Соу-н нкау 0060: 2010

Вид материала

Документы

Содержание 5.3.4 Життєвий цикл гарантоздатних систем 5.3.5 Управління гарантоздатністю Str1 повинна бути стратегія гнучкого керування за інформаційно-технічним станом Str2 5.3.6 Помилки контролю та управління інформаційно-технічним станом 5.4 Оцінка гарантоздатності 5.4.2 Показники оцінювання гарантоздатності 5.4.3 Методи оцінювання гарантоздатності Fme(c)a, fta, hazop 5.5 Вимоги до гарантоздатності програмно-технічних комплексів критичного призначення 5.5.2 Загальні вимоги до гарантоздатності 5.5.3 Особливості вимог до гарантоздатності різних типів програмно-технічних комплексів критичного призначення 5.6 Керівництво з адаптації нормативного документа

Подобный материал:

• План дій щодо впровадження вимог стандартів інформаційної безпеки соу н нбу 65. 1 Суіб, 154.72kb.
• Інструкція з діловодства в Національному космічному агентстві України Загальні положення, 984.76kb.
• Програма вступного іспиту в аспірантуру ітм нану І нкау зі спеціальності 01. 02., 61.88kb.
• А. А. Гордиенко С. Н. Еремин Е. А. Тюгашев, 4744.24kb.
• Системы обнаружения утечек из трубопроводов, 170.88kb.
• Лицензия турагента: ав 157766 Донецкая обл г. Краматорск ул. Шкадинова,, 311.56kb.
• Киева каскад 4-6 (в период с 01. 04. 10-31. 10. 10), 280.34kb.
• "Скандинавская сказка"  Стоимость тура: 895 евро + виза + каюта (100 евро 4-местная;, 158.66kb.
• Стандарт житлово-комунального господарства україни житлові будинки збірник укрупнених, 1491.89kb.
• Стандарт житлово-комунального господарства україни житлові будинки збірник укрупнених, 1471.01kb.

Таблиця 5.2 – Співвідношення методів забезпечення та операцій відмово стійкості

Методи забезпечення відмовостійкості	Операції відмовостійкості
Ff	Fp	Fd	Fi	Ft	Fs	Fr	Fc
Мажоритарне резервування «2 з 3»	-	-	-	-	+	-	-	-
Адаптивне мажоритарне резервування (перехід від «2 з 3» до «1 з 1»)	-	-	+	+	+	+	+	±
Адаптивне мажоритарне резервування з рейтингуванням каналів	+	±	+	±	+	±	±	±

5.3.2 Відмовобезпека як механізм забезпечення функціональної безпеки

5.3.2.1 Механізми відмовостійкості у гарантоздатних системах у цілому повинні бути універсальними щодо множини дефектів, які викликають відмови. Отже, відмовостійкість є комплексним механізмом та включає складові, які враховують різні причини, види і можливі наслідки відмов.

Необхідно виділити дві такі складові, пов’язані з функціональною безпекою та інформаційною безпекою і живучістю: відмовобезпека і стійкість до зовнішніх втручань (вторгнень).

5.3.2.2 Відмовобезпека є механізмом забезпечення функціональної безпеки ПТК КП подібно тому, як відмовостійкість є механізмом забезпечення надійності і гарантоздатності у цілому. Системи, у яких реалізуються методи відмовобезпеки, називаються відмовобезпечними. Відмовобезпека є механізмом парирування відмов, які можуть призвести до переходу системи у небезпечні стани, або мінімізації наслідків такого переходу.

5.3.2.3 Стійкість до відмов, причинами яких є дефекти взаємодії, включає стійкість до випадкових або спрямованих фізичних впливів та стійкість до інформаційних втручань. Стійкості до зовнішніх інформаційних втручань (вторгнень) відповідає англомовний термін “intrusion tolerance” , а системам, у яких реалізується така стійкість – термін “intrusion tolerant system”. Це є відображенням не тільки автономності, але й важливості властивості інформаційної безпеки (і живучості) у складі гарантоздатності.

5.3.3 Принцип диверсності та багатоверсійні технології

5.3.3.1 З огляду на різну природу дефектів ДР, ДФ, ДВ і наслідків викликаних ними відмов, засоби, які реалізують операції з множиною M_F, для них можуть бути роздільними. ПТК у цьому випадку повинен мати три підсистеми, які виконують функції F_i  M_F для кожного з типів дефектів WF_ДФ, WF_ДР і WF_ДВ відповідно (рис. 5.5, а)). Інтегрованими повинні бути засоби реалізації функції відновлення інформації WF_С.

Роздільна реалізація підсистем призводить до більших витрат програмно-апаратних засобів, які роблять підсистему забезпечення гарантоздатності складною, а отже, недостатньо надійною. У зв'язку із цим необхідно мати програмно-технічні рішення, які б дозволили комплексно вирішувати проблеми виявлення та парирування відмов, викликаних фізичними дефектами апаратних засобів, дефектами проектування програмних засобів і зовнішніх впливів інформаційного та фізичного характеру.




5.3.3.2 Такі рішення повинні базуватися на принципі диверсності (багатоверсійності). Багатоверсійність - це принцип підвищення гарантоздатності (надійності та безпеки) шляхом введення версійної надмірності – двох або більше способів (версій) реалізації функцій системи. Наприклад, у різних каналах системи для реалізації однієї й тієї ж функції може використовуватися апаратура від різних виробників або різні алгоритми чи програмне забезпечення від різних розробників тощо.

Диверсність повинна розглядатися як частковий (мінімальний) випадок багатоверсійності, коли існують тільки дві версії.

5.3.3.3 Версійну надмірність поділяють на сім основних видів:

– програмна версійна надмірність – різноманітності досягають за рахунок використання різних версій програмних засобів;

– апаратна версійна надмірність – різноманітності досягають за рахунок використання різних апаратних засобів (устатковання різних виробників або устатковання, побудованого за різними технологіями, наприклад, з використанням різної елементної бази);

– суб'єктна версійна надмірність – різноманітності досягають за рахунок залучення різних виконавців (команд виконавців) робіт;

– функціональна версійна надмірність – різноманітності досягають за рахунок реалізації різними версіями різної функціональності (різних фізичних функцій або альтернативних алгоритмів);

– проектна версійна надмірність – різноманітності досягають за рахунок застосування різних методів (підходів) проектування апаратних або програмних засобів;

– функціональна версійна надмірність – різноманітності досягають за рахунок реалізації різними версіями різної функціональності (різних фізичних функцій або альтернативних алгоритмів);

– сигнальна версійна надмірність – різноманітності досягають за рахунок використання різних вхідних параметрів (різних джерел даних), які визначають функціонування системи.

5.3.3.4 Багатоверсійна система – це резервована система, до складу якої входять два або більше каналів, побудованих за різними програмно-апаратними версіями. Наприклад, двоверсійну систему W подають

W = {X, F, U, V, Z} , (5.1)

де X, U – вхідні та вихідні сигнали;

F – множина функцій (послуг), які виконує система;

V – двоелементна множина версій v₁, v₂ з вихідними сигналами U₁ , U₂;

Z – функція оброблення результатів виконання версій (відображення U₁, U₂ в U).

5.3.3.5 Багатоверсійна технологія – це технологія, за якою у процесі розроблення та застосування системи за призначенням повинні використовуватися дві чи більше проміжних або кінцевих версій. Множину варіантів багатоверсійних технологій задають графом, кількість рівнів якого дорівнює кількості етапів (і/або процесів) життєвого циклу, на яких може використовуватися версійна надмірність, а дуги ураховують відношення сумісності різних видів надмірності за етапами. Різним багатоверсійним технологіям відповідають різні шляхи на графі від початкової до кінцевої вершини.

5.3.3.6 Використання версійної надмірності дозволяє вирішувати задачі створення ПТК, стійкого до ДФ і ДР (а іноді і ДВ), завдяки чому знижується імовірність відмови з загальної причини внаслідок дефектів програмних засобів.

5.3.3.7 Використання багатоверсійності дозволяє поліпшувати і властивості інформаційної безпеки (цілісності та конфіденційності). Використання багатоверсійності підвищує безпеку завдяки введенню механізмів адаптивного вибору диверсних конфігурацій серверів, операційних систем і додатків з урахуванням накопичення і динамічного відновлення інформації про уразливість різних типів компонентів на цих рівнях до різних типів втручань (атак).

На рис. 5.5 наведено варіанти реалізації функцій відмовостійкості в одноверсійній (а) і багатоверсійній (б) системах з точки зору можливості використання загальних засобів реалізації операцій відмовостійкості. Символами WF умовно позначено засоби для реалізації відповідних операцій відмовостійкості (нижній індекс вказує тип дефекту, який вібивається, або тип операції).


5.3.4 Життєвий цикл гарантоздатних систем

5.3.4.1 Різні проектні рішення гарантоздатних програмно-технічних комплексів повинні забезпечувати необхідний рівень властивостей надійності та безпеки. Розроблення конкретних технологій проектування та верифікації, з огляду на складність і комплексність завдання, вимагає уточнення моделей життєвого циклу. За аналогією зі стандартизованою загальною моделлю життєвого циклу функціональної безпеки програмного забезпечення та інформаційно-керуючих систем (safety life cycle), може бути запропонована модель життєвого циклу гарантоздатних систем (dependable system life cycle).

5.3.4.2 Якщо гарантоздатність ПТК та його програмних засобів забезпечується за рахунок диверсності, то в основу такої моделі повинно бути покладено модель багатоверсійного життєвого циклу, яка базується на операціях генерації та вибору версій на різних етапах і внаслідок реалізації різних процесів.

5.3.5 Управління гарантоздатністю

5.3.5.1 Узагальнення поняття інформаційно-технічного стану ПТК КП надає можливість формування розширеної множини стратегій технічного (інформаційно-технічного) обслуговування та керування станом за планово-попереджувальними і гнучкими схемами. Множину можливих стратегій керування класифікують за трьома ознаками:

– постійність (варіювання) періодичності та обсяг профілактичних або ремонтних заходів;

– ступінь та порядок суміщення профілактичних або ремонтних заходів за ризиками, обумовленими ДФ, ДР і ДВ;

– складові гарантоздатності та відповідні показники цих складових, їхні комбінації або показники гарантоздатності у цілому.

5.3.5.2 За першою ознакою розробляють планово-попереджувальну систему профілактичного обслуговування (жорстка стратегія) і систему обслуговування за фактичним станом (гнучка стратегія).

5.3.5.3 Урахування впливу зовнішніх впливів (дефектів ДВ) дозволяє сформулювати завдання вибору (пошуку) оптимальної стратегії обслуговування гарантоздатного ПТК КП з огляду на усю множину дефектів.

Необхідно оптимізувати обслуговування системи за показниками готовності:

– технічного стану (підтримки безвідмовності апаратних і програмних засобів);

– інформаційного стану (підтримки інформаційної безпеки шляхом відновлення програмних засобів і модернізації засобів захисту).

5.3.5.4 Для ПТК із планово-попереджувальною системою профілактичного обслуговування (стратегія Str1), фіксованими обсягами V_rel, V_sec і тривалістю проведення технічного ф_rel та інформаційного ф_sec обслуговування повинні застосовуватися два основних типи стратегій з роздільним Str1,Р та загальним Str1,О обслуговуванням.

У першому випадку, з періодичністю Т_rel і T_sec проводять роздільне технічне та інформаційне обслуговування системи. У другому випадку проводять спільне обслуговування з періодичністю Т_dep, тривалість якого ф_dep  ф_rel + ф_sec. Завдання повинно зводитись до пошуку оптимальних періодичностей Т_rel і T_sec для стратегії Str1,Р і періодичності Т_dep для стратегії Str1,О.

5.3.5.5 Доцільним є перехід від концепції (стратегії) керування надійністю (готовністю) за фактичним технічним станом до концепції (стратегії) керування гарантоздатністю за фактичним ІТС.

Альтернативою стратегії Str1 повинна бути стратегія гнучкого керування за інформаційно-технічним станом Str2, у якій періодичність і обсяг обслуговування не є фіксованими, а залежать від фактичних значень показників надійності (безвідмовності) і втрат (виграшу) у готовності під час проведення обслуговування та усунення несправностей.

Сутність такої стратегії полягає в тому, що:

– обслуговування технічних і програмно-технічних засобів з метою профілактики і виявлення прихованих відмов внаслідок ДФ і прогнозованих або виявлених ДР, а також заходи щодо обслуговування (перевіряння та модернізації) засобів інформаційної безпеки (а також забезпечення живучості) з урахуванням ДВ, повинні проводитися не у фіксовані (планові) моменти часу, а відповідно до фактичного інформаційно-технічного стану;

– моменти часу, тривалість і обсяг заходів щодо обслуговування повинні залежати від вимірюваного і контрольованого рівня гарантоздатності.

5.3.5.6 Для реалізації стратегій керування гарантоздатністю КС необхідно мати спеціальні засоби, які повинні забезпечувати:

– оперативний контроль ІТС, його технічної та інформаційної складових;

– прогнозування зміни ІТС і оцінювання показників гарантоздатності з урахуванням результатів моніторингу та використанням відповідних математичних моделей;

– визначення моменту, номенклатури та обсягу профілактичних заходів відповідно до вимог щодо гарантоздатності, її поточного і прогнозованого значень;

– реалізацію узгоджених рішень і оцінювання їхнього впливу на фактичний рівень гарантоздатності.

З урахуванням сутності інформаційно-технічного стану необхідно розглядати політику керування гарантоздатністю як узагальнену політику забезпечення та керування інформаційною безпекою ПТК КП.


5.3.6 Помилки контролю та управління інформаційно-технічним станом

5.3.6.1 З урахуванням розглянутого поняття ІТС повинна бути узагальнена множина помилок контролю станів ПТК КП. Для цього потрібно співвіднести множину дійсних MS^Д та розпізнаних MS^Р інформаційно-технічних станів і визначити помилки першого, другого, третього, а за необхідності, четвертого роду.

Помилки першого роду пов’язані з помилковою ідентифікацією «руху вниз» («ризик постачальника»), другого – з помилковою ідентифікацією «руху вгору» («ризик замовника»), третього – з помилковою ідентифікацією стану в межах правильно визначеної підмножини станів («ризик діагноста»), четвертого – з помилковим визначенням небезпечного стану («ризик безпеки»).

5.3.6.2 На рис. 5.6 а наведено узагальнену логічну модель помилок контролю, де множини дійсних, розпізнаних станів і станів управління складаються зі працездатних (), непрацездатних безпечних () (справних працездатних, частково працездатних і непрацездатних безпечних) і небезпечних () станів. Безперервними лініями показано правильні варіанти, штриховою – помилки першого роду, а штрих-пунктирною – другого роду. Помилки третього роду, до яких віднесено неправильне визначення несправних (непрацездатних) інформаційного або технічного станів за умов знаходження системи у несправному (непрацездатному) технічному або інформаційному станах відповідно, позначено потовщеними переривчастими лініями.



а б

Рисунок 5.6 – Модель помилок контролю (а) та управління (б) інформаційно-технічним станом


5.3.6.3 Наведена модель потребує більш детального аналізу за рівнем працездатності (небезпечності) станів шляхом співставлення їх з інформаційною та технічною складовими. Крім того, вона повинна бути поширена на фазу управління системою (об’єктом) під час її побудови за схемою: об’єкт контролю та управління (ОКУ), що характеризується множиною дійсних ІТС- MS^Д, підсистема контролю (ПК), що визначає його ІТС і формує множину розпізнаних станів MS^Р, підсистема управління (ПУ), яка відповідно до MS^Р формує управляючі сигнали, що подаються на ОКУ, і характеризується множиною станів MS^У.

Тоді, внаслідок різних дефектів ПУ, фазі управління можуть з’явитися помилки, аналогічні помилкам фази контролю (рис. 5.6, б), тобто, наприклад, помилка управління другого роду  визначає ситуацію, коли ПУ формує на ОКУ сигнали як на об’єкт, що знаходиться у справному стані, не зважаючи на те, що він знаходиться у розпізнаному небезпечному стані .

5.3.6.4 Різні типи помилок контролю та управління можуть накладатися і визначати сумісно з об’єктом, ПК, ПУ стан системи в цілому. Це вимагає уточнення відповідних процедур відновлення системи за технічним або інформаційно-технічним станом, включаючи процедури переведення системи у безпечний стан.

5.4 Оцінка гарантоздатності

5.4.1 Принципи оцінювання гарантоздатності

5.4.1.1 Для оцінювання гарантоздатності як складної властивості повинні використовуватися два типи показників:

– векторні, які є набором показників, що оцінюються, або окремими властивостями гарантоздатності (безвідмовність, готовність, живучість, функціональна безпека, тощо) чи стійкістю до різних типів дефектів (ДФ, ДР, ДВ);

– скалярні, за допомогою яких надають узагальнену оцінку гарантоздатності з урахуванням усіх складових.

5.4.2 Показники оцінювання гарантоздатності

5.4.2.1 Найпростіший варіант скалярного показника є ймовірність подання послуги (виконання функцій), P_dep, що за певних допущень (незалежності дефектів різних типів) може бути обчислена як добуток ймовірностей відсутності (парирування) дефектів з множини М_D = {ДФ, ДР, ДВ}. Далі ці ймовірності можуть бути обчислені з урахуванням ймовірностей успішного виконання всіх операцій з множини М_F (див. п. 5.3.1.3) (і припущення про незалежність відмов відповідних засобів).

Тоді

Р_dep = , (5.2)

де P_ij – ймовірність успішного виконання операції F_j для дефектів типу D_i.

Для більш точного оцінювання потрібно детально проаналізувати множину станів і переходів між ними на базі загальної моделі (рис. 5.1, 5.2) для конкретних додатків, використовуючи апарат теорії марківських або напівмарківських процесів.

Для визначення рівня гарантоздатності за цим методом необхідно:

– проаналізувати систему, визначити компоненти, які впливають на її працездатність та притаманні їм дефекти ДФ, ДР;

– проаналізувати середовище функціонування системи і визначити можливі фактори спричинення та характер дефектів ДВ;

– визначити множину інформаційних і технічних станів, у яких може перебувати система внаслідок різних дефектів ДФ, ДР, ДВ і переходів між ними з урахуванням засобів відмовостійкості (відмовобезпеки, стійкості до зовнішніх втручань);

– визначити ймовірності (інтенсивності) переходів між станами і побудувати розмічений граф переходів;

– провести дослідження моделі та визначити імовірності знаходження системи у різних станах;

– розрахувати відповідні показники гарантоздатності та її складових.

5.4.2.2 Скалярна оцінка може бути отримана також на основі метричного підходу, за яким повинна будуватися максимально деталізована модель гарантоздатності як ієрархія первинних, вторинних властивостей, їхніх характеристик, обумовлених набором метрик, оцінених експертним шляхом або виміряних параметрів, що обчислюють на основі системи. Далі може бути виконана згортка метрик, яка здійснюється та візуалізується за допомогою радіальних метричних діаграм ( згідно з 5.5.10 СОУ-Н НКАУ 0012:2006).


5.4.3 Методи оцінювання гарантоздатності

5.4.3.1 Існує велика кількість методів аналізування та розрахунку показників гарантоздатності, які базуються на математичному апараті теорії ймовірностей і випадкових процесів, частково формалізованих методиках ( FME(C)A, FTA, HAZOP тощо), ризик-орієнтованих підходах [19].

Найпростішим методом оцінювання є метод, який базується на розробленні та аналізуванні структурних схем надійності (ССН), живучості (ССЖ) і безпеки (ССБ), як складових гарантоздатності.

5.4.3.2 Під час побудови ССН системи, що складається з n елементів , повинні виконуватися два основні правила:

– якщо відмова елемента e_i призводить до відмови системи, цей елемент включають в ССН послідовно;

– якщо відмова елемента e_i не призводить до відмови системи, цей елемент включають паралельно.

Для практичного застосування цих правил необхідно проаналізувати всі елементи системи та визначити групи послідовно і паралельно включених елементів. У загальному випадку деякі з елементів можуть утворювати так звані місткові з'єднання.

Такі елементи включаються разом з іншими за змішаною схемою, яка не є послідовно-паралельним з'єднанням і вимагає виконання операції розкладання ССН за містковими елементами. Під час визначення порядку включення елементів у ССН необхідно визначити наслідки відмови цього елемента на працездатність системи. Відмови різних елементів можуть призводити до різних типів відмов системи. Для цього, розділивши множину елементів E на підмножини залежно від того, до яких наслідків призводять відмови елементів, одержують модифікації ССН.

Як приклад на рис. 5.7, а), б), в), ілюструються можливі переходи з одного вихідного стану S_iMS до іншого кінцевого стану S_jMS.

Якщо система перебуває у працездатному (ПС) стані (підмножина MS_ПCMS, рис. 5.7, а)), то можливі переходи (внаслідок відмов відповідних елементів) : у працездатний стан (ПС), S_iS_j, у частково працездатний стан (ЧП), S_kS_l, у непрацездатний безпечний стан (НБС), S_mS_n, і небезпечний стан (НС), S_pS_q.

Аналогічні переходи можливі також, якщо система перебуває в частково працездатному (ЧП) стані (рис. 5.7, б)), переходи S_rS_t; S_uS_x; S_yS_z або непрацездатному безпечному стані (НБС) (рис. 5.7, в)), переходи S_cS_d;S_fS_h.

Отже, якщо система перебуває у працездатному (вихідному) стані, то множина її елементів E_ПС може бути представлена у вигляді об'єднання підмножин елементів, відмови яких призводять до її переходу в інший працездатний стан – E_ПС,_ПС, частково працездатний стан – E_ПС,_ЧП, непрацездатний безпечний стан – E_ПС,_НБС, і небезпечний стан – E_ПС,_НС:

E_ПС = E_ПС,ПС E_ПС,ЧП E_ПС,НБС E_ПС,НС. (5.3)

За аналогією можуть бути отримані об'єднання підмножин елементів для інших вихідних станів системи:

E_ЧП = E_ЧП,ЧП E_ЧП,НБС E_ЧП,НС, (5.4)

E_НБС = E_{НБС, НБС}E_НБС,НС. (5.5)


Якщо система має велику кількість допустимих рівнів деградації та відповідних множин станів МS_ЧП1,,MS_ЧП, то для кожного з них може бути отримане співвідношення типу (5.4), і співвідношення (5.3) деталізовано щодо частково працездатних станів.




Рисунок 5.7 –Множина станів системи та переходів із станів МS_ПС (а), МS_ЧП (б), МS_НБС (в)


Множини елементів, відмови яких призводять до переходів системи в інші групи станів, залежить від того, у якому стані або у якій групі станів перебуває система в цей момент. Тоді для кожної із груп станів МS_ПС, МS_ЧП, МS_НБС відповідно до формул (5.3-5.5) будують відповідні моделі – ССН або їхні аналоги:

а) для станів МS_ПС:

1) структурні схеми надійності (ССН), утворені елементами підмножин E_ПС,ПС (можливе паралельне включення), E_ПС,ЧП, E_ПС,НБС , і E_ПС,НС (послідовне включення);

2) структурна схема живучості (ССЖ), утворена елементами підмножин E_ПС,ПС і E_ПС,ЧП (можливе паралельне включення), E_ПС,НБС, і E_ПС,НС (послідовне включення);

3) структурна схема безпеки (ССБ), утворена елементами підмножин E_ПС,ПС, E_ПС,ЧП, і E_ПС,НБС (можливе паралельне включення) і E_ПС,НС (послідовне включення);

б) для станів MS_ЧП:

1) ССЖ, утворена елементами підмножин Е_ЧП,_ЧП (можливе паралельне включення), Е_ЧП,_НБС і Е_ЧП,_НС (послідовне включення);

2) ССБ, утворена елементами підмножин Е_ЧП,_ЧП і Е_ЧП,_НБС (можливе паралельне включення) і елементами підмножини Е_ПС,_НС (послідовне включення);

в) для станів MS_НБС:

1) ССБ, утворена елементами підмножин Е_НБС,_НБС (можливе паралельне включення), і Е_НБС,_НС (послідовне включення).

Схематично перехід до розроблення ССН, ССЖ і ССБ для різних груп елементів і станів MS_ПС, MS_ЧП, MS_НБС ілюструється на рис. 5.8-5.10 відповідно.

На рис. 5.8, а), б), в), пунктиром показано паралельно включені (резервні) групи елементів або виключені групи елементів у ССН, ССЖ і ССБ, на рис. 5.9, а), б), –групи елементів у ССЖ і ССБ. На рис. 5.10 такі елементи формуються в ССБ із підмножин Е_{НБС,НБС,} Е_НБС і Е_НБС,НС – підмножин тих елементів, які залишилися працездатними після переходу системи зі станів із множини MS_ПС (MS_ЧП) у стани із множин MS_ЧП, MS_НБС. Якщо система має кілька груп частково працездатних станів, вона буде описуватися групою ССЖ, кожна з яких відповідає одному з рівнів деградації системи.




Рисунок 5.8 – Принципи побудови ССН (а), ССЖ (б) і ССБ (в)

(вихідний стан МS_ПС)







5.4.3.3 Таким чином, для того, щоб оцінити надійність, живучість і безпеку системи, необхідно:

а) проаналізувати відмови її елементів, вплив їхніх наслідків на працездатність системи й сформулювати множини станів MS_ПC, MS_ЧП, MS_НБС і M_НС;

б) залежно від наслідків відмов розбити множини елементів Е на підмножини Е_ПC (Е_{ПC, ПC}, Е_ПC,ЧП, Е_ПC,НБС, Е_ПC,НС), Е_ЧП (Е_ЧП,ЧП, Е_ЧП,НБС, Е_ЧП,НС) і Е_НБС (Е_{НБС,НБС}, Е_НБС,НС);

в) побудувати ССН, ССЖ і ССБ для всіх груп станів;

г) одержати відповідно до цих схем формули для обчислення показників надійності, живучості та безпеки аналогічно тому, як це зроблено для ССН.

Найбільш складною із цих задач є виконання першого та другого етапів аналізу. Він може бути виконаний за допомогою методик FME(C)A-аналізу.

5.5 Вимоги до гарантоздатності програмно-технічних комплексів критичного призначення

5.5.1 Гарантоздатність у контексті якості програмного забезпечення та програмно-технічних комплексів. Варіанти профілів гарантоздатності

5.5.1.1 Гарантоздатність є складовою якості програмного забезпечення та ПТК в цілому. Аналіз використання поняття гарантоздатності та її профілі для різних стандартів надано у додатку А.


5.5.2 Загальні вимоги до гарантоздатності

5.5.2.1 Вимоги до гарантоздатності містять вимоги до його окремих показників відповідно до профілю, що визначається призначенням і ступенем критичності ПТК (системи). У загальному випадку гарантоздатність ПЗ ПТК критичного призначення повинна обов’язково включати наступні показники:

– безвідмовність (reliability) – властивість безперервно надавати коректні (необхідні) послуги впродовж заданого часу (напрацювання). Вимоги до цього показника встановлюють згідно з [2, 5, 7];

– живучість (survivability) – властивість мінімізувати зниження працездат-ності та зберігати у прийнятних межах обсяг і якість надаваних послуг за різних відмов, обумовлених у тому числі зовнішніми впливами різної природи. Вимоги до цього показника встановлюють згідно з [8, 9, 10];

– функціональна безпека (functional safety) – властивість включати або мінімізувати шкідливі (включаючи катастрофічні) наслідки у разі відмов для користувачів, інших систем або навколишнього середовища. Вимоги до цього показника встановлюють згідно з [3, 4, 7, 11, 12, 13].

Інші показники гарантоздатності, наведені у моделі гарантоздатності (рисунок 5.1), повинні бути заданими під час формування специфікації або технічного завдання на розроблення ПТК і програмного забезпечення.

5.5.2.2 Вимоги до гарантоздатності вважаються виконаними, якщо виконано вимоги до показників усіх її складових (безвідмовності, живучості, функціональної та інформаційної безпеки тощо), заданих специфікаціями. Оцінювання гарантоздатності повинне здійснюватися за допомогою показників згідно з 5.4 цієї настанови.

5.5.3 Особливості вимог до гарантоздатності різних типів програмно-технічних комплексів критичного призначення

Різні методологічні аспекти гарантоздатності та гарантоздатних систем вимагають деякого уточнення стосовно різних типів ПТК КП.

5.5.3.1 Серед первинних і вторинних властивостей різних типів ПТК КП ключовими повинні бути властивості безвідмовності та функціональної безпеки.

5.5.3.2 Властивості цілісності та конфіденційності, які є частиною інформаційної безпеки, забезпечуються для наземних систем організаційно-технічними методами й найпростішими інформаційними засобами. Однак, з огляду на спектр інформаційних загроз, що розширюється, які можуть бути реалізовані за допомогою дистанційно керованих втручань, спонтанно або цілеспрямовано активізованих апаратно-програмних закладок, оцінюванню цієї складової гарантоздатності необхідно приділяти більшу увагу.

5.5.3.3 Для бортових і наземних програмно-технічних комплексів критичного призначення з особливо високими вимогами до надійності та безпеки, які вимагають різних видів надмірності, у тому числі і версійної, важливою є задача її ефективного введення з урахуванням мінімізування ризиків відмови із загальної причини. Оцінювання та забезпечення ефективності резервування повинні здійснюватися з урахуванням усіх складових гарантоздатності.


5.6 Керівництво з адаптації нормативного документа

5.6.1 Цей підрозділ містить опис процедур, необхідних для використання та застосування цього документа до конкретного проекту ПТК КП для забезпечення його гарантоздатності згідно з вимогами специфікацій.

5.6.2 Мета адаптації – вибір, модифікація, додавання/виділення вимог для досягнення оптимального співвідношення між вимогами до гарантоздатності та досягнутих проектних характеристик. Адаптацію може бути виконано шляхом видалення вимог, обмеження застосовності, завдання нових вимог з урахуванням забезпечення гарантоздатності ПТК КП та конкретних параметрів. Під час виконання адаптації нормативного документа необхідно враховувати вплив технічних, експлуатаційних та організаційних факторів. Крім того, для кожного проекту можуть ураховуватися додаткові фактори.

5.6.3 Технічні фактори, які необхідно враховувати під час виконання адаптації цієї настанови:

– новизна розробки ПТК;

– складність ПТК;

– рівень критичності ПТК;

– обсяг ПЗ;

– наявність вимог до повторного використання ПЗ і ПТК;

– рівень використання готових комерційних компонентів або існуючого ПЗ;

– рівень стабільності вимог користувача.

5.6.4 Експлуатаційні фактори, які необхідно враховувати під час виконання адаптації цієї настанови:

– призначення ПТК відповідно до типу космічних систем або їхніх сегментів (наприклад, безпілотні або пілотовані апарати, пускові установки, корисні вантажі, експерименти);

– кількість потенційних користувачів ПТК;

– критичність ПТК, що вимірюється наслідками його відмов;

– передбачуваний час використання ПТК;

– кількість систем, у яких ПТК буде використовуватися;

– обмеження режимів роботи, технічної підтримки, використання в інших системах і вилучення з використання.

5.6.5 Організаційні фактори, які необхідно враховувати під час виконання адаптації цієї настанови:

– необхідні на розроблення ПТК обсяги робіт і часу;

– необхідні витрати на розроблення та експлуатацію ПТК;

– прийнятний для проекту рівень ризику;

– тип моделі життєвого циклу;

– вимоги графіка поставки ПТК;

– кількість людей, необхідних для розроблення, підтримки та експлуатації ПТК;

– складність організаційної структури підприємства-постачальника;

– фінансові ресурси.

5.6.6 Процес адаптації нормативного документа повинен закінчуватися випуском звіту, який містить характеристики проекту (мотивація адаптації) і адаптаційну таблицю (додаток Б).

5.6.7 Адаптація цієї настанови є повністю завданням замовника. Під час підготовки запрошень на тендер замовник повинен запропонувати адаптовану версію нормативного документа як вказівку застосованого для проекту рівня проектування ПТК КП. Деякі фактори адаптації (такі, як критичність, деталізована складність проектування тощо) стають відомими тільки після підписання контракту і повинні бути уточнені у процесі розроблення. Постачальник теж повинен брати участь у процесі адаптації. Результатом спільних розглядів повинна бути прийнята адаптована версія нормативного документа, яка буде використовуватися під час розроблення ПТК.