列表

详情

阅读以下关于安全关键系统安全性设计技术的描述,回答问题1至问题3。
【说明】
某公司长期从事计算机产品的研制工作,公司领导为了响应国家军民融合的发展战略,决定要积极参与我国军用设备领域的研制工作,将本公司的计算机及软件产品通过提升和改造,应用到军用装备的安全关键系统中。公司为了承担军用产品的研发任务,公司领导将论证工作交给王工负责。王工经调研分析,提交了一份完整论证报告。
【问题1】 (12分)
论证报告指出:我们公司长期从事民用市场的计算机研制工作,在研制流程、管理方法以及环境试验等方面都不能达到军用设备相关技术要求。要承担武器装备生产研制工作,就必须建立公司的武器装备生产研制质量体系,需要拿到军方或政府部门颁发的资格认证。从技术上讲,军用设备产品大部分都属于安全关键系统,其计算机及软件的缺陷会导致武器装备失效,因此,公司技术人员应及早掌握相关安全性基本概念和相关设计知识。
1)企业要承担武器装备产品生产任务,需获得一些资格认证,请列举两种资格认证名称。
2)请说明安全关键系统的定义,并列举出两个安全关键系统的实例设备。
3)请简要说明安全性(safety)的具体含义,并给出产品设计时,安全性分析通常采用哪两种方法?
【问题2】(6分)
IEC 61508 (《电气/电子/可编程电子安全系统的功能要求》)是国际上对安全关键系统规定的一种较完整的安全性等级划分标准,本标准是由国际电工委员会(International Electronic Commission)正式发布的电气和电子部件行业标准(GB/T 20438等同于此标准)。本标准对设备或系统的安全完整性等级(SIL)划分为4个等级(SIL1、SIL2、SIL3、SIL4),SIL4是最高要求。
表3-1给出了本标准对安全功能等级和失效容忍概率的对应关系。请根据自己所掌握的安全功能等级相关知识,补充完善表3-1给出的(1)~(6)空格,并将答案写在答题纸上。
 表3-1 安全功能等级(SIL)和失效容忍概率对照表
                                           
【问题3】(7分)
实时调度是安全关键系统的关键技术。实时调度一般分为动态和静态两种。其中,静态调度是指在离线情况下计算出的任务的可调度性,静态调度必须保证所有任务的时限、资源、优先级和同步的需求。图3-1给出了一组分布式任务执行的优先级关系,请根据图3-1给出任务间的优先级关系实例,按静态调度算法的基本原理,补充完善图3-2给出的任务静态调度搜索树的(1) ~ (10)空白,并给出最佳调度路径。 
                                                               
                                                                                                                           图3-1分布式任务的优先级关系图
                                                   
                                                                                                                          图3-2静态调度搜索树图

参考答案:

【问题1】
1)从事军工科研生产需先获得以下五种认证:
1、国军标质量管理体系认证,简称国军标认证(ISO-9001);
2、武器装备科研生产许可证认证,简称许可证认证;
3、武器装备科研生产单位保密资质认证,简称保密认证;
4、装备承制单位资格审查(装备承制单位资格名录认证和武器装备质量管理体系认证),检测名录认证;
5、军用软件研制能力成熟度模型资格认证,简称软件认证(GJB5000)。

2)安全关键系统是指系统功能一旦失效将引起生命、财产等重大损失以及环境可能遭到严重破坏的系统。
(如果计算机系统的失效可能引起灾难性的后果,如丧失生命、大量财产损失或环境遭到灾难性损失,则这个计算机系统能被称为“安全关键系统”。)
安全关键系统包括: 如战斗机的航空电子系统,火控雷达系统、火车控制系统 、核反应堆系统等。

3)安全性是指系统在发生关键失效状态下,系统可保持不会导致灾难性后果的时间间隔。安全性分析通常采用:故障树(Fault Tree)分析法;失效模式和影响域(FMEA)分析法。

【问题2】
(1)≥10-5 to  < 10-4    (2) ≥  10-9 to  < 10-8    
(3) ≥  10-4 to  < 10-3    (4) ≥  10-3 to  < 10-2
(5) ≥  10-7 to  < 10-6    (6) ≥  10-6 to  < 10-5
【问题3】
(1)T6            (2)T5            (3)T7
(4)M1          (5)T1            (6)T3
(7)T4            (8)M2          (9)T6
(10)T5
最佳调度路径:T0,T2,(M1,T1),(T3,T4),(M2,T6),T5,T7

详细解析:

                                     表1 PFD(按要求的故障概率)/PFH(每小时的危险故障概率)和SIL(整体安全性等级)(IEC61508-1标准,7.6节)

                                    
安全性分析是一种在军用系统研制的初期开始进行的系统性的检查、研究和分析方法,它用于检查军用系统或设备在每种使用模式中的工作状态,确定潜在的危险,预计这些危险对人员伤害或对设备损坏的严重性和可能性,并确定消除或减少危险的方法,以便能够在事故发生之前消除或尽量减少事故发生的可能性或降低事故有害影响的程度。安全性分析主要用于识别危险,以便在生命周期的所有阶段中能够消除或控制这些危险。安全性分析通过实施各种危险分析达到下述目的。
(1)确定军用系统存在的危险,并消除这些危险或降低其风险。
(2)确定现有危险的原因、影响及各种危险的相互关系。
(3)确定军用系统设计中需要采取预防措施或修复措施的部分。
(4)确定军用系统应进行哪些专门的试验以验证其安全性以及确定可能导致事故发生的任何军用系统缺陷。
危险分析方法则包括危险分析类型(工作项目)和分析技术两个方面,分析类型将涉及到在何时、何地及对何种对象进行危险分析,分析技术是指用来支持危险分析的手段和方法。在GJB 900-90中,常用的分析类型包括初步危险分析(PHA)、分系统危险分析(SSHA)、系统危险分析(SHA)等。危险分析技术有很多种,最经常使用的有故障模式影响及危害性分析(FMECA)、故障树分析(FTA)、事件树分析(ETA)、故障危险分析(FHA)、潜通电路分析(SCA)等。
故障树分析(FTA):从一个可能的事故开始,自上而下、一层层的寻找顶事件的直接原因和间接原因事件,直到基本原因事件。
失效模式与影响分析(FMEA):FMEA是在产品设计阶段和过程设计阶段,对构成产品的子系统、零件,对构成过程的各个工序逐一进行分析,找出所有潜在的失效模式,并分析其可能的后果,从而预先采取必要的措施,以提高产品的质量和可靠性的一种系统化的活动。

上一题

© 2025 educity.cn