Руководство по гарантии конструирования бортовой электронной аппаратуры КТ-254 (1015618), страница 22
Текст из файла (страница 22)
Устанавливать уровень полноты верификации достигнутый для трактовфункционального отказа рассмотренных в элементном анализе, включая определенные анализомнедостатки не исправленные модификацией верификационных испытаний или требований иобоснование их приемлемости.3.3.2. Специальный анализ безопасностиТам где он применяется, метод специального анализа безопасности расширяет концепциюFFPA аппаратуры за счет выполнения более глубокого анализа выбранных схем и компонентов.Расширенный FFPA используется как для производных, так и для валидированных требований кбезопасности в отношении внутренних операций этих схем и компонентов.
Эти производныетребования безопасности затем рассматриваются в ходе верификационных испытаний, какописано ниже.Специальный анализ безопасности основан на концепции того, что потенциально скрытыеошибки конструирования могут повлиять на выход элемента аппаратуры только под воздействиемспециальных стимулов. Следовательно, для правильного стимулирования и выявления ошибоквлияющих на безопасность, необходимо определить подмножество входных примеров, длякоторых необходима безопасная работа, а затем в верификационные испытания включаютсясоответствующие эквивалентные классы из этого подмножества. Во время выполнения этихконтрольных примеров выходные данные элемента оцениваются на отсутствие специфическиханомальных поведений, которые могут привести к небезопасным выходным условиям.Специальный анализ безопасности используется для ограничения набора входных условий,которые должны быть использованы при верификационных испытаниях, чтобы не рассматривалсяпотенциально бесконечный ряд входных контрольных примеров.Примечание: Реализация может также ограничивать входное множество и условия, такчто невозможно или в достаточной мере невероятно, что реализация позволит входным даннымвыйти за испытанные пределы.Метод специального анализа безопасности может также использоваться для определенияаспектов невыполненного ослабления схем и функций компонентов, в которых применяется72частичное архитектурное ослабление.
В этом случае дополнительный специальный анализбезопасности может стать полезным и эффективным методом определения того, какаядополнительная гарантия конструирования требуется для завершения покрытия безопасности.Метод специального анализа безопасности равно применим как к аппаратуре COTS, так икоммерческим схемам и компонентам, потому что он способен использовать данные руководствапользователя об этих схемах и цепях, вместо детальных данных внутренней конструкции.Объединяя данные пользователя с более детальным применением метода FFPA, специальныйанализ безопасности способен успешно определить чувствительные к безопасности аспектыприменения схем и компонентов и соответствующие внутренние тракты функционального отказа,в которых требуется уделить большое внимание устранению ошибок конструирования. Этаинформация может затем использоваться для успешной подготовки верификационных испытанийсхем и компонентов, которые после завершения, максимально увеличивают вероятность того, чтопроцесс верификации обеспечил обнаружение, исправление, ослабление или обход ошибокконструирования схем и компонентов, которые могут неблагоприятно воздействовать нааппаратуру с точки зрения безопасности.3.3.2.1.
Метод специального анализа безопасностиПосле выбора схем и компонентов, которые должны быть рассмотрены с использованиемметода специального анализа безопасности гарантии конструирования, выполняетсядополнительный FFPA, с целью их более детальной проверки. Этот анализ определяет болееспецифически, какие функции схемы, компонента вносят вклад в уже определенные функцииуровней А и В, в реализации которых используются такие схемы, компоненты.
Анализосуществляется проверкой на индивидуальной основе каждой прикладной схемы и компонента, вих функциональных границах, учитывая реальное функциональное использование этой схемы икомпонента для выполнения функций аппаратуры более высокого уровня, содержащихся вопределенных трактах функционального отказа уровней А и В.Примечание: Достаточная информация может быть получена из данных руководствапользователя по схемам и компонентам, которые пользователь может успешно использоватьдля выполнения функций аппаратуры более высокого уровня. Если имеется достаточнаяинформация о внутреннем функционировании схем и компонентов, она должна быть адекватнойдля проведения этой оценки.
Если достаточной информации нет, тогда оценка не может бытьвыполнена, и должен использоваться другой метод вместо этого или вместе с ним.После того, как уместные чувствительные к безопасности функции схем и компонентовопределены на основе реального применения данных схем и компонентов, следующим шагомявляется более детальный функциональный анализ. Этот анализ должен определитьспецифические чувствительные к безопасности и неослабленные атрибуты функций тех схем икомпонентов, которые должны быть рассмотрены более детально с применением чувствительныхк безопасности условий верификации. Эти условия верификации должны быть получены ивалидированы с помощью функциональных методов анализа видов и последствий отказа дляопределения специальных функциональных атрибутов, которые чувствительны к безопасности, азатем определить любые аномалии поведения этих функций, которые составляют трактфункционального отказа уровня А и В в пределах схемы или компонента.Выведенные условия верификации, полученные с применением выше описанногоспециального анализа безопасности, затем используются вместе со следующими инструкциями поподготовке критериев специального анализа безопасности для верификации схемы и компонентов,содержащихся в трактах функционального отказа уровней А и В.
Инструкции включают:1. Идентификация подходящего входного пространства функций. Определение критериевпрошел/отказал соответствующего выходного пространства, основанное на определенныхчувствительных к безопасности атрибутах и аномальных поведениях, разработка классовэквивалентности, которые обеспечат необходимое покрытие соответствующего входногопространства.2. Идентификация подходящих средств обнаружения наблюдением и средств имитации73входного пространства для каждой рассматриваемой функции.Примечание: Специальные инструменты и особенности реализации могут использоватьсядля обеспечения наблюдаемости и контролепригодности.3. Установление условий испытаний, которые обеспечивают проверку потенциальныхисточников ошибок и взаимозависимостей.Примечание: Функции на уровне компонента должны быть тестированы на болеевысоком уровне интеграции. Испытание на более высоком уровне интеграции обычнообеспечивает наилучшее покрытие источников ошибок, таких как срывы, взаимозависимости ипотенциальные перекрестные взаимодействия.Испытания должны разрабатываться с использованием классов эквивалентности.
Прииспытаниях необходимо рассмотреть основные логические решения, арифметику, синхронизацию,переходы состояний и атрибуты в реальном масштабе времени.3.3.2.2. Разрешение вопросов выявленных специальным анализом безопасностиКритерии завершения чувствительной к безопасности верификации должны бытьустановлены с помощью выполнения специального анализа безопасности для всех прикладныхсхем и компонентов. Любые недостатки, обнаруженные при этом анализе или при самойверификации, должны быть разрешены одним из следующих методов:1.
Изменение конструкции для исправления ошибки2. Добавление архитектурного ослабления, которое решает ошибку путем устранения ее изсоответствующего тракта функционального отказа.3. Дополнительные подходящие испытания.3.3.2.3. Данные специального анализа безопасностиДокументация специального анализа безопасности, применяемого к схемам и компонентамв трактах функционального отказа уровней А и В, должна быть представлена в форме данныхоценки безопасности, данных о требованиях по безопасности, процедур и результатовверификации и данных трассирования.
Процедуры верификации должны быть трассируемы ктребованиям безопасности и специальному анализу безопасности. Данные специального анализабезопасности должны включать следующее:1. Идентификация схем и компонентов, которые рассматриваются в методе специальногоанализа безопасности.2. Идентификация трактов функционального отказа уровней А и В, в которых размещаетсякаждая из таких схем и компонентов.3. Идентификация специального архитектурного ослабления, применяемого к схемам икомпонентам, когда гарантия конструирования пополняется применением метода специальногоанализа безопасности.4. Идентификация функций для каждой применяемой схемы и компонента, чувствительныхк безопасности.5. Идентификацию атрибутов и аномальных поведений для каждой идентифицированнойчувствительной к безопасности функции.6.