ГОСТ Р МЭК 61508-7—2012
еще более сложно рассчитать PFH для систем безопасности, работающих в непрерывном режиме. Поэтому с по
мощью данного метода только инженеры по надежности с глубоким пониманием математики, лежащей в основе
данного метода, должны проводить расчеты значений неготовность/PFD и ненадежность/PFH.
Для очень простых деревьев отказов расчеты могут быть проведены вручную, однако за последние 50 лет
было разработано и реализовано довольно большое количество алгоритмов для решения сложных логических
уравнений. Наиболее современным на текущий момент является метод двоичных диаграмм решений (Binary
Decision Diagrams. BDD). который основан на технике компактного кодирования логических уравнений в памяти
компьютера. В настоящее время это единственный метод, способный выполнять вероятностные расчеты без при
ближений для систем промышленных размеров. Он также достаточно эффективен для обработки неопределен
ностей при моделировании методом Монте-Карло.
Литература:
IEC 61025:2006. Fault tree analysis (FTA).
B.6.6.10 Обобщенные стохастические модели сетей Петри
П р и м е ч а н и я
1 О применении данного метода для анализа полноты безопасности аппаратного обеспечения см. в МЭК
61508-6.
2 Метод сетей Петри уже был описан в В.2.3.3 как полуформальный метод. Данный метод также может быть
эффективно использован для анализа полноты безопасности аппаратного обеспечения.
Цель. Графически построить модель поведения правильно и неправильно функционирующую системы на
столько близко к реальнной модели системы, насколько это возможно, в целях обеспечения эффективной под
держки моделирования методом Монте-Карпо.
Описание. Применяется асинхронный конечный автомат, описанный в В.2.3.3. за исключением того, что хоро
шее свойство, отслеживаемое при полуформальном подтверждении соответствия, не существует, когда моделиру
ется поведение неправильно функционирующей системы безопасности. Так называемые позиции (изображаются
кружочками) представляют возможные состояния, а так называемые переходы (изображаются прямоугольниками)
представляют события, которые могут произойти. Кроме маркирования позиций (см. В.2.3.3) могут быть использо
ваны сообщения или предикаты для подтверждения соответствия (активизации) переходов, а продолжительность
задержки между активизацией перехода и его «возбуждением» может быть детерминированной или стохастиче
ской величиной. Поэтому такие сети Петри называются «обобщенными стохастическими» сетями Петри.
Сети Петри являются гибкими поведенческими моделями, которые подтверждают свою высокую эффектив
ность для поддержки моделирования методом Монте-Карло (см. В.6.6.8). Кроме точности самого метода Монте-
Карпо. которая, так или иначе, всегда известна, все ограничения других методов (зависимости, комбинаторный
взрыв, неэкспоненциальность законов распределения и т. д.) преодолеваются. Для современных компьютеров
больше не является проблемой даже оценки для УПБ 4.
Литература:
IEC 62551:2012. Analysis techniques for dependability — Petn net modeling.
Securisation des architectures informatiques. Jean-Louis Boulanger. Hermes — Lavoisier. 2009. ISBN:
978-2-7462-1991-5.
B.6.7 Анализ наихудшего случая
П р и м е ч а н и е — Ссылка на данный метод/средство приведена в МЭК 61508-2 (таблицы В.5 и В.6).
Цель. Исключение систематических ошибок, возникающих в результате неблагоприятных сочетаний условий
окружающей среды и допусков на параметры компонентов системы.
Описание. Эксплуатационные возможности системы и размеры компонентов исследуются или вычисляются
теоретически. При этом для условий окружающей среды задаются их допустимые предельные значения. Анализи
руются и сопоставляются со спецификацией наиболее существенные характеристики системы.
В.6.8 Расширенное функциональное тестирование
П р и м е ч а н и е — Ссылка на данный метод/средство приведена в МЭК 61508-2 (таблицы В.5 и В.6).
Цель. Обнаружение отказов на стадиях спецификации, проектирования и разработки системы. Проверка
поведения системы, связанной с безопасностью, в случав редких или неспецифицированных операций ввода ин
формации.
Описание. Расширенное функциональное тестирование проверяет функциональное поведение системы, свя
занной с безопасностью, как реакцию на входные условия, которые ожидаются только в редких случаях (например
глобального отказа) или не охватываются спецификацией системы, связанной с безопасностью, (например некор
ректные операции). Для редко встречающихся условий наблюдаемое поведение системы, связанной с безопасно
стью. сравнивается со спецификацией. В тех случаях, когда реакция системы, связанной с безопасностью, не спец
ифицирована. следует убедиться в том. что заданная безопасность сохранена в наблюдаемой реакции системы.
Литература:
Functional Program Testing and Analysis. W.E. Howden. McGraw-Hill, 1987.
The Art of Software Testing. G.J. Myers, Wiley & Sons. New Yorfc, 1979.
DependabilityofCritical ComputerSystems3. P.G. Bishopetal.. ElsevierAppliedScience. 1990, ISBN 1-85166-544-7.
32