Режим работы связан с тем, как будет использоваться функция безопасности в зависимости от частоты запросов к ней на обслуживание:
- режим с низкой частотой запросов к функции безопасности; частота запросов к функции безопасности не более, чем раз в год, или
- режим с высокой частотой запросов к функции безопасности; частота запросов к функции безопасности более, чем раз в год, или
- режим с непрерывным запросом; запрос к функции безопасности существует постоянно.
Таблицы 2 и 3 МЭК 61508-1 задают целевые меры отказов, связанные с четырьмя уровнями полноты безопасности, для каждого из режимов работы. Далее описаны эти режимы работы.
А.5.1 Полнота безопасности и снижение риска в режиме с низкой частотой запросов
Требуемый уровень полноты безопасности Э/Э/ПЭ систем, связанных с безопасностью, и других мер по снижению рисков должен быть таким, чтобы обеспечить:
- среднюю вероятность отказов по запросу систем, связанных с безопасностью, достаточную для того, чтобы частота опасных событий не превышала бы значения, соответствующего приемлемому риску и/или
- возможность системы, связанной с безопасностью, так изменить последствия отказов, чтобы риск не превышал значение приемлемого риска.
Рисунок А.1 иллюстрирует общую концепцию снижения риска. Общая модель предполагает следующее:
- имеется УО и система управления УО;
- существует связанный с процессом человеческий фактор;
- средства защиты включают в свой состав:
- Э/Э/ПЭ системы, связанные с безопасностью,
- другие средства снижения риска.
Примечание - На рисунке А.1 представлена обобщенная модель риска, иллюстрирующая общие принципы. Модель риска для конкретного применения должна разрабатываться с учетом конкретного способа, при помощи которого будет достигаться требуемое снижение риска Э/Э/ПЭ системами, связанными с безопасностью, и/или другими средствами снижения риска. Поэтому результирующая модель риска может отличаться от модели, представленной на рисунке А.1.
В число рисков, представленных на рисунках А.1 и А.2, входят:
- связанный с УО риск. Это риск наличия конкретного опасного события для УО. При этом учитывается наличие системы управления УО и человеческого фактора. При определении этого риска не рассматриваются какие бы то ни было специальные средства защиты безопасности (см. МЭК 61508-4, пункт 3.1.9);
- приемлемый риск. Риск, который считается приемлемым в данном контексте на основе принятой в обществе системы ценностей (см. МЭК 61508-4, пункт 3.1.7);
- остаточный риск. В контексте настоящего стандарта это риск возникновения опасных событий, связанных с УО, системой управления УО, факторами, зависящими от человека, который сохраняется после добавления Э/Э/ПЭ систем, связанных с безопасностью, и других мер по снижению рисков (см. МЭК 61508-4, пункт 3.1.7).
Связанный с УО риск является функцией от риска, связанного с самим УО, но учитывающего также снижение риска, достигнутое благодаря применению системы управления УО. Чтобы избежать неразумных требований к полноте безопасности основной системы управления УО, настоящий стандарт устанавливает ограничения на возможные требования (см. МЭК 61508-1, подпункт 7.5.2.5).
Необходимое снижение риска достигается комбинацией всех способов увеличения безопасности. Процесс необходимого снижения риска, обеспечивающий достижение конкретного приемлемого риска от начального значения риска УО, показан на рисунке А.1 (относится к функции безопасности, работающей в режиме с низкой частотой запросов).
Рисунок А.1 - Снижение риска: основные понятия (режим с низкой частотой запросов)
Рисунок А.2 - Понятия риска и полноты безопасности