Работаем по всей России
Часы работы: Пн-Пт, 10:00-22:00
+7 ()
Обратный звонок

ГОСТ Р МЭК 61508-6-2007 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 6. Руководство по применению ГОСТ Р МЭК 61508-2-2007 и ГОСТ Р МЭК 61508-3-2007

Получить консультацию специалиста

Ошибка: Контактная форма не найдена.

Оставляя заявку, вы соглашаетесь с пользовательским соглашением

ФЕДЕРАЛЬНОЕАГЕНТСТВО
ПОТЕХНИЧЕСКОМУРЕГУЛИРОВАНИЮИМЕТРОЛОГИИ

НАЦИОНАЛЬНЫЙ

СТАНДАРТ

российской

ФЕДЕРАЦИИ

ГОСТР МЭК

61508-6-

2007

ФУНКЦИОНАЛЬНАЯБЕЗОПАСНОСТЬ
СИСТЕМЭЛЕКТРИЧЕСКИХ,
ЭЛЕКТРОННЫХ, ПРОГРАММИРУЕМЫХ
ЭЛЕКТРОННЫХ, СВЯЗАННЫХ
СБЕЗОПАСНОСТЬЮ

Часть 6

Руководствопоприменению
ГОСТРМЭК 61508-2-2007 иГОСТРМЭК 61508-3-2007

IEC 61508-6:2000
Functional safety of electrical/electronic/programmable electronic safety-related
systems – Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3
(IDT)

Москва

Стандартинформ

2008

Предисловие

ЦелиипринципыстандартизациивРоссийскойФедерацииустановленыФедеральнымзакономот 27 декабря 2002 г. № 184-ФЗ «Отехническомрегулировании», аправилаприменениянациональныхстандартовРоссийскойФедерации-ГОСТР 1.0-2004«СтандартизациивРоссийскойФедерации. Основные положения»

Сведенияостандарте

1 ПОДГОТОВЛЕНобществомсограниченнойответственностью«Корпоративныеэлектронныесистемы»иТехническимкомитетомпостандартизацииТК 10 «Перспективныепроизводственныетехнологии, менеджментиоценкарисков»наосновесобственногоаутентичногопереводастандарта, указанногов пункте 4

2 ВНЕСЕНУправлениемразвития, информационногообеспеченияиаккредитацииФедеральногоагентствапотехническомурегулированиюиметрологии

3 УТВЕРЖДЕНИВВЕДЕНВДЕЙСТВИЕПриказомФедеральногоагентствапотехническомурегулированиюиметрологииРоссииот 27 декабря 2007 г. № 581-ст

4 НастоящийстандартидентиченмеждународномустандартуМЭК 61508-6:2000 «Функциональная безопасностьсистемэлектрических, электронных, программируемыхэлектронных, связанныхсбезопасностью. Часть 6. РуководствопоприменениюМЭК 61508-2:2000 иМЭК 61508-3:1998» (IEC 61508-6:2000 «Functional safety of electrical/electronic/programmable electronic safety-related systems – Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3).

НаименованиенастоящегостандартаизмененоотносительнонаименованияуказанногомеждународногостандартадляприведениявсоответствиесГОСТР 1.5-2004 (подраздел 3.5).

Приприменениинастоящегостандартарекомендуетсяиспользоватьвместоссылочныхмеждународныхстандартовсоответствующиеимнациональныестандарты, сведенияокоторыхприведенывдополнительномприложенииF

5 ВВЕДЕНВПЕРВЫЕ

Информацияобизмененияхкнастоящемустандартупубликуетсявежегодноиздаваемоминформационномуказателе«Национальныестандарты», атекстизмененийипоправок – вежемесячно издаваемыхинформационныхуказателях«Национальныестандарты». Вслучаепересмотра (замены) илиотменынастоящегостандартасоответствующееуведомлениебудетопубликовановежемесячноиздаваемоминформационномуказателе«Национальныестандарты». Соответствующая информация, уведомлениеитекстыразмещаютсятакжевинформационнойсистемеобщегопользования– наофициальномсайтеФедеральногоагентствапотехническомурегулированиюиметрологиивсетиИнтернет

Содержание

1 Область применения

2 Нормативные ссылки

3 Термины, определения и сокращения

Приложение А (справочное)Применение МЭК 61508-2 и МЭК 61508-3

Приложение В (справочное)Метод оценки вероятностей отказа аппаратных средств

Приложение С (справочное)Расчет диагностического охвата и доли безопасных отказов

Приложение D (справочное)Методика количественного определения влияния отказов аппаратных средств с общей причиной в Е/Е/РЕ системах

Приложение Е (справочное)Применение таблиц полноты безопасности программного обеспечения в соответствии с МЭК 61508-3

Приложение F (справочное)Сведения о соответствии ссылочных международных стандартов национальным стандартам Российской Федерации

Библиография

Введение

Системы, состоящиеизэлектрическихи/илиэлектронныхкомпонентов, втечениемногихлетиспользуютсядлявыполненияфункцийбезопасностивбольшинствеобластейприменения. Компьютерные системы [обычноназываемыепрограммируемымиэлектроннымисистемами (PES)], используемыевовсех областяхприменениядлявыполнениязадач, несвязанныхсбезопасностью, вовсевозрастающихмасштабахиспользуютсядлярешениязадачобеспечениябезопасности. Дляэффективнойибезопаснойэксплуатациитехнологий, основанныхнаиспользованиикомпьютерныхсистем, важно, чтобылица, ответственныезапринятиерешений, имеливсвоемраспоряжениипрактическиеруководстваповопросам безопасности.

Настоящийстандартустанавливаетобщийподходквопросамобеспечениябезопасностивсегожизненногоцикласистем, состоящихизэлектрическихи/илиэлектронных, и/илипрограммируемыхэлектронныхкомпонентов [электрических/электронных/ программируемыхэлектронныхсистем (E/E/PES)], используемыхдлявыполненияфункцийбезопасности. Этотунифицированныйподходбылпринятдляразработкирациональнойипоследовательнойтехническойконцепциидлявсехэлектрическихсистем, связанныхс безопасностью. Основнойцельюнастоящегостандартаявляетсясодействиеразработкестандартовдля ихприменениявразличныхпредметныхобластях.

Обычнобезопасностьсистемдостигаетсяиспользованиемвнихнесколькихсистемзащиты, вкоторыхиспользуютсяразличные (напримермеханические, гидравлические, пневматические, электрические, электронные, программируемыеэлектронные) технологии. Следовательно, любаястратегиябезопасности должнаучитыватьнетолькоэлементы, входящиевсоставотдельныхсистем (напримердатчики, управляющиеустройстваиисполнительныемеханизмы), нотакжеиподсистемы, связанныесбезопасностью, входящиевсоставкомбинированнойсистемы, связаннойсбезопасностью. Такимобразом, хотянастоящийстандартвосновномраспространяетсянаэлектрические/электронные/ программируемыеэлектронные (Е/Е/РЕ) системы, связанныесбезопасностью, онможеттакжедатьпредставлениеобобщейструктуре, врамкахкоторойрассматриваютсясистемы, связанныесбезопасностью, основанныенадругихтехнологиях.

ПризнаннымфактомявляетсясуществованиеогромногоразнообразияпримененийE/E/PESвразличныхпредметныхобластях, отличающихсяразнойстепеньюсложности, опасностямиивозможными рисками. Вкаждомконкретномприменениииспользованиенеобходимыхмербезопасностибудетзависетьотмногочисленныхфакторов, специфичныхдляэтогоконкретногоприменения. Настоящийстандарт, являясьбазовым, позволяетформулироватьтакиемерыдлявновьразрабатываемыхмеждународных стандартовдляразличныхпредметныхобластей.

Настоящийстандарт:

– рассматриваетвсесоответствующиеэтапыжизненногоцикласистембезопасностивцелом, атакже подсистемE/E/PESипрограммногообеспечения (начинаясисходнойконцепции, включаяпроектирование, разработку, эксплуатацию, техническоеобслуживаниеивыводизэксплуатации), входекоторых E/E/PESиспользуютсядлявыполненияфункцийбезопасности;

– разработансучетомбыстрогоразвитиятехнологий; егоструктураявляетсядостаточноустойчивой иполнойдляудовлетворенияпотребностейразработок, которыемогутпоявитьсявбудущем;

– делаетвозможнойразработкустандартовобластейприменения, вкоторыхиспользуютсясистемы E/E/PES; разработкастандартовдляобластейпримененияврамкахобщейструктуры, вводимойнастоящимстандартом, должнаприводитькболеевысокомууровнюсогласованности (напримеросновныепринципы, терминологияит. п.) какдляотдельныхобластейприменения, такидляихсовокупности; этодает преимущества, какдлябезопасности, такивсфереэкономики;

– предоставляетметодразработкиспецификацийдлятребованийбезопасности, необходимыхдля достижениятребуемойфункциональнойбезопасностиЕ/Е/РЕсистем, связанныхсбезопасностью;

– используетуровниполнотыбезопасностидлязаданияпланируемогоуровняполнотыбезопасности функций, которыедолжныбытьреализованыЕ/Е/РЕсистемами, связаннымисбезопасностью;

– используетдляопределенияуровнейполнотыбезопасностиподход, основанныйнаоценкерисков;

– устанавливаетколичественныезначенияотказовЕ/Е/РЕсистем, связанныхсбезопасностью, которыесвязанысуровнямиполнотыбезопасности;

– устанавливаетнижнийпределпланируемыхзначенийотказовврежимеопасныхотказов, который можетбытьзадандляотдельнойЕ/Е/РЕсистемы, связаннойсбезопасностью; дляЕ/Е/РЕсистем, связанныхсбезопасностьюработающих:

– врежимеснизкойинтенсивностьюзапросов, нижнийпределдлявыполненияпланируемойфункциипозапросуустанавливаютнасреднейвероятностиотказов 10-5,

– врежимесвысокойинтенсивностьюзапросовнижнийпределустанавливаютнавероятностиопасныхотказов 10-9вчас.

Примечание-КонкретнаяЕ/Е/РЕсистема, связаннаясбезопасностью, необязательнопредполагает одноканальнуюархитектуру;

– применяетширокийнаборпринципов, методовимердлядостиженияфункциональнойбезопасностиЕ/Е/РЕсистем, связанныхсбезопасностью, нонеиспользуетконцепциюбезаварийности, котораяможетиметьважноезначениевслучае, есливидыотказовхорошоопределены, ауровеньсложностиявляетсяотносительноневысоким. Концепциябезаварийностипризнананеподходящейиз-заширокогодиапазонасложностиЕ/Е/РЕсистем, связанныхсбезопасностьюиподпадающихподобластьприменения настоящегостандарта.

НАЦИОНАЛЬНЫЙСТАНДАРТРОССИЙСКОЙФЕДЕРАЦИИ

ФУНКЦИОНАЛЬНАЯБЕЗОПАСНОСТЬСИСТЕМЭЛЕКТРИЧЕСКИХ,
ЭЛЕКТРОННЫХ, ПРОГРАММИРУЕМЫХЭЛЕКТРОННЫХ, СВЯЗАННЫХ СБЕЗОПАСНОСТЬЮ

Часть 6

Руководствопоприменению
ГОСТРМЭК 61508-2-2007 иГОСТРМЭК 61508-3-2007

Functional safety of electrical, electronic, programmable electronic safety-related systems.
Part 6. Guidelines on the application of GOST R IEC 61508-2-2007 and GOST R IEC 61508-3-2007

Датавведения- 2008-09-01

1 Область применения

1.1 Настоящийстандартсодержитинформациюируководящиеуказанияпоприменению МЭК 61508-2 иМЭК 61508-3.

КраткийобзортребованийМЭК 61508-2 иМЭК 61508-3 иопределениефункциональнойпоследовательностиихприменениясодержитсявприложенииА.

ПримерметодикирасчетавероятностиотказааппаратныхсредствсодержитсявприложенииВ, котороеследуетприменятьсовместносМЭК 61508-2 (пункт 7.4.3 иприложениеС) иприложениемDнастоящегостандарта.

ПримеррасчетадиагностическогоохватасодержитсявприложенииС, котороеследуетприменять совместносМЭК 61508-2 (приложениеС).

Методколичественнойоценкивлиянияотказоваппаратныхсредствпообщейпричиненавероятностьотказов-поприложениюD.

Примерыприменениятаблицполнотыбезопасностипрограммногообеспечения, приведенныхв МЭК 61508-3 (приложениеА), дняуровнейполнотыбезопасности 2 и 3 -поприложениюЕ.

1.2 МЭК 61508-1 – МЭК 61508-4 являютсяосновополагающимистандартамипобезопасности, хотя онинеприменяютсявконтекстеЕ/Е/РЕсистем, связанныхбезопасностью, имеющихнебольшуюсложность (см. МЭК 61508-4, пункт 3.4.4). Вкачествеосновополагающихстандартовпобезопасностиданные стандартыпредназначеныдляиспользованиятехническимикомитетамиприподготовкестандартоввсоответствиисРуководствамиМЭК 104:1997 иИСО/МЭК 51:1999. СтандартыМЭК 61508-1 -МЭК 61508-4 предназначенытакжедляиспользованиявкачествесамостоятельныхстандартов.

1.3 Вобязанноститехническогокомитетавходитиспользование (гдеэтовозможно) основополагающихстандартовпобезопасностиприподготовкесобственныхстандартов. Вэтомслучаетребования, методыилиусловияпроверкинастоящегоосновополагающегостандартапобезопасностинебудутприменяться, еслиэтонеуказаноспециально, илибудутвключатьсявстандарты, подготовленныеэтимитехническимикомитетами.

Примечание-ВСШАиКанадедотехпор, покастандартыдляконкретногосектораприменения стандартовМЭК 61508 (напримерМЭК 61511 [1]) небудутопубликованывкачествемеждународныхстандартов СШАиКанады, существующиетамнациональныестандартыпобезопасностивобрабатывающихсекторах, основанныенаМЭК 61508, могутбытьпримененывместоМЭК 61508.

1.4 СтруктуракомплексастандартовМЭК 61508-1 -МЭК 61508-7 суказаниемролиМЭК 61508-6 в достижениифункциональнойбезопасностиЕ/Е/РЕсистем, связанныхсбезопасностью, показананарисунке 1.

Рисунок 1 -Структуранастоящегостандарта

2 Нормативные ссылки

Внастоящемстандартеиспользованынормативныессылкинаследующиемеждународныестандарты:

ИСО/МЭКРуководство 51:1999 Аспектыбезопасности-руководствоповключениювстандарты

МЭКРуководство 104:1997 Руководствопоподготовкестандартовпобезопасностиииспользование базовыхигрупповыхстандартовпобезопасности

ИСО/МЭК 2382-14:1998 Обработкаданных. Словарь. Часть 14. Надежность, удобствосопровожденияиработоспособность

МЭК 61508-1:1998 Функциональнаябезопасностьсистемэлектрических, электронных, программируемыхэлектронных, связанныхсбезопасностью. Часть 1. Общиетребования

МЭК 61508-2:2000 Функциональнаябезопасностьсистемэлектрических, электронных, программируемыхэлектронных, связанныхсбезопасностью. Часть 2. Требованияксистемам

МЭК 61508-3:1998 Функциональнаябезопасностьсистемэлектрических, электронных, программируемыхэлектронных, связанныхсбезопасностью. Часть 3. Требованиякпрограммномуобеспечению

МЭК 61508-4:1998 Функциональнаябезопасностьсистемэлектрических, электронных, программируемыхэлектронных, связанныхсбезопасностью. Часть 4. Определенияисокращения

МЭК 61508-5:1998 Функциональнаябезопасностьсистемэлектрических, электронных, программируемыхэлектронных, связанныхсбезопасностью. Часть 5. Примерыметодовдляопределенияуровней полнотыбезопасности

МЭК 61508-7:2000 Функциональнаябезопасностьсистемэлектрических, электронных, программируемыхэлектронных, связанныхсбезопасностью. Часть 7. Анализметодовисредств

3 Термины, определения и сокращения

Внастоящемстандартеиспользуютсятермины, определенияисокращенияпоМЭК 61508-4.

Приложение А
(справочное)

Применение МЭК 61508-2 и МЭК 61508-3

А.1 Общие положения

Конкретныемеханизм, технологическаяустановка, атакжедругоеоборудованиемогутвслучаенеправильнойработы (напримеротказэлектромеханических, электронныхи/илипрограммируемыхэлектронныхустройств) представлятьопасностьдлялюдейиокружающейсредыиз-завозникновенияопасныхсобытий (напримерпожары, взрывы, избыточнаярадиация, попаданиевмеханизмыит.д.). Аварииоборудованиямогутвозникатьпо причинефизическихотказовустройств (неожиданныеаварииоборудования), либосистематическихотказов (ошибкичеловекавтехническихусловияхиконструкцииконкретнойсистемыприопределеннойкомбинациипричин приводятксистематическимотказам), либонекоторыхвнешнихусловий.

Общийподход, основанныйнаоценкерисков, дляпредотвращенияи/иликонтроляотказоввэлектромеханических, электронныхилипрограммируемыхэлектронныхустройствахсодержитсявМЭК 61508-1.

Основнаязадачанастоящегостандартазаключаетсявобеспечениибезопаснойавтоматизацииустановок иоборудования, аегоосновнаяцельсостоитвпредотвращении:

– отказовсистемуправления, инициирующихдругиесобытия, которые, всвоюочередь, могутпривестик опасности (напримерутечкатоксичныхматериалов, повторяющиесяударымеханизмовит.д.) и

– необнаруженныхотказовсистемзащиты (например, всистемахаварийнойостановки), делающихэти системынедоступнымивмоментнеобходимостидействий, связанныхсбезопасностью.

Требованиепроведенияанализаопасностиирискадляпроцесса/механизма, чтобыопределитьстепень сниженияриска, необходимуюдляудовлетворениякритериямоценкирискадляприложения, см. вМЭК 61508-1. Оценкарискаосновананаоценкекакпоследствий (илисерьезности), такичастоты (иливероятности) опасного события.

Требованиеиспользованиястепенисниженияриска, определеннойвпроцессеанализа, длярешенияо том, требуетсялиоднаилинесколькосистем, связанныхсбезопасностью1), идлявыполнениякакихфункций обеспечениябезопасности (каждаясзаданнойполнотойбезопасности2)) требуютсяэтисистемы, содержитсяв МЭК 61508-1.

ВМЭК 61508-2 иМЭК 61508-3 рассматриваютсятребованиякфункциямбезопасностииполнотебезопасности, установленныевМЭК 61508-1, длялюбойЕ/Е/РЕсистемы, связаннойсбезопасностью, атакжеустанавливаютсятребованиякжизненномуциклубезопасности, которые:

– применяютсяприразработкетехническогозадания, проектированиииизмененииаппаратныхсредстви программногообеспечения, атакже

– фокусируютсянасредствахпредотвращенияи/иликонтроляслучайныхотказоваппаратныхсредстви систематическихотказов (жизненныециклыбезопасностиE/E/PESипрограммногообеспечения3)).

МЭК 61508-2 иМЭК 61508-3 несодержатуказаний, какойуровеньполнотыбезопасностисоответствует заданномутребуемомуприемлемомуриску. Эторешениезависитотмногихфакторов, включаяхарактерприменения, степеньвыполненияфункцийбезопасностидругимисистемами, атакжесоциальныеиэкономические факторы (см. МЭК 61508-1 иМЭК 61508-5).

ТребованияМЭК 61508-2 иМЭК 61508-3 включаютвсебя:

– применениеметодов4)исредств, классифицированныхвсоответствиисуровнемполнотыбезопасности, чтобыизбежатьсистематическихотказов5)спомощьюпланово-предупредительныхмер, и

– управлениесистематическимиотказами (включаяотказыпрограммногообеспечения) ислучайнымиотказамиаппаратныхсредствспомощьюконструктивныхособенностей, такихкаквстроенныесредстваобнаружения повреждений, избыточностьиособенностиархитектуры (напримердиверсификация).

1)Системы, необходимыедляобеспеченияфункциональнойбезопасностиисодержащиеодноилинесколькоэлектрических (электромеханических), электронныхилипрограммируемыхэлектронных (Е/Е/РЕ) устройств, называютсясистемамиЕ/Е/РЕ, связаннымисбезопасностью, ивключаютвсебявсеоборудование, необходимое дляреализациитребуемойфункциибезопасности (см. МЭК 61508-4, пункт 3.4.1).

2)Уровеньполнотыбезопасностиопределяетсякакодинизчетырехдискретныхуровней. Уровеньполноты безопасности 4 являетсянаивысшим, ауровеньполнотыбезопасности 1 -самымнизшим (см. МЭК 61508-1, подпункт 7.6.2.9).

3)Чтобысделатьвозможнойчеткуюструктуризациютребованийнастоящегостандарта, былоприняторешениеупорядочитьтребованияспомощьюмоделипроцессаразработки, вкоторойвсеэтапыследуютвчеткой последовательностиснебольшимшагом (ееиногданазываютпотоковоймоделью). Однакоследуетподчеркнуть, чтоможетбытьиспользованлюбойэквивалентныйподходкописаниюжизненногоциклаприусловии, чтовплане обеспечениябезопасностипроектабудутописаныэквивалентныеположения (см. МЭК 61508-1, раздел 6).

4)ТребуемыеметодыисредствадлякаждогоуровняполнотыбезопасностипредставленывМЭК 61508-2 (таблицыприложенийАиВ) иМЭК 61508-3.

5)Систематическиеотказыобычнонельзяопределитьколичественно. Причинамиотказовбывают: ошибки приспецификацииипроектированиитехническихсредствипрограммногообеспечения; ошибкиприучетеусловийокружающейсреды (например, температуры) иошибкивпроцессеработы (напримерслабыйинтерфейс).

ВМЭК 61508-2 гарантиятого, чтонужныйуровеньполнотыбезопасностибудетудовлетворительнымдля опасныхслучайныхотказоваппаратныхсредств, основываетсяна:

– требованияхкотказоустойчивостиаппаратуры (см. МЭК 61508-2, таблицы 2 и 3) и

– диагностическомохватеичастотеконтрольныхиспытанийподсистемикомпонентспроведениеманализанадежности, использующегосоответствующиеданные.

ВМЭК 61508-2 иМЭК 61508-3 гарантиятого, чтонужныйуровеньполнотыбезопасностибудетудовлетворительнымдлясистематическихотказов, достигаетсяпутем:

– правильногопримененияпроцедуруправлениябезопасностью;

– использованиякомпетентногоперсонала;

– выполненияпредусмотренныхдействийпореализациижизненногоциклаобеспечениябезопасности, включаяпредусмотренныеметодыисредства6)и

– независимойоценкифункциональнойбезопасности7).

Главнаяцельсостоитвобеспечениитого, чтооставшиесясистематическиеотказы, соответствующиеуровнюполнотыбезопасности, неприведуткотказуЕ/Е/РЕсистемы, связаннойсбезопасностью.

МЭК 61508-2 былразработан, чтобыформализоватьтребованиякобеспечениюполнотыбезопасности аппаратныхсредств8)Е/Е/РЕсистем, связанныхсбезопасностью, включаядатчикииоконечныеэлементы. Необходимыметодыисредства, направленныепротивкакслучайных, такисистематическихотказоваппаратных средств. Они, какуказановыше, включаютвсебясоответствующуюкомбинациюсредствпопредотвращениюнеисправностейиуправлениюотказами. Еслидляобеспеченияфункциональнойбезопасностинеобходимыдействияоператора, топриводятсятребованиякинтерфейсуоператора. ВМЭК 61508-2 дляобнаруженияслучайных отказоваппаратныхсредствтакжеопределяютсяметодыисредствадиагностическоготестирования, реализуемыенауровнепрограммногообеспеченияиаппаратныхсредств (напримердиверсификация).

6)Средства, альтернативныеописаннымвнастоящемстандарте, можноиспользоватьприусловии, чтопри планированииобеспечениябезопасностидокументируютсяоправдывающиеобстоятельства (см. МЭК 61508-1, раздел 6).

7)Независимаяоценканевсегдаподразумеваетпроведениеоценкитретьейстороной (см. МЭК 61508-1, раздел 8).

8)Включаяпостоянноевстроенноепрограммноеобеспечениеилиэквивалентыпрограммногообеспечения (такженазываемыепрограммно-аппаратнымисредствами), напримерспециализированныеинтегральные схемы.

МЭК 61508-3 былразработан, чтобыформализоватьтребованияобеспеченияполнотыбезопасностидля программногообеспечения, каквстроенного (включаядиагностическиесредстваобнаружениянеисправностей), такиприкладного. МЭК 61508-3 требуетиспользоватькомбинированныйподход, включающийисключениеошибок (обеспечениекачества) иустойчивостькошибкам (засчетархитектурыпрограммногообеспечения), таккакне существуетизвестногоспособапроверитьотсутствиеотказоввдостаточносложномпрограммномобеспечении, связанномсбезопасностью, и, особенно, избежатьошибоквтехническихусловияхивпроекте. МЭК 61508-3 требуетпринятиятакихпринциповразработкипрограммногообеспечения, какпроектированиесверхувниз, модульность, проверкунакаждойстадиижизненногоцикларазработки, проверкупрограммныхмодулейибиблиотекпрограммныхмодулей, атакжечеткоедокументированиедляоблегченияконтроляипроверки. Дляразличныхуровнейпрограммногообеспечениятребуютсяразличныеуровнигарантиитого, чтоэтиисвязанныесними принципыбылиправильнореализованы.

Разработчикпрограммногообеспеченияможетбытьилинебытьчастьюорганизации, создающейвсю E/E/PES. Влюбомслучаенеобходимотесноесотрудничество, особенноприразработкеархитектурыпрограммируемойэлектроники, когдатребуетсяанализироватькомпромиссымеждуархитектурамиаппаратныхсредстви программногообеспечениянапредметихвкладавобеспечениебезопасности (см. МЭК 61508-2, рисунок 4).

А.2 ФункциональныеэтапыпримененияМЭК 61508-2

ФункциональныеэтапыпримененияМЭК 61508-2 представленывнастоящемприложении, рисункиА.1и А.2. ФункциональныеэтапыпримененияМЭК 61508-3 представленынарисункеА.3.

ДляМЭК 61508-2 можновыделитьследующиефункциональныеэтапы (см. приложениеА, рисункиА.1и А.2):

a) Определяютраспределениетребованийбезопасности (МЭК 61508-1). ПринеобходимостимодернизируютпланированиебезопасностивпроцессеразработкиE/E/PES.

b) ОпределяюттребованиябезопасностидляE/E/PES, включаятребованиякполнотебезопасности, длякаждойфункциибезопасности (МЭК 61508-2, подраздел 7.2). Определяюттребованиякпрограммному обеспечениюипередаютихпоставщикуи/илиразработчикупрограммногообеспечениядляприменения МЭК 61508-3.

Примечание-Наэтойстадиинеобходиморассмотретьвозможностьодновременныхотказовв системеуправленияEUCиЕ/Е/РЕсистеме (системах), связаннойсбезопасностью, (см. МЭК 61508-1, подпункт 7.5.2.4). Такиеотказымогутбытьрезультатомотказовкомпонентовпообщейпричине, например, из-завлияния окружающейсреды. Наличиеподобныхотказовможетпривестикбольшимпосравнениюсожидаемымзначениямостаточногориска.

c) НачинаютпланированиеподтверждениясоответствиябезопасностиE/E/PES (см. МЭК 61508-2, подраздел 7.3).

d) Задаютархитектуру (конфигурацию) логическойподсистемы, датчиковиоконечныхэлементов. Вместес поставщиком/разработчикомпрограммногообеспеченияанализируютархитектуруаппаратныхсредств, программногообеспеченияивлияниенабезопасностькомпромиссовмеждуаппаратнымисредствамиипрограммным обеспечением (см. МЭК 61508-2, рисунок 4). Принеобходимостианализповторяют.

e) РазрабатываютмодельархитектурыаппаратныхсредствдляЕ/Е/РЕсистемы, связаннойсбезопасностью. Этумодельразрабатывают, проверяяотдельнокаждуюфункциюбезопасности, иопределяютподсистему (компонент), используемуюдляреализацииэтойфункции.

f) Устанавливаютпараметрыдлякаждойподсистемы (компонента), используемойвЕ/Е/РЕсистеме, связаннойсбезопасностью. Длякаждойподсистемы (компонента) определяют:

– временнойинтервалпроведенияпроцедуртестированиядляотказов, которыенеобнаруживаютсяавтоматически;

– среднеевремявосстановления;

– диагностическийохват (см. МЭК 61508-2, приложениеС);

– вероятностьотказаи

– долюбезопасныхотказов (см. МЭК 61508-2, приложениеС).

g) Определяютархитектурныеограничения (см. МЭК 61508-2, таблицы 2 и 3).

h) Создаютмодельрасчетанадежностидлякаждойфункциибезопасности, которуюдолжнареализовать Е/Е/РЕсистема, связаннуюсбезопасностью.

Примечание-Модельрасчетанадежностипредставляетсобойматематическуюформулу, показывающуювзаимосвязьмеждунадежностьюисоответствующимипараметрами, связаннымисоборудованиемиусловиямиегоиспользования.

i) Рассчитываютпрогнозируемуюнадежностьдлякаждойфункциибезопасности, используясоответствующуюметодику. Сравниваютрезультатсзаданнымихарактеристикамиотказов, определеннымивперечислении b), итребованиямивсоответствиисМЭК 61508-2, подпункт 7.4.3.1, таблицы 2 и 3. Еслипрогнозируемаянадежностьнесоответствуетзаданнымхарактеристикамотказови/илитребованиямМЭК 61508-2, таблицы 2 и 3, то изменяют:

– есливозможно, одинилинесколькопараметровподсистемы [возвращаютсякперечислениюf)] и/или

– архитектуруаппаратныхсредств [возвращаютсякперечислениюd)].

Примечание-Существуетмножествометодовмоделирования, ианалитикдолженвыбратьнаиболее соответствующий (переченьнекоторыхметодов, которыемогутбытьиспользованы, приведенвМЭК 61508-2, подпункт 7.4.3.2.2, перечислениеh), примечание 4).

j) РеализуютпроектЕ/Е/РЕсистемы, связаннойсбезопасностью. Выбираютсредстваиметодыдляуправлениясистематическимиотказамиаппаратныхсредств, отказами, вызваннымивлияниемокружающейсреды, и эксплуатационнымиотказами (см. МЭК 61508-2, приложениеА).

k) Загружаютпроверенноепрограммноеобеспечение (см. МЭК 61508-3) всоответствующиеаппаратные средства (см. МЭК 61508-2, подраздел 7.5 иприложениеВ) ипараллельноразрабатываютрабочиеинструкции дляпользователейидокументациюдляобслуживающегоперсоналапоэксплуатациисистемы (см. МЭК 61508-2, подраздел 7.6 иприложениеВ). Учитываютаспекты, связанныеспрограммнымобеспечением (см. пунктА.3, перечислениеf)).

l) Вместесразработчикомпрограммногообеспечения (см. МЭК 61508-3, подраздел 7.7) проводятподтверждениесоответствияE/E/PES (см. МЭК 61508-2, подраздел 7.7 иприложениеВ).

m) ПередаютаппаратныесредстваирезультатыподтверждениясоответствиябезопасностиE/E/PESсистемныминженерамдлядальнейшейинтеграциивкомплекснуюсистему.

n) ЕсливпроцессеэксплуатацииE/E/PESтребуетсямодернизация/обслуживание, топринеобходимости сноваобращаютсякМЭК 61508-2, подраздел 7.8.

ВпроцессежизненногоциклабезопасностиE/E/PESвыполняетсямножестворазличныхдействий. Среди нихверификация (см. МЭК 61508-2, подраздел 7.9) иоценкафункциональнойбезопасности (см. МЭК 61508-1, раздел 8).

ВпроцессевыполненияприведенныхвышедействийвыбираютметодыисредствадляобеспечениябезопасностиE/E/PES, соответствующиетребуемомууровнюполнотыбезопасности. Дляпомощисвыборомтаких методовисредствсоставленытаблицы, упорядочивающиеразличныеметоды/средствавсоответствиисчетырьмяуровнямиполнотыбезопасности (см. МЭК 61508-2, приложениеВ). Краткийобзоркаждогоизметодови средствсоссылкаминаисточникиинформациионих, включаяперекрестныессылкинаэтитаблицы, представленвМЭК 61508-7, приложенияАиВ.

ОдинизвозможныхметодоврасчетавероятностейотказааппаратныхсредствдляЕ/Е/РЕсистем, связанныхсбезопасностью, представленвприложенииВ.

Примечание-Привыполненииприведенныхвышедействийдопускаетсяприменятьсредства, альтернативныеуказаннымвнастоящемстандартеприусловии, чтооправдывающиеобстоятельствадокументируютсявпроцессепланированиябезопасности (см. МЭК 61508-1, раздел 6).

Примечание-ВсистемахРЕдляпрограммногообеспечениявыполняютсяаналогичныедействия (см. рисунокА.3).

РисунокА.1 -ФункциональныеэтапыпримененияМЭК 61508-2

Примечание-ВсистемахРЕдляпрограммногообеспечениявыполняютсяаналогичныедействия (см. рисунокА.3).

РисунокА.2 -ФункциональныеэтапыпримененияМЭК 61508-2 (продолжение)

А.3 Функциональные этапы применения МЭК 61508-3

МожновыделитьследующиефункциональныеэтапыпримененияМЭК 61508-3 (см. рисунокА.3):

a) ОпределяюттребованиядлясистемЕ/Е/РЕ, связанныхсбезопасностью, исоответствующихкомпонент планированиябезопасности (см. МЭК 61508-2, подраздел 7.3). Принеобходимостимодернизируютпланированиебезопасностивпроцессеразработкипрограммногообеспечения.

Примечание-Напредыдущихстадияхжизненногоциклабыли:

– определенытребуемыефункциибезопасностиисоответствующиеимуровниполнотыбезопасности (см. МЭК 61508-1, подразделы 7.4 и 7.5);

– распределеныфункциибезопасностидляназначенныхсистемЕ/Е/РЕ, связанныхсбезопасностью (см. МЭК 61508-1, подраздел 7.6) и

– распределеныреализуемыепрограммнофункциивнутрикаждойсистемыЕ/Е/РЕ, связаннойсбезопасностью (см. МЭК 61508-2, подраздел 7.2).

b) Определяютархитектурупрограммногообеспечениядлявсехреализуемыхпрограммнофункцийбезопасности (см. МЭК 61508-3, подраздел 7.4 иприложениеА).

c) Вместеспоставщиком/разработчикомE/E/PESанализируютархитектуруаппаратныхсредствипрограммногообеспеченияивлияниенабезопасностькомпромиссовмеждуаппаратнымисредствамиипрограммным обеспечением (см. МЭК 61508-2, рисунок 4). Принеобходимостианализповторяют.

d) Приступаюткпланированиюпроверкииподтверждениясоответствиябезопасностипрограммногообеспечения (см. МЭК 61508-3, подразделы 7.3 и 7.9).

e) Проектируют, разрабатываютипроверяют/тестируютпрограммноеобеспечениевсоответствиис:

– планированиембезопасностипрограммногообеспечения;

– уровнемполнотыбезопасностипрограммногообеспечения;

– жизненнымцикломбезопасностипрограммногообеспечения.

f) Завершаютдействияпоокончательнойпроверкепрограммногообеспеченияиинтегрируютпроверенное программноеобеспечениевсоответствующиеаппаратныесредства (см. МЭК 61508-3, подраздел 7.5) ипараллельноразрабатываютрабочиеинструкциидляпользователейиинструкциипоэксплуатациидляобслуживающегоперсоналасистемыпрограммногообеспечения (см. МЭК 61508-3, подраздел 7.6 иприложениеА, подраздел А.2, атакжеперечислениеk) настоящегостандарта).

g) Вместесразработчикомаппаратныхсредств (см. МЭК 61508-2, подраздел 7.7) проводятподтверждение соответствиябезопасностипрограммногообеспечениявинтегрированныхсистемахЕ/Е/РЕ, связанныхсбезопасностью (см. МЭК 61508-3, подраздел 7.7).

h) Передаютрезультатыподтверждениясоответствиябезопасностипрограммногообеспечениясистемныминженерамдлядальнейшейинтеграциивкомплекснуюсистему.

i) ЕсливпроцессеэксплуатациипотребуетсямодернизацияпрограммногообеспеченияE/E/PES, топринеобходимостисновавозвращаютсяксоответствующейстадии, какописановМЭК 61508-3, подраздел 7.8.

Впроцессежизненногоциклабезопасностипрограммногообеспечениявыполняютмножестворазличных действий. Втомчислепроверку (см. МЭК 61508-3, подраздел 7.9) иоценкуфункциональнойбезопасности (см. МЭК 61508-3, раздел 8).

Впроцессевыполненияприведенныхвышеэтаповвыбираютсредстваиметодыобеспечениябезопасностипрограммногообеспечения, соответствующиетребуемойполнотебезопасности. Дляпомощиввыборетаких методовисредствсоставленытаблицы, упорядочивающиеразличныеметоды/средствавсоответствиисчетырьмяуровнямиполнотыбезопасности (см. МЭК 61508-3, приложениеА). Обзоркаждогоизметодовисредствсо ссылкаминаисточникиинформациионих, включаяперекрестныессылкинаэтитаблицы, представленв МЭК 61508-7, приложениеС.

ПримерыприменениятаблицполнотыбезопасностиприведенывприложенииЕнастоящегостандарта, аМЭК 61508-7 включаетвсебяописаниевероятностногоподходакопределениюполнотыбезопасности программногообеспечениядляужеразработанногопрограммногообеспечения (см. МЭК 61508-7, приложениеD).

Примечание-Привыполненииприведенныхвышедействийдопускаетсяприменятьсредства, альтернативныеуказаннымвнастоящемстандартеприусловии, чтооправдывающиеобстоятельствадокументируютсявпроцессепланированиябезопасности (см. МЭК 61508-1, раздел 6).

РисунокА.3-ФункциональныеэтапыпримененияМЭК 61508-3

Приложение В
(справочное)

Метод оценки вероятностей отказа аппаратных средств

В.1 Общие положения

НастоящееприложениесодержитодинизметодоврасчетавероятностейотказадляЕ/Е/РЕсистем, связанныхсбезопасностью, установленныхвсоответствиисМЭК 61508-1 – МЭК 61508-3. Методнедолженрассматриватьсявкачествеединственновозможного. Однаковданномметодереализуетсяотносительнопростой подходкоценкехарактеристикЕ/Е/РЕсистем, связанныхсбезопасностью.

СуществуютразличныеметодыанализауровнябезопасностиаппаратныхсредствЕ/Е/РЕсистем, связанныхсбезопасностью. Наиболеераспространеннымиметодамиявляютсяметодблок-схемнадежности (см. МЭК 61508-7, приложениеС, пунктС.6.5) иметод, основанныйнамарковскихмоделях (см. МЭК 61508-7, приложение С, пунктС.6.4). Обаметодаприправильномприменениидаютаналогичныерезультаты, новслучаесложных программируемыхэлектронныхподсистем (например, приперекрестномголосованиипонесколькимканалами автоматическомтестировании) методблок-схемнадежностидаетнекоторуюпотерюточностипосравнениюс методом, основаннымнамарковскихмоделях.

ПрирассмотренииЕ/Е/РЕсистемы, связаннойсбезопасностью, вцеломэтапотеряточностиможетбыть незначительной, еслиучитываетсяточностьданныхонадежности, используемыхприанализе. Например, основнаяпотеряточностиприанализеуровнябезопасностиаппаратныхсредствдляЕ/Е/РЕсистем, связанныхс безопасностью, зависитотприборовдляизмеренияполей. Имеетлизначениепотеряточности, можноопределитьтолькодляконкретныхусловий. Вслучаесложныхпрограммируемыхэлектронныхподсистемрезультаты оценкиполнотыбезопасностиаппаратурыметодомблок-схемнадежностиболеепессимистичны, чемметодом, основаннымнамарковскихмоделях (т.е. методблок-схемнадежностидаетбольшуювероятностьотказа). В настоящемприложенииприменяетсяметодблок-схемнадежности.

ЕслиотказсистемыуправленияEUCинициируетобращениекЕ/Е/РЕсистеме, связаннойсбезопасностью, товероятностьвозникновенияопасногособытиязависиттакжеиотвероятностиотказасистемыуправления EUC. ВэтойситуациинеобходиморассмотретьвозможностьодновременногоотказакомпонентовсистемыуправленияEUCиЕ/Е/РЕсистемы, связаннойсбезопасностью, из-замеханизмовотказапообщейпричине. При неправильноманализеналичиеподобныхотказовможетпривестикбольшим, посравнениюсожидаемым, значениямостаточногориска.

РасчетывероятностейотказааппаратныхсредствЕ/Е/РЕсистем, связанныхсбезопасностью, основываютсянаследующихпредположениях:

– значениерезультирующейсреднейвероятностиотказавыполненияфункциибезопасностидляподсистемыменьше 10-1илизначениерезультирующейвероятностиотказавчасдляподсистемыменьше 10-5;

– частотаотказовкомпонентпостояннавтечениестадийжизнисистемы;

– подсистемадатчиков (подсистемаввода) состоитизреальногодатчика(ов) илюбыхдругихкомпоненти соединительныхпроводов, вплотьдокомпоненты (компонент), ноее (их) невключая, гдесигналывпервыеобъединяютсяспомощьюпроцедурыголосованияилидругойпроцедуры (например, конфигурацияканаловиздвух датчиков, представленнаянарисункеВ.1настоящегоприложения);

– логическаяподсистемавключаетвсебякомпоненту (компоненты), вкоторой(ых) сигналывначалеобъединяются, ивседругиекомпоненты, вплотьдотехкомпонентвключительно, откударезультирующийсигнал(ы) передается(ются) подсистемеоконечныхэлементов;

– подсистемаоконечныхэлементов (подсистемавывода) включаетвсебякомпонентыисоединения, которыеобрабатываютконечныйсигнал(ы), получаемый(ые) отлогическойподсистемы, включаяоконечныйисполнительныйкомпонент(ы);

– частотыотказоваппаратныхсредств, используемыевкачествевходныхданныхдлярасчетовитаблиц, задаютсядляодногоканалаподсистемы (например, прииспользовании датчиковввидеархитектуры 2оо3частотаотказовзадаетсядляодногодатчика, авлияниеархитектуры 2оо3рассчитываетсядополнительно);

– частотыотказовидиагностическийохватодинаковыдлявсехканаловвархитектуреподсистемы;

– общаячастотаотказоваппаратныхсредствканалаподсистемыявляетсясуммойчастотыопасныхичастотыбезопасныхотказовдляданногоканала, которыеполагаютравными.

Примечание-Этопредположениевлияетнадолюбезопасныхотказов (см. МЭК 61508-2, приложение С), нодолябезопасныхотказовневлияетнарассчитанныезначениявероятностиотказа, приведенныевнастоящемприложении.

– длякаждойфункциибезопасностисуществуютидеальныесредстватестированияиустраненияотказов (т.е. всеотказы, оставшиесянеобнаруженными, обнаруживаютсяпритестировании), влияниенеидеальноготестированиявсоответствиисприложениемВ, пунктВ.2.5;

– интервалвременимеждутестовымииспытаниямидолженбыть, покрайнеймере, напорядокбольше, чем продолжительностьдиагностическоготестирования;

– длякаждойподсистемысуществуетединыйинтервалвременимеждутестовымииспытаниямиисреднее времявосстановления.

Примечание-Среднеевремявосстановлениявключаетвсебявремя, необходимоедляобнаружения отказавсоответствиисМЭК 61508-2, подпункт 7.4.3.2.2, перечислениеg), примечание. Внастоящемприложении предполагаемоезначениесреднеговременивосстановленияодинаковоекакдляобнаруженных, такинеобнаруженныхотказовивключаетвсебядлительностьдиагностическоготестирования, анеинтервалмеждутестовыми испытаниями. Длянеобнаруженныхотказовсреднеевремявосстановления, используемоеврасчетах, недолжновключатьвсебядлительностьдиагностическоготестирования, атаккаксреднеевремявосстановлениявсегда добавляетсяквременномуинтервалумеждутестовымииспытаниями, который, покрайнеймере, напорядок большедлительностидиагностическоготестирования, тоошибкабудетнезначительной;

– восстановитьработоспособноесостояниесистемы, нарушенноепослевозникновениявсехизвестных отказов, могутнесколькоремонтныхкоманд;

– ожидаемыйинтервалмеждузапросаминавыполнениефункциибезопасностидолженбыть, покрайней мере, напорядокбольшесреднеговременивосстановления;

– длявсехподсистем, работающихврежименизкойинтенсивностизапросов, идляархитектур 1оо2, 1oo2Dи 2оо3, работающихврежимевысокойинтенсивностизапросовинепрерывномрежиме, доляотказов, заданная диагностическимохватом, обнаруживаетсяиустраняетсязасреднеевремявосстановления, приведенноевтребованияхкполнотебезопасностиаппаратныхсредств.

ПримерЕслипредполагаемоесреднеевремявосстановленияравно 8 ч, тооновключаетвсебя длительностьдиагностическоготестирования, котороеобычнонепревышает 1 ч, аоставшаясячасть среднеговременивосстановленияэтодействительноевремяремонта.

Примечание-Дляканальныхархитектур 1оо2, 1oo2Dи 2оо3 предполагаетсявыполнениелюбого ремонтавоперативномрежиме. ЕсликонфигурацияЕ/Е/РЕсистемы, связаннойсбезопасностью, прилюбом обнаруживаемомотказеобеспечиваетпереходEUCвбезопасноесостояние, тоэтоуменьшаетсреднюювероятностьотказавобслуживании. Степеньуменьшениявероятностизависитотдиагностическогопокрытия;

– дляканальныхархитектур 1оо1 и 2оо2, работающихврежимевысокойинтенсивностизапросовилинепрерывномрежиме, системаЕ/Е/РЕ, связаннаясбезопасностью, всегдапереходитвбезопасноесостояниепосле обнаруженияопасногоотказа; дляэтогоожидаемыйинтервалвременимеждузапросами, покрайнеймере, долженбытьнапорядокбольшевременногоинтерваладиагностическоготестированияилисуммавременных интерваловдиагностическоготестированияивременныхинтерваловпереходавбезопасноесостояниедолжна бытьменьше, чемвремябезопаснойработы.

Примечание-ВремябезопаснойработыопределяетсявМЭК 61508-2, подпункт 7.4.3.2.5 какинтервал временимеждуотказомEUCилисистемыуправленияEUC (спотенциальнойвозможностьювызватьопасное событие) ивозникновениемопасногособытия, еслифункциябезопасностиневыполнена;

РисунокВ.1 -Примерконфигурациидлядвухканаловдатчиков

– еслиотказисточникапитанияприводиткобесточиваниюЕ/Е/РЕсистемы, связаннойсбезопасностью, и инициируетпереходсистемывбезопасноесостояние, тоисточникпитанияневлияетнасреднюювероятность отказапозапросудляЕ/Е/РЕсистемы, связаннойсбезопасностью; еслидляпереходавбезопасноесостояние насистемуподаетсяпитаниеилиуисточникапитаниясуществуютрежимыотказов, которыемогутприводитьк небезопаснойработеЕ/Е/РЕсистемы, связаннойсбезопасностью, тооценкадолжнаучитыватьисточникпитания;

– еслииспользуетсятерминальныйканал, тоонограничиваетсятолькотойчастьюрассматриваемойсистемы, которойобычноявляютсялибодатчик, либологическаяподсистема, либоподсистемаоконечныхэлементов;

– параметрыиихобозначенияпредставленывтаблицеВ.1.

ТаблицаВ.1 -Параметры, используемыевнастоящемприложении, идиапазоныихзначений (применяется кархитектурам 1оо1, 1оо2, 2оо2, 1oo2Dи 2оо3)

Обозначение

Параметр, единица измерения

Диапазон параметров в соответствии с таблицами
В.2 – В.5 и В.10 – В.13

T1

Интервал времени между процедурами тестирования, ч

Один месяц (730 ч)1).
Три месяца (2190 ч)1).
Шесть месяцев (4380 ч).
Один год (8760 ч).
Два года (17520 ч)2).
10 лет (87600 ч)2)

MTTR

Среднее время восстановления, ч

8

DC

Диагностическое покрытие, дробь (в формулах), % (в остальных случаях)

0 %;
60 %;
90 %;
99 %

β

Доля необнаруженных отказов по общей причине (в таблицах В.2 – В.5 и В.10 – В.13 предполагается (β = 2 × βD), дробь (в формулах), % (в остальных случаях)

2 %;
10 %;
20 %

βD

Доля отказов, обнаруженных диагностическими тестами и имеющих общую причину (в таблицах В.2 – В.5 и В.10 – В.13 предполагается (β = 2 × βD), дробь (в формулах), % (в остальных случаях)

1 %;
5 %;
10 %

λ

Интенсивность отказов для канала подсистемы, отказ/ч

0,1 × 10-6; 0,5 × 10-6;
1 × 10-6; 5 × 10-6;
10 × 10-6; 50 × 10-6

PFDG

Средняя вероятность отказа по запросу для группы голосующих каналов (если подсистема датчиков, логическая подсистема или подсистема оконечных элементов входит в состав только одной голосующей группы, то PFDGэквивалентна PFDS, PFDLили PFDFEсоответственно)

PFDS

Средняя вероятность отказа по запросу для подсистемы датчиков

PFDL

Средняя вероятность отказа по запросу для логической подсистемы

PFDFE

Средняя вероятность отказа по запросу для подсистемы оконечных элементов

PFDSYS

Средняя вероятность отказа по запросу для функции безопасности Е/Е/РЕ системы, связанной с безопасностью

PFHG

Вероятность отказа для группы голосующих каналов (если подсистема датчиков, логическая подсистема или подсистема оконечных элементов входит в состав только одной голосующей группы, то PFHGэквивалентна PFHS, PFHLили PFHFEсоответственно), отказ/ч

PFHS

Вероятность отказа для подсистемы датчиков, отказ/ч

PFHL

Вероятность отказа для логической подсистемы, отказ/ч

PFHFE

Вероятность отказа для подсистемы оконечных элементов, отказ/ч

PFHSYS

Вероятность отказа для функции безопасности Е/Е/РЕ системы, связанной с безопасностью, отказ/ч

λD

Интенсивность опасных отказов для канала подсистемы, равная 0,5 × λ (в предположении 50 % опасных отказов и 50 % безопасных отказов), отказ/ч

λDD

Интенсивность обнаруженных опасных отказов для канала подсистемы (это сумма всех интенсивностей обнаруженных опасных отказов для канала подсистемы), отказ/ч

λDU

Интенсивность необнаруженных опасных отказов для канала подсистемы (это сумма всех интенсивностей необнаруженных опасных отказов для канала подсистемы), отказ/ч

λSD

Интенсивность обнаруженных безопасных отказов для канала подсистемы (это сумма всех интенсивностей обнаруженных безопасных отказов для канала подсистемы), отказ/ч

tCE

Эквивалентное среднее время простоя канала для архитектур 1оо1, 1оо2, 2оо2 и 2оо3 (это объединенное время простоя для всех компонентов канала подсистемы), ч

tGE

Эквивалентное среднее время простоя голосующей группы для архитектур 1оо1, 1оо2, 2оо2 и 2оо3 (это объединенное время простоя для всех каналов в голосующей группе), ч

tСЕ

Эквивалентное среднее время простоя канала для архитектуры 1oo2D(это объединенное время простоя для всех компонентов канала подсистемы), ч

tGE

Эквивалентное среднее время простоя голосующей группы для архитектуры 1oo2D (это суммарное время простоя для всех каналов в голосующей группе), ч

Т2

Интервал времени между запросами, ч

1) Только режим высокой интенсивности запросов и непрерывный режим.

2) Только режим низкой интенсивности запросов.

В.2 Средняявероятностьотказапозапросу (длярежиманизкойинтенсивностизапросов)

В.2.1 Процедура расчета

СреднюювероятностьотказавобслуживаниифункциибезопасностидляЕ/Е/РЕсистемы, связаннойс безопасностью, определяютвычислениемисуммированиемсреднейвероятностиотказавобслуживаниидля всехподсистем, совокупностькоторыхобеспечиваетфункциюбезопасности. Таккакрассматриваемыевнастоящемприложениивероятностиневелики, тосредняявероятностьотказапозапросудляфункциибезопасности Е/Е/РЕсистемы (см. рисунокВ.2), связаннойсбезопасностью, PFDSYSможетбытьвычисленапоформуле

PFDSYS= PFDS + PFDL + PFDFE,

где

PFDS-средняявероятностьотказапозапросудляподсистемыдатчиков;

PFDL-средняявероятностьотказапозапросудлялогическойподсистемы;

PFDFE-средняявероятностьотказапозапросудляподсистемыоконечныхэлементов.

РисунокВ.2 -СтруктураподсистемЕ/Е/РЕсистемы, связаннойсбезопасностью

Дляопределениясреднейвероятностиотказапозапросудлякаждойизподсистемнеобходимострого придерживатьсяследующейпроцедурыдлякаждойподсистемы:

a) Рисуютструктурнуюсхему, изображающуюкомпонентыподсистемыдатчиков (подсистемыввода), компонентылогическойподсистемыиликомпонентыподсистемыоконечныхэлементов (подсистемывывода). Компонентамиподсистемыдатчиков, например, могутбытьдатчики, защитныеэкраны, входныесогласующиецепи; компонентамилогическойподсистемы-процессорыисканеры; акомпонентамиподсистемыоконечныхэлементов-выходныесогласующиецепи, экраныиисполнительныемеханизмы. Представляюткаждуюподсистему какоднулибоболееголосующихгрупп 1оо1, 1оо2, 2оо2, 1oo2Dили 2оо3.

b) ПрименяютсоответствующиетаблицыВ.2 – В.5, вкоторыхприведенышестимесячные, годовые, двухлетниеи 10-летниеинтервалымеждупроцедурамитестирования. Данныетаблицыпредполагают, чтосреднеевремявосстановлениядлялюбогоотказапослеегообнаруженияравно 8 ч.

c) ДлякаждойголосующейгруппывподсистемевыбираютизтаблицВ.2 – В.5:

– архитектуру (например 2оо3);

– диагностическийохватдлякаждогоканала (например 60 %);

– интенсивностьотказов (вчас) λдлякаждогоканала (например 5.0Е-06);

– β-факторыотказасобщейпричинойβиβDдлявзаимосвязимеждуканаламиврассматриваемойархитектуре (например 2 % и 1 % соответственно).

Примечания

1 Предполагается, чтовсеканалывголосующейгруппеимеютодинаковыедиагностическиепокрытияи интенсивностиотказов (см. подразделВ.1).

2 ВтаблицахВ.2 – В.5 (см. такжетаблицыВ.10 – В.13) предполагается, чтоβ-факторвотсутствиедиагностическихтестов (такжеприменяемыйдлянеобнаруженныхопасныхотказовприиспользованиидиагностическихтестов) βв 2 разабольшеβ-факторадляотказов, обнаруживаемыхдиагностическимитестами, βD.

d) ПолучаютизтаблицВ.2 – В.5среднюювероятностьотказавобслуживаниидляголосующейгруппы.

e) Еслифункциябезопасностизависитотнесколькихголосующихгруппдатчиковилиисполнительныхмеханизмов, тосовокупнуюсреднюювероятностьотказавобслуживаниидляподсистемыдатчиковилиподсистемы оконечныхэлементовPFDSилиPFDFEзадаютследующимиформулами:

где

PFDGiиPFDGj-средниевероятностиотказавобслуживаниидлякаждогоизголосующейгруппыдатчикаили оконечногоэлемента, соответственно.

В.2.2 Архитектуры для режима низкой интенсивности запросов

Примечания

1 Внастоящемпунктесправедливыедлянесколькихархитектурформулывыводяттам, гдеонивстречаются впервые.

2 Формулынастоящегопунктасправедливыдляпредположений, перечисленныхвВ.1.

В.2.2.1 Архитектура 1оо1

Даннаяархитектурапредполагаетиспользованиеодногоканала, илюбойопасныйотказприводиткнарушениюфункциибезопасностипривозникновениизапросанаеевыполнение.

НарисункахВ.3иВ.4 представленыструктурнаясхемаисхемарасчетанадежности. Интенсивностьдля каналаλDзадаетсяформулой

РисунокВ.3-Структурнаясхема архитектуры 1оо1

РисунокВ.4 -Схемарасчетанадежностиархитектуры 1оо1

НарисункеВ.4 показано, чтоканалможнорассматриватькаксостоящийиздвухкомпонентов, одногос интенсивностьюопасныхотказовλDU, обусловленнойнеобнаруженнымиотказами, адругогосинтенсивностью опасныхотказовλDD, обусловленнойобнаруженнымиотказами. Эквивалентноесреднеевремяпростояканала tCEможнорассчитать, суммируявременапростоядлядвухкомпонентов, tC1иtC2, прямопропорциональновкладу каждогокомпонентаввероятностьотказаканала:

ДлякаждойархитектурыинтенсивностьнеобнаруженныхопасныхотказовλDUиинтенсивностьнеобнаруженныхопасныхотказовλDDзадаютсякак

СреднюювероятностьотказавыполненияфункциибезопасностиканалаPFDвтечениевременипростоя tCEопределяютизвыражения

таккакλDtCE‹‹1.

Следовательно, средняявероятностьотказапозапросудляархитектуры 1оо1 PFDGравна

PFDG = (λDU+ λDD) tCE.

В.2.2.2 Архитектура 1оо2

Даннаяархитектурапредставляетсобойдваканала, соединенныхпараллельно, такчтолюбойизканалов можетвыполнитьфункциюбезопасности. Следовательно, длянарушенияфункциибезопасностиопасныеотказыдолжнывозникнутьвобоихканалах. Предполагается, чтолюбоедиагностическоетестированиетолькосообщаетонайденныхсбояхинеможетизменитьнивыходныесостоянияканалов, нирезультатголосования.

РисунокВ.5 -Структурнаясхемаархитектуры 1оо2

РисунокВ.6 -Схемарасчетанадежностиархитектуры 1оо2

Структурнаясхемаисхемарасчетанадежностиархитектуры 1оо2 приведенынарисункахВ.5 иВ.6. ЗначениеtCEвычисляютвсоответствиисВ.2.2.1, нонеобходимовычислитьтакжеиэквивалентноевремяпростоя системыtGEпоформуле

Дляданнойархитектуры 1оо1 средняявероятностьотказапозапросуPFDGравна

В.2.2.3 Архитектура 2оо2

Даннаяархитектурапредставляетсобойдваканала, соединенныхпараллельно, идлявыполненияфункциибезопасностинеобходимаработаобоихканалов. Предполагается, чтолюбоедиагностическоетестирование толькосообщаетонайденныхсбояхинеможетизменитьнивыходныесостоянияканалов, нирезультатголосования.

Структурнаясхемаисхемарасчетанадежностиархитектуры 2оо2 представленынарисункахВ.7 иВ.8.

РисунокВ.7 -Структурнаясхемаархитектуры 2оо2

РисунокВ.8 -Схемарасчетанадежностиархитектуры 2оо2

ЗначениеtCEвычисляютвсоответствиисВ.2.2.1, асредняявероятностьотказапозапросуPFDGдляданной архитектурыдолжнабытьравна

PFDG= 2λDtCE.

В.2.2.4 Архитектура 1oo2D

Даннаяархитектурапредставляетсобойдваканала, соединенныхпараллельно. Принормальнойработе длявыполненияфункциибезопасностинеобходимыобаканала. Крометого, еслидиагностическоетестирование обнаруживаетотказвлюбомканале, торезультатыанализаустанавливаютсятак, чтобыобщеевыходноесостояниесовпадалосрезультатом, выдаваемымдругимканалом. Еслидиагностическоетестированиеобнаруживает отказывобоихканалахилинесоответствиемеждуними, причинакоторогонеможетбытьидентифицирована, то выходнойсигналпереводитсистемувбезопасноесостояние. Дляобнаружениянесоответствиямеждуканалами каждыйканалможетопределятьсостояниедругогоканаланезависящимотдругогоканаласпособом.

Структурнаясхемаисхемарасчетанадежностиархитектуры 1oo2DпредставленынарисункахВ.9 и В.10.

РисунокВ.9 -Структурнаясхемаархитектуры 1оо2D

РисунокВ.10 -Схемарасчетанадежностиархитектуры 1оо2D

ДлякаждогоканалаинтенсивностьобнаруженныхбезопасныхотказовλSDопределяюткак

Значенияэквивалентногосреднеговременипростояотличаютсяотзначений, приведенныхдлядругих архитектурвВ.2.2, ипоэтомуихобозначаюткакtCE‘ и tGE‘. Этизначенияопределяюткак

СредняявероятностьотказапозапросуPFDGдляданнойархитектурыравна

B.2.2.5 Архитектура 2оо3

Даннаяархитектурасостоитизтрехканалов, соединенныхпараллельносмажорированиемвыходных сигналовтак, чтовыходноесостояниенеменяется, еслирезультат, выдаваемыйоднимизканалов, отличаетсяот результата, выдаваемогодвумядругимиканалами.

Предполагается, чтолюбоедиагностическоетестированиетолькофиксируетнайденныесбоиинеможет изменитьнивыходныесостоянияканалов, нирезультатголосования.

Структурнаясхемаисхемарасчетанадежностиархитектуры 2оо3 представленынарисункахВ.11 иВ.12.

РисунокВ.11 -Структурнаясхемаархитектуры 2оо3

РисунокВ.12 -Схемарасчетанадежностиархитектуры 2оо3

ЗначениеtCEвычисляютпоВ.2.2.1, азначениеtGE-поВ.2.2.2. Средняявероятностьотказапозапросу PFDGдляданнойархитектурыравна

В.2.3 Подробные таблицы для режима низкой интенсивности запросов

ТаблицаВ.2 -Средняявероятностьотказапозапросувтечениешестимесячногоинтерваламежду контрольнымипроверкамиприсреднемвремениремонта 8 ч

Архитектура

DC

λ = 1.0Е-07

λ= 5.0Е-07

λ = 1.0Е-06

β = 2 %
βD = 1 %

β = 10 %
βD= 5 %

β = 20 %
βD = 10 %

β = 2 %
βD = 1 %

β = 10 %
βD = 5 %

β = 20 %
βD = 10 %

β = 2 %
βD = 1 %

β = 10 %
βD = 5 %

β = 20 %
βD= 10 %

1оо1 (см.
примечание 2)

0 %

1.1Е-04

5.5Е-04

1.1Е-03

60 %

4.4Е-05

2.2Е-04

4.4Е-04

90 %

1.1Е-05

5.7Е-05

1.1 Е-04

99 %

1.5Е-06

7.5Е-06

1.5Е-05

1оо2

0 %

2.2Е-06

1.1Е-05

2.2Е-05

1.1Е-05

5.5Е-05

1.1Е-04

2.4Е-05

1.1Е-04

2.2Е-04

60 %

8.8Е-07

4.4Е-06

8.8Е-06

4.5Е-06

2.2Е-05

4.4Е-05

9.1Е-06

4.4Е-05

8.8Е-05

90 %

2.2Е-07

1.1Е-06

2.2Е-06

1.1Е-06

5.6Е-06

1.1Е-05

2.3Е-06

1.1Е-05

2.2Е-05

99 %

2.6Е-08

1.3Е-07

2.6Е-07

1.3Е-07

6.5Е-07

1.3Е-06

2.6Е-07

1.3Е-06

2.6Е-06

2оо2 (см.
примечание 2)

0 %

2.2Е-04

1.1Е-03

2.2Е-03

60 %

8.8Е-05

4.4Е-04

8.8Е-04

90 %

2.3Е-05

1.1 Е-04

2.3Е-04

99 %

3.0Е-06

1.5Е-05

3.0Е-05

1oo2D

0 %

2.2Е-06

1.1 Е-05

2.2Е-05

1.1Е-05

5.5Е-05

1.1Е-04

2.4Е-05

1.1Е-04

2.2Е-04

60 %

8.8Е-07

4.4Е-06

8.8Е-06

4.4Е-06

2.2Е-05

4.4Е-05

8.9Е-06

4.4Е-05

8.8Е-05

90 %

2.2Е-07

1.1Е-06

2.2Е-06

1.1Е-06

5.6Е-06

1.1Е-05

2.2Е-06

1.1Е-05

2.2Е-05

99 %

2.6Е-08

1.3Е-07

2.6Е-07

1.3Е-07

6.5Е-07

1.3Е-06

2.6Е-07

1.3Е-06

2.6Е-06

2оо3

0 %

2.2Е-06

1.1Е-05

2.2Е-05

1.2Е-05

5.6Е-05

1.1Е-04

2.7Е-05

1.1Е-04

2.2Е-04

60 %

8.9Е-07

4.4Е-06

8.8Е-06

4.6Е-06

2.2Е-05

4.4Е-05

9.6Е-06

4.5Е-05

8.9Е-05

90 %

2.2Е-07

1.1Е-06

2.2Е-06

1.1Е-06

5.6Е-06

1.1Е-05

2.3Е-06

1.1Е-05

2.2Е-05

99 %

2.6Е-08

1.3Е-07

2.6Е-07

1.3Е-07

6.5Е-07

1.3Е-06

2.6Е-07

1.3Е-06

2.6Е-06

ПродолжениетаблицыВ.2

Архитектура

DC

λ= 5.0Е-06

λ = 1.0Е-05

λ= 5.0Е-05

β = 2 %
βD = 1 %

β = 10 %
βD = 5 %

β = 20 %
βD = 10 %

β = 2 %
βD = 1 %

β = 10 %
βD = 5 %

β = 20 %
βD = 10 %

β = 2 %
βD = 1 %

β = 10 %
βD = 5 %

β = 20 %
βD = 10 %

1оо1 (см.
примечание 2)

0 %

5.5Е-03

1.1Е-02

5.5Е-02

60 %

2.2Е-03

4.4Е-03

2.2Е-02

90 %

5.7Е-04

1.1Е-03

5.7Е-03

99 %

7.5Е-05

1.5Е-04

7.5Е-04

1оо2

0 %

1.5Е-04

5.8Е-04

1.1Е-03

3.7Е-04

1.2Е-03

2.3Е-03

5.0Е-03

8.8Е-03

1.4Е-02

60 %

5.0Е-05

2.3Е-04

4.5Е-04

1.1Е-04

4.6Е-04

9.0Е-04

1.1Е-03

2.8Е-03

4.9Е-03

90 %

1.2Е-05

5.6Е-05

1.1Е-04

2.4Е-05

1.1Е-04

2.2Е-04

1.5Е-04

6.0Е-04

1.2Е-03

99 %

1.3Е-06

6.5Е-06

1.3Е-05

2.6Е-06

1.3Е-05

2.6Е-05

1.4Е-05

6.6Е-05

1.3Е-04

2оо2 (см.
примечание 2)

0 %

1.1Е-02

2.2Е-02

> 1Е-01

60 %

4.4Е-03

8.8Е-03

4.4Е-02

90 %

1.1Е-03

2.3Е-03

1.1Е-02

99 %

1.5Е-04

3.0Е-04

1.5Е-03

1oo2D

0 %

1.5Е-04

5.8Е-04

1.1Е-03

3.7Е-04

1.2Е-03

2.3Е-03

5.0Е-03

8.8Е-03

1.4Е-02

60 %

4.6Е-05

2.2Е-04

4.4Е-04

9.5Е-05

4.5Е-04

8.9Е-04

6.0Е-04

2.3Е-03

4.5Е-03

90 %

1.1Е-05

5.6Е-05

1.1Е-04

2.2Е-05

1.1Е-04

2.2Е-04

1.1Е-04

5.6Е-04

1.1Е-03

99 %

1.3Е-06

6.5Е-06

1.3Е-05

2.6Е-06

1.3Е-05

2.6Е-05

1.3Е-05

6.5Е-05

1.3Е-04

2оо3

0 %

2.3Е-04

6.5Е-04

1.2Е-03

6.8Е-04

1.5Е-03

2.5Е-03

1.3Е-02

1.5Е-02

1.9Е-02

60 %

6.3Е-05

2.4Е-04

4.6Е-04

1.6Е-04

5.1Е-04

9.4Е-04

2.3Е-03

3.9Е-03

5.9Е-03

90 %

1.2Е-05

5.7Е-05

1.1Е-04

2.7Е-05

1.2Е-04

2.3Е-04

2.4Е-04

6.8Е-04

1.2Е-03

99 %

1.3Е-06

6.5Е-06

1.3Е-05

2.7Е-06

1.3Е-05

2.6Е-05

1.5Е-05

6.7Е-05

1.3Е-04

Примечания

1 В настоящей таблице приведены примеры значений PFDG, рассчитанные по формулам в соответствии с В.2.2 и с учетом предположений, перечисленных в В.1. Если подсистема датчиков, логическая подсистема или подсистема оконечных элементов входит в состав только одной голосующей группы, то PFDGэквивалентна PFDS, PFDLили PFDFEсоответственно (см. В.2.1).

2 В настоящей таблице предполагается, что β = 2βD. Для архитектур 1оо1 и 2оо2 значения β и βDне влияют на среднюю вероятность отказа.

ТаблицаВ.3-Средняявероятностьотказапозапросудляодногодичногоинтерваламеждуконтрольными испытаниямиисреднеговремениремонта 8 ч

Архитектура

DC

λ = 1.0Е-07

λ= 5.0Е-07

λ = 1.0Е-06

β = 2 %
βD= 1 %

β = 10 %
βD= 5 %

β = 20 %
βD = 10 %

β = 2 %
βD= 1 %

β = 10 %
βD= 5 %

β = 20 %
βD = 10 %

β = 2 %
βD = 1 %

β = 10 %
βD= 5 %

β = 20 %
βD = 10 %

1оо1 (см.
примечание 2)

0 %

2.2Е-04

1.1Е-03

2.2Е-03

60 %

8.8Е-05

4.4Е-04

8.8Е-04

90 %

2.2Е-05

1.1Е-04

2.2Е-04

99 %

2.6Е-06

1.3Е-05

2.6Е-05

1оо2

0 %

4.4Е-06

2.2Е-05

4.4Е-05

2.3Е-05

1.1Е-04

2.2Е-04

5.0Е-05

2.2Е-04

4.4Е-04

60 %

1.8Е-06

8.8Е-06

1.8Е-05

9.0Е-06

4.4Е-05

8.8Е-05

1.9Е-05

8.9Е-05

1.8Е-04

90 %

4.4Е-07

2.2Е-06

4.4Е-06

2.2Е-06

1.1Е-05

2.2Е-05

4.5Е-06

2.2Е-05

4.4Е-05

99 %

4.8Е-08

2.4Е-07

4.8Е-07

2.4Е-07

1.2Е-06

2.4Е-06

4.8Е-07

2.4Е-06

4.8Е-06

2оо2 (см.
примечание 2)

0 %

4.4Е-04

2.2Е-03

4.4Е-03

60 %

1.8Е-04

8.8Е-04

1.8Е-03

90 %

4.5Е-05

2.2Е-04

4.5Е-04

99 %

5.2Е-06

2.6Е-05

5.2Е-05

1oo2D

0 %

4.4Е-06

2.2Е-05

4.4Е-05

2.3Е-05

1.1Е-04

2.2Е-04

5.0Е-05

2.2Е-04

4.4Е-04

60 %

1.8Е-06

8.8Е-06

1.8Е-05

8.9Е-06

4.4Е-05

8.8Е-05

1.8Е-05

8.8Е-05

1.8Е-04

90 %

4.4Е-07

2.2Е-06

4.4Е-06

2.2Е-06

1.1Е-05

2.2Е-05

4.4Е-06

2.2Е-05

4.4Е-05

99 %

4.8Е-08

2.4Е-07

4.8Е-07

2.4Е-07

1.2Е-06

2.4Е-06

4.8Е-07

2.4Е-06

4.8Е-06

2оо3

0 %

4.6Е-06

2.2Е-05

4.4Е-05

2.7Е-05

1.1Е-04

2.2Е-04

6.2Е-05

2.4Е-04

4.5Е-04

60 %

1.8Е-06

8.8Е-06

1.8Е-05

9.5Е-06

4.5Е-05

8.8Е-05

2.1Е-05

9.1Е-05

1.8Е-04

90 %

4.4Е-07

2.2Е-06

4.4Е-06

2.3Е-06

1.1Е-05

2.2Е-05

4.6Е-06

2.2Е-05

4.4Е-05

99 %

4.8Е-08

2.4Е-07

4.8Е-07

2.4Е-07

1.2Е-06

2.4Е-06

4.8Е-07

2.4Е-06

4.8Е-06

ОкончаниетаблицыВ.3

Архитектура

DC

λ= 5.0Е-06

λ = 1.0Е-05

λ= 5.0Е-05

β = 2 %
βD = 1 %

β = 10 %
βD = 5 %

β = 20 %
βD = 10 %

β = 2 %
βD= 1 %

β = 10 %
βD= 5 %

β = 20 %
βD = 10 %

β = 2 %
βD= 1 %

β = 10 %
βD= 5 %

β = 20 %
βD = 10 %

1001 (см.
примечание 2)

0 %

1.1Е-02

2.2Е-02

> 1Е-01

60 %

4.4Е-03

8.8Е-03

4.4Е-02

90 %

1.1Е-03

2.2Е-03

1.1Е-02

99 %

1.3Е-04

2.6Е-04

1.3Е-03

1оо2

0 %

3.7Е-04

1.2Е-03

2.3Е-03

1.1Е-03

2.7Е-03

4.8Е-03

1.8Е-02

2.4Е-02

3.2Е-02

60 %

1.1Е-04

4.6Е-04

9.0Е-04

2.8Е-04

9.7Е-04

1.8Е-03

3.4Е-03

6.6Е-03

1.1Е-02

90 %

2.4Е-05

1.1Е-04

2.2Е-04

5.1Е-05

2.3Е-04

4.5Е-04

3.8Е-04

1.3Е-03

2.3Е-03

99 %

2.4Е-06

1.2Е-05

2.4Е-05

4.9Е-06

2.4Е-05

4.8Е-05

2.6Е-05

1.2Е-04

2.4Е-04

2оо2 (см.
примечание 2)

0 %

2.2Е-02

4.4Е-02

> 1Е-01

60 %

8.8Е-03

1.8Е-02

8.8Е-02

90 %

2.2Е-03

4.5Е-03

2.2Е-02

99 %

2.6Е-04

5.2Е-04

2.6Е-03

1oo2D

0 %

3.7Е-04

1.2Е-03

2.3Е-03

1.1Е-03

2.7Е-03

4.8Е-03

1.8Е-02

2.4Е-02

3.2Е-02

60 %

9.4Е-05

4.5Е-04

8.8Е-04

2.0Е-04

9.0Е-04

1.8Е-03

1.5Е-03

5.0Е-03

9.3Е-03

90 %

2.2Е-05

1.1Е-04

2.2Е-04

4.5Е-05

2.2Е-04

4.4Е-04

2.3Е-04

1.1Е-03

2.2Е-03

99 %

2.4Е-06

1.2Е-05

2.4Е-05

4.8Е-06

2.4Е-05

4.8Е-05

2.4Е-05

1.2Е-04

2.4Е-04

2оо3

0 %

6.8Е-04

1.5Е-03

2.5Е-03

2.3Е-03

3.8Е-03

5.6Е-03

4.8Е-02

5.0Е-02

5.3Е-02

60 %

1.6Е-04

5.1Е-04

9.4Е-04

4.8Е-04

1.1Е-03

2.0Е-03

8.4Е-03

1.1Е-02

1.5Е-02

90 %

2.7Е-05

1.2Е-04

2.3Е-04

6.4Е-05

2.4Е-04

4.6Е-04

7.1Е-04

1.6Е-03

2.6Е-03

99 %

2.5Е-06

1.2Е-05

2.4Е-05

5.1Е-06

2.4Е-05

4.8Е-05

3.1Е-05

1.3Е-04

2.5Е-04

Примечания

1 В настоящей таблице приведены примеры значений PFDG, рассчитанные по формулам в соответствии с В.2.2 и с учетом предположений, перечисленных в В.1. Если подсистема датчиков, логическая подсистема или подсистема оконечных элементов входит в состав только одной голосующей группы, то PFDGэквивалентна PFDS, PFDLили PFDFEсоответственно (см . В.2.1).

2 В настоящей таблице предполагается, что β = 2 βD. Для архитектур 1оо1 и 2оо2 значения β и βDне влияют на среднюю вероятность отказа.

ТаблицаВ.4 -Средняявероятностьотказапозапросудлядвухлетнегоинтерваламеждуконтрольными испытаниямиисреднеговремениремонта 8 ч

Архитектура

DC

λ = 1.0Е-07

λ= 5.0Е-07

λ = 1.0Е-06

β = 2 %
βD= 1 %

β = 10 %
βD= 5 %

β = 20 %
βD = 10 %

β = 2 %
βD= 1 %

β = 10 %
βD= 5 %

β = 20 %
βD= 10 %

β = 2 %
βD= 1 %

β = 10 %
βD = 5 %

β = 20 %
βD = 10 %

1оо1 (см.
примечание 2)

0 %

4.4Е-04

2.2Е-03

4.4Е-03

60 %

1.8Е-04

8.8Е-04

1.8Е-03

90 %

4.4Е-05

2.2Е-04

4.4Е-04

99 %

4.8Е-06

2.4Е-05

4.8Е-05

1оо2

0 %

9.0Е-06

4.4Е-05

8.8Е-05

5.0Е-05

2.2Е-04

4.4Е-04

1.1Е-04

4.6Е-04

8.9Е-04

60 %

3.5Е-06

1.8Е-05

3.5Е-05

1.9Е-05

8.9Е-05

1.8Е-04

3.9Е-05

1.8Е-04

3.5Е-04

90 %

8.8Е-07

4.4Е-06

8.8Е-06

4.5Е-06

2.2Е-05

4.4Е-05

9.1Е-06

4.4Е-05

8.8Е-05

99 %

9.2Е-08

4.6Е-07

9.2Е-07

4.6Е-07

2.3Е-06

4.6Е-06

9.2Е-07

4.6Е-06

9.2Е-06

2оо2 (см.
примечание 2)

0 %

8.8Е-04

4.4Е-03

8.8Е-03

60 %

3.5Е-04

1.8Е-03

3.5Е-03

90 %

8.8Е-05

4.4Е-04

8.8Е-04

99 %

9.6Е-06

4.8Е-05

9.6Е-05

1oo2D

0 %

9.0Е-06

4.4Е-05

8.8Е-05

5.0Е-05

2.2Е-04

4.4Е-04

1.1Е-04

4.6Е-04

8.9Е-04

60 %

3.5Е-06

1.8Е-05

3.5Е-05

1.8Е-05

8.8Е-05

1.8Е-04

3.6Е-05

1.8Е-04

3.5Е-04

90 %

8.8Е-07

4.4Е-06

8.8Е-06

4.4Е-06

2.2Е-05

4.4Е-05

8.8Е-06

4.4Е-05

8.8Е-05

99 %

9.2Е-08

4.6Е-07

9.2Е-07

4.6Е-07

2.3Е-06

4.6Е-06

9.2Е-07

4.6Е-06

9.2Е-06

2оо3

0 %

9.5Е-06

4.4Е-05

8.8Е-05

6.2Е-05

2.3Е-04

4.5Е-04

1.6Е-04

5.0Е-04

9.3Е-04

60 %

3.6Е-06

1.8Е-05

3.5Е-05

2.1Е-05

9.0Е-05

1.8Е-04

4.7Е-05

1.9Е-04

3.6Е-04

90 %

8.9Е-07

4.4Е-06

8.8Е-06

4.6Е-06

2.2Е-05

4.4Е-05

9.6Е-06

4.5Е-05

8.9Е-05

99 %

9.2Е-08

4.6Е-07

9.2Е-07

4.6Е-07

2.3Е-06

4.6Е-06

9.3Е-07

4.6Е-06

9.2Е-06

Окончание таблицы В.4

Архитектура

DC

λ = 5.0Е-06

λ = 1.0Е-05

λ = 5.0Е-05

β = 2 %
βD= 1 %

β = 10 %
βD= 5 %

β = 20 %
βD = 10 %

β = 2 %
βD= 1 %

β = 10 %
βD= 5 %

β = 20 %
βD = 10 %

β = 2 %
βD= 1 %

β = 10 %
βD = 5 %

β = 20 %
βD = 10 %

1оо1 (см.
примечание 2)

0 %

2.2Е-02

4.4Е-02

> 1Е-01

60 %

8.8Е-03

1.8Е-02

8.8Е-02

90 %

2.2Е-03

4.4Е-03

2.2Е-02

99 %

2.4Е-04

4.8Е-04

2.4Е-03

1оо2

0 %

1.1Е-03

2.7Е-03

4.8Е-03

3.3Е-03

6.5Е-03

1.0Е-02

6.6Е-02

7.4Е-02

8.5Е-02

60 %

2.8Е-04

9.7Е-04

1.8Е-03

7.5Е-04

2.1Е-03

3.8Е-03

1.2Е-02

1.8Е-02

2.5Е-02

90 %

5.0Е-05

2.3Е-04

4.5Е-04

1.1Е-04

4.6Е-04

9.0Е-04

1.1Е-03

2.8Е-03

4.9Е-03

99 %

4.7Е-06

2.3Е-05

4.6Е-05

9.5Е-06

4.6Е-05

9.2Е-05

5.4Е-05

2.4Е-04

4.6Е-04

2оо2 (см.
примечание 2)

0 %

4.4Е-02

8.8Е-02

> 1Е-01

60 %

1.8Е-02

3.5Е-02

> 1Е-01

90 %

4.4Е-03

8.8Е-03

4.4Е-02

99 %

4.8Е-04

9.6Е-04

4.8Е-03

1oo2D

0 %

1.1Е-03

2.7Е-03

4.8Е-03

3.3Е-03

6.5Е-03

1.0Е-02

6.6Е-02

7.4Е-02

8.5Е-02

60 %

2.0Е-04

9.0Е-04

1.8Е-03

4.5Е-04

1.8Е-03

3.6Е-03

4.3Е-03

1.1Е-02

1.9Е-02

90 %

4.4Е-05

2.2Е-04

4.4Е-04

8.9Е-05

4.4Е-04

8.8Е-04

4.7Е-04

2.2Е-03

4.4Е-03

99 %

4.6Е-06

2.3Е-05

4.6Е-05

9.2Е-06

4.6Е-05

9.2Е-05

4.6Е-05

2.3Е-04

4.6Е-04

2оо3

0 %

2.3Е-03

3.7Е-03

5.6Е-03

8.3Е-03

1.1Е-02

1.4Е-02

> 1Е-01

> 1Е-01

> 1Е-01

60 %

4.8Е-04

1.1Е-03

2.0Е-03

1.6Е-03

2.8Е-03

4.4Е-03

3.2Е-02

3.5Е-02

4.0Е-02

90 %

6.3Е-05

2.4Е-04

4.6Е-04

1.6Е-04

5.1Е-04

9.4Е-04

2.4Е-03

4.0Е-03

6.0Е-03

99 %

4.8Е-06

2.3Е-05

4.6Е-05

1.0Е-05

4.7Е-05

9.2Е-05

6.9Е-05

2.5Е-04

4.8Е-04

Примечания

1 В настоящей таблице приведены примеры значений PFDG, рассчитанные по формулам в соответствии с В.2.2 и с учетом предположений, перечисленных в В.1. Если подсистема датчиков, логическая подсистема или подсистема оконечных элементов входит в состав только одной голосующей группы, то PFDGэквивалентна PFDS, PFDLили PFDFEсоответственно (см. В.2.1).

2 В настоящей таблице предполагается, что β = 2 βD. Для архитектур 1оо1 и 2оо2 значения β и βDне влияют на среднюю вероятность отказа.

ТаблицаВ.5 -Средняявероятностьотказапозапросудлядесятилетнегоинтерваламеждуконтрольными испытаниямиисреднеговремениремонта 8 ч

Архитектура

DC

λ = 1.0Е-07

λ= 5.0Е-07

λ = 1.0Е-06

β = 2 %
βD = 1 %

β = 10 %
βD= 5 %

β = 20 %
βD = 10 %

β = 2 %
βD= 1 %

β = 10 %
βD= 5 %

β = 20 %
βD = 10 %

β = 2 %
βD = 1 %

β = 10 %
βD= 5 %

β = 20 %
βD = 10 %

1оо1 (см.
примечание 2)

0 %

2.2Е-03

1.1Е-02

2.2Е-02

60 %

8.8Е-04

4.4Е-03

8.8Е-03

90 %

2.2Е-04

1.1Е-03

2.2Е-03

99 %

2.2Е-05

1.1Е-04

2.2Е-04

1оо2

0 %

5.0Е-05

2.2Е-04

4.4Е-04

3.7Е-04

1.2Е-03

2.3Е-03

1.1Е-03

2.7Е-03

4.8Е-03

60 %

1.9Е-05

8.9Е-05

1.8Е-04

1.1Е-04

4.6Е-04

9.0Е-04

2.7Е-04

9.6Е-04

1.8Е-03

90 %

4.4Е-06

2.2Е-05

4.4Е-05

2.3Е-05

1.1Е-04

2.2Е-04

5.0Е-05

2.2Е-04

4.4Е-04

99 %

4.4Е-07

2.2Е-06

4.4Е-06

2.2Е-06

1.1Е-05

2.2Е-05

4.5Е-06

2.2Е-05

4.4Е-05

2оо2 (см.
примечание 2)

0 %

4.4Е-03

2.2Е-02

4.4Е-02

60 %

1.8Е-03

8.8Е-03

1.8Е-02

90 %

4.4Е-04

2.2Е-03

4.4Е-03

99 %

4.5Е-05

2.2Е-04

4.5Е-04

1oo2D

0 %

5.0Е-05

2.2Е-04

4.4Е-04

3.7Е-04

1.2Е-03

2.3Е-03

1.1Е-03

2.7Е-03

4.8Е-03

60 %

1.8Е-05

8.8Е-05

1.8Е-04

9.4Е-05

4.4Е-04

8.8Е-04

2.0Е-04

9.0Е-04

1.8Е-03

90 %

4.4Е-06

2.2Е-05

4.4Е-05

2.2Е-05

1.1Е-04

2.2Е-04

4.4Е-05

2.2Е-04

4.4Е-04

99 %

4.4Е-07

2.2Е-06

4.4Е-06

2.2Е-06

1.1Е-05

2.2Е-05

4.4Е-06

2.2Е-05

4.4Е-05

2оо3

0 %

6.2Е-05

2.3Е-04

4.5Е-04

6.8Е-04

1.5Е-03

2.5Е-03

2.3Е-03

3.7Е-03

5.6Е-03

60 %

2.1Е-05

9.0Е-05

1.8Е-04

1.6Е-04

5.0Е-04

9.3Е-04

4.7Е-04

1.1Е-03

2.0Е-03

90 %

4.6Е-06

2.2Е-05

4.4Е-05

2.7Е-05

1.1Е-04

2.2Е-04

6.3Е-05

2.4Е-04

4.5Е-04

99 %

4.4Е-07

2.2Е-06

4.4Е-06

2.3Е-06

1.1Е-05

2.2Е-05

4.6Е-06

2.2Е-05

4.4Е-05

ПродолжениетаблицыВ.5

Архитектура

DC

λ= 5.0Е-06

λ = 1.0Е-05

λ= 5.0Е-05

β = 2 %
βD= 1 %

β = 10 %
βD= 5 %

β = 20 %
βD = 10 %

β = 2 %
βD = 1 %

β = 10 %
βD= 5 %

β = 20 %
βD = 10 %

β = 2 %
βD= 1 %

β = 10 %
βD= 5 %

β = 20 %
βD = 10 %

1оо1 (см.
примечание 2)

0 %

> 1Е-01

> 1Е-01

> 1Е-01

60 %

4.4Е-02

8.8Е-02

> 1Е-01

90 %

1.1Е-02

2.2Е-02

> 1Е-01

99 %

1.1Е-03

2.2Е-03

1.1Е-02

1оо2

0 %

1.8Е-02

2.4Е-02

3.2Е-02

6.6Е-02

7.4Е-02

8.5Е-02

> 1Е-01

> 1Е-01

> 1Е-01

60 %

3.4Е-03

6.6Е-03

1.1Е-02

1.2Е-02

1.8Е-02

2.5Е-02

> 1Е-01

> 1Е-01

> 1Е-01

90 %

3.8Е-04

1.2Е-03

2.3Е-03

1.1Е-03

2.8Е-03

4.9Е-03

1.8Е-02

2.5Е-02

3.5Е-02

99 %

2.4Е-05

1.1Е-04

2.2Е-04

5.1Е-05

2.3Е-04

4.5Е-04

3.8Е-04

1.3Е-03

2.3Е-03

2оо2 (см.
примечание 2)

0 %

> 1Е-01

> 1Е-01

> 1Е-01

60 %

8.8Е-02

> 1Е-01

> 1Е-01

90 %

2.2Е-02

4.4Е-02

> 1Е-01

99 %

2.2Е-03

4.5Е-03

2.2Е-02

1002D

0 %

1.8Е-02

2.4Е-02

3.2Е-02

6.6Е-02

7.4Е-02

8.5Е-02

> 1Е-01

> 1Е-01

> 1Е-01

60 %

1.5Е-03

4.9Е-03

9.2Е-03

4.2Е-03

1.1Е-02

1.9Е-02

7.1Е-02

9.9Е-02

> 1Е-01

90 %

2.3Е-04

1.1Е-03

2.2Е-03

4.7Е-04

2.2Е-03

4.4Е-03

3.0Е-03

1.2Е-02

2.3Е-02

99 %

2.2Е-05

1.1Е-04

2.2Е-04

4.4Е-05

2.2Е-04

4.4Е-04

2.2Е-04

1.1Е-03

2.2Е-03

2оо3

0 %

4.8Е-02

5.0Е-02

5.3Е-02

> 1Е-01

> 1Е-01

> 1Е-01

> 1Е-01

> 1Е-01

> 1Е-01

60 %

8.3Е-03

1.1Е-02

1.4Е-02

3.2Е-02

3.5Е-02

4.0Е-02

> 1Е-01

> 1Е-01

> 1Е-01

90 %

6.9Е-04

1.5Е-03

2.6Е-03

2.3Е-03

3.9Е-03

5.9Е-03

4.9Е-02

5.4Е-02

6.0Е-02

99 %

2.7Е-05

1.2Е-04

2.3Е-04

6.4Е-05

2.4Е-04

4.6Е-04

7.1Е-04

1.6Е-03

2.6Е-03

Примечания

1 ВнастоящейтаблицеприведеныпримерызначенийPFDG, рассчитанныепоформуламвсоответствии сВ.2.2 исучетомпредположений, перечисленных вВ.1. Еслиподсистемадатчиков, логическаяподсистема илиподсистемаоконечныхэлементоввходитвсоставтолькооднойголосующейгруппы, тоPFDGэквивалентна PFDS, PFDLилиPFDFEсоответственно (см. В.2.1).

2 Внастоящейтаблицепредполагается, что β = 2 βD. Дляархитектур 1оо1 и 2оо2 значенияβиβDне влияютнасреднюювероятностьотказа.

В.2.4. Пример режима низкой интенсивности запросов

Рассмотримфункциюбезопасности, дляреализациикоторойнужнасистемаSIL2. Пустьпостроенныйна основепредыдущегоопытапервоначальныйвариантархитектурывсейсистемывключаетоднугруппуизтрех аналоговыхдатчиковдавлениясархитектурой 2оо3 навходе. Логическаяподсистемарассматриваемойсистемы представляетсобойPESсизбыточностьюсархитектурой 1оо2Dиуправляетоднимзакрывающимиоднимдренажнымклапаном, таккакдляобеспеченияфункциибезопасностинеобходимаработакакзакрывающего, таки дренажногоклапана. АрхитектуравсейсистемыпредставленанарисункеВ.13. Дляэтойсистемыоценимсначала функциюбезопасностиPFDSYSприодногодичномпериодеконтрольныхиспытаний. ТаблицыВ.6-В.8являются фрагментамитаблицыВ.3длясоответствующихданныхнарисункеВ.13.

РисунокВ.13 -Архитектурасистемырассматриваемогопримерадлярежима низкойинтенсивностизапросов

ТаблицаВ.6 -Средняявероятностьотказапозапросудляподсистемыдатчиков врассматриваемомпримередлярежиманизкойинтенсивностизапросов (интервал контрольныхиспытанийравенодномугоду, асреднеевремяремонта- 8 ч)

Архитектура

DC

λ= 5.0Е-06

β = 2%
βD= 1 %

β = 10 %
βD= 5 %

β = 20 %
βD = 10 %

2оо3

0 %

6.8Е-04

1.5Е-03

2.5Е-03

60 %

1.6Е-04

5.1Е-04

9.4Е-04

90 %

2.7Е-05

1.2Е-04

2.3Е-04

99 %

2.5Е-06

1.2Е-05

2.4Е-05

Примечание -НастоящаятаблицапредставляетсобойфрагменттаблицыВ.3.

ТаблицаВ.7 -Средняявероятностьотказапозапросудлялогическойподсистемы впримередлярежиманизкойинтенсивностизапросов (интервалконтрольныхиспытанийравенодномугоду, асреднеевремяремонта- 8 ч)

Архитектура

DC

λ = 1.0Е-05

β = 2 %
βD= 1 %

β = 10 %
βD=5 %

β = 20 %
βD = 10 %

1002D

0 %

1.1Е-03

2.7Е-03

4.8Е-03

60 %

2.0Е-04

9.0Е-04

1.8Е-03

90 %

4.5Е-05

2.2Е-04

4.4Е-04

99 %

4.8Е-06

2.4Е-05

4.8Е-05

Примечание-НастоящаятаблицапредставляетсобойфрагменттаблицыВ.3.

ТаблицаВ.8 -Средняявероятностьотказапозапросудляподсистемыоконечных элементоввпримередлярежиманизкойинтенсивностизапросов (интервалконтрольныхиспытанийравенодномугоду, асреднеевремяремонта- 8 ч)

Архитектура

DC

λ= 5.0Е-06

λ = 1.0Е-05

1оо1

0 %

1.1Е-02

2.2Е-02

60 %

4.4Е-03

8.8Е-03

90 %

1.1Е-03

2.2Е-03

99 %

1.3Е-04

2.6Е-04

Примечание -Настоящая таблицапредставляетсобойфрагменттаблицыВ.3.

Данные, представленныевтаблицахВ.6 – В.8, позволяютполучитьследующиезначения:

– дляподсистемыдатчиков:

PFDS= 2,3 × 10-4;

– длялогическойподсистемы:

PFDL= 4,8 × 10-6;

– дляподсистемыоконечныхэлементов:

PFDFE= 4,4 × 10-3 + 8,8 × 10-3

= 1,3 × 10-2.

Следовательно, дляфункциибезопасности:

PFDSYS= 2,3 × 10-4 + 4,8 × 10-6+ 1,3 × 10-2

= 1,3 × 10-2

= уровень полноты безопасности 1.

Дляпереводасистемы, представленнойнарисункеВ.13, науровеньполнотыбезопасности 2, выполняют одноизследующихдействий:

a) уменьшаютинтервалмеждуконтрольнымипроверкамидо 6 мес.:

PFDS= 1,1 × 10-4

PFDL= 2,6 × 10-6

PFDFE= 2,2 × 10-3 + 4,4 × 10-3

= 6,6 × 10-3

PFDSYS= 6,7 × 10-3

= уровень полноты безопасности 2;

b) заменяютархитектуру 1оо1 закрывающегоклапана, представляющегособойвыходноеустройствоснизкойнадежностью, на 1оо2, предполагая, чтоβ = 10 % иβD = 5 %:

PFDS= 2,3 × 10-4

PFDL= 4,8 × 10-6

PFDFE= 4,4 × 10-3 + 9,7 × 10-4

= 5,4 × 10-3

PFDSYS= 5,6 × 10-3

= уровеньполнотыбезопасности 2.

В.2.5 Влияние неидеальных контрольных проверок

Отказысистемы, связаннойсбезопасностью, необнаруженныеникакимидиагностическимииликонтрольнымииспытаниями, обнаруживаюттолькоприсовпадениизапросовнавыполнениефункциибезопасности, на которуювлияетотказ. Следовательно, длятакихполностьюнезависимыхотказовожидаемаяинтенсивностьзапросовксистемебезопасностиопределяетдействительноевремяпростоев.

Нижеприведенпримертакойзависимостидляархитектуры 1оо2, гдеT2-времямеждузапросамик системе:

Результатыдлясистемы 1оо2 со 100 %-нымидостовернымиодногодичнымиконтрольнымииспытаниями всравнениис 50 %-нымидостовернымиконтрольнымииспытаниями, гдетребуемыйпериодконтрольныхиспытанийT2предполагаетсяравным 10 годам, приведенывтаблицеВ.9. Врассматриваемомпримерерасчетыпроводилисьприследующихпредположениях: интенсивностьотказов 1 ×10-5вчас; β = 10 %; βD = 5 %.

ТаблицаВ.9 -Неидеальныеконтрольныеиспытания

Архитектура

DC

λ = 1.0Е-05

100 %-ные достоверные контрольные испытания

50 %-ные достоверные контрольные испытания
(T2 = 10 лет)

β =10 %
βD= 5 %

β =10 %
βD= 5 %

1оо2

0 %

2.7Е-03

6.6Е-02

60 %

9.7Е-04

2.6Е-02

90 %

2.3Е-04

6.6Е-03

99 %

2.4Е-05

7.0Е-04

В.3Вероятностьотказавчас (длярежимаработывысокойинтенсивностизапросовилинепрерывногорежимаработы)

В.3.1 Процедура расчетов

МетодопределениявероятностиотказафункциибезопасностидляЕ/Е/РЕсистемы, связаннойсбезопасностью, работающейврежимевысокойинтенсивностизапросовилинепрерывномрежиме. Тоже, чтоиметод вычислениядлярежиманизкойинтенсивностизапросов (см. В.2.1), заисключениемтого, чтосредняявероятностьотказапозапросуPFDSYSзаменяетсянавероятностьопасногоотказавчасPFHSYS.

ОбщуювероятностьопасногоотказафункциибезопасностидляЕ/Е/РЕсистемы, связаннойсбезопасностью, PFHSYSопределяютвычислениеминтенсивностейопасныхотказовдлявсехподсистем, совокупность которыхобеспечиваетфункциюбезопасности, исуммированиемполученныхотдельныхзначений. Таккакрассматриваемыевнастоящемприложениивероятностималы, тоиспользуютформулу

PFHSYS= PFHS+ PFHL + PFHFE,

где

PFHSYS-вероятностьотказавчасдляфункциибезопасностиЕ/Е/РЕсистемы, связаннойсбезопасностью;

PFHS-вероятностьотказавчасдляподсистемыдатчиков;

PFHL-вероятностьотказавчасдлялогическойподсистемы;

PFHFE-вероятностьотказавчасдляподсистемыоконечныхэлементов.

В.3.2 Архитектуры для режима работы высокой интенсивности запросов или непрерывного режима работы

Примечания

1 Внастоящемпунктесправедливыедлянесколькихархитектурформулывыводяттам, гдеонивстречаются впервые. См. такжеВ.2.2.

2 Формулынастоящегопунктасправедливыдляпредположений, перечисленныхвВ.1.

В.3.2.1 Архитектура 1оо1

Структурнаясхемаисхемарасчетанадежностиархитектуры 1оо1 представленынарисункахВ.3иВ.4соответственно. ДлявычисленияλD, tCE, λDUиλDDиспользуюттежеформулы, чтоивВ.2.2.1.

Еслипредположить, чтосистема, связаннаясбезопасностью, приобнаружениилюбогоотказапереводит EUCвбезопасноесостояние, тодляархитектуры 1оо1

PFHG= λDU.

В.3.2.2 Архитектура 1оо2

Структурнаясхемаисхемарасчетанадежностиархитектуры 1оо2 представленысоответственнонарисункахВ.5иВ.6. ЗначениеtCEвычисляютпоформуле, приведеннойвВ.3.2.1. ВероятностьотказаPFHGдляархитектуры 1оо2 вычисляютпоформуле

В.3.2.3 Архитектура 2оо2

Структурнаясхемаисхемарасчетанадежностиархитектуры 2оо2 представленысоответственнонарисункахВ.7иВ.8. Еслипредположить, чтоприобнаружениилюбогоотказакаждыйканалпереводитсявбезопасное состояние, тодляархитектуры 2оо2

PFHG= 2λDU.

В.3.2.4 Архитектура 1оо2D

Структурнаясхемаисхемарасчетанадежностиархитектуры 1оо2DпредставленысоответственнонарисункахВ.9иВ.10. Дляархитектуры 1оо2DинтенсивностьобнаруженныхбезопасныхотказовλSD, эквивалентное среднеевремяпростояtCE. ивероятностьотказаPFHGвычисляютпоформулам:

В.3.2.5 Архитектура 2оо3

Структурнаясхемаисхемарасчетанадежностиархитектуры 2оо3 представленысоответственнонарисункахВ.11иВ.12. ЗначениеtCEвычисляютпоформуле, приведеннойвВ.3.2.1. ВероятностьотказаPFHGдля архитектуры 2оо3 вычисляютпоформуле

В.3.3 Подробные таблицы для режима работы высокой интенсивности запросов и непрерывного режима работы

ТаблицаВ.10 -Вероятностьотказавчас (врежимевысокойинтенсивностизапросовинепрерывномрежиме) дляодномесячногоинтерваламеждуконтрольнымииспытаниямиисреднеговремениремонта 8 ч

Архитектура

DC

λ = 1.0Е-07

λ= 5.0Е-07

λ = 1.0Е-06

β = 2 %
βD= 1 %

β = 10 %
βD= 5 %

β = 20 %
βD = 10 %

β = 2 %
βD = 1 %

β = 10 %
βD = 5 %

β = 20 %
βD = 10 %

β = 2 %
βD= 1 %

β = 10 %
βD = 5 %

β = 20 %
βD= 10 %

1оо1 (см.
примечание 2)

0 %

5.0Е-08

2.5Е-07

5.0Е-07

60 %

2.0Е-08

1.0Е-07

2.0Е-07

90 %

5.0Е-09

2.5Е-08

5.0Е-08

99 %

5.0Е-10

2.5Е-09

5.0Е-09

1оо2

0 %

1.0Е-09

5.0Е-09

1.0Е-08

5.0Е-09

2.5Е-08

5.0Е-08

1.0Е-08

5.0Е-08

1.0Е-07

60 %

7.0Е-10

3.5Е-09

7.0Е-09

3.5Е-09

1.8Е-08

3.5Е-08

7.1Е-09

3.5Е-08

7.0Е-08

90 %

5.5Е-10

2.8Е-09

5.5Е-09

2.8Е-09

1.4Е-08

2.8Е-08

5.5Е-09

2.8Е-08

5.5Е-08

99 %

5.1Е-10

2.5Е-09

5.1Е-09

2.5Е-09

1.3Е-08

2.5Е-08

5.1Е-09

2.5Е-08

5.1Е-08

2оо2 (см.
примечание 2)

0 %

1.0Е-07

5.0Е-07

1.0Е-06

60 %

4.0Е-08

2.0Е-07

4.0Е-07

90 %

1.0Е-08

5.0Е-08

1.0Е-07

99 %

1.0Е-09

5.0Е-09

1.0Е-08

1oo2D

0 %

1.0Е-09

5.0Е-09

1.0Е-08

5.0Е-09

2.5Е-08

5.0Е-08

1.0Е-08

5.0Е-08

1.0Е-07

60 %

7.0Е-10

3.5Е-09

7.0Е-09

3.5Е-09

1.8Е-08

3.5Е-08

7.0Е-09

3.5Е-08

7.0Е-08

90 %

5.5Е-10

2.8Е-09

5.5Е-09

2.8Е-09

1.4Е-08

2.8Е-08

5.5Е-09

2.8Е-08

5.5Е-08

99 %

5.1Е-10

2.5Е-09

5.1Е-09

2.5Е-09

1.3Е-08

2.5Е-08

5.1Е-09

2.5Е-08

5.1Е-08

2оо3

0 %

1.0Е-09

5.0Е-09

1.0Е-08

5.1Е-09

2.5Е-08

5.0Е-08

1.1Е-08

5.0Е-08

1.0Е-07

60 %

7.0Е-10

3.5Е-09

7.0Е-09

3.6Е-09

1.8Е-08

3.5Е-08

7.2Е-09

3.5Е-08

7.0Е-08

90 %

5.5Е-10

2.8Е-09

5.5Е-09

2.8Е-09

1.4Е-08

2.8Е-08

5.6Е-09

2.8Е-08

5.5Е-08

99 %

5.1Е-10

2.5Е-09

5.1Е-09

2.5Е-09

1.3Е-08

2.5Е-08

5.1Е-09

2.5Е-08

5.1Е-08

ПродолжениетаблицыВ. 10

Архитектура

DC

λ= 5.0Е-06

λ =1.0Е-05

λ= 5.0Е-05

β = 2 %
βD = 1 %

β = 10 %
βD = 5 %

β = 20 %
βD = 10 %

β = 2 %
βD = 1 %

β = 10 %
βD = 5 %

β = 20 %
βD = 10 %

β = 2 %
βD= 1 %

β = 10 %
βD = 5 %

β = 20 %
βD = 10 %

1оо1 (см.
примечание 2)

0 %

2.5Е-06

5.0Е-06

> 1Е-05

60 %

1.0Е-06

2.0Е-06

1.0Е-05

90 %

2.5Е-07

5.0Е-07

2.5Е-06

99 %

2.5Е-08

5.0Е-08

2.5Е-07

1оо2

0 %

5.4Е-08

2.5Е-07

5.0Е-07

1.2Е-07

5.2Е-07

1.0Е-06

9.5Е-07

2.9Е-06

5.3Е-06

60 %

3.7Е-08

1.8Е-07

3.5Е-07

7.7Е-08

3.6Е-07

7.1Е-07

5.4Е-07

1.9Е-06

3.6Е-06

90 %

2.8Е-08

1.4Е-07

2.8Е-07

5.7Е-08

2.8Е-07

5.5Е-07

3.3Е-07

1.4Е-06

2.8Е-06

99 %

2.5Е-08

1.3Е-07

2.5Е-07

5.1Е-08

2.5Е-07

5.1Е-07

2.7Е-07

1.3Е-06

2.5Е-06

2оо2 (см.
примечание 2)

0 %

5.0Е-06

1.0Е-05

> 1Е-05

60 %

2.0Е-06

4.0Е-06

> 1Е-05

90 %

5.0Е-07

1.0Е-06

5.0Е-06

99 %

5.0Е-08

1.0Е-07

5.0Е-07

1oo2D

0 %

5.4Е-08

2.5Е-07

5.0Е-07

1.2Е-07

5.2Е-07

1.0Е-06

9.5Е-07

2.9Е-06

5.3Е-06

60 %

3.6Е-08

1.8Е-07

3.5Е-07

7.3Е-08

3.5Е-07

7.0Е-07

4.3Е-07

1.8Е-06

3.6Е-06

90 %

2.8Е-08

1.4Е-07

2.8Е-07

5.5Е-08

2.8Е-07

5.5Е-07

2.8Е-07

1.4Е-06

2.8Е-06

99 %

2.5Е-08

1.3Е-07

2.5Е-07

5.1Е-08

2.5Е-07

5.1Е-07

2.5Е-07

1.3Е-06

2.5Е-06

2оо3

0 %

6.3Е-08

2.6Е-07

5.1Е-07

1.5Е-07

5.5Е-07

1.0Е-06

1.8Е-06

3.6Е-06

5.9Е-06

60 %

4.1Е-08

1.8Е-07

3.5Е-07

9.2Е-08

3.7Е-07

7.2Е-07

9.1Е-07

2.2Е-06

3.9Е-06

90 %

2.9Е-08

1.4Е-07

2.8Е-07

6.2Е-08

2.8Е-07

5.6Е-07

4.4Е-07

1.5Е-06

2.9Е-06

99 %

2.6Е-08

1.3Е-07

2.5Е-07

5.2Е-08

2.5Е-07

5.1Е-07

3.0Е-07

1.3Е-06

2.6Е-06

Примечания

1 Внастоящейтаблицеприведеныпримерызначений PFHG, рассчитанныепоформуламвсоответствии сВ.3.2исучетомпредположений, перечисленныхвВ.1. Еслиподсистемадатчиков, логическаяподсистема илиподсистемаоконечныхэлементоввходитвсоставтолькооднойголосующейгруппы, тоPFHGэквивалентна PFHS, PFHLилиPFHFEсоответственно (см. В.3.1иВ.2.1).

2 Внастоящейтаблицепредполагается, чтоβ = 2 βD. Дляархитектур 1оо1 и 2оо2 значенияβиβDне влияютнасреднюювероятностьотказа.

ТаблицаВ.11 -Вероятностьотказавчас (врежимеработывысокойинтенсивностизапросовинепрерывном режимеработы) длятрехмесячногоинтерваламеждуконтрольнымииспытаниямиисреднеговремени ремонта 8 ч

Архитектура

DC

λ = 1.0Е-07

λ= 5.0Е-07

λ = 1.0Е-06

β = 2 %
βD= 1 %

β = 10 %
βD= 5 %

β = 20 %
βD= 10 %

β = 2 %
βD= 1 %

β = 10 %
βD= 5 %

β = 20 %
βD = 10 %

β = 2 %
βD= 1 %

β = 10 %
βD = 5 %

β = 20 %
βD = 10 %

1оо1 (см.
примечание 2)

0 %

5.0Е-08

2.5Е-07

5.0Е-07

60 %

2.0Е-08

1.0Е-07

2.0Е-07

90 %

5.0Е-09

2.5Е-08

5.0Е-08

99 %

5.0Е-10

2.5Е-09

5.0Е-09

1оо2

0 %

1.0Е-09

5.0Е-09

1.0Е-08

5.1Е-09

2.5Е-08

5.0Е-08

1.1Е-08

5.0Е-08

1.0Е-07

60 %

7.0Е-10

3.5Е-09

7.0Е-09

3.6Е-09

1.8Е-08

3.5Е-08

7.2Е-09

3.5Е-08

7.0Е-08

90 %

5.5Е-10

2.8Е-09

5.5Е-09

2.8Е-09

1.4Е-08

2.8Е-08

5.6Е-09

2.8Е-08

5.5Е-08

99 %

5.1Е-10

2.5Е-09

5.1Е-09

2.5Е-09

1.3Е-08

2.5Е-08

5.1Е-09

2.5Е-08

5.1Е-08

2оо2 (см.
примечание 2)

0 %

1.0Е-07

5.0Е-07

1.0Е-06

60 %

4.0Е-08

2.0Е-07

4.0Е-07

90 %

1.0Е-08

5.0Е-08

1.0Е-07

99 %

1.0Е-09

5.0Е-09

1.0Е-08

1oo2D

0 %

1.0Е-09

5.0Е-09

1.0Е-08

5.1Е-09

2.5Е-08

5.0Е-08

1.1Е-08

5.0Е-08

1.0Е-07

60 %

7.0Е-10

3.5Е-09

7.0Е-09

3.5Е-09

1.8Е-08

3.5Е-08

7.1Е-09

3.5Е-08

7.0Е-08

90 %

5.5Е-10

2.8Е-09

5.5Е-09

2.8Е-09

1.4Е-08

2.8Е-08

5.5Е-09

2.8Е-08

5.5Е-08

99 %

5.1Е-10

2.5Е-09

5.1Е-09

2.5Е-09

1.3Е-08

2.5Е-08

5.1Е-09

2.5Е-08

5.1Е-08

2оо3

0 %

1.0Е-09

5.0Е-09

1.0Е-08

5.4Е-09

2.5Е-08

5.0Е-08

1.2Е-08

5.1Е-08

1.0Е-07

60 %

7.1Е-10

3.5Е-09

7.0Е-09

3.7Е-09

1.8Е-08

3.5Е-08

7.7Е-09

3.6Е-08

7.0Е-08

90 %

5.5Е-10

2.8Е-09

5.5Е-09

2.8Е-09

1.4Е-08

2.8Е-08

5.7Е-09

2.8Е-08

5.5Е-08

99 %

5.1Е-10

2.5Е-09

5.1Е-09

2.5Е-09

1.3Е-08

2.5Е-08

5.1Е-09

2.5Е-08

5.1Е-08

ОкончаниетаблицыВ.11

Архитектура

DC

λ= 5.0Е-06

λ = 1.0Е-05

λ= 5.0Е-05

β = 2 %
βD = 1 %

β = 10 %
βD= 5 %

β = 20 %
βD = 10 %

β = 2 %
βD = 1 %

β = 10 %
βD = 5 %

β = 20 %
βD = 10 %

β = 2 %
βD = 1 %

β = 10 %
βD = 5 %

β = 20 %
βD = 10 %

1001 (см.
примечание 2)

0 %

2.5Е-06

5.0Е-06

> 1Е-05

60 %

1.0Е-06

2.0Е-06

1.0Е-05

90 %

2.5Е-07

5.0Е-07

2.5Е-06

99 %

2.5Е-08

5.0Е-08

2.5Е-07

1оо2

0 %

6.3Е-08

2.6Е-07

5.1Е-07

1.5Е-07

5.4Е-07

1.0Е-06

1.8Е-06

3.6Е-06

5.9Е-06

60 %

4.0Е-08

1.8Е-07

3,5E-07

9.2Е-08

3.7Е-07

7.2Е-07

8.9Е-07

2.2Е-06

3.9Е-06

90 %

2.9Е-08

1.4Е-07

2.8Е-07

6.1Е-08

2.8Е-07

5.5Е-07

4.2Е-07

1.5Е-06

2.9Е-06

99 %

2.5Е-08

1.3Е-07

2.5Е-07

5.1Е-08

2.5Е-07

5.1Е-07

2.8Е-07

1.3Е-06

2.5Е-06

2оо2 (см.
примечание 2)

0 %

5.0Е-06

1.0Е-05

> 1Е-05

60 %

2.0Е-06

4.0Е-06

> 1Е-05

90 %

5.0Е-07

1.0Е-06

5.0Е-06

99 %

5.0Е-08

1.0Е-07

5.0Е-07

1oo2D

0 %

6.3Е-08

2.6Е-07

5.1Е-07

1.5Е-07

5.4Е-07

1.0Е-06

1.8Е-06

3.6Е-06

5.9Е-06

60 %

3.7Е-08

1.8Е-07

3.5Е-07

7.9Е-08

3.6Е-07

7.1Е-07

5.7Е-07

1.9Е-06

3.7Е-06

90 %

2.8Е-08

1.4Е-07

2.8Е-07

5.6Е-08

2.8Е-07

5.5Е-07

2.9Е-07

1.4Е-06

2.8Е-06

99 %

2.5Е-08

1.3Е-07

2.5Е-07

5.1Е-08

2.5Е-07

5.1Е-07

2.5Е-07

1.3Е-06

2.5Е-06

2оо3

0 %

9.0Е-08

2.8Е-07

5.3Е-07

2.6Е-07

6.3Е-07

1.1Е-06

4.5Е-06

5.9Е-06

7.6Е-06

60 %

5.1Е-08

1.9Е-07

3.6Е-07

1.4Е-07

4.1Е-07

7.5Е-07

2.0Е-06

3.2Е-06

4.7Е-06

90 %

3.2Е-08

1.4Е-07

2.8Е-07

7.2Е-08

2.9Е-07

5.6Е-07

7.1Е-07

1.8Е-06

3.1Е-06

99 %

2.6Е-08

1.3Е-07

2.5Е-07

5.3Е-08

2.6Е-07

5.1Е-07

3.2Е-07

1.3Е-06

2.6Е-06

Примечания

1 Внастоящейтаблицеприведеныпримеры значенийPFHG, рассчитанныепоформуламвсоответствии сВ.3.2исучетомпредположений, перечисленных в В.1. Еслиподсистемадатчиков, логическаяподсистемаилиподсистемаоконечныхэлементоввходитвсоставтолькооднойголосующейгруппы, тоPFHGэквивалентна PFHS, PFHLилиPFHFEсоответственно (см. В.3.1иВ.2.1).

2 Внастоящейтаблицепредполагается, чтоβ = 2 βD. Дляархитектур 1оо1 и 2оо2 значенияβиβDне влияютнасреднюювероятностьотказа.

ТаблицаВ.12 -Вероятностьотказавчас (врежимевысокойинтенсивностизапросовинепрерывном режиме) дляшестимесячногоинтерваламеждуконтрольнымииспытаниямиидлясреднеговремениремонта 8 ч

Архитектура

DC

λ = 1.0Е-07

λ= 5.0Е-07

λ = 1.0Е-06

β = 2 %
βD = 1 %

β = 10 %
βD = 5 %

β = 20 %
βD = 10 %

β = 2 %
βD = 1 %

β = 10 %
βD = 5 %

β = 20 %
βD = 10 %

β = 2 %
βD= 1 %

β = 10 %
βD = 5 %

β = 20 %
βD = 10 %

1оо1 (см.
примечание 2)

0 %

5.0Е-08

2.5Е-07

5.0Е-07

60 %

2.0Е-08

1.0Е-07

2.0Е-07

90 %

5.0Е-09

2.5Е-08

5.0Е-08

99 %

5.0Е-10

2.5Е-09

5.0Е-09

1оо2

0 %

1.0Е-09

5.0Е-09

1.0Е-08

5.3Е-09

2.5Е-08

5.0Е-08

1.1Е-08

5.1Е-08

1.0Е-07

60 %

7.0Е-10

3.5Е-09

7.0Е-09

3.6Е-09

1.8Е-08

3.5Е-08

7.4Е-09

3.5Е-08

7.0Е-08

90 %

5.5Е-10

2.8Е-09

5.5Е-09

2.8Е-09

1.4Е-08

2.8Е-08

5.6Е-09

2.8Е-08

5.5Е-08

99 %

5.1Е-10

2.5Е-09

5.1Е-09

2.5Е-09

1.3Е-08

2.5Е-08

5.1Е-09

2.5Е-08

5.1Е-08

2оо2 (см.
примечание 2)

0 %

1.0Е-07

5.0Е-07

1.0Е-06

60 %

4.0Е-08

2.0Е-07

4.0Е-07

90 %

1.0Е-08

5.0Е-08

1.0Е-07

99 %

1.0Е-09

5.0Е-09

1.0Е-08

1oo2D

0 %

1.0Е-09

5.0Е-09

1.0Е-08

5.3Е-09

2.5Е-08

5.0Е-08

1.1Е-08

5.1Е-08

1.0Е-07

60 %

7.0Е-10

3.5Е-09

7.0Е-09

3.5Е-09

1.8Е-08

3.5Е-08

7.2Е-09

3.5Е-08

7.0Е-08

90 %

5.5Е-10

2.8Е-09

5.5Е-09

2.8Е-09

1.4Е-08

2.8Е-08

5.5Е-09

2.8Е-08

5.5Е-08

99 %

5.1Е-10

2.5Е-09

5.1Е-09

2.5Е-09

1.3Е-08

2.5Е-08

5.1Е-09

2.5Е-08

5.1Е-08

2оо3

0 %

1.0Е-09

5.0Е-09

1.0Е-08

5.8Е-09

2.6Е-08

5.1Е-08

1.3Е-08

5.3Е-08

1.0Е-07

60 %

7.1Е-10

3.5Е-09

7.0Е-09

3.8Е-09

1.8Е-08

3.5Е-08

8.3Е-09

3.6Е-08

7.1Е-08

90 %

5.5Е-10

2.8Е-09

5.5Е-09

2.8Е-09

1.4Е-08

2.8Е-08

5.8Е-09

2.8Е-08

5.5Е-08

99 %

5.1Е-10

2.5Е-09

5.1Е-09

2.5Е-09

1.3Е-08

2.5Е-08

5.1Е-09

2.5Е-08

5.1Е-08

ОкончаниетаблицыВ.12

Архитектура

DC

λ= 5.0Е-06

λ = 1.0Е-05

λ= 5.0Е-05

β = 2 %
βD= 1 %

β = 10 %
βD= 5 %

β = 20 %
βD = 10 %

β = 2 %
βD= 1 %

β = 10 %
βD= 5 %

β = 20 %
βD = 10 %

β = 2 %
βD= 1 %

β = 10 %
βD= 5 %

β = 20 %
βD = 10 %

1оо1 (см.
примечание 2)

0 %

2.5Е-06

5.0Е-06

> 1Е-05

60 %

1.0Е-06

2.0Е-06

1.0Е-05

90 %

2.5Е-07

5.0Е-07

2.5Е-06

99 %

2.5Е-08

5.0Е-08

2.5Е-07

1оо2

0 %

7.6Е-08

2.7Е-07

5.2Е-07

2.1Е-07

5.9Е-07

1.1Е-06

3.1Е-06

4.7Е-06

6.8Е-06

60 %

4.6Е-08

1.8Е-07

3.6Е-07

1.1Е-07

3.9Е-07

7.3Е-07

1.4Е-06

2.7Е-06

4.3Е-06

90 %

3.0Е-08

1.4Е-07

2.8Е-07

6.6Е-08

2.9Е-07

5.6Е-07

5.5Е-07

1.6Е-06

3.0Е-06

99 %

2.6Е-08

1.3Е-07

2.5Е-07

5.2Е-08

2.5Е-07

5.1Е-07

2.9Е-07

1.3Е-06

2.6Е-06

2оо2 (см.
примечание 2)

0 %

5.0Е-06

1.0Е-05

> 1Е-05

60 %

2.0Е-06

4.0Е-06

> 1Е-05

90 %

5.0Е-07

1.0Е-06

5.0Е-06

99 %

5.0Е-08

1.0Е-07

5.0Е-07

1oo2D

0 %

7.6Е-08

2.7Е-07

5.2Е-07

2.1Е-07

5.9Е-07

1.1Е-06

3.1Е-06

4.7Е-06

6.8Е-06

60 %

3.9Е-08

1.8Е-07

3.5Е-07

8.7Е-08

3.7Е-07

7.1Е-07

7.8Е-07

2.1Е-06

3.8Е-06

90 %

2.8Е-08

1.4Е-07

2.8Е-07

5.6Е-08

2.8Е-07

5.5Е-07

3.0Е-07

1.4Е-06

2.8Е-06

99 %

2.5Е-08

1.3Е-07

2.5Е-07

5.1Е-08

2.5Е-07

5.1Е-07

2.5Е-07

1.3Е-06

2.5Е-06

2оо3

0 %

1.3Е-07

3.2Е-07

5.5Е-07

4.2Е-07

7.7Е-07

1.2Е-06

8.4Е-06

9.2Е-06

1.0Е-05

60 %

6.7Е-08

2.0Е-07

3.7Е-07

2.0Е-07

4.6Е-07

8.0Е-07

3.6Е-06

4.6Е-06

6.0Е-06

90 %

3.6Е-08

1.5Е-07

2.8Е-07

8.8Е-08

3.1Е-07

5.8Е-07

1.1Е-06

2.1Е-06

3.4Е-06

99 %

2.6Е-08

1.3Е-07

2.5Е-07

5.5Е-08

2.6Е-07

5.1Е-07

3.6Е-07

1.4Е-06

2.6Е-06

Примечания

1 ВнастоящейтаблицеприведеныпримерызначенийPFHG, рассчитанныепоформуламвсоответствии сВ.3.2 исучетомпредположений, перечисленныхв В.1. Еслиподсистемадатчиков, логическая подсистемаили подсистемаоконечныхэлементоввходитвсоставтолькооднойголосующейгруппы, тоPFHGэквивалентнаPFHS, PFHLилиPFHFEсоответственно (см. В.3.1иВ.2.1).

2 Внастоящейтаблицепредполагается, чтоβ = 2 βD. Дляархитектур 1оо1 и 2оо2 значенияβиβDневлияют насреднюювероятностьотказа.

ТаблицаВ.13 -Вероятностьотказавчас (врежимевысокойинтенсивностизапросовинепрерывном режиме) дляодногодичногоинтерваламеждуконтрольнымииспытаниямиидлясреднеговремениремонта 8 ч

Архитектура

DC

λ = 1.0Е-07

λ= 5.0Е-07

λ = 1.0Е-06

β = 2 %
βD= 1 %

β = 10 %
βD= 5 %

β = 20 %
βD = 10 %

β = 2 %
βD= 1 %

β = 10 %
βD= 5 %

β = 20 %
βD= 10 %

β = 2 %
βD= 1 %

β = 10 %
βD= 5 %

β = 20 %
βD= 10 %

1оо1 (см.
примечание 2)

0 %

5.0Е-08

2.5Е-07

5.0Е-07

60 %

2.0Е-08

1.0Е-07

2.0Е-07

90 %

5.0Е-09

2.5Е-08

5.0Е-08

99 %

5.0Е-10

2.5Е-09

5.0Е-09

1оо2

0 %

1.0Е-09

5.0Е-09

1.0Е-08

5.5Е-09

2.5Е-08

5.0Е-08

1.2Е-08

5.2Е-08

1.0Е-07

60 %

7.1Е-10

3.5Е-09

7.0Е-09

3.7Е-09

1.8Е-08

3.5Е-08

7.9Е-09

3.6Е-08

7.1Е-08

90 %

5.5Е-10

2.8Е-09

5.5Е-09

2.8Е-09

1.4Е-08

2.8Е-08

5.7Е-09

2.8Е-08

5.5Е-08

99 %

5.1Е-10

2.5Е-09

5.1Е-09

2.5Е-09

1.3Е-08

2.5Е-08

5.1Е-09

2.5Е-08

5.1Е-08

2оо2 (см.
примечание 2)

0 %

1.0Е-07

5.0Е-07

1.0Е-06

60 %

4.0Е-08

2.0Е-07

4.0Е-07

90 %

1.0Е-08

5.0Е-08

1.0Е-07

99 %

1.0Е-09

5.0Е-09

1.0Е-08

1oo2D

0 %

1.0Е-09

5.0Е-09

1.0Е-08

5.5Е-09

2.5Е-08

5.0Е-08

1.2Е-08

5.2Е-08

1.0Е-07

60 %

7.0Е-10

3.5Е-09

7.0Е-09

3.6Е-09

1.8Е-08

3.5Е-08

7.3Е-09

3.5Е-08

7.0Е-08

90 %

5.5Е-10

2.8Е-09

5.5Е-09

2.8Е-09

1.4Е-08

2.8Е-08

5.5Е-09

2.8Е-08

5.5Е-08

99 %

5.1Е-10

2.5Е-09

5.1Е-09

2.5Е-09

1.3Е-08

2.5Е-08

5.1Е-09

2.5Е-08

5.1Е-08

2оо3

0 %

1.1Е-09

5.1Е-09

1.0Е-08

6.6Е-09

2.6Е-08

5.1Е-08

1.6Е-08

5.5Е-08

1.0Е-07

60 %

7.3Е-10

3.5Е-09

7.0Е-09

4.1Е-09

1.8Е-08

3.5Е-08

9.6Е-09

3.7Е-08

7.2Е-08

90 %

5.6Е-10

2.8Е-09

5.5Е-09

2.9Е-09

1.4Е-08

2.8Е-08

6.2Е-09

2.8Е-08

5.6Е-08

99 %

5.1Е-10

2.5Е-09

5.1Е-09

2.5Е-09

1.3Е-08

2.5Е-08

5.1Е-09

2.5Е-08

5.1Е-08

ПродолжениетаблицыВ.13

Архитектура

DC

λ= 5.0Е-06

λ = 1.0Е-05

λ= 5.0Е-05

β = 2 %
βD= 1 %

β = 10 %
βD= 5 %

β = 20 %
βD = 10 %

β = 2 %
βD= 1 %

β = 10 %
βD= 5 %

β = 20 %
βD = 10 %

β = 2 %
βD= 1 %

β = 10 %
βD= 5 %

β = 20 %
βD= 10 %

1оо1 (см.
примечание 2)

0 %

2.5Е-06

5.0Е-06

> 1Е-05

60 %

1.0Е-06

2.0Е-06

1.0Е-05

90 %

2.5Е-07

5.0Е-07

2.5Е-06

99 %

2.5Е-08

5.0Е-08

2.5Е-07

1оо2

0 %

1.0Е-07

2.9Е-07

5.4Е-07

3.1Е-07

6.8Е-07

1.1Е-06

5.8Е-06

6.9Е-06

8.5Е-06

60 %

5.6Е-08

1.9Е-07

3.7Е-07

1.6Е-07

4.3Е-07

7.7Е-07

2.5Е-06

3.7Е-06

5.1Е-06

90 %

3.3Е-08

1.4Е-07

2.8Е-07

7.7Е-08

2.9Е-07

5.7Е-07

8.2Е-07

1.9Е-06

3.2Е-06

99 %

2.6Е-08

1.3Е-07

2.5Е-07

5.3Е-08

2.5Е-07

5.1Е-07

3.2Е-07

1.3Е-06

2.6Е-06

2оо2 (см.
примечание 2)

0 %

5.0Е-06

1.0Е-05

> 1Е-05

60 %

2.0Е-06

4.0Е-06

> 1Е-05

90 %

5.0Е-07

1.0Е-06

5.0Е-06

99 %

5.0Е-08

1.0Е-07

5.0Е-07

1002D

0 %

1.0Е-07

2.9Е-07

5.4Е-07

3.1Е-07

6.8Е-07

1.1Е-06

5.8Е-06

6.9Е-06

8.5Е-06

60 %

4.4Е-08

1.8Е-07

3.6Е-07

1.0Е-07

3.8Е-07

7.3Е-07

1.2Е-06

2.5Е-06

4.1Е-06

90 %

2.8Е-08

1.4Е-07

2.8Е-07

5.7Е-08

2.8Е-07

5.5Е-07

3.3Е-07

1.4Е-06

2.8Е-06

99 %

2.5Е-08

1.3Е-07

2.5Е-07

5.1Е-08

2.5Е-07

5.1Е-07

2.5Е-07

1.3Е-06

2.5Е-06

2оо3

0 %

2.1Е-07

3.8Е-07

6.1Е-07

7.3Е-07

1.0Е-06

1.4Е-06

> 1Е-05

> 1Е-05

> 1Е-05

60 %

9.9Е-08

2.3Е-07

4.0Е-07

3.3Е-07

5.8Е-07

9.0Е-07

6.8Е-06

7.5Е-06

8.4Е-06

90 %

4.4Е-08

1.5Е-07

2.9Е-07

1.2Е-07

3.3Е-07

6.0Е-07

1.9Е-06

2.9Е-06

4.1Е-06

99 %

2.7Е-08

1.3Е-07

2.5Е-07

5.8Е-08

2.6Е-07

5.1Е-07

4.4Е-07

1.4Е-06

2.7Е-06

Примечания

1 ВнастоящейтаблицеприведеныпримерызначенийPFHG, рассчитанные поформуламвсоответствиисВ.3.2 исучетомпредположений, перечисленныхвВ.1. Еслиподсистемадатчиков, логическая подсистемаилиподсистемаоконечныхэлементоввходитвсоставтолькооднойголосующейгруппы, тоPFHGэквивалентнаPFHS, PFHLилиPFHFEсоответственно (см. В.3.1иВ.2.1).

2 Внастоящейтаблицепредполагается, чтоβ = 2 βD. Дляархитектур 1оо1 и 2оо2 значенияβ иβDне влияютнасреднюювероятностьотказа.

В.3.4. Пример режима высокой интенсивности запросов или непрерывного режима

Рассмотримфункциюбезопасности, дляреализациикоторойнужнасистемаSIL2. Пусть, построенныйна основепредыдущегоопыта, первоначальныйвариантархитектурывсейсистемывключаетоднугруппуиздвух датчиковсархитектурой 1оо2 навходе. Логическаяподсистема, рассматриваемойсистемы, представляетсобой PESсизбыточностьюсархитектурой 2оо3 иуправляетоднимзакрывающимконтактором. Архитектураописанной системыпредставленанарисункеВ.14. Дляэтойсистемыоценимсначалафункциюбезопасностипришестимесячномпериодеконтрольныхиспытаний. ТаблицыВ.14- В.16являютсяфрагментамитаблицыВ.12длясоответствующихданныхнарисункеВ.14.

Примечание-Долябезопасныхотказовдляподсистемыоконечныхэлементовпревышает 60 %.

РисунокВ. 14 -Архитектурасистемырассматриваемогопримерадлярежимавысокойинтенсивности запросовилинепрерывногорежима

ТаблицаВ.14 -Вероятностьотказавчасдляподсистемыдатчиковврассматриваемомпримерережима высокойинтенсивностизапросовилинепрерывногорежима (шестимесячныйинтервалконтрольныхиспытаний исреднеевремяремонта 8 ч)

Архитектура

DC

λ= 5.0Е-06

β = 2 %
βD= 1 %

β = 10 %
βD= 5 %

β = 20 %
βD = 10 %

1оо2

0 %

7.6Е-08

2.7Е-07

5.2Е-07

60 %

4.6Е-08

1.8Е-07

3.6Е-07

90 %

3.0Е-08

1.4Е-07

2.8Е-07

99 %

2.6Е-08

1.3Е-07

2.5Е-07

Примечание-НастоящаятаблицапредставляетсобойфрагменттаблицыВ.12.

ТаблицаВ.15 -Вероятностьотказавчасдлялогическойподсистемыврассматриваемомпримерережима высокойинтенсивностизапросовилинепрерывногорежима (шестимесячныйинтервалконтрольныхиспытаний исреднеевремяремонта 8 ч)

Архитектура

DC

λ= 5.0Е-06

β = 2 %
βD= 1 %

β = 2 %
βD= 1 %

β = 2 %
βD= 1 %

2оо3

0 %

4.2Е-07

7.7Е-07

1.2Е-06

60 %

2.0Е-07

4.6Е-07

8.0Е-07

90 %

8.8Е-08

3.1Е-07

5.8Е-07

99 %

5.5Е-08

2.6Е-07

5.1Е-07

Примечание-НастоящаятаблицапредставляетсобойфрагменттаблицыВ.12.

ТаблицаВ.16 -Вероятностьотказавчасдляподсистемыоконечныхэлементовв рассматриваемомпримерережимавысокойинтенсивностизапросовилинепрерывногорежима (шестимесячныйинтервалконтрольныхиспытанийисреднеевремяремонта 8 ч)

Архитектура

DC

λ = 1.0Е-06

1оо1

0 %

5.0Е-07

60 %

2.0Е-07

90 %

5.0Е-08

99 %

5.0Е-09

Примечание-НастоящаятаблицапредставляетсобойфрагменттаблицыВ.12.

ДанныетаблицВ.14 – В.16 позволяютполучитьследующиезначения:

– дляподсистемыдатчиков:

PFHS= 5,2 × 10-7/h;

– длялогическойподсистемы:

PFHL= 5,5 × 10-8/h;

– дляподсистемыоконечныхэлементов:

PFHFE= 5,0 × 10-7/h;

следовательно, дляфункциибезопасности:

PFHSYS= 5,2 × 10-7 + 5,5 × 10-8 + 5,0 × 10-7

= 1,1 × 10-6/h

≡ уровень полноты безопасности 1.

Дляпереводасистемынауровеньполнотыбезопасности 2 выполняютодноизследующихдействий:

a) изменяюттиписпособустановкивходногодатчикадляулучшениязащитыототказасобщейпричиной, такимобразом, снижаязначениеβот 20 % до 10 %, aβDот 10 % до 5 %:

PFHS = 2,7 × 10-7/h

PFHL = 5,5 ×10-8/h

PFHFE= 5,0 × 10-7/h

PFHSYS = 8,3 ×10-7/h

≡уровеньполнотыбезопасности 2;

b) заменяютединственноевыходноеустройстводвумяустройствамисархитектурой 1оо2 (β = 10 % и βD = 5 %):

PFHS= 5,2×10-7/h

PFHL = 5,5×10-8/h

PFHFE = 5,1×10-8/h

PFHSYS = 6,3×10-7/h

≡ уровень полноты безопасности 2.

Подробностиоценкивероятностейотказаприведеныв [2]-[7].

Приложение С
(справочное)

Расчет диагностического охвата и доли безопасных отказов

МетодрасчетадиагностическогоохватаидолибезопасныхотказовприведенвМЭК 61508-2, приложениеС. НастоящееприложениесодержиткраткоеописаниеиспользованияэтогометодадлярасчетадиагностическогоохватаЕ/Е/РЕсистемы, связаннойсбезопасностью. Предполагается, чтоинформация, представленная вМЭК 61508-2, доступнаипринеобходимостииспользуетсяприполучениизначений, приведенныхвтаблице С.1. ВозможныедиапазоныдиагностическогоохватадлянекоторыхподсистемиликомпонентЕ/Е/РЕсистем, связанныхсбезопасностью, представленывтаблицеС.2. Значения, представленныевтаблицеС.2, опираются наинженерныеоценки.

ДлявычислениявсехзначенийтаблицыС.1потребоваласьбыподробнаясхемааппаратныхсредств, с помощьюкоторойможноопределитьвлияниевсехрежимовотказов. Представленныевтаблице С.1значения приведенывкачествепримера (длянекоторыхкомпонентовтаблицыС.1диагностическийохватнеопределен, таккакпрактическиневозможнообнаружитьвсережимыотказовэтихкомпонентов).

ТаблицаС.1быласформированаследующимобразом:

a) Дляопределениявлияниякаждоговидаотказовкаждогокомпонентанаповедениесистемыбездиагностическихиспытанийбылпроведенанализвидовивлиянияотказов. Длякаждогокомпонентаприведеныдоли безопасныхотказовSиопасныхотказовDотобщейинтенсивностиотказов, связанныескаждымвидомотказов. Дляпростыхкомпонентовделениенаопасныеибезопасныеотказыможетбытьчеткоопределено, востальных случаях-основанонаинженернойоценке. Длясложныхкомпонентов, еслидетальныйанализкаждоговида отказаневозможен, считают, чтоотказыделятсявсоотношении: 50 % безопасных, 50 % -опасных. ДляформированиятаблицыС.1 использовалисьвидыотказов, задаваемыеименнотакимраспределением, хотявозможно идругое, болеепредпочтительноераспределениеповидамотказов.

b) ЗначениядиагностическогоохватадлякаждогоконкретногодиагностическогоиспытаниякаждогокомпонентапомещаютвстолбцеDCcompтаблицыС.1. Втаблице С.1такжеприведеныконкретныезначениядиагностическихохватовдляобнаружениякакбезопасных, такиопасныхотказов. Былопоказано, чтодляпростыхкомпонентов (например, резисторов, конденсаторовитранзисторов) отказыиз-заотсутствияконтактаиликороткого замыканияобнаруживаютсясдиагностическимохватом 100 %, темнеменееиспользованиетаблицы С.2ограничиваетдиагностическийохватзначением 90 % длякомпонентаU16 комплексногокомпонентатипаВ.

c) Встолбцах 1 и 2 таблицыС.1приведеныинтенсивностибезопасныхλSиопасныхλDD+ λDUотказовдля каждогокомпонентаприотсутствиидиагностическихиспытаний.

d) Обнаруженныйопасныйотказсчитаютфактическибезопасным, чтопозволяетопределитьотношение междуфактическибезопаснымиотказами (т.е. любымиобнаруженнымибезопасными, необнаруженнымибезопаснымиилиобнаруженнымиопаснымиотказами) инеобнаруженнымиопаснымиотказами. Интенсивность фактическибезопасныхотказовопределяютпроизведениемзначенияинтенсивностиопасныхотказовизначениядиагностическогоохватадляопасныхотказовисложениемрезультатасозначениеминтенсивностибезопасныхотказов (см. столбец 3 таблицыС.1). Точнотакжеинтенсивностьнеобнаруженныхопасныхотказовопределяютвычитаниемдиагностическогоохватадляопасныхотказовизединицыиумножениемрезультатанаинтенсивностьопасныхотказов (см. столбец 4 таблицыС.1).

e) Встолбце 5 таблицыС.1приведенызначенияинтенсивностиобнаруженныхбезопасныхотказов, а встолбце 6 таблицыС.1- значенияинтенсивностиобнаруженныхопасныхотказов, полученныеумножениемзначениядиагностическогоохватаназначенияинтенсивностибезопасныхиопасныхотказовсоответственно.

f) ИспользованиетаблицыС.1даетследующиерезультаты:

– общаяинтенсивностьбезопасныхотказов, включаяобнаруженныеопасныеотказы:

– общаяинтенсивностьнеобнаруженныхопасныхотказов:

– общаяинтенсивностьотказов:

– общаяинтенсивностьнеобнаруженныхбезопасныхотказов:

– диагностическийохватдлябезопасныхотказов:

– диагностическийохватдляопасныхотказов (обычноназываемый«диагностическимохватом»):

– долябезопасныхотказов:

g) Бездиагностическихиспытанийинтенсивностьотказовраспределяетсяследующимобразом: 35 % безопасныхотказови 65 % -опасныхотказов.

ТаблицаС.1 -Расчетдиагностическогоохватаидолибезопасныхотказов

Компонент

Тип

Распределение на безопасные и опасные отказы для каждого вида отказов

Распределение на безопасные и опасные отказы для диагностического охвата и рассчитанных интенсивностей отказов (×10-9 ч-1)

ОС

SC

Изменение
значения

Фукцио-
нальные
отказы

DCcomp

1

2

3

4

5

6

S

D

S

D

S

D

S

D

S

D

λS

λDDDU

λSDD

λDU

λSD

λDD

Print

1

Печать

0,5

0,5

0,5

0,5

0

0

0

0

0,99

0,99

11,0

11,0

21,9

0,1

10,9

10,9

СN1

1

Con96pin

0,5

0,5

0,5

0,5

0,99

0,99

11,5

11,5

22,9

0,1

11,4

11,4

C1

1

100 нФ

1

0

1

0

0

0

0

0

1

0

3,2

0,0

3,2

0,0

3,2

0,0

С2

1

10 мкФ

0

0

1

0

0

0

0

0

1

0

0,8

0,0

0,8

0,0

0,8

0,0

R4

1

1 М

0,5

0,5

0,5

0,5

1

1

1,7

1,7

3,3

0,0

1,7

1,7

R6

1

100 К

0

0

0,0

0,0

0,0

0,0

0,0

0,0

OSC1

1

ОSС24 МГц

0,5

0,5

0,5

0,5

0,5

0,5

0,5

0,5

1

1

16,0

16,0

32,0

0,0

16,0

16,0

U8

1

74НСТ85

0,5

0,5

0,5

0,5

0,5

0,5

0,5

0,5

0,99

0,99

22,8

22,8

45,4

0,2

22,6

22,6

U16

1

МС68000-12

0

1

0

1

0,5

0,5

0,5

0,5

0,90

0,90

260,4

483,6

695,6

48,4

234,4

435,2

U26

1

74НСТ74

0,5

0,5

0,5

0,5

0,5

0,5

0,5

0,5

0,99

0,99

22,8

22,8

45,4

0,2

22,6

22,6

U27

1

74F74

0,5

0,5

0,5

0,5

0,5

0,5

0,5

0,5

0,99

0,99

14,4

14,4

28,7

0,1

14,3

14,3

U28

1

PAL16L8A

0

1

0

1

0

1

0

1

0,98

0,98

0,0

88,0

86,2

1,8

0,0

86,2

T1

1

ВС817

0

0

0

0,67

0

0,5

0

0

1

1

0,0

0,2

0,4

0,0

0,0

0,2

Всего

365

672

986

50,9

338

621

S– безопасный отказ; D– опасный отказ; ОС– потеря контакта; SC– короткое замыкание; DCcomp– диагностический охват для компонента

Примечания

1 Не обнаружен ни один вид отказа для компонента R6, т.е. его отказ не влияет на безопасность и готовность системы.

2 См. также таблицу В.1 (в настоящей таблице интенсивности отказов приведены только для отдельных рассматриваемых компонентов в канале, а не для каждого компонента).

ТаблицаС.2 -Уровниидиапазоныдиагностическогоохватаразличныхподсистем (компонентов)

Компонент

Низкий диагностический охват

Средний диагностический охват

Высокий диагностический охват

Процессор (см. примечание 3):

в сумме менее 70 %

в сумме менее 90 %

– регистр

50 %-70 %

85 %-90 %

99 %-99,99 %

– внутренняя регистровая память (см. примечание 3)

50 %-60 %

75 %-95 %

– блок кодирования и выполнения, включающий регистр тэгов (см. примечание 3)

50 %-70 %

85 %-98 %

– устройство вычисления адреса

50 %-60 %

60 %-90 %

85 %-98 %

– счетчик команд

50 %-70 %

– указатель стека

40 %-60 %

Шина:

– модуль управления памятью

50 %

70 %

90 %-99 %

– устройство управления шины

50 %

70 %

90 %-99 %

Обработка прерываний

40 % – 60 %

60 % – 90 %

85 % – 98 %

Кварцевый тактовый генератор (см. примечание 4)

50 %

95 %-99 %

Контроль выполнения программы:

– временное (см. примечание 3)

40 %-60 %

60 %-80 %

– логическое (см. примечание 3)

40 %-60 %

60 %-90 %

– временное и логическое (см. примечание 5)

65 %-90 %

90 %-98 %

Постоянная память

50 %-70 %

99 %

99,99 %

Непостоянная память

50 %-70 %

85 %-90 %

99 %-99,99 %

Дискретное оборудование:

– цифровой ввод/вывод

70 %

90 %

99 %

– аналоговый ввод/вывод

50 %-60 %

70 %-85 %

99 %

– источник питания

50 % – 60 %

70 % – 85 %

99%

Устройство связи и запоминающее устройство большой емкости

90 %

99,9 %

99,99 %

Электромеханические устройства

90 %

99 %

99,9 %

Датчики

50 %-70 %

70 %-85 %

99 %

Оконечные элементы

50 %-70 %

70 %-85 %

99 %

Примечания

1 НастоящуютаблицуприменяютсовместносМЭК 61508-2, таблицаА.1, вкоторомприведеныанализируемыевидыотказов.

2 Еслидлядиагностическогоохватазаданконкретныйдиапазон, верхниеграницыинтерваламогутбыть определенытолькодляузкогокругасредствконтроляилитестирования, которыереализуютчрезвычайно динамичнуюнагрузкудляпроверяемойфункции.

3 Внастоящеевремядляподсистем, схемывысокогодиагностическогоохватакоторыхотсутствуют, средстваиметодывысокойдостоверностидиагностикинеизвестны.

4 Внастоящеевремядлякварцевыхтактовыхгенераторовсредства иметодысреднейдостоверности неизвестны.

5 Низкийдиагностическийохватдлякомбинациивременногоилогическогоконтролявыполненияпрограммыявляетсясредним.

Полезнуюинформациюможнонайтив [8]-[10].

Приложение D
(справочное)

Методика количественного определения влияния отказов аппаратных средств с общей причиной в Е/Е/РЕ системах

D.1 Общиеположения

Настоящийстандартвключаетвсебярядметодов, рассматривающихсистематическиеотказы. Однаконезависимооттого, насколькоэффективныэтиметоды, существуетостаточнаявероятностьвозникновениясистематическихотказов. Этонезначительновлияетнарезультатырасчетанадежностидляодноканальныхсистем, однаковозможностьпоявленияотказов, способныхповлиятьнанесколькоканаловмногоканальнойсистемы, т.е. отказовпообщейпричине, приводитксущественнымошибкамприрасчетахнадежностимногоканальныхсистем.

Внастоящемприложенииприводитсяописаниеметодики, позволяющейучитыватьотказыпообщейпричинеприоценкебезопасностимногоканальныхЕ/Е/РЕсистем. Использованиеданнойметодикидаетболееточную оценкуполнотыбезопасноститакойсистемы, чемприигнорированииотказовпообщейпричине.

Даннаяметодикаиспользуетсядлярасчетазначенияβ, β-фактора, частоиспользуемогопримоделированииотказовпообщейпричине. Описываемаяметодикаможетбытьиспользованадляоценкиинтенсивности отказовпообщейпричиневслучаедвухилиболеепараллельноработающихсистем, еслиизвестнаинтенсивностьслучайныхотказоваппаратныхсредствдляоднойизэтихсистем (см. D.5). Внекоторыхслучаяхпредпочтительнееальтернативныеметодики, например, еслиблагодаряналичиюданныхоботказахпообщейпричине можнополучитьболееточноезначениеβ-фактора.

D.2 Краткий обзор

Считается, чтоотказысистемыбываютдвухвидов:

– случайныеотказыаппаратныхсредств;

– систематическиеотказы.

Предполагается, чтоотказыпервоговидавозникаютслучайноповременидлялюбогокомпонентаиприводяткотказуканаласистемы, частьюкоторогоявляетсясоответствующийкомпонент. Существуетнекотораявероятностьтого, чтововсехканалахмногоканальнойсистемымогутпроизойтинезависимыеслучайныеотказы аппаратныхсредств, вследствиечеговсеканалыодновременноокажутсянеработоспособными. Таккакпредполагается, чтотакиеотказыаппаратныхсредстввозникаютвовременислучайно, вероятностьтакихотказов, одновременновозникающихвпараллельныхканалах, низкапосравнениюсвероятностьюотказаодногоканала. Такая вероятностьможетбытьрассчитанаспомощьюхорошоизвестныхметодов.

Однаконекоторыеотказы, напримеротказыпообщейпричине, являющиесяследствиемоднойпричины, могутвлиятьнанесколькоканалов, чтоможетбытьследствиемсистематическойошибки (например, конструктивнойилиошибкитехническихусловий) иливнешнеговоздействия, ведущегокпреждевременнымслучайнымаппаратнымотказам (например, избыточнойтемпературы, возникающейиз-заслучайногоотказааппаратногосредства, обычноговентилятора, чтосокращаетвремяжизникомпонентовилинарушаетзаданныеусловияокружающейсредыдляихработы), иликомбинацииэтихфакторов. Таккакотказыпообщейпричинечащевлияютна несколькоканаловмногоканальнойсистемы, товероятностьтакогоотказа, скореевсего, будетдоминирующим факторомприопределенииобщейвероятностиотказамногоканальнойсистемы. Еслинеучитыватьэтотфактор, будеттруднополучитьправильнуюоценкууровняполнотыбезопасности.

Хотяотказыпообщейпричинеявляютсяследствиемоднойпричины, онинеобязательнопроявляютсяво всехканалаходновременно. Например, приотказевентиляторавсеканалымногоканальнойЕ/Е/РЕсистемы могутотказать, чтоведеткотказупообщейпричине. Однаконеобязательновсеканалынагреваютсясодинаковой скоростьюилиимеютобщуюкритическуютемпературу. Следовательно, отказывозникаютвразныхканалахв разноевремя.

Архитектурапрограммируемыхсистемпозволяетимвыполнятьвнутреннеедиагностическоетестирование непосредственнововремяработы, чтоможетбытьреализованоразличнымиспособами, например:

– одинканалPESодновременнособеспечениемработывходногоивыходногоустройствможетнепрерывновыполнятьвнутреннююпроверкусвоейработы. Наэтапепроектированияможнодостичьзначениятестового охвата, равного 99 % (см. [11]). Если 99 % внутреннихсбоевобнаруженыдотого, какониприведуткотказу, вероятностьсбоеводногоканала, которыемогут, вконечномсчете, статьчастьюотказовпообщейпричине, значительноснижается;

– помимовнутреннеготестированиякаждыйканалPESможетотслеживатьвыходыдругихканаловмногоканальнойPES (иликаждоеРЕ-устройствоможетотслеживатьдругоеРЕ-устройствосистемы, состоящейизнесколькихРЕ-устройств). Следовательно, отказ, возникшийводномканале, можетбытьобнаружен, иодинили несколькооставшихсянеотказавшихканаловбудутвыполнятьперекрестныйконтрольиинициироватьбезопасноевыключение (следуетотметить, чтоперекрестныйконтрольэффективен, еслисостояниесистемыуправления постоянноменяется, например, приналичиичастоиспользуемойвциклическиработающемустройствезащитной блокировкиилипривнесениивустройствонебольшихизменений, невлияющихнауправляющуюфункцию). Интенсивностьвыполняемогоперекрестногоконтроляможетбытьдостаточновысока, поэтомунепосредственно переднеодновременнымиотказамипообщейпричинеперекрестныйконтроль, скореевсего, обнаружитпервый отказавшийканалипозволитперевестисистемувбезопасноесостояниедомоментаотказавторогоканала.

Например, длявентилятораскоростьростатемпературыивосприимчивостьканаловнесколькоразличаются, поэтомувторойканал, возможно, откажетспустянесколькодесятковминутпослепервого. Этопозволяет последиагностическоготестированияинициироватьбезопасноеотключениепервогоотказавшегоканаладотого, какпообщейпричинеоткажетвторойканал.

Такимобразом:

– РЕ-системыобладаютвозможностьюформироватьбарьерызащитыототказовпообщейпричинеи, следовательно, вменьшейстепениподверженыимпосравнениюсдругимитехнологиями;

– дляРЕ-системможноиспользоватьβ-фактор, отличающийсяотβ-факторадлядругихтехнологий. Следовательно, оценкиβ-фактора, опирающиесянапредыдущиезначенияоценкиинтенсивностиотказов, скореевсего, окажутсянеправильными (ниоднаизизвестныхсуществующихмоделейоценкивероятностиотказапообщей причиненеучитываетэффектавтоматическогоперекрестногоконтроля);

– таккакразнесенныевовремениотказыпообщейпричинемогутбытьобнаруженыспомощьюдиагностическоготестированиядоотказавсехканалов, подобныеотказымогутневосприниматьсякакотказыпообщей причине.

Существуеттриспособауменьшениявероятностипотенциальноопасныхотказовпообщейпричине:

1) уменьшениеобщегочисласлучайныхаппаратныхисистематическихотказов (этоуменьшаетплощади эллипсов, представленныхнарисункеD.1, приводякуменьшениюплощадипересеченияэллипсов);

2) максимальноеувеличениенезависимостиканалов (этоуменьшаетплощадьпересеченияэллипсов, представленныхнарисункеD.1, неменяяплощадисамихэллипсов);

3) обнаружениенеодновременныхотказовпообщейпричине, когданеисправнымстановитсятолькоодин канал, дотогокакстанетнеисправнымвторой, т. е. использованиедиагностическоготестирования.

Настоящийстандартиспользуетэтитриспособаитребуетподхода, состоящегоизследующихтрехэтапов:

1) использованиеметодовпоМЭК 61508-3 длясниженияобщейвероятностисистематическихотказовдо уровня, соизмеримогосвероятностьюслучайныхаппаратныхотказов;

2) количественноеопределениефакторов, которыемогутбытьколичественноопределены, т.е. учетвероятностислучайногоаппаратногоотказа, какопределеновМЭК 61508-2;

3) определениеотношения, связывающеговероятностьотказапообщейпричинесвероятностьюслучайногоотказааппаратныхсредствсиспользованиемпрактическихсредств, которыесчитаютсялучшимивнастоящее время. Внастоящемприложенииописанаметодикаопределенияэтогоотношения.

Рисунок D.1 – Связь между отказами с общей причиной и отказами отдельных каналов

Большинствометодикоценкивероятностиотказовпообщейпричинеформируютпрогнозынаосновевероятностислучайногоаппаратногоотказа. Несомненно, непосредственнойвзаимосвязимеждуэтимивероятностяминет, темнеменеенапрактикенекотораякорреляциямеждунимибыланайденаи, возможно, является следствиемэффектоввторогопорядка. Например, высокаявероятностьслучайногоаппаратногоотказасистемы связана:

– сбольшимобъемомобслуживания, которыйтребуетсистема. Авероятностьсистематическогоотказа, являющегосяследствиемобслуживания, зависитотчислапроведенныхсеансовобслуживания, чтотакжеповысит интенсивностьвоздействиячеловеческихошибок, приводящеекотказампообщейпричине. Такимобразом возникаетсвязьмеждувероятностьюслучайногоаппаратногоотказаивероятностьюотказапообщейпричине, например, послекаждогослучайногоаппаратногоотказатребуетсяремонт, азанимтестированиеи, возможно, повторнаякалибровка. Крометого, длязаданногоуровняполнотыбезопасностисистемасбольшейвероятностьюслучайногоаппаратногоотказатребуетболеечастогопроведенияконтрольныхиспытанийисбольшейглубиной/сложностью, чтотакжеувеличиваетвлияниечеловеческогофактора;

– сосложностьюсистемы. Вероятностьслучайногоаппаратногоотказазависитотчислакомпонентови, следовательно, сложностисистемы. Сложнуюсистемутруднеепонять, поэтомуунеевышевероятностьпоявлениясистематическихошибок. Крометого, сложностьсистемызатрудняетобнаружениеотказовпутеманализа илитестированияиможетприводитьктому, чточастьлогикисистемыбудетвыполнятьсятолькоприредковстречающихсяусловиях. Этотакжеприводиткпоявлениюсвязимеждувероятностьюслучайногоаппаратногоотказа ивероятностьюотказапообщейпричине.

Несмотрянаограничениярассматриваемыхмоделей, считается, чтовнастоящеевремяонипредставляют собойлучшийспособоценкивероятностиотказапообщейпричинедлямногоканальнойсистемы. Описываемый внастоящемподразделеметоддлятретьегоэтапарассматриваемойвнастоящемприложенииметодикиоснованнаобщепризнанноймоделиβ-фактора.

Прииспользованиимоделиβ-факторадляЕ/Е/РЕ-системывозникаютследующиепроблемы:

– выборзначенияβ-фактора. Многиеисточники (например, см. [11]) предлагаютдиапазонывозможных значенийβ-фактора, нонеопределяютихконкретныезначения, оставляявыборзапользователем. Чтобырешитьэтупроблему, методика, представленнаявнастоящемприложении, основываетсянаподходе, первоначальноописанномв [12] изатемскорректированномв [13];

– модельβ-факторанеучитываетразвитыевозможностидиагностическоготестированиясовременныхPES, которымиможновоспользоватьсядляобнаружениянеодновременныхотказовпообщейпричинедотого, как отказполностьюпроявитсебя. Дляпреодоленияэтойпроблемыподход, описанныйв [12] искорректированный в [13], былизмененстем, чтобыотразитьвлияниедиагностическоготестированияприоценкевозможногозначенияβ.

Функциидиагностическоготестирования, выполняющиесявнутриPES, обеспечиваютнепрерывноесравнениеработыPESсзаранееопределеннымисостояниями. Этисостоянияпредварительноопределяютсяпрограммноилиаппаратно (напримерспомощьюконтрольноготаймера). Рассматриваемыетакимобразомфункциидиагностическоготестированияможносчитатьдополнительнымиичастичноразличающимисядляканалов, работающихвPESпараллельно.

Такжеможетиспользоватьсяметодперекрестногоконтроляканалов. Многиегодыэтотметодприменялся вдвухканальныхсистемахсвзаимнойблокировкой, построенныхисключительнонареле. Однакорелейнаятехнологияобычнопозволяетпроводитьперекрестноетестированиетолькововремяизменениясостоянияканалов, чтоделаеттакоетестированиенеподходящимдляобнаружениянеодновременныхотказовпообщейпричине, еслисистемыостаютсяводном (например, включенном) состояниивтечениедлительноговремени. СпомощьютехнологииPESперекрестныйконтрольможетпроводитьсясвысокойчастотой.

D.3 Область применения методики

Областьпримененияметодикиограниченааппаратнымиотказамипообщейпричинепоследующимпричинам:

– модельβ-факторасвязываетвероятностьотказовпообщейпричинесвероятностьюслучайныхаппаратныхотказов. Вероятностьотказовпообщейпричине, затрагивающихсистемувцелом, зависитотсложности системы (вкоторойглавнуюрольвозможноиграетпользовательскоепрограммноеобеспечение), анетолькоот аппаратуры. Очевидно, чтолюбыерасчеты, основанныенавероятностислучайногоаппаратногоотказа, немогут учитыватьсложностьпрограммногообеспечения;

– информированиеоботказахпообщейпричинеобычноограничиваетсяаппаратнымиотказами, чтоявляетсяглавнойзаботойпроизводителейоборудования;

– моделированиесистематическихотказов (например, отказовпрограммногообеспечения) считаетсяпрактическинеосуществимым;

– цельюмероприятий, определенныхвМЭК 61508-3, являетсяснижениевероятностиотказовпообщей причине, связанныхспрограммнымобеспечением, дозначения, приемлемогодлянеобходимогоуровняполнотыбезопасности.

Следовательно, оценкавероятностиотказапообщейпричине, выполненнаяподаннойметодике, связана толькосаппаратнымиотказами. Этуметодикунедопускаетсяиспользоватьдляполученияобщейинтенсивности отказов, учитывающейвероятностьотказа, связанногоспрограммнымобеспечением.

D.4 Особенности методики

Таккакнадатчики, логическуюподсистемуиоконечныеэлементывлияют, напримерразличныеусловия окружающейсреды, длякаждойизэтихподсистемнастоящуюметодикуприменяютнезависимо. Например, логическуюподсистемупрощепоместитьвконтролируемуюсреду, адатчикимогутбытьустановленыснаружии подвергнутывнешнемувоздействию.

Программируемыеэлектронныеканалыпредоставляютвозможностьдляреализацииразнообразныхфункцийдиагностическоготестированияиспособны:

– обеспечиватьвысокийдиагностическийохватвпределахконкретныхканалов;

– контролироватьдополнительныеизбыточныеканалы;

– обеспечиватьвысокуючастотуповторения;

– контролироватьсповышеннойчастотойдатчикии/илиоконечныеэлементы.

Чащевсегоотказыпообщейпричиненевозникаютодновременнововсехзатронутыхканалах. Поэтому, есличастотаповторениядиагностическоготестированиядостаточновысока, большуючастьотказовпообщей причинеможнообнаружитьи, следовательно, устранитьдотого, какбудутзатронутыостальныедоступныеканалы.

Невсефункциимногоканальнойсистемы, обеспечивающиеустойчивостькотказампообщейпричине, можнопроверитьспомощьюдиагностическоготестирования. Однакоэффективностьэтихфункций, связанныхс диверсификациейилинезависимостью, постоянноповышается. Любаяфункция, которая, возможно, увеличиваетвремямеждуотказамиканаловвслучаенеодновременногоотказапообщейпричине (илиуменьшаетдолю одновременныхотказовпообщейпричине), увеличиваетвероятностьобнаруженияотказапридиагностическом тестированииипереводаустановкивбезопасноесостояние. Следовательно, функции, связанныесустойчивостьюкотказампообщейпричине, делятсянафункции, влияниекоторыхпредположительновозрастаетприиспользованиидиагностическоготестирования, ивлияниекоторыхнеменяется (см. таблицуD.1, столбцыXиYсоответственно).

Хотядлятрехканальнойсистемывероятностьотказовпообщейпричине, влияющихнавсетриканала, скореевсегозначительнонижевероятностиотказов, влияющихнадваканала, дляупрощенияметодикипредполагается, чтовероятностьотказовнезависитотчислазатрагиваемыхканалов, т.е. возникающийотказпообщей причинезатрагиваетвсеканалы.

Данныхобаппаратныхотказахпообщейпричине, необходимыхдлякалибровкиметодики, несуществует, поэтомуданныетаблицвнастоящемприложенииосновываютсянаинженерныхоценках.

Иногдапроцедурыдиагностическоготестированиянерассматриваютсякакнеобходимыедляобеспечения безопасности, поэтомуихуровеньобеспечениякачестваможетбытьниже, чемпроцедур, обеспечивающихосновныефункцииуправления. Даннаяметодикабыларазработанавпредположении, чтоуровеньполнотыбезопасностидлядиагностическоготестированиясоответствуеттребуемому. Следовательно, любыепрограммные процедурыдиагностическоготестированиядолжныразрабатыватьсясиспользованиемметодов, соответствующихтребуемомууровнюполнотыбезопасности.

D.5 Использование β-фактора для вычисления вероятности отказа Е/Е/РЕ-системы, связанной с безопасностью, из-за отказов по общей причине

Влияниеотказовпообщейпричиненамногоканальнуюсистемусдиагностическимтестированиемследует рассматриватьвкаждомизканаловсистемы.

Используямодельβ-фактора, дляинтенсивностиопасныхотказовпообщейпричинеполучимλDβ, где λD-интенсивностьопасныхслучайныхаппаратныхотказовдлякаждогоотдельногоканала, аβ-β-факторв отсутствиедиагностическоготестирования, т. е. доляотказоводногоканала, влияющихнавсеканалы.

Предположим, чтоотказыпообщейпричиневлияютнавсеканалы, апромежутоквременимеждупервым иостальнымиотказавшимиканаламималпосравнениюсинтерваломвременимеждупоследовательными отказамипообщейпричине.

Пустьвкаждомканалеприменяетсядиагностическоетестирование, котороеобнаруживаетивскрывает частьотказов. Отказыподразделяютнадвекатегории: отказы, которыенаходятсявнеохватадиагностического тестирования (т.е. немогутбытьобнаружены), иотказывпределахохвата (которыебудутобнаруженыдиагностическимтестированием).

Поэтомуобщуюинтенсивностьотказовсистемы, вызванныхопаснымиотказамипообщейпричине, вычисляютпоформуле

βDUβ+ λDDβD,

где

λDU-интенсивностьнеобнаруженныхотказоводногоканала, т. е., интенсивностьопасныхотказов, находящихсязапределамиохватадиагностическоготестирования; очевидно, любоеуменьшениеβ-фактора, являющеесяследствиемчастотыпроведениядиагностическоготестирования, неможетповлиятьна λDU;

β-факторотказовпообщейпричинедлянеобнаруживаемыхопасныхотказов, которыйравенобщему β-фактору, применяемомувотсутствиедиагностическоготестирования;

λDD-интенсивностьобнаруженныхопасныхотказоводногоканала (т.е. интенсивностьопасныхотказов одногоканала), находящихсявпределахохватадиагностическоготестирования; есличастотапроведениядиагностическоготестированиявысока, доляобнаруженныхотказовведеткуменьшениюзначенияβ, т.е. βD;

βD-доляопасныхотказовпообщейпричине, обнаруживаемыхдиагностическимитестами. СувеличениемчастотыпроведениядиагностическоготестированиязначениеβDстановитсяменьшеβ.

ЗначениеβопределяетсяпотаблицеD.4спомощьюоценкиS = X + Y(см. D.6).

ЗначениеβDопределяетсяпотаблицеD.4 спомощьюоценкиSD= X(Z + 1) + Y.

D.6 Использование таблиц для оценки β

Оценкуβ-факторарассчитываютотдельнодлядатчиков, логическойподсистемыиоконечныхэлементов.

Длятогочтобысвестикминимумувероятностьвозникновенияотказовпообщейпричине, следуетсначала определитьсредства, эффективнозащищающиеотпоявлениятакихотказов. Реализациясоответствующихсредств всистемеведеткуменьшениюзначенияβ-фактора, используемогоприоценкевероятностиотказасистемыиз-за отказовпообщейпричине.

Мероприятияисоответствующиеимзначения (баллы) параметровXиY, полученныеспомощьюинженернойоценкииописывающиевкладкаждогоизмероприятийвуменьшениечислаотказовпообщейпричине, перечисленывтаблицеD.1. Таккакдатчикииоконечныеэлементыанализируютсяиначе, чемпрограммируемая электроника, втаблицеD.1 используютсястолбцыXLSиYLSдляпрограммируемыхэлектронныхсредствистолбцы XSFиYSFдлядатчиковилиоконечныхэлементов.

Программируемыеэлектронныесистемымогутиспользоватьинтенсивноедиагностическоетестирование, позволяющееобнаруживатьнеодновременныеотказыпообщейпричине. Дляучетадиагностическоготестированияприоценкеβ-фактораобщийвкладкаждогоизмероприятийвтаблицеD.1 разделенсиспользованием инженернойоценкинанаборызначенийXиY. ДлякаждогоконкретногомероприятияотношениеХ:Упредставляетсобоймеруповышениявкладаэтогомероприятиявборьбусотказамипообщейпричинеблагодарядиагностическомутестированию.

ПользовательтаблицыD.1 долженопределить, какиемероприятиябудутиспользованыдлярассматриваемойсистемы, исложитьсоответствующиемероприятиямбаллы, приведенныевграфахXLSиYLSдлялогической подсистемыиливграфахXSFиYSF-длядатчиковилиоконечныхэлементов, получивсуммыXиYсоответственно.

КоэффициентZопределяютпотаблицамD.2иD.3почастотеиохватудиагностическоготестированияс учетомпримечания, определяющего, когдаследуетиспользоватьненулевоезначениеZ. Затем (принеобходимости) рассчитываютсуммубалловS (см. D.5) поформулеS = X + Y-дляполучениязначенияβ (β-факторадля необнаруженныхотказов) иSD= X(Z + 1) + Y-дляполучениязначенияβDD-факторадляобнаруженных отказов), гдеSилиSD-баллы, используемыевтаблицеD.4дляопределениясоответствующегоβ-фактора.

ТаблицаD.1 – Оценкамероприятий (барьеров) защитыпрограммируемыхэлектронныхсредствили датчиков/оконечныхэлементовотвозникновенияотказовпообщейпричине

Мероприятие

Логическая подсистема

Датчики и оконечные элементы

XLS

YLS

XSF

YSF

Разделение/выделение

Везде ли сигнальные кабели каналов разделены между собой

1,5

1,5

1,0

2,0

Расположены ли логические подсистемы каналов на отдельных печатных платах

3,0

1,0

Расположены ли логические подсистемы каналов в отдельных шкафах

2,5

0,5

Если датчики/оконечные элементы включают в себя собственную управляющую электронику, то расположена ли электроника для каждого канала на отдельной печатной плате

2,5

1,5

Если датчики/оконечные элементы включают собственную управляющую электронику, то расположена ли электроника для каждого канала в различных помещениях и различных шкафах

2,5

0,5

Диверсификация/избыточность

Реализованы ли в каналах различные электрические технологии, например, один канал электронный или программируемый электронный, а для другого используются реле

7,0

Реализованы ли в каналах различные электронные технологии, например, один канал – электронный, а другой – программируемый электронный

5,0

Используют ли устройства различные физические принципы для датчиков, например, давления и температуры, анемометр с вертушкой и доплеровский датчик и т.д.

7,5

Используют ли устройства различные электрические принципы/конструкции, например, цифровые и аналоговые, с компонентами от различных производителей (но не уцененные) или с различной технологией

5,5

Используют ли каналы повышенную избыточность с архитектурой MooN, где N > М + 2

2,0

0,5

2,0

0,5

Используют ли каналы повышенную избыточность с архитектурой MooN, где N = М + 2

1,0

0,5

1,0

0,5

Применяется ли низкая диверсификация, например, диагностическое тестирование аппаратуры использует одинаковую технологию

2,0

1,0

Применяется ли средняя диверсификация, например, диагностическое тестирование аппаратуры использует различную технологию

3,0

1,5

Были ли разработаны каналы различными конструкторами, которые не взаимодействовали между собой в процессе разработки

1,0

1,0

Использовались ли для каждого канала различные люди и различные методы тестирования в процессе его пуска

1,0

0,5

1,0

1,0

Обслуживается ли каждый канал в разное время разными людьми

2,5

2,5

Сложность/конструкция/применение/завершенность/опыт

Предотвращает ли перекрестная связь между каналами обмен любой информацией, кроме используемой для диагностического тестирования или голосования

0,5

0,5

0,5

0,5

Превышает ли время использования в отрасли методов, применяемых для проектирования аппаратуры, 5 лет

0,5

1,0

1,0

1,0

Превышает ли время работы с этим же оборудованием в аналогичных условиях 5 лет

1,0

1,5

1,5

1,5

Проста ли система, например, имеет ли она не более 10 входов или выходов на канал

1,0

Защищены ли входы и выходы от возможного превышения безопасных значений напряжения и тока

1,5

0,5

1,5

0,5

С запасом ли рассчитаны все устройства/компоненты (например, с коэффициентом 2 или более)

2,0

2,0

Оценка/анализ и обратная связь

Были ли изучены результаты анализа видов и влияния отказов или дерево неисправностей для того, чтобы установить источники отказов по общей причине, и устранены ли при проектировании предварительно известные источники отказов по общей причине

3,0

3,0

Рассматривались ли отказы по общей причине при анализе проекта при последующем внесении изменений в проект (требуется документальное доказательство действий по анализу проекта)

3,0

3,0

Все ли возможные отказы были полностью проанализированы и учтены в проекте (требуется документальное доказательство процедуры)

0,5

3,5

0,5

3,5

Процедуры/интерфейс пользователя

Существует ли зафиксированная письменно схема работы, гарантирующая обнаружение отказов (или ухудшение характеристик) всех компонентов, установление корневых причин и проверку других аналогичных вопросов для аналогичных возможных причин отказов

1,5

0,5

1,5

Предусмотрены ли процедуры, обеспечивающие: разнесение обслуживания (включая настройку или калибровку) по времени любой части независимых каналов; возможность выполнения диагностического тестирования помимо ручных проверок, проводимых в ходе очередного обслуживания, между завершением обслуживания одного канала и началом обслуживания другого

1,5

0,5

2,0

1,0

Определено ли в документированных процедурах обслуживания, что обеспечивающие избыточность компоненты систем (например кабели и.т.д.) должны быть независимы друг от друга и закреплены в устройстве

0,5

0,5

0,5

0,5

Проводится ли обслуживание печатных плат и т.д. вне рабочего места, в компетентном ремонтном центре и проводится ли тестирование отремонтированных элементов перед их установкой

0,5

1,0

0,5

1,5

Обеспечивает ли система низкий диагностический охват (от 60 % до 90 %) и сообщает ли об отказах на уровне модуля, допускающего замену в процессе эксплуатации

0,5

Обеспечивает ли система средний диагностический охват (от 90 % до 99 %) и сообщает ли об отказах на уровне модуля, допускающего замену в процессе эксплуатации

1,5

1,0

Обеспечивает ли система высокий диагностический охват (> 99 %) и сообщает ли об отказах на уровне модуля, допускающего замену в процессе эксплуатации

2,5

1,5

Сообщает ли диагностическое тестирование системы об отказах на уровне модуля, допускающего замену в процессе эксплуатации

1,0

1,0

Компетентность/обучение/культура безопасности

Обучены ли конструкторы (с помощью обучающей документации) понимать причины и следствия отказов по общей причине

2,0

3,0

2,0

3,0

Обучен ли обслуживающий персонал (с помощью обучающей документации) понимать причины и следствия отказов по общей причине

0,5

4,5

0,5

4,5

Контроль состояния окружающей среды

Ограничен ли доступ персонала (закрытые шкафы, недоступное размещение компонентов и т.д.)

0,5

2,5

0,5

2,5

Возможно ли, что система всегда будет работать в заданных диапазонах температур, влажности, коррозии, пыли, вибрации и т.д., в которых ее работа была проверена, без использования внешнего контроля состояния окружающей среды

3,0

1,0

3,0

1,0

Все ли сигнальные и силовые кабели отделены друг от друга

2,0

1,0

2,0

1,0

Проверка влияния окружающей среды

Было ли проверено, что система устойчива ко всем воздействиям окружающей среды (например ЭМС, температура, вибрация, ударные нагрузки, влажность) на уровне, заданном в соответствующих международных или национальных стандартах

10,0

10,0

10,0

10,0

Примечания

1 Рядфакторов, связанныхсработойсистемы, труднопредсказатьвовремяпроектирования. Втаких случаяхконструкторыдолжныубедитьсявтом, чтоконечныйпользовательсистемыуведомлен, например, о процедурах, используемыхдлядостижениятребуемогоуровняполнотыбезопасности. Необходимаяинформациядолжнабытьвключенавсопроводительнуюдокументацию.

2 ЗначенияXиYоснованынаинженернойоценкеиучитываюткаккосвенное, такипрямоевлияние мероприятий. Например, использованиемодулей, допускающихзаменувовремяэксплуатации, приводит:

– квыполнениюремонтныхработпроизводителемвсоответствующихусловияхвместоремонтныхработ, выполняемыхнаместевменееподходящихусловиях. ЭтовноситсвойвкладвзначенияY, таккакснижается вероятностьсистематическихотказови, следовательно, отказовпообщейпричине;

– кснижениюнеобходимостивмешательствачеловеканаместеиквозможностибыстройзаменынеисправныхмодулей, невыключаясистемы, повышаятакимобразомэффективностьдиагностикидляидентификацииотказовдотого, каконистанутотказамипообщейпричине. ЭтозаметновлияетназначенияX.

ТаблицаD.2 -ЗначениеZ: программируемаяэлектроника

Диагностический охват

Периодичностьдиагностическоготестирования

Менее 1 мин

От 1 до 5 мин

Более 5 мин

≥ 99 %

2,0

1,0

0

≥ 90 %

1,5

0,5

0

≥ 60 %

1,0

0

0

ТаблицаD.3 -ЗначениеZ: датчикиилиоконечныеэлементы

Диагностический охват

Периодичностьдиагностическоготестирования

Менее 2 ч

От 2 чдо 2 дней

От 2 до 7 дней

Более 7 дней

≥ 99 %

2,0

1,5

1,0

0

≥ 90 %

1,5

1,0

0,5

0

≥ 60 %

1,0

0,5

0

0

Примечания

1 Даннаяметодиканаиболееэффективна, еслиприподсчетебалловравномерноучитываютсявсегруппы мероприятий, представленныевтаблицеD.1. Следовательно, рекомендуется, чтобыобщаясуммабалловХ иY длякаждойгруппыбыланеменееобщейсуммыбалловXиY, деленнойна 20. Например, еслиобщаясумма балловX+ Yравна 80, тообщаясуммабалловX + Yдлялюбойизгрупп (например, длягруппымероприятий «Процедуры/интерфейспользователя») должнабытьнеменеечетырех.

2 ПрииспользованиитаблицыD.1следуетучитыватьбаллыдлявсехреализованныхвсистеме мероприятий. Подсчетсуммыбалловбылразработандляучетатехмероприятий, которыенеявляютсявзаимно исключающими. Например, длясистемы, логическиеподсистемыканаловкоторойрасположенывотдельных стойках, подсчитываютсуммубалловмероприятийтаблицыD.1«Расположенылилогическиеподсистемы каналоввотдельныхшкафах»и«Расположенылилогическиеподсистемыканаловнаотдельныхпечатных платах».

3 Есливдатчикахилиоконечныхэлементахиспользуетсяпрограммируемаяэлектроника, ихрассматриваюткакчастьлогическойподсистемы, еслионинаходятсявтомжездании (транспортномсредстве), чтоиустройство, являющеесяглавнойчастьюлогическойподсистемы, ивкачестведатчиковилиоконечныхэлементов-если онирасположеныотдельно.

4 Длятого, чтобыиспользоватьненулевоезначениеZ, нужноубедиться, чтоуправляемоеоборудование переходитвбезопасноесостояниедотого, какнеодновременныйотказпообщейпричинесможетповлиятьна всеканалы. Время, необходимоедляобеспеченияэтогобезопасногосостояния, должнобытьменеезаявленногоинтерваладиагностическоготестирования. НенулевоезначениеZдопускаетсяиспользоватьтольковслучае, если:

– системаинициируетавтоматическоевыключениеприобнаружениисбояили

– безопасноевыключениенеинициируетсяпослепервогосбоя1), нодиагностическоетестированиеопределяетместонахождениесбояиможетеголокализовать, атакжесохраняетспособностьпереводаEUCвбезопасноесостояниепослеобнаружениялюбыхпоследующихсбоевили

– используютформальнуюсистемуработы, гарантирующую, чтопричиналюбогообнаруженногосбоя будетполностьюпроанализированавтечениезаявленногопериодадиагностическоготестированияилибо установканемедленновыключается, еслисбойможетпривестикотказупообщейпричине, либоканал, вкоторомпроизошелсбой, восстанавливаетсявтечениезаявленногоинтерваладиагностического тестирования.

1) Необходимоучитыватьдействиясистемыприобнаружениисбоя. Например, простаясистемасархитектуройголосования 2оо3 должнабытьвыключена (илиотремонтирована) послеобнаруженияодиночногоотказа втечениевремени, приведенноговтаблицеD.2 илиD.3. Еслисистеманевыключена, отказвторогоканаламожет привестиктому, чтоприголосованиидваотказавшихканалаполучатперевесголосовнадоставшимся (работоспособным) каналом. Усистемы, котораяавтоматическисамаменяетархитектуруголосованияна 1оо2 приотказеодногоканалаиавтоматическивыключаетсяпривозникновениивторогоотказа, вероятностьобнаружения неисправностивторогоканалаповышаетсяи, следовательно, ненулевоезначениеZвозможно.

5 ВобрабатывающихотрасляхврядливозможновыключатьEUCприобнаружениисбоявовремяинтерваладиагностическоготестированиявсоответствиистаблицейD.2. Настоящаяметодиканедолжнавосприниматьсякаксодержащаястрогоетребованиевыключатьтехнологическиеустановкинепрерывногопроизводствапри обнаруженииподобныхсбоев. Однакоесливыключениенепроизводится, тоуменьшитьβ-факторспомощью использованиядиагностическоготестированиядляпрограммируемыхэлектронныхсредствневозможно. Вряде другихотраслейвыключениеEUCвовремяинтерваладиагностическоготестированиявозможно. Вэтихслучаях допускаетсяиспользоватьненулевоезначениеZ.

6 Еслидиагностическоетестированиепроводитсямодульно, товремяповторения, приведенноевтаблице D.2 илиD.3, -этовремямеждузавершениямипоследовательногодиагностическоготестированиявсегонабора модулей. Диагностическийохват-общийохват, обеспечиваемыйвсемимодулями.

ТаблицаD.4 -РасчетвеличиныβилиβD

Баллы (SилиSD)

ЗначениеβилиβDдля

логическойподсистемы

датчиковилиоконечных элементов

120 илиболее

0,5 %

1 %

От 70 до 120

1 %

2 %

От 45 до 70

2 %

5 %

Менее 45

5 %

10 %

Примечания

1 МаксимальныеуровниβDнижеобычноиспользуемых, чтообъясняется использованиемметодов, описанныхвнастоящемстандарте, дляуменьшения вероятностисистематическихотказоввцеломиврезультате-вероятностиотказов пообщейпричине.

2 ЗначенияβDменее 0,5 % длялогическойподсистемыи 1 % -длядатчиков трудноподтвердить.

D.7 Использование методики

ДлядемонстрациирезультатаиспользованияметодикизначенияβиβDдляпрограммируемыхэлектронныхсредствприведенывтаблицеD.5.

Длявсехгруппмероприятий, кроме-«диверсификация/избыточность», былииспользованытиповые значенияXиY. Онибылиполученыделениеммаксимальногозначениябалловдляконкретныхгруппна два.

Длясистемсразнообразием (см. таблицуD.5) значенияXиYдлягруппы«диверсификация/избыточность» быливыведены, исходяизследующихмероприятий, рассмотренныхвтаблицеD.1:

– однасистемаэлектронная, другаяиспользуеттехнологиюреле;

– диагностическоетестированиеаппаратурыиспользуетразличныетехнологии;

– разныеконструкторыневзаимодействовалимеждусобойвпроцессепроектирования;

– дляпускасистемыиспользовалисьразличныеметодытестированияиразныйперсонал;

– обслуживаниепроводитсявразноевремяразнымилюдьми.

Длясистемсизбыточностью (см. таблицуD.5) значенияXиYдлягруппы«диверсификация/избыточность» быливыведены, исходяизтого, чтодиагностикааппаратурыпроводиласьнезависимойсистемой, использующей тужетехнологию, чтоисистемысизбыточностью.

ВсистемахсразнообразиемивсистемахсизбыточностьюдлявеличиныZиспользовалисьмаксимальные иминимальныезначения, поэтомувтаблицеD.5 значенияβиβDпредставленыдлячетырехсистем.

ТаблицаD.5 -ЗначенияβиβDдляпрограммируемыхэлектронныхсредств

Группа мероприятий

Система с разнообразием и хорошим диагностическим тестированием

Система с разнообразием и плохим диагностическим тестированием

Система с избыточностью и хорошим диагностическим тестированием

Система с избыточностью и плохим диагностическим тестированием

Разделение/выделение

X

3,50

3,50

3,50

3,50

Y

1,50

1,50

1,50

1,50

Диверсификация/избыточность

X

14,50

14,50

2,00

2,00

Y

3,00

3,00

1,00

1,00

Сложность/конструкция/…

X

2,75

2,75

2,75

2,75

Y

2,25

2,25

2,25

2,25

Оценка/анализ/…

X

0,25

0,25

0,25

0,25

Y

4,75

4,75

4,75

4,75

Процедуры/интерфейс пользователя

X

3,50

3,50

3,50

3,50

Y

3,00

3,00

3,00

3,00

Компетентность/обучение/…

X

1,25

1,25

1,25

1,25

Y

3,75

3,75

3,75

3,75

Контроль состояния окружающей среды

X

2,75

2,75

2,75

2,75

Y

2,25

2,25

2,25

2,25

Проверка влияния окружающей среды

X

5,00

5,00

5,00

5,00

Y

5,00

5,00

5,00

5,00

Диагностический охват

Z

2,00

0,00

2,00

0,00

X(всего)

33,5

33,5

21

21

Y(всего)

25,5

25,5

23,5

23,5

Сумма баллов S

59

59

44,5

44,5

β

2 %

2 %

5 %

5 %

Сумма баллов SD

126

59

86,5

44,5

βd

0,5 %

2 %

1 %

5 %

Полезнаяинформация, связаннаясотказамипообщейпричине, содержитсяв [11]-[13].

Приложение Е
(справочное)

Применение таблиц полноты безопасности программного обеспечения в соответствии с МЭК 61508-3

Е.1 Общиеположения

Настоящееприложениесодержитдвапримераприменениятаблицполнотыбезопасностипрограммного обеспечения, определенныхвМЭК 61508-3, приложениеА.

Первыйпримерпредставляетсобойпрограммируемуюэлектроннуюсистему, связаннуюсбезопасностью, суровнемполнотыбезопасности 2, котораяиспользуетсядляуправленияпроцессомнахимическомзаводе. Даннаяпрограммируемаяэлектроннаясистемаиспользуетвприкладнойпрограммемногоступенчатуюлогикуи служитпримеромприкладногопрограммированиянаязыкесограниченнойварьируемостью.

Второйпримерпредставляетсобойпрограммноеприложение, разработанноенаязыкепрограммированиявысокогоуровня, связанноесбезопасностью, суровнемполнотыбезопасности 3, котороеуправляетзакрывающимустройством.

Обапримераслужатруководствомпоприменениютаблицполнотыбезопасностипрограммногообеспечения, определенныхвМЭК 61508-3, дляразличныхреальныхсистем. Всеисходныехарактеристикиконкретной системы, необходимыедляиспользованияупомянутыхвышетаблицполнотыбезопасности, должныиметьдокументальноеобоснование, подтверждающее, чтовсеописанияиспользуемыххарактеристикправильныисоответствуютконкретнойреализацииэтойсистемы.

Е.2 Система с уровнем полноты безопасности 2

Установка, работающаянахимическомзаводе, состоитизнесколькихреакторныхбаков, связанныхпромежуточнымибакамихранения, которыенанекоторыхстадияхциклареакциизаполняютсяинертнымгазомдля предотвращениявоспламененияивзрывов. Функциипрограммируемойэлектроннойсистемы, связаннойсбезопасностью, помимопрочихвключаютвсебя: получениевходныхданныхотдатчиков; включениеиблокировку клапанов, насосовиисполнительныхмеханизмов; обнаружениеопасныхситуацийивключениесигналатревоги; сопряжениесраспределеннойсистемойуправлениявсоответствиистребованиями, предъявляемымиспецификациейбезопасности.

Предположенияихарактеристикисистемы:

– контроллерпрограммируемойэлектроннойсистемы, связаннойсбезопасностью, представляетсобой программируемыйлогическийконтроллер (ПЛК);

– прианализеопасностейирисковустановлено, чтонеобходимоиспользоватьпрограммируемуюэлектроннуюсистему, связаннуюсбезопасностью, идляданногоприложениянуженуровеньполнотыбезопасности 2 (всоответствиисМЭК 61508-1 иМЭК 61508-2);

– хотяконтроллерработаетвреальномвремени, требуетсяотносительнонебольшаяскоростьреакции;

– существуютинтерфейсысоператоромираспределеннойсистемойуправления;

– исходныйкодпрограммногообеспечениясистемыисхемапрограммируемыхэлектронныхсредствПЛК недоступныдляпроверки, нооцененывсоответствиисМЭК 61508-3 каксоответствующиеуровнюполнотыбезопасности 2;

– вкачествеязыкапрограммированияприложенияиспользоваласьмногоступенчатаялогика, программа создаваласьспомощьюсистемыразработки, предоставляемойпоставщикомПЛК;

– кодприложениядолженисполнятьсятольконаПЛКодноготипа;

– всяразработкапрограммногообеспеченияконтролироваласьлицом, независимымоткомандыразработчиковпрограммногообеспечения;

– лицо, независимоеоткомандыразработчиковпрограммногообеспечения, наблюдалозаприемочными испытаниямииутвердилоихрезультаты;

– изменения (еслинеобходимы) санкционируютсялицом, независимымоткомандыразработчиковпрограммногообеспечения.

Примечание-Определениенезависимоголица-всоответствиисМЭК 61508-4, пункт 3.8.10.

ИнтерпретацияМЭК 61508-3, приложениеА, дляданногопримерапредставленавтаблицахЕ.1 – Е.10.

Примечания

1 Вграфе«ссылка»таблицЕ.1 – Е.10пункты (напримерВ.2.4, С.3.1) -этоссылкинаМЭК 61508-7, а таблицы (напримертаблицаВ.7) -этоссылкинаМЭК 61508-3.

2 ИнформацияораспределенииответственностимеждупоставщикомипользователемприиспользованииязыковпрограммированиясограниченнойварьируемостьюприведенавМЭК 61508-3 (примечанияк 7.4.3-7.4.5).

ТаблицаЕ.1 -Спецификациятребованийкбезопасностипрограммногообеспечения (см. МЭК 61508-3, подраздел 7.2)

Метод/средство

Ссылка

SIL2

Интерпретация (внастоящемприложении)

1 Автоматизированныесредстваспецификации

В.2.4

R

Используютсясредстваразработки, поставленныепроизводителемПЛК

2аПолуформальныеметоды

Таблица В.7

R

Обычноиспользуютсяпричинно-следственныесхемы, циклограммыифункциональныеблокидляспецификациитребованийкпрограммномуобеспечениюПЛК

2bФормальныеметоды, включая, напримерCCS, CSP, HOL, LOTOS, OBJ, временнуюлогику, VDMиZ

С.2.4

R

Неиспользуютсядляязыковпрограммированиясограниченнойварьируемостью

Примечание-Требованиякбезопасностипрограммногообеспеченияопределенынаестественном языке.

ТаблицаЕ.2 -Программноеобеспечение, проектированиеиразработка: архитектура (см. МЭК 61508-3, пункт 7.4.3)

Метод/средство

Ссылка

SIL2

Интерпретация (в настоящем приложении)

1 Обнаружение и диагностика сбоев

С.3.1

R

Проверка диапазона данных, сторожевой таймер, ввод/вывод, средства связи. В случае ошибки поднимает тревогу (см. 3а)

2 Обнаружение и исправление ошибок

С.3.2

R

Встраивается с пользовательскими функциями: требуется тщательный выбор

3а Программирование с проверкой ошибок

С.3.3

R

Выделяет часть многоступенчатой логики ПЛК для проверки некоторых важных условий безопасности (см. 1)

3bМетоды «подушки безопасности»

С.3.4

R

Проверяет разрешенные комбинации ввода/вывода на мониторе независимого компьютера, обеспечивающего безопасность

3с Многовариантное программирование

С.3.5

R

Требуется прикладной задачей (см. 3b)

3d Блоки восстановления

С.3.6

R

Встраивается с пользовательскими функциями: требуется тщательный выбор

3е Восстановление предыдущего состояния

С.3.7

R

Встраивается с пользовательскими функциями: требуется тщательный выбор

3fПрямое восстановление

С.3.8

R

Встраивается с пользовательскими функциями: требуется тщательный выбор

3gПовторный запуск механизмов восстановления после ошибок

С.3.9

R

Используется в соответствии с требованиями прикладной задачи (см. 2 и 3b)

3hСохранение достигнутых состояний

С.3.10

R

Не используется для программирования с ограниченной варьируемостью

4 Постепенное отключение функций

С.3.11

R

Не используется для программирования с ограниченной варьируемостью

5 Исправление ошибок методами искусственного интеллекта

С.3.12

NR

Не используется для программирования с ограниченной варьируемостью

6 Динамическая реконфигурация

С.3.13

NR

Не используется для программирования с ограниченной варьируемостью

7а Структурные методы, включая, например JSD, MASCOT, SADTи Yourdon

С.2.1

HR

Методы потоков данных и логических таблиц данных могут использоваться, по крайней мере, для описания архитектуры

7bПолуформальные методы

Таблица В.7

R

Могут быть использованы для интерфейса DCS

7с Формальные методы, включая, например CCS, CSP, HOL, LOTOS, OBJ, временную логику, VDMи Z

С.2.4

R

Редко используются для программирования с ограниченной варьируемостью

8 Автоматизированные средства разработки спецификаций

В.2.4

R

Используются средства разработки, поставленные производителем ПЛК

Примечание – Некоторые из этих методов нецелесообразно использовать при программировании на языках с ограниченной варьируемостью.

ТаблицаЕ.3-Проектированиеиразработкапрограммногообеспечения: средстваподдержкииязык программирования (см. МЭК 61508-3, пункт 7.4.4)

Метод/средство

Ссылка

SIL2

Интерпретация (внастоящемприложении)

1 Выборсоответствующегоязыкапрограммирования

С.4.6

HR

Обычноиспользуетсямногоступенчатая логикаичастоиспользуютсяфирменные языкипоставщикаПЛК

2 Строготипизированныеязыкипрограммирования

С.4.1

HR

Используетсяструктурированныйтекстпо МЭК 61131-3 [14]

3 Подмножествоязыка

С.4.2

Остерегайтесьиспользованиясложных «макроинструкций», прерываний, которые изменяютциклсканированияПЛК, ит. д.

4аСертифицированныесредства

0.4.3

HR

ПоставляетсяпроизводителемПЛК

4bИнструментальныесредства: заслуживающиедовериянаоснованииопытаиспользования

С.4.4

HR

Используютсясредстваразработки, предлагаемыепоставщикомПЛК, атакже собственныеинструменты, разработанные входеработынаднесколькимипроектами

5аСертифицированныйтранслятор

С.4.3

HR

ПоставляетсяпроизводителемПЛК

5bТрансляторы, заслуживающиедовериянаоснованииопытаиспользования

С.4.4

HR

Неиспользуетсядляязыковпрограммированиясограниченнойварьируемостью

6 Библиотекапроверенных/ сертифицированныхмодулейикомпонентов

С.4.5

HR

Функциональныеблоки, частипрограммы

ТаблицаЕ.4 -Проектированиеиразработкапрограммногообеспечения: подробнаямодель (см. МЭК 61508-3, пункты 7.4.5 и 7.4.6)

Метод/средство

Ссылка

SIL2

Интерпретация (в настоящем приложении)

1а Структурные методы, включая, например JSD, MASCOT, SADTи Yourdon

С.2.1

HR

Не используется для языков программирования с ограниченной варьируемостью

1bПолуформальные методы

Таблица В.7

HR

Используются причинно-следственные схемы, циклограммы, функциональные блоки, типичные для языков программирования с ограниченной варьируемостью

1с Формальные методы, включая, например CCS, CSP, HOL, LOTOS, OBJ, временную логику, VDMи Z

С.2.4

R

Не используется для языков программирования с ограниченной варьируемостью

2 Средства автоматизированного проектирования

В.3.5

R

Используются средства разработки, поставленные производителем ПЛК

3 Программирование с защитой

С.2.5

R

Включается в программное обеспечение системы

4 Модульный подход

Таблица В.9

HR

Используется упорядочение и группировка многоступенчатой логики программы ПЛК для максимального увеличения модульности требуемых функций

5 Стандарты (предприятий) проектирования и кодирования

Таблица В.1

HR

Используются собственные соглашения для документации и удобства эксплуатации

6 Структурное программирование

С.2.7

HR

Для рассматриваемого примера аналогично модульности

7 Библиотека проверенных/ сертифицированных модулей и компонентов (если возможно)

С.4.5

HR

Используются

Примечание – Проектирование и разработка включают в себя системное проектирование программного обеспечения, проектирование и кодирование программных модулей.

ТаблицаЕ.5 -Проектированиеиразработкапрограммногообеспечения: проверкаиинтеграцияпрограммныхмодулей (см. МЭК 61508-3, пункты 7.4.7 и 7.4.8)

Метод/средство

Ссылка

SIL2

Интерпретация (внастоящемприложении)

1 Вероятностноетестирование

С.5.1

R

Неиспользуетсядляязыковпрограммированиясограниченнойварьируемостью

2 Динамическийанализитестирование

В.6.5, таблица В.2

R

Используются

3 Регистрацияианализданных

С.5.2

HR

Записьисходныхданныхирезультатов тестирования

4 Функциональноетестированиеитестированиеметодомчерногоящика

В.5.1, В.5.2, таблица В.3

HR

Выбираютсявходныеданныедлятестированиявсехзаданныхфункциональных блоков, включаяобработкуошибок. Используются: тестовыепримеры, полученныес помощьюпричинно-следственныхсхем, анализграничныхзначенийидекомпозиция входныхданных

5 Моделированиепроизводительности

С.5.20, таблица В.6

HR

Неиспользуетсядляязыковпрограммированиясограниченнойварьируемостью

6 Тестированиеинтерфейса

С.5.3

R

Включеновфункциональноетестированиеитестированиеметодомчерногоящика

ТаблицаЕ.6 -Интеграцияпрограммируемыхэлектронныхсредств (аппаратураипрограммноеобеспечение) (см. МЭК 61508-3, подраздел 7.5)

Метод/средство

Ссылка

SIL2

Интерпретация (внастоящемприложении)

1 Функциональноетестированиеитестированиеметодомчерногоящика

В.5.1, В.5.2, таблица В.3

HR

Выбираютсявходныеданныедлятестированиявсехзаданныхфункциональных блоков, включаяобработкуошибок. Используются: тестовыепримеры, полученныес помощьюпричинно-следственныхсхем, анализграничныхзначенийидекомпозиция входныхданных

2 Моделированиепроизводительности

С.5.20, таблица В.6

R

ЕслисистемаПЛКсобираетсядлязаводскихприемочныхиспытаний

ТаблицаЕ.7 -Безопасностьпрограммногообеспечения, проверка (см. МЭК 61508-3, подраздел 7.7)

Метод/средство

Ссылка

SIL2

Интерпретация (внастоящемприложении)

1 Вероятностноетестирование

С.5.1

R

Неиспользуетсядляязыковпрограммированиясограниченнойварьируемостью

2 Имитация/моделирование

Таблица В.5

R

Неиспользуетсядляязыковпрограммированиясограниченнойварьируемостью, но всечащеиспользуетсяприразработкесистемПЛК

3 Функциональноетестированиеитестированиеметодомчерногоящика

В.5.1, В.5.2, таблица В.3

HR

Выбираютсявходныеданныедлятестированиявсехзаданныхфункциональных блоков, включаяобработкуошибок. Используются: тестовыепримеры, полученныес помощьюпричинно-следственныхсхем, анализграничныхзначенийидекомпозиция входныхданных

ТаблицаЕ.8 -Модификацияпрограммногообеспечения (см. МЭК 61508-3, подраздел 7.8)

Метод/средство

Ссылка

SIL2

Интерпретация (внастоящемприложении)

1 Анализвлияния

С.5.23

HR

Выполняютанализпоследствийдля изучениятого, наскольковлияниепредлагаемыхизмененийограниченомодульной структуройвсейсистемы

2 Повторнаяверификацияизмененных программныхмодулей

С.5.23

HR

Повторениепредыдущихтестов

3 Повторнаяверификацияпрограммных модулей, накоторыеоказываютвлияниеизменениявдругихмодулях

С.5.23

HR

Повторениепредыдущихтестов

4 Повторноеподтверждениесоответствиясистемы

С.5.23

R

Еслианализпоследствийпоказалнеобходимостьмодификациисистемы, топосле выполненияеемодификацииобязательно проводитсяповторноеподтверждениесоответствиясистемы

5 Управлениеконфигурациейпрограммногообеспечения

С.5.24

HR

Поддерживаетбазовуюконфигурацию, изменениявней, влияниенадругиесистемныетребования

6 Регистрацияианализданных

С.5.2

HR

Выполняетсязаписьисходныхданныхи результатовтестирования

ТаблицаЕ.9 -Проверкапрограммногообеспечения (см. МЭК 61508-3, подраздел 7.9)

Метод/средство

Ссылка

SIL2

Интерпретация (внастоящемприложении)

1 Формальноедоказательство

С.5.13

R

Неиспользуетсядляязыковпрограммированиясограниченнойварьируемостью

2 Вероятностноетестирование

С.5.1

R

Заменяетсяопытомэксплуатациисуществующихкомпонентов

3 Статическийанализ

В.6.4, таблица В.8

HR

Выполняютанализперекрестныхссылок использованияпеременных, условийит. д.

4 Динамическийанализитестирование

В.6.5, таблица В.2

HR

Используютсяавтоматическиесредства тестированиядляоблегчениярегрессивноготестирования

5 Метрикисложностипрограммногообеспечения

С.5.14

R

Неиспользуетсядляязыковпрограммированиясограниченнойварьируемостью

Тестированиеиинтеграцияпрограммных модулей

См. таблицуЕ.5

Тестированиеинтеграциипрограммируемойэлектроники

См. таблицуЕ.6

Тестирование (приемочныеиспытания) программнойсистемы

См. таблицуЕ.7

ТаблицаЕ.10 -Оценкафункциональнойбезопасности (см. МЭК 61508-3, раздел 8)

Метод/средство

Ссылка

SIL2

Интерпретация (внастоящемприложении)

1 Таблицаконтрольныхпроверок

В.2.5

R

Используется

2 Таблицырешенийитаблицыистинности

С.6.1

R

Используетсяограниченно

3 Метрикисложностипрограммногообеспечения

С.5.14

R

Неиспользуетсядляязыковпрограммированиясограниченнойварьируемостью

4 Анализотказов

Таблица В.4

R

Насистемномуровнеанализотказов используетпричинно-следственныесхемы, нодляязыковпрограммированиясограниченнойварьируемостьюэтотметоднеиспользуется

5 Анализотказовпообщейпричинеразнообразногопрограммногообеспечения (еслионодействительноиспользуется)

С.6.3

R

Неиспользуетсядляязыковпрограммированиясограниченнойварьируемостью

6 Блок-схемынадежности

С.6.5

R

Неиспользуетсядляязыковпрограммированиясограниченнойварьируемостью

Е.3Системасуровнемполнотыбезопасности 3

Рассматриваемаяпрограммнаясистемасравнительновеликасточкизрениясистемыбезопасности, так каквключаетболее 30000 строкисходногокода. Крометого, внейиспользуютсяобычныевстроенныефункции, по крайнеймере, дверазличныеоперационныесистемыиужесуществующийкодболеераннихпроектов (проверенныхвэксплуатации). Вцеломсистемасостоитболеечемиз 100000 строкисходногокода.

Аппаратныесредства (включаядатчикииисполнительныемеханизмы) представляютсобойдвухканальную систему, выходыкоторойподключеныкоконечнымэлементампосхемелогического«И» (AND).

Предположенияихарактеристикисистемы:

– немедленнаяреакциянетребуется, нообеспечиваетсямаксимальноевремяреакции;

– интерфейсысоператоромсуществуютдлядатчиков, исполнительныхмеханизмовиоповещателей;

– исходныйкодоперационныхсистем, графическихпроцедурикоммерческихпрограммныхпродуктовне доступен;

– система, скореевсего, вдальнейшембудетмодернизироваться;

– специальноразработанноепрограммноеобеспечениеиспользуетодинизраспространенныхпроцедурныхязыков;

– компонентыпрограммнойсистемы, исходныйкоддлякоторыхнедоступен, реализованыразнымиспособамиспомощьюинструментальныхсредствотразныхпоставщиков, иихобъектныйкодбылсозданразными трансляторами;

– программноеобеспечениеработаетнанесколькихпроцессорах, доступныхнарынкевсоответствиис требованиямиМЭК 61508-2;

– встроенныесистемысоответствуюттребованиямМЭК 61508-2 дляуправленияотказамиаппаратныхсредств идляихпредотвращения;

– разработкапрограммногообеспеченияконтролироваласьнезависимойорганизацией.

Примечание-ОпределениенезависимойорганизацииприведеновМЭК 61508-4, пункт 3.8.12.

ИнтерпретацияМЭК 61508-3, приложениеА, дляданногопримерапредставленавтаблицахЕ.11 – Е.20.

Примечание-Вграфе«ссылка»таблицЕ.11 – Е.20пункты (напримерВ.2.4, С.3.1) -этоссылкина МЭК 61508-7, атаблицы (напримертаблицаВ.7) -этоссылкинаМЭК 61508-3.

ТаблицаЕ.11 -Спецификациятребованийкбезопасностипрограммногообеспечения (см. МЭК 61508-3, подраздел 7.2)

Метод/средство

Ссылка

SIL3

Интерпретация (внастоящемприложении)

1 Автоматизированныесредстваразработкиспецификации

В.2.4

HR

Используютсясредства, поддерживающиевыбранныеметоды

2аПолуформальныеметоды

Таблица В.7

HR

Используютсяблок-схемы, циклограммы, диаграммыпереходовсостояний

2bФормальныеметоды, включая, напримерCCS, CSP, HOL, LOTOS, OBJ, временнуюлогику, VDMиZ

С.2.4

R

Используютсятольковисключительном случае

ТаблицаЕ.12 -Проектированиеиразработкапрограммногообеспечения: проектированиеархитектуры программногообеспечения (см. МЭК 61508-3, пункт 7.4.3)

Метод/средство

Ссылка

SIL3

Интерпретация (в настоящем приложении)

1 Обнаружение и диагностика сбоев

С.3.1

HR

Используется для тех отказов датчиков, исполнительных механизмов и средств передачи данных, которые не охватываются средствами встроенной системы в соответствии с МЭК 61508-2

2 Обнаружение и исправление ошибок

С.3.2

R

Используется только для внешней передачи данных

3а Программирование с проверкой ошибок

С.3.3

R

Используется для проверки правильности результатов прикладных функций

3bМетоды «подушки безопасности»

С.3.4

R

Используются для некоторых функций, связанных с безопасностью, если отсутствуют средства 3а и 3с

3с Многовариантное программирование

С.3.5

R

Используется для некоторых функций, исходный код которых недоступен

3d Блоки восстановления

С.3.6

R

Не используется

3е Восстановление предыдущего состояния

С.3.7

R

Не используется

3fПрямое восстановление

С.3.8

R

Не используется

3gПовторный запуск механизмов восстановления после ошибок

С.3.9

R

Не используется

3hСохранение достигнутых состояний

С.3.10

R

Не используется (достаточно средств 3а, 3bи 3с)

4 Постепенное отключение функций

С.3.11

HR

Используется вследствие природы технического процесса

5 Исправление ошибок методами искусственного интеллекта

С.3.12

NR

Не используется

6 Динамическая реконфигурация

С.3.13

NR

Не используется

7а Структурные методы, включая, например JSD, MASCOT, SADTи Yourdon

С.2.1

HR

Необходимо использовать вследствие размера системы

7bПолуформальные методы

Таблица В.7

HR

Используются блок-схемы, циклограммы, диаграммы перехода состояний

7с Формальные методы, включая, например CCS, CSP, HOL, LOTOS, OBJ, временную логику, VDMи Z

С.2.4

R

Не используются

8 Автоматизированные средства разработки спецификаций

В.2.4

HR

Используются средства, поддерживающие выбранные методы

ТаблицаЕ.13 -Проектированиеиразработкапрограммногообеспечения: средстваподдержкииязык программирования (см. МЭК 61508-3, пункт 7.4.4)

Метод/средство

Ссылка

SIL3

Интерпретация (внастоящемприложении)

1 Выборсоответствующегоязыкапрограммирования

С.4.6

HR

Выбираетсяязыквысокогоуровнясполнойварьируемостью

2 Строготипизированныеязыкипрограммирования

С.4.1

HR

Используют

3 Подмножествоязыка

С.4.2

HR

Определяютподмножествовыбранного языка

4аСертифицированныесредства

С.4.3

HR

Недоступны

4bИнструментальныесредства: заслуживающиедовериянаоснованииопытаиспользования

С.4.4

HR

Доступныииспользуют

5аСертифицированныйкомпилятор

С.4.3

HR

Недоступен

5bТрансляторы, заслуживающиедовериянаоснованииопытаиспользования

С.4.4

HR

Доступныииспользуют

6 Библиотекапроверенных/ сертифицированныхмодулейикомпонент

С.4.5

HR

Доступнаииспользуют

ТаблицаЕ.14 -Проектированиеиразработкапрограммногообеспечения: подробныйпроект (см. МЭК 61508-3, пункты 7.4.5 и 7.4.6)

Метод/средство

Ссылка

SIL3

Интерпретация (в настоящем приложении)

1а Структурные методы, включая, например JSD, MASCOT, SADTи Yourdon

С.2.1

HR

Широко используются. В частности SADTи JSD

1bПолуформальные методы

Таблица В.7

HR

Используются конечные автоматы/ диаграммы перехода состояний, блок-схемы, циклограммы

1с Формальные методы, включая, например CCS, CSP, HOL, LOTOS, OBJ, временную логику, VDMи Z

С.2.4

R

Используются только в исключительных случаях для некоторых очень важных компонент

2 Средства автоматизированного проектирования

В.3.5

R

Используются для выбранных методов

3 Программирование с защитой

С.2.5

R

В прикладном программном обеспечении в явном виде используются средства, которые могут быть эффективны, кроме автоматически вставляемых компилятором

4 Модульный подход

Таблица В.9

HR

Используются: ограниченный размер программного модуля, скрытие информации/инкапсуляция, одна входная/выходная точка в подпрограммах и функциях, полностью определенный интерфейс и т. д.

5 Стандарты (предприятия) проектирования и кодирования

Таблица В.1

HR

Используются стандарты (предприятия) для кодирования, ограниченно используются прерывания, указатели и рекурсии, не используются динамические объекты и переменные, безусловные переходы и т. д.

6 Структурное программирование

С.2.7

HR

Используют

7 Библиотека проверенных/ сертифицированных модулей и компонентов (по возможности)

С.4.5

HR

Доступен и используют

Примечание – Проектирование и разработка включают в себя системное проектирование программного обеспечения, проектирование и кодирование программных модулей.

ТаблицаЕ.15 -Проектированиеиразработкапрограммногообеспечения: проверкаиинтеграцияпрограммныхмодулей (см. МЭК 61508-3, пункты 7.4.7 и 7.4.8)

Метод/средство

Ссылка

SIL3

Интерпретация (внастоящемприложении)

1 Вероятностноетестирование

С.5.1

R

Используетсядляпрограммныхмодулей, исходныйкодкоторыхнедоступен, аопределениеграничныхзначенийиклассовэквивалентностидлятестовыхданныхзатруднено

2 Динамическийанализитестирование

В.6.5, таблица В.2

HR

Используютсядляпрограммныхмодулей, исходныйкодкоторыхдоступен.

Выполняют: контрольныепримеры, разработанныеспомощьюанализаграничных значений, моделированиепроизводительности, разделениевходныхданныхнаклассыэквивалентности, структурноетестирование

3 Регистрацияианализданных

С.5.2

HR

Используютзаписьвходныхданныхирезультатовтестирования

4 Функциональноетестированиеитестированиеметодомчерногоящика

В.5.1, В.5.2, таблица В.3

HR

Используютдляпрограммныхмодулей, исходныйкодкоторыхнедоступен, идляпроверкиинтеграции.

Выбираютсявходныеданныедлятестированиявсехзаданныхфункциональных блоков, включаяобработкуошибок. Используются: тестовыепримеры, полученныес помощьюпричинно-следственныхсхем, прототипирование, анализграничныхзначений, разделениеданныхнаклассыэквивалентностиидекомпозициявходныхданных

5 Моделированиепроизводительности

С.5.20, таблица В.6

HR

Используютприпроверкеинтеграциина конкретномоборудовании

6 Тестированиеинтерфейса

С.5.3

HR

Неиспользуют

ТаблицаЕ.16 -Интеграцияпрограммируемойэлектроники (аппаратныхсредствипрограммногообеспечения) (см. МЭК 61508-3, подраздел 7.5)

Метод/средство

Ссылка

SIL3

Интерпретация (внастоящемприложении)

1 Функциональноетестированиеитестированиеметодомчерногоящика

В.5.1, В.5.2, таблица В.3

HR

Используюткакдополнительныетесты приинтеграциипрограммногообеспечения(см. таблицуЕ.15).

Выбираютсявходныеданныедлятестированиявсехзаданныхфункциональных блоков, включаяобработкуошибок. Используются: тестовыепримеры, полученныес помощьюпричинно-следственныхсхем, прототипирование, анализграничныхзначений, разделениеданныхнаклассыэквивалентностиидекомпозициявходныхданных

2 Моделированиепроизводительности

С.5.20, таблица В.6

HR

Широкоиспользуют

ТаблицаЕ.17 -Подтверждениесоответствиябезопасностипрограммногообеспечения (см. МЭК 61508-3, подраздел 7.7)

Метод/средство

Ссылка

SIL3

Интерпретация (внастоящемприложении)

1 Вероятностноетестирование

С.5.1

R

Неиспользуютдляподтверждениясоответствия

2 Имитация/моделирование

Таблица В.5

HR

Конечныеавтоматы, моделированиепроизводительности, прототипированиеианимация

3 Функциональноетестированиеитестированиеметодомчерногоящика

В.5.1, В.5.2, таблица В.3

HR

Выбираютсявходныеданныедлятестированиявсехзаданныхфункциональных блоков, включаяобработкуошибок. Используются: тестовыепримеры, полученныес помощьюпричинно-следственныхсхем, прототипирование, анализграничныхзначений, разделениеданныхнаклассыэквивалентностиидекомпозициявходныхданных

ТаблицаЕ.18 -Модификацияпрограммногообеспечения (см. МЭК 61508-3, подраздел 7.8)

Метод/средство

Ссылка

SIL3

Интерпретация (внастоящемприложении)

1 Анализвлияния

С.5.23

HR

Используют

2 Повторнаяверификацияизмененных программныхмодулей

С.5.23

HR

Используют

3 Повторнаяверификацияпрограммныхмодулей, накоторыеоказываютвлияниеизменениявдругихмодулях

С.5.23

HR

Используют

4 Повторнаяверификациясистемывцелом

С.5.23

HR

Использованиезависитотрезультатов анализапоследствий

5 Управлениеконфигурациейпрограммногообеспечения

С.5.24

HR

Используют

6 Регистрацияианализданных

С.5.2

HR

Используют

ТаблицаЕ.19 -Проверкапрограммногообеспечения (см. МЭК 61508-3, подраздел 7.9)

Метод/средство

Ссылка

SIL3

Интерпретация (внастоящемприложении)

1 Формальноедоказательство

С.5.13

R

Используетсятольковисключительных случаях, длянекоторыхоченьважныхклассов

2 Вероятностноетестирование

С.5.1

R

ВключеновтаблицуЕ.15

3 Статическийанализ

В.6.4, таблица В.8

HR

Длявсеговновьразработанногокодаиспользуются: анализграничныхзначений, таблицаконтрольныхпроверок, анализпотоков управления, анализпотоковданных, проверкаразработкипрограмм, анализпроектов

4 Динамическийанализитестирование

В.6.5, таблица В.2

HR

ВключеновтаблицуЕ.15

5 Метрикисложностипрограммногообеспечения

С.5.14

R

Используютвминимальнойстепени

Тестированиеиинтеграцияпрограммныхмодулей

См. таблицуЕ.15

Тестированиеинтеграциипрограммируемойэлектроники

См. таблицуЕ.16

Тестирование (подтверждениесоответствия) программной системы

См. таблицуЕ.17

ТаблицаЕ.20 -Оценкафункциональнойбезопасности (МЭК 61508-3, раздел 8)

Метод/средство

Ссылка

SIL3

Интерпретация (внастоящемприложении)

1 Таблицаконтрольныхпроверок

В.2.5

R

Используют

2 Таблицырешенийитаблицыистинности

С.6.1

R

Используютвограниченнойстепени

3 Метрикисложностипрограммногообеспечения

С.5.14

R

Используютвминимальнойстепени

4 Анализотказов

Таблица В.4

R

Интенсивноиспользуютанализдиагностическогодереваотказов, апричинно-следственныедиаграммыиспользуютвограниченнойстепени

5 Анализотказовпообщейпричинеразнообразногопрограммногообеспечения (еслидействительноиспользуется)

С.6.3

R

Используют

6 Блокдиаграммынадежности

С.6.5

R

Используют

Приложение F
(справочное)

Сведения о соответствии ссылочных международных стандартов национальным стандартам Российской Федерации

ТаблицаF.1

Обозначениессылочного международногостандарта

Обозначениеинаименованиесоответствующегонационального стандартаРоссийскойФедерации

ИСО/МЭК 51:1999

ГОСТР 51898-2002Аспектыбезопасности. Правилавключенияв стандарты

МЭК 104:1997

*

ИСО/МЭК 2382-14:1998

*

МЭК 61508-1:1998

ГОСТРМЭК 61508-1-2006 Функциональнаябезопасностьсистем электрических, электронных, программируемыхэлектронных, связанных сбезопасностью. Часть 1. Общиетребования

МЭК 61508-2:2000

ГОСТРМЭК 61508-2-2007Функциональнаябезопасностьсистем электрических, электронных, программируемыхэлектронных, связанных сбезопасностью. Часть 2. Требованияксистемам

МЭК 61508-3:1998

ГОСТРМЭК 61508-3-2006 Функциональнаябезопасностьсистем электрических, электронных, программируемыхэлектронных, связанных сбезопасностью. Часть 3. Требованиякпрограммномуобеспечению

МЭК 61508-4:1998

ГОСТРМЭК 61508-4-2006 Функциональнаябезопасностьсистем электрических, электронных, программируемыхэлектронных, связанных сбезопасностью. Часть 4. Терминыиопределения

МЭК 61508-5:1998

ГОСТРМЭК 61508-5-2006 Функциональнаябезопасностьсистем электрических, электронных, программируемыхэлектронных, связанных сбезопасностью. Часть 5. Рекомендациипоприменениюметодовопределенияуровнейполнотыбезопасности

МЭК 61508-7:2000

ГОСТРМЭК 61508-7-2007Функциональнаябезопасностьсистем электрических, электронных, программируемыхэлектронных, связанных сбезопасностью. Часть 7. Методыисредства

* Соответствующийнациональныйстандартотсутствует. Доегоутверждениярекомендуетсяиспользоватьпереводнарусскийязыкданногомеждународногостандарта. ПереводданногомеждународногостандартанаходитсявФедеральноминформационномфондетехническихрегламентовистандартов.

Библиография

[1]

ЕС 61511-SER

Functional safety – Safety instrumented systems for the process industry sector – ALL PARTS

[2]

IEC 61078:2006

Analysis techniques for dependability – Reliability block diagram method

[3]

IEC 61165:2006

Application of Markov techniques

[4]

BS 5760

Reliability of system equipment and components – Part 2: Guide to assessment of reliability

[5]

D.J. Smith

Reliability, maintainability and risk – Practical methods for engineers, Butterworth-Heinemann, 5th edition, 1997, ISBN 0-7506-3752-8

[6]

R. Billington and R.N. Allan

Reliability evaluation of engineering systems. Plenum, 1992, ISBN 0-306-44063-6

[7]

W.M. Goble

Evaluating control system reliability – Techniques and applications, Instrument Society of America, 1992, ISBN 1-55617-128-5

[8]

ReliabilityAnalysisCenter (RAC)

Failure Mode/Mechanism Distributions, 1991, Department of Defense, United States of America,

PO Box 4700, 201 Mill Street, Rome, NY13440-8200, Organization report number: FMD-91, NSN 7540-01-280-5500

[9]

Qualitat und Zuverlassigkeit technischer Systeme, Theorie, Praxis, Management, Dritte Auflage, 1991, Allessandro Birolini, Springer-Verlag, Berlin Heidelberg New York, ISBN 3-540-54067-9, 3 Aufl., ISBN 0-387-54067-9 3 ed.

[10]

MIL-HDBK-217F

Military Handbook Reliability prediction of electronic equipment, 2 December 1991, Department of Defense, United States of America, WashingtonDC20301

[11]

Programmable electronic systems in safety-related applications. Part 2: General technical guidelines. Health and Safety Executive, HMSO, ISBN 0 11 883906 3, 1987

[12]

Assigning a numerical value to the beta factor common-cause evaluation, Humphreys, R. A., Proc. Reliability ’87

[13]

UPM3.1: A pragmatic approach to dependent failures assessment for standard systems, AEA Technology, Report SRDA-R-13, ISBN 085 356 4337, 1996

[14]

IEC 61131-3:2003

Programmable controllers – Part 3: Programming languages

Ключевыеслова:функциональнаябезопасность; жизненныйциклсистем; электрическиекомпоненты; электронныекомпоненты; программируемыеэлектронныекомпонентыисистемы; системы, связанныесбезопасностью; диагностическийохват; оценкавероятностиотказааппаратныхсредств; полнотабезопасности программногообеспечения

Выполненные работы

Натуральные чаи «Чайные технологии»
Натуральные чаи «Чайные технологии»
О проекте

Производитель пищевой продукции «Чайные технологии» заключил контракт с федеральной розничной сетью «АЗБУКА ВКУСА» на поставку натуральных чаев.

Под требования заказчика был оформлен следующий комплект документов: технические условия с последующей регистрацией в ФБУ ЦСМ; технологическая инструкция; сертификат соответствия ГОСТ Р сроком на 3 года; декларация соответствия ТР ТС ЕАС сроком на 3 года с внесение в госреестр (Росаккредитация) с протоколами испытаний; Сертификат соответствия ISO 22 000; Разработан и внедрен на производство план ХАССП.

Выдали полный комплект документов, производитель успешно прошел приемку в «АЗБУКЕ ВКУСА». Срок реализации проекта составил 35 дней.

Что сертифицировали

Азбука Вкуса

Кто вёл проект
Дарья Луценко - Специалист по сертификации

Дарья Луценко

Специалист по сертификации

Оборудования для пожаротушения IFEX
Оборудования для пожаротушения IFEX
О проекте

Производитель оборудования для пожаротушения IFEX открыл представительство в России. Заключив договор на сертификацию продукции, организовали выезд экспертов на производство в Германию для выполнения АКТа анализа производства, часть оборудования провели испытания на месте в испытательной лаборатории на производстве, часть продукции доставили в Россию и совместно с МЧС РОССИИ провели полигонные испытания на соответствия требованиям заявленным производителем.

По требованию заказчика был оформлен сертификат соответствия пожарной безопасности сроком на 5 лет с внесением в госреестр (Росаккредитация) и протоколами испытаний, а также переведена и разработана нормативное документация в соответствии с ГОСТ 53291.

Выдали полный комплект документации, а производитель успешно реализовал Госконтракт на поставку оборудования. Срок реализации проекта составил 45 дней.

Что сертифицировали

Международный производитель оборудования
для пожаротушения IFEX

Кто вёл проект
Василий Орлов - Генеральный директор

Василий Орлов

Генеральный директор

Рассчитать стоимость оформления документации

Специалист свяжется с Вами в ближайшее время

Получить консультацию специалиста

Ошибка: Контактная форма не найдена.

Оставляя заявку, вы соглашаетесь с пользовательским соглашением