ГОСТ Р 53195.3—2009
П р и м е ч а н и е — Охват диагностикой каждой подсистемы в Е/Е/РЕ СБЗС-системе должен учитываться в
вычислении случайных отказов АС. Доля безопасных отказов должна приниматься во внимание при определе
нии структурных ограничений на полноту безопасности аппаратных средств.
Анализ, используемый для вычисления охвата диагностикой и доли безопасных отказов, должен включать
все компоненты, в том числе электрические, электронные, электромеханические, механические и т.п., которые
используются в подсистеме для выполнения функции(ий) безопасности, реализуемых Е/Е/РЕ СБЗС-системой.
Для каждого из компонентов должны быть рассмотрены все возможные виды опасных отказов, которые
приводят к опасному состоянию, ограничивая диапазон безопасности, когда такой диапазон установлен или,
иными слова ми. ставит под угрозу полноту безопасности Е/Е/РЕ СБЗС-системы.
В таблице А.1 приведены ошибки и отказы, которые как минимумдолжны быть обнаружены для достижения
необходимого охвата диагностикой или которые как минимум должны быть включены в определение безопасной
составляющей отказа.
Если для анализа видов отказов и анализа влияния используются эксплуатационные данные, то их должно
быть достаточно для анализа требования полноты безопасности. При этом требуемый нижний предел статисти
ческой односторонней достоверности должен быть не менее 70 %.
В.2 Определение факторов охвата диагностикой
При вычислении охвата диагностикой для подсистемы (см. приложение В.1) для каждого компонента или
группы компонентов необходимо оценить долю опасных отказов, которые обнаруживаются диагностическими
тестами. Диагностические тесты, которые могут внести вклад в диагностический охват, включают в себя, но не
ограничиваются такими мерами как:
- осуществление сравнительных проверок, например, контроля и сравнения избыточных (резервных) сигна
лов:
- применение дополнительных встроенных тестовых программ, например, осуществляющих вычисление
контрольных сумм в устройстве памяти;
- проведение контроля с использованием внешних воздействий, например, путем пропускания импульсного
сигнала через контролируемые тракты;
- осуществление непрерывного контроля аналогового сигнала, например, для обнаружения выхода задопу
стимые пределы уровней показаний сенсора.
Для вычисления охвата диагностикой необходимо определить виды отказов, которые обнаруживаются ди
агностическими тестами. Для простейших компонентов (резисторов, конденсаторов, транзисторов) отказы, свя
занные с разомкнутыми или короткозамкнутыми цепями, могут быть с большой степенью вероятности обнаруже ны
путем стопроцентного охвата диагностикой. Однако для более сложных компонентов типа Б (см. 5.18.1.3) должны
быть учтены ограничения охвата диагностикой для различных компонентов, указанных в таблице А.1. Этот
анализ должен быть выполнен для каждого компонента или группы компонентов каждой подсистемы и для каждой
Е/Е/РЕ СБЗС-системы.
П р и м е ч а н и я
1 В таблицах А.2 — А.15 приведены рекомендуемые методы/средства. применяемые для диагностических
проверок, и рекомендуемые максимальные охваты диагностикой, которые могут потребоваться. Эти проверки
могут проводиться непрерывно или периодически (в зависимости от интервала диагностических проверок). Таб
лицы не заменяют любое из требований приложения В.
2 Диагностическое тестирование может обеспечить значительные выгоды в достижении функциональной
безопасности Е/Е/РЕ СБЗС-систем. Однако, следует избегать излишнего увеличения сложности, которое может
привести кувеличению трудностей при осуществлении действий по проверке, подтверждению соответствия, оцен ке
функциональной безопасности, технической поддержке и модификации. Увеличение сложности может также
затруднить долгосрочное поддержание функциональной безопасности Е/Е/РЕ СБЗС-систем.
3 При расчетах для получения необходимого охвата диагностикой и путей его реализации предполагается,
что Е/Е/РЕ СБЗС-системы нормально работают при наличии другого опасного дефекта, который обнаружен диаг
ностическими тестами. Если это предположение неверно, то Е/Е/РЕ СБЗС-систему следует рассматривать как
систему, действующую в режиме с высокой частотой запросов или с непрерывным запросом (см. 5.11.3 и 5.8.2.5).
4 Диагностическое тестирование, используемое для обнаружения опасных отказов внутри подсистемы,
может быть осуществлено другой подсистемой внутри Е/Е/РЕ СБЗС-системы.
5 Диагностические тесты могут действовать непрерывно или периодически в зависимости от интервала
диагностических проверок. Возможны случаи или интервалы времени, когда запуск диагностического теста невоз
можен из-за того, что тестируемая система находится в неблагоприятном состоянии. Для таких случаев результа ты
расчета охвата диагностикой не являются корректными.
48