogy a rendszer biztonságos adott feladatra adott környezetben nézve.
A Safety Case-ekkel foglalkozó szabvány az ISO/IEC 15026, melyben először a szoftver és rendszerek
biztonságának koncepcióját ismerteti a négy részes gyűjtemény, majd részletezi az ilyen projektek
szükséges és opcionális kellékeit. Egy Safety Case alapja, hogy megfogalmaz egy legfontosabb igényt
(top goal, régebbi nevén top claim), amely kimondja, hogy az adott rendszer biztonságos. Ezt
megfelelő kontextusba (context) helyezi és specifikálja, mit értünk rendszer és mit értünk biztonság
alatt. Ezután a fő igényt bizonyos szempont (strategy) alapján több csoportra bontjuk és ez a
szintezés egészen addig folytatódik, amíg egy olyan igényhez érnek, melyet közvetlen
bizonyíték(ok)kal (evidence) alá tudnak támasztani egy érven (argument) keresztül. A bizonyítékok
lehetnek teszt adatok, kísérletek eredményei, történelmi háttérre hivatkozás, analízis vagy
tudományos vagy épp mérnöki irodalomból vett információk. Amennyiben egy igényt több független
adattal is ki lehet elégíteni, az érvelés annál biztosabb lábakon áll és a rendszer is annál
megbízhatóbb.
A Safety Case-eket olyan szempontból is meg lehet közelíteni, mint egyfajta kiegészítése a Risk
Managementnek. Fontos, hogy ezek nem helyettesítik egymást, mert mindkettőben szerepel olyan
tényező, amely a másikban nincs feltüntetve. A különbségek jelentik egyben a Safety Case-ek
szükségessének indikációit. Az alapvető differencia többek között a hangvételben van, miszerint a
Risk Managementnél arra összpontosítanak, hogy a rendszernek miket kell biztosítania, hogyan kell
viselkednie, míg a másik dokumentumban ezek a tényezők már tényként szerepelnek, pozitív
kijelentésben, ami növeli a biztonságérzetet és tükrözi az áttekintés teljességét. Lényeges különbség
továbbá a két dokumentum kinézete, azaz az adatok önmagában való megjelenítése. Az első irat egy
több száz oldalas leírás általános formáját tekintve, a második pedig egy grafikai ismertető, amely egy
fához hasonlít és célja a könnyebb átláthatóság. Még egy eltérés lelhető fel, amely a Safety Case
létrehozásának értelmét mutatja, mégpedig az, hogy itt a már említett bizonyítékokat közvetlenül
kötik az adott igényekhez.
A két dokumentáció kapcsolatában megfigyelhető azonban pár hasonlóság is, amely a közöttük lévő
összefüggésre ad magyarázatot. Létezik egyfajta szabályosság, amely megkönnyíti a két dokumentum
közötti adatátvitelt. Ez jelenti az egymásba alakíthatóságot, hiszen mindkettőnél kiemelten fontos a
nyomon követhetőség (traceability). A Risk Managementnél hazárdokról (hazard), ezekhez kötődő
szituációkról (hazardous situation) és ezek okairól (cause) szokás beszélni. Ezek lesznek a Safety Caseekben
fellelhető igények, melyeket ki kell elégíteni és a rendelkezésre álló adatokkal, eredményekkel
bizonyítani. Az így létrejött fából azonban hiányzik az egyes hazárdok súlyosságára vonatkozó adat
(severity), amely a Risk Management egyik alapja. Ezt a fa bizonyos ágainak – az érvelésnek –
mélységével szokás jelölni, azaz minél súlyosabb lehet egy hazárd következménye, annál inkább
részletekbe menően kell tárgyalni magát a hazárdot, a lehetséges okokat és így a bizonyítékokat is. Ez
kevésbé egyértelmű megjelenítés, mint a közvetlen szerepeltetése a súlyosságnak, szóval nagyobb
figyelmet is igényel, de az átláthatóságot nem csökkenti.
A kutatómunka fő része a Safety Case-ekkel való ismerkedés, információszerzés volt, de egy konkrét
példa létrehozásával zárult a dialízisgépek fejlesztéséhez kötődően. Ennek kivitelezéséhez két
szoftvert találtunk, melyek tulajdonságai megfelelőnek bizonyultak. Az egyik az Assurance and Safety
Case Environment (továbbiakban ASCE) program, melynek kezelőfelülete egyszerű, hamar
elsajátítható, tudja a Safety Case-ekhez kapcsolódó alapokat, mint például a grafikai megjelenítésnél
lévő csomópontok típusait és a különböző linkeléseket ezek között. Ennek hiányosságai közé tartozik
a nagy mennyiségű adatok nehézkes és lassú kezelése, melyet az egyszerű szürke háttér sem segít. A
Risk Managementből lévő adatátvitel azonban megoldható, hiszen a szoftver alapja az xml, melyet
script segítségével viszonylag könnyedén lehet kivitelezni, így nem szükséges a manuális
adattranszfer, amely egy valós projekt méreténél fogva lehetetlen lenne. A másik program a GessNet
TurboAC, melynek megjelenítése sokkal kifejezőbb, mint az előbb említett szoftveré, gyorsasága
ígéretes, ámbár online kapcsolatot igényel, mivel egy távoli szerveren keresztül történik a program
kezelése. Előnye az előzőhöz képest, hogy szerzőivel felvéve a kapcsolatot kiderült, hogy bizonyos
mértékig alakítható az egyéni igényeknek megfelelően és egy konvertert is biztosítani tudnak a Risk
Managementes adatok beviteléhez a rendszerbe, így szintén elkerülhető a manuális út.
Összefoglalva a kutatómunka célja, a Safety Case alapok megismerése, megvalósult és a lehetséges
szoftveres háttér is felkutatásra került. Ezeket használva konkrét példákon keresztül vizsgáltuk a Risk
Managementhez kötődő adatok átvitelének lehetséges megoldásait. Így a jövőben elkezdhető egy
valós, nagy kiterjedésű projekt biztonsági szemléletű megvalósítása.
Források:
1. Chapman, R. (2010). Assurance Cases for External Infusion Pumps New External Infusion Pump Guidance.
elérhető: http://www.fda.gov/downloads/MedicalDevices/NewsEvents/WorkshopsConferences/UCM219685.pdf
2. Technical Report ISO/IEC TR 15026-1. (2013)