ГОСТ Р МЭК 61508-6—2007
- с большим объемом обслуживания, который требует система. А вероятность систематического отказа,
являющегося следствием обслуживания, зависит от числа проведенных сеансов обслуживания, что также повы-
шет интенсивность воздействия человеческих ошибок, приводящее котказам по общей причине. Таким образом
возникает связь между вероятностью случайного аппаратного отказа и вероятностью отказа по общей причине,
например, после каждого случайного аппаратного отказа требуется ремонт, а за ним тестирование и. возможно,
повторная калибровка. Кроме того, для заданного уровня полноты безопасности система с большей вероятнос
тью случайного аппаратного отказа требует более частого проведения контрольных испытаний и с большей глуби
най/сложностью, что также увеличивает влияние человеческого фактора;
- со сложностью системы. Вероятность случайного аппаратного отказа зависит от числа компонентов и.
следовательно, сложности системы. Сложную систему труднее понять, поэтому у нее выше вероятность появле
ния систематических ошибок. Кроме того, сложность системы затрудняет обнаружение отказов путем анализа
или тестирования и может приводить к тому, что часть логики системы будет выполняться только при редко встре
чающихся условиях. Это также приводит к появлению связи между вероятностью случайного аппаратного отказа и
вероятностью отказа по общей причине.
Несмотря на ограничения рассматриваемых моделей, считается, что в настоящее время они представляют
собой лучший способ оценки вероятности отказа по общей причине для многоканальной системы. Описываемый в
настоящем подразделе метод для третьего этапа рассматриваемой в настоящем приложении методики осно ван
на общепризнанной модели (1-фахтара.
При использовании модели (1-фактора для Е/Е/РЕ-системы возникают следующие проблемы
- выбор значения (1-фактора. Многие источники {например, см. (11)) предлагают диапазоны возможных
значений (i-фактора. но не определяют их конкретные значения, оставляя выбор за пользователем. Чтобы ре
шить эту проблему, методика, представленная в настоящем приложении, основывается на подходе, первона
чально описанном в (12] и затем скорректированном в [13];
- модель (1-фактора не учитывает развитые возможностидиагностического тестирования современных PES.
которыми можно воспользоваться для обнаружения неодновременных отказов по общей причине до того, как
отказ полностью проявит себя. Для преодоления этой проблемы подход, описанный в (12] и скорректированный в
[13]. был изменен с тем. чтобы отразить влияние диагностического тестирования при оценке возможного значе ния
|1.
Функции диагностического тестирования, выполняющиеся внутри PES. обеспечивают непрерывное сравне
ние работы PES с заранее определенными состояниями. Эти состояния предварительно определяются про
граммно или аппаратно (например с помощью контрольного таймера). Рассматриваемые таким образок» функ
ции диагностического тестирования можно считать дополнительными и частично различающимися для каналов,
работающих в PES параллельно.
Также может использоваться метод перекрестного контроля каналов. Многие годы этот метод применялся
в двухканальных системах с взаимной блокировкой, построенных исключительно на реле. Однако релейная тех
нология обычно позволяет проводить перекрестное тестирование только во время изменения состояния кана
лов. что делает такое тестирование неподходящим для обнаружения неодновременных отказов по общей
причи не. если системы остаются в одном (например, включенном) состоянии в течение длительного времени. С
помо щью технологии PES перекрестный контроль может проводиться с высокой частотой.
D.3 Область применения методики
Область применения методики ограничена аппаратными отказами по общей причине по следующим при
чинам;
- модель (1-фактора связывает вероятность отказов по обшей причине с вероятностью случайных аппарат
ных отказов. Вероятность отказов по общей причине, затрагивающих систему в целом, зависит от сложности
системы (в которой главную роль возможно играет пользовательское программное обеспечение), а не только от
аппаратуры. Очевидно, что любые расчеты, основанные на вероятности случайного аппаратного отказа, не могут
учитывать сложность программного обеспечения;
- информирование об отказах по общей причине обычно ограничивается аппаратными отказами, что явля
ется главной заботой производителей оборудования;
- моделирование систематических отказов (например, отказов программного обеспечения) считается прак
тически неосуществимым;
- целью мероприятий, определенных в МЭК 61508-3, является снижение вероятности отказов по общей
причине, связанных с программным обеспечением, до значения, приемлемого для необходимого уровня полно ты
безопасности.
Следовательно, оценка вероятности отказа по общей причине, выполненная по данной методике, связана
только с аппаратными отказами. Эту методику не допускается использовать для получения общей интенсивности
отказов, учитывающей вероятность отказа, связанного с программным обеспечением.
D.4 Особенности методики
Так как на датчики, логическую подсистему и оконечные элементы влияют, например различные условия
окружающей среды, для каждой из этих подсистем настоящую методику применяют независимо. Например, ло
гическую подсистему проще поместить в контролируемую среду, а датчики могут быть установлены снаружи и
подвергнуты внешнему воздействию.
41