La prolifération des technologies de l'Internet des objets industriel, des véhicules sans pilote et d'autres systèmes cyber-physiques affectant la sécurité des personnes fait qu'il est de plus en plus important pour les dispositifs électroniques programmables de se conformer aux exigences des normes internationales dans le domaine de la sécurité fonctionnelle, en particulier CEI 61508 et ISO 26262.
Pour les développeurs de matériel et logiciel il y a beaucoup de questions pratiques, la réponse à laquelle vous devez donner une sorte de compréhension globale, qui comprendra rapidement les principes de résolution de nombreuses questions et tâches privées, cela semblerait petit, mais qui sont une partie importante de la mosaïque.
Pour une compréhension approfondie de l'essence du développement et de la certification de systèmes matériels et logiciels responsables, il est nécessaire de connaître les "trois piliers" de la sécurité fonctionnelle:
- Culture de sécurité (Safety Cultute)
- Gestion de la sécurité fonctionnelle (FSM);
- Cas de sécurité.
Cet article se concentrera sur le premier d'entre eux, la culture de la sécurité. Plus précisément, sur les caractéristiques des différents types de culture de sécurité et sur les caractéristiques d'une culture de sécurité pour les entreprises qui développent des composants électriques, électroniques et logiciels de systèmes de sécurité.
Le terme «culture de sûreté» est discuté en détail dans [1].
introduction
Depuis les tragédies de la centrale nucléaire de Tchernbyl et de la plate-forme pétrolière Piper Alpha, on peut dire qu'une culture de la sécurité a «absorbé dans l'ADN» des personnes travaillant dans des secteurs dangereux de l'économie. Mais une production dangereuse est une chose, et le développement de matériel ou de logiciels pour les systèmes critiques en est une autre. En soi, le travail des concepteurs de circuits et des programmeurs ne pose évidemment aucun risque pour la vie des développeurs ou des résidents des maisons à proximité du bureau. Les problèmes de sécurité sont liés à la portée du produit, car des échecs dus à des erreurs et des erreurs de calcul peuvent apparaître, d'une part, pas immédiatement, et d'autre part, à un autre endroit.
Dans le même temps, l'endroit peut déjà être très dangereux, et l'échec de se produire très mauvais moment ...
La culture de la sécurité fait partie de la culture organisationnelle. Cette question est parfaitement dévoilée dans son best-seller Jim Collins [2], voici une petite citation:
«Toutes les entreprises ont une sorte de culture, certaines ont de la discipline, mais peu ont une culture de la discipline. Si les employés sont disciplinés, il n'y a pas besoin de hiérarchie. S'il existe une discipline de pensée, la bureaucratie n'est pas nécessaire. S'il y a de la discipline en action, vous n'avez pas besoin d'un contrôle supplémentaire. Si vous ajoutez une culture de discipline à une conduite commerciale éthique, vous obtenez une potion magique pour des réalisations exceptionnelles. »Dans ce passage, l'auteur parle de la culture personnelle des employés, qu'il a appelée la culture de la discipline . D'autres auteurs utilisent d'autres termes: Alexander Kirillovich Dianin-Havard parle de leadership moral [3], Guy Kawasaki, citant Steven Jobs, parle de joueurs de première catégorie [4]. Ces auteurs révèlent bien le fait que l'activité d'une organisation est l'activité de ses employés dans toute la variété des motivations personnelles et des relations interpersonnelles.
Je voudrais noter une dernière réflexion avant d'en venir au fait. Bien sûr, «sécurité» et «culture de la sécurité» peuvent avoir des noms différents: industriel, aviation, transport, activités médicales. Mais, puisque l'essence sous-jacente de la question est la même, dans la littérature méthodologique et normative, il y a un rejet progressif des «adjectifs de l'industrie» utilisés avec le mot «sécurité» ou à la place de celui-ci. Par exemple, le glossaire de l'AIEA [5] n'utilise plus le mot «nucléaire» dans le terme «culture de la sûreté».
De nombreuses méthodes ont été créées pour auditer et analyser une culture de la sécurité dans l'industrie mondiale, les soins de santé et les transports: par exemple, une étude de la British Health Association [6] répertorie plus de 20 de ces méthodes, ainsi que des liens vers 125 études dans ce domaine. Des études similaires sont publiées par d'autres organisations [7]. Dans la pratique, les méthodes suivantes d'analyse de la culture de sécurité des organisations sont les plus courantes:
- Coeurs et esprits ("Coeurs et esprits");
- Modèle de maturité de la culture de sécurité (SCMM);
- Système de mesure de l'échelle d'indicateur de culture de sécurité (SCISMS).
Le programme Hearts and Minds pour l'analyse et la transformation de la culture de la sécurité est peut-être la plus connue de ces méthodes. Il a été développé pour son propre usage par le groupe de sociétés Shell et est devenu, en fait, la norme de facto dans l'industrie mondiale du pétrole et du gaz, et a également gagné en distribution dans les industries de l'énergie, des mines, des produits chimiques, des produits pharmaceutiques, de la défense et d'autres industries dangereuses. Maintenant, le programme est administré par l'Energy Institute of Great Britain (Energy Institute), qui accrédite les sociétés de conseil pour soutenir la mise en œuvre, la formation de formateurs internes, etc. En Russie et dans la CEI, le programme «Hearts and Minds» est officiellement représenté par la société Yamnaska .
Et, enfin, avant de procéder à l'examen des types de cultures, on ne peut que mentionner le travail approfondi [8] préparé sous les auspices du Neftegazstroyprofsoyuz de Russie.
Modèle Vestrama
La méthode Hearts and Minds, ainsi que quelques autres, est basée sur le modèle évolutif d'une culture de sécurité, connu sous le nom de modèle Westrum, qui définit cinq types de culture de sécurité (Fig.1).
Figure. 1. Le modèle évolutif de la culture de sécurité Vestrama Le
modèle Vestrama implique l'évolution d'une culture de sécurité. Bien sûr, le processus inverse peut également avoir lieu dans une organisation - la dégradation. Pour le dire légèrement, les étapes de réduction de l'efficacité de la sécurité sont considérées dans les travaux mentionnés ci-dessus [8] et nous ne les discuterons pas: nous penserons positivement. Après tout, nos organisations évoluent, non?
Sinon, pourquoi perdrions-nous du temps à travailler pour eux?
Bien entendu, les cultures pathologiques et réactives peuvent difficilement être qualifiées de cultures au sens plein du terme. Il y a même un nom spécial pour cela: les cultures négatives. C'est la terminologie de la catégorie «manque de coiffure - coiffure également». Dans de telles organisations, il peut bien exister des structures formelles et superficielles qui ne pénètrent pas dans les processus réels. Par exemple, il peut y avoir un système de gestion de la qualité / sécurité et même du personnel dédié est affecté à des fonctions de contrôle de la qualité et / ou de la sécurité, c'est-à-dire que l'organisation semble effectivement allouer certaines ressources, mais leur véritable objectif est de remplir officiellement (ou même d'imiter seulement respect des exigences des régulateurs.
Cependant, examinons de plus près chaque type de culture de sécurité.
1) "Culture" pathologique de la sécurité
Le leadership d'une telle organisation considère la sécurité comme une exigence externe, comme une sorte d'ingérence dans le travail. Il est considéré comme suffisant uniquement pour se conformer aux exigences obligatoires des documents réglementaires, il n'y a pas de volonté d'étudier de manière indépendante les aspects de sécurité.
La direction de ce type d'organisation est convaincue que tous les problèmes viennent de leurs subordonnés.
Dans l'annexe A, nous avons inclus une liste de certains des signes indiquant que la culture d'une organisation se situe au niveau pathologique.
2) "Culture" réactive de la sécurité
Le nom anglais de ce niveau «réactif» dans la littérature est souvent véhiculé par le mot de traçage russe «réactif», mais je ne trouve pas cela très réussi.La direction d'une organisation de ce niveau considère la sécurité comme un élément important de la qualité des produits, même en l'absence de pression des autorités réglementaires, mais estime que tous les problèmes se situent aux niveaux inférieurs de la hiérarchie de l'entreprise. La sécurité est le but et l'objectif, avec d'autres indicateurs de performance. L'organisation commence à appliquer certaines méthodes et moyens par lesquels la sécurité atteint un certain niveau et cherche à utiliser l'expérience d'autres organisations. Lorsqu'un incident se produit, des mesures sont prises.
Dans l’annexe B, nous avons placé une liste de quelques signes indiquant que la culture de l’organisation est à un niveau réactif.
3) Une culture de sécurité prudente
La direction d'une organisation prudente croit en la nécessité d'une approche systématique de la gestion de la performance en matière de sécurité, utilise diverses méthodes et moyens pour cela et organise la formation du personnel. Une organisation avec une culture prudente effectue les actions correctes, en général, mais le fait mécaniquement, parfois aveuglément en suivant les procédures.
Dans l’annexe B, nous avons placé une liste de certains signes indiquant que la culture de l’organisation est à un niveau calculé.
Dans la première version du modèle Vestram, ce type était appelé bureaucratique
4) Culture de sécurité proactive
Le leadership d'une organisation proactive perçoit la sécurité comme une valeur fondamentale. Les cadres à tous les niveaux se soucient sincèrement de la qualité et de la sécurité des produits. Tous les employés sont pleinement impliqués dans la gestion de la sécurité et considèrent qu'il est de leur devoir de travailler efficacement. Les processus de sécurité fondamentaux sont bien établis, compris et utilisés par l'organisation. Rapports complets des incidents. L'enquête sur les problèmes vous permet d'éliminer les défauts du système. Les défauts de produit potentiellement dangereux sont utilisés comme indicateurs les plus importants de la qualité du produit.
5) une culture de sécurité créative
L'organisation n'a pas besoin de l'influence des autorités réglementaires pour assurer la sécurité, elle s'efforce d'avoir une compréhension complète des conditions et de l'environnement d'utilisation du produit. L'amélioration continue de la sécurité implique tous les employés de l'organisation, ainsi que les entrepreneurs. Les travailleurs sont inconsciemment compétents. Les gens comprennent l'impact de leurs actions sur la sécurité, chaque collaborateur peut contribuer au développement de l'organisation. Une atmosphère a été créée qui permet d'introduire des améliorations, il y a un échange constant de connaissances et l'amélioration d'une culture de sécurité. La sécurité et la qualité sont intégrées dans tout ce que fait l'organisation.
, , , . , , . – , , . , .Il existe une différence non évidente mais fondamentale entre les organisations proactives et créatives. Le fait est que le style de travail bureaucratique et mécaniste à un niveau prudent est très confortable pour de nombreux employés de l'organisation, surtout s'il s'accompagne de succès. Il y a une très forte tentation de «se reposer sur nos lauriers» et, comme l'écrit le collègue de Vestram, le professeur Patrick Hudson, dans [11], les organisations proactives reviennent facilement au niveau du calcul. Cela n'est pas caractéristique des organisations créatives, car, comme l'écrit Hudson, elles ont des propriétés anti-bureaucratiques et leur vitesse d'action brise les structures hiérarchiques.
Développement de matériel et de logiciels
En discutant de la culture organisationnelle en général et des niveaux de culture de sécurité en particulier, nous avons cherché à présenter le matériau dans une réfraction aux spécificités du développement de systèmes de sécurité matériels et logiciels. L'appendice B de GOST R ISO 26262-2 peut également être utilisé comme une bonne aide méthodologique pour évaluer et auto-évaluer la culture de sécurité des organisations développant de tels composants. Voici le tableau B.1 de cette annexe:
Lorsque vous développez votre propre programme de développement d'une culture de sécurité, vous pouvez développer des mesures pour surmonter les signes de faible culture et la formation de signes de haute culture.
L'annexe B de GOST R ISO 26262-2 contient une référence à INSAG-4 [9], un document qui a largement jeté les bases de la diffusion d'une culture de la sécurité dans le monde.
Le contexte de ce document est décrit en détail dans [10].
conclusions
- La clé du développement sûr des composants matériels et logiciels est une forte culture de sécurité personnelle et collective. Une culture de la sécurité fait partie d'une culture organisationnelle.
- La culture est le produit des qualifications et de la discipline de tout le personnel d'une organisation, à commencer par la haute direction, et de son attitude envers ses responsabilités.
- Un signe naturel d'une haute culture est des processus de travail réfléchis, bien compris, effectivement exécutés et constamment mesurés qui composent le système de gestion (qualité ou sécurité).
Annexe A. Signes de culture de sécurité pathologique
Certains signes indiquant qu'une organisation est à ce niveau sont:
- Les problèmes de sécurité ne sont traités par personne d'autre que le personnel désigné qui remplit la fonction de simulation d'activités pour les auditeurs externes.
- La direction et le personnel de l'organisation ne se préoccupent pas tant de la sécurité que de ne pas être «pris» dans des violations.
- Les informations sur les problèmes des employés sont cachées, les informations sur l'état réel des choses ne sont pas collectées par la direction («Un messager qui apporte de mauvaises nouvelles se fait couper la tête»).
- Le personnel est inconsciemment incompétent, les employés se dérobent à toute responsabilité ("Vous me dites, patron, ce que je dois faire exactement - je le ferai").
- , (« ? ?»).
- , ( ) «» .
- , , , , .
- « », ;
- , — .
.
Certains signes indiquant qu'une organisation est à ce niveau sont:
- Les activités de sécurité se concentrent sur un incident qui s'est déjà produit;
- La plupart des employés ne sont pas impliqués dans l'assurance de la qualité et de la sécurité - ces tâches sont confiées à un service ou à des employés distincts;
- Les décisions sont souvent prises en termes de coût (coûts, dépenses) et de capacités techniques;
- La réponse de la direction aux erreurs des employés passe par un contrôle accru utilisant des procédures administratives et une formation, plutôt que par la recherche du coupable;
- L'organisation est ouverte à la formation d'autres structures, notamment en matière technique et de transfert d'expérience;
- Seule une partie des processus liés à la sécurité est construite. Soit de nombreux processus, mais formels ou superficiels.
- La relation entre l'organisation et les organismes d'inspection, les consommateurs, les fournisseurs, les entrepreneurs est plus éloignée qu'étroite.
- Les employés sont récompensés pour la réalisation d'objectifs à court terme, l'atteinte ou l'exécution excessive d'un plan, sans tenir compte des résultats et des conséquences retardés.
- La relation entre les employés et la direction est hostile, il n'y a que de la confiance et du respect démonstratifs.
Annexe B. Signes d'une culture de sécurité calculée
Certains signes que l'organisation est à ce niveau sont les qualités suivantes:
- La sécurité n'est pas seulement la responsabilité du personnel désigné, mais également de la direction de l'organisation. Le leadership est «strict mais juste».
- L'importance et la valeur de la sécurité sont bien comprises par le personnel.
- Des processus fondamentaux sont établis et fonctionnent, par exemple, l'évaluation des risques et l'analyse des incidents.
- , .
- , .
- , , .
- .
- , . .
- . , . .
- Les gens sont conscients des enjeux de production ou économiques de l'organisation et aident la direction à les gérer.
- La relation entre la direction et les employés est solidaire, respectueuse et solidaire. Les personnes sont respectées et appréciées pour leur contribution au développement de l'organisation.
Cependant, il y a du travail à faire:
- Certaines informations d'état peuvent être ignorées. Dans le même temps, les «messagers qui apportent de mauvaises nouvelles» sont assez tolérants.
- Il existe une séparation des responsabilités en matière de sécurité. («Avez-vous des plaintes concernant les boutons?») L'interaction entre les responsables de divers aspects de la sécurité n'est pas interdite, mais elle n'est pas encouragée.
- Les nouvelles idées créent des inconvénients et des problèmes.
Liste des sources utilisées
- . . , . . . . « », №2, 2017 . URL -https://biota.ru/publishing/magazine/bezopasnost-i-oxrana-truda-№2,2017/kultura-bezopasnosti-kak-neotemlemyij-element.html [ 20.05.2020]
- . « ». . «, », 2017.
- - « », 3 , . .: 2019. URL -http://hvli.org/upload/files/-2019.pdf [ 21.05.2020]
- «. 11 - - Apple ». . «, », 2012.
- . 2007 . URL -https://pub.iaea.org/MTCD/publications/PDF/IAEASafetyGlossary2007/Glossary/SafetyGlossary_2007r.pdf [ 20.05.2020]
- Evidence scan: Measuring safety culture. The Health Foundation, 2011. URL -https://www.health.org.uk/sites/default/files/MeasuringSafetyCulture.pdf [ 20.05.2020]
- Occupational Safety and Health culture assessment – A review of main approaches and selected tools. European Agency for Safety and Health at Work, 2011. osha.europa.eu/en/publications/occupational-safety-and-health-culture-assessment-review-main-approaches-and-selected [ 20.05.2020]
- . . URL -https://www.rogwu.ru/content/bl_files_docs/%2004.04.19%20%2014.40%20.pdf [ 20.05.2020]
- , , , No 75-INSAG-4, , 1991. URL — www-pub.iaea.org/MTCD/Publications/PDF/Pub882r_web.pdf [ 25.05.2020]
- .. . . 2. URL — www.helicopter.su/assets/media_sources/ehest-ihts/2016/Safety%20Culture/Article_Rosatom/1%20-%20Safety%20Culture%20Article%20-%20ROSATOM%20-%20Mashin_AV_PSY42.pdf [ 25.05.2020]
- Patrick Hudson. Safety Management and Safety Culture: The Long, Hard and Winding Road. URL — www.caa.lv/upload/userfiles/files/SMS/Read%20first%20quick%20overview/Hudson%20Long%20Hard%20Winding%20Road.pdf [ 21.05.2020]