Приложение А (справочное). Методы и средства управления отказами Е/Е/РЕ СБЗС-систем. Национальный стандарт РФ ГОСТ Р 53195.3-2009 "Безопасность функциональная связанных с безопасностью зданий и сооружений систем. Часть 3. Требования к системам" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 13.08.2009 N 293-ст) (утратил силу)

Приложение А
(справочное)

Методы и средства управления отказами Е/Е/РЕ СБЗС-систем

А.1 Общие положения

Настоящее приложение следует использовать совместно с 5.7. Оно ограничивает максимальный охват диагностикой, что может потребоваться для выбора подходящих методов и средств управления отказами. Для каждого уровня полноты безопасности в приложении рекомендованы методы и средства управления случайными, систематическими, эксплуатационными отказами и отказами, обусловленными влиянием окружения систем.

Перечислить каждую индивидуальную физическую причину отказов в сложных АС не представляется возможным по двум основным причинам:

- причинно-следственные связи между ошибками и отказами часто трудно определить;

- при использовании сложных АС и ПО характер отказов изменяется в широком диапазоне - от случайных до систематических отказов.

Отказы в Е/Е/РЕ СБЗС-системах могут быть разделены на две категории в зависимости от времени их возникновения:

- отказы из-за ошибок, возникающих до или в период установки системы (например вследствие ошибок ПО, включая ошибки спецификации ПО и ошибки программы; вследствие ошибок в АС, включая производственные ошибки и неправильный выбор компонентов и модулей);

- отказы из-за технических ошибок или ошибок оператора, возникающих после установки системы (например случайные отказы АС или отказы, вызванные неправильным их использованием).

Для предотвращения таких отказов или управления ими, когда они происходят, требуется применение большого числа мер. "Меры" - это проведение мероприятий с использованием определенных "методов" и/или "средств", которые обозначены в таблицах и тексте как "метод/средство". Структура требований, приведенных в приложениях А и Б, является следствием разделения всех методов/средств на методы/средства, используемые для предупреждения отказов в течение различных стадий жизненного цикла Е/Е/РЕ СБЗС-систем (приложение Б), и методы/средства, используемые для управления отказами в период эксплуатации (настоящее приложение). Методы/средства управления отказами - это методы/средства, основанные на применении собственных встроенных составляющих Е/Е/РЕ СБЗС-систем.

Охват диагностикой и доля безопасных отказов Е/Е/РЕ СБЗС-систем определяются на основе таблицы А.1 и в соответствии с процедурами, детализированными в приложении Б. Таблицы А.2 - А.15 дополняют требования таблицы А.1 методами и средствами для диагностических тестов и требованиями к минимальным уровням охвата диагностикой, которые могут быть достигнуты при их использовании. Требования этих таблиц не заменяют требования, приведенные в приложении Б. Требования таблиц А.2 - А.15 не являются исчерпывающими. Могут быть использованы другие методы и средства, если приведено свидетельство об обеспечении необходимого охвата диагностикой. Если требуется высокий уровень охвата диагностикой, то из каждой из этих таблиц должна быть применена как минимум одна мера (метод/средство) по охвату диагностикой высокого уровня.

По аналогии таблицы А.16 - А.18 содержат рекомендуемые меры (методы/средства) для управления систематическими отказами для каждого уровня полноты безопасности. В таблице А.16 рекомендуются полные меры для управления систематическими отказами. В таблице А.17 даны рекомендуемые меры по управлению отказами из-за влияния окружающей среды. В таблице А.18 приведены меры (методы/средства) по управлению ошибками при эксплуатации. Большинство этих мер по управлению систематическими отказами может быть структурировано в соответствии с таблицей А.19.

Руководящие указания в настоящем приложении не гарантируют сами по себе требуемую полноту безопасности. При их применении важно определить:

- последовательность выбранных методов/средств и то, как они будут дополнять друг друга,

- какие методы/средства в наибольшей степени подходят для решения конкретных задач, которые возникают во время создания каждой заданной Е/Е/РЕ СБЗС-системы.

А.2 Полнота безопасности АС

В таблице А.1 представлены требования к ошибкам или отказам, которые должны быть обнаружены с использованием методов/средств по управлению отказами АС Е/Е/РЕ СБЗС-систем для достижения соответствующего уровня охвата диагностикой (см. также приложение Б). Таблицы А.2 - А.15 дополняют требования, приведенные в таблице А.1, рекомендуемыми методами/средствами для диагностических тестов и рекомендуемыми минимальными требованиями к охвату диагностикой, который может быть достигнут с их применением. Эти диагностические тесты могут выполняться непрерывно или периодически. Указанные таблицы не заменяют ни одного из требований подраздела 5.7.

Таблица А.1 - Ошибки и отказы, которые должны быть обнаружены в период эксплуатации или должны быть проанализированы при определении доли безопасных отказов

Наименование компонента(ов) системы	Номер таблицы	Наименование, описание ошибок и отказов, моделей их обнаружения при уровне охвата диагностикой АС систем
		низком (60%)	среднем (90%)	высоком (99%)
Электромеханические устройства	А.2	Невключение или неотключение. Приваривание ("залипание") контактов	Не включение или не отключение. Приваривание ("залипание") отдельных контактов	Не включение или не отключение. Приваривание ("залипание") отдельных контактов. Конкретные руководства отсутствуют
Дискретные АС: - цифровой вход/выход	A.3, А.7, А.9, А.11	Непрерывный отказ	Модель отказов из-за отклонений и колебаний постоянного тока	Модель отказов из-за отклонений и колебаний постоянного тока
- аналоговый вход/выход		Непрерывный отказ	Модель отказов из-за отклонений и колебаний постоянного тока	Модель отказов из-за отклонений и колебаний постоянного тока
- источник питания		Непрерывный отказ	Модель отказов из-за отклонений и колебаний постоянного тока	Модель отказов из-за отклонений и колебаний постоянного тока
Шина: - общая шина	A.3, А.7, А.8	Непрерывный отказ адресов	Молчание	Молчание
- элемент управления памятью		Непрерывный отказ данных или адресов	Неверное декодирование адреса	Неверное декодирование адреса
- прямой доступ к памяти		Непрерывный отказ данных или адресов	Модель непрерывного отказа данных и адресов. Неверное время доступа	Все отказы, влияющие на данные в памяти. Неверные данные или адреса. Неверное время доступа
- управление доступом к шине (см. примечание 1)		Непрерывный отказ сигналов управления доступом к шине	Отсутствует или неправильное управление доступом к шине	Отсутствует или неправильное управление доступом к шине
Процессор: - регистр, внутреннее ОЗУ	А.4, А.10	Непрерывный отказ для данных или адресов	Модель отказов по постоянному току для данных и адресов	Модель отказов по постоянному току для данных и адресов. Динамическая переброска ячеек памяти. Отсутствует, неверная или множественная адресация
- устройство кодирования и выполнения, включая регистр признаков		Неверное кодирование или невыполнение	Неверное кодирование или неверное выполнение	Отсутствует определение предполагаемого отказа
- устройство вычисления адреса		Непрерывный отказ	Модель отказов при постоянном токе	Отсутствует определение предполагаемого отказа
- счетчик команд, указатель стека		Непрерывный отказ	Модель отказов при постоянном токе	Модель отказов при постоянном токе
Устройство обработки прерываний	А.4	Отсутствуют или непрерывные прерывания	Отсутствуют или непрерывные прерывания. Пересечение прерываний	Отсутствуют или непрерывные прерывания. Пересечение прерываний
Постоянная память	А.5	Непрерывный отказ для данных или адресов	Модель отказов по постоянному току для данных и адресов	Все отказы, влияющие на данные в памяти
Переменная память	А.6	Непрерывный отказ для данных или адресов	Модель отказов по постоянному току для данных и адресов. Изменение информации, вызванное ошибками ПО для ОЗУ 1 МБ и выше	Модель отказов по постоянному току для данных и адресов. Динамическое пересечение ячеек памяти. Отсутствует, неверная или множественная адресация. Изменение информации, вызванное ошибками ПО для ОЗУ 1 МБ и выше
Устройство синхронизации (кварцевое)	А.12	Нижняя или верхняя гармоника	Нижняя или верхняя гармоника	Нижняя или верхняя гармоника
Устройство связи и запоминающее устройство большой емкости	А.13	Неверные данные или адреса. Отсутствует передача данных	Все отказы, влияющие на данные в памяти. Неверные данные или адреса. Неверное время передачи	Все ошибки, влияющие на данные в памяти. Неверные данные или адреса. Неверное время передачи
Сенсоры	А.14	Непрерывный отказ	Неверная последовательность передачи. Модель отказов из-за отклонений и колебаний постоянного тока	Неверная последовательность передачи. Модель отказов из-за отклонений и колебаний постоянного тока
Оконечные элементы	А.15	Непрерывный отказ	Модель отказов из-за отклонений и колебаний постоянного тока	Модель отказов из-за отклонений и колебаний постоянного тока
Примечания 1 "Непрерывный" - категория отказа, которая может быть описана всеми нулями (0) или единицами (1) на контактах компонента. 2 "Модель отказов по постоянному току" включает следующие модели отказов: непрерывные отказы, открытые непрерывные, открытые выходы или выходы с высоким сопротивлением, а также короткие замыкания в соединительных линиях.

Таблица А.2 - Уровень охвата диагностикой электрических подсистем в зависимости от применяемых методов/средств диагностики

Метод/средство диагностики	Максимально достижимый рассматриваемый уровень охвата диагностикой	Примечание
Обнаружение отказов путем мониторинга в режиме внешнего управления	Низкий (режим с низкой частотой запросов). Средний (режим с высокой частотой запросов или с непрерывным запросом)	Зависит от охвата диагностикой для обнаружения отказов
Мониторинг контактов реле	Высокий	-
Компаратор		Высокий уровень, если отказы преимущественно безопасны
Мажоритарная схема голосования	Высокий	Зависит от качества устройства голосования
Принцип реактивного тока	Низкий	Только для Е/Е/РЕ СБЗС-систем, где не требуется непрерывное управление для достижения и поддержания безопасного состояния УО
Примечания 1 Данные требования не заменяют ни одного из требований, приведенных в приложении Б. 2 Требования, приведенные в приложении Б, могут быть применены для определения уровня охвата диагностикой.

Таблица А.3 - Уровень охвата диагностикой электронных подсистем в зависимости от применяемых методов/средств диагностики

Метод/средство диагностики	Максимально достижимый рассматриваемый уровень охвата диагностикой	Примечание
Обнаружение отказов путем мониторинга в режиме внешнего управления (онлайн)	Низкий (режим с низкой частотой запросов). Средний (режим с высокой частотой запросов или с непрерывным запросом)	Зависит от охвата диагностикой для обнаружения отказов
Компаратор	Высокий	Высокий, если режимы отказов, в основном, безопасно диагностируются
Мажоритарная схема голосования	Высокий	Зависит от качества устройства голосования
Тестирование с использованием избыточных аппаратных средств	Средний	Зависит от охвата диагностикой для обнаружения отказов
Динамические принципы		Зависит от охвата диагностикой для обнаружения отказов
Стандартный тестовый порт доступа и структура граничного сканирования	Высокий	Зависит от охвата диагностикой для обнаружения отказов
Контролируемая избыточность		Зависит от степени избыточности и текущего контроля
Аппаратные средства с автоматической проверкой	Высокий	Зависит от охвата диагностикой тестами
Текущий контроль аналоговых сигналов	Низкий	-
Примечания 1 Данные требования не заменяют ни одного из требований, приведенных в приложении Б. 2 Требования, приведенные в приложении Б, могут быть применены для определения уровня охвата диагностикой.

Таблица А.4 - Уровень охвата диагностикой устройств обработки в зависимости от применяемых методов/средств диагностики

Метод/средство диагностики	Максимально достижимый рассматриваемый уровень охвата диагностикой	Примечание
Компаратор	Высокий	Зависит от качества сравнения
Мажоритарная схема голосования		Зависит от качества устройства голосования
Самотестирование с использованием ПО: ограниченное число модулей (один канал)	Низкий	-
Самотестирование с использованием ПО: "блуждающий бит" (один канал)	Средний
Самотестирование с использованием АС (один канал)
Запрограммированная обработка (один канал)	Высокий
Взаимное сравнение с использованием ПО		Зависит от качества сравнения
Примечания 1 Данные требования не заменяют ни одного из требований, приведенных в приложении Б. 2 Требования, приведенные в приложении Б, могут быть применены для определения уровня охвата диагностикой.

Таблица А.5 - Уровень охвата диагностикой неизменяемых областей в зависимости от применяемых методов/средств диагностики

Метод/средство диагностики	Максимально достижимый рассматриваемый уровень охвата диагностикой	Примечание
Многобитовая избыточность защиты слов	Средний	-
Модифицированная контрольная сумма	Низкий
Сигнатура из одного слова (8 бит)	Средний	Эффективность сигнатуры зависит от ее длины по отношению к длине блока защищаемой информации
Сигнатура из двух слов (16 бит)	Высокий	Эффективность сигнатуры зависит от ее длины по отношению к длине блока защищаемой информации
Дублирование блока		-
Примечания 1 Данные требования не заменяют ни одного из требований, приведенных в приложении Б. 2 Требования, приведенные в приложении Б, могут быть применены для определения уровня охвата диагностикой.

Таблица А.6 - Уровень охвата диагностикой переменных областей памяти в зависимости от применяемых методов/средств диагностики

Метод/средство диагностики	Максимально достижимый рассматриваемый уровень охвата диагностикой
Тест ОЗУ "шахматная доска" или "марш"	Низкий
Тест ОЗУ "блуждающая траектория"	Средний
Тест ОЗУ "GALPAT" - попарная запись - считывание с использованием бегущего кода или "Прозрачный GALPAT"	Высокий
Тест ОЗУ "Авраам"
Бит четности для ОЗУ	Низкий
Контроль ОЗУ с использованием модифицированного кода Хэмминга или обнаружение сбоев данных с использованием кодов обнаружения и коррекции ошибок	Высокий
Дублированное ОЗУ с аппаратным или программным сравнением и контролем считывания/записи
Примечания 1 Данные требования не заменяют ни одного из требований, приведенных в приложении Б. 2 Требования, приведенные в приложении Б, могут быть применены для определения уровня охвата диагностикой.

Таблица А.7 - Уровень охвата диагностикой устройства входа/выхода и интерфейсов (внешняя связь) в зависимости от применяемых методов/средств диагностики

Метод/средство диагностики	Максимально достижимый рассматриваемый уровень охвата диагностикой	Примечание
Тестирующая комбинация	Высокий	-
Обнаружение отказов путем мониторинга в режиме внешнего управления	Низкий (режим с низкой частотой запросов). Средний (режим с высокой частотой запросов или с непрерывным запросом)	Зависит от охвата диагностикой для обнаружения отказов
Кодовая защита	Высокий	-
Многоканальный параллельный выход		Только если поток данных изменяется во время интервала тестовых проверок
Контролируемый выход	Высокий	Только если поток данных изменяется во время интервала тестовых проверок
Сравнение / голосование на входе (избыточность 1оо2, 2оо3 или более высокая избыточность)
Примечания 1 Данные требования не заменяют ни одного из требований, приведенных в приложении Б. 2 Требования, приведенные в приложении Б, могут быть применены для определения уровня охвата диагностикой.

Таблица А.8 - Уровень охвата диагностикой маршрутизаторов данных (внутренняя связь) в зависимости от применяемых методов/средств диагностики

Метод/средство диагностики	Максимально достижимый рассматриваемый уровень охвата диагностикой	Примечание
Однобитовая аппаратная избыточность	Низкий	-
Многобитовая аппаратная избыточность	Средний
Полная аппаратная избыточность	Высокий
Анализ с использованием тестирующих комбинаций
Избыточность при передаче		Эффективно только для неустойчивых сбоев
Информационная избыточность		-
Примечания 1 Данные требования не заменяют ни одного из требований, приведенных в приложении Б. 2 Требования, приведенные в приложении Б, могут быть применены для определения уровня охвата диагностикой.

Таблица А.9 - Уровень охвата диагностикой источников питания в зависимости от применяемых методов/средств диагностики

Метод/средство диагностики	Максимально достижимый рассматриваемый уровень охвата диагностикой	Примечание
Защита от перенапряжения с защитой от короткого замыкания или отключением/подключением ко второму источнику питания	Низкий	Рекомендуется использовать всегда в дополнение к другим методам настоящей таблицы
Контроль напряжения (вторичного) с безопасным отключением/подключением ко второму источнику питания	Высокий	-
Отключение питания с защитой от короткого замыкания и отключение/подключение ко второму источнику питания	Высокий	Рекомендуется использовать всегда в дополнение к другим методам настоящей таблицы
Принцип реактивного тока	Низкий	Полезен только против отключения питания
Примечания 1 Данные требования не заменяют ни одного из требований, приведенных в приложении Б. 2 Требования, приведенные в приложении Б, могут быть применены для определения уровня охвата диагностикой.

Таблица А.10 - Уровень охвата диагностикой в зависимости от применяемых методов/средств диагностики последовательности выполнения программ (дежурного таймера)

Метод/средство диагностики	Максимально достижимый рассматриваемый уровень охвата диагностикой	Примечание
Дежурный таймер с отдельной временной базой без временного окна	Низкий	-
Дежурный таймер с отдельной временной базой и временным окном	Средний	-
Логический мониторинг последовательности выполнения программ		Зависит от качества мониторинга
Комбинация временного и логического мониторинга последовательности выполнения программ	Высокий	-
Временной мониторинг-тест с внешним контролем	Средний	-
Примечания 1 Данные требования не заменяют ни одного из требований, приведенных в приложении Б. 2 Требования, приведенные в приложении Б, могут быть применены для определения уровня охвата диагностикой.

Таблица А.11 - Уровень охвата диагностикой в зависимости от применяемых методов/средств диагностики системы вентиляции и подогрева (при необходимости)

Метод/средство диагностики	Максимально достижимый рассматриваемый уровень охвата диагностикой
Датчик температуры	Средний
Управление вентиляцией
Безопасное выключение с использованием плавкого предохранителя	Высокий
Пороговые сообщения от термодатчиков и условная тревога
Соединение устройства принудительного охлаждения воздуха и индикатора состояния
Примечания 1 Данные требования не заменяют ни одного из требований, приведенных в приложении Б. 2 Требования, приведенные в приложении Б, могут быть применены для определения уровня охвата диагностикой.

Таблица А.12 - Уровень охвата диагностикой в зависимости от применяемых методов/ диагностики генератора тактовой частоты

Метод/средство диагностики	Максимально достижимый рассматриваемый уровень охвата диагностикой	Примечание
Дежурный таймер с отдельным временным периодом без временного окна	Низкий	-
Дежурный таймер с отдельной временной базой и временным окном	Средний	Зависит от временных ограничений для временного окна
Логический мониторинг последовательности выполнения программ		Эффективно только при отказе генератора тактовой частоты, если внешние временные события влияют на процесс выполнения программы
Комбинация временного и логического мониторинга последовательности выполнения программ	Высокий	-
Временной мониторинг с внешним контролем	Средний	-
Примечания 1 Данные требования не заменяют ни одного из требований, приведенных в приложении Б. 2 Требования, приведенные в приложении Б, могут быть применены для определения уровня охвата диагностикой.

Таблица А.13 - Уровень охвата диагностикой в зависимости от применяемых методов/средств диагностики устройства связи и запоминающее устройство большой емкости

Метод/средство диагностики	Максимально достижимый рассматриваемый уровень охвата диагностикой	Примечание
Обмен информацией между Е/Е/РЕ СБЗС-системой и процесс обработки информации	См. таблицу А.7	См. устройства вх/вых и интерфейс
Обмен информацией между Е/Е/РЕ СБЗС-системами	См. таблицу А.8	См. цепи/шины данных
Разделение линий электрического питания и линий передачи информации	Высокий	Рекомендуется использовать всегда в дополнение к другим методам в этой таблице
Пространственное разделение групповых линий		-
Увеличение устойчивости к электромагнитным воздействиям		-
Передача сигнала без наводок		-
Примечания 1 Данные требования не заменяют ни одного из требований, приведенных в приложении Б. 2 Требования, приведенные в приложении Б, могут быть применены для определения уровня охвата диагностикой.

Таблица А.14 - Уровень охвата диагностикой в зависимости от применяемых методов/средств диагностики датчиков (сенсорных устройств)

Метод/средство диагностики	Максимально достижимый рассматриваемый уровень охвата диагностикой	Примечание
Обнаружение отказов путем мониторинга в режиме с внешним управлением (онлайн)	Низкий (режим с низкой частотой запросов). Средний (режим с высокой частотой запросов или с непрерывным запросом)	Зависит от диагностического охвата обнаружения отказов
Принцип реактивного тока	Низкий	Только для Е/Е/РЕ СБЗС-систем, где не требуется непрерывное управление для достижения и поддержания безопасного состояния УО
Текущий контроль аналоговых сигналов	Низкий	-
Тестирующая комбинация	Высокий	-
Сравнение/голосование на входе (избыточность 1оо2, 2оо3 или более высокая избыточность)	Высокий	Только если поток данных изменяется во время диагностического тестового интервала
Эталонный датчик		Зависит от охвата диагностикой обнаружения отказов
Положительно активизированный переключатель	Высокий	-
Примечания 1 Данные требования не заменяют ни одного из требований, приведенных в приложении Б. 2 Требования, приведенные в приложении Б, могут быть применены для определения уровня охвата диагностикой.

Таблица А.15 - Уровень охвата диагностикой оконечных элементов (приводов) в зависимости от применяемых методов/средств диагностики

Метод/средство диагностики	Максимально достижимый рассматриваемый уровень охвата диагностикой	Примечание
Обнаружение отказов путем мониторинга в оперативном режиме (онлайн)	Низкий (режим с низкой частотой запросов). Средний (режим с высокой частотой запросов или с непрерывным запросом)	Зависит от диагностического охвата обнаружения отказов
Мониторинг контактов реле	Высокий	-
Тестирующая комбинация		-
Мониторинг		Зависит от диагностического охвата обнаружения отказов
Принцип реактивного тока	Низкий	Только для Е/Е/РЕ СБЗС-систем, где не требуется непрерывное управление для достижения и поддержания безопасного состояния УО
Перекрестный контроль сложных приводов	Высокий	-
Примечания 1 Данные требования не заменяют ни одного из требований, приведенных в приложении Б. 2 Требования, приведенные в приложении Б, могут быть применены для определения уровня охвата диагностикой.

А.3 Полнота безопасности в отношении систематических отказов

Рекомендации к мерам (методам/средствам), применяемым для управления отказами, приведены в таблицах А.16 - А.18. Рекомендуемые методы/средства управления отказами, связанными с проектированием АС и ПО, приведены в таблице А.16, вызванными воздействиями или влияниями окружения на системы - в таблице А.17, возникающими в ходе эксплуатации, - в таблице А.18.

Рекомендации, приведенные в таблицах А.16 - А.18, отнесенные к уровням полноты безопасности, устанавливают, во-первых, важность метода /средства и, во-вторых, эффективность его использования.

Таблица А.16 - Уровень эффективности методов/средств управления систематическими отказами при разработке АС и ПО для различных уровней полноты безопасности

Вид заливки	Метод/средство	Уровень эффективности методов/средств для
		SIL1	SIL2	SIL3	SIL4
	Мониторинг последовательности выполнения программ	КР (HR) низкий	КР (HR) низкий	КР (HR) средний	КР (HR) высокий
	Обнаружение отказов путем мониторинга в режиме онлайн (см. примечание 2)	P (R) низкий	P (R) низкий	P (R) средний	P (R) высокий
	Тестирование избыточными аппаратными средствами	P (R) низкий	P (R) низкий	P (R) средний	P (R) высокий
	Стандартный тестовый порт доступа и структура граничного сканирования	P (R) низкий	P (R) низкий	P (R) средний	P (R) высокий
	Кодовая защита	P (R) низкий	P (R) низкий	P (R) средний	P (R) высокий
	Разнообразие аппаратных средств	- низкий	- низкий	P (R) средний	P (R) высокий
	Обнаружение и диагностика ошибок	Методы и средства должны быть определены в нормативных документах на ПО
	Обнаружение и исправление ошибок
	Программирование с проверкой ошибок
	Методы "подушки безопасности"
	Многовариантное программирование
	Блоки восстановления
	Восстановление предыдущего состояния
	Прямое восстановление
	Повторный запуск механизмов восстановления после отказов
	Сохранение достигнутых состояний
	Постепенное отключение функций
	Исправление ошибок методами искусственного интеллекта
	Динамическое реконфигурирование
Примечания 1 Пояснение обозначений, приведенных под каждым уровнем полноты безопасности, приведено в тексте, предшествующем настоящей таблице. 2 Для Е/Е/РЕ СБЗС-систем, действующих в режиме с низкой частотой запросов (например систем аварийного отключения системы или оборудования), охват диагностикой, достигаемый путем обнаружения отказа с помощью мониторинга в режиме внешнего управления (онлайн), обычно является низким или отсутствует. 3 Для управления систематическими отказами при разработке АС и ПО Е/Е/РЕ СБЗС-систем требуется выполнение хотя бы одного из методов, помеченных серой заливкой.

Таблица А.17 - Уровень эффективности методов/средств управления систематическими отказами, вызванными воздействиями окружения на Е/Е/РЕ СБЗС-системы с различным уровнем полноты безопасности

Вид заливки	Метод/средство управления систематическими отказами	Уровень эффективности методов /средств для
		SIL1	SIL2	SIL3	SIL4
	Методы/средства против пропадания напряжения, изменений напряжения, перенапряжения, низкого напряжения	КР (HR) обязательный	КР (HR) обязательный	КР (HR) обязательный	КР (HR) обязательный
	Разделение линий электропитания и линий передачи информации (см. примечание 2)	КР (HR) обязательный	КР (HR) обязательный	КР (HR) обязательный	КР (HR) обязательный
	Повышение устойчивости к электромагнитным воздействиям	КР (HR) обязательный	КР (HR) обязательный	КР (HR) обязательный	КР (HR) обязательный
	Средства против физического воздействия окружающей среды (например температуры, влажности, воды, вибраций, пыли, разъедающих веществ)	КР (HR) обязательный	КР (HR) обязательный	КР (HR) обязательный	КР (HR) обязательный
	Мониторинг последовательности выполнения программ	КР (HR) низкий	КР (HR) низкий	КР (HR) средний	КР (HR) высокий
	Методы/средства против повышения температуры	КР (HR) низкий	КР (HR) низкий	КР (HR) средний	КР (HR) высокий
	Пространственное разделение групповых линий связи	КР (HR) низкий	КР (HR) низкий	КР (HR) средний	КР (HR) высокий
	Обнаружение отказов путем мониторинга в режиме внешнего управления (см. примечание 3)	P (R) низкий	P (R) низкий	P (R) средний	P (R) высокий
	Тестирование избыточными аппаратными средствами	P (R) низкий	P (R) низкий	P (R) средний	P (R) высокий
	Передача неэквивалентных сигналов	P (R) низкий	P (R) низкий	P (R) средний	P (R) высокий
	Разнообразие аппаратных средств (см. примечание 4)	- низкий	- низкий	- средний	P (R) высокий
	Структура программного обеспечения	Методы/средства должны быть определены в нормативных документах на ПО
Примечания 1 Пояснение обозначений, приведенных под каждым уровнем полноты безопасности, приведено в тексте, предшествующем таблице А.16. 2 Разделение линий электропитания и линий передачи информации не является необходимым при передаче информации по оптоволокну, а также в случаях передачи информации по низковольтным электрическим линиям, которые запроектированы для электропитания АС Е/Е/РЕ-систем и одновременной передачи по ним информации. 3 Для Е/Е/РЕ СБЗС-систем, действующих в режиме с низкой частотой запросов (например систем аварийного отключения системы или оборудования), охват диагностикой, достигаемый путем обнаружения отказа с помощью мониторинга в режиме внешнего управления, обычно является низким или отсутствует. 4 Для достижения целевых величин отказа разнообразие АС не требуется, если путем подтверждения соответствия или на основании большого опыта эксплуатации аналогичных АС может быть доказано, что они достаточно свободны от ошибок, возникающих на стадии проектирования и достаточно защищены от отказов по общей причине. 5 Для управления систематическими отказами в период эксплуатации при воздействии окружения на Е/Е/РЕ СБЗС-системы требуется выполнение хотя бы одного из методов/средств, помеченных серой заливкой.

Таблица А.18 - Уровень эффективности методов/средств управления систематическими отказами при эксплуатации Е/Е/РЕ СБЗС-систем

Вид заливки	Метод/средство управления систематическими отказами	Уровень эффективности методов /средств для
		SIL1	SIL2	SIL3	SIL4
	Защита от модификаций	КР (HR) обязательный	КР (HR) обязательный	КР (HR) обязательный	КР (HR) обязательный
	Обнаружение отказов путем мониторинга в режиме внешнего управления (см. примечание 3)	P (R) низкий	P (R) низкий	P (R) средний	P (R) высокий
	Подтверждение ввода	P (R) низкий	P (R) низкий	P (R) средний	P (R) высокий
	Программирование с проверкой ошибок	Методы/средства должны быть определены в нормативных документах на ПО
Примечания 1 Пояснение обозначений, приведенных под каждым уровнем полноты безопасности, приведено в тексте, предшествующем таблице А.16. 2 По крайней мере два средства/метода, приведенных в таблице, могут быть использованы для изменения эффективности в соответствии с таблицей А.19, в которой приведены примеры для низкого и высокого уровней эффективности. 3 Для Е/Е/РЕ СБЗС-систем, действующих в режиме с низкой частотой запросов (например систем аварийного отключения), охват диагностикой, достигаемый путем обнаружения отказа с использованием мониторинга в режиме внешнего управления, обычно является низким или отсутствует. 4 Для управления систематическими отказами в период эксплуатации Е/Е/РЕ СБЗС-системы требуется выполнение, по крайней мере, хотя бы одного из методов/средств, помеченных серой заливкой.

Важность методов/средств, указанных в таблицах А.16 - А.18, обозначена и характеризуется следующим образом:

КР (HR) - метод/средство крайне рекомендован(о) для указанного в таблице уровня полноты безопасности. Если он (оно) не используются, то должно быть приведено подробное обоснование неиспользования;

Р (R) - метод/средство рекомендован(о) для указанного в таблице уровня полноты безопасности. Требуется применение хотя бы одного из методов/средств, помеченных слева в левой колонке таблицы серой заливкой;

знак "-" - метод/средство, в отношении которого нет рекомендаций ни для применения, ни против применения;

Уровни эффективности и необходимость применения методов/средств управления отказами, приведенные в таблицах А.16 - А.18, обозначены и характеризуются следующим образом:

"обязательный" - метод/средство следует применять для всех уровней полноты безопасности, и он (оно) должен(но) быть использован(но) максимально эффективно [т.е. он (оно) обладает максимальной эффективностью];

"низкий" - метод/средство должен(но) быть использован(но) в степени, необходимой для получения, по крайней мере, низкого уровня эффективности противодействия систематическим отказам;

"средний" - метод/средство должен(но) быть применен(но) в степени, необходимой для получения, по крайней мере, среднего уровня эффективности противодействия систематическим отказам;

"высокий" - метод/средство должен(но) быть применен(о) в степени, необходимой для получения высокого уровня эффективности противодействия систематическим отказам.

Руководство по уровням эффективности для ряда методов/средств приведено в таблице А.19.

Если мера не является обязательной, то она может быть заменена другими мерами (индивидуальными или в комбинации), отмеченными серой заливкой в таблицах А.16 - А.18.

Таблица А.19 - Описание методов/средств управления систематическими отказами с различными уровнями эффективности

Метод/средство управления систематическими отказами	Описание метода/средства для уровней эффективности:
	низкого	высокого
Обнаружение отказов путем мониторинга в режиме внешнего управления (онлайн)*	Сигналы запуска от УО и его системы управления используются для контроля правильности действия Е/Е/РЕ СБЗС-систем (только характера изменения во времени и максимального времени реакции)	Е/Е/РЕ СБЗС-системы перезапускаются временными и логическими сигналами от УО и его системы управления (временное окно для временной функции дежурного таймера)
Тестирование избыточными аппаратными средствами*	Дополнительные проверки сигналов запуска Е/Е/РЕ СБЗС-систем с использованием АС (только характера изменения во времени и максимального времени реакции). Эти средства включают вспомогательное оконечное устройство	Дополнительные АС повторно перезапускаются временными и логическими сигналами Е/Е/РЕ СБЗС-систем (временное окно для временного дежурного таймера); голосование между несколькими каналами
Стандартный тестовый порт доступа и структура граничного сканирования	Проверка твердотельных логических интегральных микросхем (ИС) с использованием граничных тестовых испытаний в период контрольных испытаний	Диагностический контроль твердотельных логических ИС на соответствие спецификации функций безопасности Е/Е/РЕ СБЗС-систем. Проверяются все функции для всех интегральных микросхем
Кодовая защита	Обнаружение ошибок с использованием временной избыточности при передаче сигналов	Обнаружение ошибок с использованием временной и информационной избыточности при передаче сигналов
Мониторинг последовательности выполнения программ	Временной или логический мониторинг последовательности выполнения программ	Временной и логический мониторинг последовательности выполнения программ с большим числом контрольных точек в программе
Средства против повышения температуры	Температурный датчик, определяющий превышение температуры	Применение защитного отключения с использованием плавкого предохранителя
Повышение устойчивости к электромагнитным воздействиям*	Помехозащитный фильтр в источнике питания и на критических входах и выходах; экранирование, при необходимости	Фильтр против электромагнитных воздействий, которые обычно не ожидаются; экранирование
Средства против физического воздействия окружающей среды	Средства общепринятой практики в соответствии с применением	Средства, предусмотренные стандартами для конкретного применения
Разнообразие аппаратных средств	Два или более устройств, спроектированные по-разному, выполняют одну и ту же функцию	Два или более устройств, выполняющих различные функции
Подтверждение ввода	Отображение входных действий оператору	Проверка по строгим правилам входных данных, вводимых оператором, с отклонением неправильных входных данных
* В случае применения этих методов/средств для получения высокого уровня эффективности предполагается, что они могут быть также использованы для получения никого уровня эффективности.

Все перечисленные выше методы/средства являются встроенными компонентами Е/Е/РЕ СБЗС-систем, предназначенными для облегчения управления отказами в режиме внешнего управления. Для предотвращения введения ошибок следует применять процедурные и организационные методы/средства на протяжении всего жизненного цикла Е/Е/РЕ СБЗС-систем. Для проверки противодействия Е/Е/РЕ СБЗС-систем ожидаемым внешним воздействиям необходимо применять методы оценки соответствия для предоставления доказательств того, что встроенные компоненты соответствуют установленным требованиям (приложение В).

Примечание - Большинство методов/средств, приведенных в таблицах А.16 - А.18, может быть использовано с разным уровнем эффективности в соответствии с таблицей А.19, в которой приведено описание ряда методов/средств с низким и высоким уровнями эффективности. Затраты, требуемые для получения среднего уровня эффективности, находятся в пределах между затратами, необходимыми для получения низкого и высокого уровней эффективности.