Если мера не является обязательной, то она может быть заменена другими мерами (индивидуальными или в комбинации), отмеченными серой заливкой в таблицах А.16-А.18.
Все перечисленные выше методы/средства являются встроенными компонентами Е/Е/РЕ СБЗС-систем, предназначенными для облегчения управления отказами в режиме внешнего управления. Для предотвращения введения ошибок следует применять процедурные и организационные методы/средства на протяжении всего жизненного цикла Е/Е/РЕ СБЗС-систем. Для проверки противодействия Е/Е/РЕ СБЗС-систем ожидаемым внешним воздействиям необходимо применять методы оценки соответствия для предоставления доказательств того, что встроенные компоненты соответствуют установленным требованиям (приложение В).
Примечание - Большинство методов/средств, приведенных в таблицах А.16-А.18, может быть использовано с разным уровнем эффективности в соответствии с таблицей А.19, в которой приведено описание ряда методов/средств с низким и высоким уровнями эффективности. Затраты, требуемые для получения среднего уровня эффективности, находятся в пределах между затратами, необходимыми для получения низкого и высокого уровней эффективности.
Приложение Б
(справочное)
Методы и средства по предотвращению систематических отказов на стадиях жизненного цикла Е/Е/РЕ СБЗС-систем
В таблицах Б.1-Б.5 настоящего приложения для каждого уровня безопасности Е/Е/РЕ СБЗС-систем приведены рекомендуемые методы и средства для предотвращения отказов в Е/Е/РЕ СБЗС-системах.
Отказы в Е/Е/РЕ СБЗС-системах могут быть идентифицированы в соответствии со стадиями жизненного цикла, на которых появились источником внесения ошибок:*
_______________
* Текст соответствует оригиналу. - Примечание изготовителя базы данных.
- отказы, вызванные ошибками, возникающими до установки или в период установки системы (например ошибки ПО включают в свой состав ошибки спецификации и ошибки программ, а ошибки в АС включают в свой состав производственные ошибки и неправильный выбор компонентов);
- отказы, вызванные ошибками, возникающими после установки системы (например, случайные отказы аппаратных средств, вызванные неправильным использованием оборудования).
Для предотвращения таких отказов или управления ими при возникновении обычно требуется применение большого числа мер. "Меры" - это проведение мероприятий с использованием определенных "методов" и/или "средств", которые обозначены в таблицах и тексте как "метод/средство". В приложениях А и Б требования связаны с мерами, которые предпринимают для предотвращения отказов из-за ошибок на разных стадиях жизненного цикла аппаратных средств Е/Е/РЕ СБЗС-систем (настоящее приложение), и мерами, которые предпринимают для управления отказами в период эксплуатации Е/Е/РЕ СБЗС-систем (приложение А). Меры для управления отказами - это применение средств, встроенных в Е/Е/РЕ СБЗС-системы, а меры для предотвращения отказов - это проведение мероприятий с использованием методов, выполняемых в течение жизненного цикла систем.
Рекомендации, приведенные в таблицах Б.1-Б.5, соотносятся с уровнями полноты безопасности. Они устанавливают, во-первых, важность метода/средства и, во-вторых, эффективность его использования.
Важность обозначена следующим образом:
КР (HR) - метод/средство крайне рекомендован(но) для указанного в графе таблицы уровня полноты безопасности. Если он (оно) не применен(но), то в проектной документации должно быть приведено подробное обоснование отказа от их применения;
Р (R) - метод/средство рекомендован(о) для указанного в графе таблицы уровня полноты безопасности. Требуется применение хотя бы одного метода/средства, из помеченных в таблицах серой заливкой;
знак "-" - метод/средство, который(ое) не имеют рекомендаций ни для применения, ни против применения;
HP (NR) - метод/средство не рекомендован(но) к применению для указанного в графе таблицы уровня полноты безопасности. Если он (оно) применен(но), то в проектной документации должно быть приведено подробное обоснование такого применения.
Уровень эффективности и необходимость применения методов/средств по предотвращению систематических отказов на стадиях жизненного цикла Е/Е/РЕ СБЗС-систем приведены в таблицах Б.1-Б.5. Уровни эффективности, приведенные в таблице, означают следующее:
"обязательный" - требуется обязательное применение указанного в таблице метода/средства для всех уровней полноты безопасности, и которые должны использоваться настолько эффективно, насколько это возможно (т.е. с максимальной эффективностью);
"низкий" - при использовании указанного в таблице метода/средства он (оно) должен(но) быть применен(но) в степени, необходимой для получения, по крайней мере, низкого уровня эффективности противодействия систематическим отказам;
"средний" - при использовании указанного в таблице метода/средства он (оно) должен(но) быть применен(но) в степени, необходимой для получения, по крайней мере, среднего уровня эффективности противодействия систематическим отказам;
"высокий" - при использовании указанного в таблице метода/средства он (оно) должен(но) быть применен(но) в степени, необходимой для получения высокого уровня эффективности противодействия систематическим отказам.
Примечание - Большинство методов/средств, приведенных в таблицах Б.1-Б.5, может быть использовано с различным уровнем эффективности, в соответствии с таблицей Б.6, в которой приведено описание ряда методов/средств с низким и высоким уровнями эффективности. Затраты, необходимые для достижения среднего уровня эффективности, находятся в пределах между затратами, необходимыми для получения низкого и высокого уровней эффективности.
Если метод/средство не является обязательным, то он (оно) может быть заменен(но) другими методами/средствами (индивидуальным или в комбинации), которые помечены в таблицах Б.1-Б.5 серой заливкой.
Само по себе выполнение требований настоящего приложения еще не гарантирует достижения требуемой полноты безопасности. При выборе методов/средств следует учитывать следующие факторы:
- взаимное соответствие выбранных методов/средств и как они дополняют друг друга;
- какие из них предназначены для каждой стадии создания Е/Е/РЕ СБЗС-систем;
- какие из них являются наиболее подходящими для решения проблем, встречающихся в процессе создания каждой отдельной Е/Е/РЕ СБЗС-системы.
Таблица Б.1 - Рекомендации по предотвращению ошибок во время задания спецификации требований к Е/Е/РЕ СБЗС-системам
Все методы и средства, обозначенные "Р (R)" в таблице Б.1, заменяемые, но требуется применение хотя бы одного из них.
Для проверки соответствия требованиям на стадии задания спецификации требований к Е/Е/РЕ СБЗС-системам должен быть применен хотя бы один (одно) из методов/средств, помеченных серой заливкой в таблице Б.1 или перечисленных в таблице Б.5.
Таблица Б.2 - Рекомендации по предупреждению внесения ошибок на стадиях проектирования и реализации Е/Е/РЕ СБЗС-систем
Методы/средства, обозначенные "Р (R)" в таблице Б.2, заменяемые, но требуется применение хотя бы одного из них.
Для проверки соответствия требований на стадиях проектирования и реализации Е/Е/РЕ СБЗС-систем должен быть применен хотя бы один из методов или средств, помеченных серой заливкой в таблице Б.2 или перечисленных в таблице Б.5.
Таблица Б.3 - Рекомендации для предотвращения ошибок на стадии интеграции Е/Е/РЕ СБЗС-систем
Таблица Б.4 - Рекомендации по предотвращению ошибок и отказов в период эксплуатации и технического обслуживания Е/Е/РЕ СБЗС-систем
Таблица Б.5 - Рекомендации по предотвращению ошибок на стадии подтверждения соответствия Е/Е/РЕ СБЗС-систем
Таблица Б.5 разделена на три группы, помеченные белой, серой и черной заливкой. Все рекомендуемые методы/средства "Р (R)" в группах, помеченных белой и черной заливкой, могут быть заменены другими методами/средствами в пределах каждой из групп, но требуется применение, по крайней мере, одного метода/средства из группы, помеченной серой заливкой (аналитические методы) и, как минимум, одного метода/средства из группы, помеченной черной заливкой (средства испытаний).
Эффективность методов/средств для предотвращения систематических ошибок приведена в таблице Б.6.
Таблица Б.6
|
|
|
|
|
Метод/средство предотвращения систематических ошибок |
Описание метода/средства предотвращения систематических ошибок для |
|
|
|
низкого уровня эффективности |
высокого уровня эффективности |
|
Управление проектами* |
Определение действий и обязанностей; планирование и распределение ресурсов; обучение соответствующего персонала; последовательность проверок после модификаций |
Подтверждение соответствия, независимое от проекта; регулярный контроль проекта; стандартизованная процедура подтверждения соответствия; управление конфигурацией; статистика отказов; автоматизированные расчеты; автоматизированная разработка программного обеспечения |
|
Документирование* |
Применение графических и естественных языков, например, блок-схем, потоковых диаграмм |
Использование правил, описывающих: порядок прохождения и размещения документации в организации, содержимое таблиц контрольных проверок; автоматизированное управление документацией; формальный контроль изменений |
|
Разделение Е/Е/РЕ СБЗС-систем и систем, не связанных с безопасностью |
Четкое разделение интерфейсов между Е/Е/РЕ СБЗС-системами и системами, не связанными с безопасностью |
Полное отделение Е/Е/РЕ СБЗС-систем от систем, не связанных с безопасностью, т.е. предотвращение доступа систем, не связанных с безопасностью, к Е/Е/РЕ СБЗС-системам; физическое разделение в пространстве во избежание влияний по общей причине |
|
Структурирование спецификации требований |
Иерархическое разделение вручную требований на подтребования; описание интерфейсов |
Формирование иерархически разделенных компьютерных средств проектирования; автоматический контроль последовательности; доведение усовершенствования до функционального уровня |
|
Формальные методы |
Использование формальных методов персоналом, имеющим опыт в их применении |
Использование формальных методов персоналом, имеющим опыт в их применении в аналогичных областях с использованием автоматизированных средств поддержки |
|
Полуформальные методы |
Использование полуформальных методов для описания некоторых критических составляющих |
Полное описание СБЗС Е/Е/РЕ-систем, связанных с безопасностью, различными полуформальными методами для представления различных аспектов; проверка согласованности между методами |
|
Компьютерные средства разработки спецификации |
Применение средств разработки спецификации без предпочтения одного конкретного метода проектирования |
Применение модельно-ориентированных процедур с иерархической структурой; описание всех объектов и их отношений; применение общей базы данных; автоматический контроль непротиворечивости |
|
Таблицы контрольных проверок |
Подготовка таблиц контрольных проверок для всех стадий жизненного цикла; концентрация внимания на главных проблемах безопасности |
Подготовка подробных таблиц контрольных проверок для всех стадий жизненного цикла систем |
|
Экспертиза спецификации |
Проведение экспертизы спецификации требований безопасности независимым лицом |
Проведение экспертизы и повторной экспертизы независимой организацией, использующей формальную процедуру с исправлением всех обнаруженных ошибок |
|
Структурное проектирование |
Проектирование иерархических схем, выполняемое вручную |
Повторное использование проверенных компонентов; отслеживание взаимосвязи между спецификацией, проектом, принципиальными схемами и перечнем компонентов системы; использование компьютеров; применение определенных методов (см. также 5.9) |
|
Использование достоверно испытанных компонентов* |
Обоснованная перепроверка; проверка конструктивных характеристик |
"Проверено на практике" (см. 5.12.6) |
|
Модульное проектирование* |
Применение модулей ограниченных размеров; функциональное изолирование каждого модуля |
Повторное использование хорошо проверенных модулей; модулей с ясными свойствами; модулей, имеющих максимум один вход, один выход и один выход сигнализации об отказе |
|
Средства компьютерного проектирования |
Компьютерная поддержка безопасности на сложных стадиях жизненного цикла |
Использование средств, хорошо проверенных на практике (см. 5.12.6), или средств с подтвержденным соответствием; полностью компьютерное проектирование всех стадий жизненного цикла системы |
|
Моделирование |
Моделирование на модульном уровне, включая предельные условия для периферийных устройств |
Моделирование на уровне компонентов, включая предельные условия |
|
Инспектирование АС |
Инспектирование лицом, не связанным с проектированием системы |
Инспектирование и повторное инспектирование независимой организацией, использующей формальные процедуры с исправлением всех обнаруженных ошибок |
|
Сквозной анализ аппаратных средств |
Проведение сквозного анализа аппаратных средств лицом, не зависимым от проектирования |
Проведение сквозного анализа аппаратных средств независимой организацией, действующей по формальной процедуре с исправлением всех обнаруженных ошибок |
|
Ограничение эксплуатационных возможностей* |
Применение ключа или пароля для управления изменением режима работы |
Применение установленной жесткой процедуры, разрешающей выполнение действий |
|
Эксплуатация исключительно квалифицированными операторами |
Базовое обучение по используемому типу систем безопасности плюс два года соответствующего опыта работы |
Ежегодное обучение всех операторов; привлечение к работе операторов с опытом эксплуатации Е/Е/РЕ СБЗС-систем с более низким уровнем полноты безопасности - не менее пяти лет |
|
Защита от ошибок оператора* |
Применение подтверждения входного сообщения |
Применение подтверждения и проверки согласованности каждой входной команды |
|
Тестирование методом "черного ящика"* |
Применение классов эквивалентности и тестирования по отдельным диапазонам входных сигналов, тестирование по граничным значениям, использование предписанных условий испытаний |
Применение условий испытаний по диаграммам последствий причин (отказов) в комбинации с критическими случаями в экстремальных диапазонах работы |
|
Статистическое тестирование* |
Использование статистических распределений для всех входных данных |
Получение результатов испытаний автоматическими средствами; применение большого числа тестовых испытаний; распределение входных данных в соответствии с условиями реального применения и принятыми моделями отказов |
|
Полевые испытания* |
10000 часов эксплуатации; по крайней мере, один год эксплуатации как минимум десяти устройств в различных применениях; статистическая точность 95%; отсутствие каких-либо критических отказов |
10 миллионов часов эксплуатации; по крайней мере, два года эксплуатации как минимум десяти устройств в различных применениях; статистическая точность 99,9%; подробное документирование всех изменений (включая мельчайшие) в период предыдущей эксплуатации |
|
Испытания на устойчивость к пикам воздействий |
- |
Должна быть явно продемонстрирована более высокая устойчивость, чем устойчивость для граничных значений реальных режимов эксплуатации |
|
Статический анализ |
Проведение статического анализа блок-схем; выявление слабых точек; задание условий испытаний |
Проведение статического анализа принципиальных схем; предсказание ожидаемого поведения систем при испытаниях; применение инструментальных средств испытаний |
|
Динамический анализ |
Анализ, основанный на блок-схемах; выявление слабых точек; задание условий испытаний |
Анализ, основанный на подробных схемах; предсказание ожидаемого поведения в случаях испытаний; применение инструментальных средств испытаний |
|
Анализ отказов |
Анализ отказов на уровне модулей, включая анализ граничных данных периферийных устройств |
Анализ отказов на уровне компонентов, включая анализ при граничных условиях |
|
Анализ при наихудшем случае |
Анализ наихудшего случая для функций безопасности; проводимый с использованием комбинаций граничных значений, соответствующих реальным условиям эксплуатации |
Анализ наихудшего случая для функций, не относящихся к безопасности; проводимый с использованием комбинаций граничных значений, соответствующих реальным условиям эксплуатации |
|
Расширенное функциональное тестирование |
Проведение испытаний, при которых все функции безопасности проверяются при таких же статических входных состояниях, как и в случаях, вызванных процессами отказов, или условиями эксплуатации |
Проведение испытаний, при которых все функции безопасности проверяются при таких же статических входных состояниях, и/или необычных входных изменениях, как и в случаях, вызванных процессами отказов, или условиями эксплуатации (включая те, которые могут возникать очень редко) |
|
Испытания в наихудших случаях |
Проведение испытаний, при которых функции безопасности проверяются для таких комбинаций граничных значений, какие встречаются в реальных условиях эксплуатации |
Проведение испытаний, при которых функции, не связанные с безопасностью, проверяются для таких комбинаций граничных значений, какие встречаются в реальных условиях эксплуатации |
|
Испытания с введением неисправностей |
Проведение испытаний на уровне составляющих устройств, включая граничные данные периферийных устройств |
Проведение испытаний на уровне компонентов, включая граничные данные |
|
* В случаях применения этих методов/средств в качестве методов/средств с высоким уровнем эффективности предполагается, что они должны быть использованы и при низком уровне эффективности. |
||
