Перечислить каждую индивидуальную физическую причину отказов в сложных АС не представляется возможным по двум основным причинам:
- причинно-следственные связи между ошибками и отказами часто трудно определить;
- при использовании сложных АС и ПО характер отказов изменяется в широком диапазоне - от случайных до систематических отказов.
Отказы в Е/Е/РЕ СБЗС-системах могут быть разделены на две категории в зависимости от времени их возникновения:
- отказы из-за ошибок, возникающих до или в период установки системы (например вследствие ошибок ПО, включая ошибки спецификации ПО и ошибки программы; вследствие ошибок в АС, включая производственные ошибки и неправильный выбор компонентов и модулей);
- отказы из-за технических ошибок или ошибок оператора, возникающих после установки системы (например случайные отказы АС или отказы, вызванные неправильным их использованием).
Для предотвращения таких отказов или управления ими, когда они происходят, требуется применение большого числа мер. "Меры" - это проведение мероприятий с использованием определенных "методов" и/или "средств", которые обозначены в таблицах и тексте как "метод/средство". Структура требований, приведенных в приложениях А и Б, является следствием разделения всех методов/средств на методы/средства, используемые для предупреждения отказов в течение различных стадий жизненного цикла Е/Е/РЕ СБЗС-систем (приложение Б), и методы/средства, используемые для управления отказами в период эксплуатации (настоящее приложение). Методы/средства управления отказами - это методы/средства, основанные на применении собственных встроенных составляющих Е/Е/РЕ СБЗС-систем.
Охват диагностикой и доля безопасных отказов Е/Е/РЕ СБЗС-систем определяются на основе таблицы А.1 и в соответствии с процедурами, детализированными в приложении Б. Таблицы А.2-А.15 дополняют требования таблицы А.1 методами и средствами для диагностических тестов и требованиями к минимальным уровням охвата диагностикой, которые могут быть достигнуты при их использовании. Требования этих таблиц не заменяют требования, приведенные в приложении Б. Требования таблиц А.2-А.15 не являются исчерпывающими. Могут быть использованы другие методы и средства, если приведено свидетельство об обеспечении необходимого охвата диагностикой. Если требуется высокий уровень охвата диагностикой, то из каждой из этих таблиц должна быть применена как минимум одна мера (метод/средство) по охвату диагностикой высокого уровня.
По аналогии таблицы А.16-А.18 содержат рекомендуемые меры (методы/средства) для управления систематическими отказами для каждого уровня полноты безопасности. В таблице А.16 рекомендуются полные меры для управления систематическими отказами. В таблице А.17 даны рекомендуемые меры по управлению отказами из-за влияния окружающей среды. В таблице А.18 приведены меры (методы/средства) по управлению ошибками при эксплуатации. Большинство этих мер по управлению систематическими отказами может быть структурировано в соответствии с таблицей А.19.
Руководящие указания в настоящем приложении не гарантируют сами по себе требуемую полноту безопасности. При их применении важно определить:
- последовательность выбранных методов/средств и то, как они будут дополнять друг друга,
- какие методы/средства в наибольшей степени подходят для решения конкретных задач, которые возникают во время создания каждой заданной Е/Е/РЕ СБЗС-системы.
А.2 Полнота безопасности АС
В таблице А.1 представлены требования к ошибкам или отказам, которые должны быть обнаружены с использованием методов/средств по управлению отказами АС Е/Е/РЕ СБЗС-систем для достижения соответствующего уровня охвата диагностикой (см. также приложение Б). Таблицы А.2-А.15 дополняют требования, приведенные в таблице А.1, рекомендуемыми методами/средствами для диагностических тестов и рекомендуемыми минимальными требованиями к охвату диагностикой, который может быть достигнут с их применением. Эти диагностические тесты могут выполняться непрерывно или периодически. Указанные таблицы не заменяют ни одного из требований подраздела 5.7.
Таблица А.1 - Ошибки и отказы, которые должны быть обнаружены в период эксплуатации или должны быть проанализированы при определении доли безопасных отказов
|
|
|
|
|
|
|
Наименование компонента(ов) системы |
Номер таблицы |
Наименование, описание ошибок и отказов, моделей их обнаружения при уровне охвата диагностикой АС систем |
||
|
|
|
низком (60%) |
среднем (90%) |
высоком (99%) |
|
Электромеханические устройства |
А.2 |
Невключение или неотключение. Приваривание ("залипание") контактов |
Не включение или не отключение. Приваривание ("залипание") отдельных контактов |
Не включение или не отключение. Приваривание ("залипание") отдельных контактов. Конкретные руководства отсутствуют |
|
Дискретные АС: |
A.3, А.7, А.9, А.11 |
|
|
|
|
- цифровой вход/выход |
|
Непрерывный отказ |
Модель отказов из-за отклонений и колебаний постоянного тока |
Модель отказов из-за отклонений и колебаний постоянного тока |
|
- аналоговый вход/выход |
|
Непрерывный отказ |
Модель отказов из-за отклонений и колебаний постоянного тока |
Модель отказов из-за отклонений и колебаний постоянного тока |
|
- источник питания |
|
Непрерывный отказ |
Модель отказов из-за отклонений и колебаний постоянного тока |
Модель отказов из-за отклонений и колебаний постоянного тока |
|
Шина: |
A.3, А.7, А.8 |
|
|
|
|
- общая шина |
|
Непрерывный отказ адресов |
Молчание |
Молчание |
|
- элемент управления памятью |
|
Непрерывный отказ данных или адресов |
Неверное декодирование адреса |
Неверное декодирование адреса |
|
- прямой доступ к памяти |
|
Непрерывный отказ данных или адресов |
Модель непрерывного отказа данных и адресов. Неверное время доступа |
Все отказы, влияющие на данные в памяти. Неверные данные или адреса. Неверное время доступа |
|
- управление доступом к шине (см. примечание 1) |
|
Непрерывный отказ сигналов управления доступом к шине |
Отсутствует или неправильное управление доступом к шине |
Отсутствует или неправильное управление доступом к шине |
|
Процессор: |
А.4, А.10 |
|
|
|
|
- регистр, внутреннее ОЗУ |
|
Непрерывный отказ для данных или адресов |
Модель отказов по постоянному току для данных и адресов |
Модель отказов по постоянному току для данных и адресов. Динамическая переброска ячеек памяти. Отсутствует, неверная или множественная адресация |
|
- устройство кодирования и выполнения, включая регистр признаков |
|
Неверное кодирование или невыполнение |
Неверное кодирование или неверное выполнение |
Отсутствует определение предполагаемого отказа |
|
- устройство вычисления адреса |
|
Непрерывный отказ |
Модель отказов при постоянном токе |
Отсутствует определение предполагаемого отказа |
|
- счетчик команд, указатель стека |
|
Непрерывный отказ |
Модель отказов при постоянном токе |
Модель отказов при постоянном токе |
|
Устройство обработки прерываний |
А.4 |
Отсутствуют или непрерывные прерывания |
Отсутствуют или непрерывные прерывания. Пересечение прерываний |
Отсутствуют или непрерывные прерывания. Пересечение прерываний |
|
Постоянная память |
А.5 |
Непрерывный отказ для данных или адресов |
Модель отказов по постоянному току для данных и адресов |
Все отказы, влияющие на данные в памяти |
|
Переменная память |
А.6 |
Непрерывный отказ для данных или адресов |
Модель отказов по постоянному току для данных и адресов. Изменение информации, вызванное ошибками ПО для ОЗУ 1 МБ и выше |
Модель отказов по постоянному току для данных и адресов. Динамическое пересечение ячеек памяти. Отсутствует, неверная или множественная адресация. Изменение информации, вызванное ошибками ПО для ОЗУ 1 МБ и выше |
|
Устройство синхронизации (кварцевое) |
А.12 |
Нижняя или верхняя гармоника |
Нижняя или верхняя гармоника |
Нижняя или верхняя гармоника |
|
Устройство связи и запоминающее устройство большой емкости |
А.13 |
Неверные данные или адреса. Отсутствует передача данных |
Все отказы, влияющие на данные в памяти. Неверные данные или адреса. Неверное время передачи |
Все ошибки, влияющие на данные в памяти. Неверные данные или адреса. Неверное время передачи |
|
Сенсоры |
А.14 |
Непрерывный отказ |
Неверная последовательность передачи. Модель отказов из-за отклонений и колебаний постоянного тока |
Неверная последовательность передачи. Модель отказов из-за отклонений и колебаний постоянного тока |
|
Оконечные элементы |
А.15 |
Непрерывный отказ |
Модель отказов из-за отклонений и колебаний постоянного тока |
Модель отказов из-за отклонений и колебаний постоянного тока |
|
Примечания 1 "Непрерывный" - категория отказа, которая может быть описана всеми нулями (0) или единицами (1) на контактах компонента. 2 "Модель отказов по постоянному току" включает следующие модели отказов: непрерывные отказы, открытые непрерывные, открытые выходы или выходы с высоким сопротивлением, а также короткие замыкания в соединительных линиях. |
||||
Таблица А.2 - Уровень охвата диагностикой электрических подсистем в зависимости от применяемых методов/средств диагностики
|
|
|
|
|
Метод/средство диагностики |
Максимально достижимый рассматриваемый уровень охвата диагностикой |
Примечание |
|
Обнаружение отказов путем мониторинга в режиме внешнего управления |
Низкий (режим с низкой частотой запросов). |
|
|
|
Средний (режим с высокой частотой запросов или с непрерывным запросом) |
Зависит от охвата диагностикой для обнаружения отказов |
|
Мониторинг контактов реле |
Высокий |
- |
|
Компаратор |
|
Высокий уровень, если отказы преимущественно безопасны |
|
Мажоритарная схема голосования |
Высокий |
Зависит от качества устройства голосования |
|
Принцип реактивного тока |
Низкий |
Только для Е/Е/РЕ СБЗС-систем, где не требуется непрерывное управление для достижения и поддержания безопасного состояния УО |
|
Примечания 1 Данные требования не заменяют ни одного из требований, приведенных в приложении Б. 2 Требования, приведенные в приложении Б, могут быть применены для определения уровня охвата диагностикой. |
||
