Метод оценки вероятностей отказа аппаратных средств
В.1 Общие положения
Настоящее приложение содержит один из методов расчета вероятностей отказа для Е/Е/РЕ систем, связанных с безопасностью, установленных в соответствии с МЭК 61508-1 - МЭК 61508-3. Метод не должен рассматриваться в качестве единственно возможного. Однако в данном методе реализуется относительно простой подход к оценке характеристик Е/Е/РЕ систем, связанных с безопасностью.
Существуют различные методы анализа уровня безопасности аппаратных средств Е/Е/РЕ систем, связанных с безопасностью. Наиболее распространенными методами являются метод блок-схем надежности (см. МЭК 61508-7, приложение С, пункт С.6.5) и метод, основанный на марковских моделях (см. МЭК 61508-7, приложение С, пункт С.6.4). Оба метода при правильном применении дают аналогичные результаты, но в случае сложных программируемых электронных подсистем (например, при перекрестном голосовании по нескольким каналам и автоматическом тестировании) метод блок-схем надежности дает некоторую потерю точности по сравнению с методом, основанным на марковских моделях.
При рассмотрении Е/Е/РЕ системы, связанной с безопасностью, в целом эта потеря точности может быть незначительной, если учитывается точность данных о надежности, используемых при анализе. Например, основная потеря точности при анализе уровня безопасности аппаратных средств для Е/Е/РЕ систем, связанных с безопасностью, зависит от приборов для измерения полей. Имеет ли значение потеря точности, можно определить только для конкретных условий. В случае сложных программируемых электронных подсистем результаты оценки полноты безопасности аппаратуры методом блок-схем надежности более пессимистичны, чем методом, основанным на марковских моделях (т.е. метод блок-схем надежности дает большую вероятность отказа). В настоящем приложении применяется метод блок-схем надежности.
Если отказ системы управления EUC инициирует обращение к Е/Е/РЕ системе, связанной с безопасностью, то вероятность возникновения опасного события зависит также и от вероятности отказа системы управления EUC. В этой ситуации необходимо рассмотреть возможность одновременного отказа компонентов системы управления EUC и Е/Е/РЕ системы, связанной с безопасностью, из-за механизмов отказа по общей причине. При неправильном анализе наличие подобных отказов может привести к большим, по сравнению с ожидаемым, значениям остаточного риска.
Расчеты вероятностей отказа аппаратных средств Е/Е/РЕ систем, связанных с безопасностью, основываются на следующих предположениях:
- значение результирующей средней вероятности отказа выполнения функции безопасности для подсистемы меньше 10 или значение результирующей вероятности отказа в час для подсистемы меньше 10;
- частота отказов компонент постоянна в течение стадий жизни системы;
- подсистема датчиков (подсистема ввода) состоит из реального датчика(ов) и любых других компонент и соединительных проводов, вплоть до компоненты (компонент), но ее (их) не включая, где сигналы впервые объединяются с помощью процедуры голосования или другой процедуры (например, конфигурация каналов из двух датчиков, представленная на рисунке В.1 настоящего приложения);
- логическая подсистема включает в себя компоненту (компоненты), в которой(ых) сигналы вначале объединяются, и все другие компоненты, вплоть до тех компонент включительно, откуда результирующий сигнал(ы) передается(ются) подсистеме оконечных элементов;
- подсистема оконечных элементов (подсистема вывода) включает в себя компоненты и соединения, которые обрабатывают конечный сигнал(ы), получаемый(ые) от логической подсистемы, включая оконечный исполнительный компонент(ы);
- частоты отказов аппаратных средств, используемые в качестве входных данных для расчетов и таблиц, задаются для одного канала подсистемы (например, при использовании датчиков в виде архитектуры 2оо3 частота отказов задается для одного датчика, а влияние архитектуры 2оо3 рассчитывается дополнительно);
- частоты отказов и диагностический охват одинаковы для всех каналов в архитектуре подсистемы;
- общая частота отказов аппаратных средств канала подсистемы является суммой частоты опасных и частоты безопасных отказов для данного канала, которые полагают равными.
Рисунок В.1 - Пример конфигурации для двух каналов датчиков
Примечание - Это предположение влияет на долю безопасных отказов (см. МЭК 61508-2, приложение С), но доля безопасных отказов не влияет на рассчитанные значения вероятности отказа, приведенные в настоящем приложении.
- для каждой функции безопасности существуют идеальные средства тестирования и устранения отказов (т.е. все отказы, оставшиеся необнаруженными, обнаруживаются при тестировании), влияние неидеального тестирования в соответствии с приложением В, пункт В.2.5;
- интервал времени между тестовыми испытаниями должен быть, по крайней мере, на порядок больше, чем продолжительность диагностического тестирования;
- для каждой подсистемы существует единый интервал времени между тестовыми испытаниями и среднее время восстановления.
Примечание - Среднее время восстановления включает в себя время, необходимое для обнаружения отказа в соответствии с МЭК 61508-2, подпункт 7.4.3.2.2, перечисление g), примечание. В настоящем приложении предполагаемое значение среднего времени восстановления одинаковое как для обнаруженных, так и необнаруженных отказов и включает в себя длительность диагностического тестирования, а не интервал между тестовыми испытаниями. Для необнаруженных отказов среднее время восстановления, используемое в расчетах, не должно включать в себя длительность диагностического тестирования, а так как среднее время восстановления всегда добавляется к временному интервалу между тестовыми испытаниями, который, по крайней мере, на порядок больше длительности диагностического тестирования, то ошибка будет незначительной;
- восстановить работоспособное состояние системы, нарушенное после возникновения всех известных отказов, могут несколько ремонтных команд;
- ожидаемый интервал между запросами на выполнение функции безопасности должен быть, по крайней мере, на порядок больше среднего времени восстановления;
- для всех подсистем, работающих в режиме низкой интенсивности запросов, и для архитектур 1оо2, 1oo2D и 2оо3, работающих в режиме высокой интенсивности запросов и непрерывном режиме, доля отказов, заданная диагностическим охватом, обнаруживается и устраняется за среднее время восстановления, приведенное в требованиях к полноте безопасности аппаратных средств.
Пример - Если предполагаемое среднее время восстановления равно 8 ч, то оно включает в себя длительность диагностического тестирования, которое обычно не превышает 1 ч, а оставшаяся часть среднего времени восстановления - это действительное время ремонта.
Примечание - Для канальных архитектур 1оо2, 1oo2D и 2оо3 предполагается выполнение любого ремонта в оперативном режиме. Если конфигурация Е/Е/РЕ системы, связанной с безопасностью, при любом обнаруживаемом отказе обеспечивает переход EUC в безопасное состояние, то это уменьшает среднюю вероятность отказа в обслуживании. Степень уменьшения вероятности зависит от диагностического покрытия;