Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Национальный стандарт РФ ГОСТ Р 53195.3-2015 "Безопасность функциональная связанных с безопасностью зданий и сооружений систем. Часть 3. Требования к системам" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 16 сентября 2015 г. N 1345-ст) (документ отменен)
- Приложение А (справочное). Методы и средства управления отказами Е/Е/РЕ СБЗС-систем
Приложение А (справочное). Методы и средства управления отказами Е/Е/РЕ СБЗС-систем
Приложение А
(справочное)
Методы и средства управления отказами Е/Е/РЕ СБЗС-систем
А.1 Общие положения
Настоящее приложение следует использовать совместно с 5.7. Оно ограничивает максимальный охват диагностикой, что может потребоваться для выбора подходящих методов и средств управления отказами. Для каждого УПБ в приложении рекомендованы методы и средства управления случайными, систематическими, эксплуатационными отказами и отказами, обусловленными влиянием окружения систем.
Перечислить каждую индивидуальную физическую причину отказов в сложных АС не представляется возможным по двум основным причинам:
- причинно-следственные связи между ошибками и отказами зачастую трудно определить;
- при использовании сложных АС и ПО характер отказов изменяется в широком диапазоне - от случайных до систематических отказов.
Отказы в Е/Е/РЕ СБЗС-системах могут быть разделены на две категории в зависимости от времени их возникновения:
- отказы из-за ошибок, возникающих до или в период установки системы (например, вследствие ошибок ПО, включая ошибки спецификации ПО и ошибки программы; вследствие ошибок в АС, включая производственные ошибки и неправильный выбор компонентов и модулей);
- отказы из-за технических ошибок или ошибок оператора, возникающих после установки системы (например, случайные отказы АС или отказы, вызванные неправильным их использованием).
Для предотвращения таких отказов или управления ими, когда они происходят, требуется применение большого числа мер. "Меры" - это проведение мероприятий с использованием определенных "методов" и/или "средств", которые обозначены в таблицах и тексте как "метод/средство". Структура требований, приведенных в приложениях А и Б, является следствием разделения всех методов/средств на методы/средства, используемые для предупреждения отказов в течение различных стадий жизненного цикла Е/Е/РЕ СБЗС-систем (см. приложение Б), и методы/средства, используемые для управления отказами в период эксплуатации, описанные в настоящем приложении. Методы/средства управления отказами - это методы/средства, основанные на применении собственных встроенных составляющих Е/Е/РЕ СБЗС-систем.
Охват диагностикой и доля безопасных отказов Е/Е/РЕ СБЗС-систем определяются на основе таблицы А.1 и в соответствии с процедурами, детализированными в приложении Б. Таблицы А.2-А.15 дополняют требования таблицы А.1 методами и средствами для диагностических тестов и требованиями к минимальным уровням охвата диагностикой, которые могут быть достигнуты при их использовании. Требования этих таблиц не заменяют требования, приведенные в приложении Б. Требования таблиц А.2-А.15 не являются исчерпывающими. Могут быть использованы другие методы и средства, если приведено свидетельство об обеспечении необходимого охвата диагностикой. Если требуется высокий уровень охвата диагностикой, то из каждой из этих таблиц должна быть применена как минимум одна мера (метод/средство) по охвату диагностикой высокого уровня.
По аналогии таблицы А.16-А.18 содержат рекомендуемые меры (методы/средства) для управления систематическими отказами для каждого уровня полноты безопасности. В таблице А.16 рекомендуются полные меры для управления систематическими отказами. В таблице А.17 приведены рекомендуемые меры по управлению отказами из-за влияния окружающей среды. В таблице А.18 приведены меры (методы/средства) по управлению ошибками при эксплуатации. Большинство этих мер по управлению систематическими отказами может быть структурировано в соответствии с таблицей А.19.
Руководящие указания в настоящем приложении сами по себе не гарантируют требуемую полноту безопасности. При их применении важно определить:
- последовательность выбранных методов/средств и то, как они будут дополнять друг друга;
- какие методы/средства в наибольшей степени подходят для решения конкретных задач, которые возникают во время создания каждой заданной Е/Е/РЕ СБЗС-системы.
А.2 Полнота безопасности АС
В таблице А.1 представлены требования к ошибкам или отказам, которые должны быть обнаружены с помощью методов/средств по управлению отказами АС Е/Е/РЕ СБЗС-систем для достижения соответствующего уровня охвата диагностикой (см. также приложение Б). Таблицы А.2-А.15 дополняют требования, приведенные в таблице А.1, рекомендуемыми методами/средствами для диагностических тестов и рекомендуемыми минимальными требованиями к охвату диагностикой, который может быть достигнут с их применением. Эти диагностические тесты могут выполняться непрерывно или периодически. Указанные таблицы не заменяют ни одного из требований 5.7.
Таблица А.1 - Ошибки и отказы, которые должны быть обнаружены в период эксплуатации или должны быть проанализированы при определении доли безопасных отказов
|
Наименование компонента(ов) системы |
Номер таблицы |
Наименование, описание ошибок и отказов, моделей их обнаружения при уровне охвата диагностикой АС систем |
||
|
низком (60 %) |
среднем (90 %) |
высоком (99 %) |
||
|
Электромеханические устройства |
Невключение или неотключение. Приваривание ("залипание") контактов |
Невключение или неотключение. Приваривание ("залипание") отдельных контактов |
Невключение или неотключение. Приваривание ("залипание") отдельных контактов. Конкретные руководства отсутствуют |
|
|
Дискретные АС: - цифровой вход/выход |
А.3, А.7, А.9, |
Непрерывный отказ |
Модель отказов из-за отклонений и колебаний постоянного тока |
Модель отказов из-за отклонений и колебаний постоянного тока |
|
- аналоговый вход/выход |
Непрерывный отказ |
Модель отказов из-за отклонений и колебаний постоянного тока |
Модель отказов из-за отклонений и колебаний постоянного тока |
|
|
- источник питания |
Непрерывный отказ |
Модель отказов из-за отклонений и колебаний постоянного тока |
Модель отказов из-за отклонений и колебаний постоянного тока |
|
|
Шина: - общая шина |
А.3, А.7, |
Непрерывный отказ адресов |
Молчание |
Молчание |
|
- элемент управления памятью |
Непрерывный отказ данных или адресов |
Неверное декодирование адреса |
Неверное декодирование адреса |
|
|
- прямой доступ к памяти |
Непрерывный отказ данных или адресов |
Модель непрерывного отказа данных и адресов. Неверное время доступа |
Все отказы, влияющие на данные в памяти. Неверные данные или адреса. Неверное время доступа |
|
|
- управление доступом к шине (см. примечание 1) |
Непрерывный отказ сигналов управления доступом к шине |
Отсутствует или неправильное управление доступом к шине |
Отсутствует или неправильное управление доступом к шине |
|
|
Процессор: - регистр, внутреннее ОЗУ |
А.4, |
Непрерывный отказ для данных или адресов |
Модель отказов по постоянному току для данных и адресов |
Модель отказов по постоянному току для данных и адресов. Динамическая переброска ячеек памяти. Отсутствует, неверная или множественная адресация |
|
- устройство кодирования и выполнения, включая регистр признаков |
Неверное кодирование или невыполнение |
Неверное кодирование или неверное выполнение |
Отсутствует определение предполагаемого отказа |
|
|
- устройство вычисления адреса |
Непрерывный отказ |
Модель отказов при постоянном токе |
Отсутствует определение предполагаемого отказа |
|
|
- счетчик команд, указатель стека |
Непрерывный отказ |
Модель отказов при постоянном токе |
Модель отказов при постоянном токе |
|
|
Устройство обработки прерываний |
Отсутствуют или непрерывные прерывания |
Отсутствуют или непрерывные прерывания. Пересечение прерываний |
Отсутствуют или непрерывные прерывания. Пересечение прерываний |
|
|
Постоянная память |
Непрерывный отказ для данных или адресов |
Модель отказов по постоянному току для данных и адресов |
Все отказы, влияющие на данные в памяти |
|
|
Переменная память |
Непрерывный отказ для данных или адресов |
Модель отказов по постоянному току для данных и адресов. Изменение информации, вызванное ошибками ПО для ОЗУ 1 МБ и выше |
Модель отказов по постоянному току для данных и адресов. Динамическое пересечение ячеек памяти. Отсутствует, неверная или множественная адресация. Изменение информации, вызванное ошибками ПО для ОЗУ 1 МБ и выше |
|
|
Устройство синхронизации (кварцевое) |
Нижняя или верхняя гармоника |
Нижняя или верхняя гармоника |
Нижняя или верхняя гармоника |
|
|
Устройство связи и запоминающее устройство большой емкости |
Неверные данные или адреса. Отсутствует передача данных |
Все отказы, влияющие на данные в памяти. Неверные данные или адреса. Неверное время передачи |
Все ошибки, влияющие на данные в памяти. Неверные данные или адреса. Неверное время передачи |
|
|
Сенсоры |
Непрерывный отказ |
Неверная последовательность передачи. Модель отказов из-за отклонений и колебаний постоянного тока |
Неверная последовательность передачи. Модель отказов из-за отклонений и колебаний постоянного тока |
|
|
Оконечные элементы |
Непрерывный отказ |
Модель отказов из-за отклонений и колебаний постоянного тока |
Модель отказов из-за отклонений и колебаний постоянного тока |
|
|
Примечания 1 "Непрерывный" - категория отказа, которая может быть описана всеми нулями (0) или единицами (1) на контактах компонента. 2 "Модель отказов по постоянному току" включает в себя следующие модели отказов: непрерывные отказы, открытые непрерывные, открытые выходы или выходы с высоким сопротивлением, а также короткие замыкания в соединительных линиях. | ||||
Таблица А.2 - Уровень охвата диагностикой электрических подсистем в зависимости от применяемых методов/средств диагностики
|
Метод/средство диагностики |
См. ГОСТ Р 53195.5-2010 |
Максимально достижимый рассматриваемый уровень охвата диагностикой |
Примечание |
|
Обнаружение отказов путем мониторинга в режиме онлайн |
Низкий (режим с низкой частотой запросов). Средний (режим с высокой частотой запросов или с непрерывными запросами) |
Зависит от охвата диагностикой для обнаружения отказов |
|
|
Мониторинг контактов реле |
Высокий |
- |
|
|
Компаратор |
Высокий уровень, если режимы отказов преимущественно безопасны |
||
|
Мажоритарная схема голосования |
Высокий |
Зависит от качества устройства голосования |
|
|
Принцип реактивного тока |
Низкий |
Только для Е/Е/РЕ СБЗС-систем, где не требуется непрерывное управление для достижения и поддержания безопасного состояния УО |
|
|
Примечания 1 Таблица не заменяет ни одно из требований, приведенных в приложении В. 2 Требования приложения В подходят для определения уровня охвата диагностикой. | |||
Таблица А.3 - Уровень охвата диагностикой электронных подсистем в зависимости от применяемых методов/средств диагностики
|
Метод/средство диагностики |
См. ГОСТ Р 53195.5-2010 |
Максимально достижимый рассматриваемый уровень охвата диагностикой |
Примечание |
|
Обнаружение отказов путем мониторинга в режиме онлайн |
Низкий (режим с низкой частотой запросов). Средний (режим с высокой частотой запросов или с непрерывными запросами) |
Зависит от охвата диагностикой для обнаружения отказов |
|
|
Компаратор |
Высокий |
Высокий, если режимы отказов, в основном, безопасно диагностируются |
|
|
Мажоритарная схема голосования |
Высокий |
Зависит от качества устройства голосования |
|
|
Тестирование с помощью избыточных АС |
Средний |
Зависит от охвата диагностикой для обнаружения отказов |
|
|
Динамические принципы |
Средний |
Зависит от охвата диагностикой для обнаружения отказов |
|
|
Стандартный тестовый порт доступа и структура граничного сканирования |
Высокий |
Зависит от охвата диагностикой для обнаружения отказов |
|
|
Контролируемая избыточность |
Высокий |
Зависит от степени избыточности и текущего контроля |
|
|
АС с автоматической проверкой |
Высокий |
Зависит от охвата диагностикой тестов |
|
|
Текущий контроль аналоговых сигналов |
Низкий |
- |
|
|
Примечания 1 Таблица не заменяет ни одно из требований, приведенных в приложении В. 2 Требования приложения В подходят для определения уровня охвата диагностикой. | |||
Таблица А.4 - Уровень охвата диагностикой устройств обработки в зависимости от применяемых методов/средств диагностики
|
Метод/средство диагностики |
См. ГОСТ Р 53195.5-2010 |
Максимально достижимый рассматриваемый уровень охвата диагностикой |
Примечание |
|
Компаратор |
Высокий |
Зависит от качества сравнения |
|
|
Мажоритарная схема голосования |
Высокий |
Зависит от качества устройства голосования |
|
|
Самотестирование с помощью ПО: ограниченное число образцов (один канал) |
Низкий |
- |
|
|
Самотестирование с помощью ПО: "блуждающий бит" (один канал) |
Средний |
- |
|
|
Самотестирование с помощью АС (один канал) |
- |
||
|
Запрограммированная обработка (один канал) |
Высокий |
- |
|
|
Взаимное сравнение с помощью ПО |
Зависит от качества сравнения |
||
|
Примечания 1 Таблица не заменяет ни одно из требований, приведенных в приложении В. 2 Требования приложения В подходят для определения уровня охвата диагностикой. | |||
Таблица А.5 - Уровень охвата диагностикой неизменяемых областей памяти в зависимости от применяемых методов/средств диагностики
|
Метод/средство диагностики |
См. ГОСТ Р 53195.5-2010 |
Максимально достижимый рассматриваемый уровень охвата диагностикой |
Примечание |
|
Многобитовая избыточность защиты слов |
Средний |
- |
|
|
Модифицированная контрольная сумма |
Низкий |
- |
|
|
Сигнатура из одного слова (8 бит) |
Средний |
Эффективность сигнатуры зависит от ее длины по отношению к длине блока защищаемой информации |
|
|
Сигнатура из двух слов (16 бит) |
Высокий |
Эффективность сигнатуры зависит от ее длины по отношению к длине блока защищаемой информации |
|
|
Дублирование блока |
- |
||
|
Примечания 1 Таблица не заменяет ни одно из требований, приведенных в приложении В. 2 Требования приложения В подходят для определения уровня охвата диагностикой. | |||
Таблица А.6 - Уровень охвата диагностикой переменных областей памяти в зависимости от применяемых методов/средств диагностики
|
Метод/средство диагностики |
См. ГОСТ Р 53195.5-2010 |
Максимально достижимый рассматриваемый уровень охвата диагностикой |
|
Тест ОЗУ "поклеточная разбивка" или "марш" |
Низкий |
|
|
Тест ОЗУ "блуждающая траектория" |
Средний |
|
|
Тест ОЗУ "GALPAT" - попарная запись - считывание с помощью бегущего кода или "Прозрачный GALPAT" |
Высокий |
|
|
Тест ОЗУ "Авраам" |
Высокий |
|
|
Бит четности для ОЗУ |
Низкий |
|
|
Контроль ОЗУ с помощью модифицированного кода Хэмминга или обнаружение сбоев данных с помощью кодов обнаружения и коррекции ошибок |
Высокий |
|
|
Задублированное ОЗУ с аппаратным или программным сравнением и контролем чтения/записи |
Высокий |
|
|
Примечания 1 Таблица не заменяет ни одно из требований, приведенных в приложении В. 2 Требования приложения В подходят для определения уровня охвата диагностикой. 3 Для ОЗУ, в котором запись/считывание происходят нечасто (например, во время конфигурирования системы), эффективны методы/средства, установленные в таблицах А.4.1-А.4.4 ГОСТ Р 53195.5-2010, если они осуществляются после каждой записи/считывания. | ||
Таблица А.7 - Уровень охвата диагностикой устройства входа/выхода и интерфейсов (внешняя связь) в зависимости от применяемых методов/средств диагностики
|
Метод/средство диагностики |
См. ГОСТ Р 53195.5-2010 |
Максимально достижимый рассматриваемый уровень охвата диагностикой |
Примечание |
|
Обнаружение отказов путем мониторинга в режиме онлайн |
Низкий (режим с низкой частотой запросов). Средний (режим с высокой частотой запросов или с непрерывными запросами) |
Зависит от охвата диагностикой для обнаружения отказов |
|
|
Тестирующая комбинация |
Высокий |
- |
|
|
Кодовая защита |
Высокий |
- |
|
|
Многоканальный параллельный вывод |
Только если поток данных изменяется во время интервала тестовых проверок |
||
|
Контролируемый вывод |
Высокий |
Только если поток данных изменяется во время интервала тестовых проверок |
|
|
Сравнение/голосование на входе (1оо2, 2оо3 или более высокая избыточность) |
Высокий |
Только если поток данных изменяется во время интервала тестовых проверок |
|
|
Примечания 1 Таблица не заменяет ни одно из требований, приведенных в приложении В. 2 Требования приложения В подходят для определения уровня охвата диагностикой. | |||
Таблица А.8 - Уровень охвата диагностикой маршрутизаторов данных (внутренняя связь) в зависимости от применяемых методов/средств диагностики
|
Метод/средство диагностики |
См. ГОСТ Р 53195.5-2010 |
Максимально достижимый рассматриваемый уровень охвата диагностикой |
Примечание |
|
Однобитовая аппаратная избыточность |
Низкий |
- |
|
|
Многобитовая аппаратная избыточность |
Средний |
||
|
Полная аппаратная избыточность |
Высокий |
||
|
Анализ с использованием тестирующих комбинаций |
|||
|
Избыточность при передаче |
Эффективно только для неустойчивых сбоев |
||
|
Информационная избыточность |
- |
||
|
Примечания 1 Таблица не заменяет ни одно из требований, приведенных в приложении В. 2 Требования приложения В подходят для определения уровня охвата диагностикой. | |||
Таблица А.9 - Уровень охвата диагностикой источников питания в зависимости от применяемых методов/средств диагностики
|
Метод/средство диагностики |
См. ГОСТ Р 53195.5-2010 |
Максимально достижимый рассматриваемый уровень охвата диагностикой |
Примечание |
|
Защита от перенапряжения с защитой от короткого замыкания или отключением/подключением ко второму источнику питания |
Низкий |
Рекомендуется использовать всегда в дополнение к другим методам в настоящей таблице |
|
|
Контроль напряжения (вторичный) с безопасным отключением/подключением ко второму источнику питания |
Высокий |
- |
|
|
Отключение питания с защитой от короткого замыкания и отключение/подключение ко второму источнику питания |
Высокий |
Рекомендуется использовать всегда в дополнение к другим методам в настоящей таблице |
|
|
Принцип реактивного тока |
Низкий |
Полезен только против отключения питания |
|
|
Примечания 1 Таблица не заменяет ни одно из требований, приведенных в приложении В. 2 Требования приложения В подходят для определения уровня охвата диагностикой. | |||
Таблица А.10 - Уровень охвата диагностикой последовательности выполнения программ (дежурного таймера) в зависимости от применяемых методов/средств диагностики
|
Метод/средство диагностики |
См. ГОСТ Р 53195.5-2010 |
Максимально достижимый рассматриваемый уровень охвата диагностикой |
Примечание |
|
Дежурный таймер с отдельным временным периодом без временного окна |
Низкий |
- |
|
|
Дежурный таймер с отдельной временной базой и временным окном |
Средний |
- |
|
|
Логический мониторинг последовательности выполнения программ |
Зависит от качества мониторинга |
||
|
Комбинация временного и логического мониторинга последовательности выполнения программ |
Высокий |
- |
|
|
Первоначальный тест при включении |
Средний |
- |
|
|
Примечания 1 Таблица не заменяет ни одно из требований, приведенных в приложении В. 2 Требования приложения В подходят для определения уровня охвата диагностикой. | |||
Таблица А.11 - Уровень охвата диагностикой системы вентиляции и подогрева (при необходимости) в зависимости от применяемых методов/средств диагностики
|
Метод/средство диагностики |
См. ГОСТ Р 53195.5-2010 |
Максимально достижимый рассматриваемый уровень охвата диагностикой |
|
Датчик температуры |
Средний |
|
|
Управление вентиляцией |
||
|
Безопасное выключение с использованием плавкого предохранителя |
Высокий |
|
|
Пороговые сообщения от термодатчиков и условная тревога |
||
|
Соединение устройства принудительного охлаждения воздуха и индикатора состояния |
||
|
Примечания 1 Таблица не заменяет ни одно из требований, приведенных в приложении В. 2 Требования приложения В подходят для определения уровня охвата диагностикой. | ||
Таблица А.12 - Уровень охвата диагностикой генератора тактовой частоты в зависимости от применяемых методов/средств диагностики
|
Метод/средство диагностики |
См. ГОСТ Р 53195.5-2010 |
Максимально достижимый рассматриваемый уровень охвата диагностикой |
Примечание |
|
Дежурный таймер с отдельным временным периодом без временного окна |
Низкий |
- |
|
|
Дежурный таймер с отдельной временной базой и временным окном |
Средний |
Зависит от временных ограничений для временного окна |
|
|
Логический мониторинг последовательности выполнения программ |
Эффективно только при отказе генератора тактовой частоты, если внешние временные события влияют на процесс выполнения программы |
||
|
Комбинация временного и логического мониторинга последовательности выполнения программ |
Высокий |
- |
|
|
Временной мониторинг с внешним контролем |
Средний |
- |
|
|
Примечания 1 Таблица не заменяет ни одно из требований, приведенных в приложении В. 2 Требования приложения В подходят для определения уровня охвата диагностикой. | |||
Таблица А.13 - Уровень охвата диагностикой в зависимости от применяемых методов/средств диагностики устройства связи и запоминающее устройство большой емкости
|
Метод/средство диагностики |
См. ГОСТ Р 53195.5-2010 |
Максимально достижимый рассматриваемый уровень охвата диагностикой |
Примечание |
|
Обмен информацией между Е/Е/РЕ СБЗС системой и процесс обработки информации |
См. таблицу А.7 |
См. устройства входа/выхода и интерфейс |
|
|
Обмен информацией между Е/Е/РЕ СБЗС-системами |
См. таблицу А.8 |
См. цепи/шины данных |
|
|
Разделение линий электрического питания и линий передачи информации |
Высокий |
Рекомендуется использовать всегда в дополнение к другим методам в настоящей таблице |
|
|
Пространственное разделение групповых линий |
Высокий |
- |
|
|
Увеличение устойчивости к электромагнитным воздействиям |
- |
||
|
Передача сигнала без наводок |
- |
||
|
Примечания 1 Таблица не заменяет ни одно из требований, приведенных в приложении В. 2 Требования приложения В подходят для определения уровня охвата диагностикой. | |||
Таблица А.14 - Уровень охвата диагностикой в зависимости от применяемых методов/средств диагностики датчиков (сенсорных устройств)
|
Метод/средство диагностики |
См. ГОСТ Р 53195.5-2010 |
Максимально достижимый рассматриваемый уровень охвата диагностикой |
Примечание |
|
Обнаружение отказов путем мониторинга в оперативном режиме (онлайн) |
Низкий (режим с низкой частотой запросов). Средний (режим с высокой частотой запросов или с непрерывными запросами) |
Зависит от диагностического охвата обнаружения отказов |
|
|
Принцип реактивного тока |
Низкий |
Только для Е/Е/РЕ СБЗС-систем, где не требуется непрерывное управление для достижения и поддержания безопасного состояния УО |
|
|
Текущий контроль аналоговых сигналов |
- |
||
|
Тестирующая комбинация |
Высокий |
- |
|
|
Сравнение/голосование на входе (1оо2, 2оо3 или более высокая избыточность) |
Высокий |
Только если поток данных изменяется во время диагностического тестового интервала |
|
|
Эталонный датчик |
Высокий |
Зависит от диагностического охвата обнаружения отказов |
|
|
Положительно активизированный переключатель |
- |
||
|
Примечания 1 Таблица не заменяет ни одно из требований, приведенных в приложении В. 2 Требования приложения В подходят для определения уровня охвата диагностикой. | |||
Таблица А.15 - Уровень охвата диагностикой оконечных элементов (приводов) в зависимости от применяемых методов/средств диагностики
|
Метод/средство диагностики |
См. ГОСТ Р 53195.5-2010 |
Максимально достижимый рассматриваемый уровень охвата диагностикой |
Примечание |
|
Обнаружение отказов путем мониторинга в оперативном режиме (онлайн) |
Низкий (режим с низкой частотой запросов). Средний (режим с высокой частотой запросов или с непрерывными запросами) |
Зависит от диагностического охвата обнаружения отказов |
|
|
Мониторинг контактов реле |
Высокий |
- |
|
|
Принцип реактивного тока |
Низкий |
Только для Е/Е/РЕ СБЗС-систем, где не требуется непрерывное управление для достижения и поддержания безопасного состояния УО |
|
|
Тестирующая комбинация |
Высокий |
- |
|
|
Мониторинг |
Высокий |
Зависит от диагностического охвата обнаружения отказов |
|
|
Перекрестный контроль сложных приводов |
Высокий |
- |
|
|
Примечания 1 Таблица не заменяет ни одно из требований, приведенных в приложении В. 2 Требования приложения В подходят для определения уровня охвата диагностикой. | |||
А.3 Полнота безопасности в отношении систематических отказов
Рекомендации к мерам (методам/средствам), применяемым для управления отказами, приведены в таблицах А.16-А.18.
Рекомендуемые методы/средства управления отказами:
- связанными с проектированием АС и ПО, приведены в таблице А.16;
- вызванными воздействиями или влияниями окружения на системы приведены в таблице А.17;
- возникающими в ходе эксплуатации приведены в таблице А.18.
Рекомендации, приведенные в таблицах А.16-А.18, отнесенные к уровням полноты безопасности, устанавливают, во-первых, важность метода/средства и, во-вторых, эффективность его использования.
Важность методов/средств, указанных в таблицах, обозначена и характеризуется следующим образом:
КР (HR) - метод/средство крайне рекомендован(о) для указанного в таблице УПБ. Если он (оно) не используется, то должно быть приведено подробное обоснование неиспользования;
Р (R) - метод/средство рекомендован(о) для указанного в таблице УПБ. Требуется применение хотя бы одного из методов/средств, помеченных слева в левой колонке таблицы серой заливкой;
знак "-" - метод/средство, в отношении которого нет рекомендаций ни для, ни против применения;
HP (NR) - метод/средство явно не рекомендован(о) для указанного в таблице УПБ. Если он (оно) применено), в документации должно быть приведено подробное обоснование его применения.
Уровни эффективности и необходимость применения методов/средств управления отказами, приведенные в таблицах А.16-А.18, обозначены и характеризуются следующим образом:
"Обязательное" - метод/средство следует применять для всех УПБ, и он (оно) должен(но) быть использован(но) максимально эффективно (т.е. он (оно) обладает максимальной эффективностью);
"Низкий" - метод/средство должен(но) быть использован(но) в степени, необходимой для получения, по крайней мере, низкого уровня эффективности противодействия систематическим отказам;
"Средний" - метод/средство должен(но) быть применен(но) в степени, необходимой для получения, по крайней мере, среднего уровня эффективности противодействия систематическим отказам;
"Высокий" - метод/средство должен(но) быть применен(о) в степени, необходимой для получения высокого уровня эффективности противодействия систематическим отказам.
Руководство по уровням эффективности для ряда методов/средств приведено в таблице А.19.
Если мера не является обязательной, то она может быть заменена другими мерами (индивидуальными или в комбинации), помеченными серой заливкой в таблицах А.16-А.18.
Все перечисленные выше методы/средства являются встроенными компонентами Е/Е/РЕ СБЗ
систем, предназначенными для облегчения управления отказами в режиме внешнего управления. Для предотвращения введения ошибок следует применять процедурные и организационные методы/средства на протяжении всего жизненного цикла Е/Е/РЕ СБЗС-систем. Для проверки противодействия Е/Е/РЕ СБЗС-систем ожидаемым внешним воздействиям необходимо применять методы оценки соответствия для предоставления доказательств того, что встроенные компоненты соответствуют установленным требованиям (см. приложение В).
Примечание - Большинство методов/средств, приведенных в таблицах А.16-А.18, может быть использовано с разным уровнем эффективности в соответствии с таблицей А.19, в которой приведено описание ряда методов/средств с низким и высоким уровнями эффективности. Затраты, требуемые для получения среднего уровня эффективности, находятся в пределах между затратами, необходимыми для получения низкого и высокого уровней эффективности.
Таблица А.16 - Уровень эффективности методов/средств управления систематическими отказами при разработке АС и ПО для различных уровней полноты безопасности
Таблица А.17 - Уровень эффективности методов/средств для управления систематическими отказами, вызванными воздействиями окружения на Е/Е/РЕ СБЗС-системы с различным уровнем полноты безопасности
Таблица А.18 - Уровень эффективности методов/средств управления систематическими отказами при эксплуатации Е/Е/РЕ СБЗС-систем
Таблица А.19 - Описание методов/средств управления систематическими отказами с различными уровнями эффективности
|
Метод/средство |
См. ГОСТ Р 53195.5-2010 |
Низкий уровень эффективности |
Высокий уровень эффективности |
|
Обнаружение отказов путем мониторинга в режиме оперативного управления, онлайн (см. примечание) |
Запускающие сигналы от УО и его системы управления используются для подтверждения надлежащего действия Е/Е/РЕ СБЗС-систем (только характер изменения во времени и когда система не используется) |
Е/Е/РЕ СБЗС-системы перезапускаются временными и логическими сигналами от УО и его системы управления (временное окно для временной функции дежурного таймера) |
|
|
Тестирование избыточными АС (см. примечание) |
Дополнительные АС проверяют сигналы, запускающие Е/Е/РЕ СБЗС-системы (только характер изменения во времени и когда система не используется). Эти средства включают вспомогательное оконечное устройство |
Дополнительные АС повторно перезапускаются временными и логическими сигналами Е/Е/РЕ СБЗС-систем (временное окно для временного дежурного таймера); голосование между несколькими каналами |
|
|
Стандартный тестовый порт доступа и структура ограниченного сканирования |
Твердотельная логика проверяется с помощью граничных тестовых испытаний в период контрольных испытаний |
Диагностический контроль твердотельной логики на соответствие перечню функций безопасности Е/Е/РЕ СБЗС-систем. Проверяются все функции для всех интегральных микросхем |
|
|
Кодовая защита |
Обнаружение ошибок с помощью временной избыточности при передаче сигналов |
Обнаружение ошибок с помощью временной и информационной избыточности при передаче сигналов |
|
|
Мониторинг последовательности выполнения программ |
Временной или логический мониторинг последовательности выполнения программ |
Временной и логический мониторинг последовательности выполнения программ с большим числом контрольных точек в программе |
|
|
Средства против повышения температуры |
Температурный датчик, определяющий превышение температуры |
Применение безопасного выключателя с использованием плавкого предохранителя |
|
|
Повышение устойчивости к электромагнитным воздействиям (см. примечание) |
Помехозащитный фильтр в источнике питания и на критических входах и выходах; экранирование, при необходимости |
Фильтр против электромагнитных воздействий, которые обычно не ожидаются; экранирование |
|
|
Средства против физического воздействия окружающей среды |
А.14 |
Общепринятая практика, соответствующая прикладному применению |
Методы, приведенные в стандартах для конкретного применения |
|
Разнообразие АС |
Два или более устройств, спроектированные по-разному, выполняющие одну и ту же функцию |
Два или более устройств, выполняющие различные функции |
|
|
Подтверждение ввода |
Б.4.9 |
Отображение входных действий оператору |
Проверка по строгим правилам входных данных, вводимых оператором, с отклонением неправильных входных данных |
|
Примечание - В случае применения данных методов/средств для получения высокого уровня эффективности предполагается, что эти методы и средства могут быть также использованы для получения низкого уровня эффективности. | |||