Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение D
(справочное)
Испытания достоверности
D.1 Общие положения
Испытание внесением ошибки в систему обеспечивает полезный вклад в оценку достоверности систем (технических средств и программного обеспечения).
Данные методы требуют от персонала, проводящего испытания, глубоких знаний функционирования системы, ее физической и функциональной структуры, и часто делают необходимым получение физического доступа к системе.
Концепция этих испытаний состоит в следующем: достоверная система не должна выполнять задачи неправильно, несмотря на отказ элемента системы или попытки проникнуть в систему через ее границу.
Чтобы проверить это, создаются ошибки (чтобы проверить целостность) и/или альтернативное несанкционированное или неправильное действие (чтобы проверить защищенность) и наблюдается результирующее поведение системы (состояние выходов и/или оповещающее выходное сообщение).
Ниже приводятся примеры вопросов, на которые должны быть получены ответы относительно поведения системы когда:
- происходит ошибка, доводится ли выход системы до предопределенного состояния или замораживания?
- экран не работает правильно, блокируется ли клавиатура автоматически?
- связь перегружена, как ведет себя система?
- ошибка внесена, срабатывает ли сигнализация, например, включается "сторожевое устройство", звучит сигнал тревоги, начинают работать соответствующие средства печати?
Чтобы избежать ненужной работы следует на основе аналитического изучения принять согласованный подход к испытаниям, начиная с уровня печатной платы с постепенным переходом на уровень интегральной схемы.
В общем случае вводится единичная неизменяемая ошибка.
Тип вводимых в систему ошибок может быть, например, таким:
- удаление платы или модуля;
- разрыв связей платы (большинство отказов системы из-за неправильных связей);
- нарушение контактов микросхем или принудительное воздействие на них для получения логических 0 или 1.
Для проведения испытания могут потребоваться специальные средства типа:
- расширитель платы с выключателями;
- зажимы;
- специальные программы для испытаний.
В зависимости от глубины оценки, метод может отнимать много времени, но имеет преимущество, связанное с простотой осуществления и относительно недорогими средствами проведения испытаний.
Примечание - Следует соблюдать осторожность и предусмотрительность при проведении этих испытаний, чтобы избежать повреждения каких-либо элементов системы.
D.2 Вводимые ошибки
D.2.1 Общие положения
Классификация потенциальных видов отказов систем приведена в 5.2.3 МЭК 60812:2006.
Далее приведены примеры ошибок, которые могут привести к отказу системы и использоваться для моделирования.
D.2.2 Отказы системы из-за дефектного модуля, элемента или компонента
Системные отказы могут возникать в результате отказов, вызванных возможностями поддержки, высокими температурами, функциональными возможностями, такими как:
- потеря энергоснабжения от единственного источника энергоснабжения;
- потеря энергоснабжения от резервного источника энергоснабжения (как активного, так и пассивного);
- потеря энергоснабжения резервных модулей как с первичной так и с вторичной стороны модуля энергоснабжения;
- потеря энергоснабжения отдельных модулей и элементов;
- потеря модулями и элементами, отдельными и резервными, связи с коммуникационной шиной;
- потеря модуля или элемента;
- потеря энергоснабжения периферийного оборудования (экранов, клавиатур, принтеров, двигателей диска и т.д.;
- потеря связи с периферийным оборудованием;
- обрывы и короткие замыкания в контурах энергоснабжения, шинах связи, адресных линиях, линиях вход/выход.
D.2.3 Отказы системы из-за ошибок человека
Отказы системы могут происходить из-за ошибок, вызванных неправильными действиями персонала при обслуживании, реконфигурации, модернизации программного обеспечения системы, например, таких как:
- перемещение резервных кабелей шины;
- набор неправильного адреса модулей, элементов и т.д.;
- установка печатных плат в неправильном положении;
- установка печатных плат в перевернутом положении;
- установка соединителей в неправильном или обратном положении;
- установка соединителей в неправильном положении;
- непрочные контакты соединителей после ремонта;
- изменение полярности энергоснабжения;
- отказ выполнения полной или корректной инициализации или процедуры запуска;
- повторное использование одного и того же адреса и т.д.
D.2.4 Отказы системы, вызванные неправильными или несанкционированными входами в систему через человеко-машинный интерфейс
Системные отказы могут возникать в результате отказов, вызванных плохой подготовкой, эргономикой, неверным интерфейсом пользователя, таких как:
- вызов или использование несуществующих или неправильных отображений, кодов, программ или периферийных устройств;
- перегрузка клавиатуры или сенсорной панели вызовом большого количества команд в течение короткого промежутка времени (поворот n-ключей);
- использование неполных кодов для вызова отображения, тэгов и т.д.
D.3 Наблюдения
Когда вышеупомянутые ошибки введены, регистрируются следующие вопросы и ответы на них:
- на какие задачи системы и как воздействуют введенные ошибки?
- изменяются ли входные сигналы, пока детектируются все соответствующие модули?
- соответствуют ли выходные сигналы всех модулей правильным сигналам на входе? корректируется ли еще представление данных операторам?
- правильно ли выполняются команды оператора?
- правильно ли функционирует связь между самостоятельными узлами, с ведущим компьютером, с пунктом управления системы, печатающими устройствами и т.д.?
- есть ли задержки (потери времени) действий в каком-либо модуле?
- система сообщает об ошибке?
- автоматически или в течение некоторого промежутка времени?
- автоматически, после периодического испытания?
- на каком уровне системы ошибка была сообщена (пункт управления системы, элемент системы)?
- обеспечена ли система защитными средствами, чтобы избежать возникновения отказа?
- предотвращается ли распространение ошибки?
- продолжается ли действие через резервную связь?
- деградирует ли выполнение задачи системы?
- продолжается ли выполнение операций резервными средствами; ухудшается ли при этом выполнение задач(и) системы?
- достигает ли выход системы установленного уровня в случае неспособности системы продолжать правильное действие?
- действительно ли ремонт в оперативном режиме возможен без воздействия на задачу системы?
- имеется ли сообщение об ошибке, обеспечивается ли однозначная информация относительно отказавшей части системы?
- может ли осуществляться ремонт в оперативном режиме без воздействия или прерывания действия других модулей или элементов системы?
- может ли восстановленный или запасной модуль или элемент автоматически запуститься и правильно функционировать после установки в систему?
D.4 Интерпретация результатов
Для того чтобы облегчить интерпретацию результатов, рассчитывается процент вводимых ошибок, при которых:
- продолжается правильное функционирование;
- срабатывает правильная сигнализация.
Хотя данные не могут использоваться в абсолютном виде, тем не менее, они ценны в сравнительных ситуациях.
Подобный подход применяется для оценки готовности, когда степень компенсации самоконтроля рассчитывается как процент ошибок, обнаруженных самоконтролем.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.