3 Системы, связанные с безопасностью, могут быть составной частью системы управления EUC либо могут быть связаны с EUC с помощью датчиков и/или устройств привода. Это означает, что необходимый уровень полноты безопасности может быть достигнут реализацией функций безопасности в системе управления EUC (и, возможно, также дополнительными отдельными и независимыми системами), либо функции безопасности могут быть реализованы отдельными, независимыми системами, предназначенными для обеспечения безопасности.
4 Система, связанная с безопасностью, может:
a) быть предназначена для предотвращения опасного события (т.е. если система, связанная с безопасностью, выполняет свои функции безопасности, то опасного события не происходит);
b) быть предназначена для смягчения последствий опасного события, уменьшая риск уменьшением последствий;
c) быть предназначена для достижения целей перечислений а) и b).
5 Человек может быть частью системы, связанной с безопасностью (см. 3.3.1). Например, человек может получать информацию от программируемого электронного устройства и выполнять действие, связанное с безопасностью, основываясь на этой информации, либо выполнять действие с помощью программируемого электронного устройства.
6 Термин включает все аппаратные средства, программное обеспечение и дополнительные средства (например, источники питания), которые необходимы для выполнения указанных функций безопасности (датчики, другие устройства ввода, оконечные элементы (устройства привода) и другие устройства вывода включаются, следовательно, в системы, связанные с безопасностью).
7 Система, связанная с безопасностью, может основываться на широком диапазоне технологий, включая электрическую, электронную, программируемую электронную, гидравлическую и пневматическую.
3.4.2 система обеспечения безопасности, основанная на других технологиях (other technology safety-related system): Система, связанная с безопасностью, которая основана на технологиях иных, чем электрическая/электронная/программируемая электронная.
ПРИМЕР - Примером системы обеспечения безопасности, основанной на других технологиях, является перепускной клапан.
3.4.3 внешнее средство уменьшения риска (external risk reduction facility): Мера, предназначенная для уменьшения или ослабления рисков, которая является отдельной и отличной и не использует Е/Е/РЕ системы, связанные с безопасностью, или системы обеспечения безопасности, основанные на других технологиях.
ПРИМЕР - Дренажная система, брандмауэр и плотина относятся к внешним средствам уменьшения риска.
3.4.4 Е/Е/РЕ системы, связанные с безопасностью, имеющие низкую сложность (low complexity Е/Е/РЕ safety-related system): Е/Е/РЕ системы, связанные с безопасностью (см. 3.2.6 и 3.4.1), в которых:
- режимы отказа каждого из компонентов четко определены;
- поведение системы в условиях отказа может быть полностью определено.
Примечание - Поведение системы в условиях отказа может быть определено аналитическими методами и/или с помощью тестирования.
ПРИМЕР - Система, включающая в себя один или несколько концевых выключателей, работающая, возможно, с использованием нескольких промежуточных электромеханических реле, один или несколько контакторов и предназначенная для отключения напряжения от электрического двигателя, представляет собой Е/Е/РЕ систему, связанную с безопасностью, низкой сложности.
3.4.5 логическая система (logic system): Часть системы, выполняющая логические функции, исключая датчики и оконечные элементы.
Примечание - В настоящем стандарте используют следующие логические системы:
- электрическую логическую систему для электромеханической технологии;
- электронную логическую систему для электронной технологии;
- программируемую электронную логическую систему для программируемых электронных систем.
3.5 Функции безопасности и полнота безопасности
3.5.1 функция безопасности (safety function): Функция, реализуемая Е/Е/РЕ системой, связанной с безопасностью, системой обеспечения безопасности, основанной на других технологиях, или внешними средствами снижения риска, которая предназначена для достижения или поддержания безопасного состояния EUC по отношению к конкретному опасному событию (см. 3.4.1).
3.5.2 полнота безопасности (safety integrity): Вероятность того, что система, связанная с безопасностью, будет удовлетворительно выполнять требуемые функции безопасности при всех оговоренных условиях в течение заданного периода времени.
Примечания
1 Чем выше уровень полноты безопасности системы, связанной с безопасностью, тем ниже вероятность того, что система, связанная с безопасностью, не сможет выполнить требуемые функции безопасности.
2 Имеется четыре уровня полноты безопасности для систем (см. 3.5.6).
3 При определении полноты безопасности должны учитываться все причины отказов (и случайных отказов аппаратуры, и систематических отказов), которые ведут к небезопасному состоянию, например отказы аппаратуры, отказы, вызванные программным обеспечением, и отказы, имеющие причину в электрическом интерфейсе. Некоторые из этих типов отказов, например случайные отказы аппаратуры, могут быть охарактеризованы количественно с использованием таких параметров, как интенсивность отказов в опасном режиме или вероятность того, что система, связанная с безопасностью, не сможет выполнить запрос. Однако полнота безопасности системы также зависит от многих факторов, которым нельзя дать точную количественную оценку и которые могут быть оценены только качественно.
4 Полнота безопасности включает полноту безопасности аппаратуры (см. 3.5.5) и полноту безопасности по отношению к систематическим отказам (см. 3.5.4).
5 Данное определение фокусируется на надежности систем, связанных с безопасностью, при выполнении функций безопасности (определение надежности см. в МЭС 191-12-01).
3.5.3 полнота безопасности программного обеспечения (software safety integrity): Количественная характеристика, которая означает вероятность того, что программное обеспечение программируемой электронной системы будет выполнять специфицированные функции обеспечения безопасности при всех установленных условиях в течение установленного периода времени.
3.5.4 полнота безопасности по отношению к систематическим отказам (systematic safety integrity): Составляющая полноты безопасности системы, связанной с безопасностью, по отношению к систематическим отказам (см. 3.5.2 (примечание 3)), проявляющаяся в опасном режиме.
Примечания
1 Обычно полнота безопасности по отношению к систематическим отказам не может быть охарактеризована количественно (в отличие от полноты безопасности аппаратных средств, которой, как правило, может быть дана количественная оценка).
2 См. 3.5.2, 3.5.5 и 3.6.6.
3.5.5 полнота безопасности аппаратных средств (hardware safety integrity): Составляющая полноты безопасности системы, связанной с безопасностью по отношению к случайным отказам аппаратуры, проявляющимся в опасном режиме.
Примечания
1 Данный термин относится к отказам, проявляющимся в опасном режиме, к тем отказам, которые могут ухудшить полноту безопасности. Данная ситуация характеризуется двумя параметрами: суммарной интенсивностью опасных отказов и вероятностью отказа в выполнении запроса. Первый из этих параметров надежности используется при необходимости осуществлять непрерывный контроль над поддержанием безопасности, второй параметр применяется в контексте связанных с безопасностью систем защиты.
2 См. 3.5.2, 3.5.4 и 3.6.5.
3.5.6 уровень полноты безопасности (safety integrity level (SIL)): Дискретный уровень (принимающий одно из четырех возможных значений), определяющий требования к полноте безопасности для функций безопасности, который ставится в соответствие Е/Е/РЕ системам, связанным с безопасностью; уровень полноты безопасности, равный 4, характеризует наибольшую полноту безопасности, уровень, равный 1, отвечает наименьшей полноте безопасности.
Примечание - Меры целевых отказов (см. 3.5.13) для четырех уровней полноты безопасности указаны в МЭК 61508-1 (таблицы 2 и 3).
3.5.7 уровень полноты безопасности программного обеспечения (software safety integrity level): Дискретный уровень (принимающий одно значение из четырех возможных), определяющий полноту безопасности программного обеспечения в системе, связанной с безопасностью.
Примечание - См. 3.5.3 и 3.5.6.
3.5.8 спецификация требований к безопасности (safety requirements specification): Спецификация, содержащая все требования к функциям безопасности, которые должны быть выполнены системами, связанными с безопасностью.
Примечание - Данная спецификация разделяется на:
- спецификацию требований к функциям безопасности (см. 3.5.9);
- спецификацию требований к полноте безопасности (см. 3.5.10).
3.5.9 спецификация требований к функциям безопасности (safety functions requirements specification): Спецификация, содержащая требования к функциям безопасности, которые должны выполняться системами, связанными с безопасностью.
Примечания
1 Данная спецификация является частью (относящейся к функциям безопасности) спецификации требований к безопасности (см. 3.5.8), содержащей подробное и точное описание функций безопасности, которые должны выполняться системами, связанными с безопасностью.
2 Спецификации могут быть документированы с использованием текста, блок-диаграмм, матриц, логических диаграмм и т.д. при условии, что функции безопасности четко определены.
3.5.10 спецификация требований к полноте безопасности (safety integrity requirements specification): Спецификация, содержащая требования к полноте безопасности для функций безопасности, которые должны выполняться системами, связанными с безопасностью.
Примечание - Данная спецификация представляет собой часть (относящуюся к полноте безопасности) спецификации требований к безопасности (см. 3.5.8).
3.5.11 программное обеспечение, связанное с безопасностью (safety-related software): программное обеспечение, которое используется для реализации функций безопасности в системах, связанных с безопасностью.
3.5.12 режим работы (mode of operation): Способ предполагаемого использования системы, связанной с безопасностью, по отношению к частоте обращений к ней; может быть:
либо режимом с низкой частотой запросов, когда частота запросов на выполнение операции системы, связанной с безопасностью, не превышает одного в год или не превышает более чем в два раза частоту запроса, зарегистрированную во время контрольных испытаний,
либо режимом с высокой частотой запросов или режимом непрерывной работы, когда частота запросов на выполнение операции системы, связанной с безопасностью, превышает один в год или превышает более чем в два раза частоту запроса, зарегистрированную во время контрольных испытаний.
Примечания
1 Режим высокой частоты запросов или непрерывной работы охватывает те системы, относящиеся к безопасности, которые реализуют непрерывный контроль над поддержанием функциональной безопасности.
2 Целевые меры отказов для систем, связанных с безопасностью, работающих в режиме низкой частоты запросов, а также в режиме высокой частоты запросов и в режиме непрерывной работы, определены в 3.5.13.
3.5.13 целевая мера отказов (target failure measure): Заданная вероятность отказов в опасном режиме, которая должна быть достигнута в соответствии с требованиями к полноте безопасности, выраженная:
- в виде средней вероятности отказа при выполнении запроектированной функции по запросу (для режима работы с низкой частотой запросов);
- либо в виде вероятности возникновения опасных отказов в течение часа (для режима с высокой частотой запросов или непрерывной работы).
Примечание - Числовые значения для целевых мер отказов даны в МЭК 61508-1 (таблицы 2 и 3).
3.5.14 необходимое уменьшение риска (necessary risk reduction): Уменьшение риска, которое должно быть достигнуто Е/Е/РЕ системой, связанной с безопасностью, системой обеспечения безопасности, основанной на других технологиях, и внешними средствами снижения риска для гарантии того, что не будет превышен допустимый уровень риска.
3.6 Сбой, отказ и ошибка
3.6.1 сбой (fault): Ненормальный режим, который может вызвать уменьшение или потерю способности функционального блока выполнять требуемую функцию.
Примечание - МЭС 191-05-01 определяет «сбой» как состояние, характеризуемое неспособностью выполнить необходимую функцию, исключая неспособности, возникающие во время профилактического ухода или других плановых мероприятий, либо в результате недостатка внешних ресурсов. Иллюстрация к этим двум точкам зрения показана на рисунке 4 [ИСО/МЭК 2382-14-01-10].
3.6.2 предотвращение сбоя (fault avoidance): Использование методов и процедур, предназначенных для предотвращения возникновения сбоев во время любой фазы жизненного цикла систем, связанных с безопасностью.
3.6.3 устойчивость к отказам (fault tolerance): способность функционального блока продолжать выполнять необходимую функцию при наличии сбоев или ошибок.
Примечание - Определение, приведенное в МЭС 191-15-05, относится только к отказам подкомпонентов. См. примечание к 3.6.1 [ИСО/МЭК 2382-14-04-06].
3.6.4 отказ (failure): Прекращение способности функционального блока выполнять необходимую функцию.
Примечания
1 Определение в МЭС 191-04-01 является идентичным, с дополнительными комментариями [ИСО/МЭК 2382-14-01-11].
2 Соотношение между сбоями и отказами в МЭК 61508 и МЭС 60050(191) см. на рисунке 4.
3 Характеристики требуемых функций неизбежно исключают определенные режимы работы, некоторые функции могут быть определены путем описания режимов, которых следует избегать. Возникновение таких режимов представляет собой отказ.
4 Отказы являются либо случайными (в аппаратуре), либо систематическими (в аппаратуре или в программном обеспечении), см. 3.6.5 и 3.6.6.
Примечания
1 Как показано на рисунке 4а), функциональный блок может быть представлен в виде многоуровневой иерархической конструкции, каждый из уровней которой может быть, в свою очередь, назван функциональным блоком. На уровне i «причина» может проявить себя как ошибка (отклонение от правильного значения или состояния) в пределах функционального блока, соответствующего данному уровню i. Если она не будет исправлена или нейтрализована, эта ошибка может привести к отказу данного функционального блока, который в результате перейдет в состояние F, в котором он более не может выполнять необходимую функцию (см. рисунок 4b)). Данное состояние F уровня i может в свою очередь проявиться в виде ошибки на уровне функционального блока i - 1, которая, если она не будет исправлена или нейтрализована, может привести к отказу функционального блока уровня i - 1.
