Tähän teemaan voisi lainata yhtä ohjelmistojen testaamiseen liittyvää lausahdusta: "Testeillä voi osoittaa, että ohjelmassa on bugi, mutta ei bugittomuutta"
Samaan tapaan GPS-tiedoilla voi osoittaa, että juna tulee, mutta ei todennäköisesti koskaan täysin aukottomasti sitä, ettei junaa ole tulossa. Siksi kaikenlaiset tasoristeysmobiilisovellukset yms. tuntuvat pelottavilta, jollei jokainen käyttäjä sisäistä täysin sitä riskiä, että juna voi tulla, vaikkei sovellus hälytä.
Tälle riskille on jokin suuruus. Onko se yksi kolmesta kuten noissa vanhoissa testeissä, yksi kymmenestä, yksi sadasta vai vielä vähemmän? Mikä sen luvun pitäisi olla, jotta se olisi riittävän luotettava?
Tuossa on hyviä pointteja. Miten käyttäjä saadaan sisäistämään riski siitä että juna voi silti tulla?
Luku on kyllä olemassa varoituslaitoksille jotka ovat turvalaitteita.
https://julkaisut.liikennevirasto.fi/pdf3/ohje_2012_varoituslaitosten_tekniset_web.pdfSivu 25/61.
Laitteiston on oltava ennen kaikkea turvallinen. Pääsääntönä on, että radoilla noudatetaan vähintään luokkaa SIL3 (Target Safety Integrity Level)
Josta päästään vähintään SIL3-tasoon. Jonka määritelmä on jatkuvasti toimivalle järjestelmälle (SIL3)
PFD (propability of failure on demand) 0.0000001-0.00000001 (10^-7 – 10^-8)
10,000,000–100,000,000
Toisinsanoen, yksi perinteisessä varoituslaitoksessa, maksimissaan yksi kymmenestä miljoonasta ohittavasta junasta, jos varoituslaitos jättää sillä yhdellä kertaa varoittamatta, on hyväksytty riskitaso. (jos maksimissaan yksi sadasta miljoonasta, niin sitten ollaan jo SIL4)
https://en.wikipedia.org/wiki/Safety_integrity_levelThe International Electrotechnical Commission's (IEC) standard IEC 61508 defines SIL using requirements grouped into two broad categories: hardware safety integrity and systematic safety integrity. A device or system must meet the requirements for both categories to achieve a given SIL.
The SIL requirements for hardware safety integrity are based on a probabilistic analysis of the device. In order to achieve a given SIL, the device must meet targets for the maximum probability of dangerous failure and a minimum safe failure fraction. The concept of 'dangerous failure' must be rigorously defined for the system in question, normally in the form of requirement constraints whose integrity is verified throughout system development. The actual targets required vary depending on the likelihood of a demand, the complexity of the device(s), and types of redundancy used.
SIL:issä mainittu vaarallinen vika on tasoristeyksen varoituslaitoksessa käytännössä varmuusvika, eli vika jossa varoituslaitos jättää varoittamatta silloin kun sen kuuluisi varoittaa.
Pohtikoon itse kukin myös tätä: Jos huomiolaitteita tulisi laajemmin käyttöön, niin vertailun vuoksi turvalaitteisiin nähden, onko GPS-sijaintia lähettävä yksikkö liikkuvassa kalustossa mukana siten, että joka se löytyy 9999999 kertaa 10000000 kerrasta? Jos on, toimiiko yhteys aina oikein 9999999 kertaa 10000000 kerrasta? Jos toimii, toimiiko huomiolaite itsessään oikein 9999999 kertaa 10000000 kerrasta? Ja niin edelleen...
