英语原文共 5 页,剩余内容已隐藏,支付完成后下载完整资料
一种针对医疗软件设计的安全管理方法
Reza Rafeh
收稿日期:2012年6月28日 接受日期:2012年12月29日 在线发布时间:2013年1月12日
Springer Science Business Media 纽约2013
摘要:现代医疗系统的安全行为是这个行业最重要的问题。软件必须遵循安全说明,以防止系统出现任何错误情况。本文提出了一种新的安全方法管理,可以在实施和处置之前用于软件开发的不同阶段。在提议的方法中,安全性从作为设计基础设施的要求开始并持续到期
软件生产的其他阶段。
关键词:安全;软件开发;医疗软件;风险
Intriducion
现代医疗系统通常被归类为安全关键系统。 这种系统中发生的错误可以威胁病人的生命。因此,在计算机工程中,设计一个安全的系统医疗应用是重要的研究领域。安全系统包括安全软件和安全的硬件。有三种主要方法提高软件安全性; 定理证明[1],模型检查[2]和运行时验证[3]。所有安全范例通常都遵循这些方法之一或更多。对于例如,运行时反射[3]遵循运行时验证,在[4]中引入的方法遵循定理证明和模型检查的组合。
安全方法通常使用正式方法来指定系统行为的系统或监视器; 例子是定时自动机[5]和事件B [6]。一些方法用一个正式的方法,如Z [7]来指定系统。其他人结合正式的方法,例如验证使用Z的Petri网模型[8]。但是,这些都不是方法考虑了所有安全角度。所有人都必须看到安全,尤其是医疗软件软件生产阶段。 软件生产分为四个阶段:规划,需求规范,设计和实施。 结果我们有五个安全阶段[9]:安全规划阶段和初步阶段规划阶段的危害识别阶段,功能性需求规范中的危害评估阶段阶段,初步系统安全评估阶段设计阶段和系统安全评估阶段通过实施到处置阶段。这意味着医疗软件的安全性从规划阶段开始继续,直到使用该软件。 这称为安全生命周期。 我们在此调查医疗软件的安全性论文并提出了基于安全性的三层管理医疗软件的生命周期。
本文的结构如下。 在拟议的方法我们提出了高层次的三层方法视图。 在第3至5节中,每层都有更多解释细节。 最后,结论部分总结了本文。
提议的方法
如果没有具有系统的总体观点,就不可能达到高度安全的可能性。在医疗系统中设计安全软件的完美方法必须考虑安全生命周期各个阶段的安全性。 为了设计安全的软件,我们考虑三个安全性层; 要求,设计和自动管理(图1)。
没有完成就无法达到安全设计要求。在完成后,即使每个设计都需要安全检查。每层包括执行的四个步骤螺旋式地直到过渡到下一层的状态为止满意。
需求层
在这一层,我们指定了我们的所有安全要求设计。该层包括四个步骤。
高水平的设计
第一步是基于安全规划阶段安全生命周期。 此步骤的目的是客户需求识别和初步资源评估。此步骤确定了系统,环境,用户的目标,运营商和初步资源。 高水平的设计系统必须由主管团队改进,包括项目经理,设计经理,开发经理,测试经理和客户代理沿着螺旋路径要求层在成本,时间上达到平衡,各方面的客户满意度和安全满意度系统生产。
要求
第二步是基于安全的规划阶段生命周期。 此过程指定系统的要求基于系统的高级设计。 要求specification是一个正式指定系统,组件或应用程序的属性和功能的短语。
有四种要求:系统要求,硬件要求,功能要求和非功能性要求[10]。
一个好的要求规范必须是强制性的,具有凝聚力,一致性,正确性,可行性,相关性,明确性,唯一可识别性,可验证性和适用性不怎么做[11]。
在此步骤中,可以使用自然指定要求语言,数学陈述或正式语言。螺旋重复期间要求变得完整需求层。
系统风险
第三步是基于安全的初步危险识别和功能危害分析阶段生命周期。 最初,使用心灵风暴和历史信息确定初步危害。危害分为硬件危害,软件危害,程序危害,人为因素,环境危害和界面危害。 对于每个的初步危害严重程度必须确定该步骤的下一阶段的因子。大多数危害严重程度标准提出了四个级别危险程度分类; 灾难性的,危急的,边际的,可忽略不计的[12]。 系统危害分析有助于我们获得软件安全要求[13]。 初步分析以及下一阶段的补充分析配置系统安全的主干。
我们使用FMEA技术作为补充分析危害分析。 该技术被归类为结构用于硬件分析的FMEA,用于系统的功能FMEA功能分析和组合FMEA [13]。
安全需求
第四步是基于功能性危害评估安全生命周期的阶段。 在这一步所有的安全要求必须确定。 安全要求有与质量要求密切相关失败或成功安全至关重要的角色系统。 根据研究人员的报告,其中一个主要安全关键系统失败的原因是缺乏安全要求[14]。 一些安全要求是约束,事件链,时间限制,错误公差设备和警告接口。安全要求分类为纯安全要求,安全重要要求,安全系统要求,和安全限制[11]。
需求层一遍又一遍地重复,直到拟议的初步设计达到了适当的水平安全能力,成本,时间和完整性主管团队观点。
设计层
在这一层,我们基于安全性扩展了高级设计要求。 该层包含三个步骤。
设计
设计安全关键的最佳方法之一软件正在确定安全要求然后对系统进行建模,使其满足所有安全要求[14]。 在这一步中,首先,我们扩大了高水平设计到图形设计。 我们提出两个系统单元:与环境相互作用的操作单元(患者)直接控制和支持操作单元的控制单元。
在下一步中,从中提取逻辑行为互动模式。我们可以使用正式方法用于医疗系统建模。每种正式方法都有它的自己的特征,可用于建模系统根据其特点。正式方法被分类分为3个级别[15];第一级的形式很低由自然语言和图表组成。第二级由面向模型的语言组成,用于模拟行为系统采用数学方法。这个级别有一个中等程度。第三级由面向属性的方法组成,这些方法指定属性及其关系在组件中并使用它们进行一致性和完整性分析。这个级别具有很高的形式。我们使用Timed过渡Petri-Net作为正式方法,因为它是时间导向和易处理的。另外,我们使用Z [16]来指定文本和数学规范作为补充Petri网。每个Petri-Net模型都包含地点,标记,弧和过渡。每个过渡都有自己的条件当满足导致转换的标记移动到下一个地方。
设计过程反复重复,直到满足所有要求。 在医疗系统中,一些组件需要高水平的安全性,必须指定使用高度正规的方法。 一些组件需要一个较小的安全等级,必须建模使用具有中等或低级形式的方法。用户界面是在螺旋重复期间设计的设计层。 警告设备放在设计和风险降低预测被添加到设计中。不言而喻,对于安全至关重要系统用户安全系数优先于用户友好因素[17]。
设计评估
第二个过程基于初步系统安全生命周期的安全评估。 危害分析继续在设计层,直到所有组件的设计变得令人满意。 HFMEA和FTA1是两个该步骤中使用的技术[9]。 在这一步中,所有FMEA必须审查来自要求的工作表必要时更新。 FTA执行FMEA操作递归; 它从一个不合适的事件开始并移动在树形结构中查找导致此事件的所有原因[13]。
安全测试
第三步是基于初步的系统安全性评估安全生命周期。 每个组件必须在设计完成后由测试团队进行测试。 所有设计必须确认安全要求和满足他们的安全限制。 模型检验和定理
证明是这一步中通常使用的两种技术。很明显,并非所有人都需要高安全水平医疗系统中的组件。需要的组件必须建模或必须指定高水平的安全性用正式的方法。
因此,可以使用一个指定计算状态模型检查支持的形式方法工具。 另一方面,有一些组件这需要低水平的安全性或根本不是SafetyCritical。 在此步骤中测试这些组件可能非常昂贵且耗时。 因此,运行时验证或实现测试技术可能是更适合这些组件。 最重要的此步骤中的注意事项是测试技术通常会识别缺陷存在并且不证明缺乏缺陷[18]。该层的过程一遍又一遍地重复螺旋直到子系统设计及其关系达到了比较到期。
自动管理层
要求和设计层都有是一些控制安全性的技术相应的图层。 但是,这些技术不能确保所有医疗部件的安全该系统有两个原因:1)许多技术遭受人为失败,特别是在需求提取方面。
2)一些技术昂贵且耗时,因此它们不适合所有组件。其他在运行时,始终存在意外错误的可能性,从而导致系统故障。 美国宇航局火星极地兰德在1999年的崩溃是其中一次失败。
发生的原因是系统测试没有发现故障[19]。
有必要监控系统的行为运行时捕获和管理意外故障,然后防止系统故障。 我们使用这些操作自动管理结构。所有的主要状态系统会持续监控,并且任何关键系统的行为必须由此结构确认在发生之前确保安全。这种结构有四个单元:日志管理,变更管理,预防管理和灾害管理,受信息技术基础设施库的启发(ITIL)[20]。 因此,该层包含四个步骤如下。
剩余内容已隐藏,支付完成后下载完整资料
资料编号:[19652],资料为PDF文档或Word文档,PDF文档可免费转换为Word
课题毕业论文、外文翻译、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。