Таблиця А.2 — Електричні пристрої безпеки, що вимагають класифікації функцій безпеки у разі їхнього використання в з'єднанні з програмувальними електронними системами (ПЕС)
|
Пункт |
Функції пристроїв |
Клас ризику* |
|
9.9.8 |
Контроль роботи затискного пристрою |
1 |
|
9.11.9 |
Контроль витягнутого положення запобіжного пристрою |
1 |
|
9.11.10 |
Контроль повернення в нормальне витягнуте положення буферів з енерго- розсіюванням, який використовують в з'єднанні з запобіжним пристроєм |
4 |
|
14.2.1.3 |
Перемикач режиму ревізії |
4 |
|
14.2.1.4 д) |
Положення контакту безпеки, що працює від ключа, з операцією стикування |
3 |
Заголовок розділу F.6 треба читати як:
F.6 Ланцюги безпеки, що містять електронні компоненти і (або) програмувальні електронні системи
До F.6.1 повинен бути введений додатково підпункт:
F.6.1.1 Ланцюги безпеки, що містять електронні компоненти
Доповнити новим пунктом F.6.1.2:
F.6.1.2 Ланцюги безпеки, засновані на програмувальних електронних системах
У F.6.1.1 повинні бути представлені такі документи:
документи і описи, що стосуються норм, перерахованих у таблиці 9;
загальний опис застосованого програмного забезпечення (наприклад, правила програмування, мова, компілятор, модулі);
опис функцій, включаючи архітектуру програмного забезпечення і взаємодія програмного забезпечення і обладнання;
опис блоків, модулів, даних, перемінних і інтерфейсів;
переліки програмного забезпечення на папері або в електронному вигляді.
Доповнити новим пунктом F.6.5:
F.6.5 Вірогідність і перевірка функціонування безпеки ПЕС
Вірогідність і перевірка функціональної безпеки ПЕС виконують на основі ІЕС 61508-7 з посиланнями на ІЕС 61508-2 і ІЕС 61508-3.
Новий додаток L повинен бути замінений:
ДОДАТОК L
(довідковий)
ОПИС НОРМ БЕЗПЕКИ
У таблиці приведені описи норм безпеки, що необхідні для виконання вимог 14.1.2.6:
Таблиця L.1 — Опис норм контролю збоїв
|
Компоненти і функції |
№ норми |
Опис норм |
|
Структура |
М 1.1 |
Одноканальна структура з автотестом Опис: Хоча структура складається із одного каналу, повинні бути забезпечені резервні вихідні маршрути для гарантії безпечного відключення. Через інтервали часу, які можуть залежати від типу застосування, блоки системи ПЕС підпадають автотесту- ванню (циклічному). Ці тести (наприклад, тести процесора або пам’яті) призначені для виявлення прихованих збоїв, які не залежать від потоку даних. Виявлений збій повинен призвести до переведення системи в безпечний стан. |
|
М 1.2 |
Одноканальна структура з автотестом і моніторингом Опис: Одноканальна структура з автотестом і моніторингом складається із окремих блоків моніторингу обладнання, що отримує незалежно від виду застосування періодичні дані тесту від системи, яка може бути результатом автотесту. У випадку невірних даних система переходить в безпечний стан. Вимагається щонайменше два маршрути для відключення, так щоб від'єднання виходило від самого процесора або від монітора. |
|
|
М 1.3 |
Два або більше каналів з порівнянням Опис: Двоканальна конструкція, що стосуються безпеки складається з двох незалежних, без зворотного зв'язку функціональних блоків. Це дає можливість наявності певних функцій, що працюють незалежно в кожному каналі. Для двоканального ПЕС, призначеного винятково для функції одного пристрою безпеки, конструкція каналів може |
Кінець тблиці L.1
|
Компоненти і функції |
№ норми |
Опис норм |
|
|
|
бути однаковою у відношенні апаратури І програмного забезпечення. У випадку двоканального ПЕС, що використовується для комплексних рішень (наприклад, комбінація декількох функцій безпеки), і коли процеси або умови не визначені перевіркою, треба розрізняти різницю в апаратурі і програмному забезпеченні. Структура містить функцію, яка порівнює внутрішні сигнали (наприклад, порівняння шин) і (або) вихідні сигнали, що стосуються функцій безпеки, для покращення виявлення збоїв. Вимагається щонайменше два маршрути для від’єднання, так щоб від’єднання виходило від самих каналів або від компаратора. Порівняння між собою також може бути у разі пошкодження зареєстрованого об’єкта. |
|
Процесори |
М 2.1 |
Обладнання коригування збоїв Опис: Як таке обладнання застосовують спеціальні ланцюги, що виявляють або коригують збої. Ці ланцюги мають просту структуру. |
|
|
М 2.2 |
Автотест за допомогою програмного забезпечення Опис: Усі функції процесора, які стосуються безпеки, повинні тестуватися циклічно. Ці тести можуть бути сполучені з тестами компонентів, наприклад, пам’яті, входів-виходів тощо. |
Таблиця 0.1 — Опис норм контролю збоїв (продовження)
|
Компоненти і функції |
Ne норми |
Опис норм |
||||||||
|
Процесори |
М 2.3 |
Автотест програмного забезпечення, підтримуваний обладнанням Опис: Щоб виявити збої використовують спеціальні апаратні засоби, які підтримують функції автотестування. Наприклад, блок моніторингу, який контролює періодичний вихід визначених бітових форм. |
||||||||
|
• |
М 2.4 |
Компаратор для двоканальних структур Опис: |
|
|
|
|||||
|
|
|
1 |
— |
Компаратор |
— |
2 |
|
|||
|
Два канали з компаратором обладнання: Сигнали обох процесорів порівнюють, використовуючи апаратуру циклічно або постійно. В обох випадках компаратор може бути блоком, який випробовують або мати конструкцію пристрою з автомоніторингом. Сигнали обох каналів порівнюють за допомогою процесора. |
||||||||||
|
|
М 2.5 |
Взаємне порівняння двох каналів Опис: |
|
|||||||
|
|
1 |
Компаратор |
Компаратор 2 |
|
||||||
|
Використовують два резервні процесори, які взаємно обмінюються даними, що стосуються безпеки. Порівняння даних проводять обома блоками. |
||||||||||
Кінець тблиці А.1
|
Компоненти і функції |
№ норми |
Опис норм |
|
Незмінні діапазони пам’яті (ROM, EPROM |
М 3.1 |
Блочна процедура безпеки з резервуванням одного слова (наприклад, «підпис» через ROM за шириною одного слова) Опис: У цьому тесті зміст ROM стискають визначеним алгоритмом до одного слова у пам'яті. Цей алгоритм, наприклад, перевірка циклічного резервування, можна здійснювати за допомогою обладнання або програмного забезпечення. |
|
М 3.2 |
Економія слів за допомогою багатобітного резервування (наприклад, змінений код Хеммінга) Опис: Кожне слово у пам'яті продовжується на декількох резервних бітах для виробляння коду Хеммінга з відстанню Хеммінга не менше ніж 4. Кожний раз, коли слово зчитують, за допомогою резервних бітів, можна визначити, чи була помилка. Якщо виявлена різниця, система переходить у безпечний стан. |
Таблиця L.1 — Опис норм контролю збоїв (продовження)
|
Компоненти і функції |
№ норми |
Опис норм |
|
Незмінні діапазони пам’яті (ROM, EPROM |
М 3.3 |
Процедура блочної безпеки з дублюванням блоку Опис: Місце для адреси оснащено двома пам’ятями. Перша пам’ять працює звичайним способом. Друга пам’ять містить ту саму інформацію і доступ до неї, паралельний першій. Виходи зрівнюють і, якщо є різниця, припускають наявність збою. Щоб виявити деякі види бітових помилок дані повинні вводити в одну з пам’ятей інверсійно і знову інверсувати під час зчитування. Вміст обох ділянок пам’яті зрівнюють циклічно за допомогою програми. |
|
М 3.4 |
Процедура блочної безпеки з багатослівним резервуванням. Опис: Ця процедура розраховує «підпис» за допомогою алгоритму CRC, але отримана величина має розмір у два слова. Подовжений «підпис» вводять в пам'ять, розраховують знову і зрівнюють, як при варіанті з одним словом. Якщо виходить різниця, виводять повідомлення про помилку. |
|
|
М 3.5 |
Однобітове резервування з економією слів (наприклад, моніторинг ROM з бітом контролю парності) Опис: Кожне слово в пам'яті подовжують на один біт («паритетний» біт — біт контролю парності), який доповнює кожне слово до парного або непарного числа логічних цифр 1. Парність слів даних перевіряють кожний раз під час зчитування. Якщо виявляють невірне число одиниць, виводять повідомлення про помилку. Вибір парного або непарного паритету проводять так, щоб була можливість визначити невірний код. Невірним кодом є одне із слів — одне складається із нулів, друге складається із одиниць — яке є найбільше несприятливим під час збою. Контроль за парністю можна також використовувати для виявлення збоїв під час адресації, коли парність підраховують для зв’язування слів даних і їх адреси. |
|
|
Перемінні діапазони пам’яті |
М 4.1 |
Перевірка на статичний і динамічний дефекти за допомогою шаблону тестування, наприклад, «маршрут» тестування RAM Опис: Діапазон пам'яті, що повинен тестуватися, ініціалізують однорідним бітовим потоком. Потім перше вічко інвертують, а іншу ділянку пам’яті перевіряють, щоб забезпечити вірність фону. Після цього перше вічко знову інвертують для повернення до її початкового значення і весь процес повторюється. Наступний запуск «моделі блукаючого біта» проводять з інверсованим призначенням фону. Під час отримання різниці система переходить в безпечний стан. |
Продовження таблиці L.1
|
Компоненти і функції |
№ норми |
Опис норм |
|
Перемінні діапазони пам'яті |
М 4.2 |
Процедура блочної безпеки з дублюванням блоку, наприклад, дублювання з порівнянням через обладнання або програмне забезпечення Опис: Місце для адреси оснащено двома пам’ятями. Перша пам’ять працює звичайним способом. Друга пам’ять містить ту саму інформацію і доступ до неї паралельний першій. Виходи зрівнюють і, якщо є різниця, припускають наявність збою. Для виявлення деяких видів бітових помилок дані вводять в одну з пам’ятей інверсійно і знову інверсують під час зчитування. Вміст обох ділянок пам’яті порівнюють циклічно за допомогою програми. |
|
М 4.3 |
Інспекція для перевірки статичних і динамічних збоїв, наприклад, «ГАЛЬПАТ» Опис: RAM тестує «ГАЛЬПАТ»: Інверсний елемент записують у стандартну пам'ять і потім усі вічка, що залишились, інспектують для забезпечення вірності їх вмісту. Після всіх спроб доступу для зчитування в одне з вічок, що залишились, Інверсійно описане вічко також інспектують і зчитують. Цей процес повторюють для всіх вічок. Наступний запуск проводять з інверсованим призначенням. Під час отримання різниці припускають збій; або прозоре тестування «ГАЛЬПАТ»: На початку тесту формують «підпис» за допомогою програмного забезпечення або також і обладнання залежно від вмісту діапазону пам’яті, що повинен бути тестованим, потім це зберігають у реєстрі; це відповідає призначенню пам’яті у тесті ГАЛЬПАТ. Вміст записують у вічко, яке тестують інверсійним способом і інспектують вміст решти вічок. Так як вміст решти вічок невідомо, його перевіряють не індивідуально, а знову за допомогою формування «підпису». Після цієї першої операції з першим вічком другу операцію проводять з цим вічком з вмістом, що було інверсовано декілька разів — вміст є знову достовірним. Таким чином, початковий вміст встановлено знову. Усі інші вічка пам'яті тестують таким самим способом. Збій припускають, коли є різниця. |
|
|
Блоки і інтерфейси входів — виходів |
М 5.1 |
Багатоканальний паралельний вхід Опис: Це порівняння за потоком даних незалежних входів, що укладають у певні допуски (значення часу). |
|
М 5.2 |
Зворотне зчитування виходу (контрольований вихід) Опис: Це порівняння за потоком даних незалежних виходів, що укладають у певні допуски (значення часу). Збій не можна завжди відносити до невірного виходу. |
|
|
М 5.3 |
Багатоканальний паралельний вхід Опис: Це резервування виходів залежно від потоку даних. Розпізнання збою проводять через технічний процес або через зовнішні компаратори. |
|
|
М 5.4 |
Кодова безпека Опис: Ця процедура захищає вхідну та вихідну інформацію від співпадаючих збоїв і систематичних збоїв. Вона забезпечує процедуру розпізнавання збоїв вхідних і вихідних пристроїв, що залежать від потоку даних, резервної інформації і (або) резервного часу. |
|
|
М 5.5 |
Шаблон (модель) тестування Опис: Це незалежний від потоку даних циклічний тест вхідних і вихідних пристроїв за допомогою певної моделі тестування для зрівняння отриманого з відповідними очікуваними величинами. Інформація з моделі тестування, отримання моделі тестування і оцінка моделі тестування повинні бути незалежними між собою. Повинне бути прийняте, що всі можливі моделі вводу тестовані. |
