Общаясь с разными людьми по вопросам разработки авиационной техники мы получаем вопросы о практическом применении руководства Р-4754А (SAE ARP4754A). Ответы на них могут быть очевидны для специалистов в этой области и трудны для сотрудников организаций-разработчиков, имеющих советский опыт разработки или только начинающих свой путь в разработке авиационной техники.
Ниже приводим несколько вопросов и ответов, возможно, они вам помогут в работе.
Дисклеймер: в статье использутся много специальных терминов и аббревиатур. Если вы не разработчик авиационной техники вам может быть больно от прочтения.
1. Функциональные требования и безопасность
ВОПРОС: Что такое оценка влияния требований на безопасность и как она происходит?
ОТВЕТ: Вам предстоит соотнести функциональное требование с реализуемой функцией изделия и показать, что введение этого требования позволяет реализовать функцию безопасно, а именно, риск от реализации нового требования не увеличится или увеличится на приемлемом уровне.
ПРИМЕР: Для авиационной системы вероятность отказа, приводящего к сложной ситуации (major effect), менее 1,0e-05 на час полета - приемлемый уровень безопасности. Так как реализация дополнительных требований может быть связана с изменением архитектуры аппаратных средств, то оценка влияния в таком случае производится уточнением расчета надежности (количественная оценка) и анализа видов, последствий и критичности отказов (качественная и количественная оценка). Для архитектуры ПО оценка выполняется в объеме анализа видов и последствий отказов (FMEA) с демонстрацией того, что внесенные изменения не увеличивают тяжесть последствий (для нашего примера - отказ не приведет к аварийной и катастрофической ситуации). Есть ли среди читающих тот, кто выполняет количественную оценку надежности ПО для авиационных систем?
2. Архитектура системы и безопасность
ВОПРОС: Что такое оценка безопасности архитектуры?
ОТВЕТ: Основа оценки - показать как реализована функция, и выполнимы ли требования безопасности в такой реализации. Часто к оценке архитектуры прибегают, когда нужно выбрать из нескольких вариантов и нужно их оценить по нескольким критериям, один из них - влияние на безопасность. Используются стандартные методы предварительной оценки безопасности (FMEA, FTA, RBD) по Р-4761 (SAE ARP4761). Оцениваемая архитектура может содержать в себе решения, позволяющие снижать тяжесть последствий отказов, защищать от возникновения нежелательных отказов, быть устойчивой к единичным отказам. Все эти решения также должны быть рассмотрены. Если по результатам оценки безопасности архитектура "не тянет" на безопасную, то могут быть указаны слабые места в архитектуре и предложены варианты их устранения. Есть ли среди читателей тот, кто нашел в архитектуре слабое место и смог повлиять на ее доработку?
3. Функция и безопасность
ВОПРОС: Кто должен определять перечень функций системы?
ОТВЕТ: Самый простой ответ - заказчик разработки. Однако на практике грамотное описание функций систем, которое в дальнейшем поможет держать ваш проект в порядке, - результат совместного труда заказчика, главного идеолога разработки, например, главного конструктора и системного аналитика. Системные аналитики часто отсутствуют и тогда специалист по безопасности может включиться в эту работу. Разработка функциональной модели - это основа разработки. Этим часто пренебрегают и в дальнейшем это может привести к неожиданным эффектам.
ПРИМЕР: Забытые функции не попадают в спецификацию изделия, но при этом могут быть продемонстрированы при сертификации ПО. В ДКХ изделия (Декларации о конструкции и характеристиках) они не упоминаются. Когда настает время внести изменение в такую забытую функцию, процедура оценки безопасности изменений выявляет незадекларированную функцию. Если вам интересно, что вас ждет после такого открытия, то можно почитать методические рекомендации Росавиации № МР-21.003, п.2.2.1. Есть ли среди читателей тот, кто нашел незадекларированную функцию в изделии, имеющем СГКИ?
4. Верификация требований, связанных с безопасностью
ВОПРОС: В Р-4754А сказано: "Верификация показывает отсутствие влияния непредусмотренных функций на безопасность". Откуда берутся непредусмотренные функции?
ОТВЕТ: Непредусмотренные функции есть у комплектующих изделий, аппаратуре или ПО, которые неоднократно используются для создания разных авиационных систем. Иногда не требуется производить модификацию готовых КИ, чтобы они правильно функционировали, достаточно просто "не использовать" функционал. Часто функции блокируют на любом логическом уровне. В любом случае задача аналитиков показать, что эти действия не привели к нарушению работы самого компонента или не приводят к нарушению работы других компонентов системы.
ПРИМЕР: Микросхема,имеющая несколько интерфейсов для обмена данными, один из них, например, Bluetooth, не используется. Разработчик системы должен изучить спецификацию и понять, есть ли возможность аппаратно заблокировать данную функцию. В противном случае, возможна ситуация с несанкционированным доступом к микросхеме, что может привести к неправильной работе микросхемы. Сталкивались ли вы с вопросами кибербезопасности?
ВОПРОС: В Р-4754А сказано: "Верифицированы требования безопасности". Как они верифицируются? Расчетом надежности?
ОТВЕТ: Верификация требований безопасности немного странный термин, скорее должна быть верифицирована реализация требований безопасности, то есть простым языком говоря - проведена оценка безопасности авиационной системы - SSA, в которой будет не только аналитическая часть, но и практическая - положительные результаты испытаний, анализ поставляемой экплуатационной документации, например. Расчет надежности является более низкоуровневым документом и часто не является частью SSA. Но данные из расчета используются в качестве источника данных по интенсивностям отказов. Расчет надежности можно и не выполнять, если аналитик использует БД с эксплуатационной надежностью компонентов. Такие базы ведутся на крупных предприятиях-разработчиках авиационной техники или коммерческими фирмами в интересах всех разработчиков техники (не только авиационной).
Помогла ли вам эта статья? Напишите нам.
#SSA #4754A #что такое верификация #вопросы по Р-4754а #ARP4754A