Руководство по гарантии конструирования бортовой электронной аппаратуры КТ-254 (1015618), страница 19
Текст из файла (страница 19)
Анализ тракта функционального отказаАнализ тракта функционального отказа - это структурированный итеративный анализсверху вниз. Он определяет специфические части конструкции, которые реализуют функцию, т.е.устройство, компоненты и элементы, связанные с каждым трактом, и далее анализируютсясоответствующие отказные состояния и последствия для определения того, насколько архитектурааппаратуры и ее реализация соответствуют требованиям безопасности. FFPA определяет также теустройства, компоненты и элементы конструкции, которые реализуют функции уровней А и В.FFPA начинается с предварительной оценки безопасности системы, используемой дляопределения трактов функциональных отказов на уровне системы, которые могут быть разложенына и распределены по трактам функциональных отказов аппаратуры.Целью FFPA является определение отдельных трактов функциональных отказов, так что:1.
Аппаратура, реализующая функции уровней А и В, может быть рассмотрена всоответствующем методе гарантии конструирования описанном в данном приложении или вдругом приемлемом для сертифицирующего органа перспективном методе.2. Положения данного приложения являются необязательными для реализации функцийаппаратуры уровня С или более низких уровней, а именно тех функций, которые будутгарантированы при использовании только инструкций разделов с 3 по 11 данного документа.Примечание: Идентификация отдельных трактов функционального отказа для функций,реализованных в различных технологиях или предлагающих различные степени прозрачностипроекта часто очень полезны т.к.
общая гарантия конструирования элемента аппаратурыможет быть достигнута при использовании многочисленных методов гарантииконструирования. Уровень декомпозиции может изменяться для каждого трактафункционального отказа.Декомпозиция выполняется, используя методы оценки безопасности сверху-вниз, такие какАнализ дерева неисправности. Декомпозиция может быть выполнена, используя Анализ видов ипоследствий отказа, Анализ логической схемы и Анализ общего режима для каждогопоследующего уровня декомпозиции. Уровень декомпозиции может изменяться для каждоготракта функционального отказа уровня системы в зависимости от стратегии гарантииконструирования, соответствующей концепции реализации и методов ослабления влиянияошибок, которые предлагаются для разрабатываемой аппаратуры. Декомпозиция проводится:из FFPs на уровне системыв FFPs на уровне аппаратуры;из FFPs на уровне аппаратурыв FFPs на уровне схемы (контура, цепи);из FFPs на уровне схемыв FFPs на уровне компонента;из FFPs на уровне компонентав FFPs элементного уровня2.1 Метод анализа тракта функционального отказаFFPA должен выполняться следующим образом:1.
Для каждой функции уровней А и В выполняется идентификация функции и ее уровнягарантии конструирования основываясь на требованиях к аппаратуре и FHA системы для этой64функции. Функция может быть образована как совокупность подфункций, каждая из которыхимеет соответствующий набор производных требований и соответствующий уровень гарантииконструирования.
Эти подфункции могут быть разложены и дальше, если необходимо.2. Для каждой функции уровней А и В определяются средства реализации функции илиподфункций и анализируются варианты гарантии конструирования. Данные гарантии, имеющиесяв наличии, или которые будут получены для исполнения функции или подфункции, должны бытьполными и приемлемыми для выбранных стратегии или стратегий гарантии конструирования.Если данные гарантии полные, правильные и приемлемые, тогда дальнейшая декомпозиция нетребуется.3.
Для трактов функционального отказа других уровней должны быть оценены ихвзаимосвязи с трактами функционального отказа уровней А или В, используя Анализ видов ипоследствий отказа, Анализ общего режима или Анализ логической схемы для гарантии того,чтобы на трактах функционального отказа уровней А и В не могли неблагоприятно влиять трактыфункционального отказа не уровней А или В.Этот процесс оценки является итеративным. Если не существует приемлемого методагарантии конструирования для тракта функционального отказа, процесс оценки и декомпозицииповторяется или архитектура и реализация функции аппаратуры изменяются, пока не будетопределен подходящий метод гарантии конструирования и получены, или могут быть получены,подходящие данные гарантии для каждого тракта функционального отказа уровней А и В.Результаты FFPA и выбранные методы, используемые для гарантии конструированияаппаратуры, связываются с процессами систем самолета, как описано в подразделе 2.1 данногодокумента.
Эти результаты используются для проверки и о того, что допущения на уровнесамолета, особенно те, которые связаны с многократным перекрестным использованием системыи аналогичных элементов аппаратуры, все еще достоверны.2.2. Данные анализа тракта функционального отказаДанные FFPA должны:1. Определять аномальные поведения и функциональные отказы, которые былиделегированы элементу аппаратуры с системного уровня.2. Определять тракты функциональных отказов, последствия их аномального поведенияили функционального отказа, уровень декомпозиции в иерархии проекта, до которого былвыполнен анализ, тип и местонахождение приемлемых данных гарантии, которые должны бытьдоступны.3.
Описывать взаимосвязи между трактами функциональных отказов для определения ихнезависимости от других трактов функциональных отказов и компонентов. Такие взаимосвязимогут быть описаны с использованием качественного FHA или других нисходящих анализов,таких, как Анализ общего режима, Анализ видов и последствий отказа или Анализ логическихсхем. Описание взаимосвязей должно определять такие взаимовлияющие тракты, компоненты иих зависимости.4. Показывать трассировку трактов функциональных отказов к требованиям к аппаратуре ипроизводным требованиям.3.
Методы гарантии конструирования для функций уровней А и ВЗадачей данного приложения не является ограничение реализации гарантииконструирования только применением любого существующего или будущего метода.Обсуждаемые в данном приложении методы могут использоваться для удовлетворения одной илиболее целей процессов, описанных в данном документе в разделах с 4 по 6.3.1. Архитектурное ослабление.Архитектурные особенности конструирования, такие как разнородная реализация,резервирование, контроль, изоляция, обособление и ограничение команд/влияния могут бытьспециально использованы для ослабления или сдерживания неблагоприятных эффектов от ошибок65конструирования и реализации аппаратуры.
Как часть Предварительной оценки безопасностисистемы такие мероприятия, как количественный Анализ дерева неисправности и Анализ общегорежима, могут обеспечить гарантию при определении сферы архитектурных параметров,необходимых для ослабления или сдерживания воздействия отказов аппаратуры, неисправностейи ошибок конструирования и реализации. Более специфически, данный подход долженприменяться совместно с подходом FFPA для аппаратуры, как описано в разделе 2 выше, идолжен использовать процесс Анализа общего режима для определения применимостиконкретных стратегий ослабления для покрытия ошибок конструирования и реализацииаппаратуры. Например, резервирование обычно помогает в области случайных ошибок инеисправностей, но резервирование также может быть эффективно использовано для ослабленияошибок конструирования и реализации, если рассмотрены аспекты общего режима для такихошибок.3.1.1. Метод архитектурного ослабленияАрхитектурное ослабление выполняется путем определения трактов функциональногоотказа, связанных с предложенной реализацией аппаратуры, с последующим анализом вариантовконструкции и предложением характеристик аппаратуры и стратегий, которые ослабляютвоздействия в этих трактах функционального отказа.
Должны быть рассмотрены и оцененысуммарные эффекты от предложенной архитектуры в отношении ослабления всехсоответствующих воздействий трактов функционального отказа. Введение стратегииархитектурного ослабления также вводит некоторые производные требования, на соответствиекоторым должна быть проверена реализация этих требований. В частности, архитектурныеособенности должны защищать от некоторых или всех неблагоприятных воздействийидентифицированных трактов функционального отказа и должны быть оценены на предметвнесения дополнительных трактов отказов, к которым следует применить иные архитектурныеослабления или другие стратегии гарантии конструирования, описанными в данном приложении.3.1.2. Разрешение вопросов архитектурного ослабленияВ процессе оценки безопасности определяется допустимость архитектурного ослабления.FFPA, должен в первую очередь определить все тракты функционального отказа аппаратурыуровня А и В, где архитектурное ослабление может быть полезным и должен определитьиспользуемые методы и рациональность ослабления.
Адекватность определяется с помощьюоценки каждой функции, поддерживающей ослабление в контексте общего архитектурногоподхода, который может быть включен в более или менее сложные составляющие стратегийархитектурного ослабления.Анализ общего режима должен рассматривать потенциальные ошибки для общего режимав требованиях, реализации, изготовлении и техобслуживании, которые могут аннулироватьархитектурное ослабление.
Разработчик должен также рассмотреть потенциальные случайныеотказы аппаратуры, формирующей функции архитектурного ослабления, которые могут вызватьпотерю ослабления. Вероятностная доступность функций, поддерживающих ослабление, должнабыть соизмерима с последствиями потери ослабления, что может привести к сужению границбезопасности.Общий подход должен гарантировать, что были достигнуты и поддерживаютсяправильность работы и допустимая независимость между необходимыми функциями. Любыеспециальные защитные средства, необходимые для ограничения, локализации или связыванияостаточных последствий в общем режиме, должны быть выявлены и внедрены либо в формедополнительного архитектурного ослабления, либо с другими стратегиями гарантии,изложенными в этом приложении.Когда архитектурное определение завершено, тракты функционального отказа функцийаппаратуры уровней А и В, определенные, как неослабленные или неадекватно ослабленные,должны быть пересмотрены с использованием других методов гарантии конструирования изданного приложения.
Например, частичное архитектурное ослабление отдельных схем и66компонентов может использоваться вместе со специальным методом анализа безопасности, когдаанализ применяется для определения и обеспечения проверки для не ослабляемых частейприменяемых схем и компонентов.3.1.3. Данные архитектурного ослабленияДокументация на средства архитектурного ослабления, применяемых для защиты трактовфункционального отказа уровней А и В в аппаратуре, должна быть представлена в форме данныхоценки безопасности, данных по требованиям безопасности и данных трассирования.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
