Полное меню
В.2 Средняя вероятность отказа по запросу (для режима низкой интенсивности запросов) Среднюю вероятность отказа в обслуживании функции безопасности для Е/Е/РЕ системы, связанной с безопасностью, определяют вычислением и суммированием средней вероятности отказа в обслуживании для всех подсистем, совокупность которых обеспечивает функцию безопасности. Так как рассматриваемые в настоящем приложении вероятности невелики, то средняя вероятность отказа по запросу для функции безопасности Е/Е/РЕ системы (см. рисунок В.2), связанной с безопасностью, PFDSYS может быть вычислена по формуле PFDSYS = PFDS + PFDL + PFDFE, где PFDS - средняя вероятность отказа по запросу для подсистемы датчиков; PFDL - средняя вероятность отказа по запросу для логической подсистемы; PFDFE - средняя вероятность отказа по запросу для подсистемы оконечных элементов.
Рисунок В.2 - Структура подсистем Е/Е/РЕ системы, связанной с безопасностью Для определения средней вероятности отказа по запросу для каждой из подсистем необходимо строго придерживаться следующей процедуры для каждой подсистемы: a) Рисуют структурную схему, изображающую компоненты подсистемы датчиков (подсистемы ввода), компоненты логической подсистемы или компоненты подсистемы оконечных элементов (подсистемы вывода). Компонентами подсистемы датчиков, например, могут быть датчики, защитные экраны, входные согласующие цепи; компонентами логической подсистемы - процессоры и сканеры; а компонентами подсистемы оконечных элементов - выходные согласующие цепи, экраны и исполнительные механизмы. Представляют каждую подсистему как одну либо более голосующих групп 1оо1, 1оо2, 2оо2, 1oo2D или 2оо3. b) Применяют соответствующие таблицы В.2 - В.5, в которых приведены шестимесячные, годовые, двухлетние и 10-летние интервалы между процедурами тестирования. Данные таблицы предполагают, что среднее время восстановления для любого отказа после его обнаружения равно 8 ч. c) Для каждой голосующей группы в подсистеме выбирают из таблиц В.2 - В.5: - архитектуру (например 2оо3); - диагностический охват для каждого канала (например 60 %); - интенсивность отказов (в час) λ для каждого канала (например 5.0Е-06); - β-факторы отказа с общей причиной β и βD для взаимосвязи между каналами в рассматриваемой архитектуре (например 2 % и 1 % соответственно). Примечания 1 Предполагается, что все каналы в голосующей группе имеют одинаковые диагностические покрытия и интенсивности отказов (см. подраздел В.1). 2 В таблицах В.2 - В.5 (см. также таблицы В.10 - В.13) предполагается, что β-фактор в отсутствие диагностических тестов (также применяемый для необнаруженных опасных отказов при использовании диагностических тестов) β в 2 раза больше β-фактора для отказов, обнаруживаемых диагностическими тестами, βD. d) Получают из таблиц В.2 - В.5 среднюю вероятность отказа в обслуживании для голосующей группы. e) Если функция безопасности зависит от нескольких голосующих групп датчиков или исполнительных механизмов, то совокупную среднюю вероятность отказа в обслуживании для подсистемы датчиков или подсистемы оконечных элементов PFDS или PFDFE задают следующими формулами:
где PFDGi и PFDGj - средние вероятности отказа в обслуживании для каждого из голосующей группы датчика или оконечного элемента, соответственно. В.2.2 Архитектуры для режима низкой интенсивности запросов Примечания 1 В настоящем пункте справедливые для нескольких архитектур формулы выводят там, где они встречаются впервые. 2 Формулы настоящего пункта справедливы для предположений, перечисленных в В.1. Данная архитектура предполагает использование одного канала, и любой опасный отказ приводит к нарушению функции безопасности при возникновении запроса на ее выполнение. На рисунках В.3 и В.4 представлены структурная схема и схема расчета надежности. Интенсивность для канала λD задается формулой
Рисунок В.3 - Структурная схема архитектуры 1оо1 Рисунок В.4 - Схема расчета надежности архитектуры 1оо1 На рисунке В.4 показано, что канал можно рассматривать как состоящий из двух компонентов, одного с интенсивностью опасных отказов λDU, обусловленной необнаруженными отказами, а другого с интенсивностью опасных отказов λDD, обусловленной обнаруженными отказами. Эквивалентное среднее время простоя канала tCE можно рассчитать, суммируя времена простоя для двух компонентов, tC1 и tC2, прямо пропорционально вкладу каждого компонента в вероятность отказа канала:
Для каждой архитектуры интенсивность необнаруженных опасных отказов λDU и интенсивность необнаруженных опасных отказов λDD задаются как
Среднюю вероятность отказа выполнения функции безопасности канала PFD в течение времени простоя tCE определяют из выражения
так как λD tCE ‹‹ 1. Следовательно, средняя вероятность отказа по запросу для архитектуры 1оо1 PFDG равна PFDG = (λDU + λDD) tCE. Данная архитектура представляет собой два канала, соединенных параллельно, так что любой из каналов может выполнить функцию безопасности. Следовательно, для нарушения функции безопасности опасные отказы должны возникнуть в обоих каналах. Предполагается, что любое диагностическое тестирование только сообщает о найденных сбоях и не может изменить ни выходные состояния каналов, ни результат голосования. Рисунок В.5 - Структурная схема архитектуры 1оо2 Рисунок В.6 - Схема расчета надежности архитектуры 1оо2 Структурная схема и схема расчета надежности архитектуры 1оо2 приведены на рисунках В.5 и В.6. Значение tCE вычисляют в соответствии с В.2.2.1, но необходимо вычислить также и эквивалентное время простоя системы tGE по формуле
Для данной архитектуры 1оо1 средняя вероятность отказа по запросу PFDG равна
В.2.2.3 Архитектура 2оо2 Данная архитектура представляет собой два канала, соединенных параллельно, и для выполнения функции безопасности необходима работа обоих каналов. Предполагается, что любое диагностическое тестирование только сообщает о найденных сбоях и не может изменить ни выходные состояния каналов, ни результат голосования. Структурная схема и схема расчета надежности архитектуры 2оо2 представлены на рисунках В.7 и В.8. Рисунок В.7 - Структурная схема архитектуры 2оо2 Рисунок В.8 - Схема расчета надежности архитектуры 2оо2 Значение tCE вычисляют в соответствии с В.2.2.1, а средняя вероятность отказа по запросу PFDG для данной архитектуры должна быть равна PFDG = 2λDtCE. В.2.2.4 Архитектура 1oo2D Данная архитектура представляет собой два канала, соединенных параллельно. При нормальной работе для выполнения функции безопасности необходимы оба канала. Кроме того, если диагностическое тестирование обнаруживает отказ в любом канале, то результаты анализа устанавливаются так, чтобы общее выходное состояние совпадало с результатом, выдаваемым другим каналом. Если диагностическое тестирование обнаруживает отказы в обоих каналах или несоответствие между ними, причина которого не может быть идентифицирована, то выходной сигнал переводит систему в безопасное состояние. Для обнаружения несоответствия между каналами каждый канал может определять состояние другого канала независящим от другого канала способом. Структурная схема и схема расчета надежности архитектуры 1oo2D представлены на рисунках В.9 и В.10. Рисунок В.9 - Структурная схема архитектуры 1оо2D Рисунок В.10 - Схема расчета надежности архитектуры 1оо2D Для каждого канала интенсивность обнаруженных безопасных отказов λSD определяют как
Значения эквивалентного среднего времени простоя отличаются от значений, приведенных для других архитектур в В.2.2, и поэтому их обозначают как tCE' и tGE'. Эти значения определяют как
Средняя вероятность отказа по запросу PFDG для данной архитектуры равна
B.2.2.5 Архитектура 2оо3 Данная архитектура состоит из трех каналов, соединенных параллельно с мажорированием выходных сигналов так, что выходное состояние не меняется, если результат, выдаваемый одним из каналов, отличается от результата, выдаваемого двумя другими каналами. Предполагается, что любое диагностическое тестирование только фиксирует найденные сбои и не может изменить ни выходные состояния каналов, ни результат голосования. Структурная схема и схема расчета надежности архитектуры 2оо3 представлены на рисунках В.11 и В.12. Рисунок В.11 - Структурная схема архитектуры 2оо3 Рисунок В.12 - Схема расчета надежности архитектуры 2оо3 Значение tCE вычисляют по В.2.2.1, а значение tGE - по В.2.2.2. Средняя вероятность отказа по запросу PFDG для данной архитектуры равна
В.2.3 Подробные таблицы для режима низкой интенсивности запросов Таблица В.2 - Средняя вероятность отказа по запросу в течение шестимесячного интервала между контрольными проверками при среднем времени ремонта 8 ч
Продолжение таблицы В.2
Таблица В.3 - Средняя вероятность отказа по запросу для одногодичного интервала между контрольными испытаниями и среднего времени ремонта 8 ч
Окончание таблицы В.3
Таблица В.4 - Средняя вероятность отказа по запросу для двухлетнего интервала между контрольными испытаниями и среднего времени ремонта 8 ч
Окончание таблицы В.4
Таблица В.5 - Средняя вероятность отказа по запросу для десятилетнего интервала между контрольными испытаниями и среднего времени ремонта 8 ч
Продолжение таблицы В.5
В.2.4. Пример режима низкой интенсивности запросов Рассмотрим функцию безопасности, для реализации которой нужна система SIL2. Пусть построенный на основе предыдущего опыта первоначальный вариант архитектуры всей системы включает одну группу из трех аналоговых датчиков давления с архитектурой 2оо3 на входе. Логическая подсистема рассматриваемой системы представляет собой PES с избыточностью с архитектурой 1оо2D и управляет одним закрывающим и одним дренажным клапаном, так как для обеспечения функции безопасности необходима работа как закрывающего, так и дренажного клапана. Архитектура всей системы представлена на рисунке В.13. Для этой системы оценим сначала функцию безопасности PFDSYS при одногодичном периоде контрольных испытаний. Таблицы В.6-В.8 являются фрагментами таблицы В.3 для соответствующих данных на рисунке В.13. Рисунок В.13 - Архитектура системы рассматриваемого примера для режима низкой интенсивности запросов Таблица В.6 - Средняя вероятность отказа по запросу для подсистемы датчиков в рассматриваемом примере для режима низкой интенсивности запросов (интервал контрольных испытаний равен одному году, а среднее время ремонта - 8 ч)
Таблица В.7 - Средняя вероятность отказа по запросу для логической подсистемы в примере для режима низкой интенсивности запросов (интервал контрольных испытаний равен одному году, а среднее время ремонта - 8 ч)
Таблица В.8 - Средняя вероятность отказа по запросу для подсистемы оконечных элементов в примере для режима низкой интенсивности запросов (интервал контрольных испытаний равен одному году, а среднее время ремонта - 8 ч)
Данные, представленные в таблицах В.6 - В.8, позволяют получить следующие значения: - для подсистемы датчиков: PFDS = 2,3 × 10-4; - для логической подсистемы: PFDL = 4,8 × 10-6; - для подсистемы оконечных элементов: PFDFE = 4,4 × 10-3 + 8,8 × 10-3 = 1,3 × 10-2. Следовательно, для функции безопасности: PFDSYS = 2,3 × 10-4 + 4,8 × 10-6+ 1,3 × 10-2 = 1,3 × 10-2 = уровень полноты безопасности 1. Для перевода системы, представленной на рисунке В.13, на уровень полноты безопасности 2, выполняют одно из следующих действий: a) уменьшают интервал между контрольными проверками до 6 мес.: PFDS = 1,1 × 10-4 PFDL = 2,6 × 10-6 PFDFE = 2,2 × 10-3 + 4,4 × 10-3 = 6,6 × 10-3 PFDSYS = 6,7 × 10-3 = уровень полноты безопасности 2; b) заменяют архитектуру 1оо1 закрывающего клапана, представляющего собой выходное устройство с низкой надежностью, на 1оо2, предполагая, что β = 10 % и βD = 5 %: PFDS = 2,3 × 10-4 PFDL = 4,8 × 10-6 PFDFE = 4,4 × 10-3 + 9,7 × 10-4 = 5,4 × 10-3 PFDSYS = 5,6 × 10-3 = уровень полноты безопасности 2. В.2.5 Влияние неидеальных контрольных проверок Отказы системы, связанной с безопасностью, не обнаруженные никакими диагностическими или контрольными испытаниями, обнаруживают только при совпадении запросов на выполнение функции безопасности, на которую влияет отказ. Следовательно, для таких полностью независимых отказов ожидаемая интенсивность запросов к системе безопасности определяет действительное время простоев. Ниже приведен пример такой зависимости для архитектуры 1оо2, где T2 - время между запросами к системе:
Результаты для системы 1оо2 со 100 %-ными достоверными одногодичными контрольными испытаниями в сравнении с 50 %-ными достоверными контрольными испытаниями, где требуемый период контрольных испытаний T2 предполагается равным 10 годам, приведены в таблице В.9. В рассматриваемом примере расчеты проводились при следующих предположениях: интенсивность отказов 1 ×10-5 в час; β = 10 %; βD = 5 %. Таблица В.9 - Неидеальные контрольные испытания
В.3 Вероятность отказа в час (для режима работы высокой интенсивности запросов или непрерывного режима работы) Метод определения вероятности отказа функции безопасности для Е/Е/РЕ системы, связанной с безопасностью, работающей в режиме высокой интенсивности запросов или непрерывном режиме. То же, что и метод вычисления для режима низкой интенсивности запросов (см. В.2.1), за исключением того, что средняя вероятность отказа по запросу PFDSYS заменяется на вероятность опасного отказа в час PFHSYS. Общую вероятность опасного отказа функции безопасности для Е/Е/РЕ системы, связанной с безопасностью, PFHSYS определяют вычислением интенсивностей опасных отказов для всех подсистем, совокупность которых обеспечивает функцию безопасности, и суммированием полученных отдельных значений. Так как рассматриваемые в настоящем приложении вероятности малы, то используют формулу PFHSYS = PFHS + PFHL + PFHFE, где PFHSYS - вероятность отказа в час для функции безопасности Е/Е/РЕ системы, связанной с безопасностью; PFHS - вероятность отказа в час для подсистемы датчиков; PFHL - вероятность отказа в час для логической подсистемы; PFHFE - вероятность отказа в час для подсистемы оконечных элементов. В.3.2 Архитектуры для режима работы высокой интенсивности запросов или непрерывного режима работы Примечания 1 В настоящем пункте справедливые для нескольких архитектур формулы выводят там, где они встречаются впервые. См. также В.2.2. 2 Формулы настоящего пункта справедливы для предположений, перечисленных в В.1. Структурная схема и схема расчета надежности архитектуры 1оо1 представлены на рисунках В.3 и В.4 соответственно. Для вычисления λD, tCE, λDU и λDD используют те же формулы, что и в В.2.2.1.
Если предположить, что система, связанная с безопасностью, при обнаружении любого отказа переводит EUC в безопасное состояние, то для архитектуры 1оо1 PFHG = λDU. В.3.2.2 Архитектура 1оо2 Структурная схема и схема расчета надежности архитектуры 1оо2 представлены соответственно на рисунках В.5 и В.6. Значение tCE вычисляют по формуле, приведенной в В.3.2.1. Вероятность отказа PFHG для архитектуры 1оо2 вычисляют по формуле
В.3.2.3 Архитектура 2оо2 Структурная схема и схема расчета надежности архитектуры 2оо2 представлены соответственно на рисунках В.7 и В.8. Если предположить, что при обнаружении любого отказа каждый канал переводится в безопасное состояние, то для архитектуры 2оо2 PFHG = 2λDU. В.3.2.4 Архитектура 1оо2D Структурная схема и схема расчета надежности архитектуры 1оо2D представлены соответственно на рисунках В.9 и В.10. Для архитектуры 1оо2D интенсивность обнаруженных безопасных отказов λSD, эквивалентное среднее время простоя tCE. и вероятность отказа PFHG вычисляют по формулам:
В.3.2.5 Архитектура 2оо3 Структурная схема и схема расчета надежности архитектуры 2оо3 представлены соответственно на рисунках В.11 и В.12. Значение tCE вычисляют по формуле, приведенной в В.3.2.1. Вероятность отказа PFHG для архитектуры 2оо3 вычисляют по формуле
В.3.3 Подробные таблицы для режима работы высокой интенсивности запросов и непрерывного режима работы Таблица В.10 - Вероятность отказа в час (в режиме высокой интенсивности запросов и непрерывном режиме) для одномесячного интервала между контрольными испытаниями и среднего времени ремонта 8 ч
Продолжение таблицы В. 10
Таблица В.11 - Вероятность отказа в час (в режиме работы высокой интенсивности запросов и непрерывном режиме работы) для трехмесячного интервала между контрольными испытаниями и среднего времени ремонта 8 ч
Окончание таблицы В.11
Таблица В.12 - Вероятность отказа в час (в режиме высокой интенсивности запросов и непрерывном режиме) для шестимесячного интервала между контрольными испытаниями и для среднего времени ремонта 8 ч
Окончание таблицы В.12
Таблица В.13 - Вероятность отказа в час (в режиме высокой интенсивности запросов и непрерывном режиме) для одногодичного интервала между контрольными испытаниями и для среднего времени ремонта 8 ч
Продолжение таблицы В.13
В.3.4. Пример режима высокой интенсивности запросов или непрерывного режима Рассмотрим функцию безопасности, для реализации которой нужна система SIL2. Пусть, построенный на основе предыдущего опыта, первоначальный вариант архитектуры всей системы включает одну группу из двух датчиков с архитектурой 1оо2 на входе. Логическая подсистема, рассматриваемой системы, представляет собой PES с избыточностью с архитектурой 2оо3 и управляет одним закрывающим контактором. Архитектура описанной системы представлена на рисунке В.14. Для этой системы оценим сначала функцию безопасности при шестимесячном периоде контрольных испытаний. Таблицы В.14 - В.16 являются фрагментами таблицы В.12 для соответствующих данных на рисунке В.14.
Примечание - Доля безопасных отказов для подсистемы оконечных элементов превышает 60 %. Рисунок В. 14 - Архитектура системы рассматриваемого примера для режима высокой интенсивности запросов или непрерывного режима Таблица В.14 - Вероятность отказа в час для подсистемы датчиков в рассматриваемом примере режима высокой интенсивности запросов или непрерывного режима (шестимесячный интервал контрольных испытаний и среднее время ремонта 8 ч)
Таблица В.15 - Вероятность отказа в час для логической подсистемы в рассматриваемом примере режима высокой интенсивности запросов или непрерывного режима (шестимесячный интервал контрольных испытаний и среднее время ремонта 8 ч)
Таблица В.16 - Вероятность отказа в час для подсистемы оконечных элементов в рассматриваемом примере режима высокой интенсивности запросов или непрерывного режима (шестимесячный интервал контрольных испытаний и среднее время ремонта 8 ч)
Данные таблиц В.14 - В.16 позволяют получить следующие значения: - для подсистемы датчиков: PFHS = 5,2 × 10-7/h; - для логической подсистемы: PFHL = 5,5 × 10-8/h; - для подсистемы оконечных элементов: PFHFE = 5,0 × 10-7/h; следовательно, для функции безопасности: PFHSYS = 5,2 × 10-7 + 5,5 × 10-8 + 5,0 × 10-7 = 1,1 × 10-6/h ≡ уровень полноты безопасности 1. Для перевода системы на уровень полноты безопасности 2 выполняют одно из следующих действий: a) изменяют тип и способ установки входного датчика для улучшения защиты от отказа с общей причиной, таким образом, снижая значение β от 20 % до 10 %, a βD от 10 % до 5 %: PFHS = 2,7 × 10-7/h PFHL = 5,5 × 10-8/h PFHFE = 5,0 × 10-7/h PFHSYS = 8,3 × 10-7/h ≡ уровень полноты безопасности 2; b) заменяют единственное выходное устройство двумя устройствами с архитектурой 1оо2 (β = 10 % и βD = 5 %): PFHS = 5,2×10-7/h PFHL = 5,5×10-8/h PFHFE = 5,1×10-8/h PFHSYS = 6,3×10-7/h ≡ уровень полноты безопасности 2. Подробности оценки вероятностей отказа приведены в [2]-[7]. Приложение С
|
Компонент |
№ |
Тип |
Распределение на безопасные и опасные отказы для каждого вида отказов |
Распределение на безопасные и опасные отказы для диагностического охвата и рассчитанных интенсивностей отказов (×10-9 ч-1) |
||||||||||||||
ОС |
SC |
Изменение |
Фукцио- |
DCcomp |
1 |
2 |
3 |
4 |
5 |
6 |
||||||||
S |
D |
S |
D |
S |
D |
S |
D |
S |
D |
λS |
λDD+λDU |
λS+λDD |
λDU |
λSD |
λDD |
|||
|
1 |
Печать |
0,5 |
0,5 |
0,5 |
0,5 |
0 |
0 |
0 |
0 |
0,99 |
0,99 |
11,0 |
11,0 |
21,9 |
0,1 |
10,9 |
10,9 |
СN1 |
1 |
Con96pin |
0,5 |
0,5 |
0,5 |
0,5 |
|
|
|
|
0,99 |
0,99 |
11,5 |
11,5 |
22,9 |
0,1 |
11,4 |
11,4 |
C1 |
1 |
100 нФ |
1 |
0 |
1 |
0 |
0 |
0 |
0 |
0 |
1 |
0 |
3,2 |
0,0 |
3,2 |
0,0 |
3,2 |
0,0 |
С2 |
1 |
10 мкФ |
0 |
0 |
1 |
0 |
0 |
0 |
0 |
0 |
1 |
0 |
0,8 |
0,0 |
0,8 |
0,0 |
0,8 |
0,0 |
R4 |
1 |
1 М |
0,5 |
0,5 |
0,5 |
0,5 |
|
|
|
|
1 |
1 |
1,7 |
1,7 |
3,3 |
0,0 |
1,7 |
1,7 |
R6 |
1 |
100 К |
|
|
|
|
|
|
|
|
0 |
0 |
0,0 |
0,0 |
0,0 |
0,0 |
0,0 |
0,0 |
OSC1 |
1 |
ОSС24 МГц |
0,5 |
0,5 |
0,5 |
0,5 |
0,5 |
0,5 |
0,5 |
0,5 |
1 |
1 |
16,0 |
16,0 |
32,0 |
0,0 |
16,0 |
16,0 |
U8 |
1 |
74НСТ85 |
0,5 |
0,5 |
0,5 |
0,5 |
0,5 |
0,5 |
0,5 |
0,5 |
0,99 |
0,99 |
22,8 |
22,8 |
45,4 |
0,2 |
22,6 |
22,6 |
U16 |
1 |
МС68000-12 |
0 |
1 |
0 |
1 |
0,5 |
0,5 |
0,5 |
0,5 |
0,90 |
0,90 |
260,4 |
483,6 |
695,6 |
48,4 |
234,4 |
435,2 |
U26 |
1 |
74НСТ74 |
0,5 |
0,5 |
0,5 |
0,5 |
0,5 |
0,5 |
0,5 |
0,5 |
0,99 |
0,99 |
22,8 |
22,8 |
45,4 |
0,2 |
22,6 |
22,6 |
U27 |
1 |
74F74 |
0,5 |
0,5 |
0,5 |
0,5 |
0,5 |
0,5 |
0,5 |
0,5 |
0,99 |
0,99 |
14,4 |
14,4 |
28,7 |
0,1 |
14,3 |
14,3 |
U28 |
1 |
PAL16L8A |
0 |
1 |
0 |
1 |
0 |
1 |
0 |
1 |
0,98 |
0,98 |
0,0 |
88,0 |
86,2 |
1,8 |
0,0 |
86,2 |
T1 |
1 |
ВС817 |
0 |
0 |
0 |
0,67 |
0 |
0,5 |
0 |
0 |
1 |
1 |
0,0 |
0,2 |
0,4 |
0,0 |
0,0 |
0,2 |
Всего |
365 |
672 |
986 |
50,9 |
338 |
621 |
||||||||||||
S - безопасный отказ; D - опасный отказ; ОС - потеря контакта; SC - короткое замыкание; DCcomp - диагностический охват для компонента Примечания 1 Не обнаружен ни один вид отказа для компонента R6, т.е. его отказ не влияет на безопасность и готовность системы. 2 См. также таблицу В.1 (в настоящей таблице интенсивности отказов приведены только для отдельных рассматриваемых компонентов в канале, а не для каждого компонента). |
Таблица С.2 - Уровни и диапазоны диагностического охвата различных подсистем (компонентов)
Компонент |
Низкий диагностический охват |
Средний диагностический охват |
Высокий диагностический охват |
Процессор (см. примечание 3): |
в сумме менее 70 % |
в сумме менее 90 % |
|
- регистр |
50 %-70 % |
85 %-90 % |
99 %-99,99 % |
- внутренняя регистровая память (см. примечание 3) |
50 %-60 % |
75 %-95 % |
- |
- блок кодирования и выполнения, включающий регистр тэгов (см. примечание 3) |
50 %-70 % |
85 %-98 % |
- |
- устройство вычисления адреса |
50 %-60 % |
60 %-90 % |
85 %-98 % |
- счетчик команд |
50 %-70 % |
- |
- |
- указатель стека |
40 %-60 % |
- |
|
Шина: |
|
|
|
- модуль управления памятью |
50 % |
70 % |
90 %-99 % |
- устройство управления шины |
50 % |
70 % |
90 %-99 % |
Обработка прерываний |
40 % - 60 % |
60 % - 90 % |
85 % - 98 % |
Кварцевый тактовый генератор (см. примечание 4) |
50 % |
- |
95 %-99 % |
Контроль выполнения программы: |
|
|
|
- временное (см. примечание 3) |
40 %-60 % |
60 %-80 % |
- |
- логическое (см. примечание 3) |
40 %-60 % |
60 %-90 % |
- |
- временное и логическое (см. примечание 5) |
- |
65 %-90 % |
90 %-98 % |
Постоянная память |
50 %-70 % |
99 % |
99,99 % |
Непостоянная память |
50 %-70 % |
85 %-90 % |
99 %-99,99 % |
Дискретное оборудование: |
|
|
|
- цифровой ввод/вывод |
70 % |
90 % |
99 % |
- аналоговый ввод/вывод |
50 %-60 % |
70 %-85 % |
99 % |
- источник питания |
50 % - 60 % |
70 % - 85 % |
99% |
Устройство связи и запоминающее устройство большой емкости |
90 % |
99,9 % |
99,99 % |
Электромеханические устройства |
90 % |
99 % |
99,9 % |
Датчики |
50 %-70 % |
70 %-85 % |
99 % |
Оконечные элементы |
50 %-70 % |
70 %-85 % |
99 % |
Примечания 1 Настоящую таблицу применяют совместно с МЭК 61508-2, таблица А.1, в котором приведены анализируемые виды отказов. 2 Если для диагностического охвата задан конкретный диапазон, верхние границы интервала могут быть определены только для узкого круга средств контроля или тестирования, которые реализуют чрезвычайно динамичную нагрузку для проверяемой функции. 3 В настоящее время для подсистем, схемы высокого диагностического охвата которых отсутствуют, средства и методы высокой достоверности диагностики неизвестны. 4 В настоящее время для кварцевых тактовых генераторов средства и методы средней достоверности неизвестны. 5 Низкий диагностический охват для комбинации временного и логического контроля выполнения программы является средним. |
Полезную информацию можно найти в [8]-[10].
D.1 Общие положения
Настоящий стандарт включает в себя ряд методов, рассматривающих систематические отказы. Однако независимо от того, насколько эффективны эти методы, существует остаточная вероятность возникновения систематических отказов. Это незначительно влияет на результаты расчета надежности для одноканальных систем, однако возможность появления отказов, способных повлиять на несколько каналов многоканальной системы, т.е. отказов по общей причине, приводит к существенным ошибкам при расчетах надежности многоканальных систем.
В настоящем приложении приводится описание методики, позволяющей учитывать отказы по общей причине при оценке безопасности многоканальных Е/Е/РЕ систем. Использование данной методики дает более точную оценку полноты безопасности такой системы, чем при игнорировании отказов по общей причине.
Данная методика используется для расчета значения β, β-фактора, часто используемого при моделировании отказов по общей причине. Описываемая методика может быть использована для оценки интенсивности отказов по общей причине в случае двух или более параллельно работающих систем, если известна интенсивность случайных отказов аппаратных средств для одной из этих систем (см. D.5). В некоторых случаях предпочтительнее альтернативные методики, например, если благодаря наличию данных об отказах по общей причине можно получить более точное значение β-фактора.
D.2 Краткий обзор
Считается, что отказы системы бывают двух видов:
- случайные отказы аппаратных средств;
- систематические отказы.
Предполагается, что отказы первого вида возникают случайно по времени для любого компонента и приводят к отказу канала системы, частью которого является соответствующий компонент. Существует некоторая вероятность того, что во всех каналах многоканальной системы могут произойти независимые случайные отказы аппаратных средств, вследствие чего все каналы одновременно окажутся неработоспособными. Так как предполагается, что такие отказы аппаратных средств возникают во времени случайно, вероятность таких отказов, одновременно возникающих в параллельных каналах, низка по сравнению с вероятностью отказа одного канала. Такая вероятность может быть рассчитана с помощью хорошо известных методов.
Однако некоторые отказы, например отказы по общей причине, являющиеся следствием одной причины, могут влиять на несколько каналов, что может быть следствием систематической ошибки (например, конструктивной или ошибки технических условий) или внешнего воздействия, ведущего к преждевременным случайным аппаратным отказам (например, избыточной температуры, возникающей из-за случайного отказа аппаратного средства, обычного вентилятора, что сокращает время жизни компонентов или нарушает заданные условия окружающей среды для их работы), или комбинации этих факторов. Так как отказы по общей причине чаще влияют на несколько каналов многоканальной системы, то вероятность такого отказа, скорее всего, будет доминирующим фактором при определении общей вероятности отказа многоканальной системы. Если не учитывать этот фактор, будет трудно получить правильную оценку уровня полноты безопасности.
Хотя отказы по общей причине являются следствием одной причины, они не обязательно проявляются во всех каналах одновременно. Например, при отказе вентилятора все каналы многоканальной Е/Е/РЕ системы могут отказать, что ведет к отказу по общей причине. Однако необязательно все каналы нагреваются с одинаковой скоростью или имеют общую критическую температуру. Следовательно, отказы возникают в разных каналах в разное время.
Архитектура программируемых систем позволяет им выполнять внутреннее диагностическое тестирование непосредственно во время работы, что может быть реализовано различными способами, например:
- один канал PES одновременно с обеспечением работы входного и выходного устройств может непрерывно выполнять внутреннюю проверку своей работы. На этапе проектирования можно достичь значения тестового охвата, равного 99 % (см. [11]). Если 99 % внутренних сбоев обнаружены до того, как они приведут к отказу, вероятность сбоев одного канала, которые могут, в конечном счете, стать частью отказов по общей причине, значительно снижается;
- помимо внутреннего тестирования каждый канал PES может отслеживать выходы других каналов многоканальной PES (или каждое РЕ-устройство может отслеживать другое РЕ-устройство системы, состоящей из нескольких РЕ-устройств). Следовательно, отказ, возникший в одном канале, может быть обнаружен, и один или несколько оставшихся неотказавших каналов будут выполнять перекрестный контроль и инициировать безопасное выключение (следует отметить, что перекрестный контроль эффективен, если состояние системы управления постоянно меняется, например, при наличии часто используемой в циклически работающем устройстве защитной блокировки или при внесении в устройство небольших изменений, не влияющих на управляющую функцию). Интенсивность выполняемого перекрестного контроля может быть достаточно высока, поэтому непосредственно перед неодновременными отказами по общей причине перекрестный контроль, скорее всего, обнаружит первый отказавший канал и позволит перевести систему в безопасное состояние до момента отказа второго канала.
Например, для вентилятора скорость роста температуры и восприимчивость каналов несколько различаются, поэтому второй канал, возможно, откажет спустя несколько десятков минут после первого. Это позволяет после диагностического тестирования инициировать безопасное отключение первого отказавшего канала до того, как по общей причине откажет второй канал.
Таким образом:
- РЕ-системы обладают возможностью формировать барьеры защиты от отказов по общей причине и, следовательно, в меньшей степени подвержены им по сравнению с другими технологиями;
- для РЕ-систем можно использовать β-фактор, отличающийся от β-фактора для других технологий. Следовательно, оценки β-фактора, опирающиеся на предыдущие значения оценки интенсивности отказов, скорее всего, окажутся неправильными (ни одна из известных существующих моделей оценки вероятности отказа по общей причине не учитывает эффект автоматического перекрестного контроля);
- так как разнесенные во времени отказы по общей причине могут быть обнаружены с помощью диагностического тестирования до отказа всех каналов, подобные отказы могут не восприниматься как отказы по общей причине.
Существует три способа уменьшения вероятности потенциально опасных отказов по общей причине:
1) уменьшение общего числа случайных аппаратных и систематических отказов (это уменьшает площади эллипсов, представленных на рисунке D.1, приводя к уменьшению площади пересечения эллипсов);
2) максимальное увеличение независимости каналов (это уменьшает площадь пересечения эллипсов, представленных на рисунке D.1, не меняя площади самих эллипсов);
3) обнаружение неодновременных отказов по общей причине, когда неисправным становится только один канал, до того как станет неисправным второй, т. е. использование диагностического тестирования.
Настоящий стандарт использует эти три способа и требует подхода, состоящего из следующих трех этапов:
1) использование методов по МЭК 61508-3 для снижения общей вероятности систематических отказов до уровня, соизмеримого с вероятностью случайных аппаратных отказов;
2) количественное определение факторов, которые могут быть количественно определены, т.е. учет вероятности случайного аппаратного отказа, как определено в МЭК 61508-2;
3) определение отношения, связывающего вероятность отказа по общей причине с вероятностью случайного отказа аппаратных средств с использованием практических средств, которые считаются лучшими в настоящее время. В настоящем приложении описана методика определения этого отношения.
Рисунок D.1 – Связь между отказами с общей причиной и отказами отдельных каналов
Большинство методик оценки вероятности отказов по общей причине формируют прогнозы на основе вероятности случайного аппаратного отказа. Несомненно, непосредственной взаимосвязи между этими вероятностями нет, тем не менее на практике некоторая корреляция между ними была найдена и, возможно, является следствием эффектов второго порядка. Например, высокая вероятность случайного аппаратного отказа системы связана:
- с большим объемом обслуживания, который требует система. А вероятность систематического отказа, являющегося следствием обслуживания, зависит от числа проведенных сеансов обслуживания, что также повысит интенсивность воздействия человеческих ошибок, приводящее к отказам по общей причине. Таким образом возникает связь между вероятностью случайного аппаратного отказа и вероятностью отказа по общей причине, например, после каждого случайного аппаратного отказа требуется ремонт, а за ним тестирование и, возможно, повторная калибровка. Кроме того, для заданного уровня полноты безопасности система с большей вероятностью случайного аппаратного отказа требует более частого проведения контрольных испытаний и с большей глубиной/сложностью, что также увеличивает влияние человеческого фактора;
- со сложностью системы. Вероятность случайного аппаратного отказа зависит от числа компонентов и, следовательно, сложности системы. Сложную систему труднее понять, поэтому у нее выше вероятность появления систематических ошибок. Кроме того, сложность системы затрудняет обнаружение отказов путем анализа или тестирования и может приводить к тому, что часть логики системы будет выполняться только при редко встречающихся условиях. Это также приводит к появлению связи между вероятностью случайного аппаратного отказа и вероятностью отказа по общей причине.
Несмотря на ограничения рассматриваемых моделей, считается, что в настоящее время они представляют собой лучший способ оценки вероятности отказа по общей причине для многоканальной системы. Описываемый в настоящем подразделе метод для третьего этапа рассматриваемой в настоящем приложении методики основан на общепризнанной модели β-фактора.
При использовании модели β-фактора для Е/Е/РЕ-системы возникают следующие проблемы:
- выбор значения β-фактора. Многие источники (например, см. [11]) предлагают диапазоны возможных значений β-фактора, но не определяют их конкретные значения, оставляя выбор за пользователем. Чтобы решить эту проблему, методика, представленная в настоящем приложении, основывается на подходе, первоначально описанном в [12] и затем скорректированном в [13];
- модель β-фактора не учитывает развитые возможности диагностического тестирования современных PES, которыми можно воспользоваться для обнаружения неодновременных отказов по общей причине до того, как отказ полностью проявит себя. Для преодоления этой проблемы подход, описанный в [12] и скорректированный в [13], был изменен с тем, чтобы отразить влияние диагностического тестирования при оценке возможного значения β.
Функции диагностического тестирования, выполняющиеся внутри PES, обеспечивают непрерывное сравнение работы PES с заранее определенными состояниями. Эти состояния предварительно определяются программно или аппаратно (например с помощью контрольного таймера). Рассматриваемые таким образом функции диагностического тестирования можно считать дополнительными и частично различающимися для каналов, работающих в PES параллельно.
Также может использоваться метод перекрестного контроля каналов. Многие годы этот метод применялся в двухканальных системах с взаимной блокировкой, построенных исключительно на реле. Однако релейная технология обычно позволяет проводить перекрестное тестирование только во время изменения состояния каналов, что делает такое тестирование неподходящим для обнаружения неодновременных отказов по общей причине, если системы остаются в одном (например, включенном) состоянии в течение длительного времени. С помощью технологии PES перекрестный контроль может проводиться с высокой частотой.
D.3 Область применения методики
Область применения методики ограничена аппаратными отказами по общей причине по следующим причинам:
- модель β-фактора связывает вероятность отказов по общей причине с вероятностью случайных аппаратных отказов. Вероятность отказов по общей причине, затрагивающих систему в целом, зависит от сложности системы (в которой главную роль возможно играет пользовательское программное обеспечение), а не только от аппаратуры. Очевидно, что любые расчеты, основанные на вероятности случайного аппаратного отказа, не могут учитывать сложность программного обеспечения;
- информирование об отказах по общей причине обычно ограничивается аппаратными отказами, что является главной заботой производителей оборудования;
- моделирование систематических отказов (например, отказов программного обеспечения) считается практически неосуществимым;
- целью мероприятий, определенных в МЭК 61508-3, является снижение вероятности отказов по общей причине, связанных с программным обеспечением, до значения, приемлемого для необходимого уровня полноты безопасности.
Следовательно, оценка вероятности отказа по общей причине, выполненная по данной методике, связана только с аппаратными отказами. Эту методику не допускается использовать для получения общей интенсивности отказов, учитывающей вероятность отказа, связанного с программным обеспечением.
D.4 Особенности методики
Так как на датчики, логическую подсистему и оконечные элементы влияют, например различные условия окружающей среды, для каждой из этих подсистем настоящую методику применяют независимо. Например, логическую подсистему проще поместить в контролируемую среду, а датчики могут быть установлены снаружи и подвергнуты внешнему воздействию.
Программируемые электронные каналы предоставляют возможность для реализации разнообразных функций диагностического тестирования и способны:
- обеспечивать высокий диагностический охват в пределах конкретных каналов;
- контролировать дополнительные избыточные каналы;
- обеспечивать высокую частоту повторения;
- контролировать с повышенной частотой датчики и/или оконечные элементы.
Чаще всего отказы по общей причине не возникают одновременно во всех затронутых каналах. Поэтому, если частота повторения диагностического тестирования достаточно высока, большую часть отказов по общей причине можно обнаружить и, следовательно, устранить до того, как будут затронуты остальные доступные каналы.
Не все функции многоканальной системы, обеспечивающие устойчивость к отказам по общей причине, можно проверить с помощью диагностического тестирования. Однако эффективность этих функций, связанных с диверсификацией или независимостью, постоянно повышается. Любая функция, которая, возможно, увеличивает время между отказами каналов в случае неодновременного отказа по общей причине (или уменьшает долю одновременных отказов по общей причине), увеличивает вероятность обнаружения отказа при диагностическом тестировании и перевода установки в безопасное состояние. Следовательно, функции, связанные с устойчивостью к отказам по общей причине, делятся на функции, влияние которых предположительно возрастает при использовании диагностического тестирования, и влияние которых не меняется (см. таблицу D.1, столбцы X и Y соответственно).
Хотя для трехканальной системы вероятность отказов по общей причине, влияющих на все три канала, скорее всего значительно ниже вероятности отказов, влияющих на два канала, для упрощения методики предполагается, что вероятность отказов не зависит от числа затрагиваемых каналов, т.е. возникающий отказ по общей причине затрагивает все каналы.
Данных об аппаратных отказах по общей причине, необходимых для калибровки методики, не существует, поэтому данные таблиц в настоящем приложении основываются на инженерных оценках.
Иногда процедуры диагностического тестирования не рассматриваются как необходимые для обеспечения безопасности, поэтому их уровень обеспечения качества может быть ниже, чем процедур, обеспечивающих основные функции управления. Данная методика была разработана в предположении, что уровень полноты безопасности для диагностического тестирования соответствует требуемому. Следовательно, любые программные процедуры диагностического тестирования должны разрабатываться с использованием методов, соответствующих требуемому уровню полноты безопасности.
D.5 Использование β-фактора для вычисления вероятности отказа Е/Е/РЕ-системы, связанной с безопасностью, из-за отказов по общей причине
Влияние отказов по общей причине на многоканальную систему с диагностическим тестированием следует рассматривать в каждом из каналов системы.
Используя модель β-фактора, для интенсивности опасных отказов по общей причине получим λDβ, где λD - интенсивность опасных случайных аппаратных отказов для каждого отдельного канала, а β - β-фактор в отсутствие диагностического тестирования, т. е. доля отказов одного канала, влияющих на все каналы.
Предположим, что отказы по общей причине влияют на все каналы, а промежуток времени между первым и остальными отказавшими каналами мал по сравнению с интервалом времени между последовательными отказами по общей причине.
Пусть в каждом канале применяется диагностическое тестирование, которое обнаруживает и вскрывает часть отказов. Отказы подразделяют на две категории: отказы, которые находятся вне охвата диагностического тестирования (т.е. не могут быть обнаружены), и отказы в пределах охвата (которые будут обнаружены диагностическим тестированием).
Поэтому общую интенсивность отказов системы, вызванных опасными отказами по общей причине, вычисляют по формуле
βDUβ + λDDβD,
где
λDU - интенсивность необнаруженных отказов одного канала, т. е., интенсивность опасных отказов, находящихся за пределами охвата диагностического тестирования; очевидно, любое уменьшение β-фактора, являющееся следствием частоты проведения диагностического тестирования, не может повлиять на λDU;
β - фактор отказов по общей причине для необнаруживаемых опасных отказов, который равен общему β-фактору, применяемому в отсутствие диагностического тестирования;
λDD - интенсивность обнаруженных опасных отказов одного канала (т.е. интенсивность опасных отказов одного канала), находящихся в пределах охвата диагностического тестирования; если частота проведения диагностического тестирования высока, доля обнаруженных отказов ведет к уменьшению значения β, т.е. βD;
βD - доля опасных отказов по общей причине, обнаруживаемых диагностическими тестами. С увеличением частоты проведения диагностического тестирования значение βD становится меньше β.
Значение β определяется по таблице D.4 с помощью оценки S = X + Y (см. D.6).
Значение βD определяется по таблице D.4 с помощью оценки SD = X(Z + 1) + Y.
D.6 Использование таблиц для оценки β
Оценку β-фактора рассчитывают отдельно для датчиков, логической подсистемы и оконечных элементов.
Для того чтобы свести к минимуму вероятность возникновения отказов по общей причине, следует сначала определить средства, эффективно защищающие от появления таких отказов. Реализация соответствующих средств в системе ведет к уменьшению значения β-фактора, используемого при оценке вероятности отказа системы из-за отказов по общей причине.
Мероприятия и соответствующие им значения (баллы) параметров X и Y, полученные с помощью инженерной оценки и описывающие вклад каждого из мероприятий в уменьшение числа отказов по общей причине, перечислены в таблице D.1. Так как датчики и оконечные элементы анализируются иначе, чем программируемая электроника, в таблице D.1 используются столбцы XLS и YLS для программируемых электронных средств и столбцы XSF и YSF для датчиков или оконечных элементов.
Программируемые электронные системы могут использовать интенсивное диагностическое тестирование, позволяющее обнаруживать неодновременные отказы по общей причине. Для учета диагностического тестирования при оценке β-фактора общий вклад каждого из мероприятий в таблице D.1 разделен с использованием инженерной оценки на наборы значений X и Y. Для каждого конкретного мероприятия отношение Х:У представляет собой меру повышения вклада этого мероприятия в борьбу с отказами по общей причине благодаря диагностическому тестированию.
Пользователь таблицы D.1 должен определить, какие мероприятия будут использованы для рассматриваемой системы, и сложить соответствующие мероприятиям баллы, приведенные в графах XLS и YLS для логической подсистемы или в графах XSF и YSF - для датчиков или оконечных элементов, получив суммы X и Y соответственно.
Коэффициент Z определяют по таблицам D.2 и D.3 по частоте и охвату диагностического тестирования с учетом примечания, определяющего, когда следует использовать ненулевое значение Z. Затем (при необходимости) рассчитывают сумму баллов S (см. D.5) по формуле S = X + Y - для получения значения β (β-фактора для необнаруженных отказов) и SD = X(Z + 1) + Y - для получения значения βD (βD-фактора для обнаруженных отказов), где S или SD - баллы, используемые в таблице D.4 для определения соответствующего β-фактора.
Таблица D.1 - Оценка мероприятий (барьеров) защиты программируемых электронных средств или датчиков/оконечных элементов от возникновения отказов по общей причине
Мероприятие |
Логическая подсистема |
Датчики и оконечные элементы |
||
XLS |
YLS |
XSF |
YSF |
|
Разделение/выделение |
||||
Везде ли сигнальные кабели каналов разделены между собой |
1,5 |
1,5 |
1,0 |
2,0 |
Расположены ли логические подсистемы каналов на отдельных печатных платах |
3,0 |
1,0 |
- |
- |
Расположены ли логические подсистемы каналов в отдельных шкафах |
2,5 |
0,5 |
- |
- |
Если датчики/оконечные элементы включают в себя собственную управляющую электронику, то расположена ли электроника для каждого канала на отдельной печатной плате |
- |
- |
2,5 |
1,5 |
Если датчики/оконечные элементы включают собственную управляющую электронику, то расположена ли электроника для каждого канала в различных помещениях и различных шкафах |
- |
- |
2,5 |
0,5 |
Диверсификация/избыточность |
||||
Реализованы ли в каналах различные электрические технологии, например, один канал электронный или программируемый электронный, а для другого используются реле |
7,0 |
- |
- |
- |
Реализованы ли в каналах различные электронные технологии, например, один канал - электронный, а другой - программируемый электронный |
5,0 |
- |
- |
- |
Используют ли устройства различные физические принципы для датчиков, например, давления и температуры, анемометр с вертушкой и доплеровский датчик и т.д. |
- |
- |
7,5 |
- |
Используют ли устройства различные электрические принципы/конструкции, например, цифровые и аналоговые, с компонентами от различных производителей (но не уцененные) или с различной технологией |
- |
- |
5,5 |
- |
Используют ли каналы повышенную избыточность с архитектурой MooN, где N > М + 2 |
2,0 |
0,5 |
2,0 |
0,5 |
Используют ли каналы повышенную избыточность с архитектурой MooN, где N = М + 2 |
1,0 |
0,5 |
1,0 |
0,5 |
Применяется ли низкая диверсификация, например, диагностическое тестирование аппаратуры использует одинаковую технологию |
2,0 |
1,0 |
- |
- |
Применяется ли средняя диверсификация, например, диагностическое тестирование аппаратуры использует различную технологию |
3,0 |
1,5 |
- |
- |
Были ли разработаны каналы различными конструкторами, которые не взаимодействовали между собой в процессе разработки |
1,0 |
1,0 |
- |
- |
Использовались ли для каждого канала различные люди и различные методы тестирования в процессе его пуска |
1,0 |
0,5 |
1,0 |
1,0 |
Обслуживается ли каждый канал в разное время разными людьми |
2,5 |
- |
2,5 |
- |
Сложность/конструкция/применение/завершенность/опыт |
||||
Предотвращает ли перекрестная связь между каналами обмен любой информацией, кроме используемой для диагностического тестирования или голосования |
0,5 |
0,5 |
0,5 |
0,5 |
Превышает ли время использования в отрасли методов, применяемых для проектирования аппаратуры, 5 лет |
0,5 |
1,0 |
1,0 |
1,0 |
Превышает ли время работы с этим же оборудованием в аналогичных условиях 5 лет |
1,0 |
1,5 |
1,5 |
1,5 |
Проста ли система, например, имеет ли она не более 10 входов или выходов на канал |
- |
1,0 |
- |
- |
Защищены ли входы и выходы от возможного превышения безопасных значений напряжения и тока |
1,5 |
0,5 |
1,5 |
0,5 |
С запасом ли рассчитаны все устройства/компоненты (например, с коэффициентом 2 или более) |
2,0 |
- |
2,0 |
- |
Оценка/анализ и обратная связь |
||||
Были ли изучены результаты анализа видов и влияния отказов или дерево неисправностей для того, чтобы установить источники отказов по общей причине, и устранены ли при проектировании предварительно известные источники отказов по общей причине |
- |
3,0 |
- |
3,0 |
Рассматривались ли отказы по общей причине при анализе проекта при последующем внесении изменений в проект (требуется документальное доказательство действий по анализу проекта) |
- |
3,0 |
- |
3,0 |
Все ли возможные отказы были полностью проанализированы и учтены в проекте (требуется документальное доказательство процедуры) |
0,5 |
3,5 |
0,5 |
3,5 |
Процедуры/интерфейс пользователя |
||||
Существует ли зафиксированная письменно схема работы, гарантирующая обнаружение отказов (или ухудшение характеристик) всех компонентов, установление корневых причин и проверку других аналогичных вопросов для аналогичных возможных причин отказов |
- |
1,5 |
0,5 |
1,5 |
Предусмотрены ли процедуры, обеспечивающие: разнесение обслуживания (включая настройку или калибровку) по времени любой части независимых каналов; возможность выполнения диагностического тестирования помимо ручных проверок, проводимых в ходе очередного обслуживания, между завершением обслуживания одного канала и началом обслуживания другого |
1,5 |
0,5 |
2,0 |
1,0 |
Определено ли в документированных процедурах обслуживания, что обеспечивающие избыточность компоненты систем (например кабели и.т.д.) должны быть независимы друг от друга и закреплены в устройстве |
0,5 |
0,5 |
0,5 |
0,5 |
Проводится ли обслуживание печатных плат и т.д. вне рабочего места, в компетентном ремонтном центре и проводится ли тестирование отремонтированных элементов перед их установкой |
0,5 |
1,0 |
0,5 |
1,5 |
Обеспечивает ли система низкий диагностический охват (от 60 % до 90 %) и сообщает ли об отказах на уровне модуля, допускающего замену в процессе эксплуатации |
0,5 |
- |
- |
- |
Обеспечивает ли система средний диагностический охват (от 90 % до 99 %) и сообщает ли об отказах на уровне модуля, допускающего замену в процессе эксплуатации |
1,5 |
1,0 |
- |
- |
Обеспечивает ли система высокий диагностический охват (> 99 %) и сообщает ли об отказах на уровне модуля, допускающего замену в процессе эксплуатации |
2,5 |
1,5 |
- |
- |
Сообщает ли диагностическое тестирование системы об отказах на уровне модуля, допускающего замену в процессе эксплуатации |
- |
- |
1,0 |
1,0 |
Компетентность/обучение/культура безопасности |
||||
Обучены ли конструкторы (с помощью обучающей документации) понимать причины и следствия отказов по общей причине |
2,0 |
3,0 |
2,0 |
3,0 |
Обучен ли обслуживающий персонал (с помощью обучающей документации) понимать причины и следствия отказов по общей причине |
0,5 |
4,5 |
0,5 |
4,5 |
Контроль состояния окружающей среды |
||||
Ограничен ли доступ персонала (закрытые шкафы, недоступное размещение компонентов и т.д.) |
0,5 |
2,5 |
0,5 |
2,5 |
Возможно ли, что система всегда будет работать в заданных диапазонах температур, влажности, коррозии, пыли, вибрации и т.д., в которых ее работа была проверена, без использования внешнего контроля состояния окружающей среды |
3,0 |
1,0 |
3,0 |
1,0 |
Все ли сигнальные и силовые кабели отделены друг от друга |
2,0 |
1,0 |
2,0 |
1,0 |
Проверка влияния окружающей среды |
||||
Было ли проверено, что система устойчива ко всем воздействиям окружающей среды (например ЭМС, температура, вибрация, ударные нагрузки, влажность) на уровне, заданном в соответствующих международных или национальных стандартах |
10,0 |
10,0 |
10,0 |
10,0 |
Примечания 1 Ряд факторов, связанных с работой системы, трудно предсказать во время проектирования. В таких случаях конструкторы должны убедиться в том, что конечный пользователь системы уведомлен, например, о процедурах, используемых для достижения требуемого уровня полноты безопасности. Необходимая информация должна быть включена в сопроводительную документацию. 2 Значения X и Y основаны на инженерной оценке и учитывают как косвенное, так и прямое влияние мероприятий. Например, использование модулей, допускающих замену во время эксплуатации, приводит: - к выполнению ремонтных работ производителем в соответствующих условиях вместо ремонтных работ, выполняемых на месте в менее подходящих условиях. Это вносит свой вклад в значения Y, так как снижается вероятность систематических отказов и, следовательно, отказов по общей причине; - к снижению необходимости вмешательства человека на месте и к возможности быстрой замены неисправных модулей, не выключая системы, повышая таким образом эффективность диагностики для идентификации отказов до того, как они станут отказами по общей причине. Это заметно влияет на значения X. |
Таблица D.2 - Значение Z: программируемая электроника
Диагностический охват |
Периодичность диагностического тестирования |
||
Менее 1 мин |
От 1 до 5 мин |
Более 5 мин |
|
≥ 99 % |
2,0 |
1,0 |
0 |
≥ 90 % |
1,5 |
0,5 |
0 |
≥ 60 % |
1,0 |
0 |
0 |
Таблица D.3 - Значение Z: датчики или оконечные элементы
Диагностический охват |
Периодичность диагностического тестирования |
|||
Менее 2 ч |
От 2 ч до 2 дней |
От 2 до 7 дней |
Более 7 дней |
|
≥ 99 % |
2,0 |
1,5 |
1,0 |
0 |
≥ 90 % |
1,5 |
1,0 |
0,5 |
0 |
≥ 60 % |
1,0 |
0,5 |
0 |
0 |
Примечания
1 Данная методика наиболее эффективна, если при подсчете баллов равномерно учитываются все группы мероприятий, представленные в таблице D.1. Следовательно, рекомендуется, чтобы общая сумма баллов Х и Y для каждой группы была не менее общей суммы баллов X и Y, деленной на 20. Например, если общая сумма баллов X + Y равна 80, то общая сумма баллов X + Y для любой из групп (например, для группы мероприятий «Процедуры/интерфейс пользователя») должна быть не менее четырех.
2 При использовании таблицы D.1 следует учитывать баллы для всех реализованных в системе мероприятий. Подсчет суммы баллов был разработан для учета тех мероприятий, которые не являются взаимно исключающими. Например, для системы, логические подсистемы каналов которой расположены в отдельных стойках, подсчитывают сумму баллов мероприятий таблицы D.1 «Расположены ли логические подсистемы каналов в отдельных шкафах» и «Расположены ли логические подсистемы каналов на отдельных печатных платах».
3 Если в датчиках или оконечных элементах используется программируемая электроника, их рассматривают как часть логической подсистемы, если они находятся в том же здании (транспортном средстве), что и устройство, являющееся главной частью логической подсистемы, и в качестве датчиков или оконечных элементов - если они расположены отдельно.
4 Для того, чтобы использовать ненулевое значение Z, нужно убедиться, что управляемое оборудование переходит в безопасное состояние до того, как неодновременный отказ по общей причине сможет повлиять на все каналы. Время, необходимое для обеспечения этого безопасного состояния, должно быть менее заявленного интервала диагностического тестирования. Ненулевое значение Z допускается использовать только в случае, если:
- система инициирует автоматическое выключение при обнаружении сбоя или
- безопасное выключение не инициируется после первого сбоя1), но диагностическое тестирование определяет местонахождение сбоя и может его локализовать, а также сохраняет способность перевода EUC в безопасное состояние после обнаружения любых последующих сбоев или
- используют формальную систему работы, гарантирующую, что причина любого обнаруженного сбоя будет полностью проанализирована в течение заявленного периода диагностического тестирования и либо установка немедленно выключается, если сбой может привести к отказу по общей причине, либо канал, в котором произошел сбой, восстанавливается в течение заявленного интервала диагностического тестирования.
1) Необходимо учитывать действия системы при обнаружении сбоя. Например, простая система с архитектурой голосования 2оо3 должна быть выключена (или отремонтирована) после обнаружения одиночного отказа в течение времени, приведенного в таблице D.2 или D.3. Если система не выключена, отказ второго канала может привести к тому, что при голосовании два отказавших канала получат перевес голосов над оставшимся (работоспособным) каналом. У системы, которая автоматически сама меняет архитектуру голосования на 1оо2 при отказе одного канала и автоматически выключается при возникновении второго отказа, вероятность обнаружения неисправности второго канала повышается и, следовательно, ненулевое значение Z возможно.
5 В обрабатывающих отраслях вряд ли возможно выключать EUC при обнаружении сбоя во время интервала диагностического тестирования в соответствии с таблицей D.2. Настоящая методика не должна восприниматься как содержащая строгое требование выключать технологические установки непрерывного производства при обнаружении подобных сбоев. Однако если выключение не производится, то уменьшить β-фактор с помощью использования диагностического тестирования для программируемых электронных средств невозможно. В ряде других отраслей выключение EUC во время интервала диагностического тестирования возможно. В этих случаях допускается использовать ненулевое значение Z.
6 Если диагностическое тестирование проводится модульно, то время повторения, приведенное в таблице D.2 или D.3, - это время между завершениями последовательного диагностического тестирования всего набора модулей. Диагностический охват - общий охват, обеспечиваемый всеми модулями.
Таблица D.4 - Расчет величины β или βD
Баллы (S или SD) |
Значение β или βD для |
|
логической подсистемы |
датчиков или оконечных элементов |
|
120 или более |
0,5 % |
1 % |
От 70 до 120 |
1 % |
2 % |
От 45 до 70 |
2 % |
5 % |
Менее 45 |
5 % |
10 % |
Примечания 1 Максимальные уровни βD ниже обычно используемых, что объясняется использованием методов, описанных в настоящем стандарте, для уменьшения вероятности систематических отказов в целом и в результате - вероятности отказов по общей причине. 2 Значения βD менее 0,5 % для логической подсистемы и 1 % - для датчиков трудно подтвердить. |
D.7 Использование методики
Для демонстрации результата использования методики значения β и βD для программируемых электронных средств приведены в таблице D.5.
Для всех групп мероприятий, кроме - «диверсификация/избыточность», были использованы типовые значения X и Y. Они были получены делением максимального значения баллов для конкретных групп на два.
Для систем с разнообразием (см. таблицу D.5) значения X и Y для группы «диверсификация/избыточность» были выведены, исходя из следующих мероприятий, рассмотренных в таблице D.1:
- одна система электронная, другая использует технологию реле;
- диагностическое тестирование аппаратуры использует различные технологии;
- разные конструкторы не взаимодействовали между собой в процессе проектирования;
- для пуска системы использовались различные методы тестирования и разный персонал;
- обслуживание проводится в разное время разными людьми.
Для систем с избыточностью (см. таблицу D.5) значения X и Y для группы «диверсификация/избыточность» были выведены, исходя из того, что диагностика аппаратуры проводилась независимой системой, использующей ту же технологию, что и системы с избыточностью.
В системах с разнообразием и в системах с избыточностью для величины Z использовались максимальные и минимальные значения, поэтому в таблице D.5 значения β и βD представлены для четырех систем.
Таблица D.5 - Значения β и βD для программируемых электронных средств
Группа мероприятий |
Система с разнообразием и хорошим диагностическим тестированием |
Система с разнообразием и плохим диагностическим тестированием |
Система с избыточностью и хорошим диагностическим тестированием |
Система с избыточностью и плохим диагностическим тестированием |
|
Разделение/выделение |
X |
3,50 |
3,50 |
3,50 |
3,50 |
Y |
1,50 |
1,50 |
1,50 |
1,50 |
|
Диверсификация/избыточность |
X |
14,50 |
14,50 |
2,00 |
2,00 |
Y |
3,00 |
3,00 |
1,00 |
1,00 |
|
Сложность/конструкция/… |
X |
2,75 |
2,75 |
2,75 |
2,75 |
Y |
2,25 |
2,25 |
2,25 |
2,25 |
|
Оценка/анализ/... |
X |
0,25 |
0,25 |
0,25 |
0,25 |
Y |
4,75 |
4,75 |
4,75 |
4,75 |
|
Процедуры/интерфейс пользователя |
X |
3,50 |
3,50 |
3,50 |
3,50 |
Y |
3,00 |
3,00 |
3,00 |
3,00 |
|
Компетентность/обучение/... |
X |
1,25 |
1,25 |
1,25 |
1,25 |
Y |
3,75 |
3,75 |
3,75 |
3,75 |
|
Контроль состояния окружающей среды |
X |
2,75 |
2,75 |
2,75 |
2,75 |
Y |
2,25 |
2,25 |
2,25 |
2,25 |
|
Проверка влияния окружающей среды |
X |
5,00 |
5,00 |
5,00 |
5,00 |
Y |
5,00 |
5,00 |
5,00 |
5,00 |
|
Диагностический охват |
Z |
2,00 |
0,00 |
2,00 |
0,00 |
X (всего) |
33,5 |
33,5 |
21 |
21 |
|
Y (всего) |
25,5 |
25,5 |
23,5 |
23,5 |
|
Сумма баллов S |
59 |
59 |
44,5 |
44,5 |
|
β |
2 % |
2 % |
5 % |
5 % |
|
Сумма баллов SD |
126 |
59 |
86,5 |
44,5 |
|
βd |
0,5 % |
2 % |
1 % |
5 % |
Полезная информация, связанная с отказами по общей причине, содержится в [11]-[13].
Е.1 Общие положения
Настоящее приложение содержит два примера применения таблиц полноты безопасности программного обеспечения, определенных в МЭК 61508-3, приложение А.
Первый пример представляет собой программируемую электронную систему, связанную с безопасностью, с уровнем полноты безопасности 2, которая используется для управления процессом на химическом заводе. Данная программируемая электронная система использует в прикладной программе многоступенчатую логику и служит примером прикладного программирования на языке с ограниченной варьируемостью.
Второй пример представляет собой программное приложение, разработанное на языке программирования высокого уровня, связанное с безопасностью, с уровнем полноты безопасности 3, которое управляет закрывающим устройством.
Оба примера служат руководством по применению таблиц полноты безопасности программного обеспечения, определенных в МЭК 61508-3, для различных реальных систем. Все исходные характеристики конкретной системы, необходимые для использования упомянутых выше таблиц полноты безопасности, должны иметь документальное обоснование, подтверждающее, что все описания используемых характеристик правильны и соответствуют конкретной реализации этой системы.
Е.2 Система с уровнем полноты безопасности 2
Установка, работающая на химическом заводе, состоит из нескольких реакторных баков, связанных промежуточными баками хранения, которые на некоторых стадиях цикла реакции заполняются инертным газом для предотвращения воспламенения и взрывов. Функции программируемой электронной системы, связанной с безопасностью, помимо прочих включают в себя: получение входных данных от датчиков; включение и блокировку клапанов, насосов и исполнительных механизмов; обнаружение опасных ситуаций и включение сигнала тревоги; сопряжение с распределенной системой управления в соответствии с требованиями, предъявляемыми спецификацией безопасности.
Предположения и характеристики системы:
- контроллер программируемой электронной системы, связанной с безопасностью, представляет собой программируемый логический контроллер (ПЛК);
- при анализе опасностей и рисков установлено, что необходимо использовать программируемую электронную систему, связанную с безопасностью, и для данного приложения нужен уровень полноты безопасности 2 (в соответствии с МЭК 61508-1 и МЭК 61508-2);
- хотя контроллер работает в реальном времени, требуется относительно небольшая скорость реакции;
- существуют интерфейсы с оператором и распределенной системой управления;
- исходный код программного обеспечения системы и схема программируемых электронных средств ПЛК недоступны для проверки, но оценены в соответствии с МЭК 61508-3 как соответствующие уровню полноты безопасности 2;
- в качестве языка программирования приложения использовалась многоступенчатая логика, программа создавалась с помощью системы разработки, предоставляемой поставщиком ПЛК;
- код приложения должен исполняться только на ПЛК одного типа;
- вся разработка программного обеспечения контролировалась лицом, независимым от команды разработчиков программного обеспечения;
- лицо, независимое от команды разработчиков программного обеспечения, наблюдало за приемочными испытаниями и утвердило их результаты;
- изменения (если необходимы) санкционируются лицом, независимым от команды разработчиков программного обеспечения.
Примечание - Определение независимого лица - в соответствии с МЭК 61508-4, пункт 3.8.10.
Интерпретация МЭК 61508-3, приложение А, для данного примера представлена в таблицах Е.1 - Е.10.
Примечания
1 В графе «ссылка» таблиц Е.1 - Е.10 пункты (например В.2.4, С.3.1) - это ссылки на МЭК 61508-7, а таблицы (например таблица В.7) - это ссылки на МЭК 61508-3.
2 Информация о распределении ответственности между поставщиком и пользователем при использовании языков программирования с ограниченной варьируемостью приведена в МЭК 61508-3 (примечания к 7.4.3-7.4.5).
Таблица Е.1 - Спецификация требований к безопасности программного обеспечения (см. МЭК 61508-3, подраздел 7.2)
Метод/средство |
Ссылка |
SIL2 |
Интерпретация (в настоящем приложении) |
1 Автоматизированные средства спецификации |
В.2.4 |
R |
Используются средства разработки, поставленные производителем ПЛК |
2а Полуформальные методы |
Таблица В.7 |
R |
Обычно используются причинно-следственные схемы, циклограммы и функциональные блоки для спецификации требований к программному обеспечению ПЛК |
2b Формальные методы, включая, например CCS, CSP, HOL, LOTOS, OBJ, временную логику, VDM и Z |
С.2.4 |
R |
Не используются для языков программирования с ограниченной варьируемостью |
Примечание - Требования к безопасности программного обеспечения определены на естественном языке. |
Таблица Е.2 - Программное обеспечение, проектирование и разработка: архитектура (см. МЭК 61508-3, пункт 7.4.3)
Метод/средство |
Ссылка |
SIL2 |
Интерпретация (в настоящем приложении) |
1 Обнаружение и диагностика сбоев |
С.3.1 |
R |
Проверка диапазона данных, сторожевой таймер, ввод/вывод, средства связи. В случае ошибки поднимает тревогу (см. 3а) |
2 Обнаружение и исправление ошибок |
С.3.2 |
R |
Встраивается с пользовательскими функциями: требуется тщательный выбор |
3а Программирование с проверкой ошибок |
С.3.3 |
R |
Выделяет часть многоступенчатой логики ПЛК для проверки некоторых важных условий безопасности (см. 1) |
3b Методы «подушки безопасности» |
С.3.4 |
R |
Проверяет разрешенные комбинации ввода/вывода на мониторе независимого компьютера, обеспечивающего безопасность |
3с Многовариантное программирование |
С.3.5 |
R |
Требуется прикладной задачей (см. 3b) |
3d Блоки восстановления |
С.3.6 |
R |
Встраивается с пользовательскими функциями: требуется тщательный выбор |
3е Восстановление предыдущего состояния |
С.3.7 |
R |
Встраивается с пользовательскими функциями: требуется тщательный выбор |
|
С.3.8 |
R |
Встраивается с пользовательскими функциями: требуется тщательный выбор |
3g Повторный запуск механизмов восстановления после ошибок |
С.3.9 |
R |
Используется в соответствии с требованиями прикладной задачи (см. 2 и 3b) |
3h Сохранение достигнутых состояний |
С.3.10 |
R |
Не используется для программирования с ограниченной варьируемостью |
4 Постепенное отключение функций |
С.3.11 |
R |
Не используется для программирования с ограниченной варьируемостью |
5 Исправление ошибок методами искусственного интеллекта |
С.3.12 |
NR |
Не используется для программирования с ограниченной варьируемостью |
6 Динамическая реконфигурация |
С.3.13 |
NR |
Не используется для программирования с ограниченной варьируемостью |
7а Структурные методы, включая, например JSD, MASCOT, SADT и Yourdon |
С.2.1 |
HR |
Методы потоков данных и логических таблиц данных могут использоваться, по крайней мере, для описания архитектуры |
7b Полуформальные методы |
Таблица В.7 |
R |
Могут быть использованы для интерфейса DCS |
7с Формальные методы, включая, например CCS, CSP, HOL, LOTOS, OBJ, временную логику, VDM и Z |
С.2.4 |
R |
Редко используются для программирования с ограниченной варьируемостью |
8 Автоматизированные средства разработки спецификаций |
В.2.4 |
R |
Используются средства разработки, поставленные производителем ПЛК |
Примечание - Некоторые из этих методов нецелесообразно использовать при программировании на языках с ограниченной варьируемостью. |
Таблица Е.3 - Проектирование и разработка программного обеспечения: средства поддержки и язык программирования (см. МЭК 61508-3, пункт 7.4.4)
Метод/средство |
Ссылка |
SIL2 |
Интерпретация (в настоящем приложении) |
1 Выбор соответствующего языка программирования |
С.4.6 |
HR |
Обычно используется многоступенчатая логика и часто используются фирменные языки поставщика ПЛК |
2 Строго типизированные языки программирования |
С.4.1 |
HR |
Используется структурированный текст по МЭК 61131-3 [14] |
3 Подмножество языка |
С.4.2 |
- |
Остерегайтесь использования сложных «макроинструкций», прерываний, которые изменяют цикл сканирования ПЛК, и т. д. |
4а Сертифицированные средства |
0.4.3 |
HR |
Поставляется производителем ПЛК |
4b Инструментальные средства: заслуживающие доверия на основании опыта использования |
С.4.4 |
HR |
Используются средства разработки, предлагаемые поставщиком ПЛК, а также собственные инструменты, разработанные в ходе работы над несколькими проектами |
5а Сертифицированный транслятор |
С.4.3 |
HR |
Поставляется производителем ПЛК |
5b Трансляторы, заслуживающие доверия на основании опыта использования |
С.4.4 |
HR |
Не используется для языков программирования с ограниченной варьируемостью |
6 Библиотека проверенных/ сертифицированных модулей и компонентов |
С.4.5 |
HR |
Функциональные блоки, части программы |
Таблица Е.4 - Проектирование и разработка программного обеспечения: подробная модель (см. МЭК 61508-3, пункты 7.4.5 и 7.4.6)
Метод/средство |
Ссылка |
SIL2 |
Интерпретация (в настоящем приложении) |
1а Структурные методы, включая, например JSD, MASCOT, SADT и Yourdon |
С.2.1 |
HR |
Не используется для языков программирования с ограниченной варьируемостью |
1b Полуформальные методы |
Таблица В.7 |
HR |
Используются причинно-следственные схемы, циклограммы, функциональные блоки, типичные для языков программирования с ограниченной варьируемостью |
1с Формальные методы, включая, например CCS, CSP, HOL, LOTOS, OBJ, временную логику, VDM и Z |
С.2.4 |
R |
Не используется для языков программирования с ограниченной варьируемостью |
2 Средства автоматизированного проектирования |
В.3.5 |
R |
Используются средства разработки, поставленные производителем ПЛК |
3 Программирование с защитой |
С.2.5 |
R |
Включается в программное обеспечение системы |
4 Модульный подход |
Таблица В.9 |
HR |
Используется упорядочение и группировка многоступенчатой логики программы ПЛК для максимального увеличения модульности требуемых функций |
5 Стандарты (предприятий) проектирования и кодирования |
Таблица В.1 |
HR |
Используются собственные соглашения для документации и удобства эксплуатации |
6 Структурное программирование |
С.2.7 |
HR |
Для рассматриваемого примера аналогично модульности |
7 Библиотека проверенных/ сертифицированных модулей и компонентов (если возможно) |
С.4.5 |
HR |
Используются |
Примечание - Проектирование и разработка включают в себя системное проектирование программного обеспечения, проектирование и кодирование программных модулей. |
Таблица Е.5 - Проектирование и разработка программного обеспечения: проверка и интеграция программных модулей (см. МЭК 61508-3, пункты 7.4.7 и 7.4.8)
Метод/средство |
Ссылка |
SIL2 |
Интерпретация (в настоящем приложении) |
1 Вероятностное тестирование |
С.5.1 |
R |
Не используется для языков программирования с ограниченной варьируемостью |
2 Динамический анализ и тестирование |
В.6.5, таблица В.2 |
R |
Используются |
3 Регистрация и анализ данных |
С.5.2 |
HR |
Запись исходных данных и результатов тестирования |
4 Функциональное тестирование и тестирование методом черного ящика |
В.5.1, В.5.2, таблица В.3 |
HR |
Выбираются входные данные для тестирования всех заданных функциональных блоков, включая обработку ошибок. Используются: тестовые примеры, полученные с помощью причинно-следственных схем, анализ граничных значений и декомпозиция входных данных |
5 Моделирование производительности |
С.5.20, таблица В.6 |
HR |
Не используется для языков программирования с ограниченной варьируемостью |
6 Тестирование интерфейса |
С.5.3 |
R |
Включено в функциональное тестирование и тестирование методом черного ящика |
Таблица Е.6 - Интеграция программируемых электронных средств (аппаратура и программное обеспечение) (см. МЭК 61508-3, подраздел 7.5)
Метод/средство |
Ссылка |
SIL2 |
Интерпретация (в настоящем приложении) |
1 Функциональное тестирование и тестирование методом черного ящика |
В.5.1, В.5.2, таблица В.3 |
HR |
Выбираются входные данные для тестирования всех заданных функциональных блоков, включая обработку ошибок. Используются: тестовые примеры, полученные с помощью причинно-следственных схем, анализ граничных значений и декомпозиция входных данных |
2 Моделирование производительности |
С.5.20, таблица В.6 |
R |
Если система ПЛК собирается для заводских приемочных испытаний |
Таблица Е.7 - Безопасность программного обеспечения, проверка (см. МЭК 61508-3, подраздел 7.7)
Метод/средство |
Ссылка |
SIL2 |
Интерпретация (в настоящем приложении) |
1 Вероятностное тестирование |
С.5.1 |
R |
Не используется для языков программирования с ограниченной варьируемостью |
2 Имитация/моделирование |
Таблица В.5 |
R |
Не используется для языков программирования с ограниченной варьируемостью, но все чаще используется при разработке систем ПЛК |
3 Функциональное тестирование и тестирование методом черного ящика |
В.5.1, В.5.2, таблица В.3 |
HR |
Выбираются входные данные для тестирования всех заданных функциональных блоков, включая обработку ошибок. Используются: тестовые примеры, полученные с помощью причинно-следственных схем, анализ граничных значений и декомпозиция входных данных |
Таблица Е.8 - Модификация программного обеспечения (см. МЭК 61508-3, подраздел 7.8)
Метод/средство |
Ссылка |
SIL2 |
Интерпретация (в настоящем приложении) |
1 Анализ влияния |
С.5.23 |
HR |
Выполняют анализ последствий для изучения того, насколько влияние предлагаемых изменений ограничено модульной структурой всей системы |
2 Повторная верификация измененных программных модулей |
С.5.23 |
HR |
Повторение предыдущих тестов |
3 Повторная верификация программных модулей, на которые оказывают влияние изменения в других модулях |
С.5.23 |
HR |
Повторение предыдущих тестов |
4 Повторное подтверждение соответствия системы |
С.5.23 |
R |
Если анализ последствий показал необходимость модификации системы, то после выполнения ее модификации обязательно проводится повторное подтверждение соответствия системы |
5 Управление конфигурацией программного обеспечения |
С.5.24 |
HR |
Поддерживает базовую конфигурацию, изменения в ней, влияние на другие системные требования |
6 Регистрация и анализ данных |
С.5.2 |
HR |
Выполняется запись исходных данных и результатов тестирования |
Таблица Е.9 - Проверка программного обеспечения (см. МЭК 61508-3, подраздел 7.9)
Метод/средство |
Ссылка |
SIL2 |
Интерпретация (в настоящем приложении) |
1 Формальное доказательство |
С.5.13 |
R |
Не используется для языков программирования с ограниченной варьируемостью |
2 Вероятностное тестирование |
С.5.1 |
R |
Заменяется опытом эксплуатации существующих компонентов |
3 Статический анализ |
В.6.4, таблица В.8 |
HR |
Выполняют анализ перекрестных ссылок использования переменных, условий и т. д. |
4 Динамический анализ и тестирование |
В.6.5, таблица В.2 |
HR |
Используются автоматические средства тестирования для облегчения регрессивного тестирования |
5 Метрики сложности программного обеспечения |
С.5.14 |
R |
Не используется для языков программирования с ограниченной варьируемостью |
Тестирование и интеграция программных модулей |
См. таблицу Е.5 |
||
Тестирование интеграции программируемой электроники |
См. таблицу Е.6 |
||
Тестирование (приемочные испытания) программной системы |
См. таблицу Е.7 |
Таблица Е.10 - Оценка функциональной безопасности (см. МЭК 61508-3, раздел 8)
Метод/средство |
Ссылка |
SIL2 |
Интерпретация (в настоящем приложении) |
1 Таблица контрольных проверок |
В.2.5 |
R |
Используется |
2 Таблицы решений и таблицы истинности |
С.6.1 |
R |
Используется ограниченно |
3 Метрики сложности программного обеспечения |
С.5.14 |
R |
Не используется для языков программирования с ограниченной варьируемостью |
4 Анализ отказов |
Таблица В.4 |
R |
На системном уровне анализ отказов использует причинно-следственные схемы, но для языков программирования с ограниченной варьируемостью этот метод не используется |
5 Анализ отказов по общей причине разнообразного программного обеспечения (если оно действительно используется) |
С.6.3 |
R |
Не используется для языков программирования с ограниченной варьируемостью |
6 Блок-схемы надежности |
С.6.5 |
R |
Не используется для языков программирования с ограниченной варьируемостью |
Е.3 Система с уровнем полноты безопасности 3
Рассматриваемая программная система сравнительно велика с точки зрения системы безопасности, так как включает более 30000 строк исходного кода. Кроме того, в ней используются обычные встроенные функции, по крайней мере, две различные операционные системы и уже существующий код более ранних проектов (проверенных в эксплуатации). В целом система состоит более чем из 100000 строк исходного кода.
Аппаратные средства (включая датчики и исполнительные механизмы) представляют собой двухканальную систему, выходы которой подключены к оконечным элементам по схеме логического «И» (AND).
Предположения и характеристики системы:
- немедленная реакция не требуется, но обеспечивается максимальное время реакции;
- интерфейсы с оператором существуют для датчиков, исполнительных механизмов и оповещателей;
- исходный код операционных систем, графических процедур и коммерческих программных продуктов не доступен;
- система, скорее всего, в дальнейшем будет модернизироваться;
- специально разработанное программное обеспечение использует один из распространенных процедурных языков;
- компоненты программной системы, исходный код для которых недоступен, реализованы разными способами с помощью инструментальных средств от разных поставщиков, и их объектный код был создан разными трансляторами;
- программное обеспечение работает на нескольких процессорах, доступных на рынке в соответствии с требованиями МЭК 61508-2;
- встроенные системы соответствуют требованиям МЭК 61508-2 для управления отказами аппаратных средств и для их предотвращения;
- разработка программного обеспечения контролировалась независимой организацией.
Примечание - Определение независимой организации приведено в МЭК 61508-4, пункт 3.8.12.
Интерпретация МЭК 61508-3, приложение А, для данного примера представлена в таблицах Е.11 - Е.20.
Примечание - В графе «ссылка» таблиц Е.11 - Е.20 пункты (например В.2.4, С.3.1) - это ссылки на МЭК 61508-7, а таблицы (например таблица В.7) - это ссылки на МЭК 61508-3.
Таблица Е.11 - Спецификация требований к безопасности программного обеспечения (см. МЭК 61508-3, подраздел 7.2)
Метод/средство |
Ссылка |
SIL3 |
Интерпретация (в настоящем приложении) |
1 Автоматизированные средства разработки спецификации |
В.2.4 |
HR |
Используются средства, поддерживающие выбранные методы |
2а Полуформальные методы |
Таблица В.7 |
HR |
Используются блок-схемы, циклограммы, диаграммы переходов состояний |
2b Формальные методы, включая, например CCS, CSP, HOL, LOTOS, OBJ, временную логику, VDM и Z |
С.2.4 |
R |
Используются только в исключительном случае |
Таблица Е.12 - Проектирование и разработка программного обеспечения: проектирование архитектуры программного обеспечения (см. МЭК 61508-3, пункт 7.4.3)
Метод/средство |
Ссылка |
SIL3 |
Интерпретация (в настоящем приложении) |
1 Обнаружение и диагностика сбоев |
С.3.1 |
HR |
Используется для тех отказов датчиков, исполнительных механизмов и средств передачи данных, которые не охватываются средствами встроенной системы в соответствии с МЭК 61508-2 |
2 Обнаружение и исправление ошибок |
С.3.2 |
R |
Используется только для внешней передачи данных |
3а Программирование с проверкой ошибок |
С.3.3 |
R |
Используется для проверки правильности результатов прикладных функций |
3b Методы «подушки безопасности» |
С.3.4 |
R |
Используются для некоторых функций, связанных с безопасностью, если отсутствуют средства 3а и 3с |
3с Многовариантное программирование |
С.3.5 |
R |
Используется для некоторых функций, исходный код которых недоступен |
3d Блоки восстановления |
С.3.6 |
R |
Не используется |
3е Восстановление предыдущего состояния |
С.3.7 |
R |
Не используется |
|
С.3.8 |
R |
Не используется |
3g Повторный запуск механизмов восстановления после ошибок |
С.3.9 |
R |
Не используется |
3h Сохранение достигнутых состояний |
С.3.10 |
R |
Не используется (достаточно средств 3а, 3b и 3с) |
4 Постепенное отключение функций |
С.3.11 |
HR |
Используется вследствие природы технического процесса |
5 Исправление ошибок методами искусственного интеллекта |
С.3.12 |
NR |
Не используется |
6 Динамическая реконфигурация |
С.3.13 |
NR |
Не используется |
7а Структурные методы, включая, например JSD, MASCOT, SADT и Yourdon |
С.2.1 |
HR |
Необходимо использовать вследствие размера системы |
7b Полуформальные методы |
Таблица В.7 |
HR |
Используются блок-схемы, циклограммы, диаграммы перехода состояний |
7с Формальные методы, включая, например CCS, CSP, HOL, LOTOS, OBJ, временную логику, VDM и Z |
С.2.4 |
R |
Не используются |
8 Автоматизированные средства разработки спецификаций |
В.2.4 |
HR |
Используются средства, поддерживающие выбранные методы |
Таблица Е.13 - Проектирование и разработка программного обеспечения: средства поддержки и язык программирования (см. МЭК 61508-3, пункт 7.4.4)
Метод/средство |
Ссылка |
SIL3 |
Интерпретация (в настоящем приложении) |
1 Выбор соответствующего языка программирования |
С.4.6 |
HR |
Выбирается язык высокого уровня с полной варьируемостью |
2 Строго типизированные языки программирования |
С.4.1 |
HR |
Используют |
3 Подмножество языка |
С.4.2 |
HR |
Определяют подмножество выбранного языка |
4а Сертифицированные средства |
С.4.3 |
HR |
Недоступны |
4b Инструментальные средства: заслуживающие доверия на основании опыта использования |
С.4.4 |
HR |
Доступны и используют |
5а Сертифицированный компилятор |
С.4.3 |
HR |
Недоступен |
5b Трансляторы, заслуживающие доверия на основании опыта использования |
С.4.4 |
HR |
Доступны и используют |
6 Библиотека проверенных/ сертифицированных модулей и компонент |
С.4.5 |
HR |
Доступна и используют |
Таблица Е.14 - Проектирование и разработка программного обеспечения: подробный проект (см. МЭК 61508-3, пункты 7.4.5 и 7.4.6)
Метод/средство |
Ссылка |
SIL3 |
Интерпретация (в настоящем приложении) |
1а Структурные методы, включая, например JSD, MASCOT, SADT и Yourdon |
С.2.1 |
HR |
Широко используются. В частности SADT и JSD |
1b Полуформальные методы |
Таблица В.7 |
HR |
Используются конечные автоматы/ диаграммы перехода состояний, блок-схемы, циклограммы |
1с Формальные методы, включая, например CCS, CSP, HOL, LOTOS, OBJ, временную логику, VDM и Z |
С.2.4 |
R |
Используются только в исключительных случаях для некоторых очень важных компонент |
2 Средства автоматизированного проектирования |
В.3.5 |
R |
Используются для выбранных методов |
3 Программирование с защитой |
С.2.5 |
R |
В прикладном программном обеспечении в явном виде используются средства, которые могут быть эффективны, кроме автоматически вставляемых компилятором |
4 Модульный подход |
Таблица В.9 |
HR |
Используются: ограниченный размер программного модуля, скрытие информации/инкапсуляция, одна входная/выходная точка в подпрограммах и функциях, полностью определенный интерфейс и т. д. |
5 Стандарты (предприятия) проектирования и кодирования |
Таблица В.1 |
HR |
Используются стандарты (предприятия) для кодирования, ограниченно используются прерывания, указатели и рекурсии, не используются динамические объекты и переменные, безусловные переходы и т. д. |
6 Структурное программирование |
С.2.7 |
HR |
Используют |
7 Библиотека проверенных/ сертифицированных модулей и компонентов (по возможности) |
С.4.5 |
HR |
Доступен и используют |
Примечание - Проектирование и разработка включают в себя системное проектирование программного обеспечения, проектирование и кодирование программных модулей. |
Таблица Е.15 - Проектирование и разработка программного обеспечения: проверка и интеграция программных модулей (см. МЭК 61508-3, пункты 7.4.7 и 7.4.8)
Метод/средство |
Ссылка |
SIL3 |
Интерпретация (в настоящем приложении) |
1 Вероятностное тестирование |
С.5.1 |
R |
Используется для программных модулей, исходный код которых недоступен, а определение граничных значений и классов эквивалентности для тестовых данных затруднено |
2 Динамический анализ и тестирование |
В.6.5, таблица В.2 |
HR |
Используются для программных модулей, исходный код которых доступен. Выполняют: контрольные примеры, разработанные с помощью анализа граничных значений, моделирование производительности, разделение входных данных на классы эквивалентности, структурное тестирование |
3 Регистрация и анализ данных |
С.5.2 |
HR |
Используют запись входных данных и результатов тестирования |
4 Функциональное тестирование и тестирование методом черного ящика |
В.5.1, В.5.2, таблица В.3 |
HR |
Используют для программных модулей, исходный код которых недоступен, и для проверки интеграции. Выбираются входные данные для тестирования всех заданных функциональных блоков, включая обработку ошибок. Используются: тестовые примеры, полученные с помощью причинно-следственных схем, прототипирование, анализ граничных значений, разделение данных на классы эквивалентности и декомпозиция входных данных |
5 Моделирование производительности |
С.5.20, таблица В.6 |
HR |
Используют при проверке интеграции на конкретном оборудовании |
6 Тестирование интерфейса |
С.5.3 |
HR |
Не используют |
Таблица Е.16 - Интеграция программируемой электроники (аппаратных средств и программного обеспечения) (см. МЭК 61508-3, подраздел 7.5)
Метод/средство |
Ссылка |
SIL3 |
Интерпретация (в настоящем приложении) |
1 Функциональное тестирование и тестирование методом черного ящика |
В.5.1, В.5.2, таблица В.3 |
HR |
Используют как дополнительные тесты при интеграции программного обеспечения(см. таблицу Е.15). Выбираются входные данные для тестирования всех заданных функциональных блоков, включая обработку ошибок. Используются: тестовые примеры, полученные с помощью причинно-следственных схем, прототипирование, анализ граничных значений, разделение данных на классы эквивалентности и декомпозиция входных данных |
2 Моделирование производительности |
С.5.20, таблица В.6 |
HR |
Широко используют |
Таблица Е.17 - Подтверждение соответствия безопасности программного обеспечения (см. МЭК 61508-3, подраздел 7.7)
Метод/средство |
Ссылка |
SIL3 |
Интерпретация (в настоящем приложении) |
1 Вероятностное тестирование |
С.5.1 |
R |
Не используют для подтверждения соответствия |
2 Имитация/моделирование |
Таблица В.5 |
HR |
Конечные автоматы, моделирование производительности, прототипирование и анимация |
3 Функциональное тестирование и тестирование методом черного ящика |
В.5.1, В.5.2, таблица В.3 |
HR |
Выбираются входные данные для тестирования всех заданных функциональных блоков, включая обработку ошибок. Используются: тестовые примеры, полученные с помощью причинно-следственных схем, прототипирование, анализ граничных значений, разделение данных на классы эквивалентности и декомпозиция входных данных |
Таблица Е.18 - Модификация программного обеспечения (см. МЭК 61508-3, подраздел 7.8)
Метод/средство |
Ссылка |
SIL3 |
Интерпретация (в настоящем приложении) |
1 Анализ влияния |
С.5.23 |
HR |
Используют |
2 Повторная верификация измененных программных модулей |
С.5.23 |
HR |
Используют |
3 Повторная верификация программных модулей, на которые оказывают влияние изменения в других модулях |
С.5.23 |
HR |
Используют |
4 Повторная верификация системы в целом |
С.5.23 |
HR |
Использование зависит от результатов анализа последствий |
5 Управление конфигурацией программного обеспечения |
С.5.24 |
HR |
Используют |
6 Регистрация и анализ данных |
С.5.2 |
HR |
Используют |
Таблица Е.19 - Проверка программного обеспечения (см. МЭК 61508-3, подраздел 7.9)
Метод/средство |
Ссылка |
SIL3 |
Интерпретация (в настоящем приложении) |
1 Формальное доказательство |
С.5.13 |
R |
Используется только в исключительных случаях, для некоторых очень важных классов |
2 Вероятностное тестирование |
С.5.1 |
R |
Включено в таблицу Е.15 |
3 Статический анализ |
В.6.4, таблица В.8 |
HR |
Для всего вновь разработанного кода используются: анализ граничных значений, таблица контрольных проверок, анализ потоков управления, анализ потоков данных, проверка разработки программ, анализ проектов |
4 Динамический анализ и тестирование |
В.6.5, таблица В.2 |
HR |
Включено в таблицу Е.15 |
5 Метрики сложности программного обеспечения |
С.5.14 |
R |
Используют в минимальной степени |
Тестирование и интеграция программных модулей |
|
См. таблицу Е.15 |
|
Тестирование интеграции программируемой электроники |
|
См. таблицу Е.16 |
|
Тестирование (подтверждение соответствия) программной системы |
|
См. таблицу Е.17 |
Таблица Е.20 - Оценка функциональной безопасности (МЭК 61508-3, раздел 8)
Метод/средство |
Ссылка |
SIL3 |
Интерпретация (в настоящем приложении) |
1 Таблица контрольных проверок |
В.2.5 |
R |
Используют |
2 Таблицы решений и таблицы истинности |
С.6.1 |
R |
Используют в ограниченной степени |
3 Метрики сложности программного обеспечения |
С.5.14 |
R |
Используют в минимальной степени |
4 Анализ отказов |
Таблица В.4 |
R |
Интенсивно используют анализ диагностического дерева отказов, а причинно-следственные диаграммы используют в ограниченной степени |
5 Анализ отказов по общей причине разнообразного программного обеспечения (если действительно используется) |
С.6.3 |
R |
Используют |
6 Блок диаграммы надежности |
С.6.5 |
R |
Используют |
Таблица F.1
Обозначение ссылочного международного стандарта |
Обозначение и наименование соответствующего национального стандарта Российской Федерации |
ИСО/МЭК 51:1999 |
ГОСТ Р 51898-2002 Аспекты безопасности. Правила включения в стандарты |
МЭК 104:1997 |
* |
ИСО/МЭК 2382-14:1998 |
* |
МЭК 61508-1:1998 |
ГОСТ Р МЭК 61508-1-2006 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 1. Общие требования |
МЭК 61508-2:2000 |
ГОСТ Р МЭК 61508-2-2007 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 2. Требования к системам |
МЭК 61508-3:1998 |
ГОСТ Р МЭК 61508-3-2006 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 3. Требования к программному обеспечению |
МЭК 61508-4:1998 |
ГОСТ Р МЭК 61508-4-2006 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 4. Термины и определения |
МЭК 61508-5:1998 |
ГОСТ Р МЭК 61508-5-2006 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 5. Рекомендации по применению методов определения уровней полноты безопасности |
МЭК 61508-7:2000 |
ГОСТ Р МЭК 61508-7-2007 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 7. Методы и средства |
* Соответствующий национальный стандарт отсутствует. До его утверждения рекомендуется использовать перевод на русский язык данного международного стандарта. Перевод данного международного стандарта находится в Федеральном информационном фонде технических регламентов и стандартов. |
ЕС 61511-SER |
Functional safety - Safety instrumented systems for the process industry sector - ALL PARTS |
|
IEC 61078:2006 |
Analysis techniques for dependability - Reliability block diagram method |
|
[3] |
IEC 61165:2006 |
Application of Markov techniques |
[4] |
BS 5760 |
Reliability of system equipment and components - Part 2: Guide to assessment of reliability |
[5] |
D.J. Smith |
Reliability, maintainability and risk - Practical methods for engineers, Butterworth-Heinemann, 5th edition, 1997, ISBN 0-7506-3752-8 |
[6] |
R. Billington and R.N. Allan |
Reliability evaluation of engineering systems. Plenum, 1992, ISBN 0-306-44063-6 |
W.M. Goble |
Evaluating control system reliability - Techniques and applications, Instrument Society of America, 1992, ISBN 1-55617-128-5 |
|
|
Failure Mode/Mechanism
Distributions, 1991, Department of Defense, |
|
[9] |
|
Qualitat und Zuverlassigkeit technischer Systeme, Theorie, Praxis, Management, Dritte Auflage, 1991, Allessandro Birolini, Springer-Verlag, Berlin Heidelberg New York, ISBN 3-540-54067-9, 3 Aufl., ISBN 0-387-54067-9 3 ed. |
MIL-HDBK- |
Military Handbook
Reliability prediction of electronic equipment, 2 December 1991, Department
of |
|
|
Programmable electronic systems in safety-related applications. Part 2: General technical guidelines. Health and Safety Executive, HMSO, ISBN 0 11 883906 3, 1987 |
|
|
Assigning a numerical value to the beta factor common-cause evaluation, Humphreys, R. A., Proc. Reliability '87 |
|
|
UPM3.1: A pragmatic approach to dependent failures assessment for standard systems, AEA Technology, Report SRDA-R-13, ISBN 085 356 4337, 1996 |
|
[14] |
IEC 61131-3:2003 |
Programmable controllers - Part 3: Programming languages |
Ключевые слова: функциональная безопасность; жизненный цикл систем; электрические компоненты; электронные компоненты; программируемые электронные компоненты и системы; системы, связанные с безопасностью; диагностический охват; оценка вероятности отказа аппаратных средств; полнота безопасности программного обеспечения
Расположен в: |
---|
Источник информации: https://internet-law.ru/stroyka/text/53438/
На эту страницу сайта можно сделать ссылку:
На правах рекламы:
© Антон Серго, 1998-2024.
|
Разработка сайта |
|