7.5.2.3 В тех случаях, когда существуют международные стандарты для прикладных областей, которые включают методы для прямого определения требуемого уменьшения риска, эти стандарты могут быть использованы для выполнения требований настоящего подраздела.
7.5.2.4 Когда отказы системы управления EUC относятся к одной или нескольким системам, связанным с безопасностью, основанным на Е/Е/РЕ или других технологиях, и/или к внешним средствам уменьшения риска и когда система управления EUC не позиционируется как система, связанная с безопасностью, то должны применяться следующие требования:
a) интенсивность опасных отказов для системы управления EUC должна быть подтверждена:
- данными по фактической работе системы управления EUC в схожем применении, или
- анализом надежности, выполненным с использованием признанной процедуры, или
- данными по надежности из промышленной базы данных по оборудованию;
b) интенсивность опасных отказов, объявленная для системы управления EUC, должна быть не ниже чем 10-5 отказов в час.
Примечание - Обоснование этого требования состоит в том, что если система управления EUC не позиционируется как система, связанная с безопасностью, то интенсивность отказов, которая может быть объявлена для системы управления EUC, не должна быть ниже, чем верхнее целевое (планируемое) значение отказов для уровня полноты безопасности 1 (которая составляет 10-5 опасных отказов в час; см. таблицу 3);
c) должны быть определены и учтены при разработке спецификации общих требований к безопасности все разумно предсказуемые режимы опасных отказов системы управления EUC;
d) система управления EUC должна быть отдельной и независимой от Е/Е/РЕ систем, связанных с безопасностью, систем, связанных с безопасностью, основанных на других технологиях, и внешних средств уменьшения риска.
Примечание - Если системы, связанные с безопасностью, проектировались для обеспечения адекватной полноты безопасности с учетом обычной интенсивности запросов от системы управления EUC, то не требуется позиционировать систему управления EUC как систему, связанную с безопасностью, (и, следовательно, ее функции не будут позиционироваться как функции безопасности в контексте настоящего стандарта).
В некоторых применениях, в частности, где требуется очень высокая степень полноты безопасности, может оказаться приемлемым уменьшение интенсивности запросов путем проектирования для системы управления EUC меньшей, чем обычно, интенсивности отказов. В таких случаях, если интенсивность отказов меньше, чем верхняя граница целевой полноты безопасности для уровня полноты безопасности, равного 1 (см. таблицу 3), система управления становится системой, связанной с безопасностью, и к ней применяются требования настоящего стандарта.
7.5.2.5 Если требования 7.5.2.4 [перечисления а)-d)] не могут быть соблюдены, то система управления EUC должна рассматриваться как система, связанная с безопасностью. Уровень полноты безопасности, отнесенный к системе управления EUC, должен основываться на интенсивности отказов, объявленной для системы управления EUC в соответствии с целевыми значениями отказов, приведенными в таблицах 2 и 3. В таких случаях требования настоящего стандарта, относящиеся к назначаемому уровню полноты безопасности, должны применятся к системе управления EUC.
Примечания
1 Например, если для системы управления EUC объявлена интенсивность отказов 10-6-10-5 отказов в час, то должны быть выполнены требования, соответствующие уровню полноты безопасности, равному 1.
2 См. также 7.6.2.10.
7.5.2.6 Для каждой функции безопасности должны быть указаны требования к полноте безопасности, выраженные в требуемом уменьшении риска. Они должны составлять спецификацию полных требований к полноте безопасности.
Примечание - Спецификация требований к полноте безопасности представляет собой промежуточную стадию на пути к определению уровней полноты безопасности для функций безопасности, которые должны быть реализованы Е/Е/РЕ системами, связанными с безопасностью. Некоторые из качественных методов, используемых для определения уровней полноты безопасности [МЭК 61508-5 (приложения D и Е)] содержат переход непосредственно от параметров риска к уровням полноты безопасности. В таких случаях требуемое уменьшение риска является неявным, то есть не формулируется явным образом, поскольку оно интегрировано в сам метод.
7.5.2.7 Спецификации функций безопасности (см. 7.5.2.1) и требований к полноте безопасности (см. 7.5.2.6) должны совместно формировать спецификацию полных требований безопасности.
7.6 Распределение требований безопасности
Примечание - Эта стадия представлена на рисунке 2 прямоугольником 5.
7.6.1 Цели
7.6.1.1 Первой целью требований настоящего подраздела является распределение функций безопасности, содержащихся в спецификации полных требований безопасности (включающей требования к функциям безопасности и требования к полноте безопасности), по назначенным Е/Е/РЕ системам, связанным с безопасностью, системам, связанным с безопасностью, основанным на других технологиях, и внешним средствам уменьшения риска.
Примечание - Системы безопасности, основанные на других технологиях, и внешние средства уменьшения риска рассматриваются, при необходимости, когда распределение по Е/Е/РЕ системам, связанным с безопасностью, не может быть выполнено без учета других мер по снижению риска.
7.6.1.2 Второй целью требований настоящего подраздела является распределение уровня полноты безопасности для каждой функции безопасности.
Примечание - Уровни полноты безопасности, как указано в 7.5, выражаются через снижение риска.
7.6.2 Требования
7.6.2.1 Должны быть определены назначенные системы, связанные с безопасностью, которые будут использоваться для достижения требуемой функциональной безопасности. Требуемое уменьшение риска может быть достигнуто за счет:
- внешних средств уменьшения риска;
- Е/Е/РЕ систем, связанных с безопасностью;
- систем, связанных с безопасностью, основанных на других технологиях.
Примечание - Настоящий подраздел применим только при условии, что одна из систем, связанных с безопасностью, представляет собой E/E/PES.
7.6.2.2 При распределении функций безопасности по назначенным Е/Е/РЕ системам, связанным с безопасностью, системам, связанным с безопасностью, основанным на других технологиях, и внешним средствам уменьшения риска, должны быть учтены возможности и ресурсы всех стадий полного жизненного цикла безопасности.
Примечания
1 Все последствия использования систем, связанных с безопасностью, основанных на сложных технологиях, часто недооцениваются. В частности, реализация сложной технологии требует более высокого уровня компетентности на всех уровнях от разработки спецификаций до эксплуатации и сопровождения. Использование других, более простых технологических решений, может быть равным по эффективности и в тоже время обладать рядом преимуществ из-за уменьшившейся сложности E/E/PES.
2 Доступность возможностей и ресурсов при эксплуатации и сопровождении, а также условия работы могут иметь критическое значение для достижения требуемой функциональной безопасности в условиях реальной эксплуатации.
7.6.2.3 Каждая функция безопасности вместе с относящимся к ней требованием к полноте безопасности, разработанным в соответствии с 7.5, должна быть распределена по назначенным Е/Е/РЕ системам, связанным с безопасностью, с учетом снижения риска, достигаемого за счет систем, связанных с безопасностью, основанных на других технологиях, и внешних средств уменьшения риска для достижения требуемого снижения уровня риска для этой функции безопасности. Это распределение имеет итерационный характер. Если будет установлено, что требуемое уменьшение риска не может быть достигнуто, то архитектура должна быть изменена и распределение должно быть выполнено повторно.
Примечания
1 Каждая функция безопасности вместе с относящимся к ней требованием к полноте безопасности, выраженным через требуемое снижение риска (см. 7.5), распределяется по одной или нескольким Е/Е/РЕ системам, связанным с безопасностью, системам, связанным с безопасностью, основанным на других технологиях и внешним средствам уменьшения риска. Решение о распределении конкретной функции безопасности по одной или нескольким системам, связанным с безопасностью, зависит от ряда факторов, но в особенности от степени уменьшения риска, которое должно быть достигнуто с помощью функции безопасности. Чем большее снижение риска необходимо, тем больше вероятность того, что функция будет распределена между несколькими системами, связанными с безопасностью.
2 На рисунке 6 показан принятый в настоящем подразделе подход к распределению требований к безопасности.
7.6.2.4 Распределение, указанное в 7.6.2.3, должно быть выполнено таким образом, чтобы все функции безопасности были распределены и чтобы требования в отношении полноты безопасности для каждой функции безопасности были выполнены (в том числе важнейшие требования, определенные в 7.6.2.10).
7.6.2.5 Требования к полноте безопасности для каждой функции безопасности должны быть пригодны для указания того, что каждый планируемый параметр полноты безопасности является либо
- средней вероятностью отказов от выполнения ее предназначенной функции по запросу (для режима работы с низкой частотой обращений (запросов)) или
- вероятностью опасного отказа в час (для режима работы с высокой частотой запросов или режима с непрерывными запросами).
7.6.2.6 Распределение требований к полноте безопасности должно проводиться с использованием соответствующих методов для определения вероятности совместных событий.
Примечание - Распределение требований к полноте безопасности может быть выполнено с помощью качественных и/или количественных методов.
7.6.2.7 Распределение следует проводить с учетом вероятности отказов, имеющих общую причину. Если Е/Е/РЕ системы, связанные с безопасностью, системы, связанные с безопасностью, основанные на других технологиях, и внешние средства уменьшения риска должны рассматриваться при распределении как независимые, они:
- должны быть функционально различными (т.е. использовать совершенно различные подходы для достижения одних и тех же результатов);
- должны основываться на различных технологиях (т.е. в них должно использоваться оборудование различных видов для достижения одних и тех же результатов).
Примечание - Следует понимать, что сколь бы разнообразна ни была технология, в случае систем с высокой полнотой безопасности и с особо тяжелыми последствиями в случае отказа, должны быть приняты особые меры предосторожности по отношению к маловероятным событиям с общей причиной, например авиационным катастрофам или землетрясениям.
- не должны иметь общих частей, систем сервиса или поддержки (например, источников питания), отказ которых может привести к отказу всех систем в опасном режиме;
- не должны иметь общих процедур эксплуатации, обслуживания или тестирования;
- должны быть физически разделенными так, чтобы предсказуемые отказы не влияли на избыточные системы, связанные с безопасностью, и внешние средства уменьшения риска.
Примечание - Настоящий стандарт касается именно распределения требований к полноте безопасности Е/Е/РЕ систем, связанных с безопасностью, и требования в нем определены так, как они должны быть заданы для этих систем. Распределение требований к полноте безопасности для систем, связанных с безопасностью, основанных на других технологиях, и для внешних средств уменьшения риска в данном стандарте подробно не рассматриваются.
Примечания
1 Требования к полноте безопасности связываются с каждой функцией безопасности до распределения (см. 7.5.2.6).
2 Функция безопасности может быть распределена по нескольким системам, связанным с безопасностью.
3 ССБ - система(ы), связанная(ые) с безопасностью.
Рисунок 6 - Распределение требований безопасности по Е/Е/РЕ системам, связанным с безопасностью, системам, связанным с безопасностью, основанным на других технологиях, и внешним средствам снижения риска
7.6.2.8 Если не все требования 7.6.2.7 могут быть выполнены, то Е/Е/РЕ системы, связанные с безопасностью, системы, связанные с безопасностью, основанные на других технологиях, и внешние средства уменьшения риска не должны считаться независимыми при распределении уровней полноты безопасности, если только проведенный анализ не покажет, что они являются в достаточной степени независимыми (с точки зрения полноты безопасности).
Примечания
1 Более подробную информацию по вопросу анализа зависимых отказов см. в [9] и [10].
2 Достаточная независимость устанавливается путем демонстрации того, что вероятность зависимого отказа является достаточно низкой по сравнению с требованиями к полноте безопасности для Е/Е/РЕ систем, связанных с безопасностью.
7.6.2.9 При завершении проработки распределения требований к полноте безопасности для каждой функции безопасности, распределенных по Е/Е/РЕ системе(ам), связанной(ым) с безопасностью, должны быть выражены в терминах полноты безопасности в соответствии с таблицами 2 и 3 и должны быть пригодны для того, чтобы показать одно из двух: является ли планируемый параметр полноты безопасности
- средней вероятностью отказов по запросу от выполнения ее назначенной функции (для режима работы с низкой частотой запросов) или
- вероятностью опасных отказов в час (для режима работы с высокой частотой запросов или с непрерывными запросами).
Примечания
1 До этой стадии требования к полноте безопасности были определены в терминах уменьшения риска (см. 7.5).
2 Таблицы 2 и 3 содержат планируемые величины отказов для уровней полноты безопасности. Допускается, что может оказаться невозможным предсказать количественно полноту безопасности для всех аспектов Е/Е/РЕ систем, связанных с безопасностью. В этом случае по отношению к мерам предосторожности, необходимым для достижения запланированных характеристик отказов, должны быть применены качественные методы, меры и заключения. Это особенно относится к случаю полноты безопасности по отношению к систематическим отказам [МЭК 61508-4 (пункт 3.5.4)].
