7.9.2.5. При проектировании и разработке каждой стадии должно быть показано, что требования функциональной безопасности и полноты безопасности выполняются.
7.9.2.6. Результат каждого действия по верификации должен быть документирован. В документе должно быть указано, прошли ли E/E/PES проверку, причины отказов (при их наличии). В случае несоответствия E/E/PES требованиям одного или более пунктов:
a) жизненного цикла безопасности E/E/PES (см. 7.2);
b) стандартов проектирования (см. 7.4.2 - 7.4.8);
c) управления функциональной безопасностью (см. раздел 6) в документе должны быть указаны пункты несоответствия.
7.9.2.7. Для верификации требований безопасности Е/Е/РЕ систем, связанных с безопасностью, после того как эти требования были установлены (см. 7.2), и перед началом следующей стадии (проектирования или разработки) проверка должна:
a) определить, адекватны ли по безопасности и функциональным возможностям требования безопасности E/E/PES требованиям, установленным в требованиях к распределению безопасности E/E/PES (см. МЭК 61508-1, пункт 7.6.2), и другим требованиям, заданным при планировании безопасности (см. МЭК 61508-1, пункты 7.7.2, 7.8.2, 7.9.2), и
b) проверить на несовместимость:
- требования безопасности E/E/PES (см. 7.2),
- распределение требований безопасности (см. МЭК 61508-1),
- испытания E/E/PES (см. 7.4) и
- документацию пользователя вместе с остальной документацией на систему.
7.9.2.8. Для верификации стадии проектирования и разработки E/E/PES после ее завершения (см. 7.4) и до начала следующей стадии (интеграции) проверка должна:
a) определить, адекватны ли тесты для стадии проектирования и разработки E/E/PES (см. 7.4);
b) определить связанность и завершенность (до уровня модулей, включительно) стадии проектирования и разработки E/E/PES (см. 7.4) в отношении требований безопасности (см. 7.2) и
c) проверить на несовместимость:
- требования безопасности E/E/PES (см. 7.2),
- результат проектирования и разработки E/E/PES (см. 7.4) и
- испытания E/E/PES (см. 7.4).
Примечания
1. Методы подтверждения соответствия безопасности, анализа отказов и тестирования, рекомендуемые в таблице В.5 (приложение В), также могут быть использованы для верификации.
2. При верификации достижения необходимого диагностического охвата следует учесть отказы и ошибки, которые должны быть обнаружены, приведенные в таблице А.1 (приложение А).
7.9.2.9. Для проверки интеграции E/E/PES должна быть проверена интеграция Е/Е/РЕ систем, связанных с безопасностью, с тем чтобы установить выполнение требований 7.5.
7.9.2.10. Проверки и их результаты должны быть задокументированы.
Требования к оценке функциональной безопасности - в соответствии с МЭК 61508-1, пункт 8.
А.1. Общие положения
Настоящее приложение должно использоваться совместно с 7.4 и ограничивает максимальный диагностический охват, что может потребоваться для выбора методов и средств управления отказами в процессе эксплуатации. Для каждого уровня полноты безопасности в настоящем приложении рекомендованы методы и средства управления случайными, систематическими, эксплуатационными отказами и отказами, относящимися к окружающей среде. Более подробную информацию об архитектурах и методах см. в МЭК 61508-6 (приложение В) и МЭК 61508-7 (приложение А).
Перечислить каждую индивидуальную физическую причину отказов в сложных аппаратных средствах не представляется возможным по следующим основным причинам:
- причинно-следственные отношения между ошибками и отказами часто трудно определить;
- при использовании сложных аппаратных средств и программного обеспечения характер отказов изменяется в диапазоне от случайных до систематических.
Категории отказов в Е/Е/РЕ системах, связанных с безопасностью, могут быть установлены в зависимости от времени их возникновения как:
- отказы из-за ошибок, возникающих до установки или в период установки системы (например, вследствие ошибок программного обеспечения, включая спецификацию и ошибки программы; вследствие ошибок в аппаратных средствах, включая производственные ошибки и неправильный выбор компонентов);
- отказы из-за технических ошибок или ошибок человека, возникающих после установки системы (например, случайные отказы аппаратных средств или отказы, вызванные неправильным использованием).
Для предотвращения таких отказов или управления ими (если они происходят) обычно требуется применение большого числа средств, Структура требований, приведенных в приложениях А и В, является следствием разделения средств на средства, используемые для предотвращения отказов на различных стадиях жизненного цикла E/E/PES (см. приложение В), и средства, используемые для управления отказами в период эксплуатации (см. настоящее приложение). Средства по управлению отказами - это собственные встроенные составляющие Е/Е/РЕ систем, связанных с безопасностью.
Охват диагностикой и доля безопасных отказов определяются в соответствии с таблицей А.1 и процедурами, описанными в приложения С. Таблицы А.2 - А.15 поддерживают требования таблицы А.1 методами и средствами для диагностического тестирования и требованиями максимальных уровней диагностического охвата, которые могут быть достигнуты при их использовании. Требования, приведенные в данных таблицах, не отменяют требований, приведенных в приложении С. Требования таблиц А.2 - А.15 не являются исчерпывающими. Могут быть использованы другие методы и средства диагностического тестирования, если приведены свидетельства о поддержании ими требующегося диагностического охвата. Если требуется высокий уровень диагностического охвата, то из каждой из таблиц А.2 - А.15 должно быть применено, как минимум, одно средство с высоким уровнем диагностического охвата.
Таблицы А.16 - А.18 содержат рекомендуемые меры и средства управления систематическими отказами для каждого уровня полноты безопасности. Таблица А.16 относится к общим мерам, рекомендуемым для управления систематическими отказами (см. также МЭК 61508-3). Таблица А.17 относится к рекомендуемым мерам по управлению отказами из-за влияния окружающей среды. Таблица А.18 относится к рекомендуемым мерам по управлению ошибками при эксплуатации. Большинство этих мер по управлению отказами может быть разделено по эффективности их применения в соответствии с таблицей А.19.
Методы, средства и меры, приведенные в таблицах А.2 - А.15, описаны в МЭК 61508-7, приложение А. Методы, средства и меры, требуемые для каждого уровня полноты безопасности программного обеспечения, приведены в МЭК 61508-3. Руководящие указания по определению архитектуры Е/Е/РЕ системы, связанной с безопасностью, приведены в МЭК 61508-6.
Руководящие указания, представленные в настоящем приложении, не гарантируют сами по себе требуемой полноты безопасности. Важно учитывать:
- последовательность выбранных методов и средств и то, как они будут дополнять друг друга;
- какие методы, средства и меры в наибольшей степени подходят для решения конкретных проблем, с которыми сталкиваются специалисты во время создания каждой Е/Е/РЕ системы, связанной с безопасностью.
А.2. Полнота безопасности аппаратных средств
Требования к ошибкам или отказам, которые должны быть обнаружены с помощью методов и средств управления отказами аппаратных средств для достижения соответствующего уровня диагностического охвата, представлены в таблице А.1 (см. также приложение С). Требования, представленные в таблицах А.2 - А.15, поддерживают требования, приведенные в таблице А.1, методами и средствами для диагностического тестирования и требованиями максимальных уровней диагностического охвата, которые могут быть достигнуты при их использовании. Данные диагностические тесты могут проводиться непрерывно или периодически. Таблицы А.2 - А.15 не заменяют требований подраздела 7.4. Методы, средства и меры, представленные в таблицах А.2 - А.15, не являются исчерпывающими. Могут быть использованы другие методы, средства и меры, если представлены свидетельства, что они поддерживают необходимый диагностический охват.
Примечания
1. Краткий обзор методов и средств, упомянутых в таблицах А.2 - А.15, приведен в МЭК 61508-7 (приложение А). Во вторых колонках таблиц А.2 - А.15 приведены соответствующие ссылки.
2. Указания «низкий», «средний» и «высокий» диагностический охват количественно определены как 60 %, 90 % и 99 % соответственно.
Таблица А.1- Ошибки и отказы, которые должны быть обнаружены в период эксплуатации или проанализированы при определении доли безопасных отказов
|
Компонент |
См. таблицу |
Требования к охвату диагностикой или к заданной доле безопасных отказов |
||
|
Низкий (60 %) |
Средний (90 %) |
Высокий (99 %) |
||
|
Электромеханические устройства |
А.2 |
Невключение или неотключение. Приваренные контакты |
Невключение или неотключение. Отдельные приваренные контакты |
Невключение или неотключение. Отдельные приваренные контакты. Отсутствуют определенные руководства (для реле этот отказ не предполагается, если они изготовлены и испытаны в соответствии с ЕН 50205 [8]). Отсутствуют конкретные ссылки (для положений переключателей этот отказ не рассматривается, если они изготовлены и испытаны в соответствии с ЕН 60947-5-1 [9] или эквивалентными нормами) |
|
Дискретные аппаратные средства: |
А.3, А.7, А.9, А.11 |
|
|
|
|
- цифровой вх./вых. |
|
Непрерывный отказ |
Модель отказов при постоянном токе |
Модель отказов из-за отклонений и колебаний постоянного тока |
|
- аналоговый вх./вых. |
|
Тоже |
Модель отказов из-за отклонений и колебаний постоянного тока |
Тоже |
|
- источник питания |
|
» |
Тоже |
» |
|
Шина: |
А.3, А.7, А.8 |
|
|
|
|
- общая шина |
|
Непрерывный отказ адресов |
Блокировка по времени |
Блокировка по времени |
|
-элемент управления памятью |
|
Непрерывный отказ данных или адресов. |
Неверное декодирование адреса |
Неверное декодирование адреса |
|
- прямой доступ к памяти |
|
Нет доступа или непрерывный доступ. |
Модель отказов по постоянному току для данных и адресов. Неверное время доступа |
Все отказы, влияющие на данные в памяти. Неверные данные или адреса. Неверное время доступа |
|
- управление доступом к шине (см. примечание 1) |
А.3, А.7, А.8 |
Непрерывный отказ сигналов управления доступом к шине |
Отсутствует или непрерывное управление доступом к шине |
Отсутствует, непрерывное или неправильное управление доступом к шине |
|
Процессор: |
А.4, А.10 |
|
|
|
|
- регистр, внутреннее ОЗУ |
|
Непрерывный отказ данных или адресов |
Модель отказов по постоянному току для данных и адресов |
Модель отказов по постоянному току для данных и адресов. |
|
Динамическое пересечение запоминающих элементов. |
||||
|
Отсутствует, неверная или множественная адресация |
||||
|
- устройство кодирования и выполнения, включая регистр признаков |
|
Неверное кодирование или невыполнение |
Неверное кодирование или неверное выполнение |
Отсутствует определение предполагаемого отказа |
|
- устройство вычисления адреса |
|
Непрерывный отказ |
Модель отказов при постоянном токе |
Отсутствует определение предполагаемого отказа |
|
- счетчик команд, указатель стека |
|
Непрерывный отказ |
Модель отказов при постоянном токе |
Модель отказов при постоянном токе |
|
Устройство обработки прерываний |
А.4 |
Отсутствуют или непрерывные прерывания |
Отсутствуют или непрерывные прерывания. |
Отсутствуют или непрерывные прерывания. |
|
Пересечение прерываний |
Пересечение прерываний |
|||
|
Постоянная память |
А.5 |
Непрерывный отказ данных или адресов |
Модель отказов по постоянному току для данных и адресов |
Все отказы, влияющие на данные в памяти |
|
Память с произвольным доступом |
А.6 |
Непрерывный отказ данных или адресов |
Модель отказов по постоянному току для данных и адресов. |
Модель отказов по постоянному току для данных и адресов. |
|
Изменение информации, вызванное ошибками программного обеспечения для удвоенного ОЗУ с объемом не менее 1 Мбит |
Динамическое пересечение запоминающих элементов. |
|||
|
Отсутствует, неверная или множественная адресация |
||||
|
Изменение информации, вызванное ошибками программного обеспечения для удвоенного ОЗУ с объемом не менее 1 Мбит |
||||
|
Устройство синхронизации (кварцевое) |
А.12 |
Нижняя или верхняя гармоника |
Нижняя или верхняя гармоника |
Нижняя или верхняя гармоника |
|
Устройство связи и запоминающее устройство большей емкости |
А.13 |
Неверные данные или адреса. Отсутствует передача данных |
Все отказы, влияющие на данные в памяти. |
Все ошибки, влияющие на данные в памяти. |
|
Неверные данные или адреса. |
Неверные данные или адреса. |
|||
|
Неверное время передачи. |
Неверное время передачи. |
|||
|
Неверна последовательность передачи |
Неверна последовательность передачи |
|||
|
Сенсоры |
А.14 |
Непрерывный отказ |
Модель отказов из-за отклонений и колебаний постоянного тока |
Модель отказов из-за отклонений и колебаний постоянного тока |
|
Оконечные элементы |
А.15 |
Непрерывный отказ |
Модель отказов из-за отклонений и колебаний постоянного тока |
Модель отказов из-за отклонений и колебаний постоянного тока |
|
Примечания 1. Управление доступом к шине - это механизм, который определяет, какое из устройств может управлять шиной. 2. «Непрерывный» - это вид отказа, который может быть описан всеми нулями («0») или единицами («1») на контактах компонента. 3. «Модель отказов при постоянном токе» включает следующие модели отказов: непрерывные отказы, открытые непрерывные, открытые выходы или выходы с высоким сопротивлением, а также короткие замыкания между линиями связи. |
||||
