Страница 2: ГОСТ Р МЭК 61508-5-2007. Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 5. Рекомендации по применению методов определения уровней полноты безопасности (78256)

А.1 Общие положения

Настоящее приложение предоставляет информацию о концепциях, лежащих в основе понятия риска, а также о связи между риском и полнотой безопасности.

А.2 Требуемое уменьшение риска

Требуемое уменьшение риска [МЭК 61508-4 (пункт 3.5.14)] представляет собой уменьшение риска, необходимое для того, чтобы риск в конкретной ситуации стал допустимым (что может быть установлено с помощью качественных¹⁾ или количественных методов²⁾). Понятие требуемого уменьшения риска имеет фундаментальное значение при разработке спецификаций требований к Е/Е/РЕ системам, связанных с безопасностью (в частности той части спецификации, которая посвящена требованиям к полноте безопасности). Цель определения допустимого риска для конкретного опасного события состоит в том, чтобы сформулировать разумные критерии для частоты (или вероятности) опасного события и его последствий. Системы, связанные с безопасностью, предназначены для того, чтобы уменьшить частоту (или вероятность) опасных событий и/или последствия опасных событий.

Допустимый риск зависит от многих факторов (например, от тяжести травм, числа людей, подвергающихся опасности, от того, насколько часто человек или люди подвергаются опасности, а также от периода времени, в течение которого люди подвергаются опасности). К числу важных факторов относятся осознание опасности и отношение к ней тех, кто подвергается действию опасного события. При выработке мнения о том, что представляет собой допустимый риск для конкретного приложения, учитываются:

- руководящие указания органов власти, осуществляющих регулирование в области безопасности;

- обсуждения и соглашения между различными сторонами, участвующими в конкретной области применения;

- промышленные стандарты и руководства;

- международные обсуждения и соглашения; роль национальных и международных стандартов в выработке критериев для определения допустимого риска становится все более важной;

- лучшие независимые промышленные, экспертные и научные рекомендации консультативных органов;

- законодательные требования как общие, так и те, которые непосредственно относятся к конкретной области применения.

¹⁾ При достижении приемлемого риска должно быть установлено требуемое уменьшение риска. В приложениях D и Е описываются качественные методы, хотя в приведенных примерах требуемое уменьшение риска содержится в неявном виде и не формулируется явно.

²⁾ Например, что опасное событие, ведущее к конкретному последствию, не должно происходить с частотой, превышающей один раз за 10⁸ час.

А.3 Роль Е/Е/РЕ систем безопасности

Е/Е/РЕ системы, связанные с безопасностью, способствуют достижению требуемого уменьшения риска, делающего его допустимым. Системы, связанные с безопасностью:

- реализуют функции безопасности, необходимые для достижения или поддержания безопасного состояния управляемого оборудования, и

- используя собственные средства, или в совокупности с другими Е/Е/РЕ системами, связанными с безопасностью, с системами, связанными с безопасностью, основанными на других технологиях, или с внешними средствами уменьшения риска достигают необходимой полноты безопасности для требуемых функций [МЭК 61508-4 (пункт 3.4.1)].

Примечания

1 В первом перечислении отмечается, что система, связанная с безопасностью, должна выполнять функции, которые могут быть определены в спецификациях требований к функциям безопасности. Например, спецификация требований к функциям безопасности может содержать требование о том, что, когда температура достигает значения х, должен открываться клапан у, который позволяет воде поступать в сосуд.

2 Во втором перечислении отмечается, что функции безопасности должны выполняться системами, связанными с безопасностью, со степенью надежности, достаточной для достижения в конкретной области применения допустимого риска.

В состав Е/Е/РЕ системы, связанные с безопасностью, могут входить люди. Например, человек может получать с экрана дисплея информацию о состоянии EUC и выполнять действия, основываясь на этой информации. Е/Е/РЕ системы, связанные с безопасностью, могут работать в режиме низкой интенсивности запросов либо в режиме высокой интенсивности запросов или непрерывных запросов [МЭК 61508-4 (пункт 3.5.12)].

А.4 Полнота безопасности

Полнота безопасности определяется как вероятность того, что система, связанная с безопасностью, будет удовлетворительно выполнять требуемые функции безопасности при всех установленных условиях в течение установленного периода времени [МЭК 61508-4 (пункт 3.5.2)]. Полнота безопасности относится к характеристикам, описывающим способность систем, связанных с безопасностью, выполнять функции безопасности, которые должны быть определены в спецификации требований к функциям безопасности.

Считается, что полнота безопасности должна рассматриваться как состоящая из двух элементов:

- полноты безопасности аппаратуры; эта часть полноты безопасности связана со случайными отказами аппаратуры, проявляющимися в опасном режиме [МЭК 61508-4 (пункт 3.5.5)]. Достижение заданного уровня полноты безопасности аппаратуры, предназначенной для обеспечения безопасности, может быть оценено с разумной степенью точности, следовательно, требования могут быть распределены между подсистемами в соответствии с нормальными законами для вероятностей совместных событий. Для достижения адекватной полноты безопасности аппаратуры может потребоваться использование избыточной архитектуры;

- полноты безопасности, связанной с систематическими отказами; эта часть полноты безопасности обусловлена систематическими отказами, проявляющимися в опасном режиме [МЭК 61508-4 (пункт 3.5.4)]. Хотя средняя интенсивность систематических отказов может поддаваться оценке, данные, полученные из анализа конструктивных отказов и отказов с общей причиной, свидетельствуют о том, что распределение отказов спрогнозировать трудно. Это приводит к увеличению неопределенности расчетов вероятности отказов для конкретной ситуации (например, вероятности отказа системы защиты). Поэтому необходимо выбирать методы, которые минимизируют эту неопределенность. Следует учитывать, что мероприятия по уменьшению вероятности случайных отказов аппаратуры не всегда приводят к уменьшению вероятности систематических отказов. Такие методы, как избыточные каналы идентичной аппаратуры, очень эффективные для регулирования случайных отказов аппаратуры, мало влияют на уменьшение систематических отказов.

Уровень полноты безопасности Е/Е/РЕ систем, связанных с безопасностью, систем, связанных с безопасностью, основанных на других технологиях, и внешних средств уменьшения риска должен гарантировать, что:

- частота отказов систем, связанных с безопасностью, будет достаточно низкой, чтобы предотвратить превышение частоты опасных событий, соответствующей допустимому риску и/или, что

- системы, связанные с безопасностью, изменяют последствия отказов в такой степени, что риск становится допустимым.

На рисунке А.1 представлены основные концепции, связанные с уменьшением риска. В общей модели предполагается, что:

- имеется EUC и система управления EUC;

- имеются факторы, связанные с человеком;

- средства защиты включают в себя:

внешние средства уменьшения риска,

Е/Е/РЕ системы, связанные с безопасностью,

системы, связанные с безопасностью, основанные на других технологиях.

Примечание - На рисунке А.1 представлена обобщенная модель риска, предназначенная для демонстрации основных принципов. Модель риска для конкретного приложения должна разрабатываться с учетом конкретного способа, которым будет достигаться требуемое уменьшение риска Е/Е/РЕ системами, связанными с безопасностью, системами, связанными с безопасностью, основанными на других технологиях, и внешними средствами уменьшения риска. Поэтому итоговая модель риска может отличаться от модели, представленной на рисунке А.1.

В число рисков, представленных на рисунке А.1, входят:

- риск EUC: риск определенных опасных событий, связанных с EUC, с системами управления EUC и с человеческим фактором - при определении этого риска не учитываются планируемые средства защиты [МЭК 61508-4 (пункт 3.2.4)];

- допустимый риск: риск, который допустим в заданном контексте в соответствии с существующими в обществе ценностями [МЭК 61508-4 (пункт 3.1.6)];

- остаточный риск: риск заданных опасных событий, связанных с EUC, системой управления EUC, факторами, зависящими от человека, который сохраняется после добавления внешних средств уменьшения риска, Е/Е/РЕ систем, связанных с безопасностью, и систем, связанных с безопасностью, основанных на других технологиях [МЭК 61508-4 (пункт 3.1.7)].

Риск EUC зависит от факторов риска, создаваемых непосредственно EUC, а также от снижения риска, обеспечиваемого системой управления EUC. Чтобы предотвратить появление необоснованных оценок полноты безопасности для систем управления EUC, настоящий стандарт ограничивает такие оценки [МЭК 61508-1 (пункт 7.5.2.5)].

Требуемое уменьшение риска достигается объединением всех мер увеличения безопасности. На рисунке А.1 показано уменьшение риска от исходного уровня, соответствующего риску EUC, до уровня, отвечающего заданному допустимому риску.

Рисунок А.1 - Уменьшение риска: основные понятия

А.5 Риск и полнота безопасности

Важно понимать различие между риском и полнотой безопасности. Риск представляет собой меру вероятности и одновременно меру тяжести последствий заданного опасного события. Он может быть оценен для различных ситуаций [риск EUC, риск, допустимый риск, остаточный риск (см. рисунок А.1)]. Понятие допустимого риска определяется на социальной основе, оно учитывает социальные и политические факторы. Понятие полноты безопасности применяется только к Е/Е/РЕ системам, связанным с безопасностью, системам, связанным с безопасностью, основанным на других технологиях, и внешним средствам уменьшения риска. Полнота безопасности представляет собой оценку вероятности того, что рассматриваемые системы/средства обеспечат требуемое уменьшения риска для функций безопасности. Однажды установленный допустимый риск и оцененное необходимое сокращение риска позволяют распределить требования к полноте безопасности систем, связанных с безопасностью [МЭК 61508-4 (пункты 7.4 - 7.6)].

Примечание - Для того чтобы получить оптимальную систему, связанную с безопасностью, удовлетворяющую различным требованиям, распределение должно быть итеративным.

Роль систем, связанных с безопасностью, в достижении требуемого уменьшения риска показана на рисунках А.1 и А.2.

Рисунок А.2 - Понятия риска и полноты безопасности

А.6 Уровни полноты безопасности и уровни полноты безопасности программного обеспечения

Для удовлетворения широкого диапазона необходимых снижений риска, которые должны обеспечивать системы, связанные с безопасностью, целесообразно иметь в распоряжении ряд уровней безопасности в качестве мер для удовлетворения требований полноты безопасности функций безопасности, распределенных по системам, связанным с безопасностью. Уровни полноты безопасности программного обеспечения используются как база для спецификации требований полноты безопасности функций безопасности, выполняемых программным обеспечением, связанным с безопасностью. Спецификация требований к полноте безопасности должна определять уровни полноты безопасности для Е/Е/РЕ систем, связанных с безопасностью.

В настоящем стандарте определены четыре уровня полноты безопасности, наивысшим является уровень 4, наиболее низким - уровень 1.

Количественные характеристики интенсивности отказов для четырех уровней полноты безопасности приведены в МЭК 61508-1 (таблицы 2 и 3). Определены два параметра, один - для систем, связанных с безопасностью, работающих в режиме низкой интенсивности запросов, другой - для систем, связанных с безопасностью, работающих в режиме высокой интенсивности запросов или в непрерывном режиме.

Примечание - Для систем, связанных с безопасностью, работающих в режиме низкой интенсивности запросов, в качестве меры полноты безопасности представляет интерес вероятность отказов выполнения функций безопасности по запросам. Для систем, действующих в режиме высокой частоты запросов, или с непрерывными запросами, в качестве меры полноты безопасности представляет интерес средняя вероятность отказов в час [МЭК 61508-4 (пункты 3.5.12 и 3.5.13)].

А.7 Распределение требований безопасности

Распределение требований безопасности (как требований к функциям безопасности, так и требований к полноте безопасности), предъявляемых к Е/Е/РЕ системам, связанным с безопасностью, системам, связанным с безопасностью, основанным на других технологиях, и внешним средствам уменьшения риска показано на рисунке А.3, который идентичен рисунку 6 в МЭК 61508-1. Требования по распределению требований безопасности по фазам приведены в МЭК 61508-1 (пункт 7.6).

Методы, используемые для распределения требований полноты безопасности по Е/Е/РЕ системам, связанным с безопасностью, системам, связанным с безопасностью, основанным на других технологиях, и внешним средствам снижения риска, зависят, в первую очередь, от того, задается ли требуемое снижение риска явно в количественной или в качественной форме. Эти подходы получили названия соответственно количественного и качественного методов (приложения В - Е).

Примечания

1 Требования к полноте безопасности связываются с каждой функцией безопасности до распределения [МЭК 61508-1 (пункт 7.5.2.6)].

2 Функция безопасности может быть распределена по нескольким системам, связанным с безопасностью.

3 ССБ - система (ы), связанная (ые) с безопасностью.

Рисунок А.3 - Распределение требований безопасности по Е/Е/РЕ системам, связанным с безопасностью, системам, связанным с безопасностью, основанных на других технологиях, и внешним средствам снижения риска