ГОСТ Р 53195.3-2009 Безопасность функциональная связанных с безопасностью зданий и сооружений систем. Часть 3. Требования к системам
5.7 Проектирование и реализация Е/Е/РЕ СБЗС-систем
5.7.1 Проектирование и реализация Е/Е/РЕ СБЗС-систем должны осуществляться в соответствии с требованиями, установленными для функций безопасности и для полноты безопасности в 5.5, и с учетом требований 5.7.2-5.7.15.
5.7.2 Проектирование Е/Е/РЕ СБЗС-систем, включая полные структуры АС и ПО, в том числе сенсорные и исполнительные устройства, программируемую электронику, встроенное программное обеспечение, "зашитое" в программируемые запоминающие устройства (ПЗУ), прикладное ПО и т.п. (рисунок 3), должно осуществляться таким образом, чтобы удовлетворялись требования:
а) к полноте безопасности АС, в том числе:
- требования к структурным ограничениям на полноту безопасности АС (5.8);
- требования к вероятности опасных случайных отказов АС (5.8.2);
б) к полноте безопасности по отношению к систематическим отказам:
- требования по предотвращению отказов (5.9) и требования по управлению систематическими отказами (5.10) или
- требования к подтверждению того, что оборудование "проверено в эксплуатации" (5.12.5-5.12.12);
в) к действиям системы при обнаружении ошибок и отказов (5.11).
Обозначения:
РЕ - программируемая электроника; АС - аппаратное средство; NP - непрограммируемое устройство; ПО - программное обеспечение; ПЗУ - программируемое запоминающее устройство
Структура программируемой электроники | ||
Структура аппаратных средств РЕ | Структура программного обеспечения РЕ (структура ПО включает встроенные в ПЗУ ПО и прикладные программы) | |
Общие и конкретные особенности АС РЕ, например: - встроенные устройства диагностического тестирования; - избыточные процессоры; - сдвоенные платы ввода/вывода | ПО, встроенное в ПЗУ РЕ, например: - коммуникационные драйверы; - ПО обработки отказов; - исполнительное ПО | Прикладное ПО РЕ, например: - ПО функций ввода/вывода; - ПО обработки отказов; - ПО вторичных функций (например, контроля сенсора, если оно не обеспечено как сервис встроенного в ПЗУ ПО) |
Рисунок 3 - Взаимосвязь между структурами АС и ПО программируемой электроники
5.7.3 Для установления необходимой полноты безопасности Е/Е/РЕ СБЗС-систем должен быть применен метод проектирования, обеспечивающий достижение уровня полноты безопасности АС и полноты безопасности по отношению к систематическим отказам, в ходе реализации которого:
- определяют требуемый уровень полноты безопасности функций безопасности (по ГОСТ Р 53195.2);
- устанавливают полноту безопасности АС равной полноте безопасности по отношению к систематическим отказам и равной уровню полноты безопасности (5.10);
- для установленной полноты безопасности АС определяют структуру, соответствующую ограничениям на структуру (5.8.1), и предоставляют доказательства соответствия вероятности отказов функций безопасности из-за случайных отказов аппаратных средств требуемым целевым значениям отказов (5.8.2);
- для установленной полноты безопасности по отношению к систематическим отказам выявляют особенности проектирования, которые приводят к систематическим отказам в реальной работе (5.10) или подтверждают соответствие требованиям "проверено при эксплуатации" (5.12.5-5.12.12);
- для полноты безопасности в отношении систематических отказов определяют методы и средства, предотвращающие систематические отказы в процессе проектирования и реализации (5.9), или предоставляют доказательства соответствия требованиям "проверено при эксплуатации" (5.12.5-5.12.12).
Примечание - Требования к структуре ПО, тестирования при интеграции ПО, связанные с ними требования к интеграции программируемой электроники должны быть установлены в нормативных документах на ПО.
5.7.4 Во всех случаях, когда Е/Е/РЕ СБЗС-система реализует функции безопасности, а также функции, не относящиеся к безопасности, все АС и ПО должны рассматриваться как связанные с безопасностью до тех пор, пока не будет установлено, что эти функции реализуются достаточно независимо (т.е. отказ какой-либо функции, не относящейся к безопасности, не становится причиной отказа функций, связанных с безопасностью).
Достаточная независимость этих функций доказывается предоставлением доказательств того, что вероятность зависимого отказа между компонентами, не относящимися к безопасности, и компонентами, связанными с безопасностью, достаточно низка по сравнению с самым высоким уровнем полноты безопасности, который относится к выполняемым функциями безопасности.
5.7.5 Функции, связанные с безопасностью, должны быть, по возможности, отделены от функций, не относящихся к безопасности.
Примечание - Совмещение этих функций, допускаемое настоящим стандартом, может привести к значительным сложностям при выполнении работ в процессе жизненного цикла Е/Е/РЕ-системы (например при проектировании, подтверждении соответствия, оценке функциональной безопасности и техническом обслуживании).
5.7.6 Требования к АС и ПО Е/Е/РЕ СБЗС-системы должны определяться уровнем полноты безопасности при выполнении ими функций безопасности с самым высоким уровнем полноты безопасности, если не будет доказано, что выполнение функций безопасности для различных уровней полноты безопасности достаточно независимо.