База ГОСТовallgosts.ru » 25. МАШИНОСТРОЕНИЕ » 25.040. Промышленные автоматизированные системы

ГОСТ Р МЭК 61508-6-2012 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 6. Руководство по применению ГОСТ Р МЭК 61508-2 и ГОСТ Р МЭК 61508-3

Обозначение: ГОСТ Р МЭК 61508-6-2012
Наименование: Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 6. Руководство по применению ГОСТ Р МЭК 61508-2 и ГОСТ Р МЭК 61508-3
Статус: Действует

Дата введения: 08/01/2013
Дата отмены: -
Заменен на: -
Код ОКС: 25.040.40
Скачать PDF: ГОСТ Р МЭК 61508-6-2012 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 6. Руководство по применению ГОСТ Р МЭК 61508-2 и ГОСТ Р МЭК 61508-3.pdf
Скачать Word:ГОСТ Р МЭК 61508-6-2012 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 6. Руководство по применению ГОСТ Р МЭК 61508-2 и ГОСТ Р МЭК 61508-3.doc


Текст ГОСТ Р МЭК 61508-6-2012 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 6. Руководство по применению ГОСТ Р МЭК 61508-2 и ГОСТ Р МЭК 61508-3



ФЕДЕРАЛЬНОЕ АГЕНТСТВО

ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ


НАЦИОНАЛЬНЫЙ

СТАНДАРТ

РОССИЙСКОЙ

ФЕДЕРАЦИИ


ГОСТ Р МЭК

61508-6—

2012


ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ СИСТЕМ ЭЛЕКТРИЧЕСКИХ, ЭЛЕКТРОННЫХ, ПРОГРАММИРУЕМЫХ ЭЛЕКТРОННЫХ, СВЯЗАННЫХ С БЕЗОПАСНОСТЬЮ

Часть 6

Руководство по применению ГОСТ Р МЭК 61508-2 и ГОСТ Р МЭК 61508-3

IEC 61508-6:2010

Functional safety of electrical/electronic/programmable electronic safety-related systems —

Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3 (IDT)

Издание официальное


Предисловие

1    ПОДГОТОВЛЕН Обществом с ограниченной ответственностью « Корпоративные эпвктромгые системы» и Федеральным бюджетным учреждением «Консультационно-внедренческая фирма е области международной стандартизации и сертификации — «Фирма « ИНТЕРСТАНДАРТ» на основе собственного аутентичного перевода на русский язык международного стандарта, указанного в пункте 4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 58 «Функциональная безопасность»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 29 октября 2012 г. № 591-ст

4    Настоящий стандарт идентичен международному стандарту МЭК 61506-6:2010 «Функциональная безопасность систем электрических, электронных, программируемых электронных, саязаиныхс безопасностью. Часть 6. Руководство по применение МЭК 61508-2 и МЭК 61508-3» (1ЕС 61506-6:2010 «Functional safety of etectrical/electrorHc/programmable electronic safety-related systems—Part 6. Guidefcnes on the application of IEC 61508-2 and (EC 61508-3»).

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р1.5 (пункт 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5    ВЗАМЕН ГОСТ Р МЭК 61506-6—2007

Правила применения настоящего стандарта установлены в ГОСТР 1.0—2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок— в ежемесячном информационном указателе «Национальные стандарты». В случав пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому ряяуппрпяянию и иятрппприп в пяти Интярнят (реки т)

©Стандартимформ, 2014

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

Содержание

Приложение О (справочное) Методика количественного определения влияния отказов аппаратных

Приложение Е (справочное) Применение таблиц полноты безопасности программного обеспечения в

Введение

Системы, состоящие из электрических и/или электронных элементов, в течение многих лет используются для выполнения фучсций безопасности в большинстве областей применедея. Компьютерные системы (обычно называемые «программируемые электронные системы»), применяемые во всех прикладных отраслях для выполнения функций, не связанных с безопасностью, во все более увеличивающихся количествах используются для выполнения функций обеспечения безопасности. Для эффективной и безопасной эксплуатадо* технологий, основанных на использовании компьютерных систем, чрезвычайно важно, чтобы лица, ответственные за принятие решений, имели в своем распоряжении руководства по вопросам безопасности. которые они могли бы использовать в своей работе.

Настоящий стандарт устанавгывает общий подход к вопросам обеспечения безопасности для всего жизненного цикла систем, состоящих из электрических и/или электронных, и/или программируемых электронных (Э/Э/ПЭ) элементов, которые используются для выполнения функций обеспечения безопасности. Этот унифицированный подход был принят для разработки рациональной и последовательной технической политики для всех электрических систем обеспечения безопасности. При этом основной целью является содействие разработке стандартов для продукции и областей применения на основе стандартов серии МЭК 61508.

Примечание — Примерами стандартов для продукции и областей применены. разработанных на основе стандартов серии МЭК 61508. являются (1]—(3].

Обычно безопасность достигается за счет использования нескольких систем, в которых используются различные технологии (например, механические, гидравлические, пневматические, электрические, электронные. программируемые электронные). Любая стратегия безопасности должна, следовательно, учитывать не только все элементы, входящие в состав отдельных систем (например, датчики, управляющие устройства и исполнительные механизмы), но также и все подсистемы безопасности, входящие в состав общей системы обеспечения безопасности. Таким образом, хотя настоящий стандарт посвящен в основном Э/Э/ПЭ системам, связанным с безопасностью, он может также предоставлять общий подход, в рамках которого рассматриваются системы, связанные с безопасностью, базирующиеся на других технологиях

Признанным фактом является существование огромного разнообразия использования Э/Э/ПЭ систем в различных областях применения, отличающихся различной степенью сложности, возможными рисками и опасностями. 8 каждом конкретном применении необходимые меры безопасности будут зависеть от многочисленных факторов, специфичных для конкретного применения. Настоящий стандарт, являясь базовым. позволит формулировать такие меры для областей применения будущих международных стандартов, а также для последующих редакций уже существующих стандартов.

Настоящий стандарт:

•    рассматривает все соответствующие стадии жизненного цикла безопасности систем в целом, а также подсистем Э/Э/ПЭ системы и программного обеспечения (например, от первоначальной концепции, через проектирование, внедрение, эксплуатацию и техническое обеспечение до снятия с эксплуатации), в ходе которых Э/Э/ПЭ системы используются для выполнения функций безопасности:

•    был задуман с учетом быстрого развития технологий: его основа является в значительной мере устойчивой и полной для будущих разработок:

•    делает возможной разработку стандартов областей применения, е которых используются Э/Э/ПЭ системы, связанные с безопасностью; разработка стандартов для областей применения в рамках общей структуры, вводимой настоящим стандартом, должна привести к более высокому уровню согласованности (например, основных принципов, терминологии, и т. д.) как для отдельных областей применения, так и для их совокупностей, что даст преимущества в плане безопасности и экономики;

•    предоставляет метод разработки спецификации требований к безопасности, необходимых для достижения заданной функциональной безопасности Э/Э/ПЭ систем, связанных с безопасностью.

•    использует для определения требований к уровням полноты безопасности подход, основанный на оценке рисков;

•    вводит уровни полноты безопасности для определения целевого уровня полноты безопасности для функций безопасности, которые должны быть реализованы Э/Э/ПЭ системами, связанными с безопасностью.

Примечание — Настоящий стандарт не устанавливает требовамм к уровню полноты бвэопэоюсти для любой фужции безопасности, и не определяет, как устанавливается уровень полноты безопасности. Однако настоящий стандарт формирует основанный на риске концептуалы-ый подход и предлагает примеры методов:

-    устанавливает целевые вегмчины отказов для функций безопасности, реализуемых Э/Э/ПЭ системами. связанными с безопасностью, и связывает эти меры с уровнями полноты безопасности;

-    устанавливает нижнюю границу для целевых мер отказов для функции безопасности. реализуемой одиночной Э/Э/ПЭ системой, связанной с безопасностью. Для Э/Э/ПЭ систем, связанных с безопасностью в режиме:

•    низкой интенсивности запросов на обслуживание: нижняя граница для выполнения функции.

для которой система предназначена, устанавливается в соответствии со средней вероятностью опасного отказа по запросу, равной 10'*.

•    высокой интенсивности запросов на обслуживание или в непрерывном режиме: нижняя граница устанавливается в соответствии со средней частотой опасных отказов 10'9 в час.

Примечания

1    Одиночная Э/Э/ПЭ система, связанная с безопасностью, не обязательно предполагает адноканальмую архитектуру.

2    В проектах систем, связанных с безопасностью и имеющих низкий уровень сложности, можно достигнуть более ниэтх значений целевой полноты безопасности, но предполагается, что в настоящее время указа1 и предельте значения целевой полноты безопасности могут быть достигнуты для относитегъно сложтх систем (например, программируемые электронные системы, связанные с безопасностью):

•    устанавливает требования по предотвращению и управлению систематическими отказах*, основанные на опыте и заключениях из практического опыта. Учитывая, что вероятность возникновения систематических отказов в общем случае не может быть определена количественно, настоящий стандарт позволяет утверждать для специфицируемой функции безопасности, что целевая мера отказов, связанных с этой функцией, может считаться достигнутой, если все требования стандарта были выполнены:

•    вводит понятие «стойкость к систематическим отказам», применяемое к элементу, характеризующее уверенность е том. что полнота безопасности, касающаяся систематических отказов элемента, удовлетворяет требованиям заданного уровня полноты безопасности:

•    применяет широкий диапазон принципов, методов и средств для достижения функциональной безопасности Э/Э/ПЭ систем, связанных с безопасностью, но не использует явно понятие «безопасного отказа». В тоже время понятия «безопасный отказ» и «безопасны* в своей основе отказ» могут быть использованы. но для этого необходимо обеспечить соответствующие требования в конкретных разделах стандарта. которым эти понятия должны соответствовать.

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ СИСТЕМ ЭЛЕКТРИЧЕСКИХ. ЭЛЕКТРОННЫХ, ПРОГРАММИРУЕМЫХ ЭЛЕКТРОННЫХ, СВЯЗАННЫХ С БЕЗОПАСНОСТЬЮ

Часть 6

Руководство по применению ГОСТ Р МЭК 61508-2 и ГОСТ Р МЭК 61508-3

Functional safety of otectncal/etectronic/programmatole electronic safety-related systems. Part 6. Guidelines on the application of GOST R IEC 61508-2 aid GOST R IEC 61508-3

Дата введения — 2013—08—01

1 Область применения

1.1    Настоящий стандарт содержит информации руководящие указания по применению МЭК 61506-2 и МЭК 61508-3.

Краткий обзор требований МЭК 61508-2 и МЭК 61508-3 и определение функциональной последовательности их применения содержится в приложении А.

Пример методики расчета вероятности отказа аппаратных средств содержится в приложении В. которое следует применять совместно с МЭК 61508-2 (пункт 7.4.3 и приложение С) и приложением D настоящего стандарта.

Пример расчета охвата диагностикой содержится в приложении С. которое следует применять совместно с МЭК 61508-2 (приложение С).

Метод количественной оценки влияния отказов аппаратных средств по общей причине на вероятность отказов описан в приложении О.

Примеры применения таблиц полноты безопасности программного обеспечения, приведенных в МЭК 61508-3 (приложение А), для уровней полноты безопасности 2 и 3 описаны в приложены* Е.

1.2    МЭК 61508-1. МЭК 61508-2. МЭК 61508-3 и МЭК 61508-4 являются базовыми стандартами по безопасности, хотя этот статус не применим в контексте Э/Э/ПЭ систем, связанных с безопасностью, имеющих низкую сложность (см. МЭК61508-4. пункт 3.4.3). В качестве базовых стандартов по безопасности данные стандарты предназначены для использования техническими комитетами при подготовке стандартов в соответствии с принципами, изложенными в руководстве МЭК 104 и руководстве И СО/МЭК 51. МЭК 61508-1. МЭК 61508-2. МЭК 61508-3 и МЭК 61508-4 предназначены для использования в качестве самостоятельных стандартов. Функция безопасности настоящего стандарта не применима к медицинскому оборудованию, удовлетворяющему требованиям серии горизонтальных стандартов МЭК 60601 (1].

1.3    В круг обязанностей технического комитета входит использование там. <дв это возможно, основополагающих стандартов по безопасности при подготовке собственных стандартов. В этом случае требования. методы проверки или условия проверки настоящего основополагающего стандарта по безопасности не будут применяться, если на них нет конкретной ссылки, ипч они не включены в публикации, подготовленные этими техническими комитетами.

1.4    Общая структура стандартов серии МЭК 61508 и роль, которую играет настоящий стандарт в достижении функциональной безопасности Э/Э/ПЭ систем, связанных с безопасностью, показана на рисунке 1.

Издание официальное

Рисунок 1 — Общая структура серии ГОСТ Р МЭК 61506

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ИСО/МЭК Руководство 51:1990 Аспекты безопасности. Руководящие указания по включению в стан* дарты (ISO/IEC Guide 51:1999. Safety aspects — Guidelines for their inclusion in standards)

МЭК Руководство 104:1997 Подготовка публикаций по безопасности и использование базовых публикаций по безопасности и публикаций по безопасности групп (ЕС Guide 104:1997. The preparation of safety publications and the use of basic safety publications and group safety publications)

МЭК 61506-1:2010 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 1. Общие требования (IEC 61506*1:2010. Functional safety of electiical/eiectronic/programmable electronic safety-related systems — Part 1: General requirements)

МЭК 61508-2-2010 Функциональная безопасность систем электрических, электронных, программируемых электронных связанных с безопасностью. Часть 2. Требования к системам эпектрическим/электрон-ным/лрограммируемым электронным, связанным с безопасностью (ЕС 61506-2:2010. Functional safety of eiectricaifeiectronic^rograrnrnable electronic safety-related systems — Part 2. Requirements for electrical / electronic / programmable electronic safety-related systems)

МЭК61506-3:2010 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 3. Требования к программному обеспечению (IEC 61506-3:2010. Functional safety of eiectncal/electronic/programmable electronic safety-related systems— Part 3: Software requirements)

МЭК 61506-4:2010 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 4. Термины и определения (ISO/IEC 61506-4:2010. Functional safety of electrical/electronic/programmable electronic safety-related systems — Part 4. Definitions and abbreviations)

МЭК61506-52010 Функциональная безопасность систем электрических электронных, программируемых электронных, связанных с безопасностью. Часть 5. Примеры методов определения уровней полноты безопасности (IEC 61506-52010. Functional safety of electrical/electi'onic/prograrnmabie electronic safety-related systems — Part 5: Examples of methods for the determination of safety integrity levels)

МЭК 61506-7:2010 Функциональная безопасность систем электрических электронных, программируемых электронных, связанных с безопасностью. Часть 7. Анализ методов и средств (ЕС 61506-7:2010. Functional safety of electrical/eiectronic/programmable electronic safety-related systems — Part 7: Overview of techniques and measures)

3 Термины, определения и сокращения

8 настоящем стандарте применены термины, определения и сокращения по МЭК61506-4.

з

Приложение А (справочное)

Применение МЭК 61508-2 и МЭК 61508-3

А.1 Общие положения

Комретный механизм, технологическая установка, а также другое оборудована могут е случае неправмхъ-ной работы (например, отказ электрических, электрон»—х и/или программируемых электро»*—х устройств) представлять опасность для людей и окружающей среды из-за возимо ювения опасных событий (например, пожары, взрывы, избыточная радиа—. попадание е механизмы и т. д.). Аварии оборудованы могут возникать по при» — ю физических отказов устройств (неожиданные аварии оборудооамп). либо систематических отказов (ошибки человека в технических условиях и конструкции конкретной смете»— при определенной комбинации причин приводят к систематическим отказам), либо некоторых внешни условий.

Общий подход, основанный на оценке рисков, для предотвращения и/или управления отказаны в электромеханических. электронных или программируемых электронных устройствах содержится в МЭК 61506-1.

Основная задача настоящего стандарта заключается в том. чтобы установки и оборудование были обеспечены автоматизированными системами безопасности, а его основная иегъ состоит в предотвращены:

•    отказов систем управления, инициирующих другие события, которые, в свою очередь, могут привести к опасному событию (например, утечсэ токсинных материалов, повторяющиеся удары механизмов и т. д.) и

•    необнаруженных отказов систем защиты (например, в системах аварийной остановки), делающих эти системы недоступными в момент необходимости действий, связанных с безопасностью.

Требование проведены анагмза опасности и риска для процесса/механизма для определены степени оыжения рисжа, необходимой для удовлетворения критериям оценки риска для данного применения, см. в МЭК 61508-1. Оценка риска основана на оценке как последствий (или серьезности), так и частоты (игы вероятности) опасного события.

Требование использования степени снижения риска, опредепенной в процессе анализа, для решения вопроса о том. требуется одна или нескогъко систем, связанных с безопасностью11, и для выполнения каких фгункций обеспечения безопасности (каждая с заданной полнотой безопасности ) требуются эти системы, содержится в МЭК 61506-1.

В МЭК 61508-2 и МЭК 61508-3 рассматриваются требования к функциям безопасности и полноте безопасности. установлен»—е в МЭК 61508-1. для любой Э/Э/ПЭ системы, связанной с безопасностью, а также устанаеты-вэются требования к жизио»мому циклу систем— безопасности, которые:

•    применяются при разработке технического зада»ыя. проектировании и внесении изменений в аппарат-»—е средства и программное обеспечение, а также

•    фокусируются на средствах предотвращения и>'или управления случайными отказами аппарат»—х средств и систематическими отказа—» (жиэне»ыыв цист— Э/Э/ПЭ системы безопасности и програм—юго обеспече—ы31 системы безопасности).

МЭК 61508-2 и МЭК 81508-3 не содержат ухаза»мй. какой уровень полноты безопасности соответствует заданному требуемому приемлемому риау. Это решегые зависит от многих факторе», включая характер примо иония, степе»— выполнения функц»ы безопасности другими системами, а также социапы—о и экономические факторы (см. МЭК 61508-1 и МЭК 61508-5).

Требования МЭК 61508-2 и МЭК 61508-3 включают в себя:

•    применение методов* и средств, классиф—лированных в соответствии с уровнем полноты безопасности, чтобы избежать систематических отказов* с помощью планово-предупредительных мер. и

•    управление систематическими отказами (включая отказы программного обеспечения) и случайными отказами аппаратных средств с помощью конструктивных особенностей, таких как встроенные средства обнаружены повреждений, избыточность и особенности архитектуры (например, диверсификация).

В МЭК 61508-2 гарантия того, что нужный уроеет полноты беэопаоюсти будет удовлетворительным для опасных случайных отказов аппаратных средств, основывается на:

•    требованиях к отказоустойчивости аппаратуры (см. МЭК 61508-2. таблицы 2 и 3) и

•    диапюстичеоом охвате и частоте контрольных испытаний подсистем и компонентов с проведением эна-гмза надежности, использующего соответствующие даные.

В МЭК 61508-2 и МЭК 61508-3 гарантия того, что нужный уровень погъюты безопасности будет удовлетворительным для систематических отказов, достигается путем:

•    правильного применения процедур управления безопасностью:

•    использования компетентного персонала;

•    вьюопнения предусмотренных действий по реализации жизненного цикла системы безопасности, вюьо-чая предусмотренпыо методы и средства", и

•    выполнения независимой оцеми функциональной безопасности2.

Главная цель состоит в обеспечении того, что оставшиеся систематические отказы, соответствующие уровне полноты безопасности, не приведут к отказу Э/Э/ПЭ систем*, связанной с безопасностью.

МЭК 61508-2 был разработан, чтобы формализовать требования к обеспечению полноты безопасности аппаратных средств3' Э/Э/ПЭ систем, связанных с безопасностью, включая датчики и испогмгтельные элементы. Необходимы методы и средства, направленные против как случаю их. так и систематических отказов алпарапых средств. Ом. как указано выше, включают в себя соответствующую комбинацию средств по предотвращен —о неисправностей и управлению отказами. Если для обеспечения функциональной безопасности необходимы действия операторе, то приводятся требования к интерфейсу операторе. В МЭК 61508-2 для обнаружения случайных отказов аппаратных средств также определяются методы и средства диагностического тестирования, реализуемые на уровне программного обеспечения и аппаратных средств (например, диеерсификэщы).

МЭК 61508-3 был разработан, чтобы формализовать требования обеспечены полноты безопасности для программного обеспечения как встроенного (включая ^агностические средства обнаружена неисправностей), так и прмтадното. МЭК 61508-3 требует использовать комбинированный подход, включающий иехпонение ошибок (обеспечение качества) и устойчивость к ошибкам (за счет архитектуры программного обеспечены). так как не существует известного способа проверить отсутствие отказов в достаточно сложном программном обеспечены. связан юм с безопасностью, и особенно избежать ошибок в технических условиях и в проекте. МЭК 61508-3 требует принятия таких принятое разработки программного обеспечения, как проектирование сверху вниз, модульность, проверка на каждой стазы жизненного докла разработки, проверка программных модулей и библиотек программных модулей, а таске четкое документирование для облегчения проверки и подтверждения соответствия. Для различных уровней программного обеспечения требуются различные уровни гарантии того, что эти и саязатые с мши принципы были правильно реализованы

Разработчик программного обеспечения мажет быть игм не быть частью организмы, создающей еао Э/Э/ПЭ систему. В любом случае необходимо тесное сотрудничество, особо* «ю при разработке архитектуры программируемой электроники, когда требуется анализировать компромиссы между архитектурами аппаратных средств и программного обеспечения при оценке их вклада в обеспечение безопасности (см. МЭК 61508-2. рмг-уыг* 4)

А-2 Функциональные этапы применения МЭК 61508-2

Функциональные этапы применения МЭК 61508-2 представлены в настоящем приложении на рисунках А.1 и А.2. Функциональные этагы применения МЭК 61508-3 представлены *е рисунке А.З.

Для МЭК 61508-2 можно вьщетатъ следующие фунщионагъныв этагы (см. рисунси А.1 и А.2).

a)    Определяют распределение требовагый к системе безопасности (МЭК 61508-1). При необходимости вьюолняют обновлю мо ппаг мрования подтверждения соответствия системе беэопаоюсти в процессе разработки Э/Э/ПЭ системы, связанной с безопасностью.

b)    Определяют требооамя к Э/Э/ПЭ системам, связанным с безопасностью, вкпочая требооамп к полноте безопасности для каждой функции безопаоюсги (МЭК 61508-2. подраздел 7.2). Определяют требования к программному обеспечению и передают их поставщику и/или разработчику программного обеспечения для применения МЭК 61508-3.

Примечание — На этой стадии необходимо рассмотреть возможность одновременных отказов в системе управления УО и Э/ЭЛ1Э системе (системах), сеязанюй с безопасностью (см. МЭК 61508-5. А.5.4). Такие отказы могут быть результатом отказов компонентов по общей причте, например, из-за влияния окружающей среды. Нагмчие подобных отказов может привести к большим, по сравнению с ожндаемьы, значениям остаточного риска.

'> Средства, агътернативные огмеанным в настоящем стандарте, можно ислогъэовать при условии, что при планировании обеспечения беэопаоюсти документально оформляется обоснование использования альтернативных средств (см. МЭК 61508-1, раздел 6).

2> Независимая оценка не всегда подразумевает проведете оценки третьей стороной (см. МЭК 61508-1. раздел 8).

э> Вкгъочая постоянное встроенное программное обеспечение или эквиваленты программного обеспече-мя (также называемые программно-аппаратными средствами), например, специализированные для применены интегральные схемы.

c)    Нэчитют плэнироеэ-ие подтвержае»*»я соответствия безопасности для Э/ЭПЭ систем! (см. МЭК 61508-Z подраздел 7.3).

d)    Задают архитектуру (конфигурацию) логической подсистемы, датчиков и исполнительных элементов. Вместе с пост as идиом/разработчиком программного обеспечения анализируют архитектуру аппаратных средств, программного обеспечения и влияние на безопасность компромиссов между аппаратными средствами и программным обеспечением (см. МЭК 61508-2. рисунок 4). При необходимости анализ повторяют.

e)    Разрабатывают модель архитектуры аппаратных средств для Э/Э/ПЭ систем, связанной с безопасностью. Эту модель разрабатывают, проверяя отдельно каждую фужцию безопасности, и определяет подсистему (компонент), используемую для реализации этой функции.

f)    Устанавгывают параметры для каждой подсистемы (ко**юнента). используемой в Э/Э/ПЭ системе, связанной с безопасностью. Для каждой подсистемы (компонента) определяют:

•    временной юггервал между тестовыми испытажяьм для отказов, которые не обнаруживается автоматичеом.

•    среднее время восстановления.

•    диагностический охват (см. МЭК 61508-2. приложение С):

•    вероятность отказа:

•    долю безопасных отказов (см. МЭК 61508-2. приложение С).

•    требуемые архитектур»*» отрои» юния: для способа 1н (см. МЭК 61508-2. пункт 7.44.2) и приложение С. а для способа 2Н (ом. МЭК 61508-2. подпункт 7.44.3).

д) Создают модель расчета безотказности для каждой фумсции безопасности, которую должна реализовать Э/Э/ПЭ система, связаная с безопасностью.

Примечание — Модель расчета безотказности представляет собой математическую формулу, показывающую взаимосвязь между безоткаэ»юстыо и соответствующими параметрами, связанным» с оборудованием и условиями его испогьэоеатя.

h)    Рассчитывают прогнозируемую безотказность для каждой функцт безопасности, используя соответствующую методику Сравнивают результат с заданным* характеристикам» отказов, определенным» в переселении Ь). и требооа млми для способа 1н (см. МЭК 61508-2. подпункт 74.4.2) игь» способа 2н (см. МЭК 81508-2. подпункт 74.4.3). Если прогнозируемая безотказность не соответствует зада! я ни характериетжам отказов и/или требованиям способа 1н или способа 2*. то иэме»емот:

•    есть* возможно, один ип» несдагько параметров подсистемы [возвращаются к перечислению f)] и/или

•    архитектуру алпаратжх средств [возвращаются к перечислению <J)f.

Примечание — Существует множество методов моделирования. и аналитик должен выбрать наиболее соответствующий (перечень некоторых методов, которые могут быть использоваш. приведет в приложении 8).

i)    Реализуют проект Э/Э/ПЭ систем»!, связанной с безопасностью. Выбирают средства и методы для управления систематическим* отказами аппаратных средств, отказами, вызоаными вгмятем окружающей среды, и эксплуатационным отказам» (см. МЭК 81506-2. приложение А).

j)    Загружают проверо*«юе программное обеспече»**е (см. МЭК 61508-3) а соответствующие аппарат»*» средства (см. МЭК 61508-2. подраздел 7.5 и приложение В) и параллельно разрабатывают рабочие инсгрухим»

дпя пппилпАятепой и лгигумаита1|>ил для лАгпукияаатиат пвртмаги» т тохыичелепй .'жг-лпуата* |М< лигтеыы

(см. МЭК 61508-2. подраздел 7.6 и приложе»*ие В). Учитьвают аспекты, связать» с программным обеспеченном [см. А.З. перечисле»*» f)].

k)    Вместе с разработчики» программного обеспечения (см. МЭК 61508-3. подраздел 7.7) проводят подтвержден»» соответствия безопасности Э/Э/ПЭ системы (см. МЭК 61508-2. подраздел 7.7 и прмложе»*ие В).

l)    Передают аппаратные средства и результаты подтвержде»*1я соответствия Э/Э/ПЭ системы, связанной с безопасностью, системе безопасности систом ш тже»юрэм для дальнейшей мгтеграц»*» всей системы.

гл) Если 8 процессе эксплуатзш** Э/Э/ПЭ систем»», сеязачой с безопасностью, требуется модернизация1 техническое обслуживание, то при необходимости с»юеа обращаются к МЭК 61508-2. подраздел 7.8.

В процессе жизненного цикла системы безопэс»<ости для Э/Э/ПЭ системы. С8язан»юй с безопасностью, выюлняется множество раэгмчных действий. Среди на верификация (см. МЭК 61506-2. подраздел 7.9) и оие»*э функциональной безопасности (см. МЭК 61508-1. раздел 8).

В процессе аыполне»мя приведенных выше действий для Э/Э/ПЭ системы, связанной с беэопаснотыо. выбирают обеспечивающие безопасность методы и средства, соответствующие требуемому уровню полноты безопасности Для помощи с выбором таких методов и средств составлены таблицы. упорядомоающие различ»*» методы/средства в соответствии с четырьмя урое»*ями полноты безопасности (см. МЭК 61508-2. приложение В). Краткий обзор каждого из методов и средств со ссылсами на источники информацт о них. включая перефест-нью ссылю» на эти таблицы, гредставлен в МЭК 61508-7. приложе»»ия А и В.

Один из возможных методов расчета вероятностей отказа апларат»ых средств для Э/Э/ПЭ систем, связзн-ных с безопасностью, представлен в припоже»ми В.

Примечание — При выполнении приведенных выше действий допускается применять средства. а/ътернэтив»»ые указанным в настояцем стандарте, при условии, что оправдьеа»ощие обстоятельства документально оформляются в процессе планирования подтверждения соответствия системе безопас»40сги (см. МЭК 61508-1. раздел 6).

Примечание — В ПЭ системах, связанных с безопасностью, для программного обеспечения выпохмя-ются аналогичные действия (см. рисунок А.З).

Рисунок А.1 — Функциональные этапы применения МЭК 61508-2

Си МЭК 61506^. гххеаэдт 7.6 ипрт»1«1ев

См МЭК 61506-3, подрайон 7.5    (

и приложение 8    ■

См. МЭК 61506-1


■*1

I

I

I


Поатасрсида нс соответствия Э«Э>ПЭ системы опясано • МЭК 61506-2. поореааеп 7.7 и прмлшение в. Подтвержден!» соответствия прогреминого обсело и» ня одето в МЭК $1509-3


Примечание — В ПЭ системах, связанных с безопасностью, для программного обеспечения выполняются аналогичные действия (см. рисунок А.З).

Рисунок А.2 — Фумоеюнальные этапы применения МЭК 61506-2 (продолжение)

А.З Функциональные этапы применения МЭК 61508-3

Можио выделить следующие функциональные этапы применения МЭК 61506-3 (см. рисунок А.З):

a)    Определяют требования для систем Э/Э/ПЭ, связанных с безопасностью, и соответствующих компонент планирования подтверждения соответствия системе безопасности (см. МЭК 61S06-2. подраздел 7.3). При необходимости выполняет обновление планирования подтверждения соответствия системе безопасности е процессе разработки программного обеспечения.

Примечание — На предыдущих стадиях жиэченного доела быгк

•    определены требуемые фунпэы безопасности и ооотеетстеующие им уровни полноты бвэопаоюсти (см. МЭК 61508-1. подразделы 7.4 и 7.5):

•    распределены функцни безопасности для назначенных окт ем Э/Э/ПЭ. связанных с безопасностью (см. МЭК 61508-1. подраздел 7.6). и

•    распределены реализуемые программно функции внутри каждой системы Э/Э/ПЭ. связанной с безопасностью (см. МЭК 61508-2, подраздел 72).

b)    Определяет архитектуру программного обеспечения для всех реализуемых программно функций безопасности (см. МЭК 61508-3. подраздел 7.4 и приложение А).

c)    Вместе с поставшрком/разрэботчмком Э/Э/ПЭ системы, связанной с безопасностью, анализируют архитектуру аппаратных средств и программного обеспечен*» и влиянию на безопасность компромиссов между аппаратными средства нм и программным обеспечением (см. МЭК 61508-2. рисунок 4). При необходимости анализ повторяют.

d)    Приступают к планированию проверки и подтверждения соответствия безопасности для программного обеспечен*» (см. МЭК 61508-3. подразделы 7.3 и 7.9).

e)    Проектируют, разрабатывают и проверяют/тестируют программное обеспечение в соответствие* с:

•    планированном подтверждения соответствия безопасности для программного обеспечения.

•    уровнем полноты безопасности программного обеспечен*»:

•    жизненным циклом программного обеспечения системы безопасности.

О Завершают действия по окончательной претерке программного обеспечено» и интегрируют проверениет программное обеспечение в соответствующие аппаратные средства (см. МЭК 61508-3. подраздел 7.5) и паралт-лельно разрабатывают процедуры по аспектам программного обеспечен*» для пользователей и для обслуживающего персонала системы, выполняемые при эксплуатации системы (см. МЭК 61508-3, подраздел 7.6. а также приложению А, подраздел А2. перечисление к) настоящего стандарта].

9) Вместе с раэработ*«ом аппаратных средств (см. МЭК 61508-2. подраздел 7.7) проводят подтвержден*» соотеегста» программного обеспечен*» а инттегрированных Э/Э/ПЭ системах, связанных с безопасностью (см. МЭК 61508-3. подраздел 7.7).

h)    Передают результаты подтверждения соответствия безопасности Э/Э/ПЭ системы, связанной с безопасностью. системным инженерам для дальнейшей интеграции всей системы.

i)    Если в процессе эксплуатации потребуется модернизация программнюго обеспечен*» Э/Э/ПЭ системы, связанной с безопасностью, то выполняется возврат к соответствующей стадии, как описано в МЭК 61508-3. пгу\рязл*»г» 7 А

В процессе жизненного цикла программного обеспечения системы безопасности выполняется множество различных действий. Среди них верифнмация (см. МЭК 61508-2. подраздел 7.9) и оценка фунжционалънчой безопасности (см. МЭК 61508-1. раздел 8).

В процессе выполнен*» приведенных выше действий выбирают обеспечивающие безопасность программного обеспечения методы и средства, соответствующие требуемому уровню полноты безопасности. Для помощи с выбором таких методов и средств составлены таблицы, упорядоиваюивю различные методы/средстве в соответствии с четырьмя уровнями полноты безопасности (см. МЭК 61508-3. приложение А). Краткий обзор каждого но методов и средств со ссылками на источим»* информации о них. включая перекрестные ссылки на эти табгм-1Ы. представлен в МЭК 61508-7. приложение С.

Обработанные примеры применения таблиц полноты безопасности приведены в приложении Е настоящего стандарта, а МЭК 61508-7 включает а себя описание вероятностного подхода к определен мо полноты безопасности программного обеспечения для уже разработанного программного обеспечен*» (см. МЭК 61508-7. приложение D).

Примечание — При выполнении приведенных выше действий допускается применять средства, альтернативные указанным в настояцем стандарте, при условии, что соответствующее обоснование документально оформляется в процессе планирования подтверждения соответствия системе безопасности (см. МЭК 61508-1. раздел 6).

Рисунок А.З — Функциональные этапы применения МЭК 61508-3

Приложение В (справочное)

Метод оценки вероятностей отказа аппаратных средств

В.1 Общие положения

Настоящее приложение рассматривает методы расчета вероятностей отказа для Э/Э/ПЭ систем, связанных с безопасностью, указанные в МЭК 61508-1—МЭК 61508-3. Данная «формация носит справочным характер и не должна рассматриваться как еданственно возможный метод оценки Однако в данной приложен*! описывается относительно простой подход к оценке характеристик Э/Э/ПЭ систем, связан**» с безопасностью, и даются руководяцие указания по использованию альтернативных методов, взятых из классических способов расчета надежности.

Примечания

1    Архитектуры систем, предоставленные е настолкцем стандарте, являются пример а» м и не должны рассматриваться как исчерпывавшие. поскольку существует множество других архитектур, которые таюке можно использовать.

2    См. (2}.

Существует достато'+юе количество методов более или моооо непосредстееныо применимых для анажза полноты безопасности аппаратного обеспечения Э/Э/ПЭ систем, связанных с безопасностью. Обычно они делятся на группы в соответствии со следующими характеристиками:

•    статические (логические) и амамические (состояния/первходы) модом:

•    аналитические модом и моделирование на основе метода Монте-Карло.

Логичепие модели вкгвочают в себя все модегм. описывающие статические логические связи между элементарны»» отказами и пол»*» отказом системы. Блок-схемы надежности (см. МЭК 61508-7. С.6.4 и МЭК 61078 [3]) и дерево отказов (см. МЭК 61508-7. В.6.6.5 и В.6.6.9) и МЭК 61025 (4) относятся к логическим моделям.

Модом состояний-переходов включают в себя все модели, огмсывающие. как система себя ведет (перехо-дл из состоятся в состояние) в соответствии с произошедшими события»» (отказа»», ремонтами, тестами и т. д.). Сети Маркова (см. МЭК 61508-7. В.6.6.6 и МЭК 61165 [5)), сети Петри (ем. МЭК 61508-7. В.2.3.3 и 8.6.6.10 и МЭК 62551 [6]) и формальные языки принадлежат к моделям состояний-переходов. Исследуются два »<аркоеаых подхода: упрощен к» подход основа»**» на специальной формуле (В.З). и общий подход позволяющий непосредствен»*» расчет графов Маркова (В.5.2). Если для систем безопасности марковский подход не применим, то вместо него может быть использован «детод Монте-Карло На современных компьютерах расчет возможен даже для уровня УПБ4. В подразделах В.5.3 и B.S.4 настоящего приложения да»» руководящие указания по примопо »мо метода Монте-Карло (см. МЭК 61508-7. В.6.6.8) для моделей пооодомя. использующих сети Петри и формальные языки моделироеа»<ия.

Упрощен»*» подход, который представлен первым, основывается на графическом представлении блок-схемы надежности и специальной формулы Маркова, выведенной из работ Тейлюрэ с учетом относительно кон-сереатив»*ис гипотез, описан ых в В.3.1.

Все эти методы могут быть испопьэоеа»*» для большинства систем, связан»*» с безопасностью. При определении. какой метод использовать для конфетного применения, очень важно, чтобы пользователь конкретного метода был ммлпетентен в его применен»» и это. »аожег быть, более важно, чем сам используемый метод Аналитик отвечает за то. чтобы гипотеза, лежащая а основе любого ко»«ретного метода, был» выполнена для рассматриваемого применения либо была внесена какая-либо необходимая корректировка для достижения соответствующего реалистичного ммсервати8»юго результата. В случае недостаточной надежности данных ил» превалирующего количества отказов по общей прич»ме может быть достаточным использование простейшей модегы/метода. Важна потеря точности или нет. определяется в каждом конкретном случае.

Если для проведения расчетов используется программное обеспечение, то специалист, выполняющий расчет, должен гхжммать формулы/методы. ислользуекью в программном пакете, чтобы быть уверочым в том. что они применимы в каждом конкретном случае. Специалист также должен проверить програм»«ный пакет путем сравнения результатов расчета несхолыои тестовых при»<1вров. полученных с помощью программного пакета и руч»ым способом.

Ест» отказ системы упрэеле»»я УО и»*м»ирует обращение к Э/Э/ПЭ системе. связа»*юи с безопасностью, то вероятность аоэ»«кнове»*«я опасного события зависит также и от вероятности отказа системы управления УО. В этой ситуации необходимо рассмотреть возможность одновременного отказа компонентов систеш управле-»хя УО и Э/Э/ПЭ системы, связанной с безопасностью, из-за механизмов отказа по общей причине. При неправильном анализе на/хчие подобных отказов мажет привести к ббпьшим. по сравнению с ожидаемым, значения»» остаточжхо риска.

В.2 Основные вероятностные расчеты В-2.1 Введение

Блок-схема надежности на рисунке В.1 представляет систему (контур) безопасности, состоящую из трех датчиков (А. В. С), одного лопенеского решающего устройства (D). двух исгюлнитегыых элементов (Е. F) и налиме в ней отказов по общей при-ыне (CCF).

Рисунок В.1 — Блок-схема надежности всей система безопасности

Эта блок-схема облегчает выявление пяти комбинаций отказов, ведущих к отказу Э/Э/ПЭ системы, связанной с безопасностью. Каждая из них называется минимальным сечением.

-    (А. В. С) — тройной отказ:

• (Е. F) — двойной отказ:

-    (D). (CCF1). (CCF2) — едино» кью отказы.

В.2.2 Э/Э/ПЭ система, связанная с безопасностью, с низкой интенсивностью запросов

Когда Э/Э/ПЭ система, связанная с безопасностью, используется в режиме с низкой интенсивностью запросов. стандарт требует, чтобы была дана оиемса PFO„ (т. в. средняя неготовность, средняя вероятность опасных отказов по запросу). Это просто отношение МОД Ту», где *407(7) означает время простоя Э/Э/ПЭ системы, связанной с безопэоютью. в период (0. Т).

Для систем безопасности вероятность отказа обычно очень ниэха и вероятность одновременного нагмчия двух минимальных сечений нмчтожна Поэтому суммарное значение средних периодов простоя всех минимальных сечемы дает консервативную оценку среднего времени простоя всей системы. Из рисумд 8.1:

МОТ-.МОТ™0 + МОТ°* МОТ**.

Деление на Г дает:

- Р1=°аЛС * РЯЯ" * PFO&

Таким образом, для компонент, соединенных последовательно, вычисления PFDav^ довольно похожи на те. что выполняются с обычной вероятностью, очень малой по сравненмо с 1.

Однако для параллельно соединенных компонент, где потеря функциональности возможна только при ныожественьом отказе, таком как (Е. F). очевидно, что МОТ** нельзя вычислить непосредственно из MD7е и МОТ*. МОТ системы (Е. F) должно вычисляться следунощим образом:

т

мотеР = \pFoe{t)PPc^{t)at.

о

Таким образом, для параллельно соединенных компонент обычные вероятностные расчеты (на основе сложений и умножений) не педходят для расчета PFD^. основанного на вычислении указанного интеграла. Свойства PFDtV9 и обычной вероятности не одни и те же. и объединение этих вероятностей, скорее всего, не приведет к консервативным результатам. В частности, невозможно получить PFD^ Э/Э/ПЭ системы, связанной с безопасностью, только путем объединения обычным способом значений PFO,^ ее компонент. Так как такой подход иногда предлагается коммерческими логическими программными пакетами, аналитики должны быть енммателыы. чтобы избежать таких неконсервативных расчетов, которые нежелательны при обеспечении безопасности.

Пример —Для канала с избыточностью (1оо2) с интенсивностью опасных необнаруженных отказов Х и интервалом между контрольными испытаниями т расчет по некорректной вероятностной модели может дать (Хмт}*/4. когда в действительности должна быть равна (Х^т^/З.

Вычисления могут быть выполнены аналитически или используя метод Монте-Карло. Настоящее приложе-ные описывает, как выполнеггь эти вычисленыя. используя общепринятые модели надежности, основанные на логических подходах (блок-схемы надежности или дерево отказов) или моделях состояний-переходов (сети Маркова. сети Петри и г д.).

8X3 Режим работы с непрерывным запросом или режим работы с высокой интенсивностью запросов Э/Э/ПЭ системы, связанной с безопасностью

В.2.3.1 Общая формула PFH

Когда Э/Э/ПЭ система, связанная с безопасностью, используется в режиме с непрерывным запросом ит с высокой интенсивностью запросов, нестоящий стандарт требует вычисления значения PFH (т. е. средней частоты опасных отказов). Это среднее значение гак называемой безусловной нмтенсиености отказов {так же называется частотой отказов) н<0 за нтгересукхций период вычисляется по формуле

7

Г*ЩТ) = ±1*М<Я. о

Есгм Э/Э/ПЭ система, связанная с безопасностью, работает в режиме с непрерывным запросом и является основным средством обеспечения беэопаоюсти. то отказ всей система, связанной с безопасностью, ведет непосредственно к потендоа/ъно опаоюй ситуации. Следоватегьно. при вычиспенмях можно считать, что отказы. приводящие к отказу функции безопасности всей системы, вся система, связанная с безопасностью, не исправляет. Однако если отказ всей системы, связанной с безопасностью, не ведет непосредственно к потенциальной опасности при нагычии каких-либо других средств безопасности или отказу оборудовался, то возможно рассмотреть обнаружено отказа в системе, связанной с безопасностью, и ее ремонт при расчете снижения рисхэ этой системой.

В.2.32 Вероятность появления отказа (например, в случае еджсгоонюго средства, работающего в режиме с непрерывным запросом)

Данный случай используется, когда Э/Э/ПЭ система, связанная с безопасностью, работает в режиме с непрерывны запросом и является ооювньм средством обеспечения безопасности. Таким образом, сразу после ее отказа может возникнуть потенщиальню опасная ситуация. Ни однм отхаэ всей системы не допустим в рассматриваемом периоде.

В этом случае PFH может быть рассчитан, используя вероятность появления отказа, деленную на ветчину рассматриваемого периода времени:

F{T): PFH(T) =


1 - ехр

-}л<0с#

о J

Т


FjT)

Т '


Интенсивность полного отказа системы. .МО. может зависеть от времени игм быть юдетангой.

1 - ехр(-Л Г)

Есгм она зависит от времени, то: РРН(Т) =--—22—1« д^,

Есгм система создана из компонентов, полностью и быстро восстанавгываекых. с постоянными интенсивностями отказов и ремонта (например, в случав обнаруживаемых опасных отказов), то Л(0 быстро достигает своего постоянного асимптот веского значения Лм и. когда ньщ I) « л. имеем следующее значение:

= MTTF'


mrn ж1-”р1.-Л~т)

Лм существует тогъко тогда, когда Э/Э/ПЭ система, связанная с безопасностью, работающая в непрерывном режиме, включает в себя только безопасные и DO отказы (например, быстро обнаруживаемые и исправимые). Не рассматривается ремонт тех отказов, которые могут привести к полному отказу функции безопасности. Для конфигурации с резервированием, где применимы контрольные проверки, асимптотическая интенсивность отказ» не применима и должны быть испогъэовэны предыдущие формуты. Выбор конкретного случая выполняет аналитик.

В.2.3.3 Неготовность (например, при наличии нескольких средств обеспеченмя безопасности)

Когда Э/Э/ПЭ система, связанная с безопасностью, работает в режиме с непрерывным запросом и не является единственным средством обеспечения безопасности, отказы лишь увегычивэют частоту запросов к другим средствам обеспечения безопасности, а также, когда она работает в режиме высокой интенсивности запросов и при этом в период ожидания запроса существует возможность выявить (автоматически ним вручную) и устранить отказ, который может привести к непосредственному отказу функции безопасности. В этом случав отказы всей системы могут быть исправлены, и PFH может быть рассчитан исходя из значений готовности. Л<0- и условной нытенсиенюсти отказа системы Av(t)-

Опять же. если система создана из компонентов, которые могут быть полностью и быстро исправлены (например, когда в любой ситуации, ведущей к ухудшение работы, существует большая вероятность быстро вернуть все е нормальное рабочее состояние), Л,(0. то быстро достигает асимптотичеасого значения л. ^. которая, е допопненме ко всему, является неплохим прибгмжвнием к действительной асимптоте интенсивности отказа всей системы Лм. введет той в В.2.3.2.

Это ведет к следующему прибгыжению:

РРН__I___1-11

MUT-MDT~UT8F MUT MTTF'

где MUT — среднее значение времен и работы (Mean Up Time).

МОТ — среднее зкачемю времен* простоя (Mean Down Time).

MTBF— среднее время между отказами (Mean Time Between Failure).

MTTF — среднее время до отказа (Mean Тепе То Fadure).

В.2.3.4 Обсуждение интенсивности отказов

Некоторые формулы, приведемте выше, используют интенсивность отказов всей системы Л(0- Ее выч«с-пение не очень простое, поэтому необходимо отметить следующее.

Для вычислены интенсивности отказов структуры, состоящей из последовательно соединенных компонент. необходимо просто сложить интенсивности отказов каждой из компонент. Для структуры на рисунке В.1 можно нагмсать следующее:

МО • л**{0 ♦ XCCF\()+Ав({)+л*(0 ♦ кссг*(Ъ

где Л(0 означает ютенсиеность полного отказа Э/Э/ПЭ системы, связамюй с безопасностью. Aa0<(f). \cc*’(t). k*{f). Л*^). ЯССР2(0 являются интенсивностями отказов пяти минимальных сечемм.

Для параллельных структур все сложнее, так как в этом спу-ве нет простых соотношетй с интенсивностя*** отказов отдельных компонент. Например, рассмотрим сечение (Е. F):

1)    Если Е и F не могут быть мгновенно восстановлены (например в случае DU отказе). Лв,(/) изменяется непрерывно от 0 до к (интенсивность отказов Е игы F). Асимптотическое значение достигается, когда qc»«a из двух компонент вот-вот откажет. Это довольно джталыъи процесс, г к. это проявляется, когда t становится больше 1/а. Данное значение никогда не будет достигнуто, если Е и F периодически проверяет с периодом т « 1/Х.

2)    Если Е и F могут быть восстановлены в относительно короткий период времен* (например, е случае DO отказа). Л*(0 очень быстро достигает асимптотического знача мп ajJJ = 2Х2/ц, которое мажет быть испопьэооаю как эквивалент постонеюй интенсивности отказов. Эго значение достигается, когда t становится в 2—3 раза больше, чем значения MTTR компонентов. Этот особый случай полностью и быстро восстанавливаемых систем описан еьяие.

Таким образом в общем случае оценка жтвнсиеноствй отказов всей системы требует более сложных вычислений. чем для более простой последовательной структуры.

Ы.З метод олок-схемы надежности при постоянной интенсивности отказов

В.3.1 Основная гипотеза

Расчеты основываются на следующих предположениях:

•    значение результирующей средней вероятности отказа выполнены функции безопасности по запросу для системы меньше 10~1 или значение результирующей средней частоты опасного отказа в час для системы меньше 10** в час:

Примечание — Предположение означает, что такая Э/Э/ПЭ система, связанная с безопасностью, удовлетворяет требованиям стандарта МЭК 61508 и УПБ1 (см. тзбгыцы 2 и 3 МЭК 61508-1);

•    частота отказов компонент постоянна в течение срока службы системы:

•    подсистема датчиков (подсистема ввода) состоит кз реагъного даг-ма(ое) и любых других компонентов и соединитагъных проводов, вплоть до компонента (компонентов), но его (их) не включая, где сигналы впервые объединяются с помощью процедуры гопосооамл или другой процедуры (например, при конфигурация* каналов из двух далекое. предстэвленюй на рисунке В2):

•    логическая подсистема включает в себя компонтт (компоненты), в котором(ых) сигналы вначале объединяются. и все другие компоненты, вплоть до тех компонентов включительно, откуда результирующий сигналы) передается(ются) подсистеме ислолмттельных элементов;

•    подсистема исполнительных элементов (подсистема вывода) включает в себя компоненты и соединены, которые обрабатывают исполнитель**** сигнап(ы}. получаемый(ые) от логической подсистемы, а таске исполнительный компонент(ы);

•    значения частот отказов аппаратных средств, используемых в качестве исходных данных для расчетов и тэбтщ. задаются для одного канала подсистемы (например, при использовании датчиков в виде архитектуры 2ооЗ частота отказов задается для одоого датюка. а влитие архитектуры 2ооЗ рассчитывается дополмттельно):

•    значения частот отказов и диагностический охват одинаковы для всех каналов в голосующей группе;

•    общая частота отказов аппаратных средств канала подсистемы является суммой значений частоты олас-ш и частоты безопасных отказов для данного канала, которые полагают равныьы.

Примечание — Это предположение вгыяег на долю безопасных опзэов (см. МЭК 61506-2. грмпажэние С), но доля беэопасшх отказов не влияет на рассчитанные значения вероятности отказа, приведенные в данном приложении;

•    для каждой функции безопасности существуют идеальные средства тестирования и устранения отказов (т. в. все отказы, оставшиеся необнаруженньми. обнаруживаются при тестировании), влияние неидеального тестирования — в соответствии с приложением В. пункт В.3.2.5;

•    интервал времени между тестовыми испытания»» должен быть по кражей мере на порядок богъше. чемМЯГ.

•    для каждой подсистемы существует едачый интервал времени между тестовыми иаытанияьы и MRT:

-    ожидаемый ингтервал между запросами на выполнение функции безопасности должен быть по крайней мере на порядок больше жтереала времени между тестовыми иатытанмями;

-    для всех подсистем, работающих в режиме низкой интенсивности запросов, и для архитектур 1оо2. 1oo2D и 2ооЗ. работающих в режиме высокой интенсивности запросов и в режиме с непрерывным запросом, доля отказе», заданная охватом диапюстююй. обнаруживается и устраняется за MTTR. приведенное е требованиях к полноте безопасности аппаратных средств.

Пример — Если предполагаемое MTTR равно 8 ч. то оно включает в себе dnwne/ымость диагностического тестирования, которое обычно не превышает 1 ч. а оставшаяся часть среднего времени восстановления — это MRT.

Примечание — Для каналы*» архитектур 1оо2, 1oo2D и 2ооЗ предполагается выполнен» любого ремонта в оперативном режиме. Есгы конфигурация Э/Э/ПЭ системы, связанной с безопасностью, при любом обнаруживаемом отказе обеспечивает переход УО в безопасное состояние, то это уменьшает средмою вероятность отказа при запросе. Степеж уменьшения вероятности зависит от охвата деагносгикой:

•    для каналы*» архитектур 1оо1 и 2оо2. работающих в режиме высокой жтенсивности запросов или в режиме с непрерывным запросом. ЭгЭ/ПЭ система, связанная с безопасностью, всегда переходит в безопасное состояние после обнаружен» опасного отказа; для этого ожидаемый интервал времени между запросами должен быть по крайней мере на порядок больше временного интервала диагностического тестирования игы сумма временных интервалов диагностического тестирования и времени*» интервалов перехода в безопасное состояние должна быть меньше, чем время безопасной работы.

Примечание — Время безопасной работы определено е МЭК 61508-4. (пумст 3.6.20);

•    если отказ источника питания приводит к обесточиванмо Э/Э/ПЭ системы, связанной с безопасностью, и инициирует переход системы е безопасное состояние, то исто1 ■ мк питания не вгыяет на среднюю вероятность отказа по запросу для Э/Э/ПЭ системы, связш» ой с безопасностью: есгы для перехода в безопасное состоя-ме на систему подается гыгание или у источника гмтания существуют режимы отказов, которые могут приводить к небезопасной работе Э/Э/ПЭ системы, связанной с безопасностью, то оценка должна учитывать источник питэ-шя;

•    есгы ислотъэуется терминальный канал, то он ограничивается тогъко той частью рассматриваемой системы. которой обычно являются гыбо датчик, либо логичеосая подсистема, либо подсистема исполнительных элементов:

•    параметры и их обозначения представлены в таблице В.1.

Рисунок В.2 — Пример конфигурации для двух каналов дапмеов

Таблица В.1 — Параметры, используемые в настояцем приложении, и диапазоны их значений (применяется к архитектурам 1оо1. 1оо2. 2оо2. 1оо20 и 2ооЗ)

Обозначение

Параметр. единица измерении

Диапазон параметров о соответствии с таблицами в-2-в5 и в.10-е.13

Г,

Интервал времени между контрольными проверками, ч

Один месяц (7Э0 ч)п. Три меоща (2190 ч)1'. Шесть месяцев (4380 ч). Один год (8760 ч). Два года <17520 ч)2».

10 лет (87600 ч)*>

MTTR

Среднее время восстановлетя. ч

8

Примечание — MTTR = = МЯТ = 8 часов основано на предположении, что время на обнаружение опасного отказа, основанное на автоматическом обнаружены. «МЯТ

МЯТ

Среднее время ремонта, ч

8

Примечание — MTTR = = МЯТ = 8 часов основано на предположении, что время на обнаружение опасного отказа, основанное на автоматическом обнаружены. «МЯТ

DC

Охват диагностикой, дробь (в формулах). % (в остальных слу-

0%:

чаях)

60 %; 90 %: 99 %

Р

Доля необнаружем-ых отказов по обшей приемке (в тэбли-

2%:

цах В-2—В.5 и В.10—В.13 предполагается 6 = 2хр0), дробь (в

10 %;

формулах). % (в осгагъных случаях)

20 %

Ро

Доля отказов, обнаруженных диагностически**! тестами и

1 %;

имеющих общую причину (в таблицах В2—В.5 и В.10—В.13

5%;

предполагается |5 = 2x63). дробь (в формулах). % (в остальных случаях)

10 %

Интенсивность опасных отказов для канала подсистемы.

0.05x10**: 0,25x10-*:

отказан

0.5x10**: 2.5x10**; 5x10-*: 25x10-*

РГОС

Средняя вероятность отказа по загфосу для группы голосующих каналов (если подсистема датчиюв. логическая подсистема или подсистема ислолмгтелькых элементов входит е состав только одной голосующей группы, то PFOe эквивалентна PFDg. PPDl или PFDfE соответственно)

PFDS

Средняя вероятность отказа по запросу для подсистемы дапыков

PFDl

Средняя вероятность отказа по запросу для логической подсистемы

Продолжение таблицы В. 1

Обозначение

Параметр, единица намерении

Диапазон параметров о соответствии с таблицами В.2-В5 и В.10-В.13

PFDfe

Средняя вероятность отказа по запросу для подсистемы исполнитегъных элементов

pfdsvz

Средняя вероятность отказа по запросу для функции безопасности Э/ЭЛТЭ система связанной с безопасностью

PFHq

Средняя часгата опасных отказов для группы голосующих каналов (еегм подсистема датчисов. логическая подсистема или подсистема исполнительных элементов входит в состав только одной голосующей группы, то РРНа эквивалентна PFHS. PFHили PFHfe соответственно}, отказАт

PFHS

Средняя частота опасных отказов для подсистемы датчиков. отказа

pfhl

Средняя частота опасных отказов для логической подсистемы. отказа

PFHrt

Средняя частота опасных отказов для подсистемы исполнит егъных элементов, отказ/ч

PFHsrs

Средняя частота опэсзых отказов для функщы безопасности Э'ЭУПЭ системы, связанной с безопасностью, отказ/ч

X

Общая жтенсивность отказов для канала подсистемы, отказ/ч

*o

Интенсивность опасных отказов для канала подсистемы, равная 0,5хХ (в предположении 50 % опасных отказов и 50 % безопасных отказов), отказ/ч

*oo

Иаггономомости о6*оруж01иых опавкп отхоэоо arm капала подсистемы (это сумма всех интенсивностей обнаруженных олаоых отказов для канала подсистемы). огкаУч

*oo

Интенсивность необиаружот ■ ых опэо-ых отказов для канала подсистемы (это сумма всех интенсивностей необнаруженных опасных отказов для канала подсистемы), отказ/ч

^so

Интенсивность обнаружен»*» безопасных отказов для канала подсистемы (это сумма всех интенсивностей обнаруженных безолаоых отказов для канала подсистемы), отказ/ч

tee

Эквивалентное среднее время простоя канала для архитектур 1оо1. 1оо2. 2оо2 и 2ооЗ (это объединенное время простоя для всех компонент!ов канала подсистемы), ч

'gc

Эквивалентное среднее время простоя голосующей группы для архитектур 1оо1.1оо2, 2оо2 и 2ооЗ (это объединенное время простоя для всех валов в голосующей группе), ч

Эквивалентное среднее время простоя канала для архитектуры 1оо20 (это объединенное время простоя для всех ком-понентов вала подсистемы), ч

Окончание таблицы В.1

Обозначение

Параметр, единица измерение

Диапазон параметров о соответствии с таблицами В2-В5 и В.10-В.13

1С£-

Эквивалентное среднее время простои голосующей труппы для архитектуры 1оо20 (это суммарное время простоя для всех каналов в голосующей группе), ч

Ъ

Интервал времен** между запросами, ч

К

Доля успеха при автотестироеании схемы в 1oo2D системе

РТС

Охват контрольными проверкам*

Только режим высокой интенсивности запросов и режим с непрерывным запросом. 25 Только режим низкой интенсивности запросов.

В.3.2 Средняя вероятность отказа по запросу (для режима низком интенсивности запросов)

В.3-2.1 Процедура расчета

Среднюю вероятность отказа функции безопасности для Э/Э/ПЭ системы, связанной с безопасностью, определяют вычислением и суммированием средней вероятности отказа в обслуживании для всех подсистем, совокупность которых обеспечивает функцию безопасности. Так сак рассматриваемое в настоящем приложен**! вероятности неее/мки. то средняя вероятность отказа по запросу для функции безопасности Э/Э/ПЭ система (см. рисунок В.З). связанной с безопасностью. PFDS/S мажет быть вычислена по формуле

PFDsy% = PFDS * PFDt * PFDfe.

где PFDSYS — средне» вероятность отказа по запросу фумеции безопасности для Э/Э/ПЭ системы, связанной с безопасностью:

PFDS — среда» вероятность отказа по запросу для подсистемы датчиков:

PFDl — средняя вероятность отказа по заодосу для логической подсистемы:

PFDfe — средняя вероятность отказа по запросу для подсистемы исполмигетъшх элементов.

Подсистема датчиков

t ■—м *• «*г***А*Л*

Логическая

Подсистема исполнительных элементов (интерфейс

ввода)

подсистема

вывода и исполнитвгъные элементы)

Рисунок В.З — Структура подсистем Э/Э/ПЭ системы, связанной с безопасностью

Для определения средней вероятности отказа по запросу для каждой из подсистем необходимо строго придерживаться следующей процедуры для каждой подсистемы:

a)    Рисуют структурную схему, изображающую компоненты подсистемы датчиков (подсистемы ввода), компоненты логической подсистемы или компоненты подсистемы исполнитель**» элементов (подсистемы вывода). Компонентами подсистемы датчиков, например, могут быть датчики, защитнее экраны, входные согласующие цепи: компонентам» логической подсистемы — процессоры и сканеры, а компонентами подсистемы испотмн гепьных элементов — выходные согласующие цепи, эарэш и исполнитвгъные механизмы. Каждую подсистему представляют как одну либо более голосующих групп 1оо1. 1оо2. 2оо2. 1оо20 или 2ооЗ.

b)    Применяют соответствующие таблицы В.2—В.5. в которых приведены шестимесячные, годовые, двухлетние и 10-летние ттервате между процедура*** тестирования. Данные таблицы предполагают, что сроднее время восстановления для любого отказа после его обнаружения равно 8 ч.

c)    Для каждой голосующей группы в подсистеме выбирают из таблиц В2—В.5:

•    архитектуру (например. 2ооЗ);

•    охват диагностикой для каждого канала (например. 60 %);

•    югтенсивность опасных отказов (в час) Хр для каждого канала (например. 2.5Е-06):

•    [^-факторы отказа с общей прн-мной. (5 и р0 для взаимосвязи между каналами в рассматриваемой архитектуре (например 2 % и 1 % соответственно).

Примечания

1    Предполагается, что все канаты в голосующей группе имеют одинаковые охват диагностикой и интенсивность отказов (см. В.1).

2 В таблицах В2—В.5 (см. также таблицы В.10—В.13) предполагается, что (5-фактор в отсутствие диагностических тестов (таете применяемый для необнаруженных опаоых отказов при использовании диагностических тестов) 6 в два рвза больше (5-фактора для отказов, обнаруживаемых диэгносгичестми тестами, (50.

d)    Получают из табшц В2—В.5 среднюю вероятность отказа для голосующей группы.

e)    Если функция безопасности зависит от неосольких голосующих групп далекое или исполнительных механизмов. то совокупную среднеою вероятность отказа для подсистемы далекое итм подсистемы испогыителыых элементов FF0s итм PFD задают следующими формулами:

PFDS = £РЯОй.

PFD = XPFCfe,. t

где PFDq. и PFDq, — средние вероятности отказа для каждого из голосующей групп* датчика или исполнительного элемента, соответственно.

Эти формугы используются ео всех уравнениях как для PFD. так и для интенсивности отказов системы, которые все являются функцией интенсивности отказов компонентов и среднего времени простоя (МОТ). Ест система состоит из нескольких элементов и требуется олредепгтъ общую PFD комбинации всех элементов игм интенсивность отказов системы, то обычно необходимо использовать еди-юе значение МОТ при вычислениях. Однако каждый элемент может иметь разные механизмы обнаружения отхаэое с разными МОТ. так же. как и разте элементы могут иметь разные МОТ для одних и тех же механизмов обнаружения отказов. В этом случае необходимо вычистить единое знаки но МОТ. которое отражает все элементы 8 цепочке. Эго можно выполнить, рассматривая полте целочси интенсивности отказов всей системы и пропорционатно распределяя индивиду-атъте значения МОТ для элементов е соответствии с вкладом их интенсивностей отказов в общую интенсивность отказов.

В качестве примера: если есть два элемента в последоватегъности. един с интервалом между контролыы-ш проверками Г,, другой с интервалом между контрольными проверками тогда эквивалентное единое значо ные для МОТ будет равно:

Аг *    + *2-


моте

В.З2.2 Архитектуры для режима шзхой югтенсиености запросов Примечания

1    В настоящем пункте справедливые для несхолымх архитектур формулы выводят там. где они встречаются впервые.

2    Формулы настоящего пункта справедливы для предположений, перечгслетых в В.31.

3    Приваде! ■ мо примеры являются типичными конфигурациями и не являются исчергывающими.

В.3.2.2.1 Архитектура 1оо1

Дажая архитектура предполагает испогъэоеание одного канала, и хкобой опэсжы отказ приводит к нэру-шемчю фумсции безопасности при еомгкноееми запроса на ее выполнение.

Канал

I

I

г

*


____t_____,

I

Диагностика j

___________I

Рисунок B.4 — Структурная схема архитектуры 1оо1

На рисунках В.4 и В.5 представлены соответствующие структурные схемы. (4<тенсиеность опасного отказа для канала будет poena:

>о ~ Аоо + Аоо-

Рисунок В.5 — Структурная схема надежности для архитектуры 1оо1

На рисунке В.5 показано, что канал маимо рассматривать как состоящий кэ двух компонент, одной — с интенсивностью опасных оттзэое Х^у. обусловленной необнаруженными отказами, а другой — с яленсивностыо опасных отказов Х^. обусловленной обнаруженными отказами. Эквивалентное среднее время простоя канала fgg можно рассчитать, суммируя времена простоя для двух компонент. ГС1 и (С2, прямо пропорционагъно асладу каждой компоненты в вероятность отказа канала:

Для каждой архитектуры интенсивность необнаруженных опасных отказов Х^, и интенсивность необнаруженная опасных отказов задаются как

Х00 =|-(1-DC>: XOD = ±DC.

Среднюю вероятность отказа выполнения функцде безопасности канала PFD 8 течение времени простоя fgg определяют из выражения

PFO = 1    = Хо«се. так как X^fe* « 1.

Следовательно, средняя вероятность отказа по запросу для архитектуры 1оо1 PFDS равна

= (Х*ху + Хоо) (eg.

В.3222 Архитектура 1оо2

Дажая архитектура представляет собой два канала, соединенных параллегъно. так что любой из каналов мажет выполнить фунадию безопасности. Следоеатегъно. для нарушения функцж безопасности опасные отказы должны возникнуть в обоих каналах. Предполагается, что побое диатюстичеоюе тестирование только сообщает о найденных сбоях и не может изменить ни выходные состояния каналов, ни результат голосования.

Рисунок В.7 — Структурная схема надежности для архитектуры 1оо2

'“=^Т*"«г)*ТГмтг

Для данной архитектуры средняя вероятность отказа по запросу PFOg равна

РЯОе= 2(11-^0)100 (1 -Piioo)2 fc£*GE+Po*oo«™**P*ot/(lL +r).

В.3.2.2.3 Архитектура 2оо2

Дажая архитектура представляет собой два канала, соедаюнных параллепмо. и для еыпотения фумс-цж безопасности необходима работа обоих каналов. Предполагается, что любое диэгноспеюское тестирование только сообщает о найденных сбоях и не может изменить ни выходные состояния каналов, ни результат гопосо-

Рисунок В.9 — Структурная схема надежности для архитектуры 2оо2

На рисунках В.8 и В.9 представлены соответствующие структурные схемы. Значение вычисляет в соответствии с В.3.2.2.1. а средняя вероятность отказа по запросу PFDg для данной архитектуры должна быть равна

PFDg=2j^I.

В.3.22.4 Архитектуре 1оо20

Дажая архитектура представляет собой два канала, соединенных параллельно. При нормальной работе для выполнения функции безопасности по запросу необходимы оба канала. Кроме того, ест диагностическое тестирооаю обнаруживает отказ е любом канале, го результаты анализа устанавливаются так. чтобы общее выходное состояние совпадало с реэутьтатом. выдаваемым другим каналом. Если диагностическое тестировало обнаруживает отказы е обоих каналах или несоответствие между ними, причина которого не может быть идентифммрована. то выходам* сигнал переводит систему в безопасное состояние. Для обнаружения несоответствия между каналами кажльй канал может определять состояние другого канала независяцим от другого канала способом. Сравнение канала/меха изма переключения не могут быть 100 % эффективными, поэтому параметр К представляет собой эффективноетъ межзонального ерэвнения/механизма переключения, т. е. выход может оставаться таким же. как и для архитектуры 2оо2. даже если в одном из каналов обнаружен отказ.

Примечание — Параметр К необходимо определить с помощью FMEA.


Рисунок В.11 — Структурная схема надежности для архитектуры 1oo2D


Для каждого канала интенсивность обнаруженных безопэа-ых отказов л50 определяет как

X


so


- yDC.


На рисунках В.10 и В.11 представлены соответствующие структурные схемы. Значения эквивалентного срео-него времет простоя отличаются от значений, приведены* для других архитектур в В.3.2.2. и поэтому их обозначают как 1С£- и t-. Эти значения определяют как

(L.

tcsr=Y + MRT

Средняя вероятность отказа по запросу PFOQ для данной архитектуры равна

РЯОд = 2(l - р)Хои ((l -pJXgy + (1 - Pd)XdO + Х$0 )*C£-*G£- + 2(1-K)X00 tee- + JW-oi/j-j- + MRT j.

B.3.2.2.5 Архитектура 2oo3

Данная архитектура состоит из трех каналов, соединенных лараллегъно с мажорирооа чом выходных сигналов так. что выходное состоите не меняется, если результат, выдаваемый одьмм из каналов, отличается от результата, выдаваемого двумя другими каналами.

Предполагается, что побое диагностическое тестирование только фиксирует найдем■ ь»о сбои и не может изменить ш вы ходже состояния каналов, ни рвзугыат голосования.

На рисунках В.12 и В.13 представлены соответствующие структурже схеам. Значение вычисляет по В.3.2.2.1. а значение <бе — по В-3.2.2.2- Средняя вероятность отказа по запросу PFDe для данной архитектуры равна

PFD6 = б((1    (1 -Woofktht +Ро*£ЖМГГЯ +РХ.Оу(Ь- + M«rj.

В.3.2.2.6 Архитектура 1ооЗ

Дажая архитектура состоит из трех каналов, соеданенжх параллельно со схемой голосования для выходных сигналов, так что выходной сигнал соответствует схеме голосования 1ооЗ.

Предполагается, что лобая диагностическая проверка толысо сообщает о найденжх отказах и не меняет мсаких выходных состояний или    схемы голосования.

Значение 'с* вычисляот по В.3.2.2.1. е значение Igg — по В.3.2.2.2. Средняя вероятность отказа по запросу PFDe для данной архитектуры равна

PFDa= eftl-pol^oo* (1 -t)kouf *сшЬшЬ2Ж+*о*орМТТ* *pl_OI/(-§- + МЯг].

где 'q2e


Рисунок В.12 — Струкгурная схема архитектуры 2ооЗ


Рисунок В.13 — Структурная схема надежности для архитектуры 2ооЗ


^f*UM*r) + i£2.Airr*.

ло V 4    ) *о

В.3.2-3 Подробные таблицы для режима низкой интенсивности запросов

Ар(И1«1-

Г\ Л

д.в * 0.5Е-07

Хв * 2.5Е-07

Xf, > 0.5Е-06

iypa

VV

Р-2Ч

Рв-1%

р- то* Р0«5%

Р»20%

10%

0«2%

Рв-1%

р« Ю% pe-s%

Р-20% Ро » Ю %

р*2%

рв.1Ч

р- 10% ре-5%

р>20%

ю%

1оо1

(СМ.

приме-чэнив 2)

0%

1.1Е-04

5.5Е-04

1.1Е-03

60%

4.4Е-05

2.2Е-04

4.4Е-04

90%

1.1 Е-05

5.7Е-05

1.1 Е-04

99%

1.5Е-06

7.5Е-06

1.5Е-05

1оо2

0%

2.2Е-06

1.1 Е-05

2.2Е-05

1.1 Е-05

5.5Е-05

1.1Е-04

2.4Е-05

1.1 Е-04

2.2Е-04

60%

8.8Е-07

4.4Е-06

8.8Е-06

4.5Е-06

2.2Е-05

4.4Е-05

9.1Е-06

4.4Е-05

8.8Е-05

90%

2.2Е-07

1.1Е-06

2.2Е-06

1.1Е-06

5.6Е-06

1.1Е-05

2.3Е-06

1.1Е-05

2.2Е-05

99%

2.6Е-08

1.3Е-07

2.6Е-07

1.3Е-07

6.5Е-07

1.3Е-06

2.6Е-07

1.3Е-06

2.6Е-06

2оо2

fru

0%

2.2Е-04

1.1Е-03

2.2Е-03

\СМ.

приме-

60%

8.8Е-05

4.4Е-04

8.8Е-04

ЧОпИО 6^

90%

2.3Е-05

1.1 Е-04

2.3Е-04

99%

3.0Е-06

1.5Е-05

3.0Е-05

1оо20 (см. приме-чэнив 3)

0%

2.2Е-06

1.1 Е-05

2.2Е-05

1.1 Е-05

5.5Е-05

1.1Е-04

2.4Е-05

1.1 Е-04

2.2Е-04

60%

1.4Е-06

4.9Е-06

9.3Е-06

7.1Е-06

2.5Е-05

4.7Е-05

1.4Е-05

5.0Е-05

9.3Е-05

90%

4.3Е-07

1.3Е-06

2.4Е-06

2.2Е-06

6.6Е-06

1.2Е-05

4.3Е-06

1.3Е-05

2.4Е-05

99%

6.0Е-08

1.5Е-07

2.6Е-07

3.0Е-07

7.4Е-07

1.3Е-06

в.ое-07

1.5Е-06

2.6Е-06

2ооЗ

0%

2.2Е-06

1.1 Е-05

2.2Е-05

1.2Е-05

5.6Е-05

1.1Е-04

2.7Е-05

1.1 Е-04

2.2Е-04

60%

8.9Е-07

4.4Е-06

8.8Е-06

4.6Е-06

2.2Е-05

4.4Е-05

9.6Е-06

4.5Е-05

8.9Е-05

90%

2.2Е-07

1.1Е-06

2.2Е-06

1.1Е-06

5.6Е-06

1.1Е-05

2.3Е-06

1.1Е-05

2.2Е-05

99%

2.6Е-08

1.3Е-07

2.6Е-07

1.3Е-07

6.5Е-07

1.3Е-06

2.6Е-07

1.3Е-06

2.6Е-06

1ооЗ

0%

2.2Е-06

1.1 Е-05

2.2Е-05

1.1 Е-05

5.5Е-05

1.1Е-04

2^Е-05

1.1 Е-04

2.2Е-04

60%

8.8Е-07

4.4Е-06

8.8Е-06

4.4Е-06

2.2Е-05

4.4Е-05

8.8Е-06

4.4Е-05

8.8Е-05

90%

2.2Е-07

1.1Е-06

2.2Е-06

1.1Е-06

5.6Е-06

1.1Е-05

2.2Е-06

1.1Е-05

2.2Е-05

99%

2.6Е-08

1.3Е-07

2.6Е-07

1.3Е-07

6.5Е-07

1.3Е-06

2.6Е-07

1.3Е-06

2.6Е-06

Примечания

1    В настояией таблжзе привода ы примеры значений PFDg. рассылаете по формулам в соответствии или подсистема исполнительтх элементов входит в состав только одной группы голосующих каналов, то

2    8 «стоящей таблице предполагается. что 6 = 2хр0. Для архитектур 1оо1 и 2оо2 зтчения р и не

3    Интенсивность безопасных отказов пртимается равной интенсивности опасных отказов и К - 0,98.

Х0 > 2.SE-06

*•

0 * 0.5Е-05

Хр • 2.5Е-05

0*2% 0в-1 %

р» 10% ре*5%

р * 20 % Ра 40%

р * 2 % Ра*1*

р» 10% Р®* 5 %

Р-20%

Ра"10*

Р * 2 % Ра"1*

р» 10% Ро-5%

р* 20%

Ра - 10 *

5.5Е-03

1.1Е-02

5.5Е-02

2.2Е-03

4.4Е-03

2.2Е-02

5.7Е-04

1.1Е-03

5.7Е-03

7.5Е-05

1.5Е-04

7.5Е-04

1.5Е-04

5.8Е-04

1.1Е-03

3.7Е-04

1.2Е-03

2.3Е-03

5.0Е-03

8.8Е-03

1.4Е-02

5.0Е-05

2.3Е-04

4.5Е-04

1.1Е-04

4.6Е-04

9.0Е-04

1.1Е-03

2.8Е-03

4.9Е-03

1.2Е-05

5.6Е-05

1.1Е-04

2.4Е-05

1.1Е-04

2.2Е-04

1.5Е-04

6.0Е-04

1.2Е-03

1.3Е-06

6.5Е-06

1.3Е-05

2.6Е-06

1.3Е-05

2.6Е-05

1.4Е-05

6.6Е-05

1.3Е-04

1.1Е-02

22Е-02

>1Е-01

4.4Е-03

8.8Е-03

4.4Е-02

1.1Е-03

2.3Е-03

1.1Е-02

1.5Е-04

3.0Е-04

1.5Е-03

1.5Е-04

5.8Е-04

1.1Е-03

3.8Е-04

1.2E-D3

2.3Е-03

5.0Е-03

9.0Е-03

1.4Е-02

7.7Е-05

2.5Е-04

4.7Е-04

1.7Е-04

5.2Е-04

9.5Е-04

1.3Е-03

3.0Е-03

5.1Е-03

2.2Е-05

6.6Е-05

1.2Е-04

4.5Е-05

1.3Е-04

2.4Е-04

2.6Е-04

6.9Е-04

1.2Е-03

3.0E-06

7.4Е-06

1.3Е-05

6.0Е-06

1.5Е-05

2.6Е-05

3.0Е-05

7.4Е-05

1.3Е-04

2.3Е-04

6.5Е-04

1.2Е-03

6.8Е-04

1.5Е-03

2.5Е-03

1.3Е-02

1.5Е-02

1.9Е-02

6.3Е-05

2.4Е-04

4.6Е-04

1.6Е-04

5.1Е-04

9.4Е-04

2.3Е-03

3.9Е-03

5.9Е-03

1.2Е-05

5.7Е-05

1.1Е-04

2.7Е-05

1.2Е-04

2.3Е-04

2.4Е-04

6.8Е-04

1.2Е-03

1.3Е-06

6.5Е-06

1.3Е-05

2.7Е-06

1.3Е-05

2.6Е-05

1.5Е-05

6.7Е-05

1.3Е-04

1.1Е-04

5.5Е-04

1.1Е-03

2.2Е-04

1.1Е-03

22Е-03

1.4Е-02

5.7Е-03

1.1Е-02

4.4Е-05

2.2Е-04

4.4Е-04

В.8Е-05

4.4Е-04

8.8Е-04

4.6Е-04

2.2Е-03

4.4Е-03

1.1Е-05

5.6Е-05

1.1Е-04

2.2Е-05

1.1Е-04

2.2Е-04

1.1Е-04

5.6Е-04

1.1Е-03

1.3Е-06

6.5Е-06

1.3Е-05

2.6Е-06

1.3Е-05

2.6Е-05

1.3Е-05

6.5Е-05

1.3Е-04

с В.3.2 и с учетом предположений, перечисленных в В.3.1. Ест подсистема даг-мков. логическая подсистема PFDq эквивалентна PFOs. PFDL или PFD соответственно (см. В.3.2.1). влияют нз среднюю вероятность отказа.

Лркитак-

ГЧ Л

Xg « 0.5Е-07

Х0 * 2.5Е-07

Хд • 0.5Е-06

тура

L*v

р- 10% Pe«s%

р» 20% Pe » Ю %

р > 2 %

fc>« 1 %

р » 10% Ро«5%

р-20% Ро- 10%

Р * 2 %

Р0 - 1 *

Р* 10% Р0-5%

р*10%

Ро-5%

р • 20 % Рв- 10%

1оо1 (см. приме-чание 2)

0%

2.2Е-04

1.1Е-03

2.2Е-03

60%

8.8Е-05

4.4Е-04

8.8Е-04

90%

2.2Е-05

1.1 Е-04

2.2Е-04

99%

2.6Е-06

1.3Е-05

2.6Е-05

1оо2

0%

4.4Е-06

2.2Е-05

4.4Е-05

2.3Е-05

1.1 Е-04

2.2Е-04

5.0Е-05

2.2Е-04

4.4Е-04

60%

1.8Е-06

8.8Е-06

1.8Е-05

9.0Е-06

4.4Е-05

8.8Е-05

1.9Е-05

8.9Е-05

1.8Е-04

90%

4.4Е-07

2.2Е-06

4.4Е-06

2.2Е-06

1.1 Е-05

2.2Е-05

4.5Е-06

2.2Е-05

4.4Е-05

99%

4.8Е-08

2.4Е-07

4.8Е-07

2.4Е-07

1.2Е-06

2.4Е-06

4.8Е-07

2.4Е-06

4.8Е-06

2оо2

(см.

приме-

0%

4.4Е-04

2.2Е-03

4.4Е-03

60%

1.8Е-04

8.8Е-04

1.8Е-03

' аШ U1V 4/

90%

4.5Е-05

2.2Е-04

4.5Е-04

99%

5.2Е-06

2.6Е-05

5J2E-05

1oo2D (см. примечание 3)

0%

4.5Е-06

2.2Е-05

4.4Е-05

2.4Е-05

1.1 Е-04

2.2Е-04

5.0Е-05

2.2Е-04

4.4Е-04

60%

2.8Е-06

9.8Е-06

1.9Е-05

1.4Е-05

4.9Е-05

9.3Е-05

2.9Е-05

9.9Е-05

1.ЭЕ-04

90%

8.5Е-07

2.6Е-06

4.8Е-06

4.3Е-06

1.3Е-05

2.4Е-05

8.5Е-06

2.6Е-05

4.8Е-05

99%

t.0E-07

2.8Е-07

5.0Е-07

5.2Е-07

1.4Е-06

2.5Е-06

1.0Е-06

2.8Е-06

5.0Е-06

2ооЗ

0%

4.6Е-06

2.2Е-05

4.4Е-05

2.7Е-05

1.1 Е-04

2.2Е-04

6.2Е-05

2.4Е-04

4.5Е-04

60%

1.8Е-06

8.8Е-06

1.8Е-05

9.5Е-06

4.5Е-05

8.8Е-05

2.1 Е-05

9.1 Е-05

1.8Е-04

90%

4.4Е-07

2.2Е-06

4.4Е-06

2.3Е-06

1.1 Е-05

2.2Е-05

4.6Е-06

2.2Е-05

4.4Е-05

99%

4.8Е-08

2.4Е-07

4.8Е-07

2.4Е-07

1.2Е-06

2.4Е-06

4.8Е-07

2.4Е-06

4.8Е-06

1ооЗ

0%

4.4Е-06

2.2Е-05

4.4Е-05

2.2Е-05

1.1 Е-04

2.2Е-04

4.4Е-05

2.2Е-04

4.4Е-04

60%

1.8Е-06

8.8Е-06

1.8Е-05

0.8Е-О6

4.4Е-05

8.8Е-05

1.8Е-05

8.8Е-05

1.8Е-04

90%

4.4Е-07

2.2Е-06

4.4Е-06

2.2Е-06

1.1 Е-05

2.2Е-05

4.4Е-06

2.2Е-05

4.4Е-05

99%

4.8Е-08

2.4Е-07

4.8Е-07

2.4Е-07

1.2Е-06

2.4Е-06

4.8Е-07

2.4Е-06

4.8Е-06

Примечания

1    В настоящей табпмле приведены примеры значемм РРО& рассыпанные по формулам в соответствии или подсистема испогмнепных элементов входит в состав топко одной группы голосующих каналов, то

2    В настоящей таблице предполагается, что 6 = 2хро. Для архитектур 1оо1 и 2оо2 эпаюния 6 и не

3    Лпемсивность безопасных отказов прмымается равной интенсивности опасных отказов и К = 0.98.

l0 * 2.5Е-06

о - O.SE-05

Хс > 2.SE-05

0*2%

Рв«1%

р» 10% Рв-5%

Р«20% рв - 10 %

Р-2%

Вв«1%

р- 10% Р*«5%

Р в 20 %

Рв» ю%

р-2%

р> 10% Ро«5%

р» 20% Ро- «0%

1.1Е-02

2.26-02

>1Е-01

4.4Е-03

8.86-03

4.4Е-02

1.1 Е-03

2.26-03

1.1 Е-02

1.36-04

2.6Е-04

1.36-03

3.7Е-04

1.26-03

2.3Е-03

1.1 Е-03

2.7Е-03

4.8Е-03

1.8Е-02

2.4Е-02

3.2Е-02

1.1Е-04

4.66-04

9.0Е-04

2.8Е-04

9.7Е-04

1.8Е-03

3.4Е-03

6.6Е-03

1.1 Е-02

2.4Е-05

1.1Е-04

2.2Е-04

5.1Е-05

2.36-04

4.5Е-04

3.8Е-04

1.36-03

2.3Е-03

2.4Е-06

1.2Е-05

2.4Е-05

4.96-06

2.4Е-05

4.8Е-05

2.66-05

1.2Е-04

2.4Е-04

2.2Е-02

4.4Е-02

>1Е-01

8.8Е-03

1.8Е-02

8.86-02

2.2Е-03

4.5Е-03

2.2Е-02

2.6Е-04

5.26-04

2.6Е-03

3.8Е-04

1.2Е-03

2.3Е-03

1.1 Е-03

2.7Е-03

4.9Е-03

1.8Е-02

2.56-02

3.4 Е-02

1.7Е-04

5.1Е-04

9.5Е-04

3.6Е-04

1.1 Е-03

1.9Е-03

3.96-03

7.16-03

1.1 Е-02

4.4Е-05

1.36-04

2.4Е-04

9.1Е-05

2.7Е-04

4.8Е-04

5.8Е-04

1.4Е-03

2.5Е-03

5.26-06

1.4Е-05

2.5Е-05

1,06-05

2.86-05

5.0Е-05

5.4Е-05

1.4Е-04

2.5Е-04

6.8Е-04

1.5Е-03

2.5Е-03

2.3Е-03

3.86-03

5.6Е-03

4.8Е-02

5.0Е-02

5.3Е-02

1.6Е-04

5.1Е-04

9.4Е-04

4.8Е-04

1.1 6-03

2.0Е-03

8.4Е-03

1.16-02

1.5Е-02

2.7Е-05

1.26-04

2.3Е-04

6.4Е-05

2.4Е-04

4.6Е-04

7.1Е-04

1.6Е-03

2.6Е-03

2.56-06

1.2Е-05

2.4Е-05

5.1Е-06

2.4Е-05

4.8Е-05

3.1Е-05

1.3Е-04

2.5Е-04

2.2Е-04

1.1 Е-03

2.2Е-03

4.66-04

2.26-03

4.4Е-03

4.7Е-02

1.36-02

2.3Е-02

В.86-05

4.4Е-04

8.8Е-04

1.86-04

8.8Е-04

1.8Е-03

1.06-03

4.56-03

8.9Е-03

2,26-05

1.1Е-04

2.2Е-04

4.4Е-05

2.26-04

4.4Е-04

2.2Е-04

1.16-03

2.2Е-03

2.4Е-06

1.2Е-05

2.4Е-05

4.86-06

2.46-05

4.8Е-05

2.4Е-05

1.2Е-04

2.4Е-04

с В.3.2 и с учетам предположении. перечисленных е 8.3.1. Если подсистема даг-мков. логическая подсистеме PFDg эквивалентна PFDS. PFOL или PFDfg соответственно (см. В.3.2.1). влияют на среднюю вероятность отказа.

Аркитак-

лл

<£ • 0.SE-O?

Xe * 2.5Е-07

Х„ • 0.5Е-06

тура

L*v

р« 10% Pe«S%

р» 20% Рв » *0 %

Р«2% Ра - 1 *

р» 10% pfl-5%

р«20% Р0 » 1* %

Р * 2 %

Р0» ^

Р* 10% Р0-5%

р*10%

Ро-5%

р * 20 % Рв- 10%

1оо1

(см.

приме-

0%

4.4Е-04

2.2Е-03

4.4Е-03

60%

1.8Е-04

8.8Е-04

1.8Е-03

чание 2)

90%

4.4Е-05

2.2Е-04

4.4Е-04

99%

4.8Е-06

2.4Е-05

4.8Е-05

1оо2

0%

9.0Е-06

4.4Е-05

8.8Е-05

5.0Е-05

2.2Е-04

4.4Е-04

1.1 Е-04

4.6Е-04

8.9Е-04

60%

3.5Е-06

1.8Е-05

3.5Е-05

1.9Е-05

8.9Е-05

1.8Е-04

3.9Е-05

1.8Е-04

3.5Е-04

90%

8.8Е-07

4.4Е-06

8.8Е-06

4.5Е-06

2.2Е-05

4.4Е-05

9.1Е-06

4.4Е-05

8.8Е-05

99%

9.2Е-08

4.6Е-07

9.2Е-07

4.6Е-07

2.3Е-06

4.6Е-06

9.2Е-07

4.6Е-06

9.2Е-06

2оо2

(см.

приме-

0%

8.8Е-04

4.4Е-03

8.8Е-03

60%

3.5Е-04

1.8Е-03

3.5Е-03

' ЦД U1V 4/

90%

8.8Е-05

4.4Е-04

8.8Е-04

99%

9.6Е-06

4.8Е-05

9.6Е-05

1oo2D (см. примечание 3)

0%

9.0Е-06

4.4Е-06

8.8Е-05

5.0Е-05

2.2Е-04

4.4Е-04

1.1 Е-04

4.6Е-04

9.0Е-04

60%

5.7Е-06

2.0Е-05

3.7Е-05

2.9Е-05

9.9Е-05

1.9Е-04

6.0Е-05

2.0Е-04

3.7Е-04

90%

1.7Е-06

5.2Е-06

9.6Е-06

В.5Е-06

2.6Е-05

4.8Е-05

1.7Е-05

5J2E-05

9.6Е-05

99%

1.9Е-07

5.4Е-07

9.8Е-07

9.5Е-07

2.7Е-06

4.9Е-06

1.9Е-06

5.4Е-06

9.8Е-06

2ооЗ

0%

9.5Е-06

4.4Е-05

8.8Е-05

6.2Е-05

2.3Е-04

4.5Е-04

1.6Е-04

5.0Е-04

9.3Е-04

60%

3.6Е-06

1.8Е-05

3.5Е-05

2.1Е-05

9.0Е-05

1.8Е-04

4.7Е-05

1.9Е-04

3.6Е-04

90%

8.9Е-07

4.4Е-06

8.8Е-06

4.6Е-06

2.2Е-05

4.4Е-05

9.6Е-06

4.5Е-05

8.9Е-05

99%

9.2Е-08

4.6Е-07

9.2Е-07

4.6Е-07

2.3Е-06

4.6Е-06

9.3Е-07

4.6Е-06

9.2Е-06

1ооЗ

0%

8.8Е-06

4.4Е-06

8.8Е-05

4.4Е-05

2.2Е-04

4.4Е-04

8.8Е-05

4.4Е-04

8.8Е-04

60%

3.5Е-06

1.8Е-05

3.5Е-05

1.8Е-05

8.8Е-05

1.8Е-04

3.5Е-05

1.8Е-04

3.5Е-04

90%

8.8Е-07

4.4Е-06

8.8Е-06

4.4Е-06

2.2Е-05

4.4Е-05

8.8Е-06

4.4Е-05

8.8Е-05

99%

9.2Е-08

4.6Е-07

9.2Е-07

4.6Е-07

2.3Е-06

4.6Е-06

9.2Е-07

4.6Е-06

9.2Е-06

Примечания

1    В настоящей таблтле приведены примеры знача «и PFDG. рассыпанные по формулам а соответствии или подсистема исполмтгепных элементов входит в состав топко одной группы голосующих каналов, то

2    В настоящей таблице предполагается, что 6 = 2хрс. Для архитектур 1оо1 и 2оо2 энаюния р и р0 не

3    Лгтемсивность безопасных отказов принимается равной интенсивности опасных отказов и К = 0.98.

Х0« 2.5Е-06

„ - 0.5E-DS

Х0 » 2.SE-0S

0*2%

Ра*1*

р» 10%

Ра* 5%

Р«20% - 10 %

Р«2%

Ра"1*

р» 10% Ра* 5%

Р * 20 %

•а» 10%

р-2%

Ра*"

р> 10% Ро«5%

р» 20% Ра* ‘0%

2.2Е-02

4.4Е-02

>1Е-01

8.8Е-03

1.8Е-02

8.8Е-02

2.2Е-03

4.4Е-03

2.2Е-02

2.4Е-04

4.8Е-04

2.4Е-03

1.1Е-03

2.7Е-03

4.8Е-03

З.ЗЕ-ОЗ

6.5Е-03

1.0Е-02

6.6Е-02

7.4Е-02

8.5Е-02

2.8Е-04

9.7Е-04

1.8Е-03

7.5Е-04

2.1 Е-03

3.8Е-03

1.2Е-02

1.8Е-02

2.5Е-02

5.0Е-05

2.3Е-04

4.5Е-04

1.1 Е-04

4.6Е-04

9.0Е-04

1.1Е-03

2.8Е-03

4.9Е-03

4.7Е-06

2.3Е-05

4.6Е-05

9.5Е-06

4.6Е-05

9.2Е-05

5.4Е-05

2.4Е-04

4.6Е-04

4.4Е-02

8.8Е-02

>1Е-01

1.8Е-02

3.5Е-02

>1Е-01

4.4Е-03

8.8Е-03

4.4Е-02

4.8Е-04

9.6Е-04

4.8Е-03

1.1 Е-03

2.7Е-03

4.8Е-03

3.4Е-03

6.6Е-03

1.1Е-02

6.7Е-02

7.7Е-02

9.0Е-02

3.8Е-04

1.1 Е-03

1.9Е-03

9.6Е-04

2.3Е-03

4.0Е-03

1.3Е-02

1.9Е-02

2.6Е-02

9.0Е-05

2.6Е-04

4.8Е-04

1.9Е-04

5.4Е-04

9.8Е-04

1.5Е-03

3.2Е-03

5.3Е-03

9.6Е-06

2. ТЕ-05

4.9Е-05

1.9Е-05

5.4Е-05

9.8Е-05

1.0Е-04

2.8Е-04

5.0Е-04

2.3Е-03

3.7Е-03

5.6Е-03

8.3Е-03

1.1Е-02

1.4Е-02

1.9Е-01

1.8Е-01

1.7Е-01

4.8Е-04

1.1Е-03

2.0Е-03

1.6Е-03

2.8Е-03

4.4Е-03

3.2Е-02

3.5Е-02

4.0Е-02

6.3Е-05

2.4Е-04

4.6Е-04

1.6Е-04

5.1 Е-04

9.4Е-04

2.4Е-03

4.0Е-03

6.0Е-03

4.8Е-06

2.3Е-05

4.6Е-05

1.0Е-05

4.7Е-05

9.2Е-05

6.9Е-05

2.5Е-04

4.8Е-04

4.6Е-04

2.2Е-03

4.4Е-03

1.0Е-03

4.5Е-03

8.9Е-03

2.4Е-02

3.7Е-02

5.5Е-02

1.8Е-04

8.8Е-04

1.8Е-03

3.6Е-04

1.8Е-03

3.5Е-03

3.1 Е-03

9.9Е-03

1.8Е-02

4.4Е-05

2.2Е-04

4.4Е-04

8.8Е-05

4.4 Е-04

8.8Е-04

4.6Е-04

2.2Е-03

4.4Е-03

4.6Е-06

2.3Е-05

4.6Е-05

9.2Е-06

4.6Е-05

9.2Е-05

4.6Е-05

2.3Е-04

4.6Е-04

с В.3.2 и с учетам предположении. перечисленных е 8.3.1. Если подсистема даг-мков. логическая подсистеме PFDg эквивалентна PFDS. PFOL или PFDfg соответственно (см. В.3.2.1). влияют на среднюю вероятность отказа.

Аркитак-

ГЧ л

*e«0.5E-O7

к6 « 2.5Е-07

ко • 0.5Е-06

тура

L*v

6- ю% Pe«s%

9*20% $о - '0 %

р«2% Ра - 1 *

р» 10%

Р * 20 % Ро» 10%

Р * 2 %

Р0 - 1 *

Р* 10% Р0-5%

р * 20 % Ре «10%

р*2%

Ро«'%

1оо1 (см. приме-чание 2)

0%

2.2Е-03

1.1Е-02

2.2Е-02

60%

8.8Е-04

4.4Е-03

8.8Е-03

90%

2.2Е-04

1.1Е-03

2.2Е-03

99%

2.2Е-05

1.1Е-04

2.2Е-04

1оо2

0%

5.0Е-05

2.2Е-04

4.4Е-04

3.7Е-04

1.2Е-03

2.3Е-03

1.1Е-03

2.7Е-03

4.8Е-03

60%

1.9Е-05

8.9Е-05

1.8Е-04

1.1Е-04

4.6Е-04

9.0Е-04

2.7Е-04

9.6Е-04

1.8Е-03

90%

4.4Е-06

2.2Е-05

4.4Е-05

2.3Е-05

1.1Е-04

2.2Е-04

5.0Е-05

2.2Е-04

4.4Е-04

99%

4.4Е-07

2.2Е-06

4.4Е-06

2.2Е-06

1.1Е-05

2.2Е-05

4.5Е-06

2.2Е-05

4.4Е-05

2оо2

(см.

приме-

0%

4.4Е-03

22Е-02

4.4Е-02

60%

1.8Е-03

8.8Е-03

1.8Е-02

' ЦД 1Ио 4/

90%

4.4Е-04

2.2Е-03

4.4Е-03

99%

4.5Е-05

2.2Е-04

4.5Е-04

1oo2D (см. примечание 3)

0%

5.0Е-05

2.2Е-04

4.4Е-04

3.7Е-04

1.2Е-03

2.3Е-03

1.1Е-03

2.7Е-03

4.8Е-03

60%

2.9Е-05

9.9Е-05

1.9Е-04

1.7Е-04

5.1Е-04

9.5Е-04

3.8Е-04

1.1Е-03

1.9Е-03

90%

8.4Е-06

2.6Е-05

4.8Е-05

4.3Е-05

1.3Е-04

2.4Е-04

9.0Е-05

2.6Е-04

4.8Е-04

99%

8.9Е-07

2.6Е-06

4.8Е-06

4.5Е-06

1.3Е-05

2.4Е-05

8.9Е-06

2.6Е-05

4.8Е-05

2ооЗ

0%

6.2Е-05

2.3Е-04

4.5Е-04

6.8Е-04

1.5Е-03

2.5Е-03

2.3Е-0Э

3.7Е-03

5.6Е-03

60%

2.1Е-05

9.0Е-05

1.8Е-04

1.6Е-04

5.0Е-04

9.3Е-04

4.7Е-04

1.1Е-03

2.0Е-03

90%

4.6Е-06

2.2Е-05

4.4Е-05

2.7Е-05

1.1Е-04

2.2Е-04

6.3Е-05

2.4Е-04

4.5Е-04

99%

4.4Е-07

2.2Е-06

4.4Е-06

2.3Е-06

1.1Е-05

2.2Е-05

4.6Е-06

2.2Е-05

4.4Е-05

1ооЗ

0%

4.4Е-05

2.2Е-04

4.4Е-04

2.2Е-04

1.1Е-03

2.2Е-03

4.6Е-04

2.2Е-03

4.4Е-03

60%

1.8Е-05

8.8Е-05

1.8Е-04

В.8Е-05

4.4Е-04

8.8Е-04

1.8Е-04

8.8Е-04

1.8Е-03

90%

4.4Е-06

2.2Е-05

4.4Е-05

2.2Е-05

1.1Е-04

2.2Е-04

4.4Е-05

2.2Е-04

4.4Е-04

99%

4.4Е-07

2.2Е-06

4.4Е-06

2.2Е-06

1.1Е-05

2.2Е-05

4.4Е-06

2.2Е-05

4.4Е-05

Примечания

1    В настоящей табтще приведены примеры знача «и PFDG. рэсоеттэнные по формулам е соответствии или подсистема исполшгепных элементов входит в состав только одной группы голосующих каналов, то

2    В настоящей таблице предполагается, что 6 = 2хрс. Для архитектур 1оо1 и 2оо2 энаюния р и не

3    Лттвнсиеность безопасных отказов принимается равной интенсивности опасных отказов и К = 0.98.

> 2.5Е-06

*•

о - O.SE-05

Х6 > 2.SE-05

0*2%

Рв«1%

р» 10% 5%

Р«20% рв - 10 %

Р-2%

Рв«1%

р» 10% Р*«5%

Р в 20 %

»в- ю%

р-2%

Рв«1%

р> 10% Ро«5%

р» 20% Р0« «0%

>1Е-01

>1Е-01

>1Е-01

4.4Е-02

8.8Е-02

>1Е-01

1.1Е-02

22Е-02

>1Е-01

1.1 Е-03

2.2Е-03

1.1 Е-02

1.8Е-02

2.4Е-02

3.2Е-02

6.6Е-02

7.4Е-02

8.5Е-02

>1Е-01

>1Е-01

>1Е-01

3.4Е-03

6.6Е-03

1.1Е-02

1.2Е-02

1.8Е-02

2.5Е-02

>1Е-01

>1Е-01

>1Е-01

3.8Е-04

1.2Е-03

2.3Е-03

1.1 Е-03

2.8Е-03

4.9Е-03

1.8Е-02

2.5Е-02

3.5Е-02

2.4Е-05

1.1 Е-04

2.2Е-04

5.1 Е-05

2.3Е-04

4.5Е-04

3.8Е-04

1.3Е-03

2.3Е-03

>1Е-01

>1Е-01

>1Е-01

8.8Е-02

>1Е-01

>1Е-01

2.2Е-02

4.4 Е-02

>1Е-01

2.2Е-03

4.5Е-03

2.2Е-02

1.8Е-02

2.5Е-02

З.ЗЕ-02

6.6Е-02

7.7Е-02

9.0Е-02

1.6Е+00

1.5Е+00

1.4Е+00

3.9Е-03

7.1Е-03

1.1 Е-02

1.3Е-02

1.9Е-02

2.6Е-02

2.6Е-01

2.7Е-01

2.8Е-01

5.7Е-04

1.4Е-03

2.5Е-03

1.5Е-0Э

3.1 Е-03

5.2Е-03

2.0Е-02

2.7Е-02

3.5Е-02

4.6Е-05

1.3Е-04

2.4Е-04

9.5Е-05

2.7Е-04

4.9Е-04

6.0Е-04

1.5Е-03

2.5Е-03

4.8Е-02

5.0Е-02

5.3Е-02

1.9Е-01

1.8Е-01

1.7Е-01

4.6Е+00

4.0Е+00

З.ЗЕ+00

8.3Е-03

1.1 Е-02

1.4Е-02

3.2Е-02

3.5Е-02

4.0Е-02

7.6Е-01

7.1Е-01

6.6Е-01

6.9Е-04

1.5Е-03

2.6Е-03

2.3Е-03

3.9Е-03

5.9Е-03

4.9Е-02

5.4Е-02

6.0Е-02

2.7Е-05

1.2Е-04

2.3Е-04

6.4Е-05

2.4Е-04

4.6Е-04

7.1 Е-04

1.6Е-03

2.6Е-03

4.7Е-02

1.3Е-02

2.3Е-02

2.4Е-02

3.7Е-02

5.5Е-02

2.5Е+О0

2.0Е-Ю0

1.6Е+00

1.0Е-03

4.5Е-03

8.9Е-03

З.ОЕ-ОЗ

9.8Е-03

1.8Е-02

1.7Е-01

1.8Е-01

1.9Е-01

2.2Е-04

1.1 Е-03

2.2Е-03

4.6Е-04

2.2Е-03

4.4Е-03

4.8Е-03

1.3Е-02

2.4Е-02

2.2Е-05

1.1Е-04

2.2Е-04

4.4Е-05

2.2Е-04

4.4Е-04

2.2Е-04

1.1 Е-03

2.2Е-03

с В.3.2 и с учетам предположений, перечисленных в 8.3.1. Если подсистема даг-мков. логическая подсистеме PFDg эквивалентна PFDS. PFOL или PFDfg соответственно (см. В.3.2.1). влияют на среднюю вероятность отказа.

В.3.2.4. Пример режима низкой ингенсиености запросов

Рассмотрим функцию безопасности, для реализэ1ем которой нужна система УПБ 2. Пусть построенный на основе предыдущего опыта первоначальный вариант архитектуры всей системы акпочэет одну группу из трех аналоговых датчюсов давлвмтя с архитектурой 2ооЗ на входе. Логическая подсистема рассматриваемой система представляет собой ПЭ систему с избыточностью с архитектурой 1оо20 и управляет одним закрывающим и одним дренажным ига панаме, так как для обеспечения функции беэопаоости необходима работа как закрывающего. так и дренажного клапана. Архитектура всей системы представлена на рисунке В. 14. Для этой системы оценим сначала фужцию безопасности PFDSYS при одногодичюм периоде контрольных испытаний. Табтщы В.6—В.6 являются фрагментами габп*«ь> В.З для соответствующих данных на рисумсе В.14.

Подсистема дагмаре    Логическая пеесистама    Певсастама

Рисунок В.14 — Архитектура системы рассматриваемого примера для режима ютэкой интенсивности запросов


Таблица В.б — Средняя вероятность отказа по запросу для подсистемы датчиков в рассматриваемом примере для режима низкой интеисид юсги запросов (интервал контрольных испытаний равен одному году, а среднее время ремонта — 8 ч)

Архитектура

ОС

>.в > 2.5Е-06

Р»2%

р»ю%

р-20%

Р„» 1 *

Pe«S%

Ро«10%

2ооЗ

0%

6.8Е-04

1.58-03

2.5Е-03

60 %

1.6Е-04

5.1Е-04

9.4Е-04

90 %

2.7Е-05

1.2Е-04

| 2.3Е-04

99 %

2.5Е-06

1.2Е-05

_i

2.4Е-05

_

Примечание — Настояцая табгмца представляет собой фрагмент таблицы В.З.

Таблица В.7 — Средняя верояттостъ отказа по запросу для логической подсистемы 8 примере для режима ютой инти-си внести запросов (интервал иоктрогъных испытаний равен одному году, а среднее время ремонта — 8 ч)

Архитектура

ОС

Х0 > O.SE-OS

Р » 2 %

р* 10%

Р * 20 %

Рв-1%

р0-5%

Р0 - Ю %

1oo2D

0%

1.1Е-03

2.7Е-03

4.9Е-03

60 %

3.8Е-04

1.1Е-03

1.9Е-03

90%

9.1Е-05

2.7Е-04

4.8Е-04

99 %

1.0Е-05

2.8Е-05

5.0Е-05

Примечание — Настоящая табпша представляет собой фрагмент тэбгчцы В.З.

Архитектура

ос

Хд ■ 2.5Е-06

До > 0.5Е-05

1оо1

0%

1.1 E-Q2

2.2Е-02

60%

4.4Е-03

8.8Е-03

90%

1.1 Е-03

2.2Е-03

99%

1.3Е-04

2.6Е-04

Примечание — Настоящая табгеща представляет собой фрагмент табгмцы В.З.

Данью, представленные в тэбгмцах В.6—8.8, позволяют получить спедуюивю значения:

•    для подсистемы датчиков:

PDFS- 2.3x10-*:

•    для логической подсистемы:

PFO, = 1.0x10-*;

•    для подсистемы исполнитетыых элементов:

PFDfe = 4.4x10-* + 8.8x10-* = 1.3x10-*

Следоватетъно. для функции безопасности:

PFOgys = 2.3Х10-4 + 1.0x10** + 1.3x10-* = 1.3x10-*

s уровень полноты безопасности 1.

Для перевода системы на уроее»*> полноты безопасности 2. выпогьееот одно из следующих действий:

a)    уменьшают интервал между контрольными проверками до 6 мес

PDFS = 1.1x10-*

POPL- 6.0x10-*

PDPps - 2.2x10-* + 4.4 х10-3 = 6.6x 10-*

POPsvs " 6.7x10-*

в уровень полноты беэопэшости 2;

b)    заменяют архитектуру 1оо1 закрывающего клапана, представляющего собой выходное устройство с такой надежностью, на 1оо2. предполагая, что р=10%иро = 5%:

PDPS = 2,3x10-*

PDFl = 1.0x10-*

POPpg = 4.4x10-* + 9.7x10й = 5.4x10-*

POPsys = 5.6x10'*

s уровень полноты безопасности 2.

В.3.2.5 Впить мо неидеапьных контроль>ых проверок

Отказы в системе безопасности, которые не обнаружены ни диагностические тестами, ни контрольные проверкае. могут быть обнаружены другие методами, реализуемыми а таких ситуациях, как появление опасного события, требующее вмешательства фунпмм безопасности иты ао время капитального ремонта оборудования. Есть» отказы не будут обнаружены при помощи тасих методов, следует предположить, что они останутся на весь срок службы оборудования. Обозначим обычный период между контрольными проверками 7,: долю отказов. обнаруженных контрольными проверками, обознатш как PTC (proof test coverage — охват контрольными проверка мм), а часть отказов, не обнаруженных нонтрогъньми проверка мм. как (1 - РТС). Эти последние отказы, которые не могут быть обнаружены контрольными проверками, будут обнаружены только при запросе к системе, связанной с безопасностью, которые выполняются с жтервапом Тг. Таким образом, период контрогыых проверок Т, и время между запросами Г2 управляют эффективностью простоя.

Далее приведен пример такой зависимости для архитектуры 1оо2. где Т2 — время между запросами к системе:

f ICO ртец

гг,

* «яг|

I Хоо(1-РГС)(

г2

+ мят]

1 + к°° uttr

*“--Г0 I

. 2

1 ' ко \

. 2

1 т М г (Д, •в

, _*оо(РГС),

л

+ M«rj

I i-Dod- PTC)i

fr*

■* ияг|

1 . ^ОО I1TTD

,0Е—г0 I

3

1' ь, 1

! з

I 1 . W 1 if**

1 Ад

t>FDe= 2((1 -Pol^oo*- (t-WouftatcE +Po*ooMrw ♦ PWprc)(y * URT J +    (1 - РТС)[Ц- * Ш?г).

Рвэутътаты для системы с архитектурой 1оо2 со 100 %-ными достоверными одногодииьми контроль***»» проверка*» в сравнении с 90 %-ными достоверными контролы it aw проверками, где период запросов Т3 предполагается равным 10 годам, приведены в тэбпмде В.9. В рассматриваемом примере расчеты проводились при следующих предположениях, интенсивность отказов 0.5x10*® в час: р = 10 %;    ■ 5 %.

Таблица В.9 — Неидеалыме контрольные испытан»

Архитектура

ОС

Xe * 0.SE-O5

100 %-мые достоверные tot трольмые испытания

90 %**ые достоверные «оитролы*ые испытании

р« 10 4 Ро»5%

р- 10% Ре-5%

1оо2

0%

2.7Е-03

6.0Е-03

60%

9.7Е-04

2.0Е-03

90%

2.3Е-04

4.4Е-04

99%

2.4Е-05

4.4Е-05

В.3.3 Средняя интенсивность опасного отказа (для режима работы с высокой интенсивностью запросов или режима с непрерывным запросом)

В.3.3.1 Процедура расчетов

Метсо определения вероятности отказа функции безопасности для Э/Э/ПЭ системы, связанной с безопасностью. работающей в режиме с высокой интенсивностью запросов или в режиме с непрерывным запросом, тот же. что и метод обмеления для режима с низкой интеноеностъю запросов (см. В.21), за исключением того, что средняя вероятность отказа по запросу PFDSYS заменяется на среднюю частоту опасного отказа в час PFHSYS.

Общую вероятность опасного отказа функции безопасности для Э/Э/ПЭ системы, связанной с безопасностью. PFHsys. определяют а.г мелочном интенсивностей опасных отказов для всех подсистем, оовокутыость которых обеспечивает функцию безопасности, и суммированием полученных значений. Так как рассматриваемые в настоящем приложеюш вероятности малы, то используют формулу

PFHsys = PFHS + PFHt + PFHfe.

где PFHsys — средняя частота опасного отказа для функции безопасности Э/Э/ПЭ системы, связанной с безопасностью:

PFHS — средняя частота опасного отказа для подсистемы датчиков.

PFHl — средняя частота опасного отказа для логической подсистемы:

PFHf£ — средняя частота опасного отказа для подсистемы исполюгтельных элементов.

В.3.32 Архитектуры для режима работы высокой интенсивности запросов или в режиме с непрерывным запросом

Примечания

1    В настоящем пункте спраэедгисыо для нескольких архитектур формулы выводят там. где они встречаются впервые См. также В.Э.2.2.

2    Формулы настоящего пункта справедливы для предположений, перечистки чих е В.3.1.

Хд = Хоу ♦ Ход.

*-ЗД*Н*Т?*™

Хои = |(t - ОС): Хм = |0С.

Есгм предположить, что система, связанная с безопасность», при обнаружении любого отказа перееодот УО в безопасное состояние, то для архитектуры 1оо1

ЯЯНс = Хои.

В.3.322 Архитектура 1оо2

На рисунках В.6 и В.7 представлены соответствующие структурные схемы. Значение вычисляет по формуле. приведенной в В.3.3.2.1. Если подразумевается, что система безопасности переводит УО в безопасное состояние сразу после обнаружения отказа в обоих каналах и принимается консервативный подход, то применяется следующая формула

PFHe = 2(( 1 — Рд )Хдо + (1 -p)x0u)(l - Р)Хде/tcf +РХои -

В.3.3-2.3 Архитектура 2оо2

Соответствующие структурные схемы представлоы на рисунках В.8 и В.9. Если предположить, что при обнаружении любого отказа каждый канал переводится в безопасное состояние, то для архитектуры 2оо2

PFHg^2Xou.

В.3.3.2.4 Архитектура 1оо20

Соответствующие структурные схемы представлаш на рисунках В. 10 и В.11.

xso=|dc.

xot/(b-+w«r) ♦ ( Хсо» Х50|/ИГТ«

С£"    (Аоо т *-«>)

PFHq = 2(1 -р)Хдо ((1 - р)Х©у + (1 -Ро)Хоо ♦ X»2{1 - К)Ход + РХд</-

В.3.3.2.5 Архитектура 2ооЗ

Соответствующие структурные схемы представлет на рисунках В.12 и В.13. Значимо fee вычисляют по формуле, приведенной в В.3.3.2.1. Если подразумевается, что система безопасности переводит УО е безопасное состояние сразу после обнаружения отказа в лобом из каналов и принимается консерватиа ый подход, то применима следующая формула

PFMq = 6^(1 ~Рд)Хд0+ (1 “Р)Х£(у)(1 “PjX^jyJgg+pXQy.

В.3.3.2.6 Архитектура 1ооЗ

Соответствующие структурные схемы пределавлеш на рисунках В.12 и В.13. Значение fee оы меняют по формуле, приведенной в В.3.2.1. Если подразумевается, что система безопасности переводит УО а безопаоюе состояние сразу после обнаружения отказа в трех каналах и принимается консервативный подход, то применима следующая формула

PFHgs б((1 -Ро)Хоо + (1 “PHou)2 (l -Р)Хду *с£*ее + Р*Д1г •

В.3.3.3 Подроби*» тэбгмцы для режима работы высокой интенсивности запросов и режима с непрерывным запросом

Аржитвж-

тура

ОС

Ьф > 0.5Е-07

* 2.5Е-07

- 0.5Е-06

р»2%

Рв-1%

р-10% Рв»5%

р-20% Рв « Ю %

р«2%

Рв-1%

р« to% Pe-s%

Р-20% Рв » W %

р«2 %

Р0«1*

р» 10% Р„-5%

р-20%

10%

1оо1 (см. приме-чание 2)

0%

5.0Е-08

2.5Е-07

5.0Е-07

60%

2.0Е-08

1.0Е-07

2.0Е-07

90%

5.0Е-09

2.5Е-08

5.0Е-08

99%

5.0Е-10

2.5Е-09

5.0Е-09

1оо2

0%

1.0Е-09

5.0Е-09

1.0Е-08

5.0Е-09

2.5Е-08

5.0Е-08

1.06-08

5.0Е-08

1.0Е-07

60%

4.0Е-10

2.0Е-09

4.0Е-09

2.0Е-09

1.0Е-08

2.0Е-08

4.06-09

2.0Е-08

4.0Е-08

90%

1.0Е-10

5.0Е-10

1.0Е-09

5.0Е-10

2.5Е-09

5.0Е-09

1.0Е-09

5.0Е-09

1.0Е-08

99%

1.0Е-11

5.0Е-11

1.0Е-10

5.0Е-11

2.5Е-10

5.0Е-10

1.06-10

5.0Е-10

1.06-09

2оо2 (см. приме-чание 2)

0%

1.0Е-07

5.0Е-07

1.0Е-06

60%

4.0Е-08

2.0Е-07

4.0Е-07

90%

1.0Е-08

5.0Е-08

1.0Е-07

99%

1.0Е-09

5.0Е-09

1.0Е-08

1оо20 (см. приме-чание 3)

0%

1.0Е-09

5.0Е-09

1.0Е-08

5.0Е-09

2.5Е-08

5.0Е-08

1.06-08

5.0Е-08

1.0Е-07

60%

1.6Е-09

3.2Е-09

5.2Е-09

в.ОЕ-09

1.6Е-08

2.6Е-08

1.66-08

3.2Е-08

5.2Е-08

90%

1.9Е-09

2.3Е-09

2.8Е-09

9.5Е-09

1.2Е-08

1.4Е-08

1.96-08

2.3Е-08

2.8Е-08

99 %

2.0Е-09

2.0Е-0Э

2.IE-09

I.0E-O6

I.OE-Ов

1.0Е-06

2.0Е-06

2.0Е-06

2. IE-06

2ооЗ

0%

1.0Е-09

5.0Е-09

1.0Е-08

5.1Е-09

2.5Е-08

5.0Е-08

1.1Е-08

5.0Е-08

1.0Е-07

60%

4.0Е-10

2.0Е-09

4.0Е-09

2.0Е-09

1.0Е-08

2.0Е-08

4.1Е-09

2.0Е-08

4.06-08

90%

1.0Е-10

5.0Е-10

1.0Е-09

5.0Е-10

2.5Е-09

5.0Е-09

1.06-09

5.0Е-09

1.06-08

99%

1.0Е-11

5.0Е-11

1.0Е-10

5.0Е-11

2.5Е-10

5.0Е-10

1.06-10

5.0Е-10

1.0Е-09

1ооЗ

0%

1.0Е-09

5.0Е-09

1.0Е-08

5.1Е-09

2.5Е-08

5.0Е-08

1.1Е-08

5.0Е-08

1.0Е-07

60%

4.0Е-10

2.0Е-09

4.0Е-09

2.0Е-09

1.0Е-08

2.0Е-08

4.06-09

2.0Е-08

4.0Е-08

90%

1.0Е-10

5.0Е-10

1.0Е-09

5.0Е-10

2.5Е-09

5.0Е-09

1.06-09

5.0Е-09

1.0Е-08

99%

1.0Е-11

5.0Е-11

1.0Е-10

5.0Е-11

2.5Е-10

5.0Е-10

1.06-10

5.0Е-10

1.0Е-09

Примечания

1    В настоящей таблше приведет примеры значений PFH6. раос-мта«ые по формулам в соответствии и/ы подсистема исполнительных элементов входит а состав только оо-см голосующей группы, то PFHe

2    8 настоящей таблице предполагается, что 6 = 2хр0. Для архитектур 1оо1 и 2оо2 значения 6 и не

3    1^ттенсивность безопасных отказов принимается равной интенсивности опасных отказов и К = 0.98.

Х0 - 2.5С-06

Х0 » O.SE-OS

Х0 « 2.SE-0S

0*2%

р» 10% Р»-5%

р«20% Р* « Ю %

Р»2%

Ра-1%

р- 10% Рв»5*

р«20% Ро- ю%

Р«2%

Рв-1%

р » 10% Р

р- 20% Р0« ю%

2.5Е-06

5.0Е-06

2.5Е-05

1.0Е-06

2.0Е-06

1.0Е-05

2.5Е-07

5.0Е-07

2.5Е-06

2.5Е-08

5.0Е-08

2.5Е-07

5.4Е-08

2.5Е-07

5.0Е-07

1.2Е-07

5.2Е-07

1.0Е-06

9.5Е-07

2.9Е-06

5.3Е-06

2.1Е-0В

1.0Е-07

2.0Е-07

4.3Е-08

2.0Е-07

4.0Е-07

2.7Е-07

1.1Е-06

2.1Е-06

5.1Е-09

2.5Е-08

5.0Е-08

1.0Е-08

5.0Е-08

1.0Е-07

5.5Е-08

2.5Е-07

5.0Е-07

5.0Е-10

2.5Е-09

5.0Е-09

1.0Е-09

5.0Е-09

1.0Е-08

5.1Е-09

2.5Е-08

5.0Е-08

5.0Е-06

1.0Е-05

5.0Е-05

2.0Е-06

4.0Е-06

2.0Е-05

5.0Е-07

1.0Е-06

5.0Е-06

5.0Е-06

1.0Е-07

5.0Е-07

5.4Е-08

2.5Е-07

5.0Е-07

1.2Е-07

5.2Е-07

1.0Е-06

9.5Е-07

2.9Е-06

5.3Е-06

6.1Е-0В

1.6Е-07

2.6Е-07

1.6Е-07

3.2Е-07

5.2Е-07

8.7Е-07

1.7Е-06

2.7Е-06

9.5Е-08

1.2Е-07

1.4Е-07

1.9Е-07

2.3Е-07

2.8Е-07

9.6Е-07

1.2Е-06

1.4Е-06

1.06-07

1.06-07

1.06-07

2.06-07

2.06-07

2.1Е-07

1.0Е-00

1.0Е-00

t.OE-OO

6.3Е-08

2.6Е-07

5.1Е-07

1.5Е-07

5.5Е-07

1.0Е-06

1.8Е-06

3.6Е-06

5.9Е-06

2.2Е-ОВ

1.0Е-07

2.0Е-07

4.9Е-08

2.1Е-07

4.1Е-07

4.2Е-07

1.2Е-06

22Е-06

5.2Е-09

2.5Е-06

5.0Е-08

1.1Е-08

5.1Е-08

1.0Е-07

6.6Е-08

2.6Е-07

5.1Е-07

5.0Е-10

2.5Е-09

5.0Е-09

1.0Е-09

5.0Е-09

1.0Е-08

5.4Е-09

2.5Е-08

5.0Е-08

5.0Е-08

2.5Е-07

5.0Е-07

1.0Е-07

5.0Е-07

1.0Е-06

5.1Е-07

2.5Е-06

5.0Е-06

2.0Е-08

1.0Е-07

2.0Е-07

4.0Е-08

2.0Е-07

4.0Е-07

2.0Е-07

1.0Е-06

2.0Е-06

5.0Е-09

2.5Е-06

5.0Е-08

1.0Е-08

5.0Е-08

1.0Е-07

5.0Е-06

2.5Е-07

5.0Е-07

5.0Е-10

2.5Е-09

5.0Е-09

1.0Е-09

5.0Е-09

1.0Е-08

5.0Е-09

2.5Е-08

5.0Е-08

с 8.3.3 и с учетом предположений, перечисленных в В.3.1. Есгм подсистема далекое. логическая подсистема эквивалентна PFHS, PFHt или    соответственно (см. В.3.3.1}.

влияют (в среднюю вероятность отказа.

Архитвх-

Л Л

ig - 0.5Е-07

• 2.5Е-07

Jlc • 0.SE-06

тура

V V

Р-2Ч

Ра*14

р*юч

р ■ 20 Ч Ро»Ю%

0*24

ев-1%

р* то ч Pe-S%

р-20% Ра * «> *

р«2 Ч

Ра»1*

р- то Ч

Ро*«*

0 * 20 Ч Ра* « Ч

1оо1 (см. приме-чанив 2)

0%

5.0Е-08

2.5Е-07

5.0Е-07

60%

2.0Е-08

1.0Е-07

2.0Е-07

90%

5.0Е-09

2.5Е-08

5.0Е-08

99%

5.0Е-10

2.5Е-09

5.0Е-09

1оо2

0%

1.0Е-09

5.0Е-09

1.0Е-08

5.1Е-09

2.5Е-08

5.0Е-08

1.1Е-08

5.0Е-08

1.0Е-07

60%

4.0Е-10

2.0Е-09

4.0Е-09

2.0Е-09

1.0Е-08

2.0Е-08

4.1Е-09

2.0Е-08

4.0Е-08

90%

1.0Е-10

5.0Е-10

1.0Е-09

5.0Е-10

2.5Е-09

5.0Е-09

1.0Е-09

5.0Е-09

1.0Е-08

99%

1.0Е-11

5.0Е-11

1.0Е-10

5.0Е-11

2.5Е-10

5.0Е-10

1.0Е-10

5.0Е-10

1.0Е-09

2оо2

0%

1.0Е-07

5.0Е-07

1.0Е-06

\ЪМ.

приме-

60%

4.0Е-08

2.0Е-07

4.0Е-07

ЧвпПо 6^

90%

1.0Е-08

5.0Е-08

1.0Е-07

99%

1.0Е-09

5.0Е-09

1.0Е-08

1oo2D (см. приме-чанив 3)

0%

1.0Е-09

5.0Е-09

1.0Е-06

5.1Е-09

2.5Е-08

5.0Е-08

1.1Е-08

5.0Е-08

1.0Е-07

60%

1.6Е-09

3.2Е-09

5.2Е-09

8.0Е-09

1.6Е-08

2.6Е-08

1.6Е-08

3.2Е-08

5.2Е-08

90%

1.9Е-09

2.3Е-09

2.8Е-09

9.5Е-09

1.2Е-08

1.4Е-08

1.9Е-08

2.3Е-08

2.8Е-08

99 %

2.0С-09

2.0С-09

2.1С-0Э

1.ОС-ОО

1. ОС-09

1 .ОС-ОО

2.0С-00

2.0С-00

2.1 С-00

2ооЗ

0%

1.0Е-09

5.0Е-09

1.0Е-08

5.4Е-09

2.5Е-08

5.0Е-08

1.2Е-08

5.1Е-08

1.0Е-07

60%

4.0Е-10

2.0Е-09

4.0Е-09

2.1Е-09

1.0Е-08

2.0Е-08

4.3Е-09

2.0Е-08

4.0Е-08

90%

1.0Е-10

5.0Е-10

1.0Е-09

5.0Е-10

2.5Е-09

5.0Е-09

1.0Е-09

5.0Е-09

1.0Е-08

99%

1.0Е-11

5.0Е-11

1.0Е-10

5.0Е-11

2.5Е-10

S.0E-10

1.0Е-10

5.0Е-10

1.0Е-09

1ооЗ

0%

1.0Е-09

5.0Е-09

1.0Е-08

5.0Е-09

2.5Е-08

5.0Е-08

1.0Е-08

5.0Е-08

1.0Е-07

60%

4.0Е-10

2.0Е-09

4.0Е-09

2.0Е-09

1.0Е-08

2.0Е-08

4.0Е-09

2.0Е-08

4.0Е-08

90%

1.0Е-10

5.0Е-10

1.0Е-09

5.0Е-10

2.5Е-09

5.0Е-09

1.0Е-09

5.0Е-09

1.0Е-08

99%

1.0Е-11

5.0Е-11

1.0Е-10

5.0Е-11

2.5Е-10

5.0Е-10

1.0Е-10

5.0Е-10

1.0Е-09

Примечания

1 В настоящей табпшв приведи ы примеры значений PFHд. рэос*гта*ые по формулам в соответствии ил* подсистема иаюлнитегъных элементов входит е состав только одной голосующей группы, то PFHg

2    8 настоящей таблице предполагается, что 6 = 2х£е. Для архитектур 1оо1 и 2оо2 значения 6 и р0 не

3    №тенсивностъ безопасных отказов лртмимэется равной интенсивности опасных отказов и К ■ 0.96.

Хд > 2.SE-06

Х0 - 0.5Е-05

Хд • 2.5Е05

р«2%

Ра«1%

рв 10%

P0-s%

р * 20 % to - Ю %

р в 2 %

Ра-1%

р» 10% рв»5%

р * 20 % Рв »ю%

Р в 2 %

Рв»1*

рв ЮЧ

рд-5%

р» 20% Рв- ю%

2.5Е-06

5.0Е-06

2.5Е-05

1.0Е-06

2.0Е-06

1.0Е-05

2.5Е-07

5.0Е-07

2.5Е-06

2.5Е-08

5.0Е-0В

2.5Е-07

6.3Е-08

2.6Е-07

5.1Е-07

1.5Е-07

5.4Е-07

1.0Е-06

1.8Е-06

3.6Е-06

5.9Е-06

2.2Е-08

1.0Е-07

2.0Е-07

4.9Е-08

2.1Е-07

4.1Е-07

4.2Е-07

1.2Е-06

2.2Е-06

5.1Е-09

2.5Е-08

5.0Е-08

1.1Е-08

5.0Е-0В

1.0Е-07

6.4Е-08

2.6Е-07

5.1Е-07

5.0Е-10

2.5Е-09

5.0Е-09

1.0Е-09

5.0Е-09

1.0Е-08

5.2Е-09

2.5Е-08

5.0Е-08

5.0Е-06

1.0Е-05

5.0Е -05

2.0Е-06

4.0Е-06

2.0Е -05

5.0Е-07

1.0Е-06

5.0Е-06

5.0Е-08

1.0Е-07

5.0Е-07

6.3Е-08

2.6Е-07

5.1 Е-07

1.5Е-07

5.4Е-07

1.0Е-06

1.8Е-06

3.6Е-06

5.9Е-06

8.2Е-08

1.6Е-07

2.6Е-07

1.7Е-07

З.ЗЕ-07

5.3Е-07

1.0Е-06

1.8Е-06

2.8Е-06

9.5Е-08

1.2Е-07

1.4Е-07

1.9Е-07

2.3Е-07

2.8Е-07

9.6Е-07

1.2Е-06

1.4Е-06

1.0С-07

1.0С-07

1.0С-07

2.0С-07

2.0С-07

2.1 С-07

1.0С-06

1.0C-OG

1.0С-06

9.0Е-08

2.8Е-07

5.3Е-07

2.6Е-07

6.3Е-07

1.1Е-06

4.5Е-06

5.9Е-06

7.6Е-06

2.6Е-08

1.1Е-07

2.0Е-07

6.6Е-08

2.2Е-07

4.2Е-07

8.5Е-07

1.6Е-06

2.5Е-06

5.4Е-09

2.5Е-08

5.0Е-08

1.2Е-08

5.1Е-0В

1.0Е-07

9.3Е-08

2.9Е-07

5.3Е-07

5.1Е-10

2.5Е-09

5.0Е-09

1.0Е-09

5.0Е-09

1.0Е-08

5.7Е-09

2.6Е-08

5.1Е-08

5.0Е-08

2.5Е-07

5.0Е-07

1.0Е-07

5.0Е-07

1.0Е-06

5.1Е-07

2.5Е-06

5.0Е-06

2.0Е-08

1.0Е-07

2.0Е-07

4.0Е-08

2.0Е-07

4.0Е-07

2.0Е-07

1.0Е-06

2.0Е-06

5.0Е-09

2.5Е-08

5.0Е-08

1.0Е-08

5.0Е-08

1.0Е-07

5.0Е-08

2.5Е-07

5.0Е-07

5.0Е-10

2.5Е-09

5.0Е-09

1.0Е-09

5.0Е-09

1.0Е-08

5.0Е-09

2.5Е-08

5.0Е-08

с 8.3.3 и с учетом предположений, перечисленных е В.3.1. Есги подсистема дапыкое. логическая подсистема эквивалентна PFHS. PFHL или PFHre соответственно (см. В.3.3.1). влияют на средаюю вероятность отказа.

Лркитвк-

Л Л

Ао* 0.5Е-07

к

а • 2.5С-07

к0 * 0.SE-06

тура

WV

Р-2Ч

Ра*14

р*юч

р ■ 20 Ч Ро»Ю%

0*24

ев-1%

р* ю ч

Pe-S%

р-20% Ра * «> *

р«2 Ч Ра*1*

р- то Ч Ро*«*

0 * 20 Ч Ра* « Ч

1оо1 (см. приме-чанив 2)

0%

5.0Е-08

2.5Е-07

5.0Е-07

60%

2.0Е-08

1.0Е-07

2.0Е-07

90%

5.0Е-09

2.5Е-08

5.0Е-08

99%

5.0Е-10

2.5Е-09

5.0Е-09

1оо2

0%

1.0Е-09

5.0Е-09

1.0Е-08

5.3Е-09

2.5Е-08

5.0Е-08

1.1Е-08

5.1Е-08

1.0Е-07

60%

4.0Е-10

2.0Е-09

4.0Е-09

2.0Е-09

1.0Е-08

2.0Е-08

4.2Е-09

2.0Е-08

4.0Е-08

90%

1.0Е-10

5.0Е-10

1.0Е-09

5.0Е-10

2.5Е-09

5.0Е-09

1.0Е-09

5.0Е-09

1.0Е-08

99%

1.0Е-11

5.0Е-11

1.0Е-10

5.0Е-11

2.5Е-10

5.0Е-10

1.0Е-10

5.0Е-10

1.06-09

2оо2

0%

1.0Е-07

5.0Е-07

1.0Е-06

\ЪМ.

приме-

60%

4.0Е-08

2.0Е-07

4.0Е-07

ЧвпПо 6^

90%

1.0Е-08

5.0Е-08

1.0Е-07

99%

1.0Е-09

5.0Е-09

1.0Е-08

1oo2D (см. приме-чанив 3)

0%

1.0Е-09

5.0Е-09

1.0Е-06

5.3Е-09

2.5Е-08

5.0Е-08

1.1Е-08

5.1Е-08

1.0Е-07

60%

1.6Е-09

3.2Е-09

5.2Е-09

В.ОЕ-09

1.6Е-08

2.6Е-08

1.6Е-08

3.2Е-08

5.2Е-08

90%

1.9Е-09

2.3Е-09

2.8Е-09

9.5Е-09

1.2Е-08

1.4Е-08

1.9Е-08

2.3Е-08

2.86-08

99 %

2.0С-09

2.0С-09

2.1С-0Э

1.ОС-ОО

1. ОС-09

1 .ОС-ОО

2.0С-00

2.0С-00

2.1 С-00

2ооЗ

0%

1.0Е-09

5.0Е-09

1.0Е-08

5.8Е-09

2.6Е-08

5.1Е-08

1.3Е-08

5.3Е-08

1.06-07

60%

4.1Е-10

2.0Е-09

4.0Е-09

2.1Е-09

1.0Е-08

2.0Е-08

4.5Е-09

2.0Е-08

4.0Е-08

90%

1.0Е-10

5.0Е-10

1.0Е-09

5.1Е-10

2.5Е-09

5.0Е-09

1.0Е-09

5.0Е-09

1.06-08

99%

1.0Е-11

5.0Е-11

1.0Е-10

5.0Е-11

2.5Е-10

5.0Е-10

1.06-10

5.0Е-10

1.0Е-09

1ооЗ

0%

1.0Е-09

5.0Е-09

1.0Е-08

5.0Е-09

2.5Е-08

5.0Е-08

1.06-08

5.0Е-08

1.0Е-07

60%

4.0Е-10

2.0Е-09

4.0Е-09

2.0Е-09

1.0Е-08

2.0Е-08

4.0Е-09

2.0Е-08

4.06-08

90%

1.0Е-10

5.0Е-10

1.0Е-09

5.0Е-10

2.5Е-09

5.0Е-09

1.0Е-09

5.0Е-09

1.06-08

99%

1.0Е-11

5.0Е-11

1.0Е-10

5.0Е-11

2.5Е-10

5.0Е-10

1.06-10

5.0Е-10

1.0Е-09

Примечания

1 В настоящей таблшв приведи ы примеры значемы PFHд. рэос*тта*ше по формулам в соответствии шы подсистема иаюлнитегъных элементов входит а состав только одюй голосующей группы, то PFHg

2    8 настоящей таблице предполагается, что 6 = 2х£е. Для архитектур 1оо1 и 2оо2 значения 6 и р0 не

3    №тенсианостъ безопасных отказов пртмимэется равной интенсивности опасных отказов и К ■ 0.96.

Х0* 2.SE-06

0 » 0.SE-D5

« 2.5Е-05

0-2%

Ра«1%

0» 10% Рв-5%

0-20% to - М %

0-2%

0вч%

0-10%

0в»5%

0-20%

0„-1О%

0-2%

Рв»1*

0-10%

Ро-5%

0-20% Рв« »0%

2.5Е-06

5.0Е-06

2.5Е-05

1.0Е-06

2.0Е-06

1.0Е-05

2.5Е-07

5.0Е-07

2.5Е-06

2.5Е-08

5.0Е-0В

2.5Е-07

7.6Е-08

2.7Е-07

5.2Е-07

2.1Е-07

5.9Е-07

1.1Е-06

3.1Е-06

4.7Е-06

6.8Е-06

2.4Е-08

1.0Е-07

2.0Е-07

5.7Е-08

2.1Е-07

4.1Е-07

6.3Е-07

1.4Е-06

2.3Е-06

5.3Е-09

2.5Е-08

5.0Е-08

1.1Е-08

5.1Е-0В

1.0Е-07

7.8Е-08

2.7Е-07

5.2Е-07

5.0Е-10

2.5Е-09

5.0Е-09

1.0Е-09

5.0Е-09

1.0Е-08

5.4Е-09

2.5Е-08

5.0Е-08

5.0Е-06

1.0Е-05

5.0Е-05

2.0Е-06

4.0Е-06

2.0Е-05

5.0Е-07

1.0Е-06

5.0Е-06

5.0Е-08

1.0Е-07

5.0Е-07

7.6Е-08

2.7Е-07

5.2Е-07

2.1Е-07

5.9Е-07

1.1Е-06

3.1Е-06

4.7Е-06

6.8Е-06

В.4Е-08

1.6Е-07

2.6Е-07

1.8Е-07

З.ЗЕ-07

5.3Е-07

1.2Е-06

2.0Е-06

2.9Е-06

Э.5Е-08

1.2Е-07

1.4Е-07

1.9Е-07

2.3Е-07

2.8Е-07

9.8Е-07

1.2Е-06

1.4Е-06

1.0С-07

1.0С-07

1.0С-07

2.0С-07

2.0С-07

2.1 С-07

1.0С-06

1.0C-OG

1.0С-06

1.3Е-07

3.2Е-07

5.5Е-07

4.2Е-07

7.7Е-07

1.2Е-06

8.4Е-06

9.2Е-06

1.0Е-05

З.ЗЕ-08

1.1Е-07

2.1Е-07

Э.1Е-08

2.4Е-07

4.4Е-07

1.5Е-06

2.1Е-06

2.9Е-06

5.8Е-09

2.6Е-08

5.1Е-08

1.3Е-08

5.3Е-0В

1.0Е-07

1.3Е-07

3.2Е-07

5.6Е-07

5.1Е-10

2.5Е-09

5.0Е-09

1.0Е-09

5.0Е-09

1.0Е-08

6.1Е-09

2.6Е-08

5.1Е-08

5.0Е-08

2.5Е-07

5.0Е-07

1.0Е-07

5.0Е-07

1.0Е-06

7.1Е-07

2.7Е-06

5.1Е-06

2.0Е-08

1.0Е-07

2.0Е-07

4.0Е-08

2.0Е-07

4.0Е-07

2.1Е-07

1.0Е-06

2.0Е-06

5.0Е-09

2.5Е-08

5.0Е-08

1.0Е-08

5.0Е-0В

1.0Е-07

5.0Е-08

2.5Е-07

5.0Е-07

5.0Е-10

2.5Е-09

5.0Е-09

1.0Е-09

5.0Е-09

1.0Е-08

5.0Е-09

2.5Е-08

5.0Е-08

с 8.3.3 и с учетом предположен*». перечислены* е В.3.1. Есгм подсистема дапыное. логическая подсистема эквивалентна PFHS. PFHL или PFHre соответственно (см. В.3.3.1). влияют на среднюю вероятность отказа.

Лркитвк-

Л Л

Ао* 0.5Е-07

к

„ • 2.5€4>7

к0 * 0.SE-06

тура

V V

Р-24

Рв-14

р« to%

Pe«S4

р ■ 20 Ч Ро»10 4

0*24

ев-1%

р* то ч

Рв * S %

(1-20% Ре « 10 4

р«2 Ч

Рр-1*

0* то 4

Ро-5Ч

0*204 Ро* юч

1оо1 (см. приме-чанив 2)

0%

5.0Е-08

2.5Е-07

5.0Е-07

60%

2.0Е-08

1.0Е-07

2.0Е-07

90%

5.0Е-09

2.5Е-08

5.0Е-08

99%

5.0Е-10

2.5Е-09

5.0Е-09

1оо2

0%

1.0Е-09

5.0Е-09

1.0Е-08

5.5Е-09

2.5Е-08

5.0Е-08

1.2Е-08

5.2Е-08

1.0Е-07

60%

4.0Е-10

2.0Е-09

4.0Е-09

2.1Е-09

1.0Е-08

2.0Е-08

4.3Е-09

2.0Е-08

4.0Е-08

90%

1.0Е-10

5.0Е-10

1.0Е-09

5.1Е-10

2.5Е-09

5.0Е-09

1.0Е-09

5.0Е-09

1.0Е-08

99%

1.0Е-11

5.0Е-11

1.0Е-10

5.0Е-11

2.5Е-10

5.0Е-10

1.0Е-10

5.0Е-10

1.06-09

2оо2

0%

1.0Е-07

5.0Е-07

1.0Е-06

\ЪМ.

приме-

60%

4.0Е-08

2.0Е-07

4.0Е-07

ЧвпПо 6^

90%

1.0Е-08

5.0Е-08

1.0Е-07

99%

1.0Е-09

5.0Е-09

1.0Е-08

1oo2D (см. приме-чанив 3)

0%

1.0Е-09

5.0Е-09

1.0Е-06

5.5Е-09

2.5Е-08

5.0Е-08

1.2Е-08

5.2Е-08

1.0Е-07

60%

1.6Е-09

3.2Е-09

5.2Е-09

В.1Е-09

1.6Е-08

2.6Е-08

1.6Е-08

3.2Е-08

5.2Е-08

90%

1.9Е-09

2.3Е-09

2.8Е-09

9.5Е-09

1.2Е-08

1.4Е-08

1.9Е-08

2.3Е-08

2.86-08

99 %

2.0С-09

2.0С-09

2.1С-0Э

1.0С-00

1.0С-06

1.0С-О6

2.0С-00

2.0С-00

2.1 С-00

2ооЗ

0%

1.1Е-09

5.1Е-09

1.0Е-08

6.6Е-09

2.6Е-08

5.1Е-08

1.6Е-08

5.5Е-08

1.06-07

60%

4.1Е-10

2.0Е-09

4.0Е-09

2.3Е-09

1.0Е-08

2.0Е-08

5.0Е-09

2.1Е-08

4.1Е-08

90%

1.0Е-10

5.0Е-10

1.0Е-09

5.2Е-10

2.5Е-09

5.0Е-09

1.1Е-09

5.1Е-09

1.06-08

99%

1.0Е-11

5.0Е-11

1.0Е-10

5.0Е-11

2.5Е-10

S.0E-10

1.06-10

5.0Е-10

1.0Е-09

1ооЗ

0%

1.0Е-09

5.0Е-09

1.0Е-08

5.0Е-09

2.5Е-08

5.0Е-08

1.06-08

5.0Е-08

1.0Е-07

60%

4.0Е-10

2.0Е-09

4.0Е-09

2.0Е-09

1.0Е-08

2.0Е-08

4.0Е-09

2.0Е-08

4.06-08

90%

1.0Е-10

5.0Е-10

1.0Е-09

5.0Е-10

2.5Е-09

5.0Е-09

1.0Е-09

5.0Е-09

1.06-08

99%

1.0Е-11

5.0Е-11

1.0Е-10

5.0Е-11

2.5Е-10

5.0Е-10

1.06-10

5.0Е-10

1.0Е-09

Примечания

1    В настоящей таблшв приведет примеры знача ми PFHд. рэос*гт»*ые по формулам е соответствии ил* подсистема ислолнитетъных элементов входит в состав только одной голосующей группы, то PFHg

2    8 настоящем таблице предполагается, что 6 = 2х£е. Для архитектур 1оо1 и 2оо2 значения 6 и р0 не

3    №тенсивностъ безопасных отказов пртимэется равном интенсивности опасных отказов и К ■ 0.96.

Х0* 2.SE-06

0 • 0.5E-D5

« 2.5Е-05

0-2%

Рв«1%

0-10%

0e-S%

0-20% to - М %

0-2%

0в«1%

0-10%

0„»5%

0-20%

0„-1О%

0-2%

Рв»1*

0-10%

0о-5%

0-20% 0в« ‘0*

2.5Е-06

5.0Е-06

2.5Е-05

1.0Е-06

2.0Е-06

1.0Е-05

2.5Е-07

5.0Е-07

2.5Е-06

2.5Е-08

5.0Е-0В

2.5Е-07

1.0Е-07

2.9Е-07

5.4Е-07

3.1Е-07

6.8Е-07

1.1Е-06

5.8Е-06

б.ЭЕ-06

8.5Е-06

2.9Е-08

1.1Е-07

2.1Е-07

7.4Е-08

2.3Е-07

4.2Е-07

1.1Е-06

1.7Е-06

2.6Е-06

5.5Е-09

2.5Е-08

5.0Е-08

1.2Е-08

5.2Е-0В

1.0Е-07

1.0Е-07

3.0Е-07

5.4Е-07

5.1Е-10

2.5Е-09

5.0Е-09

1.0Е-09

5.0Е-09

1.0Е-08

5.6Е-09

2.6Е-08

5.0Е-08

5.0Е-06

1.0Е-05

5.0Е-05

2.0Е-06

4.0Е-06

2.0Е-05

5.0Е-07

1.0Е-06

5.0Е-06

5.0Е-08

1.0Е-07

5.0Е-07

1.0Е-07

2.9Е-07

5.4Е-07

3.1Е-07

6.8Е-07

1.1Е-06

5.8Е-06

б.ЭЕ-06

8.5Е-06

В,ЭЕ-08

1.7Е-07

2.7Е-07

1.ЭЕ-07

3.5Е-07

5.4Е-07

1.7Е-06

2.3Е-06

32Е-06

9.6Е-08

1.2Е-07

1.4Е-07

1.ЭЕ-07

2.3Е-07

2.8Е-07

1.0Е-06

1.2Е-06

1.4Е-06

1.0С-07

1.0С-07

1.0С-07

2.0С-07

2.0С-07

2.1 С-07

1.0С-06

1.0C-OG

1.0С-06

2.1Е-07

3.8Е-07

6.1Е-07

7.3Е-07

1.0Е-06

1.4Е-06

1.6Е-05

1.6Е-05

1.6Е-05

4.6Е-08

1.2Е-07

2.2Е-07

1.4Е-07

2.9Е-07

4.7Е-07

2.8Е-06

3.2Е-06

3.8Е-06

6.6Е-09

2.6Е-08

5.1Е-08

1.6Е-08

5.6Е-0В

1.0Е-07

2.1Е-07

3.9Е-07

6.2Е-07

5.2Е-10

2.5Е-09

5.0Е-09

1.1Е-09

5.1Е-09

1.0Е-08

6.9Е-0Э

2.7Е-08

5.1Е-08

5.1Е-08

2.5Е-07

5.0Е-07

1.1Е-07

5.1Е-07

1.0Е-06

1.4Е-06

3.2Е-06

5.SE-06

2.0Е-08

1.0Е-07

2.0Е-07

4.0Е-08

2.0Е-07

4.0Е-07

2.6Е-07

1.0Е-06

2.0Е-06

5.0Е-09

2.5Е-08

5.0Е-08

1.0Е-08

5.0Е-0В

1.0Е-07

5.1Е-08

2.5Е-07

5.0Е-07

5.0Е-10

2.5Е-09

5.0Е-09

1.0Е-09

5.0Е-09

1.0Е-08

5.0Е-09

2.5Е-08

5.0Е-08

с 8.3.3 и с учетом предположен»!. перечислены* е В.3.1. Есть подсистема дапыное. логическая подсистема эквивалентна PFHS. PFHL или PFHre соответственно (см. В.3.3.1). влияют на среднюю вероятность отказа.

В.3.34. Пример режима работы высокой интенсивности запросов и/ы в режиме с нелрерыв»*ы запросом Рассмотрим функцию безопасности, для реализашш которой нужна система УПБ2. Пусть переонэчалыый вариант архитектуры всей системы, построеншй на основе предыдущего опыта, включает одну группу из двух датчиков с архитектурой 1оо2 на входе. Логическая подсистема рассматриваемой системы представляет собой ПЗ систему с избыточностью с архитектурой 2ооЗ и управляет одним закрывающим контактором. Архитектура описанной системы представлена на рисунке В.15. Для этой системы оценим значение при шестимесячном югтервапе между контрольньыи проверками. Таблицы В.14—В.16 являются фрагментами таблицы В.12 для соответствующих даиых на рисунке В.15.

Подсистема gar марь

Лот мекал паасистема

Поят Стана


Примечание —Доля безопасных отказов для подсистемы исполнительных элементов превышает 60 %.

Рисунок В.15 — Архитектура системы рассматриваемого примера для режима высокой интенсивности запросов или режима с непрерывным запросом

Таблица В.14 — Средняя частота опасных отказов для подсистемы датчиков е рассматриваемом примере режима работы высокой интенсивности запросов или режима с непрерывным запросом (шестимесячны интервал контрогъных проверок и среднее время ремонта 8 ч)

Архитестура

ОС

Ка - 2 5Е-04

Р»2%

P0-t%

р-ю-к

Рд*5%

р-20%

1оо2

0%

7.6Е-08

2.7Е-07

| 5.2Е-07

60 %

2.4Е-08

1.0Е-07

2.0Е-07

90%

5.3Е-09

2.5Е-08

5.06-08

99%

5.0Е-10

2.5Е-09

5.06-09

Примечание — Настоящая таблица представляет собой фрагмент тэбгмцы В. 12.

Аряигестура

ОС

Ха - O.SE-OS

Р-2%

Р- 10S

р>20«

Р0»1%

Р0-5%

Ро-10Ч

2ооЗ

0%

4.2Е-07

7.7Е-07

1.2Е-06

60%

9.1Е-08

2.4Е-07

4.4Е-07

90%

1.3Е-08

5.ЭЕ-08

1.0Е-07

99%

1.0Е-09

5.0Е-09

1,06-08

Примечание — Настоящая таблша представляет собой фрагмент табгыцы В.12.

Таблица В.16 — Средняя частота опасных отказов для подсистемы исполнительных элементов в рассматриваемом примере режима работы высокой интенсивности запросов или режима с непрерывным запросом (шестимесячный интервал контрогъных испытаний и среднее время ремонта В ч)

Архитектура

ОС

10 > O.SE-06

1оо1

0%

| 5.0Е-07

60 %

2.0Е-07

90 %

5.0Е-08

99 %

5.0Е-09

Примечание — Настоящая табпща представляет собой фрагмент тэбгмцы В.12.

Датые табгещ В. 14—В.16 позволяют получить следующие значения:

•    для подсистемы датчиков:

PFHS = 5,2х10*7У*

•    для логической подсистемы:

PFHi = 1.0x10*»/*

•    для подсистемы испопнителыых элементов:

PFHfe = 5,0x10*'/*

следовательно, для функции безопасности:

PFHsys - 5.2х 10*г + 1.0x10*» + 5.0Х1О-7 = 1.02x10*»//? в уровень потмоты безопасности 1.

Для перевода системы на урооои> полноты безопасности 2 выполняет одно из следующих действий: а) изменяют тип и способ установки входного далека для улучшения защиты от отказа по общей причине. Тают образом стекая значение р от 20 % до 10 %, а р0 от 10 % до 5 %. получаем:

PFHS = 2.7Х-Ш-1.

*    п

PFHl = I.Ox-I^l.

PFHee = S.Ox-1^1.

PFHSys к 7.7x 10'1 fh e уровень потмоты безопасности 2;

Ь) заменяют единственное выходов устройство двумя устройствами с архитектурой 1оо2 (р = 10% и р0 = 5%): PFHS = 52

PFHL =

PFHpe = 5.1 хЖ-,

PFHsrt = 5.7х10'7

s уровень логмоты безопасности 2.

В.4 Логическим подход

В.4.1 Общие положения

Логический подход представляет собой методы, использующие логические фумсции. которые связывает отказы отдельных компонентов с обиеш отказом систем*. Основными логическими моделями, испогъзующиьы-ся в надежности, являются блок-схем* надежности, деревья отказов, деревья событий и причинно-следствен-ше диаграммы. В настоящем стандарте рассматриваются только первые два метода. Целью всех этих методов является предсгаапение логической структуры системы. Тем не менее 8 моделях этих методов не учитывается ее поведение во времени. Поэтому при проведении расчетов необходимо проявлять осторожность при рассмотрении хврагтеристис поведения системы (например, зависимых от времени характеристик типа периодических контрольна проверок). Первым шагом для применения логических моделей является отдаление графического представления системы от вычислений. Это было описано в предыдущем разделе, где блок-схема надежности используется для моделирооаня структуры системы, а расчеты на основе моделей Маркова — для оценки PFD иль* PFH. Далее будут рассматриваться вероятностные расчеты для методов блок-схемы надежности и дерева отказов.

Данный подход ограничен тем. что поведение компонентов считается достаточно независимым друг от

Яруга.

В.42 Модель блок-схемы надежности

Ранее было рассмотрено множество примеров бпок-схекы надежности, например, на рисунке В.1 представлена полная система безопасности, состояцая из трех сенсоров (А. В. С), работающих по схеме 1ооЗ. одного логического решающего устройства (D) и двух исполнительных элементов (Е. F). работающих по схеме 1оо2.

Рисунок В.16 — Блок-схема надежности простой полной системы бвэопэоюсти с датчикам*.

организованными по схомо 2ооЗ

На рисунке В.16 представлена простая система безопасности с датчиками, работающими по схеме голосования 2ооЗ. Основное удобство такого графического представления объясняется тремя позициями, оно очень близко к физической структуре изучаемой системы, дорого используется в среде инженеров и оно наглядно, что удобно для обсуждения.

Основной недостаток блок-схемы надежности состоит в том. что этот метод в большей стелем* является методом представления, чем методом анализа. См. МЭК 61508-7. п. С.б.4 и [2].

8.4.3 Модель дерева отказов

Деревья отказов имеют те же свойства, что и блок-схемы надежности, но в дополнение ко всему они предоставляют эффективный дедуктивный (сверху вниз) метод анализа, помогающий инженерам по надежности разрабатывать модели шег за шагом от события верхнего уровня (нежелаемого или недопустимого) к отказам отдельных компонентов.

Аналю сверху-аню


Рисунок В.17 — Простое дерево отказов, эквивалентное блок-схеме, представленной на рисумсе В.1

Рисунок В.17 показывает дерево отказов, которое является идеальным аналогом блок-схемы надежности, представленной на рисунке В.1. но с указажьам сверху вниз шагами анагмэа {например, отказ Э/ЭЛ1Э системы, связанной с безопасностью => отказ датчика => отказ датчика А). В дереве отказов элементы, работающие последовательно, соединены оператором «ИЛИ», в злом он гы, работающие параллельно (реализующие резервирование). — оператором «И». См. МЭК 61508-7, пункты В.6.6.5 и В.6.6.9 и (4).

В.4.4 Расчет PFD

В.4.4.1 Обшие положения

Блок-схема надежности и дерево отказов представляют одно и то же и расчеты могут быть выполнены похожим способом. Рисунок 18 показывает небогъиюе сходство методов дерева отказов и бпок-схеьы надежности. которое будет испотъэовэно для демонстрации ооюеных принципов вычислений.


Примечание — На рисуме курсивом обозначены отказавшие элементы, не курсивом — работающею Рисунок В.18 — Эквивалентность дерева отказов и блок-схемы надежности

Дерево отказов описывается логической функцией St- О и (ЕЛ F), где Sf—это отказ системы, a D. Е и F — отказы отдельных компонент. Блок-схема надежности описывается логической функцией Sw = D О (£ и Р), где Sw — это правильно функциотрующая система, a D, Е и F — править но функционирующие отдельные компоненты. Тогда S/ » НЕ Sw. a S/ и Sw представляют абсолютно идентичную тформацюо (т. в. являются дуалыыьы (двойствежыми) логическими функциями).

Главное предназначение дерева отказов и блок-схемы надежности состоит в определении комбинаций отказов раэгых компонент, ведущих к общему отказу системы. Ом также называются минимальными сечениям, потому что указывают, где «разрезается» блок-схема надежности, в резутътате чего сигнал, поданый на вход, не достигнет выхода. В данном случав имеем два вида сечений: одмючный отказ (О) и двойной отказ (Е. F).

Применяя методы теормч вероятности к логическим функциям, можно нелосредсгооню вычислить вероятность отказа рассматриваемой системы Ри

Pst-P{D)*P(E<\F)-P(Drl£fiF).

Есгы компоненты системы независимы, то эта формула имеет вид.

р - р + р р _ р р р St О ErF *0 Г£ ГЕ ■

где Р, — отказавший нй компонент.

Данная формула является независимой от времени и отражает тогъко логическую структуру системы.

Таким образом и блок-схема надежности и дерево отказов являются в основе своей статическим!, т. в. моделями. независимыми от времени.

Тем не менее, если вероятность отказа каждого отдельного компонента в момент времени f не зависит от того, что происходит с другим компонентом в ягтереале f0. fj, то указанная выше формула остается правильной в гвобой момент времени и мы можем написать:

Pst (0 =    0 + Ре (0Pf (0 - PdfiP* (0PF (О-

Аналитик должен проверить, применим! гм требуемые приближения и. наконец, можно получить неготовность системы иа (0 в комсретный момент времени t

l>s, (0 = t/o<0 - UE МЦ, (0 - UJWt <0°F to-

Из этого можно сделать вывод, что деревья отказов и блок-схемы надежности позволяет вычислить мгновенную неготовность Ug, <0 Э/Э/ПЭ системы, связанной с безопасностью, и в соответствии с В.2.2 далее можно вычислить:

РРОмд[Г) = -1 МОГ(Г) = J-J^srtO*

Даяый подход может быть применен и для минимальных сечений:

-    одкьюжый отказ (D): PDF°{t) = Х0 tat = XD t/2:

-    двойной отказ (Е. F): POPf^(t) =    Х.£ггЛ = i.gi.pt2 /3.

В.4.4.2 Вычисления, выполняв**^ для рвапизацт методов дерева отказов или блок-схемы надежности Описанная емив формула USf (Г) “ L/0(/> « U£ (f) — U0{iyU£ (t)U£ (Q является честным видом так называемой формулы Пуанкаре. Более общая формула, когда S/ = UCr где (С ) представпяег собой минимальмю сечения системы, имеет вид.

« ,-w-» .

XXX P(C,nGnC*)-...

1-3 i-2 *-i


Ы}= i^)-1 'х р(с^а)

/-1 ) /-1 /.1

С уеетчением количества отдельных компонент число имтмальшх сочотмй растет экспоненциально. В этом случае формула Пул ядро приводит к комбинаторному взрыву числа вычисляемых элементов, что вручную выполнить невозможно. К счастью, эта проблема анализировалась в течение последних сорока лет и были созданы многочисленные алгоритмы для выполнения подобных расчетов. На сегодня наиболее эффективные разработки основам* на так называемой бинарной диаграмме решений (Binary Decision Diagrams. BDD). которая получена из развитого Шенноном разпожетя логической фундим.

Множество коммерческих программных пакетов, основанных на моделях дерева отказов, используются жженераам по надежности в повседневной практике в различное отраслях промышленности (атомная, нефтяная. аэронавтика, автомобилестроение и т. д.). Они могут быть использованы для расчета PFDo>i?. но аналитик должен быть очень осторожным, потому что некоторые из них реализуют вычисление РРОа^ некорректно. Основной ошибкой является неправильное вычисление сочетания ЯГО , отдельтх компонентов (как правило, получаемых просто как ХР2) для получения гфадполагаемого результата для РГО^ всей системы. Как было показано выше, результат оказывается неверным и неконсереэтивным.

Во всяком случае, программные пакеты, основан к*о на методе дерева отказов, могут быть испогъзоеаны для вычисления мгновенной неготовности системы 1/9 (0 исходя из мгновенной неготовности компонентов tft (1). После этого может быть вычюлвно среднее значение и9 {() за определенный период времени для нахождегмя PFD9/g. В зависимости от используемого программного обеспечения это может быть сделано самим программным пакетом или используя дополнительные вычисления.



Рисунок В.19 — Мгновенная неготовность U(f) отдельного периодически проверяемого элемента

Ранее описан ый идеальный случай показан слева на рисунке В.19:

Ц{0 = л£и£ = 1по модугао т.

Эта так назьеавмая «зубчатая» кривая увеличивается линейно от О до ?lt и начинается снова с 0 после испытания или ремонта (которые считаются мгновенным*, т. к. в это время УО не работает).

Когда в структурах с резервированием используются нескжъко компонентов, испытания могут иметь графт*. как показано отрава на рисунке В.19, где первый м-гтервал проверки отличается от других. Это не влияет на PF0Oiq или на максимальные значения, которые равны kd2 и \х в этих случаях

Конечно, в неидеальном случае кривые могут быть более сложными, чем показаны на рисунке В.19. В В.5.2 будут даны руководящие указания по проектированию более точных зубчатых кривых, но для целей данного пункта вид кривых, представленных на рисунке В.19. вполне приемлем.

На рисунке В.20 проиллюстрировано применение данного подхода к небольшому дереву отказов, представленному на рисунке В.16 (на рисунка В.20 DU означает необнаруженные опасности, a CCF — отказы по общей причине). Мы упоминал*, что система имеет два дублирующих компонента (£ и F) и что О — общая приема отказа этих компонент. Для вычисления использовались следующие знэчетя:

кщ = 3.5х 10'6/Ч г = 4 380 ч и р * 1 %.

Коэффициент р был выбран так. чтобы быть уверемым. что CCF не привал*р)ют в результирующем з>кмо мм PFDJlXj. и чтобы получить лучшее понимание, как в данном методе обмеляется PFD^ .


Нетрудно понять, что ею зубчатой кривой не входах D. £ и F аналогии» левой кривой на рисунке В.19. CCF (О) проверяется каждьм раз. когда проверяется £ или F.E и F проверяются е одно и то же время каждые 6 месяцев. CCF{D) также проверяется каждые 6 месшев.

Испогъзуя один из алгоритмов, разработанных для вычисления дерева отказов, доеогы-ю просто сфоркы ровать зубчатую кривую на выходах каждого логического блока. PFQ^ вычисляется путем усреднения реэутыа-тов. полученных для события верхнего уровня. Это может быть выполнено, если использовать как программное обеспечение метода, так и расчет вручную. Полученное качение для PFD^ = 1.4x10-* в соответствии с настоящим стандартом соответствует уровню УПБ 3 для режима работы с низкой нигенсивносгью запросов.

Как показано на рисунке 8.20. графики между проверками сглаживаются. Поэтому вычислить среднее значение несложно при условии, что определен и учтен момент проверю*.

Интересно отметить, что если реализовано резервирование, то зубетые кривые событий верхнего уровня между проверками становятся непиненмыми (i в. интенсивность отказа всей систем* больше не является постоялой величиной).

Также интересна оценка алия имя на PFDa^ сдвига по времени испытаний дублируюинх компонент вместо проведения их е одно и то же время. Это показано на рисунке В.21. где проверки компоненты F сдвнмуты по времени от проверок компоненты £ на три месяда.

Это приводит к ряду важных последствий

- CCF теперь проверяется каждые три месяца (ъ е. каждьм раз. когда проверяют £ и каждьм раз, когда проверяет F). Частота контрольных испытаний в два раза выше, чем в предыдущем случае.

•    Зубчатый график события верхнего уровня также имеет «астату контрольных проверок в два раза выше, чем раньше.

•    Зубчатый график имеет moi кшио отклонения относнтегъно среднего значения по сравнению с предыдущим случаем.

•    PFD__снизилось до значения 8.3 х 10-*: с этой новой погмтикой проверки система достигла УПБ4.

20000


_

CCF

DU отказ


10000


Независимый DU отказ



0 0е»0

а//

mat

10000


20000


20000

Рисунок В.21 — Влияние смещения проводок


Есгм проверки смещены относительно друг друга и реагмэоеаны корректные процедуры, то это увеличит вероятность обнаружения CCF и является эффективным методом уменьшения CCF для систем, работающих в режиме ннсэхой интенсивности запросов. Это позволило улучшить значение УПБ с УПБЗ до УПБ4 (для отказов аппаратных средств и при условии, что выполнены другие требования МЭК 61508).

Рисунок В.22 представляет зубчатую кривую, полученную при последовательном добавлении к системе, смоделированной на рисунке В.20. элемента G (А^ = 7х 10-9/ч при отсутствии проверок) и элемента Н = = 4х10~*Л< с контрольными проверка!» каждые два года).

Рисунок 0-22 — Пример комплексного шаблона проверки

Влипаю никогда не проверяемого элемента 6 двоякое: PFD(Q никогда не примет нулевое знэчете. есгы проверки проводятся каждые два года и значоиио PFD^ непрерывно возрастает {черные точки соответствуют PFD 8 течение периода, ограниченного соответствующей пунктирной гинией).

даже если простейшие зубчатые кривые (как. например, показаны на рисунке В.19) довольно просты, результаты для события верхнего уровня могут быть довольно сложными, но это не затрудняет применение метода.

Цетъ настопцего пункта заключается только в демонстрации принципа расчета с истогьэооаниом логических моделей. В.5.2. относящиеся к марковскому подходу, содержит ряд рукоеодяцих указаний по созданию болев сложных входных зубчатых кривых для элементарных компонент

Можно сделать вывод о том. что если отдельные компоненты являются относительно независимыми, то нет пробоем при вычислен» PFDa>1) для Э/ЭЛТЭ системы, связанной с безопасностью, с помощью классических логических методов. С теоретической точки зрения это не так просто, и аналитик, проводящий исследование, должен иметь глубокие эю>мп о ооролт пост пыж методах, чтобы оылоить и отклонить иногда остро-оющиоол некорректные значения PFD^. При условии еыпогненыя этих мер предосторожности может быть использован гаобой программный пакет для расчета деревьев отказов.

Для расчетов PFH также могут быть ислользоваш поп мостив методы, но их теоретическое обоснование выходит за рамки данного приложения.

8.5 Подходы, основанные на моделях состояким/переходов

8.5.1 Основные положения

Логические модели в основном не зависят от времени и введение понятия времени возможно только в некоторых особых случаях. Они довольно искусствен»** и. чтобы избежать ошибок, требуют хорошего знамя вероятностных методов. Поэтому в ташх случаях могут быть испольэова»ы другие вероятностные модели, динамические по природе. В области надежности они основаш на следующем фундаментальном подходе, состоящем их двух эт алое:

•    определение всех состояний системы на этапе изучения:

•    анализ переходов системы из состоя»*» а состояние а соответствии с происходящими событиями и на протяжен*» их сущестаоеа»*».

Именно поэтому они находятся в категории моделей состояний-переходов.

Основной подход состоит в построении для изучаемой системы некоторой модели поведения автомата с вознжаюшиьы событиями (отказами, ремонта*», испытаниями и т. д.). В настоящем стандарте омтэется. что ЭО/ПЭ системы, связанные с безопасностью, имеют только дискретные состояния. Данные модели являются фыамичестими по своей природе и могут быт реализованы различными способа!»: графическим представле»»-вы. специальным формальным языком или утывереальным языком программирования. В данном приложен-»» представлены два из них. которые существе»**» различается, но дополняют друг друга:

•    модегъ Маркова, которая разработана в самом начале прошлого века. Она хорошо изучена и обрабатывается аналитически;

• сеть Петри, которая была разработана а 60-х годах. Она менее известна (но все больше и больше испогъ-эуется из-за ев гибкости) и применяется совместно с моделированием методом Монте-Карло.

Оба способа основаны на графическом представлении, что очень удобно пользователям. Другие методы основываются на моделях, лежащих е основе формальных зыкое. что будет кратко рассмотрено в те данного раздела.

В.5.2 Подход Маркова

В.5.2.1 Пришил моделирования

Марко вех ий подход является самым известным из всех дягамических подходов в области надежности. Марковские процессы разделяются на гомогенные (или однородные промессы, в которых все интенсивности переходов являются посгояыыми ветчинами) и прочие (полумарковские процессы). Т. к. будущее гомогенного процесса Маркова не зависит от его прошлого, то выполняемые аналитические вычислогип являются относительно простыми. Для более сложного, полумэрковского процесса может быть испогъэоеан метод моделирования Монте-Карло. Настоящий стандарт рассматривает только гомогенные процессы и для упрощетя термж «марковские процессы» испогъзуется именно в этом омеле (см. МЭК 61508-7. л. С.6.4 и (5)).

Основная базовая формула для марковских процессов

*•!    \ A»f

где А*, — жтенсиеностъ перехода (т. е. частота отказов или ремонтов) из состоят* г в состоите к. Понятно, что вероятность нахождения а состоянии г в момент еромоги t+dt является вероятностью перехода к состоянию к (если другим состоямем является к) иш вероятностью пребывания в состоянии i (если система уже находится в этом состоянии) на протяжении врсмоги с I по t+dt.

Приоритет

/порёмонту




Рисунок В-23 — Граф марковской модегы. огмсываюшей поведете системы из двух компонент

Гупьыттяует твгхая гяа«, между формулой, укачанной рышв и графимпогим предгтаппемием ыя ригуы-ке В.23. которое моделирует систему, состоящую из двух компонент с одной командой ремонта (компонент А имеет богъший приоритет на ремонт) и общей причиной отказа. На данном рисунке А обожэчает, что компонент А — в рабочем состоянии. А — в состоянии отказа. Так как необходимо учитывать время обнаружения. и цА на рисунке 8.23 являются частотам* еосстэновлетя компонентов (т. е. = VMTTRa и ji6 =MtufTTRb).

Например, вероятность нахождения в состоянии 4 просто вычисляется по следующей формуле

Р«<( + <*) = [Р,(0^г + Рз(0<Ь>+ЪЛ + Рз(0+ К*)} Л + Р<(0(1 -Что приводит к дифференциальному уравнению в векторной форме dP{i)tdt ~ (Af)P(t), которое условно разрешимо:

Р(0 = в,,м,Р(0).

где М — матрица Маркова, содержащая частоты переходов, а Р(0) — вектор начагъных условий (обычно вектор-столбец с 1 для нэчагьного состояния и 0 для остальных).

Даже если экспонента матрицы имеет не точно такие же свойства, как обычная экспонента, то можно записать:

Pi г» =    e'Wp(0) = e(,*M«M«P{fi).

Это показывает базовое свойство марковских процессов: знание вероятностей состояний в заданный момент времени {1 есть сумма знаний всех предодущих и этого достаточно для аытслетя поеедетя системы после момента времени И. Это очет полезно для вычисления PFO.

Для решения указанных ypaoi о мй уже давно были разработаны эффективше алгоритмы и реализооаш в програшчых пакетах. Поэтому при использовании данного подхода анагмтик может только строить моде/ы и не вникать в лежащую в основе математику, хотя в любом случае он должен понимать, по крайней мере то. что представлено в данном приложен»!.

Рисунок В.24 показывает прикыл расчета PFD.


Расчеты PFD относятся к Э/ЭЛТЭ системам, связанным с безопасностью, работающим в режиме работы с мокой интенсивностью запросов и с периодическими (контрольными) проверками. Для подобных систем ремонты начинаются тогько после проведения проверок. Моменты выпогмения проверок является особыми инками на временной оси. но вмогофаэный подход Маркова может быть использован для решения этой проблемы.

Например, в простой системе производится периодическая проверка одного компонента, имеющего три состояния, как показано на рисунке В.24: рабочее, необнаруженной опасный отказ (DU) и ремонт (R).

Его поведете между истытаниявм моделфуется марковским процессом, показа ■ пом сверху на рисунке В.24: он может отказать (IV-> DU) ит быть в ремонте (R -> W). Так как ремонт не может начаться во время интервала проверки, то нет и перехода от DU к R. Ввиду того, что доагиоспжа отказа производится после перехода в состо-пио R. ц является частотой ремонта компонента (т. е. ц = UMRT) на рисунке В.24.

Когда испытан» уже проведено (см. матрицу связей на рисунке В.24). начинается ремонт, есть произошел отказ (DU -> R), или компонент продолжает работать, если он находится в нормахъно функционирующем состоянии (W -> W) и в совсем уж гипотетической ситуации, когда ремонт, который начался еще после предыдущей проверки, еще не завершился и продолжается (R -> R). Матрица связей [1] может быть испогьэоеана для вьг-мс-ления начальных условий в начале состояния /+1 из вероятностей состоя мй в ижде состояния г. В результате получаем следующее ураакнме:

Р«/(0)

0 0 1

Рои(т)

Ри(0)

=

0 1 0

Риг(т)

Р«(0)

и)

о о 1

Р*<*) .


Рщ (0) = [L]R(t).

Замена F> (т) его значением приводит уравнение к реккурентному виду, что позволяет вьмисгмтъ качагь-ные условия в начале каждого проверочного ялервала:

^.1 ’ (0)-Ще',<чв(0).

Даннов выражение может быть использовано для вычислетя вероятностей в любой момент времени f = / т + £. Например, во время тестового интервала / получается следующее выражение

(* — 1 )т SI < ft. ;*<modT.

Полупить значение мгновенной недоступности можно путем простого суммирования вероятностей состоящем. когда система недоступна. Для аьражещня мгнооонюй недоступностм полезен ткеюый вектор (<7А):

где qk - 1 означает, что система недоступна в состоянии к. иначе qt = 0.

Для простой модели получается выражение PFO(Q = Щ1) = P^t) * РдДО) и зу&«атая кривая выглядит, как на рисунке В.25.

PFDj - вычисляется описанньа* ранее способом через МОТ. что легко получить из среднего учтенного времени [МсТ). проведенного системой в этих состоятмях

ист ' (Г) «£****.

Как и для Р(Т). существуют эффективные алгоритмы для вьмисламп этого мчтеграла на отреже [0. 7] и оюичатетъно полу*-еем: PPD+,q(П =    МСТк{Т).


pfm

Рисунсж В25 — Зачатая кривая, полученная с помешано многофазного марковского подхода

Применяя ддщуто формулу к модели, показанной на рисунке В.24. получаем:

PFDafV (Г) = -1[МСТ0(/(Г) + МС7Я(Г)1-

Из формулы можно убрать первое слагаемое, если УО был выкгочен в момент ремонта. Черная точса на рисуме В25 — это PFD. зубчатой кривой для всего периода вычислений.

'*•оо

R


W

V >j2

Рисунок В.26 — Приближенная марковская модель

Необходимо отметить, что указамые аькие вычисления обычно производятся с ислотъэоващмем приближенной марковской модели, показакмой на рисунке В26. где состояния DU и R связаны и где т/2 (ъ е. среднее время до обнаружения отказа) испотъзуется как эквивалент времени еосстаноелемтя. Это верно, если толью уравнение Маркова было решено раюо другим методом е цепях нахождения данного равенства. Приближение применимо, только ест время ремонта незначительно. Этот метод может встретить бопьиие затруднения для богъших сложных систем.

Простая модель, показанная на рисунке В24. может быть легко усовершенствована для более реальных, компонентов. На рисунке В27 матрица связи моделирует компонент, который как с вероятностью у может оказаться в состоянии отказа при запросе (то есть реальный отказ при эалроое). так и с вероятностью о может оказаться, что отказ не был обнаружен при проверке (вследствие ошибки человека).

Вид зубчатой фивой изменился и скачки, наблюдаемые для каждой проверю*, соответствуют вероятности отказа у. И опять черная точа представляет собой PFD.

*9



Рисунок В.27 — Влияние на отказы самого запроса

Коша (реэеретм} компонент отключен для проверки, он становится недостутыым во время всего проведения испытания и это влияет на его PFD41^. Таким образом, должна быть учтена продолжитегъность иаытания к и введена дополттегъная фаза между проверочными интервалами. Это показано на рисунке В.28. где состояния R и W смоделированы в данной фазе только ради полноты картин**.


В данной марковской модели система недоступна в состояниях R. DU и Tv. Это несколько сложнее, чем раньше, но принцип расчетов остался точно таким же. Поведение зубчатой кривой показано на рисунке В.28 справа — система недоступна во время проверок и это может быть основным вкладом в PFD

На предыдущем марковском графе рассматривались толы» опасные необнаруженные отказы, но опасные обнаруженные отказы тоже могут быть представлены. Отгмчие а том. что ремонт начмается точно а тот момент, как показано на рисунке В.29. Таким образом. Цдо — это интенсивность восстановления компонента (Цдо = MMTTR), а рэд — интенсивность ремонта (рвд = 1/JWRT).

В случав но об ходимости должны быть отражены и безопасные отказы, но е данном случае для простоты это не делается.

Основная проблема с марковскими графами в том. что «отчество состояний растет экслонечиально при увеличен»* количества компонентов изучаемой системы. Так что построение марковских графов и проведете указанных выше расчетов вручную без серьезного прибтжвния очень быстро становится невыполнимым.

Ислогъзование эффективных программных пакетов для марковских моделей помогает справиться со сложностями вычислен»*. Существует огромное количество достутмых пакетов, даже ест они не обязательно непосредственно применимы для вычислений PFDбольимнство из них предназначены для вычисления мгновенной недоступности, но только некоторые из них вычисляют среднее накопленное время нахождения системы в конкретных состоямтях. и тогько еомеды позволяют прозвсдить кькхофаэное модели рооамо. В любом случав их не тая сложно адаптировать для вычиспеьмя PFO^.

Марковский граф    Матрица связей

Рисунок В.29 — Многофазная модеп» Маркова с отказами DO и DU

Что касается самого моделирования, если зависимости между компонентами слабые, марковский и логический подходы могут быть объединены:

•    марковская модель мажет быть испогъэована для установления мтовенной недоступности для каждого из компонентов:

•    деревья отказов и гы бпок-схевы надежности используются для объединения отдельных недоступностей для вычисления мтовенной недоступности PFO(/) всей системы:

•    PFO^ получается путем усреднения PFD(().

Такой подход описан в В.4 и эу&гэтые кривые, подобные тем. что показаны te рисунках В.25. В.27 и В.28. могут быть использованы как входные данные для деревьев отказов.

Если зависимостями между компонентами нельзя пренебречь, то можно воспользоваться каким-либо юютрументом для автоматического построения марковского графа. Они основываются на моделях более высокого уровня, чем марковские (например, сети Петри игы формальным язык). Из-за комбинаторного взрыва чюпа состояний они все равно могут столкнуться с трудностями

Объединенный подход очень эффективен для моделирооамл сложных систем.

Система, смоделированная на рисунке В.ЗО. состоит из трех компонентов, проверяемых в одно и то же время и работающих по схеме 2ооЗ Когда отказ обнаружен, логика меняется с 2ооЗ на 1оо2. т. к. логика 1оо2 лучше, чем 2ооЗ с точки зря мл безопасности (но хуже с точен зрения лажного отказа). И только в случае обнаружения второго отказа должен произойти ремонт, который включает а себя замену всех трех элементов на новые. Это вносит системные ограничения. поэтому невозможно построить поведение всей системы простым объединением поведения независимых компонентов.

В.5.2.2 Пришил расчета PFH

Такой же тип мультифазного марковского модегырования мажет быть использован для расчета PFH для DU отказов, обнаруженных контролы ши проверками. В иелях упрощения будет показан только прм-кдоп выделения PFH для DO отказов, для которых нуты только обычные (однофазные) модели Маркова. Конечно, для ЭиЭ/ПЭ систем, связанных с безопасностью. работающих в режиме с непрерывным запросом и имеющих обнару-хсетые периодическими контрольными проверками DU отказы, должен быть использован многофазный марковский подход. Это не меняет причет, рассматриваемый ниже.

Рисунок В.31 показывает два марковских графа, моделирующих одну и ту же систему сделанную из двух дублирующих компонентов с общей причиной отказа. С левой стороны компоненты (А и В) могут быть отремонтированы. С правой стороны — нет.

На обоих графах состоите 4 (АВ) является поглощающим. Система остается отказавшей после отказа всей системы и Р(0 = PICO4, Р2(0 + Р3(1) является вероятностью того, что не произошло отказа на промежутке (0: /]. Тогда R[() = P(f) является надежностью системы, а Я(0 = 1 - R[f) = Я4(0 является ее ненадежностью.

Рисунок В.31 — Марковский граф «надежности* с поглощающим состоятем


Как обсуждалось в В.2.3. возможно использование модели надежности для обработки ситуации, когда отказ Э/ЭгПЭ системы, связанной с безопасностью, срезу привадит к опасной ситуации. Опять же. ра и ц, являются интенсивностями восстановления компонентов (т. в. ра = 1/Аг» та и = ^^MTTRb).

Таком марковский граф надежности позволяет получить РГН непосршаственпо РТЫ ш Г\Т)!Т. Ивлримвр. из рисунка 8.31 можно непосредственно получить РРЩТ) = Р4{Т)1Т (при условии, что Р4(Г) « 1).

Так же такой марковский граф надежности позволяет вычислять MTTF систем! по следующей формуле

»

MTTF s lun £вкМСГ4(0.

В датой формуле MCTJf) является средним накоплвтым временем нахождения в состоянии к, ак = 1. если к является нормальным рабочим состоятем. et ■ О во всех других случаях.

Верхние грэнащы можно полутть следующим образом:

PFH*


1

M7TF'


Эффективные алгоритмы расчета известны и почти все программные пакеты для марковских моделей могут быть использованы для расчетов F(T) и Аг/ IF.

Указанные выше ожидания для PFH верны для всех случаев, даже ест интенсивность отказов всей системы непостоянна (как для графа, реаюложенного справа на рисунасе В.31). Едтстеенное ограничете состоит в том. что нужно использовать марковский граф надежности с о&мм (игм несколькими) пот лоща ющим(и) состоя-мен(яим). Конечно, это верно и при использовании многофазных моделей.

Когда все состояния являются полностью и быстро еоссгамовимыт. общая интенсивность отказов системы быстро стремится к асимптотическому значению Лм = MMTTF. В таких графах, за исключением исходных и погпощаюиакх состоятй. все остальные являются кватмоюеенными (так как значения MTTR для компонентов являются существенна меньше их MTTF). Это позволяет непосредственно вычислять постоя к то интенсивности отказов всей системы для каждого сценария, начиная от исходного и заканчивая поглощающим состоянием. Марковсюм граф слева на рисунке В.31 моделирует тжую поганостью и быстро восстанавливаемую систему. Так что:

1_*4 tA^A^

t_2-»4 :Л,24=А,    +    +    (Х^А^

1 -3 -» 4 : Л, j4 ж Х^ (Х4 + ^ + А^ «• pj ~ X, (А, + Кс&ь-

В формуле для сценария 1—*3—*4 А,, — вероятность перехода из исходного сосгоятя. а (Ae +ActfVpe — вероятность перехода в состояние 4 предпочтительнее возврата в состоите 1, ест система оказалась в состегаем 3.


Это можно легко обобщить для сложных марковских графов, но оно верно тмиь для полностью и быстро восстановимых систем, т. е. DD отказов.

Марковский граф справа на рисунке В.31 не является полностью и быстро восстановимом. Так что ислогъ-эоеание привадо» и вхх выше вычислены даст неправигъньм результат.

Если Э/ЭЛТЭ система, связанная с безопасностью, работающая 8 режиме с нелрерьеным запросом, используется вместе с другими слоями безопасности, то должна быть рассмотрена ее готовность. Это показано на обоих графах на рисунке В.32: там нет поглощающего состояния и система восстанавливается после полного отказа. P(f) = Р1(0 + P2(f) + Р3(/) — вероятность того, что система работает в момент времени t. Тогда >1(0 = Р(0 является готовностью, а (ДО = 1 - >1(0 = Я4{<) — неготовностью.

Данный случай существенно отличается от примера, приведенного на рисунке В.31. поэтому Я(0 и >40 должны иаюльзовзться корректно, так же. как (ДГ) и Р(Г). есть» необходимо получить корректте результаты.

В случав DO отказов простейшим путем решения тасой проблемы является си1 мелете верхней границы PFH через МОТ и MUT. как показано в В 2.3.

2


2


3


3

Рисунок В.32 — Марковский граф «готовности» без поглощающих состояний

Интересное свойство марковских графов готовности состоит в том. что от достигают асиьвттотичесяого равновесия, когда вероятность перехода в дамоо состоите равна вероятности перехода из него. Заметим:

-    = Пт;__ Р,(0 — асимптотическое качение Р (();

Каждый раз. когда система переходит в состояние *. среднее время нахождения в этом состоянии равно


-    А=!Л — вероятность переходов из состоятя / в любое другое.


Это позволяет вычислить MUT =1(1- q) Р м


состояние, и qt = 1 в противном случае.

В результате получаем следующее выражение:


JU, и МОТ = 2, оР. М„. где о = О. если i — рабсмее

•j    >    '    &• 6S ш*!    I




В большинстве случаев программные пакеты могут найти асимптоттеские вероятности, так как нет каких-то особых сложностей с выполненном подобных вычислений.

Ecru период рассмотрения слнаюм маленький для сходимости марковского процесса, то PFH может быть получена как = 2,^ \ Р (О- В результате получаем:

)р,(П*    МС7;(Г)

=-.

Нет никакой сложности в том. чтобы произвести подобные вычисления в специальном программном пакете. подставив накопленное время для каждого из состояний.

В случае полностью и быстро восстанавливаемых систем (DD отказы), функция интенсивности отказов Веселя (Vesety) Ar(f) очень быстро сходится к асимптотическому эначенюо Ла5, которое является хорошим при-бгижением лостоньиой интенсивности отказа всей системы. Таким образом PFH в этом случае может быть получена так же. как и для безотказности.

Случай DU отказов является наиболее сложным ввиду многофазного моделирования. Указанная выше формула мажет быть обобщена:

I I Хд МСТ,{ТР)

ЯРН(Г) =


v-Hmt_

п

**»

В давки формуле 7^ является длитегьностью фазы <р.

Многофазные ыаркоеасие процессы обычно достигают равновесия, когда вероятность перехода из задан ного состояния равна вероятности перехода в него. Асимптотические значения не имеют неыего общего с теки, которые описаны емкое, но они могут быть испогъэоеаны в приведенной выше формуле.

Необходимо отметить, что марковский подход предоставляет множество возможностей для вычисления PFH Э/ЭЛ1Э системы, связан гей с безопасностью, работающей в режиме с непрерывным запросом. Однако для корректного применения марковского подхода необходимо ходошее понимание лежащего в его основе математического аппарата.

8.5.3 Сети Петри и метод моделирования Монте-Карло

В.5.3.1 Принцип модегирования

Эффективным способом моделирования динамических систем является создание конечного автомата, поведение которого настолько близко к поведению изучаемой Э/Э/ПЭ системы, связанной с безопасностью, насколько это возможно. Сети Петри (см. МЭК 61508-7. л. 8.2.3.3 и л. В.6.6.10). как было доказано, являются очень эффективным средством для этой це/u по следующим принтам.

•    их легко обрабатывать графически:

•    размер моделей растет линейно относительно гагичества моделируемых компонентов:

•    от очень гибкие и позволяют моделировать большинство ограитоний;

•    от идеально подходят для моделирования с использованием метода Монте-Карло (см. МЭК 61508-7, п. В.6.6.8).

Разработанные в 1960-х годах для формального докаэатегьства в теории автоматов, они были активно применены инженерами по надежности для решения двух задач: автоматизации построения больших графов Маркова и в 80-х — для моделирования с использованием метода Монте-Карло.


Рисунок В.ЗЗ — Сеть Петри для моделирования одного периодически проверяемого компонента

Типичная подсеть Петри для простого периодически проверяемого компонента состоит из трех частей:

1)    Статическая часть (т. е. рисуюгс):

a)    позищм (круги) соответствуют возможным состояниям;

b)    переходы (прямоугольнпог) соответствуют возможным событиям:

c)    стрелки вверх (от позиций х переходам) разрешают переходы.

d)    стрелки вниз (от переходов к позициям) показывают, что происходит, когда запускается переход.

2)    Часть планирования:

a)    стохастические задержки являются случайными задержкам!, произошедшими до события.

b)    детерменированные задержки — это известные задержки, произошедшие до события.

3)    Динамическая часть:

a)    метки (маленькие черные точен), которые двигаются, когда происходит событие, для отображения того, какое из возможных состоящем достигнуто:

b)    предикаты (гвобая формула, которая может быть испмной иш ложной), разрешающие переходы:

c)    утверждения (любые выражения), обновляющие какие-гыбо переменные, когда переход запускается.

Кроме того, существует ряд правил разрешения и запуска перехода:

4)    Разрешение перехода (т. е. условия для соответствующего события, которое может произойти):

a)    все входные позиции имеют как минимум одоу метку.

b)    асе предикаты должны быть истимыми.

5)    Запуск перехода (т. е. что происходит, когда соответствующее событие реализуется)

a)    одна метка удаляется из входной позиции:

b)    одна метка добавляется в выходную позицмо:

c)    утверждения обновляются

Большинство понятий, связаю ыо с сетями Петри, введены выше, остальные будут вводиться по мере необходимости.

В.5.3.2 Принцип модегмроваьмя Монте-Карло

Моделироеам*е Монте-Карло представляет собой анимацию моделей лоеедешя с помощью случайных чисел, чтобы определить, как часто система остается в состояниях, управляемых илг случаю ты илг детермем-роеанньиы задержками (см. также МЭК 61506-7. п. В.6.6.8).

Это можно объяснить с помощью сети Петри, представпетой на рисунке В.ЗЗ:

•    Вначале метка находится в позиции W и компонент находится в нормально работающем состоят*!

•    Тогько одно событие может появиться в данном состоянии — опасный необнаруженный отказ (переход Тг1 разрешен и закрашен черным).

•    Время, проведенное в данном состоя юм. является случайной аелимной и зависит от экспоненциального распределения параметра Метод Монте-Карло состоит в использовании случайных «мсел (см. нмже) для вычиспемгя задержки 41 перед отказом, который должен произойти (г.е. должен быть запущен переход Тг1).

•    Когда время 41 вышло, запусхэется переход Тг1 и метка перемещается е позицию DU (точнее, одна метка удаляется из позищм W и адью метка добавляется в позицию DU).

. Клмпгьммнт пюинеюетгя в тггтвнми ппагмпгп i тпбияружгъ iwim лткака и перяхпл "Гг? гтямпшгтпя рятрг шенныы.

•    Обнаружение опасного отказа происходит после детермю wpoooi ■ ой задержки 42 (42 = 1 modiio т. где (— текущее время. Г — интервал проверки). Так моделируется проверочный интервал.

•    Когда время (2 выходит, т. е. опасный отказ обнаружен, метка переходит на позицию DO. Компонент сейчас ожидает ремонта и переход ТгЗ становится разрешен ым.

•    Задержка d3 для запуска перехода ТгЗ (начала ремонта) не зависит от самого компонента, но готовность ресурсов для ремонта представляется сообщением RA. Это регугыруется событием, происходяцим из другой части всей сети Петри, не предсгавлемюй на рисунке В.ЗЗ.

•    Ремонт начинается, как только у ремонтной бригады появляется готовность (ъ е. ?RA = true становится истинным) и метка переходит е поэицюо R. Ремонтные ресурсы мгновенмо становятся неготовыми для другого ремонта, и равенство !RA = false испогъзуется для обновления значения RA. Это предотвращает проведение еще одного ремонта в это же время.

•    Случайный переход Тг4 (т. е. окончание ремонта) становится разрешенным и может быть рассчитана задержка 44 при помощи случайного числа, соответствующего интенсивности ремонта р.

•    Когда проходит 44. запускается переход Тг4 и компонент вновь возвращается 8 нормальное рабочее состояние (метка переходит е позицию W). Ремонтные ресурсы вновь становятся готовыми и RA обновляется при помощи !RA = true.

•    И так далее, до тех пор. пока запуск следующего разрешенного перехода попадает в заданный период (0. Г}.

Если спедуюивм запуск уже не попадает в период (0. 7], го моделирование останавливается и в результате

для компонента формируется одна история. Во время формирования таяой исгормг могут быть зафиксированы соответствующие параметры е виде их эначемм для маркируемых поэтам (например, отношение времени нахождения метки е конфетной позищм ко времени Т). частоты запуска переходов, время до первого появленмя заданного события и т. д.

Идея метода Монте-Карло состоит в том. что формируется огромное количество таких историй и выполняется их статистическая обработка для получения адекватных параметров процесса.

В отличие от анагьшмеских вычислен***. метод Монте-Карло позволяет легко объединять детерминированные и случайные задержхи. для которых может быть вьгюлнено моделирование на основе их кумулятивного распределения вероятностей F{d) и случайных чисел z на отрезке [0, 1J. Такие случайные тела есть почти в любом язьке программирования и разработаны мощные алгоритмы для подобного моделирования

Затем случайная ввтчма (</). распределенная а соответствии с Р(<Д получается из случайной величумы {z) при помощи onepaum: d = F~' {z). Это довольно просто, ест существует а»влитическое выражение для F~y (z). как.

например, для экспоненциально распределенной задержки </4 =--г-^—tog(z,).

*ои

Точность моделируемого параметра X обеслечивэется статистическим анажэом. которьм позволяет рассылать среднее, дисперсию, стандартное отклонение и доверительный интервал моделируемого параметра:

• дисперсия.


• среднее: X


о2-


N


и стандартное огклонете: <г.


• 90 %-ный доверительный интервал для X: Сол/ = 1.64—£=

Jn

Таким обраэои. при использованы метода Монте-Карпо всегда можно предсказать точность результатов. Например. 90 %-ная вероятность того, что истинны* результат X принадлежит интервалу [X -1.64    X +Л64

Да1кш« интервал уменьшается, когда котчество историй возрастает и когда частота появления X растет.

На coepeMoi ■ цх персональных компьютерах для Э/Э/ПЭ систем, связанных с безопасностью, несложно вьполнить вычисления вплоть до УПБ4.

В.5.3.3 Прищеп расчета PFD

Подсеть Петри на рисунке В.ЗЗ можно непосредственно использовать для оценки PFDav^ компонента, потому что значение одного из параметров маркируемом позицм* W. которое равно огношетю времен*» нахождения метки в поэщш W ко времени Т. в действительности является сревым значением готовности А компонента. В результате имеем: РЯО^ = 1 — А

Точность вычислений, как было показано выше, можно оценить, используя статистический анализ.

Более сложное поведете можно представить, используя специальные подсети Петри. На рисунке В.34 показана идея, как можно выполнить моделирование периодически проверяемых компонент, отказы по обшей причине (CCF) и ремонтные ресурсы.



Отказ по общей причине

Одиночный компонент


Рисунок В.34 — Сеть Петри, моделирующая отказ по общей причине и ремонтные ресурсы

Слева представлена модель периодически проверяемого компонента, который переходит из состояния в состояние: рабочее состоите (W). опасный необнаруженный отказ (DU), проверка (DUT). опасный обнаруженный отказ (DO), готовность к ремонту (RR) и ремонт (R).

Когда происходит отказ (DU). формируется сообщение АС (эквивалентно /С, = false), чтобы сообщить, что компонент отказал. Затем он ждет, пока не запустится периодическая проверка (OUT). Интервал периодической проверки равен г и смещение 6. После выпогмения проверки е течение времени, равного ж. система переходит в состояние DO. Если запасные части готовы (хотя бы одна метка в SP). то компонент становится готовым к ремонту (RR) и переменная NbR уветмчиеается на 1. чтобы проинформировать ремонтные ресурсы о количестве компонентов. которым необходим ремонт. После того, как ремонтные ресурсы доставлены к месту ремонта (одна метка a OL). начыэегся ремонт (R) и метка из OL удаляется. Когда вновь достигается нормально работающее состоя-me компонента, то формируется сообщение /С, (т. е. /С = (rue). NbR уменьшается на едтмту и метка возвращается обратно в OL. что разрешает выполнять дальнейшие ремонты. И так далее.

В подсетях Петри, моделирующих ремонт, испогъзуется переменная NbR. Когда ее величина становится больше нуля, начинается мобилизация ресурсов (М) и после определенной задержки от готовы выполнять работы на месте (ОС.). Метка в OL используется для проверки, начался ли ремонт одного из отказавших компонентов. Таким образом, только один ремонт может осуществляться в каждый момент времени. После выпалнетя всех ремонтов (г. е. NbR = О) ремонтте ресурсы демобишзуются.

Не рисунке В.34 также представлена модель отказа по общей причте (CCF). Когда происходит такой отказ (лосс), сообщение !CCF становится истжкым и используется для того, чтобы все отказавшие по общей причые компоненты перевести в их состояния OU. Соответствующее сообщение Ci становится ложным и компоненты ремонтируются независимо друг от друга. Когда проверка компонента завершена, утверждаемо !IF CCF then позволяет сообщить всем остальньы компонентам, что CCF был выявлен. Данное сообщете испогъзуется для того, чтобы незамедштельно перевести в их состоятя OD. Это сообщете также используется для того, чтобы восстановить отказавшую по общей причине подсеть Петри, но это делается через некоторое время (е). чтобы обеспечить, что все компоненты перед восстановленной были переведет в их состояние DO.



Рисунок В.35 — Испогъэоеание блок-схем* надежности для построения сети Петри и вспомогэтегъной сети Петри для вытспений PFD и PFH

Подсети Петри на рисуысе В.34 используются как части более сложных моделей. Один из способов их использования показан на рисунке В.35. где представлена несколько адаптированная блок-схема надежности, заимствованная из рисунка В.16. худа добавлены промежуточные выводы О,.

Для компонент А. В. С. D. Е. F может быть выпогыемо моделироаате с помощью набора подсетей Петри, првдставлетых на рисунке В.34. Например. CCF для (А. В. С) и (Е. F) с одними и теьм же ремонтными ресурсами для всех компонентов. Остается тогъко проблема связать компоненты вместе в соответствии с логикой блок-схемы надежности и расчета интересующего зтчения PFDar9 .

Связь компонентов можно очень легко выполнить при помощи сообщений С, и построения следующих равенств:

0,-СЛ + СА + ед:

0»»0tCd:

Oj-q^c. + c,).

Таким обрезом, когда О, истинью. вся Э/Э/ПЭ система, саязашая с безопасностью, работает хорошо, иначе она не готова. Это сообща но испогъэовано е подсети Петри с правой стороны для модетроеадея различат состояний Э/Э/ПЭ систем, связанных с безопасностью: готовность (Av). нетогоопость (1/). безотказность (Я/) и состояние отказа (W).

Для расчета PFD важны лишь Av и Ik когда Оэ становится лажным, система отказывает и становится неготовой: когда 03 становится истинным, система восстановлена и становится опять готовой. Выполнить расчет достаточно просто, так как зндю! ыо нахождетя метки в сосготмм Av является средним значением готовности системы, а значение нахождения метки в состоянии U является средним знатном неготовности системы, го есть PFD^.

Таты образом, в методе Монте-Карло автомат» сои берется интеграл or мгнооычой неготовности, но его ненужно оц’чслять за искгьочением случаев, для которых необходима зубчатая кривая. Это можно выполнить достаточно просто, оценив хэченив нахождения метки в состояли U на всем периоде [0. TJ.

Описанное виде является иллюстрацией только основных направлений испопьэооамп сетей Петри для вычисления УПБ. но потенциахъные возможности моделирования беэгрхичны.

В.5.3.4 Принслп расчета PFH

Для расчета PFH используются те же прящипы. что указам выше, и точно таю«е же подмодегм могут быть использованы для DU отказов. Рисунок В.36 представляет подсеть Петри, модетруюшую отказ, который выявляется и ремонтируется, как тогъко будет обнаружен.

Рисунок В.Зб — Простая сеть Петри для одного компонента с выявляемыми отказами и ремонтами

Кая описано выше, такие модели компонентов могут быть использованы вместе с блок-схема**! надежности. представляющиьы всю систему, как на рисунке В.35.

Ест Э/Э/ПЭ система, связанная с безопасностью, работает в режиме с непрерывным запросом и является последним споем безопасности, го инцидент происходит сразу после отказа, и PFH должна вычисляться через надежность системы. Это показано в нижней части подсети Петри, представленной справа на рисунке В.Зб. Средняя частота первого отказа системы на отрезке [О. 7] является ее ыеыааожностъю Р(Т}. Если **анение F{T) достзтошо мало по сравнение с 1. то в соответствии с определением PFH попу дом. PFH =

Ввиду того, что метка находится в RI. первый отказ является одним коротким переходом. При условии, что все истормг ведут к отказу (т. е. период Г достаточно длительный), среднее время нахождение метки е позиции R1 является KfTTF системы. Таким образом PFH -- 1/M7TF является верхней границей для PFH.

Ест Э/Э/ПЭ система, связанная с безопасностью, работает в режиме с непрерывном запрооом и не является последним слоем безопасности, то ее отказ непосредственно не ведет к глцинденту. После полного отказа ома ремонтируется и ее PFH должна вычисляться через неготовность системы. Эта величине получается непосредственно из частоты Nbf запуска перехода, модетрующего отказ. Таким образом получаем данные, сколько раз система отказала в течете указа»юго периода: в результате имеем РРЩТ) = NbfIT.

Ест период Т является достаточно ботъшим. то MUT может быть рассчитан при помощи накопленного времени МСТЛг е состоянии Av. a MDT — при помощи среднего накопленного времени MCTV в состоянии U. Средние накоппенте времена МСТЛ и МСТи легко оы мелить во время моделирования методом Монте-Карло, просто сложив время, когда метка находится в позициях Av или U. Получаем: MUT = MCTAfNbf я MUT = MCTJNbf. Это может быть использовано для оымсления PFH = V{MUT + K4DT) = VUTBF = NbfIT.

Все эти резутътаты получаются непосредственно, так как метод Монте-Карло легхо определяет средние величины. Все описанное виде является лишь иллюстрацией широты использования сетей Петри для расчета УПБ. но реальные возможности моделирования являются практически безгражеяыми.

В.5.4 Прочие подходы

От кипение между размером моделей и количеством компонентов изучаемой системы существе»*) изменяется в зависимости от испогъзуемого подхода. Для дерева отказов и сетей Петри — это тнейное отношение, но для марковских процессов оно — экспоненциальное. Таким образом, для моделирования сложных систем чаще используются деревья отказов и сети Петри, чем марковские процессы. По этой причине сети Петри иногда используются для создания больших марковских графов.

Формальные языки для описэнеых выше графических представлений формируют ппосхие модели: каждый элемент на каждом уровне описывается отдельно. Из-за этого большие модели иногда сложно осваивать и поддерживать. Однмм из способов решенмя датой проблемы является использование структурного языка, огм-съюающего компактную иерархическую модель. В последнее время был разработан ряд таких формальных языков. доступы также некоторые программные пакеты. В качестве примера можно рассмотреть язык AtaRica Data Flow, опубгмкованный в 2000 гсду для свободного использования сообществом по надежности и спроектированный для точюго моделирования свойств корректно и некорректно функционирующих промышленных систем {см. В.7).

На рисунке В.37 показан эквивалент блок-схемы надежности, представленной на рисун-ке В.1. Данная модель является иерархическом, потому что модели отдельных модулей созданы один раз и затем используются повторно по мере необходимости на разных уровнях модегшровэния системы. Это позволяет получать очень компактные модели.

>s

A

z

A

c

Ф

4

H-

O


A

£

8

S


Ф

A

Z

z

Ф

c*


ф

4

a

z


node block state working : bool; flow input; bool: in; output: bool: Out; event failure, repair, init

working : = true; trans

working    | - failure - > working : = false;

not working    j - repair - > working : = true;

assert

output = if working then input else false; extern

law <event failure> = exponential (lambda); law <event repair> = exponential (mu); parameter lambda = 1e - 3; parameter mu =0.01; edon

node main sub Aiblock C:block D:block assert A.input =

D. input =

E. input =

F. input = Out =


В: block D:block E:block



true, B.Input = true, C.input = true, (A.output or B.output or C.output), D.output,

D.output;

(E.output or F.output)


extern

predicate failed = <term (not Out) >; locker failed = <term (not Out) >; edon


a


О


8

z

A

C

Ф

I-

<0

c

i

Ф


Ф

s

y-

A

Ю

О

О


Рисунок В.37 — Пример моделирования свойств корректно и некорректно функционирующих систем

с использованием формального яэька

В целях упрощения представления для компонентов отображены только два перехода: отказ и ремонт (т. е. DD отказы выявляются и исправляются по мере появления).

Логические операторы (or. and) используются для описания логики системы. Это сделано для прямой связи с блок-схемой надежности, и эначемю перемо» ■ юй Out моделирует состоите системы: если система в работоспособном состоянии, то Out = true: если система в состоянии отказа, то Out = faise.

Это позволяет создавать хороиме модели поведения для эффективного моделирооамл методом Монте-Карло. тая что все описанное выше для PFQJip и PFH остается вершм и здесь. Поэтому далее эта тема не развивается.

Такой формагьный яэьж обладает аналогичными математическими свойствам, что и сети Петри, и поэтому можно компилировать одну модель с другой без особого труда. Это также позволяет обобщать свойства яэькое дерева отказов и марковских процессов. Поэтому, если огмсание было ограничено свойствам марковских процессов или дерева отказов, то можно преобразовать модель в эквивалентов граф Маркова или дерево отказов. Ключевые слова «predicate* и «locker* в конце модегы содержат указаме на вьполнение генеращь* дерева отказов или марковской модели или на применение метода Монте-Карло.

Использование формального языка, созданного для модетыроеэния поведения корректно и некорректно функционирующих систем, позволяет.

- вьполнять моделирование методом Монте-Карло непосредственно на моделях;

•    генерировать графы Маркова и выполнять аналитическою вычисления, как показано ранее (когда язык ограничен марковскими свойствами):

•    генерировать эквивалентное дерево отказов и проводить аналитические вычисления, как показано ранее (когда язьк ограничен логическими свойствами).

Такие формальные языки, описывающие поведение корректно и некорректно функционирующих систем, являются языками общего назначения. Их без труда можно применять для конкретного анажза Э/ЭЛ1Э систем, связэжых с безопасностью. Эти языки предоставляют эффективный способ въяюлнвния вычислений PFDj g и PFH для Э/Э/ПЭ систем, связанных с безопасностью, с несколькими слоями защиты, различными типами режимов отказа, сложными структурами контрольных проверок, зависимостью компонентов, ресурсами обслуживания и т. д.. т. е. когда прочие методы не подходят из-за своих огрантомй.

8.6 Обработка неопределенностей

Входные параметры с неопределенностью

Рисунок В.38 — Принцип распространено* неопределенности

Основная проблема, с которой сталкиваются при вероятностных расчетах, связана с неопределенностям* в параметрах надежности. Таким образом, при проведении расчетов PFD и PFH полезно оценить, что и как вгмяет на неопределенность рвэугьтатов.

К датой проблеме нужно подходить осторожно, но. как показано на рисумсв В.38. использование метода Монте-Карло позволяет ее эффективно решать.

На данном рисунке входные параметры надежности (например, жтенсивность необнаруженных опаоых отказов) более не являются определенными и поэтому заменены случайными переменным*. Плотность вероятности таких случамых велич*н более или мопоо «острая* или «плоская» в зависимости от степени неопределенности: плотность вероятности F острее, чем Е или О. Это означает, например, что неопределенность F меньше, чем Е или D.

Порядок оьг ислений следующий:

1    Генерируется один набор входных параметров при помощи генератора случайных чисел в соответствм* с вероятностным распределением дажых параметров (аналогично тому, что описано е В.3.2).

2    Проводится одно вычисление, используя сгенерированы^ ранее набор входных параметров.

3    Записывается полученый резутьтат (в него еходот один результат, используемый на шаге 4).

4    Повторяются шаги с 1 по 3. пока не будет получено достаточное (например. 100 или 1000) количество значащи для того, чтобы составить гистограмму (точечная линия на рисумсе В.38).

5    Выполняется статистический анализ гистограммы для получения среднего значения и стандартного отклонения конечного результата.

Среднее значение гистограммы является PFD^ ^ или PFH в зависимости от выполненных вычислений, а стандартное отклонение определяет неопределенность результатов. Чем меньше стандартное отклонение, тем более гочп* вычисления PFD<<? иги PFH.

Представлений выше порядок вычисления для дерева отказов является довольно общим и может быть применен к любому из методов, приведенных в настоящем приложен**: упрощенные формулы, марковские процессы и даже сети Петри или формальные языки. Если вычисления по методу Монте-Карло уже проведены, то их нужно повторить.

Распределение вероятности для заданного входного параметра надежности должно быть выбрано в соответствии с собранным знанием о нем. Это может быть.

•    равномерное распределение между верхней и нижней грач нами.

•    треугольное распределение с наиболее вероятным значением:

•    логонорматьное распределение с заданным значением ошибки:

•    распределение (хи-квадрат) и х д.

Первое мшено оценить технически, когда данных реальных испытан* не очей*» того. Если да чих реальных испытаний много, то можно использовать последнее распределение, так как данные реальных испытаний обеспечивают средою значения параметров, а также доееритетъные интервалы для этих средних значений.

Например, еегм наблюдается п отказов е течение накопленного времени наблюдены Г. то имеем:

-    X = пП является максимальным вероятным ожиданием нгтенсиености отказов:

-    XWa = 2^-Z, и а). 2л нижняя граница с вероятностью а. %. что будет ниже а:

•    V«f и = "fftl 2<л«1» верхняя граница с вероятностью а. %. что будет выше Х^г в.

Когда а = 5 V истинное значение X имеет 90 шансов из 100 принадлежать интервалу (Xw о. Х^ J. Чем меньше этот интервал, тем точнее зг клонив X. Обычно хорошие базы да»ных по надежности предоставляют эту информаиио. Аналитики должны рассматривать данные по надежности, предоставляемые без доверительного интервала (или информацм*. позволявшей его рассчитать). оченя» осторожно.

К в. Ц1>г в могут быть использованы для построения подходящего распределения для моделирования интенсивности откзэое X заданного режима отказа и его неопределенностей. Это очевидно для распределения X3. но и для построения логонормального распределения было показано, что их использование также очень эффективно. Такой логонормальный закон определяется его средним X ипч его медианой Х^ % и так называемым стандартным отклонением.

Это распределение имеет очей» интересное свойство: Хм а = Хд0 %/efa и Х^ а = Х^ % е/ц.

Тоща оно определяется тогысо двумя параметра*»!. X и efe «    —'

Ест efu » 1. то неопределенностей нет. если efa = 3.3. то верхняя и нижняя границы доверительного интервала различаются почти в 10 раз и т. д.

Эти законы могут быть испотъэоеаны. в свою очередь, вместе с методом Монте-Карло для того, чтобы учесть влили но средних значений и неопределенностей PFD,jff и PFH. Поэтому всегда возможно попучгть змачо нме неопределенности с помощью вероятностных расчетов. Некоторые программные пакеты реализуют такие вычисления непосредственно.

При анализе избыточных систем анализ должен учитывать не только неопределенность интенсивности отказов основного элемента, но тапке и точность интенсивности CCF. Даже ест существует хороший набор данных реальных испытаний для элементов, то редко имеется в натчии хороший набор ддоых реальных испытанны для CCF и. следовательно, это будет вносить наибольшую неопределенность.

В.7 Ссылки

См. е [3]. [5J и [7]—(13) дополнительную ««формацию по вычисленмо вероятности отказа.

Приложение С (справочное)

Расчет охвата диагностикой и доли безопасных отказов

Метод расчета охвата диагностмсой и доли безопасных отказов приведен в МЭК 61500-2. приложение С. Нэстояцее приложение содержит краткое осмеяние использования этого метода для расчета охвата диагностикой. Предполагается, что информация, представленная в МЭК 61506-2. доступна и при необходимости испогъэу-ется при получвмти эначемм. приведенных в таблице С.1. Возможные диапазоны охвата диагностмсой для некоторых подсистем итм компонент Э/ЭЛТЭ систем, связанных с безопасностью, представлены в таблице С2. Значения. представленные в табгыце С.2. огмраются на инженерные оценки.

Чтобы понять все значения таблицы С.1. потребовалась бы подробная схема аппаратных средств, с помощью которой можно огтредегмтъ вли$м*е всех режимов отказов. Представленные в таблице С.1 значения приведены тогысо в качестве примера (для некоторых компонентов таблмды С.1 охват деэгностикой не определен, так как практически невозможно обнаружить все режимы отказов этих компонентов).

Табгмда С.1 была сформирована следующим образом:

a)    Для определения агмяния каждого виза отказов каждого компонента на поведение системы без диагно-стмеских испытаний был проведен анализ ендов и агмяния отказов. Для каждого компонента приведены догм безопасных отказов S и опасных отказов D от общей интенсивности отказов, связан ыо с каждым видом отказов. Для простых компонентов деление на опасные и безопасные отказы может быть четко определено, в остальных случаях — основано на инженерной оценке. Для слозоых компонентов, если детагъный анализ каждого вида отказа невозможен, считают, что отказы делятся в соотношение 50 % безопасных. 50 % опасных. Для формирования таблицы С.1 испогъэовались виды отказов, задаваемые именно таош распредели том. хотя возможно и другое, более предпочтитетъное распределена по видам отказов.

b)    Значения охвата диагностикой для каждого конфетного диагностического испытания каждого компонента помещают в столбце ОС. ^ таблмы С.1. В таблице С.1 также приведет конкретные значения охватов диаг-ностюсой для обнаружения как безопасных, так и опасных отхаэое. Было показано, что для простых компонентов («пример, резисторов, конденсаторов и транзисторов) отказы из-за отсутствия контакта итм короткого замыкания обнаруживаются с охватом диагностикой 100 %. тем не моноо использование таблицы С.2 ограничивает охват диагностикой значением 90 % для компонента U16 комплексного компонента типа В.

c)    В столбцах 1 и 2 таблицы С.1 приведет интенсивности беэопэо-ых Xs и опасных Хдо + отказов для каждого компонента при отсутствии хмэгностических иоытании.

d)    Обнаруженный опасный отказ считают фактически безопасным, что позволяет определить отношеннв между фактически безопасным отказами (т. е. любым обнаруженными безопасными, необнаруженными безопасными или обнаруженными опасными отказами) и необнаруженными опасными отказами. Интенсивность фэкти-юою* боэопосмых отоэоо определяют проиэоогммоы эн^юоил иаггонсиоиостн опаемх отказов и 3iагю мет охвата диагностикой для опасных отказов и сложением результата со значением интенсивности безопасных отказов (см. столбец 3 тэбгещы С.1). Точно так же интенсивность необнаруженных onacmx отказов определяют вычитанием охвата диагностикой для опасных отказов из единиды и умножением результата на интенсивность опасных отказов (см. столбец 4 табгкхы С.1).

e)    8 столбце 5 таблицы С.1 приведены значения интенсивности обнаруженных безопасных отказов, а в столбце 6 таблицы С.1 — значения интенсивности обнаруженных onacmx отказов, полученные умножением качения охвата доагностикой на значения интенсивности безопасных и опасных отказов соответственно.

F) Использование табгмцы С.1 дает следующие результаты:

•    общая интенсивность беэопаоых отказов, вкгвочая обнаруженные опасные отказы:

Ias +Si00 = 9.9х10-т:

•    общая интенсивность необнаруженных опасных отказов:

00= 5.1x10-®;

•    общая интенсивность отказов.

IXs+IX00 + IX0ll =1.0x10^:

•    общая интенсивность необнаруженных беэопаоых отказов. IXSU = 2.7x10-*:

•    охват диагностикой для безопасных отказов:

3.38

3.65


= 93%;

•    охват диагностикой для опаоыос огхаэое (обыч*) называемый «доэгносттеским охватом»):

_^оо_

lioo+IXpy 6.72 - 92 %-

•    доля безопасных отказов:

ЬАд + Глро___986

Iis*2*oo    “ 366*672 ”8S%-

g) Без диагностических испытажй интенсивность отказов распределяется следующим образом. 35 % безопасных отказов и 65 % опаошх отказов.

S — безопасный отказ:

D — опасным отказ:

ОС — потеря контакта;

SC — короткое замыкание:

ОС_^ — охват диагностикой для компонента.

Примечания

1    Не обнаружен ни один вид отказа для компонента R6. т. е. его отказ не влияет на безопасность и готовность системы.

2    См. таюке таблицу В.1 {в настоящей таблице жтенсивности отказов приведены топко для отдельных рассматриваемых компонентов в канале, а не для каждого компонента).


Таблица С.1 — Расчет охвата диагностикой и доли безопэоых отказов

Ком*

по*

Тип

Распределение на безопасные и опасные отказы для веждою • ■да отказов

Распределение на безопасные и опасные отказы для охвата диагностикой и расс*«танных интенсивностей отказов <х10~* ч'1)

•еит

ОС

SC

Иэмеяе*

яме

эначеякж

Функимо*

мальиме

DTUM

ОС

етт*

1

2

3

4

5

б

S

О

S

D

5

О

S

О

S

о

ч

^3**00

у

О

С

*-зо

Print

1

Печать

0.5

0.5

0.5

0.5

0

0

0

0

0.99

0.99

11.0

11.0

21.9

0.1

10.9

10.9

CN1

1

Con96pin

0.5

0.5

0.5

0.5

0,99

0.99

11.5

11.5

22.9

0.1

11.4

11.4

С1

1

100 нФ

1

0

1

0

0

0

0

0

1

0

3 2

0.0

3.2

0.0

3 2

0.0

С2

1

10 мкФ

0

0

1

0

0

0

0

0

1

0

0.8

0.0

0.8

0.0

0.8

0.0

R4

1

0.5

0.5

0.5

0.5

1

1

1.7

1.7

3.3

0.0

1.7

1.7

R6

1

100 к

0

0

0.0

0.0

0.0

0.0

0.0

0.0

OSC1

1

OSC24 МГц

0.5

0.5

0.5

0.5

0.5

0.5

0.5

0.5

1

1

16.0

16.0

32.0

0.0

16.0

16.0

U8

1

74НСТ85

0.5

0.5

0.5

0.5

0.5

0.5

0.5

0.5

0.99

0.99

22.8

22.8

45.4

0.2

22.6

22.6

(/16

1

МС68000-12

0

1

0

1

0.5

0 J5

0.5

0.5

0.90

0.90

260.4

483.6

695.6

48.4

234.4

435.2

(/26

1

74НСТ74

0.5

0.5

0.5

0.5

0.5

ол

0.5

0.5

0.99

0.99

22.8

22.8

45.4

0.2

22.6

22.6

(/27

1

74F74

0.5

0.5

0.5

0.5

0.5

0.5

0.5

0.5

0.99

0.99

14.4

14.4

28.7

0.1

14.3

14.3

1/28

1

PAL16L8A

0

1

0

1

0

1

0

1

0.98

0.98

0.0

88.0

86.2

1.8

0.0

86.2

Л

1

ВС817

0

0

0

0.67

0

0.5

0

0

1

1

0.0

0.2

0.4

0.0

0.0

02

Всего

365

672

986

50,9

338

621

Таблица С2. — Уровни и диалаэот охвата диагностжой различных подсистем (компонентов)

Компонент

Низкий охват

Средни* otMi

Высокий охват

диагностикой

диагностикой

диагностикой

Процессор (см. примечание 3):

в сумме менее 70 %

е сумме менее 90 %

- регистр

50 %—70 %

85 %—90 %

99 %—99.99 %

- внутренняя реестровая память (см. примечание 3)

50 %— 60%

75 %—95 %

- блок кодирования и вькюпнения. включающий регистр тэгов (см. примечание 3)

50 %—70 %

85 %—98 %

• устройство обмеления адреса

50 %—60 %

60 %—90 %

85 4—98%

- счетчик комаед

50 %—70 %

- указатель стека

40 %—60 %

Шина:

• модуль управления памятью

50 %

70%

90%—99%

• устройство управления шины

50 %

70%

90%—99%

Обработка прерываний

40 %—60 %

60 %—90 %

85%—98%

Кварцевый тактовый генератор (см. примечание 4)

50 %

95%—99%

Контроль выполнения программы: - временное (см. примечание 3)

40 %—60 %

60 %—80 %

- логическое (см. примечание 3)

40 %—60 %

60 %—80 %

• временное и логическое (ом. применение 5)

65 %—90 %

90%—98%

Постоянная память

50 %—70 %

99%

99.99 %

Непостоянная память

50 %—70 %

85 %—90 %

99 %_99.99 %

Дискретное оборудование: - цифровой веод'вывод

70 %

90 %

99%

- аналоговый ввод/вывод

50 %—60 %

70 %—85 %

99%

• истммк гмтамгя

50 %—60 %

70 %—85 %

99%

Устройство связи и запоминающее устрой-

90 %

99.9 %

99.99 %

ство богьшой емкости

Электромеханические устройства

90%

99%

99.9%

Датчики

50 %—70 %

70 %—85 %

99%

Оконечные элементы

50 %—70 %

70 %—85 %

99%

Примечания

1 Настоящую таблицу применяют оовместно с МЭК 61508-2 (табгыца А.1. в которой приведет аналиэи-

руемые виды отказов).

2 Если для охвата диагностикой задан юнкреттй диапазон.то о оря ню грамщы югтервала могут быть

определены только для узкого крута средств контроля или тестирования, которые реализуют чрезвычайно

динамичную нагрузку для проверяемой фумеции.

3 В настоящее время для подсистем, схемы высокого охвата диагностикой которых отсутствуют, средства

и методы высокой достоверности деэгностики

неизвестны.

4 В настоящее время для кварцевых тактовых генераторов средства и методы средней достоверности

неизвестны.

5 Низкий диагностический охват для комбинации временного и логического контроля выполнения про-

граммы является ервдюш.

Попвжую ««формацию можно найти в [14]—[16].

Приложение О (справочное)

Методика количественного определения влияния отказов аппаратных средств по общей причине в ЭО/ПЭ системах

D.1 Общие положения

0.1.1 Введение

Настоящий стандарт включает в себя ряд методов, рассматривающих систематические отказы. Однако независимо от эффективности этих методов, существует остальная вероятность аоэкикноеемгя систематических отказов. Это незначительно влияет на результаты расчета безотказности для одно канальных систем, однако возможность появления отказов, способных повлиять на несколько каналов многоканальной систем>1 (или не-оеолько компонентов в избыточной системе безопасности), т. е. отказов по общей причине, приводит к существенным ошибкам при расчетах беэоткаюсти многоканальных или избыто*дых систем.

В настоящем приложи ми приводится описание мвтоджи. позволявшей учитывать отказы по общей при-■ —ю при оценке безопасности многоканальных или избыточных Э/ЭЯ1Э систем. Испольэоемте датой методики дает более точную оцеигу полноты безопасности такой системы, чем при игнорированы отказов по общей причине.

Первая методов используется для ракета значения (1-фжтора. часто испогъэуемого при моделированы отказов по общей причине. Описываемая методика может быть использована для оценки интенсивности отказов по общей причине в случае двух ты более параллельно работающих систем, если известна интенсивность случайных отказов аппаратных средств для одной из этих систем (см. 0.5). Принято считать, что а общее число случайных отказов оборудованы будет включено много отказов, которые были вызваны систематическими отказами.

В некоторых случаях предпочтительнее альтернативные методики, например, если благодаря наличию данных об отказах по общей причине можно получить более тонюе значение p-фактора или когда количество элементов, отказавших по общей причте. больше четырех. В качестве альтернативной методики, например, мажет быть испагъэован метод биномиальной интенсивности отказов (также называемый «шоковая модель»).

0.1 -2 Краткий обзор

Считается, что отказы в системе возникают из двух различых источюшэе:

•    случайные отказы аппаратных средств:

•    систематические отказы.

Предполагается, что отказы первого вида вознжэют случай ю по времени для побого компонента и приводят к отказу канала системы, частью которого является соответствующий компонент, тогда как отказы второго типа появляются сразу и дегермы трое» ■ мм способом, когда система достигает состояния, в котором существует систематическая ошибка.

Существует некоторая вероятность того, что ео всех каналах многоканальной системы могут произойти независимее случай то отказы аппаратных средств, вследствие чего все каналы одновременно окажутся неработоспособными. Так как предполагается, что такие отказы аппаратных средств эоэнжают во времени случайю. вероятность таких отказов, одноеремегкю воэ-мсающкх е параллельных каналах, мгзка по сравнению с вероятностью отказа одного канала. Такая вероятность может быть рассчитана с помощью хорошо известшх методов, но результат может быть очогь оптммстичным. когда отказы не полностью независимы друг от друга.

Зоеиогмыо отказы обычю делятся на следующие группы (4):

•    Отказ по общей при—ю (CCF) вызывает несколько отказов по одной общей причте. Несхогдео отказов могут произойти одновременно или в течение некоторого периода времени:

•    Отказы а общем режиме (CMF). которые являются частьым случаем CCF. когда несколько единиц оборудования отказывают в одном режиме.

•    Каскадные отказы, когда один компонент огхаэьвэег вследствие отказа другого компонента

Термин CCF обычно используется для обобщения всех видов зависимых отказов, как сделано в нэстояцем приложены. Они таюке делятся на:

•    зависимые отказы, вызванные понятными детерминированными причина—*;

•    события возможного остаточного многократного отказа, которые явно не анализируются из-за недостаточной точности их представления, отсутствия ясных детерминированных причин их вознимоеения или отсутствия возможности собрать данные по надехсносги.

Для первых должны быть выполнены анализ, моделирооатмо и оценка общепринятым способом и толью вторые должны быть обработаны, как показано в настоящем приложении D. Тем не менее, систематические отказы, которые являются полностью зависимыми отказами, не выявленными ео время анализа безопасности (таче от должны быть устранены), обрабатываются определенным способом, указанным в настоящем стандарте. но данное приложение применяется в основном для случайных зависимых отказов аппаратных средств.

Таким образом, отказы по общей причине, являющиеся слаастоиоы одной причины, могут влиять на несколько каналов ww несколько компонентов. Такая причина может быть следствием систематической ошибки (например, конструктивной или ошибки технических условий) или внешнего воздействия, ведущего к преждеере-менным случайным аппаратным отказам {например, избыточной температуры, возникающей из-за случаююго отказа аппаратного средства, обычного вентилятора, что сокращает время жиэы компонентов ит нарушает заданные условия окружающей среды для их работы), или комбмчацни этих факторов. Так как отказы по общей причине чаще влияот на несколько каналов многоканальной системы, то вероятность такого отказа, скорее всего, будет домитрующим фактором при определены общей вероятности отказа многоканальной систеат. Если не учитывать этот фактор, то будет трудно получить правильную оцему уровня полноты безопасности.

D.1.3 Защита от отказов по общей причине

Хотя отказы по общей причине являются следствием одной причин*. они не обязательно проявляются во всех каналах одновременно. Например, при отказе вентиляторе все каналы многоканальной Э/ЭЛ1Э системы могут отказать, что ведет к отказу по общей при-мне. Однако необязательно все каналы нагреваются с одинаковой скоростью или имеют общую критическую температуру. Следовательно, отказы возникают в разных каналах в раэюе время.

Архитектура программируемых октем позволяет им выполнять внутреннее диагностическое тестирование непосредственно во время работы, что может быть реализовано разлитыми способами, например.

•    един канал ПЭ системы одновременно с обеспечением работы входного и выходного устройств может непрерывно выполнять внутреннюю проверку своей работы. На этапе проектирования мозою достичь значения тестового охвата, равного 99 % [17]. Если 99 % внутренних сбоев обнаружат до того, как от приведут к отказу, вероятность сбоев одного канала, которые могут, в конечном счете, стать частью отказов по общей причине, значительно снижается;

•    помимо внутреннего тестирования каждый канал ПЭ системы может отслеживать выходы других каналов многоканальной ПЭ системы (или каждое ПЭ устройство может отслеживать другое ПЭ устройство системы, состоящей из нескольких ПЭ устройств). Следовательно, отказ, возникший в одном канале, может быть обнаружен. и один или несколько оставшихся неотхазавших каналов будут выполнять перекрестный контроль и м-ициироеать безопасное выключение (следует отметить, что перекрестим контрогъ эффективен, ест состоя-те системы управления постоянно меняется, например, при натчии часто используемой в циклически работающем устройстве защитной блокировки или при внесены в устройство небольших изменены, не агыяющих на управляющую фумоыю). Интенсивность выполняемого перекрестного контроля может быть досгатоию высока, поэтому непосредственно перед неодновременными отказами по обшей причине перекрестный контроль, скорее всего, обнаружит первый отказавший канал и позволит перевести систему в безопасное состоя то до момента отказа второго канала.

Например, для вентилятора скорость роста температуры и воспртмчивостъ каналов несколько различаются. поэтому второй канал, возможно, откажет спустя неосолько десятков минут после первого. Это позволяет после диагностического тестирования инициировать безопасное отклонение первого отказавшего канала до того, как по обшей причине откажет второй канал.

Таким образом:

•    ПЭ системы обладают возможностью формировать барьеры защиты от отказов по общей причине и. следоеагегъно. в меньшой степени подвержены им по сравнение с другими технологиями:

•    для ПЭ систем можно испогъэоеать p-фактор. оттчающийся от p-фактора для других технологий. Следо-яатвпнып щенки (Wfvurrnpo гетирттьття на продылучмо •ы.тш»мя пцшям иытоытянпгти гтеахпн лепроо йгр-го. окажутся неправильными (ни одна из известных существующих моделей оценки вероятности отказа по общей причине не учитывает эффект автоматического перекрестного контроля):

•    так как разнесенные во времени отказы по общей причине могут быть обнаружены с помощью диагностического тестированы до отказа всех каналов, подобные отказы могут не воспритматься как отказы по общей причине.

Рисунок D.1 — Связь между отказами по общей причине и отказами отдельных каналов

Существуют три способа уменьшения вероятности потендоально опасных отказов по общей причине:

1)    умотшаио общего числа случайных аппаратных и систематических отказов (это уменьшает площади эллипсов, представленных на рисунке D.1. приводя к уменьшение площади пересечения эллипсов).

2)    максимальное увеличение независимости каналов (это уменьшает площадь пересечения эллипсов, првдетавленжых на рисунке 0.1. не меняя площади самих эллипсов);

3)    обнаружению не одновременна отказов по обшей при —ю. когда неисправным становится только оои канал, до того кая станет неисправным второй, т. е. использование диагностического тестировался итм смещенмя контрольных проверок.

В системах более чем с двумя каналами, отказ по общей причине макет повтмятъ на все каналы или только на несколько, но не на все. работающие в общем режиме. Таким образом, подход, представленный в данном приложении, в соответствии с первым методом, ээкгаочэется в расчете значения $ для дуплексной система голосования 1оо2. а затем в использовании повышающего коэффициента для получаемого хачения 6 в зависимости от общего ког—юсгва каналов и схвны голосования (см. таблицу D.5).

0.1.4 Подход, адаптированный в серии стандартов МЭК 61508

Подход МЭК 61508 основан на выполнен*** следующих трех этапов.

1)    использование методов по МЭК 61508-2/3 для снижения вероятности систематических отказов всей системы до уровне*, соизмеримого с вероятностью случайных отказов аппаратных средств:

2)    количественное определение факторов, которые могут быть определены количественно, т. е. учет вероятности случайных аппаратных отказов, как определено в МЭК 61508-2:

3)    определение отношения, связывающего вероятность отказа по общей прнемне с вероятностью случайного отказа аппаратных средств с использованием практических средств, вторые считаются лучшим* в настоящее время. В настоящем приложении описана методов определения этого отношения.

Большинство методик оценки вероятности отказов по обшей причине формируют прогнозы на основе вероятности случайного отказа аппаратных средств. Несомненно, непосредстеенжой взаимосвя» между этими вероятностями нет. тем не менее, на практике некоторая корреляция между нжми была найдена и. возможно, является следствием эффектов второго порядка- Например, высокая вероятность случайного отказа аппаратных средств системы связана.

•    с большим объемом обслуживания, который требует система. А вероятность систематичеасого отказа, являющегося следствием обслуживания, зависит от числа проведенных сеансов обслуживания, что также повышает интенсивность воздейетшя человеческих ошибок, приводящее к отказам по общей прюжне. Таким образом вознжкает связь между вероятностью случайного отказа аппаратных средств и вероятностью отказа по общей причине. Например.

•    после каждого случатого отказа аппаратных средств требуется ремонт, а за ним тестирование и. возможно. повторная калибровка:

•    для заданного уровня полноты безопасности система с большей вероятностью случайного отказа аппаратных средств требует более частого проведения контрольных проверок и с богыиен глубиной/спожно-стыо, что тапке увеличивает влияние человеческого фактора:

•    m тпжипгттьт системы Дярпсгтыпстк глучайыпт от*этя аппаратьмх г-тю/уттв «авигит пт «иг па кпмпг» ши тое и. следовзтегъно. сложности системы. Сложную систему труднее понять, поэтому у нее выше вероятность появления систематических ошибок. Кроме того, сложность системы затрудняет обнаружение отказов путем анализа или тестирования и может приводить к тому, что часть логики системы будет выполняться только при редко встречающихся успошлх. Это также приводит к появление связи между вероятностью случайюго отказа аппаратных средств и вероятностью отказа по общей причине.

В настоящее время используется неосогыю подходов для обработай CCF (8-фактор, несколько греческих букв. 8-фактор, бинормальная интенсивность отказов и др.) [18]. Далее описаны две из текуиих моделей, предлагаемые в настоящем приложении для третьего этапа трехэтапного подхода. Несмотря на ограничения, считается, что в настоящее время они представляют собой лучший способ обработки вероятности отказа по общей причте:

•    устоявшаяся модель 8-фактора, которая широко используется и обычно ее возможно использовать в тогоканагыых системах вплоть до четырех зависимых элементов:

•    биномиальная интенсивность отказов [19] (тапке известная как шоковая модель), которая макет быть использована, когда количество завио*мых элементов богъше четырех.

При использовании модели 8-фэкторе для Э/Э/ПЭ системы возникают следующие две проблемы:

•    выбор значения 8-фактора. Многие источники (например [17]) предлагают диапазоны возможных зпачо ний 8-фэкторэ. но не определяет их конкретные значения. оставляя выбор за пользователем. Чтобы решить эту проблему, методика 8-Фэктора. представленная в настоящем приложении. основьаается на подходе, первоначально описанном в [20] и затем скорректированном в [21]:

•    ни модель 8-фактора, ни шоковая модеть не учитывают развитые возможности диагностического тестирования современных ПЭ систем, которыми можно еоспогъэоватъся для обнаружения неодновременных отказов по общей причте до того, как отхаэ полностью проявит себя. Для преодоления этой проблемы подход, описанный в [20] и скорректированный в [21]. был изменен с тем. чтобы отразить влияние диагностического тестированы при оценке возможного значения 8-

Фунпми диагностического тестирования, выполнявшиеся внутри ПЭ системы, обеспечивают непрерывное сравнение работы ПЭ системы с заранее олредвленньыи оостогьиями. Эти состоя кет предварительно определяются программно или аппаратно (например, с помощью контрольного таймера). Рассматриваемые таким образом функции диагностического тестирования можно считать дополнительными и часпеыо рззгьиающмися для каналов, работающих а ПЭ системе параллельно

Также может использоваться метод перекрестного контроля каналов. Многие годы этот метод применялся в двухканальных системах с взаимной блокировкой, построенных исключительно на реле. Однако репейная технология обычно позволяет проводить перекрестное тестирование только во время изменения состояния каналов. что делает такое тестирование неподходящим для обнаружения неодновременных отказов по общей причине. если системы остаются в одном (например, включением) состоянии в течение длительного времени. С помощью технологии ПЭ систем! перекрестный контрогъ может проводиться с высокой частотой.

D.2 Область применения методики

Область применения методики ограниченна аппаратными отказами по общей причине по следующим причинам:

•    модеп> 6-фактора и шоковая модель связьеают вероятность отказов по общей прнеине с вероятностью случайных аппаратных отказов. Вероятность отказов по общей причине, затрагивающих систему в целом, зависит от сложности системы (в которой главную рогъ. возможно, играет пользовательское программное обеспечение), а не только от аппаратуры. Очевидно, что любые расчеты, основанные на вероятности случайного аппаратного отказа, не могут учитывать сложность программного обеспечения.

•    ниформирооа ио об отхазах по общей причине обычно ограничивается аппаратными отказаны, что является главной заботой производителей оборудования:

•    моделирование систематических отказов (например, отказов программного обеспечения) считается практически неосуществимым.

•    целью мероприятий, определенных в МЭК 61508-3. является снижение вероятности отказов по общей причине, связанных с программным обеспечением, до ыэчвния. приемлемого для необходимого уровня полноты безопасности.

Следовательно, оценка вероятности отказа по общей причые. еьетолненная по данной методике, связана только с алпарзтньам отказами. Эту методику не допускается использовать для получения ныгвнсиа-юсги отказов всей систем, учитывающей вероятность отказа, связанную с программным обеспечением.

ОЛ Особенности методики

Так как на датчики, логическую подсистему и исполнительные элементы влияют, например различию условия окружающей среды и диагностические тесты с разным уровнем возможностей, для каждой из этих подсистем настоящую методику применяют независимо. Например логическую подсистему проще поместить в контро-гмруемую среду, а датчики могут быть установлены снаружи и подвергнуты внешнему воздействию.

Программируемые электронные каналы предоставляют возможность для реализации разнообразных функций диагностического тестирования и способны:

•    обеспечивать высокий охват диагноспесой а пределах конкретных каналов:

•    контролировать дополнительные избыточные каналы;

•    обеспечивать высокую частоту повторения;

•    контролировать с повышенной частотой датчмси и/или исполнительные элементы.

Чаше всего отказы по общей причине не возникают одновременно во всех затронутых каналах. Поэтому, если частота повторения диагностического тестирования достаточно высока, богъшую часть отказов по общей причине мокно обнаружить и. следовательно, устранить до того, как будут затронуты остальные доступные каналы.

Не все функции многоканальной системы, обеспечивающие устой-ио ость к отказам по общей причине, можно проверить с помощью диагностического тестирования. Однако эффективность этих функций. связанных с диверсификацией или независимостью, постоянио повышается. Любая функция, вторая, возможно, увеличивает время между отказами каналов е случае неодновременного отказа по общей причине (или уменьшает доге одновременных отказов по общей причине), увеличивает вероятность обнаружения отказа при диагностическом тестировании и перевода установки е безопасное состояние. Следовательно, функции, связанные с устойчивостью к отказам по обшей причине, делятся на функщы. влияние вторых предположительно возрастает при использовании диагностического тестирования, и влияние вторых не меняется (см. табшщу D.1. столбцы X и Y соотвегстрдкю).

Хотя для трехканальной смстеаы вероятность отказов по общей причине, влияющих на все три канала, серее всего, значительно ниже вероятности отказов, влияюштх на дез канала, для упрощения методики 6-фактора предполагается, что вероятность отказов не зависит от числа затрагиваемых каналов, т. е. еозннкао-щий огкзэ по общей при-ине затрагивает все каналы. Альтернативой является токовая модель.

Данных об аппаратных отказах по общей причине, необходимых для калибровки методики, не существует, поэтому данные таблиц е настоящем приложении основываются на инженерных оценках.

Иногда процедуры диагностического тестирования не рассматриваются как необходимые для обеспечения безопасности, поэтому их уровень обеспечения качества может быть ниже, чем у процедур, обеспечивающих основные функции управления. Данная методика была разработана в предположении, что уровень полноты безопасности для диагностического тестирования соответствует требуемому. Следовательно, любые лрограмы-ше процедуры диагностического тестирования должчы разрабатываться с использованием методов, соответствующих требуемому уровню полноты безопасности.

0.4 Использование 0-фэкторэ для вычисления вероятности отказа Э/Э/ПЭ системы, связанной с безопасностью, из-за отказов по общей причине

Вгиячые отказов по общей прчеыне на тчогокзнагъную систему с диагностическим тестированием следует рассматривать в каждом из каналов систем*.

Используя модель 6-фактора, для интенсивности опасных отказов по общей причине получим AgfA где Ад — м-ггенсивность опасных случайных отказов аппаратных средств для каждого отдельного канала, а 6 — 6-фактор а отсутствие диагностичеосого тестирования, т. в. доля отказов одного канала, влияющих на все канаты.

Предположим, что отказы по общей прчеыне влияют на все канаты, а промежуток времени между таким втянием на пврвьм и остальные каналы мал по сравнению с мчт ер валом времени между последовательными отказам! каналов по общей причине

Пусть в каждом канале применяется диагностическое тестирование, которое обнаруживает и вскрывает часть отказов. Отказы подразделяют на две категории, отказы, которые находятся вне охвата диагностического тестировали! {т. е. iкжпгдп не могут быть обнаружены), и отказы в пределах охвата (которые, в кетоном счете, будут обнаружены диагностическим тестированием}.

Поэтому общую интенсивность отказов системы, вызванных опасными отказами по общей причине, вычисляют по формуле

Ару 6 + А*» Рогов Арр — интенсивность необнаруженных отказов одного канала, т. е. чытенсивностъ опасных отказов, находящихся за лределакы охвата диагностического тестировала; очедедно. побое уменьшение р-фактора. являющееся следствием частоты проееденыя диагностического тестирования, не мажет повтять на А<х/

6 — фактор отказов по общей причине для необмаружиаэемых опаоых отказов, который равен общему 6-фактору, применяемому е отсутствие диагностического тестирования:

Адр — интенсивность обнаруженных опасных отказов одного канала (т. е. интенсивность опасных отказов одного ка-ела), находящихся в области охвата диагностического тестирования: ест частота проведемся диагностического тестирования высока, доля обнаруженных отказов ведет к уменьшению значения 6- т. е. бгг

6р — доля опасных отказов по общей прчыино. обнаруживаемых диагностическими тестаьы. С увеличением частоты проввденыя диагностического тестирования значение 6р становится меньше 6-

Значение 6 определяется по тэбтце 0.5. которая испогьэувт результаты D.4. с помоиыо оценюч S = X + У (см. D.5).

Значение 6р определяется по таблиие D.5. которая ислогьзует результаты D.4. с помоиыо оценки Sg = X(Z+1)+y.

0.5 Использование таблиц для оценки 6

Оценагу [J-ф автора рассчитывают отдельно для датчиков, логической подсистемы и исполнительных элементов.

Чтобы свести к минимуму вероятность воэныкноееныя отказов по общей причлче. следует сначала определить средства, эффективно защищающие от появления таких отказов. Реализация соответствующих средств в системе ведет к уменьшению значения 6-фактора. испогъзуемого при оценке вероятности отказа системы из-за отказов по общей причине.

Мероприятия и соответствующие им значения (баллы) параметров X и У. полученные с помощью инженерной оценки и описывающие вклад каждого из мероприятий е уменьшение числа отказов по общей лричинче. перечислены е тэбгыцв 0.1. Так как датчики и исполнительные элементы аналимруются нечаче. чем програты-руемая электроника, в табгьще D.1 используются столбцы XLS и YIS для программируемых электронных средств и столбцы Xse и Ygf для датчиков ит исполнытельных элементов.

Программируемые электронные системы могут использовать интенсивное диагностическое гестированые. позволяющее обнаруживать неодновременные отказы по общей причине. Для учета диагностического тестирования при оценке 6~Факторе общий вклад каждого из мероприятий в таблице D.1 разделен с использованием инженерной оценки на наборы значеный X и У Для каждого конфетного мероприятия отношение Х:У представляет собой меру поеькиения вклада этого мероприятия в борьбу с отказами по обшей причмю благодаря диагностическому тестированию.

Пользователь таблицы D.1 должен определить, какие мероприятия будут использованы для рассматриваемой системы, и сложить соответствующие мероприятиям баллы, приведенные 8 графах X1S и Yts для логической подсистемы, или е графах Х$р и У^ — для датчиков или исполнитегъных элементов, получив суммы X и У соотвегстоапо.

Коэффициент Z определяют по таблицам 0.2 и D.3 по частоте и охвату диагностического тестирования с учетом примечания 4. определяющего, когда следует использовать ненулевое значечые Z. Затем (при необходимости) рассчитывают сумму баллов S (см. 0.5) по формуле S = X + У — для лолучечыя знача мл 6 (6-фактора для

необнаруженных отказов) и S0 - X(Z+1) + Y — для получения значения    -фактора для обнаруженных

отказов), где S или Sa — баллы, используемые в таблице D.4 для определения соответствующего рм-фактора.

ftw м Pftiw являются значениям* отказа по общей при'-и не до рассмотрения эффекта различных степеней избыточности.

Таблица 0.1 — Оценка мероприятий зашиты программируема электротых средств игы датчжов/исполм*-тельных элементов от вознимоввния отказов по обшей причине

Мвролммтяе

Логическая

подсистема

Датчики и ислолмм-тельиме элемент*

*ч У* '

*«■ | v-

Разделение/выделение

Везде ли сигнатъные кабели каналов разделены между собой

1.5

1.5

1.0

2.0

Расположены ли логические подсистемы каналов на отдегъных печатных платах

3.0

1.0

Расположены ты логические подсистемы кзнелое в отдельных икафах

2.5

0.5

Ест датчжи/исполнительные элементы включают в себя собственную управляющую электронику, то расположена ли электронюса для каждого канала на отдегъной печатной плате

2.5

1.5

Если датчмм'исполнитегыые элементы вкгючают собственную управляющую эпектронжу. то расположен ли электронжа для каждого канала е различных помещениях и различных шкафах

"

2.5

0.5

Диеерсификация’избыточюсть

Реализованы ли в каналах различные электрические технопопы. например. од ж* канал электронный или программируемьй электронный, а для другого используются реле

8.0

Реализованы гы в каналах разлтте электронные технолога, напри*

мир. ЧФ»1 >>(Л1ДЛ — i ринный, а щjpufi — 1 %ы

6.0

Используют ли устройства различные физинесжие принщипы для датчиков. например, давления и температуры, анемометр с вертушкой и доплеровский датчик и т. д.

9.0

Используют гм устройства различные электрические принцигыАюнструк-ции. например, цифровые и аналоговые, с компонентами от различных производителей (но не уцененные) нем с различной технологией

6.5

Применяется ли макая диеерсифмсация. например, тагностическое те-стирооанмо аппаратуры испогъзует одинаковую технологию

2.0

1.0

Применяется ли средняя диверсификация, например, диагностическое тести рода мо аппаратуры использует различную технологию

3.0

2.0

Были ли разработаны каналы раэ/мчными конструкторами, которые не взаимодействовал* между собой в процессе разработки

1.5

1.5

Использовались ли для каждого канала различные люди и различные методы тестирования в процессе его пуска

1.0

0.5

1.0

1.0

Обслуживается ли каждый канал е разное время раэшми людьми

3.0

3.0

Продолжение таблицы 0.1

Мвролряатме

Логамкия

подсистема

Датчики и исполнительные элементы

*и Ъ '

*5* | V3f

Сложность/конструкци я/применение.1 завершенность/'опыт

Предотвращает ли перекрестная связь между каналами обмен любой информацией, кроме используемой для диагностического тестирования или голосования

0.5

0.5

0.5

0.5

Превышает ли время использования в отрасли методов, применяемых для проектирования аппаратуры, пять лет

0.5

1.0

1.0

1.0

Превышает ли время работы с этим же оборудованием в аналогичных условиях пять лет

1.0

1.5

1.5

1.5

Проста ты система, например, имеет ли она не более 10 входов или выходов на онал

1.0

Защищены ли входы и выходы от возможного превышения безопасных значений напряжения и тока

1.5

0.5

1.5

0,5

С запасом пи рассчитаны все устромства/компонекты (например, с коэффициентом 2 или более)

2.0

2.0

Оцемса/акалиэ и обратная связь

Были гм изучены результаты анализа видов и влияния отказов или дерево неисправностей для того, чтобы установить источники отказов по общей причине, и ус грают ли при проектировании предварительно известные источнмси отказов по общей причине

3.0

3.0

Рассматривались ли отказы по обшей причию при анализе проекта при последующем внесении изменений в проект (требуется документальное доказательство действий по анализу проекта)

3.0

3.0

Все ли возможные отказы были погыостыо проанализированы и учтены в проекте (требуется документальное доказательство процедуры)

0.5

3.5

0.5

3.5

Процедуры/иктерфейс пользователя

Существует ли зафиксированная письменно схема работы, гарантирующая обнаружение отказов (или ухудшение характеристик) всех юмпоиен-тов. установление корневых причин и проверку других аналогичных вопросов для аналогичных возможных причин отказов

1.5

0.5

1.5

Предусмотрены ли процедуры, обеспечивающие: разнесение обслуживания (вкгвочая настройку иты калибровку) по времени любой части независимых каналов: возможность выпогыетя диагностического тестировал*» гкжымо ручных проверок, проводимых е ходе очередного обслуживания, между завершением обслуживания одного канала и наделом обслуживания другого

1.5

0.5

2.0

1.0

Определено ли в документированных процедурах обслуживания, чгто обеспечивающие избыточность компоненты систем (например, кабели и т. д.) должны быть независимы орут от друга и закреплены в устройстве

0.5

0.5

0.5

0.5

Проводится ли обслужи валю печатных плат и т. д. вне рабочего места (а центре ремонта компонентов) и проводится пл тестирование отремонтированных элементов перед их установкой

0.5

1.0

0.5

1.5

Окончание таблицы D.1

Мвроарматее

Л опт* ес как подсистема

Датчики а исполни* тельные элементы

Хц

Xgf

Обеспечивает ли система >мзкий охват диагностикой (от 60 % до 90 %) и сообщает ш об отказах на уровне мозуля. допускающего замену в процессе эксплуатации

0.5

"

"

Обеспечивает ли система средний охват диагностикой (от 90 % до 99 %) и сообщает ш об отказах на уровне модуля, допускающего замену в процессе эксплуатации

1.5

1.0

"

Обеспечивает пи система высокий охват диагностикой (> 99 %) и сообщает пя об отказах на уровне модуля, допускающего замену е процессе эксплуатации

2.5

1.5

Сообщает ли диагностическое тестирование системы об отказах на уровне модуля, допускающего замену е процессе эксплуатации

1.0

1.0

Компетентноеть/обучение/культура безопасности

Обучены ли конструкторы (с помощью обучающей документацт) now-мать причины и следствия отказов по общей причине

2.0

3.0

2.0

3.0

Обучен ли обслуживающий персонал (с помощью обучающей документации) nowMarb при-—1ы и следствия отказов по общей причине

0.5

4.5

0.5

4.5

Контрогъ состояния окружающей среды

Ограничен ли доступ персонала (закрытые шкафы, недоступное размещение компонентов и т. д.)

0.5

2.5

0.5

2.5

Возможно ли. что система всегда будет работать в задажых диапазонах температур, влажности, коррозии, пыли, вибрации и т. д.. в которых ее работа была проверена, без использования внешнего контроля состояния окружающей средь'

3.0

1.0

3.0

1.0

Все ли сигнальные и силовые кабели отделеш друг от друга

2.0

1.0

2.0

1.0

Проверка влияния окружающей среды

Было ли проверено, что система устон-мва ко всем воздействиям окружающей преды (например ЭМС. температура, вибрация, ударные нагрузки, влажность) на уровне, заданном е соответствующих международных или мационагаых стандартах

10.0

10.0

10.0

10.0

Примечания

1    Ряд факторов, связэшых с работой системы, трудно предсказать во время проектирования. В таких случаях конструкторы должзы убедиться е том. что конечный пользователь системы уведомлен, например, о процедурах используемых для достижения требуемого уровня полноты беэопаоюсги. Необходимая информация должна быть включена в сопроводительную документащео.

2    Значения X и У основаны на инженерной оцем» и учитывают как косое мое, так и прямое вшяние мероприятий. Например, использование модулей, допускающих замену во время эксплуатации, приводит:

-    к вьлолнееыю ремонтных работ производителем в соответствующих условиях вместо ремонтных работ. выполняемых на месте в менее подходящих условиях. Это вносит свой вклад в значения У. так как снижается вероятность систематических отказов и. следовэтегъно. отказов по общей причине:

-    к етжению необходимости вмешательства человека на месте и к возможности быстрой замены неиспраошх модулей, не выключая системы, повышая таким образом эффективность диагностики для иден-тификашы отказов до того, как ow станут отказами по общей причине. Это заметно втяет на значения X.

Таблица D.2 — Значение Z: программируемая электроника

Диагностический

охват

Периодичность диагностического тестирования

Менее 1 мин

От 1 до 5 нии

Более 5 мин

299%

2.0

1.0

0

290%

1.5

0.5

0

2 60 %

1.0

0

0

Таблица D.3 — Значение Z: датами ww испотительные элементы

Диагностический

охват

Периодичность диагностического тестирования

Менее 2 ч

От 2 ч до 2 дней

От 2 до 7 дней

Бопее 7 дней

2 99%

2,0

1.5

1.0

0

2 90%

1.5

1.0

0.5

0

2 60%

1.0

0.5

0

0

Примечания

1    Дгичгтл методика наиболее эффективна, если при подсчете баллов равномерно учитываются все группы мероприятий, представленные в табгмде D.1. Следовательно, рекомендуется, чтобы общая сумма баллов X и У для каждой группы была не менее общей сумеем баллов X и Y. деленной на 20. Например, если общая сумма баллов Х+У равна 60. то общая сумма баллов Х+У для любой из групп (например, для группы мероприятий • Процедуры/интерфейс пшъэователя») должна быть не менее четырех.

2    При испагъэовании таблицы 0.1 следует учитывать балгы для всех реализованных в системе мероприятий. Подовт суммы баллов был разработан для учета тех мероодиягий. которые не являются взаимно иослкмэ-ющими. Например, для системы, логические подсистемы каналов которой расположены в отделы-ых стойках, подсчитывают сумму баллов меролриятий таблицы 0.1 «Расположены ли логические подсистемы каналов в отдельных шкафах» и «Расположены ли логические подсистеьы каналов на отдельных печатных платах».

3    Если в дат-ыках или исполнительных элементах используется программируемая электроника, их рассматривают сак часть логической подсистемы, если они находятся а том же здании (транспортном средстве), что и устройство, являвшееся главной шестью логической подсистемы, и в качестве датчиков игы исполнительных элементов, если от расположены отдельно.

Л Для того, чтобы использовать lenynoooo зпа*о»40 Z, iryrxaю убедиться. что управляемое оборудооамо переходит в безопеоюе состояние до того, как неодновременный отказ по общей причине сможет повлиять на все канат. Время, необходимое для обеспечения этого безопасного состояния, должно быть менее заявленного интервала диагностического тестирования. Ненулевое значотмо Z допусхзется использовать только в случае, если:

•    система инициирует автоматическое вькпючение при обнаружен!» сбоя, илы

•    безопасное выключение не гмщиируется после первого сбоя*, но диагностическое тестирование:

-    определяет местонахождение сбоя и может его локализовать, а также

-    сохраняет способность перевода УО в безопасное состоите после обнаружения любых поспедуюиаос сбоев, или

-    применяется формальная система работы, гарантирующая, что причта любого обнаруженного сбоя будет полностью проанализирована в течение заявлетого периода диагностического тестирования и либо:

-    установка немедленно выключается, если сбой может привести к отказу по общей причте, либо

-    канал, в котором произошел сбой, восстанавливается в течение заяале!*его интервала диагностического тестирования.

5    В обрабатывающих отраслях вряа m возможно выключать УО при обнаружат сбоя во время интервала диагностического тестирования в соответствии с таблицей D.2. Настоящая метшиса не должна восприниматься как содержащая строгое требование выключать технологические установки непрерывного производства при обнаружена подобтх сбоев. Однако если выключение не производится, то уменьшить р-фастор с помощью ме-полъэоватя диагностического тестирования для программируемых электронных средств невозможно. В ряде других отраслей вьжлючение УО во время интервала даап*осг»ме«ого тестировано возможно. В этих случаях допускается использовать ненулевое значение Z.

6    Если диагностическое тестирование проводится модулъно. то время повторения, приведенное в табгм-ue D.2 или D.3. — это время между завершениями последовательного диагностического тестирования всего наборе модулей. Охват диагностикой — общий охват, обеспечиваемый всеми модулями.

Таблица D.4 — Расчет величины 6 или рс

Баллы (S кля S^}

Значение р или р0 дли

логической подсистемы

датчиков или исполнительных элементов

120 или более

0.5%

1 %

От 70 до 120

1 %

2%

От 45 до ГО

2%

5%

Менее 45

5%

10 %

Примечания

1    Максимальные уровни рв, ниже обычно используемых, что объясняется использованием методов, описантх в настоящем стандарте, для уменьшения вероятности система; веских отказов в целом и в результате — вероятности отказов по общей причте.

2    Знэчетя р0 менее 0.5 % для логической подсистемы и 1 % — доя датчисое трудно подтвердить.


Значение р^. пол учетов из таблицы D.4. является отказом по общей причине, сопоставлю* к ш с системой 1оо2. Для других уровней избыточности (MooN) аючоние рл меняется, как показано в табл me D.5. для получения окончательного значения {!•

Таблица D.5 также используется для определения конечного значения р^ но. когда есть р,^. оно может быть умвгышено до w.

Примечание — Для дополнительной актуальной информации (по PDS методам) см. [22].

Таблица D.5 — Расчет р для систем с уровнем реэереироватя. больимм 1оо2

MooN

Значение р

2

3

4

5

М

1

Р*н

0.5 fU

0.3 Prti

02 рУи

2

1.5 Р„

о-в Pw

3

1.75 р w

0ЛРv*

4

2 Р«

0.6 Использование методики

Для демонстрации результата использования методики аючоиия р и р0 для программируемых электрон-►ых средств приведет в таблице D.6.

Для всех групп мероприятий, кроме — «доверсификация/иэбыточностъ». былм использованы липовые значения X и У. Они были получены делением максимального значения балтлюв длтя конфетных групп на два.

Для систем с разнообразием эочения X и У для группы «диверсификация! избыточность» бы/м выведет исходя из следующих мероприятий, рассмотрен ■ шх в таблице D.1:

•    одна система электронная. другая использует технолопео реле:

•    диагностическое тестирование алпзратуых средств испо/ъзует рэз/мчные технологи*:

•    разте конструкторы не взаимодействовали между собой в процессе проектирования;

•    для пуска системы использовались раз/мчные методы тестировался и раэьж персонал;

•    обслуживание проводилось в разное время раэшми людьми.

Для систем с избыто1 ■ сетью значения X и У для группы «диеерсификэцияизбытонность» бы/w выведены, исходя из того, что диагностика аппаратных средств проводилась независимой системой, испо/ъэующей ту же технологию, что и системы с избыточностью.

В системах с разнообразием и е системах с избыточностью для еелинш Z использовались максимальте и ьыкима/ъные аочемтя. поэтому в таблице D.6 знача мя 6 и ре представлены для четырех систем.

Таблице 0.6 — Значения 6 и fa для программируемых электронных средств

Группа мероприятия

Система с разнообразием и хорошим диагностическим та с тированном

Система с разнообразием и плохим диагностическим тестированием

Система с

избыточностью и хорошим диагностическим тестированием

Система с избыточностью и плохим диагностическим тестированием

Разделенме/выделение

X

3.50

3.50

3.50

3.50

У

1.50

1.50

1.50

1.50

Диверсификация/иэбыгоч-юстъ

X

14.50

14.50

2.00

2.00

У

3.00

3.00

1.00

1.00

Сложность/конструкция/...

X

2.75

2.75

2.75

2.75

У

2.25

2.25

2.25

2.25

Оцвнка/аналиэ/._

X

0.25

0.25

0.25

0.25

У

4.75

4.75

4.75

4.75

Процедуры/интерфейс пользе-вателя

X

3.50

3.50

3.50

3.50

У

3.00

3.00

3.00

3.00

Компетемтностъ/о6учемие/_

X

1.25

1.25

1.25

1.25

У

3.75

3.75

3.75

3.75

Контро/ъ состояния окружаю-щей среды

X

2.75

2.75

2.75

2.75

У

2.25

2.25

2.25

2.25

Проверка влияния окружающей среды

X

5.00

5.00

5.00

5.00

У

5.00

5.00

5.00

5.00

Охват диагностикой

Z

2.00

0.00

2.00

0.00

X (всего)

33.5

33.5

21

21

У (всего)

25.5

25.5

23.5

23.5

Сумма баллов S

59

59

44.5

44.5

6

2%

2%

5 %

5%

Сумма баллов Sq

126

59

86.5

44.5

Ро

0.5%

2%

1 %

5%

0.7 Биномиальная интенсивность отказов (шоковая модель) —подход CCF

Практические испытания отхаэое по общей причю*е (CCF) показывают, что если случается много дэол-ых отказов и мало тройных, возможно, один четырехкратный. и ни одного большего порядка при наблюдении за раной явной прич*мой. которая не могла быть определена во время ана/ыза безопасности, то. следовательно, вероятность множественных отказов уменьшается с уввгмчвнием порядка CCF. Поэтому, ес/м модеть 6-фактора

ВО

является рвалиститой для двойного отказа и немного пессимистичной для тротого. то для четырехкратного отказа и дальше она становится уж слшком консервативной. Рассмотрим типичный пример инструментальной системы безопасности, которая закрывает п скважин (например, л = 150) на нефтяном месторождении, когда происходит блокировка выхода. Конечно. 2. 3 ига* 4 скважины могут не закрыться из-за неявного ССР. но не л. как было смоделировано по 0-фактору (иначе ССР будет явным и должны анализироваться отдельные отказы). Другой типичный пример возникает при работе с несколькими слоями безопасности е одно и то же время. Рассмотри мо. например, возможных ССР между датчиками двух слоев безопасности может означать рассмотрение ССР между шестью датчиками (т. е. тремя датчиками на каждый спой).

Чтобы справиться с этой трудоостью. было предложено несколько моделей |4], но большинство из них требуют достаточно того параметров надежности (например, множественные греческие буквы или а-модегы). что становятся нереальны»**. Среди них биномиальная интенсивность отказов (шоковая модель), введенная в 1977 году Весели (Vesely) и улучшетая в 1986 г. Этвудом (Atwood), предусматривает более прагматичное решете (4). [6]. Идея е том. что когда происходит ССР. это похоже на удар по связанным компонентам. Этот удар может быть летать**** (т. е. такое же влияние, как и в модели 0-фактора) или нелегальным, и в этом случае есть только определенная вероятность, что данным компонент откажет из-зв удара. Тогда вероятность того, что из-за удара будет получено к отказов, распределена биномиально.

Датой модет требуется, чтобы были определены только три параметра:

- <о интенсивность летальных ударов:

•    р жтенсиеностъ нелегальных ударов:

•    у условная вероятность отказа указанного компонента, получившего нелегальный удар.

На рисунке D.2 приведен пример реализации датого метода при использовании дерева отказов.

Рисунок D2. — Реализация шоковой модели при использовании дерева отказов

Идентичные компоненты могут быть связали с моделью 0 путем разделения 0 на две части 0t и 0М1:

•    интенсивность отказов из-за летального удара: Ход х 01;

•    интенсивность отказов из-за нелегального удара: Азд х 0^;

•    независимая интенсивность отказов: Авд [1 - (0t + 0Ж)].

В дереве отказов, представленном на рисунке 0.2. это соответствует.

•    ттенсивности летальшх ударов: ю = Аэд х 04;

•    интенсивности нелегальных ударов: р = Явд х

Обыто основой сложностью является вычисление значений трех параметров (<о. р. у) ига* (0t. 0^. у). В [6] приводятся некоторые показатели и предоставлены другие источ-мки информации о статистической обработке данных, позволяющей вычистить (со, р. у) из испытаний реальной системы.

Есгм данные отсутствуют, то возможно испопьэоватв икженерсхих суждетй при прагматическом подходе. Например, может применяться следующая процедура при использоеант дерева отказов, когда в малити больше трех похожих элементов:

1 Рассматривать 0. как в методе 0-фактора.

2    Считать неэначительтм <pw = р).

3    Оценить у. чтобы была уверенность, что получен консервативный результат. Считая, что деотыв отказы реализуются, по кражей мере, в 10 раз чаше, чем четъфехкраттв (безусловно, консервативная гипотеза), можно использовать следующую формулу

где N — количество похожих элементов: с£ — количество потенциальных двойных отказов:

Civ — яогмчество потенциальных четырехкратных отказов.

4 Рассчитать р как фунецию от котчества N похожих элементов

&-DU

В этом методе основной вклад вносят двоите и тройные отказы, а результаты являются консервативны!»* по сравнению с результатами, полученными при помощи метода p-фактора только с тремя компонентами. Двойные и тройные CCF рассматриваются корректно, но и маловероятные множественные отказы не полностью игнорируются.

Данная модоъ может быть очень лепт реализована при вычислениях для моделей дерева отквэов. подобно тем. что показаны в приложены В. например, для дерева отказов в В.4.3. Она позволяет очень лепсо анализировать системы безопасности, содержащие много похожих компонентов.

0.8 Ссылки

Полезная информация, связанная с отказами по общей причине, содержится в (17]—(21].

Приложение Е (справочное)

Применение таблиц полноты безопасности программного обеспечения в соответствии с МЭК 61508-3

Е.1 Общие положения

Нэстояцее приложение содержит два примере применения табгыц полноты безопасности программного обеспечения, определенных 8 МЭК 61506-3. приложение А:

a)    Уровень полноты безопасности 2: программируемая электронная система, связанная с безопасностью, которая используется для управления процессом на химическом заводе:

b)    Уровень поп-юты безопасности 3: программное приложение, разработанное на языке программирования высокого уровня, которое управляет закрывающим устройством.

Денные примеры показывают, сак можно выбрать методики разработки программного обеспечения в определенных обстоятельствах из табгмц приложений А и В стандарта МЭК 61508-3.

Следует под* юркнуть, что эти илпосграмм не являются безусловны применением стандартов в данных примерах. В МЭК 61506-3 в нескольких местах четко сказано, что с учетом огромного количества факторов, которые могут повлиять на системные возможности программного обеспечения, невозможно предоставить алгоритм для обьединения методов и мер. которые необходимо применять для побого применения.

Все исходные характеристики конкретной системы, необходимые для испогъэования упомянутых выше табгыц полноты безопасности, должны иметь документальное обоснование, подтверждающее, что все описания используемых характеристик правильны и соответствуют конфетной реализации этой системы. Желательно, чтобы эти обоснования опирались на ссылки на руководство в МЭК 61506-3. приложение С. в котором обсуждаются желаемые свойства, которые, есгы достигнуты на соответствующей стадни жизненного цикла, могут убедительно обосновать уверенность, что соеданное программное обеспечение обладает достатонюй систематической полнотой безопасности.

Е.2 Система с уровнем полноты безопасности 2

Пример представляет собой программируемую электронную систему, связанную с безопасностью, с уровнем полноты безопасности 2. которая используется для управления процессом на химическом заводе. Данная программируемая электронная система испогъзует в прикладной программе язык многозвенных логических схем и служит примером прикладного программирован мл на языке с ограниченном изменчивостью.

Установка, работающая на химичеосом заводе, состоит из нескольких реакторных баков, сеяэаных промежуточными баками хранения, которые на некоторых стадиях цжла реакции заполняются инертным газом для предотвращения воспламенения и взрывов. Функции программируемой электронной системы, связанной с безопасностью. помимо прочих, включают в себя: получение входных данных от датчиков: вклочение и блокировку клапанов, насосое и исполнительных механизмов: обнаружение опасных ситуаций и включение сигнала тревоги; сопряжемте с распределенной системой управления в соответствии с требованиями, предъявляемы mi cneiu-фикэиией безопасности.

Предположения и характеристики системы:

•    программируемая электроника системы, сеязамюй с безопасностью, представляет собой программируемый логический контроллер (ППК);

•    при анализе опасностей и рисков установлено, что необходимо использовать программируемую электронную систему, связанную с безопасностью, и для дан кого приложения нужен уровень полноты безопасности 2 (в соответствии с МЭК 61506-1 и МЭК 61508-2):

•    хотя контроллер работает в реальном времени, требуется относительно небольшая скорость реакции:

•    существуют интерфейсы с оператором и распределенной системой управления:

•    исходный шд программного обеспечения систем и схема программируемых электронных средств ПЛК недостугеы для проверки, но оценены в соответствии с МЭК 61506-3 как соответствующие уровню полноты безо-пэсности 2:

•    в качестве языка программирования применения использовался язык многозвенных логи* носких схем: программа создавалась с помощью системы разработки, предоставляемой поставщиком ПЛК:

•    код приложения должен иепогыягъся только на ПЛК одного типа:

•    вся разработка программного обеспечения контролировалась лицом, независимым от команды разработчиков программного обеспечения:

•    гмед. независимое от команды разработчиков программного обеспечения, наблюдало за приемочными испытаниям! и утвердило их результаты:

•    изменения (если необходимы) санкционируются гыцом. независимым от команды разработчиков программного обеспечения.

Примечания

1    Определенно независимого лща — в соответствии с МЭК 615064.

2    См. примечания к 7.4.2. 7.4.3. 7.4.4 и 7.4.5 е МЭК 615063 для информации о разделенеи ответственности между поставщиком ПЛК и пользователями при использовании языков программирования с ограниченной иэ-менчивостью.

Интерпрега1ия МЭК 615063, приложение А. для данного примера представлена в следующих таблицах.

Таблица Е.1 — Спецификация требований к безопасности программного обеспечения (см. МЭК 615063. подраздел 7.2)

Метод/сродстоо

Семя а

УПБ2

Иитерлретяиия (в настоящем приложения)

1а Полуформальные методы

Таблица В.7

R

Обычно используются причинно-следст-вви-ые диаграммы, цмелограмьы и фунж-ционагъные блоки, используемые для спецификации требований к программному обеспечение ПЛК

1Ь Формальные методы

В.22. С2А

R

Не используются для языков программирования с ограниченной изменчивостью

2 Прямая прослеживаемость между требованиями к системе беэолэоюсти и требованиями к программному обеспечению системы безопасности

С.2.11

R

Проверка полноты: проверка, гарантирующая. что все требования к системе безопасности учтены а требованиях к программному обеспеченно системы безопасности

3 Обратная прослеживаемость между требованиями к системе безопасности и предполагаемыми потребностями безопасности

С.2.11

R

Минимизация сложности и функциональности: проверка, гарантирующая, что все требования к программному обеспечен»» системы безопасности фактически необходимы, чтобы учесть требования к системе безопасности

4 Автоматизированные средства разработки спецификаций для поддержки перечислен-w выше псщходяцих методов/средств

В.2.4

R

Используются средства разработки, поставленные производителем ПЛК

Примечания

1    В столбце «Ссылая "B.xjcx*. *Сjuuc* указывают на огмсания методов, изложенные в приложениях В и С МЭК 615067. а Табгыца А.х“. Таблица Вл* — на таблицы методов, представленные а приложениях А и В МЭК 61508-3.

2    Требования к безопасности программного обеспечения определены на естественном язьасе.

Таблица Е.2 — Программное обеспечение, проектирование и разработка: архитектура (см. МЭК 615063. пункт 7.4.3)

Метоо/средстьо

Ссыяп

УП62

Иитяряретаияя (в настоящем приложения)

1 Обнаружение и диагностика сбоев

С.3.1

R

Проверка диапазона данных, контрольный таймер, веод/вывод. средства свяэ4. В случае ошибям поднимает тревогу (ом. За)

2 Коды обнаружения и исправления ошибок

С.3.2

R

Встраивается с пользоватегьсаши функциями: требуется тщательный выбор

За Программирование с проверкой ошибок

С.3.3

R

Выделяет часть многозвенной логической стены ПЛК для проверни некоторых важных условий безопасности (см. 1)

Мегоа/сродстьо

Ссыма

УПБ2

Интерпретация (e настоящем припожетш)

ЗЬ Методы контроля (при реализации процесса контроля и контролируемой функции на одном компьютере обеспетаэется их независимость)

С.Э.4

R

Не предлоттается: обеспечете гарантии независимости приводит к увеличению сложности программного обеспечения

Зс Методы контроля (реализация процесса контроля и контролируемой фунтам на раэ-ш компьютерах)

С.3.4

R

Проверяет разрешенные комбинации ваада'выаодз на мониторе независимого компьютера, обеслетаающего безопасность

3d Многоеэриантное программирование, реализующее одну отеиифихацию требований к программному обеспечению систе*м безопасности

С.3.5

Не предпочитается: недостатотое новы-шо1МО безопасности по срааненмо с Зс

Зе Многовариантное (функционально) программирование. реализующее различные спецификации требований к программному обеспечению системы безопасности

С.3.5

Не предпочитается: в значительной степени достигается Зс

3f Восстановление предыдущего состояния

С.3.6

R

Встраивается с польэоватегъомми фум-циямг требуется тщательный выбор

Зд Проектирование программного обеспечения. не сохранявшего состоите (игм проектирование ПО. сохраняющего ограниченное описание сосгоятя)

С.2.12

Не используется. Управление процессом нуждается е состояниях, чтобы запоминать состогьые установки

4а Мехатзмы повторных попыток пврироаа-тя сбоя

С.Э.7

R

Используется в соответствии с требованиями прикладной задат (см. 2 и ЗЬ)

4Ь Постелетое отключение функций

С.3.8

R

Не используется для программирования с ограниченной изменчивостью

5 Исправление оиибок методами искусственного интеллекте

С.3.9

NR

Не используется для программирования с ограниченной изменчивостью

6 Динамическая реконфигурация

С.3.10

NR

Не используется для программирования с ограниченной изменчивостью

7 Модулыый подход

Табтща В.9

HR

8 Использование аоверительных/проеерен-ных элементов программного обеспечения (если таковые имеются)

С.2.10

HR

Созданный ранее код для более рантх проектов

9 Прямая прослеживаемость между спецификацией требооатй к программному обеспечению системы безопасности и архитектурой программного обеспечения

С.2.11

R

Проверка пототы: проверка, гарантирующая. что все требооа ыл к программному обеспеченюо системы безопасности учтены в требованиях к архитектуре программ кого обеспечения

10 Обратная прослеживаемость между спецификацией требований к программному обеспечетю система безопасности и архитектурой программного обеспечения

С.2.11

R

Митмизация сложности и функциональности: проверка, гароттмрующая. что все требования к архитектуре программного обеспечения систем* безопасности фактически необходимы, чтобы учесть требования к программному обеспечению системы безопасности

Окончание таблицы Е.2

Мегод/сродстео

Ссылка

УП62

Интерпретация (а настоящем приложения)

11а Структурные методы

С.2.1

HR

Методы потоков данных и логических таб-лш данных могут ислогъэоваться. по крайней мере, для описания проекта архитектуры

11Ь Полуформальные методы

Таблица В.7

R

Могут быть исподеэооаш для жтерфейса OCS

11с Формальные методы проектирования и усовершенствоважя

В.22. С.2.4

R

Редко используются для программирования с отрантенной изменчивостью

lid Автоматическая генерация программного обеспечения

С.4.6

R

Не используется для программирования с ограниченном изменчивостью

12 Автоматизированные средства разработки спецификаций и проектирования

В.2.4

R

Используются средства разработки, поставленные производителем ПЛК

13а Циюмческое поведение с гарантированным максимальным временем цикла

С.3.11

HR

Не используется. Время цикла ПЛК контролируется техническюм средствами

13Ь Архитектура с временны распределением

С.3.11

HR

Не используется. Время цикла ПЛК контролируется гехническмаи средствами

13с Управление событиями с гарантированным максимальным временем реакции

С.3.11

HR

Не используется. Время цикла ПЛК контролируется техническим* средствами

14 Статическое выделение ресурсов

С.2.6Э

R

Не используется. Вопросы о джэмичесхих ресурсах не возникают для программирования с ограниченной изменчивостью

15 Статическая синхромизадея доступа к разделяемым ресурсам

С.2.6.3

Не используется. Вопросы о джэмичесхих ресурсах не возникают для программирования с ограниченной изменчивостью

Примечания

1    В столбце «Ссылка» *B.x.xj<*. *Cjcxjc* указывают на описэ-мя методов, иэладежые в приложен*» В и С МЭК 61506-7, а "Тэбгмца AjС. Таблмда В.х* — на тэбгыцы методов, прваставло! ■ ыо е приложениях А и В МЭК 61508-3.

2    Требования к безопасности программного обеспечения определены на естество чом языке.

Таблица Е.З — Проектирование и разработка программного обеспечения: средства поддержки и язык программирования (см. МЭК 61508-3. пункты 7.4.4)

Me тол'средство

Ссмта

УП62

Интерпретация (• настоящем приложении)

1 Выбор соответствующего языка программирования

С.4.5

HR

Обычно исподезуются ыногоэеенгые логические схемы и часто испогъэуются фирменные языки поставщика ПЛК

2 Строго типизированные язьки программирования

С.4.1

HR

Не используется. Испогъэуется ПЛК — ориентированный структурированный текст (16)

3 Подмножество языка

С.4.2

Остерегайтесь использования сложных «макроинструкций». прерываний, которые изменяют цикл сканирования ГЦЖ. и т. д.

4а Сертифмдированные средства и сертифицированные трансляторы

С.4.3

HR

Поставляется производителем ПЛК

Мстоа'срсдство

Сента

УПБ2

Интерпретация (■ настоящем приложении)

4Ь Инструыенталыые средства и трансляторы: повышение уверенности на основании опыта использования

С.4.4

HR

Испогъэуются средства разработки, предлагаемые поставивший ПЛК. а также собственные ««струменты. разработанные е ходе работы над несколькими проектами

Примечание — В столбце «Ссыгкз» "В.х.хх*. *С.х.хХ* указывают на описания методов. изложенные в приложениях В и С МЭК 61508-7. а Таблица А.х-. Таблица Bjs'— на таблицы методов, представленные в приложениях А и В МЭК 61508-3.

Таблица Е.4 — Проектирование и разработка программного обеспочо-ыя: подробная модегь (см. МЭК 61508-3. пункты 7.4.5 и 7.4.6). (Включает проектирование систем программного обеспочогмл. проектиpoeai-ме модулей програмвмого обеспечения и кодирование)

Мет oaf средство

Ссмтэ

УП62

Интерпретация (а настоящей приложении)

1а Структурные методы

С.2.1

HR

He испогъзуется для яэьжов программирования с ограниченной изменчивостью

1Ь Полуформапьте методы

Табгмца В.7

HR

Испогъэуются причинно-следствемгые схемы. циклограммы, функциональные блоки, гигиснадо для языков программирования с ограниченной изменчивостью

1с Формальные методы проектирования и усовершенствования

В2.2, С2А

R

Не используется для языков программми-рования с ограниченной измечивостью

2 Средства автоматизированного проектирования

В.3.5

R

Испогъэуются средства разработт. поставленные производителем ПЛК

3 Программирован} с защитой

С.2.5

R

Включается в системное программное обеспечение

4 Модулы*»» подход

Таблица В.9

HR

Испогъзуется упорядочение и группировка ирырвшмы him ПЛК пи HHUiujaemeix лит*t-чесяих схемах для максимального увегыче-ния модульности требуемых функций

5 Стандарты по проектированию и кодированию

С.2.6.

таблица В. 1

HR

Испогъэуются собспкхиыо соглашения для документации и удобства эксплуатации

6 Структурное программирование

С2.7

HR

Для рассматриваемого примера аналогично модульности

7 Использование доверительных/проеерен-ных элементов программного обеспечения (по возможности)

С.2.10

HR

Функциональные блоки, части программ

8 Прямая прослеживаемость между спецификацией требооа вчй к программному обеспечению системы безопасности и проектом программного обеспечения

С.2.11

R

Проверка полноты: проверка, гарантирующая. что все требования к программному обеспечению системы безопасности учтет в требованиях проектирования программного обеспечения

Примечание — В столбце «Ссылв» "Bjrjtx*. "C-xjcjc* указывает на описания методов, изложенные е приложениях В и С МЭК 61508-7. а Пабтада А.х". "Таблица Bjt* — на таблицы методов, представленные е приложениях А и В МЭК 61508-3.

Таблица Е.5 — Проектирование и разработка программного обеспечения: проверка и интеграция программ шх модулей (см. МЭК 61506-3. пункты 7.4.7 и 7.4.6)

Ме?аа'средство

Ссыгаа

УПБ2

Интерпретация {а настоящем приложении)

1 Вероятностное тестирован»

С.5.1

R

He испотъзуется для язьжое программирования с ограниченной изменчивостью

2 Динамический анализ и тестирован»

В.6.5.

таблица В2

HR

Используются

3 Регистрация и »<алиэ данах

С.52

HR

Запись исходных данных и результатов тестирования

4 Функциональное тестирование и тестирование методом «черного ящика»

В.5.1.В.5.2. таблица В.З

HR

Выбираются входные данные для тестирования всех заданных функциональных блоков. включая обработку ошибок. Используются: тестовые примеры, полученные с помощью причинно-следственных схем, анализ граничных значений и декомпозиция входных данных

5 Тестирование рабочих характеристик

Таблица В.6

R

Не испотъзуется для языков программирования с ограниченной изменчивостью

6 Тестирование, основанное на модетм

С.5.27

R

Не испотъзуется для язьжое программирования с ограниченной изменчивостью

7 Тестирование нлврфейсэ

С.5.3

R

Включено в функциональное тестирование и тестирование методом «черного ящика»

8 Управление тестированием и средства автоматизации

С.4.7

HR

Испотъэуются средства разработан, поставленные производителем ПЛК

9 Прямая прослеживаемость между спецификацией проекта программного обеспечения и спецификациями тестировано) модуля и интеграции

С.2.11

R

Проверка полноты: проверка, гарантирующая. что запланирован соответствующий тест, чтобы исследовать функциональность всех модулей и их интеграции с соответственно связанными модулями

10 Формальная верификация

С.5.12

Не испотъзуется для языков программирования с ограниченной изменчивостью

Примечание — В столбце «Фсыпе» "Bjcjcx*. указывает на огмсания методов, изложенные в приложентях В и С МЭК 61508-7. а Табгыца А.х". "Таблица В-х*— на таблицы методов, предсгаапетые в приложениях А и В МЭК 61508-3.

Таблица Е.6 — Интеграция программируемых электронных средств (аппаратура и программное обеспечение) (см. МЭК 61508-3. подраздел 7.5)

Матод/средстао

Ссыпая

УП62

Интерпретация (е настоящем пряпожеиии)

1 Функциональное тестирование и тестирование методом «черного ящика»

B.S.I.

В.5.2.

таблица В.З

HR

Выбираются входные данные для тестирования всех заданных функциональных блоков. включая обработку ошибок. Используются: тестовые примеры, полученные с помощью причинно-следственных схем, анализ граничных значений и декомпозиция входных данных

2 Модетмрование производительности

Таблица В.6

R

Если система ПЛК собирается для заводских приемочных испытаний

Метод/ср«дст«о

Ссылка

УП62

Интерпретация (а настоящей приложении)

3 Прямая прослеживаемость между требованиями проекта системы и программного обеспечения к интеграции программных и аппаратных средств и спецификадоями тестирования интеграции программных и аппаратных средств

С.2.11

R

Проверка, гарантирующая, что тесты интеграции аппаратуры и программного обеспечения являются адекватными

Примечание — В столбца «Ссылка* *B.X-xjc*. *C.xjcx* указывают на описания методов, изложение а приложениях В и С МЭК 61508-7. а Таблица А_х\ Таблица Bjc’ — на гэбтцы методе», представленные в приложениях А и В МЭК 61508-3.

Таблица Е.7 — Подтверждение соответствии аспектов программного обеспечения систем безопасности (см. МЭК 61500-3. подраздел 7.7}

Метод/средстео

Ссылка

УП62

Интерпретация (• настоящем приложении)

1 Вероятностное тестирование

С.5.1

R

Не используется для языков программирования с ограниченной изменчивостью

2 Моделирование процесса

С.5.18

R

Не используется для языков программирования с ограниченной изменчивостью, но все чаще используется при разработке систем ПЛК

3 Моделирование

Таблица В.5

R

Не используется для языков программирования с ограниченной изменчивостью, но все чаще испотъэуется при разработке систем ПЛК

4 Функциональное тестирование и тестирование методом «черного ящика*

В.5.1. В.5.2. таблица В.З

HR

Выбираются входные данные для тестирования всех заданных функциональных блоков. включая обработку ошибок. Испогъзу-ются: тестовые примеры, полученные с помощью причито-следственных схем, анализ граничных значений и декомпозиция входных данных

5 Прямая прослеживаемость между спецификацией требований к программному обеспечению системы безопасности и планом подтверждения соответствия программного обеспечения системы безопасности

С.2.11

R

Проверка полноты: проверка, гарантирующая. что запланированное адекватное подтверждение соответствия программного обеспечения учтено в требованиях к программному обеспечение системы безопасности

6 Обратная прослеживаемость между планом подтверждения соответствия программного обеспечения системы безопасности и спецификацией требований к программному обеспечению системы безопасности

С.2.11

R

Минимизация сложности: проверка, гарантирующая. что все проверки подтверждения соответствия необходимы

Примечание — В столбца «Ссылка* *B.x.xjT. "C.xxjt" указывают на огмеанмя методов, изложенные а приложениях В и С МЭК 61508-7. а ^Таблица А.х", Таблица В-х* — на таблицы методов, представленные в приложениях А и В МЭК 61508-3.

Таблица Е.8 — Модифисация программного обеспечения (см. МЭК 61508-3. подраздел 7.8)

Метод/среастао

Ссылы

УПБ2

Интерпретация (• настоящей приложения)

1 Анализ влияния

С.5.23

HR

Вылогыаог анализ последствий для изучения того, насколько влияние предлагаемых изменений огра мчвно модульной структурой всей системы

2 Повторная верификация измоиогаых программных модулей

С.5.23

HR

Повторение предыдущих тестов

3 Повторная верификация программных модулей. на которые оказывают влияние изменения в других модулях

С.5.23

HR

Повторение предыдущих тестов

4а Повторное подтверждение соответствия системы в цепом

Таблица А. 7

R

Если анализ последствие показал необходимость модификации системы, то после выполнения ее модификации обязательно проводится повторное подтверждение соответствия системы

4Ь Регрессионное подтверждение соответствия

С.5.25

HR

5 Управление конфигурацией программного обеспечения

С.5.24

HR

Поддерживает базовую конфигурацию, изменения в ней. втяние на другие системные требования

6 Регистрация и анализ дажых

С.5.2

HR

Выполняется запись исходных данных и резугьтатов тестировали

7 Прямая прослеживаемость между спецификацией требований к программному обес-печенмо системы безопасности и планом мо-дификацюг программного обеспечения (включая повторные верификацию и подтверждено соответствия)

С.2.11

R

Соответствующие процедуры модификацю*. обеспечивающие достижение требований к программному обеспечению системы безопасности

8 Обратная прослеживаемость между планом модификации программного обеспечения (включая повторные верифюсэцию и подтверждение соответствия) и спецификацией требований к программному обеспечению системы безопасности

С.2.11

R

Соответствующие процедуры модификашм. обеспечивающие достижение требований к программному обеспечению системы безопасности

Примечание — В столбце «Ссылка» "В.х.хх*. *Cx.xjc* указывает на описания методов, излаженные в приложениях 8 и С МЭК 61508-7. а 'Таблица А.х". Тэбгмца BjT — на таблицы методов, представленные в приложениях А и В МЭК 61508-3.

Таблица Е.9 — Проверю программного обеспечемтя (см. МЭК 61508-3. подраздел 7.9)

Me г од Череде т во

Ссылав

УП62

Интерпретация (■ настоящем приложения)

1 Формальное доказательство

С.5.12

R

Не используется для языков программирования с ограниченной изменчивостью

2 Анимащгя спецификации и тестирования

С.5.26

R

3 Статический анализ

В.6.4

таблица В.8

HR

Выполняют анализ перекрестных ссылок испогъэоеатя перемог ■ ых. /слоем и т. д.

Мвтоа'средстао

Ссылая

УП62

Интерпретация (а настоящем приложении)

4 Динамический анализ и тестирооа а»о

В.6.5.

таблица В .2

HR

Используются автоматические средства тестирования для облегчения регрессивного тестирования

5 Прямая прослеживаемость между спецификацией проекта программного обеспечения и планом верификации (включая верификацию данных) программного обеспечения

С.2.11

R

Проверка полноты: проверка, гарантирующая соответствующий тест функциональности

6 Обратная прослеживаемость между планом верификации (включая верификацию данных) программного обеспечения и спецификацией проекта программного обеспечения

С.2.11

R

Минимизация сложности: проверка, гарантирующая. что все тесты проверки необходимы

7 Число» вши анализ в автономном режиме

С.2.13

R

Не используется. Числовая устойчивость вычислений в данном случае не является главной проблемой

Тестирование и интеграция программных модулей

См. таблшу Е.5 настоящего стандарта

Тестирование интеграции программируемой электроники

См. табтщу Е.6 настоящего стандарта

Тестирование программной системы (под-теерждо1мю соответствия)

См. таблицу Е.7 настоящего стандарта

Примечание — В столбце «Ссылка» *В.хлх*. "Cjcjcx* указывает на описания методов, изложенные в приложениях В и С МЭК 61508-7. а "Таблица AjС, "Таблица В_х* — на тэбгмцы методов, представленные в приложениях А и В МЭК 61508-3.

Таблица Е.10 — Оценка функциональной безопасности (см. МЭК 61506-3. раздел В)

Мвтоа/срадстао

Ссылая

УГТ62

Интерпретация (• настоящем приложении)

1 Таблмда контрогъных проверок

В.2.5

R

Используется

2 Таблшы решений и табгмцы истинности

С.6.1

R

Используется ограничено

3 Анализ отказов

Таблица В.4

R

На системном уровне анализ отказов использует причмю-следственные схемы, но для языков программирования с ограниченной изменчивостью этот метод не используется

4 Анагыз отказов по общей причине для различного программного обеспечения (если различное программное обеспечение используется)

С.6.3

R

Не используется для языков программирования с ограниченной изменчивостью

5 Структурные схемы надежности

С.6.4

R

Не используется для языков программирования с ограниченной изменчивостью

6 Прямая прослеживаемость между требованиями раздела 8 и планом оценки функциональной безопаседсти программного обеспечения

С.2.11

R

Проверка полноты охвата оценки функциональной безопасности

Примечание — В столбце «Ссылка» “B.x.xjt”. “Cjcxjc" указывают на описания методов, излаженные в приложениях 8 и С МЭК 61508-7, а Таблица Ajc*. Таблица Bjc* — на таблицы методов, представленные в приложи» ипх А и В МЭК 61508-3.

Е.З Система с уровнем полноты безопасности 3

Второй пример представляет собой программное приложение уровня полноты безопасности 3. разработанное на языке программирования высокого уровня, которое управляет закрывающим устройством.

Рассматриваемая программная система сравнительно вехмка с точки зрения системы безопасности, так как включает более 30000 строк иоссдоого кода. Кроме того, в ней испогьзукнся обычные встроенные фунпмс. по кражей мере, две различило операционные системы и уже существующий код более раммх проектов (проверенных в эксплуатации). В целом система состоит более чем из 100000 строк исхсдоого кода.

Аппаратные средства (включая датчпси и исполмгтельные мехамтэмы) представляют собой двух канальную систему, выходы которой поцкгжшы к исполнитегыым элементам по схеме логического "И" (AND).

Предположения и характеристики системы.

•    немедленная реакция не требуется, но обеспечивается максимальное время peanut**:

•    интерфейсы с оператором существуют для датчаюе. исполнигелыых механизмов и оповещателей:

•    исходный код операционных систем, графических процедур и коммерческих программных продуктов недоступен;

- система, скорее всего, в да/ънейшем будет модернизироваться:

•    специально разработанное программное обеспечение использует один из распространенных процедурных языков:

•    компоненты программой системы, исходный код для которых недоступен, реализованы рвэшми способами с помощью инструментальных средств от разных поставщиков, и их обьекпый код был ™лгутц разньеги трансляторами:

•    программное обеспечение работает на нескольких процессорах, доступных на рынке в соответствии с требованиями МЭК 61508-2:

•    встроенные октвмы соответствуют требованиям МЭК 61508-2 для управления отказами аппаратных средств и для их предотвращения:

•    разработка программного обеспечения контролировалась независимой организацией.

Примечание — Определение независимой организации приведено в МЭК 61508-4 (пункт 3.8.12).

Интерпрегадо* МЭК 61508-3, приложение А. для данного примера гредст зелена в следующих таблицах.

Таблица Е.11 — Спецификация требований к безопасности программного обеспечения (см. МЭК 61508-3. подраздел 7.2)

Метод/срядстао

Ccwma

УГТ62

Интерпретация (• настоящем пряпожемии)

1а Полуформапыые методы

Таблица В.7

HR

Диаграммы функциональных блоков, циклограммы. диаграммы переходов

1Ь Формальные методы

В.2.2. С.2.4

R

Лишь в исключительных случаях

2 Прямая прослеживаемость между требованиями к системе безопасности и требованиями к программному обеспечению системы безопасности

С.2.11

HR

Проверка полноты: проверка, гарантирующая. что все требования к системе безопасности учтены в требованиях к программному обеспеченно системы безопасности

3 Обратная прослеживаемость между требованиями к системе безопасности и предполагаемыми потребностями в безопасности

С.2.11

HR

Мижмиэзция сложности и функциональности: проверка, гарантирующая, что все требования к программному обеспечению системы безопасности фактически необходимы. чтобы учесть требования к системе бе-зопаоюсти

4 Автоматизированные средства разработки спецификаций для поддержки, перечисленных выше, подходящих мвтодов/средсте

В.2.4

HR

Средства поддержки выбранных методов

Примечание — В столбце «Ссылка» *B.x.xjT. *C.xjcx* указывает на огмсаня методов, излаженные в приложениях В и С МЭК 61508-7. а "Таблица А-Х”, Таблица BjT — на таблицы методов, представленные в приложениях А и В МЭК 61508-3.

Мвтод/средств©

Ссылка

упвз

Интерпретация (а настоящем приложении)

1 Обнаружение и диагностика сбоев

С.3.1

HR

Испогъзуегся для тех отказов датчиков, исполнительных механизмов и средств передаем данных, которые не охватываются средствами встроениой системы в соответств1м с МЭК 61508-2

2 Коды обнаружения и исправления ошибок

С.3.2

R

Испогъзуется только для внешней передачи да» а. гг

За Программирование с проверкой ошибок

с.з.з

R

Используется для проверки подтверждения соответствия результатов прикладных функций

ЗЬ Методы контроля (при реализации процесса контроля и контролируемой функции на одном компьютере обеспечивается их независимость)

С.3.4

R

Не предпочитается: обеспечение гарантии независимости приводит к увеличению сложности программ! его обеспечения

Зс Методы контроля (реализация процесса контроля и контролируемой функции на раэ-шх компьютерах)

С.3.4

R

Испогъзуюгся для некоторых функций, связанных с безопасностью, где За не применимы

3d Многовариантное программирование, реализующее одну спецификацию требований к программному обеспечение системы безопасности

С.3.5

Испогъзуются для некоторых функций, когда исходные коды не доступны

За Многовариантное (функционально) программирование. реализующее различные спецификации требований к программному обеспечению системы безопасности

С.3.5

R

Не предпочитается: в значительной степени достигается Зс

.И Дпсгтяыпяпонив предчлрцвт ппгттпяыия

С. Я 6

На итппьяуатгя

Зд Проектирование программного обеспече-мя. не сохраняющего состояние (или проектирование ПО. сохраняющего ограниченное описание состояния)

С .2.12

R

Не используется. Управление закрытием нуждается а состояниях, чтобы запоминать составив установки

4з Механизмы повторных попыток парирования сбоя

С.3.7

Не используется

4Ь Постепениое отключение функции

С.3.8

HR

Испотъзуется вследствие природы технического процесса

5 Исправление оимбок методами искусственного интеллекта

С.3.9

NR

Не используется

6 Динамическая реконфигурация

С.3.10

NR

Не используется

7 Модульный подход

Таблнща В.9

HR

Необходимо использовать вследствие размера системы

8 Использование до верительных/проееренн-ных элементов программного обеспечения (если таковые имеются)

с.2.10

HR

Существующий ранее код из более ранних проектов

Окончание таблицы Е. 12

Метод/среаство

Ссылы

УП63

Интерпретация (• настоящем приложения)

9 Прямая прослеживаемость между спецификацией требований к программному обеспечению системы безопасности и архитектурой программного обеспечения

С.2.11

HR

Проверка полноты: проверка, гарантирующая. что все требования к программному обеспечению системы безопасности учтены в требованиях к архитектуре программного обеспечения системы безопасности

10 Обратная прослеживаемость между спецификацией требований к программному обеспечению системы безопасности и архитектурой программного обеспечеьмя

С.2.11

HR

Миниамзация сложности и функциональности: проверка, гарантирующая, что все требования к архитектуре программного обеспечения системы безопасности фактически необходимы, чтобы учесть требования к программному обеспечение системы безопасности

11а Структурные методы

С.2.1

HR

Необходимо испоп>зоеагь вследствие размера системы

11Ь Полуформапы шло методы

Таблица В.7

HR

Диаграммы функционалы*» блоков, циклограммы. диаграммы переходов

11с Формальные методы проектирования и усовершенствования

В2.2, С2А

R

Не используется

11d Автоматическая генерация программного обеспечения

С.4.6

R

Не используется. Избегайте неопределенности транслятор/генератор

12 Автоматизированные средства разработки спецификаций и проектирования

В.2.4

HR

Средства поддержхи выбранных методов

13а Циктческое поведение с гарантированным максимальным временем цикла

С.3.11

HR

Не используется

136 Архитектура с временный распределением

С.3.11

HR

Не используется

13с Управление событиями с гарантированным максимальным временем реакции

С.3.11

HR

Не используется

14 Статическое выделение ресурсов

С.2.6.3

HR

Не используется. Выберите язык программирования. чтобы избежать проблемы динамических ресурсов

15 Статическая синхронизация доступа к разделяемым ресурсам

С.2.6.3

R

Не используется. Выберите язык программирования. чтобы избежать проблемы динамических ресурсов

Примечание — В столбце «Ссылка» *B.xjcx*. ‘С.х.хл* указывают на описания методов, изложенные в приложстмях В и С МЭК 61508-7. а Пабтца А»". 'Таблица Во* — на таблицы методов, представленные в приложениях А и В МЭК 61506-3.

Таблица Е.13 — Проектирооо1ио и разработка программного обеспечения, средства поддержки и язык программирования (см. МЭК 61508-3. пункт 7.4.4)

Метод/средство

Ссыла

упвз

Интерпретация (в настоящем приложении)

1 Выбор соответствующего языка программи-

С.4.5

HR

Выбреется язык высокого уровня с полной

рования

измен**! еостъю

2 Строго типизированные языки программирования

С.4.5

HR

Используют

М«тол/ср«аст»о

Ссылка

УП&З

Иитерпретацм (• настоящей приложения)

3 Подмножество языка

С.4.2

HR

Определяют подмножество выбранного языка

4а Сертнфкдирооа» ■ 1ыв средства и сертифицирование трансляторы

С.4.3

HR

Недоступны

4Ь Инструментальные средства и трансляторы: повышение уверенности на основании опыта использования

С.4.4

HR

Доступны и ислогъзуют

Примечание — В столбце еСсылв» *B.xjcx*. *Cjc.xjc* указывают на огмсания методов, изложенные в прилсокегмяк В и С МЭК 61508-7. а Таблица Ajc*. Таблица В.х' — на таблицы методов, представленные в приложвгмях А и В МЭК 61508-3.

Таблица Е.14 — Проектирование и разработав прогрвшмого обеслочошя: тсдро&ея модель (см. МЭК 61506-3. пумлы 7.4.5 и 7.4.6) (Включает проектирование систем программного обеспечения, проектирование модулей программного обеспечения и кодирование)

Метод/средстео

Ссылка

УПЬЗ

Иитерпретацм (■ настоящем приложении)

1а Структурные методы

С.2.1

HR

Широв используются. В частности. SADT и JSO

1Ь Полуформаль»ыв методы

Таблица В.7

HR

Используются коночные аетоматы/диаграммы перехода состояний, блок-схеаы. циклограммы

1с Формальные методы проектирования и усовершенствования

В.2.2. С.2.4

R

Используются только в исхлючитегыых случаях для некоторых очоть важных компонентов

2 Средства автоматизированного проектирования

В.3.5

HR

Используются для выбранных методов

Я Прогр,тммирппл«ыл г чаиьгтй

HR

R пригпалчпм прпгрпмкягш оботмеыии я

явном виде используются средства, которые могут быть эффективны, кроме автоматически вставляемых компилятором

4 Модульный подход

Таблица В.9

HR

Испохъзуются: ограниченный размер программного модуля, скрытие информации/m-капсуляция. одна входная/выходная точка в подпрограммах и функциях, полностью определенный интерфейс и т. д.

5 Стандарты по проектированию и кодированию

С.2.6.

таблица В.1

HR

Используются стандарты (предприятия) для кодирования: ограниченно используются прерывания, указатели и рекурсии: не используются динамические объекты и пере-менные. безусловные переходы и t д.

6 Структурное программирование

С.2.7

HR

Используют

7 Использование доверит ел ьных/проэе рентных элементов программного обеспечения (по возможности)

С.2.10

HR

Доступен и используют

Окончание таблицы В. 14

М*тощ/ср«дстао

Ссыпка

УП&З

Интерпретация (• настоящей приложении)

8 Обратная прослеживаемость между спецификацией требований к программному обеспечению системы безопасности и архитектурой программного обеспечения

С.2.11

HR

Минимизация сложности и функциональности. проверка, гарантирующая, что все тре-боваме* к архитектуре программного обес-печемня системы безопасности фактически необходимы, чтобы учесть требования к программному обеспечен*» системы безопасности

Примечание — В столбце «Ссылка» *В.х.х.х*. *С jocx* указывает на отсзтя методов, изложенные в приложениях В и С МЭК 61508-7. а Таблица А.х". Таблица В л* — на тэбгыцы методов, представленные в приложи мпх А и В МЭК 61508-3.

Таблица Е.15 — Проектирование и разработка программного обеспечения: проверка и м-гтеграиия программ-ных модулей (см. МЭК 61508-3. пумгты 7.4.7 и 7.4.8}

Метоо/срвастко

Ссылая

упвз

Интерпретация (а настоящем приложении)

1 Вероятностное тестирование

С.5.1

R

Используется для программных модулей. исходным код которых недоступен, а определение граничных значетый и классов экви-валенткэсти для тестовых данных зэтруднв»

2 Динамический анализ и тестиросамо

В.6.5.

таблица В2

HR

Испогъзуются для программных модулей, исходшй код которых доступен. Выполняют: контрольте примеры, разработанные с помощью анализа граничных значений, моделироеам» производительности. разделе*» входных даншх на классы эквивалентности, структур-юе тестирован»

3 Регистрация и анализ дажых

С.5.2

HR

Испогъзуют загмсь входшх данных и результатов тестирования

4 Функциональное тестирование и твсгиро-вэте методом «черного ящика»

В.5.1. В.5.2, таблица В.З

HR

Испогъзуют для программных модулей, ис-ходиьм код которых не доступен, и для проверки жтеграцж.

Выбираются входные да ■ 1ые для тестирования всех заданных функциональных блоков. включая обработку ошибок. Используются: тестовые примеры, полученные с помощью при-ышо-следстеешых схем, прототипирование. анализ граничных значений, разделение даиых на классы э«знвалентности и декомпозиция входных дачых

5 Тестирование производительности

Таблица В.6

HR

Испогъзуют при проверке интеграции на конкретном оборудовании

6 Тестирование, основанное на модвгм

С.5.27

HR

Не используют

7 Тестирование («нтерфейсз

С.5.3

HR

Включено в функциональное тестирование и тестирование методом «черного гкцика»

8 Управление тестированием и средства автоматизации

С.4.7

HR

Испогъзуются. где доступе

Метод/средс?»©

Ссылка

упвз

Интерпретацяя (■ настоящем приложении)

9 Прямая прослеживаемость между спецификацией проекта программного обеспечения и спецификациями тестирования модуля и интеграции

С.2.11

HR

Проверка, гарантирующая, что тесты инте-грацмн достаточны

10 Формальная верификация

С.5.12

R

Не используется

Примечание — В столбце «Ссыгка» “В_х.х.х*. *Cjc.x.x* указывает на описания методов, изложенные в приложениях В и С МЭК 61508-7. а 'Таблица AjС. Таблица В.х* — на таблицы методов, представленные в приложениях А и В МЭК 61508-3.

Т а б п и ц а Е.16 — Интеграция программируемых электронных средств (аппаратура и программное обеспечение) (еы. МЭК 61500-3. подраздел 7.5)

Метод/срсдстао

Ссылка

упвз

Интерпретацяя (• настоящем пряложеиии)

1 Функциональное тестирование и тестирование методом «черного ящика»

В.5.1. В.5.2, таблица В.З

HR

Испогьзуют как дополнительные тесты при интеграции программного обеспечения (см. таблицу Е.15).

Выбираются входные данные для тестирования всех заданных функциональных блоков. включая обработку ошибок. Используются: тестовые примеры, полученные с помощью пр|*еннно-спвдстееюных схем, прототипирование. анализ граничных значении, разделение данных на классы эквивалентности и декомпозмдия входных дачых

2 Модегмрование производительности

Таблица В.6

HR

Широко используют

3 Прямая прослеживаемость между требованиями проекта системы и программного обеспечения к интеграции программных и аппаратных средств и спецификациями тестирования интеграции программных и аппаратных средств

С.2.11

HR

Проверка, гарантирующая, что тесты интеграции аппаратуры и программного обеспечения являются достаточными

Примечание — 8 столбце «Ссылка» *B.xjlx*. *С.х.х.х* указывают на описания методов, изложенные в прилажен млх В и С МЭК 61508-7. а 'Таблица Ах", Таблица В.х* — на таблицы методов, представленные е приложениях А и В МЭК 61508-3.

Таблица Е.17 — Подтверждение соответствия аспектов программного обеспечения системы безопасности (cml МЭК 61508-3. подраздел 7.7)

Метод/средстее

Ссылка

упвз

Интерпретация (а настоящем приложения)

1 Вероятностное тестирование

С.5.1

R

Не испогьзуют для подтверждения соответствия

2 Моделирование процесса

С.5.1В

HR

Кон о* ■ ые автоматы, модешрование проиэ-еодктегъности. прототипирование и анимация

3 Моделирование

Таблица В.5

HR

Не испогьзуют для подтверждения соответствия

Окончание таблицы Е.17

Метоа'средстао

Ссыпая

УГТБЗ

Интерпретация (а настоящем праложеики)

4 Функциональное тестирование и тестирование методом «черного ящика»

В.5.1. В.52. таблица В.З

HR

Выбираются входные данные для тестирования всех заданных функциональных блоков. включая обработку ошибок. Используются: тестовые примеры, полученные с помощью причинно-следственных схем, анализ граничных значений и декомпозиция входных данных

5 Прямая прослеживаемость между спецификацией требований к программному обеспечению системы безопасности и планом подтверждения соответствия программного обеспечения системы безопасности

С.2.11

HR

Проверка полноты: проверка, гарантирующая. что все требования к программному обеспечению системы безопасности учтены в плане подтверждения соответствия программного обеспечения системы безопасности

6 Обратная прослеживаемость между планом подтверждения соответствия программного обеспеченмя системы безопасности и спецификацией требований к программному обеспечению системы безопасности

С.2.11

HR

Минимизация сложности: проверка, гарантирующая. что все тесты подтверждения соответствия необходимы

Примечание — В столбце «Ссылка» *В.х.х.х". *C.xjcx* указывает на огмсатя методов, изложенные в припожо »шх В и С МЭК 61508-7. а 'Таблица А.х". Таблица BjC — на тэбгмцы методов, представленные в приложениях А и В МЭК 61508-3.

Таблица Е.18 — Модификация программного обеспечения (см. МЭК 61508-3. подраздел 7.8)

Метод'средстео

Ссмлжа

УГТ63

Интерпретация (а настоящем приложении)

1 Анализ влияния

С.5.23

HR

Используют

2 Повторная верификация измененных про*

rpe Mfcfrieec моду пей

С.5.23

HR

Используют

3 Повторная верификация программ ых модулей. на которые оказывают влияте изменения в других модулях

С.5.23

HR

Используют

4з Повторное подтверждение соответствия системы в целом

Таблица А.7

HR

Испогъэование зависит от результатов анализа последствий

4Ь Регрессионное подтверждение соответствия

С.5.25

HR

Испогъзуют

5 Управление конфигурацией программного обеспечения

С.5.24

HR

Используют

6 Регистрация и анализ дажых

С.52

HR

Используют

7 Прямая прослеживаемость между спецификацией требований к программному обеспечению системы безопасности и планом модификации программного обеспечения (включая повторные верифюсацию и подтверждение соответствия)

С.2.11

HR

Проверка полноты: проверка, гарантирующая. что процедуры модификацмг обеспечивают достижение требований к программному обеспеченыю системы безопасности

Мвтоя^срадстх»

Ссылка

УПЬЗ

Иитероретацм (• настоящей приложении)

8 Обратная прослеживаемость между планом модификации программного обеспечения (включая повторные верифмсацию и подтверждение соответствия) и спецификацией требований к программному обеспечемио системы безопасности

С.2.11

HR

Минимизация сложности: проверка, гарантирующая. что все процедуры модификации необходимы

Примечание — В столбце «Ссылса» ‘В.х.хл'. *С.х.хх~ указывает на описания методов, изложенные в приложениях В и С МЭК 61508-7. а Лабтща Ajc". Таблица Вх* — на таблицы методов, представленные в приложениях А и В МЭК 61508-3.

Таблица Е.19 — Верификация программного обеспечения (сы. МЭК 61508-3. п. 7.9)

Матоа/сроастао

Ссылая

УП63

Интерпретация (в настоящем приложении)

1 Формальное доказательство

С.5.12

R

Используется только в иокпочитегъных случаях для некоторых оче**> важных классов

2 Анимадоя спецификации и тестирования

С.5.26

R

Не используется

3 Статический анализ

В.6.4.

таблица В.6

HR

Для всего вновь разработанного кода используются: анализ rpai-ычных значений, табгмца контрольных проверок, анализ потоков управлежя. анагмз потоков данных, проверка разработки программ, акатз проектов

4 Динамический анализ и тестирование

В.6.5

таблица В.2

HR

Для всего вновь разработанного кода

5 Прямая прослеживаемость между спецификацией проекта программного обеспечения и планом верификации (включая верификацию данных) программного обеспечения

С.2.11

HR

Проверка полноты: проверка, гарантирующая. что процедуры модификащм обеспечивают достижение требований к программному обеспеченно системы безопасности

6 Обратная прослеживаемость между планом еерификашш (вкпочая верификацюо данных) програм!мого обеспечения и спецификацией проекта программного обеспечения

С.2.11

HR

Минимизация сложности: проверка, гарантирующая. что все процедуры модификашш необходимы

7 Численный анализ в автономном режиме

С.2.13

HR

Не используется. Числовая устойчивость вычислений в данном случае не является главной проблемой

Тестирование и жнтегрзция программных модулей

См. таблицу Е5 настоящего стандарта

Тестирование интеграции программируемой электроники

Сы. таблицу Е6 настоящего стандарта

Тестирование программной системы (подтверждение соответствия)

См. таблицу Е7 настоящего стандарта

Примечание — В столбце «Ссыле» *Bjc.xjc*. 'C.xjcx* указывает на огмсакия методов, изложенные в приложениях В и С МЭК 61508-7. а Твблицз А.х". Тэбгыца Bjc' — на таблицы методов, представленные в приложениях А и В МЭК 61508-3.

Таблица Е.20 — Оценка фумсциомальной безопасности (см. МЭК 61506-3. раздел В)

Метод/средсте©

Ссмлва

УП&З

Интерпретация (а настоящем приложение)

1 Тэблша контрогъных проверок

В.2.5

R

Используют

2 Таблицы решении и табгвды цельности

С.6.1

R

Используют в ограниченной степени

3 Анализ отказов

Таблица В.4

HR

Интенсивно используют анализ диагностического дерева отказов, а причмно-след-ственаио диаграммы используют в огратн-ченной степени

4 Анализ отказов по общей причине для различного программного обеспечения (если различное программное обеспечение используется)

С.6.3

HR

Используют

5 Структурные схемы надежности

С.6.4

R

Используют

в Прямая прослеживаемость между требованиями раздела 8 и планом оценки функциональной безопасности программного обеспечения

С.2.11

HR

Проверка полноты охвата оценки функциональной безопасности

Примечание — В столбце «Ссыле» *Bjcxjc*. “C.xjtjc" указывают на описания методов, изложенные в приложениях В и С МЭК 61508-7. а 'Таблица Ал". Таблица В.х' — на таблицы методов, представленные а приложениях А и В МЭК 61508-3.

Приложение ДА (справочное)

Сведения о соответствии ссылочных международных стандартов ссылочным национальным стандартам Российской Федерации

Таблица ДА. 1

Обозначению ссылочного международного стандарта

Степень

соответ

ствия

Обозначение и каимеиомиие соответствующего мацдомвлыюго стандарта

ИСО/МЭК Руководство 51:1990

ЮТ

ГОСТ Р 51898—2002 «Аспекты безопасности. Правила включения в стандарты»

МЭК Руководство 104:1997

в

МЭК 61508-1:2010

ЮТ

ГОСТ Р МЭК 61508-1—2012 «Функциональная безопасность систем электрических, электро»**», программируемых электронных, связан»*» с безопасностью. Часть 1. Общие требоватя»

МЭК 61508-2:2010

ют

ГОСТ Р МЭК 61508-2—2012 «Функциональная безопасность систем электричесхих. электро»**», программируешь электронных, связанных с безопасностью. Часть 2. Требования к системам»

МЭК 61508-3:2010

ют

ГОСТ Р МЭК 61508-3—2012 «Функциональная безопасность систем электричесхих. электродных, программируемых электронных, связан»*» с безопасностью. Часть 3. Требования к программному обеспечению»

МЭК 61508-4:2010

ют

ГОСТ Р МЭК 61508-4—2012 «Функциональная безопасность систем электричесхих. электронных, программируемых электронных, связан»*» с безопасностью. Часть 4. Термины и определения»

МЭК 6150В-5:2010

ют

ГОСТ Р МЭК 61508-5—2012 «Функциональная безопасность систем электричесхих. электронных, программируемых электронных, связан»*» с безопасностью. Часть 5. Рекомендации по применению методов определения уровней полноты безопасности»

МЭК 6150В-7:2010

ют

ГОСТ Р МЭК 61506-7—2012 «Функциональная безопасность систем электрических электро»**», программируемых электронных, связанных с безопасностью. Часть 7. Методы и средства»

* Соответствующий национагъный стандарт отсутствует. До его утверждетя рекомендуется использовать перевод на русосий язык дам-юго международного стандарта. Перевод одного международного стандарта находится в Федеральном информашюнном фонде технических регламентов и стандартов.

Примечание — В настоящей таблице использовано следующее условное обоэначегме стелет соответствия стандартов:

- ЮТ — идентичные стандарты.

Библиография

{1} IEC 60601 (al parts). Medical oioctrical equipment

[2]    ISA-TR84.00.02-2002— Parts 1-5. Safety instrumented Functions {SIF) Safety Integrity Level (S1L) Evaluation

Techniques Package

PJ IEC 61076:2006. Analysis techniques for dependably — Reliability block diagram and boolean methods

(4]    I EC 61025:2006. Fault tree analysis (FTA)

(5]    IEC 61165:2006. Application of Martov techniques

f6] IEC 62551. Analysis techniques for dependability — Petri Net technique

[7]    BS 5760. Reliability of system equipment and components — Part 2: Guide to assessment of relebfety

[8]    D. J. SMITH. Retiabiity. maintainability and risk — Radical methods for enywors, Butterworth-Heinemann. 5th edition. 1997. ISBN 0-7506-3752-8

[9]    R. B8JJNGTON and R. N. ALLAN. ReiiabiBy evaluation of engneering systems. Pimm. 1992. ISBN 0-306-44063-6

[10]    W. M. GOBLE. Evaluating confrol system refcabrtity — Techniques and appbcations. Instrument Society of America. 1992. ISBN 1-55617-128-5

[11]    A. ARNOLD. A. GRIFFAULT. G. POINT. AW A. RAUZY. The^tanca language aid its semantics. Fundamenta Informaticae. 34. pp. 109—124. 2000

[12]    M. BOJTEAU. Y. OUTUIT. A. RAUZY AND J.-P. SIGNORET, The AttaRica Data-Flow Language in Use: Assessment of Reduction Avalabity of a MUbStates System. Reliabity Engineering and System Safety. Elsever. \fol. 91. pp. 747—755

[13]    A RAUZY. Mode automata and their compilation into fault trees. ReliabWty Engineering and System Safety. Elsevier 2002. Volume 78. Issue 1. pp. 1—12

[14]    Reiabilrty Analysis Center (RAC). Failure Mode/Mechanism Distributions. 1991. Department of Defense. United States of America. PO Box 4700. 201 M> Street. Rome. NY 13440-8200. Organzation report number FMD-91. NSN 7540-01-280-5500

[15]    ALLESSANDRO BIROLV4I. Quabtat und Zuvertasstgke* technrscher System©, Theorie. Praxis. Management. Dntte Auflage.1991. Springer-Vertag. Berlin Heideteerg New York. ISBN 3-540-54067-9. 3 Aid., ISBN 0-387-54067-9 3 ed. (avaitabie in German only)

[16]    MIL-HDBK-217F. Military Handbook ReliabMy predetion of electronic equipment 2 December 1991. Department of Defense. United States of America

[17]    Health and Safety Executive Books, email

[18]    ANIELLO AMENDOLA kluwer academic publisher. ISPRA 16—19 November 1987. Advanced seminar on Common Cause Falire Analysts in Probabfestic Safety Assessment. ISBN 0-79234)268-0

[19]    CORWIN L. ATWOOD. The Binomial Failure Rate Common Cause Model. Technometrics May 1986 Vd 28 n*2

[20]    R. HUMPHREYS. A.. PROC., Assigning a numerical value to the beta factor common-cause evaluation. Reliability 1987

[21]    UPM3.1. A pragmatic approach to dependent failures assessment for standard systems. AEA Technology. Report SRDA-R-13. ISBN 085 356 4337. 1996

[22]    For PDS method; see (): and futher background material in: Hokstad. Per. Comobusson. Kjel Some: Reltabdrty Engneering and System Safety, v 83. n 1. p. 111—120. January 2004

УДК 62-783:614.8:331.454:006.354    ОКС 25.040.40    Группа Т51

Ключевые слова: функциональная безопасность, жизненный цикл систем, электрические компоненты, электронные компоненты, программируемые электронные компоненты и системы, системы, связанные с безопасностью, охват диагностиком, оценка вероятности отказа аппаратных средств, полнота безопасности программного обеспечения

Редактор Т. С. Никифорова Техничеспм редактор В. Н. Прусакова Корректор Л. Я. Митрофанова Компьютерная верстка А П. Финогеновой

Сдано а набор Об.Об2014. Подписано а печать 29.06.2014. Формат 60х64ч'( Бумага офсетная. Гарнитура Ариал. Печать офсетная. Уел. пач. п. 12.56. Уч.-яад. л. 12.00. Тирах 62 аса. За*. 613.

•ГУП «СТАМДАРТИНФОРМ». 123995 Москва. Гранатный пер. 4 www.90sfenfo.1u    mfo^gosbnforj

Набрано я отпечатано а Калужской типографии стандартов. 246021 Калуга, ул Московская. 256

'» Системы, необходимые для обеспечения функциональной безопасности и содержащие одно иш не-скотъко электрических (электромеханических), электронных или программируемых электронных (Э/Э/ПЭ) устройств. называются системами Э/ЭЛ1Э. связанными с безопасностью, и включают в себя все оборудование. необходимое для реализаи—t требуемой функ—ы безопасности (см. МЭК 61508-4. пункт 3.5.1).

г' Уровень полноты безопасности определяется как один из четьдох дискретных уровней. Уровень полноты безопасности 4 является наивысшим, а уровень полноты безопасности 1 — низшим (см. МЭК 61508-4. пункты 3.5.4 и 3.5.8).

> Чтобы сделать возможной четкую структуриэа—во требований нэстоицего стандарта, было принято решете упорядочить требования с помощью модели процесса разработки, в которой все этапы следуют в четкой последоеатегъности с небог—дим шагом (ее тогда называют потоковой моделью). Однако следует подчерюгутъ. что может быть использован любой подход к огмеанию жизнв»*юго цикла при условии. что он будет эквивалентен описанному в плане проектирования системы беэопаоюсти (см. МЭК 61506-1. раздел 7).

4> Требуемые методы и средства для каждого уродят попеты беэопаоюсти представлены в МЭК 61508-2 (таблицы приложегмй А и 8) и МЭК 61508-3.

5! Систематические отказы обьгию нельзя определить когычественно. Принтами отказов бывают: ошибки при спецификации и проектировании технических средств и программного обеспо’юння; ошибки при учете условий окружающей среды (например, температуры) и ошибки в процессе работы (например, слабый ттерфейс).

* Необходимо учитывать действия система! при обнаружен» сбоя. Например, простая система с архитектурой голосования 2ооЗ должна быть выключена (или отремонтирована) после обнаружения одиночного отказа в течете времени, приеедетого а таблице D.2 или D.3. Если система не выключена, отказ второго канала может привести к тому, что при голосовании два отказавших канала получат перееес голосов над оставшимся (работоспособным) каналом. У систем!, которая автоматически сама меняет архитектуру гопосоеатя на 1оо2 при отказе одного канала и автоматически выключается при возникновении второго отказа, вероятность обнаружетя неисправности второго канала повышается и. следовательно, ненулевое значение Z возможно.