РБ-100-15 Руководство по безопасности при использовании атомной энергии "Рекомендации по порядку выполнения анализа надежности систем и элементов атомных станций, важных для безопасности, и их функций"

VII. Особенности анализа надежности программно-технических средств

59. При анализе надежности программно-технических средств, использующих ПО, рекомендуется учитывать как возможные отказы аппаратных (технических) средств, так и отказы вследствие ошибок в ПО. Рекомендуется учитывать возможность взаимного влияния на надежность технических средств и ПО. Например, некоторые отказы ПО могут быть вызваны дефектами технических средств (сбои в работе ячеек памяти, искажение информации в каналах связи).

60. При анализе надежности технических средств рекомендуется использовать подход, описанный в главах II-IV настоящего Руководства по безопасности. При выполнении указанного анализа надежности рекомендуется учитывать возможности выявления отказов с помощью встроенных модулей самопроверки.

61. Для оценки вероятности возникновения ошибок в ПО рекомендуется использовать специализированные методы, описания и примеры применения которых представлены в приложении N 12 к настоящему Руководству по безопасности и (или) экспертные оценки.

62. Показатели надежности программно-технических средств характеризуют их способность выполнять заданные функции в соответствии с заданными требованиями в условиях отклонений в среде функционирования, вызванных различными дестабилизирующими факторами. К числу указанных факторов относятся, в частности, изменения условий работы технических средств, их отказы и сбои, изменения во входных данных, изменения в распределении ресурсов памяти.

63. При выполнении анализа надежности ПО рекомендуется разделять ошибки ПО, которые препятствуют выполнению системой требуемых функций, и ошибки, которые не влияют на выполнение системой требуемых функций.

64. При анализе надежности ПО рекомендуется рассматривать в модели два вида отказов ПО: сбои и глобальные ошибки программирования, потенциально приводящие к невыполнению требуемых функций программно-техническими средствами сразу в нескольких каналах АСУ ТП.

65. Сбои ПО вызываются невыявленными программными ошибками, которые, главным образом, влияют на организацию обмена данными. Вследствие наличия таких ошибок, ПО выдает неправильные результаты, несмотря на то, что входные данные удовлетворяют требованиям, например, из-за проблем с динамическим распределением ресурсов. При этом, хотя коренная причина отказа ПО не устраняется, и в такой же точно ситуации отказ должен повториться, точное повторение данных и, соответственно, связанного с ним отказа маловероятно. Поэтому указанная ошибка при разработке ПО проявляется в виде перемежающихся отказов, то есть сбоев, которые устраняются преимущественно автоматизированными методами (повторной инициализацией ПО).

66. Наиболее характерным последствием сбоев в функционировании ПО, которое рекомендуется рассматривать при анализе надежности, является отказ типа "несрабатывание" соответствующего технического средства. Как правило, все сбои ПО технических средств проявляются явно.

67. Если ПО, реализуемое на программируемых технических средствах, представляет собой достаточно простые программы прямого действия, то есть не происходит обмена данными с другими программными комплексами и библиотеками, то это значительно уменьшает вероятность сбоев как таковых и исключает ситуации, которые приводят к самопроизвольному генерированию выходного сигнала при отсутствии входного сигнала (то есть отказов типа "ложное срабатывание").

68. Ошибки программирования могут приводить к отказу всего ПО по общей причине при реализации не предусмотренных при программировании конфигураций и граничных условий. Рекомендуется полагать, что такие отказы по общей причине возможны только в отношении отказов типа "несрабатывание" и приводят к отказу всех резервируемых каналов анализируемой системы, в составе которых есть аналогичные программируемые технические средства (то есть в случае, когда резервируемые каналы не отвечают принципу разнообразия). Вероятность такого глобального отказа не может быть оценена из опыта эксплуатации и при условии соблюдения надлежащих процедур обеспечения качества на всех этапах жизненного цикла ПО может экспертно приниматься равной 1,0·10 на требование.