А.1.1 Отказы, обнаруживаемые мониторингом в режиме «онлайн»
Примечание - Ссылка на данный метод/средство приведена в МЭК 61508-2 (см. приложение А, таблицы А.2, А.3, А.7 и А.14 - А.19).
Цель: обнаружение отказов путем контроля поведения Е/Е/РЕ систем, связанных с безопасностью, в процессе нормального (в режиме онлайн) функционирования управляемого оборудования (далее - EUC).
Описание: при определенных условиях отказы могут быть обнаружены с помощью информации, например о поведении во времени EUC. Например, если коммутатор, который является частью Е/Е/РЕ систем, связанных с безопасностью, нормально активизируется со стороны EUC и если при этом коммутатор не изменяет состояния в предполагаемое время, то отказ может быть обнаружен. Обычными способами невозможно локализовать такой отказ.
А.1.2 Мониторинг релейных контактов
Примечание - Ссылка на данный метод/средство приведена в МЭК 61508-2 (см. приложение А, таблицы А.2 и А.15).
Цель: обнаружение отказов (например, пайки) релейных контактов.
Описание: активизируемые контактные реле (или положительно управляемые контакты в реле) спроектированы так, что их контакты жестко связаны между собой. Рассмотрим два переключаемых контакта a и b. Если нормально разомкнутый контакт a оказался спаянным (залипшим), то нормально замкнутый контакт b не может замкнуться, если обмотка реле обесточивается. Следовательно, контроль замыкания нормально замкнутого контакта b при обесточенной обмотке реле может быть использован для подтверждения того, что нормально разомкнутый контакт a разомкнут. Отсутствие замыкания нормально замкнутого контакта b указывает на отказ контакта a, поэтому схема контроля должна обеспечить надежное отключение или обеспечить продолжение отключения при любом управлении оборудования контактом a.
Литература:
Zusammenstellung und Bewertung elektromechanischer Sicherheitsschaltungen für Ver-riegelungseinrichtungen. F. Kreutzkampf, W. Hertel, Sicherheitstechnisches Informations- und Arbeitsblatt 330212, BIA-Handbuch. 17. Lfg. X/91, Erich Schmidt Verlag, Bielefeld.
Anlagensicherung mit Mitteln der MSR-Technik. G. Strohrman, Oldenburg, 1983.
A.1.3 Компаратор
Примечание - Ссылка на данный метод/средство приведена в МЭК 61508-2 (см. приложение А, таблицы А.2, А.3, А.4).
Цель: оперативное обнаружение (не одновременное) отказов в независимом модуле обработки или в компараторе.
Описание: сигналы независимых модулей обработки сравнивают циклически или непрерывно компаратором аппаратных средств. Сам компаратор может быть внешне тестируемым или же может использовать самоконтролируемую технологию. Обнаруживаемые компаратором различия в поведении процессоров независимых модулей формируют информацию для сообщений об отказах.
А.1.4 Схема голосования по мажоритарному принципу
Примечание - Ссылка на данный метод/средство приведена в МЭК 61508-2 (см. приложение А, таблицы А.2, А.3 и А.4).
Цель: обнаружение и парирование отказов, по меньшей мере, в одном из трех аппаратных каналов.
Описание: модуль голосования, использующий мажоритарный принцип (2 из 3, 3 из 4 или m из n), используется для обнаружения и парирования отказов. Сама схема голосования может внешне тестироваться или же она может использовать самоконтролирующие технологии.
Литература:
Guidelines for Safe Automation of Chemical Processes. CCPS, AlChE, New York, 1993.
Anlagensicherung mit Mitteln der MSR-Technik. Praxis der Sicherheitstechnik, Vol 1, Dechema, 1988.
Sicherung von Anlagen der Verfahrenstechnik mit Mitteln der Mess-, Steuerungs- und Regelungstechnik. VDI/ VDE Blatt 1 to 5, 1984 to 1988.
А.1.5 Отсутствие питания (отключение энергии)
Примечание - Ссылка на данный метод/средство приведена в МЭК 61508-2 (см. приложение А, таблицы А.2, А.9, А.14 и А.15).
Цель: выполнение функции безопасности при выключении или отсутствии питания.
Описание: функция безопасности выполняется, если контакты реле разомкнуты и ток не проходит. Например, при использовании тормозов для остановки опасного вращения двигателя тормоза отпускаются замыкающими контактами в системах, связанных с безопасностью, и включаются размыкающими контактами в системах, связанных с безопасностью.
Литература:
Guidelines for Safe Automation of Chemical Processes. CCPS, AlChE, New York, 1993.
А.2 Электроника
Главная цель: управление отказами в транзисторных компонентах.
А.2.1 Тестирование избыточным оборудованием
Примечание - Ссылка на данный метод/средство приведена в МЭК 61508-2 (см. приложение А, таблицы А.3, А.16, А.17 и А.19).
Цель: обнаружение отказов с использованием избыточных аппаратных средств, то есть с использованием дополнительных аппаратных средств, не требующихся для реализации функций обработки.
Описание: избыточные аппаратные средства могут быть использованы для тестирования на соответствующей частоте заданных функций безопасности. Такой подход обычно требуется для реализации положений пунктов А.1.1 или А.2.2.
Литература:
DIN V VDE 0801: Grundsätze für Rechner in Systemen mit Sicherheitsaufgaben (Principles for Computers in Safety-Related Systems), Beuth-Verlag, Berlin, 1990.
A.2.2 Принципы динамического управления
Примечание - Ссылка на данный метод/средство приведена в МЭК 61508-2 (см. приложение А, таблицу А.3).
Цель: обнаружение статических отказов путем динамической обработки сигналов.
Описание: принудительное изменение других статических сигналов (генерируемых извне или внутри) помогает обнаруживать статические отказы в компонентах. Этот метод часто ассоциируется с электромеханическими компонентами.
Литература:
Elektronik in der Sicherheitstechnik. H. Jürs, D. Reinert, Sicherheitstechnisches Informations- und Arbeitsblatt 330220, BIA-Handbuch, Erich-Schmidt Verlag, Bielefeld, 1993.
A.2.3 Стандартный тестовый порт доступа и архитектура граничного сканирования
Примечание - Ссылка на данный метод/средство приведена в МЭК 61508-2 (см. приложение А, таблицы А.3, А.16 и А.19).
Цель: управление и наблюдение за происходящим на каждом контакте интегральной схемы (1С).
Описание: тестирование граничного сканирования представляет собой метод построения IС, который повышает тестируемость IС, разрешая проблему доступа к внутренним точкам тестируемой схемы. В типичной сканируемой по границам интегральной схеме, содержащей внутренние логические схемы, а также входные и выходные буферы, между внутренними логическими схемами и входными/выходными буферами, соединенными с внешними контактами IС, размещается ступень сдвигового регистра. Содержимое каждого сдвигового регистра находится в ячейке граничного сканирования. Ячейка граничного сканирования может управлять и наблюдать за происходящим на каждом входном и выходном контакте IС через стандартный тестовый порт доступа. Тестирование внутренних логических схем IС проводится путем отключения размещенных на чипе внутренних логических схем от входных сигналов, получаемых от окружающих компонентов, и последующего выполнения внутреннего тестирования. Эти тесты могут быть использованы для обнаружения отказов в IС.
Литература:
IEEE 1149.1:1990, Standard Test Access Port and Boundary-Scan Architecture. IEEE 1149.1:1990.
A.2.4 Отказоустойчивое оборудование
Примечание - Ссылка на данный метод/средство приведена в МЭК 61508-2 (см. приложение А, таблицу А.3).
Цель: перевести систему в безопасное состояние в случае появления отказов.
Описание: в аппаратно реализованных системах считается, что устройство работает отказоустойчиво, если:
- конкретный набор отказов может приводить к безопасному состоянию и
- отказы обнаруживаются.
Пример - К конкретному набору отказов могут относиться постоянные отказы, постоянные отказы типа «разомкнутый», короткие замыкания внутри и между компонентами и направленные короткие замыкания.
Литература:
Dependability of Critical Computer Systems 1. F. J. Redmill, Elsevier Applied Science, 1988, ISBN 1-85166-203-0.
Elektronik in der Sicherheitstechnik. H. Jürs, D. Reinert, Sicherheitstechnisches Informations-und Arbeitsblatt 330220, BIA-Handbuch, Erich-Schmidt Verlag, Bielefeld, 1993.
A.2.5 Избыточный контроль
Примечание - Ссылка на данный метод/средство приведена в МЭК 61508-2 (см. приложение А, таблицу А.3).
Цель: обнаружение отказов путем создания нескольких функциональных модулей, контроля поведения каждого из них для обнаружения отказов и последующего инициирования перехода в безопасное состояние при обнаружении какого-либо несоответствия в поведении.
Описание: функция безопасности выполняется, по меньшей мере, двумя аппаратными каналами. Выходы этих каналов контролируются и безопасное состояние инициируется при обнаружении отказа (в случае, если выходные сигналы из всех каналов не идентичны).
Литература:
Dependability of Critical Computer Systems 1. F. J. Redmill, Elsevier Applied Science, 1988, ISBN 1-85166-203-0.
Elektronik in der Sicherheitstechnik. H. Jürs, D. Reinert, Sicherheitstechnisches Informations-und Arbeitsblatt 330220, BIA-Handbuch, Erich-Schmidt Verlag, Bielefeld, 1993.
A.2.6 Электрические/электронные компоненты с автоматической проверкой
Примечание - Ссылка на данный метод/средство приведена в МЭК 61508-2 (см. приложение А, таблицу А.3).
Цель: обнаружение отказов путем периодической проверки способности выполнения функции безопасности.
Описание: аппаратные средства тестируются до запуска процесса и затем тестируются повторно через соответствующие интервалы. EUC продолжает работу только при условии успешного прохождения каждого теста.
Литература:
Dependability of Critical Computer Systems 1. F. J. Redmill, Elsevier Applied Science, 1988, ISBN 1-85166-203-0.
Elektronik in der Sicherheitstechnik. H. Jürs, D. Reinert, Sicherheitstechnisches Informations-und Arbeitsblatt 330220, BIA-Handbuch, Erich-Schmidt Verlag, Bielefeld, 1993.
A.2.7 Текущий контроль аналоговых сигналов
Примечание - Ссылка на данный метод/средство приведена в МЭК 61508-2 (см. приложение А, таблицы А.3 и А.14).
Цель: повышение достоверности результатов измерений аналоговых сигналов.
Описание: везде, где возможно, используются аналоговые приборы, а не цифровые. В аналоговых приборах отключение или безопасные состояния представляются уровнями аналоговых сигналов обычно с контролем устойчивости уровня этого сигнала. Это обеспечивает непрерывный контроль и высокую степень достоверности передачи сигнала, снижает частоту необходимого гарантийного тестирования функции чувствительности передатчика. Внешние интерфейсы, например импульсные линии, также нуждаются в тестировании.
Литература:
UKOOA Guidelines for Instrument-Based Systems, UK Offshore Operators Association Limited, December 1995.
A.2.8 Снижение номинального значения
Цель: повышение надежности компонентов аппаратных средств.
Описание: компоненты аппаратных средств нормально выполняют свои функции на уровнях напряжений, которые заложены при проектировании системы и являются более низкими, чем максимально специфицированные номинальные значения. Снижение номинального значения - это практика, обеспечивающая, что при всех нормальных условиях эксплуатации компоненты будут нормально функционировать при уровнях напряжений ниже их максимальных значений.
А.3 Модули обработки
Главная цель: распознавать отказы, которые приводят к неправильным результатам в модулях обработки.
А.3.1 Программное самотестирование: предельное количество комбинаций (одноканальное)
Примечание - Ссылка на данный метод/средство приведена в МЭК 61508-2 (см. приложение А, таблицу А.4).
Цель: оперативное обнаружение отказов в модулях обработки.
Описание: аппаратные средства создаются с использованием стандартных методов, не учитывающих специальных требований к безопасности. Обнаружение отказов реализуется целиком дополнительными программными функциями, которые выполняют самотестирование с использованием, по меньшей мере, двух дополнительных комбинаций данных (например, 55hex и ААhex).
Литература:
Microcomputers in safety technique - an aid to orientation for developer and manufacturer. H. Hölscher, J. Rader, Verlag TÜV Rheinland, Köln, 1986, ISBN 3-88585-315-9.
A.3.2 Программное самотестирование: блуждающий бит (одноканальное)
Примечание - Ссылка на данный метод/средство приведена в МЭК 61508-2 (см. приложение А, таблицу А.4).
Цель: оперативное обнаружение отказов в физической памяти (например, в регистрах) и дешифраторе команд процессора.
Описание: обнаружение отказов полностью реализуется дополнительными программными функциями, которые выполняют самотестирование с использованием комбинации данных (например, комбинации блуждающих битов), которая тестирует физическую память (регистры данных и адресные регистры) и дешифратор команд. Однако диагностический охват составляет только 90 %.
Литература:
Microcomputers in safety technique - an aid to orientation for developer and manufacturer. H. Hölscher, J. Rader, Verlag TÜV Rheinland, Köln, 1986, ISBN 3-88585-315-9.
A.3.3 Самотестирование, обеспечиваемое оборудованием (одноканальное)
Примечание - Ссылка на данный метод/средство приведена в МЭК 61508-2 (см. приложение А, таблицу А.4).
Цель: оперативное обнаружение отказов в процессоре с использованием специальных аппаратных средств, которые увеличивают скорость и расширяют область обнаружения отказов.
Описание: дополнительные специальные аппаратные средства обеспечивают функции самотестирования для обнаружения отказов. Например, таким средством может быть аппаратный модуль, который циклически контролирует выход на наличие конкретной битовой комбинации, используя механизм сторожевой схемы.
Литература:
Microcomputers in safety technique - an aid to orientation for developer and manufacturer. H. Hölscher, J. Rader, Verlag TÜV Rheinland, Köln, 1986, ISBN 3-88585-315-9.
A.3.4 Закодированная обработка (одноканальная)
Примечание - Ссылка на данный метод/средство приведена в МЭК 61508-2 (см. приложение А, таблицу А.4).
Цель: оперативное обнаружение отказов в процессоре.
Описание: процессоры могут быть спроектированы с встроенными специальными функциями распознавания или исправления отказов. До сих пор эти функции применялись только в относительно простых схемах и не получили широкого распространения. Однако такие функции не должны исключаться в будущих разработках.
Литература:
The Coded Microprocessor Certification. P. Ozello, Proc. SAFECOMP '92, 185-190, 1992.
Vital Coded Microprocessor Principles и Application for Various Transit Systems. P. Forin, IFAC Control Computers Communications in Transportation, 79-84, 1989.
