В последних записях много говорили о видах анализа и об их проведении. Но при этом ни разу не упомянули анализ опасностей и оценку рисков (Hazard Analysis and Risk Assessment, HARA) и его “коллегу” из мира кибербезопасности – анализ угроз и оценку рисков (Threat Analysis and Risk Assessment, TARA). Исправляем это упущение.

HARA и TARA не относятся ни к дедуктивным, ни к индуктивным. В них рассматриваемое устройство представляется неделимым, так что в процессе анализа нет «движения»: ни от сбоя компонента к отказу функции, ни в обратном направлении.

Вспомним определения

В отличие от повседневного языка, где опасность, угроза и риск — синонимы, в «языке безопасности» их различают:

• Опасность – вероятный источник вреда, который реализуется при отказах компонентов или неправильном использовании устройства без злого умысла.
• Угроза – особенность, пользуясь которой злоумышленник наносит вред.
• Риск – величина воздействия вреда, комбинирующая тяжесть и вероятность возникновения.

Анализ опасностей

Анализ опасностей помогает определить:

• Опасности, приводящие к наибольшему риску при нарушении работоспособности для каждой функции устройства
• Уровень риска, связанный с этими опасностями (в формате уровней полноты безопасности)
• Функциональные требования, исполнение которых позволит снизить риск – такие требования называют целями безопасности
• Нефункциональные требования, дополняющие цели безопасности

How to?

1. Сначала определяют возможные отказные состояния – по какому сценарию ломается функция. По-английски отказные состояния – malfunctions. Здесь используется анализ HAZOP, о котором речь пойдет в другой статье.
2. Затем для каждого варианта использования устройства выбирают ситуации, в которых возможен отказ. Отсюда определяют опасное событие – что произойдет, если в этой ситуации произойдет переход в это отказное состояние.
3. Зная опасное событие, получают параметры риска. Тяжесть классифицируется дискретно (например, по такой шкале: травмы, не совместимые с жизнью – тяжелые травмы – легкие травмы – отсутствие травм). Вероятность оценивают числом, дискретными классами, или оценку вероятности для упрощения разбивают на параметры, которые проще оценить. Например, ИСО 26262 вместо оценки вероятности требует оценки двух параметров: экспозиции – вероятности нахождения в угрожаемом состоянии, и управляемости – вероятности снизить риск собственными действиями. На основании этих параметров определяется уровень полноты безопасности.
4. Описание опасностей позволяет требования, направленные на минимизацию риска. Этим требованиям присваивается тот же уровень полноты безопасности, что и рассматриваемой ситуации.