Sicherheitskultur bei der Entwicklung von Computern und kritischer Software

Die Verbreitung von Technologien des industriellen Internet der Dinge, unbemannter Fahrzeuge und anderer cyber-physischer Systeme, die die Sicherheit von Menschen beeinträchtigen, macht es für programmierbare elektronische Geräte immer wichtiger, die Anforderungen internationaler Standards im Bereich der funktionalen Sicherheit zu erfüllen, insbesondere IEC 61508 und ISO 26262.



Hardwareentwickler und Software ergeben sich viele praktische Fragen, für deren Beantwortung ein umfassendes Verständnis erforderlich ist, mit dem Sie schnell die Prinzipien zur Lösung vieler bestimmter Fragen und Probleme verstehen können, die scheinbar klein sind, aber einen wichtigen Teil des Puzzles ausmachen.



Für ein tiefes Verständnis der Essenz der Entwicklung und Zertifizierung kritischer Software- und Hardwaresysteme müssen Sie die "drei Säulen" der funktionalen Sicherheit kennen:

• Sicherheitskultur (Sicherheitskult)
• Funktionelles Sicherheitsmanagement (FSM);
• Sicherheitsfall.

Dieser Artikel konzentriert sich auf die erste davon, die Sicherheitskultur. Genauer gesagt über die charakteristischen Merkmale verschiedener Arten von Sicherheitskulturen und über die Merkmale einer Sicherheitskultur für Unternehmen, die elektrische, elektronische und Softwarekomponenten von Sicherheitssystemen entwickeln.



Der Begriff "Sicherheitskultur" wird in [1] ausführlich diskutiert.

Einführung

Seit den Tragödien im Kernkraftwerk Tschernbyl und auf der Ölplattform Piper Alpha kann davon ausgegangen werden, dass eine Sicherheitskultur in die DNA von Menschen aufgenommen wurde, die in gefährlichen Wirtschaftssektoren arbeiten. Aber eine Sache ist eine gefährliche Produktion, und eine andere ist die Entwicklung von Hardware oder Software für kritische Systeme. An sich ist die Arbeit von Schaltungsentwicklern und Programmierern offensichtlich weder für Entwickler noch für Bewohner von Häusern in der Nähe des Büros mit einem Lebensrisiko verbunden. Sicherheitsfragen beziehen sich auf den Anwendungsbereich des Produkts, da Fehler aufgrund von Fehlern und Fehlkalkulationen können erstens nicht sofort und zweitens an einer anderen Stelle auftreten.



Gleichzeitig kann der Ort bereits sehr unsicher sein und das Versäumnis, sehr falsche Zeiten zu passieren ...



Eine Sicherheitskultur ist Teil einer Organisationskultur. Diese Frage wird in seinem Bestseller Jim Collins [2] perfekt offenbart, hier ein kleines Zitat:

„Alle Unternehmen haben eine Kultur, einige haben Disziplin, aber nur wenige haben eine Kultur der Disziplin. Wenn die Mitarbeiter diszipliniert sind, ist keine Hierarchie erforderlich. Wenn es eine Disziplin des Denkens gibt, ist Bürokratie nicht erforderlich. Wenn Disziplin in Aktion ist, brauchen Sie keine zusätzliche Kontrolle. Wenn dem ethischen Geschäftsverhalten eine Kultur der Disziplin hinzugefügt wird, ist dies ein Zaubertrank für herausragende Leistungen. "

In dieser Passage spricht der Autor über die persönliche Kultur der Mitarbeiter, die er als Kultur der Disziplin bezeichnet . Andere Autoren verwenden andere Begriffe: Alexander Kirillovich Dianin-Havard spricht über moralische Führung [3], Guy Kawasaki zitiert Steven Jobs und spricht über erstklassige Spieler [4]. Diese Autoren legen die Tatsache offen, dass die Aktivität der Organisation die Aktivität ihrer Mitarbeiter in der ganzen Vielfalt persönlicher Motivationen und zwischenmenschlicher Beziehungen ist.



Ich möchte noch einen Gedanken erwähnen, bevor ich zur Sache komme. Natürlich können „Sicherheit“ und „Sicherheitskultur“ unterschiedliche Namen haben: Industrie, Luftfahrt, Transport, medizinische Aktivitäten. Da jedoch das tiefe Wesen der Sache dasselbe ist, werden in der methodischen und normativen Literatur die "Industrieadjektive", die mit dem Wort "Sicherheit" oder stattdessen verwendet werden, allmählich abgelehnt. Beispielsweise wird im IAEO-Glossar [5] das Wort „Nuklear“ im Begriff „Sicherheitskultur“ nicht mehr verwendet.



Es wurden viele Methoden zur Prüfung und Analyse der Sicherheitskultur in der globalen Industrie, im Gesundheitswesen und im Verkehr entwickelt: In einer Studie der British Health Association [6] sind beispielsweise mehr als 20 solcher Methoden sowie Links zu 125 Studien in diesem Bereich aufgeführt. Ähnliche Studien werden von anderen Organisationen veröffentlicht [7]. In der Praxis sind die folgenden Methoden zur Analyse der Sicherheitskultur von Organisationen am gebräuchlichsten:

• Hearts & Minds ("Herzen und Köpfe");
• Sicherheitskultur-Reifegradmodell (SCMM);
• Messsystem für Sicherheitskulturindikatoren (SCISMS).

Das Hearts and Minds-Programm zur Analyse und Transformation der Sicherheitskultur ist vielleicht die bekannteste dieser Methoden. Es wurde für den eigenen Gebrauch von der Shell-Unternehmensgruppe entwickelt und ist in der Tat zum De-facto-Standard in der globalen Öl- und Gasindustrie geworden und hat sich auch in der Energie-, Bergbau-, Chemie-, Pharma-, Verteidigungs- und anderen gefährlichen Industrie verbreitet. Das Programm wird jetzt vom britischen Energieinstitut verwaltet, das Beratungsunternehmen zur Unterstützung der Implementierung, zur Schulung interner Trainer und mehr akkreditiert. In Russland und der GUS wird das Programm "Hearts and Minds" offiziell von der Firma Yamnaska vertreten .



Und schließlich, bevor wir uns der Betrachtung der Arten von Kulturpflanzen zuwenden, darf man die detaillierte Arbeit [8], die unter der Schirmherrschaft des Neftegazstroyprofsoyuz Russland erstellt wurde, nicht übersehen.

Vestrama-Modell

Das Herzstück von Hearts and Minds ist unter anderem ein evolutionäres Sicherheitskulturmodell, das als Westrum-Modell bekannt ist und fünf Arten von Sicherheitskultur definiert (Abbildung 1).





Feige. 1. Evolutionsmodell der Vestram-Sicherheitskultur Das Vestram-



Modell geht von der Evolution der Sicherheitskultur aus. Natürlich kann der umgekehrte Prozess auch in der Organisation stattfinden - Degradation. Die Phasen, um es milde auszudrücken, der Verringerung der Wirksamkeit der Sicherheit werden in der oben genannten Arbeit [8] berücksichtigt und von uns nicht erörtert: Wir werden positiv denken. Schließlich entwickeln sich unsere Organisationen weiter, oder?



Warum sollten wir sonst Zeit damit verschwenden, für sie zu arbeiten?



Natürlich können pathologische und reaktionsfähige Kulturen kaum als Kulturen im wahrsten Sinne des Wortes bezeichnet werden. Dafür gibt es sogar einen besonderen Namen: negative Kulturen. Dies ist eine Terminologie aus der Kategorie "Keine Frisur ist auch eine Frisur". In solchen Organisationen kann es durchaus formale und oberflächliche Strukturen geben, die nicht in reale Prozesse eindringen. Beispielsweise kann es ein Qualitäts- / Sicherheitsmanagementsystem geben, und sogar dediziertes Personal wird beauftragt, Qualitäts- und / oder Sicherheitskontrollfunktionen auszuführen. Das heißt, die Organisation scheint tatsächlich einige Ressourcen zuzuweisen, aber ihr wahrer Zweck besteht darin, diese formal zu erfüllen (oder sogar nur nachzuahmen) Erfüllung) Anforderungen der Regulierungsbehörden.



Schauen wir uns jedoch jede Art von Sicherheitskultur genauer an.

1) Pathologische "Kultur" der Sicherheit

Die Führung einer solchen Organisation behandelt Sicherheit als externe Anforderung, als eine Art Hindernis für die Arbeit. Es wird als ausreichend angesehen, nur die zwingenden Anforderungen von Regulierungsdokumenten zu erfüllen. Es besteht keine Bereitschaft, Sicherheitsaspekte unabhängig zu untersuchen.



Eine Managementorganisation dieser Art ist zuversichtlich, dass alle Probleme auf ihre Untergebenen zurückzuführen sind.



In Anhang A haben wir eine Liste einiger Anzeichen dafür aufgenommen, dass sich die Kultur einer Organisation auf pathologischer Ebene befindet.

2) Reaktive "Kultur" der Sicherheit

Der englische Name dieser Stufe "reaktiv" in der Literatur wird oft durch die russische Wortverfolgung "reaktiv" vermittelt, aber ich finde es nicht sehr erfolgreich.

Das Management einer Organisation auf dieser Ebene betrachtet die Sicherheit als ein wichtiges Element der Produktqualität, auch ohne den Druck der Regulierungsbehörden, ist jedoch der Ansicht, dass alle Probleme auf den unteren Ebenen der Unternehmenshierarchie liegen. Sicherheit ist das Ziel und Ziel, zusammen mit anderen Leistungsindikatoren. Die Organisation beginnt, einige der Methoden und Mittel anzuwenden, mit denen die Sicherheit ein bestimmtes Niveau erreicht, und versucht, auf die Erfahrungen anderer Organisationen zurückzugreifen. Wenn ein Vorfall auftritt, werden proaktive Maßnahmen ergriffen.



In Anhang B haben wir eine Liste einiger Anzeichen dafür aufgenommen, dass die Unternehmenskultur auf einem reaktiven Niveau ist.

3) Berechnung der Sicherheitskultur

Das Management einer umsichtigen Organisation ist der Ansicht, dass ein systematischer Ansatz für das Management der Sicherheitsleistung erforderlich ist, verwendet hierfür verschiedene Methoden und Mittel und führt Personalschulungen durch. Eine Organisation mit einer berechnenden Kultur tut das Richtige, aber sie tut es mechanisch, manchmal blind nach Verfahren.



In Anhang B haben wir eine Liste einiger Indikatoren aufgenommen, die darauf hinweisen, dass sich die Kultur einer Organisation auf einer Berechnungsebene befindet.

In der ersten Version des Vestram-Modells wurde dieser Typ als bürokratisch bezeichnet

4) Proaktive Sicherheitskultur

Die Führung einer proaktiven Organisation betrachtet Sicherheit als einen grundlegenden Wert. Führungskräfte auf allen Ebenen legen großen Wert auf Produktqualität und -sicherheit. Alle Mitarbeiter sind voll in das Sicherheitsmanagement eingebunden und betrachten es als ihre Pflicht, effizient zu arbeiten. Grundlegende Sicherheitsprozesse werden von der Organisation gut etabliert, verstanden und verwendet. Vollständige Meldung von Vorfällen. Die Untersuchung von Problemen beseitigt Systemfehler. Potenziell gefährliche Produktfehler werden als kritische Indikatoren für die Produktqualität verwendet.

5) eine kreative Sicherheitskultur

Die Organisation benötigt keinen Einfluss der Aufsichtsbehörden, um die Sicherheit zu gewährleisten. Sie strebt ein umfassendes Verständnis der Bedingungen und der Umgebung der Produktverwendung an. Die ständige Verbesserung der Sicherheit betrifft alle Mitarbeiter der Organisation sowie Auftragnehmer. Die Mitarbeiter sind unwissentlich kompetent. Die Menschen verstehen die Auswirkungen ihres Handelns auf die Sicherheit. Jeder Mitarbeiter kann zur Entwicklung der Organisation beitragen. Es wurde eine Umgebung geschaffen, die Verbesserungen ermöglicht, einen ständigen Wissensaustausch und die Verbesserung der Sicherheitskultur. Sicherheit und Qualität sind in alles integriert, was die Organisation tut.

, , , . , , . – , , . , .

Es gibt einen subtilen, aber grundlegenden Unterschied zwischen proaktiven und kreativen Organisationen. Tatsache ist, dass der bürokratische, mechanistische Arbeitsstil auf umsichtiger Ebene für viele Mitarbeiter der Organisation sehr angenehm ist, insbesondere wenn er von Erfolg begleitet wird. Es besteht eine sehr starke Versuchung, „sich auf unseren Lorbeeren auszuruhen“, und wie Vestrams Kollege, Professor Patrick Hudson, in [11] schreibt, kehren proaktive Organisationen leicht auf die Berechnungsebene zurück. Dies ist nicht typisch für kreative Organisationen, da sie, wie Hudson schreibt, antibürokratische Eigenschaften haben und ihre Handlungsgeschwindigkeit hierarchische Strukturen zerstört.

Entwicklung von Hardware und Software

Wir diskutierten die Organisationskultur im Allgemeinen und die Sicherheitskultur im Besonderen und wollten das Material in einer Refraktion zu den Besonderheiten der Entwicklung von Hardware- und Software-Sicherheitssystemen präsentieren. Anhang B von GOST R ISO 26262-2 kann auch als gute methodische Hilfe bei der Bewertung und Selbstbewertung der Sicherheitskultur von Organisationen verwendet werden, die solche Komponenten entwickeln. Hier ist Tabelle B.1 aus diesem Anhang:







Wenn Sie Ihr eigenes Sicherheitskultur-Entwicklungsprogramm entwickeln, können Sie Maßnahmen entwickeln, um die Anzeichen einer niedrigen Kultur und die Bildung von Anzeichen einer hohen Kultur zu überwinden.



Anhang B von GOST R ISO 26262-2 enthält einen Verweis auf INSAG-4 [9], ein Dokument, das den Grundstein für die weltweite Verbreitung der Sicherheitskultur gelegt hat.



Der Kontext dieses Dokuments ist in [10] ausführlich beschrieben.

Schlussfolgerungen

1. Der Schlüssel zur sicheren Entwicklung von Hardware- und Softwarekomponenten ist eine hohe persönliche und kollektive Sicherheitskultur. Eine Sicherheitskultur ist Teil einer Organisationskultur.
2. Kultur ist eine Ableitung der Qualifikation und Disziplin aller Mitarbeiter der Organisation, beginnend mit der Geschäftsleitung, sowie ihrer Einstellung zu ihren Aufgaben.
3. Ein natürliches Zeichen einer Hochkultur sind nachdenkliche, gut verstandene, tatsächlich durchgeführte und ständig gemessene Arbeitsprozesse, aus denen das Managementsystem besteht (Qualität oder Sicherheit).

Anhang A. Anzeichen einer pathologischen Sicherheitskultur

Einige Anzeichen dafür, dass sich eine Organisation auf dieser Ebene befindet, sind:

• Niemand befasst sich mit Sicherheitsfragen, außer speziell benanntem Personal, das die Funktion der Simulation von Aktivitäten für externe Prüfer ausführt.
• Das Management und die Mitarbeiter der Organisation befassen sich weniger mit der Sicherheit als vielmehr damit, dass sie nicht in Verstöße "verwickelt" werden.
• Mitarbeiter verbergen Informationen über Probleme, das Management sammelt keine Informationen über den tatsächlichen Stand der Dinge („Ein Bote, der schlechte Nachrichten bringt, wird ihm den Kopf abgeschnitten“).
• Das Personal ist unwissentlich inkompetent, die Mitarbeiter entziehen sich der Verantwortung ("Sagen Sie mir, Chef, was ich konkret tun muss - ich werde es tun.").
• , (« ? ?»).
• , ( ) «» .
• , , , , .
• « », ;
• , — .

.

Einige Anzeichen dafür, dass sich eine Organisation auf dieser Ebene befindet, sind:

• Sicherheitsaktivitäten konzentrieren sich auf einen bereits aufgetretenen Vorfall.
• Die meisten Mitarbeiter sind nicht an der Qualitäts- und Sicherheitsgarantie beteiligt. Diese Aufgaben sind einer separaten Abteilung oder Mitarbeitern zugeordnet.
• Entscheidungen werden häufig auf der Grundlage von Kosten (Kosten, Ausgaben) und technischen Fähigkeiten getroffen.
• Die Reaktion des Managements auf Mitarbeiterfehler erfolgt durch eine verstärkte Kontrolle mithilfe von Verwaltungsverfahren und Schulungen, anstatt den Schuldigen zu finden.
• Die Organisation ist offen für Schulungen aus anderen Strukturen, insbesondere in technischen Fragen und im Erfahrungsaustausch.
• Nur ein Teil der sicherheitsrelevanten Prozesse wird erstellt. Entweder viele Prozesse, aber formal oder oberflächlich.
• Die Beziehung zwischen der Organisation und den Inspektionsstellen, Verbrauchern, Lieferanten und Auftragnehmern ist eher weit entfernt als eng.
• Mitarbeiter werden für das Erreichen kurzfristiger Ziele, das Erfüllen oder Übererfüllen des Plans belohnt, ohne die verzögerten Ergebnisse und Konsequenzen zu berücksichtigen.
• Das Verhältnis zwischen Mitarbeitern und Management ist feindselig, es gibt nur demonstratives Vertrauen und Respekt.

Anhang B. Anzeichen einer berechneten Sicherheitskultur

Einige der Anzeichen dafür, dass sich eine Organisation auf dieser Ebene befindet, sind die folgenden Eigenschaften:

• Die Sicherheit liegt nicht nur in der Verantwortung des benannten Personals, sondern auch des Managements der Organisation. Die Führung ist "streng, aber fair".
• Die Bedeutung und der Wert der Sicherheit werden vom Personal gut verstanden.
• Die zugrunde liegenden Prozesse wie Risikobewertung und Vorfallanalyse sind in Betrieb.
• , .
• , .
• , , .
• .
• , . .
• . , . .
• Die Mitarbeiter sind sich der Produktions- oder wirtschaftlichen Probleme des Unternehmens bewusst und helfen dem Management, diese zu verwalten.
• Das Verhältnis zwischen Management und Mitarbeitern ist wohlwollend und basiert auf Respekt und Unterstützung. Die Menschen werden für ihren Beitrag zur Entwicklung der Organisation respektiert und geschätzt.

Es gibt jedoch noch viel zu tun:

• Einige Informationen zum Stand der Dinge können ignoriert werden. Gleichzeitig sind die "Boten, die schlechte Nachrichten bringen" ziemlich tolerant.
• Es gibt eine Abgrenzung der Verantwortung für die Sicherheit. („Haben Sie Beschwerden über Schaltflächen?“) Die Interaktion zwischen Verantwortlichen für verschiedene Sicherheitsaspekte ist nicht verboten, wird jedoch nicht empfohlen.
• Neue Ideen verursachen Unannehmlichkeiten und Probleme.

Liste der verwendeten Quellen

1. . . , . . . . « », №2, 2017 . URL -https://biota.ru/publishing/magazine/bezopasnost-i-oxrana-truda-№2,2017/kultura-bezopasnosti-kak-neotemlemyij-element.html [ 20.05.2020]
2. . « ». . «, », 2017.
3. - « », 3 , . .: 2019. URL -http://hvli.org/upload/files/-2019.pdf [ 21.05.2020]
4. «. 11 - - Apple ». . «, », 2012.
5. . 2007 . URL -https://pub.iaea.org/MTCD/publications/PDF/IAEASafetyGlossary2007/Glossary/SafetyGlossary_2007r.pdf [ 20.05.2020]
6. Evidence scan: Measuring safety culture. The Health Foundation, 2011. URL -https://www.health.org.uk/sites/default/files/MeasuringSafetyCulture.pdf [ 20.05.2020]
7. Occupational Safety and Health culture assessment – A review of main approaches and selected tools. European Agency for Safety and Health at Work, 2011. osha.europa.eu/en/publications/occupational-safety-and-health-culture-assessment-review-main-approaches-and-selected [ 20.05.2020]
8. . . URL -https://www.rogwu.ru/content/bl_files_docs/%2004.04.19%20%2014.40%20.pdf [ 20.05.2020]
9. , , , No 75-INSAG-4, , 1991. URL — www-pub.iaea.org/MTCD/Publications/PDF/Pub882r_web.pdf [ 25.05.2020]
10. .. . . 2. URL — www.helicopter.su/assets/media_sources/ehest-ihts/2016/Safety%20Culture/Article_Rosatom/1%20-%20Safety%20Culture%20Article%20-%20ROSATOM%20-%20Mashin_AV_PSY42.pdf [ 25.05.2020]
11. Patrick Hudson. Safety Management and Safety Culture: The Long, Hard and Winding Road. URL — www.caa.lv/upload/userfiles/files/SMS/Read%20first%20quick%20overview/Hudson%20Long%20Hard%20Winding%20Road.pdf [ 21.05.2020]