Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Межгосударственный стандарт ГОСТ 34332.5-2021 "Безопасность функциональная систем, связанных с безопасностью зданий и сооружений. Часть 5. Меры по снижению риска, методы оценки" (введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 28 мая 2021 г. N 478-ст)
- Приложение Б (справочное). Методы и средства по предотвращению систематических отказов Э/Э/ПЭ СБЗС систем
Приложение Б (справочное). Методы и средства по предотвращению систематических отказов Э/Э/ПЭ СБЗС систем
Приложение Б
(справочное)
Методы и средства по предотвращению систематических отказов Э/Э/ПЭ СБЗС систем
Настоящее приложение содержит краткое описание методов/средств по предотвращению систематических отказов Э/Э/ПЭ СБЗС систем, на которые даны ссылки в ГОСТ 34332.3 и ГОСТ 34332.4, а также ссылки на источники с подробным описанием данных методов и средств.
Многие методы/средства, представленные в настоящем приложении, относятся и к ПО, но в приложении В они не описаны.
Б.1 Общие методы и средства
Б.1.1 Управление проектами
Цель - избегание отказов посредством принятия организационной модели, правил и мер по разработке и тестированию Э/Э/ПЭ СБЗС систем.
Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.1 - Б.6).
Описание. Наиболее значимыми и лучшими мерами являются:
- создание организационной модели, в основном, для обеспечения качества, не противоречащей требованиям ГОСТ ISO 9001;
- установление правил и определение средств для создания и подтверждения соответствия СБ систем в руководствах по взаимосвязанным и отдельным проектам.
Для управления проектами установлены следующие важные базовые принципы:
- при выборе проектной организации определяют:
- задачи и ответственность подразделений конкретной организации,
- полномочия подразделений по обеспечению качества,
- независимость гарантии качества (при выполнении внутренней проверки) от разработки;
- в план последовательных действий (модель действий) включают позиции:
- определение действий по выполнению проекта, включая внутренние проверки и график их проведения,
- обновление проекта;
- в стандартную последовательность действий для внутренней проверки включают:
- планирование, проведение и контроль проверки (теория проверки),
- использование различных механизмов проверок для составных частей,
- сохранение результатов повторных проверок;
- в управление конфигурацией включают действия:
- администрирование и проверка версий,
- выявление результатов модификаций,
- проверки согласованности после модификаций;
- вводят количественные оценки для средств обеспечения качества в виде:
- установления требований,
- статистики отказов;
- применяют автоматизированные универсальные методы, инструменты и средства обучения персонала.
Подробное описание данного метода/средства приведено в ГОСТ ISO 9001, [31]-[37].
Б.1.2 Документация
Цель - предотвращение отказов и облегчение оценки безопасности Э/Э/ПЭ СБЗС системы с помощью документирования каждого шага процесса проектирования.
Примечания
1 Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.1 - Б.6).
2 См. также ГОСТ 34332.2 (раздел 5 и приложение А).
Описание. Во время оценки безопасности должны быть продемонстрированы эксплуатационные возможности и безопасность Э/Э/ПЭ СБЗС системы, а также внимание, уделяемое разработке всеми сторонами, вовлеченными в процесс проектирования. Чтобы иметь возможность продемонстрировать степень внимания, уделяемого проектированию, а также для гарантирования проверки доказательств безопасности в любое время, особое внимание уделяют документации. Основными общими подходами к документированию являются введение руководящих принципов создания документов и использование автоматизации, т.е.:
- вводят руководящие принципы:
- которые определяют структуру документа,
- в которых предусмотрены таблицы контрольных проверок для формирования содержания документа,
- которые определяют формат документа;
- применяют автоматизацию управления документированием и создают структурированную библиотеку проекта.
К конкретным методам создания документов относятся:
- разделение в документации описаний:
- требований,
- системы (документация пользователя),
- проектирования (включая внутреннюю проверку);
- группирование проектной документации в соответствии с жизненным циклом Э/Э/ПЭ СБЗС системы;
- определение стандартизованных модулей документации, из которых могут быть скомпилированы документы;
- ясная идентификация составных частей документа;
- формализованное обновление версий;
- выбор ясных и понятных средств описания:
- формализованной нотации для определений,
- естественного языка для введений, обоснований и представления намерений,
- графического представления для описания примеров,
- семантических определений для графических элементов,
- терминологических справочников.
Подробное описание данного метода/средства приведено в [38].
Б.1.3 Разделение систем, связанных с безопасностью, и систем, не связанных с безопасностью
Цель - предотвращение влияния систем, не связанных с безопасностью, на части систем, связанных с безопасностью, в непредвиденных ситуациях.
Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.1 и Б.6).
Описание. В спецификации должно быть определено, возможно ли разделение систем, связанных и не связанных с безопасностью. Должны быть установлены четкие спецификации взаимодействия между системами, связанными и не связанными с безопасностью. Четкое их разделение снижает затраты на тестирование систем, связанных с безопасностью.
Подробное описание данного метода/средства приведено в [30].
Б.1.4 Разнообразие аппаратных средств
Цель - обнаружение систематических отказов во время работы УО с использованием разнообразных компонентов с различными частотами и типами отказов.
Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение А, таблицы А.15, А.16 и А.18).
Описание. Для разных каналов Э/Э/ПЭ СБЗС системы используют различные типы компонентов. Это снижает вероятность отказов по общей причине (например, перенапряжение, электромагнитные помехи) и повышает вероятность обнаружения таких отказов.
Существование различных средств выполнения требуемой функции, например, применение других физических принципов, предполагает возможность использования других методов решения задачи обнаружения систематических отказов. Существует несколько типов разнообразия. Для получения функционального разнообразия используют различные подходы для достижения одного и того же результата.
Подробное описание данного метода/средства приведено в [30].
Б.2 Спецификация требований к проектированию Э/Э/ПЭ СБЗС системы
Главная цель - создание спецификации требований к Э/Э/ПЭ СБЗС системе, которая по возможности была бы полной, свободной от ошибок, противоречий и простой для проверки.
Б.2.1 Структурирование спецификации
Цель - уменьшение сложности посредством создания иерархической структуры частичных требований. Предотвращение ошибок взаимосвязи между требованиями.
Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.1 и Б.6).
Описание. В данном методе разделяют функциональную спецификацию на частичные требования так, чтобы между ними существовали по возможности простейшие отношения. Этот метод применяют последовательно до тех пор, пока не будут получены небольшие четкие частичные требования. В результате получают иерархическую структуру частичных требований, которая создает основу для спецификации полных требований. В данном методе подчеркиваются взаимосвязи между частичными требованиями, и он особенно эффективен при его использовании для исключения ошибок в этих взаимосвязях.
Б.2.2 Формальные методы
Цель - приложение формальных принципов математического обоснования к созданию спецификации и реализации технических СБ систем для повышения полноты, согласованности или правильности спецификации, или реализации систем.
Примечания
1 Подробные сведения о конкретных формальных методах приведены в Б.2.4.
2 Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.1, Б.2 и Б.6).
Описание. Формальные методы предоставляют средства разработки описания системы на конкретном этапе создания ее спецификации или проектирования. Такие формальные описания являются математическими моделями функции и/или структуры системы.
Применение формальных методов позволяет однозначно описать систему (например, любое состояние автомата может быть описано его начальным состоянием, входами и уравнениями перехода автомата из одного состояния в другое), что способствует пониманию системы.
Выбор подходящего формального метода является трудной задачей, требующей полного понимания системы, ее процесса разработки и ряда математических моделей, пригодных для использования (см. примечания).
Примечания
1 Теоремы модели (описывающие свойства) гарантированно представляют описание системы, которое обеспечивает гораздо большее доверие, чем моделирование, заключающееся в наблюдении отдельных действий системы.
2 К недостаткам формальных методов относятся:
- фиксированный уровень абстракции;
- ограничения в получении всей функциональности, которая относится к данному этапу;
- трудность понимания модели инженерами, которые ее реализуют;
- значительные усилия, необходимые для разработки, анализа и поддержки модели на всех стадиях ЖЦ системы;
- недостаток эффективных инструментов, которые поддерживают создание и анализ модели;
- недостаток персонала, способного разрабатывать и анализировать модель.
3 Интерес представителей, занимающихся формальными методами, был явно направлен на моделирование целевой функции системы, часто с преуменьшением роли проблемы отказоустойчивости системы. Поэтому следует выбирать соответствующие формальные методы, включающие в себя возможность решения проблемы отказоустойчивости системы.
Подробное описание данного метода/средства приведено в [39].
Б.2.3 Полуформальные методы
Цель - четкое и последовательное выражение частей спецификации системы для обнаружения некоторых ошибок, упущений и неправильного поведения.
Примечания
1 Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.1, Б.2 и Б.6) и в ГОСТ 34332.4-2021 (приложение А, таблицы А.1, А.2, А.4; приложение Б, таблицы Б.1, Б.7; приложение В, таблицы В.2, В.4 и В.17).
2 В ГОСТ 34332.4-2021 (приложение Б, таблица Б.7) представлен список полуформальных методов, расширенный с помощью других полуформальных методов, относящихся к ПО, которые перечислены ниже:
- логические диаграммы/диаграммы функциональных блоков, см. ГОСТ 34332.4;
- диаграммы последовательности, описанные в ГОСТ 34332.4;
- диаграммы потоков данных, см. Б.2.2;
- конечные автоматы/диаграммы переходов состояний, см. Б.2.3.2;
- временные сети Петри, см. Б.2.3.3;
- модели данных "сущность-связь-атрибут", см. Б.2.4.4;
- диаграммы последовательности сообщений, см. Б.2.14;
- таблицы решений/таблицы истинности, см. Б.6.1.
Подробное описание данного метода/средства приведено в [40], [41].
Б.2.3.1 Общие положения
Цель - убедиться в том, что проект соответствует своей спецификации.
Описание. Полуформальные методы представляют собой методы/средства создания описания системы на стадиях ее создания (например, подготовки спецификации, проектирования или кодирования). В некоторых случаях описание может быть проанализировано на компьютере, или для отображения различных аспектов поведения системы может быть применена анимация. Применение анимации придает дополнительную уверенность в том, что система соответствует реальным требованиям и требованиям, установленным в спецификации.
Описание двух полуформальных методов приведено в Б.2.3.2 и Б.2.3.3.
Б.2.3.2 Конечные автоматы/диаграммы переходов
Цель - моделирование, проверка, задание или реализация структуры управления системы.
Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.4-2021 (приложение Б, таблицы Б.5, Б.7; приложение В, таблицы В.15 и В.17).
Описание. Многие системы могут быть описаны в терминах их состояний, входов и действий. Так, система, находящаяся в состоянии S1, при получении информации на входе может выполнить действие А и перейти в состояние S2. Полное представление системы возможно с помощью описания действий системы в каждом ее состоянии для каждого ее входа. Такую модель системы называют машиной с конечными состояниями (или конечными автоматами). Ее часто представляют в виде так называемой диаграммы переходов, в которой отображается, как система переходит из одного состояния в другое, или в виде матрицы, в которой для каждого состояния и входа задаются действия по переходу в новое состояние.
Если система сложна или имеет естественную структуру, то это может быть отражено в многоуровневой структуре конечного автомата. Диаграмма состояний - это тип диаграммы переходов, в которой разрешены вложенные состояния (состояние объекта может разделяться на два или больше число подсостояний, которые могут развиваться параллельно, и, возможно, в некоторый момент времени опять объединиться в одно состояние). Применение данного метода увеличивает дополнительные возможности описания переходов, но увеличивает и сложность, нежелательную для Э/Э/ПЭ СБЗС системы. Диаграммы состояний имеют формальную (математическую) спецификацию. Диаграммы переходов могут быть применены ко всей системе или к ее некоторому объекту или элементу.
Спецификация или проект системы, представленной в виде конечного автомата, могут быть проверены:
- на полноту (система или объект должны иметь действие и новое состояние для каждого входа в каждом состоянии);
- согласованность (возможно только одно состояние для каждой пары состояние/вход);
- достижимость (независимо от того, возможно или нет перейти из одного состояния в другое с помощью некоторой последовательности входов);
- отсутствие бесконечных циклов и тупиковых состояний и т.д.
Эти свойства важны для критических систем. Инструменты для обеспечения таких проверок легко разработать, используя различные модели, основанные на теории конечных автоматов (формальные языки, сети Петри, марковские цепи и т.д.). Существуют также алгоритмы, позволяющие автоматически генерировать тестовые примеры для верификации реализаций конечных автоматов или анимации модели конечного автомата. Диаграммы переходов и диаграммы состояний широко поддерживаются инструментальными средствами, которые позволяют сформировать и проверить диаграммы, а также сгенерировать программный код для реализации описанного конечного автомата.
Они также могут быть применены для вычислений вероятности отказа, см. Б.6 и В.6.
Подробное описание данного метода/средства приведено в [42]-[44].
Б.2.3.3 Моделирование во времени сетями Петри
Цель - моделирование соответствующих аспектов поведения Э/Э/ПЭ СБЗС системы, оценка и, возможно, повышение безопасности и эксплуатационных возможностей системы путем использования анализа и повторного проектирования.
Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.4-2021 (приложение В, таблица Б.5, приложение В, таблицы В.7, В.15 и В.17).
Описание. Метод сетей Петри является частным случаем метода конечных автоматов. Сети Петри относятся к классу моделей, описываемых теорией графов, и используются для представления информации и управления потоками в системах, в которых наблюдается параллелизм и асинхронное поведение.
Сеть Петри - это сеть позиций и переходов. Позиции могут быть маркированными или немаркированными. Переход считают "активизированным", если все его входы маркированы. В активизированном состоянии позиции разрешается (но не требуется) быть "возбужденной". Если позиция "возбуждена", то вход, поступающий на переход, становится немаркированным, а вместо него каждый выход из перехода оказывается маркированным.
Потенциальные опасности могут быть представлены в виде конкретных состояний (маркировок) в модели сети Петри. Модель может быть расширена с тем, чтобы обеспечить возможности моделирования систем во времени. Несмотря на то, что "классические" сети Петри применяют преимущественно для моделирования потоков управления, существуют некоторые расширения модели сети Петри для моделирования потоков данных.
Подробное описание данного метода/средства приведено в [45], [46].
Б.2.4 Автоматизированные средства разработки спецификации
Б.2.4.1 Общие положения
Цель - использование формальных технических методов для упрощения автоматического обнаружения неоднозначностей и полноты спецификации.
Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение А, таблицы А.1, А.2; приложение В, таблицы В.1 и В.2) и ГОСТ 34332.4-2021 (приложение Б, таблицы Б.1 и Б.6).
Описание. Данный метод позволяет создать спецификацию Э/Э/ПЭ СБЗС системы в виде базы данных, которая может автоматически анализироваться для оценки согласованности и полноты. Инструмент спецификации позволяет пользователю использовать анимацию различных аспектов заданной системы. В общем случае данный метод пригоден для поддержания не только стадии создания спецификации требований к Э/Э/ПЭ СБЗС системы, но и стадии проектирования, а также других стадий ЖЦ системы. Инструменты спецификаций могут быть классифицированы в соответствии со следующими пунктами настоящего приложения.
Б.2.4.2 Инструменты, не ориентированные на конкретный метод
Цель - оказание помощи пользователю в составлении правильной спецификации Э/Э/ПЭ СБЗС системы с применением подсказки и формированием связи между соответствующими частями.
Описание. Применение инструмента для составления спецификаций освобождает пользователя от некоторой рутинной работы и поддерживает управление проектами. Инструмент не представляет собой какой-либо конкретный метод разработки спецификаций. Относительная независимость пользователей от метода позволяет быть более свободными при выборе конкретного метода, но незначительно помогает при составлении спецификаций, что усложняет создание системы.
Б.2.4.3 Процедура, ориентированная на модель с иерархическим анализом
Цель - предотвратить неполноту, неоднозначность и противоречивость в спецификации, например, помогая пользователю в создании правильной спецификации, обеспечении согласованности между описаниями процессов и данных на различных уровнях абстрагирования.
Описание. Данный метод дает функциональное представление о необходимой системе (структурный анализ) на различных уровнях абстракции (степени точности). Существует огромный арсенал таких моделей: конечные автоматы - класс таких моделей, широко используемых для описания построения дискретных/цифровых систем. Дифференциальные уравнения позволяют описать непрерывные/аналоговые системы. Структурный анализ проводят на различных уровнях абстракции процессов и данных. Оценка неоднозначности и полноты возможна между иерархическими уровнями, а также между двумя функциональными единицами (модулями) на одном и том же уровне (например, любое состояние модели системы описывается ее начальным состоянием, входами и уравнениями перехода автомата из одного состояния в другое).
Примечание - Вопросами рассмотрения при описании, основанном на моделях, могут быть: уровень абстракции; ограничения для получения всей функциональности, относящейся к данному этапу; трудности понимания модели практиками (от чтения синтаксиса до ее правильной интерпретации); значительность усилий, затрачиваемых на разработку, анализ и поддержку модели на всем ЖЦ системы; доступность эффективных инструментов, поддерживающих создание и анализ модели (разработка таких инструментов, конечно, требует больших усилий) и наличие специалистов, способных разрабатывать и анализировать модели.
Подробное описание данного метода/средства приведено в [47].
Б.2.4.4 Модели данных "сущность-связь-атрибут"
Цель - оказание помощи пользователю в создании правильной спецификации, сосредоточив внимание на объектах внутри системы и отношений между ними.
Описание. Рассматриваемую систему описывают как совокупность объектов и отношений между ними, применяя инструмент, позволяющий определить, какие отношения могут быть интерпретированы системой. В общем случае отношения между объектами позволяют описывать иерархическую структуру объектов, поток данных, отношения между данными и данные, зависимые от конкретных производственных (технологических) процессов. Этот классический подход расширяют посредством применения управления процессами. Возможности метода и поддержка пользователя зависят от разнообразия проиллюстрированных отношений. Однако множество возможностей представления системы усложняет применение этого метода.
Подробное описание данного метода/средства приведено в [48].
Б.2.4.5 Стимул и отклик
Цель - оказание помощи пользователю в создании правильной спецификации Э/Э/ПЭ СБЗС системы посредством идентификации взаимоотношений "стимул-отклик".
Описание. Взаимоотношения между объектами системы определяют в нотации "стимулы" и "отклики". Используют простой и легко расширяемый язык, который содержит элементы языка, представляющие объекты, взаимоотношения, характеристики и структуры.
Б.2.5 Таблица контрольных проверок
Цель - рассмотрение и управление критическими оценками всех важных аспектов Э/Э/ПЭ СБЗС системы на стадии ЖЦ, обеспечивая исчерпывающий охват аспектов без установления точных требований.
Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.1, Б.2 и Б.6) и в ГОСТ 34332.4-2021 (приложение А, таблица А.10; приложение Б, таблица Б.8; приложение В, таблицы В.10 и В.18).
Описание. Специалист, заполняющий таблицу контрольных проверок, должен дать ответ на ряд вопросов. Многие вопросы носят общий характер, и оценщик должен интерпретировать их как наиболее подходящие к конкретной оцениваемой Э/Э/ПЭ СБЗС системе. Таблицы контрольных проверок допускается использовать на всех стадиях полного ЖЦ Э/Э/ПЭ СБЗС системы и ЖЦ СБЗС ПО. Такие таблицы, в частности, полезны в качестве инструмента для оценки функциональной безопасности.
Для сокращения широкого разнообразия проходящих подтверждение соответствия систем большинство таблиц контрольных проверок содержат вопросы, которые применимы ко многим типам систем. Поэтому в используемой таблице контрольных проверок может оказаться множество вопросов, которые не уместны для конкретной системы и должны быть игнорированы. Кроме того, может также возникнуть необходимость дополнить стандартную таблицу контрольных проверок вопросами, специально ориентированными на конкретную систему.
Использование таблицы контрольных проверок в большей степени зависит от экспертной оценки и суждения специалиста, который выбирает и применяет таблицу контрольных проверок. Принятые им решения относительно выбранных(ой) таблиц(ы) контрольных проверок и любые дополнительные или игнорируемые вопросы должны быть полностью обоснованы и документально оформлены. Необходимо стремиться к тому, чтобы при пересмотре таблиц контрольных проверок гарантировалось получение одних и тех же результатов при использовании одних и тех же критериев.
Описание системы в заполненной таблице контрольных проверок должно быть максимально кратким. При необходимости исчерпывающего обоснования оно должно быть дано в виде ссылок на дополнительные документы. Для документирования результатов каждого вопроса следует использовать ответ "успешно", "не успешно" или "недостаточно убедительно", либо аналогичный набор ответов. Такая лаконичность значительно упрощает процедуру оформления общего заключения результатов оценки в виде таблицы контрольных проверок.
Подробное описание данного метода/средства приведено в [30], [49]-[54].
Б.2.6 Экспертиза спецификации
Цель - исключение некомплектности и противоречивости спецификации.
Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.1 и Б.6).
Описание. Экспертиза - это общий метод анализа спецификации Э/Э/ПЭ СБЗС системы для ее разносторонней оценки, осуществляемая независимой группой экспертов. Эксперты такой группы задают вопросы разработчику, который должен дать им удовлетворительные ответы. Анализ должен (по возможности) проводиться группой экспертов, которая не принимала участия в создании спецификации. Требуемая степень независимости оценки определяется УПБ, задаваемыми для системы. Группа независимых экспертов должна быть способна реконструировать эксплуатационную функцию системы без ссылок на любые последующие спецификации. Специалисты группы независимых экспертов должны также убедиться в том, что охвачены все уместные аспекты безопасности и технические аспекты эксплуатационных и организационных мер. Общий метод экспертизы спецификации доказал на практике свою высокую эффективность.
Подробное описание данного метода/средства приведено в [51], [55].
Б.3 Проектирование и разработка Э/Э/ПЭ СБЗС системы
Главная цель - создание надежного проекта Э/Э/ПЭ СБЗС системы в соответствии со спецификацией.
Б.3.1 Соблюдение руководящих материалов и стандартов
Цель - учет требований стандартов секторов применения (не рассматриваемых в настоящем стандарте).
Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение Б, таблица Б.2).
Описание. Во время проектирования Э/Э/ПЭ СБЗС системы должны быть составлены руководящие материалы, применение которых должно приводить к созданию систем, практически не имеющих сбоев и упрощающих последующее подтверждение соответствия. Такие руководящие материалы могут быть универсальными, специфичными для проекта или только для отдельного этапа проекта.
Подробное описание данного метода/средства приведено в [30].
Б.3.2 Структурное проектирование
Цель - снижение сложности проектирования Э/Э/ПЭ СБЗС системы посредством создания иерархической структуры частичных требований; исключение ошибок взаимосвязей между требованиями; упрощение верификации.
Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.2 и Б.6).
Описание. При проектировании АС следует использовать конкретные критерии или методы. Например, может потребоваться:
- проектирование иерархически структурированных схем;
- использование изготовленных и проверенных частей схем.
При проектировании ПО использование структурных схем также позволяет создать однозначную структуру программных модулей. В данной структуре отображаются взаимосвязь модулей друг с другом, конкретные данные, которые передаются между модулями, и конкретное управление, существующее между модулями.
Подробное описание данного метода/средства приведено в ГОСТ IEC 61082-1, [52]-[54], [56].
Б.3.3 Использование достоверно испытанных компонентов
Цель - снижение риска многих оригинальных и необнаруживаемых отказов Э/Э/ПЭ СБЗС системы посредством использования компонентов с конкретными характеристиками.
Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.2 и Б.6).
Описание. Выбор достоверно испытанных компонентов для целей безопасности выполняется производителем в соответствии с надежностью компонентов (например, использование проверенных тестированием физических модулей для удовлетворения высоких требований безопасности или хранение относящихся к безопасности программ только в безопасной памяти). Обеспечение безопасности памяти может относиться к недопущению несанкционированного доступа к памяти, влиянию несанкционированной среды (электромагнитная совместимость, радиация и т.п.), а также к отклику компонентов в случае возникновения отказов.
Подробное описание данного метода/средства приведено в [57].
Б.3.4 Модульное проектирование
Цель - уменьшить сложность и избежать сбоев Э/Э/ПЭ СБЗС системы, связанных с взаимодействием между подсистемами.
Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.2 и Б.6).
Описание. Каждая подсистема на всех уровнях проектирования четко определена и ограничена по размеру (только небольшим набором функций). Интерфейсы между подсистемами выполняют максимально простыми и пересечения (разделяемые данные, обмен информацией) минимизируют. Сложность отдельных подсистем также ограничивают.
Подробное описание данного метода/средства приведено в [56], [58].
Б.3.5 Средства автоматизированного проектирования
Цели - более систематическое выполнение процессов проектирования Э/Э/ПЭ СБЗС системы; включение в проект подходящих автоматически сконструированных элементов, уже созданных и проверенных.
Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.2 и Б.6) и в ГОСТ 34332.4-2021 (приложение А, таблица А.4).
Описание. В процессе проектирования АС и ПО следует использовать средства автоматизированного проектирования САПР, если они доступны и их использование обосновано сложностью системы. Корректность применения таких средств должна быть продемонстрирована предоставлением результатов конкретных испытаний, описания обширной предыстории успешного использования либо результатов независимой верификации проектируемой СБС.
Для их интеграции необходимо выбирать инструменты поддержки. Инструменты поддержки выбирают в соответствии с их уровнем интегрируемости. Инструменты считают интегрируемыми, если они совместно работают так, что выходные данные одного инструмента по содержанию и формату подходят для автоматического ввода в следующий инструмент, что приводит к минимизации возможности внесения ошибки человеком в процессе его работы с промежуточными результатами.
Подробное описание данного метода/средства приведено в [59], [60].
Б.3.6 Моделирование
Цель - проведение систематических и полных проверок функционирования Э/Э/ПЭ СБЗС системы для корректного задания функциональных и размерных характеристик их компонентов.
Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.2, Б.5 и Б.6).
Описание. Функцию схемы, реализующую Э/Э/ПЭ СБЗС систему, имитируют на компьютере с помощью запрограммированной модели ее поведения. Поведение каждого компонента схемы моделируют отдельно, и отклик схемы, в которую он входит, анализируют при задании предельных значений параметров для каждого компонента.
Б.3.7 Проверка (обзор и анализ)
Цель - выявление рассогласования между спецификацией и реализацией Э/Э/ПЭ СБЗС системы.
Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.2 и Б.6).
Описание. Проверяют заданные функции Э/Э/ПЭ СБЗС системы. Оценивают соответствие требованиям, приведенным в спецификации. Любые вопросы, связанные с созданием и использованием продукции, документируют, чтобы они могли быть разрешены. В отличие от сквозного контроля во время процедуры проверки проектировщик системы пассивен, а эксперт активен.
Подробное описание данного метода/средства приведено в [55], [58], [59].
Б.3.8 Сквозной контроль
Цель - выявление рассогласования между спецификацией и реализацией Э/Э/ПЭ СБЗС системы.
Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение Б, таблица Б.6).
Описание. Проверяют заданные функции Э/Э/ПЭ СБС. Оценивают соответствие системы требованиям, приведенным в спецификации. Все вызывающие сомнение ситуации при реализации и использовании изделий документируют в целях их последующего разрешения. В отличие от процедуры проверки (Б.3.7) во время сквозного контроля проектировщик должен быть активен, а эксперт - пассивен.
Подробное описание данного метода/средства приведено в [59].
Б.4 Процедуры эксплуатации и технического обслуживания Э/Э/ПЭ СБЗС системы
Главная цель - разработка процедур, которые исключают ошибки во время эксплуатации и обслуживания Э/Э/ПЭ системы.
Б.4.1 Инструкции по эксплуатации и техническому обслуживанию
Цель - исключение ошибок во время эксплуатации и технического обслуживания Э/Э/ПЭ СБЗС системы.
Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение Б, таблица Б.4).
Описание. Инструкции пользователя содержат важную информацию о способах использования и технического обслуживания систем. В особых случаях эти инструкции могут содержать также примеры общих способов установки СБ систем. Все инструкции должны быть выполнены легко воспринимаемыми. Для описания сложных процедур и зависимостей следует использовать рисунки и схемы.
Подробное описание данного метода/средства приведено в [30].
Б.4.2 Удобство для пользователя
Цель - снижение сложности эксплуатации Э/Э/ПЭ СБЗС систем.
Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение Б, таблица Б.4).
Описание. Правильность эксплуатации Э/Э/ПЭ СБЗС систем в определенной степени зависит от оператора. Рассматривая конкретный проект системы и рабочего места, проектировщик Э/Э/ПЭ СБЗС системы должен предусмотреть:
- необходимость минимального вмешательства человека;
- наиболее простой способ необходимого вмешательства;
- минимизацию причинения вреда из-за ошибок оператора;
- эргономические требования при проектировании средств вмешательства и индикации;
- простые, имеющие четкую маркировку и удобные для использования средства оператора;
- обеспечение неперенапряженности оператора даже в экстремальной ситуации;
- адаптацию обучения процедурам и средствам вмешательства оператора в процесс к уровням его знаний и мотивации.
Б.4.3 Удобство технического обслуживания
Цель - упрощение процедуры технического обслуживания Э/Э/ПЭ СБЗС системы и проектирование необходимых средств для эффективной диагностики и ремонта.
Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение Б, таблица Б.4).
Описание. Техническое обслуживание и ремонт часто проводят в сложных условиях ограничения предельных сроков их выполнения. Поэтому проектировщик Э/Э/ПЭ СБЗС системы должен предусмотреть:
- чтобы средства, относящиеся к техническому обслуживанию, требовались как можно реже или вообще не требовались;
- чтобы использовались достаточно чувствительные и легко управляемые диагностирующие средства для неизбежных ремонтов, включающие в себя все необходимые интерфейсы;
- чтобы было достаточно времени (если отдельные средства диагностики необходимо разработать или приобрести).
Б.4.4 Сокращение работ на стадии эксплуатации
Цель - снизить эксплуатационные возможности для обычного пользователя Э/Э/ПЭ СБЗС системы.
Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.4 и Б.6).
Описание. При этом подходе снижают эксплуатационные возможности системы посредством:
- ограничения операций в рабочих режимах, например, коммутаторами ключей;
- ограничения числа используемых в работе элементов;
- ограничения числа возможных в общем случае рабочих режимов.
Подробное описание данного метода/средства приведено в [30].
Б.4.5 Эксплуатация только квалифицированным оператором
Цель - исключение отказов, обусловленных ошибками оператора.
Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.4 и Б.6).
Описание. Оператор Э/Э/ПЭ СБЗС систем должен быть обучен до степени, соответствующей уровню сложности и УПБ этой системы. В обучение входит изучение основ процесса эксплуатации систем и взаимосвязей между Э/Э/ПЭ СБЗС системами и УО.
Подробное описание данного метода/средства приведено в [30].
Б.4.6 Защита от ошибок оператора
Цель - защита Э/Э/ПЭ СБЗС системы от всех видов ошибок оператора.
Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.4 и Б.6).
Описание. Ложные входные сообщения (значение, время и т.д.) обнаруживают проверками их достоверности или с помощью контролера УО. Для того чтобы объединить эти средства в проекте, необходимо на самом раннем этапе определить, какие из входных сообщений возможны и какие допустимы.
Б.4.7 Защита от модификаций
Цель - защита Э/Э/ПЭ СБЗС системы от модификаций АС техническими способами.
Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение А, таблицы А.17 и А.18).
Описание. Модификации или манипуляции обнаруживаются автоматически, например, проверками достоверности сигналов датчиков, обнаружением техническим процессом и автоматическими тестами пуска. Если обнаружена модификация, выполняется экстренное действие.
Б.4.8 Подтверждение ввода
Цель - обнаружение ошибок самим оператором во время работы Э/Э/ПЭ СБЗС системы, до активизации УО.
Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение А, таблицы А.17 и А.18).
Описание. Информация, вводимая из Э/Э/ПЭ СБЗС системы в УО, представляется оператору до передачи в УО с тем, чтобы оператор имел возможность обнаружить и исправить ошибки. Систему проектируют так, чтобы она могла реагировать на неправильные, самопроизвольные действия оператора и учитывать нижние/верхние пределы скорости и направление реакции оператора. Это позволяет исключить, например, более быстрое, чем предполагается, нажатие клавиш оператором, и настроить систему на восприятие двойного нажатия клавиши как одинарное или двойное за счет того, что система (изображение на экране) слишком медленно реагирует на разовое нажатие клавиши. Последовательное нажатие одной и той же клавиши при вводе критических данных должно восприниматься системой как одноразовое; нажатие клавиш "Ввод" (Enter) или "Да" (Yes) неограниченное число раз не должно приводить к нарушению безопасности системы.
Должны быть предусмотрены процедуры формирования временных пауз с возможностью выбора разных ответов (да/нет и т.п.) с тем, чтобы обеспечить резерв времени для размышления оператору, а системе - режим ожидания.
Любая перезагрузка ПЭ СБЗС системы делает эту систему уязвимой, если АС и ПО не спроектированы с учетом данной ситуации.
Б.5 Интеграция Э/Э/ПЭ СБЗС системы
Главная цель - исключение отказов Э/Э/ПЭ СБЗС системы на стадии интеграции и обнаружение любых отказов во время этой и предыдущей стадий.
Б.5.1 Функциональное тестирование
Цель - обнаружение отказов на стадиях создания спецификации и проектирования Э/Э/ПЭ СБЗС системы; исключение отказов во время реализации и интеграции ее АС и ПО.
Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.3 и Б.5) и в ГОСТ 34332.4-2021 (приложение А, таблицы А.5 - А.7 и приложение Б, таблицы Б.5 - Б.7).
Описание. В процессе функционального тестирования определяют, достигнуты ли заданные характеристики системы. В систему поступают входные данные, которые адекватно характеризуют обычное выполнение операций. Наблюдаемые выходные результаты сравнивают с заданными в спецификации. Отклонения от спецификации и указания на неполноту спецификации документально оформляют.
Функциональное тестирование электронных компонентов, предназначенных для многоканальной архитектуры, обычно включает в себя промышленные компоненты, каждый из которых поставщик уже протестировал и предварительно подтвердил соответствие. Помимо этого, рекомендуется, чтобы покупные промышленные компоненты были протестированы в сочетании с другими компонентами поставщика из той же партии, чтобы выявить неисправности группового типа, которые в противном случае остались бы не выявленными.
О достаточных рабочих возможностях системы см. также руководящие материалы (см. В.5.20 приложения В).
Подробное описание данного метода/средства приведено в [58], [61].
Б.5.2 Тестирование методом "черного ящика"
Цель - проверка динамического поведения Э/Э/ПЭ СБЗС системы в реальных условиях функционирования; выявление несоответствия функциональной спецификации и оценка ее полезности и устойчивости.
Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.3, Б.5 и Б.6) и в ГОСТ 34332.4-2021 (приложение А, таблицы А.5 - А.7 и приложение Б, таблицы В.5 - В.7).
Описание. Функции системы или программы выполняются в заданном окружении с заданными данными тестирования, которые систематически формируются из спецификации в соответствии с установленными критериями. Это позволяет сравнить поведение системы с ее спецификацией. При проведении тестирования не используют сведения о внутренней структуре системы. Основная цель состоит в том, чтобы определить, правильно ли выполняют функциональный модуль функции, требуемые спецификацией. Примером критерия тестирования данных методом "черного ящика" служит метод формирования эквивалентных классов. Массив входных данных подразделяют на конкретные диапазоны входных значений (эквивалентные классы) на основе спецификации. После этого формируют тестовые примеры, применяя:
- данные из допустимых диапазонов;
- данные из недопустимых диапазонов;
- данные предельных значений диапазонов;
- экстремальные значения;
- комбинации из перечисленных выше классов.
Могут оказаться эффективными также другие критерии выбора тестовых примеров в различных режимах тестирования (модуля, интеграции и системы). Например, критерий "экстремальные эксплуатационные условия" используют при тестировании системы в процессе подтверждения соответствия.
Подробное описание данного метода/средства приведено в [58], [62], [63].
Б.5.3 Статистическое тестирование
Цель - проверка динамического поведения Э/Э/ПЭ СБЗС системы и оценка ее полезности и устойчивости.
Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.3, Б.5 и Б.6).
Описание. При этом подходе тестируют систему или программу с входными данными, выбранными в соответствии с предполагаемым статистическим распределением реальных эксплуатационных входных данных - эксплуатационным профилем.
Подробное описание данного метода/средства приведено в [64].
Б.5.4 Полевые испытания
Цель - использование результатов полевых испытаний из различных областей применения в качестве одного из средств исключения сбоев во время интеграции Э/Э/ПЭ СБЗС системы и/или в процессе подтверждения ее соответствия.
Примечания
1 Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.3, Б.5 и Б.6).
2 См. также приложение В, В.2.10 - аналогичные средства, а в приложении Г - статистический подход - то и другое в контексте программного обеспечения.
Описание. Использование компонентов или подсистем, которые на практике показали отсутствие ошибок или незначительное их число, практически не изменяемое в течение продолжительного периода времени в многочисленных различных применениях. В частности, для сложных компонентов с множеством функций (например, операционной системы, интегральных схем) проектировщик должен обратить внимание на функции, которые были фактически протестированы в ходе полевых испытаний. Например, должны быть рассмотрены подпрограммы самотестирования для обнаружения сбоев, поскольку при отсутствии сбоев АС в период эксплуатации нет уверенности в том, что они протестированы, поскольку подпрограммы никогда не выполняли функций обнаружения своих собственных сбоев.
При проведении полевых испытаний должны быть соблюдены следующие требования:
- неизменность спецификации;
- наличие не менее 10 систем в различных применениях;
- продолжительность работы не менее 10 5 час и техническое обслуживание не реже одного раза в год.
Примечание - В стандартах различных областей применения могут быть определены другие значения этих параметров.
Полевые испытания документируются поставщиком, проектировщиком и эксплуатирующей организацией. В документацию включают, по меньшей мере:
- точное обозначение системы и ее компонентов, включая управление версиями АС;
- сведения о пользователях и времени применения;
- отработанное время в часах;
- описание процедур выбора системы и прикладные программы, использованные при испытаниях;
- описание процедур обнаружения и регистрации сбоев, а также процедуры устранения их последствий и причин возникновения.
Подробное описание данного метода/средства приведено в [30], [65].
Б.6 Подтверждение соответствия Э/Э/ПЭ СБЗС системы
Главная цель - подтвердить, что Э/Э/ПЭ СБЗС система соответствует спецификации требований к системе и спецификации требований к ее проектированию.
Б.6.1 Функциональные испытания в условиях окружающей среды
Цель - оценка защищенности Э/Э/ПЭ СБЗС системы от типовых воздействий окружающей среды.
Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение Б, таблица Б.5).
Описание. Систему помещают в различные условия окружающей среды (например, в соответствии со стандартами на воздействие внешних факторов или стандартов на электромагнитную совместимость) и оценивают способности системы выполнять функции безопасности (на соответствие требованиям указанных стандартов).
Подробное описание данного метода/средства приведено в [26], [66].
Б.6.2 Испытания на устойчивость к перекрестным помехам
Цель - проверка способности Э/Э/ПЭ СБЗС систем выдерживать пиковые воздействия.
Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.5 и Б.6).
Описание. В систему загружают типичную прикладную программу и все периферийные линии (цифровые, аналоговые и последовательные интерфейсы, шины, источники питания и т.д.) подвергают воздействию стандартных шумовых сигналов. Для того чтобы получить их количественную оценку, целесообразно внимательно подходить к предельным значениям пиковых воздействий. Класс помех считается выбранным неверно, если функция системы не выполняется.
Подробное описание данного метода/средства приведено в ГОСТ IEC 60255-5.
Б.6.3 Статический анализ
Цель - исключение систематических дефектов, которые могут приводить к отказам в испытываемой Э/Э/ПЭ СБЗС системе вначале либо после продолжительной эксплуатации.
Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.5 и Б.6) и в ГОСТ 34332.4 (приложение А, таблица А.9; приложение Б, таблица Б.8; приложение В, таблицы В.9 и В.18).
Описание. Этот систематический и, возможно, автоматизированный метод позволяет исследовать конкретные статические характеристики прототипов системы для обеспечения полноты, согласованности, отсутствия неоднозначностей в рассматриваемых требованиях (например, в руководящих материалах по принципам построения, спецификациях и техническом паспорте системы). Статический анализ должен быть воспроизводимым и применимым к прототипу, который доведен до четко определенной завершающей стадии. Ниже приведены некоторые примеры статического АС и ПО:
- анализ согласованности потока данных (например, при тестировании, если данные об объекте интерпретируются как имеющие одно значение);
- анализ управления потоком (например, определение маршрутов, кода недоступности);
- анализ интерфейсов (например, исследование передачи переменных между различными программными модулями);
- анализ потока данных для обнаружения вызывающих сомнения последовательностей для переменных: создание - использование для обращения - удаление;
- проверка строгого соблюдения конкретных руководящих материалов (например, по вопросам: длина пути утечки тока и зазоры, расстояние между группами модулей, физическое расположение модулей, механически чувствительные физические модули, индивидуальное использование физических модулей при их внедрении).
Подробное описание данного метода/средства приведено в [67].
Б.6.4 Динамический анализ и тестирование
Цель - обнаружение ошибок в спецификации путем исследования динамического поведения прототипа Э/Э/ПЭ СБЗС системы на завершающих стадиях.
Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.5 и Б.6) и в ГОСТ 34332.4-2021 (приложение А, таблицы А.5, А.9; приложение Б, таблица Б.2; приложение В, таблицы В.5, В.9 и В.12).
Описание. Динамический анализ систем проводят при подаче на вход прототипа Э/Э/ПЭ СБЗС системы, входных данных, которые типичны для заданного эксплуатационного окружения. Анализ считают удовлетворительным, если наблюдаемое поведение СБ системы соответствует требуемому поведению. Любой отказ системы должен быть устранен, после чего должны быть проанализированы новые варианты эксплуатации системы.
Подробное описание данного метода/средства приведено в [68].
Б.6.5 Анализ отказов
Б.6.5.1 Анализ видов и последствий отказов
Цель - проведение анализа проекта Э/Э/ПЭ СБЗС системы с систематическим исследованием всех возможных причин отказов компонентов системы и определением влияния этих отказов на поведение и безопасность системы.
Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.5 и Б.6).
Описание. Анализ обычно проводят экспертным методом. Каждый компонент системы анализируют по очереди с тем, чтобы выявить набор режимов отказов для компонента, их причины и последствия (на локальном уровне и на уровне всей системы), процедуры обнаружения и рекомендации. При выдаче рекомендаций их документально оформляют в виде корректирующих действий.
Подробное описание данного метода/средства приведено в [30], [69].
Б.6.5.2 Причинно-следственные диаграммы
Цель - моделирование Э/Э/ПЭ СБЗС системы с помощью причинно-следственных диаграмм, которые позволяет представить проект системы в виде последовательности комбинаций базовых событий.
Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.4-2021 (приложение Б, таблицы Б.3, Б.4 и приложение В, таблицы В.13 и В.14).
Описание. Данный метод может рассматриваться как комбинация процедур анализа с помощью дерева отказов и дерева событий. Начиная с критического (начального) события, граф последствий просматривают в прямом направлении, используя логические элементы "ДА"/"НЕТ", описывающие успех и неудачу некоторых операций. Это позволяет сформировать последовательность событий, ведущую или к аварии, или к корректной ситуации. Затем для каждого отказа строят графы причин (то есть деревья отказов). Прохождение в обратном направлении эквивалентно дереву отказов, где критическое событие представлено в виде события, описанного на верхнем уровне. Прохождение в прямом направлении позволяет определять возможные последствия, возникающие из события. В узле графа могут быть символы, описывающие условия распространения причин по различным ветвям от этого узла. Могут быть также учтены временные задержки. Эти условия распространения причин также могут быть описаны с помощью деревьев отказов. Для того чтобы диаграмма выглядела более компактной, пути распространения причин могут быть объединены с логическими символами. Должен быть определен набор стандартных символов для использования в причинно-следственных диаграммах. Такие диаграммы могут быть использованы для генерации деревьев отказов и для вычисления вероятности появления определенных критических последовательностей. Они также могут быть использованы для генерации деревьев событий.
Подробное описание данного метода/средства приведено в [70].
Б.6.5.3 Анализ дерева событий
Цель - моделирование Э/Э/ПЭ СБЗС системы с помощью диаграмм последовательности событий, которые могут произойти в системе после появления инициализирующего события и указать на возможные опасные последствия. Дерево событий трудно создать с нуля, поэтому полезно использовать схему последовательности событий.
Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.4-2021 (приложение Б, таблица Б.4 и приложение В, таблица В.14).
Описание. В верхней части диаграммы записывают последовательность условий, относящихся к формированию последовательности событий, следующих за инициализирующим событием. Начиная с инициализирующего события, являющегося целью анализа, проводят прямую линию к первому условию последовательности. Наличие ветвей "ДА" и "НЕТ" диаграммы указывает на зависимость будущего события от условий. Каждую из двух ветвей продолжают до следующего условия. Однако не все условия выполняются на этих ветвях. Какая-то из них продолжится до окончания последовательности условий, но каждая ветвь дерева, построенная таким способом, представляет возможную последовательность событий. Если условия в последовательностях независимы, дерево событий может быть использовано для вычисления вероятностей различных последовательностей, основываясь на значениях вероятностей условий и их числе в последовательности. Поскольку условия редко бывают полностью независимыми, такие вычисления необходимо тщательно анализировать, и анализ должен выполняться квалифицированными аналитиками.
Подробное описание данного метода/средства приведено в [70].
Б.6.5.4 Анализ видов, последствий и критичности отказов
Цель - ранжирование критичности компонентов, которые могут вызвать нарушения, повреждения или ухудшение работы системы при одиночных ошибках в целях определить, для определения, каким компонентам может потребоваться особое внимание и какие средства управления необходимы в процессе проектирования или эксплуатации.
Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.4-2021 (приложение А, таблица А.10; приложение Б, таблица Б.4; приложение В, таблицы В.10 и В.14).
Описание. Этот метод сопоставим с методом FMEA, представленном в [73], но отличается наличием одного или нескольких столбцов для описания критичности, которая может быть ранжирована многими методами. Наиболее сложный метод описан Обществом автомобильных инженеров (Society for Automotive Engineers - SAE) в ARP 926. В этом методе значение критичности для любого компонента определяется числом отказов конкретного вида, предполагаемым в процессе выполнения каждого миллиона операций, реализуемых в критическом режиме. Критичность является функцией девяти параметров, большинство из которых должны быть измерены. Очень простой метод определения критичности состоит в умножении вероятности отказа компонента на величину ущерба, который может быть при этом причинен; этот метод аналогичен простой оценке показателя риска.
Подробное описание данного метода/средства приведено в [69], [71], [72].
Б.6.5.5 Анализ дерева отказов
Цель - оказание помощи в анализе событий или комбинации событий, которые вызывают угрозы или опасные последствия, и в выполнении вычисления вероятности главного события.
Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.4-2021 (приложение Б, таблица Б.4 и приложение В, таблица В.14).
Описание. Начиная с главного события, которое может непосредственно вызвать угрозу или опасные последствия ("событие вершины дерева"), выполняют анализ для идентификации причины этого события. Комбинации причины описывают логическими операторами ("И", "ИЛИ" и т.д.). Затем анализируют промежуточные причины тем же способом и т.д., возвращаясь к базовым событиям, где анализ прекращается.
Данный метод является графическим, и для изображения дерева отказов используют набор стандартизованных символов. В результате анализа дерево отказов представляет собой логическую функцию, объединяющую базовые события (обычно отказы компонентов) с главным событием (полный отказ системы). Рассматриваемый метод предназначен в основном для анализа АС, но допускается также применять его к анализу ошибок ПО. Этот метод может быть использован для качественного анализа отказов (идентификация сценариев отказа: минимальные сечения или простые импликанты), полуколичественного анализа (оценивая сценарии их вероятностями) и количественного анализа для вычислений вероятности главного события (см. В.6).
Подробное описание данного метода/средства приведено в [70], [73].
Б.6.5.6 Модели Маркова
Цель - моделирование поведения Э/Э/ПЭ СБЗС системы с использованием графа состояний-переходов и оценка общесистемных параметров [ненадежность, неготовность, среднее время наработки на отказ (MTTF, MUT, MDT) и др.] системы.
Описание. Модель - это конечный автомат (см. Б.2.3.2), представленный направленным графом. Узлы (кружки) представляют состояния, а ребра (стрелки) между узлами представляют переходы (отказы, ремонты и т.д.), происходящие между состояниями. Ребра имеют весовые коэффициенты, соответствующие частотам отказов или частотам восстановлений. Фундаментальное свойство однородных процессов Маркова заключается в том, что будущее состояние зависит только от настоящего состояния, то есть переход из состояния N к последующему состоянию N + 1 не зависит от состояния, предшествующего состоянию N + 1. Это означает, что все вероятностные законы моделей экспоненциальны.
События, состояния и частоты отказов могут быть детализированы так, что может быть получено точное описание системы, например, обнаруженные или необнаруженные отказы, обнаружение наибольшего отказа и т.п. Интервалы контрольных проверок также могут быть смоделированы должным образом при помощи так называемых многофазных процессов Маркова, где вероятности состояний в конце одной фазы (например, как раз перед контрольным испытанием) могут быть использованы для вычисления начальных условий для следующей фазы (например, вероятности различных состояний после того, как контрольная проверка была выполнена).
Метод Маркова подходит для моделирования многих систем, уровень избыточности которых изменяется со временем вследствие нахождения компонента в состоянии отказа или восстановления. Другие классические методы, например, анализ видов и последствий отказов (FMEA) и FTA, не могут быть адаптированы к моделированию влияний отказов в течение ЖЦ системы, поскольку не существует простой комбинаторной формулы для вычисления соответствующих вероятностей.
Как правило, такую формулу, описывающую вероятности системы, можно найти в литературе или вывести самостоятельно. В более сложных случаях существуют методы упрощения (то есть сокращение числа состояний).
Однородный граф Маркова описывается системой линейных дифференциальных уравнений с постоянными коэффициентами. В результате серьезного анализа таких систем уравнений для их решения были разработаны доступные мощные алгоритмы. Поэтому с увеличением размера модели очень эффективно использовать вышеупомянутые алгоритмы, которые реализованы в виде различных пакетов ПО.
Размер графа растет экспоненциально с числом компонентов, это так называемый комбинаторный взрыв. Поэтому данный метод применим без аппроксимаций только для небольших систем.
Если законы распределения неэкспоненциальные (полумарковские процессы), то необходимо использовать метод моделирования Монте-Карло (см. В.6.6.8).
Подробное описание данного метода/средства приведено в [74].
Б.6.5.7 Структурные схемы надежности
Цель - моделирование Э/Э/ПЭ СБЗС системы в форме структурных схем наборов событий, которые должны происходить, и условий, которые должны быть удовлетворены для успешного выполнения операций системы или задач. Данный метод в большей степени является методом представления, чем методом анализа.
Примечание - Данный метод/средство используется в В.6.4 "Структурные схемы надежности"; на него дана ссылка в ГОСТ 34332.4-2021 (приложение В, таблица В.10).
Описание. Данный метод позволяет сформировать успешный маршрут, состоящий из блоков, линий и логических переходов. Такой успешный маршрут начинается от одной стороны структурной схемы и проходит через блоки и логические переходы до другой ее стороны. Блок представляет собой условие или событие; маршрут проходит через него, если условие истинно или событие произошло. Когда маршрут подходит к логическому переходу, то его продолжают, если критерий логического перехода выполняется. Если маршрут достигает какой-либо вершины, то он может быть продолжен по всем исходящим из нее путям. Если существует по меньшей мере один успешный маршрут через всю структурную схему, то цель анализа считают достигнутой.
Данный метод позволяет сформировать структурное представление моделируемой системы. Эта структура напоминает электрическую схему, в которой ток протекает от входа к выходу, что означает, что моделируемая система работает должным образом. Если в схеме есть разрыв, то это означает, что в моделируемой системе произошел отказ. В результате появляется концепция наборов минимальных сечений, которые представляют комбинации отказов (т.е. места, где структурная схема надежности имеет "разрыв"), приводящих к отказу моделируемой системы.
Математически данный метод подобен методу дерева отказов. Он представляет собой логическую функцию, связывающую состояния отдельных компонентов (не работающих или работающих) с состоянием всей системы (не работающей или работающей). Поэтому вычисления подобны тем, которые описаны для дерева отказов.
Подробное описание данного метода/средства приведено в [75].
Б.6.5.8 Моделирование методом Монте-Карло
Цель - моделирование реальных ситуаций методом генерации случайных чисел, когда аналитические методы не применимы.
Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.4-2021 (приложение Б, таблица Б.4).
Описание. Моделирование методом Монте-Карло используют для решения двух классов задач:
- вероятностных, при которых для генерации стохастических явлений используют случайные числа;
- детерминистических, при которых появление явлений математически преобразуется в эквивалентную вероятностную форму (например, интегральные вычисления).
При моделировании методом Монте-Карло используют случайные числа для анимации модели поведения правильно и неправильно функционирующей исследуемой системы. Такие поведенческие модели реализуют моделями переходов состояний (граф Маркова, сети Петри, формальные языки и т.д.). Моделирование Монте-Карло позволяет получить большую статистическую выборку, из которой формируются статистические результаты.
При использовании моделирования Монте-Карло необходимо принять меры по обеспечению разумных перекосов, допусков и шумов. Этим необходимо управлять через доверительный интервал, который легко может быть получен из моделирования. В отличие от аналитических методов моделирование Монте-Карло является самоаппроксимирующимся. Для упрощения модели незначительные события просто не рассматривают без необходимости их идентификации.
Общие принципы моделирования методом Монте-Карло заключаются в переформулировании проблемы так, чтобы полученные результаты были как можно более точными, что позволяет отказаться от решения проблемы в ее исходной постановке.
В контексте настоящего стандарта моделирование Монте-Карло может быть использовано для вычислений УПБ и учета неопределенности данных о надежности. Используя современные компьютеры, можно легко выполнить моделирование системы с УПБ 4.
Подробное описание данного метода/средства приведено в [76].
Б.6.5.9 Модели дерева отказов
Цель - построение логической функции, связывающей базовые события (виды отказов) с главным событием (нежелательное событие) на основе систематического нисходящего графического (следствие - причина) подхода.
Примечание - Применение дерева отказов в качестве средства подтверждения соответствия безопасности уже было описано в В.6.5.5. Данный метод также широко используется для анализа отказов и вероятностных расчетов.
Описание. Это одновременно и метод анализа, помогающий аналитику шаг за шагом разработать модель, и математическая модель для вероятностных расчетов. Данный метод позволяет выполнять:
- качественный анализ путем выявления и сортировки сценариев отказов (минимальные сечения или простейшие импликанты);
- полукачественный анализ путем ранжирования сценариев в соответствии с их вероятностями возникновения;
- количественный анализ путем расчета вероятности главного события.
Подобно структурным схемам надежности, дерево отказов представляет собой логическую (булеву) функцию, связывающую состояния индивидуальных компонентов (не работает или работает) с состоянием всей системы (не работает или работает). Если компоненты являются независимыми, то вероятностные расчеты для логической функции могут быть выполнены только с учетом вероятностных свойств базовых компонентов. Это непросто, поскольку это статическая модель в основном работает только с постоянными вероятностями. Расчет вероятностей, зависимых от времени, должен быть проведен особенно внимательно. Например, PFDavg СБС, включающих периодическое контрольное тестирование компонентов, не может быть рассчитан непосредственно, кроме того, еще более сложно рассчитать PFH для систем безопасности, работающих в непрерывном режиме. Поэтому расчеты значений неготовность/PFD и ненадежность/PFH с помощью данного метода должны проводить только инженеры по надежности с глубоким пониманием математики, лежащей в основе данного метода.
Для очень простых деревьев отказов расчеты могут быть проведены вручную, однако за последние 50 лет было разработано и реализовано довольно большое количество алгоритмов для решения сложных логических уравнений. Наиболее современным на текущий момент является метод двоичных диаграмм решений (Binary Decision Diagrams, BDD), который основан на технике компактного кодирования логических уравнений в памяти компьютера. В настоящее время это единственный метод, способный выполнять вероятностные расчеты без приближений для систем промышленных размеров. Он также достаточно эффективен для обработки неопределенностей при моделировании методом Монте-Карло.
Подробное описание данного метода/средства приведено в [70], [77], [78].
Б.6.5.10 Обобщенные стохастические модели сетей Петри
Цель - графическое построение модели поведения правильно и неправильно функционирующей Э/Э/ПЭ СБЗС системы, максимально приближенной к реальной моделируемой системе для обеспечения эффективной поддержки моделирования методом Монте-Карло.
Примечание - Метод сетей Петри был описан в Б.2.3.3 как полуформальный метод. Данный метод также может быть эффективно использован для анализа полноты безопасности АС.
Описание. В методе применен асинхронный конечный автомат, описанный в Б.2.3.3, за исключением того, что хорошее свойство, отслеживаемое при полуформальном подтверждении соответствия, не существует, когда моделируется поведение неправильно функционирующей системы безопасности. Так называемые позиции (изображаются кружками) представляют возможные состояния, а так называемые переходы (изображаются прямоугольниками) представляют события, которые могут произойти. Кроме маркирования позиций (см. Б.2.3.3), могут быть использованы сообщения или предикаты для подтверждения соответствия (активизации) переходов, а продолжительность задержки между активизацией перехода и его "возбуждением" может быть детерминированной или стохастической величиной. Поэтому такие сети Петри называются "обобщенными стохастическими" сетями Петри.
Сети Петри являются гибкими поведенческими моделями, которые подтверждают свою высокую эффективность для поддержки моделирования методом Монте-Карло (см. Б.6.6.8). Кроме точности самого метода Монте-Карло, которая всегда известна, преодолеваются все ограничения других методов (зависимости, комбинаторный взрыв, неэкспоненциальность законов распределения и т.д.). Применение метода с использованием современных компьютеров позволяет решить проблемы даже для оценки УПБ 4.
Подробное описание данного метода/средства приведено в [79]-[81].
Б.6.6 Анализ наихудшего случая
Цель - исключение систематических ошибок, возникающих в результате неблагоприятных сочетаний условий окружающей среды и допусков на параметры компонентов Э/Э/ПЭ СБЗС системы.
Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.5 и Б.6).
Описание. Эксплуатационные возможности системы и параметры компонентов исследуют или вычисляют теоретически. При этом для условий окружающей среды задают их допустимые предельные значения. Анализируют и сопоставляют со спецификацией наиболее существенные характеристики системы.
Подробное описание данного метода/средства приведено в [82].
Б.6.7 Расширенное функциональное тестирование
Цель - обнаружение отказов на стадиях разработки спецификации, проектирования и разработки Э/Э/ПЭ СБЗС системы; проверка поведения системы в случае редких или неучтенных входов.
Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.5 и Б.6).
Описание. Расширенное функциональное тестирование применяют для проверки функционального поведения Э/Э/ПЭ СБЗС системы как реакцию на входные условия, которые ожидаются только в редких случаях (например, глобального отказа) или не охватываются спецификацией СБС (например, некорректные операции). Для редко встречающихся условий наблюдаемое поведение системы сравнивают со спецификацией. В тех случаях, когда реакция системы не указана, следует убедиться в том, что заданная безопасность сохраняется в наблюдаемой реакции системы.
Подробное описание данного метода/средства приведено в [58], [83].
Б.6.8 Анализ наихудших случаев
Цель - проверка ситуаций, специфицированных при анализе наихудших случаев.
Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.5 и Б.6).
Описание. Эксплуатационные возможности Э/Э/ПЭ СБЗС системы и параметры компонентов проверяют при анализе наихудших случаев. При этом для условий окружающей среды задают их предельно допустимые значения. Анализируют и сопоставляют со спецификацией наиболее существенные характеристики системы.
Б.6.9 Испытания с введением неисправностей
Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.5 и Б.6).
Цель - внесение или имитация неисправностей в АС Э/Э/ПЭ СБЗС системы и документирование реакции системы.
Описание. Это качественный метод оценки надежности. Для описания местоположения и типа неисправностей, а также способа их внесения предпочтительно используются детализированные функциональные блоки, схемы и схемные диаграммы: например, питание может не поступать на различные модули; линии питания, линии общей шины или адресные линии могут быть разомкнуты/коротко замкнуты; компоненты или их порты могут быть разомкнуты или закорочены; реле могут быть замкнуты или разомкнуты, либо их действия могут выполняться в несоответствующие моменты времени и т.д. Возникающие в результате отказы системы классифицируют. Обычно вводят одиночные неисправности в устойчивом состоянии системы. Однако в случае, если неисправность не обнаруживается тестом встроенной диагностики или оказывается неочевидной, она может сохраниться в системе и вызвать следующую неисправность. При этом количество неисправностей может быстро возрасти многократно.
Такие испытания проводятся многопрофильным коллективом специалистов. Проектировщик (поставщик) системы должен при этом присутствовать и получать рекомендации. Для отказов, приводящих к опасным последствиям, вычисляют и оценивают среднее время наработки на отказ. Если это время мало, необходима модификация системы.
Подробное описание данного метода/средства приведено в [69], [84].