Руководство по гарантии конструирования бортовой электронной аппаратуры КТ-254 (1015618), страница 4
Текст из файла (страница 4)
Данные анализа безопасности изделия, такие как:a. Вероятности и интенсивности отказов для обозначенных функциональных отказов,относящихся к процессу SSA.b. Анализ отказов общего режима.c. Границы локализации и общие стратегии ослабления последствий отказов.d. Данные анализа скрытых состояний, относящиеся к системным требованиям.Примерами являются аппаратные средства контроля отказов, интерваловобнаружения отказов и не обнаруживаемые отказы.6. Требования к действиям по верификации аппаратуры, которые должны выполняться приверификации на уровне системы.7. Допущения и методы анализа требований по установке и окружающим условиям,необходимым для достоверности результатов исследований.8. Отчеты о проблемах или изменениях, которые могут повлиять на требования к системе, кпрограммному обеспечению или к аппаратуре.2.1.3. Информационный поток между процессом жизненного цикла конструированияаппаратуры и процессом жизненного цикла программного обеспечения.Эта информационный поток может содержать:1.
Производные требования, необходимые для интеграции аппаратуры/ПО, такие какопределение протоколов, временных ограничений и схем адресации интерфейса аппаратуры и ПО.2. Ситуации, при которых верификация аппаратуры и ПО требует координации3. Выявленные несовместимости между аппаратурой и ПО, которые могут входить всистему регистрации внесения изменений.4. Данные оценки безопасности, которые также должны быть доступны для системныхпроцессов.2.2.
Процессы оценки безопасности системыСуществует три процесса оценки безопасности системы: оценка функциональнойопасности, предварительная оценка безопасности системы и собственно оценка безопасностисистемы. Эти процессы используются для установления целей безопасности системы,применимых к процессу гарантии разработки системы и определения того, что функции системыдостигают целей безопасности.Процесс SSA должен преобразовывать цели безопасности в требования по безопасности ксистеме и аппаратуре. Эти требования должны включать основные цели безопасности ихарактеристики безопасности для функций и архитектуры системы и аппаратуры. Процесс SSA ипроцесс разработки системы распределяет эти требования безопасности к аппаратуре.Существует пять уровней гарантии разработки системы, с уровня А до уровня Е,соответствующие пяти категориям отказных состояний: катастрофическое, аварийное, сложное,усложнение условий полета и без последствий. В таблице 2-1 установлено соотношение уровнейгарантии конструирования аппаратуры с пятью категориями отказных состояний, даныопределения отказных состояний аппаратуры и соответствующих им уровней гарантииконструирования.
Первоначально уровень гарантии конструирования аппаратуры для каждойфункции аппаратуры определяется процессом SSA путем использования FHA для определенияпотенциальных опасностей, а затем в процессе PSSA распределяются требования по безопасностии соответствующие отказные состояния по функциям, реализуемым в аппаратуре.В течение жизненного цикла конструирования аппаратуры может существоватьитеративная обратная связь между процессами оценки безопасности, разработки системы иконструирования аппаратуры для гарантии того, что сконструированная и изготовленнаяаппаратура удовлетворяет требованиям по безопасности, функциональным требованиям и13требованиям к рабочим характеристикам системы, предназначенным аппаратуре.14Таблица 2-1.
Определения уровня гарантии конструирования аппаратуры и их взаимоотношения с уровнем гарантии разработки системыУровеньгарантииразработкисистемыУровень АКлассификацияОписание отказного состоянияотказного состоянияУровень ВАварийноеУровень ССложноеУровень DУсложнениеусловий полетаУровень ЕБез последствийКатастрофическоеОпределение уровня гарантии конструирования аппаратурыОтказное состояние, для которого принимается, что при его А: Аппаратура, ненормальное выполнение функций которойвозникновении предотвращение гибели людей оказывается согласно оценке, полученной в процессе анализа безопасностипрактически невозможнымаппаратуры, может вызвать или способствовать отказу функциисистемы, приводящему к катастрофическому отказномусостоянию для воздушного суднаОтказное состояние, которое может привести кВ: Аппаратура, ненормальное выполнение функций которойзначительному ухудшению характеристик воздушногосогласно оценке, полученной в процессе анализа безопасностисудна, и/или физическому утомлению или такой рабочейаппаратуры, может вызвать или способствовать отказу функциинагрузке экипажа, что уже нельзя полагаться на то, что онсистемы, приводящему к аварийному отказному состоянию длявыполнит свои задачи точно и полностьювоздушного суднаОтказное состояние, которое может привести к заметному C: Аппаратура, ненормальное выполнение функций которойухудшению характеристик воздушного судна, и/или выходу согласно оценке, полученной в процессе анализа безопасностиодного или нескольких параметров за эксплуатационныеаппаратуры, может вызвать или способствовать отказу функцииограничения, но без достижения предельных ограничений, системы, приводящему к сложному отказному состоянию дляи/или уменьшению способности экипажа справиться своздушного суднанеблагоприятными условиями, как из-за увеличения рабочейнагрузки, так и из-за условий, понижающих эффективностьдействий экипажаОтказное состояние, которое может привести кD: Аппаратура, ненормальное выполнение функций которойнезначительному ухудшению характеристик воздушногосогласно оценке, полученной в процессе анализа безопасностисудна, и/или незначительному увеличению рабочей нагрузки аппаратуры, может вызвать или способствовать отказу функциина экипажсистемы, приводящему к отказному состоянию для воздушногосудна типа усложнение условий полетаОтказное состояние, которое не влияет на характеристикиЕ: Аппаратура, ненормальное выполнение функций которойвоздушного судна и не увеличивает рабочую нагрузку насогласно оценке, полученной в процессе анализа безопасностиэкипажаппаратуры, может вызвать или способствовать отказу функциисистемы без влияния на эксплуатационные возможностивоздушного судна или загрузку экипажа.
К функциям уровня Е нетребуется применение каких-либо положений данного документа,однако они могут использоваться как ориентиры152.3. Оценка безопасности аппаратурыОценка безопасности аппаратуры производится в соответствии и в обеспечение процессаSSA. Назначение этого процесса безопасности заключается в демонстрации того, чтоприменяемые системы и оборудование, включая аппаратуру, удовлетворяют требованиям побезопасности применимых правил сертификации воздушного судна.Используя требования по безопасности, функциональные требования и требования кхарактеристикам, которые предъявлены к аппаратуре в процессе системы, оценка безопасностиаппаратуры определяет уровень гарантии конструирования аппаратуры для каждой функции исодействует определению используемой стратегии обеспечения гарантии конструирования.2.3.1.
Обсуждение оценки безопасности аппаратурыРазработчик компонента аппаратуры может показать соответствие требованиям побезопасности, предъявляемым к аппаратуре, и с уровнем гарантии конструирования аппаратурыпо соответствующей стратегии гарантии конструирования.Один уровень гарантии конструирования и одна стратегия могут быть применимы ко всемуэлементу аппаратуры или элемент аппаратуры может быть оценен, как имеющий отдельныетракты функционального отказа для того, чтобы включить несколько уровней гарантииконструирования или стратегий гарантии конструирования. Анализ тракта функциональногоотказа может использоваться для того, чтобы оправдать более низкий уровень гарантииконструирования для части элемента аппаратуры или для реализации различных функций,применяемых с различными технологиями или различным характером эксплуатации изделия.Примечание.
Описание FFPA приведено в разделе 2 Приложения В. Хотя он адресован кконкретному предмету Приложения В, этот метод анализа может быть применен к любомууровню гарантии конструирования.Если элемент аппаратуры содержит функции, которые сами имеют различные уровнигарантии конструирования, то в подобных ситуациях можно применять любой из следующихметодов: Весь элемент может отвечать самому высокому уровню гарантии конструирования. Отдельные функции (реализующие их функциональные компоненты) могут отвечатьраздельно их соответствующим уровням гарантии конструирования, как этоопределяется оценкой безопасности аппаратуры, если их функционирование,интерфейсы и разделяемые ресурсы могут быть защищены от неблагоприятныхвлияний функциональных компонентов с более низкими уровнями гарантииконструирования.
Гарантией конструирования разделяемых ресурсов будет служитьуровень гарантии конструирования функции с наивысшим уровнем.Руководство по оценке безопасности аппаратуры включает следующие положения:1. Итеративная оценка безопасности аппаратуры и конструирование должны определятьпроизводные требования по безопасности аппаратуры и гарантировать выполнение предписанныхаппаратуре требований по безопасности и производных требований.2. Эти производные требования должны содержать требования по безопасности кархитектуре аппаратуры, схемам и компонентам и защите от аномального поведения, включаяприменение специальных характерных свойств архитектурной и функциональной безопасностиаппаратуры, таких как:a.
Резервирование компонентов и схем;b. Разделение или электрическая изоляция между схемами и компонентами;c. Разнородность схемам или компонентов;d. Контроль схем или компонентов;e. Механизмы защиты или реконфигурации;f. Допустимые интенсивности отказов и вероятности случайных отказов и скрытых отказовдля схем и компонентов;g. Ограничения по применению или установке;h. Предупреждение и контроль срывов в работе и восстановление после срывов.163.
Процесс гарантии конструирования аппаратуры и оценка безопасности аппаратурыдолжны вместе определять специальные методы обеспечения соответствия и уровень гарантииконструирования для каждой функции и должны определять, что приемлемый уровень гарантииконструирования достигнут.Примечание: Аномальное поведение аппаратуры может быть вызвано случайныминеисправностями или ошибками конструирования элемента аппаратуры или срывами в работеаппаратуры.Конструктор аппаратуры может выбрать более высокий уровень гарантии конструированияаппаратуры для реализующего функцию компонента аппаратуры.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
