Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Национальный стандарт РФ ГОСТ Р 53195.3-2009 "Безопасность функциональная связанных с безопасностью зданий и сооружений систем. Часть 3. Требования к системам" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 13 августа 2009 г. N 293-ст) (утратил силу)
- Приложение А (справочное). Методы и средства управления отказами Е/Е/РЕ СБЗС-систем
Приложение А (справочное). Методы и средства управления отказами Е/Е/РЕ СБЗС-систем
Приложение А
(справочное)
Методы и средства управления отказами Е/Е/РЕ СБЗС-систем
А.1 Общие положения
Настоящее приложение следует использовать совместно с 5.7. Оно ограничивает максимальный охват диагностикой, что может потребоваться для выбора подходящих методов и средств управления отказами. Для каждого уровня полноты безопасности в приложении рекомендованы методы и средства управления случайными, систематическими, эксплуатационными отказами и отказами, обусловленными влиянием окружения систем.
Перечислить каждую индивидуальную физическую причину отказов в сложных АС не представляется возможным по двум основным причинам:
- причинно-следственные связи между ошибками и отказами часто трудно определить;
- при использовании сложных АС и ПО характер отказов изменяется в широком диапазоне - от случайных до систематических отказов.
Отказы в Е/Е/РЕ СБЗС-системах могут быть разделены на две категории в зависимости от времени их возникновения:
- отказы из-за ошибок, возникающих до или в период установки системы (например вследствие ошибок ПО, включая ошибки спецификации ПО и ошибки программы; вследствие ошибок в АС, включая производственные ошибки и неправильный выбор компонентов и модулей);
- отказы из-за технических ошибок или ошибок оператора, возникающих после установки системы (например случайные отказы АС или отказы, вызванные неправильным их использованием).
Для предотвращения таких отказов или управления ими, когда они происходят, требуется применение большого числа мер. "Меры" - это проведение мероприятий с использованием определенных "методов" и/или "средств", которые обозначены в таблицах и тексте как "метод/средство". Структура требований, приведенных в приложениях А и Б, является следствием разделения всех методов/средств на методы/средства, используемые для предупреждения отказов в течение различных стадий жизненного цикла Е/Е/РЕ СБЗС-систем (приложение Б), и методы/средства, используемые для управления отказами в период эксплуатации (настоящее приложение). Методы/средства управления отказами - это методы/средства, основанные на применении собственных встроенных составляющих Е/Е/РЕ СБЗС-систем.
Охват диагностикой и доля безопасных отказов Е/Е/РЕ СБЗС-систем определяются на основе таблицы А.1 и в соответствии с процедурами, детализированными в приложении Б. Таблицы А.2 - А.15 дополняют требования таблицы А.1 методами и средствами для диагностических тестов и требованиями к минимальным уровням охвата диагностикой, которые могут быть достигнуты при их использовании. Требования этих таблиц не заменяют требования, приведенные в приложении Б. Требования таблиц А.2 - А.15 не являются исчерпывающими. Могут быть использованы другие методы и средства, если приведено свидетельство об обеспечении необходимого охвата диагностикой. Если требуется высокий уровень охвата диагностикой, то из каждой из этих таблиц должна быть применена как минимум одна мера (метод/средство) по охвату диагностикой высокого уровня.
По аналогии таблицы А.16 - А.18 содержат рекомендуемые меры (методы/средства) для управления систематическими отказами для каждого уровня полноты безопасности. В таблице А.16 рекомендуются полные меры для управления систематическими отказами. В таблице А.17 даны рекомендуемые меры по управлению отказами из-за влияния окружающей среды. В таблице А.18 приведены меры (методы/средства) по управлению ошибками при эксплуатации. Большинство этих мер по управлению систематическими отказами может быть структурировано в соответствии с таблицей А.19.
Руководящие указания в настоящем приложении не гарантируют сами по себе требуемую полноту безопасности. При их применении важно определить:
- последовательность выбранных методов/средств и то, как они будут дополнять друг друга,
- какие методы/средства в наибольшей степени подходят для решения конкретных задач, которые возникают во время создания каждой заданной Е/Е/РЕ СБЗС-системы.
А.2 Полнота безопасности АС
В таблице А.1 представлены требования к ошибкам или отказам, которые должны быть обнаружены с использованием методов/средств по управлению отказами АС Е/Е/РЕ СБЗС-систем для достижения соответствующего уровня охвата диагностикой (см. также приложение Б). Таблицы А.2 - А.15 дополняют требования, приведенные в таблице А.1, рекомендуемыми методами/средствами для диагностических тестов и рекомендуемыми минимальными требованиями к охвату диагностикой, который может быть достигнут с их применением. Эти диагностические тесты могут выполняться непрерывно или периодически. Указанные таблицы не заменяют ни одного из требований подраздела 5.7.
Таблица А.1 - Ошибки и отказы, которые должны быть обнаружены в период эксплуатации или должны быть проанализированы при определении доли безопасных отказов
|
Наименование компонента(ов) системы |
Номер таблицы |
Наименование, описание ошибок и отказов, моделей их обнаружения при уровне охвата диагностикой АС систем |
||
|
низком (60%) |
среднем (90%) |
высоком (99%) |
||
|
Электромеханические устройства |
Невключение или неотключение. Приваривание ("залипание") контактов |
Не включение или не отключение. Приваривание ("залипание") отдельных контактов |
Не включение или не отключение. Приваривание ("залипание") отдельных контактов. Конкретные руководства отсутствуют |
|
|
Дискретные АС: - цифровой вход/выход |
A.3, А.7, А.9, |
Непрерывный отказ |
Модель отказов из-за отклонений и колебаний постоянного тока |
Модель отказов из-за отклонений и колебаний постоянного тока |
|
- аналоговый вход/выход |
Непрерывный отказ |
Модель отказов из-за отклонений и колебаний постоянного тока |
Модель отказов из-за отклонений и колебаний постоянного тока |
|
|
- источник питания |
Непрерывный отказ |
Модель отказов из-за отклонений и колебаний постоянного тока |
Модель отказов из-за отклонений и колебаний постоянного тока |
|
|
Шина: - общая шина |
A.3, А.7, |
Непрерывный отказ адресов |
Молчание |
Молчание |
|
- элемент управления памятью |
Непрерывный отказ данных или адресов |
Неверное декодирование адреса |
Неверное декодирование адреса |
|
|
- прямой доступ к памяти |
Непрерывный отказ данных или адресов |
Модель непрерывного отказа данных и адресов. Неверное время доступа |
Все отказы, влияющие на данные в памяти. Неверные данные или адреса. Неверное время доступа |
|
|
- управление доступом к шине (см. примечание 1) |
Непрерывный отказ сигналов управления доступом к шине |
Отсутствует или неправильное управление доступом к шине |
Отсутствует или неправильное управление доступом к шине |
|
|
Процессор: - регистр, внутреннее ОЗУ |
А.4, |
Непрерывный отказ для данных или адресов |
Модель отказов по постоянному току для данных и адресов |
Модель отказов по постоянному току для данных и адресов. Динамическая переброска ячеек памяти. Отсутствует, неверная или множественная адресация |
|
- устройство кодирования и выполнения, включая регистр признаков |
Неверное кодирование или невыполнение |
Неверное кодирование или неверное выполнение |
Отсутствует определение предполагаемого отказа |
|
|
- устройство вычисления адреса |
Непрерывный отказ |
Модель отказов при постоянном токе |
Отсутствует определение предполагаемого отказа |
|
|
- счетчик команд, указатель стека |
Непрерывный отказ |
Модель отказов при постоянном токе |
Модель отказов при постоянном токе |
|
|
Устройство обработки прерываний |
Отсутствуют или непрерывные прерывания |
Отсутствуют или непрерывные прерывания. Пересечение прерываний |
Отсутствуют или непрерывные прерывания. Пересечение прерываний |
|
|
Постоянная память |
Непрерывный отказ для данных или адресов |
Модель отказов по постоянному току для данных и адресов |
Все отказы, влияющие на данные в памяти |
|
|
Переменная память |
Непрерывный отказ для данных или адресов |
Модель отказов по постоянному току для данных и адресов. Изменение информации, вызванное ошибками ПО для ОЗУ 1 МБ и выше |
Модель отказов по постоянному току для данных и адресов. Динамическое пересечение ячеек памяти. Отсутствует, неверная или множественная адресация. Изменение информации, вызванное ошибками ПО для ОЗУ 1 МБ и выше |
|
|
Устройство синхронизации (кварцевое) |
Нижняя или верхняя гармоника |
Нижняя или верхняя гармоника |
Нижняя или верхняя гармоника |
|
|
Устройство связи и запоминающее устройство большой емкости |
Неверные данные или адреса. Отсутствует передача данных |
Все отказы, влияющие на данные в памяти. Неверные данные или адреса. Неверное время передачи |
Все ошибки, влияющие на данные в памяти. Неверные данные или адреса. Неверное время передачи |
|
|
Сенсоры |
Непрерывный отказ |
Неверная последовательность передачи. Модель отказов из-за отклонений и колебаний постоянного тока |
Неверная последовательность передачи. Модель отказов из-за отклонений и колебаний постоянного тока |
|
|
Оконечные элементы |
Непрерывный отказ |
Модель отказов из-за отклонений и колебаний постоянного тока |
Модель отказов из-за отклонений и колебаний постоянного тока |
|
|
Примечания 1 "Непрерывный" - категория отказа, которая может быть описана всеми нулями (0) или единицами (1) на контактах компонента. 2 "Модель отказов по постоянному току" включает следующие модели отказов: непрерывные отказы, открытые непрерывные, открытые выходы или выходы с высоким сопротивлением, а также короткие замыкания в соединительных линиях. | ||||
Таблица А.2 - Уровень охвата диагностикой электрических подсистем в зависимости от применяемых методов/средств диагностики
|
Метод/средство диагностики |
Максимально достижимый рассматриваемый уровень охвата диагностикой |
Примечание |
|
Обнаружение отказов путем мониторинга в режиме внешнего управления |
Низкий (режим с низкой частотой запросов). Средний (режим с высокой частотой запросов или с непрерывным запросом) |
Зависит от охвата диагностикой для обнаружения отказов |
|
Мониторинг контактов реле |
Высокий |
- |
|
Компаратор |
Высокий уровень, если отказы преимущественно безопасны |
|
|
Мажоритарная схема голосования |
Высокий |
Зависит от качества устройства голосования |
|
Принцип реактивного тока |
Низкий |
Только для Е/Е/РЕ СБЗС-систем, где не требуется непрерывное управление для достижения и поддержания безопасного состояния УО |
|
Примечания 1 Данные требования не заменяют ни одного из требований, приведенных в приложении Б. 2 Требования, приведенные в приложении Б, могут быть применены для определения уровня охвата диагностикой. | ||
Таблица А.3 - Уровень охвата диагностикой электронных подсистем в зависимости от применяемых методов/средств диагностики
|
Метод/средство диагностики |
Максимально достижимый рассматриваемый уровень охвата диагностикой |
Примечание |
|
Обнаружение отказов путем мониторинга в режиме внешнего управления (онлайн) |
Низкий (режим с низкой частотой запросов). Средний (режим с высокой частотой запросов или с непрерывным запросом) |
Зависит от охвата диагностикой для обнаружения отказов |
|
Компаратор |
Высокий |
Высокий, если режимы отказов, в основном, безопасно диагностируются |
|
Мажоритарная схема голосования |
Высокий |
Зависит от качества устройства голосования |
|
Тестирование с использованием избыточных аппаратных средств |
Средний |
Зависит от охвата диагностикой для обнаружения отказов |
|
Динамические принципы |
Зависит от охвата диагностикой для обнаружения отказов |
|
|
Стандартный тестовый порт доступа и структура граничного сканирования |
Высокий |
Зависит от охвата диагностикой для обнаружения отказов |
|
Контролируемая избыточность |
Зависит от степени избыточности и текущего контроля |
|
|
Аппаратные средства с автоматической проверкой |
Высокий |
Зависит от охвата диагностикой тестами |
|
Текущий контроль аналоговых сигналов |
Низкий |
- |
|
Примечания 1 Данные требования не заменяют ни одного из требований, приведенных в приложении Б. 2 Требования, приведенные в приложении Б, могут быть применены для определения уровня охвата диагностикой. | ||
Таблица А.4 - Уровень охвата диагностикой устройств обработки в зависимости от применяемых методов/средств диагностики
|
Метод/средство диагностики |
Максимально достижимый рассматриваемый уровень охвата диагностикой |
Примечание |
|
Компаратор |
Высокий |
Зависит от качества сравнения |
|
Мажоритарная схема голосования |
Зависит от качества устройства голосования |
|
|
Самотестирование с использованием ПО: ограниченное число модулей (один канал) |
Низкий |
- |
|
Самотестирование с использованием ПО: "блуждающий бит" (один канал) |
Средний |
|
|
Самотестирование с использованием АС (один канал) | ||
|
Запрограммированная обработка (один канал) |
Высокий |
|
|
Взаимное сравнение с использованием ПО |
Зависит от качества сравнения |
|
|
Примечания 1 Данные требования не заменяют ни одного из требований, приведенных в приложении Б. 2 Требования, приведенные в приложении Б, могут быть применены для определения уровня охвата диагностикой. | ||
Таблица А.5 - Уровень охвата диагностикой неизменяемых областей в зависимости от применяемых методов/средств диагностики
|
Метод/средство диагностики |
Максимально достижимый рассматриваемый уровень охвата диагностикой |
Примечание |
|
Многобитовая избыточность защиты слов |
Средний |
- |
|
Модифицированная контрольная сумма |
Низкий |
|
|
Сигнатура из одного слова (8 бит) |
Средний |
Эффективность сигнатуры зависит от ее длины по отношению к длине блока защищаемой информации |
|
Сигнатура из двух слов (16 бит) |
Высокий |
Эффективность сигнатуры зависит от ее длины по отношению к длине блока защищаемой информации |
|
Дублирование блока |
- |
|
|
Примечания 1 Данные требования не заменяют ни одного из требований, приведенных в приложении Б. 2 Требования, приведенные в приложении Б, могут быть применены для определения уровня охвата диагностикой. | ||
Таблица А.6 - Уровень охвата диагностикой переменных областей памяти в зависимости от применяемых методов/средств диагностики
|
Метод/средство диагностики |
Максимально достижимый рассматриваемый уровень охвата диагностикой |
|
Тест ОЗУ "шахматная доска" или "марш" |
Низкий |
|
Тест ОЗУ "блуждающая траектория" |
Средний |
|
Тест ОЗУ "GALPAT" - попарная запись - считывание с использованием бегущего кода или "Прозрачный GALPAT" |
Высокий |
|
Тест ОЗУ "Авраам" | |
|
Бит четности для ОЗУ |
Низкий |
|
Контроль ОЗУ с использованием модифицированного кода Хэмминга или обнаружение сбоев данных с использованием кодов обнаружения и коррекции ошибок |
Высокий |
|
Дублированное ОЗУ с аппаратным или программным сравнением и контролем считывания/записи | |
|
Примечания 1 Данные требования не заменяют ни одного из требований, приведенных в приложении Б. 2 Требования, приведенные в приложении Б, могут быть применены для определения уровня охвата диагностикой. | |
Таблица А.7 - Уровень охвата диагностикой устройства входа/выхода и интерфейсов (внешняя связь) в зависимости от применяемых методов/средств диагностики
|
Метод/средство диагностики |
Максимально достижимый рассматриваемый уровень охвата диагностикой |
Примечание |
|
Тестирующая комбинация |
Высокий |
- |
|
Обнаружение отказов путем мониторинга в режиме внешнего управления |
Низкий (режим с низкой частотой запросов). Средний (режим с высокой частотой запросов или с непрерывным запросом) |
Зависит от охвата диагностикой для обнаружения отказов |
|
Кодовая защита |
Высокий |
- |
|
Многоканальный параллельный выход |
Только если поток данных изменяется во время интервала тестовых проверок |
|
|
Контролируемый выход |
Высокий |
Только если поток данных изменяется во время интервала тестовых проверок |
|
Сравнение / голосование на входе (избыточность 1оо2, 2оо3 или более высокая избыточность) | ||
|
Примечания 1 Данные требования не заменяют ни одного из требований, приведенных в приложении Б. 2 Требования, приведенные в приложении Б, могут быть применены для определения уровня охвата диагностикой. | ||
Таблица А.8 - Уровень охвата диагностикой маршрутизаторов данных (внутренняя связь) в зависимости от применяемых методов/средств диагностики
|
Метод/средство диагностики |
Максимально достижимый рассматриваемый уровень охвата диагностикой |
Примечание |
|
Однобитовая аппаратная избыточность |
Низкий |
- |
|
Многобитовая аппаратная избыточность |
Средний |
|
|
Полная аппаратная избыточность |
Высокий |
|
|
Анализ с использованием тестирующих комбинаций | ||
|
Избыточность при передаче |
Эффективно только для неустойчивых сбоев |
|
|
Информационная избыточность |
- |
|
|
Примечания 1 Данные требования не заменяют ни одного из требований, приведенных в приложении Б. 2 Требования, приведенные в приложении Б, могут быть применены для определения уровня охвата диагностикой. | ||
Таблица А.9 - Уровень охвата диагностикой источников питания в зависимости от применяемых методов/средств диагностики
|
Метод/средство диагностики |
Максимально достижимый рассматриваемый уровень охвата диагностикой |
Примечание |
|
Защита от перенапряжения с защитой от короткого замыкания или отключением/подключением ко второму источнику питания |
Низкий |
Рекомендуется использовать всегда в дополнение к другим методам настоящей таблицы |
|
Контроль напряжения (вторичного) с безопасным отключением/подключением ко второму источнику питания |
Высокий |
- |
|
Отключение питания с защитой от короткого замыкания и отключение/подключение ко второму источнику питания |
Высокий |
Рекомендуется использовать всегда в дополнение к другим методам настоящей таблицы |
|
Принцип реактивного тока |
Низкий |
Полезен только против отключения питания |
|
Примечания 1 Данные требования не заменяют ни одного из требований, приведенных в приложении Б. 2 Требования, приведенные в приложении Б, могут быть применены для определения уровня охвата диагностикой. | ||
Таблица А.10 - Уровень охвата диагностикой в зависимости от применяемых методов/средств диагностики последовательности выполнения программ (дежурного таймера)
|
Метод/средство диагностики |
Максимально достижимый рассматриваемый уровень охвата диагностикой |
Примечание |
|
Дежурный таймер с отдельной временной базой без временного окна |
Низкий |
- |
|
Дежурный таймер с отдельной временной базой и временным окном |
Средний |
- |
|
Логический мониторинг последовательности выполнения программ |
Зависит от качества мониторинга |
|
|
Комбинация временного и логического мониторинга последовательности выполнения программ |
Высокий |
- |
|
Временной мониторинг-тест с внешним контролем |
Средний |
- |
|
Примечания 1 Данные требования не заменяют ни одного из требований, приведенных в приложении Б. 2 Требования, приведенные в приложении Б, могут быть применены для определения уровня охвата диагностикой. | ||
Таблица А.11 - Уровень охвата диагностикой в зависимости от применяемых методов/средств диагностики системы вентиляции и подогрева (при необходимости)
|
Метод/средство диагностики |
Максимально достижимый рассматриваемый уровень охвата диагностикой |
|
Датчик температуры |
Средний |
|
Управление вентиляцией | |
|
Безопасное выключение с использованием плавкого предохранителя |
Высокий |
|
Пороговые сообщения от термодатчиков и условная тревога | |
|
Соединение устройства принудительного охлаждения воздуха и индикатора состояния | |
|
Примечания 1 Данные требования не заменяют ни одного из требований, приведенных в приложении Б. 2 Требования, приведенные в приложении Б, могут быть применены для определения уровня охвата диагностикой. | |
Таблица А.12 - Уровень охвата диагностикой в зависимости от применяемых методов/ диагностики генератора тактовой частоты
|
Метод/средство диагностики |
Максимально достижимый рассматриваемый уровень охвата диагностикой |
Примечание |
|
Дежурный таймер с отдельным временным периодом без временного окна |
Низкий |
- |
|
Дежурный таймер с отдельной временной базой и временным окном |
Средний |
Зависит от временных ограничений для временного окна |
|
Логический мониторинг последовательности выполнения программ |
Эффективно только при отказе генератора тактовой частоты, если внешние временные события влияют на процесс выполнения программы |
|
|
Комбинация временного и логического мониторинга последовательности выполнения программ |
Высокий |
- |
|
Временной мониторинг с внешним контролем |
Средний |
- |
|
Примечания 1 Данные требования не заменяют ни одного из требований, приведенных в приложении Б. 2 Требования, приведенные в приложении Б, могут быть применены для определения уровня охвата диагностикой. | ||
Таблица А.13 - Уровень охвата диагностикой в зависимости от применяемых методов/средств диагностики устройства связи и запоминающее устройство большой емкости
|
Метод/средство диагностики |
Максимально достижимый рассматриваемый уровень охвата диагностикой |
Примечание |
|
Обмен информацией между Е/Е/РЕ СБЗС-системой и процесс обработки информации |
См. таблицу А.7 |
См. устройства вх/вых и интерфейс |
|
Обмен информацией между Е/Е/РЕ СБЗС-системами |
См. таблицу А.8 |
См. цепи/шины данных |
|
Разделение линий электрического питания и линий передачи информации |
Высокий |
Рекомендуется использовать всегда в дополнение к другим методам в этой таблице |
|
Пространственное разделение групповых линий |
- |
|
|
Увеличение устойчивости к электромагнитным воздействиям |
- |
|
|
Передача сигнала без наводок |
- |
|
|
Примечания 1 Данные требования не заменяют ни одного из требований, приведенных в приложении Б. 2 Требования, приведенные в приложении Б, могут быть применены для определения уровня охвата диагностикой. | ||
Таблица А.14 - Уровень охвата диагностикой в зависимости от применяемых методов/средств диагностики датчиков (сенсорных устройств)
|
Метод/средство диагностики |
Максимально достижимый рассматриваемый уровень охвата диагностикой |
Примечание |
|
Обнаружение отказов путем мониторинга в режиме с внешним управлением (онлайн) |
Низкий (режим с низкой частотой запросов). Средний (режим с высокой частотой запросов или с непрерывным запросом) |
Зависит от диагностического охвата обнаружения отказов |
|
Принцип реактивного тока |
Низкий |
Только для Е/Е/РЕ СБЗС-систем, где не требуется непрерывное управление для достижения и поддержания безопасного состояния УО |
|
Текущий контроль аналоговых сигналов |
Низкий |
- |
|
Тестирующая комбинация |
Высокий |
- |
|
Сравнение/голосование на входе (избыточность 1оо2, 2оо3 или более высокая избыточность) |
Высокий |
Только если поток данных изменяется во время диагностического тестового интервала |
|
Эталонный датчик |
Зависит от охвата диагностикой обнаружения отказов |
|
|
Положительно активизированный переключатель |
Высокий |
- |
|
Примечания 1 Данные требования не заменяют ни одного из требований, приведенных в приложении Б. 2 Требования, приведенные в приложении Б, могут быть применены для определения уровня охвата диагностикой. | ||
Таблица А.15 - Уровень охвата диагностикой оконечных элементов (приводов) в зависимости от применяемых методов/средств диагностики
|
Метод/средство диагностики |
Максимально достижимый рассматриваемый уровень охвата диагностикой |
Примечание |
|
Обнаружение отказов путем мониторинга в оперативном режиме (онлайн) |
Низкий (режим с низкой частотой запросов). Средний (режим с высокой частотой запросов или с непрерывным запросом) |
Зависит от диагностического охвата обнаружения отказов |
|
Мониторинг контактов реле |
Высокий |
- |
|
Тестирующая комбинация |
- |
|
|
Мониторинг |
Зависит от диагностического охвата обнаружения отказов |
|
|
Принцип реактивного тока |
Низкий |
Только для Е/Е/РЕ СБЗС-систем, где не требуется непрерывное управление для достижения и поддержания безопасного состояния УО |
|
Перекрестный контроль сложных приводов |
Высокий |
- |
|
Примечания 1 Данные требования не заменяют ни одного из требований, приведенных в приложении Б. 2 Требования, приведенные в приложении Б, могут быть применены для определения уровня охвата диагностикой. | ||
А.3 Полнота безопасности в отношении систематических отказов
Рекомендации к мерам (методам/средствам), применяемым для управления отказами, приведены в таблицах А.16 - А.18. Рекомендуемые методы/средства управления отказами, связанными с проектированием АС и ПО, приведены в таблице А.16, вызванными воздействиями или влияниями окружения на системы - в таблице А.17, возникающими в ходе эксплуатации, - в таблице А.18.
Рекомендации, приведенные в таблицах А.16 - А.18, отнесенные к уровням полноты безопасности, устанавливают, во-первых, важность метода /средства и, во-вторых, эффективность его использования.
Таблица А.16 - Уровень эффективности методов/средств управления систематическими отказами при разработке АС и ПО для различных уровней полноты безопасности
|
Вид заливки |
Метод/средство |
Уровень эффективности методов/средств для |
|||
|
SIL1 |
SIL2 |
SIL3 |
SIL4 |
||
|
|
Мониторинг последовательности выполнения программ |
КР (HR) низкий |
КР (HR) низкий |
КР (HR) средний |
КР (HR) высокий |
|
|
Обнаружение отказов путем мониторинга в режиме онлайн (см. примечание 2) |
P (R) низкий |
P (R) низкий |
P (R) средний |
P (R) высокий |
|
Тестирование избыточными аппаратными средствами |
P (R) низкий |
P (R) низкий |
P (R) средний |
P (R) высокий |
|
|
Стандартный тестовый порт доступа и структура граничного сканирования |
P (R) низкий |
P (R) низкий |
P (R) средний |
P (R) высокий |
|
|
Кодовая защита |
P (R) низкий |
P (R) низкий |
P (R) средний |
P (R) высокий |
|
|
Разнообразие аппаратных средств |
- низкий |
- низкий |
P (R) средний |
P (R) высокий |
|
|
Обнаружение и диагностика ошибок |
Методы и средства должны быть определены в нормативных документах на ПО |
||||
|
Обнаружение и исправление ошибок | |||||
|
Программирование с проверкой ошибок | |||||
|
Методы "подушки безопасности" | |||||
|
Многовариантное программирование | |||||
|
Блоки восстановления | |||||
|
Восстановление предыдущего состояния | |||||
|
Прямое восстановление | |||||
|
Повторный запуск механизмов восстановления после отказов | |||||
|
Сохранение достигнутых состояний | |||||
|
Постепенное отключение функций | |||||
|
Исправление ошибок методами искусственного интеллекта | |||||
|
Динамическое реконфигурирование | |||||
|
Примечания 1 Пояснение обозначений, приведенных под каждым уровнем полноты безопасности, приведено в тексте, предшествующем настоящей таблице. 2 Для Е/Е/РЕ СБЗС-систем, действующих в режиме с низкой частотой запросов (например систем аварийного отключения с | |||||