Приложение Б (справочное). Методы и средства по предотвращению систематических отказов Э/Э/ПЭ СБЗС систем. Межгосударственный стандарт ГОСТ 34332.5-2021 "Безопасность функциональная систем, связанных с безопасностью зданий и сооружений. Часть 5. Меры по снижению риска, методы оценки" (введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 28.05.2021 N 478-ст)

Приложение Б
(справочное)

Методы и средства по предотвращению систематических отказов Э/Э/ПЭ СБЗС систем

Настоящее приложение содержит краткое описание методов/средств по предотвращению систематических отказов Э/Э/ПЭ СБЗС систем, на которые даны ссылки в ГОСТ 34332.3 и ГОСТ 34332.4, а также ссылки на источники с подробным описанием данных методов и средств.

Многие методы/средства, представленные в настоящем приложении, относятся и к ПО, но в приложении В они не описаны.

Б.1 Общие методы и средства

Б.1.1 Управление проектами

Цель - избегание отказов посредством принятия организационной модели, правил и мер по разработке и тестированию Э/Э/ПЭ СБЗС систем.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.1 - Б.6).

Описание. Наиболее значимыми и лучшими мерами являются:

- создание организационной модели, в основном, для обеспечения качества, не противоречащей требованиям ГОСТ ISO 9001;

- установление правил и определение средств для создания и подтверждения соответствия СБ систем в руководствах по взаимосвязанным и отдельным проектам.

Для управления проектами установлены следующие важные базовые принципы:

- при выборе проектной организации определяют:

- задачи и ответственность подразделений конкретной организации,

- полномочия подразделений по обеспечению качества,

- независимость гарантии качества (при выполнении внутренней проверки) от разработки;

- в план последовательных действий (модель действий) включают позиции:

- определение действий по выполнению проекта, включая внутренние проверки и график их проведения,

- обновление проекта;

- в стандартную последовательность действий для внутренней проверки включают:

- планирование, проведение и контроль проверки (теория проверки),

- использование различных механизмов проверок для составных частей,

- сохранение результатов повторных проверок;

- в управление конфигурацией включают действия:

- администрирование и проверка версий,

- выявление результатов модификаций,

- проверки согласованности после модификаций;

- вводят количественные оценки для средств обеспечения качества в виде:

- установления требований,

- статистики отказов;

- применяют автоматизированные универсальные методы, инструменты и средства обучения персонала.

Подробное описание данного метода/средства приведено в ГОСТ ISO 9001, [31]-[37].

Б.1.2 Документация

Цель - предотвращение отказов и облегчение оценки безопасности Э/Э/ПЭ СБЗС системы с помощью документирования каждого шага процесса проектирования.

Примечания

1 Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.1 - Б.6).

2 См. также ГОСТ 34332.2 (раздел 5 и приложение А).

Описание. Во время оценки безопасности должны быть продемонстрированы эксплуатационные возможности и безопасность Э/Э/ПЭ СБЗС системы, а также внимание, уделяемое разработке всеми сторонами, вовлеченными в процесс проектирования. Чтобы иметь возможность продемонстрировать степень внимания, уделяемого проектированию, а также для гарантирования проверки доказательств безопасности в любое время, особое внимание уделяют документации. Основными общими подходами к документированию являются введение руководящих принципов создания документов и использование автоматизации, т.е.:

- вводят руководящие принципы:

- которые определяют структуру документа,

- в которых предусмотрены таблицы контрольных проверок для формирования содержания документа,

- которые определяют формат документа;

- применяют автоматизацию управления документированием и создают структурированную библиотеку проекта.

К конкретным методам создания документов относятся:

- разделение в документации описаний:

- требований,

- системы (документация пользователя),

- проектирования (включая внутреннюю проверку);

- группирование проектной документации в соответствии с жизненным циклом Э/Э/ПЭ СБЗС системы;

- определение стандартизованных модулей документации, из которых могут быть скомпилированы документы;

- ясная идентификация составных частей документа;

- формализованное обновление версий;

- выбор ясных и понятных средств описания:

- формализованной нотации для определений,

- естественного языка для введений, обоснований и представления намерений,

- графического представления для описания примеров,

- семантических определений для графических элементов,

- терминологических справочников.

Подробное описание данного метода/средства приведено в [38].

Б.1.3 Разделение систем, связанных с безопасностью, и систем, не связанных с безопасностью

Цель - предотвращение влияния систем, не связанных с безопасностью, на части систем, связанных с безопасностью, в непредвиденных ситуациях.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.1 и Б.6).

Описание. В спецификации должно быть определено, возможно ли разделение систем, связанных и не связанных с безопасностью. Должны быть установлены четкие спецификации взаимодействия между системами, связанными и не связанными с безопасностью. Четкое их разделение снижает затраты на тестирование систем, связанных с безопасностью.

Подробное описание данного метода/средства приведено в [30].

Б.1.4 Разнообразие аппаратных средств

Цель - обнаружение систематических отказов во время работы УО с использованием разнообразных компонентов с различными частотами и типами отказов.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение А, таблицы А.15, А.16 и А.18).

Описание. Для разных каналов Э/Э/ПЭ СБЗС системы используют различные типы компонентов. Это снижает вероятность отказов по общей причине (например, перенапряжение, электромагнитные помехи) и повышает вероятность обнаружения таких отказов.

Существование различных средств выполнения требуемой функции, например, применение других физических принципов, предполагает возможность использования других методов решения задачи обнаружения систематических отказов. Существует несколько типов разнообразия. Для получения функционального разнообразия используют различные подходы для достижения одного и того же результата.

Подробное описание данного метода/средства приведено в [30].

Б.2 Спецификация требований к проектированию Э/Э/ПЭ СБЗС системы

Главная цель - создание спецификации требований к Э/Э/ПЭ СБЗС системе, которая по возможности была бы полной, свободной от ошибок, противоречий и простой для проверки.

Б.2.1 Структурирование спецификации

Цель - уменьшение сложности посредством создания иерархической структуры частичных требований. Предотвращение ошибок взаимосвязи между требованиями.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.1 и Б.6).

Описание. В данном методе разделяют функциональную спецификацию на частичные требования так, чтобы между ними существовали по возможности простейшие отношения. Этот метод применяют последовательно до тех пор, пока не будут получены небольшие четкие частичные требования. В результате получают иерархическую структуру частичных требований, которая создает основу для спецификации полных требований. В данном методе подчеркиваются взаимосвязи между частичными требованиями, и он особенно эффективен при его использовании для исключения ошибок в этих взаимосвязях.

Б.2.2 Формальные методы

Цель - приложение формальных принципов математического обоснования к созданию спецификации и реализации технических СБ систем для повышения полноты, согласованности или правильности спецификации, или реализации систем.

Примечания

1 Подробные сведения о конкретных формальных методах приведены в Б.2.4.

2 Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.1, Б.2 и Б.6).

Описание. Формальные методы предоставляют средства разработки описания системы на конкретном этапе создания ее спецификации или проектирования. Такие формальные описания являются математическими моделями функции и/или структуры системы.

Применение формальных методов позволяет однозначно описать систему (например, любое состояние автомата может быть описано его начальным состоянием, входами и уравнениями перехода автомата из одного состояния в другое), что способствует пониманию системы.

Выбор подходящего формального метода является трудной задачей, требующей полного понимания системы, ее процесса разработки и ряда математических моделей, пригодных для использования (см. примечания).

Примечания

1 Теоремы модели (описывающие свойства) гарантированно представляют описание системы, которое обеспечивает гораздо большее доверие, чем моделирование, заключающееся в наблюдении отдельных действий системы.

2 К недостаткам формальных методов относятся:

- фиксированный уровень абстракции;

- ограничения в получении всей функциональности, которая относится к данному этапу;

- трудность понимания модели инженерами, которые ее реализуют;

- значительные усилия, необходимые для разработки, анализа и поддержки модели на всех стадиях ЖЦ системы;

- недостаток эффективных инструментов, которые поддерживают создание и анализ модели;

- недостаток персонала, способного разрабатывать и анализировать модель.

3 Интерес представителей, занимающихся формальными методами, был явно направлен на моделирование целевой функции системы, часто с преуменьшением роли проблемы отказоустойчивости системы. Поэтому следует выбирать соответствующие формальные методы, включающие в себя возможность решения проблемы отказоустойчивости системы.

Подробное описание данного метода/средства приведено в [39].

Б.2.3 Полуформальные методы

Цель - четкое и последовательное выражение частей спецификации системы для обнаружения некоторых ошибок, упущений и неправильного поведения.

Примечания

1 Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.1, Б.2 и Б.6) и в ГОСТ 34332.4-2021 (приложение А, таблицы А.1, А.2, А.4; приложение Б, таблицы Б.1, Б.7; приложение В, таблицы В.2, В.4 и В.17).

2 В ГОСТ 34332.4-2021 (приложение Б, таблица Б.7) представлен список полуформальных методов, расширенный с помощью других полуформальных методов, относящихся к ПО, которые перечислены ниже:

- логические диаграммы/диаграммы функциональных блоков, см. ГОСТ 34332.4;

- диаграммы последовательности, описанные в ГОСТ 34332.4;

- диаграммы потоков данных, см. Б.2.2;

- конечные автоматы/диаграммы переходов состояний, см. Б.2.3.2;

- временные сети Петри, см. Б.2.3.3;

- модели данных "сущность-связь-атрибут", см. Б.2.4.4;

- диаграммы последовательности сообщений, см. Б.2.14;

- таблицы решений/таблицы истинности, см. Б.6.1.

Подробное описание данного метода/средства приведено в [40], [41].

Б.2.3.1 Общие положения

Цель - убедиться в том, что проект соответствует своей спецификации.

Описание. Полуформальные методы представляют собой методы/средства создания описания системы на стадиях ее создания (например, подготовки спецификации, проектирования или кодирования). В некоторых случаях описание может быть проанализировано на компьютере, или для отображения различных аспектов поведения системы может быть применена анимация. Применение анимации придает дополнительную уверенность в том, что система соответствует реальным требованиям и требованиям, установленным в спецификации.

Описание двух полуформальных методов приведено в Б.2.3.2 и Б.2.3.3.

Б.2.3.2 Конечные автоматы/диаграммы переходов

Цель - моделирование, проверка, задание или реализация структуры управления системы.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.4-2021 (приложение Б, таблицы Б.5, Б.7; приложение В, таблицы В.15 и В.17).

Описание. Многие системы могут быть описаны в терминах их состояний, входов и действий. Так, система, находящаяся в состоянии S1, при получении информации на входе может выполнить действие А и перейти в состояние S2. Полное представление системы возможно с помощью описания действий системы в каждом ее состоянии для каждого ее входа. Такую модель системы называют машиной с конечными состояниями (или конечными автоматами). Ее часто представляют в виде так называемой диаграммы переходов, в которой отображается, как система переходит из одного состояния в другое, или в виде матрицы, в которой для каждого состояния и входа задаются действия по переходу в новое состояние.

Если система сложна или имеет естественную структуру, то это может быть отражено в многоуровневой структуре конечного автомата. Диаграмма состояний - это тип диаграммы переходов, в которой разрешены вложенные состояния (состояние объекта может разделяться на два или больше число подсостояний, которые могут развиваться параллельно, и, возможно, в некоторый момент времени опять объединиться в одно состояние). Применение данного метода увеличивает дополнительные возможности описания переходов, но увеличивает и сложность, нежелательную для Э/Э/ПЭ СБЗС системы. Диаграммы состояний имеют формальную (математическую) спецификацию. Диаграммы переходов могут быть применены ко всей системе или к ее некоторому объекту или элементу.

Спецификация или проект системы, представленной в виде конечного автомата, могут быть проверены:

- на полноту (система или объект должны иметь действие и новое состояние для каждого входа в каждом состоянии);

- согласованность (возможно только одно состояние для каждой пары состояние/вход);

- достижимость (независимо от того, возможно или нет перейти из одного состояния в другое с помощью некоторой последовательности входов);

- отсутствие бесконечных циклов и тупиковых состояний и т.д.

Эти свойства важны для критических систем. Инструменты для обеспечения таких проверок легко разработать, используя различные модели, основанные на теории конечных автоматов (формальные языки, сети Петри, марковские цепи и т.д.). Существуют также алгоритмы, позволяющие автоматически генерировать тестовые примеры для верификации реализаций конечных автоматов или анимации модели конечного автомата. Диаграммы переходов и диаграммы состояний широко поддерживаются инструментальными средствами, которые позволяют сформировать и проверить диаграммы, а также сгенерировать программный код для реализации описанного конечного автомата.

Они также могут быть применены для вычислений вероятности отказа, см. Б.6 и В.6.

Подробное описание данного метода/средства приведено в [42]-[44].

Б.2.3.3 Моделирование во времени сетями Петри

Цель - моделирование соответствующих аспектов поведения Э/Э/ПЭ СБЗС системы, оценка и, возможно, повышение безопасности и эксплуатационных возможностей системы путем использования анализа и повторного проектирования.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.4-2021 (приложение В, таблица Б.5, приложение В, таблицы В.7, В.15 и В.17).

Описание. Метод сетей Петри является частным случаем метода конечных автоматов. Сети Петри относятся к классу моделей, описываемых теорией графов, и используются для представления информации и управления потоками в системах, в которых наблюдается параллелизм и асинхронное поведение.

Сеть Петри - это сеть позиций и переходов. Позиции могут быть маркированными или немаркированными. Переход считают "активизированным", если все его входы маркированы. В активизированном состоянии позиции разрешается (но не требуется) быть "возбужденной". Если позиция "возбуждена", то вход, поступающий на переход, становится немаркированным, а вместо него каждый выход из перехода оказывается маркированным.

Потенциальные опасности могут быть представлены в виде конкретных состояний (маркировок) в модели сети Петри. Модель может быть расширена с тем, чтобы обеспечить возможности моделирования систем во времени. Несмотря на то, что "классические" сети Петри применяют преимущественно для моделирования потоков управления, существуют некоторые расширения модели сети Петри для моделирования потоков данных.

Подробное описание данного метода/средства приведено в [45], [46].

Б.2.4 Автоматизированные средства разработки спецификации

Б.2.4.1 Общие положения

Цель - использование формальных технических методов для упрощения автоматического обнаружения неоднозначностей и полноты спецификации.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение А, таблицы А.1, А.2; приложение В, таблицы В.1 и В.2) и ГОСТ 34332.4-2021 (приложение Б, таблицы Б.1 и Б.6).

Описание. Данный метод позволяет создать спецификацию Э/Э/ПЭ СБЗС системы в виде базы данных, которая может автоматически анализироваться для оценки согласованности и полноты. Инструмент спецификации позволяет пользователю использовать анимацию различных аспектов заданной системы. В общем случае данный метод пригоден для поддержания не только стадии создания спецификации требований к Э/Э/ПЭ СБЗС системы, но и стадии проектирования, а также других стадий ЖЦ системы. Инструменты спецификаций могут быть классифицированы в соответствии со следующими пунктами настоящего приложения.

Б.2.4.2 Инструменты, не ориентированные на конкретный метод

Цель - оказание помощи пользователю в составлении правильной спецификации Э/Э/ПЭ СБЗС системы с применением подсказки и формированием связи между соответствующими частями.

Описание. Применение инструмента для составления спецификаций освобождает пользователя от некоторой рутинной работы и поддерживает управление проектами. Инструмент не представляет собой какой-либо конкретный метод разработки спецификаций. Относительная независимость пользователей от метода позволяет быть более свободными при выборе конкретного метода, но незначительно помогает при составлении спецификаций, что усложняет создание системы.

Б.2.4.3 Процедура, ориентированная на модель с иерархическим анализом

Цель - предотвратить неполноту, неоднозначность и противоречивость в спецификации, например, помогая пользователю в создании правильной спецификации, обеспечении согласованности между описаниями процессов и данных на различных уровнях абстрагирования.

Описание. Данный метод дает функциональное представление о необходимой системе (структурный анализ) на различных уровнях абстракции (степени точности). Существует огромный арсенал таких моделей: конечные автоматы - класс таких моделей, широко используемых для описания построения дискретных/цифровых систем. Дифференциальные уравнения позволяют описать непрерывные/аналоговые системы. Структурный анализ проводят на различных уровнях абстракции процессов и данных. Оценка неоднозначности и полноты возможна между иерархическими уровнями, а также между двумя функциональными единицами (модулями) на одном и том же уровне (например, любое состояние модели системы описывается ее начальным состоянием, входами и уравнениями перехода автомата из одного состояния в другое).

Примечание - Вопросами рассмотрения при описании, основанном на моделях, могут быть: уровень абстракции; ограничения для получения всей функциональности, относящейся к данному этапу; трудности понимания модели практиками (от чтения синтаксиса до ее правильной интерпретации); значительность усилий, затрачиваемых на разработку, анализ и поддержку модели на всем ЖЦ системы; доступность эффективных инструментов, поддерживающих создание и анализ модели (разработка таких инструментов, конечно, требует больших усилий) и наличие специалистов, способных разрабатывать и анализировать модели.

Подробное описание данного метода/средства приведено в [47].

Б.2.4.4 Модели данных "сущность-связь-атрибут"

Цель - оказание помощи пользователю в создании правильной спецификации, сосредоточив внимание на объектах внутри системы и отношений между ними.

Описание. Рассматриваемую систему описывают как совокупность объектов и отношений между ними, применяя инструмент, позволяющий определить, какие отношения могут быть интерпретированы системой. В общем случае отношения между объектами позволяют описывать иерархическую структуру объектов, поток данных, отношения между данными и данные, зависимые от конкретных производственных (технологических) процессов. Этот классический подход расширяют посредством применения управления процессами. Возможности метода и поддержка пользователя зависят от разнообразия проиллюстрированных отношений. Однако множество возможностей представления системы усложняет применение этого метода.

Подробное описание данного метода/средства приведено в [48].

Б.2.4.5 Стимул и отклик

Цель - оказание помощи пользователю в создании правильной спецификации Э/Э/ПЭ СБЗС системы посредством идентификации взаимоотношений "стимул-отклик".

Описание. Взаимоотношения между объектами системы определяют в нотации "стимулы" и "отклики". Используют простой и легко расширяемый язык, который содержит элементы языка, представляющие объекты, взаимоотношения, характеристики и структуры.

Б.2.5 Таблица контрольных проверок

Цель - рассмотрение и управление критическими оценками всех важных аспектов Э/Э/ПЭ СБЗС системы на стадии ЖЦ, обеспечивая исчерпывающий охват аспектов без установления точных требований.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.1, Б.2 и Б.6) и в ГОСТ 34332.4-2021 (приложение А, таблица А.10; приложение Б, таблица Б.8; приложение В, таблицы В.10 и В.18).

Описание. Специалист, заполняющий таблицу контрольных проверок, должен дать ответ на ряд вопросов. Многие вопросы носят общий характер, и оценщик должен интерпретировать их как наиболее подходящие к конкретной оцениваемой Э/Э/ПЭ СБЗС системе. Таблицы контрольных проверок допускается использовать на всех стадиях полного ЖЦ Э/Э/ПЭ СБЗС системы и ЖЦ СБЗС ПО. Такие таблицы, в частности, полезны в качестве инструмента для оценки функциональной безопасности.

Для сокращения широкого разнообразия проходящих подтверждение соответствия систем большинство таблиц контрольных проверок содержат вопросы, которые применимы ко многим типам систем. Поэтому в используемой таблице контрольных проверок может оказаться множество вопросов, которые не уместны для конкретной системы и должны быть игнорированы. Кроме того, может также возникнуть необходимость дополнить стандартную таблицу контрольных проверок вопросами, специально ориентированными на конкретную систему.

Использование таблицы контрольных проверок в большей степени зависит от экспертной оценки и суждения специалиста, который выбирает и применяет таблицу контрольных проверок. Принятые им решения относительно выбранных(ой) таблиц(ы) контрольных проверок и любые дополнительные или игнорируемые вопросы должны быть полностью обоснованы и документально оформлены. Необходимо стремиться к тому, чтобы при пересмотре таблиц контрольных проверок гарантировалось получение одних и тех же результатов при использовании одних и тех же критериев.

Описание системы в заполненной таблице контрольных проверок должно быть максимально кратким. При необходимости исчерпывающего обоснования оно должно быть дано в виде ссылок на дополнительные документы. Для документирования результатов каждого вопроса следует использовать ответ "успешно", "не успешно" или "недостаточно убедительно", либо аналогичный набор ответов. Такая лаконичность значительно упрощает процедуру оформления общего заключения результатов оценки в виде таблицы контрольных проверок.

Подробное описание данного метода/средства приведено в [30], [49]-[54].

Б.2.6 Экспертиза спецификации

Цель - исключение некомплектности и противоречивости спецификации.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.1 и Б.6).

Описание. Экспертиза - это общий метод анализа спецификации Э/Э/ПЭ СБЗС системы для ее разносторонней оценки, осуществляемая независимой группой экспертов. Эксперты такой группы задают вопросы разработчику, который должен дать им удовлетворительные ответы. Анализ должен (по возможности) проводиться группой экспертов, которая не принимала участия в создании спецификации. Требуемая степень независимости оценки определяется УПБ, задаваемыми для системы. Группа независимых экспертов должна быть способна реконструировать эксплуатационную функцию системы без ссылок на любые последующие спецификации. Специалисты группы независимых экспертов должны также убедиться в том, что охвачены все уместные аспекты безопасности и технические аспекты эксплуатационных и организационных мер. Общий метод экспертизы спецификации доказал на практике свою высокую эффективность.

Подробное описание данного метода/средства приведено в [51], [55].

Б.3 Проектирование и разработка Э/Э/ПЭ СБЗС системы

Главная цель - создание надежного проекта Э/Э/ПЭ СБЗС системы в соответствии со спецификацией.

Б.3.1 Соблюдение руководящих материалов и стандартов

Цель - учет требований стандартов секторов применения (не рассматриваемых в настоящем стандарте).

Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение Б, таблица Б.2).

Описание. Во время проектирования Э/Э/ПЭ СБЗС системы должны быть составлены руководящие материалы, применение которых должно приводить к созданию систем, практически не имеющих сбоев и упрощающих последующее подтверждение соответствия. Такие руководящие материалы могут быть универсальными, специфичными для проекта или только для отдельного этапа проекта.

Подробное описание данного метода/средства приведено в [30].

Б.3.2 Структурное проектирование

Цель - снижение сложности проектирования Э/Э/ПЭ СБЗС системы посредством создания иерархической структуры частичных требований; исключение ошибок взаимосвязей между требованиями; упрощение верификации.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.2 и Б.6).

Описание. При проектировании АС следует использовать конкретные критерии или методы. Например, может потребоваться:

- проектирование иерархически структурированных схем;

- использование изготовленных и проверенных частей схем.

При проектировании ПО использование структурных схем также позволяет создать однозначную структуру программных модулей. В данной структуре отображаются взаимосвязь модулей друг с другом, конкретные данные, которые передаются между модулями, и конкретное управление, существующее между модулями.

Подробное описание данного метода/средства приведено в ГОСТ IEC 61082-1, [52]-[54], [56].

Б.3.3 Использование достоверно испытанных компонентов

Цель - снижение риска многих оригинальных и необнаруживаемых отказов Э/Э/ПЭ СБЗС системы посредством использования компонентов с конкретными характеристиками.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.2 и Б.6).

Описание. Выбор достоверно испытанных компонентов для целей безопасности выполняется производителем в соответствии с надежностью компонентов (например, использование проверенных тестированием физических модулей для удовлетворения высоких требований безопасности или хранение относящихся к безопасности программ только в безопасной памяти). Обеспечение безопасности памяти может относиться к недопущению несанкционированного доступа к памяти, влиянию несанкционированной среды (электромагнитная совместимость, радиация и т.п.), а также к отклику компонентов в случае возникновения отказов.

Подробное описание данного метода/средства приведено в [57].

Б.3.4 Модульное проектирование

Цель - уменьшить сложность и избежать сбоев Э/Э/ПЭ СБЗС системы, связанных с взаимодействием между подсистемами.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.2 и Б.6).

Описание. Каждая подсистема на всех уровнях проектирования четко определена и ограничена по размеру (только небольшим набором функций). Интерфейсы между подсистемами выполняют максимально простыми и пересечения (разделяемые данные, обмен информацией) минимизируют. Сложность отдельных подсистем также ограничивают.

Подробное описание данного метода/средства приведено в [56], [58].

Б.3.5 Средства автоматизированного проектирования

Цели - более систематическое выполнение процессов проектирования Э/Э/ПЭ СБЗС системы; включение в проект подходящих автоматически сконструированных элементов, уже созданных и проверенных.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.2 и Б.6) и в ГОСТ 34332.4-2021 (приложение А, таблица А.4).

Описание. В процессе проектирования АС и ПО следует использовать средства автоматизированного проектирования САПР, если они доступны и их использование обосновано сложностью системы. Корректность применения таких средств должна быть продемонстрирована предоставлением результатов конкретных испытаний, описания обширной предыстории успешного использования либо результатов независимой верификации проектируемой СБС.

Для их интеграции необходимо выбирать инструменты поддержки. Инструменты поддержки выбирают в соответствии с их уровнем интегрируемости. Инструменты считают интегрируемыми, если они совместно работают так, что выходные данные одного инструмента по содержанию и формату подходят для автоматического ввода в следующий инструмент, что приводит к минимизации возможности внесения ошибки человеком в процессе его работы с промежуточными результатами.

Подробное описание данного метода/средства приведено в [59], [60].

Б.3.6 Моделирование

Цель - проведение систематических и полных проверок функционирования Э/Э/ПЭ СБЗС системы для корректного задания функциональных и размерных характеристик их компонентов.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.2, Б.5 и Б.6).

Описание. Функцию схемы, реализующую Э/Э/ПЭ СБЗС систему, имитируют на компьютере с помощью запрограммированной модели ее поведения. Поведение каждого компонента схемы моделируют отдельно, и отклик схемы, в которую он входит, анализируют при задании предельных значений параметров для каждого компонента.

Б.3.7 Проверка (обзор и анализ)

Цель - выявление рассогласования между спецификацией и реализацией Э/Э/ПЭ СБЗС системы.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.2 и Б.6).

Описание. Проверяют заданные функции Э/Э/ПЭ СБЗС системы. Оценивают соответствие требованиям, приведенным в спецификации. Любые вопросы, связанные с созданием и использованием продукции, документируют, чтобы они могли быть разрешены. В отличие от сквозного контроля во время процедуры проверки проектировщик системы пассивен, а эксперт активен.

Подробное описание данного метода/средства приведено в [55], [58], [59].

Б.3.8 Сквозной контроль

Цель - выявление рассогласования между спецификацией и реализацией Э/Э/ПЭ СБЗС системы.

Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение Б, таблица Б.6).

Описание. Проверяют заданные функции Э/Э/ПЭ СБС. Оценивают соответствие системы требованиям, приведенным в спецификации. Все вызывающие сомнение ситуации при реализации и использовании изделий документируют в целях их последующего разрешения. В отличие от процедуры проверки (Б.3.7) во время сквозного контроля проектировщик должен быть активен, а эксперт - пассивен.

Подробное описание данного метода/средства приведено в [59].

Б.4 Процедуры эксплуатации и технического обслуживания Э/Э/ПЭ СБЗС системы

Главная цель - разработка процедур, которые исключают ошибки во время эксплуатации и обслуживания Э/Э/ПЭ системы.

Б.4.1 Инструкции по эксплуатации и техническому обслуживанию

Цель - исключение ошибок во время эксплуатации и технического обслуживания Э/Э/ПЭ СБЗС системы.

Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение Б, таблица Б.4).

Описание. Инструкции пользователя содержат важную информацию о способах использования и технического обслуживания систем. В особых случаях эти инструкции могут содержать также примеры общих способов установки СБ систем. Все инструкции должны быть выполнены легко воспринимаемыми. Для описания сложных процедур и зависимостей следует использовать рисунки и схемы.

Подробное описание данного метода/средства приведено в [30].

Б.4.2 Удобство для пользователя

Цель - снижение сложности эксплуатации Э/Э/ПЭ СБЗС систем.

Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение Б, таблица Б.4).

Описание. Правильность эксплуатации Э/Э/ПЭ СБЗС систем в определенной степени зависит от оператора. Рассматривая конкретный проект системы и рабочего места, проектировщик Э/Э/ПЭ СБЗС системы должен предусмотреть:

- необходимость минимального вмешательства человека;

- наиболее простой способ необходимого вмешательства;

- минимизацию причинения вреда из-за ошибок оператора;

- эргономические требования при проектировании средств вмешательства и индикации;

- простые, имеющие четкую маркировку и удобные для использования средства оператора;

- обеспечение неперенапряженности оператора даже в экстремальной ситуации;

- адаптацию обучения процедурам и средствам вмешательства оператора в процесс к уровням его знаний и мотивации.

Б.4.3 Удобство технического обслуживания

Цель - упрощение процедуры технического обслуживания Э/Э/ПЭ СБЗС системы и проектирование необходимых средств для эффективной диагностики и ремонта.

Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение Б, таблица Б.4).

Описание. Техническое обслуживание и ремонт часто проводят в сложных условиях ограничения предельных сроков их выполнения. Поэтому проектировщик Э/Э/ПЭ СБЗС системы должен предусмотреть:

- чтобы средства, относящиеся к техническому обслуживанию, требовались как можно реже или вообще не требовались;

- чтобы использовались достаточно чувствительные и легко управляемые диагностирующие средства для неизбежных ремонтов, включающие в себя все необходимые интерфейсы;

- чтобы было достаточно времени (если отдельные средства диагностики необходимо разработать или приобрести).

Б.4.4 Сокращение работ на стадии эксплуатации

Цель - снизить эксплуатационные возможности для обычного пользователя Э/Э/ПЭ СБЗС системы.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.4 и Б.6).

Описание. При этом подходе снижают эксплуатационные возможности системы посредством:

- ограничения операций в рабочих режимах, например, коммутаторами ключей;

- ограничения числа используемых в работе элементов;

- ограничения числа возможных в общем случае рабочих режимов.

Подробное описание данного метода/средства приведено в [30].

Б.4.5 Эксплуатация только квалифицированным оператором

Цель - исключение отказов, обусловленных ошибками оператора.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.4 и Б.6).

Описание. Оператор Э/Э/ПЭ СБЗС систем должен быть обучен до степени, соответствующей уровню сложности и УПБ этой системы. В обучение входит изучение основ процесса эксплуатации систем и взаимосвязей между Э/Э/ПЭ СБЗС системами и УО.

Подробное описание данного метода/средства приведено в [30].

Б.4.6 Защита от ошибок оператора

Цель - защита Э/Э/ПЭ СБЗС системы от всех видов ошибок оператора.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.4 и Б.6).

Описание. Ложные входные сообщения (значение, время и т.д.) обнаруживают проверками их достоверности или с помощью контролера УО. Для того чтобы объединить эти средства в проекте, необходимо на самом раннем этапе определить, какие из входных сообщений возможны и какие допустимы.

Б.4.7 Защита от модификаций

Цель - защита Э/Э/ПЭ СБЗС системы от модификаций АС техническими способами.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение А, таблицы А.17 и А.18).

Описание. Модификации или манипуляции обнаруживаются автоматически, например, проверками достоверности сигналов датчиков, обнаружением техническим процессом и автоматическими тестами пуска. Если обнаружена модификация, выполняется экстренное действие.

Б.4.8 Подтверждение ввода

Цель - обнаружение ошибок самим оператором во время работы Э/Э/ПЭ СБЗС системы, до активизации УО.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение А, таблицы А.17 и А.18).

Описание. Информация, вводимая из Э/Э/ПЭ СБЗС системы в УО, представляется оператору до передачи в УО с тем, чтобы оператор имел возможность обнаружить и исправить ошибки. Систему проектируют так, чтобы она могла реагировать на неправильные, самопроизвольные действия оператора и учитывать нижние/верхние пределы скорости и направление реакции оператора. Это позволяет исключить, например, более быстрое, чем предполагается, нажатие клавиш оператором, и настроить систему на восприятие двойного нажатия клавиши как одинарное или двойное за счет того, что система (изображение на экране) слишком медленно реагирует на разовое нажатие клавиши. Последовательное нажатие одной и той же клавиши при вводе критических данных должно восприниматься системой как одноразовое; нажатие клавиш "Ввод" (Enter) или "Да" (Yes) неограниченное число раз не должно приводить к нарушению безопасности системы.

Должны быть предусмотрены процедуры формирования временных пауз с возможностью выбора разных ответов (да/нет и т.п.) с тем, чтобы обеспечить резерв времени для размышления оператору, а системе - режим ожидания.

Любая перезагрузка ПЭ СБЗС системы делает эту систему уязвимой, если АС и ПО не спроектированы с учетом данной ситуации.

Б.5 Интеграция Э/Э/ПЭ СБЗС системы

Главная цель - исключение отказов Э/Э/ПЭ СБЗС системы на стадии интеграции и обнаружение любых отказов во время этой и предыдущей стадий.

Б.5.1 Функциональное тестирование

Цель - обнаружение отказов на стадиях создания спецификации и проектирования Э/Э/ПЭ СБЗС системы; исключение отказов во время реализации и интеграции ее АС и ПО.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.3 и Б.5) и в ГОСТ 34332.4-2021 (приложение А, таблицы А.5 - А.7 и приложение Б, таблицы Б.5 - Б.7).

Описание. В процессе функционального тестирования определяют, достигнуты ли заданные характеристики системы. В систему поступают входные данные, которые адекватно характеризуют обычное выполнение операций. Наблюдаемые выходные результаты сравнивают с заданными в спецификации. Отклонения от спецификации и указания на неполноту спецификации документально оформляют.

Функциональное тестирование электронных компонентов, предназначенных для многоканальной архитектуры, обычно включает в себя промышленные компоненты, каждый из которых поставщик уже протестировал и предварительно подтвердил соответствие. Помимо этого, рекомендуется, чтобы покупные промышленные компоненты были протестированы в сочетании с другими компонентами поставщика из той же партии, чтобы выявить неисправности группового типа, которые в противном случае остались бы не выявленными.

О достаточных рабочих возможностях системы см. также руководящие материалы (см. В.5.20 приложения В).

Подробное описание данного метода/средства приведено в [58], [61].

Б.5.2 Тестирование методом "черного ящика"

Цель - проверка динамического поведения Э/Э/ПЭ СБЗС системы в реальных условиях функционирования; выявление несоответствия функциональной спецификации и оценка ее полезности и устойчивости.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.3, Б.5 и Б.6) и в ГОСТ 34332.4-2021 (приложение А, таблицы А.5 - А.7 и приложение Б, таблицы В.5 - В.7).

Описание. Функции системы или программы выполняются в заданном окружении с заданными данными тестирования, которые систематически формируются из спецификации в соответствии с установленными критериями. Это позволяет сравнить поведение системы с ее спецификацией. При проведении тестирования не используют сведения о внутренней структуре системы. Основная цель состоит в том, чтобы определить, правильно ли выполняют функциональный модуль функции, требуемые спецификацией. Примером критерия тестирования данных методом "черного ящика" служит метод формирования эквивалентных классов. Массив входных данных подразделяют на конкретные диапазоны входных значений (эквивалентные классы) на основе спецификации. После этого формируют тестовые примеры, применяя:

- данные из допустимых диапазонов;

- данные из недопустимых диапазонов;

- данные предельных значений диапазонов;

- экстремальные значения;

- комбинации из перечисленных выше классов.

Могут оказаться эффективными также другие критерии выбора тестовых примеров в различных режимах тестирования (модуля, интеграции и системы). Например, критерий "экстремальные эксплуатационные условия" используют при тестировании системы в процессе подтверждения соответствия.

Подробное описание данного метода/средства приведено в [58], [62], [63].

Б.5.3 Статистическое тестирование

Цель - проверка динамического поведения Э/Э/ПЭ СБЗС системы и оценка ее полезности и устойчивости.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.3, Б.5 и Б.6).

Описание. При этом подходе тестируют систему или программу с входными данными, выбранными в соответствии с предполагаемым статистическим распределением реальных эксплуатационных входных данных - эксплуатационным профилем.

Подробное описание данного метода/средства приведено в [64].

Б.5.4 Полевые испытания

Цель - использование результатов полевых испытаний из различных областей применения в качестве одного из средств исключения сбоев во время интеграции Э/Э/ПЭ СБЗС системы и/или в процессе подтверждения ее соответствия.

Примечания

1 Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.3, Б.5 и Б.6).

2 См. также приложение В, В.2.10 - аналогичные средства, а в приложении Г - статистический подход - то и другое в контексте программного обеспечения.

Описание. Использование компонентов или подсистем, которые на практике показали отсутствие ошибок или незначительное их число, практически не изменяемое в течение продолжительного периода времени в многочисленных различных применениях. В частности, для сложных компонентов с множеством функций (например, операционной системы, интегральных схем) проектировщик должен обратить внимание на функции, которые были фактически протестированы в ходе полевых испытаний. Например, должны быть рассмотрены подпрограммы самотестирования для обнаружения сбоев, поскольку при отсутствии сбоев АС в период эксплуатации нет уверенности в том, что они протестированы, поскольку подпрограммы никогда не выполняли функций обнаружения своих собственных сбоев.

При проведении полевых испытаний должны быть соблюдены следующие требования:

- неизменность спецификации;

- наличие не менее 10 систем в различных применениях;

- продолжительность работы не менее 10 ⁵ час и техническое обслуживание не реже одного раза в год.

Примечание - В стандартах различных областей применения могут быть определены другие значения этих параметров.

Полевые испытания документируются поставщиком, проектировщиком и эксплуатирующей организацией. В документацию включают, по меньшей мере:

- точное обозначение системы и ее компонентов, включая управление версиями АС;

- сведения о пользователях и времени применения;

- отработанное время в часах;

- описание процедур выбора системы и прикладные программы, использованные при испытаниях;

- описание процедур обнаружения и регистрации сбоев, а также процедуры устранения их последствий и причин возникновения.

Подробное описание данного метода/средства приведено в [30], [65].

Б.6 Подтверждение соответствия Э/Э/ПЭ СБЗС системы

Главная цель - подтвердить, что Э/Э/ПЭ СБЗС система соответствует спецификации требований к системе и спецификации требований к ее проектированию.

Б.6.1 Функциональные испытания в условиях окружающей среды

Цель - оценка защищенности Э/Э/ПЭ СБЗС системы от типовых воздействий окружающей среды.

Примечание - Ссылка на данный метод/средство приведена в ГОСТ 34332.3-2021 (приложение Б, таблица Б.5).

Описание. Систему помещают в различные условия окружающей среды (например, в соответствии со стандартами на воздействие внешних факторов или стандартов на электромагнитную совместимость) и оценивают способности системы выполнять функции безопасности (на соответствие требованиям указанных стандартов).

Подробное описание данного метода/средства приведено в [26], [66].

Б.6.2 Испытания на устойчивость к перекрестным помехам

Цель - проверка способности Э/Э/ПЭ СБЗС систем выдерживать пиковые воздействия.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.5 и Б.6).

Описание. В систему загружают типичную прикладную программу и все периферийные линии (цифровые, аналоговые и последовательные интерфейсы, шины, источники питания и т.д.) подвергают воздействию стандартных шумовых сигналов. Для того чтобы получить их количественную оценку, целесообразно внимательно подходить к предельным значениям пиковых воздействий. Класс помех считается выбранным неверно, если функция системы не выполняется.

Подробное описание данного метода/средства приведено в ГОСТ IEC 60255-5.

Б.6.3 Статический анализ

Цель - исключение систематических дефектов, которые могут приводить к отказам в испытываемой Э/Э/ПЭ СБЗС системе вначале либо после продолжительной эксплуатации.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.5 и Б.6) и в ГОСТ 34332.4 (приложение А, таблица А.9; приложение Б, таблица Б.8; приложение В, таблицы В.9 и В.18).

Описание. Этот систематический и, возможно, автоматизированный метод позволяет исследовать конкретные статические характеристики прототипов системы для обеспечения полноты, согласованности, отсутствия неоднозначностей в рассматриваемых требованиях (например, в руководящих материалах по принципам построения, спецификациях и техническом паспорте системы). Статический анализ должен быть воспроизводимым и применимым к прототипу, который доведен до четко определенной завершающей стадии. Ниже приведены некоторые примеры статического АС и ПО:

- анализ согласованности потока данных (например, при тестировании, если данные об объекте интерпретируются как имеющие одно значение);

- анализ управления потоком (например, определение маршрутов, кода недоступности);

- анализ интерфейсов (например, исследование передачи переменных между различными программными модулями);

- анализ потока данных для обнаружения вызывающих сомнения последовательностей для переменных: создание - использование для обращения - удаление;

- проверка строгого соблюдения конкретных руководящих материалов (например, по вопросам: длина пути утечки тока и зазоры, расстояние между группами модулей, физическое расположение модулей, механически чувствительные физические модули, индивидуальное использование физических модулей при их внедрении).

Подробное описание данного метода/средства приведено в [67].

Б.6.4 Динамический анализ и тестирование

Цель - обнаружение ошибок в спецификации путем исследования динамического поведения прототипа Э/Э/ПЭ СБЗС системы на завершающих стадиях.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.5 и Б.6) и в ГОСТ 34332.4-2021 (приложение А, таблицы А.5, А.9; приложение Б, таблица Б.2; приложение В, таблицы В.5, В.9 и В.12).

Описание. Динамический анализ систем проводят при подаче на вход прототипа Э/Э/ПЭ СБЗС системы, входных данных, которые типичны для заданного эксплуатационного окружения. Анализ считают удовлетворительным, если наблюдаемое поведение СБ системы соответствует требуемому поведению. Любой отказ системы должен быть устранен, после чего должны быть проанализированы новые варианты эксплуатации системы.

Подробное описание данного метода/средства приведено в [68].

Б.6.5 Анализ отказов

Б.6.5.1 Анализ видов и последствий отказов

Цель - проведение анализа проекта Э/Э/ПЭ СБЗС системы с систематическим исследованием всех возможных причин отказов компонентов системы и определением влияния этих отказов на поведение и безопасность системы.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.3-2021 (приложение Б, таблицы Б.5 и Б.6).

Описание. Анализ обычно проводят экспертным методом. Каждый компонент системы анализируют по очереди с тем, чтобы выявить набор режимов отказов для компонента, их причины и последствия (на локальном уровне и на уровне всей системы), процедуры обнаружения и рекомендации. При выдаче рекомендаций их документально оформляют в виде корректирующих действий.

Подробное описание данного метода/средства приведено в [30], [69].

Б.6.5.2 Причинно-следственные диаграммы

Цель - моделирование Э/Э/ПЭ СБЗС системы с помощью причинно-следственных диаграмм, которые позволяет представить проект системы в виде последовательности комбинаций базовых событий.

Примечание - Ссылки на данный метод/средство приведены в ГОСТ 34332.4-2021 (приложение Б, таблицы Б.3, Б.4 и приложение В, таблицы В.13 и В.14).

Описание. Данный метод может рассматриваться как комбинация процедур анализа с помощью дерева отказов и дерева событий. Начиная с критического (начального) события, граф последствий просматривают в прям