Таблица А.17 - Уровни важности и требуемые эффективности методов и средств управления систематическими отказами, вызванными внешними нагрузками или влияниями
|
Методы/меры, средства |
См. |
SIL1 |
SIL2 |
SIL3 |
SIL4 |
|
1. Меры против пропадания напряжения, изменений напряжения, перенапряжения, низкого напряжения |
А.8 |
KP (HR) |
KP (HR) |
KP (HR) |
KP (HR) |
|
2. Разделение линий электрического питания и линий передачи информации (см. примечание 5) |
А.11.1 |
KP (HR) |
KP(HR) |
KP (HR) |
KP (HR) |
|
3. Увеличение устойчивости к электромагнитным воздействиям |
А.11.3 |
KP (HR) |
KP (HR) |
KP (HR) |
KP (HR) |
|
4. Средства против физического воздействия окружающей среды (например, температуры, влажности, воды, вибраций, пыли, разъедающих веществ) |
А.14 |
KP (HR) |
KP (HR) |
KP (HR) |
KP (HR) |
|
5. Мониторинг последовательности выполнения программ |
А.9 |
KP (HR) |
KP (HR) |
KP (HR) |
KP (HR) |
|
6. Меры против повышения температуры |
А.10 |
KP (HR) |
KP (HR) |
KP (HR) |
KP (HR) |
|
7. Пространственное разделение групповых линий |
А.11.2 |
KP (HR) |
KP (HR) |
KP (HR) |
KP (HR) |
|
8. Обнаружение отказов путем мониторинга в режиме «онлайн» (см. примечание 6) |
А.1.1 |
P(R) |
P(R) |
P(R) |
P(R) |
|
9. Тестирование избыточными аппаратными средствами |
А.2.1 |
P(R) |
P(R) |
P(R) |
P(R) |
|
10. Кодовая защита |
А.6.2 |
P(R) |
P(R) |
P(R) |
P(R) |
|
11. Передача неэквивалентных сигналов |
А.11.4 |
P(R) низкий |
P(R) низкий |
P(R) средний |
P(R) высокий |
|
12. Разнообразие аппаратных средств (см. примечание 7) |
В.1.4 |
- |
- |
- |
P(R) |
|
13. Архитектура программного обеспечения |
МЭК 61508-3, пункт 7.4.3 |
См. МЭК 61508-3, таблица А.2 |
|||
|
Примечания 1. Требуется выполнение, по крайней мере, одного из методов 8 - 13. 2. Значения обозначений под каждым уровнем полноты безопасности (SIL) см. в тексте, непосредственно предшествующем таблице А.16. 3. Большинство средств, перечисленных в настоящей таблице, может быть использовано для различных уровней эффективности в соответствии с таблицей А.19, в которой приведены примеры низкого и высокого уровней эффективности. Усилия, требуемые для среднего уровня эффективности, находятся между усилиями, которые определены для низкого и высокого уровней эффективности. 4. Краткий обзор методов и средств, представленных в настоящей таблице, приведен в МЭК 61508-7, приложения А и В. Ссылки на соответствующие подпункты указаны во второй колонке. 5. Отделение линий электропитания от линий передачи информации не является необходимым, в случае если информация передается по оптоволокну, а также для низковольтных линий, спроектированных для питания компонентов E/E/PES и для передачи информации к компонентам E/E/PES или от них. 6. Для Е/Е/РЕ систем, связанных с безопасностью, действующих в режиме с низкой частотой запросов (например, для систем аварийного отключения), диагностический охват, осуществляемый путем обнаружения отказа с помощью мониторинга в режиме «онлайн», обычно является низким или отсутствует. 7. Разнообразие аппаратных средств не требуется, если путем подтверждения соответствия или большим опытом эксплуатации может быть продемонстрировано, что аппаратные средства в достаточной степени свободны от ошибок на стадии проектирования и в достаточной степени защищены от отказов по общей причине для достижения целевых мер отказов. |
|||||
Таблица А.18 - Уровни важности и требуемые эффективности методов и средств управления систематическими отказами при эксплуатации
|
Методы/средства |
См. |
SIL1 |
SIL2 |
SIL3 |
SIL4 |
|
1. Защита от модификаций |
В.4.8 |
KP (HR) обязательно |
KP (HR) обязательно |
KP (HR) обязательно |
KP (HR) обязательно |
|
2. Обнаружение отказов путем мониторинга в режиме «онлайн» (см. примечание 5) |
А.1.1 |
P(R) низкий |
P(R) низкий |
P(R) средний |
P(R) высокий |
|
3. Подтверждение ввода |
В.4.9 |
P(R) низкий |
P(R) низкий |
P(R) средний |
P(R) высокий |
|
4. Программирование с проверкой ошибок |
С.3.3 |
См. МЭК 61508-3, таблица А.2 |
|||
|
Примечания 1. Требуется выполнение, по крайней мере, одного из методов 2 - 4. 2. Значения обозначений под каждым уровнем полноты безопасности (SIL) см. в тексте, непосредственно предшествующем таблице А.16. 3. Большинство средств, перечисленных в настоящей таблице, может быть использовано для различных уровней эффективности в соответствии с таблицей А.19, в которой приведены примеры низкого и высокого уровней эффективности. Усилия, требуемые для среднего уровня эффективности, находятся между усилиями, которые определены для низкого и высокого уровней эффективности. 4. Краткий обзор методов и средств, представленных в настоящей таблице, приведен в МЭК 61508-7, приложения А, В и С. Ссылки на соответствующие подпункты указаны во второй колонке. 5. Для Е/Е/РЕ систем, связанных с безопасностью, действующих в режиме с низкой частотой запросов (например, для систем аварийного отключения), диагностический охват, осуществляемой путем обнаружения отказа с помощью мониторинга в режиме «онлайн», обычно является низким или отсутствует. |
|||||
Таблица А.19 - Эффективность методов, мер и средств управления систематическими отказами
|
Методы/средства |
См. |
Низкая эффективность |
Высокая эффективность |
|
Обнаружение отказов путем мониторинга в режиме «онлайн» (см, примечание) |
А.1.1 |
Запускающие сигналы от управляемого оборудования и его системы управления используются для подтверждения надлежащего действия Е/Е/РЕ систем, связанных с безопасностью (только характер изменения во времени и когда система не используется) |
Е/Е/РЕ системы, связанные с безопасностью, перезапускаются временными и логическими сигналами от управляемого оборудования и его системы управления (временное окно для временной функции дежурного таймера) |
|
Тестирование избыточными аппаратными средствами (см. примечание) |
А.2.1 |
Дополнительные аппаратные средства проверяют сигналы, запускающие Е/Е/РЕ системы, связанные с безопасностью (только характер изменения во времени и когда система не используется). Эти средства включают вспомогательный оконечный элемент |
Дополнительные аппаратные средства повторно перезапускаются временными и логическими сигналами Е/Е/РЕ систем, связанных с безопасностью (временное окно для временного дежурного таймера); голосование между несколькими каналами |
|
Стандартный тестовый порт доступа и архитектура граничного сканирования |
А.2.3 |
Твердотельная логика проверяется с помощью граничных тестовых испытаний в период контрольных испытаний |
Диагностический контроль твердотельной логики на соответствие спецификации функций безопасности Е/Е/РЕ систем, связанных с безопасностью. Проверяются все функции для всех интегральных микросхем |
|
Кодовая защита |
А.6.2 |
Обнаружение ошибок с помощью временной избыточности передачи сигналов |
Обнаружение ошибок с помощью временной и информационной избыточности передачи сигналов |
|
Мониторинг последовательности выполнения программ |
А.9 |
Временной или логический мониторинг последовательности выполнения программ |
Временной и логический мониторинг последовательности выполнения программ с большим количеством контрольных точек в программе |
|
Средства против повышения температуры |
А.10 |
Температурный датчик, определяющий превышение температуры |
Применение безопасного выключателя с использованием плавкого предохранителя |
|
Повышение устойчивости к электромагнитным воздействиям (см. примечание) |
А.11.3 |
Помехозащитный фильтр в источнике питания и на критических входах и выходах; экранирование, при необходимости |
Фильтр против электромагнитных воздействий, которые обычно не ожидаются; экранирование |
|
Средства против физического воздействия окружающей среды |
А.14 |
Общепринятая практика, соответствующая прикладному применению |
Методы, упомянутые в стандартах для специфического применения |
|
Разнообразие аппаратных средств |
В.1.4 |
Два или более устройств, спроектированные по-разному, выполняют одну и ту же функцию |
Два или более устройств, выполняют различные функции |
|
Подтверждение ввода |
В.4.9 |
Отображение входных действий оператору |
Проверка по строгим правилам входных данных, вводимых оператором, с отклонением неправильных входных данных |
|
Примечание - В случаях, когда методы и средства А.1.1, А.2.1, А.11.3 и А.14 используются в качестве высокоэффективных методов и средств, предполагается, что методы и средства с низким уровнем эффективности будут также использованы. |
|||
Для каждого уровня безопасности рекомендуемые методы, меры и средства для предотвращения отказов в Е/Е/РЕ системах, связанных с безопасностью, приведены в таблицах В.1 - В.5. Более подробную информацию см. в МЭК 61508-7. Требования к методам по управлению отказами в период эксплуатации приведены в приложении А, а сами методы описаны в МЭК 61508-7, приложение А.
Перечислить каждую причину систематических отказов, источники которых возникают на протяжении всех стадий жизненного цикла, и каждое средство защиты не представляется возможным по следующим причинам:
- влияние систематических ошибок зависит от стадии жизненного цикла, на которой они вносятся, и
- эффективность любого одиночной меры или средства по предотвращению отказов зависит от их применения.
Поэтому количественный анализ для предотвращения систематических отказов невозможен. Категории отказов в Е/Е/РЕ системах, связанных с безопасностью, могут быть установлены в соответствии со стадиями жизненного цикла, которые явились источником внесения соответствующих ошибок:
- отказы, вызванные ошибками, возникающими до установки или в период установки системы (например, ошибки программного обеспечения включают в себя ошибки спецификации и ошибки программ, ошибки в аппаратных средствах включают в себя производственные ошибки и неправильный выбор компонентов), и
- отказы, вызванные ошибками, возникающими после установки системы (например, случайные отказы аппаратных средств, вызванные неправильным использованием оборудования).
Для предотвращения таких отказов или управления ими (если они происходят) обычно требуется применение большого числа средств. Структура требований, приведенных в приложениях А и В, является следствием разделения средств и мер на средства и меры, используемые для предотвращения отказов на различных стадиях жизненного цикла E/E/PES (см. настоящее приложение), и средства и меры, используемые для управления отказами в период эксплуатации (см. приложение А). Средства по управлению отказами - это собственные встроенные составляющие Е/Е/РЕ систем, связанных с безопасностью, а средства и меры для предотвращения отказов - используемые в течение жизненного цикла безопасности.
