ГОСТ Р МЭК 61800-5-2—2015
3 Хотя большинство вероятностных методов оценки предполагает, что интенсивность отказов постоянна, это
предположение применяется только при условии, что для компонентов не превышен срок их полезной службы. Вне
срока их полезной службы (т. е. когда вероятность отказов значительно увеличивается со временем),
результаты большинства вероятностных методов расчета по этой причине бесполезны. Таким образом, любая
вероятностная оценка должна включать спецификацию срока полезной службы компонентов. Срок полезной
службы очень за висит от самого компонента и его условий работы — от температуры в частности (например,
электролитические конденсаторы могут быть очень чувствительны к температуре). Опыт показал, что срок их
полезной службы часто находится в диапазоне от 8 лет до 12лет. Однако он может быть значительно меньше, если
компоненты эксплуати руются вблизи допустимых границ их рабочих характеристик.
4 Списки сбоев, данные в приложении D. могут использоваться, чтобы помочь в определении видов отказов.
6.2.1.1.4 Интервал диагностических проверок
Интервал диагностических проверок любой подсистемы СЭРС (СБ)должен быть таким, который
позволяет СЭРС (СБ) соответствовать требованиюдля PFH (см. 6.2.1.1.1).
Если опасный сбой может привести к потере функции безопасности, то для предотвращения опас
ности требуется обнаружение этого сбоя в пределах ОД и инициирование реакции на сбой. Функции
диагностики и функции реакции на сбой должны быть выполнены в течение заданного
максимального времени реакции на сбой (см. 5.4.2).
6.2.1.1.5 Интервал проверок в случае отказоустойчивости аппаратных средств, равной нулю
Интервал диагностических проверок любой подсистемы СЭРС (СБ). отказоустойчивость аппарат
ных средств которой равна нулю и от которой полностью зависит функция безопасности, должен быть
таков, чтобы сумма интервала диагностических проверок и времени выполнения заданного действия
(функции реакции на сбой) для достижения или поддержания безопасного состояния была меньше, чем
заданное максимальное время реакции на сбой.
6.2.2 Архитектурные ограничения
6.2.2.1 Ограничения УПБ
В контексте полноты безопасности аппаратных средств наибольший уровень полноты безопасности,
который можно заявить для функции безопасности, ограничен отказоустойчивостью аппаратных средств и
долей безопасных отказов подсистем СЭРС (СБ), которые выполняют эту функцию безопасности. Отказо
устойчивость аппаратных средств Nозначает, что N+1сбой может вызвать потерю функции безопасности.
Таблицы3и4определяют наибольший уровень полноты безопасности, который можно заявить для функции
безопасности, использующей подсистему, учитывая отказоустойчивость аппаратных средств и долю без
опасных отказов этой подсистемы (см. приложение С МЭК 61508-2:2000). Требования таблицы 3 или табли
цы 4. в зависимости от того, какая подходит, должны быть применены к каждой подсистеме, выполняющей
функцию безопасности, и. следовательно, к каждой детали СЭРС (СБ); в 6.2.2.2.1 и 6.2.2.2.2 определяется,
какая изтаблиц. 3 или4. используется для любой конкретной подсистемы. Относительно этих требований:
a) при определении отказоустойчивости аппаратных средств не должны учитываться другие меры
(такие, какдиагностика), которые могут управлять результатами сбоев;
b
) если один сбой непосредственно приводит к возникновению одного или более последующих
сбоев, то их рассматривают какодиночный сбой.
c) при определении отказоустойчивости аппаратных средств некоторые сбои могут быть исключе
ны. при условии, что вероятность их появления достаточно низкая относительно требований полноты
безопасности подсистемы. Любые такие исключения сбоев должны быть обоснованы и документально
оформлены (см. примечание 3 ниже).
Примечания
1 Для достижения достаточно устойчивой архитектуры с учетом уровня сложности подсистемы были вклю
чены ограничения архитектуры. Уровень полноты безопасности аппаратных средств для СЭРС (СБ). полученный в
результате применения этих требований, является максимальным, который (ложно заявить даже при том, что в не
которых случаях теоретически может быть получен более высокий уровень полноты безопасности, если для СЭРС
(СБ) применить строго математический подход.
2 Полученнаяархитектураподсистемы удовлетворяет требованиям отказоустойчивостиаппаратныхсредств
при нормальных условиях эксплуатации. Требования отказоустойчивости могут быть снижены во время восстанов
ления СЭРС (СБ) в неавтономном режиме. Однако основные параметры, касающиеся любого снижения, должны
быть заранее оценены (например, среднее время восстановления по отношению к вероятности запроса).
3 Это необходимо, так как если у компонента явно очень низкая вероятность отказа в результате свойств,
присущих его проекту и конструкции (например, механическая связь привода), то обычно нет необходимости рас
сматривать ограничения (связанные с отказоустойчивостью аппаратных средств) полноты безопасности любой
функции безопасности, которая использует этот компонент.
17