Статус документа
Статус документа

ГОСТ Р МЭК 61508-6-2012 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 6. Руководство по применению ГОСТ Р МЭК 61508-2 и ГОСТ Р МЭК 61508-3 (Переиздание)

Приложение B
(справочное)

     
Метод оценки вероятностей отказа аппаратных средств

B.1 Общие положения

Настоящее приложение рассматривает методы расчета вероятностей отказа для Э/Э/ПЭ систем, связанных с безопасностью, указанные в МЭК 61508-1-МЭК 61508-3. Данная информация носит справочный характер и не должна рассматриваться как единственно возможный метод оценки. Однако в данном приложении описывается относительно простой подход к оценке характеристик Э/Э/ПЭ систем, связанных с безопасностью, и даются руководящие указания по использованию альтернативных методов, взятых из классических способов расчета надежности.

Примечания

1 Архитектуры систем, предоставленные в настоящем стандарте, являются примерами и не должны рассматриваться как исчерпывающие, поскольку существует множество других архитектур, которые также можно использовать.

2 См. [2].


Существует достаточное количество методов более или менее непосредственно применимых для анализа полноты безопасности аппаратного обеспечения Э/Э/ПЭ систем, связанных с безопасностью. Обычно они делятся на группы в соответствии со следующими характеристиками:

- статические (логические) и динамические (состояния/переходы) модели;

- аналитические модели и моделирование на основе метода Монте-Карло.

Логические модели включают в себя все модели, описывающие статические логические связи между элементарными отказами и полным отказом системы. Блок-схемы надежности (см. МЭК 61508-7, С.6.4 и МЭК 61078 [3]) и дерево отказов (см. МЭК 61508-7, В.6.6.5 и В.6.6.9) и МЭК 61025 [4] относятся к логическим моделям.

Модели состояний-переходов включают в себя все модели, описывающие, как система себя ведет (переходит из состояния в состояние) в соответствии с произошедшими событиями (отказами, ремонтами, тестами и т.д.). Сети Маркова (см. МЭК 61508-7, B.6.6.6 и МЭК 61165 [5]), сети Петри (см. МЭК 61508-7, B.2.3.3 и B.6.6.10 и МЭК 62551 [6]) и формальные языки принадлежат к моделям состояний-переходов. Исследуются два марковских подхода: упрощенный подход, основанный на специальной формуле (B.3), и общий подход, позволяющий непосредственный расчет графов Маркова (B.5.2). Если для систем безопасности марковский подход не применим, то вместо него может быть использован метод Монте-Карло. На современных компьютерах расчет возможен даже для уровня УПБ4. В подразделах B.5.3 и B.5.4 настоящего приложения даны руководящие указания по применению метода Монте-Карло (см. МЭК 61508-7, B.6.6.8) для моделей поведения, использующих сети Петри и формальные языки моделирования.

Упрощенный подход, который представлен первым, основывается на графическом представлении блок-схемы надежности и специальной формулы Маркова, выведенной из работ Тейлора с учетом относительно консервативных гипотез, описанных в B.3.1.

Все эти методы могут быть использованы для большинства систем, связанных с безопасностью. При определении, какой метод использовать для конкретного применения, очень важно, чтобы пользователь конкретного метода был компетентен в его применении, и это, может быть, более важно, чем сам используемый метод. Аналитик отвечает за то, чтобы гипотеза, лежащая в основе любого конкретного метода, была выполнена для рассматриваемого применения либо была внесена какая-либо необходимая корректировка для достижения соответствующего реалистичного консервативного результата. В случае недостаточной надежности данных или превалирующего количества отказов по общей причине может быть достаточным использование простейшей модели/метода. Важна потеря точности или нет, определяется в каждом конкретном случае.

Если для проведения расчетов используется программное обеспечение, то специалист, выполняющий расчет, должен понимать формулы/методы, используемые в программном пакете, чтобы быть уверенным в том, что они применимы в каждом конкретном случае. Специалист также должен проверить программный пакет путем сравнения результатов расчета нескольких тестовых примеров, полученных с помощью программного пакета и ручным способом.

Если отказ системы управления УО инициирует обращение к Э/Э/ПЭ системе, связанной с безопасностью, то вероятность возникновения опасного события зависит также и от вероятности отказа системы управления УО. В этой ситуации необходимо рассмотреть возможность одновременного отказа компонентов системы управления УО и Э/Э/ПЭ системы, связанной с безопасностью, из-за механизмов отказа по общей причине. При неправильном анализе наличие подобных отказов может привести к большим, по сравнению с ожидаемым, значениям остаточного риска.

B.2 Основные вероятностные расчеты

B.2.1 Введение

Блок-схема надежности на рисунке B.1 представляет систему (контур) безопасности, состоящую из трех датчиков (A, B, C), одного логического решающего устройства (D), двух исполнительных элементов (E, F) и наличие в ней отказов по общей причине ().


Рисунок B.1 - Блок-схема надежности всей системы безопасности

          

Эта блок-схема облегчает выявление пяти комбинаций отказов, ведущих к отказу Э/Э/ПЭ системы, связанной с безопасностью. Каждая из них называется минимальным сечением:

- (, , ) - тройной отказ;

- (, ) - двойной отказ;

- (), (), () - одиночные отказы.

B.2.2 Э/Э/ПЭ система, связанная с безопасностью, с низкой интенсивностью запросов

Когда Э/Э/ПЭ система, связанная с безопасностью, используется в режиме с низкой интенсивностью запросов, стандарт требует, чтобы была дана оценка (т.е. средняя неготовность, средняя вероятность опасных отказов по запросу). Это просто отношение , где означает время простоя Э/Э/ПЭ системы, связанной с безопасностью, в период [0, ].

Для систем безопасности вероятность отказа обычно очень низка и вероятность одновременного наличия двух минимальных сечений ничтожна. Поэтому суммарное значение средних периодов простоя всех минимальных сечений дает консервативную оценку среднего времени простоя всей системы. Из рисунка B.1: