- для подсистемы 3 уровень полноты безопасности, соответствующий требованиям отказоустойчивости аппаратных средств и доле безопасных отказов, равен SIL1.
Для этой архитектуры каждая из подсистем 1 и 3 имеет уровень полноты безопасности, соответствующий требованиям отказоустойчивости аппаратных средств, равный SIL1, в то время как подсистема 2 имеет уровень полноты безопасности, соответствующий требованиям отказоустойчивости аппаратных средств, равный SIL2. Поэтому обе подсистемы 1 и 3 ограничивают уровень полноты безопасности, который может потребоваться для соблюдения отказоустойчивости аппаратных средств для рассматриваемой функции безопасности, до значения SIL1.
7.4.3.1.6. В Е/Е/РЕ системах, связанных с безопасностью, в которых функция безопасности реализуется в многоканальной архитектуре (см. рисунок 6), максимальный уровень полноты безопасности, который может быть достигнут для рассматриваемой функции безопасности, должен быть определен путем:
a) оценивания каждой подсистемы в соответствии с требованиями, представленными в таблицах 2 и 3 (см. 7.4.3.1.2 и 7.4.3.1.4);
b) группирования подсистем в комбинации и
c) анализа этих комбинаций для определения полного уровня полноты безопасности аппаратных средств.
Примечания
1. Подсистемы 1,2 и подсистемы 4,5 имеют одинаковые функциональные возможности в отношении функции безопасности и обеспечивают раздельные входы в подсистему 3.
2. Подсистемы, выполняющие функцию безопасности, считают полной Е/Е/РЕ системой, связанной с безопасностью, включая все элементы - от сенсоров до исполнительных устройств.
Рисунок 6 - Пример ограничения полноты безопасности для многоканальной функции безопасности
Пример - Группирование и анализ этих комбинаций могут быть выполнены разными способами. Для иллюстрации одного из возможных методов примем архитектуру, в которой конкретная функция безопасности реализована либо комбинацией подсистем 1, 2 и 3, либо комбинацией подсистем 4, 5 и 3, как показано на рисунке 6. В этом случае комбинация подсистем 1 и 2 и комбинация подсистем 4 и 5 имеют одинаковые функциональные возможности в отношении функции безопасности и имеют раздельные входы в систему 3. В этом примере комбинация параллельных подсистем основывается на каждой подсистеме, реализующей требуемую часть функции безопасности, независимо от другой (параллельной) подсистемы. Функцию безопасности считают выполненной:
- при событии отказа в подсистеме 1 или подсистеме 2 (поскольку комбинация подсистем 4 и 5 позволяет реализовать функцию безопасности) или
- при событии отказа в подсистеме 4 или подсистеме 5 (поскольку комбинация подсистем 1 и 2 позволяет реализовать функцию безопасности).
Каждая подсистема удовлетворяет требованиям таблиц 2иЗ следующим образом:
- для подсистемы 1 уровень полноты безопасности, соответствующий требованиям отказоустойчивости аппаратных средств и доле безопасных отказов, равен SIL3;
- для подсистемы 2 уровень полноты безопасности, соответствующий требованиям отказоустойчивости аппаратных средств и доле безопасных отказов, равен SIL2;
- для подсистемы 3 уровень полноты безопасности, соответствующий требованиям отказоустойчивости аппаратных средств и доле безопасных отказов, равен SIL2;
- для подсистемы 4 уровень полноты безопасности, соответствующий требованиям отказоустойчивости аппаратных средств и доле безопасных отказов, равен SIL2;
- для подсистемы 5 уровень полноты безопасности, соответствующий требованиям отказоустойчивости аппаратных средств и доле безопасных отказов, равен SIL1.
Далее более подробно рассмотрим процедуру определения максимального уровня полноты безопасности аппаратных средств, который может потребоваться для рассматриваемой функции безопасности:
a) Объединение подсистем 1 и 2
Отказоустойчивость и доля безопасных отказов, обеспеченная комбинацией подсистем 1 и 2 (каждая в отдельности соответствует требованиям для SIL3 и SIL2), соответствуют требованиям SIL2 (определенным подсистемой 2).
b) Объединение подсистем 4 и 5
Отказоустойчивость и доля безопасных отказов, обеспеченная комбинацией подсистем 4 и 5 (каждая в отдельности соответствует требованиям для SIL2 и SIL1), соответствуют требованиям SIL1 (определенным подсистемой 5).
c) Дальнейшее объединение комбинации подсистем 1 и 2 с комбинацией подсистем 4 и 5
Уровень полноты безопасности аппаратных средств в отношении отказоустойчивости аппаратных средств комбинации подсистем 1, 2, 4 и 5 определяется:
- решением, какая из комбинаций подсистем (т.е. комбинация подсистем 1 и 2 или 4 и 5) достигла самого высокого возможного уровня полноты безопасности аппаратных средств (в показателях соответствия требованиям отказоустойчивости), и
- анализом влияния другой комбинации подсистем на отказоустойчивость для комбинаций подсистем 1, 2, 4 и 5.
В данном примере комбинация подсистем 1 и 2 имеет максимально допустимое требование SIL2 (см. перечисление а)), в то время как комбинация подсистем 4и5 имеет максимально допустимое требование SIL1 (см. перечисление b)). Однако в случае отказа, встречающегося в комбинации подсистем 1 и 2, функция безопасности могла бы быть выполнена комбинацией подсистем 4 и 5. С учетом этого отказоустойчивость аппаратных средств, достигнутая комбинацией подсистем 1 и 2, увеличивается на единицу. Увеличение отказоустойчивости аппаратных средств на единицу приводит к увеличению на единицу уровня полноты безопасности аппаратных средств, которое может потребоваться (см. таблиц 2 и 3). Поэтому комбинация подсистем 1, 2, 4 и 5 имеет максимально допустимый уровень полноты безопасности в отношении отказоустойчивости и доли безопасных отказов, равный SIL3 (т.е. уровень полноты безопасности аппаратных средств, достигнутый комбинацией подсистем 1 и 2, SIL2 плюс единица).
d) Полная Е/Е/РЕ система, связанная с безопасностью
Уровень полноты безопасности аппаратных средств в отношении отказоустойчивости, который может потребоваться для рассматриваемой функции безопасности, определяют анализом комбинации подсистем 1, 2, 4 и 5 (которая достигает уровня отказоустойчивости, равного SIL3 (см. перечисление с)) и подсистемы 3 (которая достигает уровня отказоустойчивости, равного SIL2). Подсистема, достигшая самого низкого уровня полноты безопасности аппаратных средств (в данном случае подсистема 3), определяет максимальный уровень полноты безопасности всей Е/Е/РЕ системы, связанной с безопасностью. Поэтому максимальный уровень полноты безопасности аппаратных средств в отношении отказоустойчивости аппаратных средств, который может быть достигнут для функции безопасности в данном примере, - SIL2.
7.4.3.2. Требования к оценке вероятности отказа функций безопасности из-за случайных отказов аппаратных средств
7.4.3.2.1. Вероятность отказа каждой функции безопасности из-за случайных отказов аппаратных средств по 7.4.3.2.2 и 7.4.3.2.3 будет равна или менее целевой меры отказов, определенной в спецификации требований безопасности (см. 7.2.3.2).
Примечания
1. Для функции безопасности, выполняемой в режиме с низкой частотой запросов, целевая мера отказов будет выражена в терминах средней вероятности отказа выполнения по запросу предусмотренной функции безопасности, как определено уровнем полноты безопасности (см. МЭК 61508-1, таблица 2), пока требования в спецификации требований к полноте безопасности для функции безопасности E/E/PES (см. 7.2.3.2) не достигнут определенной целевой меры отказов, иной, чем конкретный SIL. Например, если целевая мера отказов равна 1,5 10-6 (вероятность отказа по запросу), то есть заданному значению для удовлетворения требуемого снижения риска, то вероятность отказа по запросу функции безопасности, вызванного случайными отказами аппаратных средств должна быть равна или менее 1,5 10-6.
2. Для функции безопасности, выполняемой в режиме с высокой частотой запросов или с непрерывными запросами, целевая мера отказов будет выражена в терминах средней вероятности опасного отказа в час, как определено уровнем полноты безопасности функции безопасности (см. МЭК 61508-1, таблица 3), пока требования в спецификации требований к полноте безопасности (см. 7.2.3.2) для функции безопасности E/E/PES не достигнут определенной целевой меры отказов, иной, чем конкретный SIL. Например, если целевая мера отказов равна 1,5 10-6 (вероятность опасного отказа в час) и задана для выполнения требований по снижению риска, то вероятность отказа функции безопасности, вызванного случайными отказами аппаратных средств, должна быть равна или менее 1,5 10-6.
3. Для демонстрации выполнения данного требования необходимо осуществить предсказание надежности для уместной функции безопасности, используя соответствующие средства (см. 7.4.3.2.2), и сравнить полученный результат с целевой мерой отказов конкретной полноты безопасности для уместной функции безопасности (см. МЭК 61508-1, таблицы 2 и 3).
7.4.3.2.2. Вероятность отказа каждой функции безопасности из-за случайных отказов аппаратных средств может быть оценена с учетом:
a) архитектуры Е/Е/РЕ системы, связанной с безопасностью, поскольку это касается каждой функции безопасности.
Примечание - При этом приходится решать, какие виды отказов подсистем находятся в последовательной связи (любой отказ вызывает отказ соответствующей функции безопасности, которая должна выполняться), а какие виды отказов находятся в параллельной связи (для сбоя соответствующей функции безопасности необходимы совпадающие отказы);
b) оцененной частоты (коэффициента) отказов каждой подсистемы в любых режимах, которые могли бы вызвать опасный отказ Е/Е/РЕ системы, связанной с безопасностью, но обнаружены диагностической проверкой (см. 7.4.7.3 и 7.4.7.4);
d) восприимчивости Е/Е/РЕ системы, связанной с безопасностью, к отказам по общей причине (см. примечание к настоящему перечислению и примечание 6 к перечислению h)).
Примечание - Например, см. МЭК 61508-6, приложение D;
e) охвата диагностическими тестами (по приложению С) и связанного с ним диагностического испытательного интервала.
Примечания
1. Время диагностического испытательного интервала вместе с последующим временем ремонта составляют среднее время восстановления, которое должно быть рассмотрено в модели надежности. Кроме того, для работы Е/Е/РЕ системы, связанной с безопасностью, в режиме высокой частоты запросов или с непрерывными запросами, где любые опасные отказы каналов приводят к опасным отказам Е/Е/РЕ системы, связанной с безопасностью, время диагностического испытательного интервала должно быть рассмотрено непосредственно (то есть дополнительно к среднему времени восстановления) в модели надежности, если его величина не является значительно меньшей, чем ожидаемая частота запросов (см. 7.4.3.2.5).
2. При установлении времени диагностического испытательного интервала должны быть рассмотрены интервалы между всеми испытаниями, которые вносят вклад в диагностический охват;
f) интервалов времени, на которых реализуются испытательные (контрольные) интервалы для обнаружения опасных ошибок, не обнаруживаемых диагностическими тестами;
g) времени ремонта для обнаруженных отказов.
Примечание - Время ремонта составляет часть среднего времени восстановления (см., МЭР 191-13-08 [3]), включающего в себя также время обнаружения отказа и период времени, в течение которого ремонт невозможен (пример использования среднего времени восстановления для вычисления вероятности отказа приведен в МЭК 61508-6 (приложение В)). Для ситуаций, когда ремонт может быть выполнен в течение конкретного периода времени, например, в то время как управляемое оборудование отключено или находится в надежном (закрытом) состоянии, особенно важно, чтобы при полном расчете был учтен период времени, когда ремонт не может быть произведен, особенно когда этот период является относительно большим;
h) вероятности необнаруженного отказа любого процесса передачи данных (см. примечание 6 и подпункт 7.4.8.1).
Примечания
1. Упрощенный подход, который может быть использован для оценки вероятности опасного отказа функции безопасности из-за случайных отказов аппаратных средств для определения того, что аппаратура обеспечивает требуемую целевую меру отказов, представлен в МЭК 61508-6, приложение В.
2. Краткий обзор шагов по достижению аппаратными средствами полноты безопасности и соотношения с другими требованиями настоящего стандарта приведены в МЭК 61508-6, подраздел А.2.
3. Необходимо отдельно для каждой функции безопасности количественно определять надежность Е/Е/РЕ системы, связанной с безопасностью, поскольку на нее будут оказывать влияние как разнообразие видов отказов компонентов, так и изменения архитектуры (при использовании избыточности) самих Е/Е/РЕ систем, связанных с безопасностью.
4. Среди множества возможных методов моделирования наиболее подходящий метод выбирает аналитик. Возможные методы моделирования включают в себя:
- анализ последствий причин отказа (см. МЭК 61508-7, пункт В.6.6.2, приложение В);
- анализ дерева ошибок (см. МЭК 61508-7, пункт С.6.6.5, приложение С);
