Đang tải... (xem toàn văn)
Chương 12:Độ Tin Cậy và An Ninh Đặc Điểm Kỹ Thuật Mục tiêu: của chương này là để giải thích làm thế nào để xác định độ tin cậy và an ninh yêu cầu chức năng và phi chức năng. Khi bạn đã đọc chương này, bạn sẽ: +)Hiểu làm thế nào một cách tiếp cận rủi ro theo định hướng có thể được sử dụng để xác định và phân tích an toàn, độ tin cậy, và các yêu cầu an ninh. +)Hiểu làm thế nào cây lỗi có thể được sử dụng để giúp phân tích rủi ro và lấy được các yêu cầu về an toàn. +)Đã được giới thiệu với các số liệu cho đặc điểm kỹ thuật đáng tin cậy và làm thế nào chúng được sử dụng để xác định các yêu cầu độ tin cậy đo lường. +)Biết các loại khác nhau của các yêu cầu bảo mật có thể được yêu cầu trong một hệ thống phức tạp. +)Nhận thức được những lợi thế và bất lợi của việc sử dụng chính thức, thông số kỹ thuật toán học của một hệ thống. Nội Dung: 12.1 yêu cầu có nguy cơ điều khiển đặc điểm kỹ thuật 12.2 đặc điểm kỹ thuật an toàn 12.3 đặc điểm kỹ thuật đáng tin cậy 12.5 đặc điểm kỹ thuật an ninh 12.5 đặc điểm kỹ thuật chính
Phần Độ Tin Cậy An Ninh Chương 12:Độ Tin Cậy An Ninh Đặc Điểm Kỹ Thuật Mục tiêu: chương để giải thích làm để xác định độ tin cậy an ninh yêu cầu chức phi chức Khi bạn đọc chương này, bạn sẽ: +)Hiểu làm cách tiếp cận rủi ro theo định hướng sử dụng để xác định phân tích an toàn, độ tin cậy, yêu cầu an ninh +)Hiểu làm lỗi sử dụng để giúp phân tích rủi ro lấy yêu cầu an toàn +)Đã giới thiệu với số liệu cho đặc điểm kỹ thuật đáng tin cậy làm chúng sử dụng để xác định yêu cầu độ tin cậy đo lường +)Biết loại khác yêu cầu bảo mật yêu cầu hệ thống phức tạp +)Nhận thức lợi bất lợi việc sử dụng thức, thông số kỹ thuật toán học hệ thống Nội Dung: 12.1 yêu cầu có nguy điều khiển đặc điểm kỹ thuật 12.2 đặc điểm kỹ thuật an toàn 12.3 đặc điểm kỹ thuật đáng tin cậy 12.5 đặc điểm kỹ thuật an ninh 12.5 đặc điểm kỹ thuật Trong tháng năm 1993, máy bay hạ cánh sân bay Warsaw Ba Lan bão Trong chín giây sau hạ cánh, hệ thống phanh hệ thống phanh máy tính kiểm soát không làm việc Hệ thống phanh không nhận máy bay hạ cánh cho máy bay không khí Một tính an toàn máy bay dừng việc triển khai hệ thống lực đẩy ngược lại, mà làm chậm máy bay, điều gây nguy hiểm máy bay không Chiếc máy bay chạy khỏi cuối đường băng, nhấn ngân hàng trái đất, bốc cháy Các điều tra vụ tai nạn cho thấy phần mềm hệ thống phanh hoạt động theo đặc điểm kỹ thuật Không có sai sót chương trình Tuy nhiên, đặc điểm kỹ thuật phần mềm không đầy đủ không đưa vào tài khoản tình hoi, mà phát sinh trường hợp Phần mềm làm việc hệ thống thất bại Điều cho thấy hệ thống tin cậy không phụ thuộc vào kỹ thuật tốt Nó đòi hỏi ý đến chi tiết yêu cầu hệ thống có nguồn gốc bao gồm yêu cầu phần mềm đặc biệt hướng để đảm bảo độ tin cậy an ninh hệ thống Những tin cậy an ninh yêu cầu bao gồm hai loại: 1) Yêu cầu chức năng, xác định việc kiểm tra sở phục hồi nên bao gồm hệ thống tính cung cấp bảo vệ 2) chống lại lỗi hệ thống công từ bên Các yêu cầu phi chức năng, xác định độ tin cậy cần thiết tính sẵn sàng hệ thống Điểm khởi đầu để tạo độ tin cậy an ninh yêu cầu chức thường kinh doanh miền quy tắc cấp cao, sách, quy định Đây yêu cầu cao cấp mà có lẽ mô tả "sẽ không 'yêu cầu Ngược lại, với yêu cầu chức bình thường mà định nghĩa hệ thống có trách nhiệm làm, không yêu cầu xác định hành vi hệ thống chấp nhận Ví dụ không yêu cầu là: "Hệ thống không cho phép người dùng chỉnh sửa quyền truy cập vào tập tin mà họ không tạo ra." (An ninh) "Hệ thống không cho phép chế độ lực đẩy ngược lại để lựa chọn máy bay bay." (An toàn) "Hệ thống không cho phép kích hoạt đồng thời nhiều ba tín hiệu báo động." (An toàn) Những 'không' yêu cầu thực trực tiếp phân tích thành phần mềm cụ thể chức requirements.Alternatively, họ thực thông qua định thiết kế hệ thống định sử dụng loại đặc biệt thiết bị hệ thống Hình 12.1 rủi ro hướng đặc điểm kỹ thuật 12.1 yêu cầu rủi ro theo định hướng đặc điểm kỹ thuật -Độ tin cậy an ninh yêu cầu coi yêu cầu bảo vệ Những định làm hệ thống nên tự bảo vệ từ lỗi nội bộ, ngăn chặn lỗi hệ thống gây thiệt hại cho môi trường, ngăn chặn tai nạn công từ môi trường hệ thống làm hư hỏng hệ thống, tạo điều kiện phục hồi trường hợp thất bại Để khám phá yêu cầu bảo vệ, bạn cần phải hiểu rủi ro cho hệ thống môi trường Một cách tiếp cận rủi ro đưa tới yêu cầu kỹ thuật đưa vào tài khoản kiện nguy hiểm xảy ra, khả thực xảy ra, xác suất mà thiệt hại kết kiện vậy, mức độ thiệt hại gây yêu cầu bảo mật độ tin cậy sau thành lập, dựa phân tích nguyên nhân kiện nguy hiểm -đặc điểm kỹ thuật rủi ro theo định hướng phương pháp sử dụng rộng rãi tính an toàn hệ thống phát triển an ninh quan trọng Nó tập trung vào kiện gây thiệt hại có khả xảy thường xuyên Sự kiện có hậu nhỏ gặp bỏ qua Trong hệ thống an toàn quan trọng, rủi ro có liên quan đến mối nguy hiểm dẫn đến tai nạn; hệ thống an ninh quan trọng, rủi ro đến từ người công vào hệ thống dự định để khai thác lỗ hổng -Một trình đặc điểm kỹ thuật có nguy điều khiển chung (Hình 12.1) liên quan đến hiểu biết rủi ro mà hệ thống, phát nguyên nhân gốc rễ họ, tạo yêu cầu để quản lý rủi ro -Các giai đoạn trình là: 1) xác định nguy rủi ro tiềm để hệ thống xác định Đây phụ thuộc vào môi trường mà hệ thống sử dụng Rủi ro phát sinh từ tương tác hệ thống điều kiện hoi môi trường hoạt động Warsaw tai nạn mà thảo luận trước xảy gió ngược tạo bão gây máy bay nghiêng để (bất thường) hạ cánh bánh xe hai bánh 2) xe Phân tích rủi ro phân loại Mỗi rủi ro xem xét riêng biệt Những người có tiềm nghiêm trọng không hợp lý lựa chọn để phân tích thêm Ở giai đoạn này, rủi ro loại bỏ họ khả phát sinh họ phát phần mềm (ví 3) dụ, phản ứng dị ứng với cảm biến hệ thống máy bơm insulin) Phân hủy rủi ro phân tích để phát nguyên nhân gốc tiềm tàng rủi ro đó.Nguyên nhân lý hệ thống thất bại Họ phần mềm phần cứng lỗi lỗ hổng vốn có mà 4) kết định thiết kế hệ thống Các đề xuất giảm thiểu rủi ro cho cách thức mà rủi ro xác định giảm bớt loại bỏ thực Những đóng góp cho yêu cầu hệ thống đáng tin cậy để xác định hệ thống phòng thủ chống lại nguy cách rủi ro quản lý Đối với hệ thống lớn, phân tích rủi ro cấu trúc thành giai đoạn (Leveson, 1995), giai đoạn xem xét loại khác rủi ro: 1) Phân tích rủi ro sơ bộ, nơi có nguy lớn từ môi trường hệ thống xác định Đây độc lập với công nghệ sử dụng để phát triển hệ thống Mục đích phân tích rủi ro sơ để phát triển thiết lập ban 2) đầu yêu cầu bảo mật độ tin cậy cho hệ thống Phân tích rủi ro chu kỳ, diễn trình phát triển hệ thống yếu tố quan tâm đến rủi ro phát sinh từ định thiết kế hệ thống Công nghệ khác kiến trúc hệ thống có rủi ro liên quan riêng Ở giai đoạn này, bạn nên mở rộng yêu cầu để bảo vệ chống 3) lại rủi ro phân tích rủi ro hoạt động, mà liên quan với giao diện người dùng hệ thống rủi ro từ lỗi điều hành Một lần nữa, định thực thiết kế giao diện người dùng, yêu cầu bảo vệ thêm vào Những giai đoạn cần thiết thiếu cho tất định độ tin cậy an ninh thông tin đầy đủ việc thực hệ thống An ninh độ tin cậy yêu cầu bị ảnh hưởng đặc biệt lựa chọn công nghệ thiết kế định Hệ thống kiểm tra phải bao gồm để đảm bảo thành phần bên thứ ba hoạt động cách xác yêu cầu bảo mật sửa đổi chúng mâu thuẫn với tính bảo mật cung cấp khỏi hệ thống kệ Ví dụ, yêu cầu an ninh người dùng cần xác định thân vào hệ thống sử dụng cụm từ thông qua mật Các cụm coi an toàn so với mật Họ khó khăn cho kẻ công để đoán để khám phá cách sử dụng hệ thống bẻ mật tự động Tuy nhiên, có định sử dụng hệ thống hỗ trợ xác thực dựa mật khẩu, sau yêu cầu bảo mật không hỗ trợ sau cần thiết để bao gồm chức bổ sung hệ thống để bù đắp cho rủi ro gia tăng việc sử dụng mật thông qua cụm từ 12.2 điểm kỹ thuật an toàn Hệ thống an toàn quan trọng hệ thống thất bại ảnh hưởng đến môi trường hệ thống gây thương tích tử vong cho người môi trường Như Mối quan tâm đặc điểm kỹ thuật an toàn để xác định yêu cầu giảm thiểu xắc suất thất bại hệ thống xảy Yêu cầu an toàn chủ yếu yêu cầu bảo vệ không quan tâm đến hệ thống hoạt động bình thường Họ xác định hệ thống cần đóng cửa để an toàn trì Trong phát sinh yêu cầu an toàn,do bạn cần phải tìm cân an toàn chức bảo vệ mức tránh Không có điểm yếu việc xây dựng hệ thống an toàn Nhớ lại từ thảo luận Chương 10 hệ thống an toàn quan trọng sử dụng thuật ngữ chuyên biệt mà mối nguy hiểm mà (nhưng không cần phải) dẫn đến tử vong thương tích cho người, rủi ro xắc suất mà hệ thống vào nguy hiểm tiểu bang Do đặc điểm kỹ thuật an toàn thường tập trung vào mối nguy hiểm xảy tình định, kiện dẫn đến mối nguy hiểm Các hoạt động trình đặc điểm kỹ thuật dựa rủi ro nói chung, thể hình 12.1, đồ vào trình đặc điểm kỹ thuật an toàn sau: 1) Xác định rủi ro Trong đặc điểm kỹ thuật an toàn, trình xác định 2) nguy xác định mối nguy hiểm đe dọa hệ thống Phân tích rủi ro trình đánh giá rủi ro để định mối 3) nguy hiểm nguy hiểm Phân hủy nguy trình liên quan đến việc khám phá kiện mà dẫn đến xuất mối nguy hiểm Trong đặc điểm kỹ 4) thuật an toàn, trình gọi phân tích mối nguy Giảm thiểu rủi ro trình dựa kết phân tích mối nguy dẫn đến xác định yêu cầu an toàn Đây liên quan đến việc bảo đảm mối nguy hiểm không phát sinh dẫn đến tai nạn tai nạn không xảy ra, thiệt hại liên quan giảm thiểu 12.2.1 Xác định mối nguy Trong hệ thống an toàn quan trọng, rủi ro chủ yếu đến từ mối nguy hiểm dẫn đến tai nạn Bạn giải vấn đề xác định nguy cách xem xét loại khác mối nguy hiểm, chẳng hạn mối nguy vật lý, mối nguy hiểm điện, mối nguy sinh học, mối nguy hiểm xạ, nguy thất bại dịch vụ, Mỗi lớp học sau phân tích để phát mối nguy hiểm cụ thể mà xảy kết hợp có mối nguy hiểm mà nguy hiểm phải xác định Hệ thống máy bơm insulin mà sử dụng ví dụ chương trước hệ thống an toàn quan trọng, thất bại gây thương tích chí tử vong cho người sử dụng hệ thống Tai nạn xảy sử dụng máy tính bao gồm người sử dụng phải chịu hậu lâu dài việc kiểm soát đường huyết (mắt, tim vấn đề thận) rối loạn chức nhận thức kết lượng đường máu thấp xuất số bệnh khác, chẳng hạn phản ứng dị ứng Những mối nguy hiểm hệ thống bơm tiêm insulin: • • • • • Quá liều insulin tính toán (thất bại dịch vụ) Sự thất bại hệ thống giám sát phần cứng (thất bại dịch vụ) điện pin cạn kiệt (điện) Nhiễu điện với thiết bị y tế khác máy tạo nhịp tim (điện) Cảm biến nghèo truyền động xúc gây phù hợp không • • • xác (vật lý) Các phận máy phá thể bệnh nhân (vật lý) Nhiễm trùng gây giới thiệu máy (sinh học) Phản ứng dị ứng với tài liệu insulin sử dụng máy (sinh học) Kỹ sư giàu kinh nghiệm, làm việc với chuyên gia lĩnh vực chuyên gia an toàn chuyên nghiệp, xác định mối nguy hiểm từ kinh nghiệm trước từ phân tích miền ứng dụng Nhóm kỹ thuật làm việc động não sử dụng, nhóm người trao đổi ý tưởng Đối với hệ thống máy bơm insulin, người tham gia bao gồm bác sĩ, nhà vật lý y tế, kỹ sư nhà thiết kế phần mềm Mối nguy hiểm phần mềm thường có liên quan với thất bại để cung cấp dịch vụ hệ thống, với thất bại hệ thống giám sát bảo vệ Hệ thống giám sát bảo vệ bao gồm thiết bị để phát điều kiện, chẳng hạn mức độ pin thấp, mà dẫn đến thất bại thiết bị 12.2.2 Đánh giá rủi ro Quá trình đánh giá rủi ro tập trung vào hiểu biết xác suất mà mối nguy hiểm xảy hậu tai nạn hay cố liên quan với nguy hiểm Bạn cần phải thực phân tích để hiểu xem mối nguy hiểm mối đe dọa nghiêm trọng hệ thống môi trường Các phân tích cung cấp sở cho việc định làm để quản lý rủi ro liên quan tới nguy hiểm Hình 12.2 Các tam giác nguy Đối với nguy hiểm, kết phân tích phân loại trình tuyên bố chấp nhận Điều thể điều kiện rủi ro, nơi có nguy tính đến khả xảy tai nạn hậu Có ba loại rủi ro mà bạn sử dụng đánh giá rủi ro: 1) Rủi ro chấp nhận hệ thống an toàn quan trọng đe dọa sống người Hệ thống phải thiết kế cho mối nguy hiểm phát sinh họ làm tính hệ thống đảm bảo chúng phát trước chúng gây tai nạn Trong trường hợp bơm insulin, 2) nguy khó tránh liều insulin nên chuyển giao Rủi ro người có hậu nghiêm trọng nghiêm trọng có xác suất thấp xảy Hệ thống phải thiết kế cho xác suất xảy tai nạn phát sinh mối nguy hiểm giảm thiểu, tùy thuộc vào cân nhắc khác chi phí giao hàng Một nguy ALARP cho máy bơm insulin thất bại hệ thống giám sát phần cứng Hậu việc là, lúc tồi tệ nhất, underdose insulin ngắn hạn Đây tình mà không dẫn đến 3) vụ tai nạn nghiêm trọng Rủi ro chấp nhận nơi mà tai nạn liên quan thường dẫn đến hư hại nhẹ thiết kế hệ thống phải thực tất bước để giảm thiểu rủi ro 'chấp nhận', miễn chúng không làm tăng chi phí, thời gian giao hàng, thuộc tính hệ thống chức khác Một rủi ro chấp nhận trường hợp máy bơm insulin nguy phản ứng dị ứng phát sinh sử dụng Điều thường gây kích ứng da nhỏ Nó giá trị sử dụng đặc biệt, vật liệu đắt tiền điện thoại để giảm nguy Hình 12.2 (Brazendale Bell, 1994), phát triển cho hệ thống an toàn quan trọng, cho thấy ba vùng Hình dạng sơ đồ phản ánh chi phí việc đảm bảo rủi ro không dẫn đến cố tai nạn Các chi phí hệ thống thiết kế để đối phó với rủi ro định chiều rộng hình tam giác Các chi phí cao phát sinh rủi ro biểu đồ, chi phí thấp rủi ro đỉnh tam giác Ranh giới vùng hình 12.2 kỹ thuật mà phụ thuộc vào yếu tố xã hội trị Qua thời gian, xã hội trở thành riskaverse nên ranh giới di chuyển xuống Mặc dù chi phí tài việc chấp nhận rủi ro trả tiền cho tai nạn dẫn đến chi phí phòng chống tai nạn, dư luận yêu cầu số tiền chi để làm giảm khả tai nạn hệ thống, phát sinh thêm chi phí Ví dụ, rẻ cho công ty để làm ô nhiễm vào dịp hoi xảy ra, để cài đặt hệ thống ngăn ngừa ô nhiễm Tuy nhiên, công chúng báo chí không chịu đựng tai nạn vậy, toán bù trừ thiệt hại ngăn ngừa tai nạn không chấp nhận Những kiện dẫn đến tái phân loại rủi ro Ví dụ, rủi ro cho xảy (và khu vực ALARP) phân loại lại chấp nhận kiện, chẳng hạn công khủng bố, tai nạn xảy Đánh giá rủi ro liên quan đến việc ước lượng xác suất rủi ro mức độ nghiêm trọng có nguy Điều thường khó khăn mối nguy hiểm tai nạn không phổ biến kỹ sư tham gia kinh nghiệm trực tiếp cố trước đó, tai nạn Xác suất mức độ nghèo xác định theo điều khoản liên quan "có thể xảy ra, '' không ', và' 'và' cao '', trung bình, 'và' thấp ' Nó xác định số lượng điều khoản đủ tai nạn cố liệu có sẵn để phân tích thống kê 12.2.3 phân tích mối nguy hiểm Phân tích mối nguy hiểm trình khám phá nguyên nhân gốc rễ mối nguy hiểm hệ thống quan trọng an toàn Mục tiêu bạn tìm kiện kết hợp kiện gây lỗi hệ thống mà kết mối nguy hiểm Để làm điều này, bạn dùng từ xuống phương pháp tiếp cận từ lên Suy luận, từ xuống kỹ thuật, mà có xu hướng dễ dàng để sử dụng, bắt đầu với nguy hiểm làm việc từ đến lỗi hệ thống Quy nạp, kỹ thuật lên bắt đầu với lỗi hệ thống đề xuất xác định mối nguy hiểm kết thất bại Các kỹ thuật khác đề xuất cách tiếp cận gây nguy hiểm phân hủy phân tích Chúng tóm tắt Storey (1996) Họ bao gồm đánh giá danh sách kiểm tra, kỹ thuật thức phân tích mạng Petri (Peterson, 1981), logic hình thức (Jahanian Mok, 1986), phân tích lỗi (Leveson Stolzy, 1987; Storey, 1996) Như không gian để trang trải tất kỹ thuật đây, tập trung vào phương pháp sử dụng rộng rãi để phân tích mối nguy dựa lỗi Kỹ thuật dễ hiểu mà không cần kiến thức chuyên miền Để làm phân tích lỗi, bạn bắt đầu với mối nguy hiểm xác định Đối với nguy hiểm, sau bạn làm việc ngược trở lại để khám phá nguyên nhân gây nguy hiểm Bạn đặt mối nguy hiểm gốc xác định trạng thái hệ thống mà dẫn đến nguy hiểm Đối với quốc gia, sau bạn xác định trạng thái hệ thống dẫn đến họ Quý khách tiếp tục phân hủy bạn đạt đến nguyên nhân gốc (s) rủi ro Mối nguy hiểm mà phát sinh từ kết hợp nguyên nhân gốc rễ thường có khả dẫn đến tai nạn mối nguy hiểm với nguyên nhân gốc rễ Hình 12.4 Một ví dụ lỗi Hình 12.4 lỗi cho mối nguy hiểm phần mềm liên quan hệ thống phân phối insulin dẫn đến liều lượng xác insulin chuyển giao Trong trường hợp này, có sáp nhập insulin liều insulin vào mối nguy hiểm nhất, cụ thể "liều insulin không quản lý." Điều làm giảm số lượng lỗi yêu cầu Tất nhiên, bạn định cách phần mềm nên phản ứng với mối nguy hiểm này, bạn cần phải phân biệt insulin liều insulin Như nói, họ không bình đẳng nghiêm trọng, ngắn hạn, liều mối nguy hiểm nghiêm trọng Từ hình 12.4, bạn thấy rằng: 1) Có ba điều kiện mà dẫn đến quản lý liều không xác insulin Mức độ đường máu đo sai nên yêu cầu insulin tính toán với đầu vào không xác Các hệ thống phân phối không phản ứng cách xác để lệnh quy định cụ thể số lượng insulin tiêm Ngoài ra, liều tính toán cách xác 2) gửi sớm muộn Các chi nhánh bên trái lỗi, liên quan đến đo lường không xác mức độ đường máu, trông điều xảy Điều xảy cảm biến cung cấp đầu vào để tính toán mức độ đường không thành công tính toán mức độ đường máu thực không xác Mức đường tính từ số thông số đo được, chẳng hạn tính dẫn điện da tính toán không xác kết hai thuật toán xác lỗi số 3) học mà kết từ việc sử dụng số dấu chấm động Các chi nhánh trung tâm có liên quan với vấn đề thời gian 4) kết luận kết hệ thống hẹn thất bại Các chi nhánh bên phải cây, có liên quan với thất bại hệ thống phân phối, xem xét nguyên nhân thất bại Đây kết tính toán không xác yêu cầu insulin, từ thất bại để gửi tín hiệu xác để máy bơm cung cấp insulin Một lần nữa, tính toán không xác kết thất bại thuật toán lỗi số học Cây lỗi sử dụng để xác định vấn đề phần cứng tiềm lỗi phần cứng cung cấp nhìn sâu vào yêu cầu cho phần mềm để phát vấn đề Ví dụ, liều insulin không thực tần số cao, nhiều hai ba lần thường xuyên Do đó, khả xử lý để chạy chương trình chẩn đoán tự kiểm tra lỗi phần cứng cảm biến, bơm, lỗi hẹn phát cảnh báo ban hành trước chúng có ảnh hưởng nghiêm trọng bệnh nhân 12.2.4 giảm thiểu rủi ro Khi rủi ro tiềm ẩn nguyên nhân gốc rễ họ xác định, bạn sau lấy yêu cầu an toàn mà quản lý rủi ro đảm bảo cố tai nạn không xảy Có ba chiến lược bạn sử dụng: 1) Phát hệ thống thiết kế cho mối nguy hiểm xảy 2) Phát loại bỏ mối nguy Hệ thống thiết kế cho mối nguy 3) hiểm phát vô hiệu hóa trước họ dẫn đến tai nạn Hạn chế thiệt hại hệ thống thiết kế để hậu tai nạn giảm thiểu Thông thường, nhà thiết kế hệ thống quan trọng sử dụng kết hợp phương pháp Trong hệ thống an toàn quan trọng, chấp nhận mối nguy hiểm xử lý cách giảm thiểu xác suất họ thêm hệ thống bảo vệ cung cấp lưu an toàn Ví dụ, hệ thống điều khiển nhà máy hóa chất, hệ thống cố gắng để phát tránh áp lực dư thừa lò phản ứng Tuy nhiên, có hệ thống bảo vệ độc lập theo dõi áp lực mở van xả áp suất cao phát Trong hệ thống phân phối insulin, "trạng thái an toàn" trạng thái tắt máy mà insulin tiêm Trong khoảng thời gian ngắn mối đe dọa cho sức khỏe bệnh nhân tiểu đường Cho lỗi phần mềm mà dẫn đến liều lượng xác insulin xem, "giải pháp" sau phát triển: 1) Lỗi số học xảy tính toán số học gây thất bại đại diện Các đặc điểm kỹ thuật cần xác định tất lỗi số học có thể xảy nhà nước mà trình xử lý ngoại lệ phải bao gồm cho lỗi Các đặc điểm kỹ thuật nên đặt hành động thực cho lỗi Các hành động an toàn mặc định tắt hệ 2) thống phân phối kích hoạt báo động cảnh báo Lỗi thuật toán tình khó khăn chương trình ngoại lệ rõ ràng phải xử lý Đây loại lỗi phát cách so sánh liều insulin cần tính với liều lượng phân phối trước Nếu cao nhiều, điều có nghĩa số tiền tính toán không xác Hệ thống theo dõi chuỗi liều Sau số liều mức trung bình giao, cảnh báo ban hành liều dùng thêm hạn chế