ГО СТ Р МЭК 61508-6— 2007
Приложение В
(справочное)
Метод оценки вероятностей отказа аппаратных средств
В.1 Общие положения
Настоящее приложение содержит один из методов расчета вероятностей отказа для Е/Е/РЕ систем, свя
занных с безопасностью, установленных в соответствии с МЭК 61508-1 — МЭК 61508-3. Метод не должен рас
сматриваться в качестве единственно возможного. Однако в данном методе реализуется относительно простой
подход к оценке характеристик Е/Е/РЕ систем, связанных с безопасностью.
Существуют различные методы анализа уровня безопасности аппаратных средств Е/Е/РЕ систем, связан
ных с безопасностью. Наиболее распространенными методами являются метод блок-схем надежности (см. МЭК
61508-7. приложение С. пункт С.6.5) и метод, основанный на марковских моделях (см. МЭК 61508-7. приложение
С. пункт С.6.4). Оба метода при правильном применении дают аналогичные результаты, но в случав сложных
программируемых электронных подсистем (например, при перекрестном голосовании по нескольким каналам и
автоматическом тестировании) метод блок-схем надежности дает некоторую потерю точности по сравнению с
методом, основанным на марковских моделях.
При рассмотрении Е/Е/РЕ системы, связанной с безопасностью, в целом эта потеря точности может быть
незначительной, если учитывается точность данных о надежности, используемых при анализе. Например, основ
ная потеря точности при анализе уровня безопасности аппаратных средств для Е/Е/РЕ систем, связанных с
безопасностью, зависит от приборов для измерения полей. Имеет ли значение потеря точности, можно опреде
лить только для конкретных условий. В случав сложных программируемых электронных подсистем результаты
оценки полноты безопасности аппаратуры методом блок-схем надежности более пессимистичны, чем методом,
основанным на марковских моделях (т.е. метод блок-схем надежности дает большую вероятность отказа). В
настоящем приложении применяется метод блок-схем надежности.
Если отказ системы управления EUC инициирует обращение к Е/Е/РЕ системе, связанной с безопасностью,
то вероятность возникновения опасного события зависит также и от вероятности отказа системы управления
EUC. В этой ситуации необходимо рассмотреть возможность одновременного отказа компонентов системы уп
равления EUC и Е ’Е/РЕ системы, связанной с безопасностью, из-за механизмов отказа по общей причине. При
неправильном анализе наличие подобных отказов может привести к ббльшим. по сравнению с ожидаемым,
значениям остаточного риска.
Расчеты вероятностей отказа аппаратных средств Е/Е/РЕ систем, связанных с безопасностью, основывают
ся на следующих предположениях:
- значение результирующей средней вероятности отказа выполнения функции безопасности для подсисте
мы меньше 10’1 или значение результирующей вероятности отказа в час для подсистемы меньше 10-®;
- частота отказов компонент постоянна в течение стадий жизни системы;
- подсистема датчиков (подсистема ввода) состоит из реального датчика(ов) и любых других компонент и
соединительных проводов, вплоть до компоненты (компонент), но ее (их) не включая, где сигналы впервые объе
диняются с помощью процедуры голосования или другой процедуры (например, конфигурация каналов из двух
датчиков, представленная на рисунке В.1 настоящего приложения);
- логическая подсистема включает в себя компоненту (компоненты), в которой(ых) сигналы вначале объеди
няются, и все другие компоненты, вплотьдо тех компонент включительно, откуда результирующий сигнал(ы) пере-
дается(ются) подсистеме оконечных элементов;
- подсистема оконечных элементов (подсистема вывода) включает в себя компоненты и соединения, кото
рые обрабатывают конечный сигнал(ы). получаемый(ые) от логической подсистемы, включая оконечный испол
нительный компонент(ы);
- частоты отказов аппаратных средств, используемые в качестве входных данных для расчетов и таблиц,
задаются для одного канала подсистемы (например, при использовании датчиков в виде архитектуры 2ооЗ часто та
отказов задается для одного датчика, а влияние архитектуры 2ооЗ рассчитывается дополнительно);
- частоты отказов и диагностический охват одинаковы для всех каналов в архитектуре подсистемы;
- общая частота отказов аппаратных средств канала подсистемы является суммой частоты опасных и часто
ты безопасных отказов для данного канала, которые полагают равными.
П р и м е ч а н и е — Это предположение влияет надолю безопасных отказов (см. МЭК 61508-2. приложение
С), но доля безопасных отказов не влияет на рассчитанные значения вероятности отказа, приведенные в насто
ящем приложении.
- для каждой функции безопасности существуют идеальные средства тестирования и устранения отказов
(т.е. все отказы, оставшиеся необнаруженными, обнаруживаются при тестировании), влияние неидеапьного тес
тирования в соответствии с приложением В. пункт В.2.5:
5— 1557
11