Таблица В.5 - Рекомендации по предотвращению ошибок при подтверждении соответствия E/E/PES (см. 7.7)
Методы/меры |
См. |
SIL1 |
SIL2 |
SIL3 |
SIL4 |
1. Функциональное тестирование |
В.5.1 |
KP (HR) обязательно |
KP (HR) обязательно |
KP (HR) обязательно |
KP (HR) обязательно |
2. Функциональные испытания в условиях окружающей среды |
В.6.1 |
KP (HR) обязательно |
KP (HR) обязательно |
KP (HR) обязательно |
KP (HR) обязательно |
3. Испытания на устойчивость к пиковым выбросам внешних воздействий |
В.6.2 |
KP (HR) обязательно |
KP (HR) обязательно |
KP (HR) обязательно |
KP (HR) обязательно |
4. Испытание с введением неисправностей (при требуемом диагностическом охвате > 90 %) |
В.6.10 |
KP (HR) обязательно |
KP (HR) обязательно |
KP (HR) обязательно |
KP (HR) обязательно |
5. Управление проектами |
В.1.1 |
KP (HR) низкий |
KP (HR) средний |
KP (HR) средний |
KP (HR) высокий |
6. Документация |
В.1.2 |
KP(HR) низкий |
KP (HR) средний |
KP (HR) средний |
KP (HR) высокий |
7. Статический анализ, динамический анализ; анализ отказов |
В.6.4, В.6.5, В.6.6 |
- низкий |
P(R) средний |
P(R) средний |
P(R) высокий |
8. Моделирование и анализ отказов |
В.3.6, В.6.6 |
- низкий |
P(R) средний |
P(R) средний |
P(R) высокий |
9. Анализ наихудшего случая, динамический анализ и анализ отказов |
В.6.7, В.6.5, В.6.6 |
- низкий |
- средний |
P(R) средний |
P(R) высокий |
10. Статический анализ и анализ отказов (см. примечание 5) |
В.6.4, В.6.6 |
P(R) низкий |
P(R) средний |
HP (NR) не рекомендуемый |
HP (NR) не рекомендуемый |
11. Расширенное функциональное тестирование |
В.6.8 |
- низкий |
КР (HR) средний |
КР (HR) средний |
КР (HR) высокий |
12. Тестирование методом «черного ящика» |
В.5.2 |
P(R) низкий |
P(R) средний |
P(R) средний |
P(R) высокий |
13. Испытания с введением неисправностей (при требуемом диагностическом охвате < 90 %) |
В.6.10 |
P(R) низкий |
P(R) средний |
P(R) средний |
P(R) высокий |
14. Статистическое тестирование |
В.5.3 |
- низкий |
- средний |
P(R) средний |
P(R) высокий |
15. Испытания в наихудших случаях |
В.6.9 |
- низкий |
- средний |
P(R) средний |
P(R) высокий |
16. Полевые испытания |
В.5.4 |
P(R) низкий |
P(R) средний |
P(R) средний |
HP (NR) не рекомендуемый |
Примечания 1. Методы 7 - 1 6, обозначенные «P (R)», являются заменяемыми, но обязательно применение хотя бы одного из методов 7 - 10 (аналитические методы) и одного из методов 11 - 16 (средства испытаний). 2. Значения обозначений под каждым уровнем полноты безопасности (SIL) см. в тексте, непосредственно предшествующем таблице В.1. 3. Методы, приведенные в настоящей таблице, могут быть использованы для различных уровней эффективности в соответствии с таблицей В.6, в которой приведены примеры для низкого и высокого уровней эффективности. Усилия, требуемые для среднего уровня эффективности, находятся между усилиями, требуемыми для низкого и высокого уровней эффективности. 4. Краткий обзор методов и мер, представленных в настоящей таблице, приведен в МЭК 61508-7, приложение В. Ссылки на соответствующие подпункты указаны во второй колонке. 5. Статистический анализ и анализ отказов не рекомендуются для SIL3 и SIL4, т.к. эти методы недостаточны, если не используются вместе с динамическим анализом. |
Таблица В.6 - Эффективность методов и средств для предотвращения систематических ошибок
Методы/меры, средства |
См. |
Низкая эффективность |
Высокая эффективность |
Управление проектами (см. примечание) |
В.1.1 |
Определение действий и обязанностей, планирование и распределение ресурсов, обучение соответствующего персонала, последовательность проверок после модификаций |
Подтверждение соответствия, независимое от проекта; регулярный контроль проекта; стандартизованная процедура подтверждения соответствия; управление конфигурацией; статистики отказов; автоматизированные расчеты; автоматизированная разработка программного обеспечения |
Документация |
В.1.2 |
Графические и естественные языки, например блок-схемы, потоковые диаграммы |
Правила, описывающие порядок прохождения и размещения документации в организации; содержимое таблиц контрольных проверок; автоматизированное управление документацией; формальный контроль изменений |
Разделение Е/Е/РЕ систем, связанных с безопасностью, и систем, не связанных с безопасностью |
В.1.3 |
Хорошо определенные интерфейсы между Е/Е/РЕ системами, связанными с безопасностью, и системами, не связанными с безопасностью |
Полное отделение Е/Е/РЕ систем, связанных с безопасностью, от систем, не связанных с безопасностью, т.е. отсутствие доступа по проводам систем, не связанных с безопасностью к Е/Е/РЕ системам, связанным с безопасностью, физическое разделение в пространстве во избежание влияний по общей причине |
Структурирование спецификации |
В.2.1 |
Иерархическое разделение вручную требований на подтребования, описание интерфейсов |
Формирование иерархического разделения с использованием средств автоматизированного расчета, автоматический контроль последовательности, уточнение на более нижнем функциональном уровне |
Формальные методы |
В.2.2 |
Используемые персоналом, имеющим опыт в применении формальных методов |
Используемые персоналом, имеющим опыт в применении формальных методов в аналогичных областях, с применением автоматизированных средств поддержки |
Полуформальные методы |
В.2.3 |
Использование полуформальных методов для описания некоторых критических частей |
Полное описание Е/Е/РЕ систем, связанных с безопасностью, различными полуформальными методами для демонстрации различных аспектов; проверка согласованности между методами |
Автоматизированные средства разработки спецификации |
В.2.4 |
Средства без предпочтения одному специфическому методу проектирования |
Моделеориентированные процедуры с иерархической структурой, описание всех объектов и их отношений, общая база данных, автоматический контроль непротиворечивости |
Таблицы контрольных проверок |
В.2.5 |
Подготовленные таблицы контрольных проверок для всех стадий жизненного цикла безопасности, концентрация на главных проблемах безопасности |
Подготовленные подробные таблицы контрольных проверок для всех стадий жизненного цикла безопасности |
Экспертиза спецификации |
В.2.6 |
Экспертиза спецификации требований безопасности независимым лицом |
Экспертиза и повторная экспертиза независимой организацией, использующей формальную процедуру с исправлением всех обнаруженных ошибок |
Структурное проектирование |
В.3.2 |
Проектирование иерархических схем, выполненное вручную |
Повторный контроль компонентов схемы; отслеживание взаимосвязи между спецификацией, проектом, принципиальными схемами и перечнем компонентов системы; автоматизация; использование определенных методов (см. также 7.4.4) |
Использование достоверно испытанных компонентов (см. примечание) |
В.3.3 |
Достаточная перепроверка характеристик конструкции |
Проверка на практике (см. 7.4.7.6) |
Модульное проектирование (см. примечание) |
В.3.4 |
Модули ограниченных размеров; каждый модуль функционально изолирован |
Повторное использование хорошо проверенных модулей; модулей с ясными свойствами; модулей, имеющих максимум один вход, один выход и один выход отказа |
Средства автоматизированного проектирования |
В.3.5 |
Автоматизированная поддержка сложных стадий жизненного цикла безопасности |
Использование средств, хорошо проверенных на практике (см. 7.4.7.6), или средств с подтвержденным соответствием; полная автоматизация создания системы для всех стадий жизненного цикла безопасности |
Моделирование |
В.3.6 |
Моделирование на модульном уровне, включая предельные данные внешних устройств |
Моделирование на уровне компонентов, включая предельные данные |
Поверка аппаратных средств |
В.3.7 |
Проверка проводится лицом, не связанным с проектированием |
Проверка и повторная проверка проводится независимой организацией, использующей формальные процедуры с исправлением всех обнаруженных ошибок |
Сквозной контроль аппаратных средств |
В.3.8 |
Сквозной контроль аппаратных средств проводится лицом, не зависимым от проектирования |
Сквозной контроль аппаратных средств проводится независимой организацией, действующей по формальной процедуре с исправлением всех обнаруженных ошибок |
Ограничение эксплуатационных возможностей (см. примечание) |
В.4.4 |
Применение ключа или пароля для управления режимом работы |
Определенная жесткая процедура для разрешенных действий |
Эксплуатация исключительно квалифицированными операторами |
В.4.5 |
Базовое обучение по используемому типу систем безопасности плюс два года соответствующего опыта работы |
Ежегодное обучение всех операторов; опыт работы каждого оператора не менее пяти лет с устройствами, связанными с безопасностью, более низкого уровня полноты безопасности |
Защита от ошибок оператора (см. примечание) |
В.4.6 |
Подтверждение входного сообщения |
Подтверждение и проверка согласованности каждой входной команды |
Тестирование методом «черного ящика» (см. примечание) |
В.5.2 |
Классы эквивалентности и тестирование по отдельным диапазонам входных сигналов, тестирование по граничным значениям, использование предписанных условий испытаний |
Условия испытаний по диаграммам последствий причин (отказов) в комбинации с критическими случаями в экстремальных диапазонах работы |
Статистическое тестирование (см. примечание) |
В.5.3 |
Статистическое распределение для всех входных данных |
Получение результатов испытаний автоматическими средствами, большое число тестовых испытаний, распределение входных данных в соответствии с условиями реального применения и принятыми моделями отказов |
Полевые испытания (см. примечание) |
В.5.4 |
10000 ч эксплуатации; по крайней мере, один год эксплуатации как минимум десяти устройств в различных применениях; статистическая точность 95 %; отсутствие каких-либо критических отказов безопасности |
10 млн. часов эксплуатации; по крайней мере, два года эксплуатации как минимум 10 устройств в различных применениях; статистическая точность 99,9 %; подробная документация всех изменений (включая мельчайшие) в период прошлой эксплуатации |
Испытания на устойчивость к пиковым выбросам внешних воздействий |
В.6.2 |
- |
Должна быть продемонстрирована устойчивость большая, чем для граничных значений реальных режимов эксплуатации |
Статический анализ |
В.6.4 |
Основанный на блок-схемах; выявление слабых точек, задание условий испытаний |
Основанное на подробных схемах, предсказание ожидаемого поведения в случаях испытаний, применение инструментов испытаний |
Динамический анализ |
В.6.5 |
Основанный на блок-схемах; выявление слабых точек, задание условий испытаний |
Основанное на подробных схемах, предсказание ожидаемого поведения в случаях испытаний, применение инструментов испытаний |
Анализ отказов |
В.6.6 |
На уровне модулей, включая граничные данные периферийных устройств |
На уровне компонентов, включая граничные данные |
Анализ на наихудший случай |
В.6.7 |
Выполняется для функций безопасности, проводится с использованием комбинаций граничных значений, соответствующих реальным условиям эксплуатации |
Выполняется для функций, не относящихся к безопасности; проводится с использованием комбинаций граничных значений, соответствующих реальным условиям эксплуатации |
Расширенное функциональное тестирование |
В.6.8 |
Испытания, при которых все функции безопасности проверяются при таких статических входных состояниях, как и в случаях, вызванных процессами отказов, или условиями эксплуатации |
Испытания, при которых все функции безопасности проверяются при таких статических входных состояниях и/или необычных входных изменениях, как и в случаях, вызванных процессами отказов, или условиями эксплуатации (включая те, которые могут возникать очень редко) |
Испытания в наихудших случаях |
В.6.9 |
Испытания, при которых функции безопасности проверяются для таких комбинаций граничных значений, которые встречаются в реальных условиях эксплуатации |
Испытания, при которых функции, не относящиеся к безопасности, проверяются для таких комбинаций граничных значений, которые встречаются в реальных условиях эксплуатации |
Испытания с введением неисправностей |
В.6.10 |
На уровне составляющих устройств, включая граничные данные периферийных устройств |
На уровне компонентов, включая граничные данные |
Примечание - В случаях, когда методы и средства В.1.1, В.1.2, В.3.3, В.3.4, В.4.4, В.4.6, В.5.2, В.5.3 и В.5.4 используются в качестве высокоэффективных методов и средств, предполагается, что будут также использованы методы и средства с низким уровнем эффективности. |