Riippumaton toiminnallisen turvallisuuden arviointi
Termillä ”turvallisuuden kannalta kriittinen tietojärjestelmä” viitataan järjestelmiin, joissa tietokonepohjaisen ohjelman pettämiseen liittyy riski ihmisten tai ympäristön terveydelle. Yllä mainitun kaltaisia järjestelmiä turvataan erityisillä turvallisuustoiminnoilla, ja järjestelmien kehityksessä sovelletaan yleisesti toiminnallisen turvallisuuden standardeja, esimerkiksi standardisarjaa IEC 61508. Nyt lukija varmasti miettii, miten toiminnallinen turvallisuus oikein määritellään. Siitä lisää tässä vanhemmassa englanninkielisessä blogipostauksessa.
Standardisarja IEC 61508 edellyttää, että toiminnallisen turvallisuuden arviointi sisällytetään osaksi turvallisuuskriittisten järjestelmien kehitystyötä. Arviointi voi olla vaihtelevan muotoinen riippuen siitä, sovelletaanko tilanteessa suoraan standardia IEC 61508 vai esimerkiksi rautatieliikenteen standardeja EN 5012X.
Riippumaton toiminnallisen turvallisuuden arviointi – siis mikä?
Toiminnallisen turvallisuuden arvioinnilla tarkoitetaan pätevän henkilön suorittamaa arviointia, jossa määritetään täyttääkö järjestelmä riittäviltä osin toiminnallisen turvallisuuden vaatimukset. Arvioinnin osana tutkitaan myös järjestelmän vaatimustenmukaisuus.
Arviointi kattaa turvallisuuskriittisen järjestelmän kehitystyön kaikki vaiheet. Suunnittelun osa-alueita tarkasteltaessa tärkeintä on varmistaa, että kehityssuunnittelussa on määritelty asianmukainen kehityksen elinkaari, ja että soveltuvat teknologiat ja toimenpiteet ovat yhteneviä järjestelmän turvallisuustason (SIL) kanssa. Arvioinnissa tulee myös kuvailla organisaatiohenkilöstön pätevyysaste. Muita tyypillisesti arvioitavia tekijöitä ovat prosessin todentaminen ja validointi (V&V) sekä ne selvitykset, joiden pohjalta järjestelmän voidaan katsoa täyttävän sille asetetut vaatimukset. Arvioinnissa käsitellään myös prosessin tukitoiminnot kuten esimerkiksi konfiguraation hallinta.
Arviointi voidaan tehdä osissa kehitystyön kuluessa, tai kertatyönä projektin loppumetreillä.
Kuka saa arvioida toiminnallista turvallisuutta?
Turvallisuusstandardeissa on määritelty, minkälaisia pätevyys- ja riippumattomuustodistuksia toiminnallisen turvallisuuden arviointeja suorittavilta henkilöiltä vaaditaan. Mitä korkeampi turvallisuustaso (SIL) järjestelmällä on, sitä riippumattomampi arvioinnin tekijän on oltava. On myös otettava huomioon tuotteen mahdollinen sertifiointitarve. Jos sertifiointi on tarpeen, arvioinnin suorittajan on myös oltava akkreditoitu.
Toiminnallisen turvallisuuden arviointi on suoritettava aina, kun tuotteen on tarkoitus täyttää standardin EC 61508 (tai jonkin siitä johdetun standardin) vaatimukset. Rautatieteollisuudessa on muutama osa-alue, joissa vaaditaan akkreditoidun arvioitsijan suorittama riippumaton toiminnallisen turvallisuuden arviointi. Näitä osa-alueita ovat turvallisuuden kannalta kriittiset liikkuvan kaluston osajärjestelmät (RST) sekä ohjaus-, hallinta- ja merkinanto-osajärjestelmät (OHM).
Lue lisää Huldin turvallisuusosaamisesta.
