ГОСТ Р 27.011-2019 (IEC/TR 63039:2016) Надежность в технике. Вероятностный анализ риска технических систем. Оценка интенсивности конечного события для заданного исходного состояния

Приложение В
(справочное)

Применение в области функциональной безопасности

В.1 Целевые показатели в области функциональной безопасности, основанные на риске

Большая часть методов количественного анализа риска возникла в области анализа безопасности системы и разработана путем объединения методов в области безопасности и безотказности (или надежности) систем [11], [19].

Стандарты безопасности на основе риска серии ГОСТ Р МЭК 61508 широко применяют в различных сферах, таких как железнодорожный транспорт, машиностроение, медицинское электротехническое оборудование, автомобильная и робототехническая промышленность. В серии стандартов ГОСТ Р МЭК 61508 на основе риска установлена количественная мера эффективности объектов, связанных с безопасностью, называемая полной безопасностью. Целевыми показателями полной безопасности являются:

- средняя вероятность отказов по запросу (PFDavg), , для объекта, связанного с безопасностью, в режиме работы с редкими запросами;

- средняя частота опасных отказов в час (PFH) [1/ч], для объектов, связанных с безопасностью, в режиме большого количества запросов или непрерывной работы.

Эти целевые показатели устанавливают эффективность объектов, связанных с безопасностью, которые называются связанными с безопасностью системами электрическими, электронными, программируемыми электронными (далее - системами Е/Е/РЕ) относительно контроля и/или снижения риска, связанного с безопасностью до допустимого или приемлемого уровня (см. 3.1.1, примечание 3, 3.1.32 и 3.1.33).

Одну из сторон риска, связанного с безопасностью, а именно вероятность нанесения вреда, характеризует HER, [1/ч], и это количественный целевой показатель риска, связанного с безопасностью, для контроля и/или сокращения риска путем применения системы Е/Е/РЕ, связанной с безопасностью в соответствии с ГОСТ Р МЭК 61508 (все части) (см. 3.1.1, примечание 2 и 3.1.25, примечание 2). Соотношения между PFDavg (т.е. ), PFH (т.е. ) и описаны в ГОСТ Р МЭК 61508-6:

- для объекта, работающего в режиме с редкими запросами;

- для объекта, работающего в режиме с большим количеством запросов или непрерывной работы.

Здесь и - интенсивность запросов и частота запросов, соответственно (см. обозначения в 9.1).

На самой ранней стадии разработки приведенных методов HER был рассчитан с использованием формулы . А целевым показателем отказов системы Е/Е/РЕ, связанной с безопасностью, была только (см. 9.3.2). Исследование в области машин, у которых интенсивность запросов достаточно высока, например 1000 [1/ч] и 1,0 [1/ч], показали, что значения HER, рассчитанные по формуле, намного выше, чем рассчитанные по статистическим данным, полученным из эксплуатации.

Затем было установлено следующее:

a) если система Е/Е/РЕ, связанная с безопасностью, постоянно работает или ее интенсивность запросов достаточно высока, HER , соответствующая опасным отказам системы Е/Е/РЕ, связанной с безопасностью, следует аппроксимировать ее интенсивностью опасных отказов [1/ч], поскольку опасный отказ немедленно приводит к событию, наносящему вред;

b) исходя из этого в начале разработки приведенных методов было принято три вида режимов работы, т.е. режима работы с редкими запросами (обычный режим), режима работы с большим количеством запросов и режима непрерывной работы;

c) формула принята для режима работы с редкими запросами, а формула - для двух введенных режимов работы, т.е. режимов с большим количеством запросов и непрерывной работы.

Таким образом, на ранней стадии разработки приведенных методов режим работы с редкими запросами был определен как "режим работы, при котором интенсивность запросов достаточно низка", а режим работы с большим количеством запросов как "режим работы, при котором интенсивность запросов достаточно высока", соответственно. В настоящем стандарте в случае применения к безопасности (см. В.2) отказ означает опасный отказ.

В средней области, когда интенсивность запросов не является ни слишком низкой, ни достаточно высокой, для решения проблемы необходимо:

- провести линии ограничения режима работы с редкими запросами и режима работы с большим количеством запросов;

- распространить зоны, соответствующие этим режимам работы, на новые области, соответствующие промежуточным режимам работы по обе стороны от линии соответственно.

Режим работы с редкими запросами определен в ГОСТ Р МЭК 61508-4 как режим работы, при котором частота запросов работы системы, связанной с безопасностью, не превышает одного раза в год, а частота проведения контрольных проверок не превышает двух в год. Частота запросов один раз в год приближенно равна [1/ч]. Здесь и - постоянные частота и интенсивность запросов соответственно.

В настоящее время работа в режиме редких запросов определена как режим работы, "при котором функция безопасности выполняется только по запросу для перевода EUC в установленное безопасное состояние, а частота запросов составляет не более одного раза в год" (см. ГОСТ Р МЭК 61508-4).

Тогда понятны причины, по которым формулу вряд ли можно применить к системам Е/Е/РЕ, работающим в режимах с большим количеством запросов или непрерывной работы:

a) формула является приближенной для повторяемого и неповторяемого конечного события при условии, что интенсивность запросов достаточно низка, а интенсивность завершения достаточно высока. Однако формула вряд ли применима к неповторяемому конечному событию, если интенсивность запроса недостаточно низка или интенсивность завершения недостаточно высока [19], [3], [4];

b) формула вряд ли применима к такому конкретному случаю, как система контроля подушек безопасности автомобиля или система в целом, описанная в приложении А (см. 7.2.3, 9.3.2) [18], [7];

c) какой режим работы должен быть адаптирован к системе, зависит от соотношения между интенсивностью запросов и HER, и, следовательно, выбор режима работы должен основываться не только на интенсивности запросов, но также на интенсивностях завершения запроса, отказов, ремонтов объекта и экспозиции риска (см. 7.2.3 и В.4, В.8) [3], [4], [16], [17], [18];

d) события, связанные с нанесением вреда в машиностроительном секторе, где интенсивность запросов достаточно высока, можно считать неповторяемыми конечными событиями.