Культура безопасности при разработке вычислителей и программного обеспечения ответственного назначения

Распространение технологий промышленного интернета вещей, беспилотных транспортных средств и других кибер-физических систем, влияющих на безопасность людей, делает всё более актуальным соответствие программируемых электронных устройств требованиям международных стандартов в области функциональной безопасности, в частности IEC 61508 и ISO 26262.

У разработчиков аппаратных средств и программного обеспечения возникает множество практических вопросов, для ответа на которые требуется дать некое комплексное понимание, что позволит быстро уловить принципы решения множества частных вопросов и задач, казалось бы, маленьких, но являющихся важной частью мозаики.

Для глубокого понимания сути разработки и сертификации программно-аппаратных систем ответственного назначения, необходимо знать «трех китов» функциональной безопасности:

• Культура безопасности (Safety Cultute)
• Менеджмент функциональной безопасности (Functional Safety Management, FSM);
• Доказательство безопасности (Safety Case).

В этой статье речь пойдет о о первом из них, Safety Culture. Точнее, о характерных признаках разных типов культуры безопасности и об особенностях культуры безопасности для компаний-разработчиков электрических, электронных и программных компонентов систем безопасности.

Термин «культура безопасности» подробно рассматривается в работе [1].

Введение

Со времен трагедий на Чернбыльской АЭС и на нефтяной платформе Piper Alpha культура безопасности, можно сказать, «впиталась в ДНК» людей, работающих в опасных отраслях экономики. Но одно дело опасные производства, а другое – разработка аппаратного или программного обеспечения систем ответственного назначения. Сам по себе труд схемотехников и программистов, очевидно, не сопряжен с риском для жизни ни для разработчиков, ни для жителей домов в окрестностях офиса. Вопросы безопасности относятся к области применения продукции, т.к. сбои из-за ошибок и просчетов могут проявляться, во-первых, не сразу, во-вторых, в другом месте.

При этом место может быть уже весьма небезопасным, и сбой произойти очень даже не вовремя…

Культура безопасности является частью организационной культуры. Этот вопрос прекрасно раскрывает в своем бестселлере Джим Коллинз [2], приведем здесь небольшую цитату:

«У всех компаний есть какая-то культура, у некоторых есть дисциплина, но мало у каких есть культура дисциплины. Если сотрудники дисциплинированы, не нужна иерархия. Если есть дисциплина мышления, не нужна бюрократия. Если есть дисциплина действия, не нужен лишний контроль. Если культуру дисциплины добавить к этичному ведению дел, получается волшебное зелье для выдающихся достижений».

В этом отрывке автор говорит о личной культуре сотрудников, которую он назвал культурой дисциплины. Другие авторы используют другие термины: Александр Кириллович Дианин-Хавард говорит о нравственном лидерстве [3], Гай Кавасаки, цитируя Стивена Джобса, говорит об игроках первого разряда [4]. Эти авторы хорошо раскрывают тот факт, что деятельность организации — это деятельность её сотрудников во всём многообразии личных мотиваций и межчеловеческих отношений.

Еще одну мысль хотелось бы отметить, прежде чем перейти к сути. Конечно, «безопасность» и «культура безопасности» может иметь разные названия: промышленная, авиационная, транспортная, медицинской деятельности. Но, поскольку глубинная суть дела одна и та же, в методической и нормативной литературе наблюдается постепенный отказ от «отраслевых прилагательных», употребляемых со словом «безопасность» (safety) или вместо него. Например, глоссарий МАГАТЭ [5] уже давно не использует в термине «культура безопасности» слово «ядерной».

Для аудита и анализа культуры безопасности в мировой промышленности, здравоохранении и на транспорте создано множество методов: например, в исследовании британской Ассоциации здравоохранения [6] перечислено более 20 таких методов, а также приведены ссылки на 125 исследований в этой области. Аналогичные исследования публикуют и другие организации [7]. На практике наиболее распространены следующие методы анализа культуры безопасности организаций:

• Hearts & Minds («Сердца и умы»);
• Safety Culture Maturity Model (SCMM);
• Safety Culture Indicator Scale Measurement System (SCISMS).

Программа анализа и трансформации культуры безопасности «Сердца и умы» является, пожалуй, самым известным из указанных методов. Она разработана для собственного применения группой компаний Shell и стала, по сути, стандартом де-факто в мировой нефтегазовой промышленности, а также получила распространение в энергетической, горнодобывающей, химической, фармацевтической, оборонной и других опасных отраслях промышленности. Сейчас администрированием программы занимается «Институт Энергетики» Великобритании (Energy Institute), который аккредитует консалтинговые компании для поддержки внедрения, обучения внутренних тренеров и т.п. В России и СНГ программу «Сердца и умы» официально представляет компания Ямнаска.

И, наконец, прежде чем перейти к рассмотрению типов культур, нельзя не упомянуть обстоятельную работу [8], подготовленную под эгидой Нефтегазстройпрофсоюза России.

Модель Вестрама

В основе метода «Сердца и умы», а также некоторых других, лежит эволюционная модель культуры безопасности, известная как «Модель Вестрама» (Westrum model), которая определяет пять типов культуры безопасности (рис. 1).


Рис. 1. Эволюционная модель культуры безопасности Вестрама

Модель Вестрама предполагает эволюцию культуры безопасности. Разумеется, в организации может проходить и обратный процесс – деградация. Стадии, как бы помягче выразиться, снижения эффективности безопасности рассматриваются в упомянутой выше работе [8] и нами обсуждаться не будут: будем мыслить позитивно. Ведь наши с вами организации эволюционируют, не так ли?

Иначе зачем бы мы стали тратить время, работая на них?

Разумеется, патологическую и реагирующую культуры сложно назвать культурами в полном смысле этого слова. Для этого существует даже специальное название: негативные культуры. Это терминология из разряда «отсутствие прически – тоже прическа». В таких организациях вполне могут существовать формальные и поверхностные структуры, которые не проникают в реальные процессы. Например, может существовать система менеджмента качества/безопасности и даже назначены специальные сотрудники для выполнения функций контроля качества и/или безопасности, то есть организация вроде как реально выделяет некоторые ресурсы, но их истинное назначение состоит в том, чтобы формально выполнять (или даже только имитировать выполнение) требования регуляторов.

Впрочем, давайте рассмотрим подробнее каждый из типов культуры безопасности.

1) Патологическая «культура» безопасности

Руководство такой организации относится к безопасности как ко внешнему требованию, как к своего рода помехе в работе. Считается достаточным только выполнять обязательные требования нормативных документов, отсутствует готовность самостоятельно изучать аспекты безопасности.

Руководство организация этого типа уверено, что все неприятности происходят из-за их подчиненных.

В приложении А мы поместили список некоторых признаков того, что культура организации находится на патологическом уровне.

2) Реагирующая «культура» безопасности

Английское название этого уровня «reactive» в литературе часто передают русским словом-калькой «реактивная», но я нахожу его не очень удачным.

Руководство организации этого уровня считает безопасность важным элементом качества продукции даже при отсутствии давления со стороны контролирующих органов, но верит в то, что все проблемы лежат на нижних уровнях корпоративной иерархии. Безопасность является целью и задачей наряду с другими производственными показателями. Организация начинает применять некоторые методы и средства, благодаря которым безопасность достигает определенного уровня, и стремится использовать опыт других организаций. При возникновении инцидента предпринимаются активные действия.

В приложении Б мы поместили список некоторых признаков того, что культура организации находится на реагирующем уровне.

3) Расчетливая культура безопасности

Руководство расчетливой организации верит в необходимость системного подхода при управлении показателями безопасности, использует для этого различные методы и средств, проводит обучение персонала. Организация с расчетливой культурой выполняет правильные, в общем-то, действия, но делает это механически, порой слепо следуя процедурам.

В приложении В мы поместили список некоторых признаков того, что культура организации находится на расчетливом уровне.

В первой версии модели Вестрама этот тип назывался бюрократическим

4) Проактивная культура безопасности

Руководство проактивной организации воспринимает безопасность как фундаментальную ценность. Руководители всех уровней искренне заботятся о качестве и безопасности продукции. Все сотрудники полностью вовлечены в управление безопасностью и считают своим долгом работать качественно. Основополагающие процессы по безопасности хорошо налажены, поняты и используются организацией. Полная отчетность по инцидентам. Расследования проблем позволяет устранить системные дефекты. Потенциально опасные дефекты продукции используются как важнейшие индикаторы качества продукции.

5) Созидательная культура безопасности

Организация не требует воздействия контролирующих органов для обеспечения безопасности, она стремиться иметь полное понимание условий и среды применения продукции. В постоянное улучшение безопасности вовлечены все сотрудники организации, а также подрядчики. Работники неосознанно компетентны. Люди понимают воздействие своих действий на безопасность, каждый сотрудник может внести вклад в развитие организации. Создана атмосфера, которая дает возможность внедрять усовершенствования, происходит постоянный обмен знаниями и совершенствование культуры безопасности. Безопасность и качество интегрированы во всё, что делает организация.

Вы можете обратить внимание, что приложения, которые я привожу в конце статьи, касаются только трех первых типов культур. Дело в том, что представленные в них признаки культур в той или иной степени показывают, над чем организации нужно работать. Проактивный уровень – это очень высокий уровень, организация работает как швейцарские часы, каждый руководитель и каждый исполнитель обладает высокой компетентностью и личной ответственностью. Если можно так выразиться, признаками организаций проактивного и творческого типов является отсутствие признаков нижестоящих уровней.

Есть одна неочевидная, но принципиальная разница между проактивной и творческой организациями. Дело в том, что бюрократический, механистический стиль работы на расчетливом уровне очень комфортен для многих сотрудников организации, особенно если ей сопутствует успех. Есть очень сильный соблазн «почить на лаврах» и, как пишет коллега Вестрама, профессор Патрик Хадсон, в статье [11], проактивные организации легко возвращаются на расчетливый уровень. Это не характерно для созидательных организаций, потому что у них, как пишет Хадсон, есть антибюрократические свойства, а их быстрота действий ломает иерархические структуры.

Разработка технических средств и ПО

Обсуждая организационную культуру вообще и уровни культуры безопасности в частности, мы стремились излагать материал в преломлении к особенностям разработки аппаратного и программного обеспечения систем безопасности. В качестве хорошего методического подспорья при оценке и самооценке культуры безопасности организаций-разработчиков такого рода компонентов можно также использовать приложение B стандарта ГОСТ Р ИСО 26262-2. Приведем здесь таблицу В.1 из этого приложения:



При разработке собственной программы развития культуры безопасности вы можете вырабатывать меры по преодолению признаков низкой культуры и формированию признаков высокой культуры.

Приложение B стандарта ГОСТ Р ИСО 26262-2 содержит ссылку на INSAG-4 [9] –документ, который во многом заложил основу для распространения культуры безопасности во всем мире.

Подробно о контексте этого документа изложено в работе [10].

Выводы

1. Ключом к безопасной разработке аппаратных и программных компонентов является высокая личная и коллективная культура безопасности. Культура безопасности является частью организационной культуры.
2. Культура – это производное от квалификации и дисциплины всего персонала организации, начиная с высшего руководства, а также от их отношения к своим обязанностям.
3. Естественным признаком высокой культуры является продуманные, хорошо понимаемые, реально выполняемые и постоянно измеряемые рабочие процессы, составляющие систему менеджмента (качества или безопасности).

Приложение А. Признаки патологической культуры безопасности

Некоторыми признаками того, что организация находится на этом уровне, являются:

• Вопросами безопасности не занимается никто, кроме специально назначенного персонала, который выполняет функцию имитации деятельности для внешних проверяющих.
• Руководство и персонал организации волнует не столько безопасность, сколько то, чтобы не быть «пойманными» на нарушениях.
• Информация о проблемах сотрудниками скрывается, информация об истинном положении дел руководством не собирается («Гонцу, приносящему дурные вести, отрубают голову»).
• Персонал неосознанно некомпетентен, сотрудники уклоняются от ответственности («Ты скажи, начальник, что я конкретно должен сделать – я сделаю»).
• Новые идеи сотрудников терпят фиаско, разбиваясь о стену незаинтересованности или даже негативной реакции руководства и коллег («Зачем мы будем тратить на это ресурсы? Какая на в этом выгода?»).
• Анализ инцидентов проводится не с целью нахождения системных причин, а с целью поиска (или назначения) виноватого или чтобы «отвязались» контролирующие органы.
• Отношение к проверяющим враждебное или осторожное, также как, впрочем, отношения между руководством и исполнителями, отношение к потребителям и поставщикам.
• Люди рассматриваются как «винтики в системе», их воспринимают и оценивают исключительно в рамках выполняемых ими функций;
• Люди поощряются за подчинение и сиюминутные результаты работы, независимо от долгосрочных последствий — лояльность руководству важнее профессионализма.

Приложение Б. Признаки реагирующий культуры безопасности

Некоторыми признаками того, что организация находится на этом уровне, являются:

• Деятельность по безопасности направлена на уже произошедший инцидент;
• Большинство сотрудников не вовлечено в обеспечение качества и безопасности – эти задачи возложены на отдельное подразделение или сотрудников;
• Решения часто принимаются исходя из стоимости (издержки, расходы) и технических возможностей;
• Реакция руководства на ошибки сотрудников выражается в усилении контроля с использованием административных процедур и обучения, а не в поиске виновного;
• Организация открыта для обучения со стороны других структур, особенно в технических вопросах и передаче опыта;
• Выстроена только часть процессов, связанных с безопасностью. Либо многие процессы, но формально или поверхностно.
• Отношения между организацией и проверяющими органами, потребителями, поставщиками, подрядчиками скорее находятся на дистанции, чем являются близкими.
• Сотрудники вознаграждаются за достижение краткосрочных целей, выполнение или перевыполнение плана, без учета отсроченных результатов и последствий.
• Отношения между служащими и руководством враждебны, присутствует только демонстративное доверие и уважение.

Приложение В. Признаки расчетливой культуры безопасности

Некоторыми признаками того, что организация находится на этом уровне, являются следующие качества:

• Безопасность – это ответственность не только назначенного персонала, но и руководства организации. Руководство «строгое, но справедливое».
• Важность и ценность безопасности хорошо осознаются персоналом.
• Основополагающие процессы налажены и работают, например, оценка рисков и анализ инцидентов.
• Большинство сотрудников вовлечено в процессы обеспечения качества и безопасности, умеет применять основные средства и методы.
• Нет конфликта целей между безопасностью и производством продукции, таким образом безопасность не игнорируется при достижении целей увеличения продуктивности.
• Существуют связи между организацией и органами надзора, поставщиками, потребителями и подрядчиками.
• Организация стремится оказать помощь другим организациям в развитии подобных процессов.
• Организация начинает действовать стратегически, сосредотачиваясь на долгосрочных вопросах. Краткосрочные показатели измеряются и анализируются для улучшения долгосрочных показателей.
• Люди осознают и понимают потребность в сотрудничестве между отделами и службами. Перенимается как внутренний опыт, так и опыт других организаций. Дается время для приобретения необходимых знаний.
• Люди осведомлены о производственных или экономических проблемах организации и помогают руководству ими управлять.
• Отношения между руководством и служащими благожелательны, основываются на уважении и поддержке. Людей уважают и оценивают за их вклад в развитие организации.

Однако, есть над чем работать:

• Некоторая информация о состоянии дел может игнорироваться. При этом к «гонцам, приносящим дурные вести» относятся вполне терпимо.
• Существует разграничение ответственности за безопасность. («К пуговицам претензии есть?») Взаимодействие между ответственными за разные аспекты безопасности не запрещено, но и не поощряется.
• Новые идеи создают неудобства и проблемы.

Список использованных источников

1. Г. З. Файнбург, А. А. Гавриков. Культура безопасности как неотъемлемый элемент культуры производства. Журнал «Безопасность и охрана труда», №2, 2017 г. URL -https://biota.ru/publishing/magazine/bezopasnost-i-oxrana-truda-№2,2017/kultura-bezopasnosti-kak-neotemlemyij-element.html [доступ 20.05.2020]
2. Д. Коллинз «От хорошего к великому». Изд. «Манн, Иванов и Фербер», 2017.
3. Александр Дианин-Хавард «Нравственное лидерство», 3 изд, испр и доп. М.: 2019. URL -http://hvli.org/upload/files/НЛ-2019.pdf [доступ 21.05.2020]
4. Гай Кавасаки «Стартап. 11 мастер-классов от экс-евангелиста Apple и самого дерзкого венчурного капиталиста Кремниевой долины». Изд. «Манн, Иванов и Фербер», 2012.
5. Глоссарий МАГАТЭ по вопросам безопасности. Издание 2007 года. URL -https://pub.iaea.org/MTCD/publications/PDF/IAEASafetyGlossary2007/Glossary/SafetyGlossary_2007r.pdf [доступ 20.05.2020]
6. Evidence scan: Measuring safety culture. The Health Foundation, 2011. URL -https://www.health.org.uk/sites/default/files/MeasuringSafetyCulture.pdf [доступ 20.05.2020]
7. Occupational Safety and Health culture assessment – A review of main approaches and selected tools. European Agency for Safety and Health at Work, 2011. osha.europa.eu/en/publications/occupational-safety-and-health-culture-assessment-review-main-approaches-and-selected [доступ 20.05.2020]
8. Навигатор по основам культуры безопасности. Нефтегазстройпрофсоюз России. URL -https://www.rogwu.ru/content/bl_files_docs/КБ%2004.04.19%20на%2014.40%20окончат.pdf [доступ 20.05.2020]
9. Международная консультативная группа по ядерной безопасности, Культура безопасности, Серия изданий по безопасности, No 75-INSAG-4, МАГАТЭ, 1991. URL — www-pub.iaea.org/MTCD/Publications/PDF/Pub882r_web.pdf [доступ 25.05.2020]
10. Машин В.А. Современные основы концепции культуры безопасности. Ред. 2. URL — www.helicopter.su/assets/media_sources/ehest-ihts/2016/Safety%20Culture/Article_Rosatom/1%20-%20Safety%20Culture%20Article%20-%20ROSATOM%20-%20Mashin_AV_PSY42.pdf [доступ 25.05.2020]
11. Patrick Hudson. Safety Management and Safety Culture: The Long, Hard and Winding Road. URL — www.caa.lv/upload/userfiles/files/SMS/Read%20first%20quick%20overview/Hudson%20Long%20Hard%20Winding%20Road.pdf [доступ 21.05.2020]