Лінза інцидентів застосовності

Статус: Концептуальна аналітична лінза (без тверджень)

Застереження

Лінза інцидентів застосовності — це концептуальна рамка для аналізу інцидентів у складних автоматизованих, з підтримкою ШІ та критично важливих для безпеки системах, включаючи системи що працюють у регульованих середовищах або середовищах з високими наслідками.

Вона не замінює формальних розслідувань безпеки, що проводяться регуляторними органами.

Вступ

Традиційний аналіз інцидентів зосереджується на відмові компонентів, людській помилці або відхиленні від процедур. Лінза інцидентів застосовності вводить додатковий рівень: питання про те, чи система працювала в умовах, що обґрунтовували її роботу на момент інциденту.

Ця лінза не замінює існуючих методів розслідування. Вона розширює аналітичний словник, вводячи концепцію меж застосовності як структурного фактора в інтерпретації інцидентів.

Поведінка проти застосовності

Система може поводитися правильно відповідно до своєї проєктної специфікації і водночас працювати за межами умов, що обґрунтовують її роботу.

Поведінкова коректність описує, чи система працює відповідно до проєкту.

Застосовність описує, чи умови, за яких система була спроєктована для роботи, все ще виконуються.

Це незалежні виміри. Система може бути поведінково коректною та водночас недійсною за застосовністю.

Операційні припущення

Кожна складна автоматизована система працює на основі набору припущень про своє середовище, вхідні дані, структуру повноважень та операційний контекст.

Ці припущення рідко формулюються явно в операційній документації.

Коли ці припущення руйнуються — тихо, поступово або раптово — система продовжує працювати, але обґрунтування її роботи більше не діє.

Межа застосовності в контексті інциденту

Межа застосовності позначає точку, за якою операційне обґрунтування системи більше не може бути підтверджене.

В аналізі інцидентів ця межа є релевантною, оскільки:

• Система могла перетнути межу до того, як стався інцидент.
• Перетин міг не бути виявлений системами моніторингу.
• Система могла продовжувати видавати результати, що виглядали валідними.
• Оператори могли не мати жодних ознак того, що операційний контекст змінився.

Рівні інтерпретації

Лінза інцидентів застосовності пропонує наступні рівні інтерпретації для аналізу інцидентів:

Рівень 1 — Застосовність стану: Чи спостережуваний стан системи був у межах умов, що обґрунтовували роботу?

Рівень 2 — Застосовність траєкторії: Чи послідовність станів системи відповідала запланованій операційній траєкторії?

Рівень 3 — Застосовність повноважень: Чи структура повноважень, що керувала системою, все ще була дійсною на момент інциденту?

Рівень 4 — Застосовність оновлення: Чи операційні припущення системи були оновлені відповідно до поточного середовища?

Основна теза

Інциденти часто виникають не тому, що системи відмовляють, а тому, що системи продовжують працювати після того, як умови, що обґрунтовували їх роботу, вже зникли.

Висновок

Лінза інцидентів застосовності не надає висновків щодо конкретних інцидентів. Вона надає концептуальний словник для запитання, чи система все ще працювала в межах своїх обґрунтованих умов на момент події.

Ця лінза є непрескриптивною. Вона не рекомендує дій, не призначає відповідальності та не замінює регуляторне розслідування.

Пов'язані концептуальні сторінки

• Карта відмов застосовності — Структурні класи відмов у межах застосовності.
• Межа застосовності — Визначення — Формальне визначення концепції межі застосовності.
• Огляд рамки — Огляд повної концептуальної рамки.

Кінець лінзи інцидентів застосовності