ГОСТ Р 59773-2021 Безопасность функциональная систем, связанных с безопасностью зданий и сооружений. Порядок применения комплекса стандартов ГОСТ 34332. Примеры расчетов

Приложение Г
(справочное)

Методика и примеры количественного определения влияния отказов аппаратных средств по общей причине в Э/Э/ПЭ СБЗС системах

Г.1 Общие положения

Г.1.1 Введение

Настоящий стандарт включает в себя ряд методов, рассматривающих систематические отказы. Независимо от эффективности этих методов существует остаточная вероятность возникновения систематических отказов. Это незначительно влияет на результаты расчета безотказности для одноканальных систем. Однако возможность появления отказов, способных повлиять на несколько каналов многоканальной системы (или несколько компонентов в системе безопасности с избыточностью), т.е. отказов по общей причине, приводит к существенным ошибкам при расчетах безотказности многоканальных систем или систем с избыточностью.

В настоящем приложении приведено описание методики, позволяющей учитывать отказы по общей причине при оценке безопасности многоканальных или Э/Э/ПЭ СБЗС систем с избыточностью. Использование данной методики дает более точную оценку полноты безопасности такой системы, чем при игнорировании отказов по общей причине.

Методику применяют для расчета значения -фактора, часто используемого при моделировании отказов по общей причине. Описываемая методика может быть использована для оценки интенсивности отказов по общей причине в случае двух или более параллельно работающих систем, если известна интенсивность случайных отказов АС для одной из этих систем (см. Г.5). Принято считать, что в общее число случайных отказов оборудования будет включено много отказов, которые вызваны систематическими отказами.

В некоторых случаях предпочтительнее применять альтернативные методики, например: если благодаря наличию данных об отказах по общей причине можно получить более точное значение -фактора или когда число элементов, отказавших по общей причине, более 4. В качестве альтернативной методики, в частности, может быть использован метод биномиальной интенсивности отказов (также называемая "шоковая модель").

Г.1.2 Краткий обзор

Считается, что отказы в системе возникают из двух различных источников:

- случайные отказы АС;

- систематические отказы.

Предполагается, что отказы первого вида возникают случайно по времени для любого компонента и приводят к отказу канала системы, частью которого является соответствующий компонент, тогда как отказы второго типа появляются незамедлительно и детерминированным образом, когда система достигает такого состояния, в котором существует систематическая ошибка.

Существует некоторая вероятность того, что во всех каналах многоканальной системы могут произойти независимые случайные отказы АС, вследствие чего все каналы одновременно окажутся неработоспособными. Так как предполагается, что такие отказы АС возникают во времени случайно, их вероятность, одновременно возникающая в параллельных каналах, низка по сравнению с вероятностью отказа одного канала. Эта вероятность может быть рассчитана с помощью зарекомендовавших себя методов, но результат может быть более оптимистичным, когда отказы не полностью независимы друг от друга.

Зависимые отказы, как правило, делят на следующие группы:

- отказ по общей причине (CCF) вызывает несколько отказов по одной общей причине. Несколько отказов могут произойти одновременно или в течение некоторого периода времени;

- отказы в общем режиме (CMF), которые являются частным случаем CCF, когда несколько единиц оборудования отказывают в одном режиме;

- каскадные отказы, когда один компонент отказывает вследствие отказа другого компонента.

Термин "CCF" обычно используют для обобщения всех видов зависимых отказов, как сделано в настоящем приложении. Зависимые отказы также делятся:

- на зависимые отказы, вызванные понятными детерминированными причинами;

- события возможного остаточного многократного отказа, которые явно не анализируются из-за недостаточной точности их представления, отсутствия явных детерминированных причин их возникновения или отсутствия возможности собрать данные по надежности.

Для первых видов зависимых отказов должны быть выполнены анализ, моделирование и оценка общепринятым способом, и только вторые должны быть обработаны, как показано в настоящем приложении. Тем не менее систематические отказы, которые являются полностью зависимыми отказами, не выявленными во время анализа безопасности (иначе они должны быть устранены), обрабатываются определенным способом, указанным в настоящем стандарте, но данное приложение применяется в основном для случайных зависимых отказов аппаратных средств.

Таким образом, отказы по общей причине, являющиеся следствием одной причины, могут влиять на несколько каналов или несколько компонентов. Данная причина может быть следствием систематической ошибки (например, конструктивной или ошибки технических условий) либо внешнего воздействия, ведущего к преждевременным случайным отказам АС (например, избыточной температуры, возникающей из-за случайного отказа АС, обычного вентилятора, что сокращает время жизни компонентов или нарушает заданные условия окружающей среды для их работы), или комбинации этих факторов. Так как отказы по общей причине чаще влияют на несколько каналов многоканальной системы, то вероятность такого отказа, скорее всего, будет доминирующим фактором при определении общей вероятности отказа многоканальной системы. Если не учитывать этот фактор, то будет трудно получить правильную оценку УПБ.

Г.1.3 Защита от отказов по общей причине

Хотя отказы по общей причине являются следствием одной причины, они не обязательно проявляются во всех каналах одновременно. Например, при отказе вентилятора все каналы многоканальной Э/Э/ПЭ СБЗС системы могут отказать, что ведет к отказу по общей причине. Однако необязательно все каналы нагреваются с одинаковой скоростью или имеют общую критическую температуру. Следовательно, отказы могут возникать в разных каналах в разное время.

Архитектура ПЭ систем позволяет им выполнять внутреннее диагностическое тестирование непосредственно во время работы, что может быть реализовано различными способами, например:

- один канал ПЭ системы одновременно с обеспечением работы входного и выходного устройств может непрерывно выполнять внутреннюю проверку своей работы. На этапе проектирования можно достичь значения тестового охвата, равного 99%. Если 99% внутренних сбоев обнаружены до того, как они приведут к отказу, вероятность сбоев одного канала, которые могут в конечном счете стать частью отказов по общей причине, значительно снижается;

- помимо внутреннего тестирования каждый канал ПЭ системы может отслеживать выходы других каналов многоканальной ПЭ системы (или каждое ПЭ устройство может отслеживать другое ПЭ устройство системы, состоящей из нескольких ПЭ устройств). Следовательно, отказ, возникший в одном канале, может быть обнаружен, и один или несколько оставшихся неотказавших каналов будут выполнять перекрестный контроль и инициировать безопасное отключение. (Следует отметить, что перекрестный контроль эффективен, если состояние системы управления постоянно меняется, например: при наличии часто используемой в циклически работающем устройстве защитной блокировки или при внесении в устройство небольших изменений, не влияющих на управляющую функцию.) Интенсивность выполняемого перекрестного контроля может быть достаточно высока, поэтому непосредственно перед неодновременными отказами по общей причине перекрестный контроль, скорее всего, обнаружит первый отказавший канал и позволит перевести систему в безопасное состояние до момента отказа второго канала.