К атегорию отказной ситуации системы устанавливают, определяя серьезность проявления отказной
ситуации на объекте управления. Ошибка в ПО может вызвать сбой, который приведет к отказной
ситуации. Следовательно, необходимый для безопасного функционирования уровень ПО определяют
исходя из отказных ситуаций системы.
5.2.1 Классификация отказных ситуаций
К атегория А - катастрофическая: отказная ситуация, которая препятствует безопасному функционированию
объекта управления.
К атегория В - опасная/критическая: отказная ситуация, которая приводит к уменьшению
возможностей объекта управления или способности персонала справиться с неблагоприятными
эксплуатационными режимами, при которых возникают:
- большое снижение гарантийных резервов или функциональных возможностей;
- крайне тяжелое положение или перегрузки, которые могут вызвать неточное или неполное выполнение
задачи;
- неблагоприятные или потенциально фатальные воздействия для окружающей среды.
К атегория С - существенная: отказная ситуация, которая приводит к снижению возможностей объекта
управления или способности персонала справиться с неблагоприятными эксплуатационными режимами,
при продолжении которых могут возникать, например, большое снижение гарантийных резервов
или функциональных возможностей, перегрузки или условия, вызывающие ухудшение работоспособности
персонала.
К атегория D - несущественная: отказная ситуация, незначительно уменьшающая безопасность объекта
и требующая действий персонала, которые осуществимы в пределах их возможностей.
Несущественная отказная ситуация может включать в себя, например, незначительное уменьшение
гарантийных резервов или функциональных возможностей, незначительное увеличение рабочей нагрузки
персонала или некоторое неудобство для персонала.
К атегория Е - невлияющая: отказная ситуация, которая не воздействует на эксплуатационные возможности
объекта управления или не увеличивает рабочую нагрузку персонала.
5.2.2 Определения уровня ПО
У ровень ПО определяется возможностью возникновения потенциальных отказных ситуаций, выявленных
процессом оценки безопасности системы, в результате сбоев в ПО. Уровень ПО означает, что
трудозатраты, необходимые для доказательства согласованности с требованиями сертификации, меняются
в зависимости от категории отказной ситуации.
У ровень А: ПО, аномальное поведение которого, как показано процессом оценки безопасности системы,
вызвало бы (или способствовало бы) возникновению отказа функционирования системы, приводящее к
катастрофической отказной ситуации для объекта управления.
У ровень В: ПО, аномальное поведение которого, как показано процессом оценки безопасности системы,
вызвало бы (или способствовало бы) возникновение(ю) отказа функционирования системы, приводящее к
опасной/критической отказной ситуации для объекта управления.
У ровень С: ПО, аномальное поведение которого, как показано процессом оценки безопасности системы,
вызвало бы (или способствовало бы) возникновение(ю) отказа функционирования системы, приводящее
к существенной отказной ситуации для объекта управления.
У ровень D: ПО, аномальное поведение которого, как показано процессом оценки безопасности системы,
вызвало бы (или способствовало бы) возникновение(ю) отказа функционирования системы, приводящее к
несущественной отказной ситуации для объекта управления.
У ровень Е: ПО, аномальное поведение которого, как показано процессом оценки безопасности системы,
вызвало бы (или способствовало бы) возникновение(ю) отказа функционирования системы, не влияющее
на эксплуатационные возможности объекта и работоспособность персонала. Если для ПО был установлен
сертифицирующей организацией уровень Е, то в дальнейшем для сертификации такого ПО никакие
требования данного документа не являются обязательными.
5.2.3 Назначение уровня ПО
П ервоначально процесс оценки безопасности системы присваивает уровни ПО, соответствующие
компонентам ПО конкретной системы. При проведении данного назначения учитывают воздействие
отказов как потери функции или неправильного функционирования.
П римечание - Если систему или ЭКПО разрабатывают для нескольких построений, то компоненту ПО данного построения
может быть назначен более высокий уровень, чем требуется процессом оценки безопасности системы, если использование
этого компонента в других построениях требует такого уровня.
Е сли аномальное поведение компонента ПО вызвано более чем одной отказной ситуацией, уровень ПО
для данного компонента ПО определяет наиболее серьезная категория отказной ситуации. Существуют
архитектурные стратегии (см. 5.5), использование которых в процессе проектирования системы может
привести к изменению назначенного уровня ПО.
С истемная функция может быть реализована одним или несколькими компонентами ПО. Параллельная
реализация - это такая реализация, когда функция системы реализуется несколькими компонентами ПО.
Тогда для возникновения отказной ситуации требуется аномальное поведение более чем одного
компонента.
При параллельной реализации по крайней мере один компонент ПО будет иметь уровень ПО, связанный
с наиболее серьезной категорией отказной ситуации этой функции системы. Уровень ПО для других
компонентов определяют, используя категорию отказной ситуации, связанную с потерей этой функции.
Примеры таких реализаций описаны в 5.5.2 и 5.5.3.
П оследовательная реализация - это такая реализация, когда несколько компонентов ПО используются для
реализации функции системы так, что аномальное поведение любого из компонентов может привести к
отказной ситуации. При такой реализации все компоненты ПО будут иметь уровень ПО, связанный с
наиболее серьезной категорией отказной ситуации этой функции системы.
Р азработка ПО с заданным уровнем не подразумевает оценку интенсивности отказов для этого ПО.
Таким образом, уровни ПО или оценки надежности ПО, основанные на уровнях ПО, не могут
использоваться процессом оценки безопасности системы в отличие от использования интенсивности
отказов аппаратуры.