ГОСТ Р 53195.5-2010 Безопасность функциональная связанных с безопасностью зданий и сооружений систем. Часть 5. Меры по снижению риска, методы оценки.
ГОСТ Р 53195.5-2010
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
БЕЗОПАСНОСТЬ ФУНКЦИОНАЛЬНАЯ СВЯЗАННЫХ С БЕЗОПАСНОСТЬЮ ЗДАНИЙ И СООРУЖЕНИЙ СИСТЕМ
Часть 5
Меры по снижению риска, методы оценки
Functional safety of building/erection safety-related systems. Part 5. Techniques and measures on risk reduction, estimation methods
ОКС 13.110, 13.220.01,
13.310, 13.320,
29.130.20, 35.240
ОКП 43 7000, 43 7100,
43 7200, 43 7280,
70 3000
Дата введения 2012-01-01
Предисловие
Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения"
Сведения о стандарте
1 РАЗРАБОТАН Университетом комплексных систем безопасности и инженерного обеспечения
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 439 "Средства автоматизации и системы управления" при поддержке Технического комитета по стандартизации ТК 465 "Строительство"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 21 декабря 2010 г. N 821-ст
4 В настоящем стандарте использованы основные нормативные положения следующих международных стандартов*:
МЭК 61508-4:2010 "Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 4. Термины, определения, сокращения" (IEC 61508-4:2010 "Functional safety of electrical/ electronic/ programmable electronic safety-related systems - Part 4: Definitions and abbreviations");
МЭК 61508-7:2010 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 7. Обзор методов и средств (IEC 61508-7:2010 "Functional safety of electrical/ electronic/ programmable electronic safety-related systems - Part 7: Overview of techniques and measures");
Руководство ИСО/МЭК 51:1999 Аспекты безопасности. Руководящие указания по включению их в стандарты (ISO/IEC Guide 51:1999 "Safety aspects - Guidelines for their inclusion in standards")
5 ВВЕДЕН ВПЕРВЫЕ
Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет
Введение
Современные здания и сооружения - объекты капитального строительства - представляют собой сложные системы, включающие в свой состав систему конструкций и ряд систем в разных сочетаниях, в том числе инженерные системы жизнеобеспечения, реализации технологических процессов, энерго-, ресурсосбережения, безопасности и другие системы. Эти системы взаимодействуют друг с другом, с внешней и внутренней средами.
Объекты капитального строительства жестко привязаны к местности. Рабочие характеристики зданий, сооружений и входящих в них систем могут быть реализованы, проверены и использованы только в том месте, в котором объекты построены и системы установлены.
Безопасность зданий и сооружений обеспечивается применением совокупности мер, мероприятий и средств снижения риска причинения вреда до уровня приемлемого риска и поддержания его в течение периода эксплуатации или использования этих объектов. К средствам снижения риска относятся системы, связанные с безопасностью зданий и сооружений. Эти системы, состоящие из электрических и/или электронных компонентов, и/или программируемых электронных компонентов, в течение многих лет используются для выполнения функций безопасности. Для решения задач безопасности зданий и сооружений во все больших объемах используются программируемые электронные (компьютерные) системы.
В настоящем стандарте установлены цели основных методов/средств, рекомендованных к применению в ГОСТ Р 53195.3 и ГОСТ Р 53195.4 для анализа и снижения риска, достижения и поддержания необходимого уровня функциональной безопасности аппаратных средств (АС) и программного обеспечения (ПО) электрических, электронных, программируемых электронных (Е/Е/РЕ) связанных с безопасностью зданий и сооружений систем (СБЗС-систем) на различных стадиях их жизненного цикла, а также для оценки соответствия систем требованиям безопасности в рамках области применения ГОСТ Р 53195.1, ГОСТ Р 53195.2, ГОСТ Р 53195.3 и ГОСТ Р 53195.4. В нем приведены краткие описания указанных методов/средств, а также даны ссылки на источники, содержащие их полные описания.
Настоящий стандарт входит в комплекс стандартов с наименованием "Безопасность функциональная связанных с безопасностью зданий и сооружений систем" и является пятым стандартом этого комплекса "Часть 5. Меры по снижению риска, методы оценки". Другие стандарты, входящие в этот комплекс:
Часть 1. Основные положения;
Часть 2. Общие требования;
Часть 3. Требования к системам;
Часть 4. Требования к программному обеспечению;
Часть 6. Внешние средства уменьшения риска, системы мониторинга;
Часть 7. Порядок применения требований к системам и примеры расчетов.
Структура комплекса стандартов приведена ниже.
1 Область применения
Настоящий стандарт распространяется на связанные с безопасностью зданий и сооружений системы (далее - СБЗС-системы), аппаратные средства (далее - АС) и/или программное обеспечение (далее - ПО), являющиеся частями СБЗС-системы либо используемые для разработки СБЗС-систем в рамках областей применения ГОСТ Р 53195.1, ГОСТ Р 53195.2, ГОСТ Р 53195.3 и ГОСТ Р 53195.4.
Настоящий стандарт применяется совместно со стандартами ГОСТ Р 53195.1, ГОСТ Р 53195.2, ГОСТ Р 53195.3 и ГОСТ Р 53195.4.
Настоящий стандарт устанавливает основные методы/средства, используемые для выполнения требований ГОСТ Р 53195.3 и ГОСТ Р 53195.4, и методы оценки соответствия.
Настоящий стандарт содержит краткие описания методов/средств, рекомендуемых в ГОСТ Р 53195.3 и ГОСТ Р 53195.4 и применяемых на различных стадиях жизненных циклов СБЗС-систем, их АС и ПО для снижения рисков, а также ссылки на источники с полным описанием этих методов/средств.
Примечание - Под "методами/средствами" в настоящем стандарте понимаются методы и/или средства. В большинстве методов/средств, описанных в приложениях А, Б, В и Г, метод состоит в применении того или иного аппаратного, программного или аппаратно-программного средства или средств, в применении логических или математических действий (которые выполняются с использованием средств информатики и математики). В отдельных случаях рассматриваются методы или средства в чистом виде.
Настоящий стандарт не распространяется на одиночные СБЗС-системы, способные осуществить необходимое снижение риска и требуемая полнота безопасности которых ниже самого низкого уровня полноты безопасности (SIL1), определенного в таблицах 1 и 2 ГОСТ Р 53195.2. Он не распространяется также на здания и сооружения, оснащенные такими системами или не имеющие никаких связанных с безопасностью систем.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ Р ИСО 9000-2005* Системы менеджмента качества. Основные положения и словарь
ГОСТ Р ИСО 9001-2008 Системы менеджмента качества. Требования
ГОСТ Р ИСО 10006-2005 Системы менеджмента качества. Руководство по менеджменту качества при проектировании
ГОСТ Р ИСО/МЭК 16085-2007 Менеджмент риска. Применение в процессах жизненного цикла систем и программного обеспечения
ГОСТ Р 51700-2000 Совместимость технических средств электромагнитная. Технические средства, подключаемые к симметричным линиям. Параметры асимметрии относительно земли. Схемы измерений
ГОСТ Р 51904-2002 Программное обеспечение встроенных систем. Общие требования к разработке и документированию
ГОСТ Р 53195.1-2008 Безопасность функциональная связанных с безопасностью зданий и сооружений систем. Часть 1. Основные положения
ГОСТ Р 53195.2-2008 Безопасность функциональная связанных с безопасностью зданий и сооружений систем. Часть 2. Общие требования
ГОСТ Р 53195.3-2009 Безопасность функциональная связанных с безопасностью зданий и сооружений систем. Часть 3. Требования к системам
ГОСТ Р 53195.4-2010 Безопасность функциональная связанных с безопасностью зданий и сооружений систем. Часть 4. Требования к программному обеспечению
ГОСТ Р МЭК 61160-2006 Менеджмент риска. Формальный анализ проекта
ГОСТ 27.310-95 Надежность в технике. Анализ видов, последствий и критичности отказов. Основные положения
ГОСТ 13661-92 Совместимость технических средств электромагнитная. Пассивные помехоподавляющие фильтры и элементы. Методы измерения вносимого затухания
ГОСТ 16962.2-90 Изделия электротехнические. Методы испытаний на стойкость к механическим внешним воздействующим факторам
ГОСТ 30382-95 Совместимость технических средств электромагнитная. Дроссели помехоподавляющие. Общие технические условия
Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодно издаваемому информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по соответствующим ежемесячно издаваемым информационным указателям, опубликованным в текущем году. Если ссылочный стандарт заменен (изменен), то при пользовании настоящим стандартом следует руководствоваться заменяющим (измененным) стандартом. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку.
3 Термины и определения
В настоящем стандарте применены термины по ГОСТ Р 53195.1, ГОСТ Р 53195.2, ГОСТ Р 53195.3 и ГОСТ Р 53195.4, а также приведенные ниже термины с определениями.
3.1 антивалентные сигналы (antivalent signals): Два сигнала с одинаковым информационным содержанием, передаваемые по каналам связи в инверсной форме (аналоговые сигналы - в противофазе, цифровые сигналы - с инверсией 0 в 1 или наоборот).
3.2 константная неисправность (stuck-at fault): Неисправность аппаратного средства, вызванная переходом элемента устройства в одно из неизменяемых состояний, например, при "залипании" контактов реле.
3.3 константный отказ (stuck-at failure): Отказ аппаратного средства и/или программного обеспечения, приводящий к переходу аппаратного средства в одно из неизменяемых состояний и/или выдаче на выходе неизменяемых данных или неизменяемой команды.
3.4 постепенный отказ (drift failure): Отказ аппаратного средства из-за постепенного выхода его характеристик за допустимые пределы.
3.5 самоустраняющийся отказ (transient failure): Отказ, обусловленный переходными процессами, устраняющийся по их завершении.
3.6 условная тревога (conditional alarm): Состояние, близкое к тревожному, но еще не влекущее опасных последствий.
Примечание - Термин относится к СБЗС-системам, в которых предусмотрено ступенчатое реагирование на постепенно развивающиеся тревожные события.
3.7 чрезвычайное действие (emergency action): Действие, требующее выполнения при возникновении чрезвычайной ситуации для снижения риска причинения вреда.
4 Обозначения и сокращения
В настоящем стандарте приняты следующие обозначения и сокращения:
|
|
АС | - аппаратное(ые) средство(а); |
Е/Е/РЕ | - электрический(ая, ое), электронный(ая, ое), программируемый(ая, ое) электронный(ая, ое) - в отношении модуля, устройства или системы; |
ИС | - интегральная(ые) микросхема(ы); |
ОЗУ | - оперативное запоминающее устройство (устройство памяти с произвольным доступом); |
ОКC | - Общероссийский классификатор стандартов; |
ПЗУ | - постоянное запоминающее устройство; |
ПЛК | - программируемый логический контроллер; |
ПО | - программное обеспечение; |
ППЗУ | - перепрограммируемое постоянное запоминающее устройство; |
САПР | - система автоматизированного проектирования; |
СБЗС-система | - система, связанная с безопасностью зданий и сооружений; |
УО | - управляемое оборудование; |
ADA | - язык программирования для встраиваемых систем, разработанный в 1979-1980 годах в США и названный в честь Ады Лавлэйс; |
ADT | - обозначение данных абстрактного типа (от англ. abstract data type); |
CCS | - наименование метода/средства расчета соединяющихся систем (от англ. calculus of communicating system); |
CHAZOP | - наименование метода/средства обеспечения безопасности и работоспособности систем управления (от англ. control hazards operability); |
CHAZOPs | - наименование метода/средства анализа безопасности работы компьютеров (от англ. computer hazardous operation analysis); |
CIRCAL | - наименование метода/средства расчета критических цепей (от англ. circuit calculus); |
CORE | - наименование метода/средства выражения контролируемых требований (от англ. сontrolled requirements expression); |
CRC | - циклический избыточный код коррекции ошибок (от англ. cyclic redandency check); |
CSP | - наименование метода/средства описания последовательных коммуникационных процессов (от англ. communicating sequential processes); |
EDC | - код обнаружения/коррекции ошибок; |
E/E/PES | - международное наименование электрической, электронной, программируемой электронной связанной с безопасностью системы; |
FMEA | - обозначение процедуры анализа типа отказа и его последствий (от англ. procedure for failure mode and effects analysis); |
FTA | - метод анализа на основе дерева отказов (от англ. fault tree analysis); |
HAZOP | - наименование метода/средства анализа безопасности и работоспособности (от англ. hazard and operability); |
HOL | - наименование языка логики высшего порядка (от англ. higher-order logic); |
INMOS | - наименование английской фирмы, специализирующейся на производстве транспьютеров; |
JSD | - наименование структурного метода разработки программных систем Джексона (от англ. Jackson structured development); |
LCSAJ | - обозначение последовательности линейного кода и перехода, применяемой при тестировании ПО (от англ. linear code sequence and jump); |
LOTOS | - наименование языка для описания спецификаций, упорядоченных во временной области (от англ. language for temporal ordering specification); |
MASCOT | - наименование модульного подхода к проектированию, работе и тестированию программного обеспечения (от англ. modular approach to software construction, operation and test); |
MCDC | - обозначение охвата решения модифицированными условиями (от англ. modified condition decision coverage); |
MTBF | - обозначение среднего времени наработки на отказ (от англ. mean time between failures); |
OBJ | - наименование языка для алгебраического описания спецификаций; |
OCCAM | - язык параллельного программирования высокого уровня, используемый для транспьютеров; |
OMT | - обозначение методологии объектного моделирования (от англ. object modeling technique); |
РЕ | - международное обозначение "программируемый(ая,ое) электронный(ая,ое)" - в отношении модуля, устройства или системы; |
PROM | - наименование программируемого постоянного запоминающего устройства; |
RAID | - наименование системы организации избыточного массива памяти с использованием недорогих накопителей на дисках (от англ. redundant array of inexpensive disks); |
RAM | - обозначение запоминающего устройства с произвольным доступом; |
ROM | - обозначение постоянного запоминающего устройства; |
SA/SD | - обозначение метода структурного проектирования программных систем на основе структурного анализа (от англ. structured analysis/structured design); |
SADT | - наименование метода/средства структурного анализа и проектирования (от англ. structured analysis and design technique); |
SDL | - наименование языка описаний и спецификаций (от англ. specification-and-description language); |
SIL | - международное обозначение уровня полноты безопасности (от англ. safety integrity level); |
SOM | - наименование технологии Ай-Би-Эм для компонентных архитектур (от англ. system object model); |
VDM | - наименование одного из методов разработки компьютерных систем на основе формального языка; |
VDM++ | - наименование расширенной версии метода VDM; |
VDM-SL | - обозначение формального языка для описания спецификаций, разрабатываемых с использованием метода VDM; |
XOR | - обозначение логической операции "исключающее ИЛИ"; |
Z | - обозначение нотации языка для описания спецификаций последовательных систем. |
5 Меры (методы/средства) по снижению риска
5.1.1 Основными мерами по снижению риска являются:
- контроль случайных отказов АС Е/Е/РЕ СБЗС-систем;
- исключение систематических отказов на различных стадиях жизненных циклов СБЗС-систем;
- методы/средства, реализуемые на различных этапах стадий жизненного цикла для достижения полноты безопасности СБЗС ПО.
5.1.2 Методы/средства для контроля случайных отказов АС Е/Е/РЕ СБЗС-систем, их краткое описание, а также ссылки на источники с полным описанием приведены в приложении А.
5.1.3 Методы/средства для исключения систематических отказов на различных стадиях жизненных циклов СБЗС-систем, их краткие описания, а также ссылки на источники с полным описанием приведены в приложении Б.
5.1.4 Методы/средства для достижения полноты безопасности СБЗС ПО, реализуемые на различных этапах стадий жизненного цикла ПО, их краткое описание, а также ссылки на источники с полным описанием приведены в приложении В.
6 Методы оценки
6.1 Методы оценки функциональной безопасности СБЗС ПО, их краткое описание, а также ссылки на источники с полным описанием приведены в разделе В.6 приложения В.
6.2 Методы оценки полноты безопасности предварительно разработанных программных средств, применяемых для СБЗС-систем, основанные на вероятностном подходе, приведены в приложении Г.
Приложение А
(справочное)
Методы и средства для E/E/PE СБЗС-систем: контроль случайных отказов АС (см. ГОСТ Р 53195.3)
Примечание - Методы/средства, представленные в настоящем приложении, не являются исчерпывающими. Аппаратные средства Е/Е/РЕ СБЗС-систем интенсивно развиваются, и методы и средства быстро совершенствуются. При выборе конкретных методов/средств следует ориентироваться, в первую очередь, на стандартизованные методы/средства. В случае применения новых методов/средств всегда следует формировать и сохранять доказательственные материалы, демонстрирующие эффективность применяемых методов/средств по сравнению с методами/средствами, приведенными в настоящем приложении.
A.1 Электрические системы и компоненты
Глобальная цель: управление отказами в электромеханических компонентах.
A.1.1 Отказы, обнаруживаемые мониторингом в режиме с внешним управлением (он-лайн)
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблицы A.2, A.3, A.7 и A.14-A.19).
Цель: обнаружение отказов путем контроля поведения E/E/PE СБЗС-систем в процессе нормального функционирования управляемого оборудования (УО) в режиме с внешним управлением (он-лайн).
Описание: при определенных условиях отказы могут быть обнаружены с помощью информации о поведении УО во времени. Например, если коммутатор, который является частью E/E/PE СБЗС-системы, нормально активизируется со стороны УО и если при этом коммутатор не изменяет свое состояние в предполагаемое время, то отказ может быть обнаружен. Обычными способами невозможно локализовать такой отказ.
A.1.2 Мониторинг релейных контактов
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблицы A.2 и A.15).
Цель: обнаружение отказов релейных контактов, например, из-за сварки ("залипания").
Рисунок А.1 - Контакты реле
A.1.3 Компаратор
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблицы A.2-A.4).
Цель: возможно более раннее обнаружение (не одновременное) отказов в независимом модуле обработки или в компараторе.
Описание: сигналы независимых модулей обработки (процессоров) сигналов сравниваются циклически или непрерывно компаратором АС. Сам компаратор может быть внешне тестируемым, или в нем может быть использована самоконтролирующая технология. Обнаруживаемые различия в поведении модулей обработки используются как сообщения об отказах.
На рисунке А.2 показана схема компаратора в двухканальной системе.
Рисунок А.2 - Компаратор в двухканальной системе
Рисунок А.3 - Компаратор одноканальной системы, реализуемый с помощью ПО
A.1.4 Схема голосования по мажоритарному принципу
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблицы A.2-A.4).
Цель: обнаружение и маскирование отказов по меньшей мере в одном из трех каналов АС.
Рисунок А.4 - Голосование по мажоритарному принципу
Подробное описание метода/средства приведено в [1].
A.1.5 Отсутствие электропитания
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблицы A.2, A.9, A.14 и A.15).
Цель: выполнение функции безопасности при выключении или потере электропитания.
Описание: функция безопасности выполняется, если контакты разомкнуты и ток не поступает в АС. Например, при использовании тормозов для останова опасного вращения двигателя тормоза отпускаются замыкающими контактами в СБЗС-системах и включаются размыкающими контактами.
Более подробное описание данного метода/средства приведено в [2].
A.2 Электроника
Глобальная цель: управление отказами в транзисторных компонентах.
A.2.1 Тестирование с использованием избыточных АС
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблицы A.3, A.16, A.17 и A.19).
Цель: обнаружение отказов с использованием избыточных АС, то есть с использованием дополнительных АС, не требующихся для реализации выполняемых функций.
Описание: избыточные АС могут быть использованы для тестирования при соответствующей частоте запросов к заданным функциям безопасности. Такой подход обычно требуется для реализации положений подраздела A.1.1 или A.2.2 настоящего приложения.
Различные варианты методов/средств тестирования с использованием избыточных АС описаны в [3-5, 6].
A.2.2 Динамические принципы
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица A.3).
Цель: обнаружение статических отказов путем динамической обработки сигналов.
Описание: для обнаружения статических отказов в компонентах используется принудительное изменение параметров сторонних статических сигналов (генерируемых внешними и внутренними источниками). Этот метод часто применяют в отношении электромеханических компонентов.
Более подробное описание метода приведено в [7].
A.2.3 Стандартный тестовый порт доступа и структура граничного сканирования
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблицы A.3, A.16 и A.19).
Цель: управление и наблюдение за происходящим на каждом контакте интегральной схемы (ИС).
Описание: тестирование путем граничного сканирования представляет собой метод построения ИС, который повышает ее способность к тестируемости, разрешая проблему доступа к внутренним точкам тестируемой схемы. В типичной сканируемой по границам ИС, содержащей внутренние логические схемы, а также входные и выходные буферы, между внутренними логическими схемами ядра ИС и входными/выходными буферами размещают каскад сдвигового регистра, граничащий с контактами ИС. Каждый каскад сдвигового регистра находится в ячейке граничного сканирования. Ячейка граничного сканирования позволяет осуществлять контроль и наблюдать за происходящим на каждом входном и выходном контакте ИС через стандартный тестовый порт доступа. Тестирование внутренних логических схем ИС выполняется путем отделения размещенных на кристалле (чипе) внутренних логических схем от входных сигналов, получаемых от окружающих компонентов, и последующего выполнения внутреннего самотестирования. Эти тесты могут быть использованы для обнаружения отказов в ИС.
Более подробное описание этого метода/средства приведено в [8-10].
A.2.4 Отказоустойчивое оборудование
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица A.3).
Цель: перевод системы в безопасное состояние в случае появления отказов.
Описание: в аппаратно реализованных системах считается, что устройство работает отказоустойчиво, если:
- определенный набор отказов приводит к безопасному состоянию;
- отказы обнаруживаются.
ПРИМЕР - К определенному набору отказов могут относиться константные отказы типа "обрыв", короткие замыкания внутри и между компонентами, а также на соединениях.
Более подробное описание данного метода/средства приведено в [11-13].
A.2.5 Избыточный контроль
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица A.3).
Цель: обнаружение отказов путем создания нескольких функциональных модулей, контроля поведения каждого из них для обнаружения отказов и последующего инициирования перехода в безопасное состояние при обнаружении какого-либо несоответствия в поведении.
Описание: функция безопасности выполняется по меньшей мере двумя каналами АС. Выходы этих каналов контролируются. Если выходные сигналы всех каналов не идентичны, то это служит признаком отказа, и инициируется переход в безопасное состояние.
Более подробное описание вариантов данного метода/средства приведено в [13-15].
A.2.6 Электрические/электронные компоненты с автоматической проверкой
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица A.3).
Цель: обнаружение отказов путем периодической проверки функции безопасности.
Описание: АС тестируются до запуска процесса и затем тестируются повторно через определенные интервалы. УО продолжает работу только при условии успешного прохождения каждого теста.
Подробное описание данного метода/средства приведено в [16].
A.2.7 Текущий контроль аналоговых сигналов
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблицы A.3 и A.14).
Цель: повышение уверенности в результатах измерения сигналов.
Описание: в случае, когда отключение или безопасные состояния представляются уровнями аналоговых сигналов, обычно контролируют устойчивость уровня этого сигнала. Этот метод обеспечивает непрерывный контроль и высокую степень доверительности в передатчике, снижает частоту необходимого тестирования функции чувствительности передатчика. Подобное тестирование также может быть применено к внешним интерфейсам, например цифровым линиям связи.
Более подробное описание данного метода/средства приведено в [17, 18].
A.2.8 Снижение номинальных характеристик
Цель: повышение надежности работы компонентов АС.
Описание: построение системы выбирают таким образом, чтобы компоненты АС работали на номинальных уровнях нагрузок и иных характеристик, ниже максимально установленных для них технических характеристик. Снижение уровня номинальных нагрузок и характеристик - это обычная практика обеспечения гарантии того, что, например, при всех нормальных условиях окружающей среды компоненты будут нормально функционировать при уровнях нагрузок меньше максимальных уровней.
A.3 Устройства обработки данных
Глобальная цель: распознавание отказов, приводящих к неправильным результатам в модулях обработки.
A.3.1 Программное самотестирование: ограниченное число комбинаций (один канал)
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица A.4).
Цель: возможно более раннее обнаружение отказов в устройствах обработки данных.
Описание: АС создают с использованием стандартных методов, в которых не учитываются какие-либо специальные требования к безопасности. Обнаружение отказов реализуется целиком дополнительными программными функциями, которые выполняют самотестирование с использованием не менее двух дополнительных комбинаций данных (например, 55hex и AAhex).
A.3.2 Программное самотестирование: блуждающий бит (один канал)
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица A.4).
Цель: возможно более раннее обнаружение отказов в устройствах памяти (например, в регистрах) и дешифраторе команд процессора.
Описание: обнаружение отказов полностью реализуется дополнительными программными функциями, выполняющими самотестирование с использованием комбинации данных (например, комбинации "блуждающих битов"), которая тестирует физическую память (регистры данных и адресные регистры) и дешифратор команд. Охват диагностикой в этом случае составляет не более 90%.
При тестировании одиночным блуждающим битом данные записываются в каждый адрес и считываются. Затем информация сдвигается влево на один бит так, что информация начинается со второго бита, и проводится такое же тестирование снова. Процесс повторяется 32 раза до тех пор, пока тестовый бит не выйдет из испытательных данных. Аналогичное тестирование повторяется для полного диапазона тестирования (рисунок А.5).
Рисунок А.5 - Тестирование регистра блуждающим битом
При тестировании псевдослучайной последовательности предварительно подготовленная псевдослучайная уникальная последовательность записывается в каждое ОЗУ. После первого прохождения теста программа воспроизводит данные еще раз для подтверждения правильности размещения данных в памяти.
A.3.3 Самотестирование, обеспечиваемое АС (один канал)
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица A.4).
Цель: возможно более раннее обнаружение отказов в процессоре с использованием специальных АС, которые увеличивают скорость и расширяют области обнаружения отказов.
Описание: применяют дополнительные специальные АС, которые обеспечивают функции самотестирования для обнаружения отказов. Например, это может быть аппаратный модуль, циклически контролирующий выход определенной битовой комбинации в соответствии с принципом действия сторожевой схемы (рисунок А.6).
Рисунок А.6 - Структурная схема процессорного модуля с самотестированием и обнаружением отказов
Более подробное описание метода/средства приведено в [19, 20].
A.3.4 Закодированная обработка (одноканальная)
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица A.4).
Цель: возможно более раннее обнаружение отказов в процессоре.
Описание: процессоры могут быть спроектированы с использованием специальных встроенных схемных средств обнаружения отказов или исправления отказов. До недавнего времени эти методы/средства применялись только в относительно простых схемах и не получали широкого распространения; однако не следует исключать их применение в будущих разработках.
ПРИМЕР - Модули входа/выхода дублируются, и с выхода передающего на вход приемного устройства передаются два одинаковых сигнала А и В по двум отдельным линиям. Два входных сигнала поступают на логическое устройство, выполняющее операцию конъюнкции (логическое И). Если на выходе получается логическая единица, это свидетельствует о совпадении сигналов и исправности соединительных линий и передающего устройства. Если на выходе образуется логический нуль, это свидетельствует о неисправности линии (линий) и/или передающего устройства. Логическая единица используется для формирования разрешающей команды на дальнейшую передачу и обработку сигнала. Логический нуль используется для сигнализации о неисправности. На практике могут быть использованы другие логические операции, например ИСКЛЮЧАЮЩЕЕ ИЛИ, при передаче инверсии одного из сигналов ("НЕ А") или ("НЕ Б"), которые приводят к тем же результатам.
Более подробное описание данного метода/средства приведено в [4 и 18].
A.3.5 Программное обнаружение несовпадений
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица A.4).
Цель: возможно более раннее обнаружение отказов в процессоре путем динамического программного сравнения.
Описание: два модуля взаимно обмениваются данными (включая результаты, промежуточные результаты и тестируемые данные). Сравнение данных, выдаваемых с использованием программных средств в каждом модуле, и обнаруженные различия инициируют формирование сообщения об отказе (см. также рисунок А.3).
A.4 Постоянное запоминающее устройство
Глобальная цель: выявление изменения информации в ПЗУ.
A.4.1 Сохранение слов с многобитовой избыточностью (например, контроль ПЗУ модифицированным кодом Хэмминга)
Примечание - См. также A.5.6 и В.3.2. На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица A.5).
Цель: обнаружение всех однобитовых ошибок, всех двухбитовых ошибок и некоторых ошибок во всех битах 16-битового слова.
Описание: каждое слово в памяти расширяется несколькими избыточными битами для формирования модифицированного кода Хэмминга с кодовым расстоянием, по меньшей мере равным 4. При каждом считывании слова проверка избыточных битов может указывать, произошло искажение данных или нет. При обнаружении различия вырабатывается сообщение об ошибке. Эта процедура может также использоваться для обнаружения ошибок адресации путем вычисления избыточных битов для слова данных, объединенного с его адресом.
Подробное описание методов/средств обнаружения и коррекции ошибок приведено в [21-24].
A.4.2 Модифицируемая контрольная сумма
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица A.5).
Цель: обнаружение всех ошибок нечетных битов, то есть приблизительно 50% всех возможных битовых ошибок.
Описание: контрольная сумма образуется соответствующим алгоритмом, который использует все слова в блоке памяти. Эта контрольная сумма может храниться как дополнительное слово в ПЗУ либо она может быть добавлена как дополнительное слово в блок памяти для того, чтобы алгоритм контрольной суммы выработал заранее заданное значение. В последнем тестировании памяти контрольная сумма создается снова с использованием того же алгоритма, и результат сравнивается с запомненным или с заданным значением. При обнаружении различий вырабатывается сообщение об ошибке.
Этот метод более подробно описан в [21].
A.4.3 Сигнатура одного слова (8 битов)
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица A.5).
Цель: обнаружение значительного числа однобитовых ошибок, многобитовых ошибок в слове с обнаружением приблизительно 99,6% всех возможных битовых ошибок.
Описание: содержимое блока памяти сжимается (с использованием аппаратных или программных средств) в одно слово памяти с использованием алгоритма контроля с помощью циклического избыточного кода (CRC). Типичный алгоритм CRC рассматривает все содержимое блока памяти как побайтовый или побитовый последовательный поток данных, в котором выполняется непрерывное полиномиальное деление с использованием полиномиального генератора. Остаток от деления сохраняется и представляет собой сжатое содержимое памяти - это "сигнатура" памяти. Сигнатура вычисляется еще один раз в последующем тестировании и сравнивается с уже запомненным значением. При обнаружении различий выдается сообщение об ошибке.
Данный метод/средство более подробно описан в [25, 26].
A.4.4 Сигнатура двойного слова (16 битов)
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица A.5).
Цель: обнаружение большинства однобитовых и многобитовых ошибок в слове с обнаружением приблизительно 99, 998% всех возможных битовых ошибок.
Описание: при применении этого метода сигнатура вычисляется с использованием алгоритма контроля с помощью циклического избыточного кода (CRC), однако длина результирующего значения составляет по меньшей мере два слова. Расширенная сигнатура заносится в память, повторно вычисляется и сравнивается как одно слово. При обнаружении различий между сохраненной и повторно вычисленной сигнатурами выдается сообщение об ошибке. Метод позволяет обнаружить примерно 99, 998% всех возможных битовых ошибок.
Данный метод/средство более подробно описан в [25, 26].
A.4.5 Повторение блока (например, дублирование ROM аппаратными и программными средствами)
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица A.5).
Цель: обнаружение всех битовых ошибок.
Описание: адресное пространство дублируется в двух областях или устройствах памяти. Первая область памяти работает в нормальном режиме. Вторая - содержит ту же информацию и доступна параллельно с первой. Их выходы сравниваются, и при обнаружении различий выдается сообщение об ошибке (см. также А.5.7). Для обнаружения некоторых видов битовых ошибок данные должны запоминаться инверсно в одной из двух областей памяти и инвертироваться обратно при чтении.
Данный метод/средство более подробно описан в [27].
A.5 Изменяемые пространства памяти
Глобальная цель: обнаружение отказов во время процессов адресации, записи и считывания.
Должны быть учтены следующие отказы:
- константные отказы ячеек памяти;
- паразитные связи между ячейками памяти;
- отказы адресации;
- изменение содержимого из-за внешних воздействий.
A.5.1 Тесты "шахматная доска" и "марш" для памяти с произвольным доступом (RAM)
Примечание - На эти методы/средства дана ссылка в ГОСТ Р 53195.3 (таблица A.6).
Цель: обнаружение преимущественно статических битовых ошибок.
Описание: распределенная в шахматном порядке битовая комбинация нулей и единиц записывается в ячейки памяти с битовой организацией. Затем эти ячейки анализируются попарно, чтобы убедиться в их одинаковости и правильности. Адрес первой ячейки такой пары является переменным, а адрес второй ячейки этой пары образуется путем битового инвертирования первого адреса. Первое прохождение диапазона адресов памяти осуществляется в направлении увеличения переменных адресов, а при втором прохождении - в направлении уменьшения адресов. После этого оба прохождения повторяются с заранее заданным инвертированием. При обнаружении какого-либо различия выдается сообщение об отказе.
При "маршевом" тестировании памяти с произвольным доступом ячейки памяти с битовой организацией инициализируются унифицированным потоком битов. При первом прохождении ячейки анализируются в нисходящей последовательности. Проверяется правильность содержимого каждой ячейки, и ее содержимое инвертируется. Базовая последовательность битов, которая создана в первом прохождении, рассматривается при втором прохождении в убывающем порядке и тем же способом. Первые прохождения повторяются с инвертируемыми предварительными значениями в третьем и четвертом прохождениях. При обнаружении различий выдается сообщение об отказе.
Данные тесты более подробно описаны в [28, 29].
A.5.2 Тест "прогулочная дорожка" для памяти с произвольным доступом
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица A.6).
Цель: обнаружение статических и динамических ошибочных битов и перекрестных помех между ячейками памяти.
Описание: тестируемая область памяти инициализируется унифицированным потоком битов. Затем первая ячейка инвертируется, и остальная часть памяти анализируется на правильность. После этого первая ячейка повторно инвертируется для возврата в исходное состояние, и вся процедура повторяется для следующей ячейки. Второе прохождение модели "блуждающего бита" осуществляется при инверсии всех первоначально назначенных значений памяти. При обнаружении различий выдается сообщение об ошибке.
Данный метод/средство более подробно описан в [28, 29].
A.5.3 Тест "бегущий код" для памяти с произвольным доступом
Примечание - На этот метод/средство дана ссылка в МЭК 61508-3 (таблица A.6).
Цель: обнаружение статических битовых ошибок и динамических ошибок из-за паразитных связей.
Описание: при тестировании памяти с произвольным доступом "попарной записью-считыванием" выбранная область памяти сначала инициализируется унифицированно (то есть все 0 или все 1). После этого первая ячейка памяти тестируется и затем инвертируется, а все остальные ячейки анализируются на правильность содержимого. После каждого доступа к чтению одной из оставшихся ячеек инвертированная ячейка также проверяется. Эта процедура повторяется для каждой ячейки в выбранной области памяти. Второе прохождение выполняется противоположно первоначальному прохождению. Любые различия приводят к выдаче сообщения об ошибке.
Данный метод/средство более подробно описан в [28, 29].
A.5.4 Тест "Авраам" для памяти с произвольным доступом
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица A.6).
Цель: обнаружение всех константных отказов и отказов, возникающих из-за связей между ячейками памяти.
Данный метод/средство более подробно описан в [30, 31].
A.5.5 Однобитовая избыточность (например, контроль памяти с произвольным доступом с помощью бита четности)
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица A.6).
Цель: обнаружение 50% всех возможных битовых ошибок в тестируемой области памяти.
Описание: каждое слово в памяти расширяется на один бит (бит четности), который дополняет каждое слово до четного или нечетного числа логических единиц. Четность слова данных проверяется при каждом считывании. При обнаружении ложного числа единиц выдается сообщение об ошибке. Выбор четности или нечетности должен осуществляться таким образом, чтобы всякий раз, когда в случае ошибки не выдавалось ничего, кроме нулевого (ничего, кроме 0) и единичного (ничего, кроме 1) слова, вырабатывалось уведомление о том, что это слово неправильно закодировано. Контроль четности также может быть использован для обнаружения ошибок адресации, когда четность определяется при объединении слова данных с его адресом.
Данный метод/средство более подробно описан в [32-35].
A.5.6 Контроль памяти с произвольным доступом с помощью модифицированного кода Хэмминга или обнаружение ошибок данных с кодами обнаружения и исправления ошибок (EDC)
Примечание - См. также A.4.1 и В.3.2. На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица A.6).
Цель: обнаружение всех нечетных битовых ошибок, всех двухбитовых ошибок, некоторых трехбитовых ошибок и некоторых многобитовых ошибок.
Описание: каждое слово в памяти расширяется несколькими избыточными битами для формирования модифицированного кода Хэмминга с кодовым расстоянием по меньшей мере равным 4. При каждом считывании слова проверка избыточных битов может указывать, произошло искажение информации или нет. При обнаружении различий выдается сообщение об ошибке. Эта процедура может быть также использована для обнаружения ошибок адресации при вычислении избыточных битов при объединении слова данных с его адресом.
Данный метод/средство более подробно описан в [34, 35].
A.5.7 Дублирование со сравнением памяти с произвольным доступом аппаратными или программными средствами и тестирование путем записи/считывания
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица A.6).
Цель: обнаружение всех битовых ошибок.
Описание: адресное пространство памяти дублируется в двух устройствах (или областях) памяти. Первое устройство памяти функционирует в нормальном режиме. Второе устройство (вторая область) памяти содержит ту же информацию и доступно параллельно с первым(ой). Их выходные данные сравниваются, и при обнаружении различий выдается сообщение об ошибке. Для обнаружения некоторых видов битовых ошибок данные должны сохраняться инверсно в одном(ой) из двух устройств (областей) памяти и обратно инвертироваться при считывании.
Для памяти, распределенной на нескольких устройствах (например, на массивах накопителей на жестких дисках), применяют так называемые системы RAID, позволяющие обнаруживать и/или корректировать одиночные и кратные ошибки при считывании, в зависимости от уровня RAID:
- для RAID уровня 0 требуется минимально два диска и обеспечивается наивысшая производительность, но без защиты от потери и/или повреждения данных. Алгоритм работы основан на разделении данных на сегменты ("полоски" - striping). В том случае, если от дисковой системы требуется наивысшая производительность, но при этом также требуется защита от отказов жестких дисков, и нет недостатка в средствах, устанавливаются зеркально два RAID-контроллера, и каждый конфигурируется под RAID уровня 0;
- для RAID уровня 1 требуется два диска и фактически осуществляется только зеркальная (mirroring) запись-считывание. Такая организация памяти не снижает производительность при считывании, но скорость записи снижается, так как приходится выполнять последовательную запись на два диска - сначала на один, затем на другой;
- для RAID уровня 5 требуется минимально три диска и обеспечивается как защита данных при выходе из строя жестких дисков, так и приемлемая производительность. Применяется запись как с разделением диска на полоски (striping), так и с избыточностью (parity). Избыточность составляет один диск в одном массиве, т. е. при установке трех дисков по 9 ГБ операционная система различит только 18 ГБ. Установив 6 дисков по 9 ГБ, можно использовать для работы 45 ГБ и т. д. Для контроля данных в RAID уровня 5 используется один избыточный диск массива данных;
- для RAID уровня 6 также минимально требуется три диска, но для контроля данных используется два диска. В алгоритме RAID 6 используются два независимых механизма вычисления контрольных значений и два интеллектуальных метода восстановления данных - 2D-XOR и P+Q, что позволяет восстанавливать данные в случае отказа дисков и/или блоков данных (рисунок А.7).
Логический дисковый массив RAID 6 P+Q
Рисунок А.7 - Структура размещения блоков данных (D) и блоков проверки (P и Q) в системе RAID 6
- для RAID уровня 7 требуются хотя бы один диск и обычное независимое подключение дисков к RAID-контроллеру. Разбиение на полоски и введение избыточности отсутствуют. Сами диски могут быть отформатированы и разбиты на логические диски в необходимой для использования операционной системе. При использовании RAID других уровней это невозможно. Применение RAID 7 фактически представляет собой использование RAID-контроллера в качестве обычного, но очень высокопроизводительного SCSI-контроллера с кэш-памятью;
- для RAID уровня 0+1 используется разделение диска на полоски, как в RAID уровня 0, и зеркальная запись-считывание, как в RAID уровня 1. Отличается повышенной, по сравнению с обычным RAID уровня 1, производительностью, хотя избыточность по-прежнему 100%;
- для RAID уровня 10 применяется та же архитектура, что и в RAID уровня 0+1, но использованная для дискового массива из нескольких групп дисков. Избыточность соответственно 100%;
- для RAID уровня 30 используется разделение диска на полоски, но полоска данных распределяется по большим группам дисков с использованием контроля четности для контроля целостности данных;
- для RAID уровня 50 применяются те же архитектура и принцип действия, что и в RAID уровня 30, но с использованием операции "исключающее ИЛИ" (XOR) для контроля целостности данных.
Различные варианты данного метода/средства более подробно описаны в [36-39].
A.6 Устройства ввода-вывода и интерфейсы (внешний обмен)
Глобальная цель: обнаружение отказов на устройствах ввода и вывода (цифровых, аналоговых, последовательных или параллельных) и предотвращение передачи недопустимых выходных данных для обработки.
A.6.1 Тестирующая комбинация
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблицы A.7, A.14 и A.15).
Цель: обнаружение статических (константных) отказов и отказов из-за перекрестных помех.
Описание: осуществляется независимое от потока данных циклическое тестирование входных и выходных элементов. В нем используются определенные тестирующие комбинации для сравнения с соответствующими предполагаемыми значениями (рисунок А.8). Информация, восприятие и оценка тестирующей комбинации должны быть независимыми друг от друга. Тестирующие комбинации не должны неблагоприятно влиять на операции, выполняемые УО.
Рисунок А.8 - Применение тестирующей комбинации для обнаружения отказов
Данный метод/средство более подробно описан в [40-43].
A.6.2 Кодовая защита
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблицы A.7, A.16, A.17 и A.19).
Цель: обнаружение случайных отказов АС и систематических ошибок в потоке входных/выходных данных.
Описание: метод предназначен для защиты входных и выходных данных от систематических и случайных отказов АС. Кодовая защита обеспечивает зависимое от потока данных обнаружение отказов входных и выходных модулей на основе использования избыточности информации и/или временной избыточности. Обычно избыточная информация накладывается на входные и/или выходные данные. Этим самым обеспечиваются средства для мониторинга правильности операций входных и выходных схем. Возможно применение многих вариантов метода, например с модуляцией несущей частоты выходным сигналом датчика либо с добавлением на выходе канала избыточных битов или кодовых слов для контроля истинности прохождения сигнала между логическим модулем и оконечным исполнительным устройством.
Данный метод/средство более подробно описан в [30, 33-35].
A.6.3 Многоканальное параллельное выходное устройство
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица A.7).
Цель: обнаружение случайных (константных) отказов АС, отказов, обусловленных внешними воздействиями, временных сбоев, отказов адресации, постепенных отказов и самоустраняющихся отказов.
Описание: метод/средство состоит в применении зависимого от потока данных многоканального параллельного выходного устройства с независимыми выходами и внешних компараторов для обнаружения случайных аппаратных отказов. Обнаружение отказов осуществляется с помощью внешних компараторов при несовпадении информации на выходах устройств, которые формируют команду отключения УО (см. рисунки А.2, А.4). Этот метод/средство действует только в случае, если поток данных изменяется в интервале диагностического тестирования.
Данный метод/средство более подробно описан в [36].
A.6.4 Средство контроля выходов
Примечание - На этот метод/средство дана ссылка в МЭК ГОСТ Р 53195.3 (таблица A.7).
Цель: обнаружение отдельных отказов - отказов, обусловленных внешними воздействиями, временных сбоев, отказов адресации, постепенных отказов (для аналоговых сигналов) и самоустраняющихся отказов.
Описание: зависимое от потока данных устройство осуществляет сравнение выходных данных с независимыми входными данными, определяя, насколько они соответствуют области допустимых значений (по времени, величине). Обнаруженный отказ не всегда относится к неправильному выходному сигналу. Этот метод/средство действует только в том случае, если поток данных изменяется в интервале диагностического тестирования.
ПРИМЕР - На рисунке А.9 показана возможная схема устройства сравнения независимых входных данных с фактическими выходными данными.
Рисунок А.9 - Устройство сравнения выходных данных с независимыми данными
Данный метод/средство более подробно описан в [36].
A.6.5 Сравнение/голосование входных данных
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблицы A.7 и A.14).
Цель: обнаружение отдельных отказов - отказов, обусловленных внешними воздействиями, временных сбоев, отказов адресации, постепенных отказов (для аналоговых сигналов) и самоустраняющихся отказов.
Описание: зависимое от потока данных устройство осуществляет сравнение выходных данных с независимыми входными данными, определяя, насколько они соответствуют области допустимых значений (по времени, величине), - см. рисунок А.9. Обнаруженный отказ не всегда относится к неправильному выходному сигналу. Реализуемая избыточность может быть 1 из 2, 2 из 3 или более высокая. Этот метод/средство действует только в том случае, если поток данных изменяется в интервале диагностического тестирования.
Данный метод/средство более подробно описан в [36].
A.7 Маршруты данных (внутренний обмен)
Глобальная цель: обнаружение отказов, обусловленных процессом обмена информацией.
A.7.1 Однобитовая аппаратная избыточность
Примечание - На этот метод/средство дана ссылка в МЭК ГОСТ Р 53195.3 (таблица A.8).
Цель: обнаружение всех нечетных однобитовых ошибок, то есть 50% всех возможных одиночных ошибок в потоке данных.
Описание: число проводников шины расширяется на один проводник (бит в параллельном коде), и этот дополнительный проводник (бит) используется для обнаружения отказов путем проверки на четность.
A.7.2 Многобитовая аппаратная избыточность
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица A.8).
Цель: обнаружение отказов в процессе передачи данных по шине и в последовательных каналах связи.
Описание:
вариант 1: число проводников шины расширяется на два или более проводников (битов), и эти дополнительные проводники (биты) используются для обнаружения отказов с применением кода Хэмминга;
вариант 2: применяются два канала связи, по которым передаются антивалентные сигналы с одними и теми же данными. На приемном конце сигналы сравниваются с использованием логической цепи "исключающее ИЛИ". В случае несовпадения данных формируется сигнал обнаружения отказа (ошибки).
Данный метод/средство более подробно описан в [4-6, 18].
A.7.3 Полная аппаратная избыточность
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица A.8).
Цель: обнаружение отказов в процессе передачи путем сравнения сигналов двух шин.
Описание: шина дублируется, и дополнительные проводники (биты) используются для обнаружения отказов.
Данный метод/средство более подробно описан в [4-6, 18].
A.7.4 Анализ с использованием тестирующих комбинаций
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица A.8).
Цель: обнаружение статических отказов (константных отказов) и перекрестных помех.
Описание: осуществляется независимое от потока данных циклическое тестирование маршрутов данных. Используется определенная тестирующая комбинация для сравнения наблюдаемых значений с соответствующими ожидаемыми значениями.
Информация тестирующей комбинации, ее получение и оценка тестирующей комбинации должны быть независимыми друг от друга. Тестирующие комбинации не должны неблагоприятно влиять на операции УО. См. также А.6.1 и рисунок А.8.
Данный метод/средство более подробно описан в [42-45].
A.7.5 Избыточность при передаче
Примечание - На этот метод дана ссылка в ГОСТ Р 53195.3 (таблица A.8).
Цель: обнаружение самоустраняющихся отказов при обмене данными по шине.
Описание: информация передается последовательно несколько раз. Метод эффективен только для самоустраняющихся отказов.
A.7.6 Информационная избыточность
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица A.8).
Цель: обнаружение отказов при передаче данных по шине.
Описание: данные передаются блоками вместе с вычисленной контрольной суммой для каждого блока. Затем приемник повторно вычисляет контрольную сумму полученных данных, и результат сравнивается с принятой контрольной суммой.
Данный метод/средство более подробно описан в [33-35].
A.8 Устройства обеспечения (например, электропитания, синхронизации и т.п.)
Глобальная цель: обнаружение отказов или управление отказами источников электропитания.
А.8.1 Защита от падения напряжения
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица A.9).
Цель: защита связанных с безопасностью систем от падения напряжения.
Описание: осуществление безопасного отключения системы устройством защитного отключения, реагирующего на предельные отклонения напряжения. Контролирующая цепь контролирует напряжение от источника электропитания. В случае падения напряжения ниже установленных пределов она формирует сигнал тревоги, который инициирует действия микроконтроллера, снижающие риск (безопасное отключение потребляющего устройства, переход на резервное электропитание и т.п.). В случае восстановления заданного напряжения логическое устройство инициирует перезапуск (перезагрузку) микроконтроллера в стандартный режим работы. На рисунке А.10 показана структурная схема одноканального модуля защиты потребляющего устройства от пониженного напряжения, а на рисунке А.11 - структурная схема многоканального модуля защиты.
Рисунок А.10 - Структурная схема одноканального модуля защиты от пониженного напряжения
Рисунок А.11 - Структурная схема многоканального модуля защиты от пониженного напряжения
A.8.2 Защита от броска напряжения с помощью безопасного выключения
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица A.9).
Цель: защита связанных с безопасностью систем от броска напряжения.
Описание: раннее обнаружение повышения (броска) напряжения и переключение всех выходов системы в безопасное состояние с использованием процедуры отключения электропитания или переключения на резервный блок электропитания. Структура и принцип действия модуля защиты от повышения (броска) напряжения аналогичны действию модуля защиты от пониженного напряжения (см. А.8.1).
A.8.3 Управление напряжением вторичного источника электропитания
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица A.9).
Цель: контроль напряжений вторичного источника электропитания и инициализация перехода в безопасное состояние, если напряжение не находится в заданном диапазоне.
Описание: осуществление контроля напряжений вторичного источника электропитания и, если напряжение не находится в заданном диапазоне, отключение электропитания системы либо переключение ее на резервный блок электропитания. Структура и принцип действия системы (модуля) контроля вторичного источника электропитания аналогичны структуре и принципу действия модулей, описанных в А.8.1 и А.8.2.
A.8.4 Безопасное выключение
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица A.9).
Цель: выключение электропитания с безопасным сохранением запомненной информации.
Описание: осуществляется раннее обнаружение повышения (броска) или понижения напряжения с тем чтобы внутреннее состояние СБЗС-системы (подсистемы) при необходимости могло быть сохранено в энергонезависимой памяти и чтобы все выходы могли быть установлены в безопасное состояние процедурой отключения электропитания, или все выходы могли быть переключены в безопасное состояние процедурой отключения электропитания, либо потребляющие устройства могли быть подключены к резервному источнику электропитания.
A.9 Временной и логический контроль последовательности выполнения программ
Примечание - На эту группу методов или средств даны ссылки в ГОСТ Р 53195.3 (таблицы A.16, A.17 и A.19).
Глобальная цель: обнаружение искаженных программных последовательностей, возникающих в случаях, когда отдельные элементы программы (например, программные модули, подпрограммы или команды) обрабатываются в неправильной последовательности, или в непредусмотренный период времени, либо при сбое тактовой частоты процессора, во избежание неверного выполнения или невыполнения функции безопасности (см. рисунок А.12).
Рисунок А.12 - Структурная схема и временные диаграммы модуля временного и логического контролей последовательности выполнения программ
A.9.1 Контрольный датчик времени с отдельной временной базой без временного окна
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблицы A.10 и A.12).
Цель: контроль поведения и последовательности выполнения программ.
Описание: внешний элемент (например, контрольный датчик времени), задающий интервалы времени с отдельной временной базой, периодически переключается для контроля поведения компьютера и последовательности выполнения программ. Осуществляется слежение за тем, чтобы моменты переключения были правильно расположены в программе. Контрольный датчик времени не переключается с некоторым фиксированным периодом, однако для него задается максимальный временной интервал.
A.9.2 Контрольный датчик времени с отдельной временной базой и временным окном
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблицы A.10 и A.12).
Цель: контроль поведения и последовательности выполнения программ.
Описание: внешний элемент (например, контрольный датчик времени), задающий интервалы времени с отдельной временной базой, периодически переключается для контроля поведения компьютера и последовательности выполнения программ. Производится слежение за тем, чтобы моменты переключения были правильно расположены в программе. Если выполнение программы занимает более длительное или более короткое время, чем ожидается, выполняется чрезвычайное действие.
A.9.3 Логический контроль последовательности выполнения программ
Примечание - На этот метод дана ссылка в ГОСТ Р 53195.3 (таблицы A.10 и A.12).
Цель: контроль правильной последовательности выполнения отдельных частей программы.
Описание: правильная последовательность выполнения отдельных частей программы контролируется с помощью программных средств (процедур учета, ключевых процедур) или с использованием внешних средств контроля. Осуществляется контроль за тем, чтобы точки проверки располагались в программе правильно.
Более подробное описание данного метода приведено в [45].
A.9.4 Комбинация временного и логического контролей последовательности программ
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблицы A.10 и A.12).
Цель: контроль поведения и правильной последовательности выполнения отдельных частей программы.
Описание: устройство, задающее интервалы времени (например, контрольный датчик времени), контролирующее последовательность программ, вновь запускается только в том случае, если последовательность частей программы выполняется правильно.
Данный метод/средство более подробно описан в [45].
A.9.5 Проверка временного контроля в режиме он-лайн
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблицы A.10 и A.12).
Цель: обнаружение отказов при временном контроле.
Описание: временной контроль проверяется при запуске, а запуск возможен только в том случае, если временной контроль успешно завершен. Например, датчик температуры может быть проверен нагретым резистором при запуске.
A.10 Средства охлаждения и подогрева
Примечание - На эту группу средств дана ссылка в ГОСТ Р 53195.3 (таблицы A.17 и A.19).
Глобальная цель: управление отказами в средствах охлаждения (вентиляции) и подогрева и/или их контроль, если они связаны с безопасностью.
Данные средства более подробно описаны в [46-49].
A.10.1 Датчик температуры
Примечание - На это средство дана ссылка в ГОСТ Р 53195.3 (таблица A.11).
Цель: обнаружение температурного перегрева или недогрева до того, как система начнет действовать вне заданных требований.
Описание: применяется датчик температуры, который контролирует температуру в наиболее критических точках E/E/PE СБЗС-системы (подсистемы) или составляющих. Чрезвычайное действие осуществляется до того, как температура в критических точках выйдет за установленные в требованиях пределы.
A.10.2 Управление вентиляцией
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица A.11).
Цель: обнаружение отказов в работе вентилятора.
Описание: контролируется правильность работы вентилятора. Если вентилятор работает не должным образом, предпринимаются действия по обслуживанию или аварийному отключению.
A.10.3 Безопасное отключение с использованием плавкого предохранителя
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица A.11).
Цель: отключение СБЗС-системы безопасности до того, как система выйдет за пределы заданных температурных режимов.
Описание: для отключения СБЗС-системы используется плавкий предохранитель. В PE-системе выключение осуществляется процедурой отключения электропитания, при которой сохраняется вся информация, необходимая при чрезвычайных действиях.
A.10.4 Ступенчатые сообщения от термодатчиков и условная тревога
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица A.11).
Цель: сообщение о том, что СБЗС-система (подсистема, модуль) вышла за установленные требованиями пределы температурных режимов.
Описание: осуществляется контроль температуры, и при ее выходе за установленные пределы выдается тревожное сообщение.
A.10.5 Соединение устройства принудительного охлаждения воздуха и индикатора состояний
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица A.11).
Цель: недопущение перегрева системы (подсистемы, модуля, среды) путем использования искусственного воздушного охлаждения.
Описание: осуществляется контроль температуры системы (подсистемы, модуля, среды), и, если температура превысила заданный предел, включается искусственное воздушное охлаждение. Пользователь информируется о состоянии температуры.
A.11 Обмен данными и запоминающее устройство большой емкости
Глобальная цель: контроль отказов в процессе обмена данными между внешними источниками и запоминающим устройством большой емкости.
A.11.1 Отделение линий электропитания от линий передачи информации
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица A.13).
Цель: минимизация перекрестных помех в линиях передачи информации, индуцируемых сильными токами системы электропитания.
Описание: линии, обеспечивающие электропитание СБЗС-систем, пространственно отделяют от линий, несущих информацию. Электромагнитное поле, которое может вызывать в линиях передачи информации всплески напряжений, уменьшается с расстоянием.
Данный метод/средство более подробно описан в [18].
A.11.2 Пространственное разделение групповых линий
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблицы A.13 и A.17).
Цель: минимизация перекрестных помех, индуцируемых сильными токами в групповых линиях.
Описание: групповые линии, несущие информационные сигналы, отделяются одна от другой. Электромагнитное поле, которое может вызывать всплески напряжений в групповых линиях, уменьшается с расстоянием. Этот метод/средство снижает также отказы по общей причине.
Данный метод/средство более подробно описан в [18].
A.11.3 Повышение помехоустойчивости
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблицы A.13, A.17 и A.19).
Цель: минимизация электромагнитных воздействий на СБЗС-систему.
Описание: применение методов/средств, уменьшающих восприимчивость СБЗС-системы к электромагнитным воздействиям, вызванным излучениями либо наводками на линии электропитания или информационные линии, а также возникающим из-за электростатических разрядов. К методам/средствам относятся: экранирование, заземление и фильтрация. Выбор применяемых методов/средств зависит от видов систем, конкретных областей применения и требований к системам. Следует ориентироваться на стандартизованные методы/средства, области применения и требования, которые описаны, например, в ГОСТ 13661, ГОСТ 30382, ГОСТ Р 51700 и других документах по стандартизации.
A.11.4 Передача сигнала без наводок
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблицы A.13 и A.17).
Цель: обнаружение одних и тех же индуцированных напряжений в групповых линиях передачи сигналов.
Описание: вся дублируемая информация передается антивалентными сигналами (например, логическими 1 и 0 и их инверсиями). Ошибки по общей причине (например, вызванные электромагнитными излучениями) могут быть обнаружены антивалентным компаратором.
A.12 Датчики
Глобальная цель: контроль отказов в датчиках, связанных с безопасностью систем.
A.12.1 Эталонный датчик
Примечание - На это средство дана ссылка в ГОСТ Р 53195.3 (таблица A.14).
Цель: обнаружение неправильной работы датчика.
Описание: для контроля выполнения процессов датчика используется независимый эталонный датчик. Все входные сигналы в подходящие временные интервалы проверяются эталонным датчиком для обнаружения отказов в работе проверяемого датчика. Продуктивным является применение датчиков со встроенным эталоном или его цифровым образом.
Данное средство более подробно описано в [50-53].
A.12.2 Непосредственно управляемый переключатель
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица A.14).
Цель: размыкание контактов с помощью непосредственного механического соединения между кулачком переключателя и поводком контакта.
Описание: непосредственно управляемый переключатель размыкает свои обычно замкнутые контакты непосредственным механическим разъединителем между кулачком переключателя и поводком контакта. Этим обеспечивается размыкание контактов переключателя всякий раз, когда кулачок переключателя находится в рабочем положении. Принцип действия аналогичен принципу, описанному в А.1.2.
A.13 Оконечные элементы (приводы)
Глобальная цель: контроль отказов в оконечных элементах СБЗС-систем.
A.13.1 Мониторинг
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица A.15).
Цель: обнаружение неправильной работы привода.
Описание: работа привода контролируется (например, управляемыми контактами реле, см. мониторинг релейных контактов в A.1.2). Избыточность, вносимая этим контролем, может быть использована для переключения системы в аварийный режим.
A.13.2 Перекрестный контроль групповых приводов
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица A.15).
Цель: обнаружение отказов в приводах путем сравнения результатов контроля их работы.
Описание: каждый групповой привод контролируется своим аппаратным каналом. При обнаружении различий вырабатывается аварийное действие.
Приложение Б
(справочное)
Методы/средства для исключения систематических отказов СБЗС-систем (см. ГОСТ Р 53195.3 и ГОСТ Р 53195.4)
Примечания
1 Часть мер (методов/средств) данного приложения относятся к методам/средствам для программного обеспечения, но они не дублируют методы/средства, приведенные в приложении В.
2 Методы/средства, представленные в настоящем приложении, не являются исчерпывающими. СБЗС-системы непрерывно развиваются, и методы/средства исключения систематических отказов совершенствуются. При выборе конкретных методов/средств следует ориентироваться, в первую очередь, на стандартизованные методы/средства. В случае применения новых методов/средств всегда следует формировать и сохранять доказательственные материалы, демонстрирующие эффективность новых методов/средств по сравнению с методами/средствами, приведенными в настоящем приложении.
Б.1 Общие методы и средства
Б.1.1 Управление проектами
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблицы Б.1-Б.6).
Цель: устранение отказов путем совершенствования организационной модели, правил и средств по разработке и тестированию СБЗС-систем.
Описание: наиболее значимыми являются методы/средства, направленные:
- на создание организационной модели, в основном для обеспечения действия систем менеджмента качества и менеджмента риска в соответствии с действующими стандартами;
- на установление в руководствах по взаимосвязанным проектам и конкретным проектам регулирующих правил, мер и мероприятий для создания и оценки соответствия СБЗС-систем;
- на применение следующих наиболее важных базовых принципов:
- выбор проектной организации и установление:
- на определение и принятие плана последовательных действий (модели действий):
- определение всех существенных действий, необходимых во время выполнения проекта, включая внутреннее инспектирование проверки и график его проведения;
- дополнение (обновление) проекта;
- на определение стандартной последовательности для внутреннего инспектирования:
- планирование, выполнение и проверка инспектирования (теория инспектирования);
- разделение механизмов для комплектующей продукции;
- сохранение результатов повторных проверок;
- на управление конфигурацией:
- администрирование и проверка версий;
- обнаружение влияний модификаций;
- согласование инспектирования после модификаций;
- на введение количественной оценки мер по обеспечению качества:
- установление требований;
- статистика отказов;
- на введение автоматизированных универсальных методов, инструментов и средств обучения персонала.
Стандартизованные методы/средства по аспектам менеджмента качества, менеджмента риска и управления проектами подробно описаны в ГОСТ Р ИСО 9000, ГОСТ Р ИСО 9001, ГОСТ Р ИСО 10006, ГОСТ Р ИСО/МЭК 16085.
Б.1.2 Документация
Примечания
1 На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблицы Б.1-Б.6).
2 См. также ГОСТ Р 53195.2 (раздел 5 и приложение A).
Цель: устранение отказов и упрощение оценки соответствия СБЗС-систем требованиям безопасности с помощью систем документирования каждого шага процесса разработки.
Описание: в процессе оценки соответствия все стороны, вовлеченные в процесс проектирования, должны демонстрировать (представлять доказательства) соответствие систем эксплуатационным характеристикам, требованиям безопасности и всем составляющим, включенным в проект. В обеспечении способности к тщательной разработке и гарантированию проверки доказательств безопасности в любой период времени особое значение придается документации.
Важными общими средствами устранения отказов и упрощения оценки соответствия являются введение руководств и автоматизация, в том числе:
- руководств, которые:
- устанавливают требования к групповому плану;
- имеют контрольный список содержания;
- устанавливают формат документа;
- администрирования документирования с помощью автоматизированной и организованной библиотеки проекта.
К индивидуальным средствам относятся:
- разделение в документации:
- требований к системе;
- описания системы (документации пользователя);
- описания разработки (включая внутреннюю инспекцию);
- группирование проектной документации в соответствии с жизненным циклом СБЗС-системы;
- установление стандартных модулей документации, из которых могут быть скомпилированы документы;
- ясная идентификация составляющих частей документаций;
- формализованное обновление версий;
- выбор ясных и понятных средств описания:
- формализованная нотация определений;
- естественный язык для введений, обоснований и представления намерений;
- графическое представление примеров;
- семантическое определение графических элементов;
- директории специальных слов.
Следует ориентироваться на стандартизованные требования к документации. Эти требования подробно описаны в [55], а также устанавливаются в документах по стандартизации системы программной документации.
Б.1.3 Разделение систем, связанных с безопасностью, и систем, не связанных с безопасностью
Примечание - На этот метод/средство дана ссылка в МЭК ГОСТ Р 53195.3 (таблицы Б.1 и Б.6).
Цель: предотвращение влияния связанных с безопасностью систем на системы, не связанные с безопасностью, в непредвиденных ситуациях.
Описание: в спецификации требований к СБЗС-системам должно быть определено, возможно ли разделение систем, связанных с безопасностью, и систем, не связанных с безопасностью. Должны быть установлены соответствующие четкие требования по этому вопросу. Четкое разделение требований снижает затраты на тестирование СБЗС-систем.
Более подробное описание этих требований приведено в [18, 54].
Б.1.4 Разнообразие аппаратных средств
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблицы A.16, A.17 и A.19).
Цель: обнаружение систематических отказов при выполнении действий УО, с использованием разнообразных компонентов с различными частотами и типами отказов.
Описание: применение различных типов компонентов в разнообразных каналах СБЗС-систем для снижения вероятности отказов по общей причине (например, из-за перенапряжений, электромагнитных влияний) и повышения вероятности обнаружения таких отказов. Для выполнения требуемой функции применяют различные средства, основанные на различных физических принципах (например, электрических, гидравлических, пневматических) и различных способах решения одной и той же задачи. Существуют различные типы разнообразий. Для получения функционального разнообразия используют различные подходы для достижения одного и того же результата.
Б.2 Спецификация требований к безопасности СБЗС-систем
Глобальная цель: разработка спецификации требований к СБЗС-системе, которая, по возможности, должна быть полной, не содержащей ошибок, свободной от противоречий и простой для проверки.
Б.2.1 Структурирование спецификации
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблицы Б.1 и Б.6).
Цель: уменьшение сложности спецификации требований к СБЗС-системе, а также исключение ошибок интерфейсов между требованиями путем создания иерархической структуры частичных требований.
Описание: метод/средство предусматривает структурирование функциональной спецификации требований с разбиением на частичные требования таким образом, чтобы между ними существовали, по возможности, простейшие наблюдаемые отношения. Анализ требований последовательно уточняют до тех пор, пока не будут получены различимые небольшие четкие частичные требования. Результатом последнего уточнения является иерархическая структура частичных требований, которая создает основу для спецификации полных требований. Этот метод/средство позволяет выделить интерфейсы частичных требований и особенно эффективен при использовании для исключения ошибок интерфейсов.
Более подробные описания стандартизованных структурируемых требований приведены в [55-58].
Б.2.2 Формальные методы
Примечание - На эти методы/средства дана ссылка в ГОСТ Р 53195.3 (таблицы Б.1 и Б.6).
Цель: выражать спецификацию требований однозначно и последовательно таким образом, чтобы оказалось возможным обнаружить ошибки и упущения.
Описание: формальные методы представляют собой методы/средства разработки и описания системы, применяемые на определенном этапе разработки спецификации или проекта. Результирующее описание принимает математическую форму и может быть подвергнуто математическому анализу для обнаружения различных классов несогласованностей или некорректностей. Такое описание может быть в некоторых случаях проанализировано на ЭВМ со строгостью, аналогичной строгости проверки компилятором синтаксиса исходной программы, или поддержано средствами анимации для изображения различных аспектов поведения описанной системы. Анимация улучшает восприятие человеком специфицированного поведения.
Формальные методы/средства могут в общем случае предоставлять нотацию (в основном некоторые методы дискретной математики), средства для вывода описания в этой нотации и различные виды анализа для проверки на корректность различных свойств описаний.
Начиная с математически формальной спецификации проектирование может быть сведено до последовательности пошаговых уточнений к проектированию логической схемы.
Более подробное описание формальных методов/средств приведено в ГОСТ Р МЭК 61160.
Б.2.3 Полуформальные методы
Цель: создание однозначных и согласованных частей спецификации с возможностью обнаружения ошибок и пропусков.
Примечание - На эти методы/средства дана ссылка в ГОСТ Р 53195.3 (таблицы Б.1, Б.2 и Б.6) и в ГОСТ Р 53195.4 (таблицы A.1, A.2 и A.4).
Б.2.3.1 Общие положения
Цель: удостовериться в том, что проект удовлетворяет своей спецификации.
Описание: полуформальные методы представляют собой методы/средства создания описания системы на стадиях ее разработки, например при разработке спецификации, при проектировании или кодировании. Описание может быть в некоторых случаях проанализировано на ЭВМ или поддержано средствами анимации для отображения различных аспектов поведения системы. Анимация позволяет получить дополнительную уверенность в том, что система удовлетворяет как реальным требованиям, так и специфицированным требованиям.
Два полуформализованных метода описаны ниже.
Б.2.3.2 Метод конечных автоматов/диаграммы переходов состояний
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.4 (таблицы Б.5 и Б.7).
Цель: моделирование, подготовка спецификации или реализация структуры управления системы.
Описание: системы могут быть описаны в выражениях, отображающих их состояния, данные на их входах и их действия. Находясь в состоянии C1 и при получении на входе данных, система может выполнить действие A и перейти в состояние C2. Путем описания системных действий для каждого входа в каждом состоянии можно описать систему полностью. Образуемая в результате модель системы является автоматом конечных состояний. Она может быть изображена в виде так называемой диаграммы переходов состояний, которая показывает, каким образом система переходит из одного состояния в другое, или в виде матрицы, в которой по осям задаются состояния и входы, а ячейки матрицы содержат действия по переходу в новое состояние.
Когда система усложняется или имеет естественную структуру, это может быть отражено в уровневой структуре автомата конечных состояний.
Спецификация или проект, выраженный в виде автомата конечных состояний, может быть проверен:
- на полноту (система должна иметь действие и новое состояние для каждого входа в каждом состоянии);
- на согласованность (только одно изменение состояния описывается для каждой пары состояние/вход);
- на достижимость (можно или нельзя перейти из одного состояния в другое при любой последовательности входов).
Это важные свойства для критических систем. Инструменты для обеспечения этих проверок легко разработать. Существуют также алгоритмы, которые позволяют автоматически генерировать тестовые примеры для верификации реализаций автомата конечных состояний или для анимации модели автомата конечных состояний.
Подробное описание данных методов/средств приведено в [57-59].
Б.2.3.3 Метод сетей Петри
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.4 (таблицы Б.5 и Б.7).
Цель: моделирование соответствующих аспектов поведения системы, оценка и, возможно, повышение ее безопасности и рабочих характеристик путем анализа и повторного проектирования.
Описание: сети Петри относятся к классу теоретических графовых моделей, используемых для представления информации и управления потоками в системах, процессы в которых конкурентны и асинхронны.
Сеть Петри - это сеть позиций и переходов. Позиции могут быть "маркированными" или "немаркированными". Переход "активизирован", когда все его входы маркированы. В активизированном состоянии позиции разрешается (но не требуется) быть "возбужденной". Если позиция "возбуждена", вход, поступающий на переход, становится немаркированным, а вместо этого каждый выход из перехода оказывается маркированным.
Потенциальные опасности могут быть представлены в виде конкретных состояний (маркировок) в модели. Модель сетей Петри может быть расширена для обеспечения возможности синхронизации системы. И хотя "классические" сети Петри концентрируются на аспектах управления потоками, имеются некоторые расширения для включения потока данных в модель.
Подробное описание сетей Петри приведено в [60-65].
Б.2.4 Автоматизированные средства разработки спецификации
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблицы Б. 1 и Б.6) и в ГОСТ Р 53195.4 (таблицы A.1 и A.2).
Б.2.4.1 Общие положения
Цель: использование формальных методов/средств разработки спецификации для упрощения автоматического обнаружения неоднозначностей и полноты системы.
Описание: метод/средство предусматривает создание спецификации в форме базы данных, которая может автоматически анализироваться для оценки согласованности и полноты. Инструмент созданной таким образом спецификации предоставляет пользователю возможность применить анимацию различных аспектов специфицированной системы. В общем случае метод/средство поддерживает не только создание спецификаций, но и этап проектирования, а также и другие этапы жизненного цикла. Инструменты спецификаций могут быть классифицированы в соответствии с пунктами, приведенными ниже.
Подробное описание этих методов/средств приведено в [57-59].
Б.2.4.2 Инструменты, не ориентированные на конкретный метод
Цель: предоставление пользователю с помощью подсказок и формирования связей между соответствующими частями возможности составления правильной спецификации.
Описание: инструменты, не ориентированные на конкретный метод, освобождают пользователя от рутинной процедуры и поддерживают управление проектом. Они не формируют какую-либо конкретную методологию разработки спецификаций. Относительная независимость от метода позволяет пользователям быть более свободными и одновременно дает им некоторую специализированную поддержку, необходимую при создании спецификаций. При этом усложняется освоение метода.
Подробное описание этих методов/средств приведено в [57-59].
Б.2.4.3 Процедура, ориентированная на модель с иерархическим анализом
Цель: предоставление пользователю возможности создания правильной спецификации, обеспечив согласованность между описаниями действий и данных на различных уровнях абстрагирования.
Описание: метод/средство дает функциональное представление о необходимой системе (структурный анализ) на различных уровнях абстрагирования (степень точности). Анализ проводится на различных уровнях как с действиями, так и с данными. Оценка неоднозначности и полноты спецификации возможна между иерархическими уровнями, а также между двумя функциональными единицами (модулями) на одном и том же уровне.
Подробное описание метода/средства приведено в [57-59].
Б.2.4.4 Сущностные модели
Цель: предоставление пользователю возможности создания правильной спецификации, фокусируя внимание на использовании сущностей внутри системы и взаимоотношений между ними.
Описание: заданная система описывается в виде совокупности объектов и взаимоотношений между ними. Применение сущностных моделей позволяет определять, какие взаимоотношения могут интерпретироваться системой. В общем случае эти взаимоотношения позволяют описывать иерархическую структуру объектов, поток данных, взаимоотношения между данными и определять, какие данные являются предметом определенных технологических процессов. Классическая процедура расширяется применением управления процессами. Возможности обследования спецификации и поддержка пользователя зависят от разнообразия проиллюстрированных взаимоотношений. С другой стороны, множество представленных возможностей делает применение этого метода сложным.
Подробное описание метода/средства приведено в [66-68].
Б.2.4.5 Стимул и отклик
Цель: предоставление пользователю возможности создания правильной спецификации путем идентификации взаимоотношений "стимул - отклик".
Описание: взаимоотношения между объектами системы определены в нотациях "стимулы" и "отклики". Используется простой и легко расширяемый язык, который содержит элементы языка, представляющие объекты, взаимоотношения, характеристики и структуры.
Подробное описание данного метода/средства приведено в [69, 70].
Б.2.5 Таблица контрольных проверок
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблицы Б.1, Б.2 и Б.6) и в ГОСТ Р 53195.4 (таблицы A.10 и Б.8).
Цель: сосредоточение внимания пользователя на всех важных аспектах системы на конкретной стадии жизненного цикла системы и управление критическими оценками, обеспечивая исчерпывающий охват без предъявления точных требований к системе.
Описание: метод/средство включает в свой состав набор вопросов, на которые должно дать ответ лицо, заполняющее таблицу контрольных проверок. Многие вопросы носят общий характер, и эксперт должен интерпретировать их как наиболее подходящие к конкретной оцениваемой системе. Таблицу контрольных проверок можно использовать на всех этапах всего жизненного цикла СБЗС-системы, жизненных циклов аппаратных средств и программного обеспечения. Метод/средство полезно в качестве инструмента, способствующего оценке функциональной безопасности.
Для сокращения широкого разнообразия проходящих подтверждение соответствия систем большинство таблиц контрольных проверок содержат вопросы, которые применимы ко многим типам систем. В результате в используемой таблице контрольных проверок может оказаться множество вопросов, которые не уместны в используемой системе и которые должны игнорироваться. В то же время для конкретной системы может возникнуть необходимость дополнения стандартной таблицы контрольных проверок вопросами, специально ориентированными на используемую систему.
Использование таблицы контрольных проверок в значительной степени зависит от экспертной оценки и суждения инженера, который выбирает и применяет таблицу контрольных проверок. В результате решения, принятые инженером относительно выбранных(ой) таблиц(ы) контрольных проверок, и любые дополнительные вопросы должны быть полностью задокументированы и обоснованы. Цель состоит в гарантировании возможности контроля применения таблиц контрольных проверок и того, что при использовании одних и тех же критериев будут получены одни и те же результаты.
Объект в заполненной таблице контрольных проверок должен быть как можно более сжатым. При необходимости исчерпывающего обоснования оно должно быть дано в виде ссылок на дополнительные документы. Для документирования результатов каждого вопроса должен использоваться ответ: "успешно", "безуспешно" или "не завершено" - либо некоторый аналогичный ограниченный набор ответов. Эта лаконичность существенно упрощает процедуру достижения общего заключения в виде результатов оценки таблицы контрольных проверок.
Б.2.6 Экспертиза спецификации
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблицы Б.1 и Б.6).
Цель: исключение некомплектности и противоречивости спецификации.
Описание: общий метод, с помощью которого оценивается спецификация с различных сторон независимой группой экспертов. Группа экспертов задает вопросы разработчику спецификации, который должен дать ей удовлетворительные ответы. Анализ должен (по возможности) выполняться группой, которая не принимала участия в создании спецификации. Требуемая степень независимости определяется уровнями полноты безопасности, задаваемыми для системы. Независимые эксперты должны быть способны реконструировать эксплуатационную функцию системы бесспорным способом без ссылок на любые последующие спецификации. Они должны также убедиться в том, что охвачены все уместные аспекты безопасности и технические аспекты в эксплуатационных и организационных средствах. Эта процедура доказала свою высокую эффективность на практике.
Более подробное описание метода/средства приведено в ГОСТ Р МЭК 61160.
Б.3 Проектирование и разработка СБЗС-систем
Глобальная цель: создание проекта СБЗС-системы в соответствии со спецификацией.
Б.3.1 Соблюдение стандартов и руководств
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица Б.2).
Цель: рассмотрение стандартов сектора применения (не устанавливаемых в настоящем стандарте) на предмет правильного их использования при разработке и проектировании СБЗС-системы.
Описание: при проектировании СБЗС-системы должны составляться руководства. Эти руководящие материалы должны, во-первых, приводить к созданию СБЗС-систем, которые практически свободны от ошибок, и, во-вторых, упрощать последующее подтверждение соответствия требованиям безопасности. Они могут быть универсальными, установленными только для данного проекта или установленными только для отдельного его этапа.
Б.3.2 Структурное проектирование
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблицы Б.2 и Б.6).
Цель: снижение сложности спецификации требований путем создания иерархической структуры частичных требований; исключение ошибок взаимосвязей между требованиями; упрощение верификации.
Описание: при проектировании аппаратных средств должны использоваться конкретные критерии или методы. Например, может потребоваться следующее:
- проектирование иерархически структурированных схем;
- использование изготовленных и прошедших тестирование частей схем.
Аналогично при проектировании программных средств использование структурных схем позволяет создать однозначную структуру программных модулей. Эта структура показывает взаимосвязь модулей друг с другом, конкретные данные, которые передаются между модулями, и конкретное управление, существующее между модулями.
Структурное проектирование более подробно описано в [70, 71].
Б.3.3 Использование надежно испытанных компонентов
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблицы Б.2 и Б.6).
Цель: снижение риска появления ряда необнаруживаемых отказов путем использования компонентов с конкретными характеристиками.
Описание: выбор надежно испытанных компонентов для целей безопасности выполняется производителем в соответствии с надежностью компонентов (например, использование эксплуатационно-тестируемых физических модулей для удовлетворения высоких требований безопасности или хранение относящихся к безопасности программ только в безопасной памяти). Обеспечение безопасности памяти может касаться устранения несанкционированного доступа, влияний несанкционированной среды (электромагнитные воздействия, радиация и т. д.), а также отклика компонентов в случае обнаружения отказов.
Более подробное описание этого метода/средства приведено в [72].
Б.3.4 Модульное проектирование
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблицы Б.2 и Б.6).
Цель: снижение сложности проектирования и исключение ошибок, связанных с интерфейсами между подсистемами.
Описание: каждая подсистема на всех уровнях проектирования четко определяется и ограничивается по размеру (только небольшим набором функций). Интерфейсы между подсистемами поддерживаются как можно более простыми, и пересечения (то есть разделяемые данные, обмен информацией) минимизируются. Сложность отдельных подсистем также ограничивается.
Более подробное описание метода/средства приведено в [73, 74].
Б.3.5 Средства автоматизированного проектирования
Примечание - На эти средства дана ссылка в ГОСТ Р 53195.3 (таблицы Б.2 и Б.6) и в ГОСТ Р 53195.4 (таблица A.4).
Цель: обеспечение наиболее систематического выполнения процедур проектирования. Включение в проект подходящих автоматически спроектированных элементов, которые уже созданы и проверены.
Описание: инструменты автоматизированного проектирования (САПР) должны использоваться в процессе проектирования как АС, так и ПО во всех случаях, когда они доступны и обоснованы сложностью системы. Правильность выбора таких инструментов должна быть продемонстрирована конкретным тестированием, обширной предысторией удовлетворительного использования либо независимой верификацией результата их применения для конкретной проектируемой СБЗС-системы.
Более подробно методы/средства автоматизированного проектирования описаны в [75, 76].
Б.3.6 Моделирование
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблицы Б.2, Б.5 и Б.6).
Цель: выполнение систематической и полной проверки электрических/электронных схем, их функционирования, а также корректное задание размеров их компонентов.
Описание: функция схемы, реализующая СБЗС-систему, имитируется на компьютере с помощью запрограммированной модели ее поведения. Поведение каждого отдельного компонента схемы моделируется отдельно, и отклик схемы, в которую он входит, анализируется при задании предельных данных для каждого компонента.
Этот метод/средство более подробно описан в [75, 76].
Б.3.7 Проверка (обзор и анализ)
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблицы Б.2 и Б.6).
Цель: выявление рассогласований между спецификацией и реализацией.
Описание: заданные функции СБЗС-системы проверяют и оценивают для гарантирования того, что СБЗС-система соответствует требованиям, приведенным в спецификации. Все сомнительные вопросы относительно реализации и использования системы документируются с целью их последующего разрешения. В отличие от сквозного анализа во время процедуры проверки автор пассивен, а эксперт активен.
Б.3.8 Сквозной анализ
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица Б.6).
Цель: выявление рассогласования между спецификацией и реализацией.
Описание: заданные функции СБЗС-системы оцениваются для гарантирования того, что СБЗС-система соответствует требованиям, приведенным в спецификации. Все сомнительные вопросы относительно реализации и использования системы документируются с целью их последующего разрешения. В отличие от процедуры проверки во время сквозного анализа автор проекта активен, а эксперт пассивен.
Б.4 Процедуры эксплуатации и обслуживания СБЗС-систем
Глобальная цель: разработка процедур, исключающих ошибки во время эксплуатации и обслуживания СБЗС-систем.
Б.4.1 Инструкции по эксплуатации и обслуживанию
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица Б.4).
Цель: минимизация ошибок во время эксплуатации и обслуживания СБЗС-систем.
Описание: инструкции пользователя содержат важную информацию о способах использования и обслуживания систем. В особых случаях эти инструкции могут содержать также примеры общих способов установки СБЗС-систем. Все инструкции должны быть легко воспринимаемыми. Для описания сложных процедур и зависимостей должны использоваться рисунки и схемы.
Б.4.2 Удобство общения пользователя с системой
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица Б.4).
Цель: снижение сложности действий, выполняемых оператором во время эксплуатации СБЗС-систем.
Описание: правильность эксплуатации СБЗС-систем может зависеть в некоторой степени от оператора. Рассматривая соответствующий проект системы и проект рабочего места, разработчик СБЗС-систем должен предусмотреть меры, чтобы в период эксплуатации систем обеспечивалось следующее:
- необходимость вмешательства оператора в действия системы была ограничена абсолютным минимумом;
- необходимое вмешательство оператора было как можно более простым;
- возможность ущерба от ошибок оператора была минимизирована;
- средства вмешательства и средства индикации были спроектированы в соответствии с эргономическими требованиями;
- средства оператора были простыми, четко обозначенными и естественными для использования;
- оператор не был перенапряжен даже в экстремальной ситуации;
- обучение процедурам и средствам процесса вмешательства было адаптировано к уровню знаний и мотивации обучаемого оператора (пользователя).
Б.4.3 Удобство общения обслуживающего персонала с системой
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица Б.4).
Цель: упрощение процедуры обслуживания СБЗС-системы и проектирование необходимых средств для эффективной диагностики и ремонта.
Описание: профилактическое техническое обслуживание и ремонт СБЗС-системы часто производится в жестких временных рамках. Поэтому разработчик систем должен предусмотреть меры, чтобы в период эксплуатации обеспечивалось следующее:
- средства, относящиеся к техническому обслуживанию СБЗС-системы, требовались как можно реже или в идеале вообще не требовались;
- использовались достаточно чувствительные и легко управляемые диагностирующие инструменты для неизбежных ремонтов; эти инструменты должны включать в себя все необходимые интерфейсы;
- если отдельные инструменты диагностики должны быть разработаны или приобретены, то для этого должно быть достаточно времени.
Б.4.4 Сокращение работ на стадии эксплуатации
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблицы Б.4 и Б.6).
Цель: ограничение эксплуатационных возможностей для обычного пользователя.
Описание: эксплуатационные возможности ограничивают путем:
- ограничения числа требуемых операций в рабочих режимах, например благодаря применению пультов управления;
- ограничения числа используемых в работе элементов контроля и управления;
- ограничения числа возможных в обычных условиях эксплуатации рабочих режимов.
Б.4.5 Эксплуатация только квалифицированным оператором
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблицы Б.4 и Б.6).
Цель: исключение отказов, обусловленных ошибками оператора.
Описание: оператор СБЗС-системы должен быть обучен до такой степени, которая соответствует сложности и уровню безопасности СБЗС-системы. В обучение входит изучение основ технологического процесса эксплуатации СБЗС-системы и взаимосвязей между СБЗС-системой и УО.
Б.4.6 Защита от ошибок оператора
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица Б.6).
Цель: защищенность системы от всех прогнозируемых видов ошибок оператора.
Описание: ложные входные сообщения (о значениях параметров, времени и т.д.) обнаруживаются проверками правильности работы или мониторингом УО. Для объединения этих возможностей в проекте на самом раннем этапе проектирования необходимо установить, какие из входных сообщений возможны и какие допустимы.
Б.4.7 Защита от модификаций
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица A.18).
Цель: защита СБЗС-системы от модификаций аппаратных средств техническими средствами.
Описание: модификации или манипуляции должны обнаруживаться автоматически, например проверками правильности сигналов от датчиков, техническим процессом и автоматическим запуском тестирования. При обнаружении модификации должен выдаваться сигнал аварии.
Б.4.8 Подтверждение ввода
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблицы A.18 и A.19).
Цель: обеспечение обнаружения ошибки во время работы самим оператором до активизации УО.
Описание: ввод данных управления в УО через СБЗС-систему отображается оператору до передачи их в УО, с тем чтобы оператор имел возможность обнаружить и исправить ошибки. Проект системы должен как реагировать на неправильные, неспровоцированные действия оператора, так и учитывать нижние/верхние пределы скорости и направление реакции человека. Этим можно исключить, например, более быстрое, чем предполагается, нажатие клавиш оператором и настроить систему на восприятие двойного нажатия клавиши как одинарное или как повторное из-за того, что система (например, изображение на экране) слишком медленно реагирует на первое нажатие клавиши. Последовательное нажатие одной и той же клавиши не должно действовать более одного раза при вводе критических данных; нажатие клавиши "ввод" (enter) или "да" (yes) неограниченное количество раз не должно приводить к нарушению безопасности системы.
Должны быть предусмотрены процедуры временных пауз с возможностью выбора разных ответов ("да"/"нет" и т.п.), чтобы обеспечить возможность для размышления оператору, а системе - режим ожидания.
Недостаточная способность к перезагрузке СБЗС-системы делает ее уязвимой, если только программные/аппаратные средства не спроектированы с учетом этой ситуации.
Этот метод/средство более подробно описан в [77].
Б.5 Интеграция E/E/PE СБЗС-систем
Общая цель: исключение отказов на стадии интеграции и обнаружение любых отказов во время этой и предыдущих стадий.
Б.5.1 Функциональное тестирование
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблица Б.3) и в ГОСТ Р 53195.4 (таблицы A.5-A.7).
Цель: обнаружение отказов на стадиях создания спецификации и проектирования. Исключение отказов во время реализации и интеграция программных и аппаратных средств.
Описание: в процессе функционального тестирования определяется, достигнуты ли заданные характеристики системы. В систему поступают входные данные, которые адекватно характеризуют обычное выполнение операций. Наблюдаемые выходные результаты сравниваются с результатами, заданными в спецификации. Отклонения от спецификации и указания на неполноту спецификации документируются.
Функциональное тестирование электронных компонентов, предназначенных для многоканальной структуры, обычно включает в себя тестирование и покупных промышленных компонентов, по каждому из которых производитель (поставщик) уже провел тестирование и предварительно подтвердил соответствие. Помимо этого, рекомендуется, чтобы покупные промышленные компоненты были протестированы в сочетании с другими сопрягаемыми компонентами той же партии для выявления неисправностей группового типа, которые в противном случае могли бы остаться необнаруженными.
В целом для того, чтобы рабочие возможности системы были достаточными, следует выполнять рекомендации, приведенные в В.5.20 настоящего стандарта.
Более подробно этот метод/средство описан в [78-81].
Б.5.2 Тестирование методом "черного ящика"
Примечание - На этот метод/средство дана ссылка в ГОСТ Р 53195.3 (таблицы Б.3, Б.5 и Б.6) и в ГОСТ Р 53195.4 (таблицы A.5-A.7).
Цель: проверка динамического поведения системы в реальных условиях функционирования; выявление несоответствия функциональной спецификации и оценка полезности и устойчивости.
Описание: функции системы или программы выполняются в заданном окружении с заданными показателями тестирования, которые систематически формируются из спецификации в соответствии с установленными критериями. Этим выявляется поведение системы и допускается возможность ее сравнения со спецификацией. При проведении тестирования никакие сведения о внутренней структуре системы не используются. Проверкой определяется правильность выполнения функциональным модулем всех функций, предусмотренных спецификацией. Метод формирования эквивалентных классов служит примером критерия тестирования данных методом "черного ящика". Массив входных данных подразделяется на конкретные диапазоны входных значений (эквивалентные классы) на основе спецификации. После этого формируются тестовые примеры с использованием:
- данных из допустимых диапазонов;
- данных из недопустимых диапазонов;
- данных предельных значений диапазонов;
- экстремальных значений;
- комбинаций перечисленных выше классов.
Эффективными могут оказаться и другие критерии для выбора тестовых примеров в различных режимах тестирования (тестирование модуля, тестирование интеграции и тестирование системы). Например, критерий "экстремальные эксплуатационные условия" используется при тестировании системы в процессе подтверждения соответствия.
Более подробное описание этого метода/средства приведено в [62-64].
Б.5.3 Статистическое тестирование
Для получения доступа к полной версии без ограничений вы можете выбрать подходящий тариф или активировать демо-доступ.