ГОСТ Р МЭК 61508-5-2007 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 5. Рекомендации по применению методов определения уровней полноты безопасности

Приложение А
(обязательное)

Риск и полнота безопасности. Основные концепции

А.1 Общие положения

Настоящее приложение предоставляет информацию о концепциях, лежащих в основе понятия риска, а также о связи между риском и полнотой безопасности.

А.2 Требуемое уменьшение риска

Требуемое уменьшение риска [МЭК 61508-4 (пункт 3.5.14)] представляет собой уменьшение риска, необходимое для того, чтобы риск в конкретной ситуации стал допустимым (что может быть установлено с помощью качественных* или количественных методов**). Понятие требуемого уменьшения риска имеет фундаментальное значение при разработке спецификаций требований к Е/Е/РЕ системам, связанных с безопасностью (в частности той части спецификации, которая посвящена требованиям к полноте безопасности). Цель определения допустимого риска для конкретного опасного события состоит в том, чтобы сформулировать разумные критерии для частоты (или вероятности) опасного события и его последствий. Системы, связанные с безопасностью, предназначены для того, чтобы уменьшить частоту (или вероятность) опасных событий и/или последствия опасных событий.

________________

* При достижении приемлемого риска должно быть установлено требуемое уменьшение риска. В приложениях D и Е описываются качественные методы, хотя в приведенных примерах требуемое уменьшение риска содержится в неявном виде и не формулируется явно.

** Например, что опасное событие, ведущее к конкретному последствию, не должно происходить с частотой, превышающей один раз за 10 час.

Допустимый риск зависит от многих факторов (например, от тяжести травм, числа людей, подвергающихся опасности, от того, насколько часто человек или люди подвергаются опасности, а также от периода времени, в течение которого люди подвергаются опасности). К числу важных факторов относятся осознание опасности и отношение к ней тех, кто подвергается действию опасного события. При выработке мнения о том, что представляет собой допустимый риск для конкретного приложения, учитываются:

- руководящие указания органов власти, осуществляющих регулирование в области безопасности;

- обсуждения и соглашения между различными сторонами, участвующими в конкретной области применения;

- промышленные стандарты и руководства;

- международные обсуждения и соглашения; роль национальных и международных стандартов в выработке критериев для определения допустимого риска становится все более важной;

- лучшие независимые промышленные, экспертные и научные рекомендации консультативных органов;

- законодательные требования как общие, так и те, которые непосредственно относятся к конкретной области применения.

А.3 Роль Е/Е/РЕ систем безопасности

Е/Е/РЕ системы, связанные с безопасностью, способствуют достижению требуемого уменьшения риска, делающего его допустимым. Системы, связанные с безопасностью:

- реализуют функции безопасности, необходимые для достижения или поддержания безопасного состояния управляемого оборудования, и

- используя собственные средства, или в совокупности с другими Е/Е/РЕ системами, связанными с безопасностью, с системами, связанными с безопасностью, основанными на других технологиях, или с внешними средствами уменьшения риска достигают необходимой полноты безопасности для требуемых функций [МЭК 61508-4 (пункт 3.4.1)].

Примечания

1 В первом перечислении отмечается, что система, связанная с безопасностью, должна выполнять функции, которые могут быть определены в спецификациях требований к функциям безопасности. Например, спецификация требований к функциям безопасности может содержать требование о том, что, когда температура достигает значения , должен открываться клапан , который позволяет воде поступать в сосуд.

2 Во втором перечислении отмечается, что функции безопасности должны выполняться системами, связанными с безопасностью, со степенью надежности, достаточной для достижения в конкретной области применения допустимого риска.

В состав Е/Е/РЕ системы, связанные с безопасностью, могут входить люди. Например, человек может получать с экрана дисплея информацию о состоянии EUC и выполнять действия, основываясь на этой информации. Е/Е/РЕ системы, связанные с безопасностью, могут работать в режиме низкой интенсивности запросов либо в режиме высокой интенсивности запросов или непрерывных запросов [МЭК 61508-4 (пункт 3.5.12)].

А.4 Полнота безопасности

Полнота безопасности определяется как вероятность того, что система, связанная с безопасностью, будет удовлетворительно выполнять требуемые функции безопасности при всех установленных условиях в течение установленного периода времени [МЭК 61508-4 (пункт 3.5.2)]. Полнота безопасности относится к характеристикам, описывающим способность систем, связанных с безопасностью, выполнять функции безопасности, которые должны быть определены в спецификации требований к функциям безопасности.

Считается, что полнота безопасности должна рассматриваться как состоящая из двух элементов:

- полноты безопасности аппаратуры; эта часть полноты безопасности связана со случайными отказами аппаратуры, проявляющимися в опасном режиме [МЭК 61508-4 (пункт 3.5.5)]. Достижение заданного уровня полноты безопасности аппаратуры, предназначенной для обеспечения безопасности, может быть оценено с разумной степенью точности, следовательно, требования могут быть распределены между подсистемами в соответствии с нормальными законами для вероятностей совместных событий. Для достижения адекватной полноты безопасности аппаратуры может потребоваться использование избыточной архитектуры;

- полноты безопасности, связанной с систематическими отказами; эта часть полноты безопасности обусловлена систематическими отказами, проявляющимися в опасном режиме [МЭК 61508-4 (пункт 3.5.4)]. Хотя средняя интенсивность систематических отказов может поддаваться оценке, данные, полученные из анализа конструктивных отказов и отказов с общей причиной, свидетельствуют о том, что распределение отказов спрогнозировать трудно. Это приводит к увеличению неопределенности расчетов вероятности отказов для конкретной ситуации (например, вероятности отказа системы защиты). Поэтому необходимо выбирать методы, которые минимизируют эту неопределенность. Следует учитывать, что мероприятия по уменьшению вероятности случайных отказов аппаратуры не всегда приводят к уменьшению вероятности систематических отказов. Такие методы, как избыточные каналы идентичной аппаратуры, очень эффективные для регулирования случайных отказов аппаратуры, мало влияют на уменьшение систематических отказов.