ГОСТ Р МЭК 61508-7—2012
- провести всесторонний анализ опыта эксплуатации элемента, чтобы продемонстрировать, что элемент
был «проверен в эксплуатации»:
- оценить совокупность доказательств подтверждения соответствия, которая была собрана для поведения
элемента, чтобы определить, соответствует ли этот элемент требованиям настоящего стандарта.
С.2.10.1 Проверка в эксплуатации
Только в редких случаях «проверки в эксплуатации» (см. МЭК 61508-4. пункт 3.8.18) будет достаточно в каче
стве единственного средства, гарантирующего для доверительного элемента программного обеспечения достиже
ние им необходимого уровня полноты безопасности. Для сложных элементов со многими возможными функциями
(например операционной системы) важно установить, какая из функций достаточно проверена при ее использо
вании. Например, процедуру самотестирования для обнаружения ошибок, если в период ее эксплуатации не по
явилось отказов, нельзя рассматривать как проверенную в эксплуатации.
Программный элемент может быть проверенным в эксплуатации, если он соответствует следующим критериям:
- спецификация не менялась;
- использовался в системах в различных областях применения;
- продолжительность срока его эксплуатации не менее года;
- продолжительность эксплуатации соответствует уровню полноты безопасности или соответствующему
числу запросов; для демонстрации частоты отказов, не связанных с безопасностью, менее;
- 10“2 на один запрос (в год) с 95%-ным уровнем доверия необходимо 300 эксплуатационных прохождений
(в год):
- 10"“ на один запрос (в год) с 99.9%-ным уровнем доверия необходимо 690000 эксплуатационных прохож
дений (в год).
П р и м е ч а н и е — Математический аппарат, обеспечивающий числовые оценки данного метода, приведен
в приложении D. Аналогичный метод и статистический подход изложены также в В.5.4;
- весь опыт эксплуатации связан с известным профилем запросов функций программного модуля для га
рантии того, что увеличивающийся опыт эксплуатации действительно приводит к увеличению знаний о поведении
программного модуля, связанного с соответствующим профилем запроса:
- его отказы не связаны с безопасностью.
П р и м е ч а н и е — Отказ, некритичный для безопасности в одном контексте, может быть критичен для без
опасности в другом контексте, и наоборот.
Для проверки соответствия критерию программного элемента должно быть документально оформлено:
- точная идентификация каждой системы и ее элементов, включая номера версий (как для программных, так
и для аппаратных средств);
- идентификация пользователей и продолжительность их работы:
- продолжительность эксплуатации системы:
- процедура выбора систем, применяемых пользователями, и случаев ее применения:
- процедуры обнаружения и регистрации отказов и устранения сбоев.
С.2.10.2 Оценка совокупности доказательств подтверждения соответствия
Уже существующий элемент программного обеспечения (см. МЭК 61508-4. пункт 3.2.8) — это тот. который
уже существует и не был разработан специально для текущего проекта или SRS. Уже существующее программное
обеспечение может быть коммерческим доступным продуктом, или оно гложет быть разработано какой-то органи
зацией для предыдущего изделия или системы. Предварительно существующее программное обеспечение может
или не может быть разработано в соответствии с требованиями настоящего стандарта.
Для оценки полноты безопасности новой системы, включающей уже существующие программы, необходима
совокупность доказательств подтверждения соответствия для определения поведения предварительно существу
ющего элемента. Она может быть получена (1) из собственной документации поставщика элемента и описания
процесса разработки элемента или (2) может быть создана или дополнена дополнительными квалифицированны ми
мероприятиями, выполненными разработчиком новой системы, связанной с безопасностью, или третьими ли цами.
Возможности и ограничения потенциально повторно используемого программного элемента определяются в
«Руководстве по безопасности для применяемых изделий».
В любом случав должно существовать (или должно быть создано) руководство по безопасности для при
меняемых изделий, которое обеспечивает адекватную возможность выполнить оценку полноты безопасности кон
кретной функции безопасности, которая полностью или частично реализуется повторно используемым элементом.
Если его нет. то должен быть сделан консервативный вывод о том. чтодля элемента не подтверждена возможность
его повторного использования в системе, связанной с безопасностью. (Это не означает, что для элемента вообще
не подтверждена возможность его повторного использования, просто в данном конкретном случае не было найде но
достаточно доказательств.)
Настоящий стандарт предъявляет особые требования к содержанию руководства по безопасности для применя
емых изделий, см. МЭК 61508-2, приложение D. МЭК 61508-3, приложение D и МЭК 61508-3. пункты 7.4.2.12 и 7.4.2.13.
В «Руководстве по безопасности для применяемых изделий» будет рассмотрено, что:
- проект элемента известен и документально оформлен;
- элемент был объектом проверки и подтверждения соответствия на основе систематического подхода с до
кументально оформленной проверкой и анализом всех частей проекта элемента и кода:
45