Приложение С
(обязательное)
Диагностический охват и доля безопасных отказов

С.1. Расчет диагностического охвата и доли безопасных отказов

Диагностический охват и доли безопасных отказов рассчитываются следующим образом:

a) проводят анализ видов отказов и их влияния для определения влияния каждого вида отказов каждого компонента или группы компонентов в подсистеме на поведение Е/Е/РЕ систем, связанных с безопасностью, в отсутствие диагностических проверок. В наличии должна быть информация (см. примечания), достаточная для того, чтобы убедиться в том, что влияние видов отказов и результаты анализа этого влияния с достаточной степенью достоверности соизмеримы с требованиями полноты безопасности.

Примечания

1. Для проведения такого анализа требуются:

- подробная блок-схема Е/Е/РЕ системы, связанной с безопасностью, описывающая подсистему вместе со взаимосвязями для той части Е/Е/РЕ системы, связанной с безопасностью, которая затрагивает рассматриваемую(ые) функцию(ии) безопасности;

- схемные решения подсистемы аппаратных средств, описывающие каждый компонент или группу компонентов и взаимосвязи между компонентами;

- виды отказов и частоты (интенсивности) отказов для каждого компонента или группы компонентов и связанные соотношения безопасных и опасных отказов к полной средней частоте (интенсивности) отказов в процентах.

2. Требуемая точность этого анализа зависит от ряда факторов (см. МЭК 61508-1, подраздел 4.1). В частности, должен быть принят во внимание уровень полноты безопасности рассматриваемых функций безопасности. Для более высоких уровней полноты безопасности ожидается, что виды отказов и анализ влияний будут специфичны в соответствии с конкретными типами компонентов и существующей окружающей средой. Также очень важен полный и подробный анализ для подсистемы, используемой в архитектуре аппаратных средств, имеющей нулевую устойчивость к отказам аппаратных средств;

b) все виды отказов делят на категории по признаку, является ли он (в отсутствие диагностических испытаний):

- безопасным отказом (т.е. не приводящим к снижению полноты безопасности Е/Е/РЕ системы, связанной с безопасностью, например, приводящим к безопасному отключению, или не влияющим на полноту безопасности Е/Е/РЕ системы, связанной с безопасностью), или

- опасным отказом (т.е. приводящим к отказу выполнения функции безопасности Е/Е/РЕ системой, связанной с безопасностью, или ее частью, либо к невыполнению полноты безопасности Е/Е/РЕ системы, связанной с безопасностью);

c) оценив частоты отказов каждого компонента или группы компонентов λ, (см. перечисление а) и примечания) и учтя виды отказов и результаты анализа последствий каждого вида отказа каждого компонента или группы компонентов в подсистеме, вычисляют частоту безопасных отказов λ_S и частоту опасных отказов λ_D.

Примечания

1. Частота отказов каждого из компонентов или группы компонентов - это частота отказов λ, которые происходят в течение относительно небольшого промежутка времени t, в случаях, если λt значительно меньше единицы.

2. Частота отказов каждого компонента или группы компонентов может быть оценена с использованием данных из признанного промышленного источника с учетом окружающей среды применения. Однако применение специфических данных предпочтительнее, особенно в случаях, если подсистема состоит из небольшого числа компонентов и если любая ошибка в оценке вероятности безопасных и опасных отказов специфического компонента может оказать существенное влияние на оценку безопасной составляющей отказа;

d) оценивают для каждого компонента или группы компонентов доли опасных отказов, которые могут быть обнаружены диагностическими тестами (см. приложение С, пункт С.2) и, следовательно, частоты опасных отказов, обнаруженных диагностическими тестами λ_DD;

e) вычисляют полные частоты опасного отказа ∑λ_D подсистемы, полные частоты опасных отказов, обнаруженных диагностическими тестами ∑λ_DD и полные частоты безопасных отказов ∑λ_S;

f) вычисляют диагностический охват подсистемы как ∑λ_DD /∑λ_D;

g) вычисляют долю безопасных отказов подсистемы как(∑λ_S + ∑λ_DD)/( (∑λ_S +∑λ_D).

Примечание - Диагностический охват каждой подсистемы в Е/Е/РЕ системе, связанной с безопасностью, должен учитываться в вычислении случайных отказов аппаратных средств (см. 7.4.3.2.2). Доля безопасных отказов должна быть принята во внимание при определении архитектурных ограничений на полноту безопасности аппаратных средств (см. 7.4.3.1).

Анализ, выполняемый для определения диагностического охвата и доли безопасных отказов, должен охватывать все компоненты, в том числе электрические, электронные, электромеханические, механические и т.п., необходимые подсистеме для выполнения функции(ий) безопасности, которые требуются Е/Е/РЕ системе, связанной с безопасностью. Для каждого из компонентов должны быть рассмотрены все возможные виды опасных отказов, приводящие к опасному состоянию, препятствуя реакции безопасности, если такая реакция определена или так или иначе ставит под угрозу полноту безопасности, Е/Е/РЕ систем, связанных с безопасностью.

Ошибки и отказы, которые, как минимум, должны быть обнаружены для достижения уместного диагностического охвата, или, как минимум, должны быть включены в определение безопасной составляющей отказа, приведены в таблице А.1.

Если для анализа видов отказов и их влияния используются эксплуатационные данные, то достаточно обеспечить требования полноты безопасности. При этом нижний предел статистической односторонней достоверности должен быть не менее 70 %.

Примечания

1. Пример вычисления диагностического охвата и безопасной составляющей отказа представлен в МЭК 61508-6, приложение С.

2. Для вычисления степени диагностического охвата можно использовать альтернативные методы, например моделирование ошибок с помощью подробных компьютерных моделей как схем Е/Е/РЕ систем, связанных с безопасностью, так и используемых при разработке электронных компонентов, например, на уровне транзисторов в интегральной схеме.

С.2. Определение факторов диагностического охвата

При вычислении диагностического охвата для подсистемы (см. приложение С.1) для каждого компонента или группы компонентов необходимо оценить долю опасных отказов, обнаруживаемых диагностическими тестами. Диагностические тесты, которые могут внести вклад в диагностический охват, включают в себя (но не ограничиваются) такие меры как:

- сравнительные проверки, например контроль и сравнение избыточных (резервных) сигналов;

- дополнительные встроенные тестовые программы, например вычисление контрольных сумм в устройстве памяти;

- контроль с помощью внешних воздействий, например пропусканием импульсного сигнала через контролируемые тракты;

- непрерывный контроль аналогового сигнала, например, для обнаружения выхода из диапазона уровней показаний при отказе сенсора.

Для вычисления диагностического охвата необходимо определить те виды отказов, которые обнаруживаются диагностическими тестами. Возможно, что отказы, связанные с разомкнутыми или короткозамкнутыми цепями для простых компонентов (резисторов, конденсаторов, транзисторов), могут быть обнаружены методом 100 %-ного диагностического охвата. Однако для более сложных компонентов типа В (см. 7.4.3.1.3) должны быть учтены ограничения диагностического охвата для различных компонентов, представленных в таблице А.1. Этот анализ должен быть проведен для каждого компонента или группы компонентов каждой подсистемы и каждой Е/Е/РЕ системы, связанной с безопасностью.

Примечания

1. Рекомендуемые методы и средства для диагностических тестов (испытаний) и рекомендуемые максимальные диагностические охваты, которые могут потребоваться, приведены в приложении А, таблицах А.2 - А.15. Эти тесты проводят непрерывно или периодически (в зависимости от интервала диагностического тестирования). Требования таблиц А.2 - А.15 не заменяют требований приложения С.

2. Диагностические тесты могут обеспечить значительные преимущества в достижении функциональной безопасности Е/Е/РЕ систем, связанных с безопасностью. Однако следует позаботиться о том, чтобы излишне не усложнять тестирование, что может привести к увеличению трудностей при проведении действий по проверке, подтверждению соответствия, оценке функциональной безопасности, технической поддержке и модификации. Усложнение тестирования может также затруднить длительное поддержание функциональной безопасности Е/Е/РЕ систем, связанных с безопасностью.

3. При расчетах диагностического охвата и путей его использования предполагается, что Е/Е/РЕ системы, связанные с безопасностью, успешно работают в присутствии другого опасного повреждения, обнаруженного диагностическими тестами. Если это предположение не верно, то Е/Е/РЕ систему, связанную с безопасностью, следует рассматривать как систему, действующую в режиме с высокой частотой запросов или с непрерывными запросами (см. 7.4.6.3 и 7.4.3.2.5).

4. Определение диагностического охвата приведено в МЭК 61508-4 (пункт 3.8.6). Важно отметить, что существуют альтернативные определения, но здесь они не применяются.

5. Диагностическое тестирование, используемое для обнаружения опасных отказов внутри подсистемы, может быть проведено другой подсистемой внутри Е/Е/РЕ системы, связанной с безопасностью.

6. Диагностические тесты могут проводиться непрерывно или периодически в зависимости от диагностического испытательного интервала. Зафиксированы случаи или интервалы времени, когда запуск диагностического испытания невозможен из-за того, что тестируемая система находится в неблагоприятном состоянии. В этом случае преимущества вычислений не могут помочь при диагностических испытаниях.

Приложение D
(справочное)
Сведения о соответствии ссылочных международных стандартов национальным стандартам Российской Федерации

Таблица D.1

Библиография

Ключевые слова: функциональная безопасность; жизненный цикл систем; электрические компоненты; электронные компоненты; программируемые электронные компоненты и системы; системы, связанные с безопасностью; управление функциональной безопасностью; требования к жизненному циклу безопасности; оценка функциональной безопасности