ГОСТ Р МЭК 61508-2—2007
Пример — Группирование и анализ этих
к
омбинаций м огут бы ть выполнены разными способами.
Для иллюстрации одного из возможных методов примем архите
к
туру, в
к
оторой
к
он
к
ретная фун
к
ция
безопасности реализованалибо
к
омбинацией подсистем 1,2 и З.либо
к
омбинацией подсистем 4.5иЗ,
к
а
к
по
к
азано на рисун
к
е 6. В этом случае
к
омбинация подсистем 1 и 2 и
к
омбинация подсистем 4 и 5 имеют
одина
к
овые фун
к
циональные возможности в отношении фун
к
ции безопасности и имеют раздельные
входы в систему 3. В этом примере
к
омбинация параллельных подсистем основывается на
к
аждой под
системе, реализующей требуемую часть фун
к
ции безопасности, независимо о т другой (параллельной)
подсистемы. Фун
к
цию безопасности считаю т выполненной:
- при событии от
к
аза в подсистеме 1 или подсистеме 2 (пос
к
оль
к
у
к
омбинация подсистем 4 и 5
позволяет реализовать фун
к
цию безопасности) или
- при событии от
к
аза в подсистеме 4 или подсистеме 5 (пос
к
оль
к
у
к
омбинация подсистем 1 и 2
позволяет реализовать фун
к
цию безопасности).
Каждая подсистема удовлетворяет требованиям таблиц 2иЗ следующим образом:
- для подсистемы 1 уровень полноты безопасности, соответствую щ ий требованиям от
к
азоус
тойчивости аппаратных средств и доле безопасных от
к
азов, равен SIL3;
- для подсистемы 2уровень полноты безопасности, соответствую щ ий требованиям от
к
азоус
тойчивости аппаратных средств и доле безопасных от
к
азов, равен SIL2;
- для подсистемы 3уровень полноты безопасности, соответствую щ ий требованиям от
к
азоус
тойчивости аппаратных средств и доле безопасных от
к
азов, равен SIL2;
• для подсистемы 4уровень полноты безопасности, соответствую щ ий требованиям от
к
азоус
тойчивости аппаратных средств и доле безопасных от
к
азов, равен SIL2;
- для подсистемы 5 уровень полноты безопасности, соответствую щ ий требованиям от
к
азоус
тойчивости аппаратных средств и доле безопасных от
к
азов, равен SIL1.
Далее более подробно рассмотрим процедуру определения ма
к
симального уровня полноты безо
пасности аппаратных средств,
к
оторы й может потребоваться для рассматриваемой фун
к
ции безо
пасности:
a) Объединение подсистем 1 и 2
О т
к
азоустойчивость и доля безопасных от
к
азов, обеспеченная
к
омбинацией подсистем 1 и 2
(
к
аждая в отдельности со о тв е тств уе т требованиям для SIL3 и SIL2), со о тв е тств ую т требованиям
SIL2 (определенным подсистемой 2).
b
) Объединение подсистем 4 и 5
О т
к
азоустойчивость и доля безопасных отказов, обеспеченная
к
омбинацией подсистем 4 и 5
(
к
аждая в отдельности со о тв е тств уе т требованиям для SIL2 и SIL1), с о о тв е тств ую т требованиям
SIL1 (определенным подсистемой 5).
c) Дальнейшее объединение
к
омбинации подсистем 1и 2с
к
омбинацией подсистем 4 и 5
Уровень полноты безопасности аппаратных средств в отношении от
к
азоустойчивости аппа
ратны х средств
к
омбинации подсистем 1,2.4 и 5определяется:
- решением,
к
а
к
ая из
к
омбинаций подсистем (т.е.
к
омбинация подсистем 1 и 2 или 4 и 5) достигла
самого высо
к
ого возможного уровня полноты безопасности аппаратных средств (в по
к
азателях
соответствия требованиям от
к
азоустойчивости), и
- анализом влияния другой
к
омбинации подсистем на от
к
азоустойчивость для
к
омбинаций под
систем 1.2, 4 и 5.
В данном примере
к
омбинация подсистем 1 и 2 имеет ма
к
симально допустимое требование SIL2
(см. перечисление а)), в т о время
к
а
к
к
омбинация подсистем 4и 5 имеет ма
к
симально допустимое требо
вание SIL1 (см. перечисление Ь)). Одна
к
о в случае от
к
аза, вспуречающегося в
к
омбинации подсистем 1 и 2.
фун
к
ция безопасности могла бы б ы ть выполнена
к
омбинацией подсистем 4 и 5. С учетом этого от
к
а
зоустойчивость аппаратных средств, достигнутая
к
омбинацией подсистем 1 и 2, увеличивается на
единицу. Увеличение от
к
азоустойчивости аппаратных средств на единицу приводит
к
увеличению на
единицу уровня полноты безопасности аппаратных средств,
к
оторое может потребоваться (см. та б
лицы 2и 3). Поэтому
к
омбинация подсистем 1,2.4 и 5имеет ма
к
симально допустимый уровень
полноты безопасности в отношении от
к
азоустойчивости и доли безопасных от
к
азов, равный SIL3(m.e.
уровень полноты безопасности аппаратных средств, достигнуты й
к
омбинацией подсистем 1 и 2,
SIL2 плюс единица).
d) Полная ЕУЕ/РЕсистема, связанная с безопасностью
Уровень полноты безопасности аппаратных средств в отношении от
к
азоустойчивости,
к
о то
рый может потребоваться для рассматриваемой фун
к
ции безопасности, определяют анализом
к
ом
бинации подсистем 1, 2. 4 и 5 (
к
оторая достигает уровня от
к
азоустойчивости, равного SIL3
(см. перечисление с)) и подсистемы 3 (
к
оторая достигает уровня от
к
азоустойчивости, равного SIL2).
Подсистема, достигш ая самого низ
к
ого уровня полноты безопасности аппаратных средств (в данном
случае подсистема 3), определяет ма
к
симальный уровень полноты безопасности всей Е/Е/РЕ системы,
17