Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение В
(обязательное)
Охват диагностикой и доля безопасных отказов
В.1 Расчет охвата диагностикой и доли безопасных отказов элемента аппаратного средства
Охват диагностикой и доля безопасных отказов элемента АС рассчитывают следующим образом:
- проводят анализ видов отказов и их влияния для определения влияния каждого вида отказов каждого компонента или группы компонентов в элементе на поведение Э/Э/ПЭ СБЗС систем в отсутствие диагностических проверок. В результате предоставляют информацию (см. примечания), достаточную для того, чтобы убедиться в том, что влияние видов отказов и результаты анализа этого влияния с достаточной степенью достоверности соизмеримы с требованиями полноты безопасности.
Примечания
1 Для проведения данного анализа необходимы:
- подробная блок-схема Э/Э/ПЭ СБЗС системы, описывающая элемент вместе со взаимосвязями для той части Э/Э/ПЭ СБЗС системы, которая затрагивает рассматриваемую(ые) функцию(ии) безопасности;
- схемные решения элемента АС, описывающие каждый компонент или группу компонентов и взаимосвязи между компонентами;
- виды отказов и частоты (интенсивности) отказов для каждого компонента или группы компонентов и связанные соотношения безопасных и опасных отказов к полной средней частоте (интенсивности) отказов в процентах.
2 Требуемая точность этого анализа зависит от ряда факторов (см. ГОСТ 34332.2-2017, подраздел 5.1). В частности, должен быть принят во внимание УПБ рассматриваемых функций безопасности. Для более высоких УПБ ожидается, что виды отказов и анализ влияний будут специфичными в соответствии с конкретными типами компонентов и существующими условиями окружающей среды. Также важен полный и подробный анализ для элемента, используемого в архитектуре АС, имеющего нулевую устойчивость к отказам АС;
- все виды отказов подразделяют на категории по признаку, является ли он (в отсутствие диагностических испытаний):
- безопасным отказом;
- опасным отказом;
- отказы компонентов, не принадлежащих Э/Э/ПЭ СБЗС системе, а также отказы, не влияющие на поведение Э/Э/ПЭ СБЗС системы, не должны учитываться при вычислении ОД или ДБО;
- оценив частоты отказов каждого компонента или группы компонентов и с учетом видов отказов и результатов анализа последствий каждого вида отказа каждого компонента или группы компонентов, вычисляют частоту безопасных отказов и частоту опасных отказов . Если одна из этих интенсивностей отказов не будет иметь постоянного значения, то необходимо оценить ее среднее число за конкретный период времени и использовать для вычислений ОД и ДБО.
Примечание - Частота отказов каждого компонента или группы компонентов может быть оценена с использованием данных из признанного промышленного источника с учетом окружающей среды применения. Однако применение специфических данных предпочтительнее, особенно в случаях, если элемент состоит из небольшого числа компонентов и если любая ошибка в оценке вероятности безопасных и опасных отказов конкретного компонента может оказать существенное влияние на оценку доли безопасных отказов;
- оценивают для каждого компонента или группы компонентов доли опасных отказов, которые могут быть обнаружены диагностическими тестами (см. Г.2 приложения Г), и, следовательно, частоты опасных отказов, обнаруженных диагностическими тестами ;
- вычисляют полные частоты опасных отказов , полные частоты опасных отказов, обнаруженных диагностическими тестами , и полные частоты безопасных отказов ;
- вычисляют охват диагностикой элемента, как /;
- вычисляют долю безопасных отказов элемента как
.
(В.1)
Примечания
1 Формула (В.1) применима, если значения интенсивностей отказов постоянны.
2 Охват диагностикой каждого элемента в Э/Э/ПЭ системе, связанной с безопасностью, должен учитываться при оценке достигаемой меры отказов для функции безопасности (см. 8.3.6.2). Доля безопасных отказов должна учитываться при определении архитектурных ограничений на полноту безопасности АС (см. 8.3.4).
При анализе, выполняемом для определения охвата диагностикой и доли безопасных отказов, следует охватывать все компоненты, в том числе электрические, электронные, электромеханические, механические и т.п., необходимые элементу для выполнения функции(й) безопасности, которые требуются Э/Э/ПЭ СБЗС системе. Для каждого из компонентов должны быть рассмотрены все возможные виды опасных отказов, которые приводят к опасному состоянию, препятствуют реакции безопасности, если такая реакция определена, или ставят под угрозу полноту безопасности Э/Э/ПЭ СБЗС систем.
Ошибки и отказы, которые должны быть обнаружены в период эксплуатации или проанализированы при определении доли безопасных отказов, приведены в таблице А.1.
Если для анализа видов отказов и их влияния используют эксплуатационные данные, то достаточно обеспечить требования полноты безопасности. При этом требуемый нижний предел статистической односторонней достоверности должен быть не менее 70 %.
Примечание - Для вычисления степени охвата диагностикой допускается использовать альтернативные методы, например моделирование ошибок с помощью более точных компьютерных моделей как для схем Э/Э/ПЭ СБЗС систем, так и для используемых при их разработке электронных компонентов, например использование моделей транзисторов для моделирования ИС.
В.2 Определение факторов охвата диагностикой
При вычислении охвата диагностикой для элемента (см. В.1) для каждого компонента или группы компонентов необходимо оценить долю опасных отказов, обнаруживаемых диагностическими тестами. Диагностические тесты, которые могут внести вклад в охват диагностикой, включают в себя (но не ограничиваются) такие меры, как:
- сравнительные проверки, например контроль и сравнение избыточных (резервных) сигналов;
- дополнительные встроенные тестовые программы, например вычисление контрольных сумм в устройстве памяти;
- контроль с помощью внешних воздействий, например пропусканием импульсного сигнала через контролируемые тракты;
- непрерывный контроль аналогового сигнала, например для обнаружения выхода из диапазона уровней показаний при отказе сенсора.
Для вычисления охвата диагностикой необходимо определить те виды отказов, которые обнаруживаются диагностическими тестами. Возможно, что отказы, связанные с разомкнутыми или короткозамкнутыми цепями для простых компонентов (резисторов, конденсаторов, транзисторов), могут быть обнаружены методом стопроцентного охвата диагностикой. Однако для более сложных элементов типа Б (см. 8.3.4.3) должны быть учтены ограничения охвата диагностикой для различных компонентов, представленных в таблице А.1. Данный анализ должен быть проведен для каждого компонента или группы компонентов каждого элемента и каждой Э/Э/ПЭ СБЗС системы.
Примечания
1 Рекомендуемые методы и средства диагностического тестирования (испытания) и рекомендуемые максимальные диагностические охваты, которые могут потребоваться, приведены в таблицах А.2 - А.14. Данные тесты проводят непрерывно или периодически (в зависимости от интервала диагностического тестирования). Требования таблиц А.2 - А.14 не заменяют требований настоящего приложения.
2 Диагностические тесты могут обеспечить значительные преимущества в достижении функциональной безопасности Э/Э/ПЭ СБЗС системы. Однако следует не усложнять тестирование, что может привести к увеличению трудностей при проведении действий по проверке, подтверждению соответствия, оценке функциональной безопасности, технической поддержке и модификации. Усложнение тестирования может также затруднить длительное поддержание функциональной безопасности Э/Э/ПЭ СБЗС системы.
При расчетах охвата диагностикой и путей его использования предполагается, что УО успешно работают в присутствии другого опасного повреждения, обнаруженного диагностическими тестами. Если это предположение не верно, то Э/Э/ПЭ СБЗС систему следует рассматривать как систему, действующую в режиме с высокой частотой запросов или с непрерывным запросом (см. 8.3.9.3, 8.3.6.3 и 8.3.6.4).
Примечания
1 Диагностическое тестирование, используемое для обнаружения опасных отказов внутри элемента, может быть проведено другим элементом внутри Э/Э/ПЭ СБЗС системы.
2 Диагностические тесты могут быть проведены непрерывно или периодически, в зависимости от диагностического испытательного интервала. Могут существовать ситуации или интервалы времени, когда запуск диагностического испытания невозможен из-за того, что тестируемая система находится в неблагоприятном состоянии. В этом случае преимущества вычислений не могут помочь при диагностических испытаниях.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.