ГОСТ Р МЭК 61508-2-2007 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 2. Требования к системам

     

Приложение С
(обязательное)

     
Диагностический охват и доля безопасных отказов

    С.1 Расчет диагностического охвата и доли безопасных отказов

Диагностический охват и доли безопасных отказов рассчитываются следующим образом:

a) проводят анализ видов отказов и их влияния для определения влияния каждого вида отказов каждого компонента или группы компонентов в подсистеме на поведение Е/Е/РЕ систем, связанных с безопасностью, в отсутствие диагностических проверок. В наличии должна быть информация (см. примечания), достаточная для того, чтобы убедиться в том, что влияние видов отказов и результаты анализа этого влияния с достаточной степенью достоверности соизмеримы с требованиями полноты безопасности.

Примечания

1 Для проведения такого анализа требуются:

- подробная блок-схема Е/Е/РЕ системы, связанной с безопасностью, описывающая подсистему вместе со взаимосвязями для той части Е/Е/РЕ системы, связанной с безопасностью, которая затрагивает рассматриваемую(ые) функцию(ии) безопасности;

- схемные решения подсистемы аппаратных средств, описывающие каждый компонент или группу компонентов и взаимосвязи между компонентами;

- виды отказов и частоты (интенсивности) отказов для каждого компонента или группы компонентов и связанные соотношения безопасных и опасных отказов к полной средней частоте (интенсивности) отказов в процентах.

2 Требуемая точность этого анализа зависит от ряда факторов (см. МЭК 61508-1, подраздел 4.1). В частности, должен быть принят во внимание уровень полноты безопасности рассматриваемых функций безопасности. Для более высоких уровней полноты безопасности ожидается, что виды отказов и анализ влияний будут специфичны в соответствии с конкретными типами компонентов и существующей окружающей средой. Также очень важен полный и подробный анализ для подсистемы, используемой в архитектуре аппаратных средств, имеющей нулевую устойчивость к отказам аппаратных средств;

b) все виды отказов делят на категории по признаку, является ли он (в отсутствие диагностических испытаний):

- безопасным отказом (т.е. не приводящим к снижению полноты безопасности Е/Е/РЕ системы, связанной с безопасностью, например, приводящим к безопасному отключению, или не влияющим на полноту безопасности Е/Е/РЕ системы, связанной с безопасностью), или

- опасным отказом (т.е. приводящим к отказу выполнения функции безопасности Е/Е/РЕ системой, связанной с безопасностью, или ее частью, либо к невыполнению полноты безопасности Е/Е/РЕ системы, связанной с безопасностью);

c) оценив частоты отказов каждого компонента или группы компонентов (см. перечисление а) и примечания) и учтя виды отказов и результаты анализа последствий каждого вида отказа каждого компонента или группы компонентов в подсистеме, вычисляют частоту безопасных отказов и частоту опасных отказов .

Примечания

1 Частота отказов каждого из компонентов или группы компонентов - это частота отказов , которые происходят в течение относительно небольшого промежутка времени , в случаях, если значительно меньше единицы.

2 Частота отказов каждого компонента или группы компонентов может быть оценена с использованием данных из признанного промышленного источника с учетом окружающей среды применения. Однако применение специфических данных предпочтительнее, особенно в случаях, если подсистема состоит из небольшого числа компонентов и если любая ошибка в оценке вероятности безопасных и опасных отказов специфического компонента может оказать существенное влияние на оценку безопасной составляющей отказа;

d) оценивают для каждого компонента или группы компонентов доли опасных отказов, которые могут быть обнаружены диагностическими тестами (см. приложение С, пункт С.2) и, следовательно, частоты опасных отказов, обнаруженных диагностическими тестами ;

e) вычисляют полные частоты опасного отказа подсистемы, полные частоты опасных отказов, обнаруженных диагностическими тестами , и полные частоты безопасных отказов ;

f) вычисляют диагностический охват подсистемы как ;

g) вычисляют долю безопасных отказов подсистемы как .

Примечание - Диагностический охват каждой подсистемы в Е/Е/РЕ системе, связанной с безопасностью, должен учитываться в вычислении случайных отказов аппаратных средств (см. 7.4.3.2.2). Доля безопасных отказов должна быть принята во внимание при определении архитектурных ограничений на полноту безопасности аппаратных средств (см. 7.4.3.1).

Анализ, выполняемый для определения диагностического охвата и доли безопасных отказов, должен охватывать все компоненты, в том числе электрические, электронные, электромеханические, механические и т.п., необходимые подсистеме для выполнения функции(ий) безопасности, которые требуются Е/Е/РЕ системе, связанной с безопасностью. Для каждого из компонентов должны быть рассмотрены все возможные виды опасных отказов, приводящие к опасному состоянию, препятствуя реакции безопасности, если такая реакция определена или так или иначе ставит под угрозу полноту безопасности, Е/Е/РЕ систем, связанных с безопасностью.

Ошибки и отказы, которые, как минимум, должны быть обнаружены для достижения уместного диагностического охвата, или, как минимум, должны быть включены в определение безопасной составляющей отказа, приведены в таблице А.1.

Если для анализа видов отказов и их влияния используются эксплуатационные данные, то достаточно обеспечить требования полноты безопасности. При этом нижний предел статистической односторонней достоверности должен быть не менее 70%.

Примечания

1 Пример вычисления диагностического охвата и безопасной составляющей отказа представлен в МЭК 61508-6, приложение С.

2 Для вычисления степени диагностического охвата можно использовать альтернативные методы, например моделирование ошибок с помощью подробных компьютерных моделей как схем Е/Е/РЕ систем, связанных с безопасностью, так и используемых при разработке электронных компонентов, например на уровне транзисторов в интегральной схеме.