ФЕДЕРАЛЬНОЕАГЕНТСТВО |
||
НАЦИОНАЛЬНЫЙ СТАНДАРТ российской ФЕДЕРАЦИИ |
ГОСТР МЭК 61508-6- 2007 |
ФУНКЦИОНАЛЬНАЯБЕЗОПАСНОСТЬ
СИСТЕМЭЛЕКТРИЧЕСКИХ,
ЭЛЕКТРОННЫХ, ПРОГРАММИРУЕМЫХ
ЭЛЕКТРОННЫХ, СВЯЗАННЫХ
СБЕЗОПАСНОСТЬЮ
Часть 6
Руководствопоприменению
ГОСТРМЭК 61508-2-2007 иГОСТРМЭК 61508-3-2007
IEC 61508-6:2000
Functional safety of electrical/electronic/programmable electronic safety-related
systems – Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3
(IDT)
Москва Стандартинформ 2008 |
Предисловие
ЦелиипринципыстандартизациивРоссийскойФедерацииустановленыФедеральнымзакономот 27 декабря 2002 г. № 184-ФЗ «Отехническомрегулировании», аправилаприменениянациональныхстандартовРоссийскойФедерации-ГОСТР 1.0-2004«СтандартизациивРоссийскойФедерации. Основные положения»
Сведенияостандарте
1 ПОДГОТОВЛЕНобществомсограниченнойответственностью«Корпоративныеэлектронныесистемы»иТехническимкомитетомпостандартизацииТК 10 «Перспективныепроизводственныетехнологии, менеджментиоценкарисков»наосновесобственногоаутентичногопереводастандарта, указанногов пункте 4
2 ВНЕСЕНУправлениемразвития, информационногообеспеченияиаккредитацииФедеральногоагентствапотехническомурегулированиюиметрологии
3 УТВЕРЖДЕНИВВЕДЕНВДЕЙСТВИЕПриказомФедеральногоагентствапотехническомурегулированиюиметрологииРоссииот 27 декабря 2007 г. № 581-ст
4 НастоящийстандартидентиченмеждународномустандартуМЭК 61508-6:2000 «Функциональная безопасностьсистемэлектрических, электронных, программируемыхэлектронных, связанныхсбезопасностью. Часть 6. РуководствопоприменениюМЭК 61508-2:2000 иМЭК 61508-3:1998» (IEC 61508-6:2000 «Functional safety of electrical/electronic/programmable electronic safety-related systems – Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3).
НаименованиенастоящегостандартаизмененоотносительнонаименованияуказанногомеждународногостандартадляприведениявсоответствиесГОСТР 1.5-2004 (подраздел 3.5).
Приприменениинастоящегостандартарекомендуетсяиспользоватьвместоссылочныхмеждународныхстандартовсоответствующиеимнациональныестандарты, сведенияокоторыхприведенывдополнительномприложенииF
5 ВВЕДЕНВПЕРВЫЕ
Информацияобизмененияхкнастоящемустандартупубликуетсявежегодноиздаваемоминформационномуказателе«Национальныестандарты», атекстизмененийипоправок – вежемесячно издаваемыхинформационныхуказателях«Национальныестандарты». Вслучаепересмотра (замены) илиотменынастоящегостандартасоответствующееуведомлениебудетопубликовановежемесячноиздаваемоминформационномуказателе«Национальныестандарты». Соответствующая информация, уведомлениеитекстыразмещаютсятакжевинформационнойсистемеобщегопользования– наофициальномсайтеФедеральногоагентствапотехническомурегулированиюиметрологиивсетиИнтернет
Содержание
1 Область применения 2 Нормативные ссылки 3 Термины, определения и сокращения Приложение А (справочное)Применение МЭК 61508-2 и МЭК 61508-3 Приложение В (справочное)Метод оценки вероятностей отказа аппаратных средств Приложение С (справочное)Расчет диагностического охвата и доли безопасных отказов Приложение D (справочное)Методика количественного определения влияния отказов аппаратных средств с общей причиной в Е/Е/РЕ системах Приложение Е (справочное)Применение таблиц полноты безопасности программного обеспечения в соответствии с МЭК 61508-3 Приложение F (справочное)Сведения о соответствии ссылочных международных стандартов национальным стандартам Российской Федерации Библиография |
Введение
Системы, состоящиеизэлектрическихи/илиэлектронныхкомпонентов, втечениемногихлетиспользуютсядлявыполненияфункцийбезопасностивбольшинствеобластейприменения. Компьютерные системы [обычноназываемыепрограммируемымиэлектроннымисистемами (PES)], используемыевовсех областяхприменениядлявыполнениязадач, несвязанныхсбезопасностью, вовсевозрастающихмасштабахиспользуютсядлярешениязадачобеспечениябезопасности. Дляэффективнойибезопаснойэксплуатациитехнологий, основанныхнаиспользованиикомпьютерныхсистем, важно, чтобылица, ответственныезапринятиерешений, имеливсвоемраспоряжениипрактическиеруководстваповопросам безопасности.
Настоящийстандартустанавливаетобщийподходквопросамобеспечениябезопасностивсегожизненногоцикласистем, состоящихизэлектрическихи/илиэлектронных, и/илипрограммируемыхэлектронныхкомпонентов [электрических/электронных/ программируемыхэлектронныхсистем (E/E/PES)], используемыхдлявыполненияфункцийбезопасности. Этотунифицированныйподходбылпринятдляразработкирациональнойипоследовательнойтехническойконцепциидлявсехэлектрическихсистем, связанныхс безопасностью. Основнойцельюнастоящегостандартаявляетсясодействиеразработкестандартовдля ихприменениявразличныхпредметныхобластях.
Обычнобезопасностьсистемдостигаетсяиспользованиемвнихнесколькихсистемзащиты, вкоторыхиспользуютсяразличные (напримермеханические, гидравлические, пневматические, электрические, электронные, программируемыеэлектронные) технологии. Следовательно, любаястратегиябезопасности должнаучитыватьнетолькоэлементы, входящиевсоставотдельныхсистем (напримердатчики, управляющиеустройстваиисполнительныемеханизмы), нотакжеиподсистемы, связанныесбезопасностью, входящиевсоставкомбинированнойсистемы, связаннойсбезопасностью. Такимобразом, хотянастоящийстандартвосновномраспространяетсянаэлектрические/электронные/ программируемыеэлектронные (Е/Е/РЕ) системы, связанныесбезопасностью, онможеттакжедатьпредставлениеобобщейструктуре, врамкахкоторойрассматриваютсясистемы, связанныесбезопасностью, основанныенадругихтехнологиях.
ПризнаннымфактомявляетсясуществованиеогромногоразнообразияпримененийE/E/PESвразличныхпредметныхобластях, отличающихсяразнойстепеньюсложности, опасностямиивозможными рисками. Вкаждомконкретномприменениииспользованиенеобходимыхмербезопасностибудетзависетьотмногочисленныхфакторов, специфичныхдляэтогоконкретногоприменения. Настоящийстандарт, являясьбазовым, позволяетформулироватьтакиемерыдлявновьразрабатываемыхмеждународных стандартовдляразличныхпредметныхобластей.
Настоящийстандарт:
– рассматриваетвсесоответствующиеэтапыжизненногоцикласистембезопасностивцелом, атакже подсистемE/E/PESипрограммногообеспечения (начинаясисходнойконцепции, включаяпроектирование, разработку, эксплуатацию, техническоеобслуживаниеивыводизэксплуатации), входекоторых E/E/PESиспользуютсядлявыполненияфункцийбезопасности;
– разработансучетомбыстрогоразвитиятехнологий; егоструктураявляетсядостаточноустойчивой иполнойдляудовлетворенияпотребностейразработок, которыемогутпоявитьсявбудущем;
– делаетвозможнойразработкустандартовобластейприменения, вкоторыхиспользуютсясистемы E/E/PES; разработкастандартовдляобластейпримененияврамкахобщейструктуры, вводимойнастоящимстандартом, должнаприводитькболеевысокомууровнюсогласованности (напримеросновныепринципы, терминологияит. п.) какдляотдельныхобластейприменения, такидляихсовокупности; этодает преимущества, какдлябезопасности, такивсфереэкономики;
– предоставляетметодразработкиспецификацийдлятребованийбезопасности, необходимыхдля достижениятребуемойфункциональнойбезопасностиЕ/Е/РЕсистем, связанныхсбезопасностью;
– используетуровниполнотыбезопасностидлязаданияпланируемогоуровняполнотыбезопасности функций, которыедолжныбытьреализованыЕ/Е/РЕсистемами, связаннымисбезопасностью;
– используетдляопределенияуровнейполнотыбезопасностиподход, основанныйнаоценкерисков;
– устанавливаетколичественныезначенияотказовЕ/Е/РЕсистем, связанныхсбезопасностью, которыесвязанысуровнямиполнотыбезопасности;
– устанавливаетнижнийпределпланируемыхзначенийотказовврежимеопасныхотказов, который можетбытьзадандляотдельнойЕ/Е/РЕсистемы, связаннойсбезопасностью; дляЕ/Е/РЕсистем, связанныхсбезопасностьюработающих:
– врежимеснизкойинтенсивностьюзапросов, нижнийпределдлявыполненияпланируемойфункциипозапросуустанавливаютнасреднейвероятностиотказов 10-5,
– врежимесвысокойинтенсивностьюзапросовнижнийпределустанавливаютнавероятностиопасныхотказов 10-9вчас.
Примечание-КонкретнаяЕ/Е/РЕсистема, связаннаясбезопасностью, необязательнопредполагает одноканальнуюархитектуру;
– применяетширокийнаборпринципов, методовимердлядостиженияфункциональнойбезопасностиЕ/Е/РЕсистем, связанныхсбезопасностью, нонеиспользуетконцепциюбезаварийности, котораяможетиметьважноезначениевслучае, есливидыотказовхорошоопределены, ауровеньсложностиявляетсяотносительноневысоким. Концепциябезаварийностипризнананеподходящейиз-заширокогодиапазонасложностиЕ/Е/РЕсистем, связанныхсбезопасностьюиподпадающихподобластьприменения настоящегостандарта.
НАЦИОНАЛЬНЫЙСТАНДАРТРОССИЙСКОЙФЕДЕРАЦИИ
ФУНКЦИОНАЛЬНАЯБЕЗОПАСНОСТЬСИСТЕМЭЛЕКТРИЧЕСКИХ, Часть 6 Руководствопоприменению Functional safety of electrical, electronic, programmable electronic safety-related systems. |
Датавведения- 2008-09-01
1 Область применения
1.1 Настоящийстандартсодержитинформациюируководящиеуказанияпоприменению МЭК 61508-2 иМЭК 61508-3.
КраткийобзортребованийМЭК 61508-2 иМЭК 61508-3 иопределениефункциональнойпоследовательностиихприменениясодержитсявприложенииА.
ПримерметодикирасчетавероятностиотказааппаратныхсредствсодержитсявприложенииВ, котороеследуетприменятьсовместносМЭК 61508-2 (пункт 7.4.3 иприложениеС) иприложениемDнастоящегостандарта.
ПримеррасчетадиагностическогоохватасодержитсявприложенииС, котороеследуетприменять совместносМЭК 61508-2 (приложениеС).
Методколичественнойоценкивлиянияотказоваппаратныхсредствпообщейпричиненавероятностьотказов-поприложениюD.
Примерыприменениятаблицполнотыбезопасностипрограммногообеспечения, приведенныхв МЭК 61508-3 (приложениеА), дняуровнейполнотыбезопасности 2 и 3 -поприложениюЕ.
1.2 МЭК 61508-1 – МЭК 61508-4 являютсяосновополагающимистандартамипобезопасности, хотя онинеприменяютсявконтекстеЕ/Е/РЕсистем, связанныхбезопасностью, имеющихнебольшуюсложность (см. МЭК 61508-4, пункт 3.4.4). Вкачествеосновополагающихстандартовпобезопасностиданные стандартыпредназначеныдляиспользованиятехническимикомитетамиприподготовкестандартоввсоответствиисРуководствамиМЭК 104:1997 иИСО/МЭК 51:1999. СтандартыМЭК 61508-1 -МЭК 61508-4 предназначенытакжедляиспользованиявкачествесамостоятельныхстандартов.
1.3 Вобязанноститехническогокомитетавходитиспользование (гдеэтовозможно) основополагающихстандартовпобезопасностиприподготовкесобственныхстандартов. Вэтомслучаетребования, методыилиусловияпроверкинастоящегоосновополагающегостандартапобезопасностинебудутприменяться, еслиэтонеуказаноспециально, илибудутвключатьсявстандарты, подготовленныеэтимитехническимикомитетами.
Примечание-ВСШАиКанадедотехпор, покастандартыдляконкретногосектораприменения стандартовМЭК 61508 (напримерМЭК 61511 [1]) небудутопубликованывкачествемеждународныхстандартов СШАиКанады, существующиетамнациональныестандартыпобезопасностивобрабатывающихсекторах, основанныенаМЭК 61508, могутбытьпримененывместоМЭК 61508.
1.4 СтруктуракомплексастандартовМЭК 61508-1 -МЭК 61508-7 суказаниемролиМЭК 61508-6 в достижениифункциональнойбезопасностиЕ/Е/РЕсистем, связанныхсбезопасностью, показананарисунке 1.
Рисунок 1 -Структуранастоящегостандарта
2 Нормативные ссылки
Внастоящемстандартеиспользованынормативныессылкинаследующиемеждународныестандарты:
ИСО/МЭКРуководство 51:1999 Аспектыбезопасности-руководствоповключениювстандарты
МЭКРуководство 104:1997 Руководствопоподготовкестандартовпобезопасностиииспользование базовыхигрупповыхстандартовпобезопасности
ИСО/МЭК 2382-14:1998 Обработкаданных. Словарь. Часть 14. Надежность, удобствосопровожденияиработоспособность
МЭК 61508-1:1998 Функциональнаябезопасностьсистемэлектрических, электронных, программируемыхэлектронных, связанныхсбезопасностью. Часть 1. Общиетребования
МЭК 61508-2:2000 Функциональнаябезопасностьсистемэлектрических, электронных, программируемыхэлектронных, связанныхсбезопасностью. Часть 2. Требованияксистемам
МЭК 61508-3:1998 Функциональнаябезопасностьсистемэлектрических, электронных, программируемыхэлектронных, связанныхсбезопасностью. Часть 3. Требованиякпрограммномуобеспечению
МЭК 61508-4:1998 Функциональнаябезопасностьсистемэлектрических, электронных, программируемыхэлектронных, связанныхсбезопасностью. Часть 4. Определенияисокращения
МЭК 61508-5:1998 Функциональнаябезопасностьсистемэлектрических, электронных, программируемыхэлектронных, связанныхсбезопасностью. Часть 5. Примерыметодовдляопределенияуровней полнотыбезопасности
МЭК 61508-7:2000 Функциональнаябезопасностьсистемэлектрических, электронных, программируемыхэлектронных, связанныхсбезопасностью. Часть 7. Анализметодовисредств
3 Термины, определения и сокращения
Внастоящемстандартеиспользуютсятермины, определенияисокращенияпоМЭК 61508-4.
Приложение А
(справочное)
Применение МЭК 61508-2 и МЭК 61508-3
А.1 Общие положения
Конкретныемеханизм, технологическаяустановка, атакжедругоеоборудованиемогутвслучаенеправильнойработы (напримеротказэлектромеханических, электронныхи/илипрограммируемыхэлектронныхустройств) представлятьопасностьдлялюдейиокружающейсредыиз-завозникновенияопасныхсобытий (напримерпожары, взрывы, избыточнаярадиация, попаданиевмеханизмыит.д.). Аварииоборудованиямогутвозникатьпо причинефизическихотказовустройств (неожиданныеаварииоборудования), либосистематическихотказов (ошибкичеловекавтехническихусловияхиконструкцииконкретнойсистемыприопределеннойкомбинациипричин приводятксистематическимотказам), либонекоторыхвнешнихусловий.
Общийподход, основанныйнаоценкерисков, дляпредотвращенияи/иликонтроляотказоввэлектромеханических, электронныхилипрограммируемыхэлектронныхустройствахсодержитсявМЭК 61508-1.
Основнаязадачанастоящегостандартазаключаетсявобеспечениибезопаснойавтоматизацииустановок иоборудования, аегоосновнаяцельсостоитвпредотвращении:
– отказовсистемуправления, инициирующихдругиесобытия, которые, всвоюочередь, могутпривестик опасности (напримерутечкатоксичныхматериалов, повторяющиесяударымеханизмовит.д.) и
– необнаруженныхотказовсистемзащиты (например, всистемахаварийнойостановки), делающихэти системынедоступнымивмоментнеобходимостидействий, связанныхсбезопасностью.
Требованиепроведенияанализаопасностиирискадляпроцесса/механизма, чтобыопределитьстепень сниженияриска, необходимуюдляудовлетворениякритериямоценкирискадляприложения, см. вМЭК 61508-1. Оценкарискаосновананаоценкекакпоследствий (илисерьезности), такичастоты (иливероятности) опасного события.
Требованиеиспользованиястепенисниженияриска, определеннойвпроцессеанализа, длярешенияо том, требуетсялиоднаилинесколькосистем, связанныхсбезопасностью1), идлявыполнениякакихфункций обеспечениябезопасности (каждаясзаданнойполнотойбезопасности2)) требуютсяэтисистемы, содержитсяв МЭК 61508-1.
ВМЭК 61508-2 иМЭК 61508-3 рассматриваютсятребованиякфункциямбезопасностииполнотебезопасности, установленныевМЭК 61508-1, длялюбойЕ/Е/РЕсистемы, связаннойсбезопасностью, атакжеустанавливаютсятребованиякжизненномуциклубезопасности, которые:
– применяютсяприразработкетехническогозадания, проектированиииизмененииаппаратныхсредстви программногообеспечения, атакже
– фокусируютсянасредствахпредотвращенияи/иликонтроляслучайныхотказоваппаратныхсредстви систематическихотказов (жизненныециклыбезопасностиE/E/PESипрограммногообеспечения3)).
МЭК 61508-2 иМЭК 61508-3 несодержатуказаний, какойуровеньполнотыбезопасностисоответствует заданномутребуемомуприемлемомуриску. Эторешениезависитотмногихфакторов, включаяхарактерприменения, степеньвыполненияфункцийбезопасностидругимисистемами, атакжесоциальныеиэкономические факторы (см. МЭК 61508-1 иМЭК 61508-5).
ТребованияМЭК 61508-2 иМЭК 61508-3 включаютвсебя:
– применениеметодов4)исредств, классифицированныхвсоответствиисуровнемполнотыбезопасности, чтобыизбежатьсистематическихотказов5)спомощьюпланово-предупредительныхмер, и
– управлениесистематическимиотказами (включаяотказыпрограммногообеспечения) ислучайнымиотказамиаппаратныхсредствспомощьюконструктивныхособенностей, такихкаквстроенныесредстваобнаружения повреждений, избыточностьиособенностиархитектуры (напримердиверсификация).
1)Системы, необходимыедляобеспеченияфункциональнойбезопасностиисодержащиеодноилинесколькоэлектрических (электромеханических), электронныхилипрограммируемыхэлектронных (Е/Е/РЕ) устройств, называютсясистемамиЕ/Е/РЕ, связаннымисбезопасностью, ивключаютвсебявсеоборудование, необходимое дляреализациитребуемойфункциибезопасности (см. МЭК 61508-4, пункт 3.4.1).
2)Уровеньполнотыбезопасностиопределяетсякакодинизчетырехдискретныхуровней. Уровеньполноты безопасности 4 являетсянаивысшим, ауровеньполнотыбезопасности 1 -самымнизшим (см. МЭК 61508-1, подпункт 7.6.2.9).
3)Чтобысделатьвозможнойчеткуюструктуризациютребованийнастоящегостандарта, былоприняторешениеупорядочитьтребованияспомощьюмоделипроцессаразработки, вкоторойвсеэтапыследуютвчеткой последовательностиснебольшимшагом (ееиногданазываютпотоковоймоделью). Однакоследуетподчеркнуть, чтоможетбытьиспользованлюбойэквивалентныйподходкописаниюжизненногоциклаприусловии, чтовплане обеспечениябезопасностипроектабудутописаныэквивалентныеположения (см. МЭК 61508-1, раздел 6).
4)ТребуемыеметодыисредствадлякаждогоуровняполнотыбезопасностипредставленывМЭК 61508-2 (таблицыприложенийАиВ) иМЭК 61508-3.
5)Систематическиеотказыобычнонельзяопределитьколичественно. Причинамиотказовбывают: ошибки приспецификацииипроектированиитехническихсредствипрограммногообеспечения; ошибкиприучетеусловийокружающейсреды (например, температуры) иошибкивпроцессеработы (напримерслабыйинтерфейс).
ВМЭК 61508-2 гарантиятого, чтонужныйуровеньполнотыбезопасностибудетудовлетворительнымдля опасныхслучайныхотказоваппаратныхсредств, основываетсяна:
– требованияхкотказоустойчивостиаппаратуры (см. МЭК 61508-2, таблицы 2 и 3) и
– диагностическомохватеичастотеконтрольныхиспытанийподсистемикомпонентспроведениеманализанадежности, использующегосоответствующиеданные.
ВМЭК 61508-2 иМЭК 61508-3 гарантиятого, чтонужныйуровеньполнотыбезопасностибудетудовлетворительнымдлясистематическихотказов, достигаетсяпутем:
– правильногопримененияпроцедуруправлениябезопасностью;
– использованиякомпетентногоперсонала;
– выполненияпредусмотренныхдействийпореализациижизненногоциклаобеспечениябезопасности, включаяпредусмотренныеметодыисредства6)и
– независимойоценкифункциональнойбезопасности7).
Главнаяцельсостоитвобеспечениитого, чтооставшиесясистематическиеотказы, соответствующиеуровнюполнотыбезопасности, неприведуткотказуЕ/Е/РЕсистемы, связаннойсбезопасностью.
МЭК 61508-2 былразработан, чтобыформализоватьтребованиякобеспечениюполнотыбезопасности аппаратныхсредств8)Е/Е/РЕсистем, связанныхсбезопасностью, включаядатчикииоконечныеэлементы. Необходимыметодыисредства, направленныепротивкакслучайных, такисистематическихотказоваппаратных средств. Они, какуказановыше, включаютвсебясоответствующуюкомбинациюсредствпопредотвращениюнеисправностейиуправлениюотказами. Еслидляобеспеченияфункциональнойбезопасностинеобходимыдействияоператора, топриводятсятребованиякинтерфейсуоператора. ВМЭК 61508-2 дляобнаруженияслучайных отказоваппаратныхсредствтакжеопределяютсяметодыисредствадиагностическоготестирования, реализуемыенауровнепрограммногообеспеченияиаппаратныхсредств (напримердиверсификация).
6)Средства, альтернативныеописаннымвнастоящемстандарте, можноиспользоватьприусловии, чтопри планированииобеспечениябезопасностидокументируютсяоправдывающиеобстоятельства (см. МЭК 61508-1, раздел 6).
7)Независимаяоценканевсегдаподразумеваетпроведениеоценкитретьейстороной (см. МЭК 61508-1, раздел 8).
8)Включаяпостоянноевстроенноепрограммноеобеспечениеилиэквивалентыпрограммногообеспечения (такженазываемыепрограммно-аппаратнымисредствами), напримерспециализированныеинтегральные схемы.
МЭК 61508-3 былразработан, чтобыформализоватьтребованияобеспеченияполнотыбезопасностидля программногообеспечения, каквстроенного (включаядиагностическиесредстваобнаружениянеисправностей), такиприкладного. МЭК 61508-3 требуетиспользоватькомбинированныйподход, включающийисключениеошибок (обеспечениекачества) иустойчивостькошибкам (засчетархитектурыпрограммногообеспечения), таккакне существуетизвестногоспособапроверитьотсутствиеотказоввдостаточносложномпрограммномобеспечении, связанномсбезопасностью, и, особенно, избежатьошибоквтехническихусловияхивпроекте. МЭК 61508-3 требуетпринятиятакихпринциповразработкипрограммногообеспечения, какпроектированиесверхувниз, модульность, проверкунакаждойстадиижизненногоцикларазработки, проверкупрограммныхмодулейибиблиотекпрограммныхмодулей, атакжечеткоедокументированиедляоблегченияконтроляипроверки. Дляразличныхуровнейпрограммногообеспечениятребуютсяразличныеуровнигарантиитого, чтоэтиисвязанныесними принципыбылиправильнореализованы.
Разработчикпрограммногообеспеченияможетбытьилинебытьчастьюорганизации, создающейвсю E/E/PES. Влюбомслучаенеобходимотесноесотрудничество, особенноприразработкеархитектурыпрограммируемойэлектроники, когдатребуетсяанализироватькомпромиссымеждуархитектурамиаппаратныхсредстви программногообеспечениянапредметихвкладавобеспечениебезопасности (см. МЭК 61508-2, рисунок 4).
А.2 ФункциональныеэтапыпримененияМЭК 61508-2
ФункциональныеэтапыпримененияМЭК 61508-2 представленывнастоящемприложении, рисункиА.1и А.2. ФункциональныеэтапыпримененияМЭК 61508-3 представленынарисункеА.3.
ДляМЭК 61508-2 можновыделитьследующиефункциональныеэтапы (см. приложениеА, рисункиА.1и А.2):
a) Определяютраспределениетребованийбезопасности (МЭК 61508-1). ПринеобходимостимодернизируютпланированиебезопасностивпроцессеразработкиE/E/PES.
b) ОпределяюттребованиябезопасностидляE/E/PES, включаятребованиякполнотебезопасности, длякаждойфункциибезопасности (МЭК 61508-2, подраздел 7.2). Определяюттребованиякпрограммному обеспечениюипередаютихпоставщикуи/илиразработчикупрограммногообеспечениядляприменения МЭК 61508-3.
Примечание-Наэтойстадиинеобходиморассмотретьвозможностьодновременныхотказовв системеуправленияEUCиЕ/Е/РЕсистеме (системах), связаннойсбезопасностью, (см. МЭК 61508-1, подпункт 7.5.2.4). Такиеотказымогутбытьрезультатомотказовкомпонентовпообщейпричине, например, из-завлияния окружающейсреды. Наличиеподобныхотказовможетпривестикбольшимпосравнениюсожидаемымзначениямостаточногориска.
c) НачинаютпланированиеподтверждениясоответствиябезопасностиE/E/PES (см. МЭК 61508-2, подраздел 7.3).
d) Задаютархитектуру (конфигурацию) логическойподсистемы, датчиковиоконечныхэлементов. Вместес поставщиком/разработчикомпрограммногообеспеченияанализируютархитектуруаппаратныхсредств, программногообеспеченияивлияниенабезопасностькомпромиссовмеждуаппаратнымисредствамиипрограммным обеспечением (см. МЭК 61508-2, рисунок 4). Принеобходимостианализповторяют.
e) РазрабатываютмодельархитектурыаппаратныхсредствдляЕ/Е/РЕсистемы, связаннойсбезопасностью. Этумодельразрабатывают, проверяяотдельнокаждуюфункциюбезопасности, иопределяютподсистему (компонент), используемуюдляреализацииэтойфункции.
f) Устанавливаютпараметрыдлякаждойподсистемы (компонента), используемойвЕ/Е/РЕсистеме, связаннойсбезопасностью. Длякаждойподсистемы (компонента) определяют:
– временнойинтервалпроведенияпроцедуртестированиядляотказов, которыенеобнаруживаютсяавтоматически;
– среднеевремявосстановления;
– диагностическийохват (см. МЭК 61508-2, приложениеС);
– вероятностьотказаи
– долюбезопасныхотказов (см. МЭК 61508-2, приложениеС).
g) Определяютархитектурныеограничения (см. МЭК 61508-2, таблицы 2 и 3).
h) Создаютмодельрасчетанадежностидлякаждойфункциибезопасности, которуюдолжнареализовать Е/Е/РЕсистема, связаннуюсбезопасностью.
Примечание-Модельрасчетанадежностипредставляетсобойматематическуюформулу, показывающуювзаимосвязьмеждунадежностьюисоответствующимипараметрами, связаннымисоборудованиемиусловиямиегоиспользования.
i) Рассчитываютпрогнозируемуюнадежностьдлякаждойфункциибезопасности, используясоответствующуюметодику. Сравниваютрезультатсзаданнымихарактеристикамиотказов, определеннымивперечислении b), итребованиямивсоответствиисМЭК 61508-2, подпункт 7.4.3.1, таблицы 2 и 3. Еслипрогнозируемаянадежностьнесоответствуетзаданнымхарактеристикамотказови/илитребованиямМЭК 61508-2, таблицы 2 и 3, то изменяют:
– есливозможно, одинилинесколькопараметровподсистемы [возвращаютсякперечислениюf)] и/или
– архитектуруаппаратныхсредств [возвращаютсякперечислениюd)].
Примечание-Существуетмножествометодовмоделирования, ианалитикдолженвыбратьнаиболее соответствующий (переченьнекоторыхметодов, которыемогутбытьиспользованы, приведенвМЭК 61508-2, подпункт 7.4.3.2.2, перечислениеh), примечание 4).
j) РеализуютпроектЕ/Е/РЕсистемы, связаннойсбезопасностью. Выбираютсредстваиметодыдляуправлениясистематическимиотказамиаппаратныхсредств, отказами, вызваннымивлияниемокружающейсреды, и эксплуатационнымиотказами (см. МЭК 61508-2, приложениеА).
k) Загружаютпроверенноепрограммноеобеспечение (см. МЭК 61508-3) всоответствующиеаппаратные средства (см. МЭК 61508-2, подраздел 7.5 иприложениеВ) ипараллельноразрабатываютрабочиеинструкции дляпользователейидокументациюдляобслуживающегоперсоналапоэксплуатациисистемы (см. МЭК 61508-2, подраздел 7.6 иприложениеВ). Учитываютаспекты, связанныеспрограммнымобеспечением (см. пунктА.3, перечислениеf)).
l) Вместесразработчикомпрограммногообеспечения (см. МЭК 61508-3, подраздел 7.7) проводятподтверждениесоответствияE/E/PES (см. МЭК 61508-2, подраздел 7.7 иприложениеВ).
m) ПередаютаппаратныесредстваирезультатыподтверждениясоответствиябезопасностиE/E/PESсистемныминженерамдлядальнейшейинтеграциивкомплекснуюсистему.
n) ЕсливпроцессеэксплуатацииE/E/PESтребуетсямодернизация/обслуживание, топринеобходимости сноваобращаютсякМЭК 61508-2, подраздел 7.8.
ВпроцессежизненногоциклабезопасностиE/E/PESвыполняетсямножестворазличныхдействий. Среди нихверификация (см. МЭК 61508-2, подраздел 7.9) иоценкафункциональнойбезопасности (см. МЭК 61508-1, раздел 8).
ВпроцессевыполненияприведенныхвышедействийвыбираютметодыисредствадляобеспечениябезопасностиE/E/PES, соответствующиетребуемомууровнюполнотыбезопасности. Дляпомощисвыборомтаких методовисредствсоставленытаблицы, упорядочивающиеразличныеметоды/средствавсоответствиисчетырьмяуровнямиполнотыбезопасности (см. МЭК 61508-2, приложениеВ). Краткийобзоркаждогоизметодови средствсоссылкаминаисточникиинформациионих, включаяперекрестныессылкинаэтитаблицы, представленвМЭК 61508-7, приложенияАиВ.
ОдинизвозможныхметодоврасчетавероятностейотказааппаратныхсредствдляЕ/Е/РЕсистем, связанныхсбезопасностью, представленвприложенииВ.
Примечание-Привыполненииприведенныхвышедействийдопускаетсяприменятьсредства, альтернативныеуказаннымвнастоящемстандартеприусловии, чтооправдывающиеобстоятельствадокументируютсявпроцессепланированиябезопасности (см. МЭК 61508-1, раздел 6).
Примечание-ВсистемахРЕдляпрограммногообеспечениявыполняютсяаналогичныедействия (см. рисунокА.3).
РисунокА.1 -ФункциональныеэтапыпримененияМЭК 61508-2
Примечание-ВсистемахРЕдляпрограммногообеспечениявыполняютсяаналогичныедействия (см. рисунокА.3).
РисунокА.2 -ФункциональныеэтапыпримененияМЭК 61508-2 (продолжение)
А.3 Функциональные этапы применения МЭК 61508-3
МожновыделитьследующиефункциональныеэтапыпримененияМЭК 61508-3 (см. рисунокА.3):
a) ОпределяюттребованиядлясистемЕ/Е/РЕ, связанныхсбезопасностью, исоответствующихкомпонент планированиябезопасности (см. МЭК 61508-2, подраздел 7.3). Принеобходимостимодернизируютпланированиебезопасностивпроцессеразработкипрограммногообеспечения.
Примечание-Напредыдущихстадияхжизненногоциклабыли:
– определенытребуемыефункциибезопасностиисоответствующиеимуровниполнотыбезопасности (см. МЭК 61508-1, подразделы 7.4 и 7.5);
– распределеныфункциибезопасностидляназначенныхсистемЕ/Е/РЕ, связанныхсбезопасностью (см. МЭК 61508-1, подраздел 7.6) и
– распределеныреализуемыепрограммнофункциивнутрикаждойсистемыЕ/Е/РЕ, связаннойсбезопасностью (см. МЭК 61508-2, подраздел 7.2).
b) Определяютархитектурупрограммногообеспечениядлявсехреализуемыхпрограммнофункцийбезопасности (см. МЭК 61508-3, подраздел 7.4 иприложениеА).
c) Вместеспоставщиком/разработчикомE/E/PESанализируютархитектуруаппаратныхсредствипрограммногообеспеченияивлияниенабезопасностькомпромиссовмеждуаппаратнымисредствамиипрограммным обеспечением (см. МЭК 61508-2, рисунок 4). Принеобходимостианализповторяют.
d) Приступаюткпланированиюпроверкииподтверждениясоответствиябезопасностипрограммногообеспечения (см. МЭК 61508-3, подразделы 7.3 и 7.9).
e) Проектируют, разрабатываютипроверяют/тестируютпрограммноеобеспечениевсоответствиис:
– планированиембезопасностипрограммногообеспечения;
– уровнемполнотыбезопасностипрограммногообеспечения;
– жизненнымцикломбезопасностипрограммногообеспечения.
f) Завершаютдействияпоокончательнойпроверкепрограммногообеспеченияиинтегрируютпроверенное программноеобеспечениевсоответствующиеаппаратныесредства (см. МЭК 61508-3, подраздел 7.5) ипараллельноразрабатываютрабочиеинструкциидляпользователейиинструкциипоэксплуатациидляобслуживающегоперсоналасистемыпрограммногообеспечения (см. МЭК 61508-3, подраздел 7.6 иприложениеА, подраздел А.2, атакжеперечислениеk) настоящегостандарта).
g) Вместесразработчикомаппаратныхсредств (см. МЭК 61508-2, подраздел 7.7) проводятподтверждение соответствиябезопасностипрограммногообеспечениявинтегрированныхсистемахЕ/Е/РЕ, связанныхсбезопасностью (см. МЭК 61508-3, подраздел 7.7).
h) Передаютрезультатыподтверждениясоответствиябезопасностипрограммногообеспечениясистемныминженерамдлядальнейшейинтеграциивкомплекснуюсистему.
i) ЕсливпроцессеэксплуатациипотребуетсямодернизацияпрограммногообеспеченияE/E/PES, топринеобходимостисновавозвращаютсяксоответствующейстадии, какописановМЭК 61508-3, подраздел 7.8.
Впроцессежизненногоциклабезопасностипрограммногообеспечениявыполняютмножестворазличных действий. Втомчислепроверку (см. МЭК 61508-3, подраздел 7.9) иоценкуфункциональнойбезопасности (см. МЭК 61508-3, раздел 8).
Впроцессевыполненияприведенныхвышеэтаповвыбираютсредстваиметодыобеспечениябезопасностипрограммногообеспечения, соответствующиетребуемойполнотебезопасности. Дляпомощиввыборетаких методовисредствсоставленытаблицы, упорядочивающиеразличныеметоды/средствавсоответствиисчетырьмяуровнямиполнотыбезопасности (см. МЭК 61508-3, приложениеА). Обзоркаждогоизметодовисредствсо ссылкаминаисточникиинформациионих, включаяперекрестныессылкинаэтитаблицы, представленв МЭК 61508-7, приложениеС.
ПримерыприменениятаблицполнотыбезопасностиприведенывприложенииЕнастоящегостандарта, аМЭК 61508-7 включаетвсебяописаниевероятностногоподходакопределениюполнотыбезопасности программногообеспечениядляужеразработанногопрограммногообеспечения (см. МЭК 61508-7, приложениеD).
Примечание-Привыполненииприведенныхвышедействийдопускаетсяприменятьсредства, альтернативныеуказаннымвнастоящемстандартеприусловии, чтооправдывающиеобстоятельствадокументируютсявпроцессепланированиябезопасности (см. МЭК 61508-1, раздел 6).
РисунокА.3-ФункциональныеэтапыпримененияМЭК 61508-3
Приложение В
(справочное)
Метод оценки вероятностей отказа аппаратных средств
В.1 Общие положения
НастоящееприложениесодержитодинизметодоврасчетавероятностейотказадляЕ/Е/РЕсистем, связанныхсбезопасностью, установленныхвсоответствиисМЭК 61508-1 – МЭК 61508-3. Методнедолженрассматриватьсявкачествеединственновозможного. Однаковданномметодереализуетсяотносительнопростой подходкоценкехарактеристикЕ/Е/РЕсистем, связанныхсбезопасностью.
СуществуютразличныеметодыанализауровнябезопасностиаппаратныхсредствЕ/Е/РЕсистем, связанныхсбезопасностью. Наиболеераспространеннымиметодамиявляютсяметодблок-схемнадежности (см. МЭК 61508-7, приложениеС, пунктС.6.5) иметод, основанныйнамарковскихмоделях (см. МЭК 61508-7, приложение С, пунктС.6.4). Обаметодаприправильномприменениидаютаналогичныерезультаты, новслучаесложных программируемыхэлектронныхподсистем (например, приперекрестномголосованиипонесколькимканалами автоматическомтестировании) методблок-схемнадежностидаетнекоторуюпотерюточностипосравнениюс методом, основаннымнамарковскихмоделях.
ПрирассмотренииЕ/Е/РЕсистемы, связаннойсбезопасностью, вцеломэтапотеряточностиможетбыть незначительной, еслиучитываетсяточностьданныхонадежности, используемыхприанализе. Например, основнаяпотеряточностиприанализеуровнябезопасностиаппаратныхсредствдляЕ/Е/РЕсистем, связанныхс безопасностью, зависитотприборовдляизмеренияполей. Имеетлизначениепотеряточности, можноопределитьтолькодляконкретныхусловий. Вслучаесложныхпрограммируемыхэлектронныхподсистемрезультаты оценкиполнотыбезопасностиаппаратурыметодомблок-схемнадежностиболеепессимистичны, чемметодом, основаннымнамарковскихмоделях (т.е. методблок-схемнадежностидаетбольшуювероятностьотказа). В настоящемприложенииприменяетсяметодблок-схемнадежности.
ЕслиотказсистемыуправленияEUCинициируетобращениекЕ/Е/РЕсистеме, связаннойсбезопасностью, товероятностьвозникновенияопасногособытиязависиттакжеиотвероятностиотказасистемыуправления EUC. ВэтойситуациинеобходиморассмотретьвозможностьодновременногоотказакомпонентовсистемыуправленияEUCиЕ/Е/РЕсистемы, связаннойсбезопасностью, из-замеханизмовотказапообщейпричине. При неправильноманализеналичиеподобныхотказовможетпривестикбольшим, посравнениюсожидаемым, значениямостаточногориска.
РасчетывероятностейотказааппаратныхсредствЕ/Е/РЕсистем, связанныхсбезопасностью, основываютсянаследующихпредположениях:
– значениерезультирующейсреднейвероятностиотказавыполненияфункциибезопасностидляподсистемыменьше 10-1илизначениерезультирующейвероятностиотказавчасдляподсистемыменьше 10-5;
– частотаотказовкомпонентпостояннавтечениестадийжизнисистемы;
– подсистемадатчиков (подсистемаввода) состоитизреальногодатчика(ов) илюбыхдругихкомпоненти соединительныхпроводов, вплотьдокомпоненты (компонент), ноее (их) невключая, гдесигналывпервыеобъединяютсяспомощьюпроцедурыголосованияилидругойпроцедуры (например, конфигурацияканаловиздвух датчиков, представленнаянарисункеВ.1настоящегоприложения);
– логическаяподсистемавключаетвсебякомпоненту (компоненты), вкоторой(ых) сигналывначалеобъединяются, ивседругиекомпоненты, вплотьдотехкомпонентвключительно, откударезультирующийсигнал(ы) передается(ются) подсистемеоконечныхэлементов;
– подсистемаоконечныхэлементов (подсистемавывода) включаетвсебякомпонентыисоединения, которыеобрабатываютконечныйсигнал(ы), получаемый(ые) отлогическойподсистемы, включаяоконечныйисполнительныйкомпонент(ы);
– частотыотказоваппаратныхсредств, используемыевкачествевходныхданныхдлярасчетовитаблиц, задаютсядляодногоканалаподсистемы (например, прииспользовании датчиковввидеархитектуры 2оо3частотаотказовзадаетсядляодногодатчика, авлияниеархитектуры 2оо3рассчитываетсядополнительно);
– частотыотказовидиагностическийохватодинаковыдлявсехканаловвархитектуреподсистемы;
– общаячастотаотказоваппаратныхсредствканалаподсистемыявляетсясуммойчастотыопасныхичастотыбезопасныхотказовдляданногоканала, которыеполагаютравными.
Примечание-Этопредположениевлияетнадолюбезопасныхотказов (см. МЭК 61508-2, приложение С), нодолябезопасныхотказовневлияетнарассчитанныезначениявероятностиотказа, приведенныевнастоящемприложении.
– длякаждойфункциибезопасностисуществуютидеальныесредстватестированияиустраненияотказов (т.е. всеотказы, оставшиесянеобнаруженными, обнаруживаютсяпритестировании), влияниенеидеальноготестированиявсоответствиисприложениемВ, пунктВ.2.5;
– интервалвременимеждутестовымииспытаниямидолженбыть, покрайнеймере, напорядокбольше, чем продолжительностьдиагностическоготестирования;
– длякаждойподсистемысуществуетединыйинтервалвременимеждутестовымииспытаниямиисреднее времявосстановления.
Примечание-Среднеевремявосстановлениявключаетвсебявремя, необходимоедляобнаружения отказавсоответствиисМЭК 61508-2, подпункт 7.4.3.2.2, перечислениеg), примечание. Внастоящемприложении предполагаемоезначениесреднеговременивосстановленияодинаковоекакдляобнаруженных, такинеобнаруженныхотказовивключаетвсебядлительностьдиагностическоготестирования, анеинтервалмеждутестовыми испытаниями. Длянеобнаруженныхотказовсреднеевремявосстановления, используемоеврасчетах, недолжновключатьвсебядлительностьдиагностическоготестирования, атаккаксреднеевремявосстановлениявсегда добавляетсяквременномуинтервалумеждутестовымииспытаниями, который, покрайнеймере, напорядок большедлительностидиагностическоготестирования, тоошибкабудетнезначительной;
– восстановитьработоспособноесостояниесистемы, нарушенноепослевозникновениявсехизвестных отказов, могутнесколькоремонтныхкоманд;
– ожидаемыйинтервалмеждузапросаминавыполнениефункциибезопасностидолженбыть, покрайней мере, напорядокбольшесреднеговременивосстановления;
– длявсехподсистем, работающихврежименизкойинтенсивностизапросов, идляархитектур 1оо2, 1oo2Dи 2оо3, работающихврежимевысокойинтенсивностизапросовинепрерывномрежиме, доляотказов, заданная диагностическимохватом, обнаруживаетсяиустраняетсязасреднеевремявосстановления, приведенноевтребованияхкполнотебезопасностиаппаратныхсредств.
Пример–Еслипредполагаемоесреднеевремявосстановленияравно 8 ч, тооновключаетвсебя длительностьдиагностическоготестирования, котороеобычнонепревышает 1 ч, аоставшаясячасть среднеговременивосстановления–этодействительноевремяремонта.
Примечание-Дляканальныхархитектур 1оо2, 1oo2Dи 2оо3 предполагаетсявыполнениелюбого ремонтавоперативномрежиме. ЕсликонфигурацияЕ/Е/РЕсистемы, связаннойсбезопасностью, прилюбом обнаруживаемомотказеобеспечиваетпереходEUCвбезопасноесостояние, тоэтоуменьшаетсреднюювероятностьотказавобслуживании. Степеньуменьшениявероятностизависитотдиагностическогопокрытия;
– дляканальныхархитектур 1оо1 и 2оо2, работающихврежимевысокойинтенсивностизапросовилинепрерывномрежиме, системаЕ/Е/РЕ, связаннаясбезопасностью, всегдапереходитвбезопасноесостояниепосле обнаруженияопасногоотказа; дляэтогоожидаемыйинтервалвременимеждузапросами, покрайнеймере, долженбытьнапорядокбольшевременногоинтерваладиагностическоготестированияилисуммавременных интерваловдиагностическоготестированияивременныхинтерваловпереходавбезопасноесостояниедолжна бытьменьше, чемвремябезопаснойработы.
Примечание-ВремябезопаснойработыопределяетсявМЭК 61508-2, подпункт 7.4.3.2.5 какинтервал временимеждуотказомEUCилисистемыуправленияEUC (спотенциальнойвозможностьювызватьопасное событие) ивозникновениемопасногособытия, еслифункциябезопасностиневыполнена;
РисунокВ.1 -Примерконфигурациидлядвухканаловдатчиков
– еслиотказисточникапитанияприводиткобесточиваниюЕ/Е/РЕсистемы, связаннойсбезопасностью, и инициируетпереходсистемывбезопасноесостояние, тоисточникпитанияневлияетнасреднюювероятность отказапозапросудляЕ/Е/РЕсистемы, связаннойсбезопасностью; еслидляпереходавбезопасноесостояние насистемуподаетсяпитаниеилиуисточникапитаниясуществуютрежимыотказов, которыемогутприводитьк небезопаснойработеЕ/Е/РЕсистемы, связаннойсбезопасностью, тооценкадолжнаучитыватьисточникпитания;
– еслииспользуетсятерминальныйканал, тоонограничиваетсятолькотойчастьюрассматриваемойсистемы, которойобычноявляютсялибодатчик, либологическаяподсистема, либоподсистемаоконечныхэлементов;
– параметрыиихобозначенияпредставленывтаблицеВ.1.
ТаблицаВ.1 -Параметры, используемыевнастоящемприложении, идиапазоныихзначений (применяется кархитектурам 1оо1, 1оо2, 2оо2, 1oo2Dи 2оо3)
Обозначение |
Параметр, единица измерения |
Диапазон параметров в соответствии с таблицами |
T1 |
Интервал времени между процедурами тестирования, ч |
Один месяц (730 ч)1). |
MTTR |
Среднее время восстановления, ч |
8 |
DC |
Диагностическое покрытие, дробь (в формулах), % (в остальных случаях) |
0 %; |
β |
Доля необнаруженных отказов по общей причине (в таблицах В.2 – В.5 и В.10 – В.13 предполагается (β = 2 × βD), дробь (в формулах), % (в остальных случаях) |
2 %; |
βD |
Доля отказов, обнаруженных диагностическими тестами и имеющих общую причину (в таблицах В.2 – В.5 и В.10 – В.13 предполагается (β = 2 × βD), дробь (в формулах), % (в остальных случаях) |
1 %; |
λ |
Интенсивность отказов для канала подсистемы, отказ/ч |
0,1 × 10-6; 0,5 × 10-6; |
PFDG |
Средняя вероятность отказа по запросу для группы голосующих каналов (если подсистема датчиков, логическая подсистема или подсистема оконечных элементов входит в состав только одной голосующей группы, то PFDGэквивалентна PFDS, PFDLили PFDFEсоответственно) |
– |
PFDS |
Средняя вероятность отказа по запросу для подсистемы датчиков |
– |
PFDL |
Средняя вероятность отказа по запросу для логической подсистемы |
– |
PFDFE |
Средняя вероятность отказа по запросу для подсистемы оконечных элементов |
– |
PFDSYS |
Средняя вероятность отказа по запросу для функции безопасности Е/Е/РЕ системы, связанной с безопасностью |
– |
PFHG |
Вероятность отказа для группы голосующих каналов (если подсистема датчиков, логическая подсистема или подсистема оконечных элементов входит в состав только одной голосующей группы, то PFHGэквивалентна PFHS, PFHLили PFHFEсоответственно), отказ/ч |
– |
PFHS |
Вероятность отказа для подсистемы датчиков, отказ/ч |
– |
PFHL |
Вероятность отказа для логической подсистемы, отказ/ч |
– |
PFHFE |
Вероятность отказа для подсистемы оконечных элементов, отказ/ч |
– |
PFHSYS |
Вероятность отказа для функции безопасности Е/Е/РЕ системы, связанной с безопасностью, отказ/ч |
– |
λD |
Интенсивность опасных отказов для канала подсистемы, равная 0,5 × λ (в предположении 50 % опасных отказов и 50 % безопасных отказов), отказ/ч |
– |
λDD |
Интенсивность обнаруженных опасных отказов для канала подсистемы (это сумма всех интенсивностей обнаруженных опасных отказов для канала подсистемы), отказ/ч |
– |
λDU |
Интенсивность необнаруженных опасных отказов для канала подсистемы (это сумма всех интенсивностей необнаруженных опасных отказов для канала подсистемы), отказ/ч |
– |
λSD |
Интенсивность обнаруженных безопасных отказов для канала подсистемы (это сумма всех интенсивностей обнаруженных безопасных отказов для канала подсистемы), отказ/ч |
– |
tCE |
Эквивалентное среднее время простоя канала для архитектур 1оо1, 1оо2, 2оо2 и 2оо3 (это объединенное время простоя для всех компонентов канала подсистемы), ч |
– |
tGE |
Эквивалентное среднее время простоя голосующей группы для архитектур 1оо1, 1оо2, 2оо2 и 2оо3 (это объединенное время простоя для всех каналов в голосующей группе), ч |
– |
tСЕ‘ |
Эквивалентное среднее время простоя канала для архитектуры 1oo2D(это объединенное время простоя для всех компонентов канала подсистемы), ч |
– |
tGE‘ |
Эквивалентное среднее время простоя голосующей группы для архитектуры 1oo2D (это суммарное время простоя для всех каналов в голосующей группе), ч |
– |
Т2 |
Интервал времени между запросами, ч |
– |
1) Только режим высокой интенсивности запросов и непрерывный режим. 2) Только режим низкой интенсивности запросов. |
В.2 Средняявероятностьотказапозапросу (длярежиманизкойинтенсивностизапросов)
В.2.1 Процедура расчета
СреднюювероятностьотказавобслуживаниифункциибезопасностидляЕ/Е/РЕсистемы, связаннойс безопасностью, определяютвычислениемисуммированиемсреднейвероятностиотказавобслуживаниидля всехподсистем, совокупностькоторыхобеспечиваетфункциюбезопасности. Таккакрассматриваемыевнастоящемприложениивероятностиневелики, тосредняявероятностьотказапозапросудляфункциибезопасности Е/Е/РЕсистемы (см. рисунокВ.2), связаннойсбезопасностью, PFDSYSможетбытьвычисленапоформуле
PFDSYS= PFDS + PFDL + PFDFE,
где
PFDS-средняявероятностьотказапозапросудляподсистемыдатчиков;
PFDL-средняявероятностьотказапозапросудлялогическойподсистемы;
PFDFE-средняявероятностьотказапозапросудляподсистемыоконечныхэлементов.
РисунокВ.2 -СтруктураподсистемЕ/Е/РЕсистемы, связаннойсбезопасностью
Дляопределениясреднейвероятностиотказапозапросудлякаждойизподсистемнеобходимострого придерживатьсяследующейпроцедурыдлякаждойподсистемы:
a) Рисуютструктурнуюсхему, изображающуюкомпонентыподсистемыдатчиков (подсистемыввода), компонентылогическойподсистемыиликомпонентыподсистемыоконечныхэлементов (подсистемывывода). Компонентамиподсистемыдатчиков, например, могутбытьдатчики, защитныеэкраны, входныесогласующиецепи; компонентамилогическойподсистемы-процессорыисканеры; акомпонентамиподсистемыоконечныхэлементов-выходныесогласующиецепи, экраныиисполнительныемеханизмы. Представляюткаждуюподсистему какоднулибоболееголосующихгрупп 1оо1, 1оо2, 2оо2, 1oo2Dили 2оо3.
b) ПрименяютсоответствующиетаблицыВ.2 – В.5, вкоторыхприведенышестимесячные, годовые, двухлетниеи 10-летниеинтервалымеждупроцедурамитестирования. Данныетаблицыпредполагают, чтосреднеевремявосстановлениядлялюбогоотказапослеегообнаруженияравно 8 ч.
c) ДлякаждойголосующейгруппывподсистемевыбираютизтаблицВ.2 – В.5:
– архитектуру (например 2оо3);
– диагностическийохватдлякаждогоканала (например 60 %);
– интенсивностьотказов (вчас) λдлякаждогоканала (например 5.0Е-06);
– β-факторыотказасобщейпричинойβиβDдлявзаимосвязимеждуканаламиврассматриваемойархитектуре (например 2 % и 1 % соответственно).
Примечания
1 Предполагается, чтовсеканалывголосующейгруппеимеютодинаковыедиагностическиепокрытияи интенсивностиотказов (см. подразделВ.1).
2 ВтаблицахВ.2 – В.5 (см. такжетаблицыВ.10 – В.13) предполагается, чтоβ-факторвотсутствиедиагностическихтестов (такжеприменяемыйдлянеобнаруженныхопасныхотказовприиспользованиидиагностическихтестов) βв 2 разабольшеβ-факторадляотказов, обнаруживаемыхдиагностическимитестами, βD.
d) ПолучаютизтаблицВ.2 – В.5среднюювероятностьотказавобслуживаниидляголосующейгруппы.
e) Еслифункциябезопасностизависитотнесколькихголосующихгруппдатчиковилиисполнительныхмеханизмов, тосовокупнуюсреднюювероятностьотказавобслуживаниидляподсистемыдатчиковилиподсистемы оконечныхэлементовPFDSилиPFDFEзадаютследующимиформулами:
где
PFDGiиPFDGj-средниевероятностиотказавобслуживаниидлякаждогоизголосующейгруппыдатчикаили оконечногоэлемента, соответственно.
В.2.2 Архитектуры для режима низкой интенсивности запросов
Примечания
1 Внастоящемпунктесправедливыедлянесколькихархитектурформулывыводяттам, гдеонивстречаются впервые.
2 Формулынастоящегопунктасправедливыдляпредположений, перечисленныхвВ.1.
В.2.2.1 Архитектура 1оо1
Даннаяархитектурапредполагаетиспользованиеодногоканала, илюбойопасныйотказприводиткнарушениюфункциибезопасностипривозникновениизапросанаеевыполнение.
НарисункахВ.3иВ.4 представленыструктурнаясхемаисхемарасчетанадежности. Интенсивностьдля каналаλDзадаетсяформулой
РисунокВ.3-Структурнаясхема архитектуры 1оо1
РисунокВ.4 -Схемарасчетанадежностиархитектуры 1оо1
НарисункеВ.4 показано, чтоканалможнорассматриватькаксостоящийиздвухкомпонентов, одногос интенсивностьюопасныхотказовλDU, обусловленнойнеобнаруженнымиотказами, адругогосинтенсивностью опасныхотказовλDD, обусловленнойобнаруженнымиотказами. Эквивалентноесреднеевремяпростояканала tCEможнорассчитать, суммируявременапростоядлядвухкомпонентов, tC1иtC2, прямопропорциональновкладу каждогокомпонентаввероятностьотказаканала:
ДлякаждойархитектурыинтенсивностьнеобнаруженныхопасныхотказовλDUиинтенсивностьнеобнаруженныхопасныхотказовλDDзадаютсякак
СреднюювероятностьотказавыполненияфункциибезопасностиканалаPFDвтечениевременипростоя tCEопределяютизвыражения
таккакλDtCE‹‹1.
Следовательно, средняявероятностьотказапозапросудляархитектуры 1оо1 PFDGравна
PFDG = (λDU+ λDD) tCE.
В.2.2.2 Архитектура 1оо2
Даннаяархитектурапредставляетсобойдваканала, соединенныхпараллельно, такчтолюбойизканалов можетвыполнитьфункциюбезопасности. Следовательно, длянарушенияфункциибезопасностиопасныеотказыдолжнывозникнутьвобоихканалах. Предполагается, чтолюбоедиагностическоетестированиетолькосообщаетонайденныхсбояхинеможетизменитьнивыходныесостоянияканалов, нирезультатголосования.
РисунокВ.5 -Структурнаясхемаархитектуры 1оо2
РисунокВ.6 -Схемарасчетанадежностиархитектуры 1оо2
Структурнаясхемаисхемарасчетанадежностиархитектуры 1оо2 приведенынарисункахВ.5 иВ.6. ЗначениеtCEвычисляютвсоответствиисВ.2.2.1, нонеобходимовычислитьтакжеиэквивалентноевремяпростоя системыtGEпоформуле
Дляданнойархитектуры 1оо1 средняявероятностьотказапозапросуPFDGравна
В.2.2.3 Архитектура 2оо2
Даннаяархитектурапредставляетсобойдваканала, соединенныхпараллельно, идлявыполненияфункциибезопасностинеобходимаработаобоихканалов. Предполагается, чтолюбоедиагностическоетестирование толькосообщаетонайденныхсбояхинеможетизменитьнивыходныесостоянияканалов, нирезультатголосования.
Структурнаясхемаисхемарасчетанадежностиархитектуры 2оо2 представленынарисункахВ.7 иВ.8.
РисунокВ.7 -Структурнаясхемаархитектуры 2оо2
РисунокВ.8 -Схемарасчетанадежностиархитектуры 2оо2
ЗначениеtCEвычисляютвсоответствиисВ.2.2.1, асредняявероятностьотказапозапросуPFDGдляданной архитектурыдолжнабытьравна
PFDG= 2λDtCE.
В.2.2.4 Архитектура 1oo2D
Даннаяархитектурапредставляетсобойдваканала, соединенныхпараллельно. Принормальнойработе длявыполненияфункциибезопасностинеобходимыобаканала. Крометого, еслидиагностическоетестирование обнаруживаетотказвлюбомканале, торезультатыанализаустанавливаютсятак, чтобыобщеевыходноесостояниесовпадалосрезультатом, выдаваемымдругимканалом. Еслидиагностическоетестированиеобнаруживает отказывобоихканалахилинесоответствиемеждуними, причинакоторогонеможетбытьидентифицирована, то выходнойсигналпереводитсистемувбезопасноесостояние. Дляобнаружениянесоответствиямеждуканалами каждыйканалможетопределятьсостояниедругогоканаланезависящимотдругогоканаласпособом.
Структурнаясхемаисхемарасчетанадежностиархитектуры 1oo2DпредставленынарисункахВ.9 и В.10.
РисунокВ.9 -Структурнаясхемаархитектуры 1оо2D
РисунокВ.10 -Схемарасчетанадежностиархитектуры 1оо2D
ДлякаждогоканалаинтенсивностьобнаруженныхбезопасныхотказовλSDопределяюткак
Значенияэквивалентногосреднеговременипростояотличаютсяотзначений, приведенныхдлядругих архитектурвВ.2.2, ипоэтомуихобозначаюткакtCE‘ и tGE‘. Этизначенияопределяюткак
СредняявероятностьотказапозапросуPFDGдляданнойархитектурыравна
B.2.2.5 Архитектура 2оо3
Даннаяархитектурасостоитизтрехканалов, соединенныхпараллельносмажорированиемвыходных сигналовтак, чтовыходноесостояниенеменяется, еслирезультат, выдаваемыйоднимизканалов, отличаетсяот результата, выдаваемогодвумядругимиканалами.
Предполагается, чтолюбоедиагностическоетестированиетолькофиксируетнайденныесбоиинеможет изменитьнивыходныесостоянияканалов, нирезультатголосования.
Структурнаясхемаисхемарасчетанадежностиархитектуры 2оо3 представленынарисункахВ.11 иВ.12.
РисунокВ.11 -Структурнаясхемаархитектуры 2оо3
РисунокВ.12 -Схемарасчетанадежностиархитектуры 2оо3
ЗначениеtCEвычисляютпоВ.2.2.1, азначениеtGE-поВ.2.2.2. Средняявероятностьотказапозапросу PFDGдляданнойархитектурыравна
В.2.3 Подробные таблицы для режима низкой интенсивности запросов
ТаблицаВ.2 -Средняявероятностьотказапозапросувтечениешестимесячногоинтерваламежду контрольнымипроверкамиприсреднемвремениремонта 8 ч
Архитектура |
DC |
λ = 1.0Е-07 |
λ= 5.0Е-07 |
λ = 1.0Е-06 |
||||||
β = 2 % |
β = 10 % |
β = 20 % |
β = 2 % |
β = 10 % |
β = 20 % |
β = 2 % |
β = 10 % |
β = 20 % |
||
1оо1 (см. |
0 % |
1.1Е-04 |
5.5Е-04 |
1.1Е-03 |
||||||
60 % |
4.4Е-05 |
2.2Е-04 |
4.4Е-04 |
|||||||
90 % |
1.1Е-05 |
5.7Е-05 |
1.1 Е-04 |
|||||||
99 % |
1.5Е-06 |
7.5Е-06 |
1.5Е-05 |
|||||||
1оо2 |
0 % |
2.2Е-06 |
1.1Е-05 |
2.2Е-05 |
1.1Е-05 |
5.5Е-05 |
1.1Е-04 |
2.4Е-05 |
1.1Е-04 |
2.2Е-04 |
60 % |
8.8Е-07 |
4.4Е-06 |
8.8Е-06 |
4.5Е-06 |
2.2Е-05 |
4.4Е-05 |
9.1Е-06 |
4.4Е-05 |
8.8Е-05 |
|
90 % |
2.2Е-07 |
1.1Е-06 |
2.2Е-06 |
1.1Е-06 |
5.6Е-06 |
1.1Е-05 |
2.3Е-06 |
1.1Е-05 |
2.2Е-05 |
|
99 % |
2.6Е-08 |
1.3Е-07 |
2.6Е-07 |
1.3Е-07 |
6.5Е-07 |
1.3Е-06 |
2.6Е-07 |
1.3Е-06 |
2.6Е-06 |
|
2оо2 (см. |
0 % |
2.2Е-04 |
1.1Е-03 |
2.2Е-03 |
||||||
60 % |
8.8Е-05 |
4.4Е-04 |
8.8Е-04 |
|||||||
90 % |
2.3Е-05 |
1.1 Е-04 |
2.3Е-04 |
|||||||
99 % |
3.0Е-06 |
1.5Е-05 |
3.0Е-05 |
|||||||
1oo2D |
0 % |
2.2Е-06 |
1.1 Е-05 |
2.2Е-05 |
1.1Е-05 |
5.5Е-05 |
1.1Е-04 |
2.4Е-05 |
1.1Е-04 |
2.2Е-04 |
60 % |
8.8Е-07 |
4.4Е-06 |
8.8Е-06 |
4.4Е-06 |
2.2Е-05 |
4.4Е-05 |
8.9Е-06 |
4.4Е-05 |
8.8Е-05 |
|
90 % |
2.2Е-07 |
1.1Е-06 |
2.2Е-06 |
1.1Е-06 |
5.6Е-06 |
1.1Е-05 |
2.2Е-06 |
1.1Е-05 |
2.2Е-05 |
|
99 % |
2.6Е-08 |
1.3Е-07 |
2.6Е-07 |
1.3Е-07 |
6.5Е-07 |
1.3Е-06 |
2.6Е-07 |
1.3Е-06 |
2.6Е-06 |
|
2оо3 |
0 % |
2.2Е-06 |
1.1Е-05 |
2.2Е-05 |
1.2Е-05 |
5.6Е-05 |
1.1Е-04 |
2.7Е-05 |
1.1Е-04 |
2.2Е-04 |
60 % |
8.9Е-07 |
4.4Е-06 |
8.8Е-06 |
4.6Е-06 |
2.2Е-05 |
4.4Е-05 |
9.6Е-06 |
4.5Е-05 |
8.9Е-05 |
|
90 % |
2.2Е-07 |
1.1Е-06 |
2.2Е-06 |
1.1Е-06 |
5.6Е-06 |
1.1Е-05 |
2.3Е-06 |
1.1Е-05 |
2.2Е-05 |
|
99 % |
2.6Е-08 |
1.3Е-07 |
2.6Е-07 |
1.3Е-07 |
6.5Е-07 |
1.3Е-06 |
2.6Е-07 |
1.3Е-06 |
2.6Е-06 |
ПродолжениетаблицыВ.2
Архитектура |
DC |
λ= 5.0Е-06 |
λ = 1.0Е-05 |
λ= 5.0Е-05 |
||||||
β = 2 % |
β = 10 % |
β = 20 % |
β = 2 % |
β = 10 % |
β = 20 % |
β = 2 % |
β = 10 % |
β = 20 % |
||
1оо1 (см. |
0 % |
5.5Е-03 |
1.1Е-02 |
5.5Е-02 |
||||||
60 % |
2.2Е-03 |
4.4Е-03 |
2.2Е-02 |
|||||||
90 % |
5.7Е-04 |
1.1Е-03 |
5.7Е-03 |
|||||||
99 % |
7.5Е-05 |
1.5Е-04 |
7.5Е-04 |
|||||||
1оо2 |
0 % |
1.5Е-04 |
5.8Е-04 |
1.1Е-03 |
3.7Е-04 |
1.2Е-03 |
2.3Е-03 |
5.0Е-03 |
8.8Е-03 |
1.4Е-02 |
60 % |
5.0Е-05 |
2.3Е-04 |
4.5Е-04 |
1.1Е-04 |
4.6Е-04 |
9.0Е-04 |
1.1Е-03 |
2.8Е-03 |
4.9Е-03 |
|
90 % |
1.2Е-05 |
5.6Е-05 |
1.1Е-04 |
2.4Е-05 |
1.1Е-04 |
2.2Е-04 |
1.5Е-04 |
6.0Е-04 |
1.2Е-03 |
|
99 % |
1.3Е-06 |
6.5Е-06 |
1.3Е-05 |
2.6Е-06 |
1.3Е-05 |
2.6Е-05 |
1.4Е-05 |
6.6Е-05 |
1.3Е-04 |
|
2оо2 (см. |
0 % |
1.1Е-02 |
2.2Е-02 |
> 1Е-01 |
||||||
60 % |
4.4Е-03 |
8.8Е-03 |
4.4Е-02 |
|||||||
90 % |
1.1Е-03 |
2.3Е-03 |
1.1Е-02 |
|||||||
99 % |
1.5Е-04 |
3.0Е-04 |
1.5Е-03 |
|||||||
1oo2D |
0 % |
1.5Е-04 |
5.8Е-04 |
1.1Е-03 |
3.7Е-04 |
1.2Е-03 |
2.3Е-03 |
5.0Е-03 |
8.8Е-03 |
1.4Е-02 |
60 % |
4.6Е-05 |
2.2Е-04 |
4.4Е-04 |
9.5Е-05 |
4.5Е-04 |
8.9Е-04 |
6.0Е-04 |
2.3Е-03 |
4.5Е-03 |
|
90 % |
1.1Е-05 |
5.6Е-05 |
1.1Е-04 |
2.2Е-05 |
1.1Е-04 |
2.2Е-04 |
1.1Е-04 |
5.6Е-04 |
1.1Е-03 |
|
99 % |
1.3Е-06 |
6.5Е-06 |
1.3Е-05 |
2.6Е-06 |
1.3Е-05 |
2.6Е-05 |
1.3Е-05 |
6.5Е-05 |
1.3Е-04 |
|
2оо3 |
0 % |
2.3Е-04 |
6.5Е-04 |
1.2Е-03 |
6.8Е-04 |
1.5Е-03 |
2.5Е-03 |
1.3Е-02 |
1.5Е-02 |
1.9Е-02 |
60 % |
6.3Е-05 |
2.4Е-04 |
4.6Е-04 |
1.6Е-04 |
5.1Е-04 |
9.4Е-04 |
2.3Е-03 |
3.9Е-03 |
5.9Е-03 |
|
90 % |
1.2Е-05 |
5.7Е-05 |
1.1Е-04 |
2.7Е-05 |
1.2Е-04 |
2.3Е-04 |
2.4Е-04 |
6.8Е-04 |
1.2Е-03 |
|
99 % |
1.3Е-06 |
6.5Е-06 |
1.3Е-05 |
2.7Е-06 |
1.3Е-05 |
2.6Е-05 |
1.5Е-05 |
6.7Е-05 |
1.3Е-04 |
|
Примечания 1 В настоящей таблице приведены примеры значений PFDG, рассчитанные по формулам в соответствии с В.2.2 и с учетом предположений, перечисленных в В.1. Если подсистема датчиков, логическая подсистема или подсистема оконечных элементов входит в состав только одной голосующей группы, то PFDGэквивалентна PFDS, PFDLили PFDFEсоответственно (см. В.2.1). 2 В настоящей таблице предполагается, что β = 2βD. Для архитектур 1оо1 и 2оо2 значения β и βDне влияют на среднюю вероятность отказа. |
ТаблицаВ.3-Средняявероятностьотказапозапросудляодногодичногоинтерваламеждуконтрольными испытаниямиисреднеговремениремонта 8 ч
Архитектура |
DC |
λ = 1.0Е-07 |
λ= 5.0Е-07 |
λ = 1.0Е-06 |
||||||
β = 2 % |
β = 10 % |
β = 20 % |
β = 2 % |
β = 10 % |
β = 20 % |
β = 2 % |
β = 10 % |
β = 20 % |
||
1оо1 (см. |
0 % |
2.2Е-04 |
1.1Е-03 |
2.2Е-03 |
||||||
60 % |
8.8Е-05 |
4.4Е-04 |
8.8Е-04 |
|||||||
90 % |
2.2Е-05 |
1.1Е-04 |
2.2Е-04 |
|||||||
99 % |
2.6Е-06 |
1.3Е-05 |
2.6Е-05 |
|||||||
1оо2 |
0 % |
4.4Е-06 |
2.2Е-05 |
4.4Е-05 |
2.3Е-05 |
1.1Е-04 |
2.2Е-04 |
5.0Е-05 |
2.2Е-04 |
4.4Е-04 |
60 % |
1.8Е-06 |
8.8Е-06 |
1.8Е-05 |
9.0Е-06 |
4.4Е-05 |
8.8Е-05 |
1.9Е-05 |
8.9Е-05 |
1.8Е-04 |
|
90 % |
4.4Е-07 |
2.2Е-06 |
4.4Е-06 |
2.2Е-06 |
1.1Е-05 |
2.2Е-05 |
4.5Е-06 |
2.2Е-05 |
4.4Е-05 |
|
99 % |
4.8Е-08 |
2.4Е-07 |
4.8Е-07 |
2.4Е-07 |
1.2Е-06 |
2.4Е-06 |
4.8Е-07 |
2.4Е-06 |
4.8Е-06 |
|
2оо2 (см. |
0 % |
4.4Е-04 |
2.2Е-03 |
4.4Е-03 |
||||||
60 % |
1.8Е-04 |
8.8Е-04 |
1.8Е-03 |
|||||||
90 % |
4.5Е-05 |
2.2Е-04 |
4.5Е-04 |
|||||||
99 % |
5.2Е-06 |
2.6Е-05 |
5.2Е-05 |
|||||||
1oo2D |
0 % |
4.4Е-06 |
2.2Е-05 |
4.4Е-05 |
2.3Е-05 |
1.1Е-04 |
2.2Е-04 |
5.0Е-05 |
2.2Е-04 |
4.4Е-04 |
60 % |
1.8Е-06 |
8.8Е-06 |
1.8Е-05 |
8.9Е-06 |
4.4Е-05 |
8.8Е-05 |
1.8Е-05 |
8.8Е-05 |
1.8Е-04 |
|
90 % |
4.4Е-07 |
2.2Е-06 |
4.4Е-06 |
2.2Е-06 |
1.1Е-05 |
2.2Е-05 |
4.4Е-06 |
2.2Е-05 |
4.4Е-05 |
|
99 % |
4.8Е-08 |
2.4Е-07 |
4.8Е-07 |
2.4Е-07 |
1.2Е-06 |
2.4Е-06 |
4.8Е-07 |
2.4Е-06 |
4.8Е-06 |
|
2оо3 |
0 % |
4.6Е-06 |
2.2Е-05 |
4.4Е-05 |
2.7Е-05 |
1.1Е-04 |
2.2Е-04 |
6.2Е-05 |
2.4Е-04 |
4.5Е-04 |
60 % |
1.8Е-06 |
8.8Е-06 |
1.8Е-05 |
9.5Е-06 |
4.5Е-05 |
8.8Е-05 |
2.1Е-05 |
9.1Е-05 |
1.8Е-04 |
|
90 % |
4.4Е-07 |
2.2Е-06 |
4.4Е-06 |
2.3Е-06 |
1.1Е-05 |
2.2Е-05 |
4.6Е-06 |
2.2Е-05 |
4.4Е-05 |
|
99 % |
4.8Е-08 |
2.4Е-07 |
4.8Е-07 |
2.4Е-07 |
1.2Е-06 |
2.4Е-06 |
4.8Е-07 |
2.4Е-06 |
4.8Е-06 |
ОкончаниетаблицыВ.3
Архитектура |
DC |
λ= 5.0Е-06 |
λ = 1.0Е-05 |
λ= 5.0Е-05 |
||||||
β = 2 % |
β = 10 % |
β = 20 % |
β = 2 % |
β = 10 % |
β = 20 % |
β = 2 % |
β = 10 % |
β = 20 % |
||
1001 (см. |
0 % |
1.1Е-02 |
2.2Е-02 |
> 1Е-01 |
||||||
60 % |
4.4Е-03 |
8.8Е-03 |
4.4Е-02 |
|||||||
90 % |
1.1Е-03 |
2.2Е-03 |
1.1Е-02 |
|||||||
99 % |
1.3Е-04 |
2.6Е-04 |
1.3Е-03 |
|||||||
1оо2 |
0 % |
3.7Е-04 |
1.2Е-03 |
2.3Е-03 |
1.1Е-03 |
2.7Е-03 |
4.8Е-03 |
1.8Е-02 |
2.4Е-02 |
3.2Е-02 |
60 % |
1.1Е-04 |
4.6Е-04 |
9.0Е-04 |
2.8Е-04 |
9.7Е-04 |
1.8Е-03 |
3.4Е-03 |
6.6Е-03 |
1.1Е-02 |
|
90 % |
2.4Е-05 |
1.1Е-04 |
2.2Е-04 |
5.1Е-05 |
2.3Е-04 |
4.5Е-04 |
3.8Е-04 |
1.3Е-03 |
2.3Е-03 |
|
99 % |
2.4Е-06 |
1.2Е-05 |
2.4Е-05 |
4.9Е-06 |
2.4Е-05 |
4.8Е-05 |
2.6Е-05 |
1.2Е-04 |
2.4Е-04 |
|
2оо2 (см. |
0 % |
2.2Е-02 |
4.4Е-02 |
> 1Е-01 |
||||||
60 % |
8.8Е-03 |
1.8Е-02 |
8.8Е-02 |
|||||||
90 % |
2.2Е-03 |
4.5Е-03 |
2.2Е-02 |
|||||||
99 % |
2.6Е-04 |
5.2Е-04 |
2.6Е-03 |
|||||||
1oo2D |
0 % |
3.7Е-04 |
1.2Е-03 |
2.3Е-03 |
1.1Е-03 |
2.7Е-03 |
4.8Е-03 |
1.8Е-02 |
2.4Е-02 |
3.2Е-02 |
60 % |
9.4Е-05 |
4.5Е-04 |
8.8Е-04 |
2.0Е-04 |
9.0Е-04 |
1.8Е-03 |
1.5Е-03 |
5.0Е-03 |
9.3Е-03 |
|
90 % |
2.2Е-05 |
1.1Е-04 |
2.2Е-04 |
4.5Е-05 |
2.2Е-04 |
4.4Е-04 |
2.3Е-04 |
1.1Е-03 |
2.2Е-03 |
|
99 % |
2.4Е-06 |
1.2Е-05 |
2.4Е-05 |
4.8Е-06 |
2.4Е-05 |
4.8Е-05 |
2.4Е-05 |
1.2Е-04 |
2.4Е-04 |
|
2оо3 |
0 % |
6.8Е-04 |
1.5Е-03 |
2.5Е-03 |
2.3Е-03 |
3.8Е-03 |
5.6Е-03 |
4.8Е-02 |
5.0Е-02 |
5.3Е-02 |
60 % |
1.6Е-04 |
5.1Е-04 |
9.4Е-04 |
4.8Е-04 |
1.1Е-03 |
2.0Е-03 |
8.4Е-03 |
1.1Е-02 |
1.5Е-02 |
|
90 % |
2.7Е-05 |
1.2Е-04 |
2.3Е-04 |
6.4Е-05 |
2.4Е-04 |
4.6Е-04 |
7.1Е-04 |
1.6Е-03 |
2.6Е-03 |
|
99 % |
2.5Е-06 |
1.2Е-05 |
2.4Е-05 |
5.1Е-06 |
2.4Е-05 |
4.8Е-05 |
3.1Е-05 |
1.3Е-04 |
2.5Е-04 |
|
Примечания 1 В настоящей таблице приведены примеры значений PFDG, рассчитанные по формулам в соответствии с В.2.2 и с учетом предположений, перечисленных в В.1. Если подсистема датчиков, логическая подсистема или подсистема оконечных элементов входит в состав только одной голосующей группы, то PFDGэквивалентна PFDS, PFDLили PFDFEсоответственно (см . В.2.1). 2 В настоящей таблице предполагается, что β = 2 βD. Для архитектур 1оо1 и 2оо2 значения β и βDне влияют на среднюю вероятность отказа. |
ТаблицаВ.4 -Средняявероятностьотказапозапросудлядвухлетнегоинтерваламеждуконтрольными испытаниямиисреднеговремениремонта 8 ч
Архитектура |
DC |
λ = 1.0Е-07 |
λ= 5.0Е-07 |
λ = 1.0Е-06 |
||||||
β = 2 % |
β = 10 % |
β = 20 % |
β = 2 % |
β = 10 % |
β = 20 % |
β = 2 % |
β = 10 % |
β = 20 % |
||
1оо1 (см. |
0 % |
4.4Е-04 |
2.2Е-03 |
4.4Е-03 |
||||||
60 % |
1.8Е-04 |
8.8Е-04 |
1.8Е-03 |
|||||||
90 % |
4.4Е-05 |
2.2Е-04 |
4.4Е-04 |
|||||||
99 % |
4.8Е-06 |
2.4Е-05 |
4.8Е-05 |
|||||||
1оо2 |
0 % |
9.0Е-06 |
4.4Е-05 |
8.8Е-05 |
5.0Е-05 |
2.2Е-04 |
4.4Е-04 |
1.1Е-04 |
4.6Е-04 |
8.9Е-04 |
60 % |
3.5Е-06 |
1.8Е-05 |
3.5Е-05 |
1.9Е-05 |
8.9Е-05 |
1.8Е-04 |
3.9Е-05 |
1.8Е-04 |
3.5Е-04 |
|
90 % |
8.8Е-07 |
4.4Е-06 |
8.8Е-06 |
4.5Е-06 |
2.2Е-05 |
4.4Е-05 |
9.1Е-06 |
4.4Е-05 |
8.8Е-05 |
|
99 % |
9.2Е-08 |
4.6Е-07 |
9.2Е-07 |
4.6Е-07 |
2.3Е-06 |
4.6Е-06 |
9.2Е-07 |
4.6Е-06 |
9.2Е-06 |
|
2оо2 (см. |
0 % |
8.8Е-04 |
4.4Е-03 |
8.8Е-03 |
||||||
60 % |
3.5Е-04 |
1.8Е-03 |
3.5Е-03 |
|||||||
90 % |
8.8Е-05 |
4.4Е-04 |
8.8Е-04 |
|||||||
99 % |
9.6Е-06 |
4.8Е-05 |
9.6Е-05 |
|||||||
1oo2D |
0 % |
9.0Е-06 |
4.4Е-05 |
8.8Е-05 |
5.0Е-05 |
2.2Е-04 |
4.4Е-04 |
1.1Е-04 |
4.6Е-04 |
8.9Е-04 |
60 % |
3.5Е-06 |
1.8Е-05 |
3.5Е-05 |
1.8Е-05 |
8.8Е-05 |
1.8Е-04 |
3.6Е-05 |
1.8Е-04 |
3.5Е-04 |
|
90 % |
8.8Е-07 |
4.4Е-06 |
8.8Е-06 |
4.4Е-06 |
2.2Е-05 |
4.4Е-05 |
8.8Е-06 |
4.4Е-05 |
8.8Е-05 |
|
99 % |
9.2Е-08 |
4.6Е-07 |
9.2Е-07 |
4.6Е-07 |
2.3Е-06 |
4.6Е-06 |
9.2Е-07 |
4.6Е-06 |
9.2Е-06 |
|
2оо3 |
0 % |
9.5Е-06 |
4.4Е-05 |
8.8Е-05 |
6.2Е-05 |
2.3Е-04 |
4.5Е-04 |
1.6Е-04 |
5.0Е-04 |
9.3Е-04 |
60 % |
3.6Е-06 |
1.8Е-05 |
3.5Е-05 |
2.1Е-05 |
9.0Е-05 |
1.8Е-04 |
4.7Е-05 |
1.9Е-04 |
3.6Е-04 |
|
90 % |
8.9Е-07 |
4.4Е-06 |
8.8Е-06 |
4.6Е-06 |
2.2Е-05 |
4.4Е-05 |
9.6Е-06 |
4.5Е-05 |
8.9Е-05 |
|
99 % |
9.2Е-08 |
4.6Е-07 |
9.2Е-07 |
4.6Е-07 |
2.3Е-06 |
4.6Е-06 |
9.3Е-07 |
4.6Е-06 |
9.2Е-06 |
Окончание таблицы В.4
Архитектура |
DC |
λ = 5.0Е-06 |
λ = 1.0Е-05 |
λ = 5.0Е-05 |
||||||
β = 2 % |
β = 10 % |
β = 20 % |
β = 2 % |
β = 10 % |
β = 20 % |
β = 2 % |
β = 10 % |
β = 20 % |
||
1оо1 (см. |
0 % |
2.2Е-02 |
4.4Е-02 |
> 1Е-01 |
||||||
60 % |
8.8Е-03 |
1.8Е-02 |
8.8Е-02 |
|||||||
90 % |
2.2Е-03 |
4.4Е-03 |
2.2Е-02 |
|||||||
99 % |
2.4Е-04 |
4.8Е-04 |
2.4Е-03 |
|||||||
1оо2 |
0 % |
1.1Е-03 |
2.7Е-03 |
4.8Е-03 |
3.3Е-03 |
6.5Е-03 |
1.0Е-02 |
6.6Е-02 |
7.4Е-02 |
8.5Е-02 |
60 % |
2.8Е-04 |
9.7Е-04 |
1.8Е-03 |
7.5Е-04 |
2.1Е-03 |
3.8Е-03 |
1.2Е-02 |
1.8Е-02 |
2.5Е-02 |
|
90 % |
5.0Е-05 |
2.3Е-04 |
4.5Е-04 |
1.1Е-04 |
4.6Е-04 |
9.0Е-04 |
1.1Е-03 |
2.8Е-03 |
4.9Е-03 |
|
99 % |
4.7Е-06 |
2.3Е-05 |
4.6Е-05 |
9.5Е-06 |
4.6Е-05 |
9.2Е-05 |
5.4Е-05 |
2.4Е-04 |
4.6Е-04 |
|
2оо2 (см. |
0 % |
4.4Е-02 |
8.8Е-02 |
> 1Е-01 |
||||||
60 % |
1.8Е-02 |
3.5Е-02 |
> 1Е-01 |
|||||||
90 % |
4.4Е-03 |
8.8Е-03 |
4.4Е-02 |
|||||||
99 % |
4.8Е-04 |
9.6Е-04 |
4.8Е-03 |
|||||||
1oo2D |
0 % |
1.1Е-03 |
2.7Е-03 |
4.8Е-03 |
3.3Е-03 |
6.5Е-03 |
1.0Е-02 |
6.6Е-02 |
7.4Е-02 |
8.5Е-02 |
60 % |
2.0Е-04 |
9.0Е-04 |
1.8Е-03 |
4.5Е-04 |
1.8Е-03 |
3.6Е-03 |
4.3Е-03 |
1.1Е-02 |
1.9Е-02 |
|
90 % |
4.4Е-05 |
2.2Е-04 |
4.4Е-04 |
8.9Е-05 |
4.4Е-04 |
8.8Е-04 |
4.7Е-04 |
2.2Е-03 |
4.4Е-03 |
|
99 % |
4.6Е-06 |
2.3Е-05 |
4.6Е-05 |
9.2Е-06 |
4.6Е-05 |
9.2Е-05 |
4.6Е-05 |
2.3Е-04 |
4.6Е-04 |
|
2оо3 |
0 % |
2.3Е-03 |
3.7Е-03 |
5.6Е-03 |
8.3Е-03 |
1.1Е-02 |
1.4Е-02 |
> 1Е-01 |
> 1Е-01 |
> 1Е-01 |
60 % |
4.8Е-04 |
1.1Е-03 |
2.0Е-03 |
1.6Е-03 |
2.8Е-03 |
4.4Е-03 |
3.2Е-02 |
3.5Е-02 |
4.0Е-02 |
|
90 % |
6.3Е-05 |
2.4Е-04 |
4.6Е-04 |
1.6Е-04 |
5.1Е-04 |
9.4Е-04 |
2.4Е-03 |
4.0Е-03 |
6.0Е-03 |
|
99 % |
4.8Е-06 |
2.3Е-05 |
4.6Е-05 |
1.0Е-05 |
4.7Е-05 |
9.2Е-05 |
6.9Е-05 |
2.5Е-04 |
4.8Е-04 |
|
Примечания 1 В настоящей таблице приведены примеры значений PFDG, рассчитанные по формулам в соответствии с В.2.2 и с учетом предположений, перечисленных в В.1. Если подсистема датчиков, логическая подсистема или подсистема оконечных элементов входит в состав только одной голосующей группы, то PFDGэквивалентна PFDS, PFDLили PFDFEсоответственно (см. В.2.1). 2 В настоящей таблице предполагается, что β = 2 βD. Для архитектур 1оо1 и 2оо2 значения β и βDне влияют на среднюю вероятность отказа. |
ТаблицаВ.5 -Средняявероятностьотказапозапросудлядесятилетнегоинтерваламеждуконтрольными испытаниямиисреднеговремениремонта 8 ч
Архитектура |
DC |
λ = 1.0Е-07 |
λ= 5.0Е-07 |
λ = 1.0Е-06 |
||||||
β = 2 % |
β = 10 % |
β = 20 % |
β = 2 % |
β = 10 % |
β = 20 % |
β = 2 % |
β = 10 % |
β = 20 % |
||
1оо1 (см. |
0 % |
2.2Е-03 |
1.1Е-02 |
2.2Е-02 |
||||||
60 % |
8.8Е-04 |
4.4Е-03 |
8.8Е-03 |
|||||||
90 % |
2.2Е-04 |
1.1Е-03 |
2.2Е-03 |
|||||||
99 % |
2.2Е-05 |
1.1Е-04 |
2.2Е-04 |
|||||||
1оо2 |
0 % |
5.0Е-05 |
2.2Е-04 |
4.4Е-04 |
3.7Е-04 |
1.2Е-03 |
2.3Е-03 |
1.1Е-03 |
2.7Е-03 |
4.8Е-03 |
60 % |
1.9Е-05 |
8.9Е-05 |
1.8Е-04 |
1.1Е-04 |
4.6Е-04 |
9.0Е-04 |
2.7Е-04 |
9.6Е-04 |
1.8Е-03 |
|
90 % |
4.4Е-06 |
2.2Е-05 |
4.4Е-05 |
2.3Е-05 |
1.1Е-04 |
2.2Е-04 |
5.0Е-05 |
2.2Е-04 |
4.4Е-04 |
|
99 % |
4.4Е-07 |
2.2Е-06 |
4.4Е-06 |
2.2Е-06 |
1.1Е-05 |
2.2Е-05 |
4.5Е-06 |
2.2Е-05 |
4.4Е-05 |
|
2оо2 (см. |
0 % |
4.4Е-03 |
2.2Е-02 |
4.4Е-02 |
||||||
60 % |
1.8Е-03 |
8.8Е-03 |
1.8Е-02 |
|||||||
90 % |
4.4Е-04 |
2.2Е-03 |
4.4Е-03 |
|||||||
99 % |
4.5Е-05 |
2.2Е-04 |
4.5Е-04 |
|||||||
1oo2D |
0 % |
5.0Е-05 |
2.2Е-04 |
4.4Е-04 |
3.7Е-04 |
1.2Е-03 |
2.3Е-03 |
1.1Е-03 |
2.7Е-03 |
4.8Е-03 |
60 % |
1.8Е-05 |
8.8Е-05 |
1.8Е-04 |
9.4Е-05 |
4.4Е-04 |
8.8Е-04 |
2.0Е-04 |
9.0Е-04 |
1.8Е-03 |
|
90 % |
4.4Е-06 |
2.2Е-05 |
4.4Е-05 |
2.2Е-05 |
1.1Е-04 |
2.2Е-04 |
4.4Е-05 |
2.2Е-04 |
4.4Е-04 |
|
99 % |
4.4Е-07 |
2.2Е-06 |
4.4Е-06 |
2.2Е-06 |
1.1Е-05 |
2.2Е-05 |
4.4Е-06 |
2.2Е-05 |
4.4Е-05 |
|
2оо3 |
0 % |
6.2Е-05 |
2.3Е-04 |
4.5Е-04 |
6.8Е-04 |
1.5Е-03 |
2.5Е-03 |
2.3Е-03 |
3.7Е-03 |
5.6Е-03 |
60 % |
2.1Е-05 |
9.0Е-05 |
1.8Е-04 |
1.6Е-04 |
5.0Е-04 |
9.3Е-04 |
4.7Е-04 |
1.1Е-03 |
2.0Е-03 |
|
90 % |
4.6Е-06 |
2.2Е-05 |
4.4Е-05 |
2.7Е-05 |
1.1Е-04 |
2.2Е-04 |
6.3Е-05 |
2.4Е-04 |
4.5Е-04 |
|
99 % |
4.4Е-07 |
2.2Е-06 |
4.4Е-06 |
2.3Е-06 |
1.1Е-05 |
2.2Е-05 |
4.6Е-06 |
2.2Е-05 |
4.4Е-05 |
ПродолжениетаблицыВ.5
Архитектура |
DC |
λ= 5.0Е-06 |
λ = 1.0Е-05 |
λ= 5.0Е-05 |
||||||
β = 2 % |
β = 10 % |
β = 20 % |
β = 2 % |
β = 10 % |
β = 20 % |
β = 2 % |
β = 10 % |
β = 20 % |
||
1оо1 (см. |
0 % |
> 1Е-01 |
> 1Е-01 |
> 1Е-01 |
||||||
60 % |
4.4Е-02 |
8.8Е-02 |
> 1Е-01 |
|||||||
90 % |
1.1Е-02 |
2.2Е-02 |
> 1Е-01 |
|||||||
99 % |
1.1Е-03 |
2.2Е-03 |
1.1Е-02 |
|||||||
1оо2 |
0 % |
1.8Е-02 |
2.4Е-02 |
3.2Е-02 |
6.6Е-02 |
7.4Е-02 |
8.5Е-02 |
> 1Е-01 |
> 1Е-01 |
> 1Е-01 |
60 % |
3.4Е-03 |
6.6Е-03 |
1.1Е-02 |
1.2Е-02 |
1.8Е-02 |
2.5Е-02 |
> 1Е-01 |
> 1Е-01 |
> 1Е-01 |
|
90 % |
3.8Е-04 |
1.2Е-03 |
2.3Е-03 |
1.1Е-03 |
2.8Е-03 |
4.9Е-03 |
1.8Е-02 |
2.5Е-02 |
3.5Е-02 |
|
99 % |
2.4Е-05 |
1.1Е-04 |
2.2Е-04 |
5.1Е-05 |
2.3Е-04 |
4.5Е-04 |
3.8Е-04 |
1.3Е-03 |
2.3Е-03 |
|
2оо2 (см. |
0 % |
> 1Е-01 |
> 1Е-01 |
> 1Е-01 |
||||||
60 % |
8.8Е-02 |
> 1Е-01 |
> 1Е-01 |
|||||||
90 % |
2.2Е-02 |
4.4Е-02 |
> 1Е-01 |
|||||||
99 % |
2.2Е-03 |
4.5Е-03 |
2.2Е-02 |
|||||||
1002D |
0 % |
1.8Е-02 |
2.4Е-02 |
3.2Е-02 |
6.6Е-02 |
7.4Е-02 |
8.5Е-02 |
> 1Е-01 |
> 1Е-01 |
> 1Е-01 |
60 % |
1.5Е-03 |
4.9Е-03 |
9.2Е-03 |
4.2Е-03 |
1.1Е-02 |
1.9Е-02 |
7.1Е-02 |
9.9Е-02 |
> 1Е-01 |
|
90 % |
2.3Е-04 |
1.1Е-03 |
2.2Е-03 |
4.7Е-04 |
2.2Е-03 |
4.4Е-03 |
3.0Е-03 |
1.2Е-02 |
2.3Е-02 |
|
99 % |
2.2Е-05 |
1.1Е-04 |
2.2Е-04 |
4.4Е-05 |
2.2Е-04 |
4.4Е-04 |
2.2Е-04 |
1.1Е-03 |
2.2Е-03 |
|
2оо3 |
0 % |
4.8Е-02 |
5.0Е-02 |
5.3Е-02 |
> 1Е-01 |
> 1Е-01 |
> 1Е-01 |
> 1Е-01 |
> 1Е-01 |
> 1Е-01 |
60 % |
8.3Е-03 |
1.1Е-02 |
1.4Е-02 |
3.2Е-02 |
3.5Е-02 |
4.0Е-02 |
> 1Е-01 |
> 1Е-01 |
> 1Е-01 |
|
90 % |
6.9Е-04 |
1.5Е-03 |
2.6Е-03 |
2.3Е-03 |
3.9Е-03 |
5.9Е-03 |
4.9Е-02 |
5.4Е-02 |
6.0Е-02 |
|
99 % |
2.7Е-05 |
1.2Е-04 |
2.3Е-04 |
6.4Е-05 |
2.4Е-04 |
4.6Е-04 |
7.1Е-04 |
1.6Е-03 |
2.6Е-03 |
|
Примечания 1 ВнастоящейтаблицеприведеныпримерызначенийPFDG, рассчитанныепоформуламвсоответствии сВ.2.2 исучетомпредположений, перечисленных вВ.1. Еслиподсистемадатчиков, логическаяподсистема илиподсистемаоконечныхэлементоввходитвсоставтолькооднойголосующейгруппы, тоPFDGэквивалентна PFDS, PFDLилиPFDFEсоответственно (см. В.2.1). 2 Внастоящейтаблицепредполагается, что β = 2 βD. Дляархитектур 1оо1 и 2оо2 значенияβиβDне влияютнасреднюювероятностьотказа. |
В.2.4. Пример режима низкой интенсивности запросов
Рассмотримфункциюбезопасности, дляреализациикоторойнужнасистемаSIL2. Пустьпостроенныйна основепредыдущегоопытапервоначальныйвариантархитектурывсейсистемывключаетоднугруппуизтрех аналоговыхдатчиковдавлениясархитектурой 2оо3 навходе. Логическаяподсистемарассматриваемойсистемы представляетсобойPESсизбыточностьюсархитектурой 1оо2Dиуправляетоднимзакрывающимиоднимдренажнымклапаном, таккакдляобеспеченияфункциибезопасностинеобходимаработакакзакрывающего, таки дренажногоклапана. АрхитектуравсейсистемыпредставленанарисункеВ.13. Дляэтойсистемыоценимсначала функциюбезопасностиPFDSYSприодногодичномпериодеконтрольныхиспытаний. ТаблицыВ.6-В.8являются фрагментамитаблицыВ.3длясоответствующихданныхнарисункеВ.13.
РисунокВ.13 -Архитектурасистемырассматриваемогопримерадлярежима низкойинтенсивностизапросов
ТаблицаВ.6 -Средняявероятностьотказапозапросудляподсистемыдатчиков врассматриваемомпримередлярежиманизкойинтенсивностизапросов (интервал контрольныхиспытанийравенодномугоду, асреднеевремяремонта- 8 ч)
Архитектура |
DC |
λ= 5.0Е-06 |
||
β = 2% |
β = 10 % |
β = 20 % |
||
2оо3 |
0 % |
6.8Е-04 |
1.5Е-03 |
2.5Е-03 |
60 % |
1.6Е-04 |
5.1Е-04 |
9.4Е-04 |
|
90 % |
2.7Е-05 |
1.2Е-04 |
2.3Е-04 |
|
99 % |
2.5Е-06 |
1.2Е-05 |
2.4Е-05 |
|
Примечание -НастоящаятаблицапредставляетсобойфрагменттаблицыВ.3. |
ТаблицаВ.7 -Средняявероятностьотказапозапросудлялогическойподсистемы впримередлярежиманизкойинтенсивностизапросов (интервалконтрольныхиспытанийравенодномугоду, асреднеевремяремонта- 8 ч)
Архитектура |
DC |
λ = 1.0Е-05 |
||
β = 2 % |
β = 10 % |
β = 20 % |
||
1002D |
0 % |
1.1Е-03 |
2.7Е-03 |
4.8Е-03 |
60 % |
2.0Е-04 |
9.0Е-04 |
1.8Е-03 |
|
90 % |
4.5Е-05 |
2.2Е-04 |
4.4Е-04 |
|
99 % |
4.8Е-06 |
2.4Е-05 |
4.8Е-05 |
|
Примечание-НастоящаятаблицапредставляетсобойфрагменттаблицыВ.3. |
ТаблицаВ.8 -Средняявероятностьотказапозапросудляподсистемыоконечных элементоввпримередлярежиманизкойинтенсивностизапросов (интервалконтрольныхиспытанийравенодномугоду, асреднеевремяремонта- 8 ч)
Архитектура |
DC |
λ= 5.0Е-06 |
λ = 1.0Е-05 |
1оо1 |
0 % |
1.1Е-02 |
2.2Е-02 |
60 % |
4.4Е-03 |
8.8Е-03 |
|
90 % |
1.1Е-03 |
2.2Е-03 |
|
99 % |
1.3Е-04 |
2.6Е-04 |
|
Примечание -Настоящая таблицапредставляетсобойфрагменттаблицыВ.3. |
Данные, представленныевтаблицахВ.6 – В.8, позволяютполучитьследующиезначения:
– дляподсистемыдатчиков:
PFDS= 2,3 × 10-4;
– длялогическойподсистемы:
PFDL= 4,8 × 10-6;
– дляподсистемыоконечныхэлементов:
PFDFE= 4,4 × 10-3 + 8,8 × 10-3
= 1,3 × 10-2.
Следовательно, дляфункциибезопасности:
PFDSYS= 2,3 × 10-4 + 4,8 × 10-6+ 1,3 × 10-2
= 1,3 × 10-2
= уровень полноты безопасности 1.
Дляпереводасистемы, представленнойнарисункеВ.13, науровеньполнотыбезопасности 2, выполняют одноизследующихдействий:
a) уменьшаютинтервалмеждуконтрольнымипроверкамидо 6 мес.:
PFDS= 1,1 × 10-4
PFDL= 2,6 × 10-6
PFDFE= 2,2 × 10-3 + 4,4 × 10-3
= 6,6 × 10-3
PFDSYS= 6,7 × 10-3
= уровень полноты безопасности 2;
b) заменяютархитектуру 1оо1 закрывающегоклапана, представляющегособойвыходноеустройствоснизкойнадежностью, на 1оо2, предполагая, чтоβ = 10 % иβD = 5 %:
PFDS= 2,3 × 10-4
PFDL= 4,8 × 10-6
PFDFE= 4,4 × 10-3 + 9,7 × 10-4
= 5,4 × 10-3
PFDSYS= 5,6 × 10-3
= уровеньполнотыбезопасности 2.
В.2.5 Влияние неидеальных контрольных проверок
Отказысистемы, связаннойсбезопасностью, необнаруженныеникакимидиагностическимииликонтрольнымииспытаниями, обнаруживаюттолькоприсовпадениизапросовнавыполнениефункциибезопасности, на которуювлияетотказ. Следовательно, длятакихполностьюнезависимыхотказовожидаемаяинтенсивностьзапросовксистемебезопасностиопределяетдействительноевремяпростоев.
Нижеприведенпримертакойзависимостидляархитектуры 1оо2, гдеT2-времямеждузапросамик системе:
Результатыдлясистемы 1оо2 со 100 %-нымидостовернымиодногодичнымиконтрольнымииспытаниями всравнениис 50 %-нымидостовернымиконтрольнымииспытаниями, гдетребуемыйпериодконтрольныхиспытанийT2предполагаетсяравным 10 годам, приведенывтаблицеВ.9. Врассматриваемомпримерерасчетыпроводилисьприследующихпредположениях: интенсивностьотказов 1 ×10-5вчас; β = 10 %; βD = 5 %.
ТаблицаВ.9 -Неидеальныеконтрольныеиспытания
Архитектура |
DC |
λ = 1.0Е-05 |
|
100 %-ные достоверные контрольные испытания |
50 %-ные достоверные контрольные испытания |
||
β =10 % |
β =10 % |
||
1оо2 |
0 % |
2.7Е-03 |
6.6Е-02 |
60 % |
9.7Е-04 |
2.6Е-02 |
|
90 % |
2.3Е-04 |
6.6Е-03 |
|
99 % |
2.4Е-05 |
7.0Е-04 |
В.3Вероятностьотказавчас (длярежимаработывысокойинтенсивностизапросовилинепрерывногорежимаработы)
В.3.1 Процедура расчетов
МетодопределениявероятностиотказафункциибезопасностидляЕ/Е/РЕсистемы, связаннойсбезопасностью, работающейврежимевысокойинтенсивностизапросовилинепрерывномрежиме. Тоже, чтоиметод вычислениядлярежиманизкойинтенсивностизапросов (см. В.2.1), заисключениемтого, чтосредняявероятностьотказапозапросуPFDSYSзаменяетсянавероятностьопасногоотказавчасPFHSYS.
ОбщуювероятностьопасногоотказафункциибезопасностидляЕ/Е/РЕсистемы, связаннойсбезопасностью, PFHSYSопределяютвычислениеминтенсивностейопасныхотказовдлявсехподсистем, совокупность которыхобеспечиваетфункциюбезопасности, исуммированиемполученныхотдельныхзначений. Таккакрассматриваемыевнастоящемприложениивероятностималы, тоиспользуютформулу
PFHSYS= PFHS+ PFHL + PFHFE,
где
PFHSYS-вероятностьотказавчасдляфункциибезопасностиЕ/Е/РЕсистемы, связаннойсбезопасностью;
PFHS-вероятностьотказавчасдляподсистемыдатчиков;
PFHL-вероятностьотказавчасдлялогическойподсистемы;
PFHFE-вероятностьотказавчасдляподсистемыоконечныхэлементов.
В.3.2 Архитектуры для режима работы высокой интенсивности запросов или непрерывного режима работы
Примечания
1 Внастоящемпунктесправедливыедлянесколькихархитектурформулывыводяттам, гдеонивстречаются впервые. См. такжеВ.2.2.
2 Формулынастоящегопунктасправедливыдляпредположений, перечисленныхвВ.1.
В.3.2.1 Архитектура 1оо1
Структурнаясхемаисхемарасчетанадежностиархитектуры 1оо1 представленынарисункахВ.3иВ.4соответственно. ДлявычисленияλD, tCE, λDUиλDDиспользуюттежеформулы, чтоивВ.2.2.1.
Еслипредположить, чтосистема, связаннаясбезопасностью, приобнаружениилюбогоотказапереводит EUCвбезопасноесостояние, тодляархитектуры 1оо1
PFHG= λDU.
В.3.2.2 Архитектура 1оо2
Структурнаясхемаисхемарасчетанадежностиархитектуры 1оо2 представленысоответственнонарисункахВ.5иВ.6. ЗначениеtCEвычисляютпоформуле, приведеннойвВ.3.2.1. ВероятностьотказаPFHGдляархитектуры 1оо2 вычисляютпоформуле
В.3.2.3 Архитектура 2оо2
Структурнаясхемаисхемарасчетанадежностиархитектуры 2оо2 представленысоответственнонарисункахВ.7иВ.8. Еслипредположить, чтоприобнаружениилюбогоотказакаждыйканалпереводитсявбезопасное состояние, тодляархитектуры 2оо2
PFHG= 2λDU.
В.3.2.4 Архитектура 1оо2D
Структурнаясхемаисхемарасчетанадежностиархитектуры 1оо2DпредставленысоответственнонарисункахВ.9иВ.10. Дляархитектуры 1оо2DинтенсивностьобнаруженныхбезопасныхотказовλSD, эквивалентное среднеевремяпростояtCE. ивероятностьотказаPFHGвычисляютпоформулам:
В.3.2.5 Архитектура 2оо3
Структурнаясхемаисхемарасчетанадежностиархитектуры 2оо3 представленысоответственнонарисункахВ.11иВ.12. ЗначениеtCEвычисляютпоформуле, приведеннойвВ.3.2.1. ВероятностьотказаPFHGдля архитектуры 2оо3 вычисляютпоформуле
В.3.3 Подробные таблицы для режима работы высокой интенсивности запросов и непрерывного режима работы
ТаблицаВ.10 -Вероятностьотказавчас (врежимевысокойинтенсивностизапросовинепрерывномрежиме) дляодномесячногоинтерваламеждуконтрольнымииспытаниямиисреднеговремениремонта 8 ч
Архитектура |
DC |
λ = 1.0Е-07 |
λ= 5.0Е-07 |
λ = 1.0Е-06 |
||||||
β = 2 % |
β = 10 % |
β = 20 % |
β = 2 % |
β = 10 % |
β = 20 % |
β = 2 % |
β = 10 % |
β = 20 % |
||
1оо1 (см. |
0 % |
5.0Е-08 |
2.5Е-07 |
5.0Е-07 |
||||||
60 % |
2.0Е-08 |
1.0Е-07 |
2.0Е-07 |
|||||||
90 % |
5.0Е-09 |
2.5Е-08 |
5.0Е-08 |
|||||||
99 % |
5.0Е-10 |
2.5Е-09 |
5.0Е-09 |
|||||||
1оо2 |
0 % |
1.0Е-09 |
5.0Е-09 |
1.0Е-08 |
5.0Е-09 |
2.5Е-08 |
5.0Е-08 |
1.0Е-08 |
5.0Е-08 |
1.0Е-07 |
60 % |
7.0Е-10 |
3.5Е-09 |
7.0Е-09 |
3.5Е-09 |
1.8Е-08 |
3.5Е-08 |
7.1Е-09 |
3.5Е-08 |
7.0Е-08 |
|
90 % |
5.5Е-10 |
2.8Е-09 |
5.5Е-09 |
2.8Е-09 |
1.4Е-08 |
2.8Е-08 |
5.5Е-09 |
2.8Е-08 |
5.5Е-08 |
|
99 % |
5.1Е-10 |
2.5Е-09 |
5.1Е-09 |
2.5Е-09 |
1.3Е-08 |
2.5Е-08 |
5.1Е-09 |
2.5Е-08 |
5.1Е-08 |
|
2оо2 (см. |
0 % |
1.0Е-07 |
5.0Е-07 |
1.0Е-06 |
||||||
60 % |
4.0Е-08 |
2.0Е-07 |
4.0Е-07 |
|||||||
90 % |
1.0Е-08 |
5.0Е-08 |
1.0Е-07 |
|||||||
99 % |
1.0Е-09 |
5.0Е-09 |
1.0Е-08 |
|||||||
1oo2D |
0 % |
1.0Е-09 |
5.0Е-09 |
1.0Е-08 |
5.0Е-09 |
2.5Е-08 |
5.0Е-08 |
1.0Е-08 |
5.0Е-08 |
1.0Е-07 |
60 % |
7.0Е-10 |
3.5Е-09 |
7.0Е-09 |
3.5Е-09 |
1.8Е-08 |
3.5Е-08 |
7.0Е-09 |
3.5Е-08 |
7.0Е-08 |
|
90 % |
5.5Е-10 |
2.8Е-09 |
5.5Е-09 |
2.8Е-09 |
1.4Е-08 |
2.8Е-08 |
5.5Е-09 |
2.8Е-08 |
5.5Е-08 |
|
99 % |
5.1Е-10 |
2.5Е-09 |
5.1Е-09 |
2.5Е-09 |
1.3Е-08 |
2.5Е-08 |
5.1Е-09 |
2.5Е-08 |
5.1Е-08 |
|
2оо3 |
0 % |
1.0Е-09 |
5.0Е-09 |
1.0Е-08 |
5.1Е-09 |
2.5Е-08 |
5.0Е-08 |
1.1Е-08 |
5.0Е-08 |
1.0Е-07 |
60 % |
7.0Е-10 |
3.5Е-09 |
7.0Е-09 |
3.6Е-09 |
1.8Е-08 |
3.5Е-08 |
7.2Е-09 |
3.5Е-08 |
7.0Е-08 |
|
90 % |
5.5Е-10 |
2.8Е-09 |
5.5Е-09 |
2.8Е-09 |
1.4Е-08 |
2.8Е-08 |
5.6Е-09 |
2.8Е-08 |
5.5Е-08 |
|
99 % |
5.1Е-10 |
2.5Е-09 |
5.1Е-09 |
2.5Е-09 |
1.3Е-08 |
2.5Е-08 |
5.1Е-09 |
2.5Е-08 |
5.1Е-08 |
ПродолжениетаблицыВ. 10
Архитектура |
DC |
λ= 5.0Е-06 |
λ =1.0Е-05 |
λ= 5.0Е-05 |
||||||
β = 2 % |
β = 10 % |
β = 20 % |
β = 2 % |
β = 10 % |
β = 20 % |
β = 2 % |
β = 10 % |
β = 20 % |
||
1оо1 (см. |
0 % |
2.5Е-06 |
5.0Е-06 |
> 1Е-05 |
||||||
60 % |
1.0Е-06 |
2.0Е-06 |
1.0Е-05 |
|||||||
90 % |
2.5Е-07 |
5.0Е-07 |
2.5Е-06 |
|||||||
99 % |
2.5Е-08 |
5.0Е-08 |
2.5Е-07 |
|||||||
1оо2 |
0 % |
5.4Е-08 |
2.5Е-07 |
5.0Е-07 |
1.2Е-07 |
5.2Е-07 |
1.0Е-06 |
9.5Е-07 |
2.9Е-06 |
5.3Е-06 |
60 % |
3.7Е-08 |
1.8Е-07 |
3.5Е-07 |
7.7Е-08 |
3.6Е-07 |
7.1Е-07 |
5.4Е-07 |
1.9Е-06 |
3.6Е-06 |
|
90 % |
2.8Е-08 |
1.4Е-07 |
2.8Е-07 |
5.7Е-08 |
2.8Е-07 |
5.5Е-07 |
3.3Е-07 |
1.4Е-06 |
2.8Е-06 |
|
99 % |
2.5Е-08 |
1.3Е-07 |
2.5Е-07 |
5.1Е-08 |
2.5Е-07 |
5.1Е-07 |
2.7Е-07 |
1.3Е-06 |
2.5Е-06 |
|
2оо2 (см. |
0 % |
5.0Е-06 |
1.0Е-05 |
> 1Е-05 |
||||||
60 % |
2.0Е-06 |
4.0Е-06 |
> 1Е-05 |
|||||||
90 % |
5.0Е-07 |
1.0Е-06 |
5.0Е-06 |
|||||||
99 % |
5.0Е-08 |
1.0Е-07 |
5.0Е-07 |
|||||||
1oo2D |
0 % |
5.4Е-08 |
2.5Е-07 |
5.0Е-07 |
1.2Е-07 |
5.2Е-07 |
1.0Е-06 |
9.5Е-07 |
2.9Е-06 |
5.3Е-06 |
60 % |
3.6Е-08 |
1.8Е-07 |
3.5Е-07 |
7.3Е-08 |
3.5Е-07 |
7.0Е-07 |
4.3Е-07 |
1.8Е-06 |
3.6Е-06 |
|
90 % |
2.8Е-08 |
1.4Е-07 |
2.8Е-07 |
5.5Е-08 |
2.8Е-07 |
5.5Е-07 |
2.8Е-07 |
1.4Е-06 |
2.8Е-06 |
|
99 % |
2.5Е-08 |
1.3Е-07 |
2.5Е-07 |
5.1Е-08 |
2.5Е-07 |
5.1Е-07 |
2.5Е-07 |
1.3Е-06 |
2.5Е-06 |
|
2оо3 |
0 % |
6.3Е-08 |
2.6Е-07 |
5.1Е-07 |
1.5Е-07 |
5.5Е-07 |
1.0Е-06 |
1.8Е-06 |
3.6Е-06 |
5.9Е-06 |
60 % |
4.1Е-08 |
1.8Е-07 |
3.5Е-07 |
9.2Е-08 |
3.7Е-07 |
7.2Е-07 |
9.1Е-07 |
2.2Е-06 |
3.9Е-06 |
|
90 % |
2.9Е-08 |
1.4Е-07 |
2.8Е-07 |
6.2Е-08 |
2.8Е-07 |
5.6Е-07 |
4.4Е-07 |
1.5Е-06 |
2.9Е-06 |
|
99 % |
2.6Е-08 |
1.3Е-07 |
2.5Е-07 |
5.2Е-08 |
2.5Е-07 |
5.1Е-07 |
3.0Е-07 |
1.3Е-06 |
2.6Е-06 |
|
Примечания 1 Внастоящейтаблицеприведеныпримерызначений PFHG, рассчитанныепоформуламвсоответствии сВ.3.2исучетомпредположений, перечисленныхвВ.1. Еслиподсистемадатчиков, логическаяподсистема илиподсистемаоконечныхэлементоввходитвсоставтолькооднойголосующейгруппы, тоPFHGэквивалентна PFHS, PFHLилиPFHFEсоответственно (см. В.3.1иВ.2.1). 2 Внастоящейтаблицепредполагается, чтоβ = 2 βD. Дляархитектур 1оо1 и 2оо2 значенияβиβDне влияютнасреднюювероятностьотказа. |
ТаблицаВ.11 -Вероятностьотказавчас (врежимеработывысокойинтенсивностизапросовинепрерывном режимеработы) длятрехмесячногоинтерваламеждуконтрольнымииспытаниямиисреднеговремени ремонта 8 ч
Архитектура |
DC |
λ = 1.0Е-07 |
λ= 5.0Е-07 |
λ = 1.0Е-06 |
||||||
β = 2 % |
β = 10 % |
β = 20 % |
β = 2 % |
β = 10 % |
β = 20 % |
β = 2 % |
β = 10 % |
β = 20 % |
||
1оо1 (см. |
0 % |
5.0Е-08 |
2.5Е-07 |
5.0Е-07 |
||||||
60 % |
2.0Е-08 |
1.0Е-07 |
2.0Е-07 |
|||||||
90 % |
5.0Е-09 |
2.5Е-08 |
5.0Е-08 |
|||||||
99 % |
5.0Е-10 |
2.5Е-09 |
5.0Е-09 |
|||||||
1оо2 |
0 % |
1.0Е-09 |
5.0Е-09 |
1.0Е-08 |
5.1Е-09 |
2.5Е-08 |
5.0Е-08 |
1.1Е-08 |
5.0Е-08 |
1.0Е-07 |
60 % |
7.0Е-10 |
3.5Е-09 |
7.0Е-09 |
3.6Е-09 |
1.8Е-08 |
3.5Е-08 |
7.2Е-09 |
3.5Е-08 |
7.0Е-08 |
|
90 % |
5.5Е-10 |
2.8Е-09 |
5.5Е-09 |
2.8Е-09 |
1.4Е-08 |
2.8Е-08 |
5.6Е-09 |
2.8Е-08 |
5.5Е-08 |
|
99 % |
5.1Е-10 |
2.5Е-09 |
5.1Е-09 |
2.5Е-09 |
1.3Е-08 |
2.5Е-08 |
5.1Е-09 |
2.5Е-08 |
5.1Е-08 |
|
2оо2 (см. |
0 % |
1.0Е-07 |
5.0Е-07 |
1.0Е-06 |
||||||
60 % |
4.0Е-08 |
2.0Е-07 |
4.0Е-07 |
|||||||
90 % |
1.0Е-08 |
5.0Е-08 |
1.0Е-07 |
|||||||
99 % |
1.0Е-09 |
5.0Е-09 |
1.0Е-08 |
|||||||
1oo2D |
0 % |
1.0Е-09 |
5.0Е-09 |
1.0Е-08 |
5.1Е-09 |
2.5Е-08 |
5.0Е-08 |
1.1Е-08 |
5.0Е-08 |
1.0Е-07 |
60 % |
7.0Е-10 |
3.5Е-09 |
7.0Е-09 |
3.5Е-09 |
1.8Е-08 |
3.5Е-08 |
7.1Е-09 |
3.5Е-08 |
7.0Е-08 |
|
90 % |
5.5Е-10 |
2.8Е-09 |
5.5Е-09 |
2.8Е-09 |
1.4Е-08 |
2.8Е-08 |
5.5Е-09 |
2.8Е-08 |
5.5Е-08 |
|
99 % |
5.1Е-10 |
2.5Е-09 |
5.1Е-09 |
2.5Е-09 |
1.3Е-08 |
2.5Е-08 |
5.1Е-09 |
2.5Е-08 |
5.1Е-08 |
|
2оо3 |
0 % |
1.0Е-09 |
5.0Е-09 |
1.0Е-08 |
5.4Е-09 |
2.5Е-08 |
5.0Е-08 |
1.2Е-08 |
5.1Е-08 |
1.0Е-07 |
60 % |
7.1Е-10 |
3.5Е-09 |
7.0Е-09 |
3.7Е-09 |
1.8Е-08 |
3.5Е-08 |
7.7Е-09 |
3.6Е-08 |
7.0Е-08 |
|
90 % |
5.5Е-10 |
2.8Е-09 |
5.5Е-09 |
2.8Е-09 |
1.4Е-08 |
2.8Е-08 |
5.7Е-09 |
2.8Е-08 |
5.5Е-08 |
|
99 % |
5.1Е-10 |
2.5Е-09 |
5.1Е-09 |
2.5Е-09 |
1.3Е-08 |
2.5Е-08 |
5.1Е-09 |
2.5Е-08 |
5.1Е-08 |
ОкончаниетаблицыВ.11
Архитектура |
DC |
λ= 5.0Е-06 |
λ = 1.0Е-05 |
λ= 5.0Е-05 |
||||||
β = 2 % |
β = 10 % |
β = 20 % |
β = 2 % |
β = 10 % |
β = 20 % |
β = 2 % |
β = 10 % |
β = 20 % |
||
1001 (см. |
0 % |
2.5Е-06 |
5.0Е-06 |
> 1Е-05 |
||||||
60 % |
1.0Е-06 |
2.0Е-06 |
1.0Е-05 |
|||||||
90 % |
2.5Е-07 |
5.0Е-07 |
2.5Е-06 |
|||||||
99 % |
2.5Е-08 |
5.0Е-08 |
2.5Е-07 |
|||||||
1оо2 |
0 % |
6.3Е-08 |
2.6Е-07 |
5.1Е-07 |
1.5Е-07 |
5.4Е-07 |
1.0Е-06 |
1.8Е-06 |
3.6Е-06 |
5.9Е-06 |
60 % |
4.0Е-08 |
1.8Е-07 |
3,5E-07 |
9.2Е-08 |
3.7Е-07 |
7.2Е-07 |
8.9Е-07 |
2.2Е-06 |
3.9Е-06 |
|
90 % |
2.9Е-08 |
1.4Е-07 |
2.8Е-07 |
6.1Е-08 |
2.8Е-07 |
5.5Е-07 |
4.2Е-07 |
1.5Е-06 |
2.9Е-06 |
|
99 % |
2.5Е-08 |
1.3Е-07 |
2.5Е-07 |
5.1Е-08 |
2.5Е-07 |
5.1Е-07 |
2.8Е-07 |
1.3Е-06 |
2.5Е-06 |
|
2оо2 (см. |
0 % |
5.0Е-06 |
1.0Е-05 |
> 1Е-05 |
||||||
60 % |
2.0Е-06 |
4.0Е-06 |
> 1Е-05 |
|||||||
90 % |
5.0Е-07 |
1.0Е-06 |
5.0Е-06 |
|||||||
99 % |
5.0Е-08 |
1.0Е-07 |
5.0Е-07 |
|||||||
1oo2D |
0 % |
6.3Е-08 |
2.6Е-07 |
5.1Е-07 |
1.5Е-07 |
5.4Е-07 |
1.0Е-06 |
1.8Е-06 |
3.6Е-06 |
5.9Е-06 |
60 % |
3.7Е-08 |
1.8Е-07 |
3.5Е-07 |
7.9Е-08 |
3.6Е-07 |
7.1Е-07 |
5.7Е-07 |
1.9Е-06 |
3.7Е-06 |
|
90 % |
2.8Е-08 |
1.4Е-07 |
2.8Е-07 |
5.6Е-08 |
2.8Е-07 |
5.5Е-07 |
2.9Е-07 |
1.4Е-06 |
2.8Е-06 |
|
99 % |
2.5Е-08 |
1.3Е-07 |
2.5Е-07 |
5.1Е-08 |
2.5Е-07 |
5.1Е-07 |
2.5Е-07 |
1.3Е-06 |
2.5Е-06 |
|
2оо3 |
0 % |
9.0Е-08 |
2.8Е-07 |
5.3Е-07 |
2.6Е-07 |
6.3Е-07 |
1.1Е-06 |
4.5Е-06 |
5.9Е-06 |
7.6Е-06 |
60 % |
5.1Е-08 |
1.9Е-07 |
3.6Е-07 |
1.4Е-07 |
4.1Е-07 |
7.5Е-07 |
2.0Е-06 |
3.2Е-06 |
4.7Е-06 |
|
90 % |
3.2Е-08 |
1.4Е-07 |
2.8Е-07 |
7.2Е-08 |
2.9Е-07 |
5.6Е-07 |
7.1Е-07 |
1.8Е-06 |
3.1Е-06 |
|
99 % |
2.6Е-08 |
1.3Е-07 |
2.5Е-07 |
5.3Е-08 |
2.6Е-07 |
5.1Е-07 |
3.2Е-07 |
1.3Е-06 |
2.6Е-06 |
|
Примечания 1 Внастоящейтаблицеприведеныпримеры значенийPFHG, рассчитанныепоформуламвсоответствии сВ.3.2исучетомпредположений, перечисленных в В.1. Еслиподсистемадатчиков, логическаяподсистемаилиподсистемаоконечныхэлементоввходитвсоставтолькооднойголосующейгруппы, тоPFHGэквивалентна PFHS, PFHLилиPFHFEсоответственно (см. В.3.1иВ.2.1). 2 Внастоящейтаблицепредполагается, чтоβ = 2 βD. Дляархитектур 1оо1 и 2оо2 значенияβиβDне влияютнасреднюювероятностьотказа. |
ТаблицаВ.12 -Вероятностьотказавчас (врежимевысокойинтенсивностизапросовинепрерывном режиме) дляшестимесячногоинтерваламеждуконтрольнымииспытаниямиидлясреднеговремениремонта 8 ч
Архитектура |
DC |
λ = 1.0Е-07 |
λ= 5.0Е-07 |
λ = 1.0Е-06 |
||||||
β = 2 % |
β = 10 % |
β = 20 % |
β = 2 % |
β = 10 % |
β = 20 % |
β = 2 % |
β = 10 % |
β = 20 % |
||
1оо1 (см. |
0 % |
5.0Е-08 |
2.5Е-07 |
5.0Е-07 |
||||||
60 % |
2.0Е-08 |
1.0Е-07 |
2.0Е-07 |
|||||||
90 % |
5.0Е-09 |
2.5Е-08 |
5.0Е-08 |
|||||||
99 % |
5.0Е-10 |
2.5Е-09 |
5.0Е-09 |
|||||||
1оо2 |
0 % |
1.0Е-09 |
5.0Е-09 |
1.0Е-08 |
5.3Е-09 |
2.5Е-08 |
5.0Е-08 |
1.1Е-08 |
5.1Е-08 |
1.0Е-07 |
60 % |
7.0Е-10 |
3.5Е-09 |
7.0Е-09 |
3.6Е-09 |
1.8Е-08 |
3.5Е-08 |
7.4Е-09 |
3.5Е-08 |
7.0Е-08 |
|
90 % |
5.5Е-10 |
2.8Е-09 |
5.5Е-09 |
2.8Е-09 |
1.4Е-08 |
2.8Е-08 |
5.6Е-09 |
2.8Е-08 |
5.5Е-08 |
|
99 % |
5.1Е-10 |
2.5Е-09 |
5.1Е-09 |
2.5Е-09 |
1.3Е-08 |
2.5Е-08 |
5.1Е-09 |
2.5Е-08 |
5.1Е-08 |
|
2оо2 (см. |
0 % |
1.0Е-07 |
5.0Е-07 |
1.0Е-06 |
||||||
60 % |
4.0Е-08 |
2.0Е-07 |
4.0Е-07 |
|||||||
90 % |
1.0Е-08 |
5.0Е-08 |
1.0Е-07 |
|||||||
99 % |
1.0Е-09 |
5.0Е-09 |
1.0Е-08 |
|||||||
1oo2D |
0 % |
1.0Е-09 |
5.0Е-09 |
1.0Е-08 |
5.3Е-09 |
2.5Е-08 |
5.0Е-08 |
1.1Е-08 |
5.1Е-08 |
1.0Е-07 |
60 % |
7.0Е-10 |
3.5Е-09 |
7.0Е-09 |
3.5Е-09 |
1.8Е-08 |
3.5Е-08 |
7.2Е-09 |
3.5Е-08 |
7.0Е-08 |
|
90 % |
5.5Е-10 |
2.8Е-09 |
5.5Е-09 |
2.8Е-09 |
1.4Е-08 |
2.8Е-08 |
5.5Е-09 |
2.8Е-08 |
5.5Е-08 |
|
99 % |
5.1Е-10 |
2.5Е-09 |
5.1Е-09 |
2.5Е-09 |
1.3Е-08 |
2.5Е-08 |
5.1Е-09 |
2.5Е-08 |
5.1Е-08 |
|
2оо3 |
0 % |
1.0Е-09 |
5.0Е-09 |
1.0Е-08 |
5.8Е-09 |
2.6Е-08 |
5.1Е-08 |
1.3Е-08 |
5.3Е-08 |
1.0Е-07 |
60 % |
7.1Е-10 |
3.5Е-09 |
7.0Е-09 |
3.8Е-09 |
1.8Е-08 |
3.5Е-08 |
8.3Е-09 |
3.6Е-08 |
7.1Е-08 |
|
90 % |
5.5Е-10 |
2.8Е-09 |
5.5Е-09 |
2.8Е-09 |
1.4Е-08 |
2.8Е-08 |
5.8Е-09 |
2.8Е-08 |
5.5Е-08 |
|
99 % |
5.1Е-10 |
2.5Е-09 |
5.1Е-09 |
2.5Е-09 |
1.3Е-08 |
2.5Е-08 |
5.1Е-09 |
2.5Е-08 |
5.1Е-08 |
ОкончаниетаблицыВ.12
Архитектура |
DC |
λ= 5.0Е-06 |
λ = 1.0Е-05 |
λ= 5.0Е-05 |
||||||
β = 2 % |
β = 10 % |
β = 20 % |
β = 2 % |
β = 10 % |
β = 20 % |
β = 2 % |
β = 10 % |
β = 20 % |
||
1оо1 (см. |
0 % |
2.5Е-06 |
5.0Е-06 |
> 1Е-05 |
||||||
60 % |
1.0Е-06 |
2.0Е-06 |
1.0Е-05 |
|||||||
90 % |
2.5Е-07 |
5.0Е-07 |
2.5Е-06 |
|||||||
99 % |
2.5Е-08 |
5.0Е-08 |
2.5Е-07 |
|||||||
1оо2 |
0 % |
7.6Е-08 |
2.7Е-07 |
5.2Е-07 |
2.1Е-07 |
5.9Е-07 |
1.1Е-06 |
3.1Е-06 |
4.7Е-06 |
6.8Е-06 |
60 % |
4.6Е-08 |
1.8Е-07 |
3.6Е-07 |
1.1Е-07 |
3.9Е-07 |
7.3Е-07 |
1.4Е-06 |
2.7Е-06 |
4.3Е-06 |
|
90 % |
3.0Е-08 |
1.4Е-07 |
2.8Е-07 |
6.6Е-08 |
2.9Е-07 |
5.6Е-07 |
5.5Е-07 |
1.6Е-06 |
3.0Е-06 |
|
99 % |
2.6Е-08 |
1.3Е-07 |
2.5Е-07 |
5.2Е-08 |
2.5Е-07 |
5.1Е-07 |
2.9Е-07 |
1.3Е-06 |
2.6Е-06 |
|
2оо2 (см. |
0 % |
5.0Е-06 |
1.0Е-05 |
> 1Е-05 |
||||||
60 % |
2.0Е-06 |
4.0Е-06 |
> 1Е-05 |
|||||||
90 % |
5.0Е-07 |
1.0Е-06 |
5.0Е-06 |
|||||||
99 % |
5.0Е-08 |
1.0Е-07 |
5.0Е-07 |
|||||||
1oo2D |
0 % |
7.6Е-08 |
2.7Е-07 |
5.2Е-07 |
2.1Е-07 |
5.9Е-07 |
1.1Е-06 |
3.1Е-06 |
4.7Е-06 |
6.8Е-06 |
60 % |
3.9Е-08 |
1.8Е-07 |
3.5Е-07 |
8.7Е-08 |
3.7Е-07 |
7.1Е-07 |
7.8Е-07 |
2.1Е-06 |
3.8Е-06 |
|
90 % |
2.8Е-08 |
1.4Е-07 |
2.8Е-07 |
5.6Е-08 |
2.8Е-07 |
5.5Е-07 |
3.0Е-07 |
1.4Е-06 |
2.8Е-06 |
|
99 % |
2.5Е-08 |
1.3Е-07 |
2.5Е-07 |
5.1Е-08 |
2.5Е-07 |
5.1Е-07 |
2.5Е-07 |
1.3Е-06 |
2.5Е-06 |
|
2оо3 |
0 % |
1.3Е-07 |
3.2Е-07 |
5.5Е-07 |
4.2Е-07 |
7.7Е-07 |
1.2Е-06 |
8.4Е-06 |
9.2Е-06 |
1.0Е-05 |
60 % |
6.7Е-08 |
2.0Е-07 |
3.7Е-07 |
2.0Е-07 |
4.6Е-07 |
8.0Е-07 |
3.6Е-06 |
4.6Е-06 |
6.0Е-06 |
|
90 % |
3.6Е-08 |
1.5Е-07 |
2.8Е-07 |
8.8Е-08 |
3.1Е-07 |
5.8Е-07 |
1.1Е-06 |
2.1Е-06 |
3.4Е-06 |
|
99 % |
2.6Е-08 |
1.3Е-07 |
2.5Е-07 |
5.5Е-08 |
2.6Е-07 |
5.1Е-07 |
3.6Е-07 |
1.4Е-06 |
2.6Е-06 |
|
Примечания 1 ВнастоящейтаблицеприведеныпримерызначенийPFHG, рассчитанныепоформуламвсоответствии сВ.3.2 исучетомпредположений, перечисленныхв В.1. Еслиподсистемадатчиков, логическая подсистемаили подсистемаоконечныхэлементоввходитвсоставтолькооднойголосующейгруппы, тоPFHGэквивалентнаPFHS, PFHLилиPFHFEсоответственно (см. В.3.1иВ.2.1). 2 Внастоящейтаблицепредполагается, чтоβ = 2 βD. Дляархитектур 1оо1 и 2оо2 значенияβиβDневлияют насреднюювероятностьотказа. |
ТаблицаВ.13 -Вероятностьотказавчас (врежимевысокойинтенсивностизапросовинепрерывном режиме) дляодногодичногоинтерваламеждуконтрольнымииспытаниямиидлясреднеговремениремонта 8 ч
Архитектура |
DC |
λ = 1.0Е-07 |
λ= 5.0Е-07 |
λ = 1.0Е-06 |
||||||
β = 2 % |
β = 10 % |
β = 20 % |
β = 2 % |
β = 10 % |
β = 20 % |
β = 2 % |
β = 10 % |
β = 20 % |
||
1оо1 (см. |
0 % |
5.0Е-08 |
2.5Е-07 |
5.0Е-07 |
||||||
60 % |
2.0Е-08 |
1.0Е-07 |
2.0Е-07 |
|||||||
90 % |
5.0Е-09 |
2.5Е-08 |
5.0Е-08 |
|||||||
99 % |
5.0Е-10 |
2.5Е-09 |
5.0Е-09 |
|||||||
1оо2 |
0 % |
1.0Е-09 |
5.0Е-09 |
1.0Е-08 |
5.5Е-09 |
2.5Е-08 |
5.0Е-08 |
1.2Е-08 |
5.2Е-08 |
1.0Е-07 |
60 % |
7.1Е-10 |
3.5Е-09 |
7.0Е-09 |
3.7Е-09 |
1.8Е-08 |
3.5Е-08 |
7.9Е-09 |
3.6Е-08 |
7.1Е-08 |
|
90 % |
5.5Е-10 |
2.8Е-09 |
5.5Е-09 |
2.8Е-09 |
1.4Е-08 |
2.8Е-08 |
5.7Е-09 |
2.8Е-08 |
5.5Е-08 |
|
99 % |
5.1Е-10 |
2.5Е-09 |
5.1Е-09 |
2.5Е-09 |
1.3Е-08 |
2.5Е-08 |
5.1Е-09 |
2.5Е-08 |
5.1Е-08 |
|
2оо2 (см. |
0 % |
1.0Е-07 |
5.0Е-07 |
1.0Е-06 |
||||||
60 % |
4.0Е-08 |
2.0Е-07 |
4.0Е-07 |
|||||||
90 % |
1.0Е-08 |
5.0Е-08 |
1.0Е-07 |
|||||||
99 % |
1.0Е-09 |
5.0Е-09 |
1.0Е-08 |
|||||||
1oo2D |
0 % |
1.0Е-09 |
5.0Е-09 |
1.0Е-08 |
5.5Е-09 |
2.5Е-08 |
5.0Е-08 |
1.2Е-08 |
5.2Е-08 |
1.0Е-07 |
60 % |
7.0Е-10 |
3.5Е-09 |
7.0Е-09 |
3.6Е-09 |
1.8Е-08 |
3.5Е-08 |
7.3Е-09 |
3.5Е-08 |
7.0Е-08 |
|
90 % |
5.5Е-10 |
2.8Е-09 |
5.5Е-09 |
2.8Е-09 |
1.4Е-08 |
2.8Е-08 |
5.5Е-09 |
2.8Е-08 |
5.5Е-08 |
|
99 % |
5.1Е-10 |
2.5Е-09 |
5.1Е-09 |
2.5Е-09 |
1.3Е-08 |
2.5Е-08 |
5.1Е-09 |
2.5Е-08 |
5.1Е-08 |
|
2оо3 |
0 % |
1.1Е-09 |
5.1Е-09 |
1.0Е-08 |
6.6Е-09 |
2.6Е-08 |
5.1Е-08 |
1.6Е-08 |
5.5Е-08 |
1.0Е-07 |
60 % |
7.3Е-10 |
3.5Е-09 |
7.0Е-09 |
4.1Е-09 |
1.8Е-08 |
3.5Е-08 |
9.6Е-09 |
3.7Е-08 |
7.2Е-08 |
|
90 % |
5.6Е-10 |
2.8Е-09 |
5.5Е-09 |
2.9Е-09 |
1.4Е-08 |
2.8Е-08 |
6.2Е-09 |
2.8Е-08 |
5.6Е-08 |
|
99 % |
5.1Е-10 |
2.5Е-09 |
5.1Е-09 |
2.5Е-09 |
1.3Е-08 |
2.5Е-08 |
5.1Е-09 |
2.5Е-08 |
5.1Е-08 |
ПродолжениетаблицыВ.13
Архитектура |
DC |
λ= 5.0Е-06 |
λ = 1.0Е-05 |
λ= 5.0Е-05 |
||||||
β = 2 % |
β = 10 % |
β = 20 % |
β = 2 % |
β = 10 % |
β = 20 % |
β = 2 % |
β = 10 % |
β = 20 % |
||
1оо1 (см. |
0 % |
2.5Е-06 |
5.0Е-06 |
> 1Е-05 |
||||||
60 % |
1.0Е-06 |
2.0Е-06 |
1.0Е-05 |
|||||||
90 % |
2.5Е-07 |
5.0Е-07 |
2.5Е-06 |
|||||||
99 % |
2.5Е-08 |
5.0Е-08 |
2.5Е-07 |
|||||||
1оо2 |
0 % |
1.0Е-07 |
2.9Е-07 |
5.4Е-07 |
3.1Е-07 |
6.8Е-07 |
1.1Е-06 |
5.8Е-06 |
6.9Е-06 |
8.5Е-06 |
60 % |
5.6Е-08 |
1.9Е-07 |
3.7Е-07 |
1.6Е-07 |
4.3Е-07 |
7.7Е-07 |
2.5Е-06 |
3.7Е-06 |
5.1Е-06 |
|
90 % |
3.3Е-08 |
1.4Е-07 |
2.8Е-07 |
7.7Е-08 |
2.9Е-07 |
5.7Е-07 |
8.2Е-07 |
1.9Е-06 |
3.2Е-06 |
|
99 % |
2.6Е-08 |
1.3Е-07 |
2.5Е-07 |
5.3Е-08 |
2.5Е-07 |
5.1Е-07 |
3.2Е-07 |
1.3Е-06 |
2.6Е-06 |
|
2оо2 (см. |
0 % |
5.0Е-06 |
1.0Е-05 |
> 1Е-05 |
||||||
60 % |
2.0Е-06 |
4.0Е-06 |
> 1Е-05 |
|||||||
90 % |
5.0Е-07 |
1.0Е-06 |
5.0Е-06 |
|||||||
99 % |
5.0Е-08 |
1.0Е-07 |
5.0Е-07 |
|||||||
1002D |
0 % |
1.0Е-07 |
2.9Е-07 |
5.4Е-07 |
3.1Е-07 |
6.8Е-07 |
1.1Е-06 |
5.8Е-06 |
6.9Е-06 |
8.5Е-06 |
60 % |
4.4Е-08 |
1.8Е-07 |
3.6Е-07 |
1.0Е-07 |
3.8Е-07 |
7.3Е-07 |
1.2Е-06 |
2.5Е-06 |
4.1Е-06 |
|
90 % |
2.8Е-08 |
1.4Е-07 |
2.8Е-07 |
5.7Е-08 |
2.8Е-07 |
5.5Е-07 |
3.3Е-07 |
1.4Е-06 |
2.8Е-06 |
|
99 % |
2.5Е-08 |
1.3Е-07 |
2.5Е-07 |
5.1Е-08 |
2.5Е-07 |
5.1Е-07 |
2.5Е-07 |
1.3Е-06 |
2.5Е-06 |
|
2оо3 |
0 % |
2.1Е-07 |
3.8Е-07 |
6.1Е-07 |
7.3Е-07 |
1.0Е-06 |
1.4Е-06 |
> 1Е-05 |
> 1Е-05 |
> 1Е-05 |
60 % |
9.9Е-08 |
2.3Е-07 |
4.0Е-07 |
3.3Е-07 |
5.8Е-07 |
9.0Е-07 |
6.8Е-06 |
7.5Е-06 |
8.4Е-06 |
|
90 % |
4.4Е-08 |
1.5Е-07 |
2.9Е-07 |
1.2Е-07 |
3.3Е-07 |
6.0Е-07 |
1.9Е-06 |
2.9Е-06 |
4.1Е-06 |
|
99 % |
2.7Е-08 |
1.3Е-07 |
2.5Е-07 |
5.8Е-08 |
2.6Е-07 |
5.1Е-07 |
4.4Е-07 |
1.4Е-06 |
2.7Е-06 |
|
Примечания 1 ВнастоящейтаблицеприведеныпримерызначенийPFHG, рассчитанные поформуламвсоответствиисВ.3.2 исучетомпредположений, перечисленныхвВ.1. Еслиподсистемадатчиков, логическая подсистемаилиподсистемаоконечныхэлементоввходитвсоставтолькооднойголосующейгруппы, тоPFHGэквивалентнаPFHS, PFHLилиPFHFEсоответственно (см. В.3.1иВ.2.1). 2 Внастоящейтаблицепредполагается, чтоβ = 2 βD. Дляархитектур 1оо1 и 2оо2 значенияβ иβDне влияютнасреднюювероятностьотказа. |
В.3.4. Пример режима высокой интенсивности запросов или непрерывного режима
Рассмотримфункциюбезопасности, дляреализациикоторойнужнасистемаSIL2. Пусть, построенныйна основепредыдущегоопыта, первоначальныйвариантархитектурывсейсистемывключаетоднугруппуиздвух датчиковсархитектурой 1оо2 навходе. Логическаяподсистема, рассматриваемойсистемы, представляетсобой PESсизбыточностьюсархитектурой 2оо3 иуправляетоднимзакрывающимконтактором. Архитектураописанной системыпредставленанарисункеВ.14. Дляэтойсистемыоценимсначалафункциюбезопасностипришестимесячномпериодеконтрольныхиспытаний. ТаблицыВ.14- В.16являютсяфрагментамитаблицыВ.12длясоответствующихданныхнарисункеВ.14.
Примечание-Долябезопасныхотказовдляподсистемыоконечныхэлементовпревышает 60 %.
РисунокВ. 14 -Архитектурасистемырассматриваемогопримерадлярежимавысокойинтенсивности запросовилинепрерывногорежима
ТаблицаВ.14 -Вероятностьотказавчасдляподсистемыдатчиковврассматриваемомпримерережима высокойинтенсивностизапросовилинепрерывногорежима (шестимесячныйинтервалконтрольныхиспытаний исреднеевремяремонта 8 ч)
Архитектура |
DC |
λ= 5.0Е-06 |
||
β = 2 % |
β = 10 % |
β = 20 % |
||
1оо2 |
0 % |
7.6Е-08 |
2.7Е-07 |
5.2Е-07 |
60 % |
4.6Е-08 |
1.8Е-07 |
3.6Е-07 |
|
90 % |
3.0Е-08 |
1.4Е-07 |
2.8Е-07 |
|
99 % |
2.6Е-08 |
1.3Е-07 |
2.5Е-07 |
|
Примечание-НастоящаятаблицапредставляетсобойфрагменттаблицыВ.12. |
ТаблицаВ.15 -Вероятностьотказавчасдлялогическойподсистемыврассматриваемомпримерережима высокойинтенсивностизапросовилинепрерывногорежима (шестимесячныйинтервалконтрольныхиспытаний исреднеевремяремонта 8 ч)
Архитектура |
DC |
λ= 5.0Е-06 |
||
β = 2 % |
β = 2 % |
β = 2 % |
||
2оо3 |
0 % |
4.2Е-07 |
7.7Е-07 |
1.2Е-06 |
60 % |
2.0Е-07 |
4.6Е-07 |
8.0Е-07 |
|
90 % |
8.8Е-08 |
3.1Е-07 |
5.8Е-07 |
|
99 % |
5.5Е-08 |
2.6Е-07 |
5.1Е-07 |
|
Примечание-НастоящаятаблицапредставляетсобойфрагменттаблицыВ.12. |
ТаблицаВ.16 -Вероятностьотказавчасдляподсистемыоконечныхэлементовв рассматриваемомпримерережимавысокойинтенсивностизапросовилинепрерывногорежима (шестимесячныйинтервалконтрольныхиспытанийисреднеевремяремонта 8 ч)
Архитектура |
DC |
λ = 1.0Е-06 |
1оо1 |
0 % |
5.0Е-07 |
60 % |
2.0Е-07 |
|
90 % |
5.0Е-08 |
|
99 % |
5.0Е-09 |
|
Примечание-НастоящаятаблицапредставляетсобойфрагменттаблицыВ.12. |
ДанныетаблицВ.14 – В.16 позволяютполучитьследующиезначения:
– дляподсистемыдатчиков:
PFHS= 5,2 × 10-7/h;
– длялогическойподсистемы:
PFHL= 5,5 × 10-8/h;
– дляподсистемыоконечныхэлементов:
PFHFE= 5,0 × 10-7/h;
следовательно, дляфункциибезопасности:
PFHSYS= 5,2 × 10-7 + 5,5 × 10-8 + 5,0 × 10-7
= 1,1 × 10-6/h
≡ уровень полноты безопасности 1.
Дляпереводасистемынауровеньполнотыбезопасности 2 выполняютодноизследующихдействий:
a) изменяюттиписпособустановкивходногодатчикадляулучшениязащитыототказасобщейпричиной, такимобразом, снижаязначениеβот 20 % до 10 %, aβDот 10 % до 5 %:
PFHS = 2,7 × 10-7/h
PFHL = 5,5 ×10-8/h
PFHFE= 5,0 × 10-7/h
PFHSYS = 8,3 ×10-7/h
≡уровеньполнотыбезопасности 2;
b) заменяютединственноевыходноеустройстводвумяустройствамисархитектурой 1оо2 (β = 10 % и βD = 5 %):
PFHS= 5,2×10-7/h
PFHL = 5,5×10-8/h
PFHFE = 5,1×10-8/h
PFHSYS = 6,3×10-7/h
≡ уровень полноты безопасности 2.
Подробностиоценкивероятностейотказаприведеныв [2]-[7].
Приложение С
(справочное)
Расчет диагностического охвата и доли безопасных отказов
МетодрасчетадиагностическогоохватаидолибезопасныхотказовприведенвМЭК 61508-2, приложениеС. НастоящееприложениесодержиткраткоеописаниеиспользованияэтогометодадлярасчетадиагностическогоохватаЕ/Е/РЕсистемы, связаннойсбезопасностью. Предполагается, чтоинформация, представленная вМЭК 61508-2, доступнаипринеобходимостииспользуетсяприполучениизначений, приведенныхвтаблице С.1. ВозможныедиапазоныдиагностическогоохватадлянекоторыхподсистемиликомпонентЕ/Е/РЕсистем, связанныхсбезопасностью, представленывтаблицеС.2. Значения, представленныевтаблицеС.2, опираются наинженерныеоценки.
ДлявычислениявсехзначенийтаблицыС.1потребоваласьбыподробнаясхемааппаратныхсредств, с помощьюкоторойможноопределитьвлияниевсехрежимовотказов. Представленныевтаблице С.1значения приведенывкачествепримера (длянекоторыхкомпонентовтаблицыС.1диагностическийохватнеопределен, таккакпрактическиневозможнообнаружитьвсережимыотказовэтихкомпонентов).
ТаблицаС.1быласформированаследующимобразом:
a) Дляопределениявлияниякаждоговидаотказовкаждогокомпонентанаповедениесистемыбездиагностическихиспытанийбылпроведенанализвидовивлиянияотказов. Длякаждогокомпонентаприведеныдоли безопасныхотказовSиопасныхотказовDотобщейинтенсивностиотказов, связанныескаждымвидомотказов. Дляпростыхкомпонентовделениенаопасныеибезопасныеотказыможетбытьчеткоопределено, востальных случаях-основанонаинженернойоценке. Длясложныхкомпонентов, еслидетальныйанализкаждоговида отказаневозможен, считают, чтоотказыделятсявсоотношении: 50 % безопасных, 50 % -опасных. ДляформированиятаблицыС.1 использовалисьвидыотказов, задаваемыеименнотакимраспределением, хотявозможно идругое, болеепредпочтительноераспределениеповидамотказов.
b) ЗначениядиагностическогоохватадлякаждогоконкретногодиагностическогоиспытаниякаждогокомпонентапомещаютвстолбцеDCcompтаблицыС.1. Втаблице С.1такжеприведеныконкретныезначениядиагностическихохватовдляобнаружениякакбезопасных, такиопасныхотказов. Былопоказано, чтодляпростыхкомпонентов (например, резисторов, конденсаторовитранзисторов) отказыиз-заотсутствияконтактаиликороткого замыканияобнаруживаютсясдиагностическимохватом 100 %, темнеменееиспользованиетаблицы С.2ограничиваетдиагностическийохватзначением 90 % длякомпонентаU16 комплексногокомпонентатипаВ.
c) Встолбцах 1 и 2 таблицыС.1приведеныинтенсивностибезопасныхλSиопасныхλDD+ λDUотказовдля каждогокомпонентаприотсутствиидиагностическихиспытаний.
d) Обнаруженныйопасныйотказсчитаютфактическибезопасным, чтопозволяетопределитьотношение междуфактическибезопаснымиотказами (т.е. любымиобнаруженнымибезопасными, необнаруженнымибезопаснымиилиобнаруженнымиопаснымиотказами) инеобнаруженнымиопаснымиотказами. Интенсивность фактическибезопасныхотказовопределяютпроизведениемзначенияинтенсивностиопасныхотказовизначениядиагностическогоохватадляопасныхотказовисложениемрезультатасозначениеминтенсивностибезопасныхотказов (см. столбец 3 таблицыС.1). Точнотакжеинтенсивностьнеобнаруженныхопасныхотказовопределяютвычитаниемдиагностическогоохватадляопасныхотказовизединицыиумножениемрезультатанаинтенсивностьопасныхотказов (см. столбец 4 таблицыС.1).
e) Встолбце 5 таблицыС.1приведенызначенияинтенсивностиобнаруженныхбезопасныхотказов, а встолбце 6 таблицыС.1- значенияинтенсивностиобнаруженныхопасныхотказов, полученныеумножениемзначениядиагностическогоохватаназначенияинтенсивностибезопасныхиопасныхотказовсоответственно.
f) ИспользованиетаблицыС.1даетследующиерезультаты:
– общаяинтенсивностьбезопасныхотказов, включаяобнаруженныеопасныеотказы:
– общаяинтенсивностьнеобнаруженныхопасныхотказов:
– общаяинтенсивностьотказов:
– общаяинтенсивностьнеобнаруженныхбезопасныхотказов:
– диагностическийохватдлябезопасныхотказов:
– диагностическийохватдляопасныхотказов (обычноназываемый«диагностическимохватом»):
– долябезопасныхотказов:
g) Бездиагностическихиспытанийинтенсивностьотказовраспределяетсяследующимобразом: 35 % безопасныхотказови 65 % -опасныхотказов.
ТаблицаС.1 -Расчетдиагностическогоохватаидолибезопасныхотказов
Компонент |
№ |
Тип |
Распределение на безопасные и опасные отказы для каждого вида отказов |
Распределение на безопасные и опасные отказы для диагностического охвата и рассчитанных интенсивностей отказов (×10-9 ч-1) |
||||||||||||||
ОС |
SC |
Изменение |
Фукцио- |
DCcomp |
1 |
2 |
3 |
4 |
5 |
6 |
||||||||
S |
D |
S |
D |
S |
D |
S |
D |
S |
D |
λS |
λDD+λDU |
λS+λDD |
λDU |
λSD |
λDD |
|||
|
1 |
Печать |
0,5 |
0,5 |
0,5 |
0,5 |
0 |
0 |
0 |
0 |
0,99 |
0,99 |
11,0 |
11,0 |
21,9 |
0,1 |
10,9 |
10,9 |
СN1 |
1 |
Con96pin |
0,5 |
0,5 |
0,5 |
0,5 |
0,99 |
0,99 |
11,5 |
11,5 |
22,9 |
0,1 |
11,4 |
11,4 |
||||
C1 |
1 |
100 нФ |
1 |
0 |
1 |
0 |
0 |
0 |
0 |
0 |
1 |
0 |
3,2 |
0,0 |
3,2 |
0,0 |
3,2 |
0,0 |
С2 |
1 |
10 мкФ |
0 |
0 |
1 |
0 |
0 |
0 |
0 |
0 |
1 |
0 |
0,8 |
0,0 |
0,8 |
0,0 |
0,8 |
0,0 |
R4 |
1 |
1 М |
0,5 |
0,5 |
0,5 |
0,5 |
1 |
1 |
1,7 |
1,7 |
3,3 |
0,0 |
1,7 |
1,7 |
||||
R6 |
1 |
100 К |
0 |
0 |
0,0 |
0,0 |
0,0 |
0,0 |
0,0 |
0,0 |
||||||||
OSC1 |
1 |
ОSС24 МГц |
0,5 |
0,5 |
0,5 |
0,5 |
0,5 |
0,5 |
0,5 |
0,5 |
1 |
1 |
16,0 |
16,0 |
32,0 |
0,0 |
16,0 |
16,0 |
U8 |
1 |
74НСТ85 |
0,5 |
0,5 |
0,5 |
0,5 |
0,5 |
0,5 |
0,5 |
0,5 |
0,99 |
0,99 |
22,8 |
22,8 |
45,4 |
0,2 |
22,6 |
22,6 |
U16 |
1 |
МС68000-12 |
0 |
1 |
0 |
1 |
0,5 |
0,5 |
0,5 |
0,5 |
0,90 |
0,90 |
260,4 |
483,6 |
695,6 |
48,4 |
234,4 |
435,2 |
U26 |
1 |
74НСТ74 |
0,5 |
0,5 |
0,5 |
0,5 |
0,5 |
0,5 |
0,5 |
0,5 |
0,99 |
0,99 |
22,8 |
22,8 |
45,4 |
0,2 |
22,6 |
22,6 |
U27 |
1 |
74F74 |
0,5 |
0,5 |
0,5 |
0,5 |
0,5 |
0,5 |
0,5 |
0,5 |
0,99 |
0,99 |
14,4 |
14,4 |
28,7 |
0,1 |
14,3 |
14,3 |
U28 |
1 |
PAL16L8A |
0 |
1 |
0 |
1 |
0 |
1 |
0 |
1 |
0,98 |
0,98 |
0,0 |
88,0 |
86,2 |
1,8 |
0,0 |
86,2 |
T1 |
1 |
ВС817 |
0 |
0 |
0 |
0,67 |
0 |
0,5 |
0 |
0 |
1 |
1 |
0,0 |
0,2 |
0,4 |
0,0 |
0,0 |
0,2 |
Всего |
365 |
672 |
986 |
50,9 |
338 |
621 |
||||||||||||
S– безопасный отказ; D– опасный отказ; ОС– потеря контакта; SC– короткое замыкание; DCcomp– диагностический охват для компонента Примечания 1 Не обнаружен ни один вид отказа для компонента R6, т.е. его отказ не влияет на безопасность и готовность системы. 2 См. также таблицу В.1 (в настоящей таблице интенсивности отказов приведены только для отдельных рассматриваемых компонентов в канале, а не для каждого компонента). |
ТаблицаС.2 -Уровниидиапазоныдиагностическогоохватаразличныхподсистем (компонентов)
Компонент |
Низкий диагностический охват |
Средний диагностический охват |
Высокий диагностический охват |
Процессор (см. примечание 3): |
в сумме менее 70 % |
в сумме менее 90 % |
|
– регистр |
50 %-70 % |
85 %-90 % |
99 %-99,99 % |
– внутренняя регистровая память (см. примечание 3) |
50 %-60 % |
75 %-95 % |
– |
– блок кодирования и выполнения, включающий регистр тэгов (см. примечание 3) |
50 %-70 % |
85 %-98 % |
– |
– устройство вычисления адреса |
50 %-60 % |
60 %-90 % |
85 %-98 % |
– счетчик команд |
50 %-70 % |
– |
– |
– указатель стека |
40 %-60 % |
– |
|
Шина: |
|||
– модуль управления памятью |
50 % |
70 % |
90 %-99 % |
– устройство управления шины |
50 % |
70 % |
90 %-99 % |
Обработка прерываний |
40 % – 60 % |
60 % – 90 % |
85 % – 98 % |
Кварцевый тактовый генератор (см. примечание 4) |
50 % |
– |
95 %-99 % |
Контроль выполнения программы: |
|||
– временное (см. примечание 3) |
40 %-60 % |
60 %-80 % |
– |
– логическое (см. примечание 3) |
40 %-60 % |
60 %-90 % |
– |
– временное и логическое (см. примечание 5) |
– |
65 %-90 % |
90 %-98 % |
Постоянная память |
50 %-70 % |
99 % |
99,99 % |
Непостоянная память |
50 %-70 % |
85 %-90 % |
99 %-99,99 % |
Дискретное оборудование: |
|||
– цифровой ввод/вывод |
70 % |
90 % |
99 % |
– аналоговый ввод/вывод |
50 %-60 % |
70 %-85 % |
99 % |
– источник питания |
50 % – 60 % |
70 % – 85 % |
99% |
Устройство связи и запоминающее устройство большой емкости |
90 % |
99,9 % |
99,99 % |
Электромеханические устройства |
90 % |
99 % |
99,9 % |
Датчики |
50 %-70 % |
70 %-85 % |
99 % |
Оконечные элементы |
50 %-70 % |
70 %-85 % |
99 % |
Примечания 1 НастоящуютаблицуприменяютсовместносМЭК 61508-2, таблицаА.1, вкоторомприведеныанализируемыевидыотказов. 2 Еслидлядиагностическогоохватазаданконкретныйдиапазон, верхниеграницыинтерваламогутбыть определенытолькодляузкогокругасредствконтроляилитестирования, которыереализуютчрезвычайно динамичнуюнагрузкудляпроверяемойфункции. 3 Внастоящеевремядляподсистем, схемывысокогодиагностическогоохватакоторыхотсутствуют, средстваиметодывысокойдостоверностидиагностикинеизвестны. 4 Внастоящеевремядлякварцевыхтактовыхгенераторовсредства иметодысреднейдостоверности неизвестны. 5 Низкийдиагностическийохватдлякомбинациивременногоилогическогоконтролявыполненияпрограммыявляетсясредним. |
Полезнуюинформациюможнонайтив [8]-[10].
Приложение D
(справочное)
Методика количественного определения влияния отказов аппаратных средств с общей причиной в Е/Е/РЕ системах
D.1 Общиеположения
Настоящийстандартвключаетвсебярядметодов, рассматривающихсистематическиеотказы. Однаконезависимооттого, насколькоэффективныэтиметоды, существуетостаточнаявероятностьвозникновениясистематическихотказов. Этонезначительновлияетнарезультатырасчетанадежностидляодноканальныхсистем, однаковозможностьпоявленияотказов, способныхповлиятьнанесколькоканаловмногоканальнойсистемы, т.е. отказовпообщейпричине, приводитксущественнымошибкамприрасчетахнадежностимногоканальныхсистем.
Внастоящемприложенииприводитсяописаниеметодики, позволяющейучитыватьотказыпообщейпричинеприоценкебезопасностимногоканальныхЕ/Е/РЕсистем. Использованиеданнойметодикидаетболееточную оценкуполнотыбезопасноститакойсистемы, чемприигнорированииотказовпообщейпричине.
Даннаяметодикаиспользуетсядлярасчетазначенияβ, β-фактора, частоиспользуемогопримоделированииотказовпообщейпричине. Описываемаяметодикаможетбытьиспользованадляоценкиинтенсивности отказовпообщейпричиневслучаедвухилиболеепараллельноработающихсистем, еслиизвестнаинтенсивностьслучайныхотказоваппаратныхсредствдляоднойизэтихсистем (см. D.5). Внекоторыхслучаяхпредпочтительнееальтернативныеметодики, например, еслиблагодаряналичиюданныхоботказахпообщейпричине можнополучитьболееточноезначениеβ-фактора.
D.2 Краткий обзор
Считается, чтоотказысистемыбываютдвухвидов:
– случайныеотказыаппаратныхсредств;
– систематическиеотказы.
Предполагается, чтоотказыпервоговидавозникаютслучайноповременидлялюбогокомпонентаиприводяткотказуканаласистемы, частьюкоторогоявляетсясоответствующийкомпонент. Существуетнекотораявероятностьтого, чтововсехканалахмногоканальнойсистемымогутпроизойтинезависимыеслучайныеотказы аппаратныхсредств, вследствиечеговсеканалыодновременноокажутсянеработоспособными. Таккакпредполагается, чтотакиеотказыаппаратныхсредстввозникаютвовременислучайно, вероятностьтакихотказов, одновременновозникающихвпараллельныхканалах, низкапосравнениюсвероятностьюотказаодногоканала. Такая вероятностьможетбытьрассчитанаспомощьюхорошоизвестныхметодов.
Однаконекоторыеотказы, напримеротказыпообщейпричине, являющиесяследствиемоднойпричины, могутвлиятьнанесколькоканалов, чтоможетбытьследствиемсистематическойошибки (например, конструктивнойилиошибкитехническихусловий) иливнешнеговоздействия, ведущегокпреждевременнымслучайнымаппаратнымотказам (например, избыточнойтемпературы, возникающейиз-заслучайногоотказааппаратногосредства, обычноговентилятора, чтосокращаетвремяжизникомпонентовилинарушаетзаданныеусловияокружающейсредыдляихработы), иликомбинацииэтихфакторов. Таккакотказыпообщейпричинечащевлияютна несколькоканаловмногоканальнойсистемы, товероятностьтакогоотказа, скореевсего, будетдоминирующим факторомприопределенииобщейвероятностиотказамногоканальнойсистемы. Еслинеучитыватьэтотфактор, будеттруднополучитьправильнуюоценкууровняполнотыбезопасности.
Хотяотказыпообщейпричинеявляютсяследствиемоднойпричины, онинеобязательнопроявляютсяво всехканалаходновременно. Например, приотказевентиляторавсеканалымногоканальнойЕ/Е/РЕсистемы могутотказать, чтоведеткотказупообщейпричине. Однаконеобязательновсеканалынагреваютсясодинаковой скоростьюилиимеютобщуюкритическуютемпературу. Следовательно, отказывозникаютвразныхканалахв разноевремя.
Архитектурапрограммируемыхсистемпозволяетимвыполнятьвнутреннеедиагностическоетестирование непосредственнововремяработы, чтоможетбытьреализованоразличнымиспособами, например:
– одинканалPESодновременнособеспечениемработывходногоивыходногоустройствможетнепрерывновыполнятьвнутреннююпроверкусвоейработы. Наэтапепроектированияможнодостичьзначениятестового охвата, равного 99 % (см. [11]). Если 99 % внутреннихсбоевобнаруженыдотого, какониприведуткотказу, вероятностьсбоеводногоканала, которыемогут, вконечномсчете, статьчастьюотказовпообщейпричине, значительноснижается;
– помимовнутреннеготестированиякаждыйканалPESможетотслеживатьвыходыдругихканаловмногоканальнойPES (иликаждоеРЕ-устройствоможетотслеживатьдругоеРЕ-устройствосистемы, состоящейизнесколькихРЕ-устройств). Следовательно, отказ, возникшийводномканале, можетбытьобнаружен, иодинили несколькооставшихсянеотказавшихканаловбудутвыполнятьперекрестныйконтрольиинициироватьбезопасноевыключение (следуетотметить, чтоперекрестныйконтрольэффективен, еслисостояниесистемыуправления постоянноменяется, например, приналичиичастоиспользуемойвциклическиработающемустройствезащитной блокировкиилипривнесениивустройствонебольшихизменений, невлияющихнауправляющуюфункцию). Интенсивностьвыполняемогоперекрестногоконтроляможетбытьдостаточновысока, поэтомунепосредственно переднеодновременнымиотказамипообщейпричинеперекрестныйконтроль, скореевсего, обнаружитпервый отказавшийканалипозволитперевестисистемувбезопасноесостояниедомоментаотказавторогоканала.
Например, длявентилятораскоростьростатемпературыивосприимчивостьканаловнесколькоразличаются, поэтомувторойканал, возможно, откажетспустянесколькодесятковминутпослепервого. Этопозволяет последиагностическоготестированияинициироватьбезопасноеотключениепервогоотказавшегоканаладотого, какпообщейпричинеоткажетвторойканал.
Такимобразом:
– РЕ-системыобладаютвозможностьюформироватьбарьерызащитыототказовпообщейпричинеи, следовательно, вменьшейстепениподверженыимпосравнениюсдругимитехнологиями;
– дляРЕ-системможноиспользоватьβ-фактор, отличающийсяотβ-факторадлядругихтехнологий. Следовательно, оценкиβ-фактора, опирающиесянапредыдущиезначенияоценкиинтенсивностиотказов, скореевсего, окажутсянеправильными (ниоднаизизвестныхсуществующихмоделейоценкивероятностиотказапообщей причиненеучитываетэффектавтоматическогоперекрестногоконтроля);
– таккакразнесенныевовремениотказыпообщейпричинемогутбытьобнаруженыспомощьюдиагностическоготестированиядоотказавсехканалов, подобныеотказымогутневосприниматьсякакотказыпообщей причине.
Существуеттриспособауменьшениявероятностипотенциальноопасныхотказовпообщейпричине:
1) уменьшениеобщегочисласлучайныхаппаратныхисистематическихотказов (этоуменьшаетплощади эллипсов, представленныхнарисункеD.1, приводякуменьшениюплощадипересеченияэллипсов);
2) максимальноеувеличениенезависимостиканалов (этоуменьшаетплощадьпересеченияэллипсов, представленныхнарисункеD.1, неменяяплощадисамихэллипсов);
3) обнаружениенеодновременныхотказовпообщейпричине, когданеисправнымстановитсятолькоодин канал, дотогокакстанетнеисправнымвторой, т. е. использованиедиагностическоготестирования.
Настоящийстандартиспользуетэтитриспособаитребуетподхода, состоящегоизследующихтрехэтапов:
1) использованиеметодовпоМЭК 61508-3 длясниженияобщейвероятностисистематическихотказовдо уровня, соизмеримогосвероятностьюслучайныхаппаратныхотказов;
2) количественноеопределениефакторов, которыемогутбытьколичественноопределены, т.е. учетвероятностислучайногоаппаратногоотказа, какопределеновМЭК 61508-2;
3) определениеотношения, связывающеговероятностьотказапообщейпричинесвероятностьюслучайногоотказааппаратныхсредствсиспользованиемпрактическихсредств, которыесчитаютсялучшимивнастоящее время. Внастоящемприложенииописанаметодикаопределенияэтогоотношения.
Рисунок D.1 – Связь между отказами с общей причиной и отказами отдельных каналов
Большинствометодикоценкивероятностиотказовпообщейпричинеформируютпрогнозынаосновевероятностислучайногоаппаратногоотказа. Несомненно, непосредственнойвзаимосвязимеждуэтимивероятностяминет, темнеменеенапрактикенекотораякорреляциямеждунимибыланайденаи, возможно, является следствиемэффектоввторогопорядка. Например, высокаявероятностьслучайногоаппаратногоотказасистемы связана:
– сбольшимобъемомобслуживания, которыйтребуетсистема. Авероятностьсистематическогоотказа, являющегосяследствиемобслуживания, зависитотчислапроведенныхсеансовобслуживания, чтотакжеповысит интенсивностьвоздействиячеловеческихошибок, приводящеекотказампообщейпричине. Такимобразом возникаетсвязьмеждувероятностьюслучайногоаппаратногоотказаивероятностьюотказапообщейпричине, например, послекаждогослучайногоаппаратногоотказатребуетсяремонт, азанимтестированиеи, возможно, повторнаякалибровка. Крометого, длязаданногоуровняполнотыбезопасностисистемасбольшейвероятностьюслучайногоаппаратногоотказатребуетболеечастогопроведенияконтрольныхиспытанийисбольшейглубиной/сложностью, чтотакжеувеличиваетвлияниечеловеческогофактора;
– сосложностьюсистемы. Вероятностьслучайногоаппаратногоотказазависитотчислакомпонентови, следовательно, сложностисистемы. Сложнуюсистемутруднеепонять, поэтомуунеевышевероятностьпоявлениясистематическихошибок. Крометого, сложностьсистемызатрудняетобнаружениеотказовпутеманализа илитестированияиможетприводитьктому, чточастьлогикисистемыбудетвыполнятьсятолькоприредковстречающихсяусловиях. Этотакжеприводиткпоявлениюсвязимеждувероятностьюслучайногоаппаратногоотказа ивероятностьюотказапообщейпричине.
Несмотрянаограничениярассматриваемыхмоделей, считается, чтовнастоящеевремяонипредставляют собойлучшийспособоценкивероятностиотказапообщейпричинедлямногоканальнойсистемы. Описываемый внастоящемподразделеметоддлятретьегоэтапарассматриваемойвнастоящемприложенииметодикиоснованнаобщепризнанноймоделиβ-фактора.
Прииспользованиимоделиβ-факторадляЕ/Е/РЕ-системывозникаютследующиепроблемы:
– выборзначенияβ-фактора. Многиеисточники (например, см. [11]) предлагаютдиапазонывозможных значенийβ-фактора, нонеопределяютихконкретныезначения, оставляявыборзапользователем. Чтобырешитьэтупроблему, методика, представленнаявнастоящемприложении, основываетсянаподходе, первоначальноописанномв [12] изатемскорректированномв [13];
– модельβ-факторанеучитываетразвитыевозможностидиагностическоготестированиясовременныхPES, которымиможновоспользоватьсядляобнаружениянеодновременныхотказовпообщейпричинедотого, как отказполностьюпроявитсебя. Дляпреодоленияэтойпроблемыподход, описанныйв [12] искорректированный в [13], былизмененстем, чтобыотразитьвлияниедиагностическоготестированияприоценкевозможногозначенияβ.
Функциидиагностическоготестирования, выполняющиесявнутриPES, обеспечиваютнепрерывноесравнениеработыPESсзаранееопределеннымисостояниями. Этисостоянияпредварительноопределяютсяпрограммноилиаппаратно (напримерспомощьюконтрольноготаймера). Рассматриваемыетакимобразомфункциидиагностическоготестированияможносчитатьдополнительнымиичастичноразличающимисядляканалов, работающихвPESпараллельно.
Такжеможетиспользоватьсяметодперекрестногоконтроляканалов. Многиегодыэтотметодприменялся вдвухканальныхсистемахсвзаимнойблокировкой, построенныхисключительнонареле. Однакорелейнаятехнологияобычнопозволяетпроводитьперекрестноетестированиетолькововремяизменениясостоянияканалов, чтоделаеттакоетестированиенеподходящимдляобнаружениянеодновременныхотказовпообщейпричине, еслисистемыостаютсяводном (например, включенном) состояниивтечениедлительноговремени. СпомощьютехнологииPESперекрестныйконтрольможетпроводитьсясвысокойчастотой.
D.3 Область применения методики
Областьпримененияметодикиограниченааппаратнымиотказамипообщейпричинепоследующимпричинам:
– модельβ-факторасвязываетвероятностьотказовпообщейпричинесвероятностьюслучайныхаппаратныхотказов. Вероятностьотказовпообщейпричине, затрагивающихсистемувцелом, зависитотсложности системы (вкоторойглавнуюрольвозможноиграетпользовательскоепрограммноеобеспечение), анетолькоот аппаратуры. Очевидно, чтолюбыерасчеты, основанныенавероятностислучайногоаппаратногоотказа, немогут учитыватьсложностьпрограммногообеспечения;
– информированиеоботказахпообщейпричинеобычноограничиваетсяаппаратнымиотказами, чтоявляетсяглавнойзаботойпроизводителейоборудования;
– моделированиесистематическихотказов (например, отказовпрограммногообеспечения) считаетсяпрактическинеосуществимым;
– цельюмероприятий, определенныхвМЭК 61508-3, являетсяснижениевероятностиотказовпообщей причине, связанныхспрограммнымобеспечением, дозначения, приемлемогодлянеобходимогоуровняполнотыбезопасности.
Следовательно, оценкавероятностиотказапообщейпричине, выполненнаяподаннойметодике, связана толькосаппаратнымиотказами. Этуметодикунедопускаетсяиспользоватьдляполученияобщейинтенсивности отказов, учитывающейвероятностьотказа, связанногоспрограммнымобеспечением.
D.4 Особенности методики
Таккакнадатчики, логическуюподсистемуиоконечныеэлементывлияют, напримерразличныеусловия окружающейсреды, длякаждойизэтихподсистемнастоящуюметодикуприменяютнезависимо. Например, логическуюподсистемупрощепоместитьвконтролируемуюсреду, адатчикимогутбытьустановленыснаружии подвергнутывнешнемувоздействию.
Программируемыеэлектронныеканалыпредоставляютвозможностьдляреализацииразнообразныхфункцийдиагностическоготестированияиспособны:
– обеспечиватьвысокийдиагностическийохватвпределахконкретныхканалов;
– контролироватьдополнительныеизбыточныеканалы;
– обеспечиватьвысокуючастотуповторения;
– контролироватьсповышеннойчастотойдатчикии/илиоконечныеэлементы.
Чащевсегоотказыпообщейпричиненевозникаютодновременнововсехзатронутыхканалах. Поэтому, есличастотаповторениядиагностическоготестированиядостаточновысока, большуючастьотказовпообщей причинеможнообнаружитьи, следовательно, устранитьдотого, какбудутзатронутыостальныедоступныеканалы.
Невсефункциимногоканальнойсистемы, обеспечивающиеустойчивостькотказампообщейпричине, можнопроверитьспомощьюдиагностическоготестирования. Однакоэффективностьэтихфункций, связанныхс диверсификациейилинезависимостью, постоянноповышается. Любаяфункция, которая, возможно, увеличиваетвремямеждуотказамиканаловвслучаенеодновременногоотказапообщейпричине (илиуменьшаетдолю одновременныхотказовпообщейпричине), увеличиваетвероятностьобнаруженияотказапридиагностическом тестированииипереводаустановкивбезопасноесостояние. Следовательно, функции, связанныесустойчивостьюкотказампообщейпричине, делятсянафункции, влияниекоторыхпредположительновозрастаетприиспользованиидиагностическоготестирования, ивлияниекоторыхнеменяется (см. таблицуD.1, столбцыXиYсоответственно).
Хотядлятрехканальнойсистемывероятностьотказовпообщейпричине, влияющихнавсетриканала, скореевсегозначительнонижевероятностиотказов, влияющихнадваканала, дляупрощенияметодикипредполагается, чтовероятностьотказовнезависитотчислазатрагиваемыхканалов, т.е. возникающийотказпообщей причинезатрагиваетвсеканалы.
Данныхобаппаратныхотказахпообщейпричине, необходимыхдлякалибровкиметодики, несуществует, поэтомуданныетаблицвнастоящемприложенииосновываютсянаинженерныхоценках.
Иногдапроцедурыдиагностическоготестированиянерассматриваютсякакнеобходимыедляобеспечения безопасности, поэтомуихуровеньобеспечениякачестваможетбытьниже, чемпроцедур, обеспечивающихосновныефункцииуправления. Даннаяметодикабыларазработанавпредположении, чтоуровеньполнотыбезопасностидлядиагностическоготестированиясоответствуеттребуемому. Следовательно, любыепрограммные процедурыдиагностическоготестированиядолжныразрабатыватьсясиспользованиемметодов, соответствующихтребуемомууровнюполнотыбезопасности.
D.5 Использование β-фактора для вычисления вероятности отказа Е/Е/РЕ-системы, связанной с безопасностью, из-за отказов по общей причине
Влияниеотказовпообщейпричиненамногоканальнуюсистемусдиагностическимтестированиемследует рассматриватьвкаждомизканаловсистемы.
Используямодельβ-фактора, дляинтенсивностиопасныхотказовпообщейпричинеполучимλDβ, где λD-интенсивностьопасныхслучайныхаппаратныхотказовдлякаждогоотдельногоканала, аβ-β-факторв отсутствиедиагностическоготестирования, т. е. доляотказоводногоканала, влияющихнавсеканалы.
Предположим, чтоотказыпообщейпричиневлияютнавсеканалы, апромежутоквременимеждупервым иостальнымиотказавшимиканаламималпосравнениюсинтерваломвременимеждупоследовательными отказамипообщейпричине.
Пустьвкаждомканалеприменяетсядиагностическоетестирование, котороеобнаруживаетивскрывает частьотказов. Отказыподразделяютнадвекатегории: отказы, которыенаходятсявнеохватадиагностического тестирования (т.е. немогутбытьобнаружены), иотказывпределахохвата (которыебудутобнаруженыдиагностическимтестированием).
Поэтомуобщуюинтенсивностьотказовсистемы, вызванныхопаснымиотказамипообщейпричине, вычисляютпоформуле
βDUβ+ λDDβD,
где
λDU-интенсивностьнеобнаруженныхотказоводногоканала, т. е., интенсивностьопасныхотказов, находящихсязапределамиохватадиагностическоготестирования; очевидно, любоеуменьшениеβ-фактора, являющеесяследствиемчастотыпроведениядиагностическоготестирования, неможетповлиятьна λDU;
β-факторотказовпообщейпричинедлянеобнаруживаемыхопасныхотказов, которыйравенобщему β-фактору, применяемомувотсутствиедиагностическоготестирования;
λDD-интенсивностьобнаруженныхопасныхотказоводногоканала (т.е. интенсивностьопасныхотказов одногоканала), находящихсявпределахохватадиагностическоготестирования; есличастотапроведениядиагностическоготестированиявысока, доляобнаруженныхотказовведеткуменьшениюзначенияβ, т.е. βD;
βD-доляопасныхотказовпообщейпричине, обнаруживаемыхдиагностическимитестами. СувеличениемчастотыпроведениядиагностическоготестированиязначениеβDстановитсяменьшеβ.
ЗначениеβопределяетсяпотаблицеD.4спомощьюоценкиS = X + Y(см. D.6).
ЗначениеβDопределяетсяпотаблицеD.4 спомощьюоценкиSD= X(Z + 1) + Y.
D.6 Использование таблиц для оценки β
Оценкуβ-факторарассчитываютотдельнодлядатчиков, логическойподсистемыиоконечныхэлементов.
Длятогочтобысвестикминимумувероятностьвозникновенияотказовпообщейпричине, следуетсначала определитьсредства, эффективнозащищающиеотпоявлениятакихотказов. Реализациясоответствующихсредств всистемеведеткуменьшениюзначенияβ-фактора, используемогоприоценкевероятностиотказасистемыиз-за отказовпообщейпричине.
Мероприятияисоответствующиеимзначения (баллы) параметровXиY, полученныеспомощьюинженернойоценкииописывающиевкладкаждогоизмероприятийвуменьшениечислаотказовпообщейпричине, перечисленывтаблицеD.1. Таккакдатчикииоконечныеэлементыанализируютсяиначе, чемпрограммируемая электроника, втаблицеD.1 используютсястолбцыXLSиYLSдляпрограммируемыхэлектронныхсредствистолбцы XSFиYSFдлядатчиковилиоконечныхэлементов.
Программируемыеэлектронныесистемымогутиспользоватьинтенсивноедиагностическоетестирование, позволяющееобнаруживатьнеодновременныеотказыпообщейпричине. Дляучетадиагностическоготестированияприоценкеβ-фактораобщийвкладкаждогоизмероприятийвтаблицеD.1 разделенсиспользованием инженернойоценкинанаборызначенийXиY. ДлякаждогоконкретногомероприятияотношениеХ:Упредставляетсобоймеруповышениявкладаэтогомероприятиявборьбусотказамипообщейпричинеблагодарядиагностическомутестированию.
ПользовательтаблицыD.1 долженопределить, какиемероприятиябудутиспользованыдлярассматриваемойсистемы, исложитьсоответствующиемероприятиямбаллы, приведенныевграфахXLSиYLSдлялогической подсистемыиливграфахXSFиYSF-длядатчиковилиоконечныхэлементов, получивсуммыXиYсоответственно.
КоэффициентZопределяютпотаблицамD.2иD.3почастотеиохватудиагностическоготестированияс учетомпримечания, определяющего, когдаследуетиспользоватьненулевоезначениеZ. Затем (принеобходимости) рассчитываютсуммубалловS (см. D.5) поформулеS = X + Y-дляполучениязначенияβ (β-факторадля необнаруженныхотказов) иSD= X(Z + 1) + Y-дляполучениязначенияβD (βD-факторадляобнаруженных отказов), гдеSилиSD-баллы, используемыевтаблицеD.4дляопределениясоответствующегоβ-фактора.
ТаблицаD.1 – Оценкамероприятий (барьеров) защитыпрограммируемыхэлектронныхсредствили датчиков/оконечныхэлементовотвозникновенияотказовпообщейпричине
Мероприятие |
Логическая подсистема |
Датчики и оконечные элементы |
||
XLS |
YLS |
XSF |
YSF |
|
Разделение/выделение |
||||
Везде ли сигнальные кабели каналов разделены между собой |
1,5 |
1,5 |
1,0 |
2,0 |
Расположены ли логические подсистемы каналов на отдельных печатных платах |
3,0 |
1,0 |
– |
– |
Расположены ли логические подсистемы каналов в отдельных шкафах |
2,5 |
0,5 |
– |
– |
Если датчики/оконечные элементы включают в себя собственную управляющую электронику, то расположена ли электроника для каждого канала на отдельной печатной плате |
– |
– |
2,5 |
1,5 |
Если датчики/оконечные элементы включают собственную управляющую электронику, то расположена ли электроника для каждого канала в различных помещениях и различных шкафах |
– |
– |
2,5 |
0,5 |
Диверсификация/избыточность |
||||
Реализованы ли в каналах различные электрические технологии, например, один канал электронный или программируемый электронный, а для другого используются реле |
7,0 |
– |
– |
– |
Реализованы ли в каналах различные электронные технологии, например, один канал – электронный, а другой – программируемый электронный |
5,0 |
– |
– |
– |
Используют ли устройства различные физические принципы для датчиков, например, давления и температуры, анемометр с вертушкой и доплеровский датчик и т.д. |
– |
– |
7,5 |
– |
Используют ли устройства различные электрические принципы/конструкции, например, цифровые и аналоговые, с компонентами от различных производителей (но не уцененные) или с различной технологией |
– |
– |
5,5 |
– |
Используют ли каналы повышенную избыточность с архитектурой MooN, где N > М + 2 |
2,0 |
0,5 |
2,0 |
0,5 |
Используют ли каналы повышенную избыточность с архитектурой MooN, где N = М + 2 |
1,0 |
0,5 |
1,0 |
0,5 |
Применяется ли низкая диверсификация, например, диагностическое тестирование аппаратуры использует одинаковую технологию |
2,0 |
1,0 |
– |
– |
Применяется ли средняя диверсификация, например, диагностическое тестирование аппаратуры использует различную технологию |
3,0 |
1,5 |
– |
– |
Были ли разработаны каналы различными конструкторами, которые не взаимодействовали между собой в процессе разработки |
1,0 |
1,0 |
– |
– |
Использовались ли для каждого канала различные люди и различные методы тестирования в процессе его пуска |
1,0 |
0,5 |
1,0 |
1,0 |
Обслуживается ли каждый канал в разное время разными людьми |
2,5 |
– |
2,5 |
– |
Сложность/конструкция/применение/завершенность/опыт |
||||
Предотвращает ли перекрестная связь между каналами обмен любой информацией, кроме используемой для диагностического тестирования или голосования |
0,5 |
0,5 |
0,5 |
0,5 |
Превышает ли время использования в отрасли методов, применяемых для проектирования аппаратуры, 5 лет |
0,5 |
1,0 |
1,0 |
1,0 |
Превышает ли время работы с этим же оборудованием в аналогичных условиях 5 лет |
1,0 |
1,5 |
1,5 |
1,5 |
Проста ли система, например, имеет ли она не более 10 входов или выходов на канал |
– |
1,0 |
– |
– |
Защищены ли входы и выходы от возможного превышения безопасных значений напряжения и тока |
1,5 |
0,5 |
1,5 |
0,5 |
С запасом ли рассчитаны все устройства/компоненты (например, с коэффициентом 2 или более) |
2,0 |
– |
2,0 |
– |
Оценка/анализ и обратная связь |
||||
Были ли изучены результаты анализа видов и влияния отказов или дерево неисправностей для того, чтобы установить источники отказов по общей причине, и устранены ли при проектировании предварительно известные источники отказов по общей причине |
– |
3,0 |
– |
3,0 |
Рассматривались ли отказы по общей причине при анализе проекта при последующем внесении изменений в проект (требуется документальное доказательство действий по анализу проекта) |
– |
3,0 |
– |
3,0 |
Все ли возможные отказы были полностью проанализированы и учтены в проекте (требуется документальное доказательство процедуры) |
0,5 |
3,5 |
0,5 |
3,5 |
Процедуры/интерфейс пользователя |
||||
Существует ли зафиксированная письменно схема работы, гарантирующая обнаружение отказов (или ухудшение характеристик) всех компонентов, установление корневых причин и проверку других аналогичных вопросов для аналогичных возможных причин отказов |
– |
1,5 |
0,5 |
1,5 |
Предусмотрены ли процедуры, обеспечивающие: разнесение обслуживания (включая настройку или калибровку) по времени любой части независимых каналов; возможность выполнения диагностического тестирования помимо ручных проверок, проводимых в ходе очередного обслуживания, между завершением обслуживания одного канала и началом обслуживания другого |
1,5 |
0,5 |
2,0 |
1,0 |
Определено ли в документированных процедурах обслуживания, что обеспечивающие избыточность компоненты систем (например кабели и.т.д.) должны быть независимы друг от друга и закреплены в устройстве |
0,5 |
0,5 |
0,5 |
0,5 |
Проводится ли обслуживание печатных плат и т.д. вне рабочего места, в компетентном ремонтном центре и проводится ли тестирование отремонтированных элементов перед их установкой |
0,5 |
1,0 |
0,5 |
1,5 |
Обеспечивает ли система низкий диагностический охват (от 60 % до 90 %) и сообщает ли об отказах на уровне модуля, допускающего замену в процессе эксплуатации |
0,5 |
– |
– |
– |
Обеспечивает ли система средний диагностический охват (от 90 % до 99 %) и сообщает ли об отказах на уровне модуля, допускающего замену в процессе эксплуатации |
1,5 |
1,0 |
– |
– |
Обеспечивает ли система высокий диагностический охват (> 99 %) и сообщает ли об отказах на уровне модуля, допускающего замену в процессе эксплуатации |
2,5 |
1,5 |
– |
– |
Сообщает ли диагностическое тестирование системы об отказах на уровне модуля, допускающего замену в процессе эксплуатации |
– |
– |
1,0 |
1,0 |
Компетентность/обучение/культура безопасности |
||||
Обучены ли конструкторы (с помощью обучающей документации) понимать причины и следствия отказов по общей причине |
2,0 |
3,0 |
2,0 |
3,0 |
Обучен ли обслуживающий персонал (с помощью обучающей документации) понимать причины и следствия отказов по общей причине |
0,5 |
4,5 |
0,5 |
4,5 |
Контроль состояния окружающей среды |
||||
Ограничен ли доступ персонала (закрытые шкафы, недоступное размещение компонентов и т.д.) |
0,5 |
2,5 |
0,5 |
2,5 |
Возможно ли, что система всегда будет работать в заданных диапазонах температур, влажности, коррозии, пыли, вибрации и т.д., в которых ее работа была проверена, без использования внешнего контроля состояния окружающей среды |
3,0 |
1,0 |
3,0 |
1,0 |
Все ли сигнальные и силовые кабели отделены друг от друга |
2,0 |
1,0 |
2,0 |
1,0 |
Проверка влияния окружающей среды |
||||
Было ли проверено, что система устойчива ко всем воздействиям окружающей среды (например ЭМС, температура, вибрация, ударные нагрузки, влажность) на уровне, заданном в соответствующих международных или национальных стандартах |
10,0 |
10,0 |
10,0 |
10,0 |
Примечания 1 Рядфакторов, связанныхсработойсистемы, труднопредсказатьвовремяпроектирования. Втаких случаяхконструкторыдолжныубедитьсявтом, чтоконечныйпользовательсистемыуведомлен, например, о процедурах, используемыхдлядостижениятребуемогоуровняполнотыбезопасности. Необходимаяинформациядолжнабытьвключенавсопроводительнуюдокументацию. 2 ЗначенияXиYоснованынаинженернойоценкеиучитываюткаккосвенное, такипрямоевлияние мероприятий. Например, использованиемодулей, допускающихзаменувовремяэксплуатации, приводит: – квыполнениюремонтныхработпроизводителемвсоответствующихусловияхвместоремонтныхработ, выполняемыхнаместевменееподходящихусловиях. ЭтовноситсвойвкладвзначенияY, таккакснижается вероятностьсистематическихотказови, следовательно, отказовпообщейпричине; – кснижениюнеобходимостивмешательствачеловеканаместеиквозможностибыстройзаменынеисправныхмодулей, невыключаясистемы, повышаятакимобразомэффективностьдиагностикидляидентификацииотказовдотого, каконистанутотказамипообщейпричине. ЭтозаметновлияетназначенияX. |
ТаблицаD.2 -ЗначениеZ: программируемаяэлектроника
Диагностический охват |
Периодичностьдиагностическоготестирования |
||
Менее 1 мин |
От 1 до 5 мин |
Более 5 мин |
|
≥ 99 % |
2,0 |
1,0 |
0 |
≥ 90 % |
1,5 |
0,5 |
0 |
≥ 60 % |
1,0 |
0 |
0 |
ТаблицаD.3 -ЗначениеZ: датчикиилиоконечныеэлементы
Диагностический охват |
Периодичностьдиагностическоготестирования |
|||
Менее 2 ч |
От 2 чдо 2 дней |
От 2 до 7 дней |
Более 7 дней |
|
≥ 99 % |
2,0 |
1,5 |
1,0 |
0 |
≥ 90 % |
1,5 |
1,0 |
0,5 |
0 |
≥ 60 % |
1,0 |
0,5 |
0 |
0 |
Примечания
1 Даннаяметодиканаиболееэффективна, еслиприподсчетебалловравномерноучитываютсявсегруппы мероприятий, представленныевтаблицеD.1. Следовательно, рекомендуется, чтобыобщаясуммабалловХ иY длякаждойгруппыбыланеменееобщейсуммыбалловXиY, деленнойна 20. Например, еслиобщаясумма балловX+ Yравна 80, тообщаясуммабалловX + Yдлялюбойизгрупп (например, длягруппымероприятий «Процедуры/интерфейспользователя») должнабытьнеменеечетырех.
2 ПрииспользованиитаблицыD.1следуетучитыватьбаллыдлявсехреализованныхвсистеме мероприятий. Подсчетсуммыбалловбылразработандляучетатехмероприятий, которыенеявляютсявзаимно исключающими. Например, длясистемы, логическиеподсистемыканаловкоторойрасположенывотдельных стойках, подсчитываютсуммубалловмероприятийтаблицыD.1«Расположенылилогическиеподсистемы каналоввотдельныхшкафах»и«Расположенылилогическиеподсистемыканаловнаотдельныхпечатных платах».
3 Есливдатчикахилиоконечныхэлементахиспользуетсяпрограммируемаяэлектроника, ихрассматриваюткакчастьлогическойподсистемы, еслионинаходятсявтомжездании (транспортномсредстве), чтоиустройство, являющеесяглавнойчастьюлогическойподсистемы, ивкачестведатчиковилиоконечныхэлементов-если онирасположеныотдельно.
4 Длятого, чтобыиспользоватьненулевоезначениеZ, нужноубедиться, чтоуправляемоеоборудование переходитвбезопасноесостояниедотого, какнеодновременныйотказпообщейпричинесможетповлиятьна всеканалы. Время, необходимоедляобеспеченияэтогобезопасногосостояния, должнобытьменеезаявленногоинтерваладиагностическоготестирования. НенулевоезначениеZдопускаетсяиспользоватьтольковслучае, если:
– системаинициируетавтоматическоевыключениеприобнаружениисбояили
– безопасноевыключениенеинициируетсяпослепервогосбоя1), нодиагностическоетестированиеопределяетместонахождениесбояиможетеголокализовать, атакжесохраняетспособностьпереводаEUCвбезопасноесостояниепослеобнаружениялюбыхпоследующихсбоевили
– используютформальнуюсистемуработы, гарантирующую, чтопричиналюбогообнаруженногосбоя будетполностьюпроанализированавтечениезаявленногопериодадиагностическоготестированияилибо установканемедленновыключается, еслисбойможетпривестикотказупообщейпричине, либоканал, вкоторомпроизошелсбой, восстанавливаетсявтечениезаявленногоинтерваладиагностического тестирования.
1) Необходимоучитыватьдействиясистемыприобнаружениисбоя. Например, простаясистемасархитектуройголосования 2оо3 должнабытьвыключена (илиотремонтирована) послеобнаруженияодиночногоотказа втечениевремени, приведенноговтаблицеD.2 илиD.3. Еслисистеманевыключена, отказвторогоканаламожет привестиктому, чтоприголосованиидваотказавшихканалаполучатперевесголосовнадоставшимся (работоспособным) каналом. Усистемы, котораяавтоматическисамаменяетархитектуруголосованияна 1оо2 приотказеодногоканалаиавтоматическивыключаетсяпривозникновениивторогоотказа, вероятностьобнаружения неисправностивторогоканалаповышаетсяи, следовательно, ненулевоезначениеZвозможно.
5 ВобрабатывающихотрасляхврядливозможновыключатьEUCприобнаружениисбоявовремяинтерваладиагностическоготестированиявсоответствиистаблицейD.2. Настоящаяметодиканедолжнавосприниматьсякаксодержащаястрогоетребованиевыключатьтехнологическиеустановкинепрерывногопроизводствапри обнаруженииподобныхсбоев. Однакоесливыключениенепроизводится, тоуменьшитьβ-факторспомощью использованиядиагностическоготестированиядляпрограммируемыхэлектронныхсредствневозможно. Вряде другихотраслейвыключениеEUCвовремяинтерваладиагностическоготестированиявозможно. Вэтихслучаях допускаетсяиспользоватьненулевоезначениеZ.
6 Еслидиагностическоетестированиепроводитсямодульно, товремяповторения, приведенноевтаблице D.2 илиD.3, -этовремямеждузавершениямипоследовательногодиагностическоготестированиявсегонабора модулей. Диагностическийохват-общийохват, обеспечиваемыйвсемимодулями.
ТаблицаD.4 -РасчетвеличиныβилиβD
Баллы (SилиSD) |
ЗначениеβилиβDдля |
|
логическойподсистемы |
датчиковилиоконечных элементов |
|
120 илиболее |
0,5 % |
1 % |
От 70 до 120 |
1 % |
2 % |
От 45 до 70 |
2 % |
5 % |
Менее 45 |
5 % |
10 % |
Примечания 1 МаксимальныеуровниβDнижеобычноиспользуемых, чтообъясняется использованиемметодов, описанныхвнастоящемстандарте, дляуменьшения вероятностисистематическихотказоввцеломиврезультате-вероятностиотказов пообщейпричине. 2 ЗначенияβDменее 0,5 % длялогическойподсистемыи 1 % -длядатчиков трудноподтвердить. |
D.7 Использование методики
ДлядемонстрациирезультатаиспользованияметодикизначенияβиβDдляпрограммируемыхэлектронныхсредствприведенывтаблицеD.5.
Длявсехгруппмероприятий, кроме-«диверсификация/избыточность», былииспользованытиповые значенияXиY. Онибылиполученыделениеммаксимальногозначениябалловдляконкретныхгруппна два.
Длясистемсразнообразием (см. таблицуD.5) значенияXиYдлягруппы«диверсификация/избыточность» быливыведены, исходяизследующихмероприятий, рассмотренныхвтаблицеD.1:
– однасистемаэлектронная, другаяиспользуеттехнологиюреле;
– диагностическоетестированиеаппаратурыиспользуетразличныетехнологии;
– разныеконструкторыневзаимодействовалимеждусобойвпроцессепроектирования;
– дляпускасистемыиспользовалисьразличныеметодытестированияиразныйперсонал;
– обслуживаниепроводитсявразноевремяразнымилюдьми.
Длясистемсизбыточностью (см. таблицуD.5) значенияXиYдлягруппы«диверсификация/избыточность» быливыведены, исходяизтого, чтодиагностикааппаратурыпроводиласьнезависимойсистемой, использующей тужетехнологию, чтоисистемысизбыточностью.
ВсистемахсразнообразиемивсистемахсизбыточностьюдлявеличиныZиспользовалисьмаксимальные иминимальныезначения, поэтомувтаблицеD.5 значенияβиβDпредставленыдлячетырехсистем.
ТаблицаD.5 -ЗначенияβиβDдляпрограммируемыхэлектронныхсредств
Группа мероприятий |
Система с разнообразием и хорошим диагностическим тестированием |
Система с разнообразием и плохим диагностическим тестированием |
Система с избыточностью и хорошим диагностическим тестированием |
Система с избыточностью и плохим диагностическим тестированием |
|
Разделение/выделение |
X |
3,50 |
3,50 |
3,50 |
3,50 |
Y |
1,50 |
1,50 |
1,50 |
1,50 |
|
Диверсификация/избыточность |
X |
14,50 |
14,50 |
2,00 |
2,00 |
Y |
3,00 |
3,00 |
1,00 |
1,00 |
|
Сложность/конструкция/… |
X |
2,75 |
2,75 |
2,75 |
2,75 |
Y |
2,25 |
2,25 |
2,25 |
2,25 |
|
Оценка/анализ/… |
X |
0,25 |
0,25 |
0,25 |
0,25 |
Y |
4,75 |
4,75 |
4,75 |
4,75 |
|
Процедуры/интерфейс пользователя |
X |
3,50 |
3,50 |
3,50 |
3,50 |
Y |
3,00 |
3,00 |
3,00 |
3,00 |
|
Компетентность/обучение/… |
X |
1,25 |
1,25 |
1,25 |
1,25 |
Y |
3,75 |
3,75 |
3,75 |
3,75 |
|
Контроль состояния окружающей среды |
X |
2,75 |
2,75 |
2,75 |
2,75 |
Y |
2,25 |
2,25 |
2,25 |
2,25 |
|
Проверка влияния окружающей среды |
X |
5,00 |
5,00 |
5,00 |
5,00 |
Y |
5,00 |
5,00 |
5,00 |
5,00 |
|
Диагностический охват |
Z |
2,00 |
0,00 |
2,00 |
0,00 |
X(всего) |
33,5 |
33,5 |
21 |
21 |
|
Y(всего) |
25,5 |
25,5 |
23,5 |
23,5 |
|
Сумма баллов S |
59 |
59 |
44,5 |
44,5 |
|
β |
2 % |
2 % |
5 % |
5 % |
|
Сумма баллов SD |
126 |
59 |
86,5 |
44,5 |
|
βd |
0,5 % |
2 % |
1 % |
5 % |
Полезнаяинформация, связаннаясотказамипообщейпричине, содержитсяв [11]-[13].
Приложение Е
(справочное)
Применение таблиц полноты безопасности программного обеспечения в соответствии с МЭК 61508-3
Е.1 Общиеположения
Настоящееприложениесодержитдвапримераприменениятаблицполнотыбезопасностипрограммного обеспечения, определенныхвМЭК 61508-3, приложениеА.
Первыйпримерпредставляетсобойпрограммируемуюэлектроннуюсистему, связаннуюсбезопасностью, суровнемполнотыбезопасности 2, котораяиспользуетсядляуправленияпроцессомнахимическомзаводе. Даннаяпрограммируемаяэлектроннаясистемаиспользуетвприкладнойпрограммемногоступенчатуюлогикуи служитпримеромприкладногопрограммированиянаязыкесограниченнойварьируемостью.
Второйпримерпредставляетсобойпрограммноеприложение, разработанноенаязыкепрограммированиявысокогоуровня, связанноесбезопасностью, суровнемполнотыбезопасности 3, котороеуправляетзакрывающимустройством.
Обапримераслужатруководствомпоприменениютаблицполнотыбезопасностипрограммногообеспечения, определенныхвМЭК 61508-3, дляразличныхреальныхсистем. Всеисходныехарактеристикиконкретной системы, необходимыедляиспользованияупомянутыхвышетаблицполнотыбезопасности, должныиметьдокументальноеобоснование, подтверждающее, чтовсеописанияиспользуемыххарактеристикправильныисоответствуютконкретнойреализацииэтойсистемы.
Е.2 Система с уровнем полноты безопасности 2
Установка, работающаянахимическомзаводе, состоитизнесколькихреакторныхбаков, связанныхпромежуточнымибакамихранения, которыенанекоторыхстадияхциклареакциизаполняютсяинертнымгазомдля предотвращениявоспламененияивзрывов. Функциипрограммируемойэлектроннойсистемы, связаннойсбезопасностью, помимопрочихвключаютвсебя: получениевходныхданныхотдатчиков; включениеиблокировку клапанов, насосовиисполнительныхмеханизмов; обнаружениеопасныхситуацийивключениесигналатревоги; сопряжениесраспределеннойсистемойуправлениявсоответствиистребованиями, предъявляемымиспецификациейбезопасности.
Предположенияихарактеристикисистемы:
– контроллерпрограммируемойэлектроннойсистемы, связаннойсбезопасностью, представляетсобой программируемыйлогическийконтроллер (ПЛК);
– прианализеопасностейирисковустановлено, чтонеобходимоиспользоватьпрограммируемуюэлектроннуюсистему, связаннуюсбезопасностью, идляданногоприложениянуженуровеньполнотыбезопасности 2 (всоответствиисМЭК 61508-1 иМЭК 61508-2);
– хотяконтроллерработаетвреальномвремени, требуетсяотносительнонебольшаяскоростьреакции;
– существуютинтерфейсысоператоромираспределеннойсистемойуправления;
– исходныйкодпрограммногообеспечениясистемыисхемапрограммируемыхэлектронныхсредствПЛК недоступныдляпроверки, нооцененывсоответствиисМЭК 61508-3 каксоответствующиеуровнюполнотыбезопасности 2;
– вкачествеязыкапрограммированияприложенияиспользоваласьмногоступенчатаялогика, программа создаваласьспомощьюсистемыразработки, предоставляемойпоставщикомПЛК;
– кодприложениядолженисполнятьсятольконаПЛКодноготипа;
– всяразработкапрограммногообеспеченияконтролироваласьлицом, независимымоткомандыразработчиковпрограммногообеспечения;
– лицо, независимоеоткомандыразработчиковпрограммногообеспечения, наблюдалозаприемочными испытаниямииутвердилоихрезультаты;
– изменения (еслинеобходимы) санкционируютсялицом, независимымоткомандыразработчиковпрограммногообеспечения.
Примечание-Определениенезависимоголица-всоответствиисМЭК 61508-4, пункт 3.8.10.
ИнтерпретацияМЭК 61508-3, приложениеА, дляданногопримерапредставленавтаблицахЕ.1 – Е.10.
Примечания
1 Вграфе«ссылка»таблицЕ.1 – Е.10пункты (напримерВ.2.4, С.3.1) -этоссылкинаМЭК 61508-7, а таблицы (напримертаблицаВ.7) -этоссылкинаМЭК 61508-3.
2 ИнформацияораспределенииответственностимеждупоставщикомипользователемприиспользованииязыковпрограммированиясограниченнойварьируемостьюприведенавМЭК 61508-3 (примечанияк 7.4.3-7.4.5).
ТаблицаЕ.1 -Спецификациятребованийкбезопасностипрограммногообеспечения (см. МЭК 61508-3, подраздел 7.2)
Метод/средство |
Ссылка |
SIL2 |
Интерпретация (внастоящемприложении) |
1 Автоматизированныесредстваспецификации |
В.2.4 |
R |
Используютсясредстваразработки, поставленныепроизводителемПЛК |
2аПолуформальныеметоды |
Таблица В.7 |
R |
Обычноиспользуютсяпричинно-следственныесхемы, циклограммыифункциональныеблокидляспецификациитребованийкпрограммномуобеспечениюПЛК |
2bФормальныеметоды, включая, напримерCCS, CSP, HOL, LOTOS, OBJ, временнуюлогику, VDMиZ |
С.2.4 |
R |
Неиспользуютсядляязыковпрограммированиясограниченнойварьируемостью |
Примечание-Требованиякбезопасностипрограммногообеспеченияопределенынаестественном языке. |
ТаблицаЕ.2 -Программноеобеспечение, проектированиеиразработка: архитектура (см. МЭК 61508-3, пункт 7.4.3)
Метод/средство |
Ссылка |
SIL2 |
Интерпретация (в настоящем приложении) |
1 Обнаружение и диагностика сбоев |
С.3.1 |
R |
Проверка диапазона данных, сторожевой таймер, ввод/вывод, средства связи. В случае ошибки поднимает тревогу (см. 3а) |
2 Обнаружение и исправление ошибок |
С.3.2 |
R |
Встраивается с пользовательскими функциями: требуется тщательный выбор |
3а Программирование с проверкой ошибок |
С.3.3 |
R |
Выделяет часть многоступенчатой логики ПЛК для проверки некоторых важных условий безопасности (см. 1) |
3bМетоды «подушки безопасности» |
С.3.4 |
R |
Проверяет разрешенные комбинации ввода/вывода на мониторе независимого компьютера, обеспечивающего безопасность |
3с Многовариантное программирование |
С.3.5 |
R |
Требуется прикладной задачей (см. 3b) |
3d Блоки восстановления |
С.3.6 |
R |
Встраивается с пользовательскими функциями: требуется тщательный выбор |
3е Восстановление предыдущего состояния |
С.3.7 |
R |
Встраивается с пользовательскими функциями: требуется тщательный выбор |
|
С.3.8 |
R |
Встраивается с пользовательскими функциями: требуется тщательный выбор |
3gПовторный запуск механизмов восстановления после ошибок |
С.3.9 |
R |
Используется в соответствии с требованиями прикладной задачи (см. 2 и 3b) |
3hСохранение достигнутых состояний |
С.3.10 |
R |
Не используется для программирования с ограниченной варьируемостью |
4 Постепенное отключение функций |
С.3.11 |
R |
Не используется для программирования с ограниченной варьируемостью |
5 Исправление ошибок методами искусственного интеллекта |
С.3.12 |
NR |
Не используется для программирования с ограниченной варьируемостью |
6 Динамическая реконфигурация |
С.3.13 |
NR |
Не используется для программирования с ограниченной варьируемостью |
7а Структурные методы, включая, например JSD, MASCOT, SADTи Yourdon |
С.2.1 |
HR |
Методы потоков данных и логических таблиц данных могут использоваться, по крайней мере, для описания архитектуры |
7bПолуформальные методы |
Таблица В.7 |
R |
Могут быть использованы для интерфейса DCS |
7с Формальные методы, включая, например CCS, CSP, HOL, LOTOS, OBJ, временную логику, VDMи Z |
С.2.4 |
R |
Редко используются для программирования с ограниченной варьируемостью |
8 Автоматизированные средства разработки спецификаций |
В.2.4 |
R |
Используются средства разработки, поставленные производителем ПЛК |
Примечание – Некоторые из этих методов нецелесообразно использовать при программировании на языках с ограниченной варьируемостью. |
ТаблицаЕ.3-Проектированиеиразработкапрограммногообеспечения: средстваподдержкииязык программирования (см. МЭК 61508-3, пункт 7.4.4)
Метод/средство |
Ссылка |
SIL2 |
Интерпретация (внастоящемприложении) |
1 Выборсоответствующегоязыкапрограммирования |
С.4.6 |
HR |
Обычноиспользуетсямногоступенчатая логикаичастоиспользуютсяфирменные языкипоставщикаПЛК |
2 Строготипизированныеязыкипрограммирования |
С.4.1 |
HR |
Используетсяструктурированныйтекстпо МЭК 61131-3 [14] |
3 Подмножествоязыка |
С.4.2 |
– |
Остерегайтесьиспользованиясложных «макроинструкций», прерываний, которые изменяютциклсканированияПЛК, ит. д. |
4аСертифицированныесредства |
0.4.3 |
HR |
ПоставляетсяпроизводителемПЛК |
4bИнструментальныесредства: заслуживающиедовериянаоснованииопытаиспользования |
С.4.4 |
HR |
Используютсясредстваразработки, предлагаемыепоставщикомПЛК, атакже собственныеинструменты, разработанные входеработынаднесколькимипроектами |
5аСертифицированныйтранслятор |
С.4.3 |
HR |
ПоставляетсяпроизводителемПЛК |
5bТрансляторы, заслуживающиедовериянаоснованииопытаиспользования |
С.4.4 |
HR |
Неиспользуетсядляязыковпрограммированиясограниченнойварьируемостью |
6 Библиотекапроверенных/ сертифицированныхмодулейикомпонентов |
С.4.5 |
HR |
Функциональныеблоки, частипрограммы |
ТаблицаЕ.4 -Проектированиеиразработкапрограммногообеспечения: подробнаямодель (см. МЭК 61508-3, пункты 7.4.5 и 7.4.6)
Метод/средство |
Ссылка |
SIL2 |
Интерпретация (в настоящем приложении) |
1а Структурные методы, включая, например JSD, MASCOT, SADTи Yourdon |
С.2.1 |
HR |
Не используется для языков программирования с ограниченной варьируемостью |
1bПолуформальные методы |
Таблица В.7 |
HR |
Используются причинно-следственные схемы, циклограммы, функциональные блоки, типичные для языков программирования с ограниченной варьируемостью |
1с Формальные методы, включая, например CCS, CSP, HOL, LOTOS, OBJ, временную логику, VDMи Z |
С.2.4 |
R |
Не используется для языков программирования с ограниченной варьируемостью |
2 Средства автоматизированного проектирования |
В.3.5 |
R |
Используются средства разработки, поставленные производителем ПЛК |
3 Программирование с защитой |
С.2.5 |
R |
Включается в программное обеспечение системы |
4 Модульный подход |
Таблица В.9 |
HR |
Используется упорядочение и группировка многоступенчатой логики программы ПЛК для максимального увеличения модульности требуемых функций |
5 Стандарты (предприятий) проектирования и кодирования |
Таблица В.1 |
HR |
Используются собственные соглашения для документации и удобства эксплуатации |
6 Структурное программирование |
С.2.7 |
HR |
Для рассматриваемого примера аналогично модульности |
7 Библиотека проверенных/ сертифицированных модулей и компонентов (если возможно) |
С.4.5 |
HR |
Используются |
Примечание – Проектирование и разработка включают в себя системное проектирование программного обеспечения, проектирование и кодирование программных модулей. |
ТаблицаЕ.5 -Проектированиеиразработкапрограммногообеспечения: проверкаиинтеграцияпрограммныхмодулей (см. МЭК 61508-3, пункты 7.4.7 и 7.4.8)
Метод/средство |
Ссылка |
SIL2 |
Интерпретация (внастоящемприложении) |
1 Вероятностноетестирование |
С.5.1 |
R |
Неиспользуетсядляязыковпрограммированиясограниченнойварьируемостью |
2 Динамическийанализитестирование |
В.6.5, таблица В.2 |
R |
Используются |
3 Регистрацияианализданных |
С.5.2 |
HR |
Записьисходныхданныхирезультатов тестирования |
4 Функциональноетестированиеитестированиеметодомчерногоящика |
В.5.1, В.5.2, таблица В.3 |
HR |
Выбираютсявходныеданныедлятестированиявсехзаданныхфункциональных блоков, включаяобработкуошибок. Используются: тестовыепримеры, полученныес помощьюпричинно-следственныхсхем, анализграничныхзначенийидекомпозиция входныхданных |
5 Моделированиепроизводительности |
С.5.20, таблица В.6 |
HR |
Неиспользуетсядляязыковпрограммированиясограниченнойварьируемостью |
6 Тестированиеинтерфейса |
С.5.3 |
R |
Включеновфункциональноетестированиеитестированиеметодомчерногоящика |
ТаблицаЕ.6 -Интеграцияпрограммируемыхэлектронныхсредств (аппаратураипрограммноеобеспечение) (см. МЭК 61508-3, подраздел 7.5)
Метод/средство |
Ссылка |
SIL2 |
Интерпретация (внастоящемприложении) |
1 Функциональноетестированиеитестированиеметодомчерногоящика |
В.5.1, В.5.2, таблица В.3 |
HR |
Выбираютсявходныеданныедлятестированиявсехзаданныхфункциональных блоков, включаяобработкуошибок. Используются: тестовыепримеры, полученныес помощьюпричинно-следственныхсхем, анализграничныхзначенийидекомпозиция входныхданных |
2 Моделированиепроизводительности |
С.5.20, таблица В.6 |
R |
ЕслисистемаПЛКсобираетсядлязаводскихприемочныхиспытаний |
ТаблицаЕ.7 -Безопасностьпрограммногообеспечения, проверка (см. МЭК 61508-3, подраздел 7.7)
Метод/средство |
Ссылка |
SIL2 |
Интерпретация (внастоящемприложении) |
1 Вероятностноетестирование |
С.5.1 |
R |
Неиспользуетсядляязыковпрограммированиясограниченнойварьируемостью |
2 Имитация/моделирование |
Таблица В.5 |
R |
Неиспользуетсядляязыковпрограммированиясограниченнойварьируемостью, но всечащеиспользуетсяприразработкесистемПЛК |
3 Функциональноетестированиеитестированиеметодомчерногоящика |
В.5.1, В.5.2, таблица В.3 |
HR |
Выбираютсявходныеданныедлятестированиявсехзаданныхфункциональных блоков, включаяобработкуошибок. Используются: тестовыепримеры, полученныес помощьюпричинно-следственныхсхем, анализграничныхзначенийидекомпозиция входныхданных |
ТаблицаЕ.8 -Модификацияпрограммногообеспечения (см. МЭК 61508-3, подраздел 7.8)
Метод/средство |
Ссылка |
SIL2 |
Интерпретация (внастоящемприложении) |
1 Анализвлияния |
С.5.23 |
HR |
Выполняютанализпоследствийдля изучениятого, наскольковлияниепредлагаемыхизмененийограниченомодульной структуройвсейсистемы |
2 Повторнаяверификацияизмененных программныхмодулей |
С.5.23 |
HR |
Повторениепредыдущихтестов |
3 Повторнаяверификацияпрограммных модулей, накоторыеоказываютвлияниеизменениявдругихмодулях |
С.5.23 |
HR |
Повторениепредыдущихтестов |
4 Повторноеподтверждениесоответствиясистемы |
С.5.23 |
R |
Еслианализпоследствийпоказалнеобходимостьмодификациисистемы, топосле выполненияеемодификацииобязательно проводитсяповторноеподтверждениесоответствиясистемы |
5 Управлениеконфигурациейпрограммногообеспечения |
С.5.24 |
HR |
Поддерживаетбазовуюконфигурацию, изменениявней, влияниенадругиесистемныетребования |
6 Регистрацияианализданных |
С.5.2 |
HR |
Выполняетсязаписьисходныхданныхи результатовтестирования |
ТаблицаЕ.9 -Проверкапрограммногообеспечения (см. МЭК 61508-3, подраздел 7.9)
Метод/средство |
Ссылка |
SIL2 |
Интерпретация (внастоящемприложении) |
1 Формальноедоказательство |
С.5.13 |
R |
Неиспользуетсядляязыковпрограммированиясограниченнойварьируемостью |
2 Вероятностноетестирование |
С.5.1 |
R |
Заменяетсяопытомэксплуатациисуществующихкомпонентов |
3 Статическийанализ |
В.6.4, таблица В.8 |
HR |
Выполняютанализперекрестныхссылок использованияпеременных, условийит. д. |
4 Динамическийанализитестирование |
В.6.5, таблица В.2 |
HR |
Используютсяавтоматическиесредства тестированиядляоблегчениярегрессивноготестирования |
5 Метрикисложностипрограммногообеспечения |
С.5.14 |
R |
Неиспользуетсядляязыковпрограммированиясограниченнойварьируемостью |
Тестированиеиинтеграцияпрограммных модулей |
См. таблицуЕ.5 |
||
Тестированиеинтеграциипрограммируемойэлектроники |
См. таблицуЕ.6 |
||
Тестирование (приемочныеиспытания) программнойсистемы |
См. таблицуЕ.7 |
ТаблицаЕ.10 -Оценкафункциональнойбезопасности (см. МЭК 61508-3, раздел 8)
Метод/средство |
Ссылка |
SIL2 |
Интерпретация (внастоящемприложении) |
1 Таблицаконтрольныхпроверок |
В.2.5 |
R |
Используется |
2 Таблицырешенийитаблицыистинности |
С.6.1 |
R |
Используетсяограниченно |
3 Метрикисложностипрограммногообеспечения |
С.5.14 |
R |
Неиспользуетсядляязыковпрограммированиясограниченнойварьируемостью |
4 Анализотказов |
Таблица В.4 |
R |
Насистемномуровнеанализотказов используетпричинно-следственныесхемы, нодляязыковпрограммированиясограниченнойварьируемостьюэтотметоднеиспользуется |
5 Анализотказовпообщейпричинеразнообразногопрограммногообеспечения (еслионодействительноиспользуется) |
С.6.3 |
R |
Неиспользуетсядляязыковпрограммированиясограниченнойварьируемостью |
6 Блок-схемынадежности |
С.6.5 |
R |
Неиспользуетсядляязыковпрограммированиясограниченнойварьируемостью |
Е.3Системасуровнемполнотыбезопасности 3
Рассматриваемаяпрограммнаясистемасравнительновеликасточкизрениясистемыбезопасности, так каквключаетболее 30000 строкисходногокода. Крометого, внейиспользуютсяобычныевстроенныефункции, по крайнеймере, дверазличныеоперационныесистемыиужесуществующийкодболеераннихпроектов (проверенныхвэксплуатации). Вцеломсистемасостоитболеечемиз 100000 строкисходногокода.
Аппаратныесредства (включаядатчикииисполнительныемеханизмы) представляютсобойдвухканальную систему, выходыкоторойподключеныкоконечнымэлементампосхемелогического«И» (AND).
Предположенияихарактеристикисистемы:
– немедленнаяреакциянетребуется, нообеспечиваетсямаксимальноевремяреакции;
– интерфейсысоператоромсуществуютдлядатчиков, исполнительныхмеханизмовиоповещателей;
– исходныйкодоперационныхсистем, графическихпроцедурикоммерческихпрограммныхпродуктовне доступен;
– система, скореевсего, вдальнейшембудетмодернизироваться;
– специальноразработанноепрограммноеобеспечениеиспользуетодинизраспространенныхпроцедурныхязыков;
– компонентыпрограммнойсистемы, исходныйкоддлякоторыхнедоступен, реализованыразнымиспособамиспомощьюинструментальныхсредствотразныхпоставщиков, иихобъектныйкодбылсозданразными трансляторами;
– программноеобеспечениеработаетнанесколькихпроцессорах, доступныхнарынкевсоответствиис требованиямиМЭК 61508-2;
– встроенныесистемысоответствуюттребованиямМЭК 61508-2 дляуправленияотказамиаппаратныхсредств идляихпредотвращения;
– разработкапрограммногообеспеченияконтролироваласьнезависимойорганизацией.
Примечание-ОпределениенезависимойорганизацииприведеновМЭК 61508-4, пункт 3.8.12.
ИнтерпретацияМЭК 61508-3, приложениеА, дляданногопримерапредставленавтаблицахЕ.11 – Е.20.
Примечание-Вграфе«ссылка»таблицЕ.11 – Е.20пункты (напримерВ.2.4, С.3.1) -этоссылкина МЭК 61508-7, атаблицы (напримертаблицаВ.7) -этоссылкинаМЭК 61508-3.
ТаблицаЕ.11 -Спецификациятребованийкбезопасностипрограммногообеспечения (см. МЭК 61508-3, подраздел 7.2)
Метод/средство |
Ссылка |
SIL3 |
Интерпретация (внастоящемприложении) |
1 Автоматизированныесредстваразработкиспецификации |
В.2.4 |
HR |
Используютсясредства, поддерживающиевыбранныеметоды |
2аПолуформальныеметоды |
Таблица В.7 |
HR |
Используютсяблок-схемы, циклограммы, диаграммыпереходовсостояний |
2bФормальныеметоды, включая, напримерCCS, CSP, HOL, LOTOS, OBJ, временнуюлогику, VDMиZ |
С.2.4 |
R |
Используютсятольковисключительном случае |
ТаблицаЕ.12 -Проектированиеиразработкапрограммногообеспечения: проектированиеархитектуры программногообеспечения (см. МЭК 61508-3, пункт 7.4.3)
Метод/средство |
Ссылка |
SIL3 |
Интерпретация (в настоящем приложении) |
1 Обнаружение и диагностика сбоев |
С.3.1 |
HR |
Используется для тех отказов датчиков, исполнительных механизмов и средств передачи данных, которые не охватываются средствами встроенной системы в соответствии с МЭК 61508-2 |
2 Обнаружение и исправление ошибок |
С.3.2 |
R |
Используется только для внешней передачи данных |
3а Программирование с проверкой ошибок |
С.3.3 |
R |
Используется для проверки правильности результатов прикладных функций |
3bМетоды «подушки безопасности» |
С.3.4 |
R |
Используются для некоторых функций, связанных с безопасностью, если отсутствуют средства 3а и 3с |
3с Многовариантное программирование |
С.3.5 |
R |
Используется для некоторых функций, исходный код которых недоступен |
3d Блоки восстановления |
С.3.6 |
R |
Не используется |
3е Восстановление предыдущего состояния |
С.3.7 |
R |
Не используется |
|
С.3.8 |
R |
Не используется |
3gПовторный запуск механизмов восстановления после ошибок |
С.3.9 |
R |
Не используется |
3hСохранение достигнутых состояний |
С.3.10 |
R |
Не используется (достаточно средств 3а, 3bи 3с) |
4 Постепенное отключение функций |
С.3.11 |
HR |
Используется вследствие природы технического процесса |
5 Исправление ошибок методами искусственного интеллекта |
С.3.12 |
NR |
Не используется |
6 Динамическая реконфигурация |
С.3.13 |
NR |
Не используется |
7а Структурные методы, включая, например JSD, MASCOT, SADTи Yourdon |
С.2.1 |
HR |
Необходимо использовать вследствие размера системы |
7bПолуформальные методы |
Таблица В.7 |
HR |
Используются блок-схемы, циклограммы, диаграммы перехода состояний |
7с Формальные методы, включая, например CCS, CSP, HOL, LOTOS, OBJ, временную логику, VDMи Z |
С.2.4 |
R |
Не используются |
8 Автоматизированные средства разработки спецификаций |
В.2.4 |
HR |
Используются средства, поддерживающие выбранные методы |
ТаблицаЕ.13 -Проектированиеиразработкапрограммногообеспечения: средстваподдержкииязык программирования (см. МЭК 61508-3, пункт 7.4.4)
Метод/средство |
Ссылка |
SIL3 |
Интерпретация (внастоящемприложении) |
1 Выборсоответствующегоязыкапрограммирования |
С.4.6 |
HR |
Выбираетсяязыквысокогоуровнясполнойварьируемостью |
2 Строготипизированныеязыкипрограммирования |
С.4.1 |
HR |
Используют |
3 Подмножествоязыка |
С.4.2 |
HR |
Определяютподмножествовыбранного языка |
4аСертифицированныесредства |
С.4.3 |
HR |
Недоступны |
4bИнструментальныесредства: заслуживающиедовериянаоснованииопытаиспользования |
С.4.4 |
HR |
Доступныииспользуют |
5аСертифицированныйкомпилятор |
С.4.3 |
HR |
Недоступен |
5bТрансляторы, заслуживающиедовериянаоснованииопытаиспользования |
С.4.4 |
HR |
Доступныииспользуют |
6 Библиотекапроверенных/ сертифицированныхмодулейикомпонент |
С.4.5 |
HR |
Доступнаииспользуют |
ТаблицаЕ.14 -Проектированиеиразработкапрограммногообеспечения: подробныйпроект (см. МЭК 61508-3, пункты 7.4.5 и 7.4.6)
Метод/средство |
Ссылка |
SIL3 |
Интерпретация (в настоящем приложении) |
1а Структурные методы, включая, например JSD, MASCOT, SADTи Yourdon |
С.2.1 |
HR |
Широко используются. В частности SADTи JSD |
1bПолуформальные методы |
Таблица В.7 |
HR |
Используются конечные автоматы/ диаграммы перехода состояний, блок-схемы, циклограммы |
1с Формальные методы, включая, например CCS, CSP, HOL, LOTOS, OBJ, временную логику, VDMи Z |
С.2.4 |
R |
Используются только в исключительных случаях для некоторых очень важных компонент |
2 Средства автоматизированного проектирования |
В.3.5 |
R |
Используются для выбранных методов |
3 Программирование с защитой |
С.2.5 |
R |
В прикладном программном обеспечении в явном виде используются средства, которые могут быть эффективны, кроме автоматически вставляемых компилятором |
4 Модульный подход |
Таблица В.9 |
HR |
Используются: ограниченный размер программного модуля, скрытие информации/инкапсуляция, одна входная/выходная точка в подпрограммах и функциях, полностью определенный интерфейс и т. д. |
5 Стандарты (предприятия) проектирования и кодирования |
Таблица В.1 |
HR |
Используются стандарты (предприятия) для кодирования, ограниченно используются прерывания, указатели и рекурсии, не используются динамические объекты и переменные, безусловные переходы и т. д. |
6 Структурное программирование |
С.2.7 |
HR |
Используют |
7 Библиотека проверенных/ сертифицированных модулей и компонентов (по возможности) |
С.4.5 |
HR |
Доступен и используют |
Примечание – Проектирование и разработка включают в себя системное проектирование программного обеспечения, проектирование и кодирование программных модулей. |
ТаблицаЕ.15 -Проектированиеиразработкапрограммногообеспечения: проверкаиинтеграцияпрограммныхмодулей (см. МЭК 61508-3, пункты 7.4.7 и 7.4.8)
Метод/средство |
Ссылка |
SIL3 |
Интерпретация (внастоящемприложении) |
1 Вероятностноетестирование |
С.5.1 |
R |
Используетсядляпрограммныхмодулей, исходныйкодкоторыхнедоступен, аопределениеграничныхзначенийиклассовэквивалентностидлятестовыхданныхзатруднено |
2 Динамическийанализитестирование |
В.6.5, таблица В.2 |
HR |
Используютсядляпрограммныхмодулей, исходныйкодкоторыхдоступен. Выполняют: контрольныепримеры, разработанныеспомощьюанализаграничных значений, моделированиепроизводительности, разделениевходныхданныхнаклассыэквивалентности, структурноетестирование |
3 Регистрацияианализданных |
С.5.2 |
HR |
Используютзаписьвходныхданныхирезультатовтестирования |
4 Функциональноетестированиеитестированиеметодомчерногоящика |
В.5.1, В.5.2, таблица В.3 |
HR |
Используютдляпрограммныхмодулей, исходныйкодкоторыхнедоступен, идляпроверкиинтеграции. Выбираютсявходныеданныедлятестированиявсехзаданныхфункциональных блоков, включаяобработкуошибок. Используются: тестовыепримеры, полученныес помощьюпричинно-следственныхсхем, прототипирование, анализграничныхзначений, разделениеданныхнаклассыэквивалентностиидекомпозициявходныхданных |
5 Моделированиепроизводительности |
С.5.20, таблица В.6 |
HR |
Используютприпроверкеинтеграциина конкретномоборудовании |
6 Тестированиеинтерфейса |
С.5.3 |
HR |
Неиспользуют |
ТаблицаЕ.16 -Интеграцияпрограммируемойэлектроники (аппаратныхсредствипрограммногообеспечения) (см. МЭК 61508-3, подраздел 7.5)
Метод/средство |
Ссылка |
SIL3 |
Интерпретация (внастоящемприложении) |
1 Функциональноетестированиеитестированиеметодомчерногоящика |
В.5.1, В.5.2, таблица В.3 |
HR |
Используюткакдополнительныетесты приинтеграциипрограммногообеспечения(см. таблицуЕ.15). Выбираютсявходныеданныедлятестированиявсехзаданныхфункциональных блоков, включаяобработкуошибок. Используются: тестовыепримеры, полученныес помощьюпричинно-следственныхсхем, прототипирование, анализграничныхзначений, разделениеданныхнаклассыэквивалентностиидекомпозициявходныхданных |
2 Моделированиепроизводительности |
С.5.20, таблица В.6 |
HR |
Широкоиспользуют |
ТаблицаЕ.17 -Подтверждениесоответствиябезопасностипрограммногообеспечения (см. МЭК 61508-3, подраздел 7.7)
Метод/средство |
Ссылка |
SIL3 |
Интерпретация (внастоящемприложении) |
1 Вероятностноетестирование |
С.5.1 |
R |
Неиспользуютдляподтверждениясоответствия |
2 Имитация/моделирование |
Таблица В.5 |
HR |
Конечныеавтоматы, моделированиепроизводительности, прототипированиеианимация |
3 Функциональноетестированиеитестированиеметодомчерногоящика |
В.5.1, В.5.2, таблица В.3 |
HR |
Выбираютсявходныеданныедлятестированиявсехзаданныхфункциональных блоков, включаяобработкуошибок. Используются: тестовыепримеры, полученныес помощьюпричинно-следственныхсхем, прототипирование, анализграничныхзначений, разделениеданныхнаклассыэквивалентностиидекомпозициявходныхданных |
ТаблицаЕ.18 -Модификацияпрограммногообеспечения (см. МЭК 61508-3, подраздел 7.8)
Метод/средство |
Ссылка |
SIL3 |
Интерпретация (внастоящемприложении) |
1 Анализвлияния |
С.5.23 |
HR |
Используют |
2 Повторнаяверификацияизмененных программныхмодулей |
С.5.23 |
HR |
Используют |
3 Повторнаяверификацияпрограммныхмодулей, накоторыеоказываютвлияниеизменениявдругихмодулях |
С.5.23 |
HR |
Используют |
4 Повторнаяверификациясистемывцелом |
С.5.23 |
HR |
Использованиезависитотрезультатов анализапоследствий |
5 Управлениеконфигурациейпрограммногообеспечения |
С.5.24 |
HR |
Используют |
6 Регистрацияианализданных |
С.5.2 |
HR |
Используют |
ТаблицаЕ.19 -Проверкапрограммногообеспечения (см. МЭК 61508-3, подраздел 7.9)
Метод/средство |
Ссылка |
SIL3 |
Интерпретация (внастоящемприложении) |
1 Формальноедоказательство |
С.5.13 |
R |
Используетсятольковисключительных случаях, длянекоторыхоченьважныхклассов |
2 Вероятностноетестирование |
С.5.1 |
R |
ВключеновтаблицуЕ.15 |
3 Статическийанализ |
В.6.4, таблица В.8 |
HR |
Длявсеговновьразработанногокодаиспользуются: анализграничныхзначений, таблицаконтрольныхпроверок, анализпотоков управления, анализпотоковданных, проверкаразработкипрограмм, анализпроектов |
4 Динамическийанализитестирование |
В.6.5, таблица В.2 |
HR |
ВключеновтаблицуЕ.15 |
5 Метрикисложностипрограммногообеспечения |
С.5.14 |
R |
Используютвминимальнойстепени |
Тестированиеиинтеграцияпрограммныхмодулей |
См. таблицуЕ.15 |
||
Тестированиеинтеграциипрограммируемойэлектроники |
См. таблицуЕ.16 |
||
Тестирование (подтверждениесоответствия) программной системы |
См. таблицуЕ.17 |
ТаблицаЕ.20 -Оценкафункциональнойбезопасности (МЭК 61508-3, раздел 8)
Метод/средство |
Ссылка |
SIL3 |
Интерпретация (внастоящемприложении) |
1 Таблицаконтрольныхпроверок |
В.2.5 |
R |
Используют |
2 Таблицырешенийитаблицыистинности |
С.6.1 |
R |
Используютвограниченнойстепени |
3 Метрикисложностипрограммногообеспечения |
С.5.14 |
R |
Используютвминимальнойстепени |
4 Анализотказов |
Таблица В.4 |
R |
Интенсивноиспользуютанализдиагностическогодереваотказов, апричинно-следственныедиаграммыиспользуютвограниченнойстепени |
5 Анализотказовпообщейпричинеразнообразногопрограммногообеспечения (еслидействительноиспользуется) |
С.6.3 |
R |
Используют |
6 Блокдиаграммынадежности |
С.6.5 |
R |
Используют |
Приложение F
(справочное)
Сведения о соответствии ссылочных международных стандартов национальным стандартам Российской Федерации
ТаблицаF.1
Обозначениессылочного международногостандарта |
Обозначениеинаименованиесоответствующегонационального стандартаРоссийскойФедерации |
ИСО/МЭК 51:1999 |
ГОСТР 51898-2002Аспектыбезопасности. Правилавключенияв стандарты |
МЭК 104:1997 |
* |
ИСО/МЭК 2382-14:1998 |
* |
МЭК 61508-1:1998 |
ГОСТРМЭК 61508-1-2006 Функциональнаябезопасностьсистем электрических, электронных, программируемыхэлектронных, связанных сбезопасностью. Часть 1. Общиетребования |
МЭК 61508-2:2000 |
ГОСТРМЭК 61508-2-2007Функциональнаябезопасностьсистем электрических, электронных, программируемыхэлектронных, связанных сбезопасностью. Часть 2. Требованияксистемам |
МЭК 61508-3:1998 |
ГОСТРМЭК 61508-3-2006 Функциональнаябезопасностьсистем электрических, электронных, программируемыхэлектронных, связанных сбезопасностью. Часть 3. Требованиякпрограммномуобеспечению |
МЭК 61508-4:1998 |
ГОСТРМЭК 61508-4-2006 Функциональнаябезопасностьсистем электрических, электронных, программируемыхэлектронных, связанных сбезопасностью. Часть 4. Терминыиопределения |
МЭК 61508-5:1998 |
ГОСТРМЭК 61508-5-2006 Функциональнаябезопасностьсистем электрических, электронных, программируемыхэлектронных, связанных сбезопасностью. Часть 5. Рекомендациипоприменениюметодовопределенияуровнейполнотыбезопасности |
МЭК 61508-7:2000 |
ГОСТРМЭК 61508-7-2007Функциональнаябезопасностьсистем электрических, электронных, программируемыхэлектронных, связанных сбезопасностью. Часть 7. Методыисредства |
* Соответствующийнациональныйстандартотсутствует. Доегоутверждениярекомендуетсяиспользоватьпереводнарусскийязыкданногомеждународногостандарта. ПереводданногомеждународногостандартанаходитсявФедеральноминформационномфондетехническихрегламентовистандартов. |
Библиография
[1] |
ЕС 61511-SER |
Functional safety – Safety instrumented systems for the process industry sector – ALL PARTS |
[2] |
IEC 61078:2006 |
Analysis techniques for dependability – Reliability block diagram method |
[3] |
IEC 61165:2006 |
Application of Markov techniques |
[4] |
BS 5760 |
Reliability of system equipment and components – Part 2: Guide to assessment of reliability |
[5] |
D.J. Smith |
Reliability, maintainability and risk – Practical methods for engineers, Butterworth-Heinemann, 5th edition, 1997, ISBN 0-7506-3752-8 |
[6] |
R. Billington and R.N. Allan |
Reliability evaluation of engineering systems. Plenum, 1992, ISBN 0-306-44063-6 |
[7] |
W.M. Goble |
Evaluating control system reliability – Techniques and applications, Instrument Society of America, 1992, ISBN 1-55617-128-5 |
[8] |
|
Failure Mode/Mechanism Distributions, 1991, Department of Defense, |
[9] |
Qualitat und Zuverlassigkeit technischer Systeme, Theorie, Praxis, Management, Dritte Auflage, 1991, Allessandro Birolini, Springer-Verlag, Berlin Heidelberg New York, ISBN 3-540-54067-9, 3 Aufl., ISBN 0-387-54067-9 3 ed. |
|
[10] |
MIL-HDBK- |
Military Handbook Reliability prediction of electronic equipment, 2 December 1991, Department of |
[11] |
Programmable electronic systems in safety-related applications. Part 2: General technical guidelines. Health and Safety Executive, HMSO, ISBN 0 11 883906 3, 1987 |
|
[12] |
Assigning a numerical value to the beta factor common-cause evaluation, Humphreys, R. A., Proc. Reliability ’87 |
|
[13] |
UPM3.1: A pragmatic approach to dependent failures assessment for standard systems, AEA Technology, Report SRDA-R-13, ISBN 085 356 4337, 1996 |
|
[14] |
IEC 61131-3:2003 |
Programmable controllers – Part 3: Programming languages |
Ключевыеслова:функциональнаябезопасность; жизненныйциклсистем; электрическиекомпоненты; электронныекомпоненты; программируемыеэлектронныекомпонентыисистемы; системы, связанныесбезопасностью; диагностическийохват; оценкавероятностиотказааппаратныхсредств; полнотабезопасности программногообеспечения