ГОСТ Р 57300—2016
Приложение Е
(справочное)
Качественный подход к управлению случайными отказами аппаратных средств
Е.1 Цель
Цельданного приложения— описать, как можно использовать МЭК 61508-2:2010. приложениеА. чтобы проде
монстрировать соответствие с 5.2 первой части ИСО 15998. где рассматриваются предотвращение отказов и управ
ление случайными отказами аппаратных средств, происходящими во время срока службы’эксплуатации машины.
Предложенный метод основан главным образом на качественных аргументах и не требует вычисления диа
гностического охвата (ДО) или доли безопасных отказов (ДБО), как определено в ИСО 61508-2:2010. приложение С.
так как это не является нормативным требованием в ИСО 15998.
Настоящее приложение применяется к СУСБА1. реализующей функцию безопасности, работающей в режи
ме высокой интенсивности запросов или в непрерывном режиме.
Е.2 Доля безопасных отказов
Для определения ДБО подсистемы необходимо знать:
- тип подсистемы (тип А или тип В согласно МЭК 61508-2:2010):
«7.4.4.1.2 Элемент может быть отнесен к типу А. если для его компонентов, необходимых для реализации
функции безопасности, одновременно выполняются следующие условия:
a) виды отказов всех составляющих компонентов определены;
b
) поведение элемента в условиях отказа может быть полностью определено:
c) есть достаточно надежные данные об отказах, чтобы показать, что требуемые интенсивности отказов для
обнаруженных и необнаруженных опасных отказов достигнуты (см. 7.4.9.3—7.4.9.5).
7.4.4.1.3 Элемент гложет быть отнесен к типу В. если для его компонентов, необходимых для реализации
функции безопасности, выполняется хотя бы одно из следующих условий.
a) вид отказа по крайней мере одного составляющего компонента не определен;
b
) поведение подсистемы в условиях отказа не гложет быть полностью определено;
c) имеются недостаточно надежные данные об отказах, чтобы показать, что требуемые интенсивности от
казов для обнаруженных и необнаруженных опасных отказов достигнуты (см. 7.4.9.3—7.4.Э.5).
При ме ч а ни е — Если по крайней мере один из компонентов конкретного элемента соответствует усло
виям для типа В, то такой элемент должен быть отнесен к типу В. а не к типу А».
(МЭК 61508-2:2010)
- требуемое значение УПБ для связанной с безопасностью функции;
- уровень избыточности архитектуры аппаратных средств, который определяет отказоустойчивость аппарат
ных средств-
П р и м е р — Для СУСБ/Ч: УПБ 1/УЭЗтЬ, безопасное состояние с отключенным питанием, время
безопасности процесса 500 мс. Подсистема: последовательность программ (микроконтроллера). Тип
подсистемы: В (электронный комплекс). Отказоустойчивость аппаратных средств подсистемы: 0
(одиночный микроконтроллер без избыточности в СУСБ/Ч). Минимальная необходимая доля безопас
ных отказов: 60 % (низкий охват).
Е.З Управление сбоями
Е.3.1 Документация
Чтобы применить данный метод, должно быть доступно следующее.
- описание системы управления машиной согласно 4.2 из первой части ИСО 15998:
- описание базовой функции согласно 4.3 из первой части ИСО 15998;
- результаты анализа и оценки риска согласно 4.4 из первой части ИСО 15998. включая необходимые УПБ
для функций безопасности СУСБ/Ч:
- описание «безопасных состояний» для функций безопасности СУСБ/Ч согласно 4.5 из первой части
ИСО 15998. включая информацию о «времени безопасности процесса» функций безопасности.
Данный метод дает указания по выбору мер управления случайными отказами аппаратных средств, возни
кающими во время срока службы’эксллуагации машины. Это способствует документальному оформлению концеп
ции безопасности согласно 4.5 и 5.2 из первой части ИСО 15998.
52