Приложение А (справочное). Методы и средства для контроля случайных отказов аппаратных средств Э/Э/ПЭ СБЗС систем. Межгосударственный стандарт ГОСТ 34332.5-2021 "Безопасность функциональная систем, связанных с безопасностью зданий и сооружений. Часть 5. Меры по снижению риска, методы оценки" (введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 28.05.2021 N 478-ст)

Приложение А
(справочное)

Методы и средства для контроля случайных отказов аппаратных средств Э/Э/ПЭ СБЗС систем

А.1 Электромеханические компоненты

А.1.1 Обнаружение отказов посредством мониторинга в режиме онлайн

Цель - обнаружение отказов посредством мониторинга (в режиме онлайн) Э/Э/ПЭ СБЗС системы в процессе нормального функционирования управляемого оборудования.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение А, таблицы А.2 и А.14).

Описание. При определенных условиях отказы могут быть обнаружены с помощью информации о поведении УО во времени. Например, если переключатель, который является частью Э/Э/ПЭ СБЗС системы нормально активизируется УО и если при этом переключатель не изменяет состояния в предполагаемое время, то этот отказ может быть обнаружен. Обычными методами невозможно локализовать такой отказ.

А.1.2 Мониторинг контактов реле

Цель - обнаружение отказов [например, из-за сварки ("залипания")] контактов реле.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение А, таблицы А.2 и А.14).

Описание. Активизируемые контактные реле (или переключаемые контакты в реле) проектируют таким образом, чтобы их поводки контактов были жестко связаны между собой. Пусть имеются два набора переключаемых контактов а и b (рисунок А.1). Если нормально разомкнутый контакт b оказался приваренным ("залипшим"), то нормально замкнутый контакт а не может замкнуться при обесточивании обмотки реле. Следовательно, контроль замыкания нормально замкнутого контакта а при обесточенной обмотке реле может быть использован для указания того, что нормально разомкнутый контакт b действительно разомкнут. Отказ замыкания нормально замыкаемого контакта а указывает на отказ контакта b. Таким образом, схема контроля обеспечивает надежное отключение или продолжение отключения при любом управлении оборудования контактом b.

Рисунок А.1 - Контакты реле

А.1.3 Компаратор

Цель - оперативное обнаружение (не одновременное) отказов в независимом модуле обработки или в компараторе.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение А, таблицы А.2 - А.4).

Описание. Сигналы независимых модулей обработки (процессоров) сравнивают циклически или непрерывно с помощью компаратора (АС). Сам компаратор может быть внешне тестируемым или в нем может быть использована самоконтролируемая технология. При обнаружении компаратором различия в поведении процессоров независимых модулей формируется информация для сообщений об отказах. На рисунке А.2 представлена схема компаратора в двухканальной системе.

Рисунок А.2 - Компаратор в двухканальной системе

На рисунке A.3 представлена схема компаратора в одноканальной системе, реализуемая с использованием ПО. Сложная обработка осуществляется с помощью двух независимых наборов данных и прикладных программ. Поскольку существует только один блок обработки, двойная обработка производится последовательно в интервалах времени T1, T2, показанных на рисунке. Независимые выходные результаты проверяются программным компаратором в интервале времени T3. При применении двух различных прикладных программ достигается высокий диапазон охвата отказов.

Рисунок А.3 - Компаратор одноканальной системы, реализуемый с помощью ПО

А.1.4 Схема голосования по мажоритарному принципу

Цель - обнаружение и парирование отказов по меньшей мере в одном из трех каналов АС.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение А, таблицы А.2 - А.4).

Описание. Для обнаружения и маскирования отказов применяют модуль голосования, использующий мажоритарный принцип (2 из 3, 3 из 3 или m из n). Для работы схемы голосования может быть использовано внешнее тестирование, или в самой схеме могут быть использованы самоконтролируемые технологии. Схема голосования по мажоритарному принципу показана на рисунке А.4.

Рисунок А.4 - Голосование по мажоритарному принципу

Подробное описание данного метода/средства приведено в [4] и [5].

А.1.5 Отсутствие электропитания

Цель - выполнение функции безопасности при отключении или отсутствии электропитания.

Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение А, таблица 16).

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Вместо слов "таблица 16" следует читать "таблица А.16"

Описание. Функция безопасности выполняется, если контакты разомкнуты, и ток не поступает в АС. Например, при использовании торможения для останова опасного вращения двигателя тормоза отпускаются замыкающими контактами в Э/Э/ПЭ СБЗС системах и включаются размыкающими контактами.

Подробное описание данного метода/средства приведено в [5].

А.2 Электроника

Главная цель - управление отказами в твердотельных компонентах.

А.2.1 Тестирование избыточными аппаратными средствами

Цель - обнаружение отказов с использованием избыточных АС, то есть с использованием дополнительных АС, не требующихся для реализации функций обработки.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение А, таблицы A.3, А.15, А.16 и А.18).

Описание. Избыточные АС могут быть использованы для тестирования на соответствующей частоте запросов к заданным функциям безопасности. Такой подход обычно требуется для реализации положений пунктов А.1.1 или А.2.2.

А.2.2 Динамическая обработка сигналов

Цель - обнаружение статических отказов путем динамической обработки сигналов.

Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение А, таблица A.3).

Описание. Для обнаружения статических отказов в компонентах используют принудительное изменение параметров сторонних статических сигналов (генерируемых внешними и внутренними источниками). Этот метод часто применяют в отношении электромеханических компонентов.

Подробное описание данного метода/средства приведено в [6].

А.2.3 Стандартный тестовый порт доступа и архитектура граничного сканирования

Цель - управление и наблюдение за происходящим на каждом контакте интегральной схемы (ИС).

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение А, таблицы A.3, А.15 и А.18).

Описание. Тестирование граничного сканирования представляет собой метод построения ИС, который повышает тестируемость ИС, разрешая проблему доступа к внутренним точкам тестируемой схемы. В типичной сканируемой по границам ИС, содержащей внутренние логические схемы, а также входные и выходные буферы, между внутренними логическими схемами и входными/выходными буферами, соединенными с внешними контактами ИС, размещается ступень регистра сдвига. Содержимое каждого регистра сдвига находится в ячейке граничного сканирования. Ячейка граничного сканирования может управлять и наблюдать за происходящим на каждом входном и выходном контакте ИС через стандартный тестовый порт доступа. Тестирование внутренних логических схем ИС проводится путем отключения размещенных на кристалле (ядре) внутренних логических схем от входных сигналов, получаемых от окружающих компонентов, и последующего выполнения внутреннего тестирования. Эти тесты могут быть использованы для обнаружения отказов в ИС.

Подробное описание данного метода/средства приведено в [7] и [8].

А.2.4 Избыточный контроль

Цель - обнаружение отказов посредством создания нескольких функциональных модулей и контроля поведения каждого из них для обнаружения отказов и последующего инициирования перехода в безопасное состояние при обнаружении какого-либо несоответствия в поведении.

Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение А, таблица A.3).

Описание. Функция безопасности выполняется по меньшей мере двумя аппаратными каналами. Выходы этих каналов контролируются, и безопасное состояние инициируется при обнаружении отказа (в случае, если выходные сигналы из всех каналов не идентичны).

Подробное описание данного метода/средства приведено в [9].

А.2.5 Электрические/электронные компоненты с автоматической проверкой

Цель - обнаружение отказов посредством периодической проверки способности выполнения функции безопасности.

Описание. Аппаратные средства тестируются до запуска процесса и затем тестируются повторно через соответствующие интервалы. УО продолжает работу только при условии успешного прохождения каждого теста.

Примечание - Ссылка на данный метод/средство приведена в ГОСТ Р 34332.3-2021 (приложение А, таблица A.3).

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Вместо слов "ГОСТ Р 34332.3-2021" следует читать "ГОСТ 34332.3-2021"

А.2.6 Текущий контроль аналоговых сигналов

Цель - повышение достоверности результатов измерений аналоговых сигналов.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение А, таблицы A.3 и А.13).

Описание. Везде, где возможно, используют аналоговые, а не цифровые АС. В аналоговых приборах отключение или безопасные состояния представляются уровнями аналоговых сигналов обычно с непрерывным контролем выхода за допуски уровней этих сигналов. При этом обеспечиваются непрерывный контроль и высокая степень достоверности передачи сигнала и снижается необходимая частота контроля функции чувствительности датчиков передатчика. Внешние интерфейсы, например, линии с передачей импульсных сигналов, также нуждаются в контроле.

А.2.7 Снижение максимальных значений

Цель - повышение надежности компонентов АС.

Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (подпункт 8.3.2.14).

Описание. Компоненты АС успешно выполняют свои функции при значениях напряжений, которые определены при проектировании системы и которые ниже максимальных значений, установленных в спецификации компонентов АС. Снижение этих значений является обычной практикой, гарантирующей, что при всех нормальных условиях эксплуатации компоненты будут успешно функционировать при уровнях напряжений ниже их максимальных значений.

А.3 Модули обработки

Главная цель - обнаружение отказов, которые приводят к неправильным результатам в модулях обработки.

А.3.1 Программное самотестирование (одноканальное): предельное количество комбинаций

Цель - оперативное обнаружение отказов в модулях обработки.

Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение А, таблица А.4).

Описание. АС создают с использованием стандартных методов, не учитывающих специальных требований к безопасности. Обнаружение отказов осуществляется с помощью дополнительных программных функций, которые выполняют самотестирование с использованием по меньшей мере двух дополнительных комбинаций данных (например, 55hex и AAhex).

А.3.2 Программное самотестирование (одноканальное): "блуждающий бит"

Цель - оперативное обнаружение отказов в устройствах памяти (например, в регистрах) и дешифраторе команд процессора.

Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение А, таблица А.4).

Описание. Обнаружение отказов полностью реализуется с помощью дополнительных программных функций, которые выполняют самотестирование устройств памяти (регистров данных, адресных регистров) с использованием комбинации данных (например, комбинации "блуждающих битов"). Однако охват диагностикой в этом случае составляет только 90 %.

А.3.3 Самотестирование, обеспечиваемое АС (одноканальным)

Цель - оперативное обнаружение отказов в процессоре с использованием специального АС, которое увеличивают скорость и расширяют область обнаружения отказов.

Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение А, таблица А.4).

Описание. Дополнительное специальное АС реализует функцию самотестирования для обнаружения отказов. Например, таким средством может быть аппаратный модуль, который циклически контролирует выход на наличие конкретной битовой комбинации с использованием механизма сторожевой схемы.

А.3.4 Запрограммированная обработка (одноканальная)

Цель - оперативное обнаружение отказов в процессоре.

Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение А, таблица А.4).

Описание. Процессоры могут быть спроектированы со встроенными специальными функциями обнаружения или исправления отказов. Например, такую функцию может выполнять аппаратный модуль, циклически контролирующий выход определенной битовой комбинации в соответствии с принципом действия сторожевой схемы (рисунок А.5).

Рисунок А.5 - Структурная схема процессорного модуля с самотестированием и обнаружением отказов

До сих пор такие специальные функции применялись только в относительно простых схемах и не получили широкого распространения. Однако такие функции не следует исключать в будущих разработках.

Подробное описание данного метода/средства приведено в [10]-[12].

А.3.5 Программное обнаружение несовпадений

Цель - оперативное обнаружение отказов (сбоев) в процессоре посредством динамического программного сравнения.

Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение А, таблица А.4).

Описание. Два модуля взаимно обмениваются данными (включая результаты, промежуточные результаты и тестируемые данные). Если при сравнении данных, выдаваемых с использованием программных средств в каждом модуле, обнаруживаются различия, то формируется сообщение об отказе.

А.4 Постоянное запоминающее устройство

Главная цель - выявление изменения информации в ПЗУ.

А.4.1 Защита слов многобитовой избыточностью

Цель - обнаружение всех однобитовых отказов, всех двухбитовых отказов и некоторых отказов во всех битах в 16-битовом слове.

Примечания

1 На данный метод приведена ссылка в ГОСТ 34332.3-2021 (приложение А, таблица А.5).

2 См. также А.5.6 приложения А и В.3.2 приложения В.

Описание. Каждое слово при записи в ПЗУ дополняется несколькими избыточными битами, например, для формирования модифицированного кода Хэмминга с кодовым расстоянием, равным 4 (по меньшей мере). При каждом считывании слова в результате проверки избыточных битов может быть выявлено, произошло ли искажение. При обнаружении искажения вырабатывается сообщение об ошибке. Данный метод может быть также использован для обнаружения ошибок адресации посредством вычисления избыточных битов для объединения слова данных с его адресом.

Подробное описание данного метода/средства приведено в [13]-[16].

А.4.2 Модифицируемая контрольная сумма

Цель - обнаружение всех ошибочных нечетных битов, то есть приблизительно 50 % всех возможных битовых ошибок.

Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение А, таблица А.5).

Описание. Контрольная сумма блока памяти образуется с помощью соответствующего алгоритма обработки всех слов в блоке памяти. Контрольная сумма может храниться как дополнительное слово в ПЗУ, либо может быть добавлена как дополнительное слово в блок памяти для того, чтобы алгоритм контрольной суммы выработал заранее заданное значение. При последней проверке памяти контрольная сумма создается снова с использованием того же алгоритма, и результат сравнивается с запомненным или заданным значением. При обнаружении различий формируется сообщение об ошибке.

Подробное описание данного метода/средства приведено в [13].

А.4.3 Сигнатура из одного слова (8 бит)

Цель - обнаружение всех однобитовых ошибок и всех многобитовых ошибок в слове, а также приблизительно 99,6 % всех возможных битовых ошибок.

Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение А, таблица А.5).

Описание. Содержимое блока памяти сжимается (с использованием АС или ПО) в одно слово памяти с использованием алгоритма контроля с помощью циклического избыточного кода (CRC). В типичном алгоритме CRC все содержимое блока памяти рассматривается как побайтовый или побитовый последовательный поток данных, в котором выполняется непрерывное полиномиальное деление с использованием полиномиального генератора. Остаток от деления сохраняется и представляет собой сжатое содержимое памяти - "сигнатуру" памяти. Сигнатура вычисляется каждый раз при последующем тестировании и сравнивается с уже запомненным значением. При обнаружении различий формируется сообщение об ошибке.

А.4.4 Сигнатура из двух слов (16 бит)

Цель - обнаружение всех однобитовых ошибок и всех многобитовых ошибок в слове составляет примерно 99,998 % всех возможных битовых ошибок.

Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение А, таблица А.5).

Описание. В данном методе предусматривается вычисление сигнатуры с использованием алгоритма контроля с помощью циклического кода коррекции ошибок (CRC), однако длина результирующего значения составляет по меньшей мере два слова. Расширенная сигнатура заносится в память, повторно вычисляется и сравнивается как одно слово. При обнаружении различий между сохраненной и повторно вычисленной сигнатурами формируется сообщение об ошибке.

А.4.5 Дублирование блока

Цель - обнаружение всех битовых ошибок.

Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение А, таблица А.5).

Описание. В данном методе предусматривается дублирование данных в двух областях памяти (например, сдвоенное ПЗУ с аппаратным или программным сравнением данных). Первая область памяти работает обычным образом. Вторая содержит ту же информацию и доступна параллельно с первой. Их выходы сравниваются, и при обнаружении различий формируется сообщение об ошибке. Для обнаружения некоторых видов битовых ошибок данные должны запоминаться инверсно в одной из двух областей памяти и инвертироваться обратно при чтении.

А.5 Изменяемые диапазоны памяти

Главная цель - обнаружение отказов во время адресации, записи, хранения и считывания.

Примечание - Так называемые исправимые ошибки, перечисленные в ГОСТ 34332.3-2021 (приложение А, таблица А.1), являются отказами, которые должны быть обнаружены в процессе эксплуатации или должны быть проанализированы при выводе доли безопасных отказов. Причинами случайных ошибок являются: альфа-частицы, образовавшиеся в результате процесса распада, нейтроны, внешний источник электромагнитного излучения и внутренние перекрестные помехи. Внешний источник электромагнитного излучения должен соответствовать другим требованиям настоящего стандарта.

Результаты воздействия альфа-частиц и нейтронов могут быть обработаны функционирующими средствами обеспечения полноты безопасности. Но такие средства обеспечения полноты безопасности эффективны для случайных отказов АС и не эффективны для случайных сбоев, например, тесты для ОЗУ, такие как "блуждающая траектория", GALPAT и т.д., не являются эффективными, тогда как методы, использующие контроль четности и коды с исправлением ошибок, возвращающие содержимое ячеек памяти, являются эффективными.

Случайный сбой происходит, когда излучение вызывает такой заряд, который может изменить состояние или переключить с низкого уровня напряжения на высокий ячейку полупроводниковой памяти, регистр, защелку или триггер. Такую случайную ошибку называют "исправимой", потому что сама схема излучением не повреждается. Такие ошибки разделяют на однобитовые нарушения (SBU) или однособытийные нарушения (SEU) и многобитовые нарушения (MBU).

Если схема, в которой произошел сбой, является запоминающим элементом, таким как ячейка памяти или триггер, то ее состояние сохранится до следующей (намеченной) операции записи. Новые данные будут храниться правильно. В комбинаторной схеме это приведет скорее к незначительному сбою, потому что существует постоянный поток энергии из компонента, управляющего этим узлом. Влияние на соединительные провода и линии связи также может быть незначительным. Однако из-за большей емкости воздействие на них альфа-частиц и нейтронов считают незначительным.

Такие случайные сбои могут происходить в переменной памяти любого вида, то есть в динамическом ОЗУ, статическом ОЗУ, регистровой памяти в микропроцессоре, кэш-памяти, конвейерах, регистрах конфигурации устройств, таких как аналого-цифровой преобразователь, DMA, MMU, контроллер прерываний, сложные таймеры. Чувствительность к альфа-частицам и нейтронам зависит от напряжения питания и геометрии. Небольшие конфигурации с напряжением питания 2,5 В и особенно ниже 1,8 В потребуют более серьезной оценки и более эффективных мер защиты.

Интенсивность случайных сбоев для (встроенной) памяти находится в диапазоне от 700 до 1200 "фреймблоков" (Fit) или Мбит. Это эталонное значение для сравнения с данными, полученными для устройств, реализованных на основе кремниевой технологии.

Подробное описание данного метода/средства приведено в [17].

А.5.1 Тесты "шахматная доска" или "марш" для памяти с произвольным доступом

Цель - обнаружение преимущественно статических битовых ошибок.

Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение А, таблица А.6).

Описание. Сформированную в шахматном порядке битовую комбинацию нулей и единиц записывают в ячейки памяти с битовой организацией. Затем эти ячейки анализируют попарно с тем, чтобы убедиться в их одинаковости и правильности. Адрес первой ячейки такой пары является переменным, а адрес второй ячейки этой пары образуется путем битового инвертирования первого адреса. При первом прохождении диапазон адресов памяти проходят в направлении более высоких переменных адресов, а при втором прохождении - в направлении более низких адресов. После этого оба прохождения повторяют с заранее заданным инвертированием. При обнаружении какого-либо различия формируется сообщение об отказе.

При "маршевом" тестировании ОЗУ ячейки памяти с битовой организацией заполняют унифицированным потоком битов. При первом прохождении ячейки анализируют в нисходящей последовательности; проверяют правильность содержимого каждой ячейки и ее содержимое инвертируют. Содержимое, созданное при первом прохождении, рассматривают при втором прохождении в убывающем порядке и также обрабатывают. Первые прохождения повторяют с предварительно инвертированными значениями в третьем и четвертом прохождениях. При обнаружении различий формируется сообщение об отказе.

Подробное описание данного метода/средства приведено в [17], [18].

А.5.2 Тест "блуждающая траектория" для памяти с произвольным доступом

Цель - обнаружение статических и динамических битовых ошибок, а также перекрестных помех между ячейками памяти ОЗУ.

Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение А, таблица А.6).

Описание. Тестируемую область памяти ОЗУ инициализируют (заполняют) унифицированным потоком битов. Затем содержимое первой ячейки инвертируют, и остальную часть памяти анализируют на правильность. После этого содержимое первой ячейки повторно инвертируют для возврата в исходное значение, и всю процедуру повторяют для следующей ячейки. Второе прохождение "модели блуждающего бита" осуществляют при инверсии всех первоначально назначенных значений памяти. При обнаружении различий формируется сообщение об ошибке.

Подробное описание данного метода/средства приведено в [19].

А.5.3 Тесты "GALPAT" и "Прозрачный GALPAT" для памяти с произвольным доступом

Цель - обнаружение статических битовых ошибок и большой части динамических связей.

Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение А, таблица А.6).

Описание. При тестировании ОЗУ "попарной записью-считыванием" (тест "GALPAT") выбранную область памяти сначала инициализируют унифицированно (то есть все логические "0" или все "1"). После этого первую ячейку памяти тестируют и затем инвертируют, и все остальные ячейки анализируют на правильность содержимого. После каждого доступа по чтению к одной из оставшихся ячеек инвертированную ячейку также проверяют. Эту процедуру повторяют для каждой ячейки в выбранной области памяти. Второе прохождение выполняют противоположно первому. Любые различия приводят к формированию сообщения об ошибке.

Тестирование "прозрачной попарной записью-считыванием" (тест "прозрачный GALPAT") представляет собой вариацию описанной выше процедуры: вместо инициализации всех ячеек в выбранной области памяти существующее содержимое остается неизменным, а для сравнения содержимого набора ячеек используют контрольные суммы ("сигнатуры"). Выбирают первую тестируемую ячейку области памяти, вычисляют и сохраняют сигнатуру S1 всех оставшихся ячеек области. Затем тестируемые ячейки инвертируют и повторно вычисляют сигнатуру S2. (После каждого доступа по чтению к одной из оставшихся ячеек инвертируемую ячейку также проверяют.) Сигнатуру S2 сравнивают с сигнатурой S1, и при любом различии выдается сообщение об ошибке. Тестируемую ячейку повторно инвертируют для повторного установления исходного содержимого, сигнатуру S3 всех оставшихся ячеек повторно вычисляют и сравнивают с сигнатурой S1. Любые различия приводят к выдаче сообщения об ошибке. Все ячейки памяти в выбранной области тестируют тем же способом.

Подробное описание данного метода/средства приведено в [19].

А.5.4 Тест "Абраам" для памяти с произвольным доступом

Цель - обнаружение всех постоянных отказов и отказов в соединениях между ячейками памяти.

Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение А, таблица А.6).

Описание. При использовании теста "Абраам" диагностический охват выше, чем при тесте "попарная запись-считывание". Число операций, необходимых для выполнения всего тестирования памяти, составляет примерно 30 n, где n - число ячеек памяти. Тестирование может быть "прозрачным" при выполнении запоминания и тестирования в различных временных сегментах в периоде рабочего цикла.

Подробное описание данного метода/средства приведено в [19], [20].

А.5.5 Бит четности

Цель - обнаружение 50 % всех возможных битовых ошибок в тестируемой области памяти.

Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение А, таблица А.6).

Описание. При контроле памяти с произвольным доступом с помощью бита четности каждое слово в памяти расширяют на один бит (бит четности), который дополняет каждое слово до четного или нечетного числа логических единиц. Четность слова данных проверяют при каждом чтении. При обнаружении ложного числа единиц формируется сообщение об ошибке. Выбор четности или нечетности следует осуществлять так, чтобы всякий раз в случае отказа не выдавалось ничего, кроме нулевого (все "0") и единичного (все "1") слова, вырабатывалось уведомление о том, что это слово неправильно закодировано. Контроль четности также может быть использован для обнаружения ошибок адресации, если четность определяется для объединения слова данных с его адресом.

Подробное описание данного метода/средства приведено в [21]-[23].

А.5.6 Контроль памяти с произвольным доступом с помощью модифицированного кода Хэмминга или обнаружение ошибок данных с помощью кодов обнаружения и исправления ошибок

Цель - обнаружение всех нечетных битовых отказов, всех двухбитовых отказов, некоторых трехбитовых отказов и некоторых многобитовых отказов.

Примечание - См. также А.4.1 и В.3.2. Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение А, таблица А.6).

Описание. Каждое слово в памяти расширяют несколькими избыточными битами для формирования модифицированного кода Хэмминга с расстоянием Хэмминга, равным по меньшей мере 4. При каждом считывании слова результаты проверки избыточных битов могут показать, произошло ли искажение или нет. При обнаружении различий формируется сообщение об ошибке. Эта процедура может быть также использована для обнаружения ошибок адресации при вычислении избыточных битов для объединения данных с его адресом.

Подробное описание данного метода/средства приведено в [24].

А.5.7 Дублирование со сравнением ОЗУ с АС или ПО и тестирование чтением/записью

Цель - обнаружение всех битовых ошибок.

Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение А, таблица А.6).

Описание. Адресное пространство содержит две части. Первая часть памяти функционирует в нормальном режиме. Вторая часть памяти содержит ту же информацию и доступна параллельно с первой. Выходы этих частей памяти сравнивают. При обнаружении различий формируется сообщение об ошибке. Для обнаружения некоторых видов битовых ошибок данные следует сохранять инверсно в одной из двух частей памяти и обратно инвертироваться при чтении.

А.6 Устройства ввода-вывода и интерфейсы (внешний обмен)

Главная цель - обнаружение отказов на устройствах ввода и вывода (цифровые, аналоговые, последовательные или параллельные) и предотвращение дальнейшей передачи недопустимых выходных данных.

А.6.1 Тестирующая комбинация

Цель - обнаружение константных (статических) отказов и перекрестных помех.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение А, таблицы А.7, А.13 и А.14).

Описание. При использовании этого метода реализуют независимое от потока данных циклическое тестирование входных и выходных элементов. В нем используют определенную тестирующую комбинацию для сравнения наблюдаемых значений с соответствующими ожидаемыми значениями (рисунок А.6). Информация тестирующей комбинации, считывание и оценка тестирующей комбинации должны быть выбраны независимыми друг от друга. Тестирующая комбинация должна быть выбрана такой, чтобы не оказывать неблагоприятного влияния на операции УО.

Рисунок А.6 - Применение тестирующей комбинации для обнаружения отказов

А.6.2 Кодовая защита

Цель - обнаружение случайных отказов АС и систематических ошибок в потоке ввода/вывода данных.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение А, таблицы А.7, А.15, А.16 и А.18).

Описание. Процедура, реализующая кодовую защиту, предназначена для защиты вводимой и выводимой информации от систематических и случайных отказов АС. Применение кодовой защиты обеспечивает зависимое от потока данных обнаружение отказов входных и выходных модулей с использованием избыточности информации и/или временной избыточности. Обычно избыточная информация налагается на входные и/или выходные данные; тем самым обеспечиваются средства для мониторинга правильности операций входных и выходных схем. Возможно применение многих методов. Например, сигнал несущей частоты может быть наложен на выходной сигнал датчика. После этого логический модуль может проверить наличие частоты несущей, либо на выходе канала могут быть добавлены избыточные кодовые биты для контроля действительности прохождения сигнала между логическим модулем и оконечным исполнительным устройством.

Подробное описание данного метода/средства приведено в [23].

А.6.3 Многоканальное параллельное выходное устройство

Цель - обнаружение случайных отказов АС (константных отказов), отказов, обусловленных внешними воздействиями, временных сбоев, отказов адресации, постепенных отказов и самоустраняющихся отказов.

Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение А, таблица А.7).

Описание. Это зависимое от потока данных многоканальное параллельное выходное устройство с независимыми выходами для обнаружения случайных отказов АС. Обнаружение отказов осуществляется с помощью внешних компараторов. При появлении отказа УО непосредственно отключается. Данная мера эффективна только в случае, если поток данных изменяется в интервале диагностического тестирования.

А.6.4 Контролирование выходов

Цель - обнаружение случайных отказов, отказов, обусловленных внешними воздействиями, временных сбоев, отказов адресации, постепенных отказов (для аналоговых сигналов) и самоустраняющихся отказов.

Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение А, таблица А.7).

Описание. Это зависимое от потока данных сравнение выходных данных с независимыми входными данными для оценки соответствия определенному диапазону допуска (время, значение). Обнаруженный отказ не всегда связан с неправильными выходными данными. Данная мера эффективна только в случае, если поток данных изменяется в интервале диагностического тестирования.

А.6.5 Сравнение/голосование данных на входе

Цель - обнаружение случайных отказов, отказов, обусловленных внешними воздействиями, временными сбоями, сбоями адресации, сбоями из-за дрейфа (для аналоговых сигналов) и сбоями из-за переходных процессов.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение А, таблицы А.7 и А.13).

Описание. Это зависящее от потока данных сравнение независимых входных данных для проверки соответствия определенному диапазону допуска (время, значение). Реализуемая избыточность может быть 1 из 2, 2 из 3 или более высокая. Данная мера эффективна только в случае, если поток данных изменяется в интервале диагностического тестирования.

А.7 Маршруты данных (внутренний обмен)

Главная цель - обнаружение отказов, обусловленных искажениями при передаче информации.

А.7.1 Однобитовая аппаратная избыточность

Цель - обнаружение всех нечетных битовых ошибок, то есть 50 % всех возможных битовых ошибок в потоке данных.

Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение А, таблица А.8).

Описание. Шину расширяют на одну дорожку (бит) и эту дополнительную дорожку (бит) используют для обнаружения отказов путем проверки на четность.

А.7.2 Многобитовая аппаратная избыточность

Цель - обнаружение отказов в процессе передачи по шине и в последовательных каналах связи.

Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение А, таблица А.8).

Описание. Шину расширяют на две или более дорожек (битов) и эти дополнительные дорожки (биты) используют для обнаружения отказов с применением кода Хэмминга.

А.7.3 Полная аппаратная избыточность

Цель - обнаружение отказов в процессе передачи данных путем сравнения сигналов двух шин.

Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение А, таблица А.8).

Описание. Шину дублируют и дополнительную шину используют для обнаружения отказов.

А.7.4 Анализ с использованием тестирующих комбинаций

Цель - обнаружение константных отказов и перекрестных помех.

Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение А, таблица А.8).

Описание. Осуществляют независимое от потока данных циклическое тестирование маршрутов данных. Используют определенную тестирующую комбинацию для сравнения наблюдаемых значений с соответствующими ожидаемым значениями.

Считывание информации тестирующей комбинации и ее оценку следует осуществлять независимо друг от друга. Тестирующая комбинация должна быть выбрана такой, чтобы не оказывать влияния на операции УО.

А.7.5 Избыточность при передаче

Цель - обнаружение самоустраняющихся отказов при передаче по шине.

Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение А, таблица А.8).

Описание. Информацию передают последовательно несколько раз. Повторение осуществляют только для обнаружения самоустраняющихся отказов.

А.7.6 Информационная избыточность

Цель - обнаружение отказов при передаче по шине.

Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение А, таблица А.8).

Описание. Данные передают блоками вместе с вычисленной контрольной суммой для каждого блока. Затем в приемнике осуществляется вычисление контрольной суммы полученных данных и сравнение с принятой контрольной суммой.

А.8 Источник питания

Главная цель - обнаружение отказов или устойчивость к отказам, вызванных дефектом источника питания.

А.8.1 Защита от перенапряжения с защитным отключением

Цель - защита СБ систем от перенапряжения.

Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение А, таблица А.9).

Описание. Перенапряжение обнаруживается достаточно рано с тем, чтобы все выходы могли быть переключены в безопасное состояние путем отключения электропитания или переключения на второй источник питания.

Подробное описание данного метода/средства приведено в [25].

А.8.2 Контроль напряжений вторичного источника питания

Цель - контролирование напряжений вторичных источников питания и инициирование перехода в безопасное состояние, если значение напряжения не находится в заданном диапазоне.

Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение А, таблица А.9).

Описание. Напряжение вторичного источника питания контролируется. Электропитание отключается либо происходит переключение на второй блок питания, если напряжение не находится в заданном диапазоне.

А.8.3 Отключение системы при снижении напряжения питания

Цель - отключение электропитания с сохранением всей критически важной информации.

Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение А, таблица А.9).

Описание. Заранее выявляют перенапряжение или слишком низкое напряжение питания, в пределах которых обеспечивается возможность сохранения внутреннего состояния в энергозависимой памяти и перевод всех выходов в безопасное состояние с помощью процедуры отключения электропитания, либо переключения на второй блок питания.

А.9 Временной и логический контроль последовательности выполнения программ

Главная цель - обнаружение искаженных программных последовательностей. Искаженная программная последовательность появляется, если отдельные элементы программы (например, программные модули, подпрограммы или команды) обрабатываются в неправильной последовательности, или в несоответствующий период времени, или если сбилась тактовая частота процессора.

Примечание - Ссылки на данную группу методов/средств приведены в ГОСТ 34332.3-2021 (приложение А, таблицы А.15, А.16 и А.18).

А.9.1 Контрольный датчик времени с отдельной временной базой без временного окна

Цель - контролирование поведения и последовательности выполнения программ.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение А, таблицы А.10 и А.11).

Описание. Внешние средства определения времени с отдельной базой времени (например, контрольный датчик времени) периодически переключаются для контроля поведения компьютера и последовательности выполнения программ. Важно, чтобы моменты переключения были правильно расположены в программе. Контрольный датчик времени не переключается с определенным фиксированным периодом, однако для него задают максимальный интервал.

А.9.2 Контрольный датчик времени с отдельной временной базой и временным окном

Цель - контроль поведения и последовательности выполнения программ.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение А, таблицы А.10 и А.11).

Описание. Внешние средства определения времени с отдельной базой времени (например, контрольный датчик времени) периодически переключаются для контроля поведения компьютера и последовательности выполнения программ. Важно, чтобы моменты переключения были правильно расположены в программе. Для контрольного датчика задают нижнюю и верхнюю границы его действия. Если последовательности программ выполняются больше или меньше ожидаемого времени, то осуществляется действие чрезвычайного случая.

А.9.3 Логический контроль последовательности выполнения программ

Цель - контроль правильной последовательности выполнения отдельных частей программы.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение А, таблицы А.10 и А.11).

Описание. Правильная последовательность выполнения отдельных частей программы контролируется с помощью программных средств (процедур учета, ключевых процедур) или с использованием внешних средств контроля. Важно, чтобы точки контроля располагались в программе правильно.

А.9.4 Комбинация временного и логического контроля последовательности выполнения программ

Цель - контроль поведения и правильной последовательности выполнения отдельных частей программы.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение А, таблицы А.10 и А.11).

Описание. Средство определения времени (например, контрольный датчик времени), контролирующее последовательность разделов (модулей) программы, вновь запускается только в случае, если последовательность разделов (модулей) программы выполняется правильно.

А.9.5 Временная проверка при пуске системы

Цель - контролирование поведения и правильности последовательности выполнения отдельных разделов программы.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение А, таблицы А.10 и А.11).

Описание. При пуске Э/Э/ПЭ СБЗС системы проводят временную проверку. Пуск возможен только в случае, если временная проверка прошла успешно. Например, датчик температуры может быть проверен с помощью резистора, нагретого при пуске системы.

А.10 Вентиляция и подогрев

Главная цель - контролирование сбоев в системах вентиляции и подогрева и/или мониторинг систем, если это связано с безопасностью.

Примечание - Ссылки на данную группу методов/средств приведены в ГОСТ 34332.3-2021 (приложение А, таблицы А.16 и А.17).

А.10.1 Датчик температуры

Цель - обнаружение перегрева или недогрева АС до того, как Э/Э/ПЭ СБЗС система начнет действовать за пределами заданных требований.

Описание. Датчик температуры контролирует температуру в наиболее критических точках Э/Э/ПЭ СБЗС системы. Прежде чем температура выйдет за пределы заданного диапазона осуществляется чрезвычайное действие.

А.10.2 Контроль вентиляции

Цель - обнаружение неправильной работы вентилятора.

Описание. Работа вентиляторов контролируется. Если вентилятор не работает должным образом, то проводят его техническое обслуживание или осуществляют чрезвычайные действия.

А.10.3 Защитное отключение с использованием плавкого предохранителя

Цель - отключение Э/Э/ПЭ СБЗС системы до того, как она выйдет за пределы заданных температурных режимов.

Описание. Для выключения Э/Э/ПЭ СБЗС системы используют плавкий предохранитель. В системах защиты выключение осуществляют с применением процедуры отключения питания, в которой предусматривается сохранение информации, необходимой при аварийных действиях.

А.10.4 Ступенчатые сообщения от термодатчиков и сигнал условной тревоги

Цель - показать (предупредить), что Э/Э/ПЭ СБЗС система, работает за пределами заданных допусков по температуре.

Описание. Измеряется температура, и при ее выходе из заданного диапазона выдается сигнал условной тревоги (предтревоги).

А.10.5 Соединение устройства принудительного охлаждения воздуха и индикатора состояния

Цель - недопущение перегрева АС с помощью принудительного воздушного охлаждения.

Описание. Измеряется температура. Если температура превышает заданный предел, то включается принудительное воздушное охлаждение. Пользователь информируется об измеренном значении температуры.

А.11 Обмен данными и запоминающее устройство большой емкости

Главная цель - контролирование отказов в процессе обмена данными между внешними источниками и запоминающим устройством большой емкости.

А.11.1 Разделение линий электрического питания и линий передачи информации

Цель - минимизация перекрестных помех, наводимых сильноточными линиями электропитания в информационных линиях.

Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение А, таблица А.16).

Описание. Линии электропитания отделяют от информационных линий. Электрическое поле, которое может индуцировать скачки напряжения на информационных линиях, уменьшается с увеличением расстояния.

А.11.2 Пространственное разделение многофункциональных линий

Цель - минимизация перекрестных помех, индуцируемых сильными токами в многофункциональных линиях.

Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение А, таблица А.16).

Описание. Линии с дублирующими сигналами пространственно отделяют друг от друга. Электрическое поле, которое могут индуцировать броски напряжений в многофункциональных линиях, уменьшается с увеличением расстояния. Такое отделение линий снижает также отказы по общей причине.

А.11.3 Повышение устойчивости к электромагнитным воздействиям

Цель - минимизация электромагнитного влияния на Э/Э/ПЭ СБЗС систему.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение А, таблицы А.16 и А.18).

Описание. Применение таких мер, как экранирование и фильтрация, для уменьшения чувствительности Э/Э/ПЭ СБЗС систем к электромагнитным полям, которые могут наводиться на линии электропитания или сигнальные линии либо возникать в результате электростатических разрядов.

Подробное описание данного метода/средства приведено в ГОСТ IEC TR 61340-5-2, ГОСТ IEC 61000-6-5, [26].

А.11.4 Передача антивалентных сигналов

Цель - обнаружение одинаковых индуцированных напряжений в групповых линиях передачи сигналов.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение А, таблицы А.7 и А.16).

Описание. Вся дублируемая информация передается с антивалентными сигналами (например, логическими "1" и "0"). Ошибки по общей причине (например, вызванные электромагнитными излучениями) могут быть обнаружены антивалентным компаратором.

Подробное описание данного метода/средства приведено в ГОСТ IEC/TS 61000-1-2.

А.12 Датчики

Главная цель - управление отказами в датчиках СБС.

А.12.1 Эталонный датчик

Цель - обнаружение отказа датчика.

Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение А, таблица А.13).

Описание. Для контроля работоспособности датчика используют независимый эталонный датчик. Все входные сигналы в подходящие временные интервалы проверяются эталонным датчиком для обнаружения отказов в работе проверяемого датчика.

Подробное описание данного метода/средства приведено в [27], [28].

А.12.2 Положительно управляемый переключатель

Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение А, таблица А.14).

Цель - размыкание контакта с помощью непосредственного механического соединения между кулачком переключателя и контактом.

Описание. Положительно управляемый переключатель размыкает свои обычно замкнутые контакты непосредственным механическим соединением между кулачком переключателя и контактом. Разомкнутость контактов переключателя обеспечивается всякий раз, когда кулачок переключателя находится в рабочем положении.

Подробное описание данного метода/средства приведено в [29].

А.13 Исполнительные элементы (приводы)

Главная цель - управление отказами в исполнительных элементах Э/Э/ПЭ СБЗС систем.

А.13.1 Мониторинг

Цель - обнаружение отказа исполнительного элемента.

Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение А, таблица А.14).

Описание. Операции исполнительного элемента (например, положительно управляемыми контактами реле; см. контроль контактов реле в А.1.2). Избыточность, вносимая этим контролем, может быть использована для переключения в аварийный режим.

Подробное описание данного метода/средства приведено в [30].

А.13.2 Перекрестный контроль групповых приводов

Цель - обнаружение отказов в приводах посредством сравнения результатов контроля.

Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение А, таблица А.14).

Описание. Каждый групповой привод контролируют своим аппаратным каналом. При обнаружении различий вырабатывается чрезвычайное действие.

А.14 Меры защиты от окружающей среды

Цель - предотвратить влияние физической окружающей среды (влажности, пыли, коррозийных субстанций), вызывающей отказы.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение А, таблицы А.16 и А.18).

Описание. Корпус оборудования проектируют и изготавливают таким образом, чтобы он выдерживал воздействие ожидаемой окружающей среды.

Подробное описание данного метода/средства приведено в ГОСТ 14254.